La Fibre
Datacenter et équipements réseaux => Routeurs => 
MikroTik RouterOS => Discussion démarrée par: kaktuss77 le 01 février 2022 à 09:18:41
-
Bonjour à tous,
Je viens d'acquérir un RB5009 de chez Mikrotik, Je voulais vous en faire un petit retour.
(https://pix.milkywan.fr/myONn7fj.png)
ça pousse!!, les performances sont assez impressionnantes pour un routeur qui coûte moins de 200€.
En Config de base, (DefConf) en version rOS 7.1.1 avec quelques modifs (2 vlans sur le même port), avec NAT, on passe 9Gbps sans soucis, le CPU est cependant à environ 50-60%
(https://pix.milkywan.fr/BwrPKNqK.jpg)
Je me suis amusé à test les performances des tunnels suivant : GRE / IPIP / L2TP
Globalement on passe 4 à 5Gbps dans un tunnel (avec NAT sur le routeur)
(https://pix.milkywan.fr/t9Nd9pkK.jpg)
Je regrette vraiment pas mon achat, suite au conseil de Hugues (MilkyWan -- (Coucou Toi ;D )
Je vais l'intégrer dans une config type prod et je referais un retour à ce moment là.
Config physique des tests:
PC ----> Switch 10G ----> RB5009 ---> Switch 10G ----> CHR ----> Switch 10G ---> Serveur Iperf local
à bientôt, si vous avez des questions n'hésitez pas :)
-
Salut
tu l'utilises sur une connexion FREE ? car apparemment avec Orange il y a toujours des soucis avec la Cos 6 pour le DHCP.
Vivement une version avec un Wifi 6/6E :)
-
Pour le moment ni l'un ni l'autre, juste en LAB,
J'ai mon switch 10g pour tag la cos6, donc je me prends plus trop la tête sur cette aspect la.
Je ferais probablement un test en conditions réelles prochainement
-
Bonsoir, ce routeur à l'air d'en avoir dans le ventre je passe bientot en offre fibre
je crois qu'il est bientot compatible OpenWrt si ce n'est pas deja le cas
j'utilise cake avec le marquage dscp et cela me semble etre un très bon routeur vu les spec
belle soirée
-
oui le support OpenWRT est en route mais pas encore finalisé, peut etre qu'il arrivera avant que Mikrotik ne règle ce problème de COS ;D ;D
https://forum.openwrt.org/t/add-support-for-mikrotik-rb5009ug/104391
-
effectivement @cetipabo
et il est deja mis en place chez moi :)
-
@juju1366
Ptain la classe ! tu pourras nous faire un petit tuto pour réaliser cela ?
Et du coup tu es sur une connexion Orange avec ? donc pas de probleme avec la cos6 sous OpenWRT 8)
Sinon j'ai 1 petite question à propos de ce routeur. Est-ce qu'il est envisageable de l'utiliser pour faire du dual WAN avec 2 Fibres 1Gbps ?
-
Sinon j'ai 1 petite question à propos de ce routeur. Est-ce qu'il est envisageable de l'utiliser pour faire du dual WAN avec 2 Fibres 1Gbps ?
Le problème ne sera pas la capacité à faire du dual-wan mais à gérer du gigabit.
(Quasi)sans accélération matérielle, openwrt n'est pas vraiment indiqué en routeur pour des offres fibres giga (cf https://forum.openwrt.org/t/so-you-have-500mbps-1gbps-fiber-and-need-a-router-read-this-first/ (https://forum.openwrt.org/t/so-you-have-500mbps-1gbps-fiber-and-need-a-router-read-this-first/))
Après peut-être que le CPU peut tenir des perfs raisonnables, au prix d'une saturation.
@juju1366, tu pourrais faire un retour sur le comportement avec wireguard ?
-
J'ai vraiment du mal a voir l'intérêt de passer un RB5009 sous OpenWRT, le soft est vraiment daté, peu ergonomique, clairement RouterOS est bien plus puissant et optimisé...
-
Le problème ne sera pas la capacité à faire du dual-wan mais à gérer du gigabit.
(Quasi)sans accélération matérielle, openwrt n'est pas vraiment indiqué en routeur pour des offres fibres giga (cf https://forum.openwrt.org/t/so-you-have-500mbps-1gbps-fiber-and-need-a-router-read-this-first/ (https://forum.openwrt.org/t/so-you-have-500mbps-1gbps-fiber-and-need-a-router-read-this-first/))
Après peut-être que le CPU peut tenir des perfs raisonnables, au prix d'une saturation.
@cetipabo, tu pourrais faire un retour sur le comportement avec wireguard ?
Ma question sur le fait de pouvoir gérer les 2x 1Gbps c'etait sous routerOS, j'avais sauté une ligne pour démarquer les sujets, mais c'est vrai que c'est pas clair ;D
je n'ai pas compris ce que tu me demandes avec Wireguard ? je n'utilise pas wireguard...mais je veux bien faire un test depuis chez moi, mais vers quoi ? si je suis le client, qui est le serveur ? :D
-
Ma question sur le fait de pouvoir gérer les 2x 1Gbps c'etait sous routerOS, j'avais sauté une ligne pour démarquer les sujets, mais c'est vrai que c'est pas clair ;D
Il n'y a pas de raisons : https://help.mikrotik.com/docs/display/ROS/Firewall+Marking#FirewallMarking-Example3(PCC (https://help.mikrotik.com/docs/display/ROS/Firewall+Marking#FirewallMarking-Example3(PCC))
je n'ai pas compris ce que tu me demandes avec Wireguard ? je n'utilise pas wireguard...mais je veux bien faire un test depuis chez moi, mais vers quoi ? si je suis le client, qui est le serveur ? :D
La question était en fait pour juju1366 ;D .
-
La question était en fait pour juju1366 ;D .
hahaha ok on va y arriver ;D
-
effectivement @cetipabo
et il est deja mis en place chez moi :)
Coté SFP+ ça sync a 2.5Gbps ou pas?
@juju1366, tu pourrais faire un retour sur le comportement avec wireguard ?
Sous RouterOS, je passe, 1.2 a 1.6Gbps dans un tunnel Wireguard.
-
Coté SFP+ ça sync a 2.5Gbps ou pas?
non
-
Le problème ne sera pas la capacité à faire du dual-wan mais à gérer du gigabit.
(Quasi)sans accélération matérielle, openwrt n'est pas vraiment indiqué en routeur pour des offres fibres giga (cf https://forum.openwrt.org/t/so-you-have-500mbps-1gbps-fiber-and-need-a-router-read-this-first/ (https://forum.openwrt.org/t/so-you-have-500mbps-1gbps-fiber-and-need-a-router-read-this-first/))
Après peut-être que le CPU peut tenir des perfs raisonnables, au prix d'une saturation.
L'article ne doit pas être mal interprété. Le problème n'est pas l'OS.
Paradoxalement on peut partager des conclusions à condition de bien remettre en perspective son point de départ: machine à 50-100$. Les arguments sont à recadrer dans cette perspective.
Sinon, comment penser que 100K pps sont un challenge en routage ou 10000+ cycles trop court pour un pare-feu ?
Les OS courants se situent (par performance du code indépendant du matériel) un ordre de grandeur au-dessus, par coeur, pour donner une vague approximation. La question ici est plutôt le matériel, bien sûr la fréquence cpu compte et encore plus important la parallélisation. Par exemple:
- Comme beaucoup de gens j'aime bien les APU 2/3/4, ca fait 500K pps sans accélération... et avant rupture ca valait moins de 200$ voire largement moins.
- Un FreeBSD sur du matériel courant, certes hors budget grand public, fait 20M pps sur intel xeon (donc non spécialisé) + une bonne carte réseau.
- Linux pour lequel les communications se trouvent plus volontiers autour de solutions en routage espace utilisateur, dépasse / fait plusieurs Mpps par coeur sans forcément avoir recours à une accélération matérielle annexe.
Accessoirement il y a une forme d'ironie involontaire à faire la remarque à Cetipabo qui vient justement de dégoter un engin sur base MT7622 à moins de 100 euros et qui passe bien entendu les 100kpps en baillant sous OpenWRT.
Alors on peut tomber en accord avec l'auteur sur le fait que trouver d'une part un matériel bas-coût et l'associer d'autre part à un OS plus ou moins générique soit peu évident. Cependant le problème n'est pas fondamentalement une limite inhérente à l'OS.
Ceci dit nous ne sommes pas dans la gamme de prix du RB5009. Sans nier les éventuels bénéfices d'accélérations matérielles soulevés par @ppn_sd, il ne faut pas généraliser cette nécessité, ni la sur-estimer pour ce qui est de router, nater, filtrer. Laissons pour le moment la crypto de côté.
Je ne sais pas ce qu'a fait OpenWRT mais une bonne raison de rester chez mikrotik (outre éventuellement les interfaces d'administration, à chacun ses amours) c'est que l'histoire du support de ces cpus armada par divers OSes n'est pas un long fleuve tranquille. A contrario de l'article c'est une question logicielle, si qqun s'est déjà tapé le boulot d'intégration logicielle pour le proposer commercialement pour pas grand chose de plus que le coût matériel, ca me va.
