La Fibre

Datacenter et équipements réseaux => Routeurs => SFR Remplacer la box SFR par un routeur => Discussion démarrée par: tivoli le 06 mai 2014 à 22:22:38

Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 06 mai 2014 à 22:22:38
# Remerciements et references utiles
D'abord un grand merci a c0mm0n pour ses recherches et surtout le partage d'infos sur ce merveilleux routeur

Les posts référence :
https://lafibre.info/remplacer-sfr/bypasser-la-neufbox/msg101223/#msg101223
https://lafibre.info/orange-tutoriels/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/ (https://lafibre.info/orange-tutoriels/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/)
https://lafibre.info/orange-tutoriels/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg136801/#msg136801 (https://lafibre.info/orange-tutoriels/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg136801/#msg136801)
http://community.ubnt.com/t5/EdgeMAX/dhcp-client-Tuning-vendor-class-identifier-dhcp-option-60/td-p/581069 (http://community.ubnt.com/t5/EdgeMAX/dhcp-client-Tuning-vendor-class-identifier-dhcp-option-60/td-p/581069)

Connections physique:
- eth0 : reseau local
- eth1 : ONT
- eth2 : Management (optionnel)

Configuration du routeur
Configurer son PC en 192.168.1.2 255.255.255.0 192.168.1.1
se connecter depuis un browser a http://192.168.1.1 (http://192.168.1.1)
login : ubnt
password : ubnt

Onglet Dashboard

eth0 / Actions / Config
Description : LAN
Reglages par default a part
Use DHCP a selectionner


eth1 / Actions / Config
Description : WAN-ONT
Reglages par default a part
Use DHCP a selectionner

Onglet Services

Add DHCP Server
(http://i.imgur.com/BP5j4Di.png)
Save

Toujours dans Services / DNS
Cache Size : 150
Interface : eth1
Save



# Configuration du client DHCP (wan) uniquement valable à partir de la version 1.5 beta 1
changez email@mail.com par votre email, ce n'est pas obligatoire techniquement mais aidera le technicien SFR a vous contacter si besoin
configure
set interfaces ethernet eth1 dhcp-options client-option "send vendor-class-identifier "neufbox6-email@mail.com";"
commit
save



Apres le reboot se reconnecter sur l'interface web onglet Firewall / NAT
Onglet NAT / Add Source NAT Rule
(http://i.imgur.com/IpDxwGL.png)
save

# Creer les regles de firewall par exemple en suivant le mode d'emploi suivant
http://community.ubnt.com/t5/EdgeMAX-Configuration-Examples/EdgeMAX-SOHO-Example/ta-p/413019 (http://community.ubnt.com/t5/EdgeMAX-Configuration-Examples/EdgeMAX-SOHO-Example/ta-p/413019)
Vous pouvez aussi le faire en ligne de commande voici ma configuration simplifiee avec une redirection RDP, Minecraft et https
configure
set firewall name WAN_LOCAL description "packets from internet to the router"
set firewall name WAN_LOCAL default-action drop
set firewall name WAN_LOCAL enable-default-log
set firewall name WAN_LOCAL rule 10 description "allow established sessions"
set firewall name WAN_LOCAL rule 10 action accept
set firewall name WAN_LOCAL rule 10 state established enable
set firewall name WAN_LOCAL rule 10 state related enable
set firewall name WAN_LOCAL rule 10 state invalid disable
set firewall name WAN_LOCAL rule 10 state new disable
set firewall name WAN_LOCAL rule 10 protocol all
set firewall name WAN_LOCAL rule 20 description "drop invalid state"
set firewall name WAN_LOCAL rule 20 action drop
set firewall name WAN_LOCAL rule 20 state established disable
set firewall name WAN_LOCAL rule 20 state related disable
set firewall name WAN_LOCAL rule 20 state invalid enable
set firewall name WAN_LOCAL rule 20 state new disable
set firewall name WAN_LOCAL rule 20 protocol all
set interfaces ethernet eth1 firewall local name WAN_LOCAL

set firewall name WAN_IN description "packets from internet to LAN & WLAN"
set firewall name WAN_IN default-action drop
set firewall name WAN_IN enable-default-log
set firewall name WAN_IN rule 10 description "allow established sessions"
set firewall name WAN_IN rule 10 action accept
set firewall name WAN_IN rule 10 state established enable
set firewall name WAN_IN rule 10 state related enable
set firewall name WAN_IN rule 10 state invalid disable
set firewall name WAN_IN rule 10 state new disable
set firewall name WAN_IN rule 10 protocol all
set firewall name WAN_IN rule 20 description "drop invalid state"
set firewall name WAN_IN rule 20 action drop
set firewall name WAN_IN rule 20 state established disable
set firewall name WAN_IN rule 20 state related disable
set firewall name WAN_IN rule 20 state invalid enable
set firewall name WAN_IN rule 20 state new disable
set firewall name WAN_IN rule 20 protocol all
set firewall name WAN_IN rule 30 description "minecraft"
set firewall name WAN_IN rule 30 action accept
set firewall name WAN_IN rule 30 protocol tcp
set firewall name WAN_IN rule 30 destination port 25565-25566
set firewall name WAN_IN rule 30 destination address 192.168.1.2
set firewall name WAN_IN rule 40 description "RDP"
set firewall name WAN_IN rule 40 action accept
set firewall name WAN_IN rule 40 protocol rdp
set firewall name WAN_IN rule 40 destination address 192.168.1.2
set firewall name WAN_IN rule 50 description "Https web server"
set firewall name WAN_IN rule 50 action accept
set firewall name WAN_IN rule 50 protocol tcp
set firewall name WAN_IN rule 50 destination port 443
set firewall name WAN_IN rule 50 destination address 192.168.1.2
set interfaces ethernet eth1 firewall in name WAN_IN

set service nat rule 1 type destination
set service nat rule 1 description "RDP"
set service nat rule 1 destination port 3389
set service nat rule 1 inbound-interface eth1
set service nat rule 1 inside-address address 192.168.1.2
set service nat rule 1 inside-address port 3389
set service nat rule 1 log disable
set service nat rule 1 protocol tcp
set service nat rule 2 type destination
set service nat rule 2 description "Minecraft"
set service nat rule 2 destination port 25565-25566
set service nat rule 2 inbound-interface eth1
set service nat rule 2 inside-address address 192.168.1.2
set service nat rule 2 inside-address port 25565-25566
set service nat rule 2 log disable
set service nat rule 2 protocol tcp
set service nat rule 3 type destination
set service nat rule 3 description "web https"
set service nat rule 3 destination port 443
set service nat rule 3 inbound-interface eth1
set service nat rule 3 inside-address address 192.168.1.2
set service nat rule 3 inside-address port 443
set service nat rule 3 log disable
set service nat rule 3 protocol tcp
commit
save


Rebootez et vous devriez avoir le web maintenant !!!!

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 06 mai 2014 à 22:22:45
Partie TV / replay
cd /etc/lighttpd
cp  lighttpd.conf  lighttpd.conf.bak
sudo vi lighttpd.conf
Rechercher url.rewrite-once et ajouter les lignes suivantes (celles entre #Ligne ajoutee)
url.rewrite-once = (
#Ligne ajoutee
"^(/api/1.0.*)" => "$0",
#Ligne ajoutee
        "^(/(lib|media|ws|tests)/.*)" => "$0",
        "^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

$HTTP["scheme"] == "http" {
    $HTTP["url"] !~ "^/index.php/error/" {
#Ligne ajoutee
        $HTTP["url"] !~ "^/api/" {
#Ligne ajoutee
        $HTTP["host"] =~ "^(.*)$" {
                url.redirect = (
                        "^(.*)$" => "https://%1$1"
                )
        }
#Ligne ajoutee
    }
#Ligne ajoutee
    }
}



creer l'arborescence suivante
/var/www/api/1.0/
sudo mkdir api
cd api
sudo mkdir 1.0
cd 1.0

et dans ce dossier créer les fichiers suivants en tapant les commandes :

sudo -i
echo "<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<system product_id="NB6-FXC-r2" mac_addr="aa:bb:cc:dd:ee:ff" net_mode="router" net_infra="ftth" uptime="99999999999999" version_mainfirmware="NB6-MAIN-R3.2.12" version_rescuefirmware="NB6-RESCUE-R3.1.8" version_bootloader="NB6-BOOTLOADER-R1.32.0" version_dsldriver="NB6-ADSL-A2pD030q" current_datetime="201310090017" refclient="[ref-client]"/>
</rsp>" > ./system.xml


Changez ce qu'il faut dans ce qui suit et creez le fichier en tapant la commande
sudo -i
echo "<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<host type="stb" name="[nom-reseau-decodeur]" ip="[ip-decodeur]" mac="[adresse-mac-decodeur]" iface="lan1" probe="55" alive="725228" status="online"/>
</rsp>" > ./lan.xml

PS : pensez à fixer l'ip de votre décodeur pour correspondre à api

sudo -i
echo "<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<wan status="up" uptime="999999" ip_addr="[ip-de-l-acces-wan]" infra="ftth"/>
</rsp>" > ./wan.xml

sudo -i
echo "<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
     <ftth status="up" />
</rsp>" > ./ftth.xml

Creer le fichier index.php
<?php
header
('Content-Type: application/xml; charset=utf-8');
if (isset(
$_GET['method'])){
        
$method $_GET['method'];
        switch (
$method) {
                case 
"system.getInfo":
                        echo 
file_get_contents('system.xml');
                        break;
                case 
'lan.getHostsList':
                        echo 
file_get_contents('lan.xml');
                        break;
                case 
'wan.getInfo':
                        echo 
file_get_contents('wan.xml');
                        break;
                case 
'fttp.getInfo':
                        echo 
file_get_contents('ftth.xml');
                        break;
                }
return;
}
?>


Configuration IGMP
Ceci est la configuration avec eth0 et eth2 : LAN eth1 : ONT
set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0 role downstream
set protocols igmp-proxy interface eth0 threshold 1

set protocols igmp-proxy interface eth1 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth1 role upstream
set protocols igmp-proxy interface eth1 threshold 1

set protocols igmp-proxy interface eth2 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth2 role downstream
set protocols igmp-proxy interface eth2 threshold 1
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 06 mai 2014 à 22:23:22
Note :
documenter le index.php (discussion page 8)

le ntp ? : set service  dhcp-server shared-network-name LAN subnet 192.168.1.0/24 ntp-server 192.168.1.1
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 06 mai 2014 à 23:48:27
Je suis en train de regarder pour récupérer le lighttpd utilisé pour l'interface web pour générer les API pour la TV. J'essaye d'exclure le dossier API des règle de rewrite mais dès que je rajoute "api" dans la règle, ça fait sauter l'interface d'admin  :'(

url.rewrite-once = (                                       
"^(/(lib|api|media|ws|tests)/.*)" => "$0",

Une idée ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 07 mai 2014 à 00:28:03
De mon cote aucune idee desole on va voir ce que repondent les pros
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 07 mai 2014 à 12:56:40
Flag.

Haldir je dois pouvoir t'aider pour la TV, t'en es ou ? API et http ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 07 mai 2014 à 14:19:02
Je suis en train de configurer le fichier lighttpd.conf afin de permettre l'accès au dossier api créer dans /var/www/htdocs et empêcher le rewrite en essayer d'exclure le dossier api comme les autres dossiers. La syntaxe me semble bonne mais dès que j'enlève le api| , j'ai de nouveau accès à l'interface d'admin.

Autrement, une fois loggé j'ai ce message "Fatal Error
Unable to load the router configuration"
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 21:09:07
Re, désolé j'avais zappé.

Le but du jeu est simplement de servir des fichiers statiques ?

Si oui, j'aurais tendance à mettre nginx sur le port 80, il va renvoyer toutes les requêtes a lighthttpd sauf les quelques fichiers static de notre dossier ?

Dis moi, je ferai de tests, ca me semble vraiment pas compliqué.

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 21:27:17
Bon, j'ai réussi à faire fonctionner cette url :
http://192.168.2.1/api/test.html (http://192.168.2.1/api/test.html)

Pour cela, j'ai modifié la conf comme ca pour qu'il n'envoie pas au php les requêtes vers /api/
Citer
url.rewrite-once = (
   "^(/(lib|media|ws|tests|api)/.*)" => "$0",
   "^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

Puis pour enlever la redirection https sur le dossier api, modifier la partie juste après comme ca :
$HTTP["scheme"] == "http" {
    $HTTP["url"] !~ "^/index.php/error/" {   
$HTTP["url"] !~ "^/api/" {       
$HTTP["host"] =~ "^(.*)$" {
url.redirect = (
"^(.*)$" => "https://%1$1"
)
}
    }
    }
}

(Je mets une 2e condition pour ne pas rediriger en https les requêtes vers /api/)

Enfin tuer, et relancer le serveur a la main (pas trouvé mieux) :
kill <PID>
/usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf

Résultat :

(https://www.evernote.com/shard/s1/sh/28baea9a-9ff3-43cd-928e-c8f640c57dd8/fa7aed9beeb4f61cb0f2d3fb38efd9d9/deep/0/192.168.2.1-api-test.html-et-https---192.168.2.1-api-test.html.png)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 21:37:40
Ca marche aussi avec le php.

(https://www.evernote.com/shard/s1/sh/bfde6da3-a933-4e95-be51-43d5d21c1b1d/54a4ba2590a60d84c94dc8520185ac19/deep/0/phpinfo()-et-192.168.2.1-api-test.html-et-https---192.168.2.1-api-test.html.png)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 09 mai 2014 à 22:00:02
Merci c0mm0n pour ton aide mais j'ai tjs la même erreur une fois lighttpd redémarré avec le fichier modifier, je ne peux plus accéder à l'interface web du routeur.

Voici le fichier que j'ai
server.modules = (
"mod_access",
"mod_alias",
  "mod_redirect",
  "mod_fastcgi",
"mod_rewrite",
"mod_websocket",
)

server.document-root        = "/var/www/htdocs"
server.upload-dirs          = ( "/var/tmp" )
server.errorlog             = "/var/log/lighttpd/error.log"
server.pid-file             = "/var/run/lighttpd.pid"
server.username             = "www-data"
server.groupname            = "www-data"
server.tag                  = "Server"

index-file.names            = ( "index.php", "index.html",
                                "index.htm", "default.htm",
                               " index.lighttpd.html" )

url.access-deny             = ( "~", ".inc" )

static-file.exclude-extensions = ( ".php", ".pl", ".fcgi" )

server.dir-listing          = "disable"

include "mime.conf"
include "conf-enabled/10-ssl.conf"
include "conf-enabled/15-fastcgi-php.conf"

url.rewrite-once = (
"^(/(lib|media|ws|tests|api)/.*)" => "$0",
"^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

$HTTP["scheme"] == "http" {
    $HTTP["url"] !~ "^/index.php/error/" {
    $HTTP["url"] !~ "^/api/" {   
$HTTP["host"] =~ "^(.*)$" {
url.redirect = (
"^(.*)$" => "https://%1$1"
)
}
   }
   }
}

websocket.server = (
    "/ws/stats" => ( "host" => "/tmp/ubnt.socket.statsd",
                     "port" => "1" ),
    "/ws/cli" => ( "host" => "/tmp/ubnt.socket.cli",
                   "port" => "1",
                   "type" => "bin" )
)

Est ce que tu vois ce que j'aurais oublier :) ?

Merci
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:01:45
Pareil chez moi :D

(https://www.evernote.com/shard/s1/sh/be164a85-1a37-47f5-9d0a-c45fbc12176f/8ca6092c129bd801cacdbf28f0394ff5/deep/0/EdgeOS.png)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 09 mai 2014 à 22:03:10
Je vois pas comment en excluant un dossier, ça ferait planter l'interface :S
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:04:44
J'ai compris.

le chemin /api est utilisé par l'interface donc la on lui intercepte ses requêtes :D

Je teste une astuce.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:09:34
Ok.

Sfr a besoin d'accéder a /api/1.0/ donc on va rediriger uniquement sur ce chemin et la ca marche

J'ai bien accès aux fichier http://192.168.2.1/api/1.0/test.html (http://192.168.2.1/api/1.0/test.html)

et l'interface marche.

Voici la conf :

url.rewrite-once = (
"^(/api/1.0/.*)" => "$0",
"^(/(lib|media|ws|tests)/.*)" => "$0",
"^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

$HTTP["scheme"] == "http" {
    $HTTP["url"] !~ "^/index.php/error/" {   
$HTTP["url"] !~ "^/api/" {       
$HTTP["host"] =~ "^(.*)$" {
url.redirect = (
"^(.*)$" => "https://%1$1"
)
}
    }
    }
}
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 09 mai 2014 à 22:12:29
Il ne faudrait pas $HTTP["url"] !~ "^/api/1.0 " { pour le second bloc de code également ? 
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:14:01
Si on veut être rigoureux oui :)

Ce n'est pas grave si on ne force pas la redirection pour tout ce qui est "/api" (la GUI le fait en https je pense par defaut).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 09 mai 2014 à 22:19:33
J'ai index.php qui est rajouté automatiquement et l'API de la neufbox requête sur de l'http et non du https.

Si je test une des url de l'api, depuis cette url "http://192.168.1.1/api/1.0/?method=system.getInfo", elle devient "https://192.168.1.1/index.php/api/1.0/?method=system.getInfo" et j'ai ceci comme page web

EdgeOS
Error: Not Found

404
Array
(
    [0] => Undefined variable: build
    [1] => Undefined variable: build
    [2] => Undefined variable: build
    [3] => Undefined variable: build
    [4] => Undefined variable: build
    [5] => Undefined variable: build
)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:23:30
Je n'ai pas ce problème (404 mais elle est logique).

Tu as bien créé le dossier "1.0" ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:24:51
Si je mets un index.php vide a la racine de "1.0", j'ai bien une page blanche, sans erreur.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 09 mai 2014 à 22:31:00
Je viens de créer un fichier html et ça fonctionne. Le pb doit être sur la structure des fichier que j'ai crée pour l'api
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:32:21
Tu veux que je le fasse ?

En gros y a pleins de méthodes, mais je ferais un index.php qui sert le bon fichier à partir du GET.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 09 mai 2014 à 22:34:19
Je veux bien :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 09 mai 2014 à 22:41:32
Au cas où ça pourrait vous aider, le code source de l'API de la Neufbox est disponible ici : https://github.com/neufbox/misc/tree/master/efixo-api (mais c'est tiré du firmware 2.1.5, donc un peu vieux).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:42:41
j'ai surtout vu que t'avais deja fait les règles lighthttpd dans ton tuto (joli boulot, j'avais pas vu :D)

Haldir, je finis un truc et je te fais la conf. Avant 23h je pense.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 09 mai 2014 à 22:51:29
Je mets a jour le tuto au fur et a mesure en esperant que j'ai bien capte
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:51:58
Voila Haldir, en reprenant la methode de Marin, sans php.

Coté lighthttpd :

url.rewrite-once = (
"wan\.getInfo$" => "/api/1.0/wan.html",
"system\.getInfo$" => "/api/1.0/system.html",
"ftth\.getInfo$" => "/api/1.0/ftth.html",
"^(/(lib|media|ws|tests)/.*)" => "$0",
"^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

On garde le morceau de code dans la partie http/https.

Dans ton dossier /var/www/htdocs/api/1.0/

Tu mets
wan.html
ftth.html
system.html

Avec les infos de Marin pour le contenu des fichiers.

Résultat :

(https://www.evernote.com/shard/s1/sh/9f7da2c7-e6f3-49bb-a6eb-e70c445ca290/3b258083f30a7f1da3f6284b2e5f7451/deep/0/192.168.2.1-api-1.0--method-wan.getInfo.png)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 22:52:26
Je mets a jour le tuto au fur et a mesure en esperant que j'ai bien capte

je documenterai pas trop avant que ca soit fini a ta place :P

Ca change vite.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 09 mai 2014 à 23:01:36
Merci

Quand j'accédais aux fichier depuis la neufbox, j'avais une coloration syntaxique dans chrome. Je penserai pour du xml à la place du html pour l'extension des fichiers. Sur le tuto général, il ne semble pas y avoir d'extension pour les fichiers
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 23:10:10
Effectivement il envoie un header html a cause de l'extension, j'ai testé en passant en xml c'est bon.

Donc faut renommer les fichiers et changer dans la conf lighthttpd.

Citer
url.rewrite-once = (
   "wan\.getInfo$" => "/api/1.0/wan.xml",
   "system\.getInfo$" => "/api/1.0/system.xml",
   "ftth\.getInfo$" => "/api/1.0/ftth.xml",
   "^(/(lib|media|ws|tests)/.*)" => "$0",
   "^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 23:11:07
Par contre dans les exemples de Marin, je crois qu'il manque cette ligne pour wan et system :

<?xml version="1.0" encoding="UTF-8"?>
(ou pas)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 23:30:52
Haldir, u alive ? :D
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 09 mai 2014 à 23:36:04
Yep, je suis en train de tester les méthode mais je rencontre des pb sur certaines.

La WAN.getInfo renvois la bonne url et l'xml du fichier
J'ai rajouté dans le rewrite lan.getHostsList pour résoudre le fichier lan.xml
La system.getInfo renvois avec index.php en https
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 23:38:16
Chez moi ca semble ok

(https://www.evernote.com/shard/s1/sh/e516f6ed-6c3a-4af2-b46e-687affc36ee7/280cee5ef3bc328fdec2d078f925186e/deep/0/192.168.2.1-api-1.0--method-system.getInfo-et-jb---ssh---185-92.png)

Check les droits sur les fichiers ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 09 mai 2014 à 23:40:15
Même droit pour tous les fichiers
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 mai 2014 à 23:44:51
T'as forcèment une couille qqe part, voila ma conf :

url.rewrite-once = (
"wan\.getInfo$" => "/api/1.0/wan.xml",
"system\.getInfo$" => "/api/1.0/system.xml",
"ftth\.getInfo$" => "/api/1.0/ftth.xml",
"^(/(lib|media|ws|tests)/.*)" => "$0",
"^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

$HTTP["scheme"] == "http" {
    $HTTP["url"] !~ "^/index.php/error/" {   
$HTTP["url"] !~ "^/api/" {       
$HTTP["host"] =~ "^(.*)$" {
url.redirect = (
"^(.*)$" => "https://%1$1"
)
}
    }
    }
}

(j'ai pas changé la 2nde partie, peut être une piste ?)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 00:01:39
C'est bon les web services répondent bien. Je remet en place la conf igmp et je teste la tv :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 00:02:20
<<< roulement de tambours >>>
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 00:02:47
Montre voir ta conf IGMP ? (l'edgemax semble special pour ca vs pfsense)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 00:23:22
J'ai repris ton cheat code

root@ubnt# show protocols igmp-proxy
 interface eth0 {
     alt-subnet 0.0.0.0/0
     role downstream
     threshold 1
 }
 interface eth2 {
     alt-subnet 0.0.0.0/0
     role upstream
     threshold 1
 }
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 00:24:06
Et verdict ? :D
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 00:36:51
J'ai du passer sur l'interface eth2 en 192.168.2.0 car j'avais des index.php pour les appels sur les API mais tjs pas de tv. :(

Le multicast semble bien fonctionner mais je sais pas si des IP sont pas codés en dure dans la box

root@ubnt:/config# show ip multicast mfc
Group           Origin           In     Out           Pkts         Bytes  Wrong
239.255.255.250 192.168.2.253    eth1   eth0           436      193.18KB    436
239.255.255.250 192.168.2.253    eth1   eth2           436      193.18KB    436
239.255.255.250 192.168.1.59     eth1   eth0            72       23.26KB     72
239.255.255.250 192.168.1.59     eth1   eth2            72       23.26KB     72
239.255.255.250 192.168.2.10     eth1   eth0            36        6.94KB     36
239.255.255.250 192.168.2.10     eth1   eth2            36        6.94KB     36
239.255.255.250 192.168.1.3      eth1   eth0            25       25.68KB     25
239.255.255.250 192.168.1.3      eth1   eth2            25       25.68KB     25
239.255.255.250 192.168.1.2      eth1   eth0           114       47.10KB    114
239.255.255.250 192.168.1.253    eth1   eth0           232      105.08KB    232
239.255.255.250 192.168.1.253    eth1   eth2           232      105.08KB    232

Sur tes capture de mroute, tu avais des ip publique mais sur le mien rien du tout. Je ne sais pas si ça une incidence:
root@ubnt:/config# ip mroute
(192.168.2.253, 239.255.255.250) Iif: eth1       Oifs: eth0 eth2
(192.168.1.59, 239.255.255.250)  Iif: eth1       Oifs: eth0 eth2
(192.168.2.10, 239.255.255.250)  Iif: eth1       Oifs: eth0 eth2
(192.168.1.3, 239.255.255.250)   Iif: eth1       Oifs: eth0 eth2
(192.168.1.2, 239.255.255.250)   Iif: eth1       Oifs: eth0
(192.168.1.253, 239.255.255.250) Iif: eth1       Oifs: eth0 eth2
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 00:43:26
Citer
J'ai du passer sur l'interface eth2 en 192.168.2.0 car j'avais des index.php pour les appels sur les API mais tjs pas de tv. :(

Je comprends pas cette phrase ?

