Auteur Sujet: Routeur Stormshield avec LiveBox derrière pour TV (Lu 3433 fois)

bennne · « **le:** 30 mars 2020 à 15:19:12 »

Bonjour à tous,

Je suis avec attention l'ensemble des tutos postés ici, et je tiens a tous vous remercier avant toute chose pour l'intégralité des ressources

Cela étant dis, je vous expose ma situation :
1. j'ai un abonnement Orange FTTH LB4 et un décoldeur UHD (les tous petits)
2. Mon réseau est géré par un pare feu Stormshield SN200 en version 3.5
3. la connexion se fait directement par sur le Stormshield via le VLAN 832 et les options DHCP qui vont bien.
4. La fibre arrive direct sur un Netgear GS110TP. C'est lui qui gère les VLAN, etc...
Jusque là, tout va bien

Et c'est à partir de là que ça se complique : pour des raisons pratiques, je souhaite garder le décodeur TV afin de profiter des chaines du bouquet ORANGE.
J'ai essayé en vain de suivre différents tutos pour mettre le décodeur dans un VLAN spécifique, configurer l'IGMP, etc... mais le décodeur ne doit pas recevoir les bonnes options car il ne démarre pas (erreur 07 de mémoire)
Du coup, je me suis décider à mettre la LiveBox dans un VLAN spécifique afin que le dialogue entre le décodeur et la BOX fonctionne, sans intervention.
En fouillant sur le forum, j'ai trouvé les options DHCP à passer à la BOX pour qu'elle se synchronise. Et ça fonctionne. Si je connecte un PC derrière la BOX, je sors sur Internet en passant par le Stormshield (double NAT certes, mais ça fonctionne)
Par contre, rien pour le décodeur, je reste avec une erreur S05-05, m'affichant un beau message comme quoi la TV d'Orange n'est pas disponible, alors que si je regarde sur la LiveBox (dans l'interface WEB), la TV d'Orange est bien disponible et tous les VLAN sont présents (832, 838 et 840)

Est ce que quelqu'un a déjà réussi un telle configuration ?

Si besoin, je peux vous passer les fichiers de config dhclient et les différentes options DHCP passées.

Je vous remercie d'avance de vos retours, et surtout ne pas hésiter si mon message ne se trouve pas dans la bonne section (je débute sur le post de messages dans les Forums

)

A vous lire,
Benoît

Laurent-421 · « **Réponse #1 le:** 20 avril 2020 à 14:26:42 »

Bonjour Benne,

as-tu toujours ton problème ?

Je viens de faire fonctionner le décodeur TV de Orange avec une solution à base de Mikrotik. La partie décodeur TV n'est pas bien compliquée. Il se sert de deux VLAN : 840 pour le multicast et 832 pour l'unicast.

Dans mon cas, j'ai créé un bridge qui contient le decodeur TV avec un DHCP dessus. Lors du boot, le décodeur TV réclame une adresse DHCP. Il récupère comme defgw l'adresse du bridge qui route ses requêtes vers le vlan 832 à l'exception des requêtes IGMP.

Les requêtes IGMP sont directement envoyées sur le vlan-840 ( donc pas besoin de proxy IGMP ) et le trafic multicast est renvoyé sur le bridge avec cette interface. Vu que le décodeur est seul sur le réseau, pas besoin de IGMP Snooping.

Je reste intégralement offloadé sur le matériel vu que je n'ai pas besoin d'activer le VLAN filtering ni le IGMP snooping au niveau du bridge.

Enfin, il faut prioritiser les requêtes IGMP sortantes à 5 sur le vlan 840 sinon je ne recevais pas toutes les chaînes.

Laurent

bennne · « **Réponse #2 le:** 21 avril 2020 à 10:17:42 »

Bonjour Laurent, et merci pour ton retour.

J'ai réussi par je ne sais quel miracle a tout faire fonctionner.

J'ai aujourd'hui la TV fonctionnelle derrière la Livebox, elle même derrière mon routeur Stormshield.

Du coup, j'en profite pour savoir si quelqu'un à réussi à s'affranchir de la LiveBox pour recevoir la TV sur un décodeur UHD (les derniers tout petit).
J'ai lu des tutos pour la mise en place, mais il me manque des options DHCP à passer au décodeur, et à priori, je n'ai pas trouver ou personne ne les a chercher...
Est ce que quelqu'un a déjà réussi à faire ça ?
J'ai un serveur DHCP ISC sous DEBIAN. C'est ce serveur qui gère toutes les plages via relai DHCP.

