La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la box SFR par un routeur => Discussion démarrée par: tivoli le 22 septembre 2014 à 21:40:13
-
Connections physique:
- eth0 : reseau local
- eth1 : ONT
- eth2 : Management (optionnel)
Se connecter a l'ERL
Configurer son PC en 192.168.1.2 255.255.255.0 192.168.1.1
se connecter en ssh a 192.168.1.1
login : ubnt
password : ubnt
Configurer l'ERL
idealement remplacez votre email dans la 6eme ligne et faites un copier/coller
configure
set interfaces ethernet eth2 address 192.168.2.1/24
set interfaces ethernet eth2 description MGMT
set interfaces ethernet eth0 description LAN
set interfaces ethernet eth1 description WAN
set interfaces ethernet eth1 address dhcp
set interfaces ethernet eth1 dhcp-options client-option "send vendor-class-identifier "neufbox6-votre.email@email.com";"
set service dhcp-server shared-network-name mgmt subnet 192.168.2.0/24 start 192.168.2.2 stop 192.168.2.10
set service dhcp-server shared-network-name lan subnet 192.168.1.0/24 start 192.168.1.2 stop 192.168.1.100
set service dhcp-server shared-network-name lan subnet 192.168.1.0/24 ntp-server 192.168.1.1
set service dhcp-server shared-network-name lan subnet 192.168.1.0/24 dns-server 192.168.1.1
set service dhcp-server shared-network-name lan subnet 192.168.1.0/24 default-router 192.168.1.1
set service nat rule 5000 type masquerade
set service nat rule 5000 description "Masquerade"
set service nat rule 5000 outbound-interface eth1
set service dns forwarding listen-on eth1
set service dns forwarding listen-on eth0
set firewall name WAN_LOCAL description "packets from internet to the router"
set firewall name WAN_LOCAL default-action drop
set firewall name WAN_LOCAL enable-default-log
set firewall name WAN_LOCAL rule 5 action accept
set firewall name WAN_LOCAL rule 5 description "Allow Multicast"
set firewall name WAN_LOCAL rule 5 destination address 224.0.0.0/4
set firewall name WAN_LOCAL rule 10 description "allow established sessions"
set firewall name WAN_LOCAL rule 10 action accept
set firewall name WAN_LOCAL rule 10 state established enable
set firewall name WAN_LOCAL rule 10 state related enable
set firewall name WAN_LOCAL rule 10 state invalid disable
set firewall name WAN_LOCAL rule 10 state new disable
set firewall name WAN_LOCAL rule 10 protocol all
set firewall name WAN_LOCAL rule 20 description "drop invalid state"
set firewall name WAN_LOCAL rule 20 action drop
set firewall name WAN_LOCAL rule 20 state established disable
set firewall name WAN_LOCAL rule 20 state related disable
set firewall name WAN_LOCAL rule 20 state invalid enable
set firewall name WAN_LOCAL rule 20 state new disable
set firewall name WAN_LOCAL rule 20 protocol all
set interfaces ethernet eth1 firewall local name WAN_LOCAL
set firewall name WAN_IN description "packets from internet to LAN & WLAN"
set firewall name WAN_IN default-action drop
set firewall name WAN_IN enable-default-log
set firewall name WAN_IN rule 5 action accept
set firewall name WAN_IN rule 5 description "Allow Multicast"
set firewall name WAN_IN rule 5 destination address 224.0.0.0/4
set firewall name WAN_IN rule 10 description "allow established sessions"
set firewall name WAN_IN rule 10 action accept
set firewall name WAN_IN rule 10 state established enable
set firewall name WAN_IN rule 10 state related enable
set firewall name WAN_IN rule 10 state invalid disable
set firewall name WAN_IN rule 10 state new disable
set firewall name WAN_IN rule 10 protocol all
set firewall name WAN_IN rule 15 action accept
set firewall name WAN_IN rule 15 description "Allow 1287/1288 for STB"
set firewall name WAN_IN rule 15 destination port 1287-1288
set firewall name WAN_IN rule 15 protocol tcp
set firewall name WAN_IN rule 15 state new enable
set firewall name WAN_IN rule 20 action accept
set firewall name WAN_IN rule 20 description "Allow UDP to Multicast"
set firewall name WAN_IN rule 20 destination address 224.0.0.0/4
set firewall name WAN_IN rule 20 protocol udp
set firewall name WAN_IN rule 20 state new enable
set firewall name WAN_IN rule 25 action accept
set firewall name WAN_IN rule 25 description "Allow ICMP"
set firewall name WAN_IN rule 25 protocol icmp
set firewall name WAN_IN rule 25 state established enable
set firewall name WAN_IN rule 25 state related enable
set firewall name WAN_IN rule 30 action accept
set firewall name WAN_IN rule 30 description "Allow IGMP"
set firewall name WAN_IN rule 30 protocol igmp
set firewall name WAN_IN rule 100 description "drop invalid state"
set firewall name WAN_IN rule 100 action drop
set firewall name WAN_IN rule 100 state established disable
set firewall name WAN_IN rule 100 state related disable
set firewall name WAN_IN rule 100 state invalid enable
set firewall name WAN_IN rule 100 state new disable
set firewall name WAN_IN rule 100 protocol all
set interfaces ethernet eth1 firewall in name WAN_IN
commit
save
exit
-
- Recuperer les infos necessaire dans la box actuelle
http://192.168.1.1/api/1.0/?method=system.getInfo (http://192.168.1.1/api/1.0/?method=system.getInfo)
http://192.168.1.1/api/1.0/?method=ftth.getInfo (http://192.168.1.1/api/1.0/?method=ftth.getInfo)
http://192.168.1.1/api/1.0/?method=wan.getInfo (http://192.168.1.1/api/1.0/?method=wan.getInfo)
http://192.168.1.1/api/1.0/?method=lan.getHostsList (http://192.168.1.1/api/1.0/?method=lan.getHostsList)
- Modifier le fichier de configuration : lighttpd.conf
Se connecter en SSH a l'ERL et modifier le fichier suivant : /etc/lighttpd/lighttpd.conf en ajoutant les lignes entre Add line (3 en tout)
lighttpd.conf (partie modifié) :
url.rewrite-once = (
# Add line
"^(/api/1.0/.*)" => "$0",
# Add line
"^(/(lib|media|ws|tests)/.*)" => "$0",
"^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)
$HTTP["scheme"] == "http" {
$HTTP["url"] !~ "^/index.php/error/" {
# Add line
$HTTP["url"] !~ "^/api/" {
# Add line
$HTTP["host"] =~ "^(.*)$" {
url.redirect = (
"^(.*)$" => "https://%1$1"
)
}
# Add line
}
# Add line
}
}
- Creer le repertoire pour les fichiers de configuration
cd /var/www/htdocs
mkdir api
mkdir api/1.0/
cd /api/1.0/
- Creer le fichier index.php dans ce repertoire
index.php
<?php
header('Content-Type: application/xml; charset=utf-8');
if (isset($_GET['method'])){
$method = $_GET['method'];
switch ($method) {
case "system.getInfo":
echo file_get_contents('system.xml');
break;
case 'lan.getHostsList':
echo file_get_contents('lan.xml');
break;
case 'wan.getInfo':
echo file_get_contents('wan.xml');
break;
case 'ftth.getInfo':
echo file_get_contents('ftth.xml');
break;
}
return;
}
?>
- Creer le fichier system.xml
(Le plus simple est de remettre le contenu de son fichier original recupere a la premiere etape)
system.xml
<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<system product_id="NB6V-SER-r0" mac_addr="xx:xx:xx:xx:xx:xx" net_mode="router" net_infra="ftth" uptime="99999999999999" version_mainfirmware="NB6V-MAIN-R3.3.9" version_rescuefirmware="NB6V-MAIN-R3.3.3" version_bootloader="NB6-BOOTLOADER-R3.3.2" version_dsldriver="NB6V-XDSL-A2pv6F038m" current_datetime="201407080100" refclient=""/>
</rsp>
(Le plus simple est de remettre le contenu de son fichier original recupere a la premiere etape)
lan.xml
<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<host type="stb" name="NEUFTVSTB_MA_9440" ip="192.168.1.20" mac="xx:xx:xx:xx:xx:xx" iface="lan1" probe="55" alive="725228" status="online"/>
</rsp>
(Le plus simple est de remettre le contenu de son fichier original recupere a la premiere etape)
wan.xml
<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<wan status="up" uptime="999999" ip_addr="IP_PUBLIQUE" infra="ftth" mode="ftth/routed"/>
</rsp>
- Creer le fichier ftth.xml
(Le plus simple est de remettre le contenu de son fichier original recupere a la premiere etape)
ftth.xml
<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<ftth status="up" />
</rsp>
Pour IGMP (eth0 = LAN, eth1 = ONT, eth2 = Management) :
configure
set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0 role downstream
set protocols igmp-proxy interface eth0 threshold 1
set protocols igmp-proxy interface eth1 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth1 role upstream
set protocols igmp-proxy interface eth1 threshold 1
set protocols igmp-proxy interface eth2 role disabled
set protocols igmp-proxy interface eth2 threshold 1
commit
save
Un petit reboot et la TV devrait fonctionner
-
À noter que la règle WAN_IN 20 :
set firewall name WAN_IN rule 20 description "Allow UDP to Multicast"
set firewall name WAN_IN rule 20 destination address 224.0.0.0/4
set firewall name WAN_IN rule 20 protocol udp
set firewall name WAN_IN rule 20 state new enableest inutile, la règle 5 faisant le job.
Enfin, ERL passé en 1.6 et aucune modification des éléments essentiels mentionnés ici par Tivoli n'a été nécessaire.
-
Rapide post pour signaler qu'il a pas de changements nécessaires des modifs indiquées précédemment pour la toute nouvelle version 1.7 de EdgeOS...
-
[...]
set firewall options mss-clamp mss 1452
[...]
Salut,
Si j'ai bien suivi l'autre sujet draft (https://lafibre.info/remplacer-sfr/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/msg174156/#msg174156)de cette conf', cette option n'est pas nécessaire.
Vous confirmez ?
Il n'y a pas de PPPoE en fibre chez SFR donc la question de Florian reste pertinente.
Cette config MSS est probablement un couper/coller d'une version ADSL d'un bypass de box.
Il faudrait l'enlever.
-
Pas besoin de cette option.
-
Ok, merci. :)
-
Mis a jour en enlevant la ligne
-
Bonjour,
Pour router du 1 Gbps, quel modèle faut-il? J'ai cru lire quelque part que le plus petit modèle ne suffisait pas.
Merci d'avance,
Cordialement,
DamienC
-
un ERL c'est parfait !
-
un ERL c'est parfait !
Sûr? Bon je vous fais confiance, c'est commandé :p
-
Salut à tous,
Je vais migrer vers RED FTTH et je viens d'Orange. Du coup j'aimerais bien continuer d'utiliser mon ERL :)
Je me posais la question de l'ipv6. Est-ce que ça marche avec la config actuelle proposée en premier post? Ne voyant aucune référence par rapport à ça, je n'en suis pas certain ?
Merci A+
-
Personne n'a réussi/essayé de faire marcher le tunnel en v6 il me semble.