Les interfaces indiquées dans igmpproxy doivent avoir une IP effectivement. mais eth2 c pas ton wan avec l'ip sfr ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 00:44:07
Est ce que tu vois du traffic dans la GUI ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 00:46:11
Tu as bien personnalisé tes fichiers xml ?

La box boot ? Elle bronche pas ? juste pas de TV ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 00:50:20
Ca clignote et j'ai des pic à 100 kbps sur l'interface eth2 qui est mon LAN. Le décodeur a bien démarré. et je semble pouvoir accéder aux services sans pb. Par exemple, je vais voir les bouquet que j'ai souscrit et ils apparaissent bien donc je suppose que la partie web est bonne.

Par contre dès que j'essaye d'aller voir les flux, message d'erreur " Signal TV indisponible" avec un code erreur sl12
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 00:59:14
Tu n'as mis aucun firewall pour l'instant sur l'edgemax ? Si oui, teste en le virant ?

Pour igmp proxy, tu as bien upstream = wan et downstream = lan ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 01:00:15
je lis re relis les infos de Marin, je vois rien qui manque.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 01:02:53
Et teste le replay / vod, c'est de l'unicast normalement, rien a voir avec la TV.

Ca sera un premier indicateur de savoir si ca marche ou pas.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 10:11:37
Chez moi ca ne marche pas.

Questions
1) les fichiers xml je dois les mettre dans /var/www/htdocs/api/1.0 ou /var/www/api/1.0 ?  (ils sont dans htdocs chez moi)
2) Je dois creer un fichier index.php quelque part ?

Mon symptome :
http://192.168.2.1/api/1.0/?method=system.getinfo (http://192.168.2.1/api/1.0/?method=system.getinfo)
renvoie sur
https://192.168.2.1/index.php/api/1.0/?method=system.getinfo
avec comme contenu :
EdgeOS
Error: Not Found

404
Array
(
   
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 10:14:16
J'ai testé avec le replay et seul la pub se lance mais ensuite j'ai un erreur pour l'accès à l'épisode. Pas de règle de firewall spécifique, juste les WAN_IN et WAN_Local mais qui ne prennent que l'interface WAN en paramètre.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 10:27:40
entre tes premiers essais sur la partie web qui ne fonctionnait pas et maintenant tu as change quelque chose ? je ne suis pas encore a ton pb
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 10:35:32
Je viens de retester ce matin et pour ce web service, j'ai bien le index.php et le https qui est rajouté que ça soit sur 192.168.1.0 ou 2.0 :(

Voici le code que j'ai et je pense pas avoir fait d'erreur de typo
url.rewrite-once = (
"wan\.getInfo$" => "/api/1.0/wan.xml",
"system\.getInfo$" => "/api/1.0/system.xml",
"ftth\.getInfo$" => "/api/1.0/ftth.xml",
"lan\.getHostsList$" => "/api/1.0/lan.xml",
"^(/(lib|media|ws|tests)/.*)" => "$0",
"^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

Il semble que ça soit ce fichier qui est utiliser pour nous identifier auprès de SFR et récupérer nos abonnements et services souscrit et il semble fonctionner car il détecte bien mon offre.

Ce qui est bizarre et que j'ai commenté toute la partie https et il va quand même faire une redirection pour ce web service
#$HTTP["scheme"] == "http" {
#    $HTTP["url"] !~ "^/index.php/error/" {
#    $HTTP["url"] !~ "^/api/1.0" {   
# $HTTP["host"] =~ "^(.*)$" {
# url.redirect = (
# "^(.*)$" => "https://%1$1"
# )
# }
#    }
#    }
#}

Edit: Je viens de tester dans un autre navigateur et l'url est désormais bien formater et en revenant sur chrome il prends la bonne url sans faire de modification. Je vais tester de remettre la redirection https
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 10:56:22
De mon cote en laissant la redirection HTTPS en passant sur un autre navigateur ca ne change rien
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 10:58:24
J'ai tout mis dans /var/www/htdocs/api/1.0 sans modifier le index.php. Ca te fait la redirection que pour system ou pour chaque fichier ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 11:07:00
Pareil sur les 4.

Dans un soucis de nettoyage je viens de virer /var/www/api car j'ai tout dans htdocs comme vous ainsi que le index.php que j'avais cree dans api/1.0.

J'ai laisse le index.php d'origine sans modif
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 11:27:27
Avec un fichier html basique, est ce qu'il est afficher ou bien l'url est également modifier ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 11:56:49
Je viens de retester ce matin et pour ce web service, j'ai bien le index.php et le https qui est rajouté que ça soit sur 192.168.1.0 ou 2.0 :(

Voici le code que j'ai et je pense pas avoir fait d'erreur de typo
url.rewrite-once = (
"wan\.getInfo$" => "/api/1.0/wan.xml",
"system\.getInfo$" => "/api/1.0/system.xml",
"ftth\.getInfo$" => "/api/1.0/ftth.xml",
"lan\.getHostsList$" => "/api/1.0/lan.xml",
"^(/(lib|media|ws|tests)/.*)" => "$0",
"^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

Il semble que ça soit ce fichier qui est utiliser pour nous identifier auprès de SFR et récupérer nos abonnements et services souscrit et il semble fonctionner car il détecte bien mon offre.

Ce qui est bizarre et que j'ai commenté toute la partie https et il va quand même faire une redirection pour ce web service
#$HTTP["scheme"] == "http" {
#    $HTTP["url"] !~ "^/index.php/error/" {
#    $HTTP["url"] !~ "^/api/1.0" {   
# $HTTP["host"] =~ "^(.*)$" {
# url.redirect = (
# "^(.*)$" => "https://%1$1"
# )
# }
#    }
#    }
#}

Edit: Je viens de tester dans un autre navigateur et l'url est désormais bien formater et en revenant sur chrome il prends la bonne url sans faire de modification. Je vais tester de remettre la redirection https

Chrome a une grosse tendance a garder en cache se genre de truc, donc il va te mettre le https meme quand ta config le force plus.

Moi la seul diff que j'ai est
#    $HTTP["url"] !~ "^/api/1.0" {    qui devient
#    $HTTP["url"] !~ "^/api/" {   
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 11:58:58
Avec un fichier html basique, est ce qu'il est afficher ou bien l'url est également modifier ?

Le fichier ne devrait pas être servi, y a aucune règle pour éviter qu'il soit envoyé au index.php de ubiquiti.

Si tu veux tester un fichier dans /api/1.0/ relets ca :

"^(/(lib|media|ws|tests)/.*)" => "$0",
Devient

"^(/(lib|media|ws|tests)/.*)" => "$0",
"^(/api/1.0/.*)" => "$0",
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: jewome62 le 10 mai 2014 à 17:36:30
J'en ai profiter pour renommer mon tuto "avec un routeur Linux"
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 18:28:44
Le fichier ne devrait pas être servi, y a aucune règle pour éviter qu'il soit envoyé au index.php de ubiquiti.

Si tu veux tester un fichier dans /api/1.0/ relets ca :

"^(/(lib|media|ws|tests)/.*)" => "$0",
Devient

"^(/(lib|media|ws|tests)/.*)" => "$0",
"^(/api/1.0/.*)" => "$0",

De cette maniere je suis capable de voir le contenu de index.php ou index.html

Apres l'avoir enleve une "amelioration"

http://192.168.2.1/api/1.0/?method=system.getinfo (http://192.168.2.1/api/1.0/?method=system.getinfo)

renvoie
{"success":false,"errors":["Invalid API method"]}

une idee ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 18:47:57
Quel est le contenu de system.xml ? Il est bien a coté de index.php ?

Poste ta conf lighthttpd
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 19:05:23
Ce message d'erreur je l'ai en ayant la partie https commentee

url.rewrite-once = (
        "wan\.getInfo$" => "/api/1.0/wan.xml",
        "system\.getInfo$" => "/api/1.0/system.xml",
        "ftth\.getInfo$" => "/api/1.0/ftth.xml",
        "^(/(lib|media|ws|tests)/.*)" => "$0",
        "^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

#$HTTP["scheme"] == "http" {
#    $HTTP["url"] !~ "^/index.php/error/" {
#        $HTTP["url"] !~ "^/api/" {
#                $HTTP["host"] =~ "^(.*)$" {
#                       url.redirect = (
#                                       "^(.*)$" => "https://%1$1"
#                        )
#               }
   }
   }
}


Par contre je l'ai mainteant decommentee et je retombe sur le meme pb
Mon symptome :
http://192.168.2.1/api/1.0/?method=system.getinfo (http://192.168.2.1/api/1.0/?method=system.getinfo)
renvoie sur
https://192.168.2.1/index.php/api/1.0/?method=system.getinfo (https://192.168.2.1/index.php/api/1.0/?method=system.getinfo)
avec comme contenu :
EdgeOS
Error: Not Found

404
Array
(
   
=> Undefined variable: build
[1] => Undefined variable: build
    [2] => Undefined variable: build
    [3] => Undefined variable: build
    [4] => Undefined variable: build
    [5] => Undefined variable: build
)

Si tu preferes mon fichier complet n'hesite pas

mon system.xml (@Mac un peu modifiee)
<rsp stat=ok version=1.0>
<system product_id=NB6-FXC-r2 mac_addr=30:7E:CA:AA:64:A5 net_mode=router net_inf
ra=ftth uptime=99999999999999 version_mainfirmware=NB6-MAIN-R3.2.12 version_resc
uefirmware=NB6-RESCUE-R3.1.8 version_bootloader=NB6-BOOTLOADER-R1.32.0 version_d
sldriver=NB6-ADSL-A2pD030q current_datetime=201310090017 refclient=[ref-client]/
>
</rsp>

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 19:13:58
Je constate également des comportements identique. Si je charge ton url, ça va me basculer en https avec index.php et la même erreur. Pourtant j'ai déjà des onglet ouvert sur chrome avec la bonne url et en rechargeant la page, j'ai bien accès aux fichier xml.

Parfois ça charge bien la page et d'autre fois, il semblerait que les règles ne soient pas prises en compte :(
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 19:27:10
Chrome je vous le redis est pas très fiable il garde en mémoire les redirections (cache DNS je crois).

Tivoli est ce que tu relances bien lighthttpd a chaque fois ?

Si tu as decommentée la redirection https, c'est *impossible* qu'elle se fasse. Et y a une erreur de syntaxe dans la conf que tu postes (3 accolades a la fin).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 19:41:40
Mes tests recent ont ete fait sous firefox
je reboote le modem a chaque fois

Voici le fichier complet normalement dans le fichier complet je compte le bon nombre d'accolades mais si je me trompes je repartirais du fichier initial

server.modules = (
        "mod_access",
        "mod_alias",
        "mod_redirect",
        "mod_fastcgi",
        "mod_rewrite",
        "mod_websocket",
)

server.document-root        = "/var/www/htdocs"
server.upload-dirs          = ( "/var/tmp" )
server.errorlog             = "/var/log/lighttpd/error.log"
server.pid-file             = "/var/run/lighttpd.pid"
server.username             = "www-data"
server.groupname            = "www-data"
server.tag                  = "Server"

index-file.names            = ( "index.php", "index.html",
                                "index.htm", "default.htm",
                               " index.lighttpd.html" )

url.access-deny             = ( "~", ".inc" )

static-file.exclude-extensions = ( ".php", ".pl", ".fcgi" )

server.dir-listing          = "disable"

include "mime.conf"
include "conf-enabled/10-ssl.conf"
include "conf-enabled/15-fastcgi-php.conf"

url.rewrite-once = (
        "wan\.getInfo$" => "/api/1.0/wan.xml",
        "system\.getInfo$" => "/api/1.0/system.xml",
        "ftth\.getInfo$" => "/api/1.0/ftth.xml",
        "^(/(lib|media|ws|tests)/.*)" => "$0",
        "^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

$HTTP["scheme"] == "http" {
    $HTTP["url"] !~ "^/index.php/error/" {
        $HTTP["url"] !~ "^/api/" {
                $HTTP["host"] =~ "^(.*)$" {
                        url.redirect = (
                                        "^(.*)$" => "https://%1$1"
                        )
                }
   }
   }
}

websocket.server = (
    "/ws/stats" => ( "host" => "/tmp/ubnt.socket.statsd",
                     "port" => "1" ),
    "/ws/cli" => ( "host" => "/tmp/ubnt.socket.cli",
                   "port" => "1",
                   "type" => "bin" )
)

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 20:58:31
Je comprends pas.

Bon j'ai flashé hier la beta1, donc perdu toutes mes modifs.

Parfait pour retester "from scratch".
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 21:02:42
Ok je vais faire pareil pour le serveur web
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 21:12:25
Voici exactement les commandes que je saisis :

sudo -i
cd /var/www/htdocs/
mkdir api
mkdir api/1.0/

La j'ai mon dossier de créé.

Go fichiers :
cd api/1.0/
echo "system" > system.xml
echo "wan" > wan.xml
echo "ftth" > ftth.xml

J'ai donc bien mes fichiers au bon endroit (avec un contenu a la con)

root@ubnt:/var/www/htdocs/api/1.0# ls
ftth.xml    system.xml  wan.xml

Ensuite la conf de lighthttpd :

Je rajoute 3 lignes dans le url.rewrite-once, puis je modifie le https :

url.rewrite-once = (
        "wan\.getInfo$" => "/api/1.0/wan.xml",
                "system\.getInfo$" => "/api/1.0/system.xml",
                        "ftth\.getInfo$" => "/api/1.0/ftth.xml",
        "^(/(lib|media|ws|tests)/.*)" => "$0",
        "^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

$HTTP["scheme"] == "http" {
    $HTTP["url"] !~ "^/index.php/error/" {
$HTTP["url"] !~ "^/api/" {
        $HTTP["host"] =~ "^(.*)$" {
                url.redirect = (
                        "^(.*)$" => "https://%1$1"
                )
        }
    }
    }
}

Je tue et relance lighthttpd.

Je cherche le pid
root@ubnt:/var/www/htdocs/api/1.0# ps ax | grep [l]ight     
 1704 ?        S      0:30 /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf

Je tue

kill 1704
Je relance

/usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf[/code]

Je go sur https://192.168.2.1/api/1.0/?method=system.getinfo

Et BOOM CA MARCHE PAS

{"success":false,"errors":["Invalid API method"]}
(C le php de la GUi qui répond)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 21:12:40
Je regarde ce qui cloche :p
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 21:35:43
Si ca te rassure je viens  de tout suivre avec le meme resultat
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 21:36:18
J'ai trouvé, suis en train de rédiger/verifier.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 21:41:15
Bon fini de me battre avec le rewrite, simple et efficace :

On va tout envoyer sur un index.php qui va gérer le contenu.

Dans la conf lighthttpd :

url.rewrite-once = (
        "^(/api/1.0/.*)" => "$0",                                       
        "^(/(lib|media|ws|tests)/.*)" => "$0",                 
        "^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"           
)                                                   
                                                   
$HTTP["scheme"] == "http" {                         
    $HTTP["url"] !~ "^/index.php/error/" {
    $HTTP["url"] !~ "^/api/1.0/" {           
        $HTTP["host"] =~ "^(.*)$" {       
                url.redirect = (         
                        "^(.*)$" => "https://%1$1"
                )                                 
        }                                         
    }                                             
    }           
}   

2 modifs toutes simples pour accéder a /api/1.0/

Ensuite dans le dossier "api/1.0/" a coté des XML qu'on a créés avant, on crée un fichier index.php qui contient :

<?php 
header
('Content-Type: application/xml; charset=utf-8');
if (isset(
$_GET['method'])){
$method $_GET['method'];
switch ($method) {
case "system.getInfo":
echo file_get_contents('system.xml');
break;
case 'lan.getHostsList':
echo file_get_contents('lan.xml');
break;
case 'wan.getInfo':
echo file_get_contents('wan.xml');
break;

}
return;
}
?>



Voila fini, tu confirmes ?

Comme ca j'édite le premier pavé avec la bonne méthode et tu peux la mettre de coté ta FP :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 21:42:44
C'est pas genial comme méthode, mais ca pose en rien problème, on ne devrait pas avoir besoin de faire appel au PHP, mais bon...
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 21:45:17
Ca marche que en https :D
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 21:51:08
Petit problème avec la règle de rewrite qu'on corrige en enlevant le slash a la fin du chemin de api/1.0

url.rewrite-once = (
        "^(/api/1.0.*)" => "$0",                                       
        "^(/(lib|media|ws|tests)/.*)" => "$0",                 
        "^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"           
)

Le bas change pas.

Dans le cas precedent, le .* doit pas être satisfait, .? passe pas, enlever le slash recoud le probeme sans effet indesirable
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 21:58:06
Je teste ca
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 22:06:46
Erreur d'analyse XML : aucun élèment trouvé
Emplacement : https://192.168.2.1/api/1.0/?method=wan.getinfo
Numéro de ligne 1, Colonne 1 :


Je relis tes differents post pour voir si j'ai loupe un truc
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 22:07:37
Faut les majuscules :)

C'est a mon avis un pb qu'on a depuis le debut :D

Essaye : https://192.168.2.1/api/1.0/?method=wan.getinfo
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 22:10:28
Dans ton fichier php, tu mets des double cote pour le system.getInfo et des simple cote pour les autres. C'est pas grave ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 22:11:14
C'est pas bien mais c'est pas grave non.

Si c'est la bonne méthode je corrigerai et ferai aussi en sorte que peu importe les majuscules.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 10 mai 2014 à 22:12:58
Erreur d'analyse XML : aucun élèment trouvé
Emplacement : https://192.168.2.1/api/1.0/?method=wan.getinfo
Numéro de ligne 1, Colonne 1 :

Toujours la meme erreur, dans ton fichier index.php le getInfo est ecrit avec une majuscule sur le I

J'ai tente aussi sans succes

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 22:13:56
Faut bien mettre les majuscules, désolé, mon copier coller qui bug, ou le forum qui corrige ?

test : http://192.168.2.1/api/1.0/?method=system.getInfo (http://192.168.2.1/api/1.0/?method=system.getInfo)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 10 mai 2014 à 22:20:01
Le mieux serait sûrement de faire ça de manière insensible à la casse (http://www.php.net/manual/fr/function.strtolower.php).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 22:21:29
Pour ma part, j'ai des pages blanches que ça soit en http ou https lorsque j'essaye d'accéder aux url. J'ai redémarré le routeur et vidé le cache du navigateur :(
Voici mes fichiers:
index.php
<?php 
header
('Content-Type: application/xml; charset=utf-8');
if (isset(
$_GET['method'])){
$method $_GET['method'];
switch ($method) {
case "system.getInfo":
echo file_get_contents('system.xml');
break;
case 'lan.getHostsList':
echo file_get_contents('lan.xml');
break;
case 'wan.getInfo':
echo file_get_contents('wan.xml');
break;
case 'ftth.getInfo":
echo file_get_contents(ftth.xml);
break;

}
return;
}
?>

lighttpd.conf
url.rewrite-once = (
"^(/api/1.0.*)" => "$0",
"^(/(lib|media|ws|tests)/.*)" => "$0",
"^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

$HTTP["scheme"] == "http" {
    $HTTP["url"] !~ "^/index.php/error/" {
    $HTTP["url"] !~ "^/api/1.0/" {     
$HTTP["host"] =~ "^(.*)$" {
url.redirect = (
"^(.*)$" => "https://%1$1"
)
}
    }
    }
}
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 10 mai 2014 à 22:24:40
C'est laborieux :D

On est en train de tester sur skype avec tivoli.

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 10 mai 2014 à 22:28:55
Pas si simple que ça avec SFR :p

Invitez moi dans la conversation :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 11 mai 2014 à 07:50:38
 set service  dhcp-server shared-network-name LAN subnet 192.168.1.0/24 ntp-server 192.168.1.1
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 11 mai 2014 à 13:04:10
:D

Alors ca donne quoi vos affaires ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 11 mai 2014 à 13:30:39
Les fluxs tv arrivent désormais en autorisant les paquet de type "new" sur le firewall. Par contre, tout l'accès internet tombe, le décodeur devient ultra lent et ne sait pas afficher des flux Fibre HD (erreur débit max atteint)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 11 mai 2014 à 13:32:32
Ah votre firewall, virez moi ca :P

Ca ressemble a de l'igmp qui se ballade par tout ton truc.

Tu peux me me dire ce que tu vois dans la GUI coté traffic sur les interfaces quand tu as la TV ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Haldir le 11 mai 2014 à 15:13:26
Le offloading semble causer le pb de net et de stb ultra lente. Après désactivation, il est possible de conserver internet ainsi que d'accéder aux flux Fibre HD mais grosse baisse de débit sur le net : 800 -> 250
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 11 mai 2014 à 23:01:00
Réponse au MP de c0mm0n :

Je sollicite ton aide sur l'implementation edgemax de SFR
[...]
Tu peux me répondre directement sur le topic sfr / edgemax.
Pour information, tu n'as pas besoin de m'envoyer un MP pour ça, je lis ou au moins survole tous les messages du forum.

Je supporte Haldir et Tivoli sur la partie edgemax ici : https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/ (https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/)
Mais a priori on a fini d'implementer les infos disponibles sans que tout fonctionne (replay...).