Ceux intéressés par ce qui se passe autour de l'armada 7040 pourront surveiller aussi ce qui se passe ici (s'il se passe quelquechose...) https://globalscaletechnologies.com/product/mochabin/ (https://globalscaletechnologies.com/product/mochabin/)
-
Heu .... OK.
Il s'agit juste de rappeler que les gros débits pompent du CPU (même sur ce type de routeur, cf le post initial du sujet).
Il faut savoir avec quoi on veut occuper son CPU car on impose souvent une tripotée d'autres fonctions également gourmandes : fw, nat, tunnels, vpn etc ...
-
Oui assurément.
Je réagissais sur autre chose.
Quand vous dites "openwrt n'est pas vraiment indiqué en routeur pour des offres fibres giga", je vous réponds en désaccord et ce n'est pas vraiment non plus ce que dit l'article cité.
Je vous précise également qu'un cpu n'a pas forcément besoin d'un complément en accélération matérielle pour faire du 1G, 10G et même au-delà.
C'est tout, rien de capital.
-
hahaha ok on va y arriver ;D
salut cetipabo
oui alors il te faut winbox putty et tiny pxe avec windows
premierement tu mets ton adresse en 192.168.1.10
dans tes options d'adaptateur avec 255.255.255.0 en sous reseau
tu vas dans winbox ensuite et tu exporte ta key de license
puis tu vas dans system routerboard
tu le mets en dhcp et le dernier onglet try to flash to ethernet
ensuite apply ok ok
et system shutdown
tu debranche ton rb5009
tu retourne sur tinypxe et tu coche httpd et au moment du reset tu fais online dans pxe
(au prealable tu a mis en bas ds tinyxe l'image .elf du routeur les trois petits ... ) comme dans l'image
tu debranche le routeur
puis appuie sur reset
rebranche le routeur et reste appuyer sur reset tu vas voir apparaitre une phrase du genre DO READ openwrt file et le nom du fichier.Elf (image)
une fois que tu as cette phrase le flash commence
connecte apres un au port 2 de l'ordi au routeur et du wan poe a ta box modem pour avoir internet et rentre cette commande dans putty
en te connectant dans putty via ssh tu verras openwrt tu tape root (192.168.1.1 pour se connecter avec putty)
et cette commande tout en bas
ton routeur sera alors flashé en dur sur openwrt
j'ai crée un build OpenWrt sur unbuntu qui m'a pris 6H je peux de temps en temps le mettre a jour aussi
mon nom sur le forum OpenWrt est Dopam-IT_1987 au cas ou
voici les performance que j'ai obtenu sur iperf3
;D :D ;)
wget https://github.com/adron-s/aux-loader2/raw/main/releases/2.xx-latest/rbt-with-aux-for-mtd5.bin \
-O- | mtd write - RouterBOOT
echo cfg > /sys/firmware/mikrotik/soft_config/boot_device
echo 1 > /sys/firmware/mikrotik/soft_config/commit
wget https://github.com/adron-s/openwrt-rb5009/releases/download/rb5009-20220209/openwrt-mvebu-cortexa72-mikrotik_rb5009-squashfs-sysupgrade.bin \
-O- > /tmp/fw.bin && sysupgrade /tmp/fw.bin/code]
-
Un iperf localhost -> localhost ?
-
Hello merci pour le tuto
openwrt installé ;)
par contre j'ai l'impression que le cage sfp ne fonctionne pas
apriori le kmod-sfp n'est pas dans l'install,
et quand j'essaye online :
opkg install kmod-sfp
Unknown package 'kmod-sfp'.
Collected errors:
* pkg_hash_check_unresolved: cannot find dependency kernel (= 5.10.102-1-f6e88eba8dc8085d922ca2b88331e0b0) for kmod-i2c-core
* pkg_hash_check_unresolved: cannot find dependency kernel (= 5.10.102-1-f6e88eba8dc8085d922ca2b88331e0b0) for kmod-hwmon-core
* pkg_hash_fetch_best_installation_candidate: Packages for kmod-hwmon-core found, but incompatible with the architectures configured
* pkg_hash_check_unresolved: cannot find dependency kernel (= 5.10.102-1-f6e88eba8dc8085d922ca2b88331e0b0) for kmod-phylink
* pkg_hash_fetch_best_installation_candidate: Packages for kmod-phylink found, but incompatible with the architectures configured
* pkg_hash_check_unresolved: cannot find dependency kernel (= 5.10.102-1-f6e88eba8dc8085d922ca2b88331e0b0) for kmod-sfp
* pkg_hash_fetch_best_installation_candidate: Packages for kmod-sfp found, but incompatible with the architectures configured
* opkg_install_cmd: Cannot install package kmod-sfp.
-
@epalzeolithe
c'est normal le kernel a evolué et tu as une ancienne version de OpenWrt je peux te créer un build si tu veux pour toi mais c'est long,
avec linux dis moi les packages que tu voudrais et je te l'envoie,
felicitations pour le flash ;) ravi d'avoir pu t'aider :)
-
Hello merci
j'ai recompilé le firmware avec le package, par contre brick du RB5009, là j'ai remis routerOS
j'ai regardé sur le forum openwrt, pour le moment le SFP ne marche pas super, et encore moins sûr de pouvoir passé en HGSMII 2.5gbps.... d'ailleurs je n'arrive pas à savoir si le hardware peut le supporter
-
hello tout le monde en recompilant le firmware le sfp marche enfin :)
-
hello tout le monde en recompilant le firmware le sfp marche enfin :)
Tu pourrais nous faire un screen d'un HTOP pendant un speedtest, à 50% environ du speedtest, pour voir le taux d'occupation du CPU et la répartition ?
Ensuite la meme chose après avoir activé le Software + Hardware Flow Offloading dans Luci, Network >> Firewall
-
oui pas de soucis
sans irqbalance
avec irqbalance
et avec irqbalance et sfo hwo je ne suis qu'en vdsl2 mais lors des test j'utilise QoS je peux faire sans si tu veux :)
ok j'ai fais sans QoS pour etre plus precis avec sfo et hwo
-
Autant avec L'Offloading je ne suis pas surpris de voir un taux d'occupation du CPU proche de Zéro, Mais alors sans l'Offloading atteindre 39% sur du VDSL :o c'est pas top.
Sur mon routeur, avec un SOC MT7622 à 2x1.35Ghz, je suis à 70% d'occupation sur 1 CPU, mais sur un débit de 1Gbit.
Avec l'offloading activé, je suis à +/- 1%. Dans mon cas l'IRQ Balance ne change rien, je me demande meme s'il fonctionne.
L'important était de savoir si avec l'offloading activé tu avais des perfs dignes de ce nom, ça semble être le cas.
L'irq Balance marche chez toi ? ca réparti bien la charge CPU lors d'un speedtest ? j'ai pas trop l'impression vu les screens.
-
Salut, oui tu as raison il y'a un defaut avec irqbalance
car je possède aussi un rt3200 et la je vois clairement irqbalance activé
-
irqbalance distribue la charge des IRQs matérielles sur plusieurs cpus, rien de plus.
Au taux (paquets par seconde) auquel vous faites vos tests (gros paquets tcp), ca ne devrait pas représenter grand chose au total de toute façon.
Au passage un routeur, ça se testerait mieux en faisant ... router des paquets!
-
Au passage un routeur, ça se testerait mieux en faisant ... router des paquets!
bon ben reste plus qu'a faire un site, routerdespaquets.net, pour vérifier le fonctionnement d'irqbalance ;D ;D
-
Ah mais si vous le dites en public, d'autres pourraient faucher l'idée.
En attendant, si les compteurs sont activés, /proc/interrupts devrait contenir des infos par cpu et source de l'interruption (donc les cartes réseaux)
Et c'est consolidé par mpstat par exemple.
-
on n'en trouve plus nul part en ce moment. Azurtem anonce une dispo pour juillet, si tant est qu'on le commande maintenant.
-
C'est balo je m'étais décidé sur ce modèle... mais effectivement, introuvable nul part !
Le CCR2004 doit sortir en version sans ventilateur, annoncé depuis l'an dernier... peut etre qu'il va finir par arriver, ça serait une alternative pour moi.
Parce que sinon, je vois pas trop. Je partais sur ceux là chez mikrotik pour etre sur la v7, j'achete pour du long terme !
-
C'est balo je m'étais décidé sur ce modèle... mais effectivement, introuvable nul part !
Le CCR2004 doit sortir en version sans ventilateur, annoncé depuis l'an dernier... peut etre qu'il va finir par arriver, ça serait une alternative pour moi.
Parce que sinon, je vois pas trop. Je partais sur ceux là chez mikrotik pour etre sur la v7, j'achete pour du long terme !
tu as la version avec ventilateur, en remplaçant les ventilateur par des Noctua.
si tu n'utilises pas de transceiver rj45 10 gbit la vitessse des ventilateurs reste assez basse et peu audible.