Après si tu veux absolument un tunnel en IPv6, tu peux le faire toi même depuis un serveur dédié.
-
Salut Hugues,
Merci pour ton retour si rapide. En fait j'ai trouvé le poste suivant dans un autre topic (similaire ?):
https://lafibre.info/remplacer-sfr/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/msg156497/#msg156497
A l'époque le débit semblait un peu limité par le manque d'offloading ? Peut être que ca a évolué entre temps.
En fait, je voulais juste m'amuser à tester l'ipv6 vu que sur orange j'y parviens a peu prés. C'est pas une priorité non plus!
Je vous ferais un retour si j'y arrive.
EDIT: My bad, SFR propose pas d'ipv6 en natif (enfin c'est pas très clair). Du coup c'est pas comme orange si je comprends bien. J'attendrais la clarification!
-
Salut Hugues,
Merci pour ton retour si rapide. En fait j'ai trouvé le poste suivant dans un autre topic (similaire ?):
https://lafibre.info/remplacer-sfr/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/msg156497/#msg156497
A l'époque le débit semblait un peu limité par le manque d'offloading ? Peut être que ca a évolué entre temps.
En fait, je voulais juste m'amuser à tester l'ipv6 vu que sur orange j'y parviens a peu prés. C'est pas une priorité non plus!
Je vous ferais un retour si j'y arrive.
Arf! Je m'étais vraiment creusé la tête sur cette config! :-\
Je ne suis plus chez SFR mais ton retour m'intéressera. :)
Bonne chance!
[EDIT] Vu EDIT, bon ben tant pis!
-
Bonjour,
Pour ma part j'essaie de remplacer ma NB6V par un edgemax poe et malgrès le vendor-class-identifier je n'arrive pas à obtenir l'ip publique via le cliend DHCP
j'ai si'mplement un Failed
A noter je suis chez "RED" et avec l'ONT "noir" ... dans la conf de la NB6V il y a un mot de passe pour l'ONT
si quelqu'un à des infos sur cette config je suis preneur
J'ai acheté le EdgeMax pour ça
Merci d'avance
-
Salut mag,
J'avais réussi à faire marcher l'internet sans spoofer le mac et en mettant bien le vendor class identifier au format neufbox_VersionDeMaBox.
Sur l'interface de ton WAN ta config ressemble a quoi ?
J'ai laissé tomber parce que j'arrivais pas à faire marcher la téloche par contre...
-
Merci pour ta réponse rapide ... je posterai ma conf ce soir ...
En fait elle est relativement standard ... pour l'instant l'essentiel pour moi est d'obtenir l'ip "v4" sur eth0 ( que j'utlise comme wan ) et le reste je me débrouille
Je n'ai beosin que de l'accès internet : pas de Tv pas de téléphonie pas de wifi
J'ai mon propre pont d'accès ( Apple ), une appletv ( avec molotov Netflix etc... )
J'ai chois un edgemax POE pour avoir plusieurs port LAN intégré et avoir le même CPU qu'un ERLite
je dois pouvoir absorbé 400/500 Mb en download et ~200 en upload
voici ma neufbox : NB6V-MAIN-R3.4.5 ...
je mets tout çans la vendor-class-identifier après neufbox- ?
Merci d'avance
-
Salut,
Ouaip tu devrais mettre un truc comme "neufbox_NB6V-MAIN-R3.4.5-bypassed_ERL" par exemple. De mémoire j'avais mis un truc comme ça.
Ce qui m'avait bloqué c'était une ligne toute bête qui manquait dans ma conf sur l'interface eth1 (mon port WAN): Il manquait la ligne "address dhcp" donc l'ERL ne tentait même pas d'obtenir l'addresse.
N'hésite pas à poster ta conf à l'occasion.
A+
-
Voici ma config adapatée je vais l'essayer ce soir :
--
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address dhcp
description Internet
dhcp-options {
client-option "send vendor-class-identifier "neufbox_NB6V-MAIN-R3.4.5-bypassed_ERPOE";"
client-option "send host-name "NB6V";"
}
duplex auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
poe {
output off
}
speed auto
}
ethernet eth1 {
description Backup
duplex auto
poe {
output off
}
speed auto
}
ethernet eth2 {
description LAN
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
description LAN
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
description LAN
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description SWITCH
mtu 1500
switch-port {
interface eth2 {
}
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.80 {
stop 192.168.1.243
}
}
}
use-dnsmasq disable
}
dns {
forwarding {
cache-size 150
listen-on eth0
listen-on switch0
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
description "masquerade for WAN"
outbound-interface eth0
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user XXX {
authentication {
encrypted-password XXXX
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
--
-
Salut,
Le seul Iota que je vois en décalage par rapport au tuto initial est le: client-option "send host-name "NB6V";"
Il ne figure pas dans le tuto. Je suis pas expert non plus donc peut-être que ça a son utilité
A+
-
il m'est impossible de "pinger" quoi que ce soit tant que je ne verrai pas une IP publique affectée à mon interface Wan (eth0)
le send-hostname : je l'ai ajouté toute à l'heure ( j'ai pris mon routeur au boulot ) je le testerai chez moi ce soir
Chose Importante au boulot cela fonctionne très bien : je connecte l'eth0 sur le LAN du bureau l'interface wan prends donc une adresse en DHCP sur le LAN du bureau et utlise
cette conf pour sortir en suite je connecte un PC sur le eth2 du ERPOE et mon PC accède à internet au travers de tout ça donc pas de soucis ( mon dhcp ne filtre rien contrairement à celui de RED/SFR
Suite chez moi ce soir si je ne suis pas dérangé
Merci en tout ça pour les échanges de point de vue
-
Salut,
De mon coté avec l'ONT Altice Lab noir, je n'ai jamais pu monter ma connexion Red en dhcp sur mon Erlite avec le vendor class du type "bypassed" visible dans tous les tutos ici ou ailleurs.
J'ai été obligé de capturer la requête DHCP envoyé par ma NBV6 et mettre exactement le même vendor class, dès que j'ajoutais bypassed je n'avais aucun retour coté DHCP.
Je ne me l'explique pas, m'enfin ça ne me gêne pas plus que ça.
J'ai mis celui de ma NBV6 au caractère près et ça marche niquel.
-
Salut Clean31 peux tu nous montrer A quoi ressemble l'identifier de ta NB6V ?
-
Yes, je ne suis pas chez moi je te mettrais ça ASAP ;)
-
Re,
client-option "send vendor-class-identifier "neufbox_NB6V-FXC-r0_NB6V-MAIN-R3.4.5_NB6V-XDSL-A2pv6F038m";"
-
Bon super !!! cela fonctionne avec ta (clean31) ligne vendor-class-identifier ...
j'ai bricolé pas mal je ne sais pas si c'est du à ta conf ou au fait que le DHCP ait pris du temps à renouveler le bail ..
ce que je peux dire c'est que passé la statisfaction d'avoir mon propre routeur je ne pense pas avoir amélioré le débit
je sais que certains vont hurler mais le resultat est :
ping inférieur à 20ms
déscendant : 378 Mbps
Montant : 211 Mbps
Mon abonnement est un RED SFR FTTH avec option Débit+ pour 14,99 / mois (pas de TV, pas de téléphonie ...) Inernet et rien d'autre
si vous voulez faire une section "Provider RED SFR " pas de soucis je peux partager ma conf
Merci à tous (clean31, Tsunami2056) pour votre aide
-
Salut Mag,
Content de voir que ca c'est enfin résolu!
Profites en bien, à ce prix là c'est imbattable ;)
-
Bonjour,
Un technicien va bien bientôt passer suite à ma commande "Série limitée 24 ,99€" en FTTH.
Et forcèment, vu que je traine ici, je souhaite ne pas utiliser le routeur SFR mais un Ubiquiti EdgeRouter Lite 3.
Existe t'il une configuration standard ou un fichier ou un tuto ?
J'ai lu les topics mais rien qui ne parle du ERL3.
Merci :)
-
Moi il passe cet AM pour la même série limitée.
Du coup, j'y travailles ce WE pour un ERL POE.
Je pourrais éventuellement poster ma config.
Je pense que je vais partir dans un scénario "Box sur le LAN", mais je suis bien tenté d'essayer de la virer complètement (ie la garder, mais uniquement pour mettre à jour son firmware et les APIs).
-
Ah ben que de bonnes nouvelles !
Vivement son passage alors ! ^^
-
Moi il passe cet AM pour la même série limitée.
Du coup, j'y travailles ce WE pour un ERL POE.
Je pourrais éventuellement poster ma config.
Je pense que je vais partir dans un scénario "Box sur le LAN", mais je suis bien tenté d'essayer de la virer complètement (ie la garder, mais uniquement pour mettre à jour son firmware et les APIs).
Alors, cette installation ? :D
-
Je viens d'atteindre un état satisfaisant, en ayant la box SFR présente dans son sous réseau dédié:
Internet OK
TV OK
Replay/VOD OK
Téléphonie : a priori OK (moyennant l'install de siproxd), mais à tester et je n'ai pas de téléphone analogique.
Prochaine étape essayer de récupérer mon mot de passe sip en clair.
-
Et les débits !!!? 8)
-
Depuis mon PC de bureau hier vers 19h j'étais à 870 / 260 vers le serveur Speedtest SFR de Paris (je suis en banlieue).
Bref DL suffisant, UL conforme à mes attentes.
Débits cohérent avec mon instal Orange avec bypass.
-
Que du bon pour une série limitée pas chère donc.
En attente de ta configuration complète. Avec un tutoriel ? :D
Mais ça presse pas car pas encore fibré et pas encore le budget pour acheter le routeur.
Mais donc le routeur SFR est en bridge ?
-
La box est cliente d'un LAN privé derrière mon Edge routeur.
Du coup mon routeur gère WAN->LAN et la box ne reste que pour la télé et la voip.
Je viens de rechanger ma config (merci les tutos du forum) pour l'éliminer complètement.
TV Ok, Replay Ok, VOD Ok.
Pas sûr que ça marche pour la voip, mais à tester.
-
Je viens d'atteindre un état satisfaisant, en ayant la box SFR présente dans son sous réseau dédié:
Internet OK
TV OK
Replay/VOD OK
Téléphonie : a priori OK (moyennant l'install de siproxd), mais à tester et je n'ai pas de téléphone analogique.
Prochaine étape essayer de récupérer mon mot de passe sip en clair.
Bonjour,
aurais-tu la gentillesse de me dire comment tu as configuré ton siproxd ? j'ai tenté en vain de faire fonctionner la VOIP mais sans réel succès, le mieux que j'ai pu obtenir c'est d'avoir la tonalité, et même réussi à passer des appels dans les 2 sens, mais je n'ai jamais pu entendre la moindre voix ni dans un sens ni dans l'autre, pas évident pour discuter :) En ce qui me concerne, j'ai un téléphone analogique je pourrai donc en profiter pour te dire si ta config fonctionne, car avoir la LED du tel qui s'allume vert n'est pas forcèment signe de bon fonctionnement, j'ai pu l'avoir aussi, mais avec un fonctionnement limité (comme décrit plus haut).
Merci par avance de ton aide.
-
Aïe, pour le coup j'ai complètement négliger la partie VOIP via siproxd et la box.
Les tutos semblaient cependant bien explicites d'où mon "à priori Ok".