Quand je lis le topic "amelioration", ton post m'interpelle, il y a bien du Vlan mais je ne trouve pas la description de ce setup.
Il y a bien des VLAN en FTTH ? J'ai plutôt cru comprendre le contraire... (il y a des chances que j'aie dit n'importe quoi sur le sujet « Amélioration ByPass Neufbox », n'étant pas encore très renseigné sur les différences entre les offres ADSL et FTTH niveau réseau)

Ta config me rappelle grandement celle d'orange, un bridge par "activité", les replays doivent probablement être relayés sur le bridge video et non sur internet, etc...
Ce n'est pas « ma » config, mais la config de ma Neufbox 6 (récupérée via SSH), et c'est en ADSL.

Si tu souhaites voir comment la Neufbox se configure à son démarrage (cela se fait majoritairement avec des scripts shell), tu as la possibilité de :
Ne pouvant pas moi meme testé, et ayant remarqué que tu maitrisais SFR, je pense que tu peux être la clé de notre tentative.
Je n'ai pas de connexion FTTH, ni de décodeur TV, donc je ne suis pas sûr de pouvoir t'être d'une très grande aide.

La première chose à faire doit être de capturer ce qui passe entre le décodeur et la box, en temps normal et avec bypass.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 11 mai 2014 à 23:06:02
Merci, c'est tivoli qui va s'y coller.

Ton post avec les différents bridge m'interpelle : est ce que tu pourrais poster les retours de "ifconfig" et "ip route" sur ta box ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 11 mai 2014 à 23:08:25
Mais concernant le setup je suis curieux quand meme de pas trouver toutes les infos.

Si qqn a une box rootée sur une connection fibre, y a qu'a regarder 2/3 fichiers pour avoir quasi toute la config en details, non ? Y a une énorme activité autour de la NB et personne n'aurait jamais fait ca ?

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 11 mai 2014 à 23:18:47
Ton post avec les différents bridge m'interpelle : est ce que tu pourrais poster les retours de "ifconfig" et "ip route" sur ta box ?

En ADSL et sans TV toujours (rappelons-nous qu'il n'est pas question de VLAN 802.1Q mais de VC/VP ATM) :

root@nb6:~# ifconfig
bcmsw     Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:54 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5321616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7391948 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:712149827 (679.1 MiB)  TX bytes:3556953516 (3.3 GiB)
          Base address:0xda00

eth0      Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:50 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:5321616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7391948 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:712149827 (679.1 MiB)  TX bytes:3556953516 (3.3 GiB)
         

eth0.1    Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:50 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5321616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7311783 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:584431043 (557.3 MiB)  TX bytes:3489602220 (3.2 GiB)

eth0.2    Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:50 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:80162 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:35981514 (34.3 MiB)

hotspot0  Link encap:Ethernet  HWaddr AA:A1:D7:XX:XX:55 
          inet addr:192.168.2.129  Bcast:192.168.2.255  Mask:255.255.255.128
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1845090 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1700136 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:181447166 (173.0 MiB)  TX bytes:1797078709 (1.6 GiB)

ifb0      Link encap:Ethernet  HWaddr 96:8A:C7:ED:58:40 
          UP BROADCAST RUNNING NOARP  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:32
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lan0      Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:50 
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::e2a1:d7ff:feXX:XX50/64 Scope:Link
          inet6 addr: 2a00:5e80:XXX:XXXX::1/64 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:7678760 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11517230 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:831773240 (793.2 MiB)  TX bytes:119866934 (114.3 MiB)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:869 errors:0 dropped:0 overruns:0 frame:0
          TX packets:869 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:128177 (125.1 KiB)  TX bytes:128177 (125.1 KiB)

mv0       Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:52 
          UP BROADCAST RUNNING  MTU:1500  Metric:1
          RX packets:417095 errors:0 dropped:0 overruns:0 frame:0
          TX packets:401349 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:85276166 (81.3 MiB)  TX bytes:84327940 (80.4 MiB)

mv1       Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:51 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:19544 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1175914 (1.1 MiB)  TX bytes:88 (88.0 B)

mv2       Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:53 
          UP BROADCAST RUNNING  MTU:1500  Metric:1
          RX packets:12901097 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9187885 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2088408812 (1.9 GiB)  TX bytes:1260761296 (1.1 GiB)

nas_0_48  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:5F 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:95425350 (91.0 MiB)

nas_0_49  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:5B 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:290053 (283.2 KiB)

nas_0_50  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:5C 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

nas_0_51  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:5D 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

nas_0_52  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:5E 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

nas_0_53  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:61 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

nas_0_54  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:62 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

nas_0_55  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:63 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

nas_0_65  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:60 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4803 errors:0 dropped:4 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

nas_8_35  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:65 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:2970889 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9589008 errors:0 dropped:231 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3414599168 (3.1 GiB)  TX bytes:1241257305 (1.1 GiB)

nas_8_36  Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:4F 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:80144 errors:0 dropped:18 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

ppp0      Link encap:Point-to-Point Protocol 
          inet addr:85.117.148.XXX  P-t-P:85.117.148.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:2877465 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2005123 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:3311910364 (3.0 GiB)  TX bytes:237024912 (226.0 MiB)

ppp1      Link encap:Point-to-Point Protocol 
          inet6 addr: fe80::e2a1:d7ff:feXX:XX50/10 Scope:Link
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1453  Metric:1
          RX packets:1145170 errors:0 dropped:0 overruns:0 frame:0
          TX packets:688643 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:1334184635 (1.2 GiB)  TX bytes:69208808 (66.0 MiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet addr:192.168.2.1  P-t-P:192.168.2.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING  MTU:1500  Metric:1
          RX packets:346477 errors:0 dropped:0 overruns:0 frame:0
          TX packets:324394 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:36534365 (34.8 MiB)  TX bytes:314394449 (299.8 MiB)

tv0       Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:51 
          inet addr:10.0.0.1  Bcast:10.0.0.3  Mask:255.255.255.252
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:19544 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:902298 (881.1 KiB)  TX bytes:42 (42.0 B)

voip0     Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:52 
          inet addr:10.251.73.XXX  Bcast:10.251.73.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:417095 errors:0 dropped:0 overruns:0 frame:0
          TX packets:401348 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:79436836 (75.7 MiB)  TX bytes:84327894 (80.4 MiB)

wan0      Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:4F 
          inet addr:192.168.4.1  Bcast:192.168.4.255  Mask:255.255.255.0
          inet6 addr: fe80::c896:67ff:fed3:68c9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:80166 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:35661190 (34.0 MiB)

wl0       Link encap:Ethernet  HWaddr E0:A1:D7:XX:XX:54 
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2268979 errors:0 dropped:0 overruns:0 frame:16853055
          TX packets:4408290 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:293948904 (280.3 MiB)  TX bytes:1075500406 (1.0 GiB)
          Interrupt:15

wl0.1     Link encap:Ethernet  HWaddr AA:A1:D7:XX:XX:55 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:1836381 errors:0 dropped:0 overruns:0 frame:16853055
          TX packets:1690821 errors:1 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:205711808 (196.1 MiB)  TX bytes:1800973822 (1.6 GiB)

wl0.3     Link encap:Ethernet  HWaddr AA:A1:D7:XX:XX:57 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:7777 errors:0 dropped:0 overruns:0 frame:16853055
          TX packets:9209 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1470158 (1.4 MiB)  TX bytes:9585846 (9.1 MiB)

root@nb6:~# ip route
93.20.51.215 via 85.117.148.1 dev ppp0
109.0.66.20 via 85.117.148.1 dev ppp0
85.117.148.1 dev ppp0  proto kernel  scope link  src 85.117.148.XXX
109.6.1.72 via 85.117.148.1 dev ppp0
109.0.66.10 via 85.117.148.1 dev ppp0
172.16.255.252/30 dev lan0  proto kernel  scope link  src 172.16.255.254
10.0.0.0/30 dev tv0  proto kernel  scope link  src 10.0.0.1
192.168.2.128/25 dev hotspot0  proto kernel  scope link  src 192.168.2.129
192.168.4.0/24 dev wan0  proto kernel  scope link  src 192.168.4.1
192.168.2.0/24 dev tun0  proto kernel  scope link  src 192.168.2.1
192.168.1.0/24 dev lan0  proto kernel  scope link  src 192.168.1.1
10.251.73.0/24 dev voip0  proto kernel  scope link  src 10.251.73.XXX
default via 10.251.73.1 dev voip0

Mais concernant le setup je suis curieux quand meme de pas trouver toutes les infos.

Si qqn a une box rootée sur une connection fibre, y a qu'a regarder 2/3 fichiers pour avoir quasi toute la config en details, non ? Y a une énorme activité autour de la NB et personne n'aurait jamais fait ca ?

Je dirais qu'il n'y a même pas vraiment besoin d'avoir une box rootée, tu as la possibilité de télécharger et analyser le firmware comme je l'ai dit plus haut.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 12 mai 2014 à 00:22:18
Merci j'ai récupéré le contenu du firmware tres intéressant.

Avec tes infos sur les fichiers de conf xml, on arrive a recomposer le puzzle.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 12 mai 2014 à 00:30:31
Bingo.

<?xml version="1.0"?>
<topology>
<!-- switch -->
<interface mac="0" ifname="eth0"/>
<!-- lan -->
<interface service="lan" ipv6="lan" type="bridge" ifname="lan0" config="user" ipalias="172.16.255.254/30">
<interface mac="0" type="vlan" vid="1" interface="eth0" ifname="eth0.1" tags="cpu" untags="port1 port2 port3 port4"/>
<interface type="wireless" ifname="wl0" bss="0" config="user"/>
<interface type="wireless" ifname="wl0.2" bss="2" config="ses"/>
</interface>
<!-- hotpsot -->
<interface type="ifb" ifname="ifb0" interface="lan0" interface="hotspot0"/>
<interface service="hotspot" type="virtual" interface="hotspot0" config="hotspot" ipaddr="192.168.2.1/24">
<interface service="hotspot" type="tun" ifname="tun0" interface="hotspot0" config="portail" ipaddr="192.168.2.65/26"/>
<interface service="hotspot" type="bridge" ifname="hotspot0" config="eapsim" ipaddr="192.168.2.129/25">
<interface type="wireless" ifname="wl0.1" bss="1" config="portail"/>
<interface type="wireless" ifname="wl0.3" bss="3" config="eapsim"/>
</interface>
</interface>
<!-- adsl -->
<interface mac="21" type="atm" pvcid="8.35" qos="1" queues="1 3 7" ifname="nas_8_35"/>
<interface service="data" mac="3" type="macvlan" interface="nas_8_35" multicast="off" ifname="mv2" config="ppp-adsl"/>
<interface name="voip" service="voip" type="bridge" ifname="voip0" config="dhcp">
<interface mac="2" type="macvlan" interface="nas_8_35" multicast="off" ifname="mv0"/>
<interface mac="16" type="atm" pvcid="0.65" queues="7" ifname="nas_0_65"/>
</interface>
<interface name="tv" service="iptv" type="bridge" ifname="tv0" config="dhcp">
<interface mac="1" type="macvlan" interface="nas_8_35" ifname="mv1"/>
<interface mac="15" type="atm" pvcid="0.48" queues="7" ifname="nas_0_48"/>
<interface mac="11" type="atm" pvcid="0.49" queues="7" ifname="nas_0_49"/>
<interface mac="12" type="atm" pvcid="0.50" queues="7" ifname="nas_0_50"/>
<interface mac="13" type="atm" pvcid="0.51" queues="7" ifname="nas_0_51"/>
<interface mac="14" type="atm" pvcid="0.52" queues="7" ifname="nas_0_52"/>
<interface mac="17" type="atm" pvcid="0.53" queues="7" ifname="nas_0_53"/>
<interface mac="18" type="atm" pvcid="0.54" queues="7" ifname="nas_0_54"/>
<interface mac="19" type="atm" pvcid="0.55" queues="7" ifname="nas_0_55"/>
</interface>
<!-- wan -->
<interface name="wan" ipv6="dhcp6" service="data" service="voip" service="iptv" service="ont" type="bridge" ifname="wan0" config="dhcp" ipalias="192.168.4.1/24">
<interface mac="0" type="vlan" vid="2" interface="eth0" ifname="eth0.2" tags="cpu" untags="port0"/>
<interface mac="-1" type="atm" pvcid="8.36" qos="1" queues="1 3 7" ifname="nas_8_36"/>
</interface>
</topology>
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 12 mai 2014 à 00:32:03
Y a bien une partie adsl et une partie fibre (wan).

Le reste est commun.

Donc un bridge video, un bridge voip exactement comme chez orange.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: jeremyp3 le 12 mai 2014 à 03:43:05
bonjour,

jamais configuré de vlan ici et sfr fibre fonctionne nikel, internet, tv. concernant les vod, je ne sais pas jamais testé. allez voir le tuto de jewome62 ici : https://lafibre.info/sfr-espace-technique/bypasser-la-neufbox/

jerem
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 12 mai 2014 à 03:44:53
Oui et tu peux voir le topic a coté ou en fait ca marche a moitié.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Florian le 12 mai 2014 à 11:30:09
Le offloading semble causer le pb de net et de stb ultra lente. Après désactivation, il est possible de conserver internet ainsi que d'accéder aux flux Fibre HD mais grosse baisse de débit sur le net : 800 -> 250

Ouch. Marrant, à ma connaissance l'offloading marche bien sur la config Orange ? Vous pensez que ce bug de l'offloading dans le cas d'SFR est remontable chez Ubi ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 12 mai 2014 à 13:43:42
C'est deja remonté a ubnt, je pense, dans le cas d'orange on pouvait remarquer un bug similaire mais non gênant.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 12 mai 2014 à 17:01:40
Pleins d'infos ici : http://www.neufbox4.org/wiki/index.php?title=Interfaces_r%C3%A9seaux (http://www.neufbox4.org/wiki/index.php?title=Interfaces_r%C3%A9seaux)

Au niveau IGMP
Le proxy :

tv0 est l'upstream Interface
lan0 la downstream Interface

Si ceci se verifie (c cité pour de l'adsl), le bug de l'offload serait réglé.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Florian le 12 mai 2014 à 17:38:11
A la base, d'où vient le bug ? (Et du coup pourquoi connaitre ces infos le corrigerait ?)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 12 mai 2014 à 17:40:24
Bug = la techno d'accelmeration d'ubnt qui avait pas prévu / testé ce cas.

Pq ca corrigerait ?

Parce que la TV passerait par un autre chemin que le net.

Mais c'est très très présomptueux de conclure, on sait pas vraiment.

Faut qqn avec une neufbox rootée en fibre :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 12 mai 2014 à 17:43:31
En fibre la neufbox n'est pas vendue il me semble
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 12 mai 2014 à 17:44:52
Heureusement que t'es la pour capturer alors :P
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 12 mai 2014 à 20:58:40
Captures faites tu as le lien dans skype :-)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: neal le 07 juin 2014 à 17:11:33
Bonjour,

 vous avez réussi à faire la partie tel ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 07 juin 2014 à 17:12:44
C'est resté bloqué au replay et au tel.

Je pense que toutes les infos sont réunies, mais personnellement, je peux pas tester donc c'est assez compliqué.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: neal le 07 juin 2014 à 17:38:59
Y aurait il quelqu'un qui a réussi pour le tel (au moins)?

Si non pour toi c0mm0n , tu utilises toujours la edgemax chez orange , t'arrive à avoir tout les services ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 07 juin 2014 à 17:40:21
Oui tous les services, et une stabilité qui est très impressionnante.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: neal le 07 juin 2014 à 17:43:01
J'hesite vraiment entre orange et sfr juste pour ça ... En sachant que je suis éligible 1Go/s chez sfr ..
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 07 juin 2014 à 17:51:10
Je connais pas bien l'offre SFR, mais je choisirais pas sur le debit. : 500mb, 1gps pour un foyer normal meme avec 2/3 gros geeks, a part le speed test tu vois pas la difference.

Et Orange a commencé les tests 1gbps donc ca va venir.

Regarde les autres points, prix, service, box tv, etc...
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: neal le 07 juin 2014 à 20:19:24
Le fait que tu n'a pas de ip fixe ne te derrenge pas?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 07 juin 2014 à 20:20:27
Moi j'ai pas le choix, j'ai pas SFR.

Mais c'est un argument pour sfr oui, meme si avec n'importe quel dyndns tu seras tranquille.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 15 juin 2014 à 22:06:52
http://community.ubnt.com/t5/EdgeMAX-Beta/Beta-release-v1-5-0rc1/m-p/874568#U874568 (http://community.ubnt.com/t5/EdgeMAX-Beta/Beta-release-v1-5-0rc1/m-p/874568#U874568)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 15 juin 2014 à 22:11:45
Christmas time :D
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: neal le 15 juin 2014 à 22:16:25
Trivoli , tu es toujours bloqué sur le tel et replay ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 16 juin 2014 à 08:05:13
Oui comme le replay est quasi infaisable et que c'est un des requirements (de madame) je me suis arrete ici
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 24 juin 2014 à 10:33:04
Pour info:

Citer
EdgeMax software release v1.5.0
http://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMax-software-release-v1-5-0/ba-p/888586 (http://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMax-software-release-v1-5-0/ba-p/888586)
Pas encore dispo au moment d'écrire ces lignes mais c'est bel et bien pour aujourd'hui.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 24 juin 2014 à 10:42:27
Cool mais pas encore dispo, content de voir qu'on est quelques un a jouer avec l'ERL
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 24 juin 2014 à 11:04:53
Cool mais pas encore dispo, content de voir qu'on est quelques un a jouer avec l'ERL
Oui, j'ai l'impression que ce sont les équipes US qui s'occupent du site Web... Et ils sont encore au lit. :)
ERL: reçu le mien la semaine dernière. Ravi, bien que très pauvrement documenté et une galère dés qu'on sort des configs de base ou si le sujet n'a pas été exploré dans un post.
Et quand il s'agit d'IPv6, c'est pire.
Pour l'instant, le newbie que je suis tache de comprendre comment aborder la partie client de xl2tpd pour se récupérer une adresse IPv6 sur SFR.
(http://wiki.openwrt.org/doc/howto/ipv6.softwire#prefix.delegation.through.dhcpv6 (http://wiki.openwrt.org/doc/howto/ipv6.softwire#prefix.delegation.through.dhcpv6))
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 26 juin 2014 à 01:58:53
Pour l'instant, le newbie que je suis tache de comprendre comment aborder la partie client de xl2tpd pour se récupérer une adresse IPv6 sur SFR.
(http://wiki.openwrt.org/doc/howto/ipv6.softwire#prefix.delegation.through.dhcpv6 (http://wiki.openwrt.org/doc/howto/ipv6.softwire#prefix.delegation.through.dhcpv6))
Si ça peut t'aider, voici quelques fichiers extraits du firmware 3.3.9 (que tu peux télécharger ici (http://download.nb6thd.neufbox.neuf.fr/nb6_Version%203.3.9/NB6-MAIN-R3.3.9) et décompresser en suivant ces instructions (http://www.neufbox4.org/wiki/index.php?title=Tuto_Rapido_NB6#Etape_1_:_Pr.C3.A9paration_des_outils_n.C3.A9cessaires)) relatifs à la configuration de l'IPv6.

/etc/init.d/ppp6ol2tp :

#!/bin/sh /etc/rc.common

logger -t "ppp6ol2tp[$$]" "$action"

TID=l2tp-IPv6

start() {
    # start l2tp
    if [ "$(status get net_data_status)" = "down" ]
    then
        logger -t "ppp6ol2tp[$$]" "data down..."
        exit 1
    fi

    # started ?
    test -e /run/xl2tpd.pid && local pid=$(cat /run/xl2tpd.pid)
    if test -n "${pid}" && kill -0 ${pid}; then
        logger -t "ppp6ol2tp[$$]" "started"
        exit 0
    fi

    # disable flowcache
    fcctl config --ipv6 0

    # xl2tpd
    mkdir -p /run/xl2tpd
    chmod a+rwx /run/xl2tpd

    xl2tpd -c /etc/xl2tpd.conf

    sleep 2

    if [ "$(status get net_data_infra)" = "adsl/ppp" ]; then
        local ppp_ipv6_login="ppp/$(status get net_data_ipaddr)@$(nbctl mac 3 ppp)"
    else
        local ppp_ipv6_login="dhcp/$(status get net_data_ipaddr)@$(nbctl mac -1 ppp)"
    fi
    status set ppp_ipv6_login ${ppp_ipv6_login}
    local autoconf_file=/tmp/autoconf/$(autoconf get wanservices_file)
    local ipv6_lns=$(roxml -q ${autoconf_file} "//ipv6/lns")
    status set net_ipv6_server ${ipv6_lns}

    # use data
    ip route add ${ipv6_lns} via $(status get net_data_gateway)

    xl2tpd-control add ${TID} hostname=${ipv6_lns} name=${ppp_ipv6_login} lns=${ipv6_lns}
#   xl2tpd-control connect ${TID} ${ppp_ipv6_login} ${ppp_ipv6_password}
}

stop() {
    status set net_ipv6_server ""
    xl2tpd-control disconnect ${TID}
    xl2tpd-control remove ${TID}

    sleep 2

    # stop xl2tpd
    test -e /run/xl2tpd.pid && pid=$(cat /run/xl2tpd.pid)
    test -z ${pid} && return
    kill ${pid}

    # enable flowcache
    fcctl config --ipv6 1
}

C'est ce script qui se charge de configurer et lancer xl2tpd.

Comme tu peux le constater, certaines variables sont dépendantes du fichier de configuration (https://lafibre.info/sfr-tutoriels/captures-reseau-du-demarrage-et-fonctionnement-de-la-neufbox-6/msg113347/#msg113347) téléchargé à son démarrage par la box. Certaines sont définies en lisant directement le fichier à l'aide de l'utilitaire roxml, d'autres sont passées en tant que variables d'environnement par d'autres binaires présents sur la Neufbox.

Il y a un paramètre que tu ne pourras pas récupérer sans chercher un peu : le mot de passe (ppp_ipv6_password), qui est chiffré dans le fichier de configuration. Heureusement, il est transmis en clair (https://lafibre.info/sfr-tutoriels/captures-reseau-du-demarrage-et-fonctionnement-de-la-neufbox-6/msg113346/#msg113346) sur le réseau lors de l'établissement de la session PPP, il suffit donc à priori de capturer ce qui passe entre la box et l'ONT au démarrage pour le connaître.

Si tu as du mal à comprendre le fonctionnement de ce script, n'hésite pas à demander des éclaircissements.

/etc/xl2tpd.conf :

[global]
;debug avp = yes
;debug network = yes
;debug state = yes
;debug tunnel = yes
port = 1701
access control = no

[lac l2tp-IPv6]
redial = yes
redial timeout = 5
hidden bit = no
;ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
require authentication = no
refuse authentication = no
refuse chap = no
flow bit = yes
length bit = yes

/etc/ppp/options.xl2tpd :

ipv6 ,
+ipv6
ipv6cp-use-persistent
lock
child-timeout 20
lcp-echo-failure 3
lcp-echo-interval 20
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 26 juin 2014 à 02:51:18
Merci Martin!

