Tous les projets

Bonjour,

sévérité: critique: le service FTP ne fonctionne pas depuis l’extérieur

Je remonte ce BUG qui est présent au moins depuis la version 3.3 et est toujours présent en version 3.5.1:

Il y a manifestement un problème côté pki empechant le TLS de fonctionner correctement.

Pourriez vous faire quelque chose ?

En vous remerciant d’avance,
Bien cordialement,
nbanba

ANNEXES:
Voici l’échange et le refus de connexion après avoir insérer la bonne methode d’authentification AUTH TLS (before login) :

curl -vvv –insecure –tlsv1.2 –ftp-ssl-control ftp://freebox@home.soartist.net:21 * Rebuilt URL to: ftp://freebox@home.soartist.net:21/ * Trying 82.230.38.86...
* TCP_NODELAY set
* Connected to home.soartist.net (82.230.38.86) port 21 (#0)
< 220 Welcome to Freebox FTP Server.
> AUTH SSL < 504 Unknown AUTH type.
> AUTH TLS
< 234 Proceed with negotiation.
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt

CApath: /etc/ssl/certs

* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS header, Unknown (21):
* TLSv1.2 (IN), TLS alert, Server hello (2):
* error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
* Closing connection 0
curl: (35) error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure

OPENSSL s_client -connect output :

openssl s_client -tls1_2 -debug -connect home.soartist.net:21
CONNECTED(00000003)
write to 0x56006938f770 [0x56006939f0f0] (176 bytes ⇒ 176 (0xB0))
0000 - 16 03 01 00 ab 01 00 00-a7 03 03 46 61 6b 35 22 ...........Fak5” 0010 - 11 96 ef ff 3c 47 6d 0f-0c 31 9b b0 80 8c 68 f7 ....<Gm..1....h.
0020 - f7 ee ab 30 53 35 91 18-00 7f 8a 00 00 38 c0 2c ...0S5.......8.,
0030 - c0 30 00 9f cc a9 cc a8-cc aa c0 2b c0 2f 00 9e .0.........+./..
0040 - c0 24 c0 28 00 6b c0 23-c0 27 00 67 c0 0a c0 14 .$.(.k.#.’.g....
0050 - 00 39 c0 09 c0 13 00 33-00 9d 00 9c 00 3d 00 3c .9.....3.....=.<
0060 - 00 35 00 2f 00 ff 01 00-00 46 00 0b 00 04 03 00 .5./.....F......
0070 - 01 02 00 0a 00 0a 00 08-00 1d 00 17 00 19 00 18 ................
0080 - 00 23 00 00 00 0d 00 20-00 1e 06 01 06 02 06 03 .#..... ........
0090 - 05 01 05 02 05 03 04 01-04 02 04 03 03 01 03 02 ................
00a0 - 03 03 02 01 02 02 02 03-00 16 00 00 00 17 ..............
00b0 - <SPACES/NULS>
read from 0x56006938f770 [0x560069395ea3] (5 bytes ⇒ 5 (0×5))
0000 - 32 32 30 20 57 220 W
139943250072832:error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:252:
— no peer certificate available
— No client certificate CA names sent
— SSL handshake has read 5 bytes and written 176 bytes
Verification: OK
— New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:

  Protocol  : TLSv1.2
  Cipher    : 0000
  Session-ID: 
  Session-ID-ctx: 
  Master-Key: 
  PSK identity: None
  PSK identity hint: None
  SRP username: None
  Start Time: 1519369857
  Timeout   : 7200 (sec)
  Verify return code: 0 (ok)
  Extended master secret: no

—

GNUTLS-CLI output :

gnutls-cli –debug=10 –insecure –starttls-proto=ftp home.soartist.net:21
Processed 0 CA certificate(s).
Resolving ‘home.soartist.net:21’...
Connecting to ‘82.230.38.86:21’...