Attention par contre, j'avais eu du mal à compiler Siproxd en direct sur le Edge avec les derniers firmwares > 1.8.
La piste que je voudrais poursuivre serait plutôt de récupérer mes identifiants VOIP (tuto sur le net, mais nécessite une box rootée) et de monter un trunk dans mon Astérisk.
En attendant de creuser la partie root j'ai upgradé ma ligne VOIP OVH pour avoir un peu d'appels mobile, et ça me revient moins cher entre SFR et OVH que ce que je donnais à Orange.
Idéalement il faudrait que "j'emprunte" une box non NB6VAC juste pour récupérer ma config et décoder le mot de passe sip : 20€ pour une NB6V sur ebay.... le test se tente.
-
Merci pour cette réponse rapide, pour info moi je n'ai pas touché à mon ERP pour la partie siproxd (hormis pour les redirections de ports), j'ai simplement suivi ce tuto (monté un netbsd dans une VM) :
https://imil.net/blog/2013/12/28/bypass-neufbox-6-avec-netbsd/ (https://imil.net/blog/2013/12/28/bypass-neufbox-6-avec-netbsd/)
mais je n'ai pas réussi à faire fonctionner à 100%, je sais que je ne suis pas loin, mais il me manque toujours la voix ... j'ai réussi à voir les échanges SIP avec Wireshark, tout se passe bien pourtant hormis la voix qui ne veut pas passer... pour le moment j'ai totalement abandonné car j'ai passé beaucoup de temps sans succès.... mais si tu es partant on peut essayer de s'y remettre à 2 pour faire fonctionner tout ça, à 2 on aura plus d'idées je pense, je dois sûrement faire une bêtise qq part que je ne vois pas :)
-
Petit update.
Livraison rapide de ma NB6V d'Ebay.
Root un peu dans la douleur, car les tuto pointent faire des codes sur des repo de source offline. Un peu de spéléo google plus tard, j'ai réussi à récupérer les fichiers sources dans des dumps dans les forums et des tickets open-wrt.
Une fois le root effectué, j'ai pris les infos dans le tuto de neufbox4.org pour déchiffrer le mot de passe sip.
Là je pars faire dodo ... on testera si j'arrive à me connecter en sip un autre jour.
Concernant ton problème de voix qui ne passe pas, un truc à deux sous, mais as tu bien forwardé les ports rtp 7070 à 7089 sur ton routeur WAN vers ta box SFR ?
-
Petit Update.
Je viens de m'appeler depuis mon asterisk vers mon mobile en passant par ma ligne SIP SFR.
Cela signifie donc que j'ai réussi à m'authentifier sur les bons serveurs SIP chez SFR avec le bon registrar.
Petit bémol, ce n'est pas encore parfait: même problème de "pas de voix" si je décroche.... donc encore un peu de travail, mais je sens que le plus dur est probablement derrière moi.
Le 100% sans box n'est plus très loin.
-
Désolé si je flood le thread.... mais ça y est : SIP Phone OK !
J'ai donc un bypass qui semble être à 100% sans box SFR
Internet OK
TV OK
Replay/VOD OK
Téléphonie SIP : OK (Asterisk en SIP, via siproxd)
....je peux remettre mes NB6V et NB6VAC en carton
-
L'authentification c'est quoi comme méthode ? Du digest MD5 ?
-
Pour récupérer le mot de passe j'ai suivi les infos sur neufbox4.org
https://www.neufbox4.org/forum/viewtopic.php?pid=37679 (https://www.neufbox4.org/forum/viewtopic.php?pid=37679)
Et sinon dans les trames c'est bien du Digest MD5.
-
Petit complèment:
Je perdais la capacité à recevoir les appels après quelques minutes.
Après analyse des trames, il y avait un problème de routage.
En fait, l'Edge router dispose d'un module SIP ALG qui était activé. Il y avait donc conflit dans le routage par Siproxd et le SIP helper.
J'ai désactivé le helper, et depuis ça marche et c'est stable.
https://community.ubnt.com/t5/EdgeMAX/Disable-SIP-ALG/td-p/1690148 (https://community.ubnt.com/t5/EdgeMAX/Disable-SIP-ALG/td-p/1690148)
Au passage, n'ayant finalement qu'Asterisk en client SIP j'ai enlever Siproxd et suis passé en redirection de port. Ca fait une couche de gestion en moins...
-
Tu as IPv6 en natif ou tu montes un tunnel HE ?
Pour la télé, je regarde Molotov. Pas besoin de ligne téléphonique, chacun a son téléphone mobile dans la famille.
Donc je ne vais pas monter une box complète, uniquement brancher le routeur en direct : ai-je besoin de me connecter à l'ONT ?
Est-ce qu'il me suffit d'envoyer via dhcp le vendor class :
neufbox_NB6V-FXC-r0_NB6V-MAIN-R3.4.5_NB6V-XDSL-A2pv6F038m ?
Je pensais qu'on devait mettre son adresse email à la fin ...
-
Je me contente d'ip v4
Oui je branche l'Ont.
Et le mail dans le vendor class c'est une indication de contact. C'est une pratique mais pas une nécessité
-
Hello,
Merci a tous, ca fonctionne :)
Sur mon ERL3 il y a pas de url.rewrite-once dans le lighttpd.conf (v1.97).
Dois-je downgrader ? Quelqu'un peut-il m'envoyer le bon firmware ?
server.modules = (
"mod_access",
"mod_alias",
"mod_redirect",
"mod_fastcgi",
"mod_rewrite",
"mod_websocket",
)
server.document-root = "/var/www/htdocs"
server.upload-dirs = ( "/tmp" )
server.errorlog = "/var/log/lighttpd/error.log"
server.pid-file = "/var/run/lighttpd.pid"
server.username = "www-data"
server.groupname = "www-data"
server.tag = "Server"
index-file.names = ( "index.php", "index.html",
"index.htm", "default.htm",
" index.lighttpd.html" )
url.access-deny = ( "~", ".inc" )
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi", ".py" )
server.dir-listing = "disable"
include "mime.conf"
include "conf-enabled/10-ssl.conf"
include "conf-enabled/15-fastcgi-python.conf"
websocket.server = (
"/ws/stats" => ( "host" => "/tmp/ubnt.socket.statsd",
"port" => "1" ),
"/ws/cli" => ( "host" => "/tmp/ubnt.socket.cli",
"port" => "1",
"type" => "bin" )
)
Je viens aussi de tester le plus ancienne version dispo, 1.70 parcontre chaque fois que je créer le fichiers system.xml lan.xml wan.xml ftth.xml , 2 minute apres ils sont plus la ? !
-
Hello,
Bon idem, j'ai bypass avec un petit ERL3 :)
Internet Ok (easy peasy).
Le replay passe bien ...
J'arrive cependant pas à récupérer les flux multicast avec la box TV (api ? vlan ?)
@falcon14141 (https://lafibre.info/profile/falcon14141/) tu as fais ton bypass avec la STB7 ?
Pour ma part, j'ai l'impression qu'il faut que je mette en place un truc sur l'api tv.getInfo (http://192.168.1.1/api/1.0/?method=tv.getInfo) :
<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<tv infra="ftth/routed" lanchain="((AA:BB:CC:DD:EE:FF)lan1)" netchain=""/>
<igmps>
<igmp group="233.136.0.205" ether="MAC_BROADCAST?" ipaddr="adresse_de_la_stb" />
</igmps>
</rsp>
Le seul truc qui "marche", c'est quand je démarre un flux avec la box en mode "michu" (subscription sur un multicast sans bypass), puis que je branche l'ERL avec la STB sans BOX.
A ce moment, les flux sont toujours envoyés du réseau et passe bien au travers du ERL (firewall OK). Je peux même zapper de chaine.
Au bout d'un certain timeout, le réseau n'envoie plus rien et là zou, je ne peux pas "relancer" la demande de flux ... =/
Pour finir, je pense que ma conf. IGMP semble OK ...
Any ideas guys ?
-
Edit : desolé erreur de ma part ne pas tenir compte de ce que j'avais posté c'etait pour la miami box
-
@tivoli, wait a min.
Tu es en LoadBalancing entre BYT et SFR-NC, non ?
Quand tu dis que c'est OK pour toi pour la TV tu parles sur la MIAMI (donc BYT), non ?
J'ai regardé rapido ta conf, mais tu ne sembles pas être en FTTH SFR, am I right ?
-
Desole je vire mon poste tu as raison, je pensais etre dans la section BYT
-
Néanmoins, je sais que tu as fais un truc sympa avec les vlan :)
Je te pinguerais peut-être pour en savoir plus, j'aimerais éviter que le multicast se retrouve sur tout mon réseau (j'aime pas trop les tempêtes de broadcast) ...
-
Bonjour, Je suis bloquez sur la 2eme etape, je suis sur FW version 1.10.1 (ERL3) :
Se connecter en SSH a l'ERL et modifier le fichier suivant : /etc/lighttpd/lighttpd.conf en ajoutant les lignes entre Add line (3 en tout)
lighttpd.conf (partie modifié) :
Voici mon lighttpd.conf :
server.modules = (
"mod_access",
"mod_alias",
"mod_redirect",
"mod_fastcgi",
"mod_rewrite",
"mod_websocket",
)
server.document-root = "/var/www/htdocs"
server.upload-dirs = ( "/tmp" )
server.errorlog = "/var/log/lighttpd/error.log"
server.pid-file = "/var/run/lighttpd.pid"
server.username = "www-data"
server.groupname = "www-data"
server.tag = "Server"
index-file.names = ( "index.php", "index.html",
"index.htm", "default.htm",
" index.lighttpd.html" )
url.access-deny = ( "~", ".inc" )
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi", ".py" )
server.dir-listing = "disable"
include "mime.conf"
include "conf-enabled/10-ssl.conf"
include "conf-enabled/15-fastcgi-python.conf"
websocket.server = (
"/ws/stats" => ( "host" => "/tmp/ubnt.socket.statsd",
"port" => "1" ),
"/ws/cli" => ( "host" => "/tmp/ubnt.socket.cli",
"port" => "1",
"type" => "bin" )
Voici le lighttpd.conf dans le guide :
url.rewrite-once = (
# Add line
"^(/api/1.0/.*)" => "$0",
# Add line
"^(/(lib|media|ws|tests)/.*)" => "$0",
"^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)
$HTTP["scheme"] == "http" {
$HTTP["url"] !~ "^/index.php/error/" {
# Add line
$HTTP["url"] !~ "^/api/" {
# Add line
$HTTP["host"] =~ "^(.*)$" {
url.redirect = (
"^(.*)$" => "https://%1$1"
)
}
# Add line
}
# Add line
}
}
Comment je dois faire ?
-
Bonjour,
est-ce que ce tuto fonctionne toujours ? J'ai bien réussi à faire fonctionner la partie internet (merci au passage pour ce tuto :) ), mais la TV et Téléphone je n'y arrive pas, je possède également la dernière version de l'ERL 1.10.8, d'après ce que j'ai compris PHP n'est plus supporté sur l'ERL depuis quelques versions déjà, du coup est-ce que mon problème vient de là ? ou rien à voir ? quelle est la partie du tuto qui gère la TV ? la partie IGMP ? faut-il faire quelque chose de plus à ce niveau là ?
