Utilisation d'un routeur perso

[albert91]

OK, facile.
J'espère que tu apprécies la rapidité du wifi 6 par rapport à la box K-net.
À part traiter un nombre de clients supérieur, un routeur à 250€ n'apporte pas grand-chose.
Bon choix.

[matvg]

Bonjour, depuis le changement du routeur knet par un routeur Huawei Ax3, j'observe des déco/reco toutes les 5 min. Je suppose qu'il s'agit du renouvellement du bail dhcp?
Je ne les observais pas avec la kbox mais là le petit laps de temps à reco me déconnecte de mon vpn entreprise.

Est-ce que quelqu'un a une suggestion pour mitiger cet effet?

[bOLEMO]

Bonjour, depuis le changement du routeur knet par un routeur Huawei Ax3, j'observe des déco/reco toutes les 5 min. Je suppose qu'il s'agit du renouvellement du bail dhcp?
Je ne les observais pas avec la kbox mais là le petit laps de temps à reco me déconnecte de mon vpn entreprise.

Est-ce que quelqu'un a une suggestion pour mitiger cet effet?

C'est exactement ça, et j'avais le même problème (routeur Netgear R7800).
Ma solution a été de mettre le routeur en IP fixe, et de lancer toutes les 2 minutes une demande de bail dhcp pour garder l'autorisation ACL active.

Je ne sais pas si tu as un accès telnet/ssh à ton routeur, ni la version du client dhcp utilisée.

[halesk2k]

Bonjour, depuis le changement du routeur knet par un routeur Huawei Ax3, j'observe des déco/reco toutes les 5 min. Je suppose qu'il s'agit du renouvellement du bail dhcp?
Je ne les observais pas avec la kbox mais là le petit laps de temps à reco me déconnecte de mon vpn entreprise.

Est-ce que quelqu'un a une suggestion pour mitiger cet effet?

C'est exactement ça, et j'avais le même problème (routeur Netgear R7800).
Ma solution a été de mettre le routeur en IP fixe, et de lancer toutes les 2 minutes une demande de bail dhcp pour garder l'autorisation ACL active.

Je ne sais pas si tu as un accès telnet/ssh à ton routeur, ni la version du client dhcp utilisée.

C'est étrange, le bail est renouvelé à 50% du bail total normalement. Peut être que le routeur ne le fait pas...

Sinon j'ai remarqué que mon bail dhcp est passé à plusieurs heures au lieu de 5mn au paravent .

[matvg]

Pas de connexion Telnet ou ssh possible. En tout cas pas de service détecté sur les ports standards.
je suis passé en IP fixe pour verifier, évidemment au bout de 5min, plus d'internet sans possibilité d'effectuer un renewal manuellement.
Mais je suis repassé en dhcp et pas de déco en 1h...
Donc je sais pas trop ce qui a changé mais le problème semble réglé.

[bOLEMO]

Bonjour, depuis le changement du routeur knet par un routeur Huawei Ax3, j'observe des déco/reco toutes les 5 min. Je suppose qu'il s'agit du renouvellement du bail dhcp?
Je ne les observais pas avec la kbox mais là le petit laps de temps à reco me déconnecte de mon vpn entreprise.

Est-ce que quelqu'un a une suggestion pour mitiger cet effet?

C'est exactement ça, et j'avais le même problème (routeur Netgear R7800).
Ma solution a été de mettre le routeur en IP fixe, et de lancer toutes les 2 minutes une demande de bail dhcp pour garder l'autorisation ACL active.

Je ne sais pas si tu as un accès telnet/ssh à ton routeur, ni la version du client dhcp utilisée.

C'est étrange, le bail est renouvelé à 50% du bail total normalement. Peut être que le routeur ne le fait pas...

Sinon j'ai remarqué que mon bail dhcp est passé à plusieurs heures au lieu de 5mn au paravent .

Oui, le bail est censé être renouvelé à 2:30 minutes, mais peut-être que sur des délais aussi courts, certains clients dhcp sont un peu perdus.
Ton bail n'est plus à 5 minutes ? Intéressant, Covage aurait changé les règles de son relais ?