* Fatal error: A TLS fatal alert has been received.
* Received alert [40]: Handshake failed

*** handshake has failed: A TLS fatal alert has been received.

Bonjour,

Il y a un BUG d’affichage et de configuration dans l’interface FreeboxOS :

En IPv6, seule le premier /61 du /60 que Free aloue a chaque client peut être redirigé vers un NEXT HOP
exemple :

Le bloc IPv6 que Free alloue a ma connexion est 2a01:e0a:XXX:YYY0::/60
Dans la zone de configuration de l’IPv6 sur la box, on ne peut mettre des next hop que pour les 8 premiers networks :
2a01:e0a:XXX:YYY0::/64
2a01:e0a:XXX:YYY1::/64
2a01:e0a:XXX:YYY2::/64
2a01:e0a:XXX:YYY3::/64
2a01:e0a:XXX:YYY4::/64
2a01:e0a:XXX:YYY5::/64
2a01:e0a:XXX:YYY6::/64
2a01:e0a:XXX:YYY7::/64

LE BUG :
La zone de configuration ne permet pas de régler les next hop de 8 à f et la Freebox Delta ne les annonce pas à l’intérieur du réseau. Donc les 8 réseaux /64 contenus dans
2a01:e0a:XXX:YYY8::/61
ne peuvent pas recevoir de next hop et ne sont pas routés sur le lan interne de la freebox

J’ai donc pensé dans un premier temps que Free n’allouait qu’un /61 à chacun de ses clients, et j’ai fait le test suivant :
J’ai configuré le /60 : 2a01:e0a:XXX:YYY0::/60 sur un firewall interne au réseau, et j’ai fait annoncé sur le réseau porté par le firewall les 16 networks /64 allant de 2a01:e0a:XXX:YYY0::/64 à 2a01:e0a:XXX:YYYf::/64
LA freebox ne permettant de configurer des next hop que pour les 8 premiers subnets (le premier /61), j’ai configuré le link-local du firewall en next hop pour les 8 premiers subnets (le 1er /61 du /60), et il fut impossible de configurer le routage entre la freebox et le firewall pour le deuxième /61 du /60

En autoconfiguration, les machines ont donc autoconfigurés une IPv6 sur chacuns des 16 subnets .

Depuis une machine présente sur le réseau derrière le firewall, j’ai récupéré une des IPv6 autoconfigurée avec slaac sur un des subnet /64 du deuxième /61 du /60 et je l’ai noté de côté.

J’ai ensuite déconfiguré du firewall le deuxième /61 du /60 car il était injoignable depuis internet (pas de next hop entre la freebox et le firewall) et car le firewall était la gateway pour les 8 networks /64 du deuxième /61 du /60 (non pertinent pour le test, donc déconfiguré).

Les machines derrière le firewall ont donc auto déconfigurés les 8 IPv6 qu’ils avaient configurés avec slaac sur chacun des 8 subnets du deuxième /61 du /60 , et la configuration devenait cohérente entre la freebox et le firewall .

Sur une des machines présente derrière le firewall, j’ai donc fait un test de traceroute vers l’IPv6 que j’avais noté précédemment et qui avait été autoconfigurée sur un des /64 du deuxième /61 du /60 fourni par Free à chaque client.

Et là, SURPRISE : le traceroute part sur le backbone FREE et revient chez moi :

17:02:11 nba@14RV-SERVER-134:~$ traceroute6 2a01:e0a:xxx:yyy8::1 ← IPv6 dans le 2è /61 du /60

traceroute to 2a01:e0a:xxx:yyy8::1 (2a01:e0a:xxx:yyy8::1), 30 hops max, 80 byte packets
1 * * * ← firewall (transparent)

2 6.home (2a01:e0a:xxx:yyy0::1) 1.465 ms 1.516 ms 1.544 ms ← IPv6 de ma Freebox

3 2a01:e00:2006:f836:8cca::ffff (2a01:e00:2006:f836:8cca::ffff) 1.931 ms 2.092 ms 2.142 ms ← Backbone FREE

4 6.home (2a01:e0a:xxx:yyy0::1) 1.936 ms 1.962 ms 1.990 ms ← IPv6 de ma Freebox

5 * * * ← Pas de next hop , le traceroute se perd
6 * * *
7 * * *

⇒ DONC :