Si une personne a réussi à faire fonctionner l'ensemble des services (Internet/TV/Replay/Téléphone) avec une version récente de l'ERL 1.10.x, pourrait-elle avoir la gentillesse de nous décrire les étapes à suivre pour faire fonctionner tout ceci ? Si cela nécessite beaucoup de travail, au moins nous expliquer les grandes lignes ? Je continue de chercher en attendant de mon côté, si je trouve quelque chose je ne manquerais pas de partager mes trouvailles, parce que visiblement je ne suis pas le seul à être coincé à l'étape TV/Replay, et ça permettrait de mettre ce tuto à jour.
un grand merci d'avance.
-
Je viens de constater que le Replay fonctionne :) par contre la TV et la VOD ne fonctionnent pas...
quelqu'un a une idée ?
-
bon, je tourne en rond... vraiment personne pour m'aider ? même un peu ? :'(
-
Ici ça fonctionne même sans l'option TV!
Si tu lances VLC sur rtp://233.49.82.70:7500 , est-ce que tu vois quelque chose? Si oui, l'IGMP fonctionne, si non... c'est par là qu'il faut commencer.
-
Salut,
tout d'abord merci de m'aider :) ça fait toujours plaisir.
je viens de tester ton lien avec VLC et ça fonctionne parfaitement, j'ai l'image et le son, et ça fait déjà plus de 5 minutes que ça tourne, à ton avis où est-ce que ça coince ?
-
C'est la configuration du décodeur TV qui ne se fait pas
En partant du principe que tu as suivis le tutoriel, est-ce que ces URLs fonctionnent?
http://192.168.1.1/api/1.0/?method=system.getInfo
http://192.168.1.1/api/1.0/?method=ftth.getInfo
http://192.168.1.1/api/1.0/?method=wan.getInfo
http://192.168.1.1/api/1.0/?method=lan.getHostsList
-
j'ai effectivement suivi ce tuto à la lettre, mais comme je le précisais dans un précédent message, l'utilisation de PHP a été retirée des versions récentes de l'ERL, tu es en quelle version sur ton ERL ? moi je suis en version 1.10.9 (la dernière en date), et de mémoire c'est depuis la version 1.9.7 que PHP n'est plus supporté, voir ici :
https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-9-7/ba-p/2002586
en bas de page, c'est écrit en rouge :
[WebGUI] Remove PHP and rewrite web backend to Python.
Warning !!! if you use some 3rd party software that depends on PHP then you will need to install PHP manually because PHP will not be included in EdgeRouter firmware anymore.
du coup PHP n'est pas interprété, à moins d'installer PHP manuellement sur l'ERL, est-ce que tu l'as installé manuellement ou tu utilises une version antérieure à la 1.9.7 (qui incluait encore PHP) ?
Merci encore de ton aide ;)
-
concernant PHP, je parle de cette étape :
https://lafibre.info/remplacer-sfr/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax-en-5mn-pour-les-barbus/msg169167/#msg169167
à l'endroit où il faut modifier la configuration de lighttpd.conf, on voit qu'il y a des appels PHP.
En définitive, mon problème viendrait sans doute de la configuration de lighttpd.conf, qui n'est plus tout à fait la même depuis la mise à jour de l'ERL, qu'en penses-tu ?
-
Oui. Le plus simple c'est de re-diriger toutes les requêtes qui vont sur /api/1.0/ vers la box (pas besoin de PHP)
-
je pense avoir compris, mais je voudrais en être sûr avant de me lancer, en gros il faut rediriger ce lien (et les autres) :
http://192.168.1.1/api/1.0/?method=system.getInfo (avec IP de l'ERL)
vers :
http://192.168.1.x/api/1.0/?method=system.getInfo (avec IP de la Box SFR)
c'est bien ça ?
et il faut détecter "/api/1.0/" pour générer une redirection ? j'avoue que je ne connais pas bien lighttpd, je vais me renseigner, si jamais de ton côté tu as plus d'info je suis preneur, tu m'as déjà bien aiguillé :)
-
$HTTP["scheme"] == "http" {
$HTTP["url"] !~ "^/api/" {
url.redirect = (
"^(.*)$" => "https://192.168.1.x$1"
)
}
}
(pas testé)
-
j'ai testé mais ça ne semble pas fonctionner, j'ai ajouté ton code à la fin du fichier de config lighttpd.conf, et je redémarré lighttpd pour que la nouvelle config soit prise en compte, mais malheureusement j'ai toujours une erreur 404 :
Error: 404 Not Found
Sorry, the requested URL 'https://192.168.1.1/api/1.0/?method=ftth.getInfo' caused an error:
Not found: '/api/1.0/'
est-ce que j'ai loupé une étape ? je sens que je ne suis plus très loin de faire fonctionner le tout, il doit pas manquer grand chose :)
Je continue de chercher, si entre temps tu as une idée, je suis preneur.
Merci !!!
-
salut,
aurais-tu d'autres idées ou pistes ? sniff.. :-\
ce que je ne comprends pas, c'est comment on peut rediriger d'un lien de ce type :
http://192.168.1.1/api/1.0/?method=system.getInfo
vers ce chemin sur le routeur ERL :
/var/www/htdocs/api/1.0/system.xml
??
parce que la box SFR doit pouvoir lire le fichier xml, mais je vois pas comment on peut faire juste avec une simple redirection dans lighttpd ? bref, j'ai pas tout compris... :(
on voit ici que ce mappage est réalisé à l'aide de PHP :
https://lafibre.info/remplacer-sfr/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax-en-5mn-pour-les-barbus/msg169167/#msg169167
-
Il faut voir avec url.rewrite.
Un truc du genre :
$HTTP["scheme"] == "http" {
$HTTP["url"] !~ "^/api/1.0" {
url.rewrite = ( "^/?method=(.*)$" => "/$1.xml")
}
}
-
ok, merci, j'ai testé et pas mieux, par contre je viens de remarquer un truc bizarre, j'ai beau appeler les URLs à partir de HTTP, c'est automatiquement reconverti en HTTPS, le problème ne viendrait pas de là par hasard ? j'ai essayé de désactiver la ligne :
include "conf-enabled/10-ssl.conf"
mais la redirection vers HTTPS se fait toujours (pourtant je relance systématiquement lighttpd après chaque modif pour que ce soit pris en compte).
-
Si j'avais eu un problème semblable, j'avais ajouté une directive pour que l'url api ne soit pas redirigé vers https.
L'autre souci, était que 10-ssl était écrasé au redémarrage
-
ah d'une certaine manière ça me "rassure" parce que je tourne en rond là :)
tu n'as plus ton fichier de config sous le coude j'imagine ?
-
hello,
tu saurais me dire comment mettre cette directive en place ? il faut toujours agir dans le fichier lighttpd.conf ou alors il faudra également modifier le fichier 10-ssl.conf ?
-
Fallait pttre aussi regarder sur le mod_rewrite était activé.
C'est quoi le contenu du 10-ssl ?
-
le contenu du fichier lighttpd.conf (j'ai mis ton code tout à la fin, est-ce que ça joue ? y a un ordre à respecter ?) :
server.modules = (
"mod_access",
"mod_alias",
"mod_redirect",
"mod_fastcgi",
"mod_rewrite",
"mod_websocket",
)
server.document-root = "/var/www/htdocs"
server.upload-dirs = ( "/tmp" )
server.errorlog = "/var/log/lighttpd/error.log"
server.pid-file = "/var/run/lighttpd.pid"
server.username = "www-data"
server.groupname = "www-data"
server.tag = "Server"
index-file.names = ( "index.php", "index.html",
"index.htm", "default.htm",
" index.lighttpd.html" )
url.access-deny = ( "~", ".inc" )
static-file.exclude-extensions = ( ".php", ".pl", ".fcgi", ".py" )
server.dir-listing = "disable"
include "mime.conf"
include "conf-enabled/10-ssl.conf"
include "conf-enabled/15-fastcgi-python.conf"
websocket.server = (
"/ws/stats" => ( "host" => "/tmp/ubnt.socket.statsd",
"port" => "1" ),
"/ws/cli" => ( "host" => "/tmp/ubnt.socket.cli",
"port" => "1",
"type" => "bin" )
)
$HTTP["scheme"] == "http" {
$HTTP["url"] !~ "^/api/1.0" {
url.rewrite = ( "^/?method=(.*)$" => "/$1.xml")
}
}
le contenu du fichier 10-ssl (c'est celui par défaut, j'ai rien touché dedans) :
# /usr/share/doc/lighttpd-doc/ssl.txt
#
# Do not edit, auto generated by ubnt-gen-lighty-conf.sh
server.port = 80
$SERVER["socket"] == "0.0.0.0:443" {
ssl.engine = "enable"
ssl.use-sslv3 = "disable"
ssl.pemfile = "/etc/lighttpd/server.pem"
ssl.dh-file = "/etc/lighttpd/dhparam.pem"
ssl.cipher-list = "ECDSA aRSA+HIGH !3DES +kEDH +kRSA !kSRP !kPSK !NULL !RC4"
}
$SERVER["socket"] == "[0::0]:80" { }
$SERVER["socket"] == "[0::0]:443" {
ssl.engine = "enable"
ssl.use-sslv3 = "disable"
ssl.pemfile = "/etc/lighttpd/server.pem"
ssl.dh-file = "/etc/lighttpd/dhparam.pem"
ssl.cipher-list = "ECDSA aRSA+HIGH !3DES +kEDH +kRSA !kSRP !kPSK !NULL !RC4"
}
$HTTP["scheme"] == "http" {
# IPv4 redirect
$HTTP["host"] !~ "\[.*\]" {
$HTTP["host"] =~ "^([^\:]+)(\:.*)?$" {
url.redirect = (
"^(.*)$" => "https://%1:443$1"
)
}
}
# IPv6 redirect
$HTTP["host"] =~ "\[.*\]" {
$HTTP["host"] =~ "^([^]]+)(.)(\:.*)?$" {
url.redirect = (
"^(.*)$" => "https://%1%2:443$1"
)
}
}
}
Sinon, où est-ce qu'on active le mod_rewrite ?