Encore merci de vos retours, idées, commentaires, etc

Benoît

KalNightmare · « **Réponse #3 le:** 21 avril 2020 à 11:39:56 »

Bonjour,

La réponse doit être ici : https://lafibre.info/remplacer-livebox/reverse-engineering-decodeur-uhd-dtiw385-wip/

bennne · « **Réponse #4 le:** 21 avril 2020 à 12:08:45 »

Effectivement, j'avais bien vu ce lien. Mais lu trop vite...

Je vais tester de tout configurer cette semaine. Par contre, est ce que tu aurais les autres options (hors DNS et domain-name) à passer dans le bail DHCP ?
j'ai lu de l'option 90, 119... Est ce que tu aurais des infos là dessus car ces options ne sont pas abordées dans le lien communiqué.

Merci

Laurent-421 · « **Réponse #5 le:** 21 avril 2020 à 12:28:24 »

Bonjour Benoit,

je ne sais pas si le décodeur UHD est différent de celui que j'ai avec la LB4. Mais si il marche de la même manière, j'ai décris le fonctionnement dans mon poste du dessus.

Ce décodeur marche avec du flux Multicast pour la TV, VLAN 840 et Unicast pour le reste, VLAN 832. Donc en gros :
- tu envoies le flux multicast sur le décodeur. Tu récupères ses requetes IGMP et tu les envoies sur le VLAN 840 ;
- ensuite c'est un device classique comme un autre sur ton réseau pour l'Unicast.

Techniquement, j'ai fais un bridge qui porte un serveur DHCP. Le décodeur récupère une adresse avec ce serveur. Ce bridge est la defgw du décodeur et le décodeur est routé par ce bridge à destination du VLAN 832 (internet). Ensuite, au niveau du switch physique, je récupère les paquets IGMP envoyés par le décodeur pour les tagger et les mettre sur le VLAN 840. Le flux multicast issu de ce VLAN est quant à lui envoyé vers le décodeur.

Laurent

bennne · « **Réponse #6 le:** 21 avril 2020 à 12:40:46 »

Bonjour Laurent,

Merci pour ces informations.
Je précise effectivement que je dispose d'une LB4 avec le petit décodeur noir UHD (le dernier me semble t il)

Concernant le bridge, j'ai également la possibilité d'en faire un via mon routeur Stormshield, mais tu le fait avec quelles interfaces / VLAN ?
J'ai un VLAN spécifique pour le décodeur (VLAN 20), avec un serveur DHCP qui va bien.
Au niveau de mon routeur, j'ai une interface dans le VLAN 840. J'essaie de configurer l'IGMP Proxy là dessus (j'ai encore un peu de boulot pour découvrir comment ça fonctionne sur ces bestioles là).
Et idem pour le VLAN 832, interface VLAN avec les options DHCP pour récupérer une IP.

Il faut que j'essaie de lui passer la bonne option 125 dans un premier temps, voir si je vais plus loin que l'erreur G03...

Si tu as un exemple de configuration, je t'avoue que je suis preneur

Encore merci pour votre temps.

Benoît

Laurent-421 · « **Réponse #7 le:** 21 avril 2020 à 12:57:09 »

Bonjour,

déjà, le décodeur que j'utilise est le suivant : https://blog.ariase.com/hubfs/Imported_Blog_Media/decodeur%20tv4%20face-8.jpg . J'ai vu sur le lien qui t'a été posté au dessus qu'à priori, le décodeur UHD fonctionne différement.

Par contre, je ne comprends pas cette histoire de DHCP (mais je suis nouveau dans le remplacement de la livebox par un routeur :-) ). Qui réclame un bail dhcp à qui ?

Dans ma conf, le routeur réclame un bail DHCP sur le vlan 832. C'est mon adresse IP publique avec la defgw qui me permet de sortir sur internet. Ensuite, le décodeur réclame un bail DHCP à mon routeur, mais c'est purement privé.

A une époque, il y avait des choses à faire sur le VLAN 835 (je crois) mais c'est apparemment en train de disparaitre.

