Partant de ce constat-là, ai-je vraiment besoin de faire une interface bridge pour ces deux vlan ? puis-je me contenter de configurer ma sous interface 838 avec les bonnes infos dhcp afin de recevoir IP juste sur cette dernière ?  Puis après en redirigent les flux multicast de la sous interface 840 vers le décodeur, normalement cela devrait être bon.

si je dis ça, c'est simplement parce que mon firewall ne gère pas le bridge de vlan en mode routed.

non pas besoin de bridger. le vlan 840 ne transporte que de l'IGMP et les multicast TV.

Ensuite, je pense me mélanger les pinceaux avec les options du DHCP.
de ce que j'ai vu, lorsque l'interface envoie sa requête DHCP, on inclut une option supplèmentaire "User-Class" afin de montrer patte blanche auprès d'orange et ainsi recevoir une IP sur cette interface.
Or quand je regarde les captures de trames WireShark je constate qu'il y a trois options:

-Option 61: Client-ID
-Option 12: Class Identifier
-Option 77 User-Class.

Dois-je mettre les trois ?

Merci par avance pour vos réponses.

l'option 12 n'est pas nécessaire. La Livebox inclut aussi l'option 60 (vendor-class, valeur "sagem").

mac de la livebox
l'user-class est commun a tout le monde.

la requete qu'on fait avec un ERL:

            client-option "send vendor-class-identifier "sagem";"
            client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
            client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
            client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"

l'option rfc3442 (option 121) est sensé être "gérée": on est sensé sortir sur le VLAN 838 que pour ces réseaux la.

chez moi la réponse DHCP recu indique:

Option: (121) Classless Static Route
    Length: 93
     172.23.12.0/22-10.85.247.254
     172.20.224.167/32-10.85.247.254
     172.19.20.0/23-10.85.247.254
     193.253.67.88/29-10.85.247.254
     80.10.117.120/31-10.85.247.254
     81.253.206.0/24-10.85.247.254
     81.253.210.0/23-10.85.247.254
     193.253.153.228/32-10.85.247.254
     193.253.153.227/32-10.85.247.254
     81.253.214.0/23-10.85.247.254
     80.10.204.0/22-10.85.247.254


Ca veut dire: pour joindre 172.23.12.0/22 il faut passer par 10.85.247.254. et pas la route par défaut (sortie NAT via le 835).
10.85.247.254 étant dans le meme réseau que l'IP recu par cette requete DHCP, ca sortira en NAT via cette IP.

C'est comme ca que la livebox 'route' le trafic du décodeur TV (et de tout le lan a priori): suivant l'adresse de destination tout ne sort pas sur l'IP public, certain réseaux, meme publics, doivent sortir via l'IP privée reçue en 838.

Si on veut faire un remplacement qui marche correctement il faut géré cela.
 

j'ai séparé ceci du sujet d'origine.

Il y a déjà un sujet sur Cisco ici: https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-cisco-ios/

Quand o.tos aura sa config en place et qui marche, on avisera pour presenter ca au mieux en évitant trop de sujets.

Merci  kgersen pour tes réponses

Parfait concernant la partie WAN (835) tout est ok pour moi. j'ai bien une IP qui m'est fournit par orange et j'ai bien internet et même très bien.

afin de mettre les choses au clair, voici la config de mon interface OUTSIDE, relié à l'ONT.


interface GigabitEthernet0/4
 nameif OUTSIDE-2
 security-level 0
 no ip address
!
interface GigabitEthernet0/4.835
 description *** OUTSIDE-1---VLAN-835 ***
 vlan 835
 nameif OUTSIDE-1---VLAN-835
 security-level 0
 pppoe client vpdn group ONT-ORANGE
 ip address pppoe setroute
!
interface GigabitEthernet0/4.838
 vlan 838
 nameif TV-1---VLAN-838
 security-level 0
 ip address dhcp setroute
!
interface GigabitEthernet0/4.840
 description *** TV-2--VLAN840 ***
 vlan 840
 nameif TV-2--VLAN840
 security-level 0
 no ip address



pour info, la commande setroute dans le vlan 838 (option 121):
 setroute:  Keyword to set the default route using the default gateway
            parameter the DHCP server returns