-
d'après mes recherches, le simple fait d'écrire le bloc ci-dessous active le mod_rewrite, il n'y a pas d'autres actions à effectuer, tu confirmes ?
server.modules = (
"mod_access",
"mod_alias",
"mod_redirect",
"mod_fastcgi",
"mod_rewrite",
"mod_websocket",
)
-
Le mod_rewrite est activé :
server.modules = (
"mod_access",
"mod_alias",
"mod_redirect",
"mod_fastcgi",
"mod_rewrite",
"mod_websocket",
)
En suite, il faut modifier la partie ipv4 du bloc ci-dessous, avec un truc comme ça :
$HTTP["scheme"] == "http" {
# IPv4 redirect
$HTTP["url"] !~ "^/api/1.0" {
url.rewrite = ( "^/?method=(.*)$" => "/$1.xml")
}
$HTTP["host"] !~ "\[.*\]" {
$HTTP["host"] =~ "^([^\:]+)(\:.*)?$" {
url.redirect = (
"^(.*)$" => "https://%1:443$1"
)
}
}
# IPv6 redirect
$HTTP["host"] =~ "\[.*\]" {
$HTTP["host"] =~ "^([^]]+)(.)(\:.*)?$" {
url.redirect = (
"^(.*)$" => "https://%1%2:443$1"
)
}
}
}
Mais ça ne marchera plus après un redémarrage, puisque :
# Do not edit, auto generated by ubnt-gen-lighty-conf.sh
-
je viens de faire la modif, mais maintenant lorsque je redémarre lighttpd, j'ai ce message d'erreur :
Duplicate config variable in conditional 5 global/HTTPscheme==http/HTTPurl!~^/api/1.0: url.rewrite
2019-04-03 10:12:44: (configfile.c.957) source: /etc/lighttpd/lighttpd.conf line: 43 pos: 5 parser failed somehow near here: (EOL)
en effet, c'est presque un doublon ce qu'on vient de faire, puisqu'on s'appuie sur "/api/1.0" des 2 côtés (10-ssl.conf et lighttpd.conf) pour lui faire faire 2 choses différentes, je pense qu'on s'approche du but malgré tout :)
-
en fait je viens de comprendre ce que tu viens de faire, au lieu de modifier le lighttpd.conf, il ne faut modifier que le 10-ssl.conf (et pas les 2 fichiers comme j'avais fait), je viens de refaire la modif (en ne conservant que la modif du 10-ssl.conf), maintenant lighttpd redémarre sans souci, mais par contre il me sort toujours une URL en HTTPS.... :-\ et ça ne fonctionne pas du coup...
-
1. Attention au cache du navigateur.
2. Pense à activer le debug
3. Ce qu'on a fait est d'indiquer le rewrite des url du type /api/1.0 vers xml, pour le reste c'est normal d'avoir une redir https.
4. Il faut s'assurer qu'on ne redirige pas d'abord vers le fichier xml puis vers https (e.g priority des règles et voir avec url.rewrite-once si ça fait le job)
Ou bien il faut ajouter une condition à la redir https
5. il faut remplacer !~ par =~ dans $HTTP["url"] !~ "^/api/1.0" {6. Si ce n'est pas suffisant, il faut voir avec la variable $HTTP["querystring"]
-
merci encore pour ton aide, c'est vraiment chouette de ta part :)
alors j'ai beau tout essayer, quand ça ne veut pas, ça ne veut pas... par contre j'ai avancé un peu malgré tout, je viens de me rendre compte que quoique je mette dans le répertoire :
/var/www/htdocs/api/1.0/...même un pauvre fichier test.html, ça me donne une 404 (file not found), du coup il faut déjà que ce truc simple fonctionne avant de pouvoir faire des redirections ou de la réécriture...
le seul endroit où je peux faire fonctionner mes fichiers de test c'est à cet emplacement :
/var/www/htdocs/media/...mon même fichier test.html est bien interprété.
Conclusion, pourquoi est-ce que les fichiers se trouvant dans api/1.0/ retournent une 404 ? pourtant dans le fichier lighttpd.conf on a bien ça :
server.document-root = "/var/www/htdocs"c'est pas logique tout ça...
ça me rend complètement dingo ce truc ???
-
Regardes ton /etc/lighttpd/conf-enabled/15-fastcgi-python.conf
$HTTP["url"] =~ "^/(?!lib|media|ws|tests)" {
fastcgi.debug = 0
fastcgi.server = (
"/" => (
"python-fcgi" => (
"check-local" => "disable",
"bin-path" => var.gui.bin + var.gui.flags + var.gui.debugflag,
"socket" => "/var/run/ubnt-rtr-ui/fastcgi.gui.socket",
"fix-root-scriptname" => "enable",
"max-procs" => 1
)
)
)
}
Il faut soit exclure "api" du fastcgi soit faire la re-ecriture avant dans la config.
-
Effectivement, j'avais oublié ce fichier.
$HTTP["url"] !~ "^(/api/1.0/.*)" {
$HTTP["url"] =~ "^/(?!lib|media|ws|tests)" {
fastcgi.debug = 0
fastcgi.server = (
"/" => (
"python-fcgi" => (
"check-local" => "disable",
"bin-path" => var.gui.bin + var.gui.flags + var.gui.debugflag,
"socket" => "/var/run/ubnt-rtr-ui/fastcgi.gui.socket",
"fix-root-scriptname" => "enable",
"max-procs" => 1
)
)
)
}
}et ajout du url.rewrite-once en dessous.
url.rewrite-once = ( "^/api/1.0/\?method=(.*)$" => "/api/1.0/$1.xml")
Il reste à ajouter des xml dans le dossier /api/1.0/.
Enfin pour être sur que la redirection https ne s'effectue pas, tu peux aussi l’imbriquer dans $HTTP["url"] !~ "^(/api/1.0/.*)" {
}
Après, il va falloir nettoyer la config :)
-
Coucou,
merci pour votre aide à tous les 2 :) alors ça ne marche toujours pas la TV, mais y a du mieux, maintenant j'accède bien à ces 4 fichiers et j'arrive à voir leur contenu XML :
http://192.168.1.1/api/1.0/?method=system.getInfo
http://192.168.1.1/api/1.0/?method=ftth.getInfo
http://192.168.1.1/api/1.0/?method=wan.getInfo
http://192.168.1.1/api/1.0/?method=lan.getHostsList
ce qui ne marchait pas jusqu'à présent, donc une vraie avancée !! :)
je vous fais un résumé de ce que j'ai fait pour en arriver à ce stade :
- j'ai supprimé toutes mes modifs des fichiers lighttpd.conf et 10-ssl.conf pour revenir aux fichiers d'origines
- en définitive je n'ai modifié que le fichier 15-fastcgi-python.conf en rajoutant la première et la dernière ligne :
$HTTP["url"] !~ "^(/api/1.0/.*)" {
$HTTP["url"] =~ "^/(?!lib|media|ws|tests)" {
fastcgi.debug = 0
fastcgi.server = (
"/" => (
"python-fcgi" => (
"check-local" => "disable",
"bin-path" => var.gui.bin + var.gui.flags + var.gui.debugflag,
"socket" => "/var/run/ubnt-rtr-ui/fastcgi.gui.socket",
"fix-root-scriptname" => "enable",
"max-procs" => 1
)
)
)
}
}
url.rewrite-once = ( "^/api/1.0/\?method=(.*)$" => "/api/1.0/$1.xml")
- dans mon repértoire /api/1.0/ j'ai dû renommer mes fichiers xml comme suit :
ftth.xml -> ftth.getInfo.xml
system.xml -> system.getInfo.xml
wan.xml -> wan.getInfo.xml
lan.xml -> lan.getHostsList.xml
si je ne faisais pas ça, ça me sortait une erreur 404 (file not found), je pense que ça vient de la règle de réécriture qui n'est pas parfaite.
Donc voilà, où j'en suis, mais malheureusement toujours pas de TV :/ qu'est ce que j'ai loupé comme étape ? le point positif c'est que je ne suis plus loin du but grâce à vous :) Si vous avez d'autres idées je suis preneur, merci encore !!
-
je viens de remarquer que la redirection se fait toujours sur le HTTPS, en gros j'arrive bien à voir le contenu de mes fichiers XML, mais avec des URL en HTTPS, exemple :
https://192.168.1.1/api/1.0/?method=system.getInfo >> je vois bien le contenu XML
en gros il faudrait empêcher cette redirection de HTTP vers HTTPS, je pense que c'est le dernier truc qui cloche, on va y arriver :P
-
Attention au cache, les navigateurs peuvent vouloir forcer le https si ça a marché.
Enfin pour être sur que la redirection https ne s'effectue pas, tu peux aussi l’imbriquer dans $HTTP["url"] !~ "^(/api/1.0/.*)" {
}
Mais ça ne sera pas la solution, puisqu'au 1er redémarrage, ça ne marchera pas (fichier écrasé).
-
Mais ça ne sera pas la solution, puisqu'au 1er redémarrage, ça ne marchera pas (fichier écrasé).
C'est pas un problème ça: tu peux mettre un script dans /config/scripts/post-config.d/ qui fait la modification après tous les commits/boots.
-
de toute façon, je pense que c'est un faux problème, lorsque je redémarre l'ERL les fichiers ne sont pas écrasés, toutes mes modifs restent en place, donc ce n'est pas un souci, je pense que les fichiers sont écrasés uniquement lorsqu'on fait une mise à jour de firmware.
concernant le https, j'ai déjà fait ta 2ème recommandation mais ça ne fait rien de spéciale si ce n'est que maintenant j'ai une erreur 404 quand j'appelle les fichiers XML, ce qui semble normale puisque les fichiers XML n'existent "plus" en https à cause de la réécriture, puisqu'ils sont accessibles qu'en HTTP, mais comme l'url est automatiquement convertie en HTTPS alors ça cause le souci. Finalement pour résoudre tout ça, il faut simplement empêcher cette redirection auto de http vers https, je suis quasi sûr que le problème vient de là. C'est le dernier truc à corriger.
-
# cat /etc/lighttpd/conf-enabled/10-ssl.conf
# /usr/share/doc/lighttpd-doc/ssl.txt
#
# Do not edit, auto generated by ubnt-gen-lighty-conf.sh
server.port = 80
$SERVER["socket"] == "0.0.0.0:443" {
ssl.engine = "enable"
ssl.use-sslv3 = "disable"
ssl.pemfile = "/etc/lighttpd/server.pem"
ssl.dh-file = "/etc/lighttpd/dhparam.pem"
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM"
}
$SERVER["socket"] == "[0::0]:80" { }
$SERVER["socket"] == "[0::0]:443" {
ssl.engine = "enable"
ssl.use-sslv3 = "disable"
ssl.pemfile = "/etc/lighttpd/server.pem"
ssl.dh-file = "/etc/lighttpd/dhparam.pem"
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM"
}
$HTTP["scheme"] == "http" {
$HTTP["url"] =~ "^(/api/1.0/.*)" {
url.rewrite-once = ( "/?method=(.*)$" => "/api/1.0/$1.xml")
} else $HTTP["scheme"] == "http" { # IPv4 redirect
$HTTP["host"] !~ "\[.*\]" {
$HTTP["host"] =~ "^([^\:]+)(\:.*)?$" {
url.redirect = (
"^(.*)$" => "https://%1:443$1"
)
}
}
# IPv6 redirect
$HTTP["host"] =~ "\[.*\]" {
$HTTP["host"] =~ "^([^]]+)(.)(\:.*)?$" {
url.redirect = (
"^(.*)$" => "https://%1%2:443$1"
)
}
}
}
}
# cat /etc/lighttpd/conf-enabled/15-fastcgi-python.conf
var.gui.bin = "/var/www/python/gui.py"
var.gui.flags = ""
# debugflag should be empty or " -d"
var.gui.debugflag = ""
$HTTP["url"] =~ "^/(?!lib|media|ws|tests|api/1.0)" {
fastcgi.debug = 0
fastcgi.server = (
"/" => (
"python-fcgi" => (
"check-local" => "disable",
"bin-path" => var.gui.bin + var.gui.flags + var.gui.debugflag,
"socket" => "/var/run/ubnt-rtr-ui/fastcgi.gui.socket",
"fix-root-scriptname" => "enable",
"max-procs" => 1
)
)
)
}
kill -USR1 `pidof lighttpd`
-
:'( :'( :'( :'(
j'ai tout fait comme sur tes 2 fichiers, mais quand je relance lighttpd j'ai cette erreur :
sudo /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf
2019-04-05 15:50:31: (configfile.c.957) source: /etc/lighttpd/conf-enabled/10-ssl.conf line: 29 pos: 5 parser failed somehow near here: {
2019-04-05 15:50:31: (configfile.c.957) source: /etc/lighttpd/lighttpd.conf line: 30 pos: 8 parser failed somehow near here: (EOL)
-
pour info, j'ai mis en gras la ligne correspondant à l'erreur :
2019-04-05 15:50:31: (configfile.c.957) source: /etc/lighttpd/conf-enabled/10-ssl.conf line: 29 pos: 5 parser failed somehow near here: {} else { # IPv4 redirect
$HTTP["host"] !~ "\[.*\]" {
$HTTP["host"] =~ "^([^\:]+)(\:.*)?$" {
2019-04-05 15:50:31: (configfile.c.957) source: /etc/lighttpd/lighttpd.conf line: 30 pos: 8 parser failed somehow near here: (EOL)include "mime.conf"
include "conf-enabled/10-ssl.conf"
include "conf-enabled/15-fastcgi-python.conf"
websocket.server = (
"/ws/stats" => ( "host" => "/tmp/ubnt.socket.statsd",
-
sudo /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf -p
-
sudo /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf -p
2019-04-05 16:09:42: (configfile.c.957) source: /etc/lighttpd/conf-enabled/10-ssl.conf line: 29 pos: 5 parser failed somehow near here: {
2019-04-05 16:09:42: (configfile.c.957) source: /etc/lighttpd/lighttpd.conf line: 30 pos: 8 parser failed somehow near here: (EOL)
-
Les else existent réellement ?
