Auteur Sujet: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax (Lu 97701 fois)

c0mm0n · « **Réponse #144 le:** 09 juillet 2014 à 14:11:29 »

Google :p
http://wiki.openwrt.org/doc/howto/udp_multicast#firewall.settings

Les regles de FW citées pour la conf avec igmpproxy devraient être les memes a implementer sur l'ERL

Le protocol du flux, c'est de l'udp, pas de l'igmp, le proxy gère l'igmp pour toi, je dirais osef du FW dans ce cas.

Le FW bloque tes flux, pas le proxy (je pense).

c0mm0n · « **Réponse #145 le:** 09 juillet 2014 à 14:14:57 »

Mais si tu comptes continuer à faire des tests, de toutes façons, faudra virer le FW.

1. Routage (ou il reste des zones de flou)
2. FW (qui ne représente aucun challenge et qui est presque HS :p)

yrousse · « **Réponse #146 le:** 09 juillet 2014 à 14:18:44 »

Il me "manque" une rêgle pour accepter l'UDP vers le décodeur donc...

Firewall: J'entend bien.

c0mm0n · « **Réponse #147 le:** 09 juillet 2014 à 14:21:10 »

T'as fait un test de débit avec TV fonctionnelle ? Avec l'offload actif.

yrousse · « **Réponse #148 le:** 09 juillet 2014 à 16:17:34 »

Je suis bien à 285/49 Mbps. Score habituel. Offload actif and kicking.

Sinon, toujours pas bon pour le Firewall...
Si j'enlève WAN_IN, ça passe sinon, non...
J'ai pris en compte UDP et IGMP, avec ou sans mon LAN "NB6v" en destination...

Le fautif donc:

Code: [Sélectionner]

root@ubnt# show firewall name WAN_IN
 default-action drop
 description "WAN to internal"
 enable-default-log
 rule 10 {
     action accept
     description "Allow established/related"
     log disable
     state {
         established enable
         invalid disable
         new disable
         related enable
     }
 }
 rule 15 {
     action accept
     description "Allow UDP toward NB6v LAN"
     destination {
         address 192.168.1.0/24
     }
     log disable
     protocol udp
     state {
         established enable
         invalid disable
         new enable
         related enable
     }
 }
 rule 16 {
     action accept
     description "Allow IGMP toward NB6v LAN"
     destination {
         address 192.168.1.0/24
     }
     log disable
     protocol igmp
     state {
         established enable
         invalid disable
         new enable
         related enable
     }
 }
 rule 20 {
     action drop
     description "Drop invalid state"
     log disable
     protocol all
     state {
         established disable
         invalid enable
         new disable
         related disable
     }
 }

Suis paumé...

yrousse · « **Réponse #149 le:** 09 juillet 2014 à 17:07:06 »

Si j'autorise UDP sur WAN_IN *et* sur WAN_LOCAL, j'ai un flux pendant une minute environ et à nouveau le black-out.
J'ai tenté d'ajouter rtsp, pareil.

Ça devient du grand n'importe quoi...
Je me demande si je ne peux pas faire fonctionner UPnP (qui est actif, pourtant...) ?

Des suggestions?

kgersen · « **Réponse #150 le:** 09 juillet 2014 à 17:13:38 »

voici les iptables live d'un NB6v:

La INPUT

Code: [Sélectionner]

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             base-address.mcast.net/4
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACLS_FILTER  tcp  --  anywhere             anywhere            multiport dports 1287,1288 state NEW
ACCEPT     udp  --  anywhere             anywhere            udp dpt:bootpc state NEW
ICMP_FILTER  icmp --  anywhere             anywhere
LAN_FILTER  all  --  anywhere             anywhere            state NEW
ACCEPT     igmp --  anywhere             anywhere
SIP_FILTER  all  --  anywhere             anywhere            state NEW

la FORWARD:

Code: [Sélectionner]

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             base-address.mcast.net/4
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
WIN_FILTER  all  --  anywhere             anywhere            state NEW
WIN_FILTER  all  --  anywhere             anywhere            state NEW
SMTP_FILTER  tcp  --  anywhere             anywhere            tcp dpt:smtp

le bloc entier du multicast est donc full open (base-address.mcast.net/4 = 224.0.0.0/4) de meme que igmp.

