La Fibre

Datacenter et équipements réseaux => Routeurs => Remplacer la box SFR par un routeur => Discussion démarrée par: maximushugus le 16 septembre 2019 à 12:14:58

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 16 septembre 2019 à 12:14:58

Bonjour, voici comment j'ai fait pour bypasser la neufbox d'un abonnement FTTH chez SFR ou RED, en gardant internet avec IPV4, IPV6, en gardant la télévision sans utiliser de décodeur SFR, et en gardant le téléphone.

Pré-requis

Avoir une connexion SFR / RED en FTTH fonctionnelle
Avoir un routeur sous OpenWrt fonctionnel également
Pour le téléphone, récupérer les identifiants et mots de passe SIP SFR via l'utilitaire publié par NextGen : https://florent.daigniere.com/posts/2019/04/extracting-voip-credentials-from-my-broadband-router/ (https://florent.daigniere.com/posts/2019/04/extracting-voip-credentials-from-my-broadband-router/) à exécuter via la console avec les serveurs DNS par défaut fournis par SFR
Brancher votre routeur OpenWrt directement via son port WAN en Ethernet sur l'ONT SFR
Pour regarder la TV via le bypass, il est préférable que l'appareil sur lequel vous regardez la TV soit branché via un cable Ethernet pluto qu'en Wifi, même si c'est faisable
Si vous souhaitez utiliser la TV via le bypass, et que vous utilisez en plus un switch ethernet derrière le routeur OpenWrt, ce switch devra être administrable pour pouvoir activer l'IGMP-snooping. En effet, le flux TV est en multicast, et sans cette option sur le switch, le flux est géré comme du broadcast et risque de ralentir très fortement voir de faire s'écrouler votre réseau local

Configuration d'internet
Pour obtenir internet en bypassant la neufbox, il suffit d'obtenir une adresse IP publique en DHCP sur l'interface WAN de votre routeur OpenWrt. Pour cela il faut que les requêtes DHCP soient accompagnées d'un "ID class" immitant celui de la neufbox

Méthode via l'interface web de votre routeur (nécessité d'avoir Luci d'installé
Si vous avez laissé l'interface WAN et WAN6 de votre routeur dans leur configuration par défaut (obtenir une IP via DHCP), il suffit de se rendre dans l'onglet "Réseau" puis "Interfaces" puis "WAN" puis le sous onglet "Paramètres avancés", il faut remplir le champs "Classe de fournisseur à envoyer dans les requêtes DHCP" par quelquechose de ce type "neufbox_NB6V-XXXXXXXXXXXXX"
(https://image.noelshack.com/fichiers/2019/38/1/1568628793-wan.png)
Puis cliquer sur "Sauvegarder et appliquer". Au bout de quelques minutes vous devriez obtenir un IPV4 et IPV6

Méthode via les fichiers de configuration
Voici la configuration pour les interface WAN et WAN6 dans le fichier /etc/config/network :

Code: [Sélectionner]

config interface 'wan'
	option proto 'dhcp' #A modifier si le protocole n'est pas dhcp
	option vendorid 'neufbox_NB6V-XXXXXXXXXX' #A ajouter
        # laisser les autre options par défaut

config interface 'wan6'
	option proto 'dhcpv6' #A modifier si le protocole n'est pas dhcpv6
        # laisser les autre options par défaut

puis redemarrer le service network via la commande SSH suivante :

Code: [Sélectionner]

/etc/init.d/network restart
Configuration de la TV

Pour pouvoir activer la TV, il faut pouvoir rediriger les demandes de flux multicast du réseau local vers le réseau SFR. Pour cela il faut installer "IGMP-proxy", le configurer et activer l'IGMP snooping sur l'interface LAN.

Méthode en ligne de commande et via les fichiers de configuration
Il faut se connecter au routeur OpenWrt en SSH puis rentrer les commandes suivantes :

Code: [Sélectionner]

opkg update
opkg install igmpproxy

puis il faut configurer IGMP proxy en modifiant le fichier /etc/config/igmpproxy soit en cli en SSH (avec vim) soit avec un logiciel SFTP (exemple WinSFTP) de cette façon :

Code: [Sélectionner]

config igmpproxy
	option quickleave 1
#	option verbose [0-3](none, minimal[default], more, maximum)

config phyint
	option network wan
	option zone wan
	option direction upstream
	list altnet 0.0.0.0/0

config phyint
	option network lan
	option zone lan
	option direction downstream

Puis il faut redémarrer le service IGMP-proxy :

Code: [Sélectionner]

/etc/init.d/igmpproxy restart
Il faut maintenant activer l'IGMP-snooping de l'interface LAN :

soit via l'interface web Luci en allant dans l'onglet "Réseau" puis "Interfaces" puis "WAN" puis le sous onglet "Paramètres physiques" et en cochant la case "Enable IGMP snooping" puis en cliquant sur "Sauvegarder et appliquer".
soit en modifiant le fichier /etc/config/network et dans la partie sur la configuration de l'interface "lan", il faut ajouter la ligner suivante : "option igmp_snooping '1'" puis redémarrer le service network via :

Code: [Sélectionner]

/etc/init.d/network restart
Pour accéder aux chaines TV, il faut créer un fichier .m3u sur votre PC/Mac etc (par exemple TV.m3u), et copier dans ce fichiers les lignes présentes sur cette page :
https://github.com/HugoPoi/9boxtv/blob/master/playlist_tv_sfr.m3u (https://github.com/HugoPoi/9boxtv/blob/master/playlist_tv_sfr.m3u)
Avant d'enregistrer le fichier.

Il faut ensuite ouvrir ce fichier avec VLC et les chaines devraient s'ouvrir (on peut accéder sur VLC à la liste de chaine en faisant Ctrl + L)

Configuration du téléphone
Téléphone sans matériel supplèmentaire, sur votre PC/smartphone etc
il faut installer un serveur Asterisk sur votre routeur :

Code: [Sélectionner]

opkg update
opkg install asterisk15 asterisk15-app-confbridge asterisk15-app-record asterisk15-bridge-builtin-features asterisk15-bridge-simple asterisk15-bridge-softmix asterisk15-cdr asterisk15-chan-sip asterisk15-codec-gsm asterisk15-codec-ulaw asterisk15-codec-alaw asterisk15-format-gsm asterisk15-res-adsi asterisk15-res-rtp-asterisk asterisk15-res-smdi

puis il faut configurer le fichier /etc/asterisk/sip.conf :

Code: [Sélectionner]

[general]
context=from-sfr                  ; Default context for incoming calls. Defaults to 'default'
allowoverlap=no                 ; Disable overlap dialing support. (Default is yes)

udpbindaddr=0.0.0.0             ; IP address to bind UDP listen socket to (0.0.0.0 binds to all)
 
tcpenable=no                    ; Enable server for incoming TCP connections (default is no)
tcpbindaddr=0.0.0.0             ; IP address for TCP server to bind to (0.0.0.0 binds to all interfaces)
transport=udp                   ; Set the default transports.  The order determines the primary default transport.


srvlookup=yes                           ; Minimum length of registrations (default 60)
defaultexpiry=300              ; Default length of incoming/outgoing registration

language=fr     


register => +33XXXXXXXXX(votrenuméro de telephone sans le 0 devant)@ims.mnc010.mcc208.3gppnetwork.org:XXXXXXXXXXXXXX(votre mot de passe SIP):NDIXXXXXXXXXX(votre numéro de téléphone avec le 0 devant).RHA.THD@sfr.fr@corbas.p-cscf.sfr.net:5062

allowguest=yes
alwaysauthreject=yes
contactdeny=0.0.0.0/0.0.0.0
contactpermit=XXX.XXX.XXX.XXX(adresse IP de votre réseau local exemple 192.168.1.0)/255.255.255.0 ; mes réseaux privés
media_address=XXX.XXX.XXX.XXX (votre adresse IP publique)

[sfr-out]
type=friend
fromdomain=ims.mnc010.mcc208.3gppnetwork.org
fromuser=+33XXXXXXXXX(votrenuméro de telephone sans le 0 devant)
username=+33XXXXXXXXX(votrenuméro de telephone sans le 0 devant)
defaultuser=NDIXXXXXXXXXX(votre numéro de téléphone avec le 0 devant).RHA.THD@sfr.fr
host=corbas.p-cscf.sfr.net
insecure=invite,port
remotesecret=XXXXXXXXXXXXXX(votre mot de passe SIP)
secret=XXXXXXXXXXXXXX(votre mot de passe SIP)
auth=NDIXXXXXXXXXX(votre numéro de téléphone avec le 0 devant).RHA.THD@sfr.fr:XXXXXXXXXXXXXX(votre mot de passe SIP)@ims.mnc010.mcc208.3gppnetwork.org
outboundproxy=corbas.p-cscf.sfr.net:5062
canreinvite=no
qualify=yes
context=from-sfr


[authentication]

[basic-options](!)                ; a template
        dtmfmode=rfc2833
        context=from-office
        type=friend

[natted-phone](!,basic-options)   ; another template inheriting basic-options
        directmedia=no
        host=dynamic

[public-phone](!,basic-options)   ; another template inheriting basic-options
        directmedia=yes

[my-codecs](!)                    ; a template for my preferred codecs
        disallow=all
        allow=ilbc
        allow=g729
        allow=gsm
        allow=g723
        allow=ulaw

[ulaw-phone](!)                   ; and another one for ulaw-only
        disallow=all
        allow=ulaw

puis le fichier /etc/asterisk/extensions.conf :

Code: [Sélectionner]

[general]
static=yes
writeprotect=no
clearglobalvars=no
[globals]
CONSOLE=Console/dsp                             ; Console interface for demo
IAXINFO=guest                                   ; IAXtel username/password
TRUNK=DAHDI/G2                                  ; Trunk interface
TRUNKMSD=1                                      ; MSD digits to strip (usually 1 or 0)
 
[work]
exten => _0[12345679]XXXXXXXX,1,Dial(SIP/sfr-out/${EXTEN}) ;permet de passer des appels depuis votre serveur


[from-sfr]
exten => s,1,Dial(SIP/XXXX) ;avec XXXX = numéro de SIP que vous souhaitez en local (à configurer dans le fichier users.conf)

puis le fichier /etc/asterisk/users.conf où sont crées les utilisateurs SIP :

Code: [Sélectionner]

[general]
hasvoicemail = yes
hassip = yes
hasiax = yes
callwaiting = yes
threewaycalling = yes
callwaitingcallerid = yes
transfer = yes
canpark = yes
cancallforward = yes
callreturn = yes
callgroup = 1
pickupgroup = 1
nat = yes
 
[template](!)
type=friend
host=dynamic
dtmfmode=rfc2833
disallow=all
allow=ulaw
context = work
 
[XXXX](template) ;avec XXXX votre numéro SIP
fullname = Prenom Nom
username = nomquevous souhaitez
secret = motdepassepourcetutilisateur

[XXXX](template) ;avec XXXX votre numéro SIP
fullname = Prenom Nom
username = nomquevous souhaitez
secret = motdepassepourcetutilisateur

Pour vous connecter à votre serveur SIP il vous faut un logiciel client SIP sur votre PC/Mac : par exemple https://www.microsip.org/ (https://www.microsip.org/) sur lequel vous vous connecez en indiquant le serveur = l'adresse IP de votre routeur OpenWrt, user = le nom d'utilisateur dans le fichier users.conf ainsi que le mot de passe associé.
Vous pouvez recevoir et appeler depuis ce logiciel en utilisant votre ligne SFR

Téléphone avec matériel supplèmentaire, sur un DECT ou sur votre ancien téléphoen analogique
Si vous souhaitez utiliser votre ancien téléphoen analogique, il faudra acheter un convertisseur VOIP vers analogique, comme par exemple https://www.amazon.fr/Cisco-SPA112-Adaptateur-t%C3%A9l%C3%A9phone-ports/dp/B00684PN54/ref=sr_1_fkmr0_1?__mk_fr_FR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&keywords=VOIP+analog&qid=1568629935&sr=8-1-fkmr0 (https://www.amazon.fr/Cisco-SPA112-Adaptateur-t%C3%A9l%C3%A9phone-ports/dp/B00684PN54/ref=sr_1_fkmr0_1?__mk_fr_FR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&keywords=VOIP+analog&qid=1568629935&sr=8-1-fkmr0), qu'il faudra configurer avec les données récupérées via le programme en pré-requis

Sinon vous pouvez utiliser/acheter directement un téléphone VOIP (filaire ou DECT via une borne) et le configurer de la même manière

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: yoles le 19 septembre 2019 à 02:03:00

Merci beaucoup pour ce tuto complet, je l'ai ajouté dans l'index.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: farmouss le 14 juillet 2020 à 14:02:56

Salut à tous,

Je suis en train de configurer un serveur Asterisk, en version 16.11.1
J'ai suivi ta configuration

Mais après un "reload", il ne parvient pas à s'enregistrer :

[Jul 14 11:59:58] NOTICE[49629]: chan_sip.c:16046 sip_reg_timeout: -- Registration for '+33xxxxxxxxxx@corbas.p-cscf.sfr.net' timed out, trying again

Vous avez une idée?

Merci pour votre aide :)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: farmouss le 14 juillet 2020 à 18:29:26

EDIT du 14-07-2020 :
J'ai redirigé les bon ports vers mon serveur, et ça mon serveur s'enregistre correctement auprès de SFR
J'arrive à passer des appels, ça sonne, j'entends dans les 2 sens
En revanche, lorsque j'appelle depuis mon mobile vers la ligne, je ne reçois pas l'appel sur mon SoftPhone MicroSIP...

Une idée?
Merci encore :)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: JalaL le 23 juillet 2020 à 15:34:45

Bonjour,
Merci pour ce tuto tres interessant, mais avant de me lancer avec mon routeur, est ce qu'il y a besoin de renseigner le "mot de passe fibre" (qui se trouve dans http://192.168.1.1/fiber/config) quelque part dans OpenWrt ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: farmouss le 23 juillet 2020 à 18:07:53

Citation de: JalaL le 23 juillet 2020 à 15:34:45

Bonjour,
Merci pour ce tuto tres interessant, mais avant de me lancer avec mon routeur, est ce qu'il y a besoin de renseigner le "mot de passe fibre" (qui se trouve dans http://192.168.1.1/fiber/config) quelque part dans OpenWrt ?

En ce qui me concerne, seul le "trick" sur le DHCP suffit, je n'ai mis aucun mot de passe

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: JalaL le 23 juillet 2020 à 19:02:59

Merci farmousse pour ton retour, effectivement ca marche sans le mot de passe.
J'ai par contre remplacé les XXXXXXXX par l'adresse MAC de la Box Red, et aussi la MAC du routeur par celle de la Box parce que sinon ca marche pas.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 14 août 2020 à 13:29:26

Quelque chose du type "neufbox_NB6V-XXXXXXXXXXXXX" n'est pas très clair.
Qu'est-ce que je dois mettre comme valeur de xxxxxxxx ?
Dois-je spoofer l'adresse MAC de la box et y-a-t'il des risques de se faire blacklister par SFR ?

Qu'en est-il des pages :
http://192.168.1.1/api/1.1/?method=wan
Est-ce qu'on doit les recréer et quelle est leur utilité ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 18 août 2020 à 00:09:52

Bon, j'ai bien une adresse IPv4 et cela fonctionne.

Par contre, pas de télévision.
Il manque probablement l'API de la NBv6

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ericse le 18 août 2020 à 00:57:26

Citation de: Kellogs le 18 août 2020 à 00:09:52

Par contre, pas de télévision.
Il manque probablement l'API de la NBv6

Si tu vires le routeur, autant virer aussi le boitier TV et repiquer les flux IPTV ;)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 18 août 2020 à 08:54:54

Bon, je crois avoir un premier problème, c'est que j'ignore si IGMP Snooping est supporté par mon routeur OpenWRT.
J'ai configuré le routeur comme indiqué dans le tuto, mais la commande :

swconfig dev switch0 show | grep igmp
ne renvoie rien du tout.

Est-ce que c'est bloquant pour la télé ?
Dans un premier temps, j'aimerais récupérer la box télé SFR.

Avec VLC peut-on vérifier que les flux télé passent ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 18 août 2020 à 09:26:27

Après réflexion, cela ne sert à rien de chercher à configurer un vieux player TV.
Je me tourne vers un player Android et Molotov, sans citer de marque.
Le problème, c'est que j'ai aussi un vieux téléviseur sans HDCP.

Si vous avez des infos sur IGMP Snooping, merci d'avance.

Question vitesse, mon routeur GliNet B1300 quadricoeurs ARM7 défonce tout et en encore sous la pédale :

Code: [Sélectionner]

Accepted connection from 192.168.9.247, port 60266
[  5] local 192.168.9.1 port 5201 connected to 192.168.9.247 port 60268
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  98.7 MBytes   827 Mbits/sec                  
[  5]   1.00-2.00   sec   110 MBytes   921 Mbits/sec                  
[  5]   2.00-3.00   sec   111 MBytes   934 Mbits/sec                  
[  5]   3.00-4.00   sec   111 MBytes   934 Mbits/sec                  
[  5]   4.00-5.00   sec   111 MBytes   935 Mbits/sec                  
[  5]   5.00-6.00   sec   103 MBytes   868 Mbits/sec                  
[  5]   6.00-7.00   sec   111 MBytes   935 Mbits/sec                  
[  5]   7.00-8.00   sec   108 MBytes   904 Mbits/sec                  
[  5]   8.00-9.00   sec   111 MBytes   934 Mbits/sec                  
[  5]   9.00-10.00  sec   111 MBytes   933 Mbits/sec                  
[  5]  10.00-10.00  sec   474 KBytes   912 Mbits/sec                  
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.00  sec  1.06 GBytes   912 Mbits/sec                  receiver

J'ai configéré un Mesh Wifi AC dans toute la maison, je capte désormais super bien le WIFI partout et j'ai sécurisé WPA2/WPA3 par un VPN Wireguard sur le routeur.

Avec chiffrement WIreguard, j'arrive à 330 Mbit/s, ce qui est honorable :

Code: [Sélectionner]

[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  42.4 MBytes   356 Mbits/sec    0   1015 KBytes       
[  5]   1.00-2.00   sec  41.1 MBytes   344 Mbits/sec    0   1015 KBytes       
[  5]   2.00-3.00   sec  39.8 MBytes   334 Mbits/sec    0   1015 KBytes       
[  5]   3.00-4.00   sec  40.6 MBytes   341 Mbits/sec    0   1015 KBytes       
[  5]   4.00-5.00   sec  39.0 MBytes   327 Mbits/sec    0   1015 KBytes       
[  5]   5.00-6.00   sec  40.8 MBytes   343 Mbits/sec    0   1015 KBytes       
[  5]   6.00-7.00   sec  40.0 MBytes   336 Mbits/sec    0   1015 KBytes       
[  5]   7.00-8.00   sec  39.4 MBytes   330 Mbits/sec    0   1015 KBytes       
[  5]   8.00-9.00   sec  39.5 MBytes   331 Mbits/sec    0   1015 KBytes       
[  5]   9.00-10.00  sec  38.3 MBytes   321 Mbits/sec    0   1015 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   401 MBytes   336 Mbits/sec    0             sender
[  5]   0.00-10.03  sec   399 MBytes   333 Mbits/sec                  receiver

Merci à tous pour le tuto.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 18 août 2020 à 10:58:51

Citation de: farmouss le 14 juillet 2020 à 18:29:26

EDIT du 14-07-2020 :
J'ai redirigé les bon ports vers mon serveur, et ça mon serveur s'enregistre correctement auprès de SFR
J'arrive à passer des appels, ça sonne, j'entends dans les 2 sens
En revanche, lorsque j'appelle depuis mon mobile vers la ligne, je ne reçois pas l'appel sur mon SoftPhone MicroSIP...

Une idée?
Merci encore :)

Est ce que tu as réussi à régler ton problème de réception d'appel ?
Lorsque tu reçois un appel qu'est ce qui est affiché dans asterisk ?
De ce que tu explique j'ai l'impression que c'est un problème entre asterisk et ton client SIP sur ton PC, qui ne fait pas le transfert

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 18 août 2020 à 11:16:02

Citation de: Kellogs le 18 août 2020 à 08:54:54

Bon, je crois avoir un premier problème, c'est que j'ignore si IGMP Snooping est supporté par mon routeur OpenWRT.
J'ai configuré le routeur comme indiqué dans le tuto, mais la commande :

swconfig dev switch0 show | grep igmp
ne renvoie rien du tout.

Citation de: Kellogs le 18 août 2020 à 09:26:27

Si vous avez des infos sur IGMP Snooping, merci d'avance.

Mon routeur, qui semble compatible ne renvoie rien non plus avec cette commande. Je pense que le tiens l'est aussi. Active IGMPsnooping dans les paramètres physiques de ton interface LAN.
Si vraiment tu veux vérifier, tu branches 2 PC en ethernet sur 2 ports LAN du routeur. Sur le premier PC tu lances la lecture d'un flux TV multicast via VLC. Sur le second tu lances une capture Wireshark et normalement tu ne dois pas voir le trafic multicast du flux TV qui est lancé sur le premier PC. Si c'est la cas c'est que l'IGMPsnooping fonctionne correctement sur ton routeur.

Quelle est ta configuration réseau derrière ton routeur ? As tu un switch ? Si oui il faut que ce dernier soit compatible IGMPsnooping également si tu ne veux pas que les flux multicast deviennent broadcast dans ce switch et ne surchargent l'ensemble des ports du siwtch si jamais un des clients connecté sur le switch demande un des flux multicast.

De même qu'en est-il des points d'accès sans fil connecté sur ton routeur ? Comment le sont-il ?

Reste la possibilité de transfo

Citation de: Kellogs le 18 août 2020 à 09:26:27

Après réflexion, cela ne sert à rien de chercher à configurer un vieux player TV.
Je me tourne vers un player Android et Molotov, sans citer de marque.
Le problème, c'est que j'ai aussi un vieux téléviseur sans HDCP.

Personnellement je n'aime pas du tout les players fournis par les FAI, que ce soit SFR, Orange etc...
Pour les players android je n'ai testé que sur mon téléphone.
Mais il est possible que l'application VLC pour Android ait un bug puisque si l'appareil android n'a pas redémarré depuis un long moment (plusieurs jours comme c'est le cas avec un téléphone) au bout d'un moment, VLC coupe la diffusion à 30sec de streaming. Peut etre que ce bug n'est que sur mon téléphone, je ne sais pas.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ericse le 18 août 2020 à 13:18:16

Citation de: Kellogs le 18 août 2020 à 08:54:54

Bon, je crois avoir un premier problème, c'est que j'ignore si IGMP Snooping est supporté par mon routeur OpenWRT.

Hello,
Faut pas trop mélanger non plus, l'IGMP Snooping est un protocole uniquement réservé aux switchs, pas du tout aux routeurs.
Et même si les petits routeurs peuvent avoir un switch intégré, celui-çi prends rarement en charge l'IGMP Snooping.

Donc pour un routeur, il faut soit utiliser un proxy (genre igmpproxy), soit convertir les flux TV en unicast (avec udpxy).

J'utilise udpxy sur un Edgerouter-X et même si ça le charge un peu, c'est une super solution car cela rend les flux TV beaucoup plus faciles à utiliser (en WiFi ou avec Plex par exemple).

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 18 août 2020 à 13:34:40

Citation de: ericse le 18 août 2020 à 13:18:16

Hello,
Faut pas trop mélanger non plus, l'IGMP Snooping est un protocole uniquement réservé aux switchs, pas du tout aux routeurs.
Et même si les petits routeurs peuvent avoir un switch intégré, celui-çi prends rarement en charge l'IGMP Snooping.

Justement sur OpenWrt l'IGMPsnooping est possible dans le routeur pour le switch intégré.
Cela permet de l'avoir activé entre les différents ports du routeur, indépendamment d'un autre switch qui n'est donc pas obligatoire (sauf si besoin de plus de ports).

Personnellement je préfère garder les flux en multicast, car si c'est bien géré c'est plus efficace dans le réseau.
De même mes points d'accès wifi sont OpenWrt sur lesquels il y a une conversion automatique multicast vers unicast pour les périphériques wifi qui demandent le flux unicast. Je peux ainsi me passer d'UDPXY tout en ayant les avantages du multicast.
Mais ça demande une configuration et matériel compatible

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ericse le 18 août 2020 à 14:24:51

Citation de: maximushugus le 18 août 2020 à 13:34:40

Justement sur OpenWrt l'IGMPsnooping est possible dans le routeur pour le switch intégré.
Cela permet de l'avoir activé entre les différents ports du routeur, indépendamment d'un autre switch qui n'est donc pas obligatoire (sauf si besoin de plus de ports).

Ca peut être utile pour ne pas avoir à scinder le réseau en 2 Lan comme j'ai été obligé de faire sur l'ER-X/EdgeOS, mais ça ne dispense pas de devoir router les paquets Multicast entre le Wan et le Switch, ou bien quelque chose m'échappe ?

Citation de: maximushugus le 18 août 2020 à 13:34:40

Personnellement je préfère garder les flux en multicast, car si c'est bien géré c'est plus efficace dans le réseau.
De même mes points d'accès wifi sont OpenWrt sur lesquels il y a une conversion automatique multicast vers unicast pour les périphériques wifi qui demandent le flux unicast. Je peux ainsi me passer d'UDPXY tout en ayant les avantages du multicast.
Mais ça demande une configuration et matériel compatible

Je comprends l'intérêt intellectuel ;D
Mais au final, à moins d'avoir une très très très grande maison, ça me parait bien compliqué pour un bénéfice modeste. Même Plex est plus facile à configurer avec XTeVe si les flux sont http/unicast.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 18 août 2020 à 14:56:32

Citation de: ericse le 18 août 2020 à 14:24:51

Ca peut être utile pour ne pas avoir à scinder le réseau en 2 Lan comme j'ai été obligé de faire sur l'ER-X/EdgeOS, mais ça ne dispense pas de devoir router les paquets Multicast entre le Wan et le Switch, ou bien quelque chose m'échappe ?

Oui effectivement il faut igmpproxy comme noté dans le tuto du premier message pour router les demande multicast du lan vers le wan puis router le flux du wan au lan.
Mais une fois dans le lan il n'y a pas plusieurs réseaux

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ericse le 18 août 2020 à 15:24:04

Citation de: maximushugus le 18 août 2020 à 14:56:32

Oui effectivement il faut igmpproxy comme noté dans le tuto du premier message pour router les demande multicast du lan vers le wan puis router le flux du wan au lan.

Ok, merci pour l'explication.
Et pour le WiFi, qu'est-ce qui permet la "conversion automatique multicast vers unicast" ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 18 août 2020 à 15:27:40

Citation de: ericse le 18 août 2020 à 15:24:04

Et pour le WiFi, qu'est-ce qui permet la "conversion automatique multicast vers unicast" ?

Je n'ai jamais trouve le paramétre exact mais la version actuelle d'openwrt fait du "multicast to unicast de base". Si je fais un wireshark en wifi sur pc pendant qu'un autre stream le flux multicast sur le même wifi, je ne reçoit pas le flux multicast sur le pc qui ne le demande pas, donc ça à l'air de fonctionner

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 18 août 2020 à 15:31:51

OK, merci pour les informations !
Non, je n'ai pas de switch derrière mon routeur OpenWRT.

Le player télé était connecté en filaire avant que je ne le débranche.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 18 août 2020 à 15:44:12

J'ai une nouvelle question :

Mon routeur OpenWRT est destiné à sécuriser les connexions WIFI avec une configuration Wireguard roadwarrior.
J'ai ouvert le port 51820 inconditionnellement.

Code: [Sélectionner]

config rule
        option dest_port '51820'
        option name 'Allow-Wireguard'
        option target 'ACCEPT'
        list proto 'udp'
        option dest '*'
        option src '*'

Or ce port semble ouvert quand je me connecte depuis br-lan en local, mais pas via Internet en 4G.
En effet, depuis mon téléphone Android avec Wireguard cela marche en WIFI, mais pas en 4G.

J'ai lancé le scan des ports UDP depuis un host sur Internet, avec la commande : map -sU monrouteurs.monnomdedomaine.com
Mais je ne vois que les ports ouverts du DHCP.

Code: [Sélectionner]

Not shown: 998 closed ports
PORT   STATE         SERVICE
67/udp open|filtered dhcps
68/udp open|filtered dhcpc

Donc je me demande si les ports sont bien tous ouverts ... et si je ne serais pas en contact avec l'ONT dont les ports seraient bridés d'une manière ou d'une autre.
En d'autres termes, pour avoir un accès complet aux ports OpenWRT en direction entrante, il faudrait que je sois en mode bridge avec l'ONT ... ce qui n'est possible que sur une Freebox ou un matériel de ce type. A la campagne, je suis abonné à RED fibre, mais à mon domicile, c'est Free d'ici quelques jours (je reviens chez eux pour plusieurs raisons donr l'IPv6 et le serveurs IPsec intégré).

Votre avis, est-ce que mon analyse est correcte ?
Je suis quand même surpris que des ports soient fermés d'office via l'ONT.
L'ONT est sensé nous offrir la totalité des ports en entrant et en sortant, vu que c'est son rôle.

Est-ce que j'ai une chance de pouvoir joindre le port UDP 51820 depuis l'extérieur ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 18 août 2020 à 16:22:41

Cela se précise :

Depuis Internet (un serveur chez Online), le port UDP 62820 est fermé :
nmap -sU -p 51820 mabox

Code: [Sélectionner]

PORT      STATE  SERVICE
51820/udp closed unknown

Depuis le réseau local, le port UDP 62820 est ouvert ;
nmap -sU -p 51820 mabox

Code: [Sélectionner]

PORT      STATE         SERVICE
51820/udp open|filtered unknown

On a bien un bypass SFR ... mais derrière l'ONT.
Et c'est l'ONT qui filtre les connexions entrantes.

A ce stade, je n'ai plus que 2 jours à attendre pour revenir chez Free à mon domicule et bénéficier de tous les goodies de ce fournisseur (délégation IPv6, serveur IPSec, etc ...). Donc est-ce que cela vaut encore la peine de bosser sur un architecture dépassée ?

Ou est-ce qu'il y aurait un réglage de firewall OpenWRT qui m'aurait totalement échappé ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 18 août 2020 à 16:37:22

Citation de: Kellogs le 18 août 2020 à 16:22:41

Cela se précise :

Depuis Internet (un serveur chez Online), le port UDP 62820 est fermé :
nmap -sU -p 51820 mabox
Code: [Sélectionner]
PORT STATE SERVICE 51820/udp closed unknown
Depuis le réseau local, le port UDP 62820 est ouvert ;
nmap -sU -p 51820 mabox
Code: [Sélectionner]
PORT STATE SERVICE 51820/udp open|filtered unknown
On a bien un bypass SFR ... mais derrière l'ONT.
Et c'est l'ONT qui filtre les connexions entrantes.

A ce stade, je n'ai plus que 2 jours à attendre pour revenir chez Free à mon domicule et bénéficier de tous les goodies de ce fournisseur (délégation IPv6, serveur IPSec, etc ...). Donc est-ce que cela vaut encore la peine de bosser sur un architecture dépassée ?

Ou est-ce qu'il y aurait un réglage de firewall OpenWRT qui m'aurait totalement échappé ?

Non l'ONT ne filtre aucun port.
Chez moi j'ai la même config avec le port 51820 ouvert pour wireguard et cela fonctionne.
Cela vient de ta configuration du pare-feu sur OpenWrt, tu n'as pas dû ouvrir le port

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 18 août 2020 à 16:48:50

Cela y est, le forum OpenWRT a corrigé mon erreur.
Il fallait utiliser la règle :

Code: [Sélectionner]

config rule
        option target 'ACCEPT'
        option src 'wan'
        option dest_port '51820'
        option name 'Wireguard'
        option proto 'udp'

Merci. Ouf !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 23 août 2020 à 21:08:54

J'ai terminé la configuration du bypass :

* Mesh en dual band (5Ghz pour le mesh, 2.4 Ghz pour les clients)
* DNSSEC resolver
* VPN Warrior Wireguard pour protéger le wireless (WPA2/3 ne peuvent pas être corrigés), donc VPN pour tous
* Filtrage des publicités
* Banlists IPs
* Graphiques d'activité

Côté télévision, j'ai acheté une clé chez un fournisseur qu'on ne citera pas.
Super content du résultat, bien plus convivial et ouvert que la box SFR-RED.

Au final, je suis enchanté du résulat.
Et plus des petits prix de RED, je vais pouvoir renvoyer le player télé et payer encore moins.

Donc au final, je ne suis pas prêt de quitter RED.
Merci à tous.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 23 août 2020 à 21:39:10

Citation de: Kellogs le 23 août 2020 à 21:08:54

Côté télévision, j'ai acheté une clé chez un fournisseur qu'on ne citera pas.
Super content du résultat, bien plus convivial et ouvert que la box SFR-RED.

Tu utilises les flux de SFR pour la TV ou autre chose (Molotov etc ) ?
C'est une clé Android ? Quel logiciel utilise tu ? VLC ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 24 août 2020 à 08:37:21

Clé Amazon Fire 4K + Molotov. Netfilx et Amazon prime sont disponibles.
L'interface de la Fire et la télécommande sont très bien conçues.
Dans Molotov, Il y a un léger décalage de 30 ms entre le son et l'image, que je ne m'explique pas.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 24 août 2020 à 20:07:21

J'ai même la connectivité IPv6 via Tunnelbroker et j'assigne un /64 via wireguard à mes clients Roadwarrior.
Maintenant, je protège mon WIFI et la 4G, et en plus j'ai des vraies IPv6.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 24 août 2020 à 20:20:17

Si la partie Tunnelbroker IPv6 et le VPN wireguard vous intéresse, voici ma conf avec Tunnel broker (IPv6) et Wiregard (Roadwarrior de mon téléphone Android et de mon ordi Debian) :

/etc/config/firewall

Citer

config rule
   option dest_port '51820'
   option name 'Allow-Wireguard'
   option target 'ACCEPT'
   list proto 'udp'
   option src 'wan'

config rule
   option name 'Allow-protocol-41'
   option src 'wan'
   option proto '41'
   option target 'ACCEPT'

config rule
   option name 'Allow-protocol-59'
   option src 'wan'
   option proto '59'
   option target 'ACCEPT'
   option extra '-m length --length 40'

/etc/conf/network

Citer

config interface 'wg0'
   option proto 'wireguard'
   option private_key ''
   option listen_port '51820'
   list addresses '10.0.10.1/24'
   list addresses '2001:aa:bb:abcd::1/64'

config wireguard_wg0
   option public_key ''
   option preshared_key ''
   option description 'x230'
   option persistent_keepalive '25'
   list allowed_ips '10.0.10.10/32'
list allowed_ips '2001:aa:bb:abcd::10/128'

config wireguard_wg0
   option public_key ''
   option preshared_key ''
   option description 'samsunggalaxy'
   option persistent_keepalive '25'
   list allowed_ips '10.0.10.11/32'
   list allowed_ips '2001:aa:bb:abcd::11/128'

config interface 'wan6'
   option proto '6in4'
   option tunlink 'wan'
   option mtu '1424'
   option peeraddr ''
   option ip6addr ''
   option tunnelid ''
   option username ''
   option password ''
   option updatekey ''
   list ip6prefix '2001:aa:bb::/48'

Il faut au préalable créer un compte chez Tunnelbroker et demander un /48.