→ Le 2è /61 du /60 est bien alloué a chaque client et il est routé vers la Freebox
→ Il y a donc un BUG de configuration dans l’interface qui ne permet pas de configurer les Next Hop sur les subnets de 2a01:e0a:xxx:yyy8::/64 à 2a01:e0a:xxx:yyyf::/64
→ Il y a également un autre BUG: les subnets de 2a01:e0a:xxx:yyy8::/64 à 2a01:e0a:xxx:yyyf::/64 (2è /61 du /60) ne sont pas annoncés par la freebox Delta sur le réseau local, il sont pourtant bien routés vers la Freebox depuis le réseau FREE

Merci de corriger ces 2 problèmes rapidement, afin que l’on puisse exploiter ce que vous nous fournissez.

Cordialement,
nbanba

PS:
Je ne parle ici que de la Delta car je ne sais pas quel est le comportement avec les autres freebox

Bonjour

Le topic 4110 de ce forum à été fermé par Thibault Freebox car d après lui / d après FREE , le job à été fait.

Alors, j ai testé le truc le plus basique qui soit :
J ai voulu créé une règle de firewall ipv6 pour joindre en SSH depuis internet 1 serveur à l intérieur du réseau local Freebox.

Et la, surprise.... impossible !!!

Si j active le faux et abusé “firewall” bloc tout de FREE, impossible d accéder a l ipv6 du serveur donc impossible de se connecter....

Si je desactive cet abus que free appel un firewall, l accès au serveur est possible depuis internet en ipv6, mais je retrouve mon micro onde en train d hacker le pentagone !!!

Je deconne....

Mais quel fouttage de gueule de la part de FREE... en 8 ans (durée de vie du ticket 4110), free n a fait qu ajouter un tic box qui appelle un truc crasseux comme une fonction PHP du type :
shell_exec(’ip6tables -A INPUT -j DROP’)
Inadmissible !!!!
Inadmissible !!!!
Inadmissible !!!!
(Honte sur toi Xavier...)

Étant donné le cout d un vrai firewall supportant le 10gb/s, si free continu de se foutre de nous sur ce sujet, on va finir par faire de même et par hack la box nous même pour récupérer l accès root de la box afin de faire des règles nous-mêmes avec ip6tables

@Free : le sujet d ajout d un firewall en ipv6 est toujours ouvert (Au travers de ce ticket ... )

Ce que l on veux :
- pouvoir faire des règles (In, out, forward, tarpit)
- pouvoir gérer les ports
- pouvoir gérer les subnets privés sur fd00/8 (+ le support de vlan en ipv4)
- pouvoir gérer les interfaces et les règles par interface
- pouvoir créé des sous interfaces
- pouvoir agréger les ports/liens
- pouvoir modifier la table de routage
- pouvoir réaliser de l encapsulation dot1q et du trunk

Merci

Cordialement
nbanba

Bonjour,

Je rencontre un problème avec l’application myCanal (accessible avec les logins Free) :

Quelque soit le device sur le réseau :
TV connecté en RJ45 ou en Wifi
PC connecté en fibre ou en Wifi ou en RJ45
Tablette connectée en Wifi
… L’application myCanal lag au point qu’il est difficile de regarder une vidéo.

Par contre, aucun problème avec le service TV sur le player Devialet.

Je tiens à préciser que pendant ce temps, les conditions de ligne de la freebox sont optimal (ping stable sur internet d’environ 2ms, débit descendant entre 6 Gb/s et 8Gb/s , débit montant supérieur a 600Mb/s, pas de gigue, pas de pkg loss , etc… )

Ce qui est surprenant, c’est que si je connecte une tablette, une TV ou un PC en WIFI sur le partage de connexion de mon téléphone FREE MOBILE, il n’y a plus aucun problèmes ni aucuns LAG sur l’appli myCanal, alors que le débit théorique maximal descendant de mon téléphone est 54.61 fois inférieur au débit réel descendant de ma box.

=⇒ Le problème n’est pas côté client, l’appli fonctionne bien avec le wifi de mon téléphone.

