Auteur Sujet: [FTTH] Bypasser la neufbox avec un routeur ubiquiti Edgemax  (Lu 32131 fois)

0 Membres et 1 Invité sur ce sujet

yrousse

  • Expert
  • Client Bbox fibre FTTH
  • *
  • Messages: 139
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #192 le: 26 juillet 2014 à 20:26:18 »
Merci Kgersen.

Une conversation avec un ami qui maitrise Linux m'a confirmé mon ressenti naissant : les lignes dans /etc/network/interfaces ne sont pas "séquencées" donc l'écriture que j'en ai fait ne me garantit rien. Et oui, débutant sur Linux, il y a des évidences que je loupe... Mais bon, comme je suis le seul à vouloir continuer à "Bypasser la neufbox avec un routeur ubiquiti Edgemax", va falloir faire avec...  :P

J'aurai sans doute pu écrire :
manual ppp0
iface ppp0 inet manual
        pre-up /etc/init.d/xl2tpd start; sleep 3; echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control
        down echo "d l2tp-IPv6" > /var/run/xl2tpd/l2tp-control; sleep 3; /etc/init.d/xl2tpd stop
Pour rester dans le périmètre de ce qui "fait" ppp0.
Et enlever le démarrage auto du DHCPv6 par update-rc.d wide-dhcpv6-client disable, mettre un ifup ppp0 et un /etc/init.d/wide-dhcpv6-client start dans rc.local

En fait, bien qu'il aurait été plus propre d'avoir la définition de ppp0 dans interfaces (à mon sens), j'ai pour l'instant tout mis dans /etc/rc.local :
/etc/init.d/xl2tpd start
sleep 3
echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control
sleep 3
/etc/init.d/wide-dhcpv6-client start
Avec dans /etc/wide-dhcpv6/dhcp6c.conf...
interface ppp0 {
     send ia-pd 1;
     script "/etc/wide-dhcpv6/dhcp6c-script";
};

id-assoc pd 1 {
     prefix ::/56 infinity;
     prefix-interface eth1 {
          sla-id 1;
          sla-len 8;

     };
};
Et ça "juste marche" comme ça.
Je boote, j'ai mon ppp0 et DHCPv6 fait son job: j'ai une IPv6 Globale sur mon interface LAN (eth1). Radvd publie auprès des hosts.
J'ai mis une route6 ::/0 vers ppp0 via le CLI et ça fonctionne : je ping6 depuis mes hosts.

Ce qui reste à faire :
- le firewall (par CLI de préférence)
- "Résoudre" le problème (ou plutôt les conséquences) du noaccomp que j'ai du mettre dans /etc/ppp/options.xl2tpd car le débit est moisi: pas plus de 20Mbps dans les 2 sens sur mon 300/50.
Ce qui n'est pas "propre" :
- la non-définition de ppp0 dans /etc/network/interfaces. Mais là, c'est priorité basse.
Ce sur quoi je continue à m'interroger :
- Dois-je spécifier une route prefix::/56 ? Vers le fe80:: du LNS (ce que j'ai vu au début de mes essais et puis, pouf, y'a plus. Qu'ai-je touché? Aucune idée) ou mon ppp0 ?
- Aie-je besoin d'une IPv6 sur mon ppp0? À priori, je ne vois pas pourquoi j'en aurai besoin. C'est un routeur et non un host et on n'est pas en IPv4 ici... :P Des conséquences que je rate ?

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 603
  • FTTH 1Gb/s sur Asnières-sur-Seine (92)
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #193 le: 26 juillet 2014 à 21:09:55 »
- Dois-je spécifier une route prefix::/56 ? Vers le fe80:: du LNS (ce que j'ai vu au début de mes essais et puis, pouf, y'a plus. Qu'ai-je touché? Aucune idée) ou mon ppp0 ?
non c'est fait dans l'autre sens, SFR envoi tout le /56 vers ton coté du PPP. Apres en local tu fais ce que tu veux avec le /56 mais il ne faut surtout pas le 'renvoyer' vers SFR :p

- Aie-je besoin d'une IPv6 sur mon ppp0? À priori, je ne vois pas pourquoi j'en aurai besoin. C'est un routeur et non un host et on n'est pas en IPv4 ici... :P Des conséquences que je rate ?

Je pensais que le PPP allait monter des IP publiques (global scope) de chaque coté du lien (style en /127) en plus des link-local mais a priori je me trompais (d'ou mon histoire de RA avec le prefix de toute a l'heure) et, c'est vrai, c'est pas nécessaire, c'est comme un bridge ou une interface 'unnumbered' en V4. C'est pas plus mal , mais ça rend "invisibles" les extrémités du lien PPP de l’extérieur.

Donc quand il y'a un traceroute venant de l'exterieur c'est l'IP LAN de ton routeur qui apparaît je pense (essais un http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-traceroute.php vers l'ip v6 d'une machine sur ton lan). Et dans l'autre sens c'est l'IP coté Internet du routeur chez SFR qui apparait.