J'en ai jamais vu dans les exemples du net ...
-
Les else existent réellement ?
https://redmine.lighttpd.net/projects/1/wiki/docs_configuration#Conditional-Configuration
chezmoicamarche(TM) mais je suis avec lighttpd/1.4.49 (edgerouter v2.0.1)
-
Mea ...
Je me referais justement à cette doc, j'ai sans doute lu trop vite ...
-
pour info ma version de lighttpd :
sudo lighttpd -v
lighttpd/1.4.35 (ssl) - a light and fast webserver
Build-Date: Feb 13 2019 17:17:05
-
donc c'est bien le }else{ qui ne passe pas... j'ai mis à jour
https://lafibre.info/remplacer-sfr/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax-en-5mn-pour-les-barbus/msg640115/#msg640115
-
j'ai mis à jour, lighttpd démarre cette fois, par contre toujours redirection vers HTTPS....
sinon, tu viens de dire que le }else{ ne passe pas, pourtant je le vois toujours dans ton code que tu viens de modifier, faut le garder ou le supprimer ? pas bien saisi là :)
-
question, si je passe mon routeur en 2.0.1 comme toi, je pourrais mettre les mêmes fichiers que toi et ça devrait fonctionner tout de suite ? au pire je fais ça, t'en penses quoi ?
-
sinon, tu viens de dire que le }else{ ne passe pas, pourtant je le vois toujours dans ton code que tu viens de modifier, faut le garder ou le supprimer ? pas bien saisi là :)
En fait le } else { ne passe pas, mais le } else <condition> { passerrait, cf. le lien de la doc (https://redmine.lighttpd.net/projects/1/wiki/docs_configuration#Conditional-Configuration)
<field> <operator> <value> {
...
<field> <operator> <value> {
... nesting: match only when parent match
}
}
else <field> <operator> <value> {
... the "else if" block
}
else { # (since 1.4.46)
... the "else" block
}
-
ah ok, bien vu la subtilité :)
en tout cas comme je l'ai dit, lighttpd démarre mais j'ai toujours cette satanée redirection vers HTTPS.... grrrrr
tu es en quelle version d'ERL Kazyor ?
-
Mon ERL n'est plus en service.
Pour vérifier si la redir en https est véritablement effective, pense à tester avec un autre navigateur ou via un wget/curl.
J'avais des problèmes car la navigateur "mémorisait" et redirigeait lui même automatiquement en https.
-
oui, oui je sais bien que les caches de navigateurs jouent souvent des tours, généralement je purge tout, et parfois même je passe par un autre navigateur avec lequel je ne suis jamais allé pour être 100% sûr d'avoir une page "fraîche". Mais tu fais bien d'insister la dessus, on s'est tous déjà fait avoir au moins une fois avec ça :)
@nextgens
j'ai craqué :) je suis passé en 2.0.1 comme toi :) tu pourrais avoir la gentillesse de m'envoyer tes fichiers de configs liés à lighttpd ? en supprimant le cas échéant les infos sensibles bien évidemment, inutile pour les fichiers XML, je suis sûr qu'ils sont bons les miens.
un graaand meeeerci !! :)
-
J'ai remis https://lafibre.info/index.php?topic=14272.msg640115#msg640115 à jour avec une config qui marche chez moi
-
bon...
avant de me lancer, j'ai renommé mes 2 fichiers de configuration (10-ssl.conf et 15-fastcgi-python.conf) pour ne pas les écraser, et j'ai pris les tiens tel quel à la lettre, pour être sûr d'être comme toi. Résultat j'arrive bien à voir le contenu de mes fichiers XML (la réécriture d'url fonctionne bien), en plus il n'y a plus de redirection vers HTTPS donc c'est plutôt une bonne chose, je n'étais jamais allé aussi loin auparavant, par contre j'ai 2 soucis :
- je n'ai toujours pas la TV sur ma box SFR... grrrrrr
- je n'arrive plus à me connecter à mon interface de gestion de l'ERL...
es-tu sûr qu'il n'y a que ça à modifier (les 2 fichiers de conf-enabled uniquement ) ? pour rappel ma configuration IGMP fonctionne bien puisque j'arrive à lire les chaînes en utilisant les liens rtp://......
pour résumer :
- internet fonctionne
- le Replay TV fonctionne
- les chaînes lues via rtp://.... avec VLC fonctionnent
- la TV classique ne fonctionne pas
- la téléphonie pas encore testé (mais je m'en fiche de ça)
-
HA. Moi non plus maintenant, la page de login s'affiche mais après ca ne fonctionne plus ::)
J'ai mis à jour 15-fastcgi-python.conf
-
ok, cool, un problème de réglé, un ! j'accède de nouveau à mon ERL :-* merci
par contre toujours pas de TV ;D ;D ;D
dingo ce truc, ça me rend fou :)
-
tu pourrais redémarrer ton ERL par acquis de conscience ? ça se trouve ça ne fonctionnera plus chez toi après un redémarrage ? c'est quand même bizarre d'avoir exactement la même config toi et moi et que ça ne fonctionne pas chez moi. J'ai dû louper un truc quelque part, c'est pas possible autrement !
-
Victoire !!
finalement ça fonctionne la TV fonctionne !!! :)
alors, la solution n'était pas aussi simple qu'on pouvait l'imaginer, j'ai analysé les requêtes réseaux (merci à nextgens qui m'a mis sur la piste), en fait je me suis rendu compte qu'il manquait 2 autres fichiers XML, tv et usb, en définitive il y a 6 fichiers à récupérer et non 4 comme indiqué en début de tuto, les voici au complet :
http://192.168.1.1/api/1.0/?method=system.getInfo
http://192.168.1.1/api/1.0/?method=ftth.getInfo
http://192.168.1.1/api/1.0/?method=wan.getInfo
http://192.168.1.1/api/1.0/?method=lan.getHostsList
http://192.168.1.1/api/1.0/?method=tv.getHostsList
http://192.168.1.1/api/1.0/?method=usb.getHostsList
dès que j'ai rajouté ces 2 fichiers manquants ça a tout de suite fonctionné !! :)
Je résume pour les prochains qui galèrent comme moi :)
avec un Firmware de l'ERL en version 2.0.1, il faut simplement modifier ces 2 fichiers :
- 10-ssl.conf
- 15-fastcgi-python.conf
ils se trouvent ici :
/etc/lighttpd/conf-enabled
leur contenu doit être identique à ce qui est indiqué ici :
https://lafibre.info/index.php?topic=14272.msg640115#msg640115
ensuite, il faut récupérer ces 6 fichiers XML à partir de la box SFR comme indiqué au début du tuto (page 1), et les mettre à cet emplacement :
/var/www/htdocs/api/1.0/system.getInfo.xml
/var/www/htdocs/api/1.0/ftth.getInfo.xml
/var/www/htdocs/api/1.0/wan.getInfo.xml
/var/www/htdocs/api/1.0/lan.getHostsList.xml
/var/www/htdocs/api/1.0/tv.getHostsList.xml
/var/www/htdocs/api/1.0/usb.getHostsList.xml
maintenant, il ne reste plus qu'à redémarrer lighttpd grâce à ces 2 commandes :
sudo kill -SIGINT $(cat /var/run/lighttpd.pid) -> permet d'arrêter lighttpd proprement
sudo /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf -> démarre lighttpd en utilisant le fichier de config par défaut
vous pouvez aussi carrèment redémarrer votre ERL, mais il faut savoir qu'à chaque redémarrage complet de l'ERL le contenu du fichier 10-ssl.conf est réinitialisé, il faudra donc remodifier ce dernier sinon ça ne fonctionnera pas.
Enfin, il faut redémarrer la box SFR, je conseille de carrément débrancher/rebrancher l'alimentation, et voila c'est fini, la TV devrait fonctionner.
Quelques conseils avant de vous lancer :
- faites une sauvegarde du répertoire /etc/lighttpd/conf-enabled ça permettra de revenir facilement en arrière en cas de souci.
- sauvegardez vos 6 fichiers XML une fois que tout fonctionne, le plus simple est de copier tout le répertoire /var/www/htdocs/api.
- en cas de mise à jour du firmware de l'ERL tous les fichiers XML seront supprimés et les fichiers de config seront réinitialisés, d'où l'intérêt de les sauvegarder.
- pensez à bien nommer vos fichiers XML, dans le tuto c'est indiqué system.xml, wan.xml, etc. mais j'ai dû les nommer system.getInfo.xml, wan.getInfo.xml, etc.
- armez vous de beaucoup de patience :)
voila je pense que je n'ai rien oublié, sinon il suffit de me le dire je compléterais :)
un très grand merci à kazyor et nextgens pour leur aide et surtout leur patience, sans eux je n'y serais clairement pas arrivé !! mille mercis !!
Merci également aux personnes qui travaillent dans l'ombre sur ce forum !
-
vous pouvez aussi carrèment redémarrer votre ERL, mais il faut savoir qu'à chaque redémarrage complet de l'ERL le contenu du fichier 10-ssl.conf est réinitialisé, il faudra donc remodifier ce dernier sinon ça ne fonctionnera pas.
Ou modifier /etc/lighttpd/lighttpd.conf de telle manière à appeler un fichier 11-ssl.conf qui contient les modifications et qui ne sera donc pas écrasé.
-
Bonjour,
J'ai reçu mon ER12.
J'ai suivie la config.
