Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
kb:linux:pfsense:remplacer_sa_box_orange_par_un_pfsense [2018/10/04 20:23] – beu | kb:linux:pfsense:remplacer_sa_box_orange_par_un_pfsense [2020/08/22 15:23] (Version actuelle) – beu |
---|
======Remplacer sa box Orange par un pfSense====== | ======Remplacer sa box Orange par un pfSense====== |
| |
====Introduction==== | =====Introduction===== |
| |
Ceci est issue du forum [[https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/|LaFibre]] qui elle celui même est issue de l'énorme travail sur ce [[https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/|topic]] | Ceci est issu du forum [[https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/|LaFibre]] qui elle celui même est issue de l'énorme travail sur ce [[https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/|topic]] |
| |
====Internet==== | |
| |
Il existe deux méthode d'attribution d'IP chez Orange : | ====Prérequis==== |
| |
| Il vous faudra un convertisseur de média compatible. Pour l'ADSL/VDSL il vous faudra un modem supportant la fonction bridge. Je vous conseille le [[https://www.amazon.fr/Zyxel-Passerelle-ADSL2-port-splitter/dp/B00HO1TJ8M/ref=sr_1_1?__mk_fr_FR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&keywords=amg1001&qid=1559321858&s=gateway&sr=8-1 | Zyxel AMG1001]] pour l'ADSL et le [[https://www.amazon.fr/TP-Link-TD-W9970-Modem-Routeur-VDSL2/dp/B00YU23DI0/ref=sr_1_2?__mk_fr_FR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&keywords=modem+vdsl&qid=1559321926&s=gateway&sr=8-2|TP Link TD W9970]] pour la VDSL. |
| |
| Pour la fibre, c'est plus complexe. Il vous faudra un équipement orange officiel, puisque qu'il faut le faire appairer par un technicien Orange. Il existe l'[[https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/brancher-ou-debrancher-votre-livebox-modem/livebox-avec-terminal-optique-fibre-changer-l-adaptateur-sfp-ou-le-boitier-ont_250292-792081#onglet1|adaptateur SFP]] fournit par défaut, mais je ne sais pas si il est possible de le faire fonctionner avec un équipement classique (switch ou carte PCI). Il existe aussi le [[https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/brancher-ou-debrancher-votre-livebox-modem/livebox-avec-terminal-optique-fibre-changer-l-adaptateur-sfp-ou-le-boitier-ont_250292-792081#onglet2|boitier Fibre (ONT)]] qui fonctionne à coup sûr mais qui est BEAUCOUP plus compliqué à récupérer. Voici quelques conseils pour le récupérer : |
| |
| * __Méthode Simple__ - La demander au technicien lors de la mise en place de votre ligne. Il n'a aucune raison de vous la donner, seulement de la gentillesse (si il en a un avec lui). Il se chargera de l'appairer avec Orange. |
| * __Méthode Compliqué__ - En plusieurs étapes : |
| - Se rendre en boutique, prétextant que le technicien vous a demandé de récupérer un boitier. Jouez le jeu de l'ignorance et insister pour obtenir le boitier. |
| - Retirer l’éventuel Adaptateur SFP et brancher l'ONT à votre box. Votre box n'arrivera pas à se connecter a internet et c'est normal. |
| - Appeler le **3900**, numéro d'Orange, et demander l'assistance technique pour configurer votre box. Seule l'assistance peut faire cette manipulation. |
| - Expliquer que vous remplacer le boitier, et qu'il faut qu'elle ajoute le numéro de série du boitier pour qu'il fonctionne. Il faut moins de 5 minutes pour le faire, et l'assistance vous guidera sur les manipulations à faire. |
| |
| =====Internet===== |
| |
| Il existe deux méthodes d'attribution d'IP chez Orange : |
