Cette Livebox est vraiment bonne à jeter (l’opérateur avec ?)
Cet article a été publié il y a 3 ans 3 mois 28 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être expirées.UPDATE DU 01/03/2021 : Une mise à jour 4.01.12 installé le 17 février a permis de corriger le tir du Hairpinning. Le reste des griefs est toujours d’actualité, et les travaux pour trouver un remplaçant n’ont pas trop avancé :/
J’avais déjà évoqué quelques frustrations par rapport au retour en arrière fonctionnel de la Livebox 4 face aux Freebox dans mon billet sur le passage à la fibre. Il se trouve que non seulement, je n’ai pas pu faire grand chose de plus pour l’instant, mais une mise à jour poussée et forcée en mon absence a carrément empiré les choses. Comment est-ce possible en 2020 ?
Petit rappel de la situation : je suis déjà dans une situation bizarre qui est que j’utilise le service DHCP de mon NAS plutôt que celui intégré car il ne permet pas de contrôler la définition des résolveurs DNS. Orange fait en effet le choix d’imposer les siens, officiellement pour se conformer aux décisions de justice qui consistent à mentir en permanence à ces abonnés (d’ailleurs le droit est rigolo, ils sont condamnés à bloquer des sites alors qu’ils n’en sont pas les administrateurs, qui eux restent inattaqués, Benjamin Bayart l’avait très bien décrit).
Ce que je n’avais pas détaillé par contre, c’est que mon monitoring externe, qui surveille essentiellement la disponibilité du NAS il faut bien l’avouer, ne fonctionnait plus après ce passage chez Sosh. Là aussi, c’est rigolo, mais le ping entrant est bloqué, hors pour valider la présence ou pas d’une machine avant d’aller interroger ses ports, LibreNMS tente un ping (qui a le bon goût d’être très léger). Pas pratique donc, surtout quand on teste l’interrogation SNMP et que tout fonctionne sans problème :/ J’avais pu là encore « contourner » le souci, en basculant le pare-feu de la Livebox en mode personnalisé, qui propose une case « autoriser le ping depuis l’extérieur ». Et magie, ça fonctionnait de nouveau :
Et le reste ne posait pas de problème non plus. J’en étais donc resté là, reprenant mes activités (mon boulot surtout, encore en télétravail), et relançant une petite recherche de temps en temps pour trouver une solution qui ne relève pas du bricolage du dimanche.
La mise à jour de décembre : Joyeux Noël de merde !
J’ai passé la fin novembre et une bonne partie du mois de décembre chez ma mère, donc à distance, tout fonctionne à merveille : git, smokeping, nas, j’accède à tout ce dont j’ai besoin en cas de besoin. Et puis au détour d’une discussion sur Telegram avec Édouard, on évoque un nouveau souci avec la Livebox, en gros, on arrive plus à communiquer avec les services exposés via NAT sur l’adresse IP publique de la box. Il parle de DNS Loopback, c’est en fait du Hairpinning dont on parle, donc de NAT (et vous savez comme j’aime le NAT…) et qui semble-t-il a sauté avec la mise à jour déployée mi-décembre. Pour les non-anglophones, j’expose les ports 80 et 443 que je redirige vers mon master kube, si depuis mon laptop en wifi (donc en local) je tape l’adresse IP publique de la connexion sur ces ports-là, la box est censée rediriger la connexion vers la machine cible locale — le master kube donc–, comme elle le fait quand les connexions viennent réellement de l’extérieur. Sauf que non. Un problème que j’avais déjà avec la box NordNet de l’enfer de ma maman, et dont je pensais être épargné chez moi, avec un matériel que je pensais mieux maîtrisé. Mais un rapide test en me connectant en SSH sur une VM et un test curl rapide me le confirment, ça ne fonctionne plus !