/etc/conf/dhcp

Citer

config dhcp 'lan'
   option interface 'lan'
   option start '100'
   option limit '150'
   option leasetime '12h'
   option ra 'server'

opkg list-installed

Citer

6in4 - 25-1
adblock - 4.0.6-1
ath10k-firmware-qca4019-ct - 2019-10-03-d622d160-1
banip - 0.3.11-1
base-files - 204.2-r11063-85e04e9f46
busybox - 1.30.1-5
ca-bundle - 20200601-1
cgi-io - 19
collectd - 5.11.0-7
collectd-mod-cpu - 5.11.0-7
collectd-mod-interface - 5.11.0-7
collectd-mod-iwinfo - 5.11.0-7
collectd-mod-load - 5.11.0-7
collectd-mod-memory - 5.11.0-7
collectd-mod-network - 5.11.0-7
collectd-mod-ping - 5.11.0-7
collectd-mod-rrdtool - 5.11.0-7
collectd-mod-thermal - 5.11.0-7
collectd-mod-wireless - 5.11.0-7
coreutils - 8.30-2
coreutils-sort - 8.30-2
ddns-scripts - 2.7.8-13
dnsmasq - 2.80-16.1
dropbear - 2019.78-2
firewall - 2019-11-22-8174814a-2
fstools - 2020-05-12-84269037-1
fwtool - 2
getrandom - 2019-06-16-4df34a4d-3
hostapd-common - 2019-08-08-ca8c2bd2-4
ip-tiny - 5.0.0-2.1
ip6tables - 1.8.3-1
iperf3 - 3.7-1
ipset - 7.3-1
iptables - 1.8.3-1
iptables-mod-conntrack-extra - 1.8.3-1
iptables-mod-ipopt - 1.8.3-1
iw - 5.0.1-1
iwinfo - 2019-10-16-07315b6f-1
jshn - 2020-05-25-66195aee-1
jsonfilter - 2018-02-04-c7e938d6-1
kernel - 4.14.180-1-fa00c1231ac7d7840ec6ffe62dcad926
kmod-ath - 4.14.180+4.19.120-1-1
kmod-ath10k-ct - 4.14.180+2019-09-09-5e8cd86f-1
kmod-cfg80211 - 4.14.180+4.19.120-1-1
kmod-gpio-button-hotplug - 4.14.180-3
kmod-hwmon-core - 4.14.180-1
kmod-ifb - 4.14.180-1
kmod-ip6tables - 4.14.180-1
kmod-ipt-conntrack - 4.14.180-1
kmod-ipt-conntrack-extra - 4.14.180-1
kmod-ipt-core - 4.14.180-1
kmod-ipt-ipopt - 4.14.180-1
kmod-ipt-ipset - 4.14.180-1
kmod-ipt-nat - 4.14.180-1
kmod-ipt-offload - 4.14.180-1
kmod-ipt-raw - 4.14.180-1
kmod-iptunnel - 4.14.180-1
kmod-iptunnel4 - 4.14.180-1
kmod-leds-gpio - 4.14.180-1
kmod-lib-crc-ccitt - 4.14.180-1
kmod-mac80211 - 4.14.180+4.19.120-1-1
kmod-nf-conntrack - 4.14.180-1
kmod-nf-conntrack6 - 4.14.180-1
kmod-nf-flow - 4.14.180-1
kmod-nf-ipt - 4.14.180-1
kmod-nf-ipt6 - 4.14.180-1
kmod-nf-nat - 4.14.180-1
kmod-nf-reject - 4.14.180-1
kmod-nf-reject6 - 4.14.180-1
kmod-nfnetlink - 4.14.180-1
kmod-nls-base - 4.14.180-1
kmod-ppp - 4.14.180-1
kmod-pppoe - 4.14.180-1
kmod-pppox - 4.14.180-1
kmod-sched-cake - 4.14.180+2019-03-12-057c7388-1
kmod-sched-core - 4.14.180-1
kmod-sit - 4.14.180-1
kmod-slhc - 4.14.180-1
kmod-udptunnel4 - 4.14.180-1
kmod-udptunnel6 - 4.14.180-1
kmod-usb-core - 4.14.180-1
kmod-usb-dwc3 - 4.14.180-1
kmod-usb-dwc3-of-simple - 4.14.180-1
kmod-usb3 - 4.14.180-1
kmod-wireguard - 4.14.180+1.0.20200506-1
libblobmsg-json - 2020-05-25-66195aee-1
libc - 1.1.24-2
libcap - 2.27-1
libelf1 - 0.177-1
libevent2-7 - 2.1.11-1
libevent2-core7 - 2.1.11-1
libevent2-pthreads7 - 2.1.11-1
libgcc1 - 7.5.0-2
libip4tc2 - 1.8.3-1
libip6tc2 - 1.8.3-1
libipset13 - 7.3-1
libiwinfo-lua - 2019-10-16-07315b6f-1
libiwinfo20181126 - 2019-10-16-07315b6f-1
libjson-c2 - 0.12.1-3.1
libjson-script - 2020-05-25-66195aee-1
libltdl7 - 2.4.6-2
liblua5.1.5 - 5.1.5-3
liblucihttp-lua - 2019-07-05-a34a17d5-1
liblucihttp0 - 2019-07-05-a34a17d5-1
libmbedtls12 - 2.16.6-1
libmnl0 - 1.0.4-2
libncurses6 - 6.1-5
libnl-tiny - 0.1-5
libopenssl1.1 - 1.1.1g-1
liboping - 1.10.0-2
libpcap1 - 1.9.1-2.1
libpcre - 8.43-1
libpthread - 1.1.24-2
libqrencode - 4.0.2-2
librrd1 - 1.0.50-3
librt - 1.1.24-2
libstdcpp6 - 7.5.0-2
libubox20191228 - 2020-05-25-66195aee-1
libubus-lua - 2019-12-27-041c9d1c-1
libubus20191227 - 2019-12-27-041c9d1c-1
libuci20130104 - 2019-09-01-415f9e48-3
libuclient20160123 - 2020-06-17-51e16ebf-1
libunbound-heavy - 1.11.0-1
libustream-mbedtls20150806 - 2020-03-13-40b563b1-1
libxtables12 - 1.8.3-1
logd - 2019-06-16-4df34a4d-3
lua - 5.1.5-3
luci - git-20.213.35581-7c9cd2b-1
luci-app-adblock - git-20.221.53167-304ad04-1
luci-app-banip - git-20.229.71287-57456a7-1
luci-app-ddns - 2.4.9-7
luci-app-firewall - git-20.213.35581-7c9cd2b-1
luci-app-opkg - git-20.213.35581-7c9cd2b-1
luci-app-sqm - 1.4.0-2
luci-app-statistics - git-20.229.71287-57456a7-1
luci-app-unbound - git-20.221.53167-304ad04-1
luci-app-wireguard - git-20.229.71287-57456a7-1
luci-base - git-20.213.35581-7c9cd2b-1
luci-compat - git-20.221.53167-304ad04-1
luci-lib-ip - git-20.213.35581-7c9cd2b-1
luci-lib-ipkg - git-20.229.71287-57456a7-1
luci-lib-iptparser - git-20.229.71287-57456a7-1
luci-lib-jsonc - git-20.213.35581-7c9cd2b-1
luci-lib-nixio - git-20.213.35581-7c9cd2b-1
luci-mod-admin-full - git-20.213.35581-7c9cd2b-1
luci-mod-network - git-20.213.35581-7c9cd2b-1
luci-mod-status - git-20.213.35581-7c9cd2b-1
luci-mod-system - git-20.213.35581-7c9cd2b-1
luci-proto-ipv6 - git-20.229.71287-57456a7-1
luci-proto-ppp - git-20.213.35581-7c9cd2b-1
luci-proto-wireguard - git-20.229.71287-57456a7-1
luci-theme-bootstrap - git-20.213.35581-7c9cd2b-1
mtd - 24
nano - 4.9.3-1
netifd - 2019-08-05-5e02f944-1
nmap - 7.70-1
odhcp6c - 2019-01-11-e199804b-16
odhcpd-ipv6only - 2020-05-03-49e4949c-3
openwrt-keyring - 2019-07-25-8080ef34-1
opkg - 2020-05-07-f2166a89-1
ppp - 2.4.7.git-2019-05-25-3
ppp-mod-pppoe - 2.4.7.git-2019-05-25-3
procd - 2020-03-07-09b9bd82-1
px5g-mbedtls - 9
qrencode - 4.0.2-2
rpcd - 2020-05-26-67c8a3fd-1
rpcd-mod-file - 2020-05-26-67c8a3fd-1
rpcd-mod-iwinfo - 2020-05-26-67c8a3fd-1
rpcd-mod-luci - 20191114
rpcd-mod-rrdns - 20170710
rrdtool1 - 1.0.50-3
sqm-scripts - 1.4.0-2
swconfig - 12
tc - 5.0.0-2.1
tcpdump - 4.9.3-1
terminfo - 6.1-5
ubi-utils - 2.1.1-1
ubox - 2019-06-16-4df34a4d-3
ubus - 2019-12-27-041c9d1c-1
ubusd - 2019-12-27-041c9d1c-1
uci - 2019-09-01-415f9e48-3
uclient-fetch - 2020-06-17-51e16ebf-1
uhttpd - 2020-03-13-975dce23-1
unbound-daemon-heavy - 1.11.0-1
urandom-seed - 1.0-1
urngd - 2020-01-21-c7f7b6b6-1
usign - 2020-05-23-f1f65026-1
wireguard - 1.0.20200611-1
wireguard-tools - 1.0.20191226-1
wireless-regdb - 2019.06.03-1
wpad-mesh-openssl - 2019-08-08-ca8c2bd2-4
zlib - 1.2.11-3

Il est clait que je ne suis pas prêt de revenir en arrière ...

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 24 août 2020 à 20:28:01

Pour la partie Wireguard client, voici ma conf Debian. Vous adapterez pour Android ou tout autre système :

cat /etc/wireguard/wg0.conf

Citer

[Interface]
PrivateKey =
Address = 10.0.10.10/24
Address = 2001:aa:bb:abcd::10/64

[Peer]
PublicKey =
PresharedKey =
Endpoint = routeur:51820
AllowedIPs = 0.0.0.0/0,::/0

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 27 août 2020 à 11:05:23

Je vous donne quelques informations concernant les perfs. Pour rappel, mon bypass est un GliNet B1300 acheté 80€, un quadricoeurs ARMv7 sans accelération AES-NI (donc pas d'accélération du VPN), flashé avec la dernière version d'OpenWRT :

En download depuis le bypass:
iperf3 -4 -P20 -R -c bouygues.iperf.fr

Citer

[ 5] 0.00-10.02 sec 71.1 MBytes 59.6 Mbits/sec 54 sender
[ 5] 0.00-10.00 sec 69.6 MBytes 58.4 Mbits/sec receiver
[ 7] 0.00-10.02 sec 55.1 MBytes 46.2 Mbits/sec 97 sender
[ 7] 0.00-10.00 sec 53.6 MBytes 44.9 Mbits/sec receiver
[ 9] 0.00-10.02 sec 69.8 MBytes 58.4 Mbits/sec 88 sender
[ 9] 0.00-10.00 sec 68.3 MBytes 57.3 Mbits/sec receiver
[ 11] 0.00-10.02 sec 36.1 MBytes 30.2 Mbits/sec 91 sender
[ 11] 0.00-10.00 sec 35.3 MBytes 29.6 Mbits/sec receiver
[ 13] 0.00-10.02 sec 36.2 MBytes 30.3 Mbits/sec 100 sender
[ 13] 0.00-10.00 sec 35.8 MBytes 30.0 Mbits/sec receiver
[ 15] 0.00-10.02 sec 66.6 MBytes 55.8 Mbits/sec 91 sender
[ 15] 0.00-10.00 sec 65.3 MBytes 54.8 Mbits/sec receiver
[ 17] 0.00-10.02 sec 53.6 MBytes 44.9 Mbits/sec 34 sender
[ 17] 0.00-10.00 sec 52.9 MBytes 44.4 Mbits/sec receiver
[ 19] 0.00-10.02 sec 56.2 MBytes 47.1 Mbits/sec 86 sender
[ 19] 0.00-10.00 sec 54.8 MBytes 46.0 Mbits/sec receiver
[ 21] 0.00-10.02 sec 69.2 MBytes 57.9 Mbits/sec 64 sender
[ 21] 0.00-10.00 sec 68.1 MBytes 57.2 Mbits/sec receiver
[ 23] 0.00-10.02 sec 58.8 MBytes 49.2 Mbits/sec 90 sender
[ 23] 0.00-10.00 sec 57.5 MBytes 48.3 Mbits/sec receiver
[ 25] 0.00-10.02 sec 31.3 MBytes 26.2 Mbits/sec 74 sender
[ 25] 0.00-10.00 sec 30.9 MBytes 25.9 Mbits/sec receiver
[ 27] 0.00-10.02 sec 43.3 MBytes 36.3 Mbits/sec 66 sender
[ 27] 0.00-10.00 sec 42.6 MBytes 35.8 Mbits/sec receiver
[ 29] 0.00-10.02 sec 59.0 MBytes 49.4 Mbits/sec 121 sender
[ 29] 0.00-10.00 sec 58.1 MBytes 48.7 Mbits/sec receiver
[ 31] 0.00-10.02 sec 51.7 MBytes 43.2 Mbits/sec 119 sender
[ 31] 0.00-10.00 sec 50.2 MBytes 42.1 Mbits/sec receiver
[ 33] 0.00-10.02 sec 31.9 MBytes 26.7 Mbits/sec 125 sender
[ 33] 0.00-10.00 sec 31.2 MBytes 26.1 Mbits/sec receiver
[ 35] 0.00-10.02 sec 50.1 MBytes 42.0 Mbits/sec 113 sender
[ 35] 0.00-10.00 sec 48.8 MBytes 41.0 Mbits/sec receiver
[ 37] 0.00-10.02 sec 33.7 MBytes 28.2 Mbits/sec 163 sender
[ 37] 0.00-10.00 sec 32.9 MBytes 27.6 Mbits/sec receiver
[ 39] 0.00-10.02 sec 38.8 MBytes 32.5 Mbits/sec 99 sender
[ 39] 0.00-10.00 sec 37.3 MBytes 31.3 Mbits/sec receiver
[ 41] 0.00-10.02 sec 46.9 MBytes 39.2 Mbits/sec 78 sender
[ 41] 0.00-10.00 sec 45.7 MBytes 38.3 Mbits/sec receiver
[ 43] 0.00-10.02 sec 30.0 MBytes 25.1 Mbits/sec 127 sender
[ 43] 0.00-10.00 sec 29.0 MBytes 24.4 Mbits/sec receiver
[SUM] 0.00-10.02 sec 989 MBytes 828 Mbits/sec 1880 sender
[SUM] 0.00-10.00 sec 968 MBytes 812 Mbits/sec receiver

Donc on sature presque la ligne 1Gb/s.

En upload depuis le bypass :
iperf3 -4 -P20 -c bouygues.iperf.fr

Citer

[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.00 sec 23.6 MBytes 19.8 Mbits/sec 51 sender
[ 5] 0.00-10.02 sec 23.4 MBytes 19.6 Mbits/sec receiver
[ 7] 0.00-10.00 sec 22.0 MBytes 18.4 Mbits/sec 79 sender
[ 7] 0.00-10.02 sec 21.7 MBytes 18.2 Mbits/sec receiver
[ 9] 0.00-10.00 sec 21.3 MBytes 17.9 Mbits/sec 95 sender
[ 9] 0.00-10.02 sec 21.1 MBytes 17.7 Mbits/sec receiver
[ 11] 0.00-10.00 sec 21.3 MBytes 17.9 Mbits/sec 87 sender
[ 11] 0.00-10.02 sec 21.0 MBytes 17.6 Mbits/sec receiver
[ 13] 0.00-10.00 sec 23.8 MBytes 19.9 Mbits/sec 123 sender
[ 13] 0.00-10.02 sec 23.6 MBytes 19.7 Mbits/sec receiver
[ 15] 0.00-10.00 sec 23.6 MBytes 19.8 Mbits/sec 116 sender
[ 15] 0.00-10.02 sec 23.3 MBytes 19.5 Mbits/sec receiver
[ 17] 0.00-10.00 sec 23.2 MBytes 19.5 Mbits/sec 130 sender
[ 17] 0.00-10.02 sec 23.0 MBytes 19.2 Mbits/sec receiver
[ 19] 0.00-10.00 sec 22.7 MBytes 19.1 Mbits/sec 119 sender
[ 19] 0.00-10.02 sec 22.5 MBytes 18.8 Mbits/sec receiver
[ 21] 0.00-10.00 sec 23.5 MBytes 19.7 Mbits/sec 104 sender
[ 21] 0.00-10.02 sec 23.3 MBytes 19.5 Mbits/sec receiver
[ 23] 0.00-10.00 sec 24.9 MBytes 20.8 Mbits/sec 128 sender
[ 23] 0.00-10.02 sec 24.5 MBytes 20.5 Mbits/sec receiver
[ 25] 0.00-10.00 sec 20.2 MBytes 16.9 Mbits/sec 87 sender
[ 25] 0.00-10.02 sec 19.8 MBytes 16.6 Mbits/sec receiver
[ 27] 0.00-10.00 sec 24.5 MBytes 20.5 Mbits/sec 129 sender
[ 27] 0.00-10.02 sec 24.3 MBytes 20.4 Mbits/sec receiver
[ 29] 0.00-10.00 sec 24.1 MBytes 20.2 Mbits/sec 128 sender
[ 29] 0.00-10.02 sec 23.9 MBytes 20.0 Mbits/sec receiver
[ 31] 0.00-10.00 sec 23.6 MBytes 19.8 Mbits/sec 104 sender
[ 31] 0.00-10.02 sec 23.3 MBytes 19.5 Mbits/sec receiver
[ 33] 0.00-10.00 sec 23.9 MBytes 20.1 Mbits/sec 110 sender
[ 33] 0.00-10.02 sec 23.6 MBytes 19.7 Mbits/sec receiver
[ 35] 0.00-10.00 sec 21.3 MBytes 17.9 Mbits/sec 125 sender
[ 35] 0.00-10.02 sec 21.1 MBytes 17.7 Mbits/sec receiver
[ 37] 0.00-10.00 sec 21.1 MBytes 17.7 Mbits/sec 130 sender
[ 37] 0.00-10.02 sec 20.8 MBytes 17.4 Mbits/sec receiver
[ 39] 0.00-10.00 sec 20.4 MBytes 17.1 Mbits/sec 137 sender
[ 39] 0.00-10.02 sec 20.1 MBytes 16.8 Mbits/sec receiver
[ 41] 0.00-10.00 sec 19.8 MBytes 16.6 Mbits/sec 115 sender
[ 41] 0.00-10.02 sec 19.5 MBytes 16.3 Mbits/sec receiver
[ 43] 0.00-10.00 sec 19.8 MBytes 16.6 Mbits/sec 103 sender
[ 43] 0.00-10.02 sec 19.5 MBytes 16.4 Mbits/sec receiver
[SUM] 0.00-10.00 sec 448 MBytes 376 Mbits/sec 2200 sender
[SUM] 0.00-10.02 sec 443 MBytes 371 Mbits/sec receiver

En connexion via le VPN wireguard (en mode Roadwarrior, donc serveur sur le bypass) depuis une ligne Free :
iperf3 -4 -P20 -R -c bouygues.iperf.fr

Citer

[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.03 sec 13.8 MBytes 11.5 Mbits/sec 49 sender
[ 5] 0.00-10.00 sec 13.6 MBytes 11.4 Mbits/sec receiver
[ 7] 0.00-10.03 sec 18.0 MBytes 15.1 Mbits/sec 55 sender
[ 7] 0.00-10.00 sec 17.7 MBytes 14.9 Mbits/sec receiver
[ 9] 0.00-10.03 sec 19.3 MBytes 16.1 Mbits/sec 100 sender
[ 9] 0.00-10.00 sec 18.9 MBytes 15.8 Mbits/sec receiver
[ 11] 0.00-10.03 sec 13.1 MBytes 10.9 Mbits/sec 94 sender
[ 11] 0.00-10.00 sec 12.8 MBytes 10.7 Mbits/sec receiver
[ 13] 0.00-10.03 sec 15.5 MBytes 12.9 Mbits/sec 43 sender
[ 13] 0.00-10.00 sec 15.3 MBytes 12.8 Mbits/sec receiver
[ 15] 0.00-10.03 sec 13.7 MBytes 11.4 Mbits/sec 45 sender
[ 15] 0.00-10.00 sec 13.4 MBytes 11.3 Mbits/sec receiver
[ 17] 0.00-10.03 sec 13.2 MBytes 11.1 Mbits/sec 37 sender
[ 17] 0.00-10.00 sec 13.0 MBytes 10.9 Mbits/sec receiver
[ 19] 0.00-10.03 sec 11.8 MBytes 9.87 Mbits/sec 38 sender
[ 19] 0.00-10.00 sec 11.6 MBytes 9.77 Mbits/sec receiver
[ 21] 0.00-10.03 sec 14.7 MBytes 12.3 Mbits/sec 19 sender
[ 21] 0.00-10.00 sec 14.4 MBytes 12.1 Mbits/sec receiver
[ 23] 0.00-10.03 sec 12.0 MBytes 10.0 Mbits/sec 21 sender
[ 23] 0.00-10.00 sec 11.8 MBytes 9.91 Mbits/sec receiver
[ 25] 0.00-10.03 sec 17.8 MBytes 14.9 Mbits/sec 74 sender
[ 25] 0.00-10.00 sec 17.6 MBytes 14.7 Mbits/sec receiver
[ 27] 0.00-10.03 sec 12.0 MBytes 10.0 Mbits/sec 47 sender
[ 27] 0.00-10.00 sec 11.8 MBytes 9.92 Mbits/sec receiver
[ 29] 0.00-10.03 sec 12.3 MBytes 10.3 Mbits/sec 62 sender
[ 29] 0.00-10.00 sec 12.1 MBytes 10.2 Mbits/sec receiver
[ 31] 0.00-10.03 sec 13.2 MBytes 11.0 Mbits/sec 56 sender
[ 31] 0.00-10.00 sec 13.0 MBytes 10.9 Mbits/sec receiver
[ 33] 0.00-10.03 sec 15.3 MBytes 12.8 Mbits/sec 43 sender
[ 33] 0.00-10.00 sec 15.0 MBytes 12.6 Mbits/sec receiver
[ 35] 0.00-10.03 sec 16.1 MBytes 13.4 Mbits/sec 51 sender
[ 35] 0.00-10.00 sec 15.8 MBytes 13.2 Mbits/sec receiver
[ 37] 0.00-10.03 sec 13.1 MBytes 11.0 Mbits/sec 44 sender
[ 37] 0.00-10.00 sec 12.8 MBytes 10.8 Mbits/sec receiver
[ 39] 0.00-10.03 sec 15.6 MBytes 13.1 Mbits/sec 35 sender
[ 39] 0.00-10.00 sec 15.3 MBytes 12.9 Mbits/sec receiver
[ 41] 0.00-10.03 sec 13.8 MBytes 11.5 Mbits/sec 44 sender
[ 41] 0.00-10.00 sec 13.6 MBytes 11.4 Mbits/sec receiver
[ 43] 0.00-10.03 sec 28.0 MBytes 23.4 Mbits/sec 97 sender
[ 43] 0.00-10.00 sec 26.7 MBytes 22.4 Mbits/sec receiver
[SUM] 0.00-10.03 sec 302 MBytes 253 Mbits/sec 1054 sender
[SUM] 0.00-10.00 sec 296 MBytes 249 Mbits/sec receiver

250 Mb/s,tout juste excellentissime pour un VPN.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Kellogs le 27 août 2020 à 11:08:19

Cerise sur la gâteau, je me suis connecté au gestionnaire RED et je bénéficie d'une promotion et ne paye que 15€/mois. Pour cette qualité là, c'est cadeau. Encore bravo RED et merci.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: babyss le 13 novembre 2020 à 11:19:14

Bonjour,
J'ai souscris à l'offre Red Ftth 1gb ,malheureusement pas il n'y a pas de mode Bridge sur celui ci.
J'ai lu qu'il suffisait de brancher ONT directement sur le routeur OPENWRT.
Dans OPENWRT , il faut aller dans WAN , puis paramètre avancé et après , puit édite et dans paramètres avancés , et dans DHCP vendor class , il mettre quoi exactement : neufbox_ + "Modèle" ou "adresse mac avec les : en minuscule" ou "Version principale ".
Je précise que mon modem est un NB6VAC-XXX-XX.

J'ai essayer avec neufbox_ + adresse mac , ca marche pas .
J'ai bien sure modifier l'adresse mac du modem sous OPENWRT.
merci de votre aide

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 14 novembre 2020 à 17:41:47

Citation de: babyss le 13 novembre 2020 à 11:19:14

Bonjour,
J'ai souscris à l'offre Red Ftth 1gb ,malheureusement pas il n'y a pas de mode Bridge sur celui ci.
J'ai lu qu'il suffisait de brancher ONT directement sur le routeur OPENWRT.
Dans OPENWRT , il faut aller dans WAN , puis paramètre avancé et après , puit édite et dans paramètres avancés , et dans DHCP vendor class , il mettre quoi exactement : neufbox_ + "Modèle" ou "adresse mac avec les : en minuscule" ou "Version principale ".
Je précise que mon modem est un NB6VAC-XXX-XX.

J'ai essayer avec neufbox_ + adresse mac , ca marche pas .
J'ai bien sure modifier l'adresse mac du modem sous OPENWRT.
merci de votre aide

Le "vendor class id" doit être sous cette forme "neufbox_NB6V-XXXXXXXXXX" en remplaçant les XX avec ce que l'on veut

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Christophe95 le 19 novembre 2020 à 14:10:23

Bonjour...je vais essayer d y parvenir avec un routeur Xiaomi 3g openwrt de me débarrasser de ma box nbv6 blanche également...je vous tiens au jus....merci pour toutes ces infos

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: babyss le 19 novembre 2020 à 21:13:19

Punaise, je viens de réessayer et cela marche toujours pas .
Le 4 ème voyant de Ont ( le Lan) ne s'allume pas qd je branche sur mon routeur openwrt.
Moi j' ai un petit Nexx Wt3020F. J' ai même mis à jours openwrt.
Sinon quelq'un connaît la configuration pour accéder à ONT directement pour voir ce qu'il y a dedans comme configuration.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Christophe95 le 20 novembre 2020 à 21:32:17

Je n' ai même pas WAN sur openwrt ...network/interface... seulement LAN...une idée svp ??

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 21 novembre 2020 à 13:06:06

Citation de: babyss le 19 novembre 2020 à 21:13:19

Punaise, je viens de réessayer et cela marche toujours pas .
Le 4 ème voyant de Ont ( le Lan) ne s'allume pas qd je branche sur mon routeur openwrt.
Moi j' ai un petit Nexx Wt3020F. J' ai même mis à jours openwrt.

C'est étrange. Tu as bien suivi le tuto ? Montre peut être ton "etc/config/network"

Citation de: babyss le 19 novembre 2020 à 21:13:19

Sinon quelq'un connaît la configuration pour accéder à ONT directement pour voir ce qu'il y a dedans comme configuration.

Il faut se connecter sur l'ONT en mettant une IP fixe dans le sous réseau 192.168.4.XX/24 et se connecter en telnet à 192.168.4.254
L'identifiant est "admin4me" et le mot de passe "connect4you@support".
Si tu veux un accès plus complet (accès root) : cf ce que je disais ici https://lafibre.info/remplacer-sfr/captures-de-linterface-du-mini-ont-sfr/36/ (https://lafibre.info/remplacer-sfr/captures-de-linterface-du-mini-ont-sfr/36/)
On peut aussi accèder à l'ONT derrière un routeur avec une configuration spécifique si besoin

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 21 novembre 2020 à 13:06:51

Citation de: Christophe95 le 20 novembre 2020 à 21:32:17

Je n' ai même pas WAN sur openwrt ...network/interface... seulement LAN...une idée svp ??

La configuration de base d'OpenWrt a une interface WAN préconfigurée normalement. As tu modifié des interfaces ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Christophe95 le 22 novembre 2020 à 13:43:23

Citation de: maximushugus le 21 novembre 2020 à 13:06:51

La configuration de base d'OpenWrt a une interface WAN préconfigurée normalement. As tu modifié des interfaces ?

Je l avais acheté avec openwrt déjà installé dessus...j ai fait un reset d openwrt et c est tout bon.....merci

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Christophe95 le 29 novembre 2020 à 22:39:55

Sur internet, quelqu'un vend ma SFR box fibre 8....peut on l'acheter et remplacer nous même la nb6 sans rien dire a red SFR ?? Je pensais que les box étaient propriétaires de SFR !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Zenor27 le 30 novembre 2020 à 20:37:31

Hello,

J'ai essayé la manip chez moi sur un routeur Xiaomi.
Impossible d'obtenir une IPV4 :'( J'ai essayé de redémarrer l'ONT, j'ai la LED LAN qui s'allume pendant quelques secondes, puis elle vire au orange, puis s'éteint.
Contrairement au tuto, j'ai une box NB6VAC, j'ai tenté plusieurs Vendor, mais rien n'y fait...

Une idée de comment m'aider à debug ca ? ;D

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: G8U5 le 11 janvier 2021 à 16:15:10

Bonjour,
Je n'arrive pas à récupérer mon mot de passe SIP malgré toutes mes tentatives. Sous windows derrière le router OpenWRT, sous Kali Derrière le routeur et en direct sur l'ONT avec la bonne config du DHCP, ça ne veux rien savoir...
Du coup j'ai récupéré pas mal d'infos sur le dialogue SIP entre la box et l'ONT avec WireShark.
J'ai toutes les infos nécessaires pour faire du Brut Force sur le mot de passe.

Quelqu'un pourrais t'il me donnez la longueur du mot de passe (nombre de caratères) s'il lui plait et aussi m'indiquer s'il contient des majuscules, chiffres ou autres caratères spéciaux ?

Merci,
Si j'arrive à le trouver, je posterais ma méthode sur le forum.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rican le 14 janvier 2021 à 18:09:59

Bonjour,
Tout d'abord un grand merci à "maximushugus" de nous avoir offert ce superbe tuto, ainsi qu'à tous ceux qui contribuent a l'enrichir.
J'ai une question concernant la téléphonie.

Est-ce que l'on peut utiliser une application mobile (par exemple Mizudroid, voir ci-après) pour utiliser le service VOIP/SIP, sans avoir à installer un téléphone fixe ?
Est-ce qu'on peut obtenir tous les identifiants qui sont demandés par l'application mobile ?

Par avance, merci pour votre aide.
Ricardo

PS :
1) Lien vers l'application Mizudroid.
https://play.google.com/store/apps/details?id=com.mizuvoip.mizudroid.app&hl=fr&gl=US
2) Informations demandées par l'application (fichier ci-joint)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: danc_vip le 16 janvier 2021 à 14:31:08

Récupération des identifiants :

SFR met à disposition un serveur pour que nos BOX viennent récupérer toutes seules et automatiquement leurs identifiants (celles-ci interrogent le serveur, prennent leurs identifiants, puis se connectent en SIP avec).
Malheureusement en parallèle de ça, les identifiants ne sont pas envoyés par mail (ni même disponibles sur l'espace abonné) comme à la vieille époque où tout le monde avait besoin de ces informations, mais un logiciel créé par l'utilisateur "nextgens" (qu'on remercie chaleureusement) existe pour compenser ce manque :
https://florent.daigniere.com/posts/2019/04/extracting-voip-credentials-from-my-broadband-router/

Attention, "extract-voip-parameters_v1.exe" ne fonctionne que lorsqu'on a déjà remplacé le routeur SFR par du matériel standard (probablement du fait que le serveur ne donne accès aux identifiants que quand ils ne sont pas déjà en cours d'utilisation, par la box par exemple

j'ai utilisé ce logiciel: ZOIPER Iphone ou android

https://lafibre.info/remplacer-sfr/probleme-dinstallation-bypass-voip-red-avec-gigaset-c530-ip/48/
https://blog.kodono.info/wordpress/2013/08/25/configurer-sfr-libertalk-en-sip-sur-android-et-iphone-avec-media5fone/

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 16 janvier 2021 à 14:41:17

Citation de: Jb_LR le 11 janvier 2021 à 16:15:10

Bonjour,
Je n'arrive pas à récupérer mon mot de passe SIP malgré toutes mes tentatives. Sous windows derrière le router OpenWRT, sous Kali Derrière le routeur et en direct sur l'ONT avec la bonne config du DHCP, ça ne veux rien savoir...
Du coup j'ai récupéré pas mal d'infos sur le dialogue SIP entre la box et l'ONT avec WireShark.
J'ai toutes les infos nécessaires pour faire du Brut Force sur le mot de passe.

Quelqu'un pourrais t'il me donnez la longueur du mot de passe (nombre de caratères) s'il lui plait et aussi m'indiquer s'il contient des majuscules, chiffres ou autres caratères spéciaux ?

Merci,
Si j'arrive à le trouver, je posterais ma méthode sur le forum.

C'est étrange que le programme pour récupérer le mot de passe ne fonctionne pas chez toi.
Sinon est ce que tu as pu récupérer l'identifiant de ta ligne.
Le mot de passe fait 16 caractères de long avec des chiffres et des lettres uniquement en majuscule, et il semble que les 2 derniers chiffres soit le département d'où tu es.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: G8U5 le 16 janvier 2021 à 15:08:45

Salutations.
Du coup le brut force sur le Digest MD5 est très long, alors j'ai abandonné.
J'ai tenté un XOR sur le RAND et le mot de passe fournis par les serveurs côté FAI. Ça ne donne rien de plus, la conversion HEX to Ascii ne me donne pas le mot de passe.
En ce moment même, j'ai une VM sur VMWare avec ubuntu, dhclient.conf configuré, mais pas de réponse au DHCPDISCOVER, pas de retour OFFER. Le network de la VM en mode Bridge.
J'ai essayé un Kali Linux sur une clé bootable, ça n'accroche pas non plus le DHCP.

J'avoue, si rien ne me résiste trop d'habitude, là ça me donne bien du fil à retordre.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rican le 17 janvier 2021 à 18:46:13

Bonjour,
Merci à @danc_vip pour votre réponse.

Citation de: danc_vip le 16 janvier 2021 à 14:31:08

j'ai utilisé ce logiciel: ZOIPER Iphone ou android

https://lafibre.info/remplacer-sfr/probleme-dinstallation-bypass-voip-red-avec-gigaset-c530-ip/48/
https://blog.kodono.info/wordpress/2013/08/25/configurer-sfr-libertalk-en-sip-sur-android-et-iphone-avec-media5fone/

J'ai installé ZOIPER sur mon smartphone Android et ça a l'air de fonctionner !
Je peux recevoir un appel SIP, le son est bon, mais je ne peux pas appeler.
ça fini toujours par REQUEST TIMEOUT !

D'ailleurs quand je dis "ça a l'air de fonctionner", c'est parce que le compte SIP qui est créé est en vert (le compte est prêt), mais passe de temps en rouge avec un message d'erreur !

Je vous donne ci-après la configuration que j'ai faite, peut-être pourrez vous trouver une anomalie ou me donner une astuce !

Par avance, merci pour aide.
Cordialement.
Ricardo

# Config appli Android ZOIPER

Code: [Sélectionner]

Nom du compte                  : +33123456789@ims.mnc010.mcc208.3gppnetwork.org
- Authentication
Hôte                           : ims.mnc010.mcc208.3gppnetwork.org
Nom d'utilisateur              : +33123456789
Mot de passe                   : XXXXXXXXXXXXXXXX (16 caractères)
- Optionnel
Authentification utilisateur   : NDI1234567890.PRC.THD@sfr.fr
Proxy sortant                  : corbas.p-cscf.sfr.net:5062
ID de l'appelant               : 1234567890
- Paramètres réseau
Type de Transport              : UDP
- NAT
Utiliser STUN                  : Par défaut
Serveur STUN                   : stun.zoiper.com
Port STUN                      : 3478
Duréée de rafraissement STUN   : 30
STUN allow on private address  : NON
STUN allow with private server : NON
STUN DNS SRV requests          : NON
RPORT pour signaler            : OUI
RPORT pour média               : NON

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: danc_vip le 17 janvier 2021 à 19:29:17

La box de sfr oem doit etre remplacé (ou étant) ou en 4g

Utiliser Stun : Use custom (en)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rican le 17 janvier 2021 à 19:48:44

Oui, bien sûr, je n'utilise plus la BOX SFR : je suis en Bypass directement depuis l'ONT vers mon routeur/firewall Openwrt !
Et j'ai récupéré mes identifiants SIP.