Voici la conf utilisée sur mon Mikrotik :

Code: [Sélectionner]

R name="bridge-lan" mtu=auto actual-mtu=1500 l2mtu=1594 arp=enabled arp-timeout=auto mac-address=C4:AD:34:06:81:74 protocol-mode=none fast-forward=yes igmp-snooping=no auto-mac=no 
     admin-mac=C4:AD:34:06:81:74 ageing-time=5m vlan-filtering=no dhcp-snooping=no 

 2 R name="bridge-tv" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled arp-timeout=auto mac-address=C4:AD:34:06:81:74 protocol-mode=none fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m 
     vlan-filtering=no dhcp-snooping=no

Ci-dessus les deux bridges : le bridge lan pour le LAN office, le bridge-tv pour le décodeur. Ci-dessous les interfaces :

Code: [Sélectionner]

Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 #     INTERFACE                                                            BRIDGE                                                           HW  PVID PRIORITY  PATH-COST INTERNAL-PATH-COST    HORIZON
 0 I   wlan1                                                                bridge-hotspot                                                        200     0x80         10                 10       none
 1   H lan-3                                                                bridge-lan                                                       yes    1     0x80         10                 10       none
 2 I H lan-2                                                                bridge-lan                                                       yes    1     0x80         10                 10       none
 3 I H lan-1                                                                bridge-lan                                                       yes    1     0x80         10                 10       none
 4     decodeur-tv                                                          bridge-tv                                                        yes  200     0x80         10                 10       none
 5     vlan-routeur-lan-200                                                 bridge-lan                                                              1     0x80         10                 10       none
 6     routeur                                                              bridge-tv                                                        yes    1     0x80         10                 10       none

Donc sur le bridge-tv, uniquement l'interface vers le décodeur.

Ici le serveur DHCP sur ce bridge :

Code: [Sélectionner]

[admin@DecodeurTV] /ip dhcp-server> print detail
Flags: D - dynamic, X - disabled, I - invalid 
 0    name="dhcp-decodeur-tv" interface=bridge-tv lease-time=1w address-pool=dhcp-lan-decodeur authoritative=yes use-radius=no lease-script="" 

[admin@DecodeurTV] /ip dhcp-server> /ip pool print 
 # NAME                                                                                                                                                                 RANGES                         
 0 dhcp-lan-decodeur                                                                                                                                                    192.168.69.10-192.168.69.90

Et la configuration du switch HW (le VLAN 200 est le VLAN de la maison, le VLAN avec le trafic unicast, celui dont tout le monde se sert) :

Code: [Sélectionner]

[admin@DecodeurTV] /ip dhcp-server> /interface ethernet switch vlan print
Flags: X - disabled, I - invalid 
 #   SWITCH                                                                                        VLAN-ID PORTS                                                                                       
 0   switch1                                                                                           200 routeur                                                                                     
                                                                                                           switch1-cpu                                                                                 
 1   switch1                                                                                           840 routeur      


[admin@DecodeurTV] /ip dhcp-server> /interface ethernet switch port print                                                                                                                               Flags: I - invalid                 
 #   NAME                                                                        SWITCH                                                                        VLAN-MODE VLAN-HEADER    DEFAULT-VLAN-ID
 0   routeur                                                                     switch1                                                                       secure    leave-as-is               auto
 1   decodeur-tv                                                                 switch1                                                                       secure    always-strip               840
 2   lan-3                                                                       switch1                                                                       disabled  leave-as-is               auto
 3   lan-2                                                                       switch1                                                                       disabled  leave-as-is               auto
 4   lan-1                                                                       switch1                                                                       disabled  leave-as-is               auto
 5   switch1-cpu                                                                 switch1                                                                       disabled  leave-as-is               auto

[admin@DecodeurTV] /ip dhcp-server> /interface ethernet switch rule print
Flags: X - disabled, I - invalid, D - dynamic 
 0    switch=switch1 ports=routeur vlan-id=840 copy-to-cpu=no redirect-to-cpu=no mirror=no new-dst-ports=decodeur-tv 

 1    switch=switch1 ports=decodeur-tv protocol=igmp copy-to-cpu=no redirect-to-cpu=no mirror=no new-dst-ports=routeur new-vlan-priority=5 

 2    switch=switch1 ports=decodeur-tv copy-to-cpu=no redirect-to-cpu=no mirror=no new-dst-ports=switch1-cpu

Ce sont les règles de fonctionnement du SW hardware. En gros, je lui raconte que :
- le VLAN 840 sont sur les ports qui viennent de l'autre Mikrotik (qui est un trunk avec le VLAN 200) et le décodeur ;
- que le port du decodeur est untagged ;
- que je fais arriver le VLAN 840 sur le port du décodeur (ou plutôt, j'interdit qu'il ailles ailleurs que là). Donc pas besoin d'IGMP Snooping (de toute façon il n'y en aurait pas eu besoin car le décodeur est seul sur son bridge) ;
- que ce qui arrive en IGMP depuis le décodeur rejoint le VLAN 840 (donc pas besoin d'IGMP proxy) en priorité 5.

