Si vous avez suivi la première partie, alors vous disposez:
- de l'adresse mac à spoofer
- de l'IP de la gateway et de son adresse mac.
Voici la conf fonctionnelle permettant de remplacer la freebox:
| router1#sh conf Using 2224 out of 262136 bytes ! ! Last configuration change at 05:14:54 UTC Fri Jun 9 2017 by serge version 15.2 no service pad service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption ! hostname router1 ! boot-start-marker boot-end-marker ! ! logging monitor warnings enable secret 5 xxx enable password 7 xxx ! aaa new-model ! ! aaa authentication login default local aaa authorization exec default local ! ! ! ! ! aaa session-id common no process cpu extended history no process cpu autoprofile hog memory-size iomem 10 ! ! ! ! ! ip dhcp excluded-address 192.168.1.0 192.168.1.10 ! ip dhcp pool GENERAL import all network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 8.8.8.8 lease 10 ! ! ! ip domain name xenonserge.local ip cef no ipv6 cef ! ! license udi pid CISCO887VA-K9 sn xxx ! ! username serge privilege 15 secret 4 xxx ! ! ! ! ! controller VDSL 0 ! ip ssh time-out 60 ip ssh logging events ip ssh version 2 ! ! ! ! ! ! ! ! ! interface Ethernet0 mac-address 0007.cbff.f4xx no ip address ! interface Ethernet0.836 encapsulation dot1Q 836 ip address @ip_public_free 255.255.255.0 ip nat outside ip virtual-reassembly in ! interface ATM0 no ip address shutdown no atm ilmi-keepalive ! interface FastEthernet0 no ip address no cdp enable ! interface FastEthernet1 no ip address shutdown no cdp enable ! interface FastEthernet2 no ip address shutdown no cdp enable ! interface FastEthernet3 no ip address no cdp enable ! interface Vlan1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! ip default-gateway 192.168.1.1 no ip classless ip forward-protocol nd no ip http server no ip http secure-server ! ip nat inside source list 23 interface Ethernet0.836 overload ip route 0.0.0.0 0.0.0.0 88.xxx.4.254 ! access-list 23 permit 192.168.1.0 0.0.0.255 no cdp run arp 88.xxx.4.254 0007.cba0.d6dc ARPA ! ! ! ! ! line con 0 exec-timeout 0 0 no modem enable line aux 0 line vty 0 4 access-class 10 in password 7 xxx logging synchronous level all transport input telnet ! ! end router1# |
Cette configuration fonctionne.
Néanmoins, je ne fais pas de requête DHCP sur le wan, ce qui explique que j'ai renseigné l'adresse IP fixe fournie par free.
Pour info, cela doit être possible en ajoutant ip address dhcp client-id Ethernet0.836, mais je n'ai pas testé. Je ferai un retour si je fais le test.
Aussi, la conf ajoute un serveur dhcp pour votre réseau privé. A adapter. Comme la plage ou le dns.
Je n'ai pas trop expliqué la conf, mais en reprenant la première partie, on peut s'y retrouver et corréler les adresses mac et l'adresse de la gateway.
Cool,
RépondreSupprimerJe test ça dès demain.
Un grand merci.
Impeccable
RépondreSupprimerTesté et validité
As tu une idée pour le flux TV?
J'ai pu voir dans différents commentaires qu'il faut un VLAN 100 taggé, que le réseau est 192.168.27.0 255.255.255.240, que l'adresse (côté box) était 192.168.27.14, et que le player prenait l'adresse 192.168.27.1 pour le premier et 192.168.27.2 pour le second.
@++
Super. Normalement, tu devrais gagner en réactivité et un peu en débit.
RépondreSupprimerSinon, pour le VLAN 100, cela concerne le flux entre la freebox Player et la freebox Server.
Dans la plupart des tutos, la freebox Server est passée en mode bridge et est donc toujours présente.
De plus, un tunnel IPSEC est monté entre les deux boîtiers freebox.
Donc, rien ne sert de tagguer un port Ethernet du CISCO avec le VLAN 100.
D'une maniere générale, je pense que la freebox server est indissociable de la freebox player pour le flux TV.
Mais je pense que l'on pourrait utiliser le port WAN de la Freebox Server. Il suffirait de redigirer le VLAN835 vers le port WAN de la Freebox.