Vous me proposez de régler STUN sur "use custom", mais qu'est-ce que je dois mettre comme paramètres et valeurs ?

Code: [Sélectionner]

- NAT
Utiliser STUN                  : Par défaut
Serveur STUN                   : stun.zoiper.com
Port STUN                      : 3478
Duréée de rafraissement STUN   : 30
STUN allow on private address  : NON
STUN allow with private server : NON
STUN DNS SRV requests          : NON

Par avance merci pour votre réponse.
Cordialement.
Ricardo

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: danc_vip le 17 janvier 2021 à 19:58:56

stun.zoiper.com

zoiper sur mon iphone 7 est différent en menu

nom du compte : redsfr
id de l appelant: +3336xxxxxx

registration expiry time 1600

stun refresh period 30

tu peux teste aussi media5-fone (android)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: G8U5 le 18 janvier 2021 à 16:29:14

Citation de: maximushugus le 16 janvier 2021 à 14:41:17

C'est étrange que le programme pour récupérer le mot de passe ne fonctionne pas chez toi.
Sinon est ce que tu as pu récupérer l'identifiant de ta ligne.
Le mot de passe fait 16 caractères de long avec des chiffres et des lettres uniquement en majuscule, et il semble que les 2 derniers chiffres soit le département d'où tu es.

Salutations,

J'ai enfin mon mot de passe !

Je ne pouvais pas l'avoir sans feinter un peu.
Je suis depuis décembre en CG-NAT, et pour récupérer le mot de passe ça se fait en v6.
Donc après avoir récupéré les bons fichiers de config xml, j'ai monté un apache capable de me rendre les fichiers en v4, j'ai fait croire que les serveurs FAI était en fait le miens, lancé l'outil de Nextgens, et voilà !

PS: Les deux derniers chiffres ne sont pas mon département!

Bien à vous !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 19 janvier 2021 à 18:27:42

A noter pour la connexion SIP / la configuration du téléphone : si cela ne fonctionne pas chez vous, essayez de remplacer "corbas.p-cscf.sfr.net" par

"mitry.p-cscf.sfr.net"
ou "trappes.p-cscf.sfr.net"

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: kdaffef91 le 21 janvier 2021 à 19:25:25

Merci à maximushugus pour ce super tuto,

Perso suis chez sfr avec nb6vac-... et grace super expert-contributeurs de ce forum, ai réussi a passer sur un synology rt2600ac surtout pour la gestion des appareils sur le reseau. Mais blocage total concernant la partie voip

En effet, j'ai un serveur asterisk à la maison (distribution incrediblepbx2021 sous debian) que je fais evoluer petit a petit a l'aide de freepbx selon des lignes SIPpris chez OVH, par contre je n'y connais rien dans le code d'asterisk,

enfin avec les copier/coller le code du trunk sip sfr est bien UP,
Pourriez-vous ou qq'un puisse m'aider avec la syntaxe du trunk sous format freepbx 15, ainsi une route sortante/entrante, a utiliser librement par mes différentes extensions existante,

je vous avoue je patauge depuis plusieurs jours et n'arrive pas à passer du code à des entités Freepbx comme je fais habituellement, merci infiniement 1000x

Bonne continuation, et bravo pour ce que vous faites ++++
Kim

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: G8U5 le 22 janvier 2021 à 19:17:35

Salutations !

Pour moi la config d'Asterisk du tuto n'a pas fonctionnée.
Pour rappel, je suis en CG-NAT avec IPv6 en natif ( enfin un truc come ça :) ) donc plus d'accès depuis l'extérieur en IPv4.
Tout d'abord, sur OpenWRT 19 et Asterisk 18, avec la version compilée pour mon routeur Ubiquity R4, le RTP d'asterisk ne fonctionne pas sans PJSIP.
J'ai alors essayé de configurer PJSIP sans succès avant de revenir en chan-sip. Il faut alors désactiver tout les modules PJSIP sauf res-psproject pour le RTP.
Mais pour le chan-sip ma config devient celle ci-dessous:

sip.conf

Code: [Sélectionner]

[general]
context=from-sfr                  ; Default context for incoming calls. Defaults to 'default'
allowoverlap=no                 ; Disable overlap dialing support. (Default is yes)

useragent=otherIAD - rNB6VAC-MAIN-R4.0.44f-36091

usereqphone = yes  ; ajoute user=phone

udpbindaddr=0.0.0.0             ; IP address to bind UDP listen socket to (0.0.0.0 binds to all) ; j'ai gardé pour le réseau interne
udpbindaddr=::                     ; en v6 aussi, et surtout pour la connexion hors de chez moi
 
tcpenable=no                    ; Enable server for incoming TCP connections (default is no)
tcpbindaddr=0.0.0.0             ; IP address for TCP server to bind to (0.0.0.0 binds to all interfaces)
transport=udp                   ; Set the default transports.  The order determines the primary default transport.

bindport=5060

srvlookup=yes                           ; Minimum length of registrations (default 60)
defaultexpiry=300              ; Default length of incoming/outgoing registration

language=fr     

localnet=192.168.1.0/255.255.255.0
localnet=127.0.0.0/255.255.255.0


register => +33xxxxxxxxx@ims.mnc010.mcc208.3gppnetwork.org:xxxxxxxxxxxxxxxx:xxxxxxxxxxxxx.LPC.THD@sfr.fr@corbas.p-cscf.sfr.net:5062/+33xxxxxxxxx  ;/+33xxxx pour le header contact

allowguest=yes
alwaysauthreject=yes
permit=::                      ;j'autorise tout, pour l'accès depuis l'extérieur
permit=0.0.0.0/0.0.0.0

media_address=2a02:842a:xxxx:xxxx::1  ; l'adresse globale v6 de mon routeur
externaddr=2a02:842a:xxxx:xxxxx::1
externhost=mon.adresse.fr

[sfr-out]
type=peer
fromdomain=ims.mnc010.mcc208.3gppnetwork.org
fromuser=+33xxxxxxxxx
defaultuser=NDIxxxxxxxxxx.LPC.THD@sfr.fr
host=corbas.p-cscf.sfr.net
insecure=invite,port
remotesecret=xxxxxxxxxxxxxxxx
auth=NDIxxxxxxxxxx.LPC.THD@sfr.fr:xxxxxxxxxxxxxxxx@ims.mnc010.mcc208.3gppnetwork.org
outboundproxy=corbas.p-cscf.sfr.net:5062
nat=no

[sfr-in]
type=user
fromdomain=ims.mnc010.mcc208.3gppnetwork.org\;user=phone
host=corbas.p-cscf.sfr.net
insecure=invite,port
context=from-sfr
port=5060
nat=no

user.conf

Code: [Sélectionner]

[template](!)
type=friend
host=dynamic
dtmfmode=rfc2833
disallow=all
allow=ulaw
context = work


[301](default_template) ;avec XXXX votre numéro SIP
fullname = FULLNAME
defaultuser = USERLOGIN
secret = SECRET

extensions.conf

Code: [Sélectionner]

[general]
static=yes
writeprotect=no
clearglobalvars=no
[globals]
CONSOLE=Console/dsp                             ; Console interface for demo
IAXINFO=guest                                   ; IAXtel username/password
TRUNK=DAHDI/G2                                  ; Trunk interface
TRUNKMSD=1                                      ; MSD digits to strip (usually 1 or 0)



[work]
exten => _0XXXXXXXXX,1,Dial(SIP/sfr-out/${EXTEN}) ;permet de passer des appels depuis votre serveur
exten => 301,1,Dial(SIP/${EXTEN})
exten => 301,1,Dial(SIP/${EXTEN})

[from-sfr]
exten => _.,1,Dial(SIP/301) ;avec XXXX = numéro de SIP que vous souhaitez en local (à configurer dans le fichier users.conf)

Voilà!

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: kdaffef91 le 22 janvier 2021 à 21:22:45

Bonsoir. @jb_LR, amis du forum,

En traduisant le tuto en langage freepbx comme j'ai pu, mais je n'y arrive pas :'(
Quelqu'un pourrait traduire en freepbx votre dernier poste ?

Merci1000 fois

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: G8U5 le 23 janvier 2021 à 09:45:50

Citation de: kdaffef91 le 22 janvier 2021 à 21:22:45

Bonsoir. @jb_LR, amis du forum,

En traduisant le tuto en langage freepbx comme j'ai pu, mais je n'y arrive pas :'(
Quelqu'un pourrait traduire en freepbx votre dernier poste ?

Merci1000 fois

Bonjour,

Votre installation n'a pas d'interface graphique ? comme ici ? --> https://www.bujarra.com/instalacion-de-freepbx-configuracion-basica/?lang=fr
La page suivante de ce site est intéressante également pour la config du trunk.

Premier site trouvé sur ggl

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: kdaffef91 le 23 janvier 2021 à 10:23:41

Bjr,

Si SI, je passe par l'interface Freepbx pour rentrer mes données. Ai enlevé la box et remplacé par Synology RT2600AC qui se connecte bien ave l'ip de la box san - tout le reseau fonctionne pcp plus rapide (900 down, 300 en up),

L'asterisk est installé avec l'interface freepbx sur un Raspeberry 4B qui fonctionne aussi bien avec d'autres lignes Ovh, mais pas avec la Sip de sfr :

voici mon trunk :

Code: [Sélectionner]

[sfr-out]
username=+33XXXXXXXXXX
type=friend
secret=motdepasse
remotesecret=motdepasse
qualify=yes
outboundproxy=trappes.p-cscf.sfr.net:5062
nat=yes
insecure=invite,port
host=trappes.p-cscf.sfr.net
fromuser=+33XXXXXXXXXX
fromdomain=ims.mnc010.mcc208.3gppnetwork.org
defaultuser=NDIXXXXXXXXXX.IZP.THD@sfr.fr
context=from-sfr
canreinvite=no
auth=NDIXXXXXXXXXX.IZP.THD@sfr.fr:motdepasse@ims.mnc010.mcc208.3gppnetwork.org

puis Register string :

Code: [Sélectionner]

+33XXXXXXXXXX@ims.mnc010.mcc208.3gppnetwork.org:motdepasse:NDIXXXXXXXXXX.IZP.THD@sfr.fr@trappes.p-cscf.sfr.net:5062

Du coté Freepbx, voir les infos asterisk
et l'enregistrement du SIP.

Jai crée une route sortante pour appeler en utilisant le trunk + une extension sip du reseau
Mais, ne peux toujours pas appeler comme le [sfr-out] est injoignable

Merci pour toute idée ++

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: G8U5 le 23 janvier 2021 à 10:35:09

Comment est votre extensions.conf?
Avez vous redirigé les ports rtp?
Comment est le début du sip.conf?

Aussi, chez moi, avec type=friend dans sfr-out, ça ne fonctionne pas. C'est pourquoi j'ai sfr-out et sfr-in type=peer et type=user. voir ma conf ci-dessus.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: kdaffef91 le 23 janvier 2021 à 10:59:56

Merci pour votre patience avec moi!
les sip.conf et extensions.conf sont générés automatiquement par freepbx, j'ai qq parametres ont été ajoutés à sip settings comme suit, mais extensions, n'a pas été touchée.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: G8U5 le 23 janvier 2021 à 14:13:51

Regardez bien mon extensions.conf, en lien avec sfr-out: dial.... SIP/sfr-out/number. Avec donc la route vers sfr-out.
Vous devriez vous intéresser fortement au fichier extensions.conf, c'est ce fichier qui dit par où et comment les appels doivent passer/fonctionner, prenant en charge également un tas d'applications, comme VoiceMail par exemple.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: kdaffef91 le 23 janvier 2021 à 14:32:01

Citation de: Jb_LR le 23 janvier 2021 à 14:13:51

Regardez bien mon extensions.conf, en lien avec sfr-out: dial.... SIP/sfr-out/number. Avec donc la route vers sfr-out.
Vous devriez vous intéresser fortement au fichier extensions.conf, c'est ce fichier qui dit par où et comment les appels doivent passer/fonctionner, prenant en charge également un tas d'applications, comme VoiceMail par exemple.

Merci encore pour la réponse, je recommence avec un serveur asterisk/freepbx vierge, et essaies d'appliquer vos consignes...

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: G8U5 le 23 janvier 2021 à 15:48:51

Vous n'étiez pas très loin!
Dans sip.conf, le trunk s'appelle sfr-out.
Vos users ont un context, par example "work"
Donc pour vos appels sortant, dans extensions.conf vous devez avoir une règle pour les numéros à 10 chiffres commençants par 0, qui devront passer par la route sfr-out pour appeler. C'est pour celà qu'on à :

Code: [Sélectionner]

[work]
exten => _0XXXXXXXXX,1,Dial(SIP/sfr-out/${EXTEN}) ;permet de passer des appels depuis votre serveur

Ici, tous les appels avec des numéros à 10 chiffres commençants par 0 vont lancer l'application Dial vers chan_sip->route->le numero appelé Dial(SIP/sfr-out/${EXTEN}).
[work] est le context renseigné dans vos users (users.conf).

Je pense qu'il ne vous manquait que cela.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: X-dark le 17 février 2021 à 10:24:57

Bonjour,

J'ai ce setup qui fonctionne très bien. Par contre depuis hier soir, je n'arrive plus à me connecter aux flux IPTV.

Avant de rencontrer ce problème, j'ai essayé de me connecter à toutes les IP des ranges utilisés par l'IPTV de SFR pour essayer de reconstruire une liste de flux (cf https://github.com/mbrentini/9boxtv/commit/6d7c1d0a3550ea31b80560df8a887d20048e8030 mais avec d'autres outils). Est-ce que vous pensez que ça pu déclencher une détection d'abus quelque part ? Une idée de comment revenir à la normale ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: X-dark le 17 février 2021 à 16:38:10

Bon il semblerait que je doive désormais mettre l'igmpproxy en "quickleave 0". Sinon, dès qu'un client se connecte puis se déconnecte, plus aucun flux de dispo jusqu'à redémarrage de l'igmpproxy avec quickleave désactivé. Très étrange.

edit: En fait, non. Le premier client qui se connecte fonctionne, on peut changer de chaine. Si on fait stop, impossible de se reconnecter avec le même client ou un autre. Il est nécessaire de redémarrer igmpproxy (plusieurs fois et/ou le laisser arrêté quelques secondes) pour que ça reparte pour un tour (avec les mêmes symptomes). J'ai remis le quickleave vu que ça n'a pas vraiment d'impact...

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: X-dark le 19 février 2021 à 09:22:07

Ma question n'a pas levé les foules mais je poste quand même ma solution. ;)
Je suis passé à udppxy plutôt que igmpproxy. Son principe est de rendre disponible en http le flux multicast.

La config est à peu près celle par défaut:

Code: [Sélectionner]

config udpxy
        option disabled '0' 
        option respawn '1' 
        option verbose '0' 
        option status '1' 
        option bind '192.168.1.1'
        option port '4022'

et il y a besoin de deux règles FW (la première était déjà présente chez moi) :

Code: [Sélectionner]

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-Multicast'
        option src      wan 
        option proto    udp 
        option dest_ip  224.0.0.0/4
        option family 'ipv4'
        option target   ACCEPT

J'ai ensuite simplement remplacé l'URL des flux. Par exemple rtp://233.136.0.203:7500/203 devient http://192.168.1.1:4022/rtp/233.136.0.203:7500

Plus d'infos ici : https://openwrt.org/docs/guide-user/network/wan/udp_multicast#multicast_streams_over_wifi_with_unicast_conversion_udpxy

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 19 février 2021 à 11:22:50

As tu essayé de simplement redémarrer le routeur et surtout ton PC (si sous Windows) ? J'ai remarqué pas mal de bug lié aux réseaux multicast sous Windows

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: X-dark le 19 février 2021 à 15:34:37

Non pas de Windows dans l'histoire. Mais oui reboot serveur et routeur.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: JulianCa le 06 mars 2021 à 19:21:57

Bonjour,

Tout d'abord un immense merci à @maximushugus pour ce tuto très complet, j'ai pu remplacer avec succès mon routeur NB6V et retrouver un réseau performant.

J'ai par contre un problème avec la partie TV, bien qu'ayant suivi le tuto à la lettre, VLC tourne dans le vide et les chaînes ne s'affichent pas.

Côté matériel, j'utilise un routeur Linksys WRT3200ACM avec OpenWRT + Luci en v19.07.

Igmpproxy est bien installé en v0.2.1-4

Voici mon fichier igmpproxy

Code: [Sélectionner]

config igmpproxy
        option quickleave 1
#       option verbose [0-3](none, minimal[default], more, maximum)

config phyint
        option network wan
        option zone wan
        option direction upstream
        list altnet 0.0.0.0/0

config phyint
        option network lan
        option zone lan
        option direction downstream

Et mon fichier network :

Code: [Sélectionner]

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'XXXXXXXX'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0.1'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option igmp_snooping '1'

config interface 'wan'
        option ifname 'eth1.2'
        option proto 'dhcp'
        option vendorid 'neufbox_NB6V-XXXX'

J'ai juste masque l'ula et les XXX de mon vendorid sont en réalité l'adresse MAC de ma NB6V, adresse MAC que j'ai d'ailleurs également donnée à mon interface WAN.

J'ai effectué un test avec un ordinateur sous Windows 10 via le WiFi et un test avec un oridi sous Mint en filaire et j'ai rebooté le routeur mais sans succès.

Est-ce que quelqu'un aurait une solution à m'apporter ?

Merci d'avance et bonne journée.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 06 mars 2021 à 20:30:09

Salut !
Plusieurs choses possible :

Rebooter le router (ce que tu as déja fait)
Rebooter les PC (sous Windows si plusieurs interface réseau il semble y avoir un bug dans la gestion de la métrique multicast au bout d'un certain temps et un redémarrage permet de remettre la métrique dans le bon ordre)
Est ce que tu as changé les règles de base du pare-feu d'OpenWrt ? Notamment est ce que la règle permettant d’accepter l'IGMP entrant depuis le wan vers le routeur est activée ?
Enfin, le plus probable à mon sens : il semble qu'il faille attendre le lendemain de l'installation d'un (nouveau) routeur perso pour avoir accès aux chaînes TV sur le réseau SFR. Est ce que ton installation date d'aujourd'hui ? En effet j'ai remarqué récemment, en réinstallant OpenWrt sur mon routeur qu'avec une configuration identique à celle qui fonctionnait quelques minutes plus tôt, cela ne fonctionnait plus. J'avais un peu cherché mais sans trouver, avec des captures Wireshark sur mon interface wan de mon routeur montrant les requêtes IGMP pour les chaînes demandées qui partaient bien sur le réseau SFR mais sans réponse. Et "comme par magie" le problème s'est solutionné vers 00h le soir de la (ré)installation. J'ai l'impression qu'à 00h, le "réseau" SFR actualise la liste des routeurs / neufbox branchées et accèpte de répondre à partir de là. A voir si demain ton installation est fonctionnelle, car de ce que tu as partagé sur ta configuration, cela devrait fonctionner

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: JulianCa le 06 mars 2021 à 21:45:35

Merci de ta réponse très rapide !

J'avais également reboot les deux PC effectivement j'avais oublié de le mentionner. ;)
Je n'ai pas touché la config de base d'Open WRT mais je viens de vérifier le firewall par acquit de conscience et la règle est bien en place.

Par contre... C'est effectivement une install toute fraîche que ce soit le flash du routeur où la config de ton tuto.

Je refais un test demain et je reviendrai dire ce qu'il en est.

Merci encore ! Bonne soirée !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: JulianCa le 07 mars 2021 à 17:40:10

Et bien effectivement, c'était bien ça ! J'ai commencé à recevoir les chaînes peu après minuit.
Il y en a plusieurs qui ne se lancent pas (toutes les versions HD mais c'est peut-être plus un problème matériel) mais aussi quelques classiques.
Mais ce n'est pas très grave, je pense que je vais continuer à utiliser Molotov qui fonctionne bien.

Merci encore !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 07 mars 2021 à 17:44:34

Ok merci pour le retour.
Donc il y a bien un système dans le réseau SFR qui détecte un nouveau matériel, indépendamment du vendor ID et de l'adresse mac (puisque tu avais configuré la même adresse mac que ta neufbox).
C'est étrange

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rican le 08 mars 2021 à 14:59:16

Bonjour,
Est-ce que parmi vous, certain sont passés à IPV6 ?
Car mon routeur ne l'est toujours pas, je suis toujours en IPV4.

Je suis chez RedBySFR avec une ligne fibre optique depuis plus de trois ans, et mon routeur/firewall est un XIAOMI Mi R3G.
J'ai bypassé la Box SFR le 17 janvier, et depuis, tout fonctionne parfaitement bien avec Openwrt en version 19.07.

Est-ce qu'il faut modifier un paramètre pour recevoir l'IPV6 ?
Par avance, merci pour votre aide.
Ricardo

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: JalaL le 11 mars 2021 à 11:18:06

Bonjour,

Est ce que le flux TV fonctionne toujours chez vous avec igmpproxy ?
Bon j'avoue j'ai pas gardé le setup par defaut, j'ai le LAN et WLAN sous different sous reseaux donc ils sont pas bridgés.
Par contre, j'ai créé un VLAN avec le port 3 du routeur, et le l'ai bridgé avec l'interface LAN pour pouvoir activer l'IGMP Spoofing.
Je branche mon PC sur le port 3 du routeur, je lance VLC avec a la playlist https://github.com/HugoPoi/9boxtv/raw/master/playlist_tv_sfr.m3u, mais aucune video

Merci pour votre aide.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 09 mai 2021 à 12:51:49

Bonjour à tous. Depuis quelques jours ne n'ai quasiment plus accès aux flux TV, que ce soit en multicast via IGMPproxy ou unicast via UDPxy.
Lorsque je fais une requête pour accéder au flux multicast, je vois bien, via une capture Wireshark sur l'interface wan de mon routeur que le groupe multicast de la chaine demandé est bien joint, mais pas de réponse du coté de SFR.

C'est étrange car parfois j'ai une chaîne (par exemple TF1 ou France2) qui se met à refonctionner puis quelques heures plus tard, plus rien.

Est ce que certains qui ont l'option TV chez SFR ont ce problème aussi ? SFR filtre les flux multicast à ceux ayant cette option ?

Edit : par exemple maintenant j'ai accès à TF1 en FHD mais à aucune autre chaine...

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: X-dark le 18 mai 2021 à 14:36:39

Bonjour, toujours OK chez moi avec udppxy (je n'ai pas retesté igmpproxy que je n'arrivais plus à faire fonctionner).

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 19 mai 2021 à 21:11:20

En réalité c'est toujours ok chez moi. Le problème venait d'un bug présent dans le script d'initialisation de programme IGMPproxy pour OpenWrt, que j'ai pu corriger.
J'ai envoyé une demande de correctif aux développeurs d'OpenWrt. Si certains veulent le correctif, je peux leur fournir ici.

En revanche j'ai une limite de 2 flux multicast que je peux récupérer simultanément : un 3ème n'est accessible qu'après avoir libéré un des 2 premiers. De mémoire il y a quelques mois je pouvais en récupérer simultanément plus que ça

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: X-dark le 20 mai 2021 à 09:58:42

Je suis intéressé. Un lien vers le bug report peut être ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 20 mai 2021 à 10:41:15

Citation de: X-dark le 20 mai 2021 à 09:58:42

Je suis intéressé. Un lien vers le bug report peut être ?

Je l'ai mis sur le forum mais il faudrait que je fasse un vrai bug report.
Voici la modification à faire sur le fichier /etc/init.d/igmpproxy :
La fonction igmp_add_phyint() doit être modifiée pour être comme cela :

Code: [Sélectionner]

igmp_add_phyint() {
	local network direction altnets device up

	config_get network $1 network
	config_get direction $1 direction
	config_get altnets $1 altnet
	config_get whitelists $1 whitelist

	local status="$(ubus -S call "network.interface.$network" status)"
	[ -n "$status" ] || return

	json_load "$status"
	json_get_var device l3_device
	json_get_var up up

	[ -n "$device" -a "$up" = "1" ] || {
		procd_append_param error "$network is not up"
		return;
	}

	append netdevs "$device"

	[[ "$direction" = "upstream" ]] && has_upstream=1

	echo -e "\nphyint $device $direction ratelimit 0 threshold 1" >> /var/etc/igmpproxy.conf

	if [ -n "$altnets" ]; then
		local altnet
		for altnet in $altnets; do
			echo -e "\taltnet $altnet" >> /var/etc/igmpproxy.conf
		done
	fi

	if [ -n "$whitelists" ]; then
		local whitelist
		for whitelist in $whitelists; do
			echo -e "\twhitelist $whitelist" >> /var/etc/igmpproxy.conf
        done
    fi
}

Ainsi les whitelists sont prise en compte depuis /etc/config/igmpproxy (après redémarrage de igmpproxy) qui est configuré comme cela chez moi pour ne faire des demande de multicast sur le réseau SFR uniquement pour les adresses correspondant aux chaines SFR :

Code: [Sélectionner]

config igmpproxy
	option quickleave 0
#	option verbose [0-3](none, minimal[default], more, maximum)

config phyint
	option network wan
	option zone wan
	option direction upstream
	list altnet 0.0.0.0/0
	list whitelist 233.32.36.0/24
	list whitelist 233.60.197.0/24
	list whitelist 233.49.82.0/24
	list whitelist 233.136.0.0/24
	list whitelist 233.136.44.0/24

config phyint
	option network lan
	option zone lan
	option direction downstream

En effet auparavant sans ces whitelist, IGMPproxy laissait passer des demandes de multicast du lan vers SFR sur d'autre adresses. Par exemple chez moi j'ai sur mon OpenWrt un server SAP qui présente la liste des chaines automatiquement sur le réseau via du multicast, et les demandes de mes périphériques à joindre SAP étaient transmises aussi sur le réseau SFR

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: thejul67 le 22 mai 2021 à 10:48:24

Bonjour et merci pour toutes ces explications concernant le bypass de la neufbox sur openwrt.

J'ai réussi à configurer un serveur asterisk sur mon routeur openwrt , je recois bien les appels , mais je n'arrive qu'as appeler certains numéros ..

Code: [Sélectionner]

;exten =>_0[12345679]XXXXXXXX,1,Dial(SIP/sfr-out/${EXTEN}) ;permet de passer des appels depuis votre serveurUn numero de portable fonctionne par exemple, par contre un numéro en 03 me donnera l'erreur suivante (le combiné sonne occupé):

Got SIP response 504 "Server Time-out" back from 77.136.7.29:5062

Il y a aussi le probleme des numéro court (par ex les numéro d'urgence ou les hotlines)...
J'ai essayé ça

Code: [Sélectionner]

exten =>_X.,1,Dial(SIP/sfr-out/${EXTEN}) ;permet de passer des appels depuis votre serveur mais j'obtiens les mêmes erreurs ...

Quelqu'un à une idée ?

Merci par avance

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: thejul67 le 26 mai 2021 à 18:20:39

Bon j'ai essayé plein de choses (codecs , extensions etc...) mais toujours ce problème de certains numéros (la plus part en fait) qui ne passent ...

Si j'essaie avec microsip (windows ) et un proxy siproxd sur mon routeur , tous les numéros fonctionnement .
C''est donc bien un pb de configuration asterisk.... mais quoi ??

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: jpsuter le 05 juillet 2021 à 15:25:26

Bonjour,
après bien des déboires, j'ai enfin réussi a tout configurer, mon routeur est un UBNT-ERX, sous openwrt 19.07.7
La plupart des solutions sont dans ce fil.
2 problèmes résolus en +:
pour la telephonie j'ai utiliser la solution 3CX sur un de mes raspberry pi, impossible de configurer asterisk malgré mes nombreuses tentatives
pour IPv6, voici 3 lignes a rajouter a la config du wan6
- option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
- option clientid '000300016035c0c05158'
- option request '17'
pour la tv, j'ai utiliser 'luci-nginx' (desinstaler luci avant), Ça permet d'avoir nginx, et de servir directement les config XML. la config igmpproxy avec les whitelist fonctionne, avec IGMP Snooping configurer sur mon switch.
:)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: X-dark le 05 juillet 2021 à 15:38:06

Citation de: jpsuter le 05 juillet 2021 à 15:25:26

pour la tv, j'ai utiliser 'luci-nginx' (desinstaler luci avant), Ça permet d'avoir nginx, et de servir directement les config XML. la config igmpproxy avec les whitelist fonctionne, avec IGMP Snooping configurer sur mon switch.
:)

Quels XML ? C'est pour brancher le boîtier TV ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: jpsuter le 06 juillet 2021 à 09:03:55

Exactement, si intéressé, je peux envoyer la config exacte en pm

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: lbls55 le 16 août 2021 à 19:58:31

Merci à tous ceux qui ont contribué à rendre ces solutions possibles.
Y a t'il une solution à appliquer pour avoir l'ipv6 fonctionnelle?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: frederic.moreau le 26 août 2021 à 08:18:06

Merci pour ce post qui m'a permis de mettre en place unn bypass RED IPv4+IPv6.
Pour l'IPv6, il faut lancer une requete dhcpv6. Dans l'interface WAN6 :

Protocole : DHCPv6
Request IPv6 address: Try
Client ID to send when requesting DHCP : 00030001+MAC de la box RED

C'est tout !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: sagittarius le 12 octobre 2021 à 17:21:20

Franchement, merci pour ce magnifique tuto.
Je viens de passer à la fibre RedBySfr et c'est parfait avec mon routeur OpenWrt d'autant que mon téléphone ip (Gigaset C470ip) fonctionne ainsi parfaitement. Me reste à changer de rooter pour un doté de ports Gigabit et de wifi ac.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: olitask le 06 janvier 2022 à 00:15:57

Bonjour

Nouveau par ici , Je ne sais pas si il faut ouvrir un nouveau thread.

Je viens d'acheter un routeur xiaomi 4a gbt et je l'ai passé sous OpenWrt 21.02.1 / LuCI openwrt-21.02
J'ai suivi le tuto de la page 1 et j'ai quelques soucis:
- ipv6 ne semble pas être actif . Je pensait que ce serait direct. Quels sont les fichiers à joindre pour vous donner les infos nécessaires ?
- ne faut-il pas activer asterisk ? j'ai pas l'impression qu'il soit actif ( et moi, à part systemd :-[ )
- J'ai pas encore testé les flux TV... mais j'ai quelques craintes

Olivier

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: olitask le 06 janvier 2022 à 23:00:50

Bonsoir
Je n'arrive toujours pas à me connecter à mon serveur sip asterisk
voila le log :

Code: [Sélectionner]

Thu Jan  6 22:34:10 2022 daemon.info asterisk[4011]: Asterisk cleanly ending (0).
Thu Jan  6 22:34:10 2022 daemon.info asterisk[4011]: Executing last minute cleanups
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [0mPBX UUID: 167b7083-4a27-4499-a7fd-3fb92f6c1d29
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;33mNOTICE[0m[4216]: [1;37mloader.c[0m:[1;37m2389[0m [1;37mload_modules[0m: 45 modules will be loaded.
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;33mNOTICE[0m[4216]: [1;37mcdr.c[0m:[1;37m4504[0m [1;37mcdr_toggle_runtime_options[0m: CDR simple logging enabled.
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;33mNOTICE[0m[4216]: [1;37mres_smdi.c[0m:[1;37m1424[0m [1;37mload_module[0m: No SMDI interfaces are available to listen on, not starting SMDI listener.
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;33mNOTICE[0m[4216]: [1;37mconfbridge/conf_config_parser.c[0m:[1;37m2376[0m [1;37mverify_default_profiles[0m: Adding default_menu menu to app_confbridge
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;31mWARNING[0m[4216]: [1;37mconfig.c[0m:[1;37m2036[0m [1;37mprocess_text_line[0m: No '=' (equal sign) in line 11 of /etc/asterisk/extensions.conf
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;31mWARNING[0m[4216]: [1;37mloader.c[0m:[1;37m2393[0m [1;37mload_modules[0m: Some non-required modules failed to load.
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;31mWARNING[0m[4216]: [1;37mloader.c[0m:[1;37m2493[0m [1;37mload_modules[0m: The deprecated module 'res_adsi.so' has been loaded and is running, it may be removed in a future version
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;31mWARNING[0m[4216]: [1;37mloader.c[0m:[1;37m2493[0m [1;37mload_modules[0m: The deprecated module 'app_macro.so' has been loaded and is running, it may be removed in a future version
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;31mERROR[0m[4216]: [1;37mloader.c[0m:[1;37m2508[0m [1;37mload_modules[0m: Error loading module 'res_rtp_asterisk.so': Error relocating /usr/lib/asterisk/modules/res_rtp_asterisk.so: ast_sockaddr_to_pj_sockaddr: symbol not found
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [Jan  6 21:34:16] [1;31mERROR[0m[4216]: [1;37mloader.c[0m:[1;37m2508[0m [1;37mload_modules[0m: cdr_syslog declined to load.
Thu Jan  6 22:34:16 2022 daemon.info asterisk[4216]: [1;32mAsterisk Ready.[0m
Thu Jan  6 22:34:36 2022 daemon.notice netifd: wan (2860): udhcpc: sending renew to 86.64.XXX.XXX
Thu Jan  6 22:34:36 2022 daemon.notice netifd: wan (2860): udhcpc: lease of 93.XXX.XX.XXX obtained, lease time 300
Thu Jan  6 22:36:16 2022 daemon.info asterisk[4216]: [Jan  6 21:36:16] [1;31mWARNING[0m[4231]: [1;37masterisk.c[0m:[1;37m3406[0m [1;37mcanary_thread[0m: The canary is no more.  He has ceased to be!  He's expired and gone to meet his maker!  He's a stiff!  Bereft of life, he rests in peace.  His metabolic processes are now history!  He's off the twig!  He's kicked the bucket.  He's shuffled off his mortal coil, run down the curtain, and joined the bleeding choir invisible!!  THIS is an EX-CANARY.  (Reducing priority)
Thu Jan  6 22:36:16 2022 daemon.info asterisk[4216]: [Jan  6 21:36:16] [1;31mWARNING[0m[4231]: [1;37masterisk.c[0m:[1;37m1781[0m [1;37mset_priority_all[0m: Unable to set regular thread priority on main thread

j'ai paramétré à l'identique du post de la page 1 sip.conf extensions.conf et users.conf

Olivier
Et sinon toujours pas de flux tv ni d'ipv6 :'(

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 07 janvier 2022 à 11:03:20

il faudrait jetter un oeil attentif a ces 2 lignes en erreur :

Citer

Thu Jan 6 22:34:16 2022 daemon.info asterisk[4216]: [Jan 6 21:34:16] [1;31mERROR[0m[4216]: [1;37mloader.c[0m:[1;37m2508[0m [1;37mload_modules[0m: Error loading module 'res_rtp_asterisk.so': Error relocating /usr/lib/asterisk/modules/res_rtp_asterisk.so: ast_sockaddr_to_pj_sockaddr: symbol not found
Thu Jan 6 22:34:16 2022 daemon.info asterisk[4216]: [Jan 6 21:34:16] [1;31mERROR[0m[4216]: [1;37mloader.c[0m:[1;37m2508[0m [1;37mload_modules[0m: cdr_syslog declined to load.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: olitask le 08 janvier 2022 à 21:58:47

Bonsoir

coté téléphone :
N'arrivant pas à faire fonctionner asterisk18 sur le routeur, je l'ai déplacé sur mon raspberry (en version 16). Maintenant, j'ai ce résultat :

Code: [Sélectionner]

[Jan  8 18:33:47] NOTICE[12657]: chan_sip.c:15981 sip_reg_timeout:    -- Registration for '+33321234567@trappes.p-cscf.sfr.net' timed out, trying again (Attempt #29)
[Jan  8 18:34:07] NOTICE[12657]: chan_sip.c:15981 sip_reg_timeout:    -- Registration for '+33321234567@trappes.p-cscf.sfr.net' timed out, trying again (Attempt #30)
raspberrypi*CLI> sip show users
Username                   Secret           Accountcode      Def.Context      ACL  Forcerport
sfr-in                                                       from-sfr         No   No        
302                        laure                             work             No   Yes       
301                        olivier                           work             No   Yes       
[Jan  8 18:34:27] NOTICE[12657]: chan_sip.c:15981 sip_reg_timeout:    -- Registration for '+33321234567@trappes.p-cscf.sfr.net' timed out, trying again (Attempt #31)

Bref, je ne parviens toujours pas à me connecter.
J'ai essayé avec zoiper5 mais j'ai pas eu plus de succès. J’hésite à acheter un c530ip, j'ai l'impression que c'est vraiment au petit bonheur la chance que ça fonctionne.

