Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
Bonsoir tout le monde, Merci pour vos réponses! J'ai fini par résoudre mon souci avec... de la patience. Je ne sais pas comment ni pourquoi, mais en fait il suffit de laisser le CRS s'authentifier une dizaine de fois et ça fini par passer. Je n'avais tout simplement même pas pris en compte que si ça ne marche pas la 1ère, 2eme, 3eme...12eme fois, la 13eme ça ait une chance de passer :) Pour info, je confirme que je ne peux monter qu'a ~180mbps avec le CPU du CRS125 avec routerOS v6.10. Maintenant qu'il a le net, j'ai fait l'upgrade en v6.20 et je monte à ~220mbps --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
Ca doit venir d’un désaccord dans la négo LCP mais 13 tentatives, ça fait long quand même. Le 28 oct. 2014 à 20:42, Nathan delhaye cont...@nathan-delhaye.fr a écrit : Bonsoir tout le monde, Merci pour vos réponses! J'ai fini par résoudre mon souci avec... de la patience. Je ne sais pas comment ni pourquoi, mais en fait il suffit de laisser le CRS s'authentifier une dizaine de fois et ça fini par passer. Je n'avais tout simplement même pas pris en compte que si ça ne marche pas la 1ère, 2eme, 3eme...12eme fois, la 13eme ça ait une chance de passer :) Pour info, je confirme que je ne peux monter qu'a ~180mbps avec le CPU du CRS125 avec routerOS v6.10. Maintenant qu'il a le net, j'ai fait l'upgrade en v6.20 et je monte à ~220mbps --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
Peut-être le MTU à tweaker. A mon avis, le plus malin serait de sniffer les échanges entre la livebox et orange, pour voir si elle envoie quelque chose de spécial pendant la négo LCP, et pour voir le MTU utilisé. Le 27 oct. 2014 à 10:52, Simon Morvan gar...@zone84.net a écrit : On 27/10/2014 00:13, Florent Rivoire wrote: NB: l'utilisation que je décris est avec un abonnement Zen Fibre (particulier) qui a depuis été transformé en abo pro fibre 200M. Et bien entendu, il s'agit de PPP sur l'interface VLAN 835. Même question du coup : tu arrives à faire du 200M ? Avec quelle hardware pour la partie pfSense ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
2014-10-27 10:52 GMT+01:00 Simon Morvan gar...@zone84.net: On 27/10/2014 00:13, Florent Rivoire wrote: NB: l'utilisation que je décris est avec un abonnement Zen Fibre (particulier) qui a depuis été transformé en abo pro fibre 200M. Et bien entendu, il s'agit de PPP sur l'interface VLAN 835. Même question du coup : tu arrives à faire du 200M ? Avec quelle hardware pour la partie pfSense ? En fait, on fait tourner ce pfsense sur un vieux pc de récup (un Duron qui doit avoir 10ans) avec des cartes réseau 100M (au niveau : pfsense-ONT-orange, et pfsense-LAN). Donc forcément le 200M, on ne le fait pas :) Par contre, oui, on sature le 100M facilement, sans tuning particulier. -- Florent --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
Bonjour Nathan, Ici une Alix 2D13 tourne sous Zeroshell et monte correctement l'interface PPP sur vlan 835 sur l'offre Zen Fibre 100M (+option symétrique) Bon courage -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Nathan delhaye Envoyé : dimanche 26 octobre 2014 18:16 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik Bonjour la liste, J'essaye actuellement de me débarrasser de la liveboiboite fibre pour la remplacer par un Mikrotik CRS125-24G-1S et je fais face à un problème un peu étrange. Je précise que je garde le convertisseur fibre =ethernet Huawei qu'Orange donne parce que j'aime bien les services secrets Chinois et surtout que je n'ai aucune idée de comment setup une fibre monobrin sur le CRS (ni si c'est possible). Mais le problème n'est pas là. (...) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
On 26.10.2014 18:15, Nathan delhaye wrote: Bonjour la liste, Le discovery ppp passe bien sans souci, mais je me fais systématiquement jeter lors de l'authentification CHAP. Je précise que j'ai bien vérifié 50 fois le couple user/mdp hein :) ici ca fonctionne bien avec un edgerouter ubiquiti on arrive meme a avoir les 200M dans un tunnel GRE par contre, que ce soit cet edgerouter, ou un gros PC bien dodu, on arrive pas a avoir plus de 20 a 40M si le vpn est chiffré (est-ce que ca bricolerait ??) Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
