Auteur Sujet: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax (Lu 97677 fois)

yrousse · « **Réponse #156 le:** 09 juillet 2014 à 22:08:50 »

Citation de: kgersen le 09 juillet 2014 à 19:26:12

Comme j'ai dit un peu plus haut:
"en multicast l'ip destination c'est pas l'ip unicast du décodeur tv, c'est une ip multicast"

Oui, j'avais compris, grace à tes précédentes explications qui m'ont permis de regarder dans la bonne direction.

J'aurai pu être un peu plus précis dans ma question... Désolé.
Dans EdgeOS, les notions de INPUT et FORWARD ne sont explicites au niveau de la CLI. Ceci dit, après avoir réflêchi un petit peu (...), il me semble que Chain Input est l'équivalent de "local" dans l'ERL, et Chain FORWARD, "in". J'ai bon? (Désolé pour toutes mes questions de noob)
Évidemment, on peut passer par iptables -A... mais c'est moins drole.

On notera que 2 de tes rêgles ('WIN_FILTER") correspondent très certainement à pour "Protéger vos ordinateurs Windows de l'internet " dans l'interface d'admin de la NB6. La suivante ("SMTP_FILTER"), "Autoriser l'envoi de courriels uniquement par l'intermédiaire ". Je les écarte pour l'instant (et pas de machines sous Windows chez moi).

~~Donc pour WAN_IN, on aurait :~~

Code: [Sélectionner]

Config enlevé aprés coup, pour éviter de polluer avec des bétises...

yrousse · « **Réponse #157 le:** 10 juillet 2014 à 02:55:02 »

Et là, avec mon ERL en bypass, je streame mes chaines TV en flux THD à 11 Mbps...
Tout en téléchargeant à 285 Mbps un fichier depuis https://testdebit.info/...
Taux occupation CPU du ERL : 4% à 8% max...

Je suis ravi par cette étape! Merci cOmmOn et Kgersen pour votre patience et vos informations!

Je ne vais pas re-poster le dhcp-options, les .xml, l'index.php et la modif du lighttpd.conf pour éviter de faire doublon (mais il faudra qu'on condense tout ça plus tard, j'imagine).
Dans ce post, je me concentre sur la résolution de mes problèmes de démarrage du streaming des chaines TV.

Rappel : WAN = eth0, LAN = eth1 et Pseudo-NB6v = eth2
(setup temporaire, mis en place pour simplifier mon debugging, mais valable pour le principe de la séparation des environnements, à mon avis. L'étape suivante: VLANs repris par mon switch, etc...)

Offload activé :

Code: [Sélectionner]

offload {
         ipsec enable
         ipv4 {
             forwarding enable
             vlan enable
         }
         ipv6 {
             forwarding enable
             vlan enable
         }
     }

Rien de particulier en NAT, UPnP2...

IGMP-Proxy :

Code: [Sélectionner]

 protocols {
     igmp-proxy {
         interface eth0 {
             alt-subnet 0.0.0.0/0
             role upstream
             threshold 1
         }
         interface eth1 {
             role disabled
             threshold 1
         }
         interface eth2 {
             alt-subnet 0.0.0.0/0
             role downstream
             threshold 1
         }
     }
 }

Le serveur DHCP pour 192.168.1.1 sur eth2. On notera l'IP pour le décodeur TV, le serveur NTP et le serveur DNS SFR :

Code: [Sélectionner]

 dhcp-server {
         disabled false
         hostfile-update disable
         shared-network-name NB6v_LAN {
             authoritative disable
             subnet 192.168.1.0/24 {
                 default-router 192.168.1.1
                 dns-server 109.0.66.10
                 lease 86400
                 ntp-server 192.168.1.1
                 start 192.168.1.20 {
                     stop 192.168.1.100
                 }
                 static-mapping SFRTV-STB {
                     ip-address 192.168.1.20
                     mac-address xx:xx:xx:xx:xx:xx
                 }
             }
         }
     }

Et enfin, le firewall (encore bien du boulot mais "ça marche". Encore merci Kgersen!) :