Coté TV :
Sinon, j'ai connecté le boîtier player de sfr sur le wifi, ça fonctionne "presque" : j'ai accès au replay de toutes les chaînes ainsi qu'aux services de streaming mais pas aux chaînes télé en direct.
J'ai aussi remarqué que dans la fenêtre de openwrt /état/graphique temps réel/connections, j'ai ca :

Code: [Sélectionner]

Réseau	Protocole	Source	Destination	Données
IPV4	TCP	192.168.1.176:55626	192.168.1.1:80	344.01 KiB (638 Pqts.)
IPV4	IGMP	192.168.1.1	224.0.0.1	90.22 KiB (2887 Pqts.)
IPV4	IGMP	192.168.1.1	224.0.0.2	79.44 KiB (2542 Pqts.)
IPV4	IGMP	192.168.1.1	224.0.0.22	78.94 KiB (2526 Pqts.)

C'est quoi ces paquets igmp qui vont sur 224.0.0. ? C'est peut être la raison pour laquelle je n'ai pas la TV ?

Bonne soirée Olivier

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 08 janvier 2022 à 22:38:47

Pour la TV je pense qu'il s'agit du bug dans le programme IGMPproxy et son implémentation dans OpenWrt (qui laisse passer des requete multicast locales) dont je parlais il y a quelques mois et corrigé comme ceci :

Citation de: maximushugus le 20 mai 2021 à 10:41:15

Je l'ai mis sur le forum mais il faudrait que je fasse un vrai bug report.
Voici la modification à faire sur le fichier /etc/init.d/igmpproxy :
La fonction igmp_add_phyint() doit être modifiée pour être comme cela :
Code: [Sélectionner]
igmp_add_phyint() { local network direction altnets device up config_get network $1 network config_get direction $1 direction config_get altnets $1 altnet config_get whitelists $1 whitelist local status="$(ubus -S call "network.interface.$network" status)" [ -n "$status" ] || return json_load "$status" json_get_var device l3_device json_get_var up up [ -n "$device" -a "$up" = "1" ] || { procd_append_param error "$network is not up" return; } append netdevs "$device" [[ "$direction" = "upstream" ]] && has_upstream=1 echo -e "\nphyint $device $direction ratelimit 0 threshold 1" >> /var/etc/igmpproxy.conf if [ -n "$altnets" ]; then local altnet for altnet in $altnets; do echo -e "\taltnet $altnet" >> /var/etc/igmpproxy.conf done fi if [ -n "$whitelists" ]; then local whitelist for whitelist in $whitelists; do echo -e "\twhitelist $whitelist" >> /var/etc/igmpproxy.conf done fi }
Ainsi les whitelists sont prise en compte depuis /etc/config/igmpproxy (après redémarrage de igmpproxy) qui est configuré comme cela chez moi pour ne faire des demande de multicast sur le réseau SFR uniquement pour les adresses correspondant aux chaines SFR :
Code: [Sélectionner]
config igmpproxy option quickleave 0 # option verbose [0-3](none, minimal[default], more, maximum) config phyint option network wan option zone wan option direction upstream list altnet 0.0.0.0/0 list whitelist 233.32.36.0/24 list whitelist 233.60.197.0/24 list whitelist 233.49.82.0/24 list whitelist 233.136.0.0/24 list whitelist 233.136.44.0/24 config phyint option network lan option zone lan option direction downstream
En effet auparavant sans ces whitelist, IGMPproxy laissait passer des demandes de multicast du lan vers SFR sur d'autre adresses. Par exemple chez moi j'ai sur mon OpenWrt un server SAP qui présente la liste des chaines automatiquement sur le réseau via du multicast, et les demandes de mes périphériques à joindre SAP étaient transmises aussi sur le réseau SFR

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 08 janvier 2022 à 22:39:44

Pour asterisk je n'ai malheureusement pas le temps de faire plus d'exploration, n'étant mois même plus avec un bypass OpenWrt mais un PfSense

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: olitask le 08 janvier 2022 à 22:56:25

Merci pour cette réponse, j’avais déjà appliqué ton patch sur les fichiers igmpproxy , (même si je n’ai pas compris de quoi il s’agissais exactement).

Du coup, la modif avec les whitelist est elle efficace ?

Bonne soirée

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 08 janvier 2022 à 23:32:01

Le moyen fiable pour vérifier c'est de faire une capture réseau avec Wireshark en se connectant en SSH à tcpdump préalablement installé sur le routeur et en enregistrant sur l'interface WAN (je ne sais pas si c'est clair ?)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: neonp le 09 janvier 2022 à 16:31:24

Bonjour a tous,

Je suis passe du câble au FTTH depuis quelques jours, et j'ai découvert par la même l'existence du CGNAT :'(... J'ai bien réussi mon bypass pour l’accès internet, mais je ne sais pas pour quelle raison, l'IPv6 ne marche pas avec mon routeur (wrt3200acm) alors que ça marche avec la box de SFR.

J'ai changé l'adresse MAC du port wan pour matcher avec celle de la box, et j'ai aussi testé le client id (adresse mac ou 00003000+adresse mac)

Une idée de ce que j'aurais pu rater ?

Merci

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: olitask le 09 janvier 2022 à 16:58:53

Rebonjour

J'ai fait une capture des paquets qui passent par le routeur, ( j'ai filtré les igmp ) . Je ne sais pas si c'est ce qu'il fallait faire. Je vois bien que l'une des ip de la whitelist apparaît... ( sinon j'ai découvert que 224.0.0.1 c'est pour le multicast ::) )

Si Maxim à le temps d'y jeter un coup d’œil ...

Bonne fin de week end Olivier

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 10 janvier 2022 à 11:26:32

Du coté de ton WAN visiblement les requêtes IGMP passent.
Est ce que du coté WAN du routeur tu reçois les paquets UDP des la chaîne ?
On dirait que c'est un problème du coté de ton LAN

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: olitask le 11 janvier 2022 à 14:29:05

Bonjour
Tout d'abord merci de t’intéresser au problème

Citer

Est ce que du coté WAN du routeur tu reçois les paquets UDP des la chaîne ?

Je ne sais pas quoi rechercher.
Je veux bien mettre les fichiers des captures complètes de wireshark sur les interfaces wan et wlan1 ( le wifi ou est connecté le player de sfr ou STB )

pour rappel sur le wan je vois passer :

Code: [Sélectionner]

1510 72.851342 1.1.1.1 224.0.0.1 IGMPv2 60 Membership Query, general
et sur le wlan1 :

Code: [Sélectionner]

1090	20.641896	192.168.1.174	239.255.255.250	IGMPv2	46	Membership Report group 239.255.255.250
1089	20.641810	192.168.1.174	239.255.255.250	IGMPv2	46	Membership Report group 239.255.255.250
1097	21.297804	192.168.1.174	224.0.0.251	IGMPv2	46	Membership Report group 224.0.0.251
1098	21.297894	192.168.1.174	224.0.0.251	IGMPv2	46	Membership Report group 224.0.0.251

192.168.1.174 est le STD, mais il y en a d'autres qui "écoutent"

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: zoc le 11 janvier 2022 à 16:02:52

IGMP c'est un protocole de signalisation, les flux TV ne sont pas transportés dans des paquets IGMP mais dans de l'UDP classique (qu'il faut donc éviter de bloquer avec le firewall).

Chez Orange par exemple, les flux TV sont dans de l'UDP avec le port destination 8200 ou 8202.

Manifestement la signalisation IGMP fonctionne (les Membership Report sur le port WAN). Il faut donc vérifier si suite à cette signalisation le routeur ne reçoit pas "plein" de paquets UDP.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: olitask le 11 janvier 2022 à 16:52:14

Bonjour

Sur l'interface wan, il y a beaucoup de paquets UDP tel celui ci dessous provenant de 216.58.204.142 , 142.250.178.132 ou 142.250.75.227 mais aucun ne fait parti de la whitelist de maximushugus ( ça devrait ? )

Code: [Sélectionner]

10011 601.015259 216.58.215.36 93.21.248.XXX UDP 1399 443 → 47628 Len=1357
EDit : rien à voir, c'est des ip de google

Sur le fichier d’écoute de whireshark pour l'interface wlan1, ces paquets n'apparaissent pas.

Je n'ai touché à rien dans les paramètres firewall d'openwrt.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: maximushugus le 11 janvier 2022 à 22:38:53

En multicast en gros l'idée c'est que les périphériques qui demandent un flux (ton PC, ta box TV etc), via ton routeur dans le cas présent (d'où l'utilisation d'IGMPproxy) font une requête en IGMP. Ce sont ces IP multicast pour requêtes IGMP qui sont dans la whitelist.
Du coté de l'infra SFR, lorsque leurs switch/routeurs reçoivent ces requêtes IGMP multicast depuis ton adresse IP (WAN), à ce moment là leur switch/routeurs envoient les flux UDP avec comme sources des IP diverses (qui ne font pas parti de la whitelist) et comme IP de destination l'IP multicast, mais ces packet sont distribués vers ton routeur.

Donc déja du coté WAN, lorsque tu demande un flux TV depuis ton PC, tu devrais voir plein de packets UDP avec comme source une IP quelconque et en destination l'IP multicast demandée

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: nicolinfo le 22 janvier 2022 à 12:32:23

Salut,

Ici j'ai un NB6VAC-FXC-r1 et routeur Xiaomi Redmi AC2100 avec OpenWrt 19.07.7.

Le tuto a fonctionné pour ma config, merci, mais j'ai à peu près les mêmes débits avec le routeur seul qu'avec le routeur derrière la box en DMZ (environ 700 Mbps download /500 Mbps upload et ma foi c'est déjà pas mal).

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: neonp le 01 février 2022 à 09:58:30

Citation de: neonp le 09 janvier 2022 à 16:31:24

Bonjour a tous,

Je suis passe du câble au FTTH depuis quelques jours, et j'ai découvert par la même l'existence du CGNAT :'(... J'ai bien réussi mon bypass pour l’accès internet, mais je ne sais pas pour quelle raison, l'IPv6 ne marche pas avec mon routeur (wrt3200acm) alors que ça marche avec la box de SFR.

J'ai changé l'adresse MAC du port wan pour matcher avec celle de la box, et j'ai aussi testé le client id (adresse mac ou 00003000+adresse mac)

Une idée de ce que j'aurais pu rater ?

Merci

Je me réponds a moi-même au cas ou ça pourrait aider quelqu'un: ne pas oublier d'activer les règles DHCPv6 du pare-feu sur l'interface ipv4 pour recevoir l'ipv6 :-X ::) :-[

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 01 février 2022 à 11:29:15

Citation de: neonp le 01 février 2022 à 09:58:30

Je me réponds a moi-même au cas ou ça pourrait aider quelqu'un: ne pas oublier d'activer les règles DHCPv6 du pare-feu sur l'interface ipv4 pour recevoir l'ipv6 :-X ::) :-[

Merci pour l'info !
si tu n'as rien fait de spécifique, tu pourrais nous poster ton /etc/config/firewall ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: neonp le 04 février 2022 à 10:02:05

Voila, voila :).

J'ai plusieurs vlans (pour iot, guest, lan, ...) que j'ai enlevé pour simplifier la config (de même que mes ouvertures de port vers l’extérieur).
Ici, mes 2 interfaces wan sont wanfibre et wanfibre6.

Code: [Sélectionner]

config defaults
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'lan'

config zone
        option name 'wanfibre'
        option output 'ACCEPT'
        option forward 'REJECT'
        option mtu_fix '1'
        option input 'REJECT'
        option log '1'
        list network 'wanfibre'

config rule
        option name 'Allow-DHCP-Renew'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'
        option src 'wanfibre'

config rule
        option name 'Allow-Ping'
        option proto 'icmp'
        option family 'ipv4'
        option target 'ACCEPT'
        list icmp_type 'echo-request'
        option src 'wanfibre'

config rule
        option name 'Allow-IGMP'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'
        option src 'wanfibre'

config rule
        option name 'Allow-DHCPv6'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wanfibre'
        list src_ip 'fc00::/6'
        list dest_ip 'fc00::/6'

config rule
        option name 'Allow-DHCPv6-2'
        option src 'wanfibre6'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option proto 'icmp'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wanfibre'
        list src_ip 'fe80::/10'

config rule
        option name 'Allow-ICMPv6-Input'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        list icmp_type 'bad-header'
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'
        list icmp_type 'echo-request'
        list icmp_type 'neighbour-advertisement'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'packet-too-big'
        list icmp_type 'router-advertisement'
        list icmp_type 'router-solicitation'
        list icmp_type 'time-exceeded'
        list icmp_type 'unknown-header-type'
        option src 'wanfibre'

config rule
        option name 'Allow-ICMPv6-Forward'
        option dest '*'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        list icmp_type 'bad-header'
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'
        list icmp_type 'echo-request'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'unknown-header-type'
        option src 'wanfibre'

config rule
        option name 'Allow-ICMPv6-Input-2'
        option src 'wanfibre6'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward-2'
        option src 'wanfibre6'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'
        option src 'wanfibre'

config rule
        option name 'Allow-ISAKMP'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'
        option src 'wanfibre'

config rule
        option name 'Support-UDP-Traceroute'
        option proto 'udp'
        option family 'ipv4'
        option target 'REJECT'
        option enabled '0'
        option src 'wanfibre'
        option dest_port '33434-33689'

config include
        option path '/etc/firewall.user'

config forwarding
        option src 'lan'
        option dest 'wanfibre'

config zone
        option name 'wanfibrev6'
        option output 'ACCEPT'
        option forward 'REJECT'
        option input 'REJECT'
        option family 'ipv6'
        list network 'wanfibre6'

config forwarding
        option src 'lan'
        option dest 'wanfibrev6'

config rule
        option name 'Allow Ping6'
        option family 'ipv6'
        list proto 'icmp'
        option target 'ACCEPT'
        option src 'wanfibrev6'

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 11 février 2022 à 18:31:35

Citation de: neonp le 04 février 2022 à 10:02:05

Voila, voila :).

J'ai plusieurs vlans (pour iot, guest, lan, ...) que j'ai enlevé pour simplifier la config (de même que mes ouvertures de port vers l’extérieur).
Ici, mes 2 interfaces wan sont wanfibre et wanfibre6.

Code: [Sélectionner]
config defaults option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' option synflood_protect '1' config zone option name 'lan' option input 'ACCEPT' option output 'ACCEPT' option forward 'REJECT' list network 'lan' config zone option name 'wanfibre' option output 'ACCEPT' option forward 'REJECT' option mtu_fix '1' option input 'REJECT' option log '1' list network 'wanfibre' config rule option name 'Allow-DHCP-Renew' option proto 'udp' option dest_port '68' option target 'ACCEPT' option family 'ipv4' option src 'wanfibre' config rule option name 'Allow-Ping' option proto 'icmp' option family 'ipv4' option target 'ACCEPT' list icmp_type 'echo-request' option src 'wanfibre' config rule option name 'Allow-IGMP' option proto 'igmp' option family 'ipv4' option target 'ACCEPT' option src 'wanfibre' config rule option name 'Allow-DHCPv6' option proto 'udp' option dest_port '546' option family 'ipv6' option target 'ACCEPT' option src 'wanfibre' list src_ip 'fc00::/6' list dest_ip 'fc00::/6' config rule option name 'Allow-DHCPv6-2' option src 'wanfibre6' option proto 'udp' option src_ip 'fc00::/6' option dest_ip 'fc00::/6' option dest_port '546' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-MLD' option proto 'icmp' option family 'ipv6' option target 'ACCEPT' option src 'wanfibre' list src_ip 'fe80::/10' config rule option name 'Allow-ICMPv6-Input' option proto 'icmp' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' list icmp_type 'bad-header' list icmp_type 'destination-unreachable' list icmp_type 'echo-reply' list icmp_type 'echo-request' list icmp_type 'neighbour-advertisement' list icmp_type 'neighbour-solicitation' list icmp_type 'packet-too-big' list icmp_type 'router-advertisement' list icmp_type 'router-solicitation' list icmp_type 'time-exceeded' list icmp_type 'unknown-header-type' option src 'wanfibre' config rule option name 'Allow-ICMPv6-Forward' option dest '*' option proto 'icmp' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' list icmp_type 'bad-header' list icmp_type 'destination-unreachable' list icmp_type 'echo-reply' list icmp_type 'echo-request' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'unknown-header-type' option src 'wanfibre' config rule option name 'Allow-ICMPv6-Input-2' option src 'wanfibre6' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' list icmp_type 'router-solicitation' list icmp_type 'neighbour-solicitation' list icmp_type 'router-advertisement' list icmp_type 'neighbour-advertisement' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-ICMPv6-Forward-2' option src 'wanfibre6' option dest '*' option proto 'icmp' list icmp_type 'echo-request' list icmp_type 'echo-reply' list icmp_type 'destination-unreachable' list icmp_type 'packet-too-big' list icmp_type 'time-exceeded' list icmp_type 'bad-header' list icmp_type 'unknown-header-type' option limit '1000/sec' option family 'ipv6' option target 'ACCEPT' config rule option name 'Allow-IPSec-ESP' option dest 'lan' option proto 'esp' option target 'ACCEPT' option src 'wanfibre' config rule option name 'Allow-ISAKMP' option dest 'lan' option dest_port '500' option proto 'udp' option target 'ACCEPT' option src 'wanfibre' config rule option name 'Support-UDP-Traceroute' option proto 'udp' option family 'ipv4' option target 'REJECT' option enabled '0' option src 'wanfibre' option dest_port '33434-33689' config include option path '/etc/firewall.user' config forwarding option src 'lan' option dest 'wanfibre' config zone option name 'wanfibrev6' option output 'ACCEPT' option forward 'REJECT' option input 'REJECT' option family 'ipv6' list network 'wanfibre6' config forwarding option src 'lan' option dest 'wanfibrev6' config rule option name 'Allow Ping6' option family 'ipv6' list proto 'icmp' option target 'ACCEPT' option src 'wanfibrev6'

Tu as donc réussi le bypass de la box en étant en ipv4 cgnat + ipv6 ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: neonp le 11 février 2022 à 21:33:06

Citation de: rqdb le 11 février 2022 à 18:31:35

Tu as donc réussi le bypass de la box en étant en ipv4 cgnat + ipv6 ?

Oui, tout a fait. :)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 11 février 2022 à 22:03:52

Citation de: neonp le 11 février 2022 à 21:33:06

Oui, tout a fait. :)

Merci de ta réponse. Je suis également en CGNAT (d'origine), mais impossible de bypasser avec un routeur SYNOLOGY. Je vais donc passer sur un routeur sous OpenWrt :)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: davinkevin le 24 février 2022 à 14:33:40

Désolé de faire un petit hijack de topic ici pour demander un peu d'aide pour la config IPv6 d'un UDM-Pro avec l'ONT SFR. Venant de passer en CGNAT, je souhaiterai retrouver la capacité d'hosting mes services à la maison… et l'IPv6 semble être une bonne (ou la moins mauvaise) solution.

J'ai tenté, en lisant tout le topic, de comprendre la configuration nécessaire au niveau de l'UDM Pro, mais je ne suis sûr de pas grand chose et ne sais pour l'instant pas comment récupérer ces informations.

@cetipabo m'a orienté vers ce thread (http://"https://lafibre.info/remplacer-sfr/comment-avoir-lipv6-sur-un-routeur-de-remplacement-sous-openwrt/msg931543/#msg931543") et spécialement vers @neonp pour avoir son fichier /etc/config/network qui pourrait m'aider.

Merci de votre aide

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 24 février 2022 à 14:50:17

je suis en ipv4 sans ipv6, donc je n'ai pas pu faire de test de mon coté, mais si on s'en réfère a ce message (https://lafibre.info/remplacer-sfr/ftth-tuto-bypass-complet-neufbox-avec-un-routeur-openwrt/msg879729/#msg879729)

Code: [Sélectionner]

pour IPv6, voici 3 lignes a rajouter a la config du wan6
 - option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
 - option clientid '000300016035c0c05158'
 - option request '17'

pour le clientid c'est 00030001+ adresse MAC de la BOX

Donc une option DHCP 17, qu'il faut demander. et deux options DHCP à envoyer.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: davinkevin le 24 février 2022 à 14:53:21

Merci @cetipabo pour ce lien, je le garde sous le coude.

En l'état je ne voie pas comment faire le mapping avec les champs proposés dans l'ihm de l'unifi 😢.

Je vais tenter de creuser sur les topics Freebox / Oranges pour voir un potentiel pattern. Si vous avez des infos, je suis preneur 👍.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 28 février 2022 à 17:11:49

Citation de: cetipabo le 24 février 2022 à 14:50:17

je suis en ipv4 sans ipv6, donc je n'ai pas pu faire de test de mon coté, mais si on s'en réfère a ce message (https://lafibre.info/remplacer-sfr/ftth-tuto-bypass-complet-neufbox-avec-un-routeur-openwrt/msg879729/#msg879729)
Code: [Sélectionner]
pour IPv6, voici 3 lignes a rajouter a la config du wan6 - option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970' - option clientid '000300016035c0c05158' - option request '17'
pour le clientid c'est 00030001+ adresse MAC de la BOX

Donc une option DHCP 17, qu'il faut demander. et deux options DHCP à envoyer.

Je viens de faire le test chez moi et cela ne fonctionne pas, je précise que je ne suis pas un expert des routeurs, du réseau et de OpenWRT. Je n'ai que l'IPV4 mais pas la V6, pourtant j'ai bien modifié le fichiers comme indiqué. Une idée ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 28 février 2022 à 17:55:59

@rqdb ta box SFR indique bien que tu as l'ipv6 ?

tu peux montrer le contenu de ton fichier /etc/config/network juste pour les 2 parties wan et wan6 ? et quel routeur et sur quelle version d'openWRT es-tu ?
après avoir modifié ton fichier, tu as bien lancé la commande /etc/init.d/network restart pour que la modif soit prise en considération ?

Chez moi c'est comme ça, mais comme dit plus haut je n'ai pas d'ipv6 donc jamais pu tester si c'est correct. Je me suis juste basé sur les infos trouvées. Et au passage ce serait bien que celui qui a une config full IPV4+ IPV6 nous poste son /etc/config/network qu'on puisse se caler dessus.

Code: [Sélectionner]

config interface 'wan'
	option device 'eth1'
	option proto 'dhcp'
	option peerdns '1'
	option reqopts '1 3 6 12 14 15 17 28 40 42'
	option vendorid 'neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p'
	option ipv6 '1'

config interface 'wan6'
	option ifname '@wan'
	option device 'eth1'
	option proto 'dhcpv6'
	option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
	option clientid '00030001XXXXXXXXXXXX'
	option reqopts '12 17 21 22 23 24 25 31 56 64 67 82 83'

je suis aussi en OpenWrt 21.02.x

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 28 février 2022 à 18:07:00

Citation de: cetipabo le 28 février 2022 à 17:55:59

@rqdb ta box SFR indique bien que tu as l'ipv6 ?

tu peux montrer le contenu de ton fichier /etc/config/network juste pour les 2 parties wan et wan6 ? et quel routeur et sur quelle version d'openWRT es-tu ?
après avoir modifié ton fichier, tu as bien lancé la commande /etc/init.d/network restart pour que la modif soit prise en considération ?

Je suis en IPV4 CGNAT + IPV6. L'IPV6 est entièrement fonctionnelle avec la SFR box.

J'utilise un routeur TP-Link Archer C7 v2 avec OpenWrt 21.02.2.

Voici la partie WAN et WAN6 du fichier /etc/config/network :

config interface 'wan'
option device 'eth0.2'
option proto 'dhcp'
option vendorid 'neufbox_NB6VAC-FXC'

config interface 'wan6'
option device 'eth0.2'
option proto 'dhcpv6'
option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
option clientid '00030001XXXXXXXXXXXX'
option request '17'
option reqaddress 'try'
option reqprefix 'auto'

J'ai bien lancé la commande afin que les modifs soient prises en compte mais cela n'a rien fait.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 28 février 2022 à 18:14:02

remplace ta MAC par des xxxxx dans ton message au dessus ;D

Sinon on dirait qu'il y a une erreur de syntaxe de ton coté pour la requete:
option request '17'
au lieu de
option reqopts

du coup tu me mets le doute...t'as vu au dessus, j'ai complété mon message.

EDIT:
c'est bon je confirme, c'est bien reqopts la bonne syntaxe.
https://openwrt.org/docs/guide-user/network/ipv6/configuration
https://openwrt.org/docs/guide-user/network/ipv4/configuration

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 28 février 2022 à 18:36:34

@neonp STP, tu pourrais nous montrer ta partie wan6 dans /etc/config/network ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 28 février 2022 à 19:52:04

Citation de: cetipabo le 28 février 2022 à 18:14:02

remplace ta MAC par des xxxxx dans ton message au dessus ;D

Sinon on dirait qu'il y a une erreur de syntaxe de ton coté pour la requete:
option request '17'
au lieu de
option reqopts

du coup tu me mets le doute...t'as vu au dessus, j'ai complété mon message.

EDIT:
c'est bon je confirme, c'est bien reqopts la bonne syntaxe.
https://openwrt.org/docs/guide-user/network/ipv6/configuration
https://openwrt.org/docs/guide-user/network/ipv4/configuration

Je viens de modifier la ligne mais cela ne fonctionne toujours pas.
@neonp partage une information sur ce post : https://lafibre.info/remplacer-sfr/ftth-tuto-bypass-complet-neufbox-avec-un-routeur-openwrt/msg924629/#msg924629
mais j'avoue ne pas tout comprendre :)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 28 février 2022 à 20:07:54

je ne suis que moyennement surpris que ca ne marche pas, car l'option dhcp 17 est une option demandée et non envoyée. je pense que tu es bon de ce coté maintenant.

Dans le post de @neonp il s'agit de sa configuration /etc/config/firewall

Lui visiblement dans son /etc/config/network au lieu de wan il a mis wanfibre
et au lieu de wan6 il a mis wanfibre6

du coup dans son /etc/config/firewall il faut remplacer les noms des interfaces comme cela:

Code: [Sélectionner]

config defaults
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'lan'

config zone
        option name 'wan'
        option output 'ACCEPT'
        option forward 'REJECT'
        option mtu_fix '1'
        option input 'REJECT'
        option log '1'
        list network 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'
        option src 'wan'

config rule
        option name 'Allow-Ping'
        option proto 'icmp'
        option family 'ipv4'
        option target 'ACCEPT'
        list icmp_type 'echo-request'
        option src 'wan'

config rule
        option name 'Allow-IGMP'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'
        option src 'wan'

config rule
        option name 'Allow-DHCPv6'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wan'
        list src_ip 'fc00::/6'
        list dest_ip 'fc00::/6'

config rule
        option name 'Allow-DHCPv6-2'
        option src 'wan6'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option proto 'icmp'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wan'
        list src_ip 'fe80::/10'

config rule
        option name 'Allow-ICMPv6-Input'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        list icmp_type 'bad-header'
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'
        list icmp_type 'echo-request'
        list icmp_type 'neighbour-advertisement'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'packet-too-big'
        list icmp_type 'router-advertisement'
        list icmp_type 'router-solicitation'
        list icmp_type 'time-exceeded'
        list icmp_type 'unknown-header-type'
        option src 'wan'

config rule
        option name 'Allow-ICMPv6-Forward'
        option dest '*'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        list icmp_type 'bad-header'
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'
        list icmp_type 'echo-request'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'unknown-header-type'
        option src 'wan'

config rule
        option name 'Allow-ICMPv6-Input-2'
        option src 'wan6'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward-2'
        option src 'wan6'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'
        option src 'wan'

config rule
        option name 'Allow-ISAKMP'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'
        option src 'wan'

config rule
        option name 'Support-UDP-Traceroute'
        option proto 'udp'
        option family 'ipv4'
        option target 'REJECT'
        option enabled '0'
        option src 'wan'
        option dest_port '33434-33689'

config include
        option path '/etc/firewall.user'

config forwarding
        option src 'lan'
        option dest 'wan'

config zone
        option name 'wanfibrev6'
        option output 'ACCEPT'
        option forward 'REJECT'
        option input 'REJECT'
        option family 'ipv6'
        list network 'wan6'

config forwarding
        option src 'lan'
        option dest 'wanfibrev6'

config rule
        option name 'Allow Ping6'
        option family 'ipv6'
        list proto 'icmp'
        option target 'ACCEPT'
        option src 'wanfibrev6'

et ensuite faire un /etc/init.d/firewall restart

Dis mois si ca marche ? fait une sauvegarde de ton fichier avant modif, on sait jamais.

Pour voir si l'ipv6 est monté, tu fais un ifstatus wan6, ce qui devrait t'indiquer si ca marche un "up": true,

Chez moi, ca donne ca, car pas d'ipv6.

Code: [Sélectionner]

root@box:~# ifstatus wan6
{
        "up": false,
        "pending": true,
        "available": true,
        "autostart": true,
        "dynamic": false,
        "proto": "dhcpv6",
        "device": "eth1",
        "data": {

        }
}
root@box:~#

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 28 février 2022 à 22:02:33

Je viens de vérifier et hormis les paramètres propres à la config de @neonp il n'y a presque aucune différences.
J'ai modifié quelques informations qui m'ont mit la pagaille, du coup je suis revenu en arrière mais je n'ai toujours pas d'ipv6.
L'adresse MAC à rentrer est bien celle notée sur la box non ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 28 février 2022 à 22:07:40

Citation de: rqdb le 28 février 2022 à 22:02:33

L'adresse MAC à rentrer est bien celle notée sur la box non ?

oui, mais en théorie même en mettant une mac différente de celle de la box ca ne devrait pas poser problème. ce sont les options 60 en ipv4 et 16 en ipv6 qui sont importantes.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 28 février 2022 à 22:18:26

Bon il y a un truc qui m'interpelle dans la doc : https://openwrt.org/docs/guide-user/network/ipv6/configuration

si on regarde le type pour clientid, c'est hexstring. ce qui semble bien OK, on a bien une chaine hexa:
option clientid '00030001XXXXXXXXXXXX'

par contre pour vendorclass, c'est indiqué string et pas hexstring...alors que nous on met une chaine hexa...et je vois mal comment on pourrait faire autrement car au début de la chaine "neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p" il y a des caractères non ascii (0000a00c0041) enfin a part le dernier, mais il ne fait pas parti de la chaine "neufbox....."

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 28 février 2022 à 22:50:31

il faudrait tenter un :

Code: [Sélectionner]

option sendopts '16:0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'

au lieu de

Code: [Sélectionner]

option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 28 février 2022 à 22:57:22

je viens de tester ta dernière proposition et malheureusement cela ne fonctionne pas.
Je laisse tomber pour ce soir et demain (télétravail de madame).
Merci beaucoup pour ton aide !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 28 février 2022 à 23:01:29

si avec l'option sendopts ca ne marche pas c'est qu'il y a un problème ailleurs.
comment vérifies-tu que ca marche ou pas ? car c'est ta box qui récupère une ipv6, après pour distribuer des ipv6 a ton réseau local je pense qu'il faut aussi configurer le /etc/config/dhcp
et tant que c'est pas fait, ton PC n'aura pas une ipv6. du coup il n'y a que la commande ifstatus wan6 qui pourra dire a coup sur si une ipv6 est attribuée a la box.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 01 mars 2022 à 07:36:08

Citation de: cetipabo le 28 février 2022 à 23:01:29

si avec l'option sendopts ca ne marche pas c'est qu'il y a un problème ailleurs.
comment vérifies-tu que ca marche ou pas ? car c'est ta box qui récupère une ipv6, après pour distribuer des ipv6 a ton réseau local je pense qu'il faut aussi configurer le /etc/config/dhcp
et tant que c'est pas fait, ton PC n'aura pas une ipv6. du coup il n'y a que la commande ifstatus wan6 qui pourra dire a coup sur si une ipv6 est attribuée a la box.

Je vérifie avec la commande ifstatus wan6.

Voici ma config firewall : La ligne rouge, je l'ai supprimée lors d'essais et elle m'a empêché d'avoir l'ipv4.

config defaults
option syn_flood '1'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'

config zone
option name 'lan'
list network 'lan'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'

config zone
option name 'wan'
list network 'wan'
list network 'wan6'
option input 'REJECT'
option output 'ACCEPT'
option forward 'REJECT'
option masq '1'
option mtu_fix '1'

config forwarding
option src 'lan'
option dest 'wan'

config rule
option name 'Allow-DHCP-Renew'
option src 'wan'
option proto 'udp'
option dest_port '68'
option target 'ACCEPT'
option family 'ipv4'

config rule
option name 'Allow-Ping'
option src 'wan'
option proto 'icmp'
option icmp_type 'echo-request'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-IGMP'
option src 'wan'
option proto 'igmp'
option family 'ipv4'
option target 'ACCEPT'

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option dest_port '546'
option target 'ACCEPT'
list src_ip 'fc00::/6'
list dest_ip 'fc00::/6'

config rule
option name 'Allow-MLD'
option src 'wan'
option proto 'icmp'
option src_ip 'fe80::/10'
list icmp_type '130/0'
list icmp_type '131/0'
list icmp_type '132/0'
list icmp_type '143/0'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Input'
option src 'wan'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
list icmp_type 'router-solicitation'
list icmp_type 'neighbour-solicitation'
list icmp_type 'router-advertisement'
list icmp_type 'neighbour-advertisement'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-ICMPv6-Forward'
option src 'wan'
option dest '*'
option proto 'icmp'
list icmp_type 'echo-request'
list icmp_type 'echo-reply'
list icmp_type 'destination-unreachable'
list icmp_type 'packet-too-big'
list icmp_type 'time-exceeded'
list icmp_type 'bad-header'
list icmp_type 'unknown-header-type'
option limit '1000/sec'
option family 'ipv6'
option target 'ACCEPT'

config rule
option name 'Allow-IPSec-ESP'
option src 'wan'
option dest 'lan'
option proto 'esp'
option target 'ACCEPT'

config rule
option name 'Allow-ISAKMP'
option src 'wan'
option dest 'lan'
option dest_port '500'
option proto 'udp'
option target 'ACCEPT'

config rule
option name 'Support-UDP-Traceroute'
option src 'wan'
option dest_port '33434:33689'
option proto 'udp'
option family 'ipv4'
option target 'REJECT'
option enabled '0'

config include
option path '/etc/firewall.user'

Résultat de ifstatus wan 6

root@OpenWrt:~# ifstatus wan6
{
"up": false,
"pending": true,
"available": true,
"autostart": true,
"dynamic": false,
"proto": "dhcpv6",
"device": "eth0.2",
"data": {

}

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 01 mars 2022 à 13:14:00

je viens de voir avec @neonp par MP.
d'après ses infos, de mon côté ca donnerait ca pour /etc/config/network :

Code: [Sélectionner]

config interface 'wan'
	option device 'eth1'
	option proto 'dhcp'
	option peerdns '1'
	option reqopts '1 3 6 12 14 15 17 28 40 42'
	option vendorid 'neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p'
	option ipv6 '1'

config interface 'wan6'
	option ifname '@wan'
	option device 'eth1'
	option peerdns '1'
	option proto 'dhcpv6'
	option reqprefix 'auto'
	option ip6assign '64'
	option reqaddress 'try'
	option sendopts '16:0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
	option clientid '00030001XXXXXXXXXXXX'
	option reqopts '12 17 21 22 23 24 25 31 56 64 67 82 83'

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 01 mars 2022 à 14:25:05

J'essaye ce soir et je reviens vers toi. Merci pour ton aide !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 01 mars 2022 à 22:10:01

Bon, et bien ça ne veut toujours pas...