Pire, en tentant une connexion HTTPS, c’est le certificat de l’interface d’administration de la Livebox qui est présentée ! En un sens, et encore heureux, ce n’est pas un énorme problème de sécurité, puisque le NAT fonctionne parfaitement depuis l’extérieur, ça ne se produit que si on est connecté de l’intérieur. Mais du coup, tout ce qui est paramétré pour taper sur un DNS public, DNS qui en plus est mis à jour automatiquement parce que pas d’IP fixe — oui, toujours en 2020 — (je partagerai peut-être le playbook d’install de ddclient que j’ai fait pour le dynhost OVH), ben tout ça ne fonctionne plus dès qu’on repasse derrière la bobox. N’étant pas chez moi à la découverte de ce nouveau coup de poignard dans le dos, et pour l’instant n’ayant pas de services hébergés communiquant entre eux via les entrées publiques (ce qui viendra quand j’implémenterai Keycloak), j’ai patienté pour mon retour. Le seul contournement que j’ai pu trouver, c’est une modification forcée du fichiers hosts de la machine pour mentir à mon PC et dire que certains des domaines « publics » pointent en fait sur une IP privée, celle du master kube toujours; on peut aussi, si on a un résolveur DNS maison, l’appliquer à ce niveau pour en bénéficier sans reconfigurer chaque appareil. Une nouvelle bidouille sur un tableau de bidouilles déjà beaucoup trop rempli à mon goût.
Je suis rentré jeudi midi juste avant Noël, j’avais donc autre chose à faire (comme passer l’après-midi à bosser). Samedi matin, je finis de rebrancher le gros PC, relance quelques softs, et là, nouveaux problèmes : Client Steam en PLS, Battle.net en mode Hors ligne. Lapin compris. Steam dispose d’un journal texte dans ses dossiers, je vais voir, et je découvre ça :
C’est pas beau, même si on est content d’utiliser un peu d’IPv6 (promis je m’arrange pour que ça soit le cas l’année prochaine pour le blog et son Matomo), je découvre qu’il tente de se connecter en UDP. C’est surprenant, surtout pour des étapes simples d’authentification du client, et surtout quand on sait que le client Steam est surtout constitué d’un cœur Chromium, un navigateur web donc, le web étant basé sur TCP. Mes soupçons se tournent donc vers un souci de flux réseau. Je ressors ma configuration VPN perso, sur laquelle le client OpenVPN gueule allègrement parce que les options mises en places y’a plus de 10 ans sentent la naphtaline en terme de sécurité (compression lzo, cipher BF-CBC, et le certificat date un peu et sa clé doit pas être jojo). L’idée, c’est de tester si la connexion Steam à travers le VPN fonctionne aussi, car je n’ai aucun indice sur les forums ou Twitter qu’il y a un incident en cours.
Je n’arrive même pas jusque là. Le VPN fail aussi misérablement, avec le même symptôme à savoir que ça reste bloqué à une certaine étape, attendant inlassablement une réponse; et là, je redécouvre que mon VPN aussi tente une connexion UDP à l’extérieur. C’est donc définitivement un souci avec la bobox, et ma première idée se tourne vers le pare-feu. La bascule en mode personnalisé n’avait pas posé de souci particulier à l’époque, mais quand on a plusieurs services en carafe, c’est soit un souci avec le matériel réseau, soit un souci avec l’opérateur en face, et ça, je l’aurai vu sur Twitter ou autre. Je rebascule le pare-feu dans le mode par défaut, à savoir « Moyen », Et là, instantanément, le VPN se connecte ! Je confirme dans la foulée avec une connexion Steam et Battle.net, qui se connectent quasi instantanément. Je rebascule sur le mode personnalisé, tout cassé.
J’ai tenté le support Chat. Voilà.
Après tout, j’ai déjà réussi à me débloquer pour mon abonnement Xbox Live de cette manière, donc pourquoi pas ? Oui mais nous sommes en France, et mon abonnement n’est qu’un abonnement Sosh, ça peut faire toute la différence.