Voilà, je ne vois pas l'intérêt d'un proxy IGMP.

Laurent

KalNightmare · « **Réponse #8 le:** 21 avril 2020 à 17:14:16 »

Citation de: bennne le 21 avril 2020 à 12:08:45

Effectivement, j'avais bien vu ce lien. Mais lu trop vite...

Je vais tester de tout configurer cette semaine. Par contre, est ce que tu aurais les autres options (hors DNS et domain-name) à passer dans le bail DHCP ?
j'ai lu de l'option 90, 119... Est ce que tu aurais des infos là dessus car ces options ne sont pas abordées dans le lien communiqué.

Merci

Moi j'ai que la 125 en plus des normales (dns, domain-name) pour les decodeur UHD.

zoc · « **Réponse #9 le:** 21 avril 2020 à 20:22:20 »

Je confirme, pour le décodeur UHD, l’option 125 est obligatoire. Elle était d’ailleurs déjà utilisée par le décodeur précédent (TV4) pour afficher numéro de série et la version de la box dans le panneau d’informations techniques. La seule différence est que l’ancien décodeur démarre même si l’option est absente.

C’est la seule différence par rapport aux autres décodeurs.

Pour générer l'option:

Code: [Sélectionner]

#!/bin/bash

maclivebox=24:7F:20:XX:XX:XX
verlivebox=4
serlivebox=LK16201DP000000

tohex() {
  for h in $(echo $1 | sed "s/\(.\)/\1 /g"); do printf %02x \'$h; done
}

addsep() {
  echo $(echo $1 | sed "s/\(..\)/:\1/g")
}

m=0406$(tohex ${maclivebox//:/} | cut -c1-12)
s=050f$(tohex ${serlivebox})
l=0609$(tohex Livebox)20$(tohex $verlivebox)

echo 00:00:0d:e9:24$(addsep ${m}${s}${l})

Suffit de remplacer le contenu des variables en tête de scripts avec les données disponibles dans l'interface de configuration de la BOX (pas du décodeur).

bennne · « **Réponse #10 le:** 21 avril 2020 à 21:17:26 »

Bonsoir,

Merci encore pour ces infos et le script pour générer l'option 125.

Dans les prochains jours, je vais recevoir un second décodeur UHD, en complément de celui que j'ai déjà.
J'aimerai me passer définitivement de la BOX pour la TV, et avoir mes 2 décodeurs dans un VLAN séparé.

Quelle serait pour vous la meilleure façon de m'y prendre, en sachant que mon routeur est un Stormshield et que la partie IGMP / Mumticast est assez sommaire $:-\$
En clair, j'ai un menu de routage avec un flux multicast et une interface source, vers une interface destination. Ne maîtrisant pas à 100% les flux multicast IGMP, quelle serait la source et la destination dans cette configuration ?
J'ai lu dans plusieurs discussions qu"il fallait une interface sur le routeur avec une IP, est ce toujours le cas ? et qu'en est il du VLAN 838 ? Est il toujours utilisé, à l'époque par la VOD ?
Autre chose, est ce qu'il y a une configuration à mettre en place sur le switch ? Query, etc...

Dès que j'y vois un peu plus clair, je testerais, ça reste compliqué en ce moment de tout changer les conf avec le confinement et le télétravail

Benoît

bennne · « **Réponse #11 le:** 22 avril 2020 à 10:14:25 »

Bonjour à tous,

J'ai testé avec le décodeur en direct sur mon routeur, et voici le résultat :
1. Avec la bonne option 125 et le bon code HEXA, le décodeur démarre et j'accède au menu. Je peux faire de la VOD / Replay, etc...
2. Pas de flux IGMP sur le décodeur. Je vois bien les requêtes passé sur le firewall, mais mes compétances se limitent ici.

Au niveau configuration :
- Plage réseau pour les décodeurs : 192.168.254.248 /29 (VLAN 20)
- Interface réseau pour le VLAN 840 : 192.168.255.254

Qu'est ce que j'ai raté... Au niveau de mon switch, je vois bien les flux IGMP, mais dans le VLAN 20, rien dans le VLAN 840). J'ai suivi à la lettre le tuto https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg406199/#msg406199, en vain...

Impossible de faire arriver les flux multicast sur le décodeur.

Faut il mettre le VLAN 840 et le VLAN 20 dans un bridge ?

D'avance merci de vos retours