« Fibre orange en DHCP avec routeur pfsense » : différence entre les versions

De Linux Server Wiki
Aller à la navigation Aller à la recherche
Ligne 231 : Ligne 231 :
** définissez les ports 1 (ONT), 2 (livebox), 3 (pfsense-wan) et 4 (pfsense-fake) à <code>leave as is</code>
** définissez les ports 1 (ONT), 2 (livebox), 3 (pfsense-wan) et 4 (pfsense-fake) à <code>leave as is</code>
** définissez les ports 5 (management) et SFP à <code>not a member</code>
** définissez les ports 5 (management) et SFP à <code>not a member</code>
* Pour les vlan 838 et 840 :
* Pour les vlans 838 et 840 :
** définissez les ports 1 (ONT) et 2 (livebox) à <code>leave as is</code>
** définissez les ports 1 (ONT) et 2 (livebox) à <code>leave as is</code>
** définissez les ports 3 (pfsense-wan), 4 (pfsense-fake), 5 (management) et SFP à <code>not a member</code>
** définissez les ports 3 (pfsense-wan), 4 (pfsense-fake), 5 (management) et SFP à <code>not a member</code>

Version du 12 novembre 2016 à 18:49

Vous voulez utiliser votre propre routeur pour gérer votre connexion internet ? Tout en conservant l'accès à la TV et au téléphone ? Et en plus vous êtes chez orange ?La livebox ne permet malheureusement pas de mettre la connexion internet en mode bridge. Vous trouverez quelques tuto sur internet vous expliquant comment vous passer complètement de la livebox tout en conservant internet et la télévision (mais vous perdrez le téléphone étant donné qu'orange ne fourni aucune information de connexion SIP).

Modifications récentes de l'infrastructure orange

En 2016, orange a grandement modifié son infrastructure internet pour les particuliers. Voici les caractéristiques de la nouvelle infrastructure :

  • Arrêt de l'encapsulation PPPoE au profit d'ethernet avec DHCP
  • Support de l'ipv6 avec DHCPv6-PD
  • Transport de plusieurs VLANs 802.1q jusqu'au client avec gestion de la QoS 802.1p
  • le VLAN 832 transporte la connexion internet du client ainsi que la téléphonie SIP
  • les VLANs 838 et 840 transportent la TV (respectivement la VoD et la TV)

Spécificités de l'infrastructure orange

Vis à vis des priorités 802.1p :

  • Les paquets DHCP, DHCPv6, ARP, ICMPv6-neighborsolicitation et ICMPv6-routersolicitation doivent être tagués en priorité 6 (obligatoire pour avoir une réponse)
  • Les paquets VOIP doivent être tagués en priorité 5 (non obligatoire à ce jour)
  • Tous les autres paquets doivent être en priorité 0 (non obligatoire, mais nécessaire pour avoir le débit maximum de votre offre)


Vis à vis de DHCP :

  • orange utilise l'option 90 (rfc3118-authentication) afin d'envoyer l'identifiant de votre connexion (fti/*****). Par chance, orange n'utilise ni les mécanismes RDM ni aucune fonctionnalité de hashage ce qui permet d'envoyer directement votre id de connexion sous forme de token.
  • D'autres options dhcp sont obligatoires : dhcp-class-identifier et user-class
  • A noter que votre ip ne sera pas fixe. Elle restera la même tant que le bail dhcp restera valide (et renouvelé) par votre client. Si vous arrêtez de renouveler le bail, un autre client peut se voir attribuer "votre" ip.