Si tu veux accéder a ton routeur de l'exterieur en IPv6 il faudrat donc utiliser son IP v6 lan car il n'a pas d'IP v6 wan donc s'il y'a des config firewall sur son sous-réseau LAN faudrait les adapter.
Au besoin, tu peux toujours ajouter une autre IP LAN a ton routeur pour ce besoin (t'as un /56 a ta disposition donc plein de /64 dispo).

yrousse

  • Expert
  • Client Bbox fibre FTTH
  • *
  • Messages: 139
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #194 le: 26 juillet 2014 à 21:24:17 »
Ok. Merci Kgersen. J'étudie tout ça.

Sinon, je n'avais pas relancé l'interface de mon host : radvd était bancal au boot.
En fait, je suis obligé de faire un /etc/init.d/radvd restart après mon DHCPv6 dans /etc/rc.local. Pas étonné et pas bien grave, vu la quantité de tweaks sales déjà en place.

yrousse

  • Expert
  • Client Bbox fibre FTTH
  • *
  • Messages: 139
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #195 le: 27 juillet 2014 à 07:05:45 »
En guise de conclusion sur IPv6 via le LNS SFR, je poste ici mes fichiers de config.

Notez qu'en l'état, je ne garde pas ces réglages car je n'ai pas réussi à voir un débit supérieur à 20 Mbps (symétrique) alors qu'utiliser un tunnel HE.net me permet un 100/50 sur mon lien 300/50.
De plus, utiliser le tunnel en L2TP/PPP pour le LNS SFR charge le CPU de l'ERL à 50%, alors que je suis en Offload sur le tunnel HE.net (pas/peu d'impact CPU). Sans compter que la config HE.net peut se faire intégralement avec le CLI (donc propre et sauvegardable) avec un setup simple pour coller le firewall dessus. Bref, y'a pas photo...

Donc, pour le principe, voici le Bypass IPv6 de la NB6 par l'EdgeRouter :

/etc/sysctl.conf
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.ppp0.accept_ra=2
net.ipv6.conf.ppp0.autoconf=1

/etc/xl2tpd/xl2tpd.conf
[global]
        port = 1701
        auth file = /etc/xl2tpd/xl2tp-secrets
        access control = no

[lac l2tp-IPv6]
        ppp debug = yes
        lns = 109.6.3.8
        hostname = 109.6.3.8
        name = dhcp/IP_PUBLIQUE@MAC
        hidden bit = no
        pppoptfile = /etc/ppp/options.xl2tpd
        require authentication = no
        refuse authentication = no
        refuse chap = no
        flow bit = yes
        length bit = yes
(C'est le LNS (109.6.3.8 ) qui m'est donné par SFR (merci Wireshark). Le votre peut être différent.
L'adresse MAC du port WAN de la NB6v doit être reportée en enlevant le caractère ":")

/etc/xl2tpd/xl2tp-secrets
*     *     6pe(Valable pour tous les clients SFR)

/etc/ppp/options.xl2tpd
ipv6 ,
+ipv6
ipv6cp-use-persistent
lock
child-timeout 20
lcp-echo-failure 3
lcp-echo-interval 20
noaccomp

/etc/ppp/chap-secrets
dhcp/IP_PUBLIQUE@MAC * MOT_DE_PASSE(Le mot de passe est visible via Wireshark)

/etc/default/wide-dhcpv6-client
interface ppp0 {
     send ia-pd 1;
     script "/etc/wide-dhcpv6/dhcp6c-script";
};

id-assoc pd 1 {
     prefix ::/56 infinity;
     prefix-interface eth1 {
          sla-id 1;
          sla-len 8;

     };
};
(Un Vendor est envoyé par le client DHCPv6 dans la NB6v (comme pour le DHCP IPv4) mais le LNS s'en fout, à priori)

Radvd via le CLI :
set interfaces ethernet eth1 ipv6 dup-addr-detect-transmits 1
set interfaces ethernet eth1 ipv6 router-advert cur-hop-limit 64
set interfaces ethernet eth1 ipv6 router-advert default-preference high
set interfaces ethernet eth1 ipv6 router-advert link-mtu 0
set interfaces ethernet eth1 ipv6 router-advert managed-flag false
set interfaces ethernet eth1 ipv6 router-advert max-interval 60
set interfaces ethernet eth1 ipv6 router-advert other-config-flag false
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' autonomous-flag true
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' on-link-flag true
set interfaces ethernet eth1 ipv6 router-advert prefix '::/64' valid-lifetime 604800
set interfaces ethernet eth1 ipv6 router-advert radvd-options 'RDNSS 2620:0:ccc::2 2620:0:ccd::2 { };'
set interfaces ethernet eth1 ipv6 router-advert reachable-time 0
set interfaces ethernet eth1 ipv6 router-advert retrans-timer 0
set interfaces ethernet eth1 ipv6 router-advert send-advert true
(Je donne ici les DNS d'OpenDNS via RDNSS à mes clients LAN. Votre choix)

La route via CLI :
set protocols static interface-route6 '::/0' next-hop-interface ppp0
/etc/rc.local
/etc/init.d/xl2tpd start
sleep 3
echo "c l2tp-IPv6" > /var/run/xl2tpd/l2tp-control
sleep 3
/etc/init.d/wide-dhcpv6-client start
/etc/init.d/radvd restart

Au reboot, ça doit fonctionner tel quel. ;)
(Pas de firewall ici. Vu les perfs du lien, je n'ai pas creusé plus loin)

Un gros merci à Kgersen, ainsi qu'à Marin et c0mm0n !
(Qui s'attaque aux VLANs, VoD et Replay? ;) )

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 603
  • FTTH 1Gb/s sur Asnières-sur-Seine (92)
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #196 le: 27 juillet 2014 à 16:42:32 »
super que ca marche.