De mon côté j'ai essayé de toucher à certaines options mais rien n'y fait.

Voici mon /ect/config/network au cas ou il y aurait quelque chose qui cloche :

config interface 'loopback'
option device 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config globals 'globals'
option ula_prefix 'fdad:c8ff:4333::/48'

config device
option name 'br-lan'
option type 'bridge'
list ports 'eth1.1'

config interface 'lan'
option device 'br-lan'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '60'

config interface 'wan'
option device 'eth0.2'
option proto 'dhcp'
option vendorid 'neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p'
option reqopts '1 3 6 12 14 15 17 28 40 42'

config interface 'wan6'
option device 'eth0.2'
option proto 'dhcpv6'
option reqprefix 'auto'
option clientid '00030001XXXXXXXXXXXX'
option reqaddress 'try'
option ip6assign '64'
option reqopts '12 17 21 22 23 24 25 31 56 64 67 82 83'
option sendopts '16:0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'

config switch
option name 'switch0'
option reset '1'
option enable_vlan '1'

config switch_vlan
option device 'switch0'
option vlan '1'
option ports '2 3 4 5 0t'

config switch_vlan
option device 'switch0'
option vlan '2'
option ports '1 6t'

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 02 mars 2022 à 09:24:37

Ca manque de gens concernés pour faire avancer le shmilblick...tant que je n'aurai pas d'ipv6 je ne serai pas d'un grand secours malheureusement.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 02 mars 2022 à 10:03:44

Merci pour ton aide en tout cas !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: davinkevin le 02 mars 2022 à 10:58:24

Juste pour information, en faisant le forcing au niveau du support client SFR, j'ai pu avoir un retour en IPv4 full stack. Ils ont été super efficaces et sur le coup cette fois ci 👍.

Cependant, je ne trouve toujours pas de moyen de faire de l'IPv6 au niveau de l'UDM pro 😢.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 02 mars 2022 à 11:19:44

Citation de: davinkevin le 02 mars 2022 à 10:58:24

Juste pour information, en faisant le forcing au niveau du support client SFR, j'ai pu avoir un retour en IPv4 full stack. Ils ont été super efficaces et sur le coup cette fois ci 👍.

Cependant, je ne trouve toujours pas de moyen de faire de l'IPv6 au niveau de l'UDM pro 😢.

tu es passé en IPV4 + IPV6 ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: davinkevin le 02 mars 2022 à 11:56:11

D'après le service tech SFR, oui.

De mon côté, n'ayant pas "envie" de rebrancher la box pour vérifier pour l'instant, je ne peux pas te dire 🤷‍♂️.
En tout cas, je ne suis plus en CG-NAT.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 02 mars 2022 à 13:13:36

Citation de: davinkevin le 02 mars 2022 à 10:58:24

Juste pour information, en faisant le forcing au niveau du support client SFR, j'ai pu avoir un retour en IPv4 full stack. Ils ont été super efficaces et sur le coup cette fois ci 👍.

Cependant, je ne trouve toujours pas de moyen de faire de l'IPv6 au niveau de l'UDM pro 😢.

Dans mon cas je suis nouvel abonné et directement en IPV4 CGNAT + IPV6, du tout impossible d'avoir une IPV4.
Pour l'IPV6 sur ton routeur le problème doit avoir la même origine que sur le mien. On va trouver :)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: thedark le 02 mars 2022 à 13:16:10

Il faut faire un wireshark pour trouver le trame DHCP V6 à mettre

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 02 mars 2022 à 13:22:09

Citation de: thedark le 02 mars 2022 à 13:16:10

Il faut faire un wireshark pour trouver le trame DHCP V6 à mettre

je dirais meme plus : toutes les options DHCP à envoyer, car il n'est pas impossible que ce ne soit pas celles que l'on croit qui soient necessaire en ipv6.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 02 mars 2022 à 14:13:22

Citation de: thedark le 02 mars 2022 à 13:16:10

Il faut faire un wireshark pour trouver le trame DHCP V6 à mettre

c'est fait depuis quelques temps mais je l'avais utilisé pour l'IPV4 principalement. Voici sur le résultat du DHCPV6

Frame 219: 212 bytes on wire (1696 bits), 212 bytes captured (1696 bits) on interface \Device\NPF_{80ED2C8F-4495-483D-B9F6-A1AEECD25950}, id 0
Interface id: 0 (\Device\NPF_{80ED2C8F-4495-483D-B9F6-A1AEECD25950})
Interface name: \Device\NPF_{80ED2C8F-4495-483D-B9F6-A1AEECD25950}
Interface description: Ethernet 3
Encapsulation type: Ethernet (1)
Arrival Time: Feb 10, 2022 09:45:05.282599000 Paris, Madrid
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1644482705.282599000 seconds
[Time delta from previous captured frame: 0.266378000 seconds]
[Time delta from previous displayed frame: 0.266378000 seconds]
[Time since reference or first frame: 59.741564000 seconds]
Frame Number: 219
Frame Length: 212 bytes (1696 bits)
Capture Length: 212 bytes (1696 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:ipv6:udp:dhcpv6]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Ethernet II, Src: Sfr_ec:10:27 (e4:5d:51:ec:10:27), Dst: IPv6mcast_01:00:02 (33:33:00:01:00:02)
Destination: IPv6mcast_01:00:02 (33:33:00:01:00:02)
Address: IPv6mcast_01:00:02 (33:33:00:01:00:02)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: Sfr_ec:10:27 (e4:5d:51:ec:10:27)
Address: Sfr_ec:10:27 (e4:5d:51:ec:10:27)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: IPv6 (0x86dd)
Internet Protocol Version 6, Src: fe80::e65d:51ff:feec:1027, Dst: ff02::1:2
0110 .... = Version: 6
.... 1011 0100 .... .... .... .... .... = Traffic Class: 0xb4 (DSCP: Unknown, ECN: Not-ECT)
.... 1011 01.. .... .... .... .... .... = Differentiated Services Codepoint: Unknown (45)
.... .... ..00 .... .... .... .... .... = Explicit Congestion Notification: Not ECN-Capable Transport (0)
.... 0000 0000 0000 0000 0000 = Flow Label: 0x00000
Payload Length: 158
Next Header: UDP (17)
Hop Limit: 1
Source Address: fe80::e65d:51ff:feec:1027
Destination Address: ff02::1:2
[Source SLAAC MAC: Sfr_ec:10:27 (e4:5d:51:ec:10:27)]
User Datagram Protocol, Src Port: 546, Dst Port: 547
Source Port: 546
Destination Port: 547
Length: 158
Checksum: 0xacd1 [unverified]
[Checksum Status: Unverified]
[Stream index: 31]
[Timestamps]
[Time since first frame: 28.995958000 seconds]
[Time since previous frame: 19.997068000 seconds]
UDP payload (150 bytes)
DHCPv6
Message type: Solicit (1)
Transaction ID: 0x722b44
Elapsed time
Option: Elapsed time (8)
Length: 2
Elapsed time: 29000ms
Option Request
Option: Option Request (6)
Length: 2
Requested Option code: DNS recursive name server (23)
Client Identifier
Option: Client Identifier (1)
Length: 10
DUID: 00030001e45d51ec1028
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: e4:5d:51:ec:10:28
Vendor Class
Option: Vendor Class (16)
Length: 71
Enterprise ID: SFR (40972)
vendor-class-data: neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 41
IAID: 00000001
T1: 0
T2: 0
IA Prefix
Option: IA Prefix (26)
Length: 25
Preferred lifetime: 0
Valid lifetime: 0
Prefix length: 0
Prefix address: ::

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: thedark le 02 mars 2022 à 14:28:49

OK et ta configuration IPV6 ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 02 mars 2022 à 14:37:01

Citation de: thedark le 02 mars 2022 à 14:28:49

OK et ta configuration IPV6 ?

J'ai testé plusieurs variantes, mais la dernière testée était celle-ci https://lafibre.info/remplacer-sfr/ftth-tuto-bypass-complet-neufbox-avec-un-routeur-openwrt/msg932794/#msg932794

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 02 mars 2022 à 14:38:56

on voit 3 options DHCP envoyées:
Client Identifier (1)
Vendor Class (16)
Identity Association for Prefix Delegation (25) <-- celle-ci je ne vois pas trop comment elle est forgée.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 02 mars 2022 à 15:18:51

Citation de: cetipabo le 02 mars 2022 à 14:38:56

on voit 3 options DHCP envoyées:
Client Identifier (1)
Vendor Class (16)
Identity Association for Prefix Delegation (25) <-- celle-ci je ne vois pas trop comment elle est forgée.

J'ai trouvé un lien qui détaille les différentes options du protocole DHCPV6 : http://www.networksorcery.com/enp/protocol/dhcpv6.htm <- mais je n'y comprends pas grand chose

N'est-il pas possible d'envoyer la copie de la trame de la box SFR à l'ONT ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: didjee34 le 09 mars 2022 à 11:53:36

Hello !

Je suis moi aussi en FTTH IPv4 CGNAT + IPv6, mais avec une BOX 8. Donc impossible de capturer quoique ce soit de mon côté, mais le sujet m'intéresse.

J'ai un SFP+ Nokia G-010S-P qui à l'air de s'authentifier correctement avec un 05 state, mais j'ai beau tenter un setup OpnSense, ou OpenWRT derrière j'ai NADA en IPv6.

Je suis intéressé du coup si on arrive à trouver les bons paramètres pour le WAN IPv6 si on est en IPv4 CGNAT.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 09 mars 2022 à 18:08:41

Des nouvelles du jour, voici les échanges entre la NB6 et le réseau fibre lors sur le protocole DHCPV6 :

Solicit :

Frame 113: 212 bytes on wire (1696 bits), 212 bytes captured (1696 bits) on interface \Device\NPF_{1566D280-B0A3-4D0D-BCF1-B39EC6D26585}, id 0
Ethernet II, Src: Sfr_ec:10:27 (e4:5d:51:ec:10:27), Dst: IPv6mcast_01:00:02 (33:33:00:01:00:02)
Internet Protocol Version 6, Src: fe80::e65d:51ff:feec:1027, Dst: ff02::1:2
User Datagram Protocol, Src Port: 546, Dst Port: 547
DHCPv6
Message type: Solicit (1)
Transaction ID: 0xbc73e5
Elapsed time
Option: Elapsed time (8)
Length: 2
Elapsed time: 0ms
Option Request
Option: Option Request (6)
Length: 2
Requested Option code: DNS recursive name server (23)
Client Identifier
Option: Client Identifier (1)
Length: 10
DUID: 00030001e45d51ec1028
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: e4:5d:51:ec:10:28
Vendor Class
Option: Vendor Class (16)
Length: 71
Enterprise ID: SFR (40972)
vendor-class-data: neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 41
IAID: 00000001
T1: 0
T2: 0
IA Prefix
Option: IA Prefix (26)
Length: 25
Preferred lifetime: 0
Valid lifetime: 0
Prefix length: 0
Prefix address: ::

Advertise :

Frame 114: 175 bytes on wire (1400 bits), 175 bytes captured (1400 bits) on interface \Device\NPF_{1566D280-B0A3-4D0D-BCF1-B39EC6D26585}, id 0
Ethernet II, Src: Nokia_9c:57:73 (a4:7b:2c:9c:57:73), Dst: Sfr_ec:10:27 (e4:5d:51:ec:10:27)
Internet Protocol Version 6, Src: fe80::5555, Dst: fe80::e65d:51ff:feec:1027
User Datagram Protocol, Src Port: 547, Dst Port: 546
DHCPv6
Message type: Advertise (2)
Transaction ID: 0xbc73e5
Server Identifier
Option: Server Identifier (2)
Length: 10
DUID: 00030001a47b2c9c5601
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: a4:7b:2c:9c:56:01
Client Identifier
Option: Client Identifier (1)
Length: 10
DUID: 00030001e45d51ec1028
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: e4:5d:51:ec:10:28
DNS recursive name server
Option: DNS recursive name server (23)
Length: 32
1 DNS server address: 2a02:8400::6001
2 DNS server address: 2a02:8400::6000
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 41
IAID: 00000001
T1: 1800
T2: 2880
IA Prefix

Request :

Frame 127: 226 bytes on wire (1808 bits), 226 bytes captured (1808 bits) on interface \Device\NPF_{1566D280-B0A3-4D0D-BCF1-B39EC6D26585}, id 0
Ethernet II, Src: Sfr_ec:10:27 (e4:5d:51:ec:10:27), Dst: IPv6mcast_01:00:02 (33:33:00:01:00:02)
Internet Protocol Version 6, Src: fe80::e65d:51ff:feec:1027, Dst: ff02::1:2
User Datagram Protocol, Src Port: 546, Dst Port: 547
DHCPv6
Message type: Request (3)
Transaction ID: 0x72205a
Elapsed time
Option: Elapsed time (8)
Length: 2
Elapsed time: 0ms
Option Request
Option: Option Request (6)
Length: 2
Requested Option code: DNS recursive name server (23)
Client Identifier
Option: Client Identifier (1)
Length: 10
DUID: 00030001e45d51ec1028
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: e4:5d:51:ec:10:28
Server Identifier
Option: Server Identifier (2)
Length: 10
DUID: 00030001a47b2c9c5601
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: a4:7b:2c:9c:56:01
Vendor Class
Option: Vendor Class (16)
Length: 71
Enterprise ID: SFR (40972)
vendor-class-data: neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 41
IAID: 00000001
T1: 0
T2: 0
IA Prefix
Option: IA Prefix (26)
Length: 25
Preferred lifetime: 0
Valid lifetime: 0
Prefix length: 56
Prefix address: 2a02:8428:19cc:2d00::

Reply :

Frame 128: 175 bytes on wire (1400 bits), 175 bytes captured (1400 bits) on interface \Device\NPF_{1566D280-B0A3-4D0D-BCF1-B39EC6D26585}, id 0
Ethernet II, Src: Nokia_9c:57:73 (a4:7b:2c:9c:57:73), Dst: Sfr_ec:10:27 (e4:5d:51:ec:10:27)
Internet Protocol Version 6, Src: fe80::5555, Dst: fe80::e65d:51ff:feec:1027
User Datagram Protocol, Src Port: 547, Dst Port: 546
DHCPv6
Message type: Reply (7)
Transaction ID: 0x72205a
Server Identifier
Option: Server Identifier (2)
Length: 10
DUID: 00030001a47b2c9c5601
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: a4:7b:2c:9c:56:01
Client Identifier
Option: Client Identifier (1)
Length: 10
DUID: 00030001e45d51ec1028
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: e4:5d:51:ec:10:28
DNS recursive name server
Option: DNS recursive name server (23)
Length: 32
1 DNS server address: 2a02:8400::6001
2 DNS server address: 2a02:8400::6000
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 41
IAID: 00000001
T1: 1800
T2: 2880
IA Prefix
Option: IA Prefix (26)
Length: 25
Preferred lifetime: 3600
Valid lifetime: 86400
Prefix length: 56
Prefix address: 2a02:8428:19cc:2d00::

La partie IA Prefix est absente dans la trame sous OpenWrt.

Frame 124: 239 bytes on wire (1912 bits), 239 bytes captured (1912 bits) on interface \Device\NPF_{1566D280-B0A3-4D0D-BCF1-B39EC6D26585}, id 0
Ethernet II, Src: Tp-LinkT_df:00:5e (a4:2b:b0:df:00:5e), Dst: IPv6mcast_01:00:02 (33:33:00:01:00:02)
Internet Protocol Version 6, Src: fe80::a62b:b0ff:fedf:5e, Dst: ff02::1:2
User Datagram Protocol, Src Port: 546, Dst Port: 547
DHCPv6
Message type: Solicit (1)
Transaction ID: 0x9fec20
Elapsed time
Option: Elapsed time (8)
Length: 2
Elapsed time: 1070ms
Option Request
Option: Option Request (6)
Length: 24
Requested Option code: SIP Server Domain Name List (21)
Requested Option code: SIP Servers IPv6 Address List (22)
Requested Option code: DNS recursive name server (23)
Requested Option code: Domain Search List (24)
Requested Option code: Simple Network Time Protocol Server (31)
Requested Option code: NTP Server (56)
Requested Option code: Dual-Stack Lite AFTR Name (64)
Requested Option code: Prefix Exclude (67)
Requested Option code: S46 MAP-E Container (94)
Requested Option code: S46 MAP-T Container (95)
Requested Option code: S46 Lightweight 4over6 Container (96)
Requested Option code: SOL_MAX_RT (82)
Client Identifier
Option: Client Identifier (1)
Length: 10
DUID: 00030001e45d51ec1028
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: e4:5d:51:ec:10:28
Vendor Class
Option: Vendor Class (16)
Length: 71
Enterprise ID: SFR (40972)
vendor-class-data: neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44j_NB6VAC-XDSL-A2pv6F039p
Reconfigure Accept
Option: Reconfigure Accept (20)
Length: 0
Client Fully Qualified Domain Name
Option: Client Fully Qualified Domain Name (39)
Length: 10
Flags: 0x00 [CLIENT wants to update its AAAA RRs and SERVER to update its PTR RRs]
Top Level Domain name (TLD): OpenWrt.
Identity Association for Non-temporary Address
Option: Identity Association for Non-temporary Address (3)
Length: 12
IAID: 00000001
T1: 0
T2: 0
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 12
IAID: 00000001
T1: 0
T2: 0

Et pour les experts du sujet, j'ai trouvé ça : https://forum.openwrt.org/t/how-to-request-specific-ia-prefix-in-dhcpv6-solicit/109752

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 09 mars 2022 à 18:23:14

@rqdb
depuis l'interface web ? mettre le /56

(https://i.imgur.com/KTH6nsT.png)

Et dans Advanced settings il y a d'autres parametres aussi...désolé autant le dhcpv4 je le maitrise bien, que le DHCPV6 c'est du chinois pour moi.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 09 mars 2022 à 19:23:02

Cela ne fonctionne malheureusement pas. J'avais déjà testé de toucher à tous ces paramètres.
Si pour toi le DHCPV6 c'est du chinois, tu n'imagines même pas ce que cela est pour moi :)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: petoulachi le 30 mars 2022 à 12:15:25

Salut,

tu es sur de ton advertise avec la box ? tu devrais avoir un prefix address dans IA Prefix ?
Bref, c'est pas ça qui va t'aider de toute façon...

Je fais fonctionner l'ONT avec un Juniper, de mon coté voici la trame Solicit:

Code: [Sélectionner]

DHCPv6
    Message type: Solicit (1)
    Transaction ID: 0x75be91
    Client Identifier
        Option: Client Identifier (1)
        Length: 10
        DUID: 00030001d8b1225acc85
        DUID Type: link-layer address (3)
        Hardware type: Ethernet (1)
        Link-layer address: d8:b1:22:5a:cc:85
    Identity Association for Prefix Delegation
        Option: Identity Association for Prefix Delegation (25)
        Length: 12
        IAID: 00000000
        T1: infinity
        T2: infinity
    Option Request
        Option: Option Request (6)
        Length: 10
        Requested Option code: DNS recursive name server (23)
        Requested Option code: Vendor-specific Information (17)
        Requested Option code: Boot File URL (59)
        Requested Option code: Boot File Parameters (60)
        Requested Option code: NTP Server (56)
    Vendor Class
        Option: Vendor Class (16)
        Length: 39
        Enterprise ID: SFR (40972)
        vendor-class-data: neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN

Comme tu peux le voir, je n'ai pas non plus la section IA prefix. Pourtant la réponse Advertise de l'ONT est OK (le prefix est bien inclu), et ça fonctionne bien.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: petoulachi le 30 mars 2022 à 12:25:54

je reprends ta config à priori

Code: [Sélectionner]

config interface 'wan6'
        option device 'eth0.2'
        option proto 'dhcpv6'
        option reqprefix 'auto'
        option clientid '00030001XXXXXXXXXXXX'
        option reqaddress 'try'
        option ip6assign '64'
        option reqopts '12 17 21 22 23 24 25 31 56 64 67 82 83'
        option sendopts '16:0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'

Ya a boire et à manger là :D

option reqopts '25 26'

ça doit suffire (pour le Indentity Association for Prefix Delegation). et je me demande si "option reqprefix 'auto' envoie pas les options 25 ET 3.

Il faut que tu captures ta trame Solicit comme ça déjà, voir à quoi ça ressemble.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: petoulachi le 30 mars 2022 à 12:35:22

avec la doc https://openwrt.org/docs/guide-user/network/ipv6/configuration

Essaie de faire
config interface 'wan6'
option device 'eth0.2'
option proto 'dhcpv6'
option reqprefix 'auto'
option clientid '00030001XXXXXXXXXXXX'
option reqaddress 'try'
option reqopts '1 16 25 26'
option sendopts '16:0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
option defaultreqopts '0'

c'est le defaultreqopts qui a l'air interressant "If set to 0, do not request any options except those specified in reqopts".
apres faut essayer, capturer la trame, voir à quoi elle ressemble, puis corriger.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 01 avril 2022 à 22:53:08

salut @petoulachi,

merci pour toutes ces infos. Je vais tester ça dans le week-end et je ferai un retour.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 02 avril 2022 à 13:13:42

Citation de: petoulachi le 30 mars 2022 à 12:35:22

config interface 'wan6'
option device 'eth0.2'
option proto 'dhcpv6'
option reqprefix 'auto'
option clientid '00030001XXXXXXXXXXXX'
option reqaddress 'try'
option reqopts '1 16 25 26'
option sendopts '16:0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d41327076364630333970'
option defaultreqopts '0'

Avec cette config voici les options demandées lors de la trame sollicit :

Option Request
Option: Option Request (6)
Length: 2
Requested Option code: SOL_MAX_RT (82)

Il semblerait que "option defaultreqopts '0'" ne fonctionne pas comme prévu. Du coup, dans le doute, j'ai passé la valeur à 1, voici le résultat :

Option Request
Option: Option Request (6)
Length: 24
Requested Option code: SIP Server Domain Name List (21)
Requested Option code: SIP Servers IPv6 Address List (22)
Requested Option code: DNS recursive name server (23)
Requested Option code: Domain Search List (24)
Requested Option code: Simple Network Time Protocol Server (31)
Requested Option code: NTP Server (56)
Requested Option code: Dual-Stack Lite AFTR Name (64)
Requested Option code: Prefix Exclude (67)
Requested Option code: S46 MAP-E Container (94)
Requested Option code: S46 MAP-T Container (95)
Requested Option code: S46 Lightweight 4over6 Container (96)
Requested Option code: SOL_MAX_RT (82)

Et lorsque je demande uniquement les options "1 16 25 26" sans l'option "defaultreqopts", j'obtiens exactement les même demandes d'option qu'avec " defaultreqopts '1'.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: labemilie le 03 avril 2022 à 20:54:11

Bonsoir,

Tout d'abord un grand merci pour ce tuto qui m'a permis de remplacer ma box SFR.
Petite question sur la partie téléphonie : est-ce que l'appel au 1023 fonctionne de votre coté ?
(car chez moi, ca ne fonctionne pas)

D'avance merci pour vos retours.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: kikadisa le 20 avril 2022 à 00:04:16

Bonjour.

Merci beaucoup pour toutes les informations, je me permets de contribuer en ajoutant quelques précisions pour asterisk.
Les versions récentes d'OpenWRT s'appuient sur Asterisk en v16 ou v18.
Ce dernier préconise l'utilisation du module chan_pjsip en lieu et place de chan_sip.
Vous pouvez procéder à la modifications en insérant ce qui suit dans le fichiers /etc/asterisk/modules.conf

Code: [Sélectionner]

load => chan_pjsip.so
noload => chan_sip.so

Ensuite, voici une configuration du fichier pjsip.conf fonctionnelle, un peu particulière du fait d'une segmentation des réseaux :

Code: [Sélectionner]

[registration]
auth_rejection_permanent=yes   ; Determines whether failed authentication

[transport-udp-nat]
type=transport
protocol=udp
bind=192.168.xxx.xxx ; l'adresse IP local ou bien en 0.0.0.0 pour écouter sur toutes les interfaces
local_net=192.168.xxx.0/24 ; les réseaux autorisé à joindre le service asterisk
; local_net=10.10.10.0/24 ;un autre réseau autorisé à joindre le service, pratique pour les VPN...
external_media_address=A.B.C.D ; votre adresse IP public
external_signaling_address=A.B.C.D ; votre adresse IP public

[trunk-sfr]
type=registration
transport=transport-udp-nat
outbound_auth=trunk-sfr
server_uri=sip:+33xxxxxxxxx@ims.mnc010.mcc208.3gppnetwork.org ; insérez votre numéro de téléphone
client_uri=sip:+33xxxxxxxxx@ims.mnc010.mcc208.3gppnetwork.org ; insérez votre numéro de téléphone
outbound_proxy=sip:corbas.p-cscf.sfr.net:5062\;lr

[trunk-sfr]
type=auth
password=XXXXXXXXXXXXXXXX; votre mot de passe
username=XXXXXXXXXXXXX.XXX.THD@sfr.fr ;votre nom d'utilisateur

[trunk-sfr]
type = aor
contact = sip:+33xxxxxxxxx@ims.mnc010.mcc208.3gppnetwork.org
outbound_proxy = sip:corbas.p-cscf.sfr.net:5062\;lr

[trunk-sfr]
type = identify
endpoint = trunk-sfr
match = corbas.p-cscf.sfr.net:5062

[trunk-sfr]
type=endpoint
transport=transport-udp-nat
context=from-sfr
rtp_symmetric=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
force_rport=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
direct_media=no ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
rewrite_contact=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
outbound_auth=trunk-sfr
from_domain=ims.mnc010.mcc208.3gppnetwork.org
from_user=+33xxxxxxxxx  ; insérez votre numéro de téléphone
allow=!all,opus,speex,g722,alaw,ulaw,gsm
outbound_proxy = sip:corbas.p-cscf.sfr.net:5062\;lr
aors = trunk-sfr

[endpoint_internal](!)
type=endpoint
context=work
disallow=all
allow=ulaw
language=fr
direct_media=no ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
rtp_symmetric=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
force_rport=yes ; cette option a été activé, car je n'écoute pas sur le wan et il y a du NAT
;from_domain=xxxxxxxxxxxxx ; vous pouvez insérer ici votre nom de domaine si vous le souhaitez

[auth_userpass](!)
type=auth
auth_type=userpass

[aor_dynamic](!)
type=aor
max_contacts=2 ; le nombre de postes permis à utiliser un endpoint
remove_existing=yes

[1001](endpoint_internal)
auth=1001
aors=1001
[1001](auth_userpass)
password=XXXX ; un mot de passe
username=1001
[1001](aor_dynamic)

[1002](endpoint_internal)
auth=1002
aors=1002
[1002](auth_userpass)
password=XXXX ; un autre mot de passe
username=1002
[1002](aor_dynamic)

Ensuite le fichier extension est à compléter (la technologie SIP se trouve remplacé par PJSIP principalement)

Code: [Sélectionner]

[work]
exten => _0[12345679]XXXXXXXX,1,Dial(PJSIP/${EXTEN}@trunk-sfr) ;permet de passer des appels depuis votre serveur
exten => _+33[12345679]XXXXXXXX,1,Dial(PJSIP/${EXTEN}@trunk-sfr) ;permet de passer des appels depuis votre serveur
exten => _XXXX,1,Dial(PJSIP/${EXTEN}); permet de contacter un autre utilisateur du service asterisk

; VoiceMail
; exten => 123,1,VoiceMailMain(${CALLERID(num)}) ; l'activation de cette ligne requiert l'activation du service de message via voicemail.conf

[from-sfr]
; exemple les numéro exterieur sont redirigé vers le endpoint 1001
exten => s,1,Dial(PJSIP/1001,60) ;avec XXXX = numéro de SIP que vous souhaitez en local (configuré dans le fichier users.conf)

Enfin, les éléments suivant ont été ajouté au firewall (/etc/config/firewall) :

Code: [Sélectionner]

config redirect # redirection du port 5060 vers le service asterisk
        option dest 'lan' # nom du réseau local rattaché au service asterisk
        option target 'DNAT'
        option name 'SIP'
        list proto 'udp'
        option src 'wan' # nom du réseau internet
        option src_dport '5060'
        option dest_ip '192.168.XXX.XXX' # IP du service asterisk

config redirect# redirection des ports RTP vers le service asterisk
        option dest 'lan' # nom du réseau local rattaché au service asterisk
        option target 'DNAT'
        option name 'SIP-RTP'
        option src 'wan' # nom du réseau internet
        option src_dport '10000-10050' # comme défini dans le fichier /etc/asterisk/rtp.conf
        option dest_ip '192.168.XXX.XXX' # IP du service asterisk

config nat # Source nat pour identifier les paquets RTP provenant d'internet à destination d'asterisk
        list proto 'udp'
        option src_port '10000-10050'
        option target 'SNAT'
        option src 'wan'
        option name 'Sip-RTP'
        option snat_ip '192.168.XXX.XXX' # IP du service asterisk

Merci à Simon_Dec sur le forum asterisk.org [1]

Par contre le client SIP intégré d'android ne semble pas permettre la réception d'appels malgré l'activation de l'option, cependant LinPhone lui fonctionne !

Enfin, quant à la précédente question :

Citation de: labemilie le 03 avril 2022 à 20:54:11

Petite question sur la partie téléphonie : est-ce que l'appel au 1023 fonctionne de votre coté ?
(car chez moi, ca ne fonctionne pas)

~~Je n'ai pas encore essayé~~Voici une réponse qui fonctionne, il s'agit ~~probablement~~ d'ajouter au sein du DialPlan(extensions.conf) une indication personalisée pour le numéro de la façon suivante :

Code: [Sélectionner]

; dans le bloc [work]
[...]
exten => _1023,1,Dial(PJSIP/${EXTEN}@trunk-sfr) ;permet de contacter le service client

1: https://community.asterisk.org/t/sip-trunk-registered-but-no-incoming-calls/89952

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Todi le 21 avril 2022 à 23:39:55

Salut à tous,

Je suis sous FTTH IPv4 CGNAT + IPv6 avec une NB6VAC-MAIN-R4.0.44k. Pour l'IPV4 tout est ok mais pour L'IPV6 impossible de trouver la bonne config sous OpenWRT. J'ai tenté toutes les propositions du fil + mes propres recherches mais rien :'(. Si quelqu'un dans mon cas a une config IPV6 qui marche?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 22 avril 2022 à 17:41:58

Citation de: Todi le 21 avril 2022 à 23:39:55

Salut à tous,

Je suis sous FTTH IPv4 CGNAT + IPv6 avec une NB6VAC-MAIN-R4.0.44k. Pour l'IPV4 tout est ok mais pour L'IPV6 impossible de trouver la bonne config sous OpenWRT. J'ai tenté toutes les propositions du fil + mes propres recherches mais rien :'(. Si quelqu'un dans mon cas a une config IPV6 qui marche?

Je suis dans le même cas de figure que toi, et aux dernières nouvelles personne n'avait de solution. Il serait bien de poser la question sur le forum d'OpenWrt, peut-être que là-bas quelqu'un peut nous aider.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: electronit le 24 avril 2022 à 09:13:54

Meme combat... Toujours pas d'IPv6. Pourtant il semble que chez @neonp ca fonctionne ?

Dans le log je vois des messages comme:
Failed to send DHCPV6 message to ff02::1:2 (Address not available)

Google ne retourne pas grand chose pour cela. Qqn a un idee ?

(ps. ici OpenWRT tourne comme virtual machine dans Xen)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 30 avril 2022 à 04:30:40

Bonjour à tous,
Comme vous j'ai sauté le pas et flashé openwrt sur un routeur miwifi 3g va. Autant besoin de la TV et téléphonie fixe, je l'ai mis endmz. Sur le premier message, maximushugus indique qu'il arrive à tirer le maximum de sa connexion fibre 1G red là où je plafonne à 500 M en rj45 cat6...
Y a-t-il des réglages particuliers pour pouvoir profiter de la connexion au maximum?
Merci de votre réponse

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 30 avril 2022 à 04:38:13

(même message sans les fautes de correction automatique...)
Bonjour à tous,
Comme vous j'ai sauté le pas et flashé openwrt sur un routeur miwifi 3g v1 (Ethernet gigabit). Ayant besoin de la TV et téléphonie fixe, je l'ai mis en dmz. Sur le premier message, maximushugus indique qu'il arrive à tirer le maximum de sa connexion fibre 1G red là où je plafonne à 500 M en rj45 cat6...
Y a-t-il des réglages particuliers pour pouvoir profiter de la connexion au maximum?
Merci de votre réponse

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 30 avril 2022 à 09:12:32

sur les routeurs a base de MT7621/7622 il faut activer le Hardware NAT.
Sur openWRT, il faut aller dans NETWORK >> FIREWALL
et cocher les 2 cases :

(https://i.imgur.com/luNJiYW.png)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 30 avril 2022 à 10:42:05

Merci de ta réponse cetipabo,
C'est déjà fait, je ne l'avais pas précisé, activé le hardware nat et désactivé sqm.
Je plafonne toujours à 500 en down, l'upload est quant à lui correct...
Je n'ai pas essayé de me connecter en direct sur l'ont, quand je me branche sur la nb6 en ethernet, j'ai 950 M en down sur le speed test...
Normalement pas de raison que la connexion soit bridée... Y a-t-il d'autres choses en configuration réseau à faire?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 30 avril 2022 à 10:45:24

Ci-joint la capture

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 30 avril 2022 à 10:58:57

haaa j'avais pas capté que ta box SFR etait toujours présente. Dans ce cas, pas d'accélération matérielle puisque ca ne "NAT" pas.
il faut que l'ONT soit branché directement au Xiaomi pour bénéficier de l'accélération.

Edit:
ou alors te mettre en double NAT, en reliant un port LAN de la box SFR au port WAN du Xiaomi. a tester...

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 30 avril 2022 à 15:36:03

Merci de ta réponse.
En fait, pour mon branchement : port wan du routeur vers un port lan de la box, sur la box j'ai mis l'IP du routeur en dmz (c'est ce qui est conseillé le mode bridge n'étant plus dispo). Sur la box j'ai laissé branché la TV via un CPL et le téléphone.
Le reste (nas, modules wifi mesh, domotique, etc) sont sur le routeur.
Du coup le routeur a une adresse IP donnée par la box mais est exposé directement au reseau et gère avec son firewall. Du coup c'est lui qui gère la connexion de mes autres appareils.
Sans l'option déchargement flux, c'est moins bien avec 300M de download...
Pour info j'ai fait le test en mettant un déco P9 en mode routeur et la connection n'est pas bridée...

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 30 avril 2022 à 16:45:33

je ne comprends pas trop ou se situe ton problème, j'ai aussi un Xiaomi Mi wifi 3G, sous openwrt, et avec l'ONT branché dessus j'ai 942Mbps.
as tu essayé de mettre ton PC en DMZ par exemple, et faire le speedtest. Histoire de voir si c'est pas la BOX SFR qui bride le flux qu'elle envoie.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 01 mai 2022 à 06:08:42

Non, effectivement, pas testé en direct pour voir si c'est le dmz qui est limitant. J'ai essayé de suivre le tuto pour brancher en direct sur l'ont mais ça n'a pas fonctionné... Tu mets quoi à la place des xxxxx dans le vendor id après nefbox_NB6....? Un truc au hasard?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 01 mai 2022 à 14:05:17

Citation de: Docmagou le 01 mai 2022 à 06:08:42

Non, effectivement, pas testé en direct pour voir si c'est le dmz qui est limitant. J'ai essayé de suivre le tuto pour brancher en direct sur l'ont mais ça n'a pas fonctionné... Tu mets quoi à la place des xxxxx dans le vendor id après nefbox_NB6....? Un truc au hasard?

tu peux mettre n'importe quoi, l'important c'est le neufbox_ au début. moi j'ai un routeur A8000RU alors j'ai mis neufbox_A8000RU

(https://i.imgur.com/xV3kXqM.png)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: electronit le 02 mai 2022 à 09:27:31

Pour revenir sur l'ipv6... ;)

J'ai fait une comparaison entre les packets DHCPv6 solicit du box SFR et mon openwrt. Voir les differences ci-dessous en rouge. Pas mal de differences que je n'arrive pas a corriger avec les options odhcpd.