Dans un bureau ça passe très bien.
Le support Mikrotik, m'avait donné une estimation de fin Q2 2022 pour la sortie de la version passive.
Mais c'était début janvier....
-
Pour info des RB5009 devraient être dispo dans la semaine sur un shop allemand : https://www.varia-store.com/en/produkt/107937-rb5009ug-s-in-heavy-duty-home-lab-router.html
-
Juste pour confirmer, c'est même en stock, le mien a été expédié :)
edit: ah bordel non ça y est plus de stock, dispo dans.... 90jours :(
-
RouterOS 7.2 a été publié aujourd'hui, c'est supposé corriger les problèmes de débit entre interfaces de vitesse différente, au coeur du souci vu en particulier sur le port 2.5G.
-
@Taboin non.
Bien sfp+ ici sync a 2.5Gbps :D
(https://cdn.ibakerserver.pt/ZirI9/BudasibE73.png/raw)
-
Autant avec L'Offloading je ne suis pas surpris de voir un taux d'occupation du CPU proche de Zéro, Mais alors sans l'Offloading atteindre 39% sur du VDSL :o c'est pas top.
Sur mon routeur, avec un SOC MT7622 à 2x1.35Ghz, je suis à 70% d'occupation sur 1 CPU, mais sur un débit de 1Gbit.
Avec l'offloading activé, je suis à +/- 1%. Dans mon cas l'IRQ Balance ne change rien, je me demande meme s'il fonctionne.
L'important était de savoir si avec l'offloading activé tu avais des perfs dignes de ce nom, ça semble être le cas.
L'irq Balance marche chez toi ? ca réparti bien la charge CPU lors d'un speedtest ? j'ai pas trop l'impression vu les screens.
Au fait je reviens là dessus mais selon comment le 5009 est configuré, le taux d'occupation CPU est "normal". Par défaut le CPU adapte sa fréquence selon la charge, donc quand il n'a pas grand chose à faire, bin il reste à 350Mhz (et le % cpu est fonction).
-
Bonjour,
Une question de novice même si j'ai configuré mon ER3 dans tous les sens je suis perturbé car mon expérience n'est qu'avec ce routeur et ses 3 interfaces indépendantes...
Ci dessous le diagramme interne du RB5009.
https://i.mt.lv/cdn/product_files/RB5009UGS_210729.png.
Quelqu'un peut m'expliquer en quelques mots si le circuit entre toutes les interfaces est un switch par défaut ou si c'est un abus de langage ?
Serait il possible par exemple d'avoir quelques ports avec du VLAN (en trunk pour certains) mais commutés entre eux (disons 6) et d'autres différents routés ?
Ne perd on pas les capacités d'offload rapidement dans ces cas de configuration ? Ce faisant l'isolation de trafic entre les réseaux qui doivent être isolés est elle "solide" ?
Je me doute que cet équipement va donner toute sa puissance en CLI cependant y a t-il quelque part un site où ses interfaces sont détaillées ? Notamment pour faire ce que je dis des ports switchés et d'autres routés.
Merci beaucoup (je pense qu'à cette heure j'ai du mal à comprendre la philosophie générale du fonctionnement au vu du schéma de principe).
Cdlt
-
La philosophie est des plus basiques. C'est un petit routeur dont les perfs du cpu sont confortables pour le prix demandé. Le L2 est implémenté par une puce additionnelle qui couvre l'ensemble des ports (https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features).
Pas de souci pour créer un vlan (ou des vlans, trunks) et commuter entre ses ports. Par contre pas de forwarding inter vlan si c'était la question, il faudra router, ce qui pour l'essentiel n'est pas un problème pour la puce principale au gigabit.
Si vous voulez plus de fonctions de switching, y compris L3, il faut aller vers les switches CRS300 et si vous voulez par-dessus un routage plus solide c'est CCR2x16.
Pour ce qui est des interfaces, les goûts et les couleurs... mais je trouve que leur Winbox, très complet, est un atout (et vous pouvez toujours appeler le CLI depuis cette interface graphique).
A noter que de patch en patch, Mikrotik est toujours en train de corriger les défauts de ce petit routeur récent.
-
Pas de L3HW pour l'intervlan sur le 5009 depuis ros7 ? J'ai un doute
-
La philosophie est des plus basiques. C'est un petit routeur dont les perfs du cpu sont confortables pour le prix demandé. Le L2 est implémenté par une puce additionnelle qui couvre l'ensemble des ports (https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features).
Pas de souci pour créer un vlan (ou des vlans, trunks) et commuter entre ses ports. Par contre pas de forwarding inter vlan si c'était la question, il faudra router, ce qui pour l'essentiel n'est pas un problème pour la puce principale au gigabit.
Si vous voulez plus de fonctions de switching, y compris L3, il faut aller vers les switches CRS300 et si vous voulez par-dessus un routage plus solide c'est CCR2x16.
Pour ce qui est des interfaces, les goûts et les couleurs... mais je trouve que leur Winbox, très complet, est un atout (et vous pouvez toujours appeler le CLI depuis cette interface graphique).
A noter que de patch en patch, Mikrotik est toujours en train de corriger les défauts de ce petit routeur récent.
Merci pour ces précisions
-
Pas de L3HW pour l'intervlan sur le 5009 depuis ros7 ? J'ai un doute
Tu as raison, le chip 88E6393X sait faire du VLAN filtering au niveau du Bridge ( https://help.mikrotik.com/docs/display/ROS/Bridging+and+Switching#BridgingandSwitching-BridgeHardwareOffloading (https://help.mikrotik.com/docs/display/ROS/Bridging+and+Switching#BridgingandSwitching-BridgeHardwareOffloading) ).
Du coup l'inter VLAN en L3HW doit fonctionner avec cette conf ( https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Inter-VLANRouting (https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Inter-VLANRouting) )
-
Pas de L3HW pour l'intervlan sur le 5009 depuis ros7 ? J'ai un doute
Techniquement pas impossible s'il s'agit d'aller mettre un coup de tampon sur le flyer mais la puce n'a vraiment pas les caractéristiques pour.
https://forum.mikrotik.com/viewtopic.php?t=184890#p925222
A ce jour, et à ma connaissance, pour les Marvell utilisés par Mikrotik, seuls les Prestera ont du L3 forwarding activé.
-
Hello,
Je viens d'acquérir ce petit router, et je dois dire que j'en suis très content.
Cependant, j'ai un petit soucis de débit avec. Il y en a qui utilise le SFP GPON d'orange avec ?
J'ai fait un bridge avec aucune règle entre le SFP et une interface cuivre pour que la COS soit effectué par mon switch.
J'obtiens des débit de l'ordre de 550-600 Mbps.
Des idées sur le problème ? Je suis en version 7.3.1
-
Hello,
Je viens d'acquérir ce petit router, et je dois dire que j'en suis très content.
Cependant, j'ai un petit soucis de débit avec. Il y en a qui utilise le SFP GPON d'orange avec ?
J'ai fait un bridge avec aucune règle entre le SFP et une interface cuivre pour que la COS soit effectué par mon switch.
J'obtiens des débit de l'ordre de 550-600 Mbps.
Des idées sur le problème ? Je suis en version 7.3.1
Hello,
Désolé, je ne peux pas t'aider avec ton souci. En revanche, pourrais-tu me dire où tu te l'es procuré ? J'ai beau chercher, impossible de mettre la main sur du stock depuis des semaines !
-
Hello,
Je viens d'acquérir ce petit router, et je dois dire que j'en suis très content.
Cependant, j'ai un petit soucis de débit avec. Il y en a qui utilise le SFP GPON d'orange avec ?
J'ai fait un bridge avec aucune règle entre le SFP et une interface cuivre pour que la COS soit effectué par mon switch.
J'obtiens des débit de l'ordre de 550-600 Mbps.
Des idées sur le problème ? Je suis en version 7.3.1
Bonjour,
Avec ta config ce sera plus facile de t'aider !
-
Hello,
Désolé, je ne peux pas t'aider avec ton souci. En revanche, pourrais-tu me dire où tu te l'es procuré ? J'ai beau chercher, impossible de mettre la main sur du stock depuis des semaines !
Je l'ai acheté sur www.ip-sa.com il y a de ça quelques mois, il semble out of stock partout actuellement.
Bonjour,
Avec ta config ce sera plus facile de t'aider !
