Comment perdre 4 heures sur une fusion TV+DATA

Démarré par Frank, 12 Février 2013 à 22:26:55

« précédent - suivant »

0 Membres et 2 Invités sur ce sujet

Bonjour à tous,

je ne regarde pas trop la TV, mais j'ai décidé aujourd'hui de faire cohabiter la TV sur mon réseau local.
Le but et que tous les adresses multicast fonctionnent dans le LAN privé.

Donc configuration des VLAN, iptables, puis test sur serveur: (vlc -A caca est cool, dans ce cas :p), tout marche bien.
Ensuite, compilation et configuration d'igmpproxy, test, et ca marche pas.

Puis j'ai passé littéralement 4 heures à voir pourquoi ca marchais pas. Les paquets s'arettaient à la gw. Donc tests avec un simple serveur/client multicast, OK, tests du fw, des autres interfaces, rien...

Bref, jusqu'à ce que je remarque que le TTL des paquets était à 1!!! [1]. C'est vrai que les "normes" en multicast (je viens de m'en rendre compte), sont un peu différentes, mais bon...
Ca me gave d'avoir perdu tout ce temps.

Bref, pour y remedier, une simple commande toute conne:
iptables -t mangle -A PREROUTING -i eth1.1989 -j TTL --ttl-set 5

Et voila...

Je ferai surement un tuto si ca intéresse des gens

[1] - Bon, d'après la RFC 5135, c'est "Normal" de mettre un TTL à 1, et le NAT ne devrait pas le décrementer.. Bof bof, quoi..


Merci beaucoup Frank, c'est très complet - je vais tenter de faire tourner ça sur Sophos UTM (anciennement Astaro).

Vous tiendrai au courant  :P

Yep, ca peut-être sympa de voir si ca tourne chez d'autres personnes ;)

Citation de: Frank le 13 Février 2013 à 00:39:32
Bon, si ca peut aider des gens:
http://wiki.villaro-dixon.eu/doku.php?id=informatique:cpe_siea
;)

Il faut que les mac visibles sur vos interfaces tagguées soient différentes. Selon l'endroit ou vous vous trouvez et donc le type de matériel utilisé pour la collecte cela risque de ne pas fonctionner longtemps ;)

Ah ?
Si c'est des VLANs différents, quel est le problème ?
C'est bête, ca...
Si des personnes on des problèmes, on peut, avec ip, créer une interface VLAN avec une mac différente:
ip link add link eth1.1989 name vlanTV address 10:22:33:44:55:66 type macvlan

Mouais... J'ai posté sur le forum d'astaro, et c'est pas possible avec sophos UTM  >:(
2 vlan, 2 ips différentes... Pourquoi faut-il avoir 2 macs différentes? On peut réserver la même mac sur 2 serveurs DHCP différents, non?

En plus j'ai essayé avec un fork tomato, rien dans l'interface permettant de spoofer une mac par vlan...


Pouvez changer ce pré-requis siouplait :-\ ?

J'aimerais aussi savoir pourquoi il faut deux macs différentes, étant donné que les réseaux (SIEA & k-net) sont distincts ?

Concernant sophos, si c'est à base de Linux, je vois pas le problème ;)
Il suffit juste d'avoir un accès à une CLI (ou plutot ifconfig/ip) ;)

@Frank,
Sophos  est basé sur linux, mais toute la conf est suvegardée dans une DB et restaurée de la base à chaque boot - ils n'ont pas de champ pour spécifier la mac -> http://www.astaro.org/beta-versions/utm-9-1-public-beta/46264-9-065-answered-dhcp-over-vlans.html

Arnaud saura mieux pour répondre que moi, mais cette contrainte "un vlan, une mac" c'est du côté du SIEA qu'elle est imposée.

Il faudrait peut-être que le SIEA pense un peu plus à ses clients: impossible d'assigner une mac spoofée sur un vlan sous toute version de Windows.
Même des switches cisco utilisenet la même sur tous leurs vlan: http://cciepursuit.wordpress.com/2008/04/21/beware-the-man-of-one-platform/
On est sur du layer 2, chacun des vlan est totalement séparé, avoir la même mac ne pose aucun problème - alors pourquoi, une fois encore, limiter?
A noter que j'ai pas vu non plus moyen de le faire sous tomato (pas la version k-net, hein).
Bref, soit on a tous votre routeur, soit on s'en fabrique tous un sous linux. Ou on garde une config à 2 ports, ou encore on se passe de TV. Pour une mac address.

Ouais, ca serait sympa de voir pourquoi ca ne pourait pas fonctionner..
Me concernant, ca marche du tonnerre avec la meme MAC.

Je connais pas windows, mais en faisant un bridge, pas moyen de changer l'adresse mac ? (ca me conforte dans le fait que linux, d'un point de vue hacking, c'est quand meme pas mal :p ;) )


#13
Citation de: felix_clerc le 14 Février 2013 à 00:09:23
En plus j'ai essayé avec un fork tomato, rien dans l'interface permettant de spoofer une mac par vlan...

Oui il ne faut pas utiliser l'interface web.

Citation
Pouvez changer ce pré-requis siouplait :-\ ?

Non, c'est une des spécifications de l'opérateur d'opérateur sur certaines de ses plaques de livraison. C'est embêtant certes mais c'est comme ça, on ne peux pas changer les STAS de ce réseau.

L'objectif pour l'opérateur d'opérateur est de disposer de méthodes de déploiement industrialisées, d'assurer un fonctionnement technique identique pour tous les ISP et de fuir les configurations a façon dans des
cas déterminés. Plus on cherchera à modifier un fonctionnement général, plus ça leurs prendra du temps de gérer les dysfonctionnement et panne . On ne peut pas leur jeter la pierre sur ce point là, c'est
tout à fait normal.

Le réseau est grand, il est multi-équipementier, c'est un fait, c'est comme ça et on n'y changera rien. Cela implique que des limitations de certains équipements induisent une limitation générale.

A notre niveau, ça implique uniquement un peu d'inventivité technique qui n'est a mon sens pas très complexe ni réellement pénalisante pour les projets qui nous intéressent.

Une address MAC pour plusieurs VLANs n'est pas toujours possible avec toutes les equipments. Cisco le fait mais pas sur si JunOS le fait.

Le choix du TTL=1 est recent  (~ decembre 2012?). C'est domage que tels changements sont pas annonces, pour eux qui ca sert a qulque chose. Ca evite a chercher resoudre un probleme en aveugle.

-- njs