Sur la Freebox server V6 (révolution), il faudrait insérer un module SFP TP-Link TL-SM321B (1550nm) et utiliser un convertisseur fibre/RJ45.
Et ca devrait fonctionner.
Je testerai peut-être la manip... ;)
Niveau réactivité, il n'y a pas photo.
RépondreSupprimerSi j'ai bien compris, il faut intercaler la FBv6 entre le Cisco et le FreePlayer.
Le SFP, c'est pour éviter d'avoir 2 MAC identiques sur le réseau ?
Du coup je redirige un port en Vlan 836 du Cisco vers le SFP de la FBv6 et je connecte le player sur un port de celle-ci.
Je dois avoir des SFP qui trainent. Je vais tester ça.
Mais ci c'est la bonne astuce, je risque d'être confronté au même problème pour le téléphone.
Effectivement, il faut brancher le WAN de la freebox server sur un port Ethernet du routeur CISCO qui sera taggué avec le VLAN 835. Et attribuer une IP.
RépondreSupprimerLe routeur CISCO reste celui qui est connecté au VDSL.
Le SFP, c'est le format du module Fibre à mettre sur la freebox server (rien à voir avec des histoires d'@mac). Malheureusement, la freebox V6 n'a pas de port WAN Ethernet. A moins que tu trouves un SFP Ethernet compatible avec la Freebox afin de le relier sur un port Ethernet du CISCO.
Pour le téléphone, tu ne le perds pas car ta Freebox server est toujours présente.
Pour Internet, tu utilises un port du switch CISCO.
Malheureusement, je n'ai pas le matos pour tester. Je pense que je le commanderai dans quelques temps. A moins d'utiliser un switch avec des modules SFP. Reste que la manip serait vraiment intéressante à faire!
Dans un premier temps, j'ai testé un module sfp RJ45 sur la freebox directement relié a la DTI.
RépondreSupprimerLa FB reste bloquée sur l'étape 3 (FTTH détecté)
SFP: Quidway S3552P Ethernet switch with 48 10/100M ports ans 4 1000Base-X SFP slots (AC 110/220V)
https://www.cbo-it.de/en/products/blueoptics/transceivers/sfp/1000base-t-rj45-100-meter-kompatibel/huawei-02314171-detail.html
Pas le temps de tester plus pour le moment.
Est-ce un problème de compatibilité du SFP ou cela fonctionnera-t-il derrière le routeur ?
A suivre...
Bonjour,
RépondreSupprimerLes tests se poursuivent mais rien de OK pour le moment.
La FB reste bloquée sur le message de l'étape 3 "FTTH détecté"
Pour info j'ai rajouté les lignes suivantes:
ip dhcp excluded-address 10.1.1.0 10.1.1.10
!
ip dhcp pool DHCP_VLAN836
import all
network 10.1.1.0 255.255.255.0
default-router 10.1.1.1
dns-server 8.8.8.8 8.8.4.4
!
interface FastEthernet0
switchport access vlan 836
no ip address
!
interface Vlan836
ip address 10.1.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly in
port-tagging
encapsulation dot1q 836
exit
!
ip nat outside source list 2 interface FastEthernet0
!
access-list 2 permit 10.1.1.0 0.0.0.255
!
Si tu as une idée, je suis preneur.
J'ai un switch CISCO Catalyst 2960 série avec des ports SFP si cela peut être utile.
J'ai aussi la possibilité de tester avec d'autres routeurs CISCO.
Mais je reste novice dans la configuration de routeurs, je les installe mais j'interviens très peux dans leurs configuration.
Re-bonjour.
RépondreSupprimerJe ne désespére pas et je continue les tests.
J'ai pu me rendre compte que mon SFP RJ45 ne faisait pas l'affaire.
J'utilise donc une jartière fibre mais cela m'oblige à passer par le switch.
Je me retrouve donc avec cette architecture:
VDSL>Eth0-C887-Fa0>Gi1/0/1-C2960-Gi1/0/52>Fibre>Freebox
Du coup, je passe à l'étape 4 sur la Freebox (FTTH-attente réponse DHCP)
Les ports Gi1/0/1 et Gi1/0/52 du switch sont en switchport mode trunk.
Les Vlans 1(natif),100,835,836 sont créés sur le switch.