Et en effet, ça n’a pas été de tout repos. Déjà, si vous utilisez uBlock Origin, au départ vous n’avez même pas le bouton pour démarrer le chat. Mmmmok… Je désactive temporairement, je lance le chat, on commence par me demander mon nom et le numéro de ligne pour démarrer, et quand je pose ma question, on m’arrête pour me redemander ces infos plus quelques autres supplémentaires. Au passage c’est pas la peine de me demander tout de suite ce qui ne vas pas si c’est pour ne pas répondre tout de suite. Dès que j’ai fini d’exposer le souci d’hairpinning, réponse :
On est pas rendu. On arrive à me détecter ceci dit un soi-disant problème de connectivité entre l’ONT et la box. L’ONT, pour ceux qui découvrent le domaine de la fibre, c’est un boitier qui fait la conversion entre la partie physique en fibre optique et une prise RJ45 « Ethernet » classique. Le câble qui opère la fameuse connectivité est neuf, deux mois, et la connexion a tourné très fort dès mon retour (transferts entre mon NAS et celui de ma mère), et ne présente aucun signe d’instabilité (15 jours sans déconnexion), mais on refuse de planifier une « intervention avec les experts » tant que ce « problème imaginaire » n’est pas réglé. Sauf que sans me prévenir ou me demander, on me redémarre la Livebox, ce qui met fin à la discussion puisque au-delà de la coupure prolongée que ça engendre, je change d’adresse IP évidemment ! ddclient fait admirablement son taf et mes DNS sont à jour. Sans surprise, malgré avoir transmis mon numéro de mobile, personne ne me rappelle.
Je suis en vacances, et dans l’immédiat j’ai autre chose à faire que de retenter ce genre de conneries, donc on contourne : je mens via le fichier hosts (sous Windows et Linux) en indiquant l’adresse IP du master kube pour certaines entrées DNS normalement publiques, le tout sur une seule ligne pour pouvoir commenter rapidement si besoin. Et j’active une maintenance sur LibreNMS pour éviter qu’il me pourrisse Telegram en indiquant que le NAS est down. Si j’ai bien un truc à faire, c’est me pencher sur l’utilisation de Prometheus en remplacement de LibreNMS finalement, même si je ne suis pas fan du tout HTTPS par principe.
Tout pour décourager l’auto-hébergement et le contrôle
Je n’ai pas la liste comparative des règles de pare-feu qui étaient en place avant la mise à jour et après. Il n’y a non plus aucune justification technique à la désactivation du hairpinning, à part vouloir décourager une fois de plus l’hébergement de services persos à domicile, et on sait qu’Orange & co adorent quand vous utilisez votre connexion à sens unique, comme à la grande époque du Minitel. Sauf s’ils considèrent que ça pouvait impacter l’utilisation de certaines fonctions de la box TV maison, et tant pis si on flingue un écosystème derrière. Vous avez de la domotique maison ? Mais vous savez qu’on a aussi une gamme pour brancher sur votre Livebox ? On vous le fait même par abonnement pour que ça coute moins cher (mais on vous dit pas que plus rien fonctionne quand on paie plus).
Le problème, c’est que mes différentes recherches semblent m’indiquer que j’ai besoin d’un master réseau pour pouvoir faire sauter cette calamité de box pour disposer du bon niveau de connectivité (surtout IPv6), la configuration semble plus que compliquée pour des néophytes, sans parler du matériel nécessaire qui a besoin de fonctions spécialisées comme la gestion des VLAN, et je pense que c’est voulu. Au moins avec Free c’est clair et net, l’authentification se fait avec l’identification matérielle de la box (qui pour rappelle n’appartient pas à l’abonné mais est prêtée à titre gratuit — sauf le player Devialet, mais le player seulement), donc en dégroupage total pas d’alternative à part le mode bridge, sachant qu’il propose aussi un mode DMZ.
Cette DMZ est aussi une alternative possible sur la Livebox, mais ça implique d’avoir deux matériels branchés au lieu d’un, et la consommation induite n’est pas nulle pour des appareils destinés à rester branché H24; oui parce que si j’avais une IP fixe encore, je pourrais dire « coupe la nuit », mais là c’est cuit, et ça me gave de changer tous les jours d’IP, surtout après 14 ans de « vrai » réseau. Et passer son temps à allumer/éteindre un appareil électronique lui fait aussi beaucoup de mal au fil du temps.
La recherche continue donc pour retrouver la maîtrise et la fonctionnalité normale d’un réseau local, pour quelqu’un qui fait un peu de l’internet plutôt qu’en être un simple spectateur/consommateur. En attendant, à part vous conseiller d’éviter un opérateur qui ne vous veut pas du bien, j’ai bien peu d’espoir pour l’Internet ouvert qui était pourtant un bien beau rêve. Trop peut-être…
Merci pour l’info sur le hairpinning, je pigeais pas pourquoi je me mange un certificat orange au lieu de mon Let’s Encrypt habituel.
