Auteur Sujet: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt (Lu 70925 fois)

maximushugus · « **Réponse #96 le:** 08 janvier 2022 à 23:32:01 »

Le moyen fiable pour vérifier c'est de faire une capture réseau avec Wireshark en se connectant en SSH à tcpdump préalablement installé sur le routeur et en enregistrant sur l'interface WAN (je ne sais pas si c'est clair ?)

neonp · « **Réponse #97 le:** 09 janvier 2022 à 16:31:24 »

Bonjour a tous,

Je suis passe du câble au FTTH depuis quelques jours, et j'ai découvert par la même l'existence du CGNAT

... J'ai bien réussi mon bypass pour l’accès internet, mais je ne sais pas pour quelle raison, l'IPv6 ne marche pas avec mon routeur (wrt3200acm) alors que ça marche avec la box de SFR.

J'ai changé l'adresse MAC du port wan pour matcher avec celle de la box, et j'ai aussi testé le client id (adresse mac ou 00003000+adresse mac)

Une idée de ce que j'aurais pu rater ?

Merci

olitask · « **Réponse #98 le:** 09 janvier 2022 à 16:58:53 »

Rebonjour

J'ai fait une capture des paquets qui passent par le routeur, ( j'ai filtré les igmp ) . Je ne sais pas si c'est ce qu'il fallait faire. Je vois bien que l'une des ip de la whitelist apparaît... ( sinon j'ai découvert que 224.0.0.1 c'est pour le multicast

)

Si Maxim à le temps d'y jeter un coup d’œil ...

Bonne fin de week end Olivier

maximushugus · « **Réponse #99 le:** 10 janvier 2022 à 11:26:32 »

Du coté de ton WAN visiblement les requêtes IGMP passent.
Est ce que du coté WAN du routeur tu reçois les paquets UDP des la chaîne ?
On dirait que c'est un problème du coté de ton LAN

olitask · « **Réponse #100 le:** 11 janvier 2022 à 14:29:05 »

Bonjour
Tout d'abord merci de t’intéresser au problème

Citer

Est ce que du coté WAN du routeur tu reçois les paquets UDP des la chaîne ?

Je ne sais pas quoi rechercher.
Je veux bien mettre les fichiers des captures complètes de wireshark sur les interfaces wan et wlan1 ( le wifi ou est connecté le player de sfr ou STB )

pour rappel sur le wan je vois passer :

Code: [Sélectionner]

1510 72.851342 1.1.1.1 224.0.0.1 IGMPv2 60 Membership Query, general
et sur le wlan1 :

Code: [Sélectionner]

1090	20.641896	192.168.1.174	239.255.255.250	IGMPv2	46	Membership Report group 239.255.255.250
1089	20.641810	192.168.1.174	239.255.255.250	IGMPv2	46	Membership Report group 239.255.255.250
1097	21.297804	192.168.1.174	224.0.0.251	IGMPv2	46	Membership Report group 224.0.0.251
1098	21.297894	192.168.1.174	224.0.0.251	IGMPv2	46	Membership Report group 224.0.0.251

192.168.1.174 est le STD, mais il y en a d'autres qui "écoutent"

zoc · « **Réponse #101 le:** 11 janvier 2022 à 16:02:52 »

IGMP c'est un protocole de signalisation, les flux TV ne sont pas transportés dans des paquets IGMP mais dans de l'UDP classique (qu'il faut donc éviter de bloquer avec le firewall).

Chez Orange par exemple, les flux TV sont dans de l'UDP avec le port destination 8200 ou 8202.

Manifestement la signalisation IGMP fonctionne (les Membership Report sur le port WAN). Il faut donc vérifier si suite à cette signalisation le routeur ne reçoit pas "plein" de paquets UDP.

olitask · « **Réponse #102 le:** 11 janvier 2022 à 16:52:14 »

Bonjour

Sur l'interface wan, il y a beaucoup de paquets UDP tel celui ci dessous provenant de 216.58.204.142 , 142.250.178.132 ou 142.250.75.227 mais aucun ne fait parti de la whitelist de maximushugus ( ça devrait ? )

Code: [Sélectionner]

10011 601.015259 216.58.215.36 93.21.248.XXX UDP 1399 443 → 47628 Len=1357
EDit : rien à voir, c'est des ip de google

Sur le fichier d’écoute de whireshark pour l'interface wlan1, ces paquets n'apparaissent pas.

Je n'ai touché à rien dans les paramètres firewall d'openwrt.

maximushugus · « **Réponse #103 le:** 11 janvier 2022 à 22:38:53 »

En multicast en gros l'idée c'est que les périphériques qui demandent un flux (ton PC, ta box TV etc), via ton routeur dans le cas présent (d'où l'utilisation d'IGMPproxy) font une requête en IGMP. Ce sont ces IP multicast pour requêtes IGMP qui sont dans la whitelist.
Du coté de l'infra SFR, lorsque leurs switch/routeurs reçoivent ces requêtes IGMP multicast depuis ton adresse IP (WAN), à ce moment là leur switch/routeurs envoient les flux UDP avec comme sources des IP diverses (qui ne font pas parti de la whitelist) et comme IP de destination l'IP multicast, mais ces packet sont distribués vers ton routeur.