Le 27/10/2014 12:28, Raphaël Jacquot a écrit : On 26.10.2014 18:15, Nathan delhaye wrote: Bonjour la liste, Le discovery ppp passe bien sans souci, mais je me fais systématiquement jeter lors de l'authentification CHAP. Je précise que j'ai bien vérifié 50 fois le couple user/mdp hein :) ici ca fonctionne bien avec un edgerouter ubiquiti on arrive meme a avoir les 200M dans un tunnel GRE par contre, que ce soit cet edgerouter, ou un gros PC bien dodu, on arrive pas a avoir plus de 20 a 40M si le vpn est chiffré (est-ce que ca bricolerait ??) Raphael A Toulouse, sur un 1100AH j'avais quelquechose de cet acabit sur un 100M/100M (version light): /interface vlan add interface=ether12-orange l2mtu=1596 name=vlan835_orange_net vlan-id=835 add comment=nego http du d\E9codeur + DHCP interface=ether12-orange l2mtu=\ 1596 name=vlan838_orange_tv vlan-id=838 add interface=ether12-orange l2mtu=1596 name=vlan839_orange_tv vlan-id=839 add comment=streaming chaines interface=ether12-orange l2mtu=1596 name=\ vlan840_orange_tv vlan-id=840 add comment=VoD interface=ether12-orange l2mtu=1596 name=vlan841_orange_tv \ vlan-id=841 add interface=ether12-orange l2mtu=1596 name=vlan851_orange_voip vlan-id=851 add interface=ether12-orange l2mtu=1596 name=vlan861_orange_voip vlan-id=861 /interface pppoe-client add add-default-route=yes disabled=no interface=vlan835_orange_net name=\ pppoe-orange password=7r6 use-peer-dns=yes user=fti/faxr Sur quoi je rajoutais une poignée de tunnels agrégés vers une dedibox (histoire d'avoir une IP statique, et pour dépasser la bride de 10Mbs par session TCP, j'imagine que ça a changé depuis) Ca marchait très bien je dois dire. Rien de farfelu hors vlan et une sensible réduction du MTU par la suite (la LB doit clamper correctement, (avant de planter)), le stream TV marchait mal (ajout de filtre sur les bridges, etc, bref, la freebox servait bien :-) ) JaXX./. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
On 27/10/2014 13:06, Julien (JaXX) Banchet wrote: la bride de 10Mbs par session TCP Ah ouais ?! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
Pas que je pense que ton message est à sa place sur FRnOG, mais bon, tant qu’on est là: tu tentes bien de monter le PPP sur le VLAN 835 ? Le 26 oct. 2014 à 18:15, Nathan delhaye cont...@nathan-delhaye.fr a écrit : Bonjour la liste, J'essaye actuellement de me débarrasser de la liveboiboite fibre pour la remplacer par un Mikrotik CRS125-24G-1S et je fais face à un problème un peu étrange. Je précise que je garde le convertisseur fibre =ethernet Huawei qu'Orange donne parce que j'aime bien les services secrets Chinois et surtout que je n'ai aucune idée de comment setup une fibre monobrin sur le CRS (ni si c'est possible). Mais le problème n'est pas là. Le discovery ppp passe bien sans souci, mais je me fais systématiquement jeter lors de l'authentification CHAP. Je précise que j'ai bien vérifié 50 fois le couple user/mdp hein :) J'ai remarqué deux différences dans les paquets CHAP Response qu'envoient la Livebox et le CRS : - Le challenge (normal) - Le nombre d'octets de bourrage à la fin du paquet Je m'explique. Normalement un paquet CHAP Response a cette tête : - 1 octet Code : ici 2 = Response - 1 octet ID : ici 1 mais on s'en fout - 2 octet Length CHAP : dans mon cas 32 = La taille du paquet CHAP - 1 octet Longueur Challenge : dans mon cas 16 - 16 octets Challenge - Le reste c'est le Name CHAP, donc l'ID. Chez Orange c'est quelque chose comme fti/xxx donc 11 octets On a bien 1+1+2+1+16+11 = 32. La RFC 1994 dit que tout ce qui suit la longueur Length précisé dans l'en-tête du paquet doit être ignoré, or la différence est précisément après. Mon CRS ajoute 4 octets 0x00 à la fin (après les 32 octets) alors que la LB n'en met que deux. Est-ce qu'il est possible que ce genre de différence soit à l'origine du problème? Si non est-ce que vous avez déjà eu ce genre de problème? Pour info : voici ma conf PPPoE sur le CRS : /interface pppoe-client add ac-name= add-default-route=yes allow=pap,chap default-route-distance=1 dial-on-demand=no disabled=no interface=internet-orange keepalive-timeout=60 \ max-mru=1492 max-mtu=1492 mrru=disabled name=pppoe-orange password=xxx profile=default service-name= use-peer-dns=yes user=fti/rwh2y29 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
