EdgeOS 1.5

Ces informations sont obsolètes et ne fonctionneront plus correctement même sur la version 1.5.
Utilisez la version 1.6 et cette configuration


Configuration de l’edgemax

Préparation

Afin de faire fonctionner la partie TV/Replay, il nous faut trouver une info, voir ce topic :

https://lafibre.info/orange-tutoriels/remplacement-lb-trouver-son-identifiant-dhcp-pour-la-tv/


Configuration de l’edgemax

Note sur le firmware beta 1.5

Pour faire simple : avec le firmware 1.4 vous serez limités a 300/200 environ en débit, avec le 1.5 pas de souci pour du 500/200 voire beaucoup plus. Pourquoi ? Parce que la technologie d’accélération des paquets est dispo pour le pppoe uniquement en 1.5.

Tous les tests ont été réalisés en 1.5, il n’y a aucune raison que ca ne marche pas en 1.4, mais ce n’est pas testé.

Acceder aux betas

http://community.ubnt.com/t5/Ubiquiti-Community/Community-How-to-Sign-Up-for-Beta-Access/ta-p/654145

Telecharger le firmware

http://community.ubnt.com/t5/EdgeMAX-Beta/bd-p/EdgeMAX_Beta

Flasher le firmware selon les instructions d’ubiquiti (facile).

Pré-requis :

– Un routeur ubiquiti en 1.5

– Acces a son interface http via le LAN https://192….

– Acces en ssh

– Votre identifiant DHCP (cf préparation)

Nous allons :

1. Charger une conf clé en main

2. Installer le package vlan (pour les priorités)

3. Verifier que tout fonctionne

La conf

https://www.evernote.com/shard/s1/sh/54cd76a2-d198-4e8b-9a35-f8003a77301e/c51966d58cc33ca732cf2b4d599dfc87/deep/0/edgerouter-lite-1.jpg

Les LAN1 et 2 sont « jumeaux », fonctionnent exactement pareil, mais ne sont pas interconnectés (ajouter une route statique pour le faire).

Les connections ne sont pas firewallés (version avec firewall prochainement). Le NAT assure un niveau de sécurité minimal.

L’upnp est actif ainsi que le nat-pmp.

Les sources debian squeeze sont actives, apt-get and co fonctionnent.

L’avantage de ce schéma est d’avoir *toujours* un des 2 ports pour se reconnecter au routeur (je n’ai pas de quoi me connecter a la console). Bon au pire un reset usine le remet en selle, mais bref, vous avez 2 LAN et 1 WAN, c comme ca :).

Bon passons aux choses sérieuses.

La procédure suivante va intégralement écraser votre configuration du routeur.

Téléchargez ce fichier : https://github.com/c0mm0n/edgemax4orange/blob/master/config-orange.boot

– Ouvrez ce fichier avec un éditeur de texte, et renseignez vos identifiants orange (lignes 44 et 45).

– Connectez vous en ssh ou sftp

– Placez le dans le dossier /config

Attention : toute erreur de syntaxe dans ce fichier pourrait avoir des conséquences assez désagréables, faites TRES attention.

Téléchargez ce fichier : https://github.com/c0mm0n/edgemax4orange/blob/master/dhclient.conf

– Ouvrez ce fichier avec un éditeur de texte, et renseignez votre identifiant dhcp a la place des xx:xx:xx:xx:xx:xx (ligne 6). Il doit rester un « 1: » devant.

– Connectez vous en ssh ou sftp

– Placez le dans le dossier /config

Téléchargez ce fichier : https://github.com/c0mm0n/edgemax4orange/blob/master/tv.sh

– Connectez vous en ssh ou sftp

– Placez le dans le dossier /config

Donc normalement dans /config vous avez :

– le config.boot ainsi que le config-orange.boot (utilisateur par défaut ubnt/ubnt)

– le dhcpclient.conf

– le tv.sh

– pleins d’autres trucs qui étaient la avant

En ssh, lances commandes suivantes


configure
load config-orange.boot
commit

Si tout s’est bien passé (load et commit sans erreur)


save

Si tout ne s’est pas bien passé (erreurs dans le commit par exemple).


discard

Important

Dans certains cas de changements importants, il est plus simple de forcer la nouvelle configuration (sans la « load » puis « commit »), en remplaçant directement le fichier config.boot et en redémarrant pour que cette config soit chargée.