Pour le login de la session PPP, il semblerait que ce soit plutôt trivial :
Citer
For SFR, the PPP login seems to be dhcp/XX.XX.XX.XX@YYYYYYYYYYYY, where XX.XX.XX.XX is your public IP address, and YYYYYYYYYYYY is the MAC address of the WAN interface of the official box, without the colons.
Ceci dit, je m'arrache dèjà le peu de cheveux qu'il me reste en tentant de faire fonctionner l'ERL en IPv6 derrière la NB6v.
J'ai d'ailleurs posté un appel au secours sur le forum du fabricant:
http://community.ubnt.com/t5/EdgeMAX/No-luck-with-ERL-trying-to-get-IPv6-from-SFR-NB6v-box/m-p/891622#U891622 (http://community.ubnt.com/t5/EdgeMAX/No-luck-with-ERL-trying-to-get-IPv6-from-SFR-NB6v-box/m-p/891622#U891622)
Si je n'arrive pas à me faire respecter de wide-dhcpv6-client ou de radvd dans une config plus simple, attaquer la question d'un bypass complet me parait bien présomptueux. :)
Reste que le fait de devoir modifier des fichiers de conf en dur avec une IP publique qui est "fixe mais qui peut changer quand même" me gêne beaucoup sur le principe.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 02 juillet 2014 à 00:05:35
Si ça peut t'aider, voici quelques fichiers extraits du firmware 3.3.9 (que tu peux télécharger ici (http://download.nb6thd.neufbox.neuf.fr/nb6_Version%203.3.9/NB6-MAIN-R3.3.9) et décompresser en suivant ces instructions (http://www.neufbox4.org/wiki/index.php?title=Tuto_Rapido_NB6#Etape_1_:_Pr.C3.A9paration_des_outils_n.C3.A9cessaires)) relatifs à la configuration de l'IPv6.

Tu aurais les versions NB6v ou c'est les memes ? J'ai pu extraire moi l'image NB6 en suivant ton lien mais pour NB6v c'est plus le meme systeme, j'ai suivi ce post (http://www.neufbox4.org/forum/viewtopic.php?pid=32951#p32951) mais je bute sur un patch qui fait des erreurs (patch de mtd-utils-1.4.5   de SGA). J'ai pas envie de passer des heures a trouver le probleme pour juste n'utiliser le programme qu'une seul fois.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 02 juillet 2014 à 00:18:51
Tu aurais les versions NB6v ou c'est les memes ?
Ce sont les mêmes.

J'ai pu extraire moi l'image NB6 en suivant ton lien mais pour NB6v c'est plus le meme systeme, j'ai suivi ce post (http://www.neufbox4.org/forum/viewtopic.php?pid=32951#p32951) mais je bute sur un patch qui fait des erreurs (patch de mtd-utils-1.4.5   de SGA).
Si tu donnes les erreurs je pourrai peut-être t'aider.

Un tutoriel plus détaillé pour l'extraction du firmware NB6V est disponible ici sinon : http://www.neufbox4.org/wiki/index.php?title=Tuto_Rapido_NB6V (http://www.neufbox4.org/wiki/index.php?title=Tuto_Rapido_NB6V)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 02 juillet 2014 à 01:57:55
Ce sont les mêmes.
Si tu donnes les erreurs je pourrai peut-être t'aider.

Un tutoriel plus détaillé pour l'extraction du firmware NB6V est disponible ici sinon : http://www.neufbox4.org/wiki/index.php?title=Tuto_Rapido_NB6V (http://www.neufbox4.org/wiki/index.php?title=Tuto_Rapido_NB6V)

ok merci je vois ca.

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 06 juillet 2014 à 17:29:21
Oui comme le replay est quasi infaisable et que c'est un des requirements (de madame) je me suis arrete ici

je ne suis pas d'accord :D

Pour moi "on" a toutes les infos, tous les elements sont sur la table, il manque pas grand chose pour finir, faut s'y remettre.
Pour ma part sans matos SFR malheureusement je ne peux pas être moteur sur cette phase, qui demande du test, de la capture en miroir, etc...

D'ailleurs normalement, tu dois avoir le full debit avec le flux TV depuis les dernières mises a jour ubiquiti.

Tel qu'on en avait parlé je pense qu'il faut monter un topic pour ca, en parler sur le forum neufbox.xxx, rameuter le plus de monde possible.

Gogogo :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 08 juillet 2014 à 23:10:01
En effet, on a encore du boulot sur ce sujet.

Quelques remarques rapides alors que j'essaie de mettre en place mon bypass :

À propos des .xml, j'ai remarqué ce qui suit :

<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<system product_id="NB6V-SER-r0" mac_addr="xx:xx:xx:xx:xx:xx" net_mode="router" net_infra="ftth" uptime="123456789" version_mainfirmware="NB6V-MAIN-R3.3.9" version_rescuefirmware="NB6V-MAIN-R3.3.3" version_bootloader="NB6-BOOTLOADER-R3.3.2" version_dsldriver="NB6V-XDSL-A2pv6F038m" current_datetime="201407080100" refclient=""/>
</rsp>
=> refclient = "" (je m'attendais à y voir mes références)

et

<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<wan status="up" uptime="999999" ip_addr="xx.xxx.xx.xxx" infra="ftth" mode="ftth/routed"/>                   
</rsp>
=> mode = "ftth/routed" (non présent dans les précédents posts)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 08 juillet 2014 à 23:19:59
Pour moi :
1. Les infos XML sont dans les captures de Marin, dans le topic a coté avec tous les echanges de la NeufBox.
2. Le schéma de base est sur le wiki de neufbox.org et il me parait "bon".
3. De tete il y a un sous réseau pour la video il me semble, ce sous réseau porte probablement les routes statiques du XML

Je dis ca de mémoire, donc a verifier.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 09 juillet 2014 à 01:16:44
A part pour 'la gloire' de faire ca ou pour un besoin très spécifique il n'y a  quasi pas d’intérêt a bypasser la neufbox.
En effet, en moins d'une minute on peut la rooter et avoir un acces ssh dessus avec tout le droits ou meme changer completement son systeme. Contrairement aux autres FAI donc, la neufbox est "hackable" et ca pose pas de souci a SFR (dans une certaine mesure).

Mais bon pour 'la gloire' , pourquoi pas:)
Dans ce cas, plutot que de se baser sur des captures il suffit d'examiner les scripts qu'il y a dans la neufbox, tout est la, y'a plus qu'a 'refaire' dans l'ERL (s'il le permet). Vous gagnerez donc beaucoup de temps a télécharger le dernier firmware et a l'extraire pour avoir le contenu de ces scripts sous la main. Pas besoin de rooter/flasher sa NB6v donc, ni meme d'etre chez SFR en fait.
tout est la : http://neufbox.alwaysdata.net/ (http://neufbox.alwaysdata.net/)
pour la NB6v c'est mieux par la: http://www.neufbox4.org/wiki/index.php?title=Tuto_Rapido_NB6V (http://www.neufbox4.org/wiki/index.php?title=Tuto_Rapido_NB6V)

J'ai un ERL et une NB6v 'rootée' donc si vous butez sur un point n’hésitez pas a demander (meme si j'ai pas l'intention de bypasser ma neufbox pour le moment, j'aime bien les bidouilles 'juste pour la gloire' ;) )
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 01:29:17
"Pour la gloire", le challenge à relever, sont des raisons suffisantes.

Et plus fondamentalement, reprendre pour soi le choix envers son matériel, ses conditions de sécurité et de transport de ses données me paraissent aussi des points raisonnables.

De plus, pour ma part, creuser dans ces sujets m'amêne à approfondir mes connaissances générales sur les réseaux.

Bref, ce sujet est sur le bypass avec l'ERL et non sa remise en cause, n'est-ce-pas?  ;)

Merci pour les liens, Kgersen!
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 05:48:45
Besoin de vos lumières...

Le Décodeur démarre!  ;D
Mais j'ai écran noir puis message "Signal TV indisponible". Erreur SL12.

Je vois ceci sur l'ERL avec un show ip multicast mfc (192.168.1.20 = le décodeur TV. eth0 = WAN, eth1 = LAN "normal", eth2 = zone NB6v) :
Group           Origin           In     Out           Pkts         Bytes  Wrong
239.255.255.250 192.168.1.20     eth0   eth1          2186      979.20KB   2186
239.255.255.250 192.168.1.20     eth0   eth2          2186      979.20KB   2186
239.255.255.250 10.0.10.100      eth0   eth1             2       330.00b      2
239.255.255.250 10.0.10.100      eth0   eth2             2       330.00b      2

Le Firewall ?
J'ai mis une rêgle (N°50) pour IGMP, sans succès :
name WAN_IN {
     default-action drop
     description "WAN to internal"
     enable-default-log
     rule 10 {
         action accept
         description "Allow established/related"
         log disable
         state {
             established enable
             invalid disable
             new disable
             related enable
         }
     }
     rule 20 {
         action drop
         description "Drop invalid state"
         log disable
         protocol all
         state {
             established disable
             invalid enable
             new disable
             related disable
         }
     }
     rule 50 {
         action accept
         description "IGMP for NB6v_LAN"
         destination {
             address 192.168.1.20
         }
         log disable
         protocol igmp
         state {
             established enable
             invalid disable
             new enable
             related enable
         }
     }
 }

Avez-vous des suggestions?

Ai-je besoin de UPnP pour le décodeur? Actuellement, j'ai uniquement :
root@ubnt# show service nat
 rule 5010 {
     description "Masquerade for WAN"
     log disable
     outbound-interface eth0
     type masquerade
 }
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 09 juillet 2014 à 07:44:51
le decodeur (.24 chez moi) ouvre toujours un port par UPnP:

DNAT       tcp  --  anywhere             anywhere            tcp dpt:1290 to:192.168.1.24:8000

donc : port interne 8000 et port externe 1290

et ce meme si l'upnp est désactivé dans l'interface web de la neufbox (ils font ca par une regle iptable qui exclus tout le lan sauf les décodeurs TV).

voila en entier, le fichier /etc/init.d/iptv qui configure la partie TV de la NB:
#!/bin/sh /etc/rc.common

EXTRA_COMMANDS="check"

net_tv_infra=$(status get net_tv_infra)
net_tv_ifname=$(status get net_tv_ifname)
net_tv_ipaddr=$(status get net_tv_ipaddr)
net_tv_netmask=$(status get net_tv_netmask)
net_tv_broadcast=$(status get net_tv_broadcast)
net_tv_gateway=$(status get net_tv_gateway)
autoconf_file=/tmp/autoconf/$(autoconf get iptv_file)
test -e /tmp/iptv.infra && net_tv_infra=$(cat /tmp/iptv.infra)

mcast_net="224.0.0.0/4"
iptv_pp_pfs="86.66.127.160/27"

logger -t "iptv[$$]" "$action [${net_tv_infra}]"

boot() {
[ "$(nvram get net_mode)" = "bridge" ] && mode="-bridge"
local topology_conf=/etc/config/topology${mode}.xml
[ -e ${topology_conf} ] || topology_conf=/etc/default/topology${mode}.xml
test -z "$(roxml -q ${topology_conf} '//interface[@service=iptv]/@name')" && exit 0

lock /run/lock/iptv.lock

# iptv QoS
xtables -t mangle -N iptv_QoS
xtables -t mangle -A iptv_QoS -j MARK --set-mark 7
xtables -t mangle -A iptv_QoS -j ACCEPT

# Multicast streams
# early accept
iptables -I INPUT -d ${mcast_net} -j ACCEPT
iptables -I FORWARD -d ${mcast_net} -j ACCEPT
iptables -t mangle -I FORWARD -d ${mcast_net} -j ACCEPT
# accept igmp
iptables -A INPUT -p igmp -j ACCEPT

# igmp dscp
iptables -t mangle -A OUTPUT -j DSCP --set-dscp 044 -p igmp
iptables -t mangle -A OUTPUT -j iptv_QoS -p igmp

xtables -t mangle -N iptv_pfs
# Pure Pixel
iptables -t mangle -A iptv_pfs -j iptv_QoS -p udp -m multiport --dports 1664,2664
iptables -t mangle -A iptv_pfs -j iptv_QoS -p tcp -m tcp --dport rtsp


# enable IGMP snooping
for ifname in $(roxml -q ${topology_conf} '//interface[@type=bridge]/@ifname'); do
local syscfg="/sys/class/net/${ifname}/bridge/multicast_snooping"
[ -e ${syscfg} ] && echo 0 > ${syscfg}
done
local syscfg="/sys/class/net/$(status get lan_ifname)/bridge/multicast_snooping"
[ -e ${syscfg} ] && echo 1 > ${syscfg}

# wrapper
wrapper -t iptv -p /run/iptv-wrapper.pid

lock -u /run/lock/iptv.lock
}

dhcpc_tv_setup() {
dhcpc_tv_ifname=$(status get dhcpc_tv_ifname)

IPADDR=${net_tv_ipaddr}
eval $(ipcalc -bp ${net_tv_ipaddr} ${net_tv_netmask})
ip link set ${dhcpc_tv_ifname} up
ip -6 route flush dev ${dhcpc_tv_ifname}
if test -n "${net_tv_broadcast}"; then
BROADCAST="broadcast ${net_tv_broadcast}"
else
BROADCAST="broadcast ${BROADCAST}"
fi
ip addr add ${IPADDR}/${PREFIX} ${BROADCAST} dev ${dhcpc_tv_ifname}
sysctl -w net.ipv4.conf.${dhcpc_tv_ifname}.rp_filter=0

[ "${net_tv_infra}" = "adsl/noip" ] && return

# snat
iptables -t nat -A POSTROUTING -o ${dhcpc_tv_ifname} -j SNAT --to ${net_tv_ipaddr}
for net in $(roxml -q ${autoconf_file} '//pfstv-list/net'); do
ip route add ${net} via ${net_tv_gateway} dev ${dhcpc_tv_ifname} table lan_t
done
ip route flush cache
}

dhcpc_tv_cleanup() {
dhcpc_tv_ifname=$(status get dhcpc_tv_ifname)

# snat
iptables -t nat -D POSTROUTING -o ${dhcpc_tv_ifname} -j SNAT --to ${net_tv_ipaddr}

sysctl -w net.ipv4.conf.${dhcpc_tv_ifname}.rp_filter=1
ip link set ${dhcpc_tv_ifname} down
ip addr flush dev ${dhcpc_tv_ifname}
ip route flush cache
}

igmpproxy_conf() {
local conf=$1

echo "# Enable Quickleave mode (Sends Leave instantly)" > ${conf}
echo "quickleave" >> ${conf}
echo "" >> ${conf}
for ifname in voip0 ppp0 ppp1 ppp2 tun0 hotspot0; do
echo "phyint ${ifname} disabled" >> ${conf}
done
echo "# Configuration for Upstream Interface" >> ${conf}
echo "phyint ${net_tv_ifname} upstream ratelimit 0  threshold 1" >> ${conf}
for net in $(roxml -q ${autoconf_file} '//igmp-src-list/net'); do
echo "  altnet ${net}" >> ${conf}
done
igmp_streams=$(roxml -q ${autoconf_file} '//igmp-stream-list/net')
test -z "${igmp_streams}" && igmp_streams="232.0.0.0/7"
for net in ${igmp_streams}; do
echo "  whitelist ${net}" >> ${conf}
done
echo "" >> ${conf}
echo "# Configuration for Downstream Interface" >> ${conf}
echo "phyint $(status get lan_ifname) downstream ratelimit 0  threshold 1" >> ${conf}
for net in ${igmp_streams}; do
echo "  whitelist ${net}" >> ${conf}
done
echo "" >> ${conf}
}

start() {
lock /run/lock/iptv.lock

echo "${net_tv_infra}" > /tmp/iptv.infra

# IPTV routing
([ "${net_tv_infra}" = "adsl/dhcp" ] || [ "${net_tv_infra}" = "adsl/noip" ]) && \
dhcpc_tv_setup

# iptv QoS
xtables -t mangle -I lan_Up -d ${iptv_pp_pfs} -j iptv_pfs

env -i \
ACTION="ifup" \
INTERFACE="iptv" \
DEVICE="${net_tv_ifname}" \
INFRA="${net_tv_infra}" \
/sbin/hotplug-call "iface"

[ "$(nvram get igmp_debug)" = "on" ] && debug="-v"
# magic sleep to make conf sync and ready
sleep 1
igmpproxy_conf /run/igmpproxy.conf

echo "${net_tv_infra}" > /tmp/iptv.infra
# unlock now since exec probably never return
lock -u /run/lock/iptv.lock

exec igmpproxy -w /run/igmpproxy.conf ${debug}
}

stop() {
lock /run/lock/iptv.lock

rm -f /tmp/iptv.infra

killall igmpproxy

# let igmpproxy clean its multicast groups
sleep 3

# iptv QoS
xtables -t mangle -D lan_Up -d ${iptv_pp_pfs} -j iptv_pfs

env -i \
ACTION="ifdown" \
INTERFACE="iptv" \
DEVICE="${net_tv_ifname}" \
INFRA="${net_tv_infra}" \
/sbin/hotplug-call "iface"

# IPTV routing
([ "${net_tv_infra}" = "adsl/dhcp" ] || [ "${net_tv_infra}" = "adsl/noip" ]) && \
dhcpc_tv_cleanup

lock -u /run/lock/iptv.lock
}

reload() {
[ -f /run/iptv-wrapper.pid ] && kill -HUP $(cat /run/iptv-wrapper.pid)
# prevent call of restart if reload failed
true
}

check() {
ROUTES=$(ip route show table lan_t)
        for net in $(roxml -q /tmp/autoconf/$(autoconf get iptv_file) '//pfstv-list/net')
do
OK="\\033[32mOK\\033[0m"
NOK="\\033[31mNOK\\033[0m"
if echo $ROUTES|grep -q "$net "; then
ROUTE=$OK
else
ROUTE=$NOK
fi
echo -e "$net   \tROUTE:$ROUTE"
done
}

les truc 'autoconf' qu'on trouve la dedans sont un systeme a base de fichiers xml que la box va chercher (par HTTP) sur un serveur chez SFR. Tu peux faire la meme chose avec un client http je pense (wget par exemple).

un des ces fichiers sert de source pour la partie IPTV, voici celui qui est en 'live' dans ma box:
<?xml version="1.0" encoding="UTF-8"?>
<tvservices version="201403211400">
  <igmp-src-list>
    <net>86.65.232.0/24</net>
    <net>80.118.201.0/24</net>
    <net>84.96.146.0/24</net>
    <net>84.96.219.0/24</net>
    <net>80.118.192.0/24</net>
    <net>86.65.94.0/24</net>
    <net>86.65.95.0/24</net>
    <net>86.64.245.128/25</net>
    <net>86.64.159.201/32</net>
    <net>93.17.149.158/32</net>
    <net>109.203.65.49/32</net>
  </igmp-src-list>
  <pfstv-list>
    <!-- PFS TV -->
    <net>86.64.159.127</net>
    <net>86.64.233.32/28</net>
    <net>84.103.237.80</net>
    <net>84.103.237.192/28</net>
    <net>109.0.66.32/30</net>
    <net>109.0.66.48/30</net>
    <net>109.0.66.64/30</net>
    <net>109.0.66.80/30</net>
    <!-- PFS TV dev -->
    <net>109.0.64.96/28</net>
    <net>109.0.65.96/28</net>
    <!-- M6 REPLAY -->
    <net>160.92.103.29</net>
    <net>160.92.103.30</net>
    <net>86.64.233.160/28</net>
    <!-- VOD -->
    <net>86.64.160.240/29</net>
    <net>86.64.161.192/29</net>
    <net>86.64.159.24/29</net>
    <net>86.64.159.72/29</net>
    <net>86.64.160.232/29</net>
    <net>80.118.202.96/29</net>
    <net>86.66.127.56/29</net>
    <net>86.65.125.31</net>
    <net>86.64.241.160</net>
        <!-- VOD dev-->
        <net>77.154.79.192/26</net>
    <!-- WCS V7 -->
    <net>109.0.74.78</net>
    <!-- Nouveaux POP VOD -->
    <net>93.17.162.128/29</net>
    <net>93.17.190.8/29</net>
    <net>93.17.190.72/29</net>
    <net>93.17.190.136/29</net>
    <net>93.17.190.216/29</net>
    <net>93.17.191.24/29</net>
    <net>93.17.190.88/29</net>
    <net>93.17.191.160/29</net>
    <net>93.20.92.32/27</net>
    <net>93.20.92.96/27</net>
    <net>93.17.191.216/29</net>
    <net>93.17.191.240/29</net>
    <net>93.20.107.8/29</net>
    <net>93.20.107.32/29</net>
        <net>93.20.92.64/27</net>
    <net>86.65.123.192/26</net>
    <!-- Pure Pixel -->
    <net>86.66.127.160/27</net>
    <!-- M6 -->
    <net>160.92.103.11</net>
    <net>160.92.106.7</net>
    <net>195.88.194.48/29</net>
    <!-- Dailymotion -->
    <net>10.103.15.140/30</net>
    <net>10.103.15.151</net>
    <!-- TF1 -->
    <net>84.103.236.248/30</net>
    <!-- Canal Plus -->
    <net>84.96.146.171</net>
    <net>84.96.146.172</net>
    <!-- EPG -->
    <net>160.92.11.52</net>
    <!-- Courbevoie -->
    <net>84.96.217.32</net>
    <!-- CAS Cardless SFR -->
    <net>86.66.0.128/28</net>
    <!-- VIP VCAS VOD -->
    <net>93.17.149.16/28</net>
    <!-- GOD Preprod -->
    <net>93.20.51.64/27</net>
    <!-- GOD -->
    <net>109.24.9.16/28</net>
    <net>109.0.66.224/27</net>
    <!-- Wiztivi -->
    <net>84.96.238.192/28</net>
    <!-- mySniffer -->
        <net>93.17.162.181</net>
        <net>93.17.190.52</net>
        <net>93.17.190.117</net>
        <net>93.17.190.197</net>
        <net>93.17.191.148</net>
        <net>93.17.191.196</net>
        <net>93.17.191.4</net>
        <net>93.17.191.68</net>
        <net>93.20.107.148</net>
        <net>93.20.107.165</net>
        <net>93.20.107.53</net>
        <!-- NCDN -->
        <net>93.20.64.7</net>
        <net>93.20.64.17</net>
        <net>93.20.64.18</net>
        <!-- NCDN Prà©-prod-->
        <net>93.20.64.244</net>
  </pfstv-list>
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 09 juillet 2014 à 11:18:33
Pour moi :
1. Les infos XML sont dans les captures de Marin, dans le topic a coté avec tous les echanges de la NeufBox.

Ce n'est pas la même chose.

Les infos XML présentes dans mes captures sont celles qui sont servies par les serveurs SFR, à destination de la Neufbox (via le WAN).

Les infos XML dont il est question ici (https://lafibre.info/sfr-tutoriels/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/msg151828/#msg151828) sont celles qui sont servies par la Neufbox (192.168.1.1), à destination du décodeur (via le LAN). Je ne les ai pas capturées car je n'ai pas de décodeur.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 12:39:33
En effet.

Et en l'état, grâce aux posts de cOmmOn, la partie des redirects des GetInfos pour la TV semble achevée quant à ma tentative en cours.
En revanche, mes flux Chaines TV restent bloqués.

