Bonjour à tous,

J'ai réalisé plusieurs essais pour remplacer la box Red by SFR par pfSense en suivant les différents posts sur ce forum et ailleurs.

Les résultats jusqu'à présent :

• IPv4 : fonctionnel
• IPv6 : fonctionnel
• OpenVPN : non fonctionnel
• Téléphonie : appels entrants ok / appels sortants non

Les tests ont été fait avec pfSense 1.6.0.

Méthode suivie jusqu'ici (sera mis à jour suivant mes essais)

Etape préparatoire :
Débrancher la box NB6VAC de l'ONT
Brancher le port WAN de la box à un PC faisant fonctionner Wireshark pour capturer les paquets.
Récupérer les informations suivantes :
 - sur une requête DHCP : adresse MAC, "Vendor class identifier"
 - sur une requête DHCPv6 : DUID, Code HEXA du "Vendor Class"
Laisser l'ONT débranché pour l'instant.


Modification de l'utilitaire DHCP6C :
Comme évoqué dans différents posts et sur ce blog : https://wiki.virtit.fr/doku.php/kb:linux:pfsense:remplacer_sa_box_orange_par_un_pfsense, on va avoir besoin d'utiliser la commande "send raw-option" afin d'effectuer nos requêtes DHCPv6.
Pour se faire, se connecter en SSH à pfSense (ou execter les commandes depuis Diagnostics > Command prompt) :
# mv /usr/local/sbin/dhcp6c /usr/local/sbin/dhcp6c.bak
# curl https://wiki.virtit.fr/lib/exe/fetch.php/kb:linux:pfsense:dhcp6c -o /usr/local/sbin/dhcp6c.new
# chmod +x /usr/local/sbin/dhcp6c.new
# ln -s /usr/local/sbin/dhcp6c /usr/local/sbin/dhcp6c.new
Note : l'utilitaire peut également provenir d'opnSense via le lien : https://mirror.vraphim.com/opnsense/FreeBSD%3A12%3Aamd64/21.7/latest/All/dhcp6c-20200512_1.txz


Configuration de pfSense (System) :
Dans System > Advanced > Networking
Modifier les paramètres suivants :
 - DHCP6 DUID à DUID-LL
 - DUID-LL avec le code DUID que vous avez trouvé précédemment (adresse MAC WAN +1 dans mon cas)


Configuration de pfSense (Interface) :
Dans Interface > WAN
Configurer l'interface de la manière suivante :
 - IPv4 Configuration Type : DHCP
 - IPv6 Configuration Type : DHCP6
 - MAC Address : avec l'adresse MAC précédemment récupérée
 - Dans la partie "DHCP Client Configuration", cocher "Configuration Override"
 - Chemin du fichier de configuration : "/usr/local/etc/dhcp4c_wan_custom.conf"
 - Pour la partie "DHCP6 Client Configuration", cocher "Configuration Override" et "Do not wait for a RA"
 - Chemin du fichier de configuration : /usr/local/etc/dhcp6c_wan_custom.conf
 - Pour finir cocher "Block bogon networks"
 - Sauvegarder mais ne pas appliquer


Configuration de pfSense (fichiers DHCP) :
Pour terminer la configuration, j'ai créé les deux fichiers suivants :

/usr/local/etc/dhcp4c_wan_custom.conf
interface "re0" {
supersede interface-mtu 0;
send host-name "";
send dhcp-class-identifier "neufbox_<identifiant trouvé à la partie préliminaire>";
request subnet-mask, routers, domain-name-servers, host-name, merit-dump, domain-name, root-path, broadcast-address, nis-domain, ntp-servers;
require subnet-mask, routers, merit-dump, nis-domain, domain-name-servers;
script "/usr/local/sbin/pfSense-dhclient-script";
}

/usr/local/etc/dhcp6c_wan_custom.conf
interface re0 {
send raw-option 16 00:00:a0:0c:00:<suite du code hexa trouvé à la partie préliminaire>;
send ia-pd 1;
request domain-name-servers;
script "/var/etc/dhcp6c_wan_dhcp6withoutra_script.sh";
};
id-assoc pd 1{
prefix ::/00 0 0;
prefix-interface lagg0.10{
sla-id 10;
sla-len 8;
};
prefix-interface lagg0.15{
sla-id 15;
sla-len 8;
};
prefix-interface lagg0.20{
sla-id 20;
sla-len 8;
};
prefix-interface lagg0.26{
sla-id 26;
sla-len 8;
};
prefix-interface lagg0.27{
sla-id 27;
sla-len 8;
};
};

Une fois ces fichiers créés, on appliquer les changements sur l'interface WAN.