Vis à vis de DHCPv6 PD

  • pour l'authentification, même principe que pour dhcp mais avec l'option 11
  • les autres options obligatoires sont l'user-class (option 15) et le vendor-class (option 16)
  • Encore une fois, le bloc qui vous sera attribué ne restera pas fixe. Il restera le même tant que votre bail dhcp est valide, mais peut être attribué à un autre client dès lors que votre bail n'est plus valide.

dump

dump requête dhcp de la livebox

802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Bootstrap Protocol (Discover)
    Message type: Boot Request (1)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x0f48395c
    Seconds elapsed: 1
    Bootp flags: 0x8000, Broadcast flag (Broadcast)
        1... .... .... .... = Broadcast flag: Broadcast
        .000 0000 0000 0000 = Reserved flags: 0x0000
    Client IP address: 0.0.0.0
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: Sagemcom_xx:yy:zz (2c:39:96:xx:yy:zz)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Discover)
        Length: 1
        DHCP: Discover (1)
    Option: (55) Parameter Request List
        Length: 11
        Parameter Request List Item: (1) Subnet Mask
        Parameter Request List Item: (3) Router
        Parameter Request List Item: (6) Domain Name Server
        Parameter Request List Item: (15) Domain Name
        Parameter Request List Item: (28) Broadcast Address
        Parameter Request List Item: (51) IP Address Lease Time
        Parameter Request List Item: (58) Renewal Time Value
        Parameter Request List Item: (59) Rebinding Time Value
        Parameter Request List Item: (90) Authentication
        Parameter Request List Item: (119) Domain Search
        Parameter Request List Item: (120) SIP Servers
    Option: (60) Vendor class identifier
        Length: 5
        Vendor class identifier: sagem
    Option: (77) User Class Information
        Length: 44
        Instance of User Class: [0]
            User Class Length: 43
            User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
    Option: (90) Authentication
        Length: 22
        Protocol: configuration token (0)
        Algorithm: 0
        Replay Detection Method: Monotonically-increasing counter (0)
        RDM Replay Detection Value: 0x0000000000000000
        Authentication Information: fti/*******
    Option: (255) End
        Option End: 255

dump requête dhcpv6 de la livebox

802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
DHCPv6
    Message type: Solicit (1)
    Transaction ID: 0xaae9a2
    Client Identifier
        Option: Client Identifier (1)
        Length: 10
        Value: 000300012c3996xxyyzz
        DUID: 000300012c3996xxyyzz
        DUID Type: link-layer address (3)
        Hardware type: Ethernet (1)
        Link-layer address: 2c:39:96:xx:yy:zz
    Option Request
        Option: Option Request (6)
        Length: 4
        Value: 000b0017
        Requested Option code: Authentication (11)
        Requested Option code: DNS recursive name server (23)
    Elapsed time
        Option: Elapsed time (8)
        Length: 2
        Value: 04bb
        Elapsed time: 12110 ms
    Authentication
        Option: Authentication (11)
        Length: 22
        Value: 00000000000000000000006674692f61616161616161
        Protocol: 0
        Algorithm: 0
        RDM: 0
        Replay Detection: 0000000000000000
        Authentication Information: 6674692f61616161616161
    User Class
        Option: User Class (15)
        Length: 45
        Value: 002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f7833
    Vendor Class
        Option: Vendor Class (16)
        Length: 11
        Value: 0000040e0005736167656d
        Enterprise ID: SAGEMCOM SAS  (1038)
        vendor-class-data: sagem
    Identity Association for Prefix Delegation
        Option: Identity Association for Prefix Delegation (25)
        Length: 12
        Value: 96395f2a00000e1000001518
        IAID: 96395f2a
        T1: 3600
        T2: 5400

Problèmes de pfSense

  • Le principal problème qui se pose vient du fait que le client dhcp de pfsense utilise les raw sockets. Par conséquents, les paquets du client dhcp ne traverse pas pf et ne pourront donc pas être tagués en priorité 6.
  • Le second problème est lié à un bug du dhclient de freebsd qui n'envoi pas les options user-class. Ce bug est corrigé chez freebsd, mais pas encore répercuté dans pfsense 2.3.2.