Sur le routeur, le port Fa0 est aussi en mode trunk. Le Vlan 836 passe déjà vu que j'ai accès à internet en me connectant sur le switch (Gi1/0/2 à Gi1/0/48).
Le Vlan 835 est créé et taggé en dot1q 835 avec une IP fixe (10.1.1.1 255.255.255.0)
Un pool DHCP est créé aussi sur la plage 10.1.1.0 255.255.255.0 avec l'IP du Vlan 835 en passerelle.
Mais rien de plus au niveau de la Freebox.
Sur l'interface de la FB, je peux voir dans la partie FTTH que je suis connecté (1gb en down et 200mo en up) mais pas synchro.
Est-il possible de faire un bridge entre le VDSL et le port Fa0 pour le Vlan 835 sans impacter sur le Vlan 836 ?
Et pourquoi la Freebox ne récupère pas un IP malgré le DHCP?
Merci et à +
Salut David,
RépondreSupprimerSympa tes recherches. Donc, il faut bien un SFP fibre pour la Freebox. Tu utilises un 2960 pour faire le link. C'est je pense une bonne configuration d'utiliser un switch de répartition avec des ports SFP pour relier la Freebox. Faudrait que je creuse le sujet mais le temps me manque et j'ai pas le matos. Mais j'essaierai de regarder. Ca serait bien aussi que je fasse un visio pour faire un récap de la conf. Après, il doit y avoir un pb au niveau du serveur DCHP sur le CISCO. C'est le point critique à résoudre. Comme ça, je n'ai pas d'idée. Sinon, essaie de mettre un sniffer en dupliquant le port du switch en mirroring. Et à la limite, envoie-moi la capture.
@++
Serge
Hello,
RépondreSupprimerIl faudrait modifier ta conf DHCP et t'inspirer de ce lien : https://emeriaud.fr/Reseau/Freebox/revolution/
Si j'adapte, il faudrait ajouter:
network 10.68.192.0/24
default-router 10.68.192.254
dns server 209.244.0.3
domain-name ftth.free.fr
lease 1500
option 128 ascii "10.68.192.254"
option 129 ascii "255.255.255.0"
option 132 ascii "257.10.332.1"
option 134 ascii "00 80 02 20"
option 141 ascii "10.70.1.1"
A tester...
Hi,
RépondreSupprimerC'est avec grand plaisir que j'annonce qu'on passe à l'étape suivante...
La Freebox m'affiche maintenant l'étape 6 "Authentification de la Freebox en cours"
la conf du routeur :
--------------------
Building configuration...
Current configuration : 2912 bytes
!
! Last configuration change at 13:50:34 Paris Wed Nov 29 2017 by cisco
!
version 15.4
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
no process cpu extended history
no process cpu autoprofile hog
memory-size iomem 10
clock timezone Paris 1 0
clock summer-time Paris date Mar 30 2003 2:00 Oct 26 2003 3:00
!
ip dhcp excluded-address 192.168.1.0 192.168.1.99
!
ip dhcp pool LAN
import all
network 192.168.1.0 255.255.255.0
dns-server 8.8.8.8 8.8.4.4
default-router 192.168.1.1
lease 10
!
ip dhcp pool FTTH
network 10.68.192.0 255.255.255.0
default-router 10.68.192.254
dns-server 209.244.0.3
domain-name ftth.free.fr
option 128 ascii "10.68.192.254"
option 129 ascii "255.255.255.0"
option 132 ascii "257.10.332.1"
option 134 ascii "00 80 02 20"
option 141 ascii "10.70.1.1"
lease 15
!
ip cef
no ipv6 cef
!
cts logging verbose
license udi pid C887VA-W-E-K9 sn FCZ########
license boot module c800 level advsecurity
!
username #### privilege 15 secret 5 ####
!
controller VDSL 0
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
mac-address 0007.####.####
no ip address
!
interface Ethernet0.836
encapsulation dot1Q 836
ip address 88.###.###.### 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
interface FastEthernet0
switchport mode trunk
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface Wlan-GigabitEthernet0
no ip address
!
interface wlan-ap0
no ip address
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan835
ip address 10.68.192.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
port-tagging
encapsulation dot1q 835
exit
!
ip default-gateway 192.168.1.1
no ip classless
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Ethernet0.836 overload
ip route 0.0.0.0 0.0.0.0 88.###.###.254
!
arp 88.###.###.254 0007.####.#### ARPA
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
line con 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
stopbits 1
line vty 0 4
transport input none
!
scheduler allocate 20000 1000
!
end
La conf du switch :
RépondreSupprimer-------------------
Building configuration...