As-tu essayé de faire le dial pppoe over vlan 835 sur l'interface ethernet sur lequel l'ONT est connecté ? De souvenir Orange utilisait ce vlan en comparaison du VPi/VCi qui est 8/35 sur leur liaison ADSL Bien cordialement, Florian Le 26 oct. 2014 à 18:18, Nathan delhaye cont...@nathan-delhaye.fr a écrit : Bonjour la liste, J'essaye actuellement de me débarrasser de la liveboiboite fibre pour la remplacer par un Mikrotik CRS125-24G-1S et je fais face à un problème un peu étrange. Je précise que je garde le convertisseur fibre =ethernet Huawei qu'Orange donne parce que j'aime bien les services secrets Chinois et surtout que je n'ai aucune idée de comment setup une fibre monobrin sur le CRS (ni si c'est possible). Mais le problème n'est pas là. Le discovery ppp passe bien sans souci, mais je me fais systématiquement jeter lors de l'authentification CHAP. Je précise que j'ai bien vérifié 50 fois le couple user/mdp hein :) J'ai remarqué deux différences dans les paquets CHAP Response qu'envoient la Livebox et le CRS : - Le challenge (normal) - Le nombre d'octets de bourrage à la fin du paquet Je m'explique. Normalement un paquet CHAP Response a cette tête : - 1 octet Code : ici 2 = Response - 1 octet ID : ici 1 mais on s'en fout - 2 octet Length CHAP : dans mon cas 32 = La taille du paquet CHAP - 1 octet Longueur Challenge : dans mon cas 16 - 16 octets Challenge - Le reste c'est le Name CHAP, donc l'ID. Chez Orange c'est quelque chose comme fti/xxx donc 11 octets On a bien 1+1+2+1+16+11 = 32. La RFC 1994 dit que tout ce qui suit la longueur Length précisé dans l'en-tête du paquet doit être ignoré, or la différence est précisément après. Mon CRS ajoute 4 octets 0x00 à la fin (après les 32 octets) alors que la LB n'en met que deux. Est-ce qu'il est possible que ce genre de différence soit à l'origine du problème? Si non est-ce que vous avez déjà eu ce genre de problème? Pour info : voici ma conf PPPoE sur le CRS : /interface pppoe-client add ac-name= add-default-route=yes allow=pap,chap default-route-distance=1 dial-on-demand=no disabled=no interface=internet-orange keepalive-timeout=60 \ max-mru=1492 max-mtu=1492 mrru=disabled name=pppoe-orange password=xxx profile=default service-name= use-peer-dns=yes user=fti/rwh2y29 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
Oui, je suis bien sur le VLAN 835. Et le CRS trouve bien le BAS en face, la négo se fait bien en PPP. Le lien monte, mais au moment de s'authentifier via CHAP, le handshake se fait bien (je vois bien passer les paquets), mais le BAS me répond que ma réponse d'authentification est invalide. Le 26 octobre 2014 18:28, David Ponzone david.ponz...@gmail.com a écrit : Pas que je pense que ton message est à sa place sur FRnOG, mais bon, tant qu’on est là: tu tentes bien de monter le PPP sur le VLAN 835 ? Le 26 oct. 2014 à 18:15, Nathan delhaye cont...