J'ai quand même ajusté ma config UPnP (infos de Kgersen et config Orange de cOmmOn) avec :
upnp2 {
     listen-on eth1
     listen-on eth2
     nat-pmp enable
     secure-mode disable
     wan eth0
 }
(J'avais initialement omis eth2, l'interface destinée à prendre le rôle de la NB6v. Mais "ça marche toujours pas")

Mais pour igmp-proxy, je ne vois rien dans ce sujet qui exige d'affiner avec les IPs du post de ce matin de Kgersen.
Mais je cherche...
Et j'avoue que j'ai un peu de mal à comprendre comment je dois configurer mon Firewall via CLI...
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 juillet 2014 à 12:46:33
Il me semble qu'on avait réussi à faire marcher la TV chez tivoli, mais tu me mets le doute.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 13:09:27
Il me semble qu'on avait réussi à faire marcher la TV chez tivoli, mais tu me mets le doute.
Haldir et Tivoli me semblent avoir pu avoir les flux des chaines TV.

Là, j'ai ça :
yann@ubnt:~$ show ip multicast interfaces
Intf        BytesIn        PktsIn      BytesOut       PktsOut            Local
eth0        41.66MB         32217         0.00b             0   <IP Publique>
eth1          0.00b             0         0.00b             0        10.0.10.1
eth2          0.00b             0       41.66MB         32217      192.168.1.1
yann@ubnt:~$ show ip multicast mfc
Group           Origin           In     Out           Pkts         Bytes  Wrong
239.255.255.250 192.168.1.1      eth0   eth1             3        96.00b      0
239.255.255.250 192.168.1.1      eth0   eth2             3        96.00b      0
239.255.255.250 192.168.1.20     eth0   eth1           594      284.68KB    594
239.255.255.250 192.168.1.20     eth0   eth2           594      284.68KB    594
239.255.255.250 10.0.10.1        eth0   eth1             1        32.00b      0
239.255.255.250 10.0.10.1        eth0   eth2             1        32.00b      0
239.255.255.250 10.0.10.10       eth0   eth1            32       30.88KB     32
239.255.255.250 10.0.10.10       eth0   eth2            32       30.88KB     32
239.255.255.250 10.0.10.100      eth0   eth1             2       313.00b      2
239.255.255.250 10.0.10.101      eth0   eth1            17        3.44KB     17
239.255.255.250 10.0.10.101      eth0   eth2            17        3.44KB     17
yann@ubnt:~$ ip mroute
(192.168.1.1, 239.255.255.250)   Iif: eth0       Oifs: eth1
(192.168.1.20, 239.255.255.250)  Iif: eth0       Oifs: eth1 eth2
(10.0.10.1, 239.255.255.250)     Iif: eth0       Oifs: eth1 eth2
(10.0.10.10, 239.255.255.250)    Iif: eth0       Oifs: eth1 eth2
(10.0.10.100, 239.255.255.250)   Iif: eth0       Oifs: eth1
(10.0.10.101, 239.255.255.250)   Iif: eth0       Oifs: eth1 eth2

Toujours avec :
igmp-proxy {
     interface eth0 {
         alt-subnet 0.0.0.0/0
         role upstream
         threshold 1
     }
     interface eth2 {
         alt-subnet 0.0.0.0/0
         role downstream
         threshold 1
     }
 }
J'ai enlevé la rêgle explicite pour IGMP dans le Firewall (car tu n'en mentionnes pas dans ta config Orange).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 juillet 2014 à 13:11:09
Y a une vraie mode de faire des tests avec un firewall activé :D
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 13:42:39
 ;D C'est que j'ai un peu de matos derrière... mais oui, ta remarque est juste.
Je vais débrancher tout ça et faire un essai sans FW.

Tiens, j'ai rajouté un:
set protocols igmp-proxy interface eth1 role disabledPour n'avoir IGMP que sur le LAN dédié à l'émulation de la NB6v et mon WAN. Pas de pollution de man LAN "machines". Plus propre.

Mais ça ne résout pas mon problème... ("Wrong")
yann@ubnt:~$ show ip multicast mfc
Group           Origin           In     Out           Pkts         Bytes  Wrong
239.255.255.250 192.168.1.20     eth0   eth2             2       197.00b      2
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 juillet 2014 à 13:49:09
Pour le FW, que ca soit sur l'ERL et PFSense y a eu de nombreux cas ou alors que ca devait marcher, ca ne marchait pas a cause du FW.

Regarde les logs d'igmp proxy, je crois qu'ils sont dans messages.log

Sinon lance le a la main en -vv ou -d je sais plus (ou les 2)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 14:09:12
Aussitôt retirer les règles WAN_IN et WAN_LOCAL de mon interface WAN : le flux arrive sur le décodeur.
...
Que dire...   ::)
Bisou cOmmOn! ;)

Ok...

Je le remets à présent, en remettant une règle pour IGMP, mais non, ça ne le fait pas. Où est-ce-que je me plante?

all-ping enable
 broadcast-ping disable
 ipv6-receive-redirects disable
 ipv6-src-route disable
 ip-src-route disable
 log-martians enable
 name WAN_IN {
     default-action drop
     description "WAN to internal"
     enable-default-log
     rule 10 {
         action accept
         description "Allow established/related"
         log disable
         state {
             established enable
             invalid disable
             new disable
             related enable
         }
     }
     rule 15 {
         action accept
         description "Allow IGMP Traffic"
         log disable
         protocol igmp
         state {
             established enable
             invalid disable
             new enable
             related enable
         }
     }
     rule 20 {
         action drop
         description "Drop invalid state"
         log disable
         protocol all
         state {
             established disable
             invalid enable
             new disable
             related disable
         }
     }
 }
 name WAN_LOCAL {
     default-action drop
     description "WAN to router"
     enable-default-log
     rule 10 {
         action accept
         description "Allow established/related"
         log disable
         protocol all
         state {
             established enable
             invalid disable
             new disable
             related enable
         }
     }
     rule 20 {
         action drop
         description "Drop invalid state"
         log enable
         protocol all
         state {
             established disable
             invalid enable
             new disable
             related disable
         }
     }
 }
 options {
     mss-clamp {
         mss 1452
     }
 }
 receive-redirects disable
 send-redirects enable
 source-validation disable
 syn-cookies enable
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 juillet 2014 à 14:11:29
Google :p
http://wiki.openwrt.org/doc/howto/udp_multicast#firewall.settings (http://wiki.openwrt.org/doc/howto/udp_multicast#firewall.settings)

Les regles de FW citées pour la conf avec igmpproxy devraient être les memes a implementer sur l'ERL

Le protocol du flux, c'est de l'udp, pas de l'igmp, le proxy gère l'igmp pour toi, je dirais osef du FW dans ce cas.

Le FW bloque tes flux, pas le proxy (je pense).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 juillet 2014 à 14:14:57
Mais si tu comptes continuer à faire des tests, de toutes façons, faudra virer le FW.

1. Routage (ou il reste des zones de flou)
2. FW (qui ne représente aucun challenge et qui est presque HS :p)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 14:18:44
Il me "manque" une rêgle pour accepter l'UDP vers le décodeur donc...

Firewall: J'entend bien.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 juillet 2014 à 14:21:10
T'as fait un test de débit avec TV fonctionnelle ? Avec l'offload actif.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 16:17:34
Je suis bien à 285/49 Mbps. Score habituel. Offload actif and kicking. :)

Sinon, toujours pas bon pour le Firewall...
Si j'enlève WAN_IN, ça passe sinon, non...
J'ai pris en compte UDP et IGMP, avec ou sans mon LAN "NB6v" en destination...

Le fautif donc:
root@ubnt# show firewall name WAN_IN
 default-action drop
 description "WAN to internal"
 enable-default-log
 rule 10 {
     action accept
     description "Allow established/related"
     log disable
     state {
         established enable
         invalid disable
         new disable
         related enable
     }
 }
 rule 15 {
     action accept
     description "Allow UDP toward NB6v LAN"
     destination {
         address 192.168.1.0/24
     }
     log disable
     protocol udp
     state {
         established enable
         invalid disable
         new enable
         related enable
     }
 }
 rule 16 {
     action accept
     description "Allow IGMP toward NB6v LAN"
     destination {
         address 192.168.1.0/24
     }
     log disable
     protocol igmp
     state {
         established enable
         invalid disable
         new enable
         related enable
     }
 }
 rule 20 {
     action drop
     description "Drop invalid state"
     log disable
     protocol all
     state {
         established disable
         invalid enable
         new disable
         related disable
     }
 }

Suis paumé...  :'(
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 17:07:06
Si j'autorise UDP sur WAN_IN *et* sur WAN_LOCAL, j'ai un flux pendant une minute environ et à nouveau le black-out.
J'ai tenté d'ajouter rtsp, pareil.

Ça devient du grand n'importe quoi...
Je me demande si je ne peux pas faire fonctionner UPnP (qui est actif, pourtant...) ?

Des suggestions?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 09 juillet 2014 à 17:13:38
voici les iptables live d'un NB6v:

La INPUT

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             base-address.mcast.net/4
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACLS_FILTER  tcp  --  anywhere             anywhere            multiport dports 1287,1288 state NEW
ACCEPT     udp  --  anywhere             anywhere            udp dpt:bootpc state NEW
ICMP_FILTER  icmp --  anywhere             anywhere
LAN_FILTER  all  --  anywhere             anywhere            state NEW
ACCEPT     igmp --  anywhere             anywhere
SIP_FILTER  all  --  anywhere             anywhere            state NEW

la FORWARD:
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             base-address.mcast.net/4
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
WIN_FILTER  all  --  anywhere             anywhere            state NEW
WIN_FILTER  all  --  anywhere             anywhere            state NEW
SMTP_FILTER  tcp  --  anywhere             anywhere            tcp dpt:smtp

le bloc entier du multicast est donc full open (base-address.mcast.net/4 = 224.0.0.0/4) de meme que igmp.

Tu devrais faire pareil donc plutot que te baser sur 'UDP vers le décodeur' et des états, bases toi sur le bloc mcast et igmp (en multicast l'ip destination c'est pas l'ip unicast du décodeur tv, c'est une ip multicast)

J'ai pas encore mis les mains dans la config FW d'un ERL donc je peux pas trop t'aider sur ce point.
Les blocs du style:
     state {
         established enable
         invalid disable
         new enable
         related enable
     }
sont autogénérés (genre valeurs par defaut) ou c'est toi qui les a saisies comme ca?

A ce propos elle est ou la doc complete de l'ERL ?
Je ne trouve que celle du Vyatta de Brocade (http://www.brocade.com/products/all/network-functions-virtualization/product-details/5400-vrouter/index.page) qui a servir de base a ERL mais je ne suis pas sure que ca soit 100% équivalent.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 17:27:35
Merci Kgersen.

Je vais essayr de me "traduire" tout ça à travers le CLI.

En effet, il y a des différences avec Vyatta, puisqu'ils ont forké...

Le manuel : http://dl.ubnt.com/guides/edgemax/EdgeRouter_Lite_UG.pdf (http://dl.ubnt.com/guides/edgemax/EdgeRouter_Lite_UG.pdf)

Et non, ces blocs ne sont autogénérés. Mais je ne sais pas vraiment ce que je fais non plus... ;)
Après avoir un peu progresser sur IPv6, il va falloir que j'en apprenne plus sur les Firewalls...
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 09 juillet 2014 à 17:31:57
kgersen, tu as une box TV right ? Tu peux nous poster ta table de routage ?

Avec tes infos on doit pouvoir facilement trouver l'astuce pour le replay et boucler l'affaire :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 09 juillet 2014 à 18:47:59
kgersen, tu as une box TV right ? Tu peux nous poster ta table de routage ?

Avec tes infos on doit pouvoir facilement trouver l'astuce pour le replay et boucler l'affaire :)

root@nb6v:~# ip route
93.20.51.215 via wgw  dev wan0
109.0.66.20 via wgw  dev wan0
109.6.1.72 via wgw  dev wan0
109.0.66.10 via wgw  dev wan0
109.6.4.36 via wgw  dev wan0
172.16.255.252/30 dev lan0  proto kernel  scope link  src 172.16.255.254
192.168.2.128/25 dev hotspot0  proto kernel  scope link  src 192.168.2.129
77.132.47.0/24 dev wan0  proto kernel  scope link  src ip_pub_box
192.168.4.0/24 dev wan0  proto kernel  scope link  src 192.168.4.1
192.168.1.0/24 dev lan0  proto kernel  scope link  src 192.168.1.1
default via wgw dev wan0

ip_pub_box =  dhcpc_wan_ipaddr = ip public de la box
wgw  = dhcpc_wan_gateway = passerelle par défaut reçue par dhcp coté wan (fibre).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 18:54:35
Pour le Firewall (bien que ce soit "limite H.S." mais pourtant indispensable...), je n'arrive pas à faire le rapprochement entre "Chain Input"/"Chain Forward" et local/in tel qu'utilisé dans EdgeOS...
Sachant que "local" est le router lui-même et "in", ce qui passe par le router à destination des clients du LAN.

La fatigue, sans doute... #oupas
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 09 juillet 2014 à 19:26:12
Comme j'ai dit un peu plus haut:
"en multicast l'ip destination c'est pas l'ip unicast du décodeur tv, c'est une ip multicast"

donc suite a ton post d'avant, la regle 15 deja est pas bonne, la destination ca devrait être 224.0.0.0/4 et pas 192.168.1.0/24

si on s'en tient a la doc du Vyatta , la commande a entrer serait du style:

set firewall name WAN_IN rule 15 destination address 224.0.0.0/4
et ca affiche quand on fait un show:

rule 15 {
action accept
destination {
address 224.0.0.0/4
}
 }

la doc de ERL est incomplete y'a pas la référence des commandes comme on trouve dans la doc du Vyatta .

Par exemple quand la box TV veut voir BFMTV, par igmp ca demande le multicast 233.136.0.217  a la neufbox. Celle ci relai plus en amont l'igmp chez SFR.
Des flux tv venant de 93.20.55.42 (serveur source du flux chez SFR) avec comme adresse de destination 233.136.0.217 vont alors arriver en permanence sur le port wan de la neufbox, celle ci va renvoyer ca tel que sur le port LAN ou la box TV est branchée: donc il faut autoriser ce flux a travers le firewall.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 09 juillet 2014 à 22:08:50
Comme j'ai dit un peu plus haut:
"en multicast l'ip destination c'est pas l'ip unicast du décodeur tv, c'est une ip multicast"
Oui, j'avais compris, grace à tes précédentes explications qui m'ont permis de regarder dans la bonne direction.

J'aurai pu être un peu plus précis dans ma question... Désolé.
Dans EdgeOS, les notions de INPUT et FORWARD ne sont explicites au niveau de la CLI. Ceci dit, après avoir réflêchi un petit peu (...), il me semble que Chain Input est l'équivalent de "local" dans l'ERL, et Chain FORWARD, "in". J'ai bon? (Désolé pour toutes mes questions de noob)
Évidemment, on peut passer par iptables -A... mais c'est moins drole.

On notera que 2 de tes rêgles ('WIN_FILTER") correspondent très certainement à pour "Protéger vos ordinateurs Windows de l'internet " dans l'interface d'admin de la NB6. La suivante ("SMTP_FILTER"), "Autoriser l'envoi de courriels uniquement par l'intermédiaire ". Je les écarte pour l'instant (et pas de machines sous Windows chez moi).

Donc pour WAN_IN, on aurait :

Config enlevé aprés coup, pour éviter de polluer avec des bétises...
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 10 juillet 2014 à 02:55:02

Et là, avec mon ERL en bypass, je streame mes chaines TV en flux THD à 11 Mbps...
Tout en téléchargeant à 285 Mbps un fichier depuis https://testdebit.info/ (https://testdebit.info/)...
Taux occupation CPU du ERL : 4% à 8% max...
 ;D ;D

Je suis ravi par cette étape! Merci cOmmOn et Kgersen pour votre patience et vos informations!

Je ne vais pas re-poster le dhcp-options, les .xml, l'index.php et la modif du lighttpd.conf pour éviter de faire doublon (mais il faudra qu'on condense tout ça plus tard, j'imagine).
Dans ce post, je me concentre sur la résolution de mes problèmes de démarrage du streaming des chaines TV.

Rappel : WAN = eth0, LAN = eth1 et Pseudo-NB6v = eth2
(setup temporaire, mis en place pour simplifier mon debugging, mais valable pour le principe de la séparation des environnements, à mon avis. L'étape suivante: VLANs repris par mon switch, etc...)

Offload activé :
offload {
         ipsec enable
         ipv4 {
             forwarding enable
             vlan enable
         }
         ipv6 {
             forwarding enable
             vlan enable
         }
     }

Rien de particulier en NAT, UPnP2...

IGMP-Proxy :
protocols {
     igmp-proxy {
         interface eth0 {
             alt-subnet 0.0.0.0/0
             role upstream
             threshold 1
         }
         interface eth1 {
             role disabled
             threshold 1
         }
         interface eth2 {
             alt-subnet 0.0.0.0/0
             role downstream
             threshold 1
         }
     }
 }

Le serveur DHCP pour 192.168.1.1 sur eth2. On notera l'IP pour le décodeur TV, le serveur NTP et le serveur DNS SFR :
dhcp-server {
         disabled false
         hostfile-update disable
         shared-network-name NB6v_LAN {
             authoritative disable
             subnet 192.168.1.0/24 {
                 default-router 192.168.1.1
                 dns-server 109.0.66.10
                 lease 86400
                 ntp-server 192.168.1.1
                 start 192.168.1.20 {
                     stop 192.168.1.100
                 }
                 static-mapping SFRTV-STB {
                     ip-address 192.168.1.20
                     mac-address xx:xx:xx:xx:xx:xx
                 }
             }
         }
     }

Et enfin, le firewall (encore bien du boulot mais "ça marche". Encore merci Kgersen!) :

firewall {
     all-ping enable
     broadcast-ping disable
     ipv6-receive-redirects disable
     ipv6-src-route disable
     ip-src-route disable
     log-martians enable
     name WAN_IN {
         default-action drop
         description "WAN to LAN"
         enable-default-log
         rule 5 {
             action accept
             description "Allow Multicast"
             destination {
                 address 224.0.0.0/4
             }
             log disable
         }
         rule 10 {
             action accept
             description "Allow established/related"
             log disable
             state {
                 established enable
                 invalid disable
                 new disable
                 related enable
             }
         }
         rule 15 {
             action accept
             description "Allow TCP ports 1287, 1288"
             destination {
                 port 1287,1288
             }
             log disable
             protocol tcp
             state {
                 new enable
             }
         }
         rule 20 {
             action accept
             description "Allow UDP to Multicast"
             destination {
                 address 224.0.0.0/4
             }
             log disable
             protocol udp
             state {
                 new enable
             }
         }
         rule 25 {
             action accept
             description "Allow icmp"
             log disable
             protocol icmp
             state {
                 established enable
                 related enable
             }
         }
         rule 30 {
             action accept
             description "Allow igmp"
             log disable
             protocol igmp
         }
         rule 100 {
             action drop
             description "Drop invalid state"
             log disable
             protocol all
             state {
                 established disable
                 invalid enable
                 new disable
                 related disable
             }
         }
     }
     name WAN_LOCAL {
         default-action drop
         description "WAN to Router"
         enable-default-log
         rule 5 {
             action accept
             description "Allow Multicast"
             destination {
                 address 224.0.0.0/4
             }
             log disable
         }
         rule 10 {
             action accept
             description "Allow established/related"
             log disable
             state {
                 established enable
                 related enable
             }
         }
         rule 100 {
             action drop
             description "Drop invalid state"
             log enable
             protocol all
             state {
                 established disable
                 invalid enable
                 new disable
                 related disable
             }
         }
     }
     options {
         mss-clamp {
             mss 1452
         }
     }
     receive-redirects disable
     send-redirects enable
     source-validation disable
     syn-cookies enable
 }

Voilà!
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 10 juillet 2014 à 03:05:53
la doc de ERL est incomplete y'a pas la référence des commandes comme on trouve dans la doc du Vyatta.
Oui, le manque de documentation et un wiki squelettique sont 2 points noirs pour Ubiquity. Ils compensent quelque peu en étant très présents sur le forum mais c'est loin d'être idéal.
Heureusement qu'il y a beaucoup d'info sur Vyatta ici et là. Mais le fork, les évolutions de EdgeOS commence à rendre obsolète ce qu'on trouvera.
As-tu vu qu'en faisant double-TAB, on a une auto-completion suggérée, et des choix possibles des nodes suivants?
Souvent très utile.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Paul le 15 juillet 2014 à 17:49:54
Est-il possible de conserver le téléphone en remplaçant la Neufbox ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 15 juillet 2014 à 18:18:52
Est-il possible de conserver le téléphone en remplaçant la Neufbox ?

Oui, soit en utilisant le service SIP LiberTalk de SFR (mais qui est limité sur certains aspects comme les numéros spéciaux) ; soit, légèrement plus complexe, en se connectant directement aux serveurs SIP de SFR sur leur réseau privé (l'algorithme pour récupérer les identifiants utilisés par la Neufbox est connu).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 15 juillet 2014 à 18:23:18
La reutilisation de la neufbox doit marcher aussi (en la branchant au routeur).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 15 juillet 2014 à 18:52:18
y'a un recap quelque part de la config à faire dans l'ERL et ce qui marche/marche pas a ce jour ?

Le 1er post n'a pas été mis a jour depuis le mois de mai.

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 17 juillet 2014 à 18:38:40
Ce qui fonctionne pour moi, en suivant la plus grosse partie des instructions de ce sujet:
- Connectivité IP de base avec ONT/Internet,
- Chaines TV.
(avec Firewall activé)

Ce qui ne fonctionne pas :
- Téléphonie
- Replay TV
- VoD
- IPv6 SFR (pas eu le temps de me pencher sur xl2tp)

Je voulais poster une config la plus complète possible en guise de MàJ du premier post mais j'aurais voulu avancer sur certains points avant celà (IPv6, gestion plus complète du décodeur TV).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 23 juillet 2014 à 04:33:53
Je recommence à creuser la config IPv6, toujours dans le cas du bypass complet de la NB6...