Le patch pour régler ce problème d'options est assez simple :

diff --git a/sbin/dhclient/tables.c b/sbin/dhclient/tables.c
index c7bac57..bee776c 100644
--- a/sbin/dhclient/tables.c
+++ b/sbin/dhclient/tables.c
@@ -335,6 +335,7 @@ unsigned char dhcp_option_default_priority_list[] = {
 	DHO_DHCP_REBINDING_TIME,
 	DHO_DHCP_CLASS_IDENTIFIER,
 	DHO_DHCP_CLIENT_IDENTIFIER,
+	DHO_DHCP_USER_CLASS_ID,
 	DHO_SUBNET_MASK,
 	DHO_TIME_OFFSET,
 	DHO_CLASSLESS_ROUTES,
  • Enfin, le client dhcpv6 de pfsense (WIDE-DHCPv6) semble incapable d'envoyer des options personnalisées ce qui empêche de l'utiliser directement.

Solution proposée

Pour palier à l'utilisation des raw sockets, j'ai simplement ajouté un switch gérant les vlans entre l'ONT orange et le routeur pfsense. Ce switch permettra de modifier la priorité des paquets dhcp et ARP, mais aussi de faire le tri entre le vlan internet destiné à pfsense et les vlans TV destinés à la livebox. A titre perso, j'utilise un switch RB260GS de chez mikrotik qui à l'avantage d'être peu onéreux tout en restant sympa à configurer. Seule tristesse concernant ce switch, il ne semble pas capable de gérer des ACL ipv6.

A côté de ça, afin de conserver l'accès à la téléphonie orange, on va créer un serveur dhcp émulant le comportement du serveur dhcp de orange de permettre à notre livebox d'accéder à internet et donc aux serveurs SIP de orange. Ce "faux" serveur dhcp tournera évidemment sur le vlan 832.

Orange-pfsense.png

Configuration de la connexion internet IPv4

Configuration du switch

Il faut bien évidemment suivre le schéma de branchement au préalable. Nous allons utiliser les ports de cette manière :

  • port 1 branché sur l'ONT orange.
  • port 2 branché sur le port WAN de la livebox
  • port 3 branché sur le port WAN de pfsense
  • port 4 branché sur le port FAKE de pfsense, qui nous servira à fournir un serveur DHCP factice à la livbox.
  • port 5 branché sur votre lan afin de garder la main sur la configuration du switch

Onglet system

  • Au champ Allow from entrez le bloc réseau que vous utilisez sur votre lan avec le netmask au format CIDR.
  • Au champ Allow from Ports cochez le port 5. attention, cela veut dire que l'interface d'administration du switch sera totalement inaccessible depuis les autres ports !

Onglet Forwarding

Cette page vous permet de configurer comment les ports communiquent les uns avec les autres.


Schéma de communication :

  • L'ONT ne doit communiquer qu'avec pfsense-wan (pour l'accès internet vlan 832) et avec la livebox (pour la télévision vlan 838 et 840)
  • La livebox ne doit communiquer qu'avec l'ONT (pour la télévision vlan 838 et 840) et pfsense-fake (pour avoir accès au faux serveur DHCP permettant un accès natté à internet)
  • Le port WAN de pfsense ne doit communiquer qu'avec l'ONT
  • Le port FAKE de pfsense ne doit communiquer qu'avec la livebox
  • Le port de management, qui relie le switch à votre lan, ne doit communiquer avec aucun autre port du switch


Ce qui donne au niveau de la configuration du switch :

  • Colonne port 1 (ONT) : cochez les ports 2 (livebox) et 3 (pfsense-wan)
  • Colonne port 2 (livebox) : cochez les ports 1 (ONT) et 4 (pfsense-fake)
  • Colonne port 3 (pfsense-wan) : cochez le port 1 (ONT)
  • Colonne port 4 (pfsense-fake) : cochez le port 2 (livebox)
  • Colonne port 5 (management) : ne cochez aucun port
  • Colonne SFP : ne cochez aucun port

Onglet VLAN

  • Pour les ports 1 (ONT), 2 (livebox), 3 (pfsense-wan), 4 (pfsense-fake)
    • VLAN mode : strict
    • VLAN receive : only tagged
    • Default VLAN ID : 1
    • Force VLAN id : décoché
    • VLAN Header : leave as is
  • Pour le port 5 (management)
    • VLAN mode : optional
    • VLAN receive : only untagged
    • Default VLAN ID : 1
    • Force VLAN id : décoché
    • VLAN Header : leave as is