Cependant, une chose différencie ces 2 réseaux (Fibre PON / UTRAN LTE) :
Le réseau fibre PON qui relie ma box à Internet est en IPv6 natif et transporte l’IPv4 par tunnel alors que le réseau UTRAN qui donne internet a mon téléphone est en IPv4 natif et ne transporte pas d’IPv6.

Le problème viendrait il de là ?

En vous remerciant d’avance pour cotre aide,
Cordialement,
nbanba

Bonjour

Depuis quelque temps (plus d'1 mois, peut-être même depuis avant l'été) je constate un comportement extrêmement surprenant et très gênant sur ma connexion fibre avec ma Delta.

Quand je reboot la box, j'ai un débit descendant de plus de 7gb/s en IPV4 et en IPV6, puis au bout d'1 minute, le débit IPV4 tombe à moins d'1gb/s alors que le débit IPv6 lui reste de l'ordre de 7gb/s à 8gb/s.

Pour récupérer le débit de 7gb/s à 8gb/s en IPv4, la seule solution est de reboot la box. Puis je récupère le débit IPV4 pendant 1 minute (le temps de faire un speedtest) puis il chute en dessous de 1gb/s très rapidement alors que (et j'insiste) le débit IPv6 lui reste de 7gb/s à 8gb/s.

PS: Je suis propriétaire des liens et des serveurs distants sur lesquels je fais les tests, le problème NE vient PAS de l'extérieur du réseau Free, c est soit une limite qui s'applique, soit un bug, mais en tout cas le problème ne vient pas des autres éléments. Le problème ne vient pas non plus du réseau fibre interne ou des équipements qui le composent.

Cordialement
nbanba

Bonjour

1 des ventilo de la Delta s’arrête de manière périodique, puis il refonctionne .
Je précise que ce n'est pas parce que le serveur est trop froid que le ventilo s'arrête, le second ventilo monte à 100% de ses capacités quand le premier ventilo ne fonctionne pas.

Avec les fortes chaleurs de l'été, pas trop envie de perdre le stockage présent dans la box …

Quelle est la procédure pour remplacer ce ventilo SVP ?

Cordialement
nbanba

Bonjour

Comme annoncé dans la demande de réouverture de la tache FS37727, la vulnérabilité découverte par @TDiffff n’est que partiellement corrigée.

Les archives ne créent plus les répertoires permettant l’exploit, peut être que ça fonctionne avec les fichiers je n’ai pas testé.
Avec un peu de persévérance, on arrive quand même à créer les ressources et à les faire exécuter par le navigateur…

Ci joint le POC (Proof Of Concept): https://youtu.be/kBiON9q3aIA

PS:
Ce PoC ne montre pas la création de la ressource initiale permettant l’exploit, ce qui le rend (un peu) plus difficile à mettre en oeuvre.
Sur demande, je fournirai la solution

Cordialement
nbanba

Bonjour,

La Freebox a 3 cartes wifi (une carte a 2.4GHz et deux cartes a 5 GHz) et ces 3 cartes peuvent fonctionner soit ensemble soit indépendamment.
Il y a donc un contrôleur wifi interne a la Freebox.

Cerpendant, il manque une fonctionnalité sur le contrôleur wifi de la Freebox Delta:
On ne peut pas régler la puissance d’émission des AP

Le wifi ne se propageant pas à l’étage chez moi, je souhaite augmenter la puissance d’émission des cartes WIFI (AP) de la Freebox Delta

Pourriez vous SVP déverrouiller la fonctionnalités de gestion de la puissance d’émission des AP WIFI de la Freebox Delta ?

En vous remerciant d’avance,
cordialement,
nbanba

Bonjour,

Sur la freebox delta, il y s un bug lors de l’affichage des courbes de débits dans le FreeboxOS et dans l’appli Android :

Lorsque le débit dépasse 1G/s , la courbe de download ne s’affiche plus et ne s’enregistre plus.
La limite a 1300m est bien présente sur le graphique, mais dès que le débit descendant de la connexion dépasse 128MByes/s (1GB/s) la courbe s’arrête net .