Current configuration : 4837 bytes
!
! Last configuration change at 13:45:39 Paris Tue Nov 28 2017
! NVRAM config last updated at 13:46:03 Paris Tue Nov 28 2017
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service unsupported-transceiver
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
no logging buffered
no logging console
!
username #### privilege 15 secret 5 ####
no aaa new-model
clock timezone Paris 1 0
clock summer-time Paris date Mar 30 2003 2:00 Oct 26 2003 3:00
switch 1 provision ws-c2960x-48fps-l
!
spanning-tree mode pvst
spanning-tree extend system-id
auto qos srnd4
no errdisable detect cause gbic-invalid
!
vlan internal allocation policy ascending
!
interface FastEthernet0
shutdown
!
interface GigabitEthernet1/0/1
description # ROUTEUR #
switchport mode trunk
!
interface GigabitEthernet1/0/2
!
.../...
!
interface GigabitEthernet1/0/52
description # FREEBOX #
switchport mode trunk
!
interface Vlan1
no ip address
!
interface Vlan100
no ip address
!
interface Vlan835
no ip address
!
interface Vlan836
no ip address
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
line con 0
line vty 0 4
login local
transport input telnet
line vty 5 15
login local
transport input telnet
!
end
Les branchements :
------------------
DTI -> Ethernet 0 du routeur
FastEthernet 0 du routeur -> GigaEthernet 1/0/1 du switch
GigaEthernet 1/0/52 du switch -> FTTH de la Freebox (relié par un SFP-H10GB_CU3M)
Si tu peux m'expliquer comment faire pour dupliquer le port du switch pour le sniffer ?
Merci
Cool!!!
RépondreSupprimerPour l'authentification, je pense que la Freebox a besoin du VLAN 836 aussi. Ca doit etre une requete sur un radius probablement.
Un peu plus chaque jour....
RépondreSupprimerJ'ai fais un port mirroring et j'ai regardé ce qui se passait avec winshark.
L'adresse MAC utilisée par la box n'est pas celle récupérée en "Partie 1" mais bien celle que l'on retrouve dans l'interface créé.
J'ai donc fait un DHCP static sur cette MAC (juste avec l'adresse, masque, DNS et gateway, pas d'option). La freebox passe à l'étape 6.
J'ai tentée un bridge sur eth0.835 et Vlan835 sans adresse IP et avec.
Après plusieurs tests, j'ai vu la Freebox passer de l'heure a l'étape 6.
Puis impossible a refaire.
J'ai gardé une copie des manips du routeur pour étudier de plus près.
Dans l'historique de la box, j'ai bien des connections en FTTP qui apparaissent.
Je poursuis mes recherche...
Bonjour,
RépondreSupprimerJ'arrive a reproduire l'affichage de l'heure puis retour sur l'étape 6
Ma freebox prend une adresse IP fixe differente suivant la connexion internet
En VDSL : 88.XXX.XXX.126
En FTTH : 10.XXX.XXX.126
Ce qui fait que l'adresse du DSLAM change aussi mais avec la meme adresse MAC
En VDSL : 88.XXX.XXX.254
En FTTH : 10.XXX.XXX.254
Dans ma configuration du routeur, j'ai donc deux plage d'adresse:
- 192.168.1.0 255.255.255.0 pour le vlan 1, associé à l'acces internet par Eth0.836 avec l'IP 88.XXX.XXX.126
- 192.168.2.0 255.255.255.0 pour le vlan 835, associé à l'acces FTTH par Eth0.835 avec l'IP 10.XXX.XXX.126
Le probleme que je rencontre, c'est qui j'ai un IP ROUTE 0.0.0.0 0.0.0.0 88.XXX.XXX.254 pour l'acces internet, et je cherche à faire la meme chose pour l'autre plage d'adresse :
192.168.1.0/24 -> 88.XXX.XXX.254
192.168.2.0/24 -> 10.XXX.XXX.254
Peux-tu m'éclairer sur la marche à suivre ?