J'ai trouve d'autres posts ou c'est indique que dhcpcd pourrait marcher - mais je n'ai pas encore trouve comment revenir a cette methode. Pour ceux chez qui ca marche - est ce que c'etait une version d'openwrt plus ancienne (encore base sur dhcpcd) ?

Box SFR Message type: Solicit (1) Transaction ID: 0x722b44	OpenWRT Message type: Solicit (1) Transaction ID: 0x3407de
Elapsed time Option: Elapsed time (8 ) Length: 2 Elapsed time: 29000ms	Elapsed time Option: Elapsed time (8 ) Length: 2 Elapsed time: 655350ms
Option Request Option: Option Request (6) Length: 2 Requested Option code: DNS recursive name server (23)	Option Request Option: Option Request (6) Length: 4 Requested Option code: DNS recursive name server (23) Requested Option code: SOL_MAX_RT (82)
Client Identifier Option: Client Identifier (1) Length: 10 DUID: 00030001<mac> DUID Type: link-layer address (3) Hardware type: Ethernet (1) Link-layer address: <mac>	Client Identifier Option: Client Identifier (1) Length: 10 DUID: 00030001<mac> DUID Type: link-layer address (3) Hardware type: Ethernet (1) Link-layer address: <mac>
Vendor Class Option: Vendor Class (16) Length: 71 Enterprise ID: SFR (40972) vendor-class-data: neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p	Vendor Class Option: Vendor Class (16) Length: 71 Enterprise ID: SFR (40972) vendor-class-data: neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44j_NB6VAC-XDSL-A2pv6F039p
Identity Association for Prefix Delegation Option: Identity Association for Prefix Delegation (25) Length: 41 IAID: 00000001 T1: 0 T2: 0 IA Prefix Option: IA Prefix (26) Length: 25 Preferred lifetime: 0 Valid lifetime: 0 Prefix length: 0 Prefix address: ::	Identity Association for Prefix Delegation Option: Identity Association for Prefix Delegation (25) Length: 12 IAID: 00000001 T1: 0 T2: 0
	Reconfigure Accept Option: Reconfigure Accept (20) Length: 0
	Client Fully Qualified Domain Name Option: Client Fully Qualified Domain Name (39) Length: 10 Flags: 0x00 [CLIENT wants to update its AAAA RRs and SERVER to update its PTR RRs] Top Level Domain name (TLD): OpenWrt.
	Identity Association for Non-temporary Address Option: Identity Association for Non-temporary Address (3) Length: 12 IAID: 00000001 T1: 0 T2: 0

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: electronit le 02 mai 2022 à 13:55:01

Ok. ca marche...

suffit d'ajouter les deux options suivantes dans /etc/config/network pour wan6:

option noclientfqdn '1'
option noacceptreconfig '1'

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 02 mai 2022 à 15:41:47

Citation de: electronit le 02 mai 2022 à 13:55:01

Ok. ca marche...

suffit d'ajouter les deux options suivantes dans /etc/config/network pour wan6:

option noclientfqdn '1'
option noacceptreconfig '1'

tu pourrais nous indiquer sur quelle version d'openwrt tu es ? et du coup nous poster ta config WAN et WAN6 ? histoire de rien louper. ;D ;D

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: electronit le 02 mai 2022 à 17:11:23

OpenWRT 21.02 (VM - Xen - sur debian, juste pour le garder simple ;) et surtout du coup plus qu'une seule machine )

Voici la partie wan de /etc/config/network (substituer l'adresse mac pour les xx:xx:...)

Code: [Sélectionner]

config device
        option name 'eth1'
        option macaddr 'xx:xx:xx:xx:xx:xx'

config interface 'wan'
        option device 'eth1'
        option proto 'dhcp'
        option vendorid 'neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.44k_NB6VAC-XDSL-A2pv6F039p'

config interface 'wan6'
        option device '@wan'
        option proto 'dhcpv6'
        option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d6364630333970'
        option clientid '00030001xxxxxxxxxxx'
        option defaultreqopts '0'
        option reqopts '23 25 26'
        option reqaddress 'try'
        option reqprefix 'auto'
        option noclientfqdn '1'
        option noacceptreconfig '1'

Dans le VM j'ai 940 download, 390 up. Mais sur la machine hôte ca n'est plus que 300 dans les 2 sens :( Il semble que l'interface VM->hote n'est pas tres perormant :(

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 02 mai 2022 à 18:34:16

Merci @electronit ;)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 02 mai 2022 à 22:59:09

Je valide la config ! Depuis le temps que j'attendais ça... Merci @electronit.

Citation de: electronit le 02 mai 2022 à 17:11:23

Voici la partie wan de /etc/config/network (substituer l'adresse mac pour les xx:xx:...)

Je précise, substituer par l'adresse mac de votre routeur actuel, pas celle de la SFR Box.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 03 mai 2022 à 08:36:55

Citation de: rqdb le 02 mai 2022 à 22:59:09

Je valide la config ! Depuis le temps que j'attendais ça... Merci @electronit.

Je précise, substituer par l'adresse mac de votre routeur actuel, pas celle de la SFR Box.

ha ca y est ca marche pour toi finalement ??

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 03 mai 2022 à 09:51:19

Citation de: cetipabo le 03 mai 2022 à 08:36:55

ha ca y est ca marche pour toi finalement ??

Oui c'est bon j'attrape une IPV6 publique ! Visiblement il fallait rajouter les deux options données par @electronit.

Question subsidiaire : est-il possible de demander une IPV6 fixe à SFR ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Floyder le 03 mai 2022 à 12:08:38

tu as un préfixe IPV6 /56 fixe.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: electronit le 03 mai 2022 à 16:45:52

Citation de: rqdb le 02 mai 2022 à 22:59:09

Je précise, substituer par l'adresse mac de votre routeur actuel, pas celle de la SFR Box.

En fait moi j'avais mis le mac du box SFR. Mais c’était qu'un des multiples essais :)

Content que ça fonctionne pour d'autres aussi. Peut être il y a des options dans mon config qui ne sont pas nécessaire (nodefaultreqopts, reqopts ???) - mais au moins ça marche !

Maintenant la téléphonie... j'ai un téléphone VOIP (cisco spa-942), mais pour l'instant il refuse de se connecter bien que j'ai obtenu l'utilisateur/mdp VOIP avec un petit logiciel utilitaire que j'avais trouvé qqpart ici. D'ou tout la recherche pour avoir l'ipv6, car derrière cgnat c’était nécessaire pour cet outil d'avoir le ipv6... Est ce que ça veut dire que le téléphone doit passer par ipv6 ? Il ne le supporte pas :(

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 03 mai 2022 à 20:27:36

Citation de: Floyder le 03 mai 2022 à 12:08:38

tu as un préfixe IPV6 /56 fixe.

C'est une question ? Je ne comprends pas ce que tu veux dire, en tout cas j'ai bien un /56 après l'IPV6.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Floyder le 03 mai 2022 à 20:41:56

Citation de: rqdb le 03 mai 2022 à 20:27:36

C'est une question ? Je ne comprends pas ce que tu veux dire, en tout cas j'ai bien un /56 après l'IPV6.

Non c'était une réponse ^^

En ipv6 les opérateurs fournissent un subnet (un /56 dans le cas de SFR) en délégation de préfixe : https://en.wikipedia.org/wiki/Prefix_delegation

Tu fais ce que tu veux de ce /56 chez toi.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 03 mai 2022 à 21:40:49

si j'ai bien compris : on te donne un prefixe, donc il manque le suffixe ;D et c'est le serveur dhcpv6 local qui le propose, pour générer l'ipv6 complete (prefixe + suffixe) ?
ensuite reste plus qu'a faire une reservation d'ip sur le routeur, pour ne plus changer d'ipv6 sur ses équipements. Ca marche comme ca ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: zoc le 04 mai 2022 à 07:45:24

On peut faire comme ça, oui, mais généralement on n’utilise pas DHCP6 sur le LAN mais SLAAC: le poste client reçoit lui aussi un préfixe (généralement un /64, ce qui fait qu’avec un /56 au départ on peut avoir 255 LANs différents) et génère lui même son propre suffixe à partir de l’adresse mac de sa carte réseau.

Après il y a d’autres histoires comme les « privacy extensions » qui font que les machines génèrent en plus aléatoirement d’autres adresses utilisées pour les connexions sortantes et qui changent régulièrement, mais je n’ai pas vraiment le temps de faire un cours d’IPv6 et donc je n’entrerai pas plus dans les détails ;)

Sur une machine Linux on peut d’ailleurs aussi forcer le suffixe à une valeur particulière au lieu de se baser sur l’adresse mac: ip token set <suffix>

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 04 mai 2022 à 08:37:25

merci pour vos explications, mais j'avoue n'y avoir rien compris ! Il va falloir que je m'y mettre sérieusement à l'IPV6 :D

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 05 mai 2022 à 21:00:59

Suite de mes aventures : j'ai connecté en direct sur l'ont le routeur Xiaomi et c'est un peu mieux (600) mais ça n'atteint pas les 950 de la box red.
Pour ce qui est du routeur j'ai installé openwrt, change le range d'ip et rien de plus. Le qos est désactivé.
Je sèche car à priori il doit y avoir un problème de configuration qui limite la bande passante.
Avez-vous fait des réglages particuliers pour arriver à tirer le maximum de votre connexion 1G ?
Merci de vos réponses

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 05 mai 2022 à 21:41:23

Citation de: Docmagou le 05 mai 2022 à 21:00:59

Suite de mes aventures : j'ai connecté en direct sur l'ont le routeur Xiaomi et c'est un peu mieux (600) mais ça n'atteint pas les 950 de la box red.
Pour ce qui est du routeur j'ai installé openwrt, change le range d'ip et rien de plus. Le qos est désactivé.
Je sèche car à priori il doit y avoir un problème de configuration qui limite la bande passante.
Avez-vous fait des réglages particuliers pour arriver à tirer le maximum de votre connexion 1G ?
Merci de vos réponses

https://lafibre.info/remplacer-sfr/ftth-tuto-bypass-complet-neufbox-avec-un-routeur-openwrt/msg947156/#msg947156
avec l'ONT en direct sur le Xiaomi tu DOIS avoir tes 950Mb
ton PC est branché en direct dessus ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 06 mai 2022 à 08:03:11

Pour les test :
. Ont, Box red, cable RJ45 5e directement sur la box, pc : 950 Mb
. Ont, Box red, cable RJ45 entre lan de la box et wan du routeur (mode dmz), cable RJ45 5e sur lan du routeur , pc : 550 Mb
. Ont, routeur Xiaomi port wan, cable RJ45 5e directement sur port lan, pc : 600 Mb
Le routeur est bien un r3G va (port USB), avec openwrt 21.02.3 (en v19 c'était pareil) et avec Adblock et openvpn d'installé (activés ou pas ça ne change rien).
Déchargement nat logiciel et hardware activés.
J'ai installé openwrt selon le tuto du crabeinfo (https://community.lecrabeinfo.net/forums/topic/7372-tuto-installer-un-serveur-openvpn-sur-votre-routeur-openwrt-lede/).
Je sèche... A part un pb firmware (mais à priori c'est openwrt qui gère), je ne vois pas.
Sinon je vais tenter une réinstallation complète pour voir.
Merci de vos conseils si vous avez une idée sur ce qui pourrait clocher...

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 06 mai 2022 à 12:47:07

Citation de: Docmagou le 06 mai 2022 à 08:03:11

Ont, routeur Xiaomi port wan, cable RJ45 5e directement sur port lan, pc : 600 Mb

et bien dans cette configuration tu devrais avoir tes 950Mb. J'ai bien le Xiaomi Miwifi R3G, avec port USB, et plus de stockage/ram que les versions lowcost qui ont suivi. un collector maintenant ;D
Ce soir je le remets en place et je fais un benchmark nperf pour te montrer le résultat.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Todi le 06 mai 2022 à 13:06:05

Avec ta config @electronit j'arrive enfin à remplacer la box, ipv6 et ipv4cgnat sont ok. J'en aurais passer du temps. Merci

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 06 mai 2022 à 15:48:20

Citation de: Todi le 06 mai 2022 à 13:06:05

Avec ta config @electronit j'arrive enfin à remplacer la box, ipv6 et ipv4cgnat sont ok. J'en aurais passer du temps. Merci

il faudrait que @maximushugus ou un @modo mette à jour la premiere page, avec les instructions données par @electronit ici (https://lafibre.info/remplacer-sfr/ftth-tuto-bypass-complet-neufbox-avec-un-routeur-openwrt/msg947544/#msg947544) car dans quelques jours elles seront noyées au milieu des messages, et seuls ceux qui se seront tappé 16 pages trouveront la bonne config...

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 06 mai 2022 à 17:29:56

Citation de: cetipabo le 06 mai 2022 à 12:47:07

et bien dans cette configuration tu devrais avoir tes 950Mb. J'ai bien le Xiaomi Miwifi R3G, avec port USB, et plus de stockage/ram que les versions lowcost qui ont suivi. un collector maintenant ;D
Ce soir je le remets en place et je fais un benchmark nperf pour te montrer le résultat.

Voilà :
(https://pic.nperf.com/r/3382990611687762-veNmZD8X.png)

Le taux d'occupation processeur durant le test est <1% sur tous les coeurs logiques
(https://i.imgur.com/TFFtVFc.png)

(https://i.imgur.com/bhQLZOL.png)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 06 mai 2022 à 17:47:41

Upgrade en 21.02.3

(https://i.imgur.com/8ZPzgPL.png)

(https://i.imgur.com/AXBtsHi.png)

Et pour finir avec la dernière Release Candidate : 22.03.0-rc1

(https://i.imgur.com/SyEDAP4.png)

(https://i.imgur.com/MfXXqNL.png)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 08 mai 2022 à 09:53:49

Merci pour tes tests cetipabo,
J'essaie de tout réinstaller à zéro lundi et te tiens au courant.
bon dimanche

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Todi le 08 mai 2022 à 23:37:26

Mon WAN/WAN6 -> Rasp Pi4 - OpenWrt 21.02.3 - RedSFR IPv6 & IPv4 CGNAT
config qui pour moi fonctionne au "poil" :

config interface 'wan'
   option proto 'dhcp'
   option device 'eth1'
   option vendorid 'neufbox_NB6V-XXXXXXXXXXXX'

config interface 'wan6'
   option device 'eth1'
   option proto 'dhcpv6'
   option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d6364630333970'
   option reqaddress 'try'
   option reqprefix 'auto'
   option noacceptreconfig '1'
   option ip6assign '64'
   option ip6ifaceid '::311e'

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 16 mai 2022 à 15:25:31

salut à tous,

j'ai définitivement migré sur mon routeur en OpenWrt. Tout marche bien en revanche la connexion est plus lente d'environ 100Mb/s en download/upload avec celui-ci qu'avec la SFR box (400 contre 500). Une idée d'où cela pourrait provenir ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 16 mai 2022 à 16:41:29

tu as quoi comme routeur déjà ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 16 mai 2022 à 19:52:48

Citation de: cetipabo le 16 mai 2022 à 16:41:29

tu as quoi comme routeur déjà ?

un TP-Link Archer C7 v2

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 16 mai 2022 à 21:48:43

Citation de: rqdb le 16 mai 2022 à 19:52:48

un TP-Link Archer C7 v2

j'aurais tendance a dire le cpu pas assez puissant ? pas de Hardware NAT sous openwrt sur ton cpu...
le cpu a 1 coeur @720Mz, celui de la box SFR est un dual core @400Mz mais avec une acceleration NAT broadcom.
il faudrait lancer un nperf avec htop d'ouvert à coté, comme j'ai fait dans les pages précédentes, et voir le taux d'occupation CPU. s'il est proche de 100% et bien tu auras l'explication ;)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 16 mai 2022 à 22:00:07

Bien vu, le CPU est à 100% !
Une idée d'un petit routeur pas cher et un peu plus véloce qui tourne sous OpenWrt ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 16 mai 2022 à 22:12:22

Citation de: rqdb le 16 mai 2022 à 22:00:07

Bien vu, le CPU est à 100% !
Une idée d'un petit routeur pas cher et un peu plus véloce qui tourne sous OpenWrt ?

Ben tu as le xiaomi que j'ai utilisé dans mes tests ici (https://lafibre.info/remplacer-sfr/ftth-tuto-bypass-complet-neufbox-avec-un-routeur-openwrt/msg948280/#msg948280)
en fait tous les routeurs qui disposent d'un CPU MT7621 ou MT7622, fonctionnent parfaitement sur une connexion 1 Gbit sans soucis, grace au support de l'hardware NAT.
Pour la liste des routeurs compatibles openwrt : https://openwrt.org/toh/views/toh_extended_all?dataflt%5BCPU*%7E%5D=MT7621 (https://openwrt.org/toh/views/toh_extended_all?dataflt%5BCPU*%7E%5D=MT7621)
il te reste plus qu'a filtrer sur la marque de ton choix.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 17 mai 2022 à 20:14:12

merci pour les informations !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Docmagou le 23 mai 2022 à 16:05:06

Bonjour,
Juste un petit retour après avoir fait un reset du routeur xiaomi et configuré comme indiqué par cetipabo :
sur la box red : down 944 Mb/s up : 474 Mb/s
sur le routeur derrière la box en mode DMZ : down 864 Mb/s up 478 Mb/s
C'est beaucoup mieux que précédemment. Il devait y avoir une option ou une config non conforme après maj.
Merci encore à cetipabo.
Bonne journée à tous

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 23 mai 2022 à 16:14:05

;)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 29 mai 2022 à 12:55:08

salut,

petit retour après réception du MI3G (256mo ram 8))

En ipv4 CGNAT je suis 922 up/480 down/9.5 ms latence, tandis qu'en ipv6 j'ai dans le meilleur des cas (selon le serveur de test) 625 up/476 down/15.5 ms.
Je pensais que l'ipv6 serait plus rapide que l'ipv4 étant donné du fait du CGNAT, mais ce n'est visiblement pas le cas.
Bref, c'est de toute façon bien mieux qu'avec le routeur précédent qui va se retrouver sur leboncoin.

Merci @Cetipabo pour les conseils !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 29 mai 2022 à 13:37:08

tu as regardé le taux d'occupation du cpu sur HTOP quand tu fais le speedtest en ipv6 ?
en ipv6 tu ne dois pas faire de NAT, donc tu ne bénéficie pas de l'accélération NAT hardware, ton CPU doit être au max je pense et dans ce cas on atteind les limites du petit CPU de ce routeur :-\

Edit:
tu es sur quelle version d'openwrt ? car je vois qu'il y a eu du boulot de fait pour ajouter de l'offloading sur ipv6 ici (https://forum.openwrt.org/t/mt7621-21-02-master-feedback-firmware-image-test-ipv6-offload-and-disabled-flow-control/115697) depuis la version 21.02, de mémoire le gars qui te l'a vendu avait mis une image écran ou il était en 19.x, enfin il me semble.

après je ne sais pas si depuis ce patch, il a été ajouté dans la version officielle, je n'ai pas encore tout lu du topic en question. En tout cas les tests montrent qu'on arrive a atteindre les 900Mbps en ipv6 :
(https://i.imgur.com/DaR4nJi.png)

(https://i.imgur.com/45qh8LG.png)
Bon ben c'est dans la dernière version stable !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 29 mai 2022 à 16:25:27

En effet le CPU est quasiment à 100% lors d'un test de débit en IPV6. Côté routeur j'ai installé la dernière version stable, à savoir : OpenWrt 21.02.3 r16554-1d4dea6d4f. Du coup c'est étonnant que le débit ne soit pas au max. Mais dans tous les cas c'est largement suffisant pour moi, et l'ipv6 ne me servira pour le moment que pour le VPN.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 29 mai 2022 à 16:51:18

haa ben alors oui c'est étonnant, domage que je n'ai pas d'ipv6 pour tester. ca peut etre du à l'infra SFR, le CGNAT ?!
car dans le screenshot que j'ai fait, le gars dit bien 0% usage pour le cpu.
(https://i.imgur.com/DaR4nJi.png)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 29 mai 2022 à 17:04:52

le R3G est visiblement derrière sa box opérateur, cela est peut-être la raison ? Pourrais tu m'envoyer le lien de ce fil ? Merci

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 29 mai 2022 à 17:13:05

Citation de: rqdb le 29 mai 2022 à 17:04:52

le R3G est visiblement derrière sa box opérateur, cela est peut-être la raison ? Pourrais tu m'envoyer le lien de ce fil ? Merci

https://forum.openwrt.org/t/mt7621-21-02-master-feedback-firmware-image-test-ipv6-offload-and-disabled-flow-control/115697/33?u=shdf

je pense qu'il est en direct, sans box opérateur.

dans le message du gars qui a fait le patch ici : https://forum.openwrt.org/t/mt7621-21-02-master-feedback-firmware-image-test-ipv6-offload-and-disabled-flow-control/115697/143?u=shdf

Citer

IPV6 offload support is now in the official openwrt repos and latest images
Disabled flow control is only on my repo - https://gitlab.com/db260179/openwrt-base 26
You need to build the code to make an image.

la partie du patch qui a été refusée, et qui est seulement sur son dépot perso, est peut etre l'element qui permet justement l'augmentation de débit ?!

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 29 mai 2022 à 18:52:54

merci pour les infos.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Triumph le 30 mai 2022 à 13:15:22

Bonjour à tous !

J'ai suivi tout le tuto et un peu les déboires dans la suite du poste et j'ai réussi a transiter du routeur Sagem 3686 de chez SFR pour mon Xiaomi AC2350

Le problème est que je me retrouve avec une connexion pas très réactive. Je pensais à un soucis de DNS car en général il faut bien 5 secondes avant que la page commencent à charger; mais également mes vitesses sont assez lentes.

J'ai 150 en down et 200 en up contre 500 en down et 450 en up auparavant.

Je précise que je suis en wifi et que malheureusement je n'ai pas la possibilité de faire le test en Ethernet.

C'est la première fois que je me lance dans une telle modification de routeur je suis très probablement passé à coté de beaucoup de choses !

Merci d'avance pour votre aide =)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: fl0w le 30 mai 2022 à 15:31:44

Hello, personne n'a réussi à simuler l'API de la Neufbox pour la TV? Je vais bientôt recevoir un NanoPi R5S avec OpenWrt, je pense donc m'y coller, au pire je tenterai de simuler l'API via un container Docker embarquant un nginx ou Apache qui écoute sur le port 80.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 30 mai 2022 à 16:21:14

Citation de: fl0w le 30 mai 2022 à 15:31:44

Hello, personne n'a réussi à simuler l'API de la Neufbox pour la TV? Je vais bientôt recevoir un NanoPi R5S avec OpenWrt, je pense donc m'y coller, au pire je tenterai de simuler l'API via un container Docker embarquant un nginx ou Apache qui écoute sur le port 80.

l'astuce qui consiste à mettre les fichiers XML dans un dossier du serveur web ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: fl0w le 30 mai 2022 à 16:23:56

Oui c'est bien ça

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 30 mai 2022 à 16:42:56

ben je dirais qu'il suffit de mettre Luci sur un autre port que le 80, disons 8080. dans /etc/config/uhttpd
Puis d'installer le paquet lighttpd, qui sera lui sur le port 80 (par defaut), et suivre le tuto: https://lafibre.info/remplacer-sfr/bypasser-la-neufbox-avec-un-routeur-ubiquiti-edgemax/msg137930/#msg137930

alors le plus simple : utiliser l'appli SFR PLAY sur une smart TV android ou une box Android TV. Ou encore mieux acheter le connect TV de red/sfr (29€ a la souscription ou 60€ après si pas pris a la souscription).
moi je suis avec le connect TV, du coup aucun réglage à faire sur le routeur, et franchement rien à redire.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: fl0w le 30 mai 2022 à 16:46:35

C'est grosso modo ce que je vais tenter de faire (je ferai tourner le serveur web en container Docker vu que c'est supporté), c'était pour avoir un retour si quelqu'un l'a déjà fait. Je balancerai la recette pour me multi-WAN avec RED FTTH en primaire et RED FTTLA en backup.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 30 mai 2022 à 16:50:17

Comme dit juste au dessus, moi avec le boitier connect TV, rien a config sur le routeur...je ne peux pas tester la manip des fichiers XML sous lighttpd.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: fl0w le 30 mai 2022 à 16:51:22

T'en fais pas je ferai le cobaye, surtout que j'ai 2 décodeur "Plus"

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: CocoRH le 10 juin 2022 à 14:33:33

Citation de: rqdb le 16 mai 2022 à 15:25:31

salut à tous,

j'ai définitivement migré sur mon routeur en OpenWrt. Tout marche bien en revanche la connexion est plus lente d'environ 100Mb/s en download/upload avec celui-ci qu'avec la SFR box (400 contre 500). Une idée d'où cela pourrait provenir ?

Salut, j'ai récemment configuré un routeur tp link archer c6 v3.2. J'ai un débit 1 Gb/s et lorsque je fais un test de débit avec la NB6 j'ai bien mes 950-1000 MB/s . Au début avec le C6, j'avais des tests de débits qui commençaient à 900 Mb/s et qui redescendaient à 750 Mb/s pour remonter à 850 Mb/s à la fin. Aucun problèmes en up 475 Mb/s en permanence. J'avoue que j'étais un peu déçu et j'ai fini par trouver l'option qui fait la différence. Dans Firewall=> general settings => Routing/NAT offloading je coche Software flow offloading et hardware flow offloading et je retrouve mon débit au top comme avec la NB6

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 10 juin 2022 à 14:47:12

Citation de: CocoRH le 10 juin 2022 à 14:33:33

Dans Firewall=> general settings => Routing/NAT offloading je coche Software flow offloading et hardware flow offloading et je retrouve mon débit au top comme avec la NB6

oui, car il a une puce MT7621 qui supporte ce mode. Parametre fonctionnel seulement pour les puces mediatek MT762x ;)

@rqdb avait un TP-Link Archer C7 v2 bien moins puissant (QCA9558 1 coeur 720Mhz) contrairement au tien (2 coeurs 880Mhz multi threadé)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rqdb le 12 juin 2022 à 22:42:56

Citation de: cetipabo le 29 mai 2022 à 17:13:05

dans le message du gars qui a fait le patch ici : https://forum.openwrt.org/t/mt7621-21-02-master-feedback-firmware-image-test-ipv6-offload-and-disabled-flow-control/115697/143?u=shdf
la partie du patch qui a été refusée, et qui est seulement sur son dépot perso, est peut etre l'element qui permet justement l'augmentation de débit ?!

En effet, j'ai testé la v22.03.0-rc1 et le débit de l'ipv6 monte bien au même niveau que l'ipv4. C'est donc OK pour la futur version.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: labemilie le 08 juillet 2022 à 20:51:34

Bonsoir,
Je fais appel à vos lumières :
Alors que j'avais suivi ce tutoriel pour remplacer ma neufbox par un routeur Openwrt ; depuis 2 jours, ma redirection de port ne fonctionne plus (mais j'arrive à accéder à Internet depuis mon domicile).
Au niveau de mon interface WAN, j'ai désormais une adresse en 10.x.x.x/31 au lieu de mon adresse IP publique (qui a changé par la meme occasion).
Est-ce que l'un d'entre vous a déjà vécu cette situation ?
D'avance merci pour le coup de main.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: thedark le 08 juillet 2022 à 20:58:03

Tu es en CGNAT ;) Il faut demander au support de passer en ip avec tout les ports disponible.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: labemilie le 09 juillet 2022 à 15:41:53

Merci TheDark !
Un échange avec le Support technique Red ce matin est tout est revenu en ordre desormais.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: elvet le 30 juillet 2022 à 14:58:05

Hello, je viens de passer à openwrt (x86/64 avec un CPU Intel Atom N2800).
Download : 940 Mbps
Upload : 780 Mbps

J'ai l'impression que l'upload est un peu plus faible qu'avec ma NB6. Pas de gain en cochant "Software flow offloading"

Sinon, connaissez-vous des outils pour vérifier la sécu de la configs (firewall, DNS, ...) ? A partir de la config par défaut, j'ai simplement désactivé le ping et IGMP.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cetipabo le 30 juillet 2022 à 15:56:23

Citation de: elvet le 30 juillet 2022 à 14:58:05

Sinon, connaissez-vous des outils pour vérifier la sécu de la configs (firewall, DNS, ...) ? A partir de la config par défaut, j'ai simplement désactivé le ping et IGMP.

il n'y a rien de plus à faire. par defaut le firewall bloque tout ce qui rentre. En mode paranoia tu peux remplacer "REJECT" par "DROP" dans le Firewall si tu veux échapper aux scans mais ca n'apporte rien de plus, à mons sens

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: hoesman le 14 septembre 2022 à 14:08:09

Bonjour à tous,

Suite à un passage CGNAT non désiré (mais arrangé), je me suis renseigné pour au moins avoir l'IPV6 en natif sur OpenWRT, même si pas encore utilisé, avec mon petit mais costaud Cudy W1300.

Aprés avoir essayé toutes les solutions ici, j'ai finalement décidé de flasher le routeur avec le dernier firmware en date 22.03.0. En laissant tous les paramétres de base et en ajoutant juste les infos pour se connecter au réseau SFR fibre, le wan6 se met automatiquement en place sans avoir besoin de faire quoi que ce soit sur l'interface, et tout est connecté nativement en IPV6 direct, en plus de IPV4.

Bien sur je n'y comprend toujours rien à l'IPV6, mais au moins ca va permettre de commencer à bosser dessus.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: hoesman le 31 janvier 2023 à 14:41:32

Citation de: elvet le 30 juillet 2022 à 14:58:05

Hello, je viens de passer à openwrt (x86/64 avec un CPU Intel Atom N2800).
Download : 940 Mbps
Upload : 780 Mbps

J'ai l'impression que l'upload est un peu plus faible qu'avec ma NB6. Pas de gain en cochant "Software flow offloading"

Sinon, connaissez-vous des outils pour vérifier la sécu de la configs (firewall, DNS, ...) ? A partir de la config par défaut, j'ai simplement désactivé le ping et IGMP.

Tu peux controler avec ce site : https://www.grc.com/shieldsup

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Pigeon-gras le 05 février 2023 à 17:52:01

Bravo et merci pour le tuto qui fonctionne parfaitement chez moi RED SFR en 1° accès. accès internet OK, TV ok.
Je confirme la remarque :
=> renseigner le champ "Vendor Class to send when requesting DHCP" par un truc du genre neufbox_NB6V-XX:XX:XX:XX:XX:XX où XX est la mac adresse que l'on trouve sur la box qui a été fournie
=> renseigner le champ "Override MAC address" par la MAC adresse de la box

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: -Richard- le 24 mars 2023 à 06:54:18

Merci pour ce tutoriel !

Concernant la partie TV, on parle de fichier m3u pour visionner les chaînes sur le PC.

Si j'ai un décodeur TV, celui-ci sera bien fonctionnel ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: -Richard- le 29 mai 2023 à 14:24:16

Quelqu'un a réussi à faire fonctionner son décodeur TV via OpenWRT ?

Merci !

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 29 mai 2023 à 14:29:42

Citation de: -Richard- le 29 mai 2023 à 14:24:16

Quelqu'un a réussi à faire fonctionner son décodeur TV via OpenWRT ?

Merci !

salut,
De quel décodeur TV tu parles ?
Les connect-TV c'est de l'OTT, donc il n'y a rien a parametrer dans le routeur, ca se comporte comme n'importe quel périphérique raccordé au réseau.
J'ai un V2 et un V3 à la maison, aucun souci, ca marche nickel et strictement rien de configuré sur mon routeur openwrt.

Pour ce qui est du fichier m3u, ca ne fonctionne plus car il y a des DRM sur le flux maintenant, donc plus compliqué à mettre en oeuvre pour le décodage.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: -Richard- le 29 mai 2023 à 17:51:35

J'ai 2 décodeurs STB7 et j'y tiens. La fluidité n'est pas la même sur un match de foot entre la box que j'ai et leur appli SFR TV, la même que vous avez sur le boitier connect.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: thedark le 29 mai 2023 à 18:16:48

Il faut juste suivre Configuration de la TV ça devrait fonctionner

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: yom le 15 juin 2023 à 20:44:26

Bonjour,

Grâce à ce super thread, j'ai passé le cap et bypassé ma box neufbox. Ca fonctionne très bien en IPv4 mais je n'arrive pas à avoir une ipv6.

J'utilise OpenWrt 22.03.3 sur mediatek/mt7622

Ma conf est la suivante :

Code: [Sélectionner]

config interface 'wan'
	option device 'wan'
	option proto 'dhcp'
	option vendorid 'neufbox_NB6V-$MAC'
	list dns '1.1.1.1'
	list dns '1.0.0.1'
	option peerdns '0'

config interface 'wan6'
	option device 'wan'
	option proto 'dhcpv6'
	option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d6364630333970'
	option clientid '00030001$MAC_SANS_LES_:'
	option defaultreqopts '0'
	option reqopts '23 25 26'
	option reqaddress 'try'
	option reqprefix 'auto'
	option noclientfqdn '1'
	option noacceptreconfig '1'

Comment puis je avancer pour comprendre d'où vient mon pb ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 15 juin 2023 à 21:39:13

salut, tu as bien l'ipv6 avec la box de SFR ?

Voilà chez moi la conf qui marche parfaitement :

Citer

config interface 'wan'
   option proto 'dhcp'
   option reqopts '1 3 6 12 14 15 17 28 40 42'
   option vendorid 'neufbox_routeur_perso'
   option ipv6 '1'
   option macaddr 'xx:xx:xx:xx:xx:xx'
   option peerdns '0'
   list dns '1.1.1.1'
   list dns '8.8.8.8'
   option device 'eth1'

config interface 'wan6'
   option ifname '@wan'
   option proto 'dhcpv6'
   option peerdns '0'
   option reqaddress 'try'
   option defaultreqopts '0'
   option reqopts '23 25 26'
   option noclientfqdn '1'
   option noacceptreconfig '1'
   option vendorclass '0000a00c00416e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34346a5f4e42365641432d5844534c2d6364630333970'
   option clientid '00030001xxxxxxxxxxxx'
   list dns '2606:4700:4700::1111'
   list dns '2606:4700:4700::1001'
   option reqprefix 'auto'
   option device 'eth1'

remplacer les xxxxxxxxxxxx et xx:xx:xx:xx:xx:xx par l'adresse MAC

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: yom le 23 juin 2023 à 14:02:07

bien vu @rooot : pas d'IPV6 via la box. Je vais demander à l'activer

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: cedbouch le 02 août 2023 à 10:48:32

Pour ma part en suivant ce tuto avec une configuration OpenWrt 22.03.5 r20134 sur un router Xiaomi AX3200 avec Fibre RED:

Internet: Accès sans problème en changeant seulement le "vendorid "
TV: J'ai enlevé mon décodeur, je souhaitais utiliser l'appli SFR/RED mais sur ma TV samsung je n'ai pas pu me connecter (erreur connexion). J'ai finalement résilié l'option et j'utilise l'appli orange... avec un autre compte que j'ai. Ca fait le job, mais je ne regarde pas vraiment la TV. La qualité et moindre et je n'ai plus l'option de pause.
Téléphonie: La lutte. La version asterisk pose des problèmes avec OpenWRT. Même problème qu'un personne sur ce tchat à cause du chargement d'un module PJ. J'ai réussi à ne plus avoir le souci en installant la dépendance adéquate mais j'ai des souci de résolution DNS car Asterisk a été compilé avec une version light de libc... Je suis dessus on verra si j'y arrive. J'ai acheté un module IP/DECT pour gérer mes 2 DECT, ca sera l'étape suivant, j'essaie déjà de faire fonctionner le serveur asterisk.
Pour info il est nécessaire d'activer asterisk avec uci après les lignes du tuto

Bonne chance. Si j'arrive à trouver une solution je détaillerai un peu. Ca peut servier.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Brummpanda le 11 août 2023 à 16:16:49

Heyho,

Je viens de remplacer ma box SFR par un Banana PI RP-3.