Code: [Sélectionner]

 firewall {
     all-ping enable
     broadcast-ping disable
     ipv6-receive-redirects disable
     ipv6-src-route disable
     ip-src-route disable
     log-martians enable
     name WAN_IN {
         default-action drop
         description "WAN to LAN"
         enable-default-log
         rule 5 {
             action accept
             description "Allow Multicast"
             destination {
                 address 224.0.0.0/4
             }
             log disable
         }
         rule 10 {
             action accept
             description "Allow established/related"
             log disable
             state {
                 established enable
                 invalid disable
                 new disable
                 related enable
             }
         }
         rule 15 {
             action accept
             description "Allow TCP ports 1287, 1288"
             destination {
                 port 1287,1288
             }
             log disable
             protocol tcp
             state {
                 new enable
             }
         }
         rule 20 {
             action accept
             description "Allow UDP to Multicast"
             destination {
                 address 224.0.0.0/4
             }
             log disable
             protocol udp
             state {
                 new enable
             }
         }
         rule 25 {
             action accept
             description "Allow icmp"
             log disable
             protocol icmp
             state {
                 established enable
                 related enable
             }
         }
         rule 30 {
             action accept
             description "Allow igmp"
             log disable
             protocol igmp
         }
         rule 100 {
             action drop
             description "Drop invalid state"
             log disable
             protocol all
             state {
                 established disable
                 invalid enable
                 new disable
                 related disable
             }
         }
     }
     name WAN_LOCAL {
         default-action drop
         description "WAN to Router"
         enable-default-log
         rule 5 {
             action accept
             description "Allow Multicast"
             destination {
                 address 224.0.0.0/4
             }
             log disable
         }
         rule 10 {
             action accept
             description "Allow established/related"
             log disable
             state {
                 established enable
                 related enable
             }
         }
         rule 100 {
             action drop
             description "Drop invalid state"
             log enable
             protocol all
             state {
                 established disable
                 invalid enable
                 new disable
                 related disable
             }
         }
     }
     options {
         mss-clamp {
             mss 1452
         }
     }
     receive-redirects disable
     send-redirects enable
     source-validation disable
     syn-cookies enable
 }

Voilà!

yrousse · « **Réponse #158 le:** 10 juillet 2014 à 03:05:53 »

Citation de: kgersen le 09 juillet 2014 à 19:26:12

la doc de ERL est incomplete y'a pas la référence des commandes comme on trouve dans la doc du Vyatta.

Oui, le manque de documentation et un wiki squelettique sont 2 points noirs pour Ubiquity. Ils compensent quelque peu en étant très présents sur le forum mais c'est loin d'être idéal.
Heureusement qu'il y a beaucoup d'info sur Vyatta ici et là. Mais le fork, les évolutions de EdgeOS commence à rendre obsolète ce qu'on trouvera.
As-tu vu qu'en faisant double-TAB, on a une auto-completion suggérée, et des choix possibles des nodes suivants?
Souvent très utile.

Paul · « **Réponse #159 le:** 15 juillet 2014 à 17:49:54 »

Est-il possible de conserver le téléphone en remplaçant la Neufbox ?

Marin · « **Réponse #160 le:** 15 juillet 2014 à 18:18:52 »

Citation de: Paul le 15 juillet 2014 à 17:49:54

Est-il possible de conserver le téléphone en remplaçant la Neufbox ?

Oui, soit en utilisant le service SIP LiberTalk de SFR (mais qui est limité sur certains aspects comme les numéros spéciaux) ; soit, légèrement plus complexe, en se connectant directement aux serveurs SIP de SFR sur leur réseau privé (l'algorithme pour récupérer les identifiants utilisés par la Neufbox est connu).

c0mm0n · « **Réponse #161 le:** 15 juillet 2014 à 18:23:18 »

La reutilisation de la neufbox doit marcher aussi (en la branchant au routeur).

kgersen · « **Réponse #162 le:** 15 juillet 2014 à 18:52:18 »

y'a un recap quelque part de la config à faire dans l'ERL et ce qui marche/marche pas a ce jour ?

Le 1er post n'a pas été mis a jour depuis le mois de mai.

yrousse · « **Réponse #163 le:** 17 juillet 2014 à 18:38:40 »

Ce qui fonctionne pour moi, en suivant la plus grosse partie des instructions de ce sujet:
- Connectivité IP de base avec ONT/Internet,
- Chaines TV.
(avec Firewall activé)

Ce qui ne fonctionne pas :
- Téléphonie
- Replay TV
- VoD
- IPv6 SFR (pas eu le temps de me pencher sur xl2tp)

Je voulais poster une config la plus complète possible en guise de MàJ du premier post mais j'aurais voulu avancer sur certains points avant celà (IPv6, gestion plus complète du décodeur TV).

yrousse · « **Réponse #164 le:** 23 juillet 2014 à 04:33:53 »

Je recommence à creuser la config IPv6, toujours dans le cas du bypass complet de la NB6...