En gros les éléments de ma conf qui peuvent intéresser. En gros j'ai un VLAN attaché au bridge qui fait le requête DHCP
/interface bridge
add name=WANBridge
add admin-mac=DC:2C:6E:DC:E9:7B auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] name=ether8-ONT-OUT
set [ find default-name=sfp-sfpplus1 ] arp=disabled name=sfp-ONT-IN speed=2.5Gbps
/interface vlan
add interface=ether1 name=10-LAN vlan-id=10
add interface=WANBridge name=Orange832 vlan-id=832
/ip dhcp-client option
add code=77 name=userclass value=0x####
add code=90 name=authsend value=0x####
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=10-LAN-POOL ranges=10.10.10.10-10.10.10.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
add address-pool=10-LAN-POOL interface=10-LAN lease-time=8h name=10-LAN-DHCP
/ipv6 dhcp-client option
add code=15 name=userclass value=0x###
add code=16 name=class-identifier value=0x###
add code=11 name=authsend value=0x###
/interface bridge port
add bridge=bridge comment=defconf hw=no interface=ether6
add bridge=WANBridge interface=sfp-ONT-IN
add bridge=WANBridge interface=ether8-ONT-OUT
/ipv6 settings
set accept-router-advertisements=yes
-
Je l'ai acheté sur www.ip-sa.com il y a de ça quelques mois, il semble out of stock partout actuellement.
En gros les éléments de ma conf qui peuvent intéresser. En gros j'ai un VLAN attaché au bridge qui fait le requête DHCP
/interface bridge
add name=WANBridge
add admin-mac=DC:2C:6E:DC:E9:7B auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] name=ether8-ONT-OUT
set [ find default-name=sfp-sfpplus1 ] arp=disabled name=sfp-ONT-IN speed=2.5Gbps
/interface vlan
add interface=ether1 name=10-LAN vlan-id=10
add interface=WANBridge name=Orange832 vlan-id=832
/ip dhcp-client option
add code=77 name=userclass value=0x####
add code=90 name=authsend value=0x####
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=10-LAN-POOL ranges=10.10.10.10-10.10.10.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
add address-pool=10-LAN-POOL interface=10-LAN lease-time=8h name=10-LAN-DHCP
/ipv6 dhcp-client option
add code=15 name=userclass value=0x###
add code=16 name=class-identifier value=0x###
add code=11 name=authsend value=0x###
/interface bridge port
add bridge=bridge comment=defconf hw=no interface=ether6
add bridge=WANBridge interface=sfp-ONT-IN
add bridge=WANBridge interface=ether8-ONT-OUT
/ipv6 settings
set accept-router-advertisements=yes
Je suis pas sur de bien comprendre ta fibre avec son ONT SFP est sur le port SFP+ du RB5009 et tu ressors sur le port ether 8 vers ton switch ?
Tu re-rentres comment ?
As tu bien toutes les optimisations hardware pour ton RB5009 pour ne pas utiliser ton CPU dans ton bridge ?
Si c'est le cas quand tu fais ton test de débit ton CPU du RB5009 doit être en dessous de 10% max car c'est le Switch Chip qui doit faire le job intégralement, surtout que dans ton cas tu n'as pas de Switch Rule pour faire la CoS...
-
Je suis pas sur de bien comprendre ta fibre avec son ONT SFP est sur le port SFP+ du RB5009 et tu ressors sur le port ether 8 vers ton switch ?
Tu re-rentres comment ?
As tu bien toutes les optimisations hardware pour ton RB5009 pour ne pas utiliser ton CPU dans ton bridge ?
Si c'est le cas quand tu fais ton test de débit ton CPU du RB5009 doit être en dessous de 10% max car c'est le Switch Chip qui doit faire le job intégralement, surtout que dans ton cas tu n'as pas de Switch Rule pour faire la CoS...
ONT SFP est sur le port SFP+ du RB5009 et tu ressors sur le port ether 8 vers ton switch ?
Oui c'est ça, il re-rentre sur le port7, ça apparait pas dans le bout de conf que je t'ai envoyé.
Quand je fais un speedtest, le CPU oscille entre 15 et 20%.
Le bridge semble bien en mode "Offload" :
/interface/bridge/port> print
Flags: I - INACTIVE; H - HW-OFFLOAD
Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, PATH-COST, INTERNAL-PATH-COST, HORIZON
# INTERFACE BRIDGE HW PVID PRIORITY PATH-COST INTERNAL-PATH-COST HORIZON
;;; defconf
0 I ether6 bridge no 1 0x80 10 10 none
1 H sfp-ONT-IN WANBridge yes 1 0x80 10 10 none
2 H ether8-ONT-OUT WANBridge yes 1 0x80 10 10 none
-
ONT SFP est sur le port SFP+ du RB5009 et tu ressors sur le port ether 8 vers ton switch ?
Oui c'est ça, il re-rentre sur le port7, ça apparait pas dans le bout de conf que je t'ai envoyé.
Quand je fais un speedtest, le CPU oscille entre 15 et 20%.
Le bridge semble bien en mode "Offload" :
/interface/bridge/port> print
Flags: I - INACTIVE; H - HW-OFFLOAD
Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, PATH-COST, INTERNAL-PATH-COST, HORIZON
# INTERFACE BRIDGE HW PVID PRIORITY PATH-COST INTERNAL-PATH-COST HORIZON
;;; defconf
0 I ether6 bridge no 1 0x80 10 10 none
1 H sfp-ONT-IN WANBridge yes 1 0x80 10 10 none
2 H ether8-ONT-OUT WANBridge yes 1 0x80 10 10 none
Tu devrais poser la question sur le forum Mikrotik car deux choses :
- le RB5009 n'est pas encore complètement "sec" au niveau soft ils ont encore pas mal de travail sur la version 7.x pour activer toutes les assistances HW
- ensuite dans ton cas c'est comme si tu fais 4 fois le trajet pour 600Mbps de traffic donc en fait 2.4Gbps à gérer par le RB5009 et je pense que c'est la ou c'est pas optimal.... et peut être que ton RB5009 n'arrive pas à gérer (dans sa version actuelle de l'OS, le Hard est capable en théorie de gérer bien plus haut)
Je vois plusieurs pistes :
- Mikrotik dans les prochaines MAJ te permet de monter plus haut dans ta config sans rien toucher
- Tu changes ton architecture pour éviter au switch d'entrer et de sortir (mais je vois déjà la remarque : comment faire pour mon 2.5Gbps SFP ONT ?)
- Tu vires le Switch et tu utilises une Switch Rule pour faire ta CoS 6 (la dernière fois que j'avais regardé c'était pas encore dispo sur le RB5009 en version 7.x, je le fais sur un CRS305 pour deux fibres Orange à 2.5Gbps chacune et ca marche nickel avec un CPU qui dort...
-
Bonjour à tous,
J'ai actuellement routeur Netgear R7800 avec le firmware Voxel permettant un accès SSH et d'y faire un peu ce qu'on veut, et j'en suis très satisfait. Il tient super le gigabit symétrique, les règles pare-feu custom, etc… du moment que ça passe par le QCA NSS (accélération matérielle) ; dès qu'on passe hors de ça pour de gros débits, le CPU sature.
Je vais passer à l'avenir chez MilkyWan en offre OI (comme ce que j'ai actuellement), car K-Net devient une catastrophe. Leur backbone commence à être affecté et si la débit est bon, le routage devient mauvais avec des sites indisponibles, etc… J'y remédie avec un VPN, mais j'ai commandé un tunnel chez MilkyWan pour déjà y avoir mes IP, et avoir un backbone sérieux.
La grande inconnue sera le tunnel (basique, GRE), qui sera sur mon routeur, et risque de ne pas être accéléré… Je verrai bien dans les jours qui viennent.
Si cela devenait un problème, notre cher Hugues m'a recommandé le Mikrotik RB5009 qui remplacera alors mon routeur qui lui deviendra un AP pour le Wifi.
J'ai une totale confiance en sa recommandation, et je vois ici que c'est partagé par nombre d'entre vous.
Je ne sais pas encore si j'en aurai besoin, mais j'ai quelques questions :
1) RouterOS n'est pas open source. Donc à priori pas d'accès SSH au linux, ni possibilité d'y installer ou compiler des utilitaires / programmes maison ? Je bidouille vraiment pas mal sur mon routeur (j'aime bien un accès à toutes les fonctions, mettre les mains dans le cambouis…). RouterOS offre-t'il une bonne souplesse sans les configs ?
2) OpenWRT existe pour ce routeur, mais pas entièrement officiellement (hack) et cela ne grille-t'il pas la garantie ? Ceux qui l'utilisent voient-il un différence de perf avec RouterOS ?
3) Il est en rupture de stock un peu partout comme reporté ici, des pistes sur où se le procurer ?
Je vois aussi cela : https://globalscaletechnologies.com/product/mochabin/ qui utilise le même SoC, open source, 4 à 8 Go de RAM, eMMC, et on peut y mettre Ubuntu, OpenWRT… Ça semble vraiment bien, mais même question, quid de l'accélération matérielle ?
Pas dispo immédiatement, mais via le kickstarter, apparement ça pourrait être livré en août / septembre (donc attente similaire au Mikrotik s'il faut attendre…)
Voilà. Merci d'avance
-
@bolemo, pourquoi ne pas partir sur un miniPC en 4x 2.5Gbps, sous Openwrt ?
https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/msg955412/#msg955412
la tu es vraiment libre de faire ce que tu veux, la puissance est au rendez-vous, et c'est dispo.