La base de départ : http://wiki.openwrt.org/doc/howto/ipv6.softwire#prefix.delegation.through.dhcpv6 (http://wiki.openwrt.org/doc/howto/ipv6.softwire#prefix.delegation.through.dhcpv6)

Ce qui me donne :

Dans /etc/xl2tpd/xl2tpd.conf
[global]
port = 1701
auth file = /etc/xl2tpd/xl2tp-secrets
access control = no

[lac 6pe]
        lns = 109.6.3.8     ; Mon LNS d'après un précédent wireshark
        ppp debug = yes
        hostname = <IP_Public>
        hidden bit = no
        pppoptfile = /etc/ppp/options.xl2tpd.6pe
        require authentication = no
        refuse authentication = no
        refuse chap = no
        flow bit = yes
        length bit = yes

Dans /etc/xl2tpd/xl2tp-secrets :
*     6pe     6pe
Dans /etc/ppp/options.xl2tpd.6pe
+ipv6
ipv6 ,
ipv6cp-use-persistent
lock
mtu 1453
mru 1453
child-timeout 20
lcp-echo-failure 3
lcp-echo-interval 20
name dhcp/<IP_Public>@<MAC_without_colon>

Dans /etc/ppp/chap-secrets :
dhcp/<IP_Public>@<MAC_without_colon>  *  <PASSWORD>
Ensuite, on lance
/etc/init.d/xl2tpd startPuis,
echo "c 6pe" > /var/run/xl2tpd/l2tp-control
Mais à partir de là, je suis bloqué, ne sachant que faire (le papier sur OpenWRT ne m'apparait pas très clair) car je n'ai pas d'interface ppp0 visible par ifconfig.
/var/log/message me montre :
Jul 23 04:31:26 ubnt xl2tpd[2555]: setsockopt recvref[22]: Protocol not available
Jul 23 04:31:33 ubnt xl2tpd[2556]: Connecting to host 109.6.3.8, port 1701
Jul 23 04:31:33 ubnt xl2tpd[2556]: Connection established to 109.6.3.8, 1701.  Local: 25671, Remote: 7165 (ref=0/0).
Jul 23 04:31:33 ubnt xl2tpd[2556]: Calling on tunnel 25671
Jul 23 04:31:33 ubnt xl2tpd[2556]: Call established with 109.6.3.8, Local: 1817, Remote: 20162, Serial: 1 (ref=0/0)
Jul 23 04:31:33 ubnt pppd[2558]: pppd 2.4.4 started by root, uid 0
Jul 23 04:31:33 ubnt zebra[497]: interface ppp0 index 6 <POINTOPOINT,NOARP,MULTICAST> added.
Jul 23 04:31:33 ubnt pppd[2558]: Connect: ppp0 <--> /dev/pts/1
Jul 23 04:31:33 ubnt snmpd[1440]: IfIndex of an interface changed. Such interfaces will appear multiple times in IF-MIB.
Et je n'en aurais pas plus à partir de là...

Qu'est-ce-qu'il me manque?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 23 juillet 2014 à 04:38:10
Pas d'idée precise, mais en recherchant la derniere phrase du log :

Citer
ifIndex OBJECT-TYPE
    SYNTAX      InterfaceIndex
    MAX-ACCESS  read-only
    STATUS      current
    DESCRIPTION
            "A unique value, greater than zero, for each interface.  It
            is recommended that values are assigned contiguously
            starting from 1.  The value for each interface sub-layer
            must remain constant at least from one re-initialization of
            the entity's network management system to the next re-
            initialization."
    ::= { ifEntry 1 }

http://wiki.ubnt.com/IF-MIB (http://wiki.ubnt.com/IF-MIB)

Une interface aurait changé tout seule d'ID ? Peut être que c'est normal, honnêtement j'en sais rien.

Poste sur le forum ubnt, je pense qu'ils auront de bons conseils.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 23 juillet 2014 à 04:46:10
Oui, SMNP chope des changements mais ça ne m'aide pas trop si ça ne remonte pas... j'avoue que je ne comprend pas la déclaration d'interface dans la page d'OpenWRT si la ppp0 existe pour eux.

Je vais poster chez ubnt.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 23 juillet 2014 à 04:48:36
Sur la conf Orange en pppoe, on a bien une interface pppoe0
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 23 juillet 2014 à 05:08:34
Il semble que j'ai un problème d'authentification (code 19)... Pourtant, persuadé d'avoir fait la bonne extraction via wireshark.  :o

root@ubnt:/home/yann# xl2tpd -D
xl2tpd[4185]: setsockopt recvref[22]: Protocol not available
xl2tpd[4185]: This binary does not support kernel L2TP.
xl2tpd[4185]: xl2tpd version xl2tpd-1.2.6 started on ubnt PID:4185
xl2tpd[4185]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
xl2tpd[4185]: Forked by Scott Balmos and David Stipp, (C) 2001
xl2tpd[4185]: Inherited by Jeff McAdams, (C) 2002
xl2tpd[4185]: Forked again by Xelerance ([url=http://www.xelerance.com]www.xelerance.com[/url]) (C) 2006
xl2tpd[4185]: Listening on IP address 0.0.0.0, port 1701
xl2tpd[4185]: Connecting to host 109.6.3.8, port 1701
xl2tpd[4185]: Connection established to 109.6.3.8, 1701.  Local: 14188, Remote: 14447 (ref=0/0).
xl2tpd[4185]: Calling on tunnel 14188
xl2tpd[4185]: Call established with 109.6.3.8, Local: 23175, Remote: 44559, Serial: 1 (ref=0/0)
xl2tpd[4185]: start_pppd: I'm running:
xl2tpd[4185]: "/usr/sbin/pppd"
xl2tpd[4185]: "passive"
xl2tpd[4185]: "nodetach"
xl2tpd[4185]: ":"
xl2tpd[4185]: "debug"
xl2tpd[4185]: "file"
xl2tpd[4185]: "/etc/ppp/options.xl2tpd.6pe"
xl2tpd[4185]: "/dev/pts/2"
xl2tpd[4185]: child_handler : pppd exited for call 44559 with code 19
xl2tpd[4185]: call_close: Call 23175 to 109.6.3.8 disconnected
xl2tpd[4185]: control_finish: Connection closed to 109.6.3.8, port 1701 (No application/session timer expired), Local: 14188, Remote: 14447
xl2tpd[4185]: Terminating pppd: sending TERM signal to pid 4266
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Paul le 23 juillet 2014 à 11:22:29
Oulàlà vous n'arriviez pas à dormir ? ;D

Pourquoi y a-t-il PPP partout, SFR n'utilise pas le DHCP pour l'IPv6 ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 23 juillet 2014 à 11:27:04
Pourquoi y a-t-il PPP partout, SFR n'utilise pas le DHCP pour l'IPv6 ?

Pour l'IPv6, SFR utilise un tunnel L2TP/PPP qui est établi au-dessus de la connexion IPv4.

La connexion IPv4, elle, n'utilise pas de PPP pour les connexions FTTH (c'est différent en ADSL).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 23 juillet 2014 à 13:33:49
faut soustraire '1' a l'@MAC pour le login/mot de passe:

d'apres /etc/init.d/ppp6ol2tp :

local ppp_ipv6_login="dhcp/$(status get net_data_ipaddr)@$(nbctl mac -1 ppp)"

donc dhcp/<addresse IPV4>@<addresse MAC - 1>
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 23 juillet 2014 à 15:30:21
faut soustraire '1' a l'@MAC pour le login/mot de passe:

d'apres /etc/init.d/ppp6ol2tp :

local ppp_ipv6_login="dhcp/$(status get net_data_ipaddr)@$(nbctl mac -1 ppp)"

donc dhcp/<addresse IPV4>@<addresse MAC - 1>
J'ai repris directement les valeurs Peer-Id et Password visibles via Wireshark. Quand bien même, j'ai tenté le -1 et même résultat, je me fais sortir avec le code 19.
Lu ici : http://linux.die.net/man/8/pppd (http://linux.die.net/man/8/pppd)
Le code 19 est "The init script failed (returned a non-zero exit status)."
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 23 juillet 2014 à 16:33:11
sur mon 'man pppd' (ubuntu) le code 19:

We failed to authenticate ourselves to the peer.
t'as changé l'@ MAC de ton ERL pour mettre celle de ta NB6v?

Ma compréhension de leur sécurité:

la box se connecte en IPv4 par DHCP: le serveur DHCP chez SFR sait donc quelle IPv4 a été attribuée a telle @MAC.
Quand l'authentification PPP se fait, le LNS chez SFR doit surement demander  au serveur DHCP qu'elle @MAC a eu cette IP. Il faut donc surement que le couple @MAC-@IP correspondent.

Donc soit tu mets dans le login l'@MAC de ton ERL a laquelle t’enlève 1. soit tu changes l'@ mac de ton ERL pour qu'elle corresponde a ta capture (en ajoutant +1).

C'est une juste supposition bien sur.

tu peux aussi monter le niveau de log pour avoir plus de détails on sait jamais.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 23 juillet 2014 à 16:47:18
Très intéressant, Kgersen.
Je viens de tenter d'utiliser la MAC du ERL (-1) sans succès. Même erreur.

Je continue à me pencher sur le sujet ce soir...
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 23 juillet 2014 à 22:57:08
Kgersen, si tu pouvais me poster ton /etc/init.d/ppp6ol2tp, ça m'aiderait sans doute...
Merci! ;)


Pas la peine. Je viens de voir celui de Martin. :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Breizh 29 le 23 juillet 2014 à 23:47:16
Très intéressant, Kgersen.
Je viens de tenter d'utiliser la MAC du ERL (-1) sans succès. Même erreur.

Je continue à me pencher sur le sujet ce soir...

Pourquoi (-1) ?
C'est pas substituer la Mac de la box sur l'ERL qu'il faudrait faire ?
Après je ne capte pas grand chose, mais ça me parait logique.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 23 juillet 2014 à 23:57:21
-1, +4 tout ca :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Breizh 29 le 24 juillet 2014 à 00:02:44
-1, +4 tout ca :)

C'est pour Orange le +4, c'est valable pour SFR en -1 ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: c0mm0n le 24 juillet 2014 à 00:03:49
Non du tout c'était une façon de dire, que c'est pas toujours "logique".

J'ai tjrs du mal a croire que le "+4" d'orange marchait vraiment pour presque tous.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 24 juillet 2014 à 02:14:13
yrousse, pourquoi est-ce qu'au lieu de tâtonner comme ça, tu ne fais pas une capture de ce que ton logiciel envoie, une autre de ce que la Neufbox envoie, et tu compares les deux ? Ça devrait résoudre directement le problème si c'est lié à l'authentification, puisque les identifiants sont transmis en clair.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 24 juillet 2014 à 05:16:21
J'ai comparé les 2 situations (NB6/ERL) et je coince à un endroit bien précis avec en conclusion : "No response to PAP authenticate-requests".

Avec ma NB6v, un PAP (0xc023) Authenticate-Ack (2) est renvoyé par le LNS suite au Authenticate-Request (1) de la box. Et le reste (IPV6CP, ICMPv6, DHCPv6...) se déroule...

Dans ma config avec l'ERL, j'établie bien le tunnel l2tp et j'envoie mon PAP Authenticate-Request qui est formé des valeurs identiques à celles qu'envoie ma NB6v.
sent [PAP AuthReq id=0x1 user="dhcp/IP_Publique@MAC_NB6v" password=<hidden>]
Là ou ça coince, c'est la réponse du LNS : Il ne me renvoie pas de Ack (2) ou de Nak (3). Mais ça : [proto=0x201] 00 05 00 avec la valeur proto qui s'incrèmente de 1 à chaque réponse au PAP AuthReq du ERL (dont l'id=0x1 aussi s'incrèmente à chaque tentative). Et je ne sais pas ce que c'est (ni l'ERL, manifestement, qui la "discarde" immédiatement).

À noter que, juste après cette "obscure" réponse, le LNS tente de continuer la négociation puisqu'il m'envoit un [proto=0x1] 06 00 0e 01 0a ca 4c 75 ff fe 78 ed 00. Je retrouve ici la valeur ca4c:75ff:fe78:ed00 (Interface Identifier du LNS ?) dans la négo avec la NB6 lors du IPv6 Control Protocol qui fera quelques échanges avant la phase ICMPv6 et enfin DHCPv6. En revanche, la valeur du proto (0x1) m'apparait curieuse.

Enfin, mettre la MAC address de ma NB6v sur l'interface de mon ERL ne résout pas le problème. Et contrairement, à ce que montre le script (-1), mon wireshark confirme que c'est exactement la même MAC qui est utilisé dans l'AuthReq de la session PPP.

Voilà...
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Marin le 24 juillet 2014 à 05:28:25
S'il ne te répond pas la même chose ça doit être que tu ne lui envoies pas la même chose. Tu dois bien pouvoir observer une différence, à un moment ou un autre, sur ce que ta machine envoie sur le réseau, en comparant paquet par paquet (avec Wireshark en mode graphique de préférence, plus pratique) ? Au pire, tu peux m'envoyer les .pcap par MP si tu souhaites ce que je te dise ce que j'en pense.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 24 juillet 2014 à 05:47:45
Je vais bien devoir en passer par là... Grmpf!
Je fais ça demain. Enfin, aujourd'hui... Je viens de voir que le jour se pointe. Besoin de dormir un chouilla quand même. :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 25 juillet 2014 à 03:53:47
Tcpdump me confirme que mon LNS me renvoie bien son PAP, Auth-ACK (0x02) suite à mon Authenticate-Request. Et comme je l'écrivais précédemment, il continue avec un IP6CP, Conf-Request.
SAUF QUE, l'ERL ne va jamais répondre au paquet IP6CP et continue à envoyer son Authenticate-Request, car il ne reconnait pas le Auth-Ack du LNS.

Donc, je monte correctement le tunnel L2TP et la session PPP, jusqu'à l'envoi des identifiants inclus, est ok.
J'ai bien vérifié que les échanges Conf-Request/Conf-Ack soient identiques entre ceux de NB6v/LNS et ERL/LNS. La conf à ce niveau est ok.

À ce niveau, ça sent le "nasty bug" pour moi. Et vous?


Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 25 juillet 2014 à 06:47:14
Et hop! J'ai mon interface ppp0!  ;D

En regardant à quel moment xl2tpd n'était plus capable de comprendre ce que le LNS lui envoyait, j'ai commencé à jouer avec les paramètres propres aux formats des messages. Un noaccomp rajouté et je vais jusqu'au bout... Yes!

Il me reste à automatiser l'établissement la session l2tp/ppp au démarrage, configurer wide-dhcpv6-client et le radvd pour mon LAN. Je ne prévois pas de difficulté majeure.

Je vous tiens au courant... ;)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 25 juillet 2014 à 20:46:32
Je suis un grand optimiste, apparemment (en référence à "Je ne prévois pas de difficulté majeure")...

En config à la mimine, la config DHCPv6 toute simple fonctionne :

interface ppp0 {
     request domain-name-servers;
     request domain-name;
     send ia-na 1;
     send ia-pd 1;
     send rapid-commit;
     script "/etc/wide-dhcpv6/dhcp6c-script";
};
#
id-assoc pd 1 {
     prefix ::/56 infinity;
     prefix-interface eth1 {
          sla-id 1;
          sla-len 8;

     };
};
#
id-assoc na 1 { };
Il récupère mon prefix IPv6 et me rêgle mon interface LAN (eth1) sans problème.
Derrière, le radvd fait son job et je ping6 depuis mes clients LAN.

Cependant, ma difficulté du jour (!) est de pouvoir être certain que la phase xl2tpd/ppp soit achevée avant que wide-dhcpv6-client ne se met au boulot.
Or j'avais tenté de mettre mon echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control dans /etc/rc.local (et cette phase fonctionne: j'ai bien mon ppp0 Up au démarrage) mais ça semble arrivé trop tard, le client DHCPv6 ne retentera pas de faire son job.

J'ai donc décidé de déplacer le montage de ppp0 beaucoup plus tôt et de m'assurer que eth0 (mon WAN IPv4) soit bien up avant... Donc j'ai viré certains critères pour eth0 dans la config CLI/ERL (et moi qui voulait éviter à tout prix de modifier directement trop de fichiers de conf, il y a quelques semaines...).
J'ai donc dans /etc/network/interfaces :
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp
        hwaddress xx:xx:xx:xx:xx:xx
        vendor &quot;neufbox-bypassedby-monemail@gmail.com&quot;;

auto ppp0
iface ppp0 inet manual
        pre-up /etc/init.d/xl2tpd start; sleep 3
        pre-up echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control; sleep 3
        down echo "d l2tp-IPv6" > /var/run/xl2tpd/l2tp-control; sleep 3
        post-down /etc/init.d/xl2tpd stop

eth0 obtient bien son IP publique et... ppp0 ne monte pas!  >:(

Pourtant, si je fais des ifdown ppp0 et ifup ppp0, là, ça fonctionne comme déterminé dans /etc/network/interfaces et j'ai mon ppp0.

Qu'est-ce-que je rate ?

(et question à venir (parce que je n'ai pas encore trouvé comment faire...) : comment je référence ppp0 dans le CLI? Parce que pour set interface xxxx ppp0 firewall... Heu.... Je vois pas.)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 25 juillet 2014 à 22:23:00
Cependant, ma difficulté du jour (!) est de pouvoir être certain que la phase xl2tpd/ppp soit achevée avant que wide-dhcpv6-client ne se met au boulot.

pour quelle raison as tu besoin de cette certitude ?

t'as un "send ia-na 1" et un assoc vide c'est pas bon : ca déclenche une stateful configuration de l'IP.
"rapid commit" aussi a enlever, il faut attendre le RA.

en general le client DHCPv6 est déclenché lors du Neighbor Discovery  (par réception d'un message RA avec O et/ou M a 1) donc quand une IPv6 est attribuée au tunnel.

Sinon le delai de retry entre 2 solicit est de 120 secondes.

DHCPv6 et DHCPv4 sont tres differents et on utilise tres rarement DHCPv6 pour attribué des adresses IP alors qu'en V4 ca sert a ca avant tout.

Comme souvent en IPv6 il faut eviter de transposer et raisonner comme on a l'habitude de faire en v4, ca evite les problemes.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 25 juillet 2014 à 23:48:09
Pour le ia-na, il me semble être le seul moyen d'avoir une adresse globale sur mon interface LAN (le role du id-assoc na 1 { }; d'après toutes les descriptions et exemples que j'ai pu consulté). Mais je veux bien avoir tort. Tu confirmes?

Rapid-commit : bien vu. La raison pour laquelle le DHCPv6 n'écoute pas le RA sur ppp0, j'imagine. Je l'enlève.
Donc je peux revenir sur mon cas de configure où je lance mon echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control dans /etc/rc.local et virer ce que j'avais mis dans /etc/network/interfaces. wide-dhcpv6-client, maintenant sans rapid-commit, se déclenchera un peu plus tard.

Ça simplifie. Tant mieux. J'essaie ça après avoir mis ma téléspectatrice au lit. :)

Je reviens sur une de mes questions précédentes : comment puis-je continuer à gérer le firewall via l'interface CLI pour l'interface ppp0? Si je peux éviter de devoir poser des rêgles iptables à la mano...
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 26 juillet 2014 à 02:19:31
Oui il ne faut pas de ia-na, en tout cas la NBox n'en met pas, elle ne met que le ia-pd.

En principe tu recois une IPv6 coté wan par un Neighboor Discovery classique:

la chronologie:

- l'interface monte (via IPV6CP tel que définit dans les options de la connexion l2tp) et cherche a se configurer toute seule une IP globale
- émission d'un RS (router solicitation) sur cette interface en utilisant son @ link-local
- réception d'un RA (router advertissemnt) de la part du routeur en face chez SFR
- si dans le RA y'a l'option M est a 1 ca veut qu'il faut configurer son IP via DHCP (mais en general c'est 0 et dans le cas present ca devrait aussi). si M a 0, il faut configurer son IP coté WAN automatiquement en utilisant le préfix fournit dans le RA.
- si dans le RA y'a l'option O est a 1: d'autres options sont dispo par DHCP (dans le cas present y'a que l'option Prefix Delegation qui sera fournit): c'est ca qui doit déclencher le client DHCP.

donc enleve bien le ia-na et le rapid-commit de ta config. ca 'devrait' marcher ...
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 26 juillet 2014 à 08:39:39
Je viens de tenter ta suggestion : Plus de ia-na et ni de rapid-commit et bien sur,
net.ipv6.conf.ppp0.accept_ra = 2
net.ipv6.conf.ppp0.autoconf = 1
net.ipv6.conf.all.forwarding = 1
Mais l'autoconf ne donnera pas d'IPv6 global et DHCPv6 ne va pas se déclencher.

Quand je fais un radvdump, je vois que Managed Flag et Other Config sont à off sur ppp0 et surtout, je n'ai pas d'annonce de prefix:
interface ppp0
{
AdvSendAdvert on;
# Note: {Min,Max}RtrAdvInterval cannot be obtained with radvdump
AdvManagedFlag off;
AdvOtherConfigFlag off;
AdvReachableTime 0;
AdvRetransTimer 0;
AdvCurHopLimit 64;
AdvDefaultLifetime 1800;
AdvHomeAgentFlag off;
AdvDefaultPreference high;
AdvLinkMTU 1450;
}; # End of interface definition

En revanche, si je restart wide-dhcpv6-client, il vient me donner mon prefix et mon adresse global sur mon interface LAN.
J'ai l'impression que lorsque ce dernier se lance au boot, son problème est que ppp0 n'existe pas encore et il lache complètement l'affaire, au lieu de continuer à écouter.
Quoiqu'il en soit, il me semble pas inutile de m'assurer que ppp0 monte le plus tôt possible, quelque soit la façon dont je traite DHCPv6 ensuite...

Donc avant de me battre avec DHCPv6 (que j'arrive à faire fonctionner, même si ce n'est pas selon les rêgles IPv6 les plus clean...), que puis-je faire pour que /etc/network/interfaces fonctionne (voir mon post précédent (les paramètres ppp0 sont bien pris en compte (ifup & ifdown sont ok) mais l'interface ne monte pas au boot)) :

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp
        hwaddress xx:xx:xx:xx:xx:xx
        vendor &quot;neufbox-bypassedby-monemail@gmail.com&quot;;

auto ppp0
iface ppp0 inet manual
        pre-up /etc/init.d/xl2tpd start; sleep 3
        pre-up echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control; sleep 3
        down echo "d l2tp-IPv6" > /var/run/xl2tpd/l2tp-control; sleep 3
        post-down /etc/init.d/xl2tpd stop
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 26 juillet 2014 à 17:35:12
c'est curieux pour l'autoconf ou alors une particularité propre a SFR ou IPv6 sur PPP. je vais enquêter la dessus.

t'as que /etc/network/interfaces pour enchainer les trucs? tu peux faire avec des scripts sinon.

L'interface ppp est mieux en manuel plutot qu'en auto, c'est pas vraiment une interface auto car elle dépend d'une autre interface et c'est une commande qui la monte (echo ... l2tp-control);

je mettrai plutot le lancer du script xl2tpd et de la connexion (echo...l2tp-control) quand le wan est up (en 'post-up' de l'interface wan donc si ton client dhcp v4 est bloquant).
le demon xl2tpd peut etre lancer auto aussi et juste mettre la connexion dans le post-up du wan (avec un check/wait que le demon tourne).

idealement pour etre propre, la connexion/déconnexion du ppp devrait se faire en post de la config DHCP du wan notamment s'il y a un renew avec changement d'addresse du wan . Mais comme l'ip est fixe c'est pas 'trop' grave.( ca se fait par des hooks dhcpcd).

Dans l'interface ppp0, je mettrais le lancer du client dhcpv6:

iface ppp0 inet manual
    post-up /etc/init.d/wide-dhcpv6-client start
    pre-down /etc/init.d/wide-dhcpv6-client stop

enfin y'a plein de facon faire suivant ce dont on dispose dans le systeme.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 26 juillet 2014 à 20:26:18
Merci Kgersen.

