Auteur Sujet: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt (Lu 78402 fois)

rqdb · « **Réponse #108 le:** 11 février 2022 à 18:31:35 »

Citation de: neonp le 04 février 2022 à 10:02:05

Voila, voila .

J'ai plusieurs vlans (pour iot, guest, lan, ...) que j'ai enlevé pour simplifier la config (de même que mes ouvertures de port vers l’extérieur).
Ici, mes 2 interfaces wan sont wanfibre et wanfibre6.

Code: [Sélectionner]
config defaults option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' option synflood_protect '1' config zone option name 'lan' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' list network 'lan' config zone option name 'wanfibre' option output 'ACCEPT' option forward 'REJECT' option mtu_fix '1' option input 'REJECT' option log '1' list network 'wanfibre' config rule option name 'Allow-DHCP-Renew' option proto 'udp' option dest_port '68' option target 'ACCEPT' option family 'ipv4' option src 'wanfibre' config rule option name 'Allow-Ping' option proto 'icmp' option family 'ipv4' option target 'ACCEPT' list icmp_type 'echo-request' option src 'wanfibre' config rule option name 'Allow-IGMP' option proto 'igmp' option family 'ipv4' option target 'ACCEPT' option src 'wanfibre' config rule option name 'Allow-DHCPv6' option proto 'udp' option dest_port '546' option family 'ipv6' option target 'ACCEPT' option src 'wanfibre' list src_ip 'fc00::/6' list dest_ip 'fc00::/6' config rule option name 'Allow-DHCPv6-2' option src 'wanfibre6' option proto 'udp' option src_ip 'fc00::/6' option dest_ip 'fc00::/6' option dest_port '546' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-MLD' option proto 'icmp' option family 'ipv6' option target 'ACCEPT' option src 'wanfibre' list src_ip 'fe80::/10' config rule option name 'Allow-ICMPv6-Input' option proto 'icmp' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' list icmp_type 'bad-header' list icmp_type 'destination-unreachable' list icmp_type 'echo-reply' list icmp_type 'echo-request' list icmp_type 'neighbour-advertisement' list icmp_type 'neighbour-solicitation' list icmp_type 'packet-too-big' list icmp_type 'router-advertisement' list icmp_type 'router-solicitation' list icmp_type 'time-exceeded' list icmp_type 'unknown-header-type' option src 'wanfibre' config rule option name 'Allow-ICMPv6-Forward' option dest '*' option proto 'icmp' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' list icmp_type 'bad-header' list icmp_type 'destination-unreachable' list icmp_type 'echo-reply' list icmp_type 'echo-request' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'unknown-header-type' option src 'wanfibre' config rule option name 'Allow-ICMPv6-Input-2' option src 'wanfibre6' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' list icmp_type 'router-solicitation' list icmp_type 'neighbour-solicitation' list icmp_type 'router-advertisement' list icmp_type 'neighbour-advertisement' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Forward-2' option src 'wanfibre6' option dest '*' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-IPSec-ESP' option dest 'lan' option proto 'esp' option target 'ACCEPT' option src 'wanfibre' config rule option name 'Allow-ISAKMP' option dest 'lan' option dest_port '500' option proto 'udp' option target 'ACCEPT' option src 'wanfibre' config rule option name 'Support-UDP-Traceroute' option proto 'udp' option family 'ipv4' option target 'REJECT' option enabled '0' option src 'wanfibre' option dest_port '33434-33689' config include option path '/etc/firewall.user' config forwarding option src 'lan' option dest 'wanfibre' config zone option name 'wanfibrev6' option output 'ACCEPT' option forward 'REJECT' option input 'REJECT' option family 'ipv6' list network 'wanfibre6' config forwarding option src 'lan' option dest 'wanfibrev6' config rule option name 'Allow Ping6' option family 'ipv6' list proto 'icmp' option target 'ACCEPT' option src 'wanfibrev6'

Tu as donc réussi le bypass de la box en étant en ipv4 cgnat + ipv6 ?

neonp · « **Réponse #109 le:** 11 février 2022 à 21:33:06 »

Citation de: rqdb le 11 février 2022 à 18:31:35

Tu as donc réussi le bypass de la box en étant en ipv4 cgnat + ipv6 ?