Sinon. @matvg : tant mieux si c'est revenu dans l'ordre 

[bOLEMO]

Sur Covage Calvados, c'est toujours 5 minutes :

Code Sélectionner Étendre

root@HERMES:~$ /opt/sbin/udhcpc -q -n -t 17 -T 10 -i brwan -r AA.BB.CC.DD
udhcpc: started, v1.31.1
udhcpc: sending discover
udhcpc: sending select for AA.BB.CC.DD
udhcpc: lease of AA.BB.CC.DD obtained, lease time 300

Et pour IPv6, c'est 10 minutes :

Code Sélectionner Étendre

•••
Mar/04/2021 15:23:58:   IA_NA: ID=1, T1=300, T2=450
Mar/04/2021 15:23:58: copyin_option: get DHCP option IA address, len 24
Mar/04/2021 15:23:58: copyin_option:   IA_NA address: AA:BB:CC:DD::1 pltime=600 vltime=900
Mar/04/2021 15:23:58: dhcp6_get_options: get DHCP option IA_PD, len 41
Mar/04/2021 15:23:58:   IA_PD: ID=11, T1=300, T2=450
Mar/04/2021 15:23:58: copyin_option: get DHCP option IA_PD prefix, len 25
Mar/04/2021 15:23:58: copyin_option:   IA_PD prefix: AA:BB:EE:FF::/56 pltime=600 vltime=900
•••

[halesk2k]

Code Sélectionner Étendre


[alex@bty-gw] /ip dhcp-client> print detail
Flags: X - disabled, I - invalid, D - dynamic
0   ;;; ftth
     interface=ether1 add-default-route=yes default-route-distance=10 use-peer-dns=no use-peer-ntp=no status=bound address=185.215.14.239/24 gateway=185.215.14.254 dhcp-server=172.16.100.9 primary-dns=178.250.208.135 secondary-dns=178.250.209.34
     expires-after=11h59m54s


Je viens de forcer un renew et c'est bien 12h chez moi (Covage 91). Mais je crois (sans trop de certitude) qu'il y a maintenant 2 offres Covage active, une L2 et une L3, j'imagine qu'en ayant résilié et repris K-Net, je suis peut etre passé sur l'offre active L3 sur un nouveau serveur DHCP K-Net.

[thedark]

L3 = 5 Min
L2 = 12 heures.

Après Covage c'est un gros bordel vu il y a eu des rachats de RIP Tutor.

[Vincent O]

Même en L2, beaucoup de gens sont à 5 minutes maintenant. Covage fait des migrations L2 -> L3 très régulièrement sans forcément nous prévenir à l'avance, donc ça limite la durée de coupure.

[halesk2k]

Je suis bien en L2, c'est d'ailleurs pour ça que je vois la terre entière (actuellement 798 neighbor IPv6) sur l'interface K-Net

Pour le lease DHCP, j'aime bien à 5mn, ca me permet de faire du failover facilement. Y a juste a attendre que la default ftth (metric 10) tombe pour que la default (metric 20) de la 4G prenne le relai.

[bOLEMO]

Ces baux courts, c'est un peu utiliser un bazooka pour ouvrir une porte...
Il faut reconnaître que c'est une solution simple et facile...

Mais avec des IP fixes, ça serait bien de pouvoir se passer du DHCP.
Covage pourrait garder nos lignes actives avec un simple arping et vérifier que la MAC correspond.

Mieux : simplement filtrer les MAC et n'autoriser que celles déclarées (tout en niveau 2 ethernet) ! Non seulement ça supprime le besoin de ces contrôles DHCP, mais ça filtrerait d'office tous les parasites qui sont sur la boucle (LAN de clients qui fuient), puisqu'ils seraient bloqués.

[halesk2k]

Ces baux courts, c'est un peu utiliser un bazooka pour ouvrir une porte...
Il faut reconnaître que c'est une solution simple et facile...

Mais avec des IP fixes, ça serait bien de pouvoir se passer du DHCP.
Covage pourrait garder nos lignes actives avec un simple arping et vérifier que la MAC correspond.

Mieux : simplement filtrer les MAC et n'autoriser que celles déclarées (tout en niveau 2 ethernet) ! Non seulement ça supprime le besoin de ces contrôles DHCP, mais ça filtrerait d'office tous les parasites qui sont sur la boucle (LAN de clients qui fuient), puisqu'ils seraient bloqués.

Mouais, si c'était simple, il l'aurait surement déjà fait.

Filtrer une adresse MAC ne sert pas à grand chose car tu peux mettre autant d'IP que tu veux derrière une adresse MAC.
Je sais pas comment une OLT se configure, mais sur un arbre GPON, c'est pas une MAC par port d'OLT, mais jusqu'à 64, donc peut-être pas si évident.

Donc tout le filtrage doit se passer du coté de l'OLT, et je doute qu'il y ai un moyen de forcer le quatuor ONT/mac/IPv4/IPv6, car il peut y avoir autant d'IPv6 et d'IPv4 que l'on veut avec les délégations de prefix ou les offres pro avec plusieurs IPs, où simplement les réseaux L2 étendu (je vais vomir)

Peut-être verrouiller les ONT clients et les auto-provisionner via l'OLT, en forcant l'option de filtrage de MAC intégré avec la MAC du routeur du client.