Une conversation avec un ami qui maitrise Linux m'a confirmé mon ressenti naissant : les lignes dans /etc/network/interfaces ne sont pas "séquencées" donc l'écriture que j'en ai fait ne me garantit rien. Et oui, débutant sur Linux, il y a des évidences que je loupe... Mais bon, comme je suis le seul à vouloir continuer à "Bypasser la neufbox avec un routeur ubiquiti Edgemax", va falloir faire avec...  :P

J'aurai sans doute pu écrire :
manual ppp0
iface ppp0 inet manual
        pre-up /etc/init.d/xl2tpd start; sleep 3; echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control
        down echo "d l2tp-IPv6" > /var/run/xl2tpd/l2tp-control; sleep 3; /etc/init.d/xl2tpd stop
Pour rester dans le périmètre de ce qui "fait" ppp0.
Et enlever le démarrage auto du DHCPv6 par update-rc.d wide-dhcpv6-client disable, mettre un ifup ppp0 et un /etc/init.d/wide-dhcpv6-client start dans rc.local

En fait, bien qu'il aurait été plus propre d'avoir la définition de ppp0 dans interfaces (à mon sens), j'ai pour l'instant tout mis dans /etc/rc.local :
/etc/init.d/xl2tpd start
sleep 3
echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control
sleep 3
/etc/init.d/wide-dhcpv6-client start
Avec dans /etc/wide-dhcpv6/dhcp6c.conf...
interface ppp0 {
     send ia-pd 1;
     script "/etc/wide-dhcpv6/dhcp6c-script";
};

id-assoc pd 1 {
     prefix ::/56 infinity;
     prefix-interface eth1 {
          sla-id 1;
          sla-len 8;

     };
};
Et ça "juste marche" comme ça.
Je boote, j'ai mon ppp0 et DHCPv6 fait son job: j'ai une IPv6 Globale sur mon interface LAN (eth1). Radvd publie auprès des hosts.
J'ai mis une route6 ::/0 vers ppp0 via le CLI et ça fonctionne : je ping6 depuis mes hosts.

Ce qui reste à faire :
- le firewall (par CLI de préférence)
- "Résoudre" le problème (ou plutôt les conséquences) du noaccomp que j'ai du mettre dans /etc/ppp/options.xl2tpd car le débit est moisi: pas plus de 20Mbps dans les 2 sens sur mon 300/50.
Ce qui n'est pas "propre" :
- la non-définition de ppp0 dans /etc/network/interfaces. Mais là, c'est priorité basse.
Ce sur quoi je continue à m'interroger :
- Dois-je spécifier une route prefix::/56 ? Vers le fe80:: du LNS (ce que j'ai vu au début de mes essais et puis, pouf, y'a plus. Qu'ai-je touché? Aucune idée) ou mon ppp0 ?
- Aie-je besoin d'une IPv6 sur mon ppp0? À priori, je ne vois pas pourquoi j'en aurai besoin. C'est un routeur et non un host et on n'est pas en IPv4 ici... :P Des conséquences que je rate ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 26 juillet 2014 à 21:09:55
- Dois-je spécifier une route prefix::/56 ? Vers le fe80:: du LNS (ce que j'ai vu au début de mes essais et puis, pouf, y'a plus. Qu'ai-je touché? Aucune idée) ou mon ppp0 ?
non c'est fait dans l'autre sens, SFR envoi tout le /56 vers ton coté du PPP. Apres en local tu fais ce que tu veux avec le /56 mais il ne faut surtout pas le 'renvoyer' vers SFR :p

- Aie-je besoin d'une IPv6 sur mon ppp0? À priori, je ne vois pas pourquoi j'en aurai besoin. C'est un routeur et non un host et on n'est pas en IPv4 ici... :P Des conséquences que je rate ?

Je pensais que le PPP allait monter des IP publiques (global scope) de chaque coté du lien (style en /127) en plus des link-local mais a priori je me trompais (d'ou mon histoire de RA avec le prefix de toute a l'heure) et, c'est vrai, c'est pas nécessaire, c'est comme un bridge ou une interface 'unnumbered' en V4. C'est pas plus mal , mais ça rend "invisibles" les extrémités du lien PPP de l’extérieur.

Donc quand il y'a un traceroute venant de l'exterieur c'est l'IP LAN de ton routeur qui apparaît je pense (essais un http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-traceroute.php (http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-traceroute.php) vers l'ip v6 d'une machine sur ton lan). Et dans l'autre sens c'est l'IP coté Internet du routeur chez SFR qui apparait.

Si tu veux accéder a ton routeur de l'exterieur en IPv6 il faudrat donc utiliser son IP v6 lan car il n'a pas d'IP v6 wan donc s'il y'a des config firewall sur son sous-réseau LAN faudrait les adapter.
Au besoin, tu peux toujours ajouter une autre IP LAN a ton routeur pour ce besoin (t'as un /56 a ta disposition donc plein de /64 dispo).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 26 juillet 2014 à 21:24:17
Ok. Merci Kgersen. J'étudie tout ça.

Sinon, je n'avais pas relancé l'interface de mon host : radvd était bancal au boot.
En fait, je suis obligé de faire un /etc/init.d/radvd restart après mon DHCPv6 dans /etc/rc.local. Pas étonné et pas bien grave, vu la quantité de tweaks sales déjà en place.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 27 juillet 2014 à 07:05:45
En guise de conclusion sur IPv6 via le LNS SFR, je poste ici mes fichiers de config.

Notez qu'en l'état, je ne garde pas ces réglages car je n'ai pas réussi à voir un débit supérieur à 20 Mbps (symétrique) alors qu'utiliser un tunnel HE.net me permet un 100/50 sur mon lien 300/50.
De plus, utiliser le tunnel en L2TP/PPP pour le LNS SFR charge le CPU de l'ERL à 50%, alors que je suis en Offload sur le tunnel HE.net (pas/peu d'impact CPU). Sans compter que la config HE.net peut se faire intégralement avec le CLI (donc propre et sauvegardable) avec un setup simple pour coller le firewall dessus. Bref, y'a pas photo...

Donc, pour le principe, voici le Bypass IPv6 de la NB6 par l'EdgeRouter :

/etc/sysctl.conf
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.ppp0.accept_ra=2
net.ipv6.conf.ppp0.autoconf=1

/etc/xl2tpd/xl2tpd.conf
[global]
        port = 1701
        auth file = /etc/xl2tpd/xl2tp-secrets
        access control = no

[lac l2tp-IPv6]
        ppp debug = yes
        lns = 109.6.3.8
        hostname = 109.6.3.8
        name = dhcp/IP_PUBLIQUE@MAC
        hidden bit = no
        pppoptfile = /etc/ppp/options.xl2tpd
        require authentication = no
        refuse authentication = no
        refuse chap = no
        flow bit = yes
        length bit = yes
(C'est le LNS (109.6.3.8 ) qui m'est donné par SFR (merci Wireshark). Le votre peut être différent.
L'adresse MAC du port WAN de la NB6v doit être reportée en enlevant le caractère ":")

/etc/xl2tpd/xl2tp-secrets
*     *     6pe(Valable pour tous les clients SFR)

/etc/ppp/options.xl2tpd
ipv6 ,
+ipv6
ipv6cp-use-persistent
lock
child-timeout 20
lcp-echo-failure 3
lcp-echo-interval 20
noaccomp

/etc/ppp/chap-secrets
dhcp/IP_PUBLIQUE@MAC * MOT_DE_PASSE(Le mot de passe est visible via Wireshark)

/etc/default/wide-dhcpv6-client
interface ppp0 {
     send ia-pd 1;
     script "/etc/wide-dhcpv6/dhcp6c-script";
};

id-assoc pd 1 {
     prefix ::/56 infinity;
     prefix-interface eth1 {
          sla-id 1;
          sla-len 8;

     };
};
(Un Vendor est envoyé par le client DHCPv6 dans la NB6v (comme pour le DHCP IPv4) mais le LNS s'en fout, à priori)

Radvd via le CLI :
set interfaces ethernet eth1 ipv6 dup-addr-detect-transmits 1
set interfaces ethernet eth1 ipv6 router-advert cur-hop-limit 64
set interfaces ethernet eth1 ipv6 router-advert default-preference high
set interfaces ethernet eth1 ipv6 router-advert link-mtu 0
set interfaces ethernet eth1 ipv6 router-advert managed-flag false
set interfaces ethernet eth1 ipv6 router-advert max-interval 60
set interfaces ethernet eth1 ipv6 router-advert other-config-flag false
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' autonomous-flag true
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' on-link-flag true
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' valid-lifetime 604800
set interfaces ethernet eth1 ipv6 router-advert radvd-options 'RDNSS 2620:0:ccc::2 2620:0:ccd::2 { };'
set interfaces ethernet eth1 ipv6 router-advert reachable-time 0
set interfaces ethernet eth1 ipv6 router-advert retrans-timer 0
set interfaces ethernet eth1 ipv6 router-advert send-advert true
(Je donne ici les DNS d'OpenDNS via RDNSS à mes clients LAN. Votre choix)

La route via CLI :
set protocols static interface-route6 '::/0' next-hop-interface ppp0
/etc/rc.local
/etc/init.d/xl2tpd start
sleep 3
echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control
sleep 3
/etc/init.d/wide-dhcpv6-client start
/etc/init.d/radvd restart

Au reboot, ça doit fonctionner tel quel. ;)
(Pas de firewall ici. Vu les perfs du lien, je n'ai pas creusé plus loin)

Un gros merci à Kgersen, ainsi qu'à Marin et c0mm0n !
(Qui s'attaque aux VLANs, VoD et Replay? ;) )
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 27 juillet 2014 à 16:42:32
super que ca marche.

Pour comparer, t'arrives a combien en débit IPv6 avec la NB6v ? (ca ne marche toujours pas chez moi).

Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 27 juillet 2014 à 21:06:13
super que ca marche.

Pour comparer, t'arrives a combien en débit IPv6 avec la NB6v ? (ca ne marche toujours pas chez moi).
C'est bien grace à toi! :)

Pour les débits IPv6 de la NB6v... Je ne sais plus du tout.  ::) Et là tout de suite, j'ai Madame devant la TV...
(on me dit 50 Mbps sur Twitter)
Je suppose fortement qu'il n'y pas d'offload HW pour xl2tpd/pppd sur la NB6.
Malheureusement, sur l'ERL, c'est pareil. En plus du fait que les versions utilisées de xl2tpd et du plug-in pppd ne sont pas "kernel-core acceleration enabled". Donc pas d'offload, ni d'optimisation. Donc on est manifestement cappé à 20 Mbps, tout en prenant un gros morceau du temps CPU.
En comparaison, l'alternative HE.net est bien plus sexy: configurable par CLI, Offload par le HW et... indépendante de l'opérateur. :)
Tant qu'Ubiquity ne consacrera pas un peu de ressources pour améliorer xl2tpd (ils l'ont dans leur ToDos list mais la priorité est surement basse), ça sera un Bypass bien peu intéressant. À moins que SFR ne change de solution entre-temps (gros doute)...
Ou bien, j'ai loupé un truc, ce qui n'est pas à exclure. :)



Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 27 juillet 2014 à 21:25:01
C'était juste pour savoir comme ca ne marche toujours pas chez moi... j'ai lu environ 50Mbps aussi , sur ce post notamment: https://lafibre.info/ipv6/limitation-de-debit-neufbox-ipv6/

Il serait bien qu'un abonné fibre 1G/200M avec IPv6 qui marche fasse le test pour voir. si quelqu'un lit ce message svp ;)


Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Ralph le 27 juillet 2014 à 21:35:32
Quel test ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 27 juillet 2014 à 22:17:17
Quel test ?

speedtest en IPv6. https://testdebit.info/index6.php (https://testdebit.info/index6.php) par exemple.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Ralph le 28 juillet 2014 à 12:34:07
J'en ai fait quand j'ai eu la fibre au début, dans mes souvenirs c'était dans les 80/85 Mbits en Download, mais plus en Upload.
Le truc pas drole c'est que le fait de mettre / enlever l'IPv6 coupe les connexions TCP même lorsqu'on a que de l'IPv4 mais pas forcement au moment e la permutation mais bien 20/30 minutes après, ce qui n'est pas terrible lorsque des personnes pratiquent des jeux en réseau.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Benja le 28 juillet 2014 à 23:49:49
C'était juste pour savoir comme ca ne marche toujours pas chez moi... j'ai lu environ 50Mbps aussi , sur ce post notamment: https://lafibre.info/ipv6/limitation-de-debit-neufbox-ipv6/

Il serait bien qu'un abonné fibre 1G/200M avec IPv6 qui marche fasse le test pour voir. si quelqu'un lit ce message svp ;)
Pas dans des conditions optimales, mais voici ce que j'obtiens vite fait:
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 29 juillet 2014 à 21:42:22
merci pour ce test. 50M/50M donc reste a voir si ca vient de la NB6v ou du peering IPv6 de SFR.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Nico le 30 juillet 2014 à 10:44:43
Ou ni l'un, ni l'autre ? (je pense aux équipements qui gèrent l'ipv6 en face de la NB)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 30 juillet 2014 à 11:09:48
Je parie fortement sur la NB6v (et l'ERL) dans le cas présent.
On pourra éprouver le LNS quand l'ERL saura faire du l2tp/ppp en offload HW, ce qui n'est pas forcèment une priorité pour Ubiquity.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 12 août 2014 à 14:21:25
EdgeOS 1.6 qui rentre en phase de test...
De même pour un nouveau firmware pour la NB6 de SFR...

Quelque chose me dit qu'on và avoir du boulot d'ici quelque temps. :)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Florian le 17 septembre 2014 à 13:10:40
Bonjour,

J'ai parcouru le topic, si j'ai bien compris, jusqu'à présent, le net et la tv fonctionne correctement sans avoir besoin de la nb sur le réseau, c'est bien ça ?

Je vais bientôt avoir la fibre chez moi, et rapatrier des servers @home, dont un qui fait beaucoup de connexions nat en //.

A une époque, lointaine, les box opérateurs étaient à la ramasse avec un nombre de connex assez faible... C'est toujours le cas ? La NB6V me semble assez bien optimisée, vous pensez qu'elle peut saturer avec une forte charge ? Je demande car il me semble que le nat est accéléré, donc ça devrait être costaud ?  Désolé pour ma question assez flou, mais je pense que des exemples concrets seraient hors charte.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 21 septembre 2014 à 18:13:41
Je galere un peu pour tout refaire apres un clean.

Ca m'a permis de me rendre compte que je n'avais pas documente le  fichier index.php, quelqu'un aurait la gentillesse de me donner le sien ?

Je suis en train regarder les posts mais ca  ne marche pas... plus que l'historique skype
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 22 septembre 2014 à 13:14:12
J'ai ça sur ma config actuelle (Streaming Chaines OK, pas de VoD, ni Replay):

lighttpd.conf (partie modifié) :
url.rewrite-once = (
# Add line
"^(/api/1.0/.*)" => "$0",
# Add line
        "^(/(lib|media|ws|tests)/.*)" => "$0",
        "^/([^\?]+)(\?(.*))?$" => "/index.php/$1?$3"
)

$HTTP["scheme"] == "http" {
    $HTTP["url"] !~ "^/index.php/error/" {
# Add line
        $HTTP["url"] !~ "^/api/" {
# Add line
        $HTTP["host"] =~ "^(.*)$" {
                url.redirect = (
                        "^(.*)$" => "https://%1$1"
                )
        }
# Add line
    }
# Add line
    }
}

cd /var/www/htdocs
mkdir api
mkdir api/1.0/
cd /api/1.0/

index.php

<?php
header
('Content-Type: application/xml; charset=utf-8');
if (isset(
$_GET['method'])){
        
$method $_GET['method'];
        switch (
$method) {
                case 
"system.getInfo":
                        echo 
file_get_contents('system.xml');
                        break;
                case 
'lan.getHostsList':
                        echo 
file_get_contents('lan.xml');
                        break;
                case 
'wan.getInfo':
                        echo 
file_get_contents('wan.xml');
                        break;
                case 
'ftth.getInfo':
                        echo 
file_get_contents('ftth.xml');
                        break;
        }
        return;
}
?>

system.xml


<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<system product_id="NB6V-SER-r0" mac_addr="xx:xx:xx:xx:xx:xx" net_mode="router" net_infra="ftth" uptime="99999999999999" version_mainfirmware="NB6V-MAIN-R3.3.9" version_rescuefirmware="NB6V-MAIN-R3.3.3" version_bootloader="NB6-BOOTLOADER-R3.3.2" version_dsldriver="NB6V-XDSL-A2pv6F038m" current_datetime="201407080100" refclient=""/>
</rsp>

lan.xml

<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<host type="stb" name="NEUFTVSTB_MA_9440" ip="192.168.1.20" mac="xx:xx:xx:xx:xx:xx" iface="lan1" probe="55" alive="725228" status="online"/>
</rsp>

wan.xml

<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">       
<wan status="up" uptime="999999" ip_addr="IP_PUBLIQUE" infra="ftth" mode="ftth/routed"/>     
</rsp>

ftth.xml

<?xml version="1.0" encoding="UTF-8"?>
<rsp stat="ok" version="1.0">
<ftth status="up" />
</rsp>

Pour IGMP (eth0 = ONT, eth1 = LAN, eth2 = Décodeur TV) :
set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0 role upstream
set protocols igmp-proxy interface eth0 threshold 1
set protocols igmp-proxy interface eth1 role disabled
set protocols igmp-proxy interface eth1 threshold 1
set protocols igmp-proxy interface eth2 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth2 role downstream
set protocols igmp-proxy interface eth2 threshold 1
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 22 septembre 2014 à 13:37:02
Genial merci je teste ca ce soir et je remets le post a jour

D'ailleurs j'ai l'install en ligne de commande plutot qu'en GUI, je ferais peut etre un autre post pour etre clair
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 22 septembre 2014 à 13:49:16
Merci c'est exactement ce qui me manquait, je mettais les fichiers dans /var/www/api au lieu de /var/www/htdocs/api, je testerais la TV ce soir
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: yrousse le 22 septembre 2014 à 16:04:40
Ravi de pouvoir "renvoyer" l'ascenseur: c'est avec ton post que j'ai commencé (et l'aide de Kgersen, Marin, etc...).  :)

Si tu as besoin de ma config du Firewall pour l'IGMP, n'hésite pas.

Pour IPv6, les perfs ERL+LNS SFR en L2TP/PPP sont si médiocres que ça ne vaut pas le coup (mais j'ai fait un post plus haut sur une config qui fonctionne).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 22 septembre 2014 à 20:53:50
Merci j.ai tout relu et je suis preneur de ta confit firewall igmp, j'ai utilisé celle que tu as poste il y'a quelques pages mais sans succès toujours SL12

Bon même si je vire le firewall ça ne resouds pas donc ça doit pas être ça
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 22 septembre 2014 à 21:22:55
Le bon cote c'est que maintenant j'ai scripte la creation de WAN_IN et WAN_LOCAL

set firewall name WAN_IN description "packets from internet to LAN & WLAN"
set firewall name WAN_IN default-action drop
set firewall name WAN_IN enable-default-log
set firewall name WAN_IN rule 5 action accept
set firewall name WAN_IN rule 5 description "Allow Multicast"
set firewall name WAN_IN rule 5 destination address 224.0.0.0/4
set firewall name WAN_IN rule 10 description "allow established sessions"
set firewall name WAN_IN rule 10 action accept
set firewall name WAN_IN rule 10 state established enable
set firewall name WAN_IN rule 10 state related enable
set firewall name WAN_IN rule 10 state invalid disable
set firewall name WAN_IN rule 10 state new disable
set firewall name WAN_IN rule 10 protocol all
set firewall name WAN_IN rule 15 action accept
set firewall name WAN_IN rule 15 description "Allow 1287/1288 for STB"
set firewall name WAN_IN rule 15 destination port 1287-1288
set firewall name WAN_IN rule 15 protocol tcp
set firewall name WAN_IN rule 15 state new enable
set firewall name WAN_IN rule 20 action accept
set firewall name WAN_IN rule 20 description "Allow UDP to Multicast"
set firewall name WAN_IN rule 20 destination address 224.0.0.0/4
set firewall name WAN_IN rule 20 protocol udp
set firewall name WAN_IN rule 20 state new enable
set firewall name WAN_IN rule 25 action accept
set firewall name WAN_IN rule 25 description "Allow ICMP"
set firewall name WAN_IN rule 25 protocol icmp
set firewall name WAN_IN rule 25 state established enable
set firewall name WAN_IN rule 25 state related enable
set firewall name WAN_IN rule 30 action accept
set firewall name WAN_IN rule 30 description "Allow IGMP"
set firewall name WAN_IN rule 30 protocol igmp
set firewall name WAN_IN rule 100 description "drop invalid state"
set firewall name WAN_IN rule 100 action drop
set firewall name WAN_IN rule 100 state established disable
set firewall name WAN_IN rule 100 state related disable
set firewall name WAN_IN rule 100 state invalid enable
set firewall name WAN_IN rule 100 state new disable
set firewall name WAN_IN rule 100 protocol all
set interfaces ethernet eth1 firewall in name WAN_IN
set firewall name WAN_LOCAL description "packets from internet to the router"
set firewall name WAN_LOCAL default-action drop
set firewall name WAN_LOCAL enable-default-log
set firewall name WAN_LOCAL rule 5 action accept
set firewall name WAN_LOCAL rule 5 description "Allow Multicast"
set firewall name WAN_LOCAL rule 5 destination address 224.0.0.0/4
set firewall name WAN_LOCAL rule 10 description "allow established sessions"
set firewall name WAN_LOCAL rule 10 action accept
set firewall name WAN_LOCAL rule 10 state established enable
set firewall name WAN_LOCAL rule 10 state related enable
set firewall name WAN_LOCAL rule 10 state invalid disable
set firewall name WAN_LOCAL rule 10 state new disable
set firewall name WAN_LOCAL rule 10 protocol all
set firewall name WAN_LOCAL rule 20 description "drop invalid state"
set firewall name WAN_LOCAL rule 20 action drop
set firewall name WAN_LOCAL rule 20 state established disable
set firewall name WAN_LOCAL rule 20 state related disable
set firewall name WAN_LOCAL rule 20 state invalid enable
set firewall name WAN_LOCAL rule 20 state new disable
set firewall name WAN_LOCAL rule 20 protocol all
set interfaces ethernet eth1 firewall local name WAN_LOCAL
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 28 septembre 2014 à 22:14:28
Je viens de scanner mes ports depuis l'exterieur pour tester mon IDS et je suis tombe la dessus :

Ports ouverts :
25 SMTP
53 DNS
80 HTTP
143 IMAP
1287 que yrousse a identifie comme a ouvrir pour la TV
1288 que yrousse a identifie comme a ouvrir pour la TV
1290 VOD ? REPLAY ?
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Florian le 08 octobre 2014 à 18:40:13
Question à la con, mais pourquoi doit on forcèment spécifier le MSS à 1452 ?
 