-
@bolemo, pourquoi ne pas partir sur un miniPC en 4x 2.5Gbps, sous Openwrt ?
https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/msg955412/#msg955412
la tu es vraiment libre de faire ce que tu veux, la puissance est au rendez-vous, et c'est dispo.
C’est sympa aussi, merci.
Je ne vais pas forcément me précipiter (mais il est possible que je saute le pas rapidement si je me décide), et voir déjà ce que je peux atteindre en tunnel avec mon routeur (probablement pas le gigabit, mais il atteint 150 Mbps en OpenVPN d’après une source fiable). Un tunnel GRE sans chiffrage devrait faire beaucoup mieux !
Ensuite, et si besoin, je vais étudier les différentes solutions pour soit un nouveau routeur (Mikrotik, MochaBin ou miniPC), soit un miniPC ou un SBC suffisamment puissant entre mon routeur et l’ONT qui ne ferait que gérer l’encapsulation du tunnel, laissant mon R7800 faire le routage comme maintenant sans avoir à gérer le tunnel.
Je verrai, il y a plein de voies possibles. Par contre, je commence à prendre mes repères, car si je prends un nouveau routeur, il devra être solide pour quelques années au moins.
-
Bon, je viens de passer commande du Mini PC. C'est plus rapide que pour le RB5009 qui est toujours en totale rupture de stock…
Merci pour le tuyau ! :)
-
Bolemo ayant opté pour un petit PC, je peux informer sans le priver, qu'il y a des RB5009 -AVEC POE- à 100 euros de plus que le modèle normal chez Getic (ex EuroDK)
https://www.getic.com/product/mikrotik-rb5009upr-s-in
Encore 195 en stock. Y a en 7 de moins que hier.
-
181
-
Bolemo ayant opté pour un petit PC, je peux informer sans le priver, qu'il y a des RB5009 -AVEC POE- à 100 euros de plus que le modèle normal chez Getic (ex EuroDK)
https://www.getic.com/product/mikrotik-rb5009upr-s-in
Encore 195 en stock. Y a en 7 de moins que hier.
Fyr le gentleman 8)
-
Bonjour ici !
J'ai commandé le RB5009 POE ci-dessus et malheureusement il est arrivé "Dead On Arrival"... Il faut 10 essais (voir plus) pour qu'il boot et si par chance il boot, un reboot ou shutdown ensuite et c'est rebloqué (led bleu fixe + led verte eth2 faiblement allumée). J'ai testé une autre alim et aussi de l'alimenter en PoE (encore pire, toutes les led clignotent en orange).
En cherchant un peu, j'ai trouvé deux personnes sur le forum Mikrotik qui ont eu le même problème (un batch défectueux ?).
Pour le coup retour à l'envoyeur RMA en Lituanie (Getic) ::)
Màj: gros problème a priori sur ce modèle:
https://www.youtube.com/watch?v=FQdY9tuW7Jo
https://old.reddit.com/r/mikrotik/comments/x9wccr/there_might_be_a_problem_with_cold_solder_joints/
https://old.reddit.com/r/mikrotik/comments/x9dj9n/rb5009uprsin_poein_not_working/
https://forum.mikrotik.com/viewtopic.php?t=189042
https://forum.mikrotik.com/viewtopic.php?t=188860
https://forum.mikrotik.com/viewtopic.php?t=188999
https://forum.mikrotik.com/viewtopic.php?t=188667
-
Bonjour a tous,
Je me permet de venir humblement vous demander votre aide. En effet je viens de recevoir mon rb5009 et je rencontre un petit soucis, je suis chez Free et j'ai une Freebox revolution.
J'ai basculé ma Freebox en mode bridge afin d'éviter le double nat, et je rencontre un petit soucis avec les fluxs TV, j'ai des pixelisations sur la TV de facon assez recurante.
Si je debranche le cable Ethernet du player revolution et que je le branche en direct sur le freebox serveur, je tout fonctionne parfaitement. Les pixelisations ne se produisent que lorsque que je fais passer les flux au travers du Mikrotik.
Voici la configuration que j'utilise sur le Mikrotik (expurgée des informaitons sensibles):
# sep/11/2022 15:22:18 by RouterOS 7.5
# software id = NYZZ-0FRB
#
# model = RB5009UPr+S+
/interface bridge
add frame-types=admit-only-vlan-tagged ingress-filtering=no name=bridge-LAN \
vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Wan
set [ find default-name=ether2 ] name=ether2-Freebox
set [ find default-name=ether3 ] name=ether3-Garage
set [ find default-name=ether4 ] name=ether4-PI
set [ find default-name=ether5 ] name=ether5-AP
set [ find default-name=ether6 ] name=ether6-Bureau
set [ find default-name=ether7 ] name=ether7-Cave
set [ find default-name=ether8 ] name=ether8-Salon
set [ find default-name=sfp-sfpplus1 ] name=sfp-emergency
/interface vlan
add interface=bridge-LAN name=DMZ vlan-id=30
add interface=bridge-LAN name=Internet vlan-id=40
add interface=bridge-LAN name=vlan1 vlan-id=10
add interface=bridge-LAN name=vlan2 vlan-id=2
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-lan ranges=192.168.1.100-192.168.1.200
add name=pool-IOT ranges=192.168.2.100-192.168.2.200
/ip dhcp-server
add add-arp=yes address-pool=pool-lan interface=vlan1 lease-time=8h name=Lan
add add-arp=yes address-pool=pool-IOT interface=vlan2 lease-time=6h name=IOT
/interface bridge port
add bridge=bridge-LAN comment=defconf interface=ether2-Freebox pvid=2
add bridge=bridge-LAN comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether5-AP pvid=10
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
interface=ether6-Bureau
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
interface=ether7-Cave
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
interface=ether8-Salon
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
interface=ether4-PI pvid=10
add bridge=bridge-LAN interface=ether1-Wan pvid=40
add bridge=bridge-LAN frame-types=admit-only-vlan-tagged interface=\
ether3-Garage
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge-LAN tagged=\
bridge-LAN,ether8-Salon,ether7-Cave,ether6-Bureau,ether3-Garage vlan-ids=\
10
add bridge=bridge-LAN tagged=\
bridge-LAN,ether6-Bureau,ether7-Cave,ether8-Salon,ether3-Garage vlan-ids=\
2
add bridge=bridge-LAN tagged=\
bridge-LAN,ether6-Bureau,ether7-Cave,ether8-Salon,ether3-Garage vlan-ids=\
30
add bridge=bridge-LAN tagged=ether1-Wan,ether2-Freebox vlan-ids=100
add bridge=bridge-LAN tagged=bridge-LAN vlan-ids=40
/interface list member
add comment=defconf interface=bridge-LAN list=LAN
add comment=defconf interface=Internet list=WAN
add interface=vlan1 list=LAN
add interface=vlan2 list=LAN
add interface=DMZ list=LAN
add interface=sfp-emergency list=LAN
/ip address
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.4.1/24 interface=sfp-emergency network=192.168.4.0
add address=192.168.2.1/24 interface=vlan2 network=192.168.2.0
add address=192.168.3.1/24 interface=DMZ network=192.168.3.0
/ip dhcp-client
add comment=defconf interface=Internet
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.28 gateway=\
192.168.1.1 netmask=24
add address=192.168.2.0/24 dns-server=212.27.40.240,212.27.40.241 gateway=\
192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input in-interface-list=LAN protocol=icmp
add action=drop chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward dst-address=192.168.0.0/16 src-address=\
192.168.0.0/16
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 route
add disabled=no dst-address=::/0 gateway=fe80::f6ca:e5ff:fe57:f820%Internet \
routing-table=main
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh address=192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24,192.168.4.0/24
set api-ssl disabled=yes
/ip ssh
set forwarding-enabled=local
/ipv6 address
add address=2a01::1::1 interface=vlan1
add address=2a01::2::1 interface=vlan2
add address=2a01::3::1 interface=DMZ
/ipv6 dhcp-server
add address-pool="" dhcp-option=dnssrv interface=vlan1 lease-time=8h name=\
Ipv6Vlan1
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward dst-address=2a01:::xx3::2/128 dst-port=\
443 in-interface=Internet out-interface=DMZ protocol=tcp
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/ipv6 nd
set [ find default=yes ] dns=2a01:::::28 hop-limit=64 interface=\
vlan1 ra-preference=high
add advertise-dns=no interface=vlan2
add advertise-dns=no hop-limit=64 interface=DMZ
/system clock
set time-zone-name=Europe/Paris
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set filter-interface=ether8-Salon
Je vous remercie par avance pour votre aide, car ca fait plusieurs jours que je cherche en vain. Je prends aussi toute autre remarque.