PORT 0 : LAN LOCAL (en 192.168.1.x)
PORT 1 : WAN
PORT 2 : Management (en 192.168.2.x)
J'aimerai pourvoir utiliser les 7 ports suivant, hors quand je configure via l'interface graphique le port en "USE DHCP" ça ne fonctionne pas si je branche un équipement dessus ... Le DHCP n'attribue rien.
-
Tu es en quel firmware ? j'ai eu le même soucis sur un ER-6P en v1.10
-
Perso j'aurais plutôt utilisé les ports 0 à 7 pour le LAN, 8 pour le WAN et 9 pour le management, car les ports 8 et 9 sont en dehors du switch intégré...
-
J'ai mis la dernière.
EdgeRouter 12 v2.0.8-hotfix.1
-
Perso j'aurais plutôt utilisé les ports 0 à 7 pour le LAN, 8 pour le WAN et 9 pour le management, car les ports 8 et 9 sont en dehors du switch intégré...
Oui c'est une bonne idée, la j'ai pris la configuration du tuto.
-
J'ai eu le même problème avec le même firmware, je suis passé en 1.10 ça a résolu le pb de DHCP mais ça m'a mis un autre problème "d'aucune connexion internet" sur la box TV
Si tu configure des IP à la main tu as le même problème d'adressage ?
-
Ah bah je n'ai pas de box TV... je passe par une Nvidia Shield et mycanal pour la télé.
Le downgrade ce fait via l'interface sans soucis ?
Non je n'ai pas essayer de forcer l'IP à la main.
-
Yes le downgrade se fait directement via l'interface graphique, mais fait quand même un backup de ta conf au cas où.
Pour ta TV, quand tu dis que tu passes par une Shield c'est avec des app comme molotov TV ?
-
Oui la Shield est une android TV j'ai installer l'application Mycanal, la même que tu peu avoir sur ton smartphone.
-
Pour utiliser mon ubiquiti ER12, j'ai fait un modif pour mettre le WAN sur le port 8
configure
set interfaces ethernet eth8 description WAN
set interfaces ethernet eth8 address dhcp
set interfaces ethernet eth8 dhcp-options client-option "send vendor-class-identifier "neufbox6-"adresseemail"@gmail.com";"
set service nat rule 5000 outbound-interface eth8
set service dns forwarding listen-on eth8
set interfaces ethernet eth8 firewall local name WAN_LOCAL
set interfaces ethernet eth8 firewall in name WAN_IN
commit
save
exit
Actuellement c'est l'interface eth0 qui et utiliser pour le LAN, es que pour utiliser le switch intégré de eth0 à eth7 il ne faudrait pas plutôt configurer l'interface switch0 ?
-
Oui, c’est switch0 qui doit être configuré, pas chaque port individuellement.
-
Bonjour,
Je suis un débutant, mais très patient.
À la retraite (Ex pilote), j’ai décidé d’apprendre un peu de technique, et me suis lancé sur pFsense.
Seulement, pour fonctionner de manière optimale, le modem de l’ISP doit être en mode bridge, et d’après mes recherches, la NB6VAC que j’ai, ne le permet pas.
Je suis alors tombé par pur hasard sur ce forum, et j’ai quelques questions.
Est-ce que je peux utiliser un routeur ERX-SFP à la place du modem SFR ?
Cette solution va-t-elle résoudre mon problème de mode bridge ?
Merci d.avoir pris le temps de me lire.
JJ
-
Oui, c’est switch0 qui doit être configuré, pas chaque port individuellement.
Bon j'ai tenté de modifier sur switch0 mais ça fonctionne pas il repart à chaque fois sur eth0
J'ai essayé via un reset du routeur et relancer la commande complète (voir en dessous)
Il prend même pas la commande du nom "LAN" sur le switch0
Par contre pour le WAN sur port 8 et MGMT sur port 9 pas de soucis tout fonctionne.
configure
set interfaces ethernet eth9 address 192.168.2.1/24
set interfaces ethernet eth9 description MGMT
set interfaces ethernet switch0 description LAN
set interfaces ethernet eth8 description WAN
set interfaces ethernet eth8 address dhcp
set interfaces ethernet eth8 dhcp-options client-option "send vendor-class-identifier "neufbox6-adresse mail";"
set service dhcp-server shared-network-name mgmt subnet 192.168.2.0/24 start 192.168.2.2 stop 192.168.2.10
set service dhcp-server shared-network-name lan subnet 192.168.1.0/24 start 192.168.1.2 stop 192.168.1.100
set service dhcp-server shared-network-name lan subnet 192.168.1.0/24 ntp-server 192.168.1.1
set service dhcp-server shared-network-name lan subnet 192.168.1.0/24 dns-server 192.168.1.1
set service dhcp-server shared-network-name lan subnet 192.168.1.0/24 default-router 192.168.1.1
set service nat rule 5000 type masquerade
set service nat rule 5000 description "Masquerade"
set service nat rule 5000 outbound-interface eth8
set service dns forwarding listen-on eth8
set service dns forwarding listen-on switch0
set firewall name WAN_LOCAL description "packets from internet to the router"
set firewall name WAN_LOCAL default-action drop
set firewall name WAN_LOCAL enable-default-log
set firewall name WAN_LOCAL rule 5 action accept
set firewall name WAN_LOCAL rule 5 description "Allow Multicast"
set firewall name WAN_LOCAL rule 5 destination address 224.0.0.0/4
set firewall name WAN_LOCAL rule 10 description "allow established sessions"
set firewall name WAN_LOCAL rule 10 action accept
set firewall name WAN_LOCAL rule 10 state established enable
set firewall name WAN_LOCAL rule 10 state related enable
set firewall name WAN_LOCAL rule 10 state invalid disable
set firewall name WAN_LOCAL rule 10 state new disable
set firewall name WAN_LOCAL rule 10 protocol all
set firewall name WAN_LOCAL rule 20 description "drop invalid state"
set firewall name WAN_LOCAL rule 20 action drop
set firewall name WAN_LOCAL rule 20 state established disable
set firewall name WAN_LOCAL rule 20 state related disable
set firewall name WAN_LOCAL rule 20 state invalid enable
set firewall name WAN_LOCAL rule 20 state new disable
set firewall name WAN_LOCAL rule 20 protocol all
set interfaces ethernet eth8 firewall local name WAN_LOCAL
set firewall name WAN_IN description "packets from internet to LAN & WLAN"
set firewall name WAN_IN default-action drop
set firewall name WAN_IN enable-default-log
set firewall name WAN_IN rule 5 action accept
set firewall name WAN_IN rule 5 description "Allow Multicast"
set firewall name WAN_IN rule 5 destination address 224.0.0.0/4
set firewall name WAN_IN rule 10 description "allow established sessions"
set firewall name WAN_IN rule 10 action accept
set firewall name WAN_IN rule 10 state established enable
set firewall name WAN_IN rule 10 state related enable
set firewall name WAN_IN rule 10 state invalid disable
set firewall name WAN_IN rule 10 state new disable
set firewall name WAN_IN rule 10 protocol all
set firewall name WAN_IN rule 15 action accept
set firewall name WAN_IN rule 15 description "Allow 1287/1288 for STB"
set firewall name WAN_IN rule 15 destination port 1287-1288
set firewall name WAN_IN rule 15 protocol tcp
set firewall name WAN_IN rule 15 state new enable
set firewall name WAN_IN rule 20 action accept
set firewall name WAN_IN rule 20 description "Allow UDP to Multicast"
set firewall name WAN_IN rule 20 destination address 224.0.0.0/4
set firewall name WAN_IN rule 20 protocol udp
set firewall name WAN_IN rule 20 state new enable
set firewall name WAN_IN rule 25 action accept
set firewall name WAN_IN rule 25 description "Allow ICMP"
set firewall name WAN_IN rule 25 protocol icmp
set firewall name WAN_IN rule 25 state established enable
set firewall name WAN_IN rule 25 state related enable
set firewall name WAN_IN rule 30 action accept
set firewall name WAN_IN rule 30 description "Allow IGMP"
set firewall name WAN_IN rule 30 protocol igmp
set firewall name WAN_IN rule 100 description "drop invalid state"
set firewall name WAN_IN rule 100 action drop
set firewall name WAN_IN rule 100 state established disable
set firewall name WAN_IN rule 100 state related disable
set firewall name WAN_IN rule 100 state invalid enable
set firewall name WAN_IN rule 100 state new disable
set firewall name WAN_IN rule 100 protocol all
set interfaces ethernet eth8 firewall in name WAN_IN
commit
save
exit
-
Bonjour,
Je suis un débutant, mais très patient.
À la retraite (Ex pilote), j’ai décidé d’apprendre un peu de technique, et me suis lancé sur pFsense.
Seulement, pour fonctionner de manière optimale, le modem de l’ISP doit être en mode bridge, et d’après mes recherches, la NB6VAC que j’ai, ne le permet pas.
Je suis alors tombé par pur hasard sur ce forum, et j’ai quelques questions.
Est-ce que je peux utiliser un routeur ERX-SFP à la place du modem SFR ?
Cette solution va-t-elle résoudre mon problème de mode bridge ?
Merci d.avoir pris le temps de me lire.
JJ
Oui bien sûr tu peu te passer du routeur SFR c'est ce que je viens de faire avec mon ER12. Par contre l'ONT ou la fibre arrive et repart en RJ45 sur ton routeur SFR, moi je l'ai gardé, et ça semble assez compliqué de s'en passer, et sans grand intérêt.
Pour la partie TV par contre je ne sait pas je ne m'en sert pas.
Pour la partir téléphone j'ai acheté un téléphone IP C530IP, fonctionne parfaitement.
-
Bonjour,
Merci pour le tutoriel j’utilise uniquement Internet (abonnement Red By SFR).
Pour le moment j’ai installé le WAN sur eth0 de mon ER-X-SFP directement branché sur l’ONT Altice.
Est-il possible de se passer de cette ONT et utiliser le port SFP du routeur ?
Si oui comment choisir le module SFP ?
Merci et bonne journée,
Julien
-
Bonjour,
Je suis chez RedBySFR avec un abonnement Fibre FTTH à 1 Gbps.
Est-ce que le modèle Ubiquiti EdgeRouter X (ER-X), convient pour cette opération ou bien est-ce qu'il n'est pas assez puissant ?
Si Oui, est-ce qu'on peut l'exploiter aussi bien avec EdgeOS qu'avec OpenWrt ?
Par avance, merci.
Ricardo
-
Je suis chez RedBySFR avec un abonnement Fibre FTTH à 1 Gbps.
Est-ce que le modèle Ubiquiti EdgeRouter X (ER-X), convient pour cette opération ou bien est-ce qu'il n'est pas assez puissant ?
Si Oui, est-ce qu'on peut l'exploiter aussi bien avec EdgeOS qu'avec OpenWrt ?
Bonjour,
J'utilise le mien avec une fibre 100 Mbps, mais je route du 1 Gbps sur le LAN en activant le support materiel (et 300 Mbps sinon).
Donc si tu fais des choses assez simples et supportées par le routage matériel, je dirais que oui, et sinon il vaut mieux viser plus puissant.
Pour l'OS : EdgeOS uniquement à ma connaissance.
Eric
-
Bonjour "ericse",
merci pour votre réponse.
Pour l'instant, par sécurité, je vais me contenter d'utiliser le Edgerouter-X comme "firewall du réseau" !