Cela fonctionne très bien mais je me demande pourquoi mon lease DHCP ce n'est que 10 minutes ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 11 août 2023 à 17:37:16

@Brummpanda
c'est normal, c'est comme ça chez SFR, probablement à cause de la pénurie d'ipv4, pour libérer plus rapidement les baux ipv4 des routeurs éteins.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: trekker92 le 16 août 2023 à 12:10:26

Citation de: rooot le 11 août 2023 à 17:37:16

@Brummpanda
c'est normal, c'est comme ça chez SFR, probablement à cause de la pénurie d'ipv4, pour libérer plus rapidement les baux ipv4 des routeurs éteins.

10 minutes de bail dhcp (pour cet opé sur toute la france) c'est pas inutilement un trafic majestueusement pharaonique?
j'arrive pas à savoir sur quel raisonnement mettre cette pratique.. très étonnante...

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 17 août 2023 à 15:48:17

Citation de: trekker92 le 16 août 2023 à 12:10:26

10 minutes de bail dhcp (pour cet opé sur toute la france) c'est pas inutilement un trafic majestueusement pharaonique?
j'arrive pas à savoir sur quel raisonnement mettre cette pratique.. très étonnante...

je ne sais pas non plus, surtout qu'on peut eteindre son routeur pendant plusieurs jours et malgré tout recupérer encore la même IP, donc au final WTF ?? ;D ;D

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 28 mars 2024 à 00:54:55

Bonjour à tous, j'ai passé le cap aussi avec un routeur Xiaomi AX3000T passé sous OpenWRT.

Ce dernier bypasse sans problème la neufbox 6, adresse IPV4 et IPV6 fonctionnelles, etc.

Par contre je n'arrive pas à récupérer les infos nécessaires pour utiliser le téléphone via SIP, quelqu'un saurait d'où vient l'erreur ?

Voici le résultat avec l'outil proposé :

Code: [Sélectionner]

[tikilou@tikilou-PC]$ ./extract-voip-parameters_v2 
A tool to recover SIP configuration parameters from SFR/Red servers.
 It will only work on FTTH lines, if run from the IP address assigned to you by the ISP. If you are amongst the unlucky ones behind a CGNAT, ensure that your IPv6 connectivity is up and working before running this tool.
https://florent.daigniere.com/posts/2019/04/extracting-voip-credentials-from-my-broadband-router/

"If you think cryptography is the answer to your problem,
 then you don't know what your problem is."
~ Peter G. Neumann


panic: Get : unsupported protocol scheme ""

goroutine 1 [running]:
main.main()
	/home/nextgens/boxsfr/fibre/voip/getconf/getconf.go:116 +0xe74

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Asclèpios le 28 mars 2024 à 07:44:02

Par hasard, ta box est-elle toujours connectée à ton réseau ?
As-tu tenté de configurer les DNS de SFR sur ton routeur et de vérifier que ton PC les utilise bien ? Je ne me souviens plus précisément si les DNS de SFR sont indispensables pour récupérer les identifiants, mais il me semble que oui ;)

DNS SFR : 109.0.66.10 ; 109.0.66.20

Citation de: Tikilou le 28 mars 2024 à 00:54:55

Bonjour à tous, j'ai passé le cap aussi avec un routeur Xiaomi AX3000T passé sous OpenWRT.

Ce dernier bypasse sans problème la neufbox 6, adresse IPV4 et IPV6 fonctionnelles, etc.

Par contre je n'arrive pas à récupérer les infos nécessaires pour utiliser le téléphone via SIP, quelqu'un saurait d'où vient l'erreur ?

Voici le résultat avec l'outil proposé :

Code: [Sélectionner]
[tikilou@tikilou-PC]$ ./extract-voip-parameters_v2 A tool to recover SIP configuration parameters from SFR/Red servers. It will only work on FTTH lines, if run from the IP address assigned to you by the ISP. If you are amongst the unlucky ones behind a CGNAT, ensure that your IPv6 connectivity is up and working before running this tool. https://florent.daigniere.com/posts/2019/04/extracting-voip-credentials-from-my-broadband-router/ "If you think cryptography is the answer to your problem, then you don't know what your problem is." ~ Peter G. Neumann panic: Get : unsupported protocol scheme "" goroutine 1 [running]: main.main() /home/nextgens/boxsfr/fibre/voip/getconf/getconf.go:116 +0xe74

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 28 mars 2024 à 10:53:41

La neufbox v6 n'est plus du tout sur le réseau, elle est éteinte et débranchée du secteur/rj45, et les DNS sont bien ceux de SFR.

Je précise au cas où, que je suis sur un CGNAT chez Red....

Voilà mon fichier /etc/config/network sur le routeur openwrt :

Code: [Sélectionner]

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd91:45dd:40cd::/48'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config device
        option name 'wan'
        option macaddr 'xx:xx:xx:xx:xx:xx' (autre adresse mac)

config interface 'wan'
        option device 'wan'
        option proto 'dhcp'
        option vendorid 'neufbox_routeurpersoopenwrt'
config interface 'wan6'
        option device 'wan'
        option proto 'dhcpv6'

Et là, un petit coup de ifconfig (j'ai caché les adresse MAC et modifié les IP allouées par souci de confidentialité) :

Code: [Sélectionner]

br-lan    Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX  
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::a6a9:30ff:fdcd:b688/64 Scope:Link
          inet6 addr: fd91:45dd:40dd::1/60 Scope:Global
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:893938 errors:0 dropped:815 overruns:0 frame:0
          TX packets:1209980 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:469870427 (448.1 MiB)  TX bytes:3057991764 (2.8 GiB)

eth0      Link encap:Ethernet  HWaddr A4:A9:30:CE:B6:88  
          inet6 addr: fe80::a6a9:30ff:fdcd:b688/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1504  Metric:1
          RX packets:2541494 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1101872 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3196916196 (2.9 GiB)  TX bytes:536125357 (511.2 MiB)
          Interrupt:75 

lan2      Link encap:Ethernet  HWaddr A4:A9:30:CE:B6:88  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lan3      Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

lan4      Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:55796 errors:0 dropped:0 overruns:0 frame:0
          TX packets:47700 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:4815990 (4.5 MiB)  TX bytes:5668942 (5.4 MiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:10460 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10460 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:894048 (873.0 KiB)  TX bytes:894048 (873.0 KiB)

phy0-ap0  Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX  
          inet6 addr: fe80::a6a9:30ff:fece:b68a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:43247 errors:0 dropped:0 overruns:0 frame:0
          TX packets:89784 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:6523461 (6.2 MiB)  TX bytes:44529128 (42.4 MiB)

phy1-ap0  Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX  
          inet6 addr: fe80::a6a9:30ff:fdcd:b68b/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:984018 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2416647 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:489264144 (466.5 MiB)  TX bytes:3105623577 (2.8 GiB)

wan       Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX  
          inet addr:10.153.11.245  Bcast:255.255.255.255  Mask:255.255.255.254
          inet6 addr: fe80::a6a9:30ff:fd2b:7d5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2485698 errors:0 dropped:0 overruns:0 frame:0
          TX packets:903420 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3146353314 (2.9 GiB)  TX bytes:511138438 (487.4 MiB)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Asclèpios le 28 mars 2024 à 11:06:39

As-tu essayé d’exécuter le script directement sur le routeur ?

PS : En désactivant IPv4 (temporairement)
PS2 : Que donne ton fichier /tmp/resolv.conf.auto

Citation de: Tikilou le 28 mars 2024 à 10:53:41

La neufbox v6 n'est plus du tout sur le réseau, elle est éteinte et débranchée du secteur/rj45, et les DNS sont bien ceux de SFR.

Je précise au cas où, que je suis sur un CGNAT chez Red....

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 28 mars 2024 à 11:34:33

Je viens d'essayer (je pensais que le binaire proposé via le tutoriel était compilé uniquement pour architecture x86-64 ?) :

Code: [Sélectionner]

root@OpenWrt:/tmp/temp# ./extract-voip-parameters_v2 
./extract-voip-parameters_v2: line 0: can't create E����@/pE: nonexistent directory
./extract-voip-parameters_v2: line 0: 8: not found
./extract-voip-parameters_v2: line 2: �: not found
���#o7| -�`���K�����mo a�@Z�0������_Q�td�B��o�e*$I�$��s!@��d�
�
��.v ��@$o�v��//G ϶�M�a@�
               �\l�/�XX��I��f����o`��]lJ����NN���P/: nonexistent directory
./extract-voip-parameters_v2: line 5: syntax error: unexpected word (expecting ")")

Et voilà le contenu de /tmp/resolv.conf.d/resolv.conf.auto :

Code: [Sélectionner]

root@OpenWrt:# cat /tmp/resolv.conf.d/resolv.conf.auto 
# Interface wan
nameserver 109.0.66.10
nameserver 109.0.66.20

Je tenterais de désactiver IPV4 plus tard car je suis au travail, là et j'ai besoin de la connexion pour bosser ;D

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Asclèpios le 28 mars 2024 à 11:40:03

En effet j’avais omis ce détail d’importance ! Je suis nouille !

Citation de: Tikilou le 28 mars 2024 à 11:34:33

Je viens d'essayer (je pensais que le binaire proposé via le tutoriel était compilé uniquement pour architecture x86-64 ?) :

Et voilà le contenu de /tmp/resolv.conf.d/resolv.conf.auto :

Code: [Sélectionner]
root@OpenWrt:# cat /tmp/resolv.conf.d/resolv.conf.auto # Interface wan nameserver 109.0.66.10 nameserver 109.0.66.20
Je tenterais de désactiver IPV4 plus tard car je suis au travail, là et j'ai besoin de la connexion pour bosser ;D

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 28 mars 2024 à 13:38:53

l'application fait 2 requetes vers internet, et il n'arrive pas à faire l'une des 2, ou les 2.
un parefeu ou un logiciel qui bloquerait ?

La 1ere requete permet de savoir quelle est ton ipv4. je ne sais plus quel site elle interroge mais c'est un truc du genre : https://api.ipify.org/
La 2eme requete permet de construire une nouvelle requete avec des parametres, dont l'ipv4, vers un site de SFR qui va retourner un XML avec plein de parametres dont un token qui va permetre de dechiffrer le pass SIP.

Cette erreur indique, je pense, que l'outil n'a pas pu obtenir de réponse correcte aux requetes envoyées.
Avec un outil comme https://www.httpdebugger.com/ tu peux voir en clair les requetes qui sont envoyés par l'outil. et voir laquelle des 2 requetes déconne.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 28 mars 2024 à 14:08:29

Étant sous Linux, je peux observer les requêtes avec tcpflow, voilà tout ce que j'obtiens en terme de requêtes quand je lance l'outil en question (j'ai remplacé les bonnes valeurs affichées par [XXXXXXXXXXXX] et légèrement modifié l'ipv4 de ip_dhcp [qui ne correspond pas du tout à l'IP attribuée via CGNAT plutôt du genre "10.153.12.XXX"], par souci de confidentialité) :

Code: [Sélectionner]

$ sudo tcpflow -p -c -i wlp2s0 | grep -oE '(GET|POST|HEAD) .* HTTP/1.[01]|Host: .*'
reportfilename: ./report.xml
tcpflow: listening on wlp2s0
GET /ip HTTP/1.1
Host: ifconfig.io
GET /general.xml?ip_ppp=&ip_dhcp=77.141.221.106&mac=[XXXXXXXXXXXX]&mac_ppp=[XXXXXXXXXXXX]&login_ppp=[XXXXXXXXXXXX]@neufpnp&infra=THD&version=0&hw=NB6VAC-FXC-r0&sw=NB6VAC-MAIN-R4.0.37&idur=&opt82_ppp=&opt82_dhcp=&token= HTTP/1.1
Host: general.neufbox.sfr.net

Si j'affiche directement l'url indiquée pour general.xml via firefox, j'obtiens ce contenu :

Code: [Sélectionner]

3600 9000 0 firmware firmware2.xml general.neufbox.sfr.net http hotspot cfgnbXchilli_201709081500.xml hotspot.neufbox.sfr.net http tvservices cfgnb4tvservices_202205301631.xml tv.neufbox.sfr.net http ca cfgnbXca_201506231500.xml ca.neufbox.sfr.net http wanservices wanservices2.xml wan.neufbox.sfr.net http

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 28 mars 2024 à 17:58:35

tu as testé l'outil sous windows ?

Je viens de vérifier, en fait c'est pas 2 mais 3 requetes. La dernière en direction de http://voip.boxred.sfr.net/voip2.xml c'est celle-ci qui va permettre de décoder le hash du mot de passe.

(https://i.imgur.com/mbDcM3c.png)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 28 mars 2024 à 18:25:51

Hé bien, suite à tes conseils, je viens de sortir un PC sous Windows, et voici la capture d'écran dudit logiciel, après avoir lancé l'outil, il s'arrête à la seconde requête, et le verbose de l'outil via l'invite de commande est exactement le même que sur le terminal sous ArchLinux :

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 28 mars 2024 à 18:39:11

je pense que dans la 2eme requete il doit manquer des parametres necessaires à la construction de la 3eme. Notamment le token. Est-ce que tu le vois dans le XML en réponse ?

(https://i.imgur.com/gqkL1F5.png)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 28 mars 2024 à 18:47:37

Rien au niveau Token, voilà la capture d'écran de la même requête que toi :

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 28 mars 2024 à 18:49:09

bon ben voila la raison. Maintenant, la cause je ne saurais dire...le CGNAT peut etre ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 28 mars 2024 à 18:54:03

Tu as service enable = True pour Voip2.xml ??
(https://i.imgur.com/sCWTspo.png)

T'aurais pas la téléphonie désactivée ou un truc comme ça, si tu mets ta box SFR ??

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 28 mars 2024 à 19:01:24

La téléphone est bien activé quand la Box SFR est branchée.
Par contre, pas de section voip2.xml dans le XML fourni par SFR.

Il n'y a que ça :

Code: [Sélectionner]

<?xml version="1.0"?>
<general version="202307209600">
  <http_request_interval>3600</http_request_interval>
  <upgrade-delay>9000</upgrade-delay>
  <idur />
  <opt82_ppp />
  <opt82_dhcp />
  <token />
  
  <migration>0</migration>
  
  <service enable="true">
    <name version="202201310918">firmware</name>
    <file>firmware2.xml</file>
    <tech-chain/>
    <url>general.neufbox.sfr.net</url>
    <protocol>http</protocol>
  </service>
  
  <service enable="false">
    <name version="201709081500">hotspot</name>
    <file>cfgnbXchilli_201709081500.xml</file>
    <tech-chain/>
    <url>hotspot.neufbox.sfr.net</url>
    <protocol>http</protocol>
  </service>
  
  <service enable="true">
    <name version="202205301631">tvservices</name>
    <file>cfgnb4tvservices_202205301631.xml</file>
    <tech-chain/>
    <url>tv.neufbox.sfr.net</url>
    <protocol>http</protocol>
  </service>
  
  <service enable="false">
    <name version="201506231500">ca</name>
    <file>cfgnbXca_201506231500.xml</file>
    <tech-chain/>
    <url>ca.neufbox.sfr.net</url>
    <protocol>http</protocol>
  </service>
  
  <service enable="true">
    <name version="202301110510">wanservices</name>
    <file>wanservices2.xml</file>
    <tech-chain/>
    <url>wan.neufbox.sfr.net</url>
    <protocol>http</protocol>
  </service>
  
  
</general>

Peut-être effectivement que le CGNAT a été modifié et que c'est la cause, je ferais ce qu'il faut pour demander à revenir à une IP dédiée, demain, j'espère que ça va aider, je vous tiendrais au courant des avancées/essais ! :-)
Le but évidemment, c'est de récupérer la ligne fixe sur les téléphones mobiles connectés au réseau local, quand on est à la maison... :-)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 28 mars 2024 à 19:22:47

je pense que demander un retour ou un passage en ipv4 full stack devrait résoudre le problème. il suffit d'appeler SFR, et leur indiquer que vous avez besoin de vous connecter depuis l'extérieur a vos cameras de surveillance dans la maison, et que ce n'est pas possible a cause du CGNAT qui empeche l'utilisation du NAT. Si le gars au téléphone fait mine de ne pas comprendre, on raccroche on patiente 1 minute et on rappelle, jusqu'a tomber sur un gars qui comprend bien le probleme.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 19 avril 2024 à 14:22:08

Quelques nouvelles, je viens d'obtenir une vraie ipv4 non partagée, l'outil fonctionne normalement désormais, j'ai accès à toutes les informations pour la téléphonie fixe ! :-)

Donc clairement, ces outils ne fonctionne pas quand le cgnat est activé ! :P

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Solute112 le 20 avril 2024 à 01:29:55

Hello Tikilou as-tu réussi à faire fonctionner les appels SIP ?

Citation de: Tikilou le 19 avril 2024 à 14:22:08

Quelques nouvelles, je viens d'obtenir une vraie ipv4 non partagée, l'outil fonctionne normalement désormais, j'ai accès à toutes les informations pour la téléphonie fixe ! :-)

Donc clairement, ces outils ne fonctionne pas quand le cgnat est activé ! :P

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 20 avril 2024 à 11:04:32

Citation de: Solute112 le 20 avril 2024 à 01:29:55

Hello Tikilou as-tu réussi à faire fonctionner les appels SIP ?

Oui, ça y est, mais je n'ai pas du tout suivi ce tutoriel avec le serveur Asterisk car ça ne fonctionnait pas du tout, j'ouvrirais un nouveau sujet pour expliquer comment je m'y suis pris, mais j'ai pu installer et me connecter à Asterisk depuis des clients logiciels SIP (Linphone, etc...), alors que le serveur était installé et configuré sous Ubuntu et OpenWRT.

Je passe les appels et ça fonctionne, pas de coupures, par contre, les appels entrants n'arrivent pas.
Si certains sauraient expliquer ce que je peux faire avec LUCI pour le pare-feu/NAT ou via SSH (et que ça soit bien intégré et visible dans LUCI), ça serait chouette car c'est ici mon gros point faible, je m'y perd complètement et je suis une bille en la matière.

En l’occurrence il me reste trois problèmes :
-Pas de réception des appels entrants, ça sonne dans le vide.
-Pas de connexion à Asterisk avec n'importe quel client SIP via un routeur openwrt connecté au routeur openwrt qui remplace la neufbox (le routeur N°2 se connecte par wifi au routeur N°1 en direct ou via un étendeur wifi selon situation).
-Pas de connexion au serveur Asterisk via Tailscale (VPN) pour pouvoir accéder à cette ligne fixe depuis l'extérieur, Tailscale est bien intégré à OpenWRT et LUCI et fonctionnel pourtant. - Encore un problème de pare-feu j'imagine, mais je ne sais pas ce que je devrais faire et manque de notions... (Par défaut, tout sort, mais rien ne rentre sur le wan, et tout est ouvert en LAN, j'en suis juste resté là)

Si certains ont des conseils à donner je serais preneur, je ferais un tutoriel remis à jour une fois les objectifs atteints. :-)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 21 avril 2024 à 03:11:11

Salut,

Si tu as IPv6 (réponse négative interdite ;)), le SIP SFR fonctionne très bien avec IPv6, ce qui enlève une bonne partie des soucis liés au NAT.

Voici mes configurations sans les options liées au passage à travers un NAT. Il y a juste à changer {NUMTEL} (sans le 0 s'il y a le +33) et {MOTDEPASSE}.

pjsip.conf:

Code: [Sélectionner]

;dig SRV _sip._udp.residential.p-cscf.sfr.net 
; IP à choisir pour outbound_proxy
;mitry.p-cscf.sfr.net 2a02:8400:20:22b::8 2a02:8400:20:228::8 2a02:8400:20:22a::8 2a02:8400:20:229::8 2a02:8400:20:22c::8
;corbas.p-cscf.sfr.net 2a02:8400:20:1209::8 2a02:8400:20:120a::8 2a02:8400:20:120b::8 2a02:8400:20:120c::8 2a02:8400:20:1208::8
;trappes.p-cscf.sfr.net 2a02:8400:20:23b::8 2a02:8400:20:23c::8 2a02:8400:20:238::8 2a02:8400:20:239::8 2a02:8400:20:23a::8
;venissieux.p-cscf.sfr.net 2a02:8400:20:1228::8 2a02:8400:20:1229::8 2a02:8400:20:122a::8

[transport-udp-ipv6]
type=transport
protocol=udp
bind=::

[sfr]
type=registration
transport=transport-udp-ipv6
outbound_auth=sfr_auth
outbound_proxy=sip:[2a02:8400:20:239::8]:5062\;lr
server_uri=sip:+33{NUMTEL}@ims.mnc010.mcc208.3gppnetwork.org
client_uri=sip:+33{NUMTEL}@ims.mnc010.mcc208.3gppnetwork.org
contact_user=+33{NUMTEL}

[sfr_auth]
type=auth
auth_type=userpass
password={MOTDEPASSE}
username=NDI{NUMTEL}.CTR.THD@sfr.fr
realm=sfr.fr

[sfr]
type=endpoint
aors=sfr
context=from-external
from_domain=ims.mnc010.mcc208.3gppnetwork.org
from_user=+33{NUMTEL}
outbound_auth=sfr_auth
outbound_proxy=sip:[2a02:8400:20:239::8]:5062\;lr
rewrite_contact=yes
transport=transport-udp-ipv6
disallow=all
allow=alaw
allow=ulaw
allow=gsm
allow=g722
allow=g729

[sfr]
type=aor
contact=sip:+33{NUMTEL}@ims.mnc010.mcc208.3gppnetwork.org
max_contacts=9999
remove_existing=yes

[sfr]
type=identify
endpoint=sfr
match=[2a02:8400:20:239::8]:5062;

[endpoint_internal]
type=endpoint
transport=transport-udp-ipv6
context=from-internal
from_domain=ims.mnc010.mcc208.3gppnetwork.org
disallow=all
allow=alaw
allow=ulaw
allow=gsm
allow=g722
allow=g729
language=fr

[aor_dynamic](!)
type=aor
max_contacts=9999
remove_existing=yes

[auth_userpass](!)
type=auth
auth_type=userpass

; Ici on configure le client/téléphone/passerelle. Le domaine SIP à renseigner sera l'adresse du système avec asterisk.

[ht801](aor_dynamic)

[ht801](auth_userpass)
password=ht801 ; identifiant à renseigner pour le client SIP
username=ht801 ; identifiant pour le client SIP

[ht801](endpoint_internal)
auth=ht801
aors=ht801
callerid=ht801

extensions.conf : le fichier configure les règles pour les appels entrants et sortants

Code: [Sélectionner]

[general]
autofallthrough=yes
clearglobalvars=no
static=yes
writeprotect=no

[from-internal] ; on règle ici les appels sortants avec le numéro/identifiant SFR
exten => _X.,1,Dial(PJSIP/${EXTEN}@sfr)
exten => _X.,n,Hangup()

exten => 123,1,VoiceMailMain(${CALLERID(num)})
exten => 123,n,Hangup()

[from-external] ; on règle ici les appels entrants (le n° +33{NUMTEL} bascule sur le client ht801)
exten => +33{NUMTEL},1,Dial(PJSIP/ht801) ; si on voulait faire sonner deux clients différents déclarés dans le fichier pjsip = Dial(PJSIP/ht801&PJSIP/ht802). Le premier qui décroche a gagné.
exten => +33{NUMTEL},n,Hangup()

Les fichiers sont bien commentés sinon : https://github.com/asterisk/asterisk/tree/20.0/configs/samples (https://github.com/asterisk/asterisk/tree/20.0/configs/samples)

Pour le firewall du système où est installé asterisk :
- accepter les connexions entrantes pour asterisk : port 5060, UDP. Ex nftables avec une règle avec filtrages des ips SFR et une autre pour accepter les connexions locales (interface br-lan). Il pourrait y avoir une règle pour ouvrir tout court le port 5060 UDP mais un serveur SIP ouvert aux quatre vents c'est pas terrible :

Code: [Sélectionner]

ip6 saddr { 2a02:8400:20:238::8, 2a02:8400:20:239::8, 2a02:8400:20:23a::8, 2a02:8400:20:23b::8, 2a02:8400:20:23c::8 } udp dport 5060 ct state { new, untracked } accept comment "!fw: SIP SERVER SFR"
iifname "br-lan" udp dport 5060 ct state { new, untracked } accept comment "!fw: Accept SIP SERVER LOCAL"

- une règle pour accepter les connexions entrantes des sessions RTP : plage de ports 10000-20000, UDP (configuration par défaut du fichier rtp.conf dans le paquet fourni par openwrt). Ex nftables :

Code: [Sélectionner]

meta nfproto ipv6 udp dport 10000-20000 ct state { new, untracked } accept comment "!fw: SIP SERVER RTP"
Désolé je ne connais pas les équivalents en commandes uci. Je trouve qu'un fichier de conf nftables est plus simple et logique que FW4. Mais avec ces infos tu devrais y arriver.

Paquets à installer pour openwrt :

Code: [Sélectionner]

asterisk asterisk-pjsip  asterisk-bridge-simple asterisk-codec-alaw asterisk-codec-ulaw asterisk-codec-g722 asterisk-codec-g729 asterisk-res-rtp-asterisk

Citer

-Pas de réception des appels entrants, ça sonne dans le vide.

Avec le port 5060 ouvert et les bons paramètres, ça devrait le faire. S'il n'y a pas de son c'est la session RTP qui foire.

Citer

-Pas de connexion à Asterisk avec n'importe quel client SIP via un routeur openwrt connecté au routeur openwrt qui remplace la neufbox (le routeur N°2 se connecte par wifi au routeur N°1 en direct ou via un étendeur wifi selon situation).

Comment fonctionne ta cascade de routeur exactement et pourquoi deux routeurs ? (jai un peu peur pour IPv6 du coup ...). Tes tests sont bien faits "branché au cul" du routeur n°1 ?

Citer

-Pas de connexion au serveur Asterisk via Tailscale (VPN) pour pouvoir accéder à cette ligne fixe depuis l'extérieur, Tailscale est bien intégré à OpenWRT et LUCI et fonctionnel pourtant. - Encore un problème de pare-feu j'imagine, mais je ne sais pas ce que je devrais faire et manque de notions... (Par défaut, tout sort, mais rien ne rentre sur le wan, et tout est ouvert en LAN, j'en suis juste resté là)

Je peux pas t'aider, je ne sais pas comment tailscale est intégré à Openwrt, ni quelle zone ou règles par défaut. J'imagine qu'une nouvelle interface est créée et il faut donc des nouvelles règles.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 22 avril 2024 à 11:58:51

Citation de: ppn_sd le 21 avril 2024 à 03:11:11

Salut,

Si tu as IPv6 (réponse négative interdite ;)), le SIP SFR fonctionne très bien avec IPv6, ce qui enlève une bonne partie des soucis liés au NAT.

Merci pour ta réponse, les informations et exemples donnés, à vrai dire je ne sais même pas comment être sûr que j'ai bien une IPV6, OpenWRT c'est un peu tout nouveau pour moi, j'ai beaucoup de lacunes, tout comme certaines bases en réseau (alors que paradoxalement, je sais peu ou prou configurer un serveur web + NDD sous Debian/Ubuntu), mais là aussi j'ai des lacunes en sécurité & en matière de pare-feu, nat, bridge, et j'en passe.

J'ai partagé avec ma réponse une image de carte mentale que j'ai fait ce matin, elle est en très haute résolution, du coup les captures d'écran sont lisibles en zoomant dessus, il y a toutes les informations accessibles et les liens indiqués entre les différents éléments pour comprendre ma configuration. Si tu penses que tout ouvrir sur le pare-feu du deuxième routeur en matière de sécurité, n'hésite pas à m'en faire part.

Voilà mes fichiers de configuration actuels sur asterisk-pjsip sur le routeur OpenWRT N°1 :

/etc/asterisk/pjsip.conf

Code: [Sélectionner]

[transport-udp-nat]
bind=0.0.0.0
external_media_address=192.168.1.1
external_signaling_address=192.168.1.1
local_net=192.168.1.1/255.255.255.0
protocol=udp
type=transport

; --------- ;
; Templates ;
; --------- ;

[my_codecs](!)
disallow=all
allow=ilbc
allow=g729
allow=gsm
allow=g723
allow=ulaw


[aor_dynamic](!)
max_contacts=1
remove_existing=yes
type=aor

[auth_userpass](!)
auth_type=userpass
type=auth

[endpoint_internal](!,my_codecs)
context=outgoing
from_domain=ims.mnc010.mcc208.3gppnetwork.org
language=fr
type=endpoint

; --------- ;
; Trunk SFR ;
; --------- ;

[sfr]
contact=sip:+33NUMERODETEL@ims.mnc010.mcc208.3gppnetwork.org
outbound_proxy=sip:corbas.p-cscf.sfr.net:5062\;lr
type=aor

[sfr]
auth_type=userpass
password=MOT_DE_PASSE_LIGNE_SFR_SIP
realm=
username=NDI0NUMERODETEL.MPY.THD@sfr.fr
type=auth

[sfr](my_codecs)
aors=sfr
context=incoming
from_domain=ims.mnc010.mcc208.3gppnetwork.org
from_user=+33NUMERODETEL
outbound_auth=sfr
outbound_proxy=sip:corbas.p-cscf.sfr.net:5062\;lr
rewrite_contact=yes
transport=transport-udp-nat
type=endpoint

[sfr]
endpoint=sfr
match=residential.p-cscf.sfr.net
type=identify

[sfr]
client_uri=sip:+33NUMERODETEL@ims.mnc010.mcc208.3gppnetwork.org
outbound_auth=sfr
outbound_proxy=sip:corbas.p-cscf.sfr.net:5062\;lr
server_uri=sip:+33NUMERODETEL@ims.mnc010.mcc208.3gppnetwork.org
transport=transport-udp-nat
type=registration

; -------------------- ;
; Phone Line 'tralala' ;
; -------------------- ;

[tralala](aor_dynamic)

[tralala](auth_userpass)
password=MOT_DE_PASSE_CLIENT_SIP
username=tralala

[tralala](endpoint_internal)
auth=tralala
aors=tralala
callerid=tralala

Et /etc/asterisk/extensions.conf

Code: [Sélectionner]

[general]
autofallthrough=yes
clearglobalvars=no
priorityjumping=no
static=yes
writeprotect=no

[globals]
CONSOLE=Console/dsp
IAXINFO=guest
TRUNK=DAHDI/G2
TRUNKMSD=1

[outgoing]
exten => _X.,1,Dial(PJSIP/${EXTEN}@sfr)
exten => _X.,n,Hangup()

[incoming]
exten => s,1,Dial(PJSIP/tralala)

Ensuite j'ai simplement utilisé "service enable asterisk" pour l'autodémarrage au démarrage du routeur et "service start asterisk" pour démarrer asterisk maintenant. J'ai pu tester avec différents clients SIP dont Linphone sur Linux et Android, et Zoiper sous Linux et je peux envoyer des appels, mais uniquement si je suis connecté par wifi au routeur OpenWRT N°1.

Citation de: ppn_sd le 21 avril 2024 à 03:11:11

Pour le firewall du système où est installé asterisk :
- accepter les connexions entrantes pour asterisk : port 5060, UDP. Ex nftables avec une règle avec filtrages des ips SFR et une autre pour accepter les connexions locales (interface br-lan). Il pourrait y avoir une règle pour ouvrir tout court le port 5060 UDP mais un serveur SIP ouvert aux quatre vents c'est pas terrible :
Code: [Sélectionner]
ip6 saddr { 2a02:8400:20:238::8, 2a02:8400:20:239::8, 2a02:8400:20:23a::8, 2a02:8400:20:23b::8, 2a02:8400:20:23c::8 } udp dport 5060 ct state { new, untracked } accept comment "!fw: SIP SERVER SFR" iifname "br-lan" udp dport 5060 ct state { new, untracked } accept comment "!fw: Accept SIP SERVER LOCAL"
- une règle pour accepter les connexions entrantes des sessions RTP : plage de ports 10000-20000, UDP (configuration par défaut du fichier rtp.conf dans le paquet fourni par openwrt). Ex nftables :
Code: [Sélectionner]
meta nfproto ipv6 udp dport 10000-20000 ct state { new, untracked } accept comment "!fw: SIP SERVER RTP"
Désolé je ne connais pas les équivalents en commandes uci. Je trouve qu'un fichier de conf nftables est plus simple et logique que FW4. Mais avec ces infos tu devrais y arriver.

Avec le port 5060 ouvert et les bons paramètres, ça devrait le faire. S'il n'y a pas de son c'est la session RTP qui foire.
Comment fonctionne ta cascade de routeur exactement et pourquoi deux routeurs ? (jai un peu peur pour IPv6 du coup ...). Tes tests sont bien faits "branché au cul" du routeur n°1 ?
Je peux pas t'aider, je ne sais pas comment tailscale est intégré à Openwrt, ni quelle zone ou règles par défaut. J'imagine qu'une nouvelle interface est créée et il faut donc des nouvelles règles.

Alors pour répondre à ce que je peux, j'ai bien indiqué les ports à ouvrir avec ma configuration, sans plus de succès avec les appels entrants, mais je n'ai pas configuré IPV6 et ne sait pas si j'en ai bien une, ce que tu devrais pouvoir me dire avec mes captures d'écran.
Concernant ma cascade, comme montré sur ma carte mentale, j'ai tout un équipement à gérer, à la maison, mais aussi dans le jardin.
J'ai une configuration avec deux rasbperry PI, gérant Home Assistant et OpenSprinkler pour une irrigation fine au goutte à goutte et pour une pépinière. (De la documentation à ce sujet : https://pepinature.org/fr/gestion_de_l_eau/programmation_avancee_et_automatisation_de_l_irrigation )
Comme je ne peux pas tirer de câble RJ45 étant en location, j'ai installé le répéteur wifi pour que le routeur gérant la partie pépinière puisse avoir accès à internet, c'est pourquoi le routeur N°2 sous OpenWRT se connecter au répéteur par wifi.

En outre, l'objectif, est aussi de pouvoir me connecter à ce routeur en wifi dans le jardin, permettre aux enfants de le faire également, accéder aux équipements branchés en RJ45 sur le routeur N°1 (ça, ça fonctionne déjà) et surtout, utiliser la ligne Fixe SFR depuis le jardin via le client SIP du smartphone.
Et en prime, si je peux accéder au routeur N°1 depuis le routeur N°2 dans ma configuration actuelle, l'inverse n'est pas vrai, sans tailscale (VPN) je n'arrive pas à contacter ni le routeur N°2, ni les raspberry PI branchés dessus (Ni la caméra que j'installerais prochainement), depuis une connexion wifi au routeur N°1 à la maison.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 22 avril 2024 à 14:12:40

Salut,

Un sujet dédié est certainement plus adapté pour ta configuration d'ensemble parce qu'on est très éloigné de la seule configuration du routeur en vue de remplacer la box SFR. Avoir un système avec deux routeurs avec sous-réseaux implique en ipv4 des configurations spécifiques.

Pour ipv6, va sur http://ip.lafibre.info (http://ip.lafibre.info) avec un pc client. Mais visiblement tu n'as pas.

Si on se concentre sur asterisk :
Concernant les règles de parefeu et pas seulement les zones, peux-tu faire une copie d'écran ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 22 avril 2024 à 14:26:47

Citation de: ppn_sd le 22 avril 2024 à 14:12:40

Salut,

Un sujet dédié est certainement plus adapté pour ta configuration d'ensemble parce qu'on est très éloigné de la seule configuration du routeur en vue de remplacer la box SFR. Avoir un système avec deux routeurs avec sous-réseaux implique en ipv4 des configurations spécifiques.