Pour comparer, t'arrives a combien en débit IPv6 avec la NB6v ? (ca ne marche toujours pas chez moi).


yrousse

  • Expert
  • Client Bbox fibre FTTH
  • *
  • Messages: 139
  • FTTH Bouygues Telecom 1Gbps sur Paris 18ème
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #197 le: 27 juillet 2014 à 21:06:13 »
super que ca marche.

Pour comparer, t'arrives a combien en débit IPv6 avec la NB6v ? (ca ne marche toujours pas chez moi).
C'est bien grace à toi! :)

Pour les débits IPv6 de la NB6v... Je ne sais plus du tout.  ::) Et là tout de suite, j'ai Madame devant la TV...
(on me dit 50 Mbps sur Twitter)
Je suppose fortement qu'il n'y pas d'offload HW pour xl2tpd/pppd sur la NB6.
Malheureusement, sur l'ERL, c'est pareil. En plus du fait que les versions utilisées de xl2tpd et du plug-in pppd ne sont pas "kernel-core acceleration enabled". Donc pas d'offload, ni d'optimisation. Donc on est manifestement cappé à 20 Mbps, tout en prenant un gros morceau du temps CPU.
En comparaison, l'alternative HE.net est bien plus sexy: configurable par CLI, Offload par le HW et... indépendante de l'opérateur. :)
Tant qu'Ubiquity ne consacrera pas un peu de ressources pour améliorer xl2tpd (ils l'ont dans leur ToDos list mais la priorité est surement basse), ça sera un Bypass bien peu intéressant. À moins que SFR ne change de solution entre-temps (gros doute)...
Ou bien, j'ai loupé un truc, ce qui n'est pas à exclure. :)




kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 603
  • FTTH 1Gb/s sur Asnières-sur-Seine (92)
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #198 le: 27 juillet 2014 à 21:25:01 »
C'était juste pour savoir comme ca ne marche toujours pas chez moi... j'ai lu environ 50Mbps aussi , sur ce post notamment: https://lafibre.info/ipv6/limitation-de-debit-neufbox-ipv6/

Il serait bien qu'un abonné fibre 1G/200M avec IPv6 qui marche fasse le test pour voir. si quelqu'un lit ce message svp ;)



Ralph

  • Client SFR fibre FTTH
  • *
  • Messages: 96
  • Ex - FTTH 1Gbits/s - 200Mbits/s Lille, ADSL 2Mb là
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #199 le: 27 juillet 2014 à 21:35:32 »
Quel test ?

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 603
  • FTTH 1Gb/s sur Asnières-sur-Seine (92)
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #200 le: 27 juillet 2014 à 22:17:17 »

Ralph

  • Client SFR fibre FTTH
  • *
  • Messages: 96
  • Ex - FTTH 1Gbits/s - 200Mbits/s Lille, ADSL 2Mb là
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #201 le: 28 juillet 2014 à 12:34:07 »
J'en ai fait quand j'ai eu la fibre au début, dans mes souvenirs c'était dans les 80/85 Mbits en Download, mais plus en Upload.
Le truc pas drole c'est que le fait de mettre / enlever l'IPv6 coupe les connexions TCP même lorsqu'on a que de l'IPv4 mais pas forcement au moment e la permutation mais bien 20/30 minutes après, ce qui n'est pas terrible lorsque des personnes pratiquent des jeux en réseau.

Benja

  • Client SFR fibre FTTH
  • *
  • Messages: 139
  • Lyon (69)
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #202 le: 28 juillet 2014 à 23:49:49 »
C'était juste pour savoir comme ca ne marche toujours pas chez moi... j'ai lu environ 50Mbps aussi , sur ce post notamment: https://lafibre.info/ipv6/limitation-de-debit-neufbox-ipv6/

Il serait bien qu'un abonné fibre 1G/200M avec IPv6 qui marche fasse le test pour voir. si quelqu'un lit ce message svp ;)
Pas dans des conditions optimales, mais voici ce que j'obtiens vite fait:

kgersen

  • Client Orange Fibre
  • Modérateur
  • *
  • Messages: 4 603
  • FTTH 1Gb/s sur Asnières-sur-Seine (92)
Bypasser la neufbox avec un routeur ubiquiti Edgemax
« Réponse #203 le: 29 juillet 2014 à 21:42:22 »
merci pour ce test. 50M/50M donc reste a voir si ca vient de la NB6v ou du peering IPv6 de SFR.