Merci
Hello,
RépondreSupprimerPour les IP, en FTTH, c'est normal d'avoir une IP en 10.68.192.0/24 et une gateway en 10.68.192.254. Le DHCP fonctionne parfaitement pour le FTTH.
Aussi, je pense qu'il faut faire un bridge des VLANs 835 et 836 vers la freebox et ne pas les router.
C'est ce qu'on a fait pour récupérer l'@mac à spoofer (1ère partie).
On route (NAT) uniquement le VLAN 836 pour Internet.
Mais de toute facon, ca ne peut que fonctionner!
Merci pour les retours.
Je ferai la manip quand j'aurai plus de temps...
Bonjour,
RépondreSupprimerJ'ai eu beaucoup d'obligations qui ne m'ont pas permis de continuer.
Mais je vais avoir de nouveau du temps à consacrer aux recherches.
As tu avancé de ton côté ?
++
Bonsoir,
RépondreSupprimerApres plusieurs heure a tordre la config dans tout les sens je n'arrive pas a faire fonctionner le Cisco 887.
J'ai bien récupéré les adresse MAC et IP de la freebox et de la gateway Free en me mettant en bridge et avec WireShark.
Jai le voyant de synchro VDSL qui est fixe et le voyand data VDSL qui clognote (ca a l'air normal)
Par contre impossible de pinguer 8.8.8.8 ou ma passerelle free 82.xx.xx.254 par contre je peux pinguer l'ip publique de la freebox 82.xx.xx.226
Je sais plus ou chercher, j'implore votre aide !!!
Voici ma config :
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Routeur-Cisco
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 XXXXX
enable password XXXXX
!
no aaa new-model
clock timezone GMT 1 0
!
crypto pki trustpoint TP-self-signed-914310244
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-914310244
revocation-check none
rsakeypair TP-self-signed-914310244
!
!
crypto pki certificate chain TP-self-signed-914310244
certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
!
!
!
ip dhcp excluded-address 10.0.0.0 10.0.0.100
!
ip dhcp pool main
import all
network 10.0.0.0 255.255.255.0
default-router 10.0.0.1
dns-server 212.27.54.252 212.27.53.252
lease 10
!
!
!
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
!
!
license udi pid C887VA-K9 sn XXXXX
license accept end user agreement
license boot module c800 level advsecurity
!
!
username admin privilege 15 secret 5 XXXXX
!
!
!
!
!
controller VDSL 0
!
!
!
!
!
!
!
!
!
!
!
interface ATM0
no ip address
shutdown
no atm ilmi-keepalive
!
interface Ethernet0
mac-address 0007.cbff.xxxx
no ip address
!
interface Ethernet0.836
description PrimaryWANDesc_
encapsulation dot1Q 836
ip address 82.xx.xx.226 255.255.255.0
ip nat outside
ip virtual-reassembly in
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface Vlan1
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
ip default-gateway 10.0.0.1
no ip classless
ip forward-protocol nd
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source list 23 interface Ethernet0.836 overload
ip route 0.0.0.0 0.0.0.0 82.xx.xx.254
!
arp 82.xx.xx.254 0007.cbff.xxxx ARPA
!
access-list 23 permit 10.0.0.0 0.0.0.255
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
Ré bonjour,
RépondreSupprimerPetite précision quand je dit que je peux pinguer mon ip publique c'est depuis le LAN, depuis internet je peux pas la pinguer.
Merci d'avance !
Hello,
RépondreSupprimerEs-tu sur d'avoir bien positionné tes adresses mac? Une pour l'entrée statique et une pour le spoof de l'adresse mac de l'interface? J'ai l'impression que ce sont les deux mêmes. Ca expliquerait que tu n'arrives pas à pinguer de ton LAN.
Non c'est un peu trop de xxx ! 😊
SupprimerMerci pour ta réponse tu assurés de m'aider.
RépondreSupprimerJ'ai l'adresse mac de la freebox obtenu wireshark sur eth0 et j'ai celle du dslam sur la requête arp. J'ai mais trop de xxx dans précèdent post.
Je me demander si c'était pas du au fait que j'ai une ip v4 "full stack" dans l'interface de free...
RépondreSupprimersur une conf devant recevoir une Delta S , cela ne semble pas fonctionner ...
RépondreSupprimerSalut ledufakademy, avez vous reussi ? Je me demande si ce n'est pas lié à l'IP v6 ...?
RépondreSupprimer