Je pense proposer ça par la suite, mais l'idée ça serait déjà de se concentrer sur la partie téléphonie/Serveur Asterisk/Client SIP. :)

Citation de: ppn_sd le 22 avril 2024 à 14:12:40

Pour ipv6, va sur http://ip.lafibre.info (http://ip.lafibre.info) avec un pc client. Mais visiblement tu n'as pas.

Je confirme avec ce lien, pas d'ipv6...

Citation de: ppn_sd le 22 avril 2024 à 14:12:40

Si on se concentre sur asterisk :
Concernant les règles de parefeu et pas seulement les zones, peux-tu faire une copie d'écran ?

Je te partage les règles des deux routeurs (pas de pare-feu sur le répéteur), en pièce jointe, qu'est ce que tu en penses ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 22 avril 2024 à 15:32:59

Comme asterisk est sur le routeur n°1, ce n'est pas des redirections de port qu'il faut faire mais bien des "règles de trafic". Les redirections de port sont utiles notamment pour un service hébergé dans la zone lan et sans ip publique : le cas de ton serveur minetest. Ici ce n'est pas le besoin donc tu peux supprimer les règles VOIP SFR / SFR 2.

Dans "règles de trafic" :
from wan to "cet appareil" port 5060 UDP. Action INPUT
from wan to "cet appareil" ports 10000-20000 UDP. Action INPUT
from lan to "cet appareil" port 5060 UDP. Action INPUT

Je n'ai volontairement pas regardé le routeur 2. Il faut d'abord cibler la configuration du 1.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 22 avril 2024 à 18:53:16

Citation de: ppn_sd le 22 avril 2024 à 15:32:59

Comme asterisk est sur le routeur n°1, ce n'est pas des redirections de port qu'il faut faire mais bien des "règles de trafic". Les redirections de port sont utiles notamment pour un service hébergé dans la zone lan et sans ip publique : le cas de ton serveur minetest. Ici ce n'est pas le besoin donc tu peux supprimer les règles VOIP SFR / SFR 2.

Dans "règles de trafic" :
from wan to "cet appareil" port 5060 UDP. Action INPUT
from wan to "cet appareil" ports 10000-20000 UDP. Action INPUT
from lan to "cet appareil" port 5060 UDP. Action INPUT

Je n'ai volontairement pas regardé le routeur 2. Il faut d'abord cibler la configuration du 1.

D'acc', on se concentre en priorité sur Asterisk sur le routeur N°1 ! ;D
J'ai configuré tout ce que tu me dis, j'ai fait des captures d'écran au cas où je me serais planté et que tu remarquerais une anomalie. ???
Je ne parviens toujours pas à recevoir les appels entrants sur les clients SIP utilisés connectés à ce routeur, hélas... :(

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: rooot le 22 avril 2024 à 19:54:14

Avec 0 parametrages dans le routeur j'arrive a recevoir et envoyer des appels, j'ai juste été limité a des appels de 30s sur les appels recus. T'es sur que le souci chez toi n'est pas dans la config du client SIP ?

Sinon @artemus24 a posté sa config Asterix qui fonctionne, après suivant les version les parametres peuvent etre différents ou absents...
https://lafibre.info/remplacer-sfr/utilisation-dasterisk-sous-debian-11/msg1029659/#msg1029659

Citer

Le paramètre "rewrite_contact=yes" dans le fichier pjsip.conf d'Asterisk est utilisé pour indiquer à Asterisk s'il doit ou non modifier l'en-tête de contact des messages SIP entrants. L'en-tête de contact contient l'adresse IP et le port du client SIP qui envoie la demande.

Lorsque "rewrite_contact" est défini sur "yes", Asterisk va remplacer l'adresse IP et le port dans l'en-tête de contact par ses propres informations d'adresse IP et de port avant de relayer la demande. Cela peut être utile dans certaines situations, par exemple, si Asterisk est situé derrière un NAT (Network Address Translation) et doit s'assurer que les réponses SIP parviennent correctement au client SIP.

En résumé, "rewrite_contact=yes" est utilisé pour que Asterisk modifie l'en-tête de contact des messages SIP entrants afin de garantir la bonne transmission des messages dans des configurations réseau spécifiques.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 22 avril 2024 à 21:00:07

Il faut effectivement bien reprendre ta configuration, par exemple :

Citer

[transport-udp-nat]
bind=0.0.0.0
external_media_address=192.168.1.1
external_signaling_address=192.168.1.1
local_net=192.168.1.1/255.255.255.0
protocol=udp
type=transport

Les deux adresses external correspondent à l'adresse WAN/IP publique, pas l'adresse LAN de ton routeur.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 22 avril 2024 à 22:55:24

Citation de: ppn_sd le 22 avril 2024 à 21:00:07

Il faut effectivement bien reprendre ta configuration, par exemple :

Les deux adresses external correspondent à l'adresse WAN/IP publique, pas l'adresse LAN de ton routeur.

Effectivement, j'ai indiqué mon IPV4 publique, et cette fois, je reçois bien les appels via SIP, merci ! ;D
Par contre, c'est amené à poser un sacré problème, étant donné que l'adresse IP allouée par SFR n'est pas fixe, il faudra systématiquement la mettre à jour dans le fichier de configuration ? :o
J'ai bien essayé de la remplacer dans le fichier de configuration par un ndd no-ip qui pointe vers celle-ci (ddns installé et configuré sur OpenWRT), mais ça ne fonctionne pas.

Citation de: rooot le 22 avril 2024 à 19:54:14

Avec 0 parametrages dans le routeur j'arrive a recevoir et envoyer des appels, j'ai juste été limité a des appels de 30s sur les appels recus. T'es sur que le souci chez toi n'est pas dans la config du client SIP ?

Sinon @artemus24 a posté sa config Asterix qui fonctionne, après suivant les version les parametres peuvent etre différents ou absents...
https://lafibre.info/remplacer-sfr/utilisation-dasterisk-sous-debian-11/msg1029659/#msg1029659

Je me suis justement inspiré de ce qu'il a fait, et mon fichier de configuration contient bien ce paramètre pour éviter ce souci des 37 secondes ! :-)

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 22 avril 2024 à 23:06:03

Citation de: Tikilou le 22 avril 2024 à 22:55:24

Par contre, c'est amené à poser un sacré problème, étant donné que l'adresse IP allouée par SFR n'est pas fixe, il faudra systématiquement la mettre à jour dans le fichier de configuration ? :o

L'adresse ip n'est pas fixe contractuellement mais elle ne bougera que lors de changements dans l'infra par exemple. Donc rarement.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 22 avril 2024 à 23:22:35

Citation de: ppn_sd le 22 avril 2024 à 23:06:03

L'adresse ip n'est pas fixe contractuellement mais elle ne bougera que lors de changements dans l'infra par exemple. Donc rarement.

D'accord, mais je pense que je potasserais sur la mise à jour automatique du fichier de conf' asterisk pour prévenir toute nécessité de changement. :D
Du coup la partie SIP sur le routeur N°1 est réglée, aurais tu une idée du pourquoi du comment ça ne passe pas via le routeur N°2 ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 23 avril 2024 à 06:37:20

As-tu réessayé ? Quel domaine SIP renseignes-tu sur tes clients ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 23 avril 2024 à 08:51:52

Citation de: ppn_sd le 23 avril 2024 à 06:37:20

As-tu réessayé ? Quel domaine SIP renseignes-tu sur tes clients ?

Oui, je viens de réessayer.

Depuis Linphone sur mon smartphone Android, quand je suis connecté par wifi à mon routeur N°1, ça roule, la connexion au serveur asterisk fonctionne, et quand j'appelle le 1023 par exemple, la communication s'établit bien.

Par contre, quand je connecte par wifi le smartphone au routeur N°2, la connexion semble bien s'établir avec Asterisk sur le routeur N°1 via Linphone, j'indique comme dans l'exemple précédent dans ce client SIP le domaine 192.168.1.1 qui est celle du routeur N°1, mais par contre si je tente un appel, la communication apparaît établie (temps qui passe), mais il n'y a aucun son, pas de tonalité d'appel, rien.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 23 avril 2024 à 09:30:07

Essaie en changeant la valeur de local_net dans pjsip.conf :
~~local_net=192.168.1.1/255.255.255.0~~
local_net=192.168.1.1/22

Avec ta première valeur de netmask à 255.255.255.0 (équivalent /24), asterisk considère ton réseau local sur les adresses 192.168.1.1 -> 192.168.1.254, et ton deuxième sous-réseau est donc exclu de son mécanisme NAT.
Avec un netmask plus grand "255.255.252.0" ou noté "/22", la plage devient 192.168.0.1 -> 192.168.3.254

Tu peux utilement regarder avec un outil de ce genre :
https://www.cidr.eu/en/calculator (https://www.cidr.eu/en/calculator)

EDIT : vire ces sous-réseaux et déploie ipv6 :D, d'autant que tu n'as aucune règle de filtrage entre les deux.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 23 avril 2024 à 10:45:05

Citation de: ppn_sd le 23 avril 2024 à 09:30:07

Essaie en changeant la valeur de local_net dans pjsip.conf :
~~local_net=192.168.1.1/255.255.255.0~~
local_net=192.168.1.1/22

Avec ta première valeur de netmask à 255.255.255.0 (équivalent /24), asterisk considère ton réseau local sur les adresses 192.168.1.1 -> 192.168.1.254, et ton deuxième sous-réseau est donc exclu de son mécanisme NAT.
Avec un netmask plus grand "255.255.252.0" ou noté "/22", la plage devient 192.168.0.1 -> 192.168.3.254

Tu peux utilement regarder avec un outil de ce genre :
https://www.cidr.eu/en/calculator (https://www.cidr.eu/en/calculator)

EDIT : vire ces sous-réseaux et déploie ipv6 :D, d'autant que tu n'as aucune règle de filtrage entre les deux.

Alors, j'ai tenté de changé les valeurs que tu as indiqué ;

J'ai remplacé "192.168.1.1/255.255.255.0" par "192.168.1.1/22", redémarré le service asterisk, et même le routeur, et je n'ai toujours aucun son quand je tente les appels depuis le routeur N°2.
J'ai également tenté de remplacer par "192.168.1.1/255.255.252.0" ou "192.168.1.1/255.255.255.255", ou "192.168.1.1/32", et les appels continuent de faire les sourds tant que je suis sur le routeur N°2.

Je note que depuis le routeur N°1 "192.168.1.1", il m'est toujours impossible de contacter le routeur N°2 (ni les équipements connectés dessus) directement avec son IP "192.168.2.1", dont l'ip allouée (par wifi) par le routeur N°1 (via l'étendeur wifi servant de relais) est "192.168.1.60". Est ce que ça pourrait être un indice du problème ?

Concernant l'IPV6, à terme ça serait intéressant d'en rajouter la configuration, mais je voudrais déjà commencer par la base et terminer l'IPV4, comme ça je pourrais intégrer les deux à un tutoriel. :D
Je gage que certaines personne dans une situation similaire, mais sans forcément SFR, seront contents de trouver une solution pour un problème identique via une recherche web. ;D

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 23 avril 2024 à 11:01:37

Regarde les logs de ton routeur n°1 pour vérifier si ce n'est pas le firewall et lance "asterisk -r" sur le routeur n°1 pendant un appel et regarde si la console indique quelque chose. Dans la console asterisk, retourne le résultat de 'pjsip show endpoints' avec seulement le linphone connecté à partir du routeur 2.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 23 avril 2024 à 12:13:16

Citation de: ppn_sd le 23 avril 2024 à 11:01:37

Regarde les logs de ton routeur n°1 pour vérifier si ce n'est pas le firewall et lance "asterisk -r" sur le routeur n°1 pendant un appel et regarde si la console indique quelque chose. Dans la console asterisk, retourne le résultat de 'pjsip show endpoints' avec seulement le linphone connecté à partir du routeur 2.

D'accord, voilà les informations demandées :

Appel depuis client SIP Linphone, via smartphone Android connecté par Wifi au routeur N°1 au domaine 192.168.1.1 :

Code: [Sélectionner]

root@OpenWrt-no1:~# asterisk -r
Connected to Asterisk 20.5.2 currently running on OpenWrt-no1 (pid = 13921)
[Apr 23 10:02:29] WARNING[13972]: res_pjsip_pubsub.c:3396 pubsub_on_rx_publish_request: No registered publish handler for event presence from tralala
[Apr 23 10:02:41] WARNING[13972]: res_pjsip_outbound_authenticator_digest.c:507 digest_create_request_with_auth: Endpoint: 'sfr': No auth objects matching realm(s) '' from challenge found.

Ici, j'ai parfois des échecs d'appels, qui font apparaître ce message, mais en insistant, ça fonctionne, et rien n'apparaît.

Ensuite, voici la même chose, en étant connecté par wifi avec le smartphone, au routeur N°2 :

Code: [Sélectionner]

root@OpenWrt-no1:~# asterisk -r
Asterisk 20.5.2, Copyright (C) 1999 - 2022, Sangoma Technologies Corporation and others.
Created by Mark Spencer <markster@digium.com>
Asterisk comes with ABSOLUTELY NO WARRANTY; type 'core show warranty' for details.
This is free software, with components licensed under the GNU General Public
License version 2 and other licenses; you are welcome to redistribute it under
certain conditions. Type 'core show license' for details.
=========================================================================
Connected to Asterisk 20.5.2 currently running on OpenWrt-no1 (pid = 13921)
[Apr 23 10:07:21] WARNING[14436]: res_pjsip_pubsub.c:3396 pubsub_on_rx_publish_request: No registered publish handler for event presence from tralala
[Apr 23 10:07:32] WARNING[14436]: res_pjsip_outbound_authenticator_digest.c:507 digest_create_request_with_auth: Endpoint: 'sfr': No auth objects matching realm(s) '' from challenge found.

À noter que quand la communication semble démarrer et qu'il n'y a aucun son, rien ne s'affiche en plus.

Et voici le résultat pour la commande pjsipi show endpoint dans la console asterisk quand le smartphone est connecté par wifi au routeur N°2 pour se connecter via son client SIP Linphone, au serveur Asterisk tournant sur le routeur N°1 :

Code: [Sélectionner]

OpenWrt-no1*CLI> pjsip show endpoints

 Endpoint:  <Endpoint/CID.....................................>  <State.....>  <Channels.>
    I/OAuth:  <AuthId/UserName...........................................................>
        Aor:  <Aor............................................>  <MaxContact>
      Contact:  <Aor/ContactUri..........................> <Hash....> <Status> <RTT(ms)..>
  Transport:  <TransportId........>  <Type>  <cos>  <tos>  <BindAddress..................>
   Identify:  <Identify/Endpoint.........................................................>
        Match:  <criteria.........................>
    Channel:  <ChannelId......................................>  <State.....>  <Time.....>
        Exten: <DialedExten...........>  CLCID: <ConnectedLineCID.......>
==========================================================================================

 Endpoint:  sfr                                                  Not in use    0 of inf
    OutAuth:  sfr/NDI[MONNUMERODETELAVECZERO].MPY.THD@sfr.fr
        Aor:  sfr                                                0
      Contact:  sfr/sip:+33[MONNUMERODETELSANSZERO]@ims.mnc010.mcc208.3gp 02b3957848 NonQual         nan
  Transport:  transport-udp-nat         udp      0      0  0.0.0.0:5060
   Identify:  sfr/sfr
        Match: 92.91.129.200/32
        Match: 92.91.129.152/32
        Match: 92.91.129.184/32
        Match: 92.91.129.168/32
        Match: 92.91.129.136/32
        Match: 2a02:8400:20:238::8/128
        Match: 2a02:8400:20:23c::8/128
        Match: 2a02:8400:20:23b::8/128
        Match: 2a02:8400:20:239::8/128
        Match: 2a02:8400:20:23a::8/128
        Match: 92.91.179.72/32
        Match: 92.91.179.8/32
        Match: 92.91.179.40/32
        Match: 92.91.179.56/32
        Match: 92.91.179.24/32
        Match: 2a02:8400:20:1209::8/128
        Match: 2a02:8400:20:120a::8/128
        Match: 2a02:8400:20:1208::8/128
        Match: 2a02:8400:20:120b::8/128
        Match: 2a02:8400:20:120c::8/128
        Match: 92.91.129.24/32
        Match: 92.91.129.72/32
        Match: 92.91.129.8/32
        Match: 92.91.129.40/32
        Match: 92.91.129.56/32
        Match: 2a02:8400:20:22a::8/128
        Match: 2a02:8400:20:22c::8/128
        Match: 2a02:8400:20:228::8/128
        Match: 2a02:8400:20:22b::8/128
        Match: 2a02:8400:20:229::8/128
        Match: 77.136.7.168/32
        Match: 77.136.7.136/32
        Match: 77.136.7.152/32
        Match: 2a02:8400:20:1228::8/128
        Match: 2a02:8400:20:1229::8/128
        Match: 2a02:8400:20:122a::8/128

 Endpoint:  tralala                                              Not in use    0 of inf
     InAuth:  tralala/tralala
        Aor:  tralala                                            1
      Contact:  tralala/sip:tralala@192.168.1.150:44689;tr 6b41d86ba8 NonQual         nan


Objects found: 2

Voici les logs dmesg du routeur N°1 si ça peut être utile : https://pastebin.com/9Qmh9C73

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 23 avril 2024 à 12:22:31

Citer

tralala/sip:tralala@192.168.1.150:44689;tr

Donc ton linphone sur le réseau 2 ne se connecte à asterisk. Tant que tu n'arrives pas à obtenir un endpoint avec une adresse en 192.168.2.XXX cela ne marchera pas.

Pour éviter de fausser les tests avec les différents enregistrement de clients/endpoints, essaie avec un deuxième profil dans extensions.conf.

Tu n'as rien dans les logs généraux d'openwrt pour le firewall ? (active le log du firewall pour un temps histoire de pas louper quelque chose)

EDIT : retourne la sortie de logread et non dmesg.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 23 avril 2024 à 12:28:12

Citation de: ppn_sd le 23 avril 2024 à 12:22:31

Donc ton linphone sur le réseau 2 ne se connecte à asterisk. Tant que tu n'arrives pas à obtenir un endpoint avec une adresse en 192.168.2.XXX cela ne marchera pas.

Pour éviter de fausser les tests avec les différents enregistrement de clients/endpoints, essaie avec un deuxième profil dans extensions.conf.

Tu n'as rien dans les logs généraux d'openwrt pour le firewall ? (active le log du firewall pour un temps histoire de pas louper quelque chose)

Je prend note...
Pour créer un deuxième profil dans extensions.conf, je modifie ainsi ?

Code: [Sélectionner]

[general]
autofallthrough=yes
clearglobalvars=no
priorityjumping=no
static=yes
writeprotect=no

[globals]
CONSOLE=Console/dsp
IAXINFO=guest
TRUNK=DAHDI/G2
TRUNKMSD=1

[outgoing]
exten => _X.,1,Dial(PJSIP/${EXTEN}@sfr)
exten => _X.,n,Hangup()

[incoming]
exten => s,1,Dial(PJSIP/tralala)

Par :

Code: [Sélectionner]

[general]
autofallthrough=yes
clearglobalvars=no
priorityjumping=no
static=yes
writeprotect=no

[globals]
CONSOLE=Console/dsp
IAXINFO=guest
TRUNK=DAHDI/G2
TRUNKMSD=1

[outgoing]
exten => _X.,1,Dial(PJSIP/${EXTEN}@sfr)
exten => _X.,n,Hangup()

[incoming]
exten => s,1,Dial(PJSIP/tralala)
exten => s,2,Dial(PJSIP/tralala2)

Est ce que c'est bon comme ça en rajoutant cette dernière ligne ?

Pour les logs généraux d'openwrt pour le firewall, je ne trouve rien dans /var/log, ni sur l'interface web Luci d'OpenWRT, tu recherches la sortie de quel fichier en particulier ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 23 avril 2024 à 12:31:48

Code: [Sélectionner]

[outgoing]
exten => _X.,1,Dial(PJSIP/${EXTEN}@sfr)
exten => _X.,n,Hangup()

[incoming]
exten => s,1,Dial(PJSIP/tralala&PJSIP/tralala2)

Mets comme ça. Les deux sonneront pour les tests comme ça.

Il faut aussi ajouter les sections dans le fichier pjsip.conf :

Code: [Sélectionner]

; -------------------- ;
; Phone Line 'tralala2' ;
; -------------------- ;

[tralala2](aor_dynamic)

[tralala2](auth_userpass)
password=MOT_DE_PASSE_CLIENT_SIP
username=tralala2

[tralala2](endpoint_internal)
auth=tralala2
aors=tralala2
callerid=tralala2

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: trekker92 le 23 avril 2024 à 13:14:14

Citation de: ppn_sd le 23 avril 2024 à 12:22:31

Donc ton linphone sur le réseau 2 ne se connecte à asterisk. Tant que tu n'arrives pas à obtenir un endpoint avec une adresse en 192.168.2.XXX cela ne marchera pas.

Pour éviter de fausser les tests avec les différents enregistrement de clients/endpoints, essaie avec un deuxième profil dans extensions.conf.

Tu n'as rien dans les logs généraux d'openwrt pour le firewall ? (active le log du firewall pour un temps histoire de pas louper quelque chose)

EDIT : retourne la sortie de logread et non dmesg.

jdis peut etre une connerie, mais c'est pas le role du STUN normalement de faire "serveur intermédiaire" comme un proxy en cas de connexion derrière un NAT et de guéguerre au niveau des ports?

le renseigner permettrait d'éviter les emmerdes..

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 23 avril 2024 à 13:55:17

Il s'agit ici d'un problème au sein du réseau local, donc STUN n'a pas son utilité.

@Tikilou : pourquoi conserver ce double réseau si tu n'as pas d'utilité à leur séparation ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 23 avril 2024 à 14:56:03

Citation de: ppn_sd le 23 avril 2024 à 12:31:48

Code: [Sélectionner]
[outgoing] exten => _X.,1,Dial(PJSIP/${EXTEN}@sfr) exten => _X.,n,Hangup() [incoming] exten => s,1,Dial(PJSIP/tralala&PJSIP/tralala2)
Mets comme ça. Les deux sonneront pour les tests comme ça.

Il faut aussi ajouter les sections dans le fichier pjsip.conf :

Code: [Sélectionner]
; -------------------- ; ; Phone Line 'tralala2' ; ; -------------------- ; [tralala2](aor_dynamic) [tralala2](auth_userpass) password=MOT_DE_PASSE_CLIENT_SIP username=tralala2 [tralala2](endpoint_internal) auth=tralala2 aors=tralala2 callerid=tralala2

C'est fait, voilà ce que ça donne avec les deux profils connectés sur le routeur N°1 par wifi (pc et smartphone) :

Code: [Sélectionner]

root@OpenWrt-no1:~# asterisk -r
Asterisk 20.5.2, Copyright (C) 1999 - 2022, Sangoma Technologies Corporation and others.
Created by Mark Spencer <markster@digium.com>
Asterisk comes with ABSOLUTELY NO WARRANTY; type 'core show warranty' for details.
This is free software, with components licensed under the GNU General Public
License version 2 and other licenses; you are welcome to redistribute it under
certain conditions. Type 'core show license' for details.
=========================================================================
Connected to Asterisk 20.5.2 currently running on OpenWrt-no1 (pid = 21823)
[Apr 23 12:35:14] WARNING[21906]: res_pjsip_pubsub.c:3396 pubsub_on_rx_publish_request: No registered publish handler for event presence from tralala2
OpenWrt-no1*CLI> pjsip show endpoints

 Endpoint:  <Endpoint/CID.....................................>  <State.....>  <Channels.>
    I/OAuth:  <AuthId/UserName...........................................................>
        Aor:  <Aor............................................>  <MaxContact>
      Contact:  <Aor/ContactUri..........................> <Hash....> <Status> <RTT(ms)..>
  Transport:  <TransportId........>  <Type>  <cos>  <tos>  <BindAddress..................>
   Identify:  <Identify/Endpoint.........................................................>
        Match:  <criteria.........................>
    Channel:  <ChannelId......................................>  <State.....>  <Time.....>
        Exten: <DialedExten...........>  CLCID: <ConnectedLineCID.......>
==========================================================================================

 Endpoint:  sfr                                                  Not in use    0 of inf
    OutAuth:  sfr/NDI0532899258.MPY.THD@sfr.fr
        Aor:  sfr                                                0
      Contact:  sfr/sip:+33532899258@ims.mnc010.mcc208.3gp 02b3957848 NonQual         nan
  Transport:  transport-udp-nat         udp      0      0  0.0.0.0:5060
   Identify:  sfr/sfr
        Match: 92.91.129.184/32
        Match: 92.91.129.200/32
        Match: 92.91.129.152/32
        Match: 92.91.129.168/32
        Match: 92.91.129.136/32
        Match: 2a02:8400:20:23b::8/128
        Match: 2a02:8400:20:238::8/128
        Match: 2a02:8400:20:23c::8/128
        Match: 2a02:8400:20:23a::8/128
        Match: 2a02:8400:20:239::8/128
        Match: 77.136.7.168/32
        Match: 77.136.7.136/32
        Match: 77.136.7.152/32
        Match: 2a02:8400:20:1229::8/128
        Match: 2a02:8400:20:1228::8/128
        Match: 2a02:8400:20:122a::8/128
        Match: 92.91.179.56/32
        Match: 92.91.179.24/32
        Match: 92.91.179.40/32
        Match: 92.91.179.8/32
        Match: 92.91.179.72/32
        Match: 2a02:8400:20:120a::8/128
        Match: 2a02:8400:20:1209::8/128
        Match: 2a02:8400:20:120c::8/128
        Match: 2a02:8400:20:120b::8/128
        Match: 2a02:8400:20:1208::8/128
        Match: 92.91.129.56/32
        Match: 92.91.129.24/32
        Match: 92.91.129.72/32
        Match: 92.91.129.40/32
        Match: 92.91.129.8/32
        Match: 2a02:8400:20:22b::8/128
        Match: 2a02:8400:20:228::8/128
        Match: 2a02:8400:20:22a::8/128
        Match: 2a02:8400:20:22c::8/128
        Match: 2a02:8400:20:229::8/128

 Endpoint:  tralala                                              Not in use    0 of inf
     InAuth:  tralala/tralala
        Aor:  tralala                                            1
      Contact:  tralala/sip:tralala@192.168.1.51:43042;tra 55be332f84 NonQual         nan

 Endpoint:  tralala2                                             Not in use    0 of inf
     InAuth:  tralala2/tralala2
        Aor:  tralala2                                           1
      Contact:  tralala2/sip:tralala2@192.168.1.150:40485; f2d9029da4 NonQual         nan


Objects found: 3

Voici ensuite ce que j'obtiens pour quand le 2ème profil récemment créé, est connecté au routeur N°2 par wifi (le premier l'est par le routeur N°1) :

Code: [Sélectionner]

OpenWrt-no1*CLI> pjsip show endpoints

 Endpoint:  <Endpoint/CID.....................................>  <State.....>  <Channels.>
    I/OAuth:  <AuthId/UserName...........................................................>
        Aor:  <Aor............................................>  <MaxContact>
      Contact:  <Aor/ContactUri..........................> <Hash....> <Status> <RTT(ms)..>
  Transport:  <TransportId........>  <Type>  <cos>  <tos>  <BindAddress..................>
   Identify:  <Identify/Endpoint.........................................................>
        Match:  <criteria.........................>
    Channel:  <ChannelId......................................>  <State.....>  <Time.....>
        Exten: <DialedExten...........>  CLCID: <ConnectedLineCID.......>
==========================================================================================

 Endpoint:  sfr                                                  Not in use    0 of inf
    OutAuth:  sfr/NDI0532899258.MPY.THD@sfr.fr
        Aor:  sfr                                                0
      Contact:  sfr/sip:+33532899258@ims.mnc010.mcc208.3gp 02b3957848 NonQual         nan
  Transport:  transport-udp-nat         udp      0      0  0.0.0.0:5060
   Identify:  sfr/sfr
        Match: 92.91.129.184/32
        Match: 92.91.129.200/32
        Match: 92.91.129.152/32
        Match: 92.91.129.168/32
        Match: 92.91.129.136/32
        Match: 2a02:8400:20:23b::8/128
        Match: 2a02:8400:20:238::8/128
        Match: 2a02:8400:20:23c::8/128
        Match: 2a02:8400:20:23a::8/128
        Match: 2a02:8400:20:239::8/128
        Match: 92.91.179.8/32
        Match: 92.91.179.72/32
        Match: 92.91.179.56/32
        Match: 92.91.179.24/32
        Match: 92.91.179.40/32
        Match: 2a02:8400:20:1208::8/128
        Match: 2a02:8400:20:120a::8/128
        Match: 2a02:8400:20:1209::8/128
        Match: 2a02:8400:20:120c::8/128
        Match: 2a02:8400:20:120b::8/128
        Match: 92.91.129.56/32
        Match: 92.91.129.24/32
        Match: 92.91.129.72/32
        Match: 92.91.129.40/32
        Match: 92.91.129.8/32
        Match: 2a02:8400:20:229::8/128
        Match: 2a02:8400:20:22b::8/128
        Match: 2a02:8400:20:228::8/128
        Match: 2a02:8400:20:22a::8/128
        Match: 2a02:8400:20:22c::8/128
        Match: 77.136.7.168/32
        Match: 77.136.7.136/32
        Match: 77.136.7.152/32
        Match: 2a02:8400:20:1229::8/128
        Match: 2a02:8400:20:1228::8/128
        Match: 2a02:8400:20:122a::8/128

 Endpoint:  tralala                                              Not in use    0 of inf
     InAuth:  tralala/tralala
        Aor:  tralala                                            1
      Contact:  tralala/sip:tralala@192.168.1.112:42984;tr 20552ba7fd NonQual         nan

 Endpoint:  tralala2                                             Not in use    0 of inf
     InAuth:  tralala2/tralala2
        Aor:  tralala2                                           1
      Contact:  tralala2/sip:tralala2@192.168.1.60:43044;t 52ecd01ee3 NonQual         nan


Objects found: 3

L'indication de cette IP m'interroge, 192.168.1.60 est allouée via DHCP uniquement pour que le routeur N°2 obtienne la connexion par wifi au routeur N°1, en passant par le répéteur wifi au passage.
Hors, le routeur N°2 a attribué à mon smartphone connecté par wifi, l'adresse 192.168.2.177... Quelque chose devant faire le lien entre 192.168.1.60 et 192.168.2.1 (IP du routeur N°2 avec son propre réseau) coince ?

Citation de: ppn_sd le 23 avril 2024 à 13:55:17

Il s'agit ici d'un problème au sein du réseau local, donc STUN n'a pas son utilité.

@Tikilou : pourquoi conserver ce double réseau si tu n'as pas d'utilité à leur séparation ?

Bonne question. À vrai dire, initialement, je voulais que le routeur N°2 conserve une adresse de type 192.168.1.xx.

Sur mon serveur sous Ubuntu par exemple, j'ai configuré un bridge et un conteneur LXC contenant grosso modo l'équivalent de VPS, et à travers ce bridge, le routeur N°1 est en charge d'allouer les IP pour tous les conteneurs afin que chacun soit accessible sur le réseau local comme si c'était une machine physique.
Pour reprendre ce que tu avais vu de Minetest notamment, j'ai tout conteneurisé pour un des enfants, afin qu'il puisse se faire la main et apprendre à gérer un système ubuntu en CLI et ses services dans son environnement propre et système séparé, sans pouvoir avoir la main sur mon système/serveur. Comme s'il avait son propre VPS/Serveur, local, branché au routeur N°1.

Ce que j'aurais voulu, c'est que le routeur N°1 (192.168.1.1) soit, de la même façon, en charge d'allouer les IP des appareils connectés par Wifi et Ethernet, sur le routeur N°2 (Qui lui aurait une IP 192.168.1.2), mais je n'ai pas réussi à trouver comment faire, au mieux je perdais l'accès au routeur N°2 pour sa configuration, au pire, je perdais toute connexion par Wifi, et en filaire, avec reset complet nécessaire, restauration de paquets, puis restauration des derniers paramètres fonctionnels...

Reste qu'en terme de redondance, ça pose également un problème, si le routeur N°1 lâche d'une façon ou d'une autre et que le serveur dhcp sur le routeur N°2 était desactivé ça risque de coincer non ? Dans l'idéal je voudrais pouvoir toujours avoir la possibilité de me connecter et administrer mon réseau sur le routeur N°2 localement, si le N°1 est en rade ou que le wifi a des soucis...

Comme le routeur N°2 est lié à tout ce qui concerne l'irrigation et surveillance dans le jardin et à terme la pépinière, et que ce sont des paramètres critiques, je me dois d'être aussi prudent que possible afin que ça puisse tourner H24.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 23 avril 2024 à 15:02:01

Citation de: Tikilou le 23 avril 2024 à 14:56:03

L'indication de cette IP m'interroge, 192.168.1.60 est allouée via DHCP uniquement pour que le routeur N°2 obtienne la connexion par wifi au routeur N°1, en passant par le répéteur wifi au passage.
Hors, le routeur N°2 a attribué à mon smartphone connecté par wifi, l'adresse 192.168.2.177... Quelque chose devant faire le lien entre 192.168.1.60 et 192.168.2.1 (IP du routeur N°2 avec son propre réseau) coince ?

Il y a un masquerade quand tu passes du réseau 2 au 1. Tout ce qui sort du réseau 2 prends l'ip de sortie de WWAN.

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 23 avril 2024 à 23:01:23

Citation de: ppn_sd le 23 avril 2024 à 15:02:01

Il y a un masquerade quand tu passes du réseau 2 au 1. Tout ce qui sort du réseau 2 prends l'ip de sortie de WWAN.

Bon, du coup on n'est pas plus avancé que ça, le problème ne vient donc pas de là... :-/
Quelqu'un aurait une idée ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 24 avril 2024 à 00:25:53

Citation de: Tikilou le 23 avril 2024 à 23:01:23

Bon, du coup on n'est pas plus avancé que ça, le problème ne vient donc pas de là... :-/

Bah justement si. Cela ne change rien si tu décoches le masquerading de la zone WWAN du routeur 2 ?

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: Tikilou le 24 avril 2024 à 10:09:53

Citation de: ppn_sd le 24 avril 2024 à 00:25:53

Bah justement si. Cela ne change rien si tu décoches le masquerading de la zone WWAN du routeur 2 ?

Hélas non, toujours pas de son quand je passe un appel depuis le routeur N°2 :(

Titre: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt
Posté par: ppn_sd le 24 avril 2024 à 11:45:13

Le problème c'est qu'on est en train d'essayer de débloquer le fonctionnement SIP sur un réseau qui est de base bancal. Et tu l'as bien identifié :

Citation de: Tikilou le 23 avril 2024 à 10:45:05

Je note que depuis le routeur N°1 "192.168.1.1", il m'est toujours impossible de contacter le routeur N°2 (ni les équipements connectés dessus) directement avec son IP "192.168.2.1", dont l'ip allouée (par wifi) par le routeur N°1 (via l'étendeur wifi servant de relais) est "192.168.1.60". Est ce que ça pourrait être un indice du problème ?

Et en prime, si je peux accéder au routeur N°1 depuis le routeur N°2 dans ma configuration actuelle, l'inverse n'est pas vrai, sans tailscale (VPN) je n'arrive pas à contacter ni le routeur N°2, ni les raspberry PI branchés dessus (Ni la caméra que j'installerais prochainement), depuis une connexion wifi au routeur N°1 à la maison.

Au risque d'insister : crée un topic à part. On est très éloigné du sujet remplacement box car finalement tout marche de ce côté là.

Pour ma part je n'ai jamais compris la surcouche LUCI (autant d'onglets et de cases à cocher pour des choses qui se règlent en 3 lignes ...) alors je ne te serai pas d'une grande aide.