Cordialement,
-
Il y a eu une discussion sur un sujet voisin ici: https://lafibre.info/remplacer-freebox/freebox-revolution-en-mode-bridge-perte-de-connexion-internet/ (https://lafibre.info/remplacer-freebox/freebox-revolution-en-mode-bridge-perte-de-connexion-internet/)
-
Bonjour Fansat70,
Et merci pour ta réponse. Mais je ne suis a priori pas dans ce cas, je m'explique :
- Internet fonctionne parfaitement
- La TV en utilisant Oqee sur Applet TV, IPhone et Ipad fonctionne aussi parfaitement.
Le souci n'est présent que sur les flux TV destinés au Freebox player (révolution), et le souci est : l'apparition de freezes, dès que le freebox player est connecté au travers du Mikrotik (rb5009).
J'ai essayé en remplaçant le RB5009 par un rb3011 et même sanction. Les vlans me semblent, correctement paramétrés (vlan untagged + dhcp, vlan 100 tagged), je ne vois d'erreurs sur aucun port du mikrotik.
Ça ressemble à un souci de mtu, mais je ne trouve pas d'infos à ce sujet. Ou sans doute une erreur de configuration de ma part, mais franchement, je ne trouve pas.
J'ai aussi remplacé le Mikrotik par un simple switch HP, avec les vlans configuré de la même façon et aucun problème.
C'est pourquoi je sollicite l'aide des personnes du forum.
Cordialement,
-
Bonjour Fansat70,
Et merci pour ta réponse. Mais je ne suis a priori pas dans ce cas, je m'explique :
- Internet fonctionne parfaitement
- La TV en utilisant Oqee sur Applet TV, IPhone et Ipad fonctionne aussi parfaitement.
Le souci n'est présent que sur les flux TV destinés au Freebox player (révolution), et le souci est : l'apparition de freezes, dès que le freebox player est connecté au travers du Mikrotik (rb5009).
J'ai essayé en remplaçant le RB5009 par un rb3011 et même sanction. Les vlans me semblent, correctement paramétrés (vlan untagged + dhcp, vlan 100 tagged), je ne vois d'erreurs sur aucun port du mikrotik.
Ça ressemble à un souci de mtu, mais je ne trouve pas d'infos à ce sujet. Ou sans doute une erreur de configuration de ma part, mais franchement, je ne trouve pas.
J'ai aussi remplacé le Mikrotik par un simple switch HP, avec les vlans configuré de la même façon et aucun problème.
C'est pourquoi je sollicite l'aide des personnes du forum.
Cordialement,
Pas expert RouterOs, mais dans le lien fourni, il me semblait que le player était sur un subnet différent du subnet "standard" (voir côté DHCP?). Par ailleurs, pas de "douceurs", genre IGMP V2 ou V3 ou Network Storm Detection agressif?
-
@Fansat70
Oui, je sais, pour le subnet différent, c'est le fameux VLAN 100, mais d'après ce que j'ai compris, le Mikrotik dois juste le laisser passer et ne pas interférer. D'ailleurs le freebox player se connecte bien au Freebox server.
Je penche aussi pour un souci genre mtu, IGMP ou antiflood, mais je dois dire que pour les deux derniers (sur Cisco et HP aucuns soucis) sur le Mikrotik, je manque d'expérience, d'où le fait que je demande de l'aide.
C'est la raison pour laquelle j'ai posté toute ma conf dans un de mes messages precédent.
Je suis quasi certain que c'est juste "une vis" à tourner, mais je ne trouve pas laquelle.
Merci pour ton aide
-
Je dirais que le multicast n'est pas traité comme tel et flood le CPU.
IGMP est bien activé ? Pour être honnête, Multicast sur Mikrotik c'est rarement une réussite.
-
Merci Hugues,
Je vais regarder ce que j'ai configuré pour l'IGMP (ce sont les paramètres par défaut).
Par contre, le CPU lui ne dépasse jamais les 30%.
Merci a tous
-
J'ai essayé en remplaçant le RB5009 par un rb3011 et même sanction. Les vlans me semblent, correctement paramétrés (vlan untagged + dhcp, vlan 100 tagged), je ne vois d'erreurs sur aucun port du mikrotik.
Y a d'autres infos dans le fils donné : il faut une IP full stack pour que le Mikrotik s'en sorte bien (ça concerne pas ton pb de télé). Et le vlan 100 a deux pattes : dont une coté wan, Et je pense pas dans le même "bridge-LAN" que le reste de ton réseau local ? En gros t'as deux prises coté WAN : une pour internet à router, l'autre pour la téloche à bridger entre wan et lan + filtrer. Bon j'ai pas de Revolution sous la main juste une Pop et en plus j'utilise pas le Player...
https://lafibre.info/remplacer-freebox/freebox-revolution-en-mode-bridge-perte-de-connexion-internet/msg953060/#msg953060
Je ne remets plus la main sur le tuto, mais dans les grandes lignes :
- Créer deux interfaces VLAN, une sur le WAN, une autre le LAN, avec le TAG VLAN100 et associées aux interfaces physiques. Ce sont des interfaces virtuelles
- Créer un Bridge entre les deux interfaces virtuelles
- Créer les règles du firewall pour laisser passer tout le trafic entrant côté LAN, et j'ai fait pareil sur le WAN, en limitant sur le réseau 192.168.27.0/24
Je crois que c'est tout...
-
Bonjour à tous,
Déjà merci pour votre retour qui m'avait permis de résoudre mon souci, la solution était de faire un nouveau bridge.... et non d'utiliser le bridge principal. Maintenant après plusieurs mois de soucis (débit anémique le soir dans le bas-rhin) chez free, je suis reparti chez Orange.
J'ai donc relu tous les différents tutos et j'ai réussi à faire une configuration qui marche plutôt bien (et qui intègre toutes les dernières informations COS6 sur arp et ICMPV6 NA/NS).
Par contre, je suis coincé avec deux bridges, un pour le lan (hardware offloadé, car utilisations de vlans) et un pour le wan (non offloadé car sur le rb5009 seulement le premier bridge bénéficie de l'offload).
J'ai essayé en vain de faire avec un seul bridge, mais dans ce cas-là, la COS6 n'est jamais appliqué (les bridge filter rules ne matchent jamais).
Alors, je me permets de poster ma config ci-dessous afin de vous demander votre avis et si on ne peut pas faire mieux. Car le souci avec cette configuration c'est que le CPU en prends plein la tete... et j'aimerai peut-etre bien à terme switcher sur un abonnement à 2Gbits (j'ai du 500/500 pour le moment).