Tu devrais faire pareil donc plutot que te baser sur 'UDP vers le décodeur' et des états, bases toi sur le bloc mcast et igmp (en multicast l'ip destination c'est pas l'ip unicast du décodeur tv, c'est une ip multicast)

J'ai pas encore mis les mains dans la config FW d'un ERL donc je peux pas trop t'aider sur ce point.
Les blocs du style:

Code: [Sélectionner]

     state {
         established enable
         invalid disable
         new enable
         related enable
     }

sont autogénérés (genre valeurs par defaut) ou c'est toi qui les a saisies comme ca?

A ce propos elle est ou la doc complete de l'ERL ?
Je ne trouve que celle du Vyatta de Brocade qui a servir de base a ERL mais je ne suis pas sure que ca soit 100% équivalent.

yrousse · « **Réponse #151 le:** 09 juillet 2014 à 17:27:35 »

Merci Kgersen.

Je vais essayr de me "traduire" tout ça à travers le CLI.

En effet, il y a des différences avec Vyatta, puisqu'ils ont forké...

Le manuel : http://dl.ubnt.com/guides/edgemax/EdgeRouter_Lite_UG.pdf

Et non, ces blocs ne sont autogénérés. Mais je ne sais pas vraiment ce que je fais non plus...

Après avoir un peu progresser sur IPv6, il va falloir que j'en apprenne plus sur les Firewalls...

c0mm0n · « **Réponse #152 le:** 09 juillet 2014 à 17:31:57 »

kgersen, tu as une box TV right ? Tu peux nous poster ta table de routage ?

Avec tes infos on doit pouvoir facilement trouver l'astuce pour le replay et boucler l'affaire

kgersen · « **Réponse #153 le:** 09 juillet 2014 à 18:47:59 »

Citation de: c0mm0n le 09 juillet 2014 à 17:31:57

kgersen, tu as une box TV right ? Tu peux nous poster ta table de routage ?

Avec tes infos on doit pouvoir facilement trouver l'astuce pour le replay et boucler l'affaire

Code: [Sélectionner]

root@nb6v:~# ip route
93.20.51.215 via wgw  dev wan0
109.0.66.20 via wgw  dev wan0
109.6.1.72 via wgw  dev wan0
109.0.66.10 via wgw  dev wan0
109.6.4.36 via wgw  dev wan0
172.16.255.252/30 dev lan0  proto kernel  scope link  src 172.16.255.254
192.168.2.128/25 dev hotspot0  proto kernel  scope link  src 192.168.2.129
77.132.47.0/24 dev wan0  proto kernel  scope link  src ip_pub_box
192.168.4.0/24 dev wan0  proto kernel  scope link  src 192.168.4.1
192.168.1.0/24 dev lan0  proto kernel  scope link  src 192.168.1.1
default via wgw dev wan0

ip_pub_box = dhcpc_wan_ipaddr = ip public de la box
wgw = dhcpc_wan_gateway = passerelle par défaut reçue par dhcp coté wan (fibre).

yrousse · « **Réponse #154 le:** 09 juillet 2014 à 18:54:35 »

Pour le Firewall (bien que ce soit "limite H.S." mais pourtant indispensable...), je n'arrive pas à faire le rapprochement entre "Chain Input"/"Chain Forward" et local/in tel qu'utilisé dans EdgeOS...
Sachant que "local" est le router lui-même et "in", ce qui passe par le router à destination des clients du LAN.

La fatigue, sans doute... #oupas

kgersen · « **Réponse #155 le:** 09 juillet 2014 à 19:26:12 »

Comme j'ai dit un peu plus haut:
"en multicast l'ip destination c'est pas l'ip unicast du décodeur tv, c'est une ip multicast"

donc suite a ton post d'avant, la regle 15 deja est pas bonne, la destination ca devrait être 224.0.0.0/4 et pas 192.168.1.0/24

si on s'en tient a la doc du Vyatta , la commande a entrer serait du style:

Code: [Sélectionner]

set firewall name WAN_IN rule 15 destination address 224.0.0.0/4

et ca affiche quand on fait un show:

Code: [Sélectionner]

rule 15 {
	action accept
	destination {
		address 224.0.0.0/4
	}
 }

la doc de ERL est incomplete y'a pas la référence des commandes comme on trouve dans la doc du Vyatta .

Par exemple quand la box TV veut voir BFMTV, par igmp ca demande le multicast 233.136.0.217 a la neufbox. Celle ci relai plus en amont l'igmp chez SFR.
Des flux tv venant de 93.20.55.42 (serveur source du flux chez SFR) avec comme adresse de destination 233.136.0.217 vont alors arriver en permanence sur le port wan de la neufbox, celle ci va renvoyer ca tel que sur le port LAN ou la box TV est branchée: donc il faut autoriser ce flux a travers le firewall.