MAIS la moindre erreur de syntaxe dans le fichier de conf pourrait être problématique. Donc faites bien attention.

Bref pour forcer le changement de config : en ssh ou sftp, remplacez directement le fichier config.boot par le fichier config-orange.boot et rebooter le routeur (commande « reboot » ou « shutdown »)

Bref au reboot :

– connectez l’ONT au port 1

– branchez vous au port 0 ou 2

Si tout s’est bien passé vous avez une IP et vous pouvez accéder a l’interface http ainsi qu’a internet.

Il reste 2/3 trucs a faire pour la TV.

On passe en root


sudo -i

On installe vlan

– Téléchargez ce fichier : https://github.com/c0mm0n/edgemax4orange/blob/master/vlan_1.9-3_mips.deb

– Connectez vous en ssh ou sftp

– Placez le dans le dossier /config


dpkg -i /config/scripts/post-config.d/vlan_1.9-3_mips.deb

(oui ca doit pouvoir se faire aussi via « apt-get install vlan » mais n’ayant pas vérifié…)

On l’applique

modprobe 8021q

Pour le reste c’est dans un script que vous lancerez comme ca :


sh /config/tv.sh

Ce script va :

1. Regler les priorités des VLANs

2. Lancer le DHCP sur br0 (le réseau « video » d’orange)

3. Lancer igmpproxy

A ce stade, vous devriez avoir :

– Acces Internet

– Une IP sur le br0

– Une IP sur le VLAN 851

Vérifiez comme ca :

show interfaces

https://www.evernote.com/shard/s1/sh/e6e3c4ab-15b5-43a4-ac30-2e29316400c3/8df6f38e2c8807482d576f56658f641c/deep/0/jb---ssh---80-24-et-jb---ssh---239-73.png

Dernière chose, il faut intégrer les routes statiques.

Notez l’IP que vous avez obtenue sur le br0.

Disons que cette IP est 10.54.56.154

Donc la passerelle sera 10.54.56.254 (on change la derniere partie par 254).

Cette passerelle doit etre renseignée dans vos routes, exemple dans notre cas :

        route add -net 80.10.117.120/31 gateway 10.54.56.254
        route add -net 81.253.206.0/24 gateway 10.54.56.254
        route add -net 81.253.210.0/23 gateway 10.54.56.254
        route add -net 81.253.214.0/23 gateway 10.54.56.254
        route add -net 172.19.20.0/23 gateway 10.54.56.254
        route add -net 172.20.224.167/32 gateway 10.54.56.254
        route add -net 172.23.12.0/22 gateway 10.54.56.254
        route add -net 193.253.67.88/29 gateway 10.54.56.254
        route add -net 193.253.153.227/32 gateway 10.54.56.254
        route add -net 193.253.153.228/32 gateway 10.54.56.254

La partie -net XXXXXX/XX est toujours la meme, il faut adapter la gateway.

Exécutez ces commandes avec la bonne IP pour créer les routes.

A ce stade, bootez ou rebootez la Box TV et verifier que vous avez bien accès a tous les services.

=> Si ca ne fonctionne pas et que vous etes « surs » que la conf est bonne (echange dhcp sur le bridge ok) : essayez de remplacer le « 254 » de la gateway par « 126 ».

Enfin si tout s’est bien passé jusque la, il faut lancer le script tv.sh au démarrage.

– Placez le dans le dossier /config/scripts/post-config.d/

Normalement, vous pouvez désormais rebooter le routeur sans n’avoir rien a faire pour que tout fonctionne coté net/tv/replay 8)

Firewall : Configuration basique

Sur la base de la configuration du post précédent, on modifiera la partie firewall pour qu’elle ressemble a ca :

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            mss 1412
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}

Coté interfaces, on modifiera la connection pppoe comme ca :

        vif 835 {
            address dhcp
            description FTTH
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server auto
                password xxxxx
                user-id fti/xxxxx
            }
        }

Par défaut, les logs sont désactivés, vous pouvez les activer par « rule » ou globalement en ajoutant « enable-default-log », ca donne ca :


    name WAN_IN {
        default-action drop
        enable-default-log
        description "packets from Internet to LAN"
etc...

Cette conf est largement améliorable, c’est un point de départ.