Configuration de pfSense (règles pare-feux) :
Créer la règle pare-feux suivante pour autoriser pfSense à recevoir les messages DHCPv6
 - Protocol : IPv6 UDP
 - Destination : This firewall
 - Ports : 546 - 547
Sauvegarder et appliquer.


Brancher l'ONT :
A partir de là, on peut brancher pfSense à un PC faisant tourner Wireshark et comparer les requêtes DHCP et DHCPv6 avec les requêtes de la box originale.
Normalement, il n'y a pas de différences significatives dans les requêtes.
Une fois toutes ces étapes réalisées, brancher l'ONT à pfSense.


IPv6 pour le port WAN :
A ce stade, les réseaux locaux doivent tous avoir un préfixe IPv6 ::/64 qui leurs sont attribués.
Assez bizarrement, pfSense ne s'attribue pas d'adresse IPv6 via le préfixe qu'il obtient automatiquement.

Si l'on veut avoir une adresse IPv6 sur le port WAN, il faut lui en donner une manuellement via une IP virtuelle.
Se rendre dans Firewall > Virtual IPs et cliquer sur ajouter :
 - Type : IP Alias
 - Address : <préfixe obtenu>::1
Sauvegarder et voilà 

Si l'on en veut pas, il faut désactiver le monitoring de l'interface pour l'IPv6 (ce n'est pas obligatoire, on peut aussi juste l'enlever de la page d’accueil).
Dans System > Routing selectionner WAN_DHCP6 puis cocher Disable Gateway Monitoring.


Résultats et points à améliorer :
L'IPv4 est fonctionnelle sans soucis chez moi. Je peux naviguer sur internet sans soucis.
Il semble cependant que je ne sois pas capable de me connecter pfSense à un serveur openVPN...  à creuser. D'autres ont eu ce soucis ?

L'IPv6 est maintenant parfaitement fonctionnelle :
 - chaque réseau local obtient son préfixe en /64
 - l'interface WAN a sa propre adresse IP (via IP virtuelle)
 - l'ensemble est routable sur internet.

Que ce soit en IPv4 ou IPv6 je gagne 10ms de ping en moyenne en passant de 25ms à 15ms depuis n'importe quel PC connecté sur mon réseau LAN.

Pour la téléphonie, il semble y avoir deux approches :
 - récupérer les identifiants SIP et les utiliser sur un serveur Asterisk https://blog.jess-sys.fr/2020/08/13/Remplacer-sa-box-SFR-par-un-routeur-pfSense/
 - brancher la box NB6VAC derrière pfSense et lui faire croire qu'elle est directement sur le réseau https://lafibre.info/remplacer-sfr/tuto-remplacement-nb6vac-ftth-maintien-telephonie-avec-la-box/, https://github.com/opnsense/docs/blob/master/source/manual/how-tos/sfr_red_fr_ftth.rst ou https://lafibre.info/remplacer-sfr/ffth-bypass-complet-de-la-nb6-avec-pfsense-netgate-sg3100-part-1/

Bonsoir,
Vous avez IPV6 sur votre box SFR ?

Oui j'avais l'IPv6, mais je n'ai jamais réussi à faire fonctionner la DMZv6, d'où mon souhait de me passer de la box Red.

Merci thedark pour tes liens.
https://blog.kveer.fr/ipv6-sur-edgerouter-red-by-sfr-sfr/ m'avait déjà servit de base dans mes recherches pour arriver à la configuration actuelle.

Je pense que les requêtes DHCP sont bonnes, si je compare les requêtes DHCP faites par la box NB6VAC à celles faites par pfSense, j'obtiens littéralement la même chose.