Oui, tout a fait.

rqdb · « **Réponse #110 le:** 11 février 2022 à 22:03:52 »

Citation de: neonp le 11 février 2022 à 21:33:06

Oui, tout a fait.

Merci de ta réponse. Je suis également en CGNAT (d'origine), mais impossible de bypasser avec un routeur SYNOLOGY. Je vais donc passer sur un routeur sous OpenWrt

davinkevin · « **Réponse #111 le:** 24 février 2022 à 14:33:40 »

Désolé de faire un petit hijack de topic ici pour demander un peu d'aide pour la config IPv6 d'un UDM-Pro avec l'ONT SFR. Venant de passer en CGNAT, je souhaiterai retrouver la capacité d'hosting mes services à la maison… et l'IPv6 semble être une bonne (ou la moins mauvaise) solution.

J'ai tenté, en lisant tout le topic, de comprendre la configuration nécessaire au niveau de l'UDM Pro, mais je ne suis sûr de pas grand chose et ne sais pour l'instant pas comment récupérer ces informations.

@cetipabo m'a orienté vers ce thread et spécialement vers @neonp pour avoir son fichier /etc/config/network qui pourrait m'aider.

Merci de votre aide

cetipabo · « **Réponse #112 le:** 24 février 2022 à 14:50:17 »

je suis en ipv4 sans ipv6, donc je n'ai pas pu faire de test de mon coté, mais si on s'en réfère a ce message

Code: [Sélectionner]

pour IPv6, voici 3 lignes a rajouter a la config du wan6
 - option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
 - option clientid '000300016035c0c05158'
 - option request '17'

pour le clientid c'est 00030001+ adresse MAC de la BOX

Donc une option DHCP 17, qu'il faut demander. et deux options DHCP à envoyer.

davinkevin · « **Réponse #113 le:** 24 février 2022 à 14:53:21 »

Merci @cetipabo pour ce lien, je le garde sous le coude.

En l'état je ne voie pas comment faire le mapping avec les champs proposés dans l'ihm de l'unifi 😢.

Je vais tenter de creuser sur les topics Freebox / Oranges pour voir un potentiel pattern. Si vous avez des infos, je suis preneur 👍.

rqdb · « **Réponse #114 le:** 28 février 2022 à 17:11:49 »

Citation de: cetipabo le 24 février 2022 à 14:50:17

je suis en ipv4 sans ipv6, donc je n'ai pas pu faire de test de mon coté, mais si on s'en réfère a ce message
Code: [Sélectionner]
pour IPv6, voici 3 lignes a rajouter a la config du wan6 - option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970' - option clientid '000300016035c0c05158' - option request '17'
pour le clientid c'est 00030001+ adresse MAC de la BOX

Donc une option DHCP 17, qu'il faut demander. et deux options DHCP à envoyer.

Je viens de faire le test chez moi et cela ne fonctionne pas, je précise que je ne suis pas un expert des routeurs, du réseau et de OpenWRT. Je n'ai que l'IPV4 mais pas la V6, pourtant j'ai bien modifié le fichiers comme indiqué. Une idée ?

cetipabo · « **Réponse #115 le:** 28 février 2022 à 17:55:59 »

@rqdb ta box SFR indique bien que tu as l'ipv6 ?

tu peux montrer le contenu de ton fichier /etc/config/network juste pour les 2 parties wan et wan6 ? et quel routeur et sur quelle version d'openWRT es-tu ?
après avoir modifié ton fichier, tu as bien lancé la commande /etc/init.d/network restart pour que la modif soit prise en considération ?