Après, je suis d'accord avec toi, même si bloquer un utilisateur malveillant est compliqué, ça limiterait au moins les boulets qui font des boucles réseaux sur un switch directement branché au cul de leur ONT. Ou bien les autres boulets qui leak leur subnet IPv6 de leur freebox sur le L2 Covage... D'ailleurs ça serait marrant (ou pas) que tout le traffic IPv6 du L2 passe via une pauvre freebox en xDSL.

Ou sinon, technique Orange en maitrisant le L3 jusqu'à l'abonné, autrement dit "routeur obligatoire", ou si difficile à changer que ça met à l'abri des boulets.

[bOLEMO]

Ces baux courts, c'est un peu utiliser un bazooka pour ouvrir une porte...
Il faut reconnaître que c'est une solution simple et facile...

Mais avec des IP fixes, ça serait bien de pouvoir se passer du DHCP.
Covage pourrait garder nos lignes actives avec un simple arping et vérifier que la MAC correspond.

Mieux : simplement filtrer les MAC et n'autoriser que celles déclarées (tout en niveau 2 ethernet) ! Non seulement ça supprime le besoin de ces contrôles DHCP, mais ça filtrerait d'office tous les parasites qui sont sur la boucle (LAN de clients qui fuient), puisqu'ils seraient bloqués.

Mouais, si c'était simple, il l'aurait surement déjà fait.

Filtrer une adresse MAC ne sert pas à grand chose car tu peux mettre autant d'IP que tu veux derrière une adresse MAC.
Je sais pas comment une OLT se configure, mais sur un arbre GPON, c'est pas une MAC par port d'OLT, mais jusqu'à 64, donc peut-être pas si évident.

Donc tout le filtrage doit se passer du coté de l'OLT, et je doute qu'il y ai un moyen de forcer le quatuor ONT/mac/IPv4/IPv6, car il peut y avoir autant d'IPv6 et d'IPv4 que l'on veut avec les délégations de prefix ou les offres pro avec plusieurs IPs, où simplement les réseaux L2 étendu (je vais vomir)

Peut-être verrouiller les ONT clients et les auto-provisionner via l'OLT, en forcant l'option de filtrage de MAC intégré avec la MAC du routeur du client.

Après, je suis d'accord avec toi, même si bloquer un utilisateur malveillant est compliqué, ça limiterait au moins les boulets qui font des boucles réseaux sur un switch directement branché au cul de leur ONT. Ou bien les autres boulets qui leak leur subnet IPv6 de leur freebox sur le L2 Covage... D'ailleurs ça serait marrant (ou pas) que tout le traffic IPv6 du L2 passe via une pauvre freebox en xDSL.

Ou sinon, technique Orange en maitrisant le L3 jusqu'à l'abonné, autrement dit "routeur obligatoire", ou si difficile à changer que ça met à l'abri des boulets.

Je pense que techniquement, c'est assez simple.
Je pense que le problème est logistique (changer le système, configurer, tester, etc...) et manque de moyens/motivation.

On peut cacher des IPs derrière une MAC, oui, mais le relais de la boucle filtre déjà par la MAC : le client DHCP (v4 ou v6) doit s'identifier aussi avec la MAC enregistrée par l'OI (via le FAI).
Je ne vois pas pourquoi ce relais ne pourrait pas autoriser seulement un pool d'adresses MAC (genre ebtables), et toute autre MAC est ainsi bloquée. Alors oui, en spoofant une MAC valide on peut tricher, mais c'est déjà le cas.
Sur mon routeur, sur le port WAN, via ebtables je n'autorise que le traffic vers et depuis la MAC du relais Covage (à part celui de l'ONT pour le monitorer, mais c'est facultatif et une autre histoire...). Il y a probablement des switches entre le relais et moi (au NRO au moins) mais ils sont transparents. Tout mon traffic internet, IPv4 et IPv6 fonctionne sans problème, et je n'ai plus aucune pollution. Pourquoi Covage ne pourrait pas le faire de leur côté ?

Et en DHCP, le bail à 5 minutes permet de se reconnecter assez vite (5 minutes max) en cas de coupure, mais avec une configuration IP fixe, pas besoin d'attendre un renouvellement de bail...

Après, tous les FAI ne proposent pas du fixe, donc Covage doit continuer à offrir des relais DHCP pour les configs dynamiques.

[Hugues]

J'ai pas l'énergie d'expliquer le truc, mais non c'est pas si simple, le DHCP ne sert pas qu'a l'auth mais permet de router le trafic et le faire avec des static serait ingérable;