La route par défaut avec la NAT qui va bien : S*    0.0.0.0 0.0.0.0 [1/0] via 193.X.X.X, OUTSIDE-1---VLAN-835

Pour commencer, je propose d'arriver à recevoir une IP sur la sous interface 0/4.838 afin de régler cette histoire de dhcp. Le reste en découlera...
Actuellement, je reçois strictement rien (normal aucune option est configuré)

lorsque je vais dans ma sous interface voici les options qui me sont à dispositions pour le DHCP:

ASA5510(config-subif)# dhcp-client ?

configure mode commands/options:
  broadcast-flag      Configure client to send packets with broadcast flag set
  client-id                (Optional) Specifies the use of the mac-addr for the client
                               identifier (option 61).
  update                  Configure automatic updates

Avec l'option client-id, vais-je recevoir une ip sur cette sous interface ?

Petite précision:
Voici la configuration de l'interface de mon firewall sur laquelle je branche le décodeur TV orange directement dessus. Sur cette interface j'ai configuré un lease dhcp et crée une règle de NAT pour NAT sur la sous interface vlan 838. En résumé, tout ce qui part du décodeur sortira sur l'ip que je recevrai en DCHP sur le vlan 838.

interface GigabitEthernet0/0
 description *** DECODEUR ORANGE ***
 speed 1000
 duplex full
 nameif DECODEUR-TV
 security-level 100
 ip address 172.22.60.254 255.255.255.0
 ipv6 address autoconfig

La partie IGMP est ok j'ai bien fait la config en suivant ce guide et en prenant bien en compte que dans mon cas; sender---(0/4.838)ASA5515-X(0/0)----receiver (le décodeur): https://supportforums.cisco.com/document/64261/how-setup-stub-multicast-routing-asa
Dans mon cas, le sender c'est mon int out 0/4.838 et la receiver c'est l'interface 0/0 (le décodeur)
pour la partie IP de la sous interface 840 c'est ok aussi, j'ai mis la 192.168.255.254 255.255.255.0 (pour info n'importe quelle IP fait l'affaire pour cette interface ?)
pour la partie DHCP c'est la que ça risque de coincer un peut car comme tu dis, se n'est pas comme un Pfsense malheureusement. Il va falloir que je regarde si le code ASA autorise cette manip.
mqis en gros ce qui me manque pour la partie DHCP c'est uniquement le client identifier (qui est la mac de ma box orange si je me trompe pas).

Pour ma part, si je dédie une interface de mon firewall au décodeur c'est pour éviter de faire redescendre trop bas les flux multicast, car derrière cet ASA, j'ai un switch de coeur avec tous mes vlans derrière et mes serveurs.

Ok Ben là tu peux pas faire plus précis que ça  . Mais va falloir que je trouve une combien car ces options ne sont pas disponible sur l'ASA malheureusement. Il n'y que la 121 (pour recevoir les routes) qui est configurable avec la commande ip add dhcp setroute.

interface GigabitEthernet0/4.838
 vlan 838
 nameif TV-1---VLAN-838
 security-level 0
 ip address dhcp setroute
 no pim


Par contre niveau IGMP je vois bien que le Proxy IGMP est Ok!

ASA5510# sh igmp groups
IGMP Connected Group Membership
Group Address    Interface            Uptime    Expires   Last Reporter
239.255.255.250  DECODEUR-TV          00:22:17  00:03:27  172.22.60.1


Alors après question un petit peut idiote mais, n'est-il pas possible d'attribuer de manière static l'IP pour l'interface 0/4.838 ?
les routes de l'option 121, nous pouvons les récupérer facilement.
Concernant l'IP en elle même si on connait le scop, on peut pas s'en attribuer une avec la bonne Gw ?