Onglet VLANs

  • Créez 3 vlans : 832, 838 et 840
  • Pour le vlan 832 :
    • définissez les ports 1 (ONT), 2 (livebox), 3 (pfsense-wan) et 4 (pfsense-fake) à leave as is
    • définissez les ports 5 (management) et SFP à not a member
  • Pour les vlans 838 et 840 :
    • définissez les ports 1 (ONT) et 2 (livebox) à leave as is
    • définissez les ports 3 (pfsense-wan), 4 (pfsense-fake), 5 (management) et SFP à not a member

Onglet ACL

configuration de pfsense

Remplacement du binaire dhclient par celui patché

Loguez vous en ssh sur votre pfsense et choisissez l'option 8 pour avoir un shell.

fetch http://pfoo.csnu.org/pfsense-binaries/dhclient
mv /sbin/dhclient /sbin/dhclient.ORIG
mv dhclient /sbin/dhclient

Création du VLAN 832 sur l'interface WAN

  • Commencez par cliquer sur l'onglet interfaces de la barre de menu de pfsense puis cliquez sur assign
    • Cliquez sur l'onglet VLANs. Créez un nouveau vlan pour le port réseau qui vous sert de WAN (vmx1 dans mon cas). Entrez 832 en VLAN Tag et laissez la priorité vide.
    • Dans l'onglet Interface Assignments, pour l'interface WAN, sélectionnez le vlan que vous venez de créer (VLAN 832 on vmx1 par exemple).

Configuration du DHCP

Le client DHCP devra envoyer trois options spécifiques afin d'obtenir un lease du serveur orange:

  • dhcp-class-identifier qui contiendra "sagem"
  • user-class qui contiendra "+FSVDSL_livebox.Internet.softathome.Livebox3"
  • option-90 qui contiendra votre identifiant de connexion fti/ en hexadécimal


Génération de l'identifiant en hexadécimal

Voici un petit script bash réalisé par zoc de lafibre.info afin de générer votre identifiant en hexadécimal. Lancez le simplement avec comme argument ce qui suit fti/ en respectant la casse.

#!/bin/bash

USERNAME=$1
AUTHSTRING=00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f

for (( i=0; i<${#USERNAME}; i++ )); do
        HEXCHAR=$(echo -n ${USERNAME:$i:1} | od -An -txC | xargs)
        AUTHSTRING=${AUTHSTRING}:${HEXCHAR}
done
echo ${AUTHSTRING}
pfoo@laptop:~$ ./generator.sh 7kgtyop
00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:37:6b:67:74:79:6f:70

Configuration de l'interface

  • Dans la barre de menu de pfsense, cliquez sur interfaces puis sur WAN
    • Au champ IPv4 Configuration Type sélectionnez DHCP
    • Dans la section DHCP Client Configuration cochez la case Advanced Configuration et pfSense default en Presets.
    • Dans la section Lease Requirements and Requests il faut remplir Send options avec les 3 options dhcp que nous avons vu plus tôt, séparées par des virgules. Par exemple :
dhcp-class-identifier "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox3", option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:37:6b:67:74:79:6f:70

Configuration de la connexion internet IPv6

Téléphonie et télévision

Pour le téléphone et la télévision, nous allons faire tourner sur le vlan 832 d'une interface de notre pfsense un serveur dhcp qui va imiter le comportement du serveur dhcp de orange afin que la livebox obtienne une adresse ip de ce serveur dhcp et ait ainsi accès à internet.
Pour la téléphonie, il est juste nécessaire que la livebox ait accès à internet. Pour la télévision, il faut en plus relayer les vlans 838 et 840 de orange jusqu'à la livebox.