# dec/03/2022 14:17:23 by RouterOS 7.6
# software id = NYZZ-0FRB
#
# model = RB5009UPr+S+
# serial number =
/caps-man channel
add band=2ghz-b/g/n frequency=2412 name=CH1
add band=2ghz-b/g/n frequency=2417 name=CH2
add band=2ghz-b/g/n frequency=2422 name=CH3
add band=2ghz-b/g/n frequency=2427 name=CH4
add band=2ghz-b/g/n frequency=2432 name=CH5
add band=2ghz-b/g/n frequency=2437 name=CH6
add band=2ghz-b/g/n frequency=2442 name=CH7
add band=2ghz-b/g/n frequency=2447 name=CH8
add band=2ghz-b/g/n frequency=2452 name=CH9
add band=2ghz-b/g/n frequency=2457 name=CH10
add band=2ghz-b/g/n frequency=2462 name=CH11
add band=2ghz-b/g/n frequency=2467 name=CH12
add band=2ghz-b/g/n frequency=2472 name=CH13
add band=5ghz-a/n/ac frequency=5180 name=CH36
add band=5ghz-a/n/ac frequency=5200 name=CH40
add band=5ghz-a/n/ac frequency=5220 name=CH44
add band=5ghz-a/n/ac frequency=5240 name=CH48
add band=5ghz-a/n/ac frequency=5260 name=CH52
add band=5ghz-a/n/ac frequency=5280 name=CH56
add band=5ghz-a/n/ac frequency=5300 name=CH60
add band=5ghz-a/n/ac frequency=5320 name=CH64
add band=5ghz-a/n/ac frequency=5500 name=CH100
add band=5ghz-a/n/ac frequency=5520 name=CH104
add band=5ghz-a/n/ac frequency=5540 name=CH108
add band=5ghz-a/n/ac frequency=5560 name=CH112
add band=5ghz-a/n/ac frequency=5580 name=CH116
add band=5ghz-a/n/ac frequency=5600 name=CH120
add band=5ghz-a/n/ac frequency=5620 name=CH124
add band=5ghz-a/n/ac frequency=5640 name=CH128
add band=5ghz-a/n/ac frequency=5660 name=CH132
add band=5ghz-a/n/ac frequency=5680 name=CH136
add band=5ghz-a/n/ac frequency=5700 name=CH140
add band=5ghz-a/n/ac frequency=5160 name=CH32
add band=5ghz-a/n/ac frequency=5340 name=CH68
add band=5ghz-a/n/ac frequency=5480 name=CH96
add band=5ghz-n/ac extension-channel=eeeC frequency=5500,5520,5540,5560 name=\
CH106
/interface bridge
add frame-types=admit-only-vlan-tagged ingress-filtering=no name=bridge-LAN \
protocol-mode=none vlan-filtering=yes
add name=bridge-wan protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] poe-out=off
set [ find default-name=ether2 ] name=ether2-Livebox poe-out=off
set [ find default-name=ether3 ] name=ether3-Garage
set [ find default-name=ether4 ] name=ether4-PI
set [ find default-name=ether5 ] name=ether5-AP poe-out=off
set [ find default-name=ether6 ] name=ether6-Bureau poe-out=off
set [ find default-name=ether7 ] name=ether7-Cave
set [ find default-name=ether8 ] name=ether8-Salon
set [ find default-name=sfp-sfpplus1 ] advertise=\
100M-half,100M-full,1000M-half,1000M-full name=sfp-wan
/interface vlan
add interface=bridge-LAN name=DMZ vlan-id=30
add interface=bridge-LAN name=vlan-tv vlan-id=40
add interface=bridge-LAN name=vlan1 vlan-id=10
add interface=bridge-LAN name=vlan2 vlan-id=2
add interface=ether2-Livebox name=vlan832-livebox vlan-id=832
add interface=sfp-wan name=vlan832-wan vlan-id=832
add arp=disabled interface=sfp-wan loop-protect=off name=vlan840-wan vlan-id=\
840
/caps-man datapath
add bridge=bridge-LAN name=datapath_vlan2 vlan-id=2 vlan-mode=use-tag
add bridge=bridge-LAN name=datapath_vlan10 vlan-id=10 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=nonolk
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=Iot
/caps-man configuration
add channel=CH6 channel.band=2ghz-g/n .extension-channel=disabled country=\
france datapath=datapath_vlan2 datapath.local-forwarding=no mode=ap name=\
Iot security=Iot ssid=xxx
add channel=CH106 channel.band=5ghz-n/ac country=france datapath=\
datapath_vlan10 mode=ap name=xxx security=xxx ssid=xxx
add datapath=datapath_vlan10 name=xxx security=xxx ssid=xxx
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=Orange_TV
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=class-identifier value="'sagem'"
add code=77 name=userclass value=\
"'+FSVDSL_livebox.Internet.softathome.Livebox5'"
add code=90 name=authsend value="chaine longue"
/ip dhcp-server option
add code=120 name=SIP value="0x00067362637433670353545206616363657373116F72616\
E67652D6D756C74696D65646961036E657400"
add code=119 name=domain-search value=\
0x0353545206616363657373116f72616e67652d6d756c74696d65646961036e657400
add code=125 name=VendorSPecific value=0x000005580c010a0001000000ffffffffff
add code=90 name=authsend value=\
0x000000000000000000000064
add code=125 name=authtv value="Livebox5based"
/ip pool
add name=pool-lan ranges=192.168.1.100-192.168.1.200
add name=pool-IOT ranges=192.168.2.100-192.168.2.200
add name=pool-livebox ranges=192.168.4.10-192.168.4.20
add name=poot-tv ranges=192.168.42.10-192.168.42.19
/ip dhcp-server
add add-arp=yes address-pool=pool-lan interface=vlan1 lease-time=8h name=Lan
add add-arp=yes address-pool=pool-IOT interface=vlan2 lease-time=8h name=IOT
add add-arp=yes address-pool=pool-livebox interface=vlan832-livebox \
lease-time=8h name=Livebox
add address-pool=poot-tv interface=vlan-tv lease-time=8h name=TV \
use-framed-as-classless=no
/ipv6 dhcp-client option
add code=16 name="class-identifer " value=0x0000040e0005736167656d
add code=11 name=authsend value="chaine longue"
add code=15 name=userclass value="bla bla"
/ipv6 dhcp-server option
add code=23 name=dnssrv value=0x2a01cbxxxx
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=Iot name-format=prefix \
name-prefix=garage_24_ radio-mac=xxx slave-configurations=\
xxx
add action=create-dynamic-enabled master-configuration=xx \
name-format=prefix name-prefix=garage_5_ radio-mac=xxx
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp \
mac-protocol=ip new-priority=6 out-interface=vlan832-wan passthrough=yes
add action=set-priority chain=output dst-port=547 ip-protocol=udp \
mac-protocol=ipv6 new-priority=6 out-interface=vlan832-wan
add action=set-priority chain=output mac-protocol=arp new-priority=6 \
out-interface=vlan832-wan passthrough=yes
add action=set-priority chain=output comment=NA/NS mac-protocol=ipv6 \
new-priority=6 out-interface=vlan832-wan packet-mark=na/ns passthrough=\
yes
/interface bridge port
add bridge=bridge-LAN comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether5-AP pvid=10
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
interface=ether6-Bureau
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
interface=ether7-Cave
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
interface=ether8-Salon
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
interface=ether4-PI pvid=10
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
interface=ether3-Garage pvid=10
add bridge=bridge-wan interface=vlan832-wan
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge-LAN tagged=\
bridge-LAN,ether8-Salon,ether7-Cave,ether6-Bureau vlan-ids=10
add bridge=bridge-LAN tagged=\
bridge-LAN,ether6-Bureau,ether7-Cave,ether8-Salon vlan-ids=2
add bridge=bridge-LAN tagged=\
ether6-Bureau,ether7-Cave,ether8-Salon,bridge-LAN vlan-ids=30
add bridge=bridge-LAN tagged=ether8-Salon,bridge-LAN vlan-ids=40
add bridge=bridge-LAN tagged=sfp-wan,bridge-LAN vlan-ids=832
add bridge=bridge-LAN tagged=bridge-LAN,sfp-wan vlan-ids=840
/interface list member
add comment=defconf interface=bridge-LAN list=LAN
add interface=vlan1 list=LAN
add interface=vlan2 list=LAN
add interface=DMZ list=LAN
add interface=ether2-Livebox list=LAN
add interface=vlan-tv list=Orange_TV
add interface=vlan840-wan list=Orange_TV
add interface=bridge-wan list=WAN
/ip address
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.2.1/24 interface=vlan2 network=192.168.2.0
add address=192.168.3.1/24 interface=DMZ network=192.168.3.0
add address=192.168.4.1/24 interface=vlan832-livebox network=192.168.4.0
add address=192.168.255.254 comment="TV Orange" interface=vlan840-wan \
network=192.168.255.254
add address=192.168.42.1/24 interface=vlan-tv network=192.168.42.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,class-identifier,userclass \
interface=bridge-wan use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=\
192.168.1.1 netmask=24
add address=192.168.2.0/24 dns-server=80.10.246.5,81.253.149.13 gateway=\
192.168.2.1 netmask=24
add address=192.168.4.0/24 dhcp-option=\
authsend,SIP,domain-search,VendorSPecific dns-server=\
80.10.246.5,81.253.149.13 gateway=192.168.4.1 netmask=24
add address=192.168.42.0/24 dhcp-option=authtv,domain-search dns-server=\
80.10.246.5,81.253.149.13 gateway=192.168.42.1 netmask=24
/ip dns
set allow-remote-requests=yes use-doh-server=https://dns.nextdns.io/ \
verify-doh-cert=yes
/ip dns static
add address=45.90.30.0 name=dns.nextdns.io
add address=2a07:a8c0:: name=dns.nextdns.io type=AAAA
add address=2a07:a8c1:: name=dns.nextdns.io type=AAAA
add address=45.90.28.0 name=dns.nextdns.io
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input dst-port=53 protocol=udp src-address=\
192.168.3.2
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input in-interface-list=LAN protocol=icmp
add action=drop chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow multicast TV Orange" dst-port=\
8200,8202 in-interface=vlan840-wan protocol=udp
add action=accept chain=input comment="Service Orange TV" dst-port=5678 \
in-interface-list=Orange_TV protocol=udp
add action=accept chain=input comment="Allow IGMP for Orange TV" \
in-interface-list=Orange_TV protocol=igmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN log-prefix=debug