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 08 octobre 2014 à 20:11:25
Aucune idee
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: jeremyp3 le 08 octobre 2014 à 20:25:39
salut,

ouvrir des ports pour la tv ? hmmm ça me parait bizare.

ses ports là sont plutot pour que sfr prenne le contrôle de ta box à distance avec leurs outils


Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 08 octobre 2014 à 23:45:26
Chez moi je n'ai que:
TCP   port 1290   -> 192.168.1.24 (décodeur TV Evolution) port 8000
comme port ouvert (c'est fait par upnp en plus).
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Paul le 09 octobre 2014 à 21:55:54
Ce qui est ouvert par UPnP le sera aussi dans l'ERL à mon avis. Il suffit d'ouvrir les ports successivement puis si ça marche autant laisser comme c'est :)

Je sais que pour le décodeur Orange j'avais un port ouvert dans l'UPnP mais plus maintenant.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: grapplerbaki le 16 octobre 2014 à 14:31:14
Bonjour,

C'est à cause du PPOE qui encapsule 8 byte dans l’entête IP
Le MSS normal c'est 1500 - 40 IP - 8 PPOE = 1452.

http://www.softwares.free.fr/pppoe/mtu_mss_etc.htm (http://www.softwares.free.fr/pppoe/mtu_mss_etc.htm)
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: kgersen le 16 octobre 2014 à 18:51:33
Bonjour,

C'est à cause du PPOE qui encapsule 8 byte dans l’entête IP
Le MSS normal c'est 1500 - 40 IP - 8 PPOE = 1452.

http://www.softwares.free.fr/pppoe/mtu_mss_etc.htm (http://www.softwares.free.fr/pppoe/mtu_mss_etc.htm)

Il n'y a pas de PPPoE en fibre chez SFR donc la question de Florian reste pertinente.
Cette config MSS est probablement un couper/coller d'une version ADSL d'un bypass de box.
Il faudrait l'enlever.
Titre: Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: tivoli le 17 octobre 2014 à 00:53:53
modifié merci
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: falcon14141 le 08 juillet 2017 à 16:23:25
Je n'ai pas vu de mention au cas de la VOD et du replay.

Tivoly avait déjà communiqué avec les équipes d'Ubiquity concernant le besoin pour la VOD et le replay d'avoir une helper RTSP pour le NAT.

C'est chose faite depuis la version 1.8 du firmware.
Le helper est là, mais pas encore complètement intégré dans le GUI et la Config.
Il faut le charger à la main (ou via un script de post-config)

sudo modprobe nf_nat_rtsp
Infos officielles
https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-8-0/ba-p/1490756 (https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-8-0/ba-p/1490756)

Testé à l'instant avec de la VOD SFR.

J'ai pour l'instant chois l'option Box SFR en LAN dédié du mon ER-POE.

J'ai à priori Internet OK, TV OK, Replay/VOD OK et Téléphonie OK (je n'ai pas de téléphone analogique pour tester mais les voyants sont au vert)
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: falcon14141 le 31 juillet 2017 à 11:23:55
Petit complèment : SIP Phone OK !

J'ai donc un bypass qui semble être à 100% sans box SFR, et compatible avec mon n510ip.

Internet OK
TV OK
Replay/VOD OK
Téléphonie SIP : OK (Asterisk en SIP, via siproxd)

....je peux remettre mes NB6V et NB6VAC en carton

Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: jiquem le 24 août 2017 à 11:09:24
Bonjour,

Est ce que cette procédure fonctionnerait aussi sur un USG ? (Ubiquiti Security Gateway)

Merci
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: Matyoux le 19 juin 2018 à 21:42:44
Bonjour,

Merci pour le tuto complet.

J'ai actuellement une BOX SFR NB6V sur lequel vient se brancher sur le port Fibre un autre modem routeur Numéricable Coaxial :
https://lafibre.info/sfr-business/box-sfr-business/

Je ne comprends d'ailleur pas pourquoi je dois avoir deux modems routers wifi.

Je suis en offfre SFR Business Team et je souhaite remplacer la box NB6V par mon Edgerouter 4.

J'ai suivi le tuto pour la partie Web et cela ne fonctionne pas.

Avez-vous une idée ?

Merci
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: laurentdra le 21 juillet 2018 à 14:34:48

# Configuration du client DHCP (wan) uniquement valable à partir de la version 1.5 beta 1
changez email@mail.com par votre email, ce n'est pas obligatoire techniquement mais aidera le technicien SFR a vous contacter si besoin
configure
set interfaces ethernet eth1 dhcp-options client-option "send vendor-class-identifier &quot;neufbox6-email@mail.com&quot;;"
commit
save



Bonjour,
Je viens d'acquérir un UBIQUITI ERLite-3,
Et j'ai une erreur lors de cette partie:

(https://image.noelshack.com/fichiers/2018/29/6/1532176387-erl3-sfr.png)

Mais j'arrive pas à savoir pourquoi ?
Merci d'avance :)
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: laurentdra le 21 juillet 2018 à 15:51:22
Ok, routeur pas à jour, depuis ça fonctionne ! Merci ! \o/
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: fob69 le 20 janvier 2020 à 19:28:55
Bonjour,

Je viens de remplacer ma neufbox6 par un ubiquiti edge router X SFP (j'ai besoin de connecter un équipement en optique).
J'ai paramétré le WAN sur eth0 et le reste en switch.

Après test de débit, j'ai une perte importante de debit, je passe de 800mb en download a 500mb.
CPU à 100% pendant le test.

Je suis un peu surpris.
J'ai des paramètres a activer pour booster le débit ?

Merci pour votre aide

B.
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: fob69 le 21 janvier 2020 à 07:01:20
J'ai résolu mon problème de débit limité : j'ai activé le module hardware hwnat
je monte maintenant à 950mbs (la box est battue)
commande :

configure
set system offload hwnat enable
commit ; save

B.
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: JDoe le 18 avril 2020 à 16:12:52
Bonjour,

Je viens de configurer un ERL3 sur ma fibre SFR.
Le firmware est en version 1.10 et il y a pas mal de petites différences de configuration par rapport à ce qu'on peut lire sur ce forum.
eth0 vers l'ONT
eth1 (192.168.1.1) pour le LAN
eth2 raccordé au boitier TV
L'accès internet ipv4 fonctionne (1150Mbps down en crète !).

Concernant la TV j'ai fait les modifs lighthttpd et rajouté la conf pour le proxy igmp.

Mais quelle est la configuration du port eth2 sur le ERL3 pour le boitier TV ?
- quelle ip attribuer à eth2 ?
- j'imagine qu'il faut configurer un serveur DHCP sur eth2 ?
- et que le boitier TV doit accéder à internet (via du masquerade sortant eth0 + règles de flux ?)

Pour l'instant j'ai mis eth2 en 192.168.1.2 et partage le même serveur DHCP que sur eth1. Dès que je branche le boitier TV sur eth2 alors je perds la connexion internet depuis le LAN eth1 et je perds l'accès à l'ERL3.

Merci pour vos infos.
Jdoe


Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: JDoe le 20 avril 2020 à 22:08:59
Bonjour,

Je viens de configurer un ERL3 sur ma fibre SFR.
Le firmware est en version 1.10 et il y a pas mal de petites différences de configuration par rapport à ce qu'on peut lire sur ce forum.
eth0 vers l'ONT
eth1 (192.168.1.1) pour le LAN
eth2 raccordé au boitier TV
L'accès internet ipv4 fonctionne (1150Mbps down en crète !).

Concernant la TV j'ai fait les modifs lighthttpd et rajouté la conf pour le proxy igmp.

Mais quelle est la configuration du port eth2 sur le ERL3 pour le boitier TV ?
- quelle ip attribuer à eth2 ?
- j'imagine qu'il faut configurer un serveur DHCP sur eth2 ?
- et que le boitier TV doit accéder à internet (via du masquerade sortant eth0 + règles de flux ?)

Pour l'instant j'ai mis eth2 en 192.168.1.2 et partage le même serveur DHCP que sur eth1. Dès que je branche le boitier TV sur eth2 alors je perds la connexion internet depuis le LAN eth1 et je perds l'accès à l'ERL3.

Merci pour vos infos.
Jdoe


192.168.99.1/24 sur eth2
Serveur DHCP sur eth2
Depuis le réseau 192.168.99.0/24 on accède bien au routeur (donc aux url http://192.168.1.1/api/1.0/?method=xxx.getInfo) et aussi à internet.
Le boitier TV boot, accède au guide des programmes, la musique fonctionne mais pas le flux TV.
Va falloir capturer les paquets ...

Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: jeremyp3 le 21 avril 2020 à 08:42:30
il manque très probablement l'igmpproxy afin de pouvoir afficher les flux live

Jerem
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: JDoe le 22 avril 2020 à 19:57:18
il manque très probablement l'igmpproxy afin de pouvoir afficher les flux live

Jerem

Proxy IGMP configuré.
igmp en ACCEPT sur le firewall
Toujours pas la tv en live, même en mettant WAN_IN et WAN_LOCAL en politique par défaut ACCEPT ...
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: nextgens le 23 avril 2020 à 15:07:36
Il y a des préfixes hors-plage à configurer:

    igmp-proxy {
        interface eth0 {
            alt-subnet 80.118.201.0/24
            alt-subnet 84.96.146.0/24
            alt-subnet 84.96.219.0/24
            alt-subnet 80.118.192.0/24
            alt-subnet 86.65.94.0/24
            alt-subnet 86.65.95.0/24
            alt-subnet 109.203.65.49/32
            alt-subnet 86.64.0.0/12
            alt-subnet 93.0.0.0/11
            role upstream
            threshold 1
            whitelist 232.0.0.0/7
        }
        interface eth1 {
            role downstream
            threshold 1
            whitelist 232.0.0.0/7
        }
        interface eth2 {
            role downstream
            threshold 1
            whitelist 232.0.0.0/7
        }

sur WAN_IN:
        rule 99 {
            action accept
            description "Allow UDP to multicast"
            destination {
                address 224.0.0.0/4
            }
            protocol udp
        }

sur WAN_LOCAL:
        rule 99 {
            action accept
            description Multicast
            destination {
                address 224.0.0.1/4
            }
            protocol igmp
        }

Pour tester à partir du LAN:
mpv udp://@233.49.82.70:7500
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: JDoe le 23 avril 2020 à 21:41:59
Il y a des préfixes hors-plage à configurer:

    igmp-proxy {
        interface eth0 {
            alt-subnet 80.118.201.0/24
            alt-subnet 84.96.146.0/24
            alt-subnet 84.96.219.0/24
            alt-subnet 80.118.192.0/24
            alt-subnet 86.65.94.0/24
            alt-subnet 86.65.95.0/24
            alt-subnet 109.203.65.49/32
            alt-subnet 86.64.0.0/12
            alt-subnet 93.0.0.0/11
            role upstream
            threshold 1
            whitelist 232.0.0.0/7
        }
        interface eth1 {
            role downstream
            threshold 1
            whitelist 232.0.0.0/7
        }
        interface eth2 {
            role downstream
            threshold 1
            whitelist 232.0.0.0/7
        }

sur WAN_IN:
        rule 99 {
            action accept
            description "Allow UDP to multicast"
            destination {
                address 224.0.0.0/4
            }
            protocol udp
        }

sur WAN_LOCAL:
        rule 99 {
            action accept
            description Multicast
            destination {
                address 224.0.0.1/4
            }
            protocol igmp
        }

Pour tester à partir du LAN:
mpv udp://@233.49.82.70:7500

Merci pour ces infos.
Conf IGMP ok, j'ouvre plus large sur les réseaux: alt-subnet 0.0.0.0/0 et j'ai eth1 en disable car la TV est sur eth2 (j'ai testé sans succès de mettre eth1 aussi en downstream.
Les règles de filtrage sont OK, il me manquait l'ouverture en UDP sur WAN_IN

Résultat: ça ne fonctionne toujours pas.

J'ai un switch Cisco (du L2, pas du L3) entre eth2 et le boitier TV, ports en mode access dans un VLAN réservé pour la TV. Il faudra que je teste pour voir si ça vient de là ....
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: nextgens le 24 avril 2020 à 08:41:58
Pour avoir la réponse c'est simple:

sudo tcpdump -ni eth2 udp and igmp
... si tu vois le flux UDP c'est le switch
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: JDoe le 24 avril 2020 à 11:13:34
J'ai connecté en direct l'ERL et le boitier TV, toujours pas de flux TV.

Voici ma conf de firewall:
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow UDP to multicast"
            destination {
                address 224.0.0.0/4
            }
            log disable
            protocol udp
        }
        rule 30 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 40 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description Multicast
            destination {
            }
            log disable
            protocol igmp
        }
        rule 20 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 30 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }


J'ai quelques forward de ports d'internet vers le LAN eth1:
port-forward {
    auto-firewall enable
    hairpin-nat disable
    lan-interface eth1
    rule 1 {
        description "DNS UDP"
        forward-to {
            address 192.168.1.254
        }
        original-port 53
        protocol udp
    }
    rule 2 {
        description "DNS TCP"
        forward-to {
            address 192.168.1.254
        }
        original-port 53
        protocol tcp
    }
    rule 3 {
        description HTTP
        forward-to {
            address 192.168.1.254
        }
        original-port 80
        protocol tcp
    }
    rule 4 {
        description HTTPS
        forward-to {
            address 192.168.1.254
        }
        original-port 443
        protocol tcp
    }
...
    wan-interface eth0
}

Proxy igmp et autres:
    igmp-proxy {
        interface eth0 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
            whitelist 232.0.0.0/7
        }
        interface eth1 {
            role disabled
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
            whitelist 232.0.0.0/7
        }
    }
    static {
        route 192.168.45.0/24 {
            next-hop 192.168.1.254 {
                description "Route vers LAN45"
            }
        }
}

Conf DHCP pour le LAN TV eth2 et masquerade sortant sur eth0:
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN_TV_DHCP {
            authoritative disable
            subnet 192.168.9.0/24 {
                default-router 192.168.9.1
                dns-server 109.0.66.10
                dns-server 8.8.8.8
                lease 86400
                start 192.168.9.21 {
                    stop 192.168.9.30
                }
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 150
            listen-on eth1
            listen-on eth2
        }
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            outbound-interface eth0
            type masquerade
        }
...
}

Conf system:
system {
....
    name-server 109.0.66.10
    name-server 109.0.66.20
    name-server 1.1.1.1
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipv4 {
            forwarding enable
        }
        ipv6 {
            forwarding enable
        }
    }
...
}

tcpdump -n -i eth2 -p udp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 262144 bytes
10:50:12.984833 IP 192.168.9.21.48190 > 109.0.66.10.53: 10475+ A? box.8.8.8.8. (29)
10:50:12.993053 IP 109.0.66.10.53 > 192.168.9.21.48190: 10475 NXDomain 0/1/0 (104)
10:50:13.001997 IP 192.168.9.21.44500 > 109.0.66.10.53: 59780+ A? neufbox.8.8.8.8. (33)
10:50:13.005412 IP 109.0.66.10.53 > 192.168.9.21.44500: 59780 NXDomain 0/1/0 (108)
10:50:16.974973 IP 192.168.9.1.42372 > 255.255.255.255.10001: UDP, length 4
10:50:16.980081 IP 192.168.9.1.33678 > 255.255.255.255.42372: UDP, length 141
10:50:18.849699 IP 192.168.9.21.123 > 109.0.66.30.123: NTPv4, Client, length 48
10:50:18.857921 IP 109.0.66.30.123 > 192.168.9.21.123: NTPv4, Server, length 48
10:50:19.605785 IP 192.168.9.21.45448 > 109.0.66.10.53: 50935+ A? box.8.8.8.8. (29)
10:50:19.614379 IP 109.0.66.10.53 > 192.168.9.21.45448: 50935 NXDomain 0/1/0 (104)
10:50:19.630928 IP 192.168.9.21.57029 > 109.0.66.10.53: 22862+ A? neufbox.8.8.8.8. (33)
10:50:19.639996 IP 109.0.66.10.53 > 192.168.9.21.57029: 22862 NXDomain 0/1/0 (108)
10:50:21.967972 IP 192.168.9.21.41645 > 239.255.255.250.1900: UDP, length 137
10:50:23.968485 IP 192.168.9.21.41645 > 239.255.255.250.1900: UDP, length 132
10:50:25.969928 IP 192.168.9.21.41645 > 239.255.255.250.1900: UDP, length 133
10:50:26.237833 IP 192.168.9.21.36003 > 109.0.66.10.53: 29508+ A? box.8.8.8.8. (29)
10:50:26.241934 IP 109.0.66.10.53 > 192.168.9.21.36003: 29508 NXDomain 0/1/0 (104)
10:50:26.246511 IP 192.168.9.21.54050 > 109.0.66.10.53: 29736+ A? neufbox.8.8.8.8. (33)
10:50:26.250543 IP 109.0.66.10.53 > 192.168.9.21.54050: 29736 NXDomain 0/1/0 (108)
10:50:27.971825 IP 192.168.9.21.41645 > 239.255.255.250.1900: UDP, length 101
10:50:32.842953 IP 192.168.9.21.42201 > 109.0.66.10.53: 62633+ A? box.8.8.8.8. (29)
10:50:32.847207 IP 109.0.66.10.53 > 192.168.9.21.42201: 62633 NXDomain 0/1/0 (104)
10:50:32.855778 IP 192.168.9.21.43390 > 109.0.66.10.53: 10443+ A? neufbox.8.8.8.8. (33)
10:50:32.864372 IP 109.0.66.10.53 > 192.168.9.21.43390: 10443 NXDomain 0/1/0 (108)
10:50:39.457308 IP 192.168.9.21.40142 > 109.0.66.10.53: 58992+ A? box.8.8.8.8. (29)
10:50:39.465777 IP 109.0.66.10.53 > 192.168.9.21.40142: 58992 NXDomain 0/1/0 (104)
10:50:39.475790 IP 192.168.9.21.46642 > 109.0.66.10.53: 27700+ A? neufbox.8.8.8.8. (33)
10:50:39.480069 IP 109.0.66.10.53 > 192.168.9.21.46642: 27700 NXDomain 0/1/0 (108)
10:50:45.000303 IP 192.168.9.21.60132 > 239.255.255.250.1900: UDP, length 481
10:50:45.000741 IP 192.168.9.21.60132 > 239.255.255.250.1900: UDP, length 490
10:50:45.000976 IP 192.168.9.21.60132 > 239.255.255.250.1900: UDP, length 523
10:50:45.001309 IP 192.168.9.21.59198 > 239.255.255.250.1900: UDP, length 490
10:50:45.001586 IP 192.168.9.21.59198 > 239.255.255.250.1900: UDP, length 535
10:50:45.001833 IP 192.168.9.21.43978 > 239.255.255.250.1900: UDP, length 525
10:50:45.102268 IP 192.168.9.21.33006 > 239.255.255.250.1900: UDP, length 481
10:50:45.102636 IP 192.168.9.21.33006 > 239.255.255.250.1900: UDP, length 490
10:50:45.102790 IP 192.168.9.21.33006 > 239.255.255.250.1900: UDP, length 523
10:50:45.103114 IP 192.168.9.21.53131 > 239.255.255.250.1900: UDP, length 490
10:50:45.103429 IP 192.168.9.21.53131 > 239.255.255.250.1900: UDP, length 535

tcpdump -n -i eth2 -p igmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 262144 bytes
10:46:24.652313 IP 192.168.9.1 > 233.89.188.1: igmp v2 report 233.89.188.1
10:46:25.460522 IP 192.168.9.21 > 224.0.0.251: igmp v2 report 224.0.0.251
10:46:47.002513 IP 192.168.9.1 > 224.0.0.1: igmp query v2
10:46:50.836550 IP 192.168.9.21 > 239.255.255.250: igmp v2 report 239.255.255.250
10:46:52.340525 IP 192.168.9.21 > 224.0.0.251: igmp v2 report 224.0.0.251
10:46:53.452309 IP 192.168.9.1 > 233.89.188.1: igmp v2 report 233.89.188.1
10:46:53.452427 IP 192.168.9.1 > 224.0.0.2: igmp v2 report 224.0.0.2
10:46:54.092318 IP 192.168.9.1 > 224.0.0.22: igmp v2 report 224.0.0.22
10:47:18.032495 IP 192.168.9.1 > 224.0.0.1: igmp query v2
10:47:19.008519 IP 192.168.9.21 > 224.0.0.251: igmp v2 report 224.0.0.251
10:47:19.452296 IP 192.168.9.1 > 224.0.0.2: igmp v2 report 224.0.0.2
10:47:19.932311 IP 192.168.9.1 > 224.0.0.22: igmp v2 report 224.0.0.22
10:47:26.092324 IP 192.168.9.1 > 233.89.188.1: igmp v2 report 233.89.188.1
10:47:26.964540 IP 192.168.9.21 > 239.255.255.250: igmp v2 report 239.255.255.250


La capture UDP montre beaucoup de NXDomain, est-ce que j'ai les bons DNS dans le système et pour les clients DHCP ? quid du NTP ?
Quant à la capture IGMP, c'est très mou, le volume est faible (en comparaison de l'UDP).

A part une conf systeme incorrecte pour l'instant je ne vois pas le truc qui manquerait dans ma config ...
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: nextgens le 24 avril 2020 à 11:37:09
Tu mélanges tous les problèmes... assures toi que le multicast fonctionne pour commencer (sans la box).

vlc rtp://@233.49.82.97:7400
Est-ce que tu as de la musique? si oui, c'est pas la config multicast ... si non, regardes avec tcpdump où ca coince.
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: JDoe le 24 avril 2020 à 12:09:36
Oui, depuis un poste windows sur le même subnet que le boitier TV j'obtiens de la musique avec VLC sur l'addresse rtp://@233.49.82.97:7400.
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: nextgens le 24 avril 2020 à 12:16:59
Ok, donc c'est pas un problème de multicast :)

Essaies de mettre les DNS SFR (et non ceux de google) sur ce subnet: 109.0.66.10 et 109.0.66.20 ici
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: JDoe le 24 avril 2020 à 12:56:56
DNS modifiés, toujours pas de flux TV (code 51).
Pas de musique non plus sur le boitier TV ...
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: nextgens le 24 avril 2020 à 13:01:41
Relances une capture avec tcpdump... vérifie que la box charge bien tous les fichiers XML

https://lafibre.info/remplacer-sfr/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/msg169032/#msg169032
Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: JDoe le 24 avril 2020 à 15:12:25
Bien vu:
14:32:10.792336 IP 192.168.19.20.38618 > 192.168.19.1.http: Flags [P.], seq 724:908, ack 2206, win 547, options [nop,nop,TS val 4272711 ecr 479853], length 184: HTTP: GET /api/1.0/?method=lan.getHostsList HTTP/1.1
14:32:10.793400 IP 192.168.19.1.http > 192.168.19.20.38618: Flags [P.], seq 2206:2676, ack 908, win 537, options [nop,nop,TS val 479853 ecr 4272711], length 470: HTTP: HTTP/1.1 403 Forbidden

J'ai corrigé et ça fonctionne maintenant.
Je vais restreindre maintenant le fw et igmp avec les règles que tu as indiquées.

Merci nextgens  :)

Prochaine étape: SIP dans docker. A suivre !

Titre: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax
Posté par: OrSnake60 le 16 mai 2020 à 19:26:00
Des news sur le fonctionnement de la TV avec un firmware 2.0.8 pour ER-6P ?