Ce bug n’est pas bloquant car il n’a pas d’impact sur le débit, mais bon, ça ne le fait pas, surtout pour la seule box du marché capable de dépasser 1Gb/s
de plus, du fait de l’échelle du graphique et du trait a 1300MB/s, le graph des débits inférieurs a 1Gb/s ne se voit presque pas .

Pourrier vous SVP corriger le problème ?

Vous pourriez également proposer la possibilité d’installer des pkg sur la box , comme ça, a défaut de graphs fonctionnels, on installerai snmpd et on récupérerai les datas en SNMPv3 depuis la MIB Freebox Delta ... Je rêve peut être... n’empêche que ce serait TOP !

Cordialement,
nbanba

Bonjour

Je n’ai pas de Freebox ULTRA.

Est ce que quelqu’un sur ce forum pourrait aller dans la section “developper” de FreeboxOS sur une Freebox ULTRA et vérifier que les certificats racine de la PKI Freebox sont les mêmes que les suivants ?
C’est pour mettre à jour la lib BASH permettant de piloter par l’API des Freebox / IlliadBox les principales fonctions type dhcp, redirection de ports, fichiers, download, share link, + les VM depuis la ligne de commande Bash de votre pc Linux ou depuis la ligne de commande Bash de l’instance wsdl de votre machine Windows (pour le grand public)

Je viens d’ajouter le support de l’API v10.x et d’OpenSSL 3.0.11 et la retrocompatibilité OpenSSL 1.1.1n et j’aimerai bien vérifier les certificats embeded dans les ULTRA avant de commit

Si d’ailleurs quelqu’un pouvait tester la lib et le programme de gestion des VM sur une Freebox ULTRA, ce serait top et je pourrais mettre à jour la doc en ajoutant le support des Freebox ULTRA (https://github.com/nbanb).

En vous remerciant d’avance

Freebox ECC Root CA

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Freebox Root CA

-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
If you want your app to work in Italy, in addition to changing the default domain, you should trust this ECC Root CA:

-----BEGIN CERTIFICATE-----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==
-----END CERTIFICATE-----
and this RSA Root CA:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

En vous remerciant encore
Cordialement
nbanba

Bonjour,

J’ai un NAS IOmega Home Network Hard Drive (MDHD500-N 31704000 R) qui supporte les partages FTP, CIFS, et disposant d’un serveur upnp av appelé Xbox Media Server.

Après mise à jour du firmware de mon NAS grace à forum du new proprio de IOmega, je vois bien (enfin!) mon NAS : “NAS: 1: Windows Media Connect” dans l’interface “Mes Disques” de mon freebox player sur ma TV , mais quand je tente d’y acceder, je ne peux pas, et l’erreur est :
Erreur de connexion au serveur UPNP.

J’arrive pourtant à acceder sans problèmes à mon NAS en FTP, CIFS depuis n’importe quelle plate-forme de mon réseau , les share samba sont bien visibles, et mon NAS réponds aux requettes ssdp :

09:21:55 skunk@Rueil-Station:~$ findsmb

• =DMB

+=LMB
IP ADDR NETBIOS NAME WORKGROUP/OS/VERSION

192.168.0.10 NAS [HOMELAN] [R] [R]
192.168.0.254 FBOX-SERVER +[HOMELAN] [Unix] [Samba 3.0.37]

Un petit coup de UPnP Inspector sur le réseau montre que le NAS répond bien :
SSDP 192.168.0.25 M-Search for ssdp:all
SSDP 192.168.0.10 Notify ssdp:alive for uuid:c545e6b5-596a-4cb4-af5fbc5758b4::urn:schemas-upup-org:service:ContentDirectory:1
SSDP 192.168.0.10 Notify ssdp:alive for uuid:c545e6b5-596a-4cb4-af5fbc5758b4::upnp:rootdevice

un extract du périphérique donne :