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="DNS/NTP pour le decodeur TV Orange" \
dst-port=53,123,5000 in-interface=vlan-tv out-interface=bridge-wan \
protocol=udp
add action=accept chain=forward comment="HTTP/S pour le decodeur TV Orange" \
dst-port=80,443,8554 in-interface=vlan-tv out-interface=bridge-wan \
protocol=tcp
add action=accept chain=forward comment="TV Orange" dst-port=8200,8202 \
in-interface=vlan840-wan out-interface=vlan-tv protocol=udp
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward dst-address=192.168.0.0/16 src-address=\
192.168.0.0/16
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=output new-priority=5 out-interface=vlan840-wan \
passthrough=yes src-address-type=local
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set sip disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=xxx/64,192.168.1.0/24,192.168.4.0/24
set ssh address=xxx/64,192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24,xxxx/64,192.168.4.0/24
set api-ssl disabled=yes
/ip ssh
set forwarding-enabled=local
/ipv6 address
add address=::1 from-pool=pool_FT_6 interface=vlan1
add address=::1 from-pool=pool_FT_6 interface=vlan2
add address=::1 from-pool=pool_FT_6 interface=DMZ
/ipv6 dhcp-client
add add-default-route=yes dhcp-options="authsend,userclass,class-identifer " \
dhcp-options="authsend,userclass,class-identifer " interface=bridge-wan \
pool-name=pool_FT_6 rapid-commit=no request=prefix use-peer-dns=no
/ipv6 dhcp-server
add address-pool="" dhcp-option=dnssrv interface=vlan1 lease-time=8h name=\
Ip6vlan1
/ipv6 firewall address-list
add address=fe80::/10 comment="defconf: RFC6890 Linked-Scoped Unicast" list=\
no_forward_ipv6
add address=ff00::/8 comment="defconf: multicast" list=no_forward_ipv6
add address=::1/128 comment="defconf: RFC6890 lo" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: RFC6890 IPv4 mapped" list=\
bad_ipv6
add address=2001::/23 comment="defconf: RFC6890" list=bad_ipv6
add address=2001:db8::/32 comment="defconf: RFC6890 documentation" list=\
bad_ipv6
add address=2001:10::/28 comment="defconf: RFC6890 orchid" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: RFC6890 Discard-only" list=\
not_global_ipv6
add address=2001::/32 comment="defconf: RFC6890 TEREDO" list=not_global_ipv6
add address=2001:2::/48 comment="defconf: RFC6890 Benchmark" list=\
not_global_ipv6
add address=fc00::/7 comment="defconf: RFC6890 Unique-Local" list=\
not_global_ipv6
add address=::/128 comment="defconf: unspecified" list=bad_dst_ipv6
add address=ff00::/8 comment="defconf: multicast" list=bad_src_ipv6
add address=2a01:xxx::/64 comment="Internal Vlan1" list=\
internal_lan
add address=2a01:xxx::/64 comment="Internal Vlan2" list=\
internal_lan
add address=2a01:xxx::/64 comment="Internal DMZ" list=internal_lan
/ipv6 firewall filter
add action=accept chain=input dst-port=546 in-interface=bridge-wan protocol=\
udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/16
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment="defconf: drop bad forward IPs" \
src-address-list=no_forward_ipv6
add action=drop chain=forward comment="defconf: drop bad forward IPs" \
dst-address-list=no_forward_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="Allow ssh access from Vlan1 to DMZ" \
dst-port=22 in-interface=vlan1 out-interface=DMZ protocol=tcp src-port=""
add action=drop chain=forward comment="Block interVLAN to Vlan1" \
out-interface=vlan1 src-address-list=internal_lan
add action=drop chain=forward comment="Block interVLAN to Vlan2" \
out-interface=vlan2 src-address-list=internal_lan
add action=drop chain=forward comment="Block interVLAN to DMZ" out-interface=\
DMZ src-address-list=internal_lan
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/ipv6 firewall mangle
add action=mark-packet chain=output comment="Neighbor Solicitation NS" \
icmp-options=135:0-255 new-packet-mark=na/ns out-interface=bridge-wan \
passthrough=no protocol=icmpv6
add action=mark-packet chain=output comment="Neighbor Advertisement NA" \
icmp-options=136:0-255 new-packet-mark=na/ns out-interface=bridge-wan \
passthrough=no protocol=icmpv6
/ipv6 firewall raw
add action=accept chain=prerouting comment=\
"defconf: enable for transparent firewall" disabled=yes
add action=accept chain=prerouting comment="defconf: RFC4291, section 2.7.1" \
dst-address=ff02::1:ff00:0/104 icmp-options=135 protocol=icmpv6 \
src-address=::/128
add action=drop chain=prerouting comment="defconf: drop bogon IP's" \
src-address-list=bad_ipv6
add action=drop chain=prerouting comment="defconf: drop bogon IP's" \
dst-address-list=bad_ipv6
add action=drop chain=prerouting comment=\
"defconf: drop packets with bad SRC ipv6" src-address-list=bad_src_ipv6
add action=drop chain=prerouting comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_dst_ipv6
add action=drop chain=prerouting comment="defconf: drop non global from WAN" \
in-interface-list=WAN src-address-list=not_global_ipv6
add action=accept chain=prerouting comment=\
"defconf: accept local multicast scope" dst-address=ff02::/16
add action=drop chain=prerouting comment=\
"defconf: drop other multicast destinations" dst-address=ff00::/8
add action=accept chain=prerouting comment=\
"defconf: accept everything else from WAN" in-interface-list=WAN
add action=accept chain=prerouting comment=\
"defconf: accept everything else from LAN" in-interface-list=LAN
add action=drop chain=prerouting comment="defconf: drop the rest"
/ipv6 nd
set [ find default=yes ] advertise-dns=no dns=2a01:xxx::1 \
hop-limit=64 interface=vlan1 other-configuration=yes ra-interval=6s-15s
add advertise-dns=no interface=vlan2
add advertise-dns=no interface=DMZ
/ipv6 nd prefix default
set preferred-lifetime=30m valid-lifetime=1h
/routing igmp-proxy interface
add alternative-subnets=193.0.0.0/8,81.0.0.0/8,172.0.0.0/8,80.0.0.0/8 \
interface=vlan840-wan upstream=yes
add interface=vlan-tv
/system clock
set time-zone-name=Europe/Paris
/system ntp client
set enabled=yes
/system ntp client servers
add address=5.196.160.139
add address=212.85.158.10
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set filter-interface=bridge-LAN filter-ip-protocol=udp
Merci par avance de vos retours.
-
Hello,
est ce que ce routeur est toujours interessant ?
Sur la papier il fait bien envie...
Les SFP+ est OK pour sync HGSMII 2.5gbps avec un ONU-34-20BI pour une connection Orange ? :-X
Ça serait pour coupler avec un switch CRS 305.
Merci à vous.
-
Par contre, je suis coincé avec deux bridges, un pour le lan (hardware offloadé, car utilisations de vlans) et un pour le wan (non offloadé car sur le rb5009 seulement le premier bridge bénéficie de l'offload).
J'ai essayé en vain de faire avec un seul bridge, mais dans ce cas-là, la COS6 n'est jamais appliqué (les bridge filter rules ne matchent jamais).
Entre ton LAN et Internet c'est le routage qui va fonctionner et là tu as une regle de fastpath que tu sembles avoir :
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
et normalement tu dois voir les compteurs monter
par contre si le flux redescend via l'interface WAN qui va dans un bridge filter non offloadé c'est mort.
Et le trafic IPv6 ne sera pas offloadé non plus.
Ca veut juste dire que c'est pas le bon routeur pour ce FAI. Le RB5009 est bien pour être coller au cul d'une freebox en bridge par ex. Ou d'un FAI qui ne bidouille pas des champs exotiques des en-têtes ethernet.
Apres tu peux faire le choix de virer les VLANS et leur gestion et de garder une règle pour envoyer le trafic "DMZ" sur une machine ou un range. Et tu consacres le seul bridge offloadé au tripotage imposé par l'agrume. Goodies tu pourras même ajouter une regle d'hairpin sur ton dmz.
Ou creer plusieurs bridges à partir des interfaces et router entre eux sans tag vlan. Genre bridge 1 port eth 1 et 2, bridge 2 port eth 5 et 6... et les pool dhcp associés aux interfaces bridge 1 et bridge 2 etc. Et ca sera étanche entre les bridges qui seront routé à l'ancienne et mettre les règles de firewall.
-
@Fyr, merci pour ton retour ça confirme mon avis, du coup pour le moment avec mon abo 500/500 ça tiens sans trop de soucis: 30% de cpu en pleine charge. En extrapolant ça devrait aussi tenir pour du giga, par contre pour du 2Gbits ça risque d’être un peu juste…
Et dans ce cas là le coupler avec un CRS305 avec un dac pour faire le marquage de la cos6 semble être une très bonne idée.
Car cela permet de se passer du deuxième bridge…. @ochbob du coup dans ton cas ça devrait le faire oui, c’est la solution vers la quelle je vais me tourner je pense.
Si d’autres ont un autre point vue ? J’aimerais bien avoir leurs avis.
Bon dimanche
-
nonolk, dans ton cas tu essayais de tagguer en CoS 6 les requîtes DHCP via le RB5009 directement si je comprends bien ton installation ?
Et du coup face aux diffcultés, tu pense te rabattre sur le CRS305 pour lui déléguer cette tache ?
Ton ONU resterait dans dans le RB5009 ?
FIBRE > ONU > RB5009 > CRS3005 > LAN ?
-
@ochbob, non je ferai ça comme cela:
Fibre > ONU > CRS305 > rb5009
En reliant le CRS305 et rb5009 avec un câble dac…
Si je pense aller vers cette solution, c’est juste car j’ai peur que le cpu du rb5009 ne tienne pas le 2gb, mais aucuns soucis pour faire la cos6, ça ça marche.
Bon dimanche
-
@ochbob, non je ferai ça comme cela:
Fibre