Chez moi c'est comme ça, mais comme dit plus haut je n'ai pas d'ipv6 donc jamais pu tester si c'est correct. Je me suis juste basé sur les infos trouvées. Et au passage ce serait bien que celui qui a une config full IPV4+ IPV6 nous poste son /etc/config/network qu'on puisse se caler dessus.

Code: [Sélectionner]

config interface 'wan'
	option device 'eth1'
	option proto 'dhcp'
	option peerdns '1'
	option reqopts '1 3 6 12 14 15 17 28 40 42'
	option vendorid 'neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p'
	option ipv6 '1'

config interface 'wan6'
	option ifname '@wan'
	option device 'eth1'
	option proto 'dhcpv6'
	option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
	option clientid '00030001XXXXXXXXXXXX'
	option reqopts '12 17 21 22 23 24 25 31 56 64 67 82 83'

je suis aussi en OpenWrt 21.02.x

rqdb · « **Réponse #116 le:** 28 février 2022 à 18:07:00 »

Citation de: cetipabo le 28 février 2022 à 17:55:59

@rqdb ta box SFR indique bien que tu as l'ipv6 ?

tu peux montrer le contenu de ton fichier /etc/config/network juste pour les 2 parties wan et wan6 ? et quel routeur et sur quelle version d'openWRT es-tu ?
après avoir modifié ton fichier, tu as bien lancé la commande /etc/init.d/network restart pour que la modif soit prise en considération ?

Je suis en IPV4 CGNAT + IPV6. L'IPV6 est entièrement fonctionnelle avec la SFR box.

J'utilise un routeur TP-Link Archer C7 v2 avec OpenWrt 21.02.2.

Voici la partie WAN et WAN6 du fichier /etc/config/network :

config interface 'wan'
option device 'eth0.2'
option proto 'dhcp'
option vendorid 'neufbox_NB6VAC-FXC'

config interface 'wan6'
option device 'eth0.2'
option proto 'dhcpv6'
option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
option clientid '00030001XXXXXXXXXXXX'
option request '17'
option reqaddress 'try'
option reqprefix 'auto'

J'ai bien lancé la commande afin que les modifs soient prises en compte mais cela n'a rien fait.

cetipabo · « **Réponse #117 le:** 28 février 2022 à 18:14:02 »

remplace ta MAC par des xxxxx dans ton message au dessus

Sinon on dirait qu'il y a une erreur de syntaxe de ton coté pour la requete:
option request '17'
au lieu de
option reqopts

du coup tu me mets le doute...t'as vu au dessus, j'ai complété mon message.

EDIT:
c'est bon je confirme, c'est bien reqopts la bonne syntaxe.
https://openwrt.org/docs/guide-user/network/ipv6/configuration
https://openwrt.org/docs/guide-user/network/ipv4/configuration

cetipabo · « **Réponse #118 le:** 28 février 2022 à 18:36:34 »

@neonp STP, tu pourrais nous montrer ta partie wan6 dans /etc/config/network ?

rqdb · « **Réponse #119 le:** 28 février 2022 à 19:52:04 »

Citation de: cetipabo le 28 février 2022 à 18:14:02

remplace ta MAC par des xxxxx dans ton message au dessus

Sinon on dirait qu'il y a une erreur de syntaxe de ton coté pour la requete:
option request '17'
au lieu de
option reqopts

du coup tu me mets le doute...t'as vu au dessus, j'ai complété mon message.

EDIT:
c'est bon je confirme, c'est bien reqopts la bonne syntaxe.
https://openwrt.org/docs/guide-user/network/ipv6/configuration
https://openwrt.org/docs/guide-user/network/ipv4/configuration

Je viens de modifier la ligne mais cela ne fonctionne toujours pas.
@neonp partage une information sur ce post : https://lafibre.info/remplacer-sfr/ftth-tuto-bypass-complet-neufbox-avec-un-routeur-openwrt/msg924629/#msg924629
mais j'avoue ne pas tout comprendre