09:26:36 skunk@Rueil-Station:~$ cat /tmp/UPNP-LANDISK-001/device-description.xml
<?xml version=”1.0”?>
<root xmlns=”urn:schemas-upnp-org:device-1-0”>
<specVersion>
<major>1</major>
<minor>0</minor>
</specVersion>
<device>
<UDN>uuid:UPNP-LANDISK-001</UDN>
<friendlyName>STORAGE</friendlyName>
<presentationURL>/</presentationURL>
<deviceType>urn:schemas-upnp-org:device:PrintServer:1</deviceType>
<manufacturer>RDC</manufacturer>
<manufacturerURL>http://www.rdc.com/</manufacturerURL>
<modelName>LANDISK</modelName>
<modelDescription>LANDISK</modelDescription>
<modelNumber>1.0</modelNumber>
<modelURL>http://www.rdc.com/</modelURL>
<serviceList>
<service>
<serviceType>urn:schemas-upnp-org:service:PrintBasic:1</serviceType>
<serviceId>urn:upnp-org:serviceId:1</serviceId>
<SCPDURL>/basic1.xml</SCPDURL>
<controlURL>/basicControl1</controlURL>
<eventSubURL>/basicEvent1</eventSubURL>
</service>
</serviceList>
</device>
</root>

petite capture de ce que voit UPnP Inspector :

09:31:38 skunk@Rueil-Station:~$

un petit coup de nmap sur le disque donne :

09:43:01 skunk@Rueil-Station:~$ nmap -v -A -p1-65535 192.168.0.10

Starting Nmap 6.00 ( http://nmap.org ) at 2014-11-06 20:44 CET
NSE: Loaded 93 scripts for scanning.
NSE: Script Pre-scanning.
Initiating ARP Ping Scan at 20:44
Scanning 192.168.0.10 [1 port]
Completed ARP Ping Scan at 20:44, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 20:44
Completed Parallel DNS resolution of 1 host. at 20:44, 0.03s elapsed
Initiating SYN Stealth Scan at 20:44
Scanning 192.168.0.10 [65535 ports]
Discovered open port 80/tcp on 192.168.0.10
Discovered open port 139/tcp on 192.168.0.10
Discovered open port 21/tcp on 192.168.0.10
Discovered open port 10243/tcp on 192.168.0.10
Discovered open port 2869/tcp on 192.168.0.10
Completed SYN Stealth Scan at 20:44, 13.87s elapsed (65535 total ports)
Initiating Service scan at 20:44
Scanning 5 services on 192.168.0.10
Completed Service scan at 20:44, 6.01s elapsed (5 services on 1 host)
Initiating OS detection (try #1) against 192.168.0.10
Retrying OS detection (try #2) against 192.168.0.10
Retrying OS detection (try #3) against 192.168.0.10
Retrying OS detection (try #4) against 192.168.0.10
Retrying OS detection (try #5) against 192.168.0.10
NSE: Script scanning 192.168.0.10.
Initiating NSE at 20:44
Completed NSE at 20:44, 13.02s elapsed
Nmap scan report for 192.168.0.10
Host is up (0.00023s latency).
Not shown: 65530 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp NET Disk/NetStore ftpd
80/tcp open http Linksys wireless-G WAP http config (Name NET Disk)

139/tcp open netbios-ssn
2869/tcp open tcpwrapped
10243/tcp open tcpwrapped
MAC Address: 00:0A:D8:00:80:97 (IPCserv Technology)
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=6.00%E=4%D=11/6%OT=21%CT=1%CU=32366%PV=Y%DS=1%DC=D%G=Y%M=000AD8%T
OS:M=545BCFB3%P=x86_64-unknown-linux-gnu)SEQ(SP=0%GCD=2899%ISR=85%TI=I%CI=I
OS:%II=I%SS=S%TS=U)OPS(O1=M5B4%O2=M578%O3=M280%O4=M5B4%O5=M218%O6=M109)WIN(
OS:W1=FFFF%W2=FFFF%W3=FFFF%W4=FFFF%W5=FFFF%W6=FFFF)ECN(R=Y%DF=N%T=21%W=FFFF
OS:%O=M5B4%CC=N%QT1(R=Y%DF=N%T=21%S=O%A=S+%F=AS%RD=0%QT2(R=Y%DF=N%T=21%
OS:W=0%S=Z%A=S%F=AR%O=%RD=0%QT3(R=Y%DF=N%T=21%W=FFFF%S=O%A=S+%F=AS%O=M109
OS:%RD=0%QT4(R=Y%DF=N%T=21%W=0%S=A%A=S%F=R%O=%RD=0%QT5(R=Y%DF=N%T=21%W=
OS:0%S=Z%A=S+%F=AR%O=%RD=0%QT6(R=Y%DF=N%T=21%W=0%S=A%A=S%F=R%O=%RD=0%QT
OS:7(R=Y%DF=N%T=21%W=0%S=Z%A=S+%F=AR%O=%RD=0%QU1(R=Y%DF=N%T=21%IPL=38%UN=
OS:0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=21%CD=S)

Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=0 (Trivial joke)
IP ID Sequence Generation: Incremental
Service Info: Device: WAP

Host script results:

TRACEROUTE
HOP RTT ADDRESS
1 0.23 ms 192.168.0.10

NSE: Script Post-scanning.
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 45.73 seconds

         Raw packets sent: 66701 (2.938MB) | Rcvd: 65620 (2.627MB)

Je ne sais pas pourquoi mes 2 freebox players n’arrivent pas à se connecter à mon NAS après l’avoir detecter, et comme Free ne fournis pas l’accès au syslog de la freebox ni d’accès au shell du freebox OS, impossible de faire un tcpdump sur la carte réseau du frebox player au moment de la connexion pour voir ce qu’il se passe.

Si qqn à une solution, j’aimerai vraiment acceder au contenu de mon NAS depuis mes TV...

Merci d’avance,
nbanba

Bonjour

Je n'arrive pas à implémenter 'macvlan' dans les VM de la Freebox Delta.
Les tests sur d'autres instances 'iso software' mais pas 'iso hardware' présentes sur le même réseau n'ont pas ce problème.

L'analyse montre que même quand je met la carte réseau en promiscuous sous linux dans la VM,, la VM n'est pas capable de voir tous les paquets qui passent sur le segment réseau.

Le carte réseau VirtIO émulée par le driver KVM de la couche physique ne supporte pas d'avoir plusieurs MAC adresses sur la même carte.

Pourriez vous SVP ajouter un 'tic box' dans la configuration des VM permettant de passer la carte réseau VirtIO en mode promiscuous ?

PS :
Dans l'implémentation 'ip net' du noyaux linux, ipvlan est très similaire à macvlan sauf qu'avec ipvlan, toutes les interfaces (sources et filles) ont la même adresse MAC. C'est très bien expliqué en français ici : https://static.cinay.eu/htmldoc/Introduction%20aux%20interfaces%20Linux%20pour%20la%20mise%20en%20r%C3%A9seau%20virtuelle.html et ici :
https://www.kernel.org/doc/html/latest/networking/ipvlan.html#example-configuration

ipvlan fonctionne correctement dans les VM, mais pas macvlan qui à pour prérequis que la carte 'physique' VirtIO soit en promiscuous pour supporter le multi MAC addresses.

En vous remerciant d'avance,
Cordialement
nbanba

Bonjour

La lecture de la doc de l’API remonte 2 erreurs sur le type de 2 objets :

https://mafreebox.freebox.fr/#Fbx.os.app.help.app

VIRTUAL MACHINES > VM API > VM API Objects > vm object

cloudinit_hostname bool

When cloudinit is enabled, hostname desired for this VM. Max 59 characters.

cloudinit_userdata bool

When cloudinit is enabled, raw yaml to be passed in the user-data file. Maximum 32767 characters.

Donc j’ai du mal à voir comment ces 2 objets peuvent être des boolean (= 0 ou 1 ; true or false) et permettre dans un cas la valeur d’une ‘string’ de 59 characters et dans l’autre cas la valeur d’une ‘string’ de 32767 characters.