Pour information, voici la requête formulée par pfSense (je n'ai gardé que la partie concernant DHCPv6) :
DHCPv6
    Message type: Solicit (1)
    Transaction ID: 0x36111d
    Elapsed time
        Option: Elapsed time (8)
        Length: 2
        Value: 0c54
        Elapsed time: 31560ms
    Option Request
        Option: Option Request (6)
        Length: 2
        Value: 0017
        Requested Option code: DNS recursive name server (23)
    Client Identifier
        Option: Client Identifier (1)
        Length: 10
        Value: 0003xxxx
        DUID: 0003xxxx
        DUID Type: link-layer address (3)
        Hardware type: Ethernet (1)
        Link-layer address: xxxx
    Vendor Class
        Option: Vendor Class (16)
        Length: 71
        Value: 0000…
        Enterprise ID: SFR (40972)
        vendor-class-data: neufbox_NB6VAC-xxx
    Identity Association for Prefix Delegation
        Option: Identity Association for Prefix Delegation (25)
        Length: 41
        Value: 000000010000000000000000001a00190000000000000000…
        IAID: 00000001
        T1: 0
        T2: 0
        IA Prefix
            Option: IA Prefix (26)
            Length: 25
            Value: 000000000000000000000000000000000000000000000000…
            Preferred lifetime: 0
            Valid lifetime: 0
            Prefix length: 0
            Prefix address: ::

A cette requête, j'ai bien une réponse de la part de SFR :
DHCPv6
    Message type: Advertise (2)
    Transaction ID: 0xe299e7
    Server Identifier
        Option: Server Identifier (2)
        Length: 14
        Value: xxx
        DUID: xxx
        DUID Type: assigned by vendor based on Enterprise number (2)
        Enterprise ID: Alcatel-Lucent (6527)
        Identifier: xxx
    Client Identifier
        Option: Client Identifier (1)
        Length: 10
        Value: xxx
        DUID: xxx
        DUID Type: link-layer address (3)
        Hardware type: Ethernet (1)
        Link-layer address: xxx
    DNS recursive name server
        Option: DNS recursive name server (23)
        Length: 32
        Value: 2a0284000000000000000000000060012a02840000000000…
         1 DNS server address: 2a02:8400::6001
         2 DNS server address: 2a02:8400::6000
    Identity Association for Prefix Delegation
        Option: Identity Association for Prefix Delegation (25)
        Length: 41
        Value: xxx
        IAID: 00000001
        T1: 150
        T2: 240
        IA Prefix
            Option: IA Prefix (26)
            Length: 25
            Value: xxx
            Preferred lifetime: 300
            Valid lifetime: 300
            Prefix length: 56
            Prefix address: xxx

Ce qui me chiffonne, c'est que pfSense ne fait rien de ce message.

J'ai débloqué la partie IPv6 

J'ai dû créer une règle pare-feux pour DHCPv6 (elle n'est pas utilisée, mais maintenant ça marche).
Je mets à jour mon post initial pour décrire comment j'ai fait.

Il ne me reste deux points sur lesquels avancer :
 - la téléphonie
 - openvpn (d'après les logs, openvpn ne peux pas ouvrir de connexions sur les ports demandé)

Bonjour Sylar,

Pour le fichier de configuration, c'est le seul moyen que j'ai de ne pas envoyer de hostname dans la requête DHCP.
Ce faisant, j'ai exactement les mêmes requêtes DHCP entre pfSense et la box SFR, que ce soit en IPv4 ou en IPv6.

Concernant OpenVPN, je n'ai pas avancé.
D'après ce que je lis sur des forums pfSense, cela pourrait venir de pfBlockerNG ou de Suricata.
J'avais installé ces deux logiciels par le passé lors d'essais, donc ça pourrait venir de là.
Je vais faire une réinstallation complète de pfSense pour repartir sur des bases saines voir si le problème persiste.