* PPPOE : L'ancestrale méthode de chez Orange, ne supporte que l'IPv4 dynamique et est nativement compatible avec pfSense. | * PPPOE : L'ancestrale méthode de chez Orange, ne supporte que l'IPv4 dynamique et est nativement compatible avec pfSense. |
* DHCP : Méthode toute jeune, permet l'obtention de l'IPv6 mais non compatible nativement avec pfSense. | * DHCP : Méthode toute jeune, permet l'obtention de l'IPv6 mais non compatible nativement avec pfSense. |
| |
| |
Pour les versions inférieur a la 2.4.4, il vous faut aussi remplacer le fichier suivant : | Pour les versions inférieures a la 2.4.4, il vous faut aussi remplacer le fichier suivant : |
| |
* {{ :kb:linux:pfsense:dhclient |}} --> /sbin/dhclient | * {{ :kb:linux:pfsense:dhclient |}} --> /sbin/dhclient |
| |
===Étape 3=== | ===Étape 3=== |
| |
Il va falloir transformer son identifiant Orange en base32, pour cela il suffit de lancer le script suivant : | |
| |
<file bash fti.sh [enable_line_numbers="true"]> | |
#!/bin/bash | |
| |
USERNAME=$1 | |
AUTHSTRING=00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f | |
| |
for (( i=0; i<${#USERNAME}; i++ )); do | |
HEXCHAR=$(echo -n ${USERNAME:$i:1} | od -An -txC | xargs) | |
AUTHSTRING=${AUTHSTRING}:${HEXCHAR} | |
done | |
echo ${AUTHSTRING} | |
</file> | |
| |
avec pour argument les 7 caractères de l'identifiant Orange (après le fti/). | |
| |
<html> | <html> |
| |
<div class=htmlcode> | <div class=htmlcode> |
<h3>Générateur pour option 90 DHCP Orange - version 2.01 (septembre 2018)</h3> | Rédigé par <b>kgersen</b> via ce <a href="https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/">topic lafibre.info</a><br> |
<a href="https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/">voir ce sujet sur lafibre.info</a><br> | |
<hr> | <hr> |
login Orange : fti/<input id="orange" placeholder="identifiant Orange"/><br> | login Orange : fti/<input id="orange" placeholder="identifiant Orange"/><br> |
mot de passe Orange: <input id="password" placeholder="password"/><br> | mot de passe Orange: <input id="password" placeholder="password"/><br> |
Salt: <input id="salt" value="1234567890123456"/ maxlength="16" size="16"><br> | RND Salt: <input id="salt" placeholder="16 ASCII Charts"/ maxlength="16" size="16"><br> |
Byte: <input id="byte" value="A" maxlength="1" size="1"/> | RND Bytes: <input id="byte" placeholder="1 ASCII Charts" maxlength="1" size="12"/> |
<br>(execution locale au navigateur, les valeurs ne sont pas envoyées sur le réseau)<br> | <br>(exécution sur le navigateur, rien ne transit sur le réseau)<br> |
<hr> | <hr> |
<button id="btn2">Générer la chaine</button><br> | <button id="btn2">Générer la chaine</button><br> |
| |
chaine option dhcp 90:<textarea id="output" placeholder=""></textarea><br> | $Identifiant :<textarea id="output" placeholder=""></textarea><br> |
| |
| |
</div> | </div> |
</html> | </html> |
| Note:\\ |
| La box génère à chaque requête DHCP deux valeurs aléatoires (nommé "RND Salt" et "RND Bytes" dans ce tuto), ce qui veut dire que le rejeu est possible. |
| |
===Étape 4=== | ===Étape 4=== |
| |
<code> | <code> |
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox4",option-90 XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX | dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox4",option-90 $Identifiant |
</code> | </code> |
| |
| |
<code> | <code> |
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,rfc3118-auth | subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90 |
</code> | </code> |
| |
| |
<code> | <code> |