Je pense que ce sont des string et non des bool

Il serait bien de profiter du prochain firmware pour corriger.
En vous remerciant d’avance

Cordialement
nbanba

Bonjour

En utilisant l API permettant de récupérer la console des VM au travers des websocket API fournit par la Freebox delta, j ai des soucis d interprétation de certains caractères dans les interfaces interactives lancées depuis la console au travers de cette websocket API.
Par exemple vi / vim :

Les flèches envoient des ]^A , ]^B , ]^C et ]^D … au lieu de deplacer le curseur.

Pour pouvoir faire fonctionner la console au travers de l API websocket, j écris en binary dans la socket (avec codage utf-8 comme stipulé dans la doc) et sinon ça ne fonctionne pas.
Tant que j envoie des commandes non interactives sur la console, tout fonctionne correctement (avec ou sans gestion de l interface "readline") mais des que je lance un programme interactif comme vi / vim / nano …, les caractères ascii comme les flèches ne sont plus correctement interprétés.

Un problème de réglage ?
Quelqu'un a t il déjà eu ce problème ?
Une idée ?

PS : mettre vim en ':set nocompatible' ne change rien

En vous remerciant d avance
Cordialement
nbanba

Bonjour

On ne peut pas ouvrir de ports en ipv6, il n y a donc pas de firewall sur la Freebox en ipv6.
Il y a juste une fonctionnalité de blocage du traffic entrants, trop restrictive pour pouvoir utiliser normalement l ipv6.

Fonctionnalités firewall attendus

Ce que l on veux : 
- pouvoir faire des règles (In, out, forward, tarpit)
- pouvoir ouvrir et fermer des ports vers des ipv6 données.
- pouvoir gérer les subnets privés sur fd00/8 (+ le support de vlan en ipv4)
- pouvoir gérer les interfaces et les règles par interface 
- pouvoir créé des sous interfaces 
- pouvoir agréger les ports du switch / les liens
- pouvoir modifier la table de routage
- pouvoir faire sortir une partie du flux par une ipv6 données et gestion de pool d ipv6 en sortie
- pouvoir réaliser de l encapsulation dot1q / du trunk
- pouvoir interconnecter des site ipv4+ipv6 ou les réseaux locaux distants sont publiés dans la table de routage de la freebox
- pouvoir gérer le routeur / firewall en cli
- pouvoir faire du tcpdump sur les interfaces

Merci

Cordialement 
nbanba

Bonjour,

J’ai eu une mésaventure avec le player dévialet qui reste tanké sur l’étape de connexion au réseau.

Impossible de le faire dépasser cette étape, et ce, malgré un (plusieurs) reboot d’usine.

Donc j’ai fini par appeler le 3244 qu m’a dit que le problème était connu et identifié et que pour le résoudre, il fallait faire un hard reset du freebox-server .

Jusque là, pas de problèmes... mais AIIIIE ! Sauf que sur les deltas, un reset usine du server peut vite être coûteux en temps et on peut vite perdre toutes ses configurations...

Quid des VMs ?
Quid du RAID ?
(normalement le superblock multidevice est directement sur les disques , mais bon, il y a toujours un risque de perdre la grappe)
Quid des configuration ?
(leases DHCP ? Port forwarding? next hope en ipv6 ? etc...)
Idem côté wifi si on utilise des configurations différentes pour chacun des 3 AP ...

Bref, pour avoir déjà eu un échange du serveur de la delta, j’en ai un souvenir douloureux, et j’avais tout perdu.

Sur les serveur Oracle (SUN), HP ou encore Dell, dans les contrôleurs out-of band type ILOM ou iDRAC, il y a une fonction permettant d’extraire la configuration hardware (et sorfware) de la machine, en allant du bios à la configuration de la carte raid,celle de la carte out of band, etc...
En général on récupère un fichier XML que l’on peut recharger si on fait des reset hard de ces types de machines ou si on en a plusieurs identiques.

Pourriez vous SVP mettre en place une fonctionnalité équivalente ?
Pourriez vous SVP mettre un bouton dans FreeboxOS qui permettrait d’extraire toute la conf de la box dans un fichier XML et que l’on pourrais importer sur une autre box ou après un reset usine du serveur .

En vous remerciant d’avance,
Cordialement,
nbanba