Donc déja du coté WAN, lorsque tu demande un flux TV depuis ton PC, tu devrais voir plein de packets UDP avec comme source une IP quelconque et en destination l'IP multicast demandée

nicolinfo · « **Réponse #104 le:** 22 janvier 2022 à 12:32:23 »

Salut,

Ici j'ai un NB6VAC-FXC-r1 et routeur Xiaomi Redmi AC2100 avec OpenWrt 19.07.7.

Le tuto a fonctionné pour ma config, merci, mais j'ai à peu près les mêmes débits avec le routeur seul qu'avec le routeur derrière la box en DMZ (environ 700 Mbps download /500 Mbps upload et ma foi c'est déjà pas mal).

neonp · « **Réponse #105 le:** 01 février 2022 à 09:58:30 »

Citation de: neonp le 09 janvier 2022 à 16:31:24

Bonjour a tous,

Je suis passe du câble au FTTH depuis quelques jours, et j'ai découvert par la même l'existence du CGNAT :'(... J'ai bien réussi mon bypass pour l’accès internet, mais je ne sais pas pour quelle raison, l'IPv6 ne marche pas avec mon routeur (wrt3200acm) alors que ça marche avec la box de SFR.

J'ai changé l'adresse MAC du port wan pour matcher avec celle de la box, et j'ai aussi testé le client id (adresse mac ou 00003000+adresse mac)

Une idée de ce que j'aurais pu rater ?

Merci

Je me réponds a moi-même au cas ou ça pourrait aider quelqu'un: ne pas oublier d'activer les règles DHCPv6 du pare-feu sur l'interface ipv4 pour recevoir l'ipv6

cetipabo · « **Réponse #106 le:** 01 février 2022 à 11:29:15 »

Citation de: neonp le 01 février 2022 à 09:58:30

Je me réponds a moi-même au cas ou ça pourrait aider quelqu'un: ne pas oublier d'activer les règles DHCPv6 du pare-feu sur l'interface ipv4 pour recevoir l'ipv6

Merci pour l'info !
si tu n'as rien fait de spécifique, tu pourrais nous poster ton /etc/config/firewall ?

neonp · « **Réponse #107 le:** 04 février 2022 à 10:02:05 »

Voila, voila

.

J'ai plusieurs vlans (pour iot, guest, lan, ...) que j'ai enlevé pour simplifier la config (de même que mes ouvertures de port vers l’extérieur).
Ici, mes 2 interfaces wan sont wanfibre et wanfibre6.

Code: [Sélectionner]

config defaults
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        list network 'lan'

config zone
        option name 'wanfibre'
        option output 'ACCEPT'
        option forward 'REJECT'
        option mtu_fix '1'
        option input 'REJECT'
        option log '1'
        list network 'wanfibre'

config rule
        option name 'Allow-DHCP-Renew'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'
        option src 'wanfibre'

config rule
        option name 'Allow-Ping'
        option proto 'icmp'
        option family 'ipv4'
        option target 'ACCEPT'
        list icmp_type 'echo-request'
        option src 'wanfibre'

config rule
        option name 'Allow-IGMP'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'
        option src 'wanfibre'

config rule
        option name 'Allow-DHCPv6'
        option proto 'udp'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wanfibre'
        list src_ip 'fc00::/6'
        list dest_ip 'fc00::/6'

config rule
        option name 'Allow-DHCPv6-2'
        option src 'wanfibre6'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option proto 'icmp'
        option family 'ipv6'
        option target 'ACCEPT'
        option src 'wanfibre'
        list src_ip 'fe80::/10'

config rule
        option name 'Allow-ICMPv6-Input'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        list icmp_type 'bad-header'
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'
        list icmp_type 'echo-request'
        list icmp_type 'neighbour-advertisement'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'packet-too-big'
        list icmp_type 'router-advertisement'
        list icmp_type 'router-solicitation'
        list icmp_type 'time-exceeded'
        list icmp_type 'unknown-header-type'
        option src 'wanfibre'

config rule
        option name 'Allow-ICMPv6-Forward'
        option dest '*'
        option proto 'icmp'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'
        list icmp_type 'bad-header'
        list icmp_type 'destination-unreachable'
        list icmp_type 'echo-reply'
        list icmp_type 'echo-request'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'unknown-header-type'
        option src 'wanfibre'

config rule
        option name 'Allow-ICMPv6-Input-2'
        option src 'wanfibre6'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward-2'
        option src 'wanfibre6'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'
        option src 'wanfibre'

config rule
        option name 'Allow-ISAKMP'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'
        option src 'wanfibre'

config rule
        option name 'Support-UDP-Traceroute'
        option proto 'udp'
        option family 'ipv4'
        option target 'REJECT'
        option enabled '0'
        option src 'wanfibre'
        option dest_port '33434-33689'

config include
        option path '/etc/firewall.user'

config forwarding
        option src 'lan'
        option dest 'wanfibre'

config zone
        option name 'wanfibrev6'
        option output 'ACCEPT'
        option forward 'REJECT'
        option input 'REJECT'
        option family 'ipv6'
        list network 'wanfibre6'

config forwarding
        option src 'lan'
        option dest 'wanfibrev6'

config rule
        option name 'Allow Ping6'
        option family 'ipv6'
        list proto 'icmp'
        option target 'ACCEPT'
        option src 'wanfibrev6'

Auteur Sujet: [FTTH] Tuto bypass complet neufbox avec un routeur OpenWrt (Lu 70925 fois)

cetipabo