ia-pd 0, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33,raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,raw-option 6 00:0b:00:11:00:17:00:18,raw-option 11 XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX | ia-pd 0, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33,raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,raw-option 6 00:0b:00:11:00:17:00:18,raw-option 11 $Identifiant |
</code> | </code> |
| |
A noter que le XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX est le contenu obtenu l'étape 3. | Oubliez pas de remplacer la valeur "$Identifiant" de l'option 90 en IPv4 et de l'option 11 en IPv6 par celle générée a l'étape 3 |
| |
Vous devriez recevoir une IPv4 et un /56 IPv6. | Vous devriez recevoir une IPv4 et un /56 IPv6. |
{{ :kb:linux:pfsense:route.png |}} | {{ :kb:linux:pfsense:route.png |}} |
| |
A noter qu'il faudra changer le nom de l'interface par la votre. | A noter qu'il faudra changer le nom de l'interface par la vôtre. |
| |
===Étape 6=== | ===Étape 6=== |
Vous avez la complète liberté sur vos préfixes. | Vous avez la complète liberté sur vos préfixes. |
| |
====Télévision==== | =====Télévision===== |
| |
===Étape 1=== | ===Étape 1=== |
| |
Génération de l'identifiant : | Il est recommandé de récupérer l'adresse MAC de votre décodeur TV. |
| |
| Sinon vous pouvez utiliser celle-ci : 5e:ff:56:a2:af:15 |
| |
===Étape 2=== | ===Étape 2=== |
| |
Il vous faut créer les deux interfaces VLAN 838 et 840 | Il vous faut créer les deux interfaces VLAN 838 et 840 sur la même interface physique que celle utilisée pour Internet. |
| |
| Le VLAN 840 est utilisé pour la télévision en direct alors que le VLAN 838 est utilisé pour la VOD, et tous les services annexes du décodeur. |
| |
| :!: ATTENTION : La version 2.4.4 nécessite que les interfaces VLAN 840 et celle de votre LAN doivent être reconnus physique par le pfsense (non vlan). Ce problème a été corrigé dans la version 2.4.4-p1. |
| |
===Étape 3=== | ===Étape 3=== |
Ajout du DHCP sur l'interface vlan 838 comme ceci : | Ajout du DHCP sur l'interface vlan 838 comme ceci : |
| |
PICTURE | {{ :kb:linux:pfsense:conf_tv.png |}} |
| |
avec pour options : | avec pour options : |
| |
FIXME | <code> |
| dhcp-class-identifier "sagem", user-class "+FSVDSL_livebox.MLTV.softathome.Livebox3", dhcp-client-identifier 01:$MAC_DECODEUR |
| </code> |
| |
| Notez bien le 01 avant la valeur $MAC_DECODEUR |
| |
===Étape 4=== | ===Étape 4=== |
| |
Création des règles de pare-feu | Il vous faudra attribuer une IP a l'interface VLAN 840 afin de pouvoir lancer le service **icmpproxy** |
| |
FIXME | |
| |
===Étape 5=== | ===Étape 5=== |
| |
Création de bail statique pour le décodeur | Il vous faudra créer une interface upstream comprenant : |
| |
| {{ :kb:linux:pfsense:upstream_igmp.png?800 |}} |
| |
| et une interface downstream (en ajustant le réseau pour qu'il corresponde a votre LAN) : |
| |
| {{ :kb:linux:pfsense:downstream_igmp.png?800 |}} |
| |
| ce qui doit donner : |
| |
| {{ :kb:linux:pfsense:result_igmp.png?800 |}} |
| |
| ===Étape 6=== |
| |
| Création des règles de pare-feu. |
| |
| FIXME : Je n'ai pas eu le temps d'expérimenter des règles fines. J'ai donc sur chaque interface WAN de la TV créer une règle totalement ouverte avec l'option **Allow IP options** activée. Si jamais vous avez le lot de règles plus sécurisée et fonctionnel, contactez-moi. |
| |
| ===Étape 7=== |
| |
| Il vous faudra créer un bail DHCP Statique afin de définir des serveurs DNS spécifique a ce même décodeur : |
| |
| {{ :kb:linux:pfsense:dhcp_statique.png |}} |
| |
| ===Étape 8=== |
| |
FIXME | Redémarrer votre décodeur et enjoy 8-) |