@+
Ricardo
-
Est-ce qu'il existe toujours un risque de se faire bannir si on ne spoofe pas la MAC de la box SFR?
-
Est-ce qu'il existe toujours un risque de se faire bannir si on ne spoofe pas la MAC de la box SFR?
Ca fait 3 ans que je tourne avec une MAC Ubiquiti.
-
Merci. Je bloque sur la partie TV de la config OpenWRT. Vous pourriez m'aider ? Merci.
-
Bonjour,
Je suis chez RedBySFR avec un abonnement Fibre FTTH à 1 Gbps.
Est-ce que le modèle Ubiquiti EdgeRouter X (ER-X), convient pour cette opération ou bien est-ce qu'il n'est pas assez puissant ?
Si Oui, est-ce qu'on peut l'exploiter aussi bien avec EdgeOS qu'avec OpenWrt ?
Par avance, merci.
Ricardo
J'ai un ER-X sous OpenWrt derriere une livebox. Ca tient 1Gbps sans souci et 300 Mbps en VPN Wireguard.
il tourne depuis plus d'un an sans reboot.
ici on voit le cpu qui monte a 60% pendant un download a 1Gbps:
(https://i.imgur.com/ZS41Xze.png)
-
J'utilise un GliNet B1300 quadricoeurs ARMv7 et j'arrive aux mêmes résultats sous OpenWRT.
-
Avec le décodeur STB7V (RED), il faut 2 fichiers XML supplémentaires, sinon le décodeur indique ne pas avoir accès à Internet:
tv.getInfo:
<rsp stat="ok" version="1.0">
<tv infra="ftth/routed" lanchain="" netchain=""/>
<igmps> </igmps>
</rsp>usb.getInfo:
<rsp stat="ok" version="1.0"> </rsp>A noter également si vous utilisez des paramètres DNS particuliers (par exemple un serveur Pi-Hole), bien penser à mettre une réservation DHCP pour la MAC du décodeur et lui assigner les DNS de SFR:
static-mapping STB7 {
ip-address 192.168.0.XXX
mac-address 60:35:c0:XX:XX:XX
static-mapping-parameters "option domain-name-servers 109.0.66.10, 109.0.66.20;"
}
-
Je suis chez RED, j'ai un décodeur qui fonctionne nickel mais le second ne parvient pas à récupérer le guide des programmes et affiche par moment une erreur D02. Des idées ?
-
Bonjour,
je vous rejoins avec l'idée de me procurer un Edgerouteur X ou X-SFP pour me débarasser de cette NB6 :D
et je suis l'affaire si quelqu'un réussi à se débarasser de l'ONT au passage, grâce à un module SFP :)
-
Bonsoir, depuis ce matin, je n'ai plus de connexion via mon ER alors que j'en ai une une si je passe par la box.
Personne n'a rien observé de particulier?
-
Tu serais pas passé en CGNAT?
-
Comment le savoir? (jamais entendu parler de ce truc)
D'après Wikipédia, la plage d'IP réservée est 100.64.0.0/10 or le DHCP de SFR m'attribue une 10.153.18.***/31 ; j'imagine que je ne suis pas concerné, non?
PS: Cette info est disponible sur la page de la box SFR, en haut à droite. Il y sera mentionné "Connectivité : IPv6 & IPv4 CGNAT" (ce qui est mon cas).
-
Tu n'as plus qu'à te battre avec le service client pour repasser en IPv4...
-
Après avoir écouté un blabla de 2m à propos de "vous devez voir avec votre hébergeur" (je suis l'hébergeur, banane), j'ai demandé un technicien niveau 2 pour lancer la procédure de "rollback ipv4" et le tech m'a mis dans leur file d'attente sans broncher.
En attendant, j'ai décidé d'avoir de l'IPv6. Je veux rien savoir, j'aurai l'IPv6 sur mon ER-4 et pis c'est tout.
J'ai utilisé la fonction de port mirroring (c'est nouveau, pas officiel et ça bug à fond) du routeur pour voir un peu la tronche des échanges DHCPv6 et c'est resté tel que l'avais analysé kveer (https://blog.kveer.fr/ipv6-sur-edgerouter-red-by-sfr-sfr/).
Depuis, 3 ans sont passé et on peut maintenant mettre un duid de type 3 (edgeOS v2.0.8) via la conf (en CLI seulement), plus besoin de client patché, mais pas le vendor class. Avant de devoir foutre mes mains dans le code du dhcp client et de vivre l'enfer d'un cross-compile, j'aimerai bien vérifier que ce soit toujours nécessaire de le faire (après tout, il y a eu une grosse montée de version entre kveer et aujourd'hui). Je voudrais donc configurer le démon dhcp-client directement mais je ne trouve l'endroit où sont générés les confs du démon. Z'avez une idée?
PS: Ah mais on dirait bien que le nouveau client DHCP permet de set le class vendor (https://lafibre.info/remplacer-livebox/ubiquiti-er-ipv6-dhcp6-en-2-x/)! Je vais partir sur le tuto utiliser chez la team Orange et je vous tiens au jus
-
Re, je suis de nouveau en IPv4 mais j'ai eu quelques soucis pour obtenir une IP du DHCP. J'ai en effet du ajouter une l'option cliente 61 (client-id).
Donc pour ceux qui reviennent de l'IPv4 CG-NAT, vous aurez un petit coup de terminal à passer set interfaces ethernet $wan_iface dhcp-options client-option "send dhcp-client-identifier 1:$votre_MAC;" (le 1: est important)
-
Comment le savoir? (jamais entendu parler de ce truc)
D'après Wikipédia, la plage d'IP réservée est 100.64.0.0/10 or le DHCP de SFR m'attribue une 10.153.18.***/31 ; j'imagine que je ne suis pas concerné, non?
PS: Cette info est disponible sur la page de la box SFR, en haut à droite. Il y sera mentionné "Connectivité : IPv6 & IPv4 CGNAT" (ce qui est mon cas).
Hello !
Alors je confirme que sur mon ERLite3 avec un ONT SFR derriere, j'arrive à avoir le net pendant quelques minutes en passant le WAN en DHCPv4 et en obtenant une IPv4 P-t-P de type 10.153.18.110/31 et une gateway 10.153.18.111/31, puis en forcant l'IPv4 en static au lieu du DHCP, puis en revenant en DHCP...
C'est dégueux et ça marche quelques minutes. Pour la partie IPv6 ça fonctionne parfaitement avec le patch dhcpc6 en suivant ça : https://blog.kveer.fr/ipv6-sur-edgerouter-red-by-sfr-sfr/ et en forgeant la configuration à la main (en passant le DUID et l'option 16) au boot.
Le soucis c'est que sous OpnSense 22.x, j'arrive à tout faire fonctionner IPv4 CGNAT + IPv6 du premier coup. Il semble que pour PfSense/OpnSense la gestion du netmask /31 ne pose pas de soucis.
Là, le soucis sur l'ERLite3 que j'ai, c'est que lors du dhclient la default gateway annoncé en 10.153.18.111/31 ne s'ajoute pas, alors que sous OpnSense ça se fait naturellement sans soucis.
Je cherche à comprendre à quel endroit il y a une "limite" ou quelque chose à changer pour que celà marche.
Je creuse ;)
didjee
-
Et que se passe-t-il si tu ajoutes la default gateway à la main, en statique ?
-
Bonjour,
Merci pour ce tutoriel ! Celui-ci est toujours fonctionnel ?
Quels modèles d'Ubiquiti me conseillez-vous ? Je veux quelque chose qui soit petit mais costaud et sans fil, j'ai un système ORBI dans le reste de la maison.
-
Hello,
Oui ça fonctionne du moins pour moi en ipv4 je l'ai fait hier, j'ai dû faire des ajustements des commandes indiquées en page 1pour que ça fonctionne, reprise du vendor id page 3 + activation de l'accélération matérielle .
Je peux mettre les paramètres.
Ça me fait environ 920 en download et 900 en upload. Soit un peu moins que la box en Download, mais beaucoup plus en upload
J'ai remis la box en atendant un point d'accès wifi.
À noter que la demande de passage en ipv4 fullstack s'est très bien passée de mon côté via chat redbysfr, prise de rdv puis Bascule.
Il me reste à tuner les paramètres pour mon utilisation, je pense capturer le vendeur id de ma box pour à aligner l'erx.
À voir si il n'y a pas de rollback de sfr.
-
Après avoir écouté un blabla de 2m à propos de "vous devez voir avec votre hébergeur" (je suis l'hébergeur, banane), j'ai demandé un technicien niveau 2 pour lancer la procédure de "rollback ipv4" et le tech m'a mis dans leur file d'attente sans broncher.
En attendant, j'ai décidé d'avoir de l'IPv6. Je veux rien savoir, j'aurai l'IPv6 sur mon ER-4 et pis c'est tout.
J'ai utilisé la fonction de port mirroring (c'est nouveau, pas officiel et ça bug à fond) du routeur pour voir un peu la tronche des échanges DHCPv6 et c'est resté tel que l'avais analysé kveer (https://blog.kveer.fr/ipv6-sur-edgerouter-red-by-sfr-sfr/).
Depuis, 3 ans sont passé et on peut maintenant mettre un duid de type 3 (edgeOS v2.0.8) via la conf (en CLI seulement), plus besoin de client patché, mais pas le vendor class. Avant de devoir foutre mes mains dans le code du dhcp client et de vivre l'enfer d'un cross-compile, j'aimerai bien vérifier que ce soit toujours nécessaire de le faire (après tout, il y a eu une grosse montée de version entre kveer et aujourd'hui). Je voudrais donc configurer le démon dhcp-client directement mais je ne trouve l'endroit où sont générés les confs du démon. Z'avez une idée?
PS: Ah mais on dirait bien que le nouveau client DHCP permet de set le class vendor (https://lafibre.info/remplacer-livebox/ubiquiti-er-ipv6-dhcp6-en-2-x/)! Je vais partir sur le tuto utiliser chez la team Orange et je vous tiens au jus
Bonjour,
Je suis chez Red By SFR en mode : IPv6 & IPv4 CGNAT
Je débute sur le sujet, et désolé je ne suis pas aussi calé que vous, mais c'était pour savoir si il y à moyen d'utiliser un routeur ubiquiti pour remplacer ma box NB6VAC-FXC-r0 avec la fibre ?
Car repasser en fullstack est compliqué, et ils m'ont fait deja le coup de repasser ne CGNAT...
Par avance merci
Merci
-
Perso j'ai utilisé le chat une fois un samedi il m'ont rappelé on a planifié le point le mercredi soir pour la bascule ras au top.
Après je ne suis pas à l'abris d'un rollback, je vais voir. Quand on pourra Basculer sur l'ip v6 de façon serreine avec un firmware stock je le ferais avec plaisir
-
Désolé je ne comprends pas tout ce que vous dites :
Quand vous parlez de basculer en IPV6 de façon sereine : c'est a dire que RED BY SFR est actuellement en mode IPV6 et IPV4 CGNAT : c'est un peu un mode hybride : pas encore totalement en IPV6 ? Pas bien fait techniquement ?
Et le firmware stock : c'est le firmware du routeur de la marque ubiquiti ?
merci à vous