@nathan-delhaye.fr a écrit : Bonjour la liste, J'essaye actuellement de me débarrasser de la liveboiboite fibre pour la remplacer par un Mikrotik CRS125-24G-1S et je fais face à un problème un peu étrange. Je précise que je garde le convertisseur fibre =ethernet Huawei qu'Orange donne parce que j'aime bien les services secrets Chinois et surtout que je n'ai aucune idée de comment setup une fibre monobrin sur le CRS (ni si c'est possible). Mais le problème n'est pas là. Le discovery ppp passe bien sans souci, mais je me fais systématiquement jeter lors de l'authentification CHAP. Je précise que j'ai bien vérifié 50 fois le couple user/mdp hein :) J'ai remarqué deux différences dans les paquets CHAP Response qu'envoient la Livebox et le CRS : - Le challenge (normal) - Le nombre d'octets de bourrage à la fin du paquet Je m'explique. Normalement un paquet CHAP Response a cette tête : - 1 octet Code : ici 2 = Response - 1 octet ID : ici 1 mais on s'en fout - 2 octet Length CHAP : dans mon cas 32 = La taille du paquet CHAP - 1 octet Longueur Challenge : dans mon cas 16 - 16 octets Challenge - Le reste c'est le Name CHAP, donc l'ID. Chez Orange c'est quelque chose comme fti/xxx donc 11 octets On a bien 1+1+2+1+16+11 = 32. La RFC 1994 dit que tout ce qui suit la longueur Length précisé dans l'en-tête du paquet doit être ignoré, or la différence est précisément après. Mon CRS ajoute 4 octets 0x00 à la fin (après les 32 octets) alors que la LB n'en met que deux. Est-ce qu'il est possible que ce genre de différence soit à l'origine du problème? Si non est-ce que vous avez déjà eu ce genre de problème? Pour info : voici ma conf PPPoE sur le CRS : /interface pppoe-client add ac-name= add-default-route=yes allow=pap,chap default-route-distance=1 dial-on-demand=no disabled=no interface=internet-orange keepalive-timeout=60 \ max-mru=1492 max-mtu=1492 mrru=disabled name=pppoe-orange password=xxx profile=default service-name= use-peer-dns=yes user=fti/rwh2y29 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Nathan Delhaye 06 69 27 64 25 0805 696 494 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
Trouvé sur un forum lafibre.info (ça vaut ce que ça vaut…): J'ai réussi à me passer de la Livebox avec le routeur MikroTik RouterBOARD RB2011UAS-RM. Pour se faire : • J'ai connecté Eth2 à l'ONT et dans l'interface j'ai renommé en Eth2-Orange MTU 1492, L2 MTU 1598, max L2 LTU 4074 • J'ai ensuite créé un VLAN avec VLAN ID 835 sur l'interface Eth2-Orange, que j'ai nommé Eth2-Orange-VLAN835 (sans cocher Use Service Tag) / MTU 1492, L2 MTU 1594 • J'ai créer une liaison PPPoE sur l'interface Eth2-Orange-VLAN835, que j'ai nommé WAN-PPPoE / MTU 1492, Max MRU 1480 • dans IP Firewal, Filters Rules : modifier pour InInterface : WAN-PPPoE • dans IP Firewal, onglet Nat : modifier pour Out Interface : WAN-PPPoE « Donc, à part le « Use Service Tag » , je vois mal ce qui peut coincer chez toi…. Le 26 oct. 2014 à 18:33, Nathan delhaye cont...@nathan-delhaye.fr a écrit : Oui, je suis bien sur le VLAN 835. Et le CRS trouve bien le BAS en face, la négo se fait bien en PPP. Le lien monte, mais au moment de s'authentifier via CHAP, le handshake se fait bien (je vois bien passer les paquets), mais le BAS me répond que ma réponse d'authentification est invalide. Le 26 octobre 2014 18:28, David Ponzone david.ponz...@gmail.com a écrit : Pas que je pense que ton message est à sa place sur FRnOG, mais bon, tant qu’on est là: tu tentes bien de monter le PPP sur le VLAN 835 ? Le 26 oct. 2014 à 18:15, Nathan delhaye cont...@nathan-delhaye.fr a écrit : Bonjour la liste, J'essaye actuellement de me débarrasser de la liveboiboite fibre pour la remplacer par un Mikrotik CRS125-24G-1S et je fais face à un problème un peu étrange. Je précise que je garde le convertisseur fibre =ethernet Huawei qu'Orange donne parce que j'aime bien les services secrets Chinois et surtout que je n'ai aucune idée de comment setup une fibre monobrin sur le CRS (ni si c'est possible). Mais le problème n'est pas là. Le discovery ppp passe bien sans souci, mais je me fais systématiquement jeter lors de l'authentification CHAP. Je précise que j'ai bien vérifié 50 fois le couple user/mdp hein :) J'ai remarqué deux différences dans les paquets CHAP Response qu'envoient la Livebox et le CRS : - Le challenge (normal) - Le nombre d'octets de bourrage à la fin du paquet Je m'explique. Normalement un paquet CHAP Response a cette tête : - 1 octet Code : ici 2 = Response - 1 octet ID : ici 1 mais on s'en fout - 2 octet Length CHAP : dans mon cas 32 = La taille du paquet CHAP - 1 octet Longueur Challenge : dans mon cas 16 - 16 octets Challenge - Le reste c'est le Name CHAP, donc l'ID. Chez Orange c'est quelque chose comme fti/xxx donc 11 octets On a bien 1+1+2+1+16+11 = 32. La RFC 1994 dit que tout ce qui suit la longueur Length précisé dans l'en-tête du paquet doit être ignoré, or la différence est précisément après. Mon CRS ajoute 4 octets 0x00 à la fin (après les 32 octets) alors que la LB n'en met que deux. Est-ce qu'il est possible que ce genre de différence soit à l'origine du problème? Si non est-ce que vous avez déjà eu ce genre de problème? Pour info : voici ma conf PPPoE sur le CRS : /interface pppoe-client add ac-name= add-default-route=yes allow=pap,chap default-route-distance=1 dial-on-demand=no disabled=no interface=internet-orange keepalive-timeout=60 \ max-mru=1492 max-mtu=1492 mrru=disabled name=pppoe-orange password=xxx profile=default service-name= use-peer-dns=yes user=fti/rwh2y29 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Nathan Delhaye 06 69 27 64 25 0805 696 494 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
On 26/10/2014 18:15, Nathan delhaye wrote: Le discovery ppp passe bien sans souci, mais je me fais systématiquement jeter lors de l'authentification CHAP. Pour info, j'ai un setup similaire, mais avec un routeur OpenBSD. Cela a fonctionné directement, sans bidouille particulière. Par contre, bizarrement, le débit (surtout en upload) est catastrophique si je ne passe pas par la livebox. Ton retour d'XP sur ce point m'intéresse. -- Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Auth PPP/CHAP Fibre Orange et Mikrotik
2014-10-26 18:15 GMT+01:00 Nathan delhaye cont...@nathan-delhaye.fr: Bonjour la liste, J'essaye actuellement de me débarrasser de la liveboiboite fibre pour la remplacer par un Mikrotik CRS125-24G-1S et je fais face à un problème un peu étrange. Je précise que je garde le convertisseur fibre =ethernet Huawei qu'Orange donne parce que j'aime bien les services secrets Chinois et surtout que je n'ai aucune idée de comment setup une fibre monobrin sur le CRS (ni si c'est possible). Mais le problème n'est pas là. Le discovery ppp passe bien sans souci, mais je me fais systématiquement jeter lors de l'authentification CHAP. Je précise que j'ai bien vérifié 50 fois le couple user/mdp hein :) J'ai remarqué deux différences dans les paquets CHAP Response qu'envoient la Livebox et le CRS : - Le challenge (normal) - Le nombre d'octets de bourrage à la fin du paquet Je m'explique. Normalement un paquet CHAP Response a cette tête : - 1 octet Code : ici 2 = Response - 1 octet ID : ici 1 mais on s'en fout - 2 octet Length CHAP : dans mon cas 32 = La taille du paquet CHAP - 1 octet Longueur Challenge : dans mon cas 16 - 16 octets Challenge - Le reste c'est le Name CHAP, donc l'ID. Chez Orange c'est quelque chose comme fti/xxx donc 11 octets On a bien 1+1+2+1+16+11 = 32. La RFC 1994 dit que tout ce qui suit la longueur Length précisé dans l'en-tête du paquet doit être ignoré, or la différence est précisément après. Mon CRS ajoute 4 octets 0x00 à la fin (après les 32 octets) alors que la LB n'en met que deux. Est-ce qu'il est possible que ce genre de différence soit à l'origine du problème? Si non est-ce que vous avez déjà eu ce genre de problème? Salut, Même si cela ne réponds pas à la question (désolé, je n'ai jamais creusé moi-même dans le détails du protocole), je peux te dire que monter le PPP d'une fibre orange sur un pfsense fonctionne bien, et cela sans option/tunning particulier. Une idée pourrait donc être de faire un autre test avec un pfsense (c'est du freeBSD, donc tu vas pouvoir vérifier tranquillement ce que tu veux dans les paquets échangés) et cela te permettra peut-être de vérifier ton hypothèse. NB: l'utilisation que je décris est avec un abonnement Zen Fibre (particulier) qui a depuis été transformé en abo pro fibre 200M. Et bien entendu, il s'agit de PPP sur l'interface VLAN 835. -- Florent --- Liste de diffusion du FRnOG http://www.frnog.org/