Création du VLAN 832 sur l'interface FAKE

  • Commencez par cliquer sur l'onglet interfaces de la barre de menu de pfsense puis cliquez sur assign
    • Cliquez sur l'onglet VLANs. Créez un nouveau vlan pour le port réseau qui vous sert à relier pfsense à la livebox (vmx2 dans mon cas). Entrez 832 en VLAN Tag et laissez la priorité vide.
    • Dans l'onglet Interface Assignments, créez une nouvelle interface et sélectionnez comme Network port le vlan de l'interface que vous venez de créer (VLAN 832 on vmx2 par exemple dans mon cas). Votre interface s'appellera OPT1 par défaut.

Configuration de l'interface FAKE

  • Dans la barre de menu de pfsense, cliquez sur interfaces puis sur OPT1
    • Changez le champ Description de l'interface en FAKE pour plus de lisibilité.
    • Cochez la case Enable interface
    • Au champ IPv4 Configuration Type sélectionnez Static IPv4
    • Au champ IPv4 Address entrez l'adresse 172.16.33.1 avec /24 comme préfixe à droite.
    • Laissez IPv4 Upstream gateway à None
    • Assurez vous qu'aucune case dans la section Reserved Networks ne soit coché.
  • Terminez en sauvegardant la configuration.

Configuration du firewall

Par défaut, le firewall va bloquer la totalité du trafic sur cette interface. Nous allons créer deux règles, une afin d'autoriser le trafic à destination de l'ip notre interface (qui servira de gateway à la livebox), et une seconde qui autorise le trafic vers internet. Cette seconde règle mériterait d'être plus restrictive étant donné que la livebox n'a au final besoin que d'un accès restreint à internet (a vu de nez, les dns orange, les serveurs sip et les serveurs de mise à jour livebox), mais cela implique un gros boulot de tcpdump pour avoir la liste des ips à autoriser.

  • Dans la barre de menu de pfsense, cliquez sur firewall puis sur Rules.
  • Sélectionnez l'interface FAKE
  • Créez une première règle en cliquant sur add
    • Au champ Action sélectionnez Pass
    • Au champ Address Family sélectionnez IPv4
    • Au champ Protocol sélectionnez any
    • Au champ Source sélectionnez Single host or alias et entrez 172.16.33.2
    • Au champ Destination sélectionnez FAKE address
    • Au champ Description entrez Allow access to the gateway
    • Validez la règle avec save
  • Créez une seconde règle en cliquant sur le bouton add (celui avec une flèche vers le bas)
    • Au champ Action sélectionnez Pass
    • Au champ Address Family sélectionnez IPv4
    • Au champ Protocol sélectionnez TCP/UDP
    • Au champ Source sélectionnez Single host or alias et entrez 172.16.33.2
    • Au champ Destination sélectionnez any
    • Au champ Description entrez livebox access to internet (orange dns, SIP, TV)
    • Validez la règle avec save
  • Validez la configuration du firewall en cliquant sur le bouton Apply changes en haut.

Configuration du serveur DHCP

  • Dans la barre de menu de pfsense, cliquez sur services puis sur DHCP server.
  • Sélectionnez l'interface FAKE en haut.
    • Cochez la case Enable
    • Au champ Range entrez 172.16.33.50 et 172.16.33.254
    • Au champ gateway entrez 172.16.33.1
    • Au champ Additional BOOTP/DHCP Options, cliquez sur Display Advanced
      • Dans la section Additional BOOTP/DHCP Options, ajoutez l'option 90 de type string avec comme valeur 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30 (c'est l'hexadécimal de dhcpliveboxfr250)
      • Dans la section Additional BOOTP/DHCP Options, ajoutez l'option 120 de type string avec comme valeur 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00 (c'est l'hexadécimal de sbct3g.STR.access.orange-multimedia.net qui est le serveur SIP)
    • Dans la section DHCP Static Mappings for this Interface cliquez sur add
      • Au champ MAC Address entrez l'adresse mac de votre livebox
      • Au champ IP Address entrez 172.16.33.2
      • Au champ DNS Servers entrez 81.253.149.13 et 80.10.246.5
      • Au champ gateway entrez 172.16.33.1
      • Sauvegardez cette configuration
    • et terminez par sauvegarder la configuration du serveur DHCP.

Configuration du switch