Auteur Sujet: ONT SFR sur Stormshield (Lu 2253 fois)

VXgas · « **le:** 07 octobre 2021 à 14:53:34 »

Bonjour,
Je voulais savoir si quelqu'un avait déjà fait fonctionner un firewall Stormshield sur une connexion fibre SFR en branchant l'ONT ?
Je ne reçois pas d'IP en DHCP sur le Out, mais il semble qu'il faut ajouter un paramètre de VendorClass ?
Merci d'avance.

Jt3dst · « **Réponse #1 le:** 07 octobre 2021 à 15:05:58 »

Salut,

Oui je le fait régulièrement. Problème : ce n'est pas une solution "persistante" car dès que l'on touche à la configuration des interfaces, il faut reproduire la manipulation.
Se connecter en SSH sur le Stormshield et modifier le fichier /var/dhclient.conf : (ajouter la ligne en gras)

timeout 60;
reboot 10;
retry 60;
select-timeout 5;
initial-interval 2;
script "/usr/Firewall/sbin/dhclient-script";

interface "em0" {
send dhcp-lease-time 3600;
send vendor-class-identifier "neufbox-bypass";
request subnet-mask, broadcast-address, routers, domain-name-servers;
require subnet-mask, domain-name-servers;
}

interface "em2" {
send dhcp-lease-time 3600;
request subnet-mask, broadcast-address, routers;
require subnet-mask;
}

Puis faire la commande :

Code: [Sélectionner]

nrestart dhclient
Voila, byebye la bobox SFR !

Vivement que Stormshield nous ajoute directement un champ vendor-class dans l'interface Web !

VXgas · « **Réponse #2 le:** 07 octobre 2021 à 15:17:32 »

Merci pour ta réponse rapide !

J'avais trouvé ça : https://documentation.stormshield.eu/SNS/v4/fr/Content/Release_Notes_SNS/4.1.1-Features.htm
"De nouvelles options DHCP (60 [vendor-class-identifier], 77 [user-class] et 90 [authsend]) permettent aux firewalls SNS de s'authentifier sur les réseaux d'opérateurs de télécommunications qui proposent des services de VLAN"
Ca semble correspondre à ta commande.
Si je ne touche pas aux config d'interface ça ne devrait pas bouger donc ?

Jt3dst · « **Réponse #3 le:** 07 octobre 2021 à 15:44:24 »

Oui, ils nous le promette à chaque version et c'est reporté. Espérons que cette fois ça soit la bonne !

VXgas · « **Réponse #4 le:** 07 octobre 2021 à 15:45:17 »

Il y a une 4.2.5 qui vient de sortir...

Par contre dans mon fichier /var/dhclient.conf, je n'ai que :
timeout 60;
reboot 10;
retry 60;
select-timeout 5;
initial-interval 2;
script "/usr/Firewall/sbin/dhclient-script";
option authsend code 90 = string;

interface "mvneta0" {
send dhcp-lease-time 3600;
request subnet-mask, broadcast-address, routers;
require subnet-mask;
}

C'est quoi ce nom d'interface ? Il devrait pas y avoir "out" ?

Jt3dst · « **Réponse #5 le:** 07 octobre 2021 à 15:48:14 »

Non, il faut plus se fier au numéro d'interface. Dans mon exemple la OUT correspond à la em0
Fait attention que ton interface ne soit pas dans un bridge.

Jt3dst · « **Réponse #6 le:** 07 octobre 2021 à 15:50:18 »

et dans la V4 mon interface s'appelle maintenant "eth0"

VXgas · « **Réponse #7 le:** 07 octobre 2021 à 16:04:40 »

J'suis en 4.2.4...
J'ai suivi tes infos, et ça fonctionne quelques secondes, puis le SN210 reboot et remet son fichier dhclient.conf par défaut.

[EDIT] Bizarre je l'ai refait trois avec le même résultat, puis ça semble l'avoir finalement pris quand j'ai fermé l'interface web qui était resté ouverte et devait avoir la main sur le fichier.
Donc tout roule !!!

MERCI encore mille fois Jt3dst pour ta réactivité, ton écoute et patience ! Belle journée à toi.

Jt3dst · « **Réponse #8 le:** 07 octobre 2021 à 16:25:40 »

Super, content que ça fonctionne !
En espérant que cela serve à d'autre. J'avais pas mal cherché à l'époque !

VXgas · « **Réponse #9 le:** 11 octobre 2021 à 19:47:19 »

Pour info, j'ai refait une demande à Stormshield pour qu'on puisse ajouter le vendor-class-identifier directement dans les réglages.
Ils m'ont dit que c'est une demande qui est déjà référencée et qu'ils me rajoutent sur cette demande pour les développeurs.
En espérant que ça soit pris en compte pour une prochaine mise à jour !