En ce qui concerne les contournements possibles, c’est vraiment la misère. Entre utiliser un routeur avec une cage SFP et faire un bricolage artisanal, avec zéro garantie de pérennité, ou utiliser une des IPs que j’ai en rabe sur mes hébergements OVH et faire une règle de forwarding vers mon IP Orange, qui va devoir aussi changer en même temps que l’IPs de la box.
Va falloir de l’aspirine
je confirme, pour avoir un problème en ce moment sur la lb4 (lien optique non connecté, malgré changement de sfp…), cette dernière c’est bien de la merde.
Par rapport à une freebox v5, c’est un grand pas en arrière. Et le support, n’en parlons pas, à part reset de la box, y a pas de détails technique
Arrête tous et utilise un passerelle PFSense et après avoir maitrisé la bête, tu verras que la vie est plus sympa
Merci pour cet éclairage. Je me demandais pourquoi Nextcloud me présentait un certificat orange depuis quelques jours, en local vers l’adresse publique.
Je sais donc maintenant que ce ne sont pas mes bidouilles qui sont en causes.
Mais ça n’ôte mon envie de recourir à un marteau.
Putain……j’ai rien pigé?
Ton utilisation est clairement trop avancée pour une livebox
Désactive le firewall de la box et mets ton propre routeur derrière en mode DMZ
Des années que je fonctionne comme ça sans souci
Hello ! Concernant l’hairpinning, moi j’apelle ca le « NAT Reflection » : quand la box voit un paquet arriver sur son interface LAN à destination de son IP WAN elle ne sait pas traiter ce NAT. Mais on en apprends tout les jours Pour le contournement à l’epoque j’utilisais AD Guard Home et sa réécriture DNS, histoire d’avoir un filtrage anti pub coté réseau et contourner en meme temps ce soucis. J’ai souffert de ca pendant longtemps, et quand je dis « ca », je pense : aux déconnexions intempestives pour forcer une MAJ, souvent avec le changement d’IP WAN qui va avec,… Lire la suite »
Merci pour ce post. J’ai eu le même soucis d’hairpinning. Au final j’ai baissé les bras. J’ai pris une freebox POP, j’ai maintenant une ip fixe, hairpinning, dns custom (je peux utiliser pi hole etc), 5GB au lieu de 300MB. Malgré les 10e/mois supplémentaires, je suis heureux. Bye bye sosh.
J’offre mon retrour d’expérience de quelqu’un qui était dans une situtation similaire(orange forfait fibre sosh avec livebox v3 + ONT). J’ai eu le même souci avec le NAT de la box, et j’ai décidé de la remplacer par mon propre routeur (après quelques recherches sur fibre.info). J’ai pris le modèle XR700 de Netgear, et pour résumer, ça marche mais je déconseille ce modèle. Ce qui fonctionne : – Internet IPv4 et IPv6, jusqu’au débit max de mon offre (100Mb/s) – le reverse NAT sur le router, de l’exterieur du réseau, ainsi que de l’intérieur Ce qui fonctionne moins bien :… Lire la suite »
Aïe, pas cool l’expérience… Pour ma part je serre aussi les fesses parce que je n’utilise tout simplement pas la Livebox mais un modem tiers (Netgear DM200 / lien VDSL2 / abonnement Sosh). Ça me permet d’avoir juste derrière un routeur pfSense sur lequel j’ai loisir de faire tout ce que bon me semble. L’IPv4 est fixe, le préfixe IPv6/56 récupéré (c’est pas ouf de ce côté non plus, Orange ne propose pas de RA, il faut passer par DHCP6) et comme je n’ai ni le téléphone, ni la TV (apparemment c’est assez simple aussi), je suis le plus heureux… Lire la suite »
Pour info, j’ai pu résoudre le hairpinning non-fonctionnel en passant un raspi en DMZ, qui lui redirige les paquets au bon endroit, tout en utilisant le DHCP de la box.