La base de départ : http://wiki.openwrt.org/doc/howto/ipv6.softwire#prefix.delegation.through.dhcpv6

Ce qui me donne :

Dans /etc/xl2tpd/xl2tpd.conf

Code: [Sélectionner]

[global]
port = 1701
auth file = /etc/xl2tpd/xl2tp-secrets
access control = no

[lac 6pe]
        lns = 109.6.3.8     ; Mon LNS d'après un précédent wireshark
        ppp debug = yes
        hostname = <IP_Public>
        hidden bit = no
        pppoptfile = /etc/ppp/options.xl2tpd.6pe
        require authentication = no
        refuse authentication = no
        refuse chap = no
        flow bit = yes
        length bit = yes

Dans /etc/xl2tpd/xl2tp-secrets :

Code: [Sélectionner]

* 6pe 6pe
Dans /etc/ppp/options.xl2tpd.6pe

Code: [Sélectionner]

+ipv6
ipv6 ,
ipv6cp-use-persistent
lock
mtu 1453
mru 1453
child-timeout 20
lcp-echo-failure 3
lcp-echo-interval 20
name dhcp/<IP_Public>@<MAC_without_colon>

Dans /etc/ppp/chap-secrets :

Code: [Sélectionner]

dhcp/<IP_Public>@<MAC_without_colon> * <PASSWORD>
Ensuite, on lance

Code: [Sélectionner]

/etc/init.d/xl2tpd startPuis,

Code: [Sélectionner]

echo "c 6pe" > /var/run/xl2tpd/l2tp-control
Mais à partir de là, je suis bloqué, ne sachant que faire (le papier sur OpenWRT ne m'apparait pas très clair) car je n'ai pas d'interface ppp0 visible par ifconfig.
/var/log/message me montre :

Code: [Sélectionner]

Jul 23 04:31:26 ubnt xl2tpd[2555]: setsockopt recvref[22]: Protocol not available
Jul 23 04:31:33 ubnt xl2tpd[2556]: Connecting to host 109.6.3.8, port 1701
Jul 23 04:31:33 ubnt xl2tpd[2556]: Connection established to 109.6.3.8, 1701.  Local: 25671, Remote: 7165 (ref=0/0).
Jul 23 04:31:33 ubnt xl2tpd[2556]: Calling on tunnel 25671
Jul 23 04:31:33 ubnt xl2tpd[2556]: Call established with 109.6.3.8, Local: 1817, Remote: 20162, Serial: 1 (ref=0/0)
Jul 23 04:31:33 ubnt pppd[2558]: pppd 2.4.4 started by root, uid 0
Jul 23 04:31:33 ubnt zebra[497]: interface ppp0 index 6 <POINTOPOINT,NOARP,MULTICAST> added.
Jul 23 04:31:33 ubnt pppd[2558]: Connect: ppp0 <--> /dev/pts/1
Jul 23 04:31:33 ubnt snmpd[1440]: IfIndex of an interface changed. Such interfaces will appear multiple times in IF-MIB.

Et je n'en aurais pas plus à partir de là...

Qu'est-ce-qu'il me manque?

c0mm0n · « **Réponse #165 le:** 23 juillet 2014 à 04:38:10 »

Pas d'idée precise, mais en recherchant la derniere phrase du log :

Citer

ifIndex OBJECT-TYPE
SYNTAX InterfaceIndex
MAX-ACCESS read-only
STATUS current
DESCRIPTION
"A unique value, greater than zero, for each interface. It
is recommended that values are assigned contiguously
starting from 1. The value for each interface sub-layer
must remain constant at least from one re-initialization of
the entity's network management system to the next re-
initialization."
::= { ifEntry 1 }

http://wiki.ubnt.com/IF-MIB

Une interface aurait changé tout seule d'ID ? Peut être que c'est normal, honnêtement j'en sais rien.

Poste sur le forum ubnt, je pense qu'ils auront de bons conseils.

yrousse · « **Réponse #166 le:** 23 juillet 2014 à 04:46:10 »

Oui, SMNP chope des changements mais ça ne m'aide pas trop si ça ne remonte pas... j'avoue que je ne comprend pas la déclaration d'interface dans la page d'OpenWRT si la ppp0 existe pour eux.

Je vais poster chez ubnt.

c0mm0n · « **Réponse #167 le:** 23 juillet 2014 à 04:48:36 »

Sur la conf Orange en pppoe, on a bien une interface pppoe0

Auteur Sujet: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax (Lu 97677 fois)

c0mm0n

c0mm0n

c0mm0n