Pour la téléphonie, j'ai eu le temps d'écrire un petit fichier Bash (linux) qui permet de sélectionner le meilleur serveur et de générer une configuration pour Asterisk.
Je n'ai malheureusement pas le temps de l'essayer rapidement.
La configuration est basée sur celle trouvée sur ce forum, si tu souhaite tu peux jeter un coup d’œil :
#!/bin/bash

###################################################################
#Script Name : pjsip-template.sh
#Description : génère un fichier de configuration pour Asterisk
#   Basé sur la configuration trouvé sur le forum lafibre.info
#Args           : -
#Author        : Darkodo
#Version        : 11/08/2022
###################################################################


# On extrait les paramètres SFR si nécessaire
if [ ! -f "./sfr-voip-params.txt" ]; then
    ./extract-voip-parameters_v2 > ./sfr-voip-params.txt
fi

# On vérifie notre IPv4 publique et si on a des IPv6 non locals
# Puis on selectionne une IP (préférence pour V6)
public_v4=$(curl -s -4 'http://checkip.dyndns.org' | sed -E "s/.*<body>Current IP Address: (.*)<\/body>.*/\1/")
public_v6=$(ip -6 addr|awk '{print $2}'|grep -P '^(?!fe80)[[:alnum:]]{4}:.*/64'|cut -d '/' -f1 | tail -n 1)
echo -e "IPv4 : \t $public_v4"
echo -e "IPv6 : \t $public_v6"
if [ ! -z "$public_v6" ]
then
      ip_public="[$public_v6]"
  bind_addr="::"
  conf="V6"
  echo "IPv6 sélectionnée"
else
      ip_public=$public_v4
  bind_addr="0.0.0.0"
  conf="V4"
  echo "IPv4 sélectionnée"
fi

# On récupère nos autres paramètres
sip_username=$(grep "Username" sfr-voip-params.txt | cut -d ":" -f 2 | xargs)
sip_password=$(grep "Password" sfr-voip-params.txt | cut -d ":" -f 2 | xargs)
sip_domain=$(grep "Domain" sfr-voip-params.txt | cut -d ":" -f 2 | xargs)
sip_display_name=$(grep "Display name" sfr-voip-params.txt | cut -d ":" -f 2 | xargs)
list_servers=$(cat sfr-voip-params.txt | sed -n '/Servers/,$p' | tail -n +2 | sed 's/\t//g' | sed 's/.:/:/g')

echo "~~~"
echo "Latency check"
best_latency=100
for line in $list_servers
do
server=$(echo $line | cut -d ":" -f 1)
port=$(echo $line | cut -d ":" -f 2)
dig $server > /dev/null
sum_latency=0
for i in {1..10}
do
latency=$( (time nc -zw30 $server $port) 2>&1 > /dev/null | grep real | cut -d "m" -f 2 | sed 's/s//g' | sed 's/,/./g' )
sum_latency=$(echo "$sum_latency + $latency" | bc -l)
sleep 0.1
done
if (( $(echo "$best_latency > $sum_latency" | bc -l) )); then
best_latency=$sum_latency
best_server=$server
best_port=$port
fi
echo -e "$server \t $(echo "$sum_latency * 100" | bc -l | cut -d '.' -f 1) ms"
done
sip_server_addr=$best_server
sip_server_port=$best_port
echo "Serveur sélectionné : $best_server"

# On génère la configuration de base
echo "~~~"
echo "On génère la configuration de base"
cat <<- EOF > ./sfr-pjsip.conf
[registration]
auth_rejection_permanent=yes   ; Determines whether failed authentication

[transport-sfr-trunk]
type=transport
protocol=udp
bind=$bind_addr ; l'adresse IP local ou bien en 0.0.0.0 pour écouter sur toutes les interfaces
local_net=192.168.0.0/16 ; les réseaux autorisé à joindre le service asterisk
; local_net=10.10.10.0/24 ;un autre réseau autorisé à joindre le service, pratique pour les VPN...
external_media_address=$ip_public ; votre adresse IP public
external_signaling_address=$ip_public ; votre adresse IP public

[trunk-sfr]
type=registration
transport=transport-sfr-trunk
outbound_auth=trunk-sfr
server_uri=sip:$sip_display_name@$sip_domain ; insérez votre numéro de téléphone
client_uri=sip:$sip_display_name@$sip_domain ; insérez votre numéro de téléphone
outbound_proxy=sip:$sip_server_addr:$sip_server_port\;lr