Pareil chez moi. J’ai contourné une partie du problème en intégrant dans mon DNS local la résolution de nom vers l’IP local. C’est moche et solutionne une partie de mon problème…
Pourquoi ne pas utiliser un PfSense ou un boîtier de type Stormshield pour gérer entièrement l’ONT et tout ce qui passe au travers ?
Bonsoir,
Clairement des utilisations plus qu’avancé pour du matériel grand public.
En plus la comparaison est faite en Sosh et Free pour le SAV.
Votre utilisation est celle d’un pro sur du matériel grand public.
Je dirais aussi qu’Orange est le seul opérateur qui permet de ce passé assez simplement de la box.
Chez NordNet, j’ai pu me brancher avec mon PC directement sur l’ONT, donc ce n’est pas forcément le seul opérateur qui soit-disant permet de changer facilement de box (quand je vois les posts sur lafibre.info, on doit pas avoir la même définition de facile). Et non, Si on te vend une connexion internet, que j’ai pu faire ça pendant 12 ans chez un opérateur grand public (Free), c’est que ce n’est pas considéré comme une utilisation « Pro » (Si je voulais faire du pro, j’aurais déjà de la segmentation interne, avec donc possibilité de définir à minima plusieurs subnets privés au… Lire la suite »
Ce qui est difficile pour le changement de box c’est uniquement pour récupérer la télé et le téléphone.
Il y a des routeurs compatibles OpenWrt qui permettent de remplacer la BOX.
Quand tu as une connexion pro, il n’y a pas la télévision.
Et tu as un support PRO.
Je suis anti box car les box de la plus part des opérateurs sont franchement mauvaise.
Et je reconnais que celle de Free reste au dessus des autres, mais rien ne remplace un vrai routeur.
J ai du changer d’opérateur pour avoir la fibre.
Je regrette amèrement d avoir du quitter free pour orange, l ip fixe associée a ma freebox me convenait parfaitement et quand ma période obligatoire pour conserver orange box sera écoulée je retournerai avec plaisir vers une freebox
Perso je suis fibré chez K-net avec routeur perso (Unifi Dream Machine Pro) – il suffit de leur déclarer l’@mac du port Wan.
Ip fixe, infra perso, super peering avec Google et Netflix (entre autres).
Seul hic, le prix : 40€/mois de mémoire. Mais la liberté et la qualité ont un prix.
Qu’est-ce qu il dit…..
Il me semble que chez free tu as l’option ip fixe dans la console de la box !
Je viens de faire un AVC
Bonjour, super article explicatif. J’apporte mon retour d’expériance qui n’est pas encore fini et non résolu avec Orange 🙁 suite passage du technicien, il doit revenir pour faire un nettoyage des prises qui sont dans la borne NRO, dans la trape France Télécom et au racordement sur le boitier blanc Fibre dans mon garage. Pour information le problème est des micros coupures plusieurs fois par jours quand je suis en Teams ou en Jeux online. Configuration : Maison sans mûr porteur pour couper le signal wifi dans l’étage du matériel. Que cela soit en config Step 1 ou 2 j’ai… Lire la suite »
Et c’est sans compter le blocage de port ( 25 ) non définit dans les CGU.
A notre époque un réseau même individuelle sans un filtre, c’est dangereux ( https://zythom.fr/2020/09/le-reseau-sans-filtre/ ).
Tu devrais mettre un pfsense ou opnsense, ça change la vie.
En plus simple : le serveur DHCP est merdique.
Tu déclares des IP fixes dans l’admin de la Livebox (so no ergo), et après quelques jours tes appareils changent d’IP.
Sauf qu’elles sont toujours déclarées correctement dans la Livebox.
Seule solution : attendre que ça revienne.
Si tu as en plus config. du port 80 ou autre pour accéder par exemple à un Rpi de l’extérieur, bah tu fais un croix dessus 🙂
+1
J’ai finalement contourné le souci avec pie-hole en mode DHCP (https://pi-hole.net/) et en désactivant le DHCP de la livebox. J’ai ensuite défini l’adresse à surcharger au sein de pie-hole pour contourner le hairpinning ; c’est toujours moins moisi que d’utiliser les fichiers hosts pour ça. Ça a aussi le mérite d’être relativement simple à maintenir.