[trunk-sfr]
type=auth
username=$sip_username ;votre nom d'utilisateur
password=$sip_password ; votre mot de passe


[trunk-sfr]
type = aor
contact = sip:$sip_display_name@$sip_domain
outbound_proxy = sip:$sip_server_addr:$sip_server_port\;lr

[trunk-sfr]
type = identify
endpoint = trunk-sfr
match = $sip_server_addr:$sip_server_port

[trunk-sfr]
type=endpoint
transport=transport-sfr-trunk
context=from-sfr
$(if [ "$conf" == "V4" ]
then
echo """
rtp_symmetric=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
force_rport=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
direct_media=no ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
rewrite_contact=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
"""
fi)
outbound_auth=trunk-sfr
from_domain=$sip_domain
from_user=$sip_display_name  ; insérez votre numéro de téléphone
allow=!all,opus,speex,g722,alaw,ulaw,gsm
outbound_proxy = sip:$sip_server_addr:$sip_server_port\;lr
aors = trunk-sfr








[endpoint_internal](!)
type=endpoint
context=work
disallow=all
allow=ulaw
language=fr
$(if [ "$conf" == "V4" ]
then
echo """
direct_media=no ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
rtp_symmetric=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
force_rport=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
"""
fi)

;from_domain=xxxxxxxxxxxxx ; vous pouvez insérer ici votre nom de domaine si vous le souhaitez

[auth_userpass](!)
type=auth
auth_type=userpass

[aor_dynamic](!)
type=aor
max_contacts=2 ; le nombre de postes permis à utiliser un endpoint
remove_existing=yes

[1001](endpoint_internal)
auth=1001
aors=1001
[1001](auth_userpass)
password=XXXX ; un mot de passe
username=1001
[1001](aor_dynamic)

[1002](endpoint_internal)
auth=1002
aors=1002
[1002](auth_userpass)
password=XXXX ; un autre mot de passe
username=1002
[1002](aor_dynamic)
EOF

PS : Il faut utiliser ce script ci : https://florent.daigniere.com/posts/2019/04/extracting-voip-credentials-from-my-broadband-router/

En effet, ma requête en IPv4 envoie bien l'option (12) Hostname avec une valeur à "pfsense", mais cela ne semble pas poser de soucis à SFR car je tourne avec ça depuis bientôt 2 ans sans aucun problème. Mais de fait, ma requête DHCP n'est pas strictement identique à celle de la box.

Oui, il n'y a pas de détection automatique sur ce critère mais un humain lisant ces logs peut trouver ça bizarre.
J'ai pris le parti d'essayer de mimer la NB6VAC le plus possible, même si ce n'est pas strictement nécessaire 

De mon côté j'utilise maintenant Wireguard, qui est plus simple à configurer et d'une rapidité étonnante, que ce soit à la connexion du client, ou même en terme de débit. A tester si c'est possible de ton côté ?

Pour mon serveur satellite qui me permet de me connecter chez moi en IPv4, oui c'est tout à fait possible.
J'utilise cependant un VPN grand public pour accéder à des catalogues plus larges. Et je n'ai pas le choix que d'utiliser OpenVPN dans ce cas.

Pour le coup je n'utilise pas la téléphonie de la box, j'ai un petit boitier ovh avec mon fixe dessus qui est indépendant.

J'ai également utilisé cette solution.J'ai eu la chance de recevoir en cadeau une passerelle AudioCodes possédant 2xFXO et 2xFXS. Ça m'a été très utile pour avoir des appels illimités pour pas cher.
Je trouve que les appels illimités chez OVH sont chers 
Maintenant, si je peux utiliser la téléphonie via Asterisk, ce serait parfait !

Pour l'instant, je vais recapturer les requêtes DHCPv6 depuis le passage en IPv6 de ma box et vérifier ce qu'il faut envoyer. A suivre !

Il y a deux paramètres qui sont importants :
- DUID (type Link Layer basé sur l'adresse MAC écrite sur la box)
- Vendor class identifier (identique à celui en IPv4, mais qui doit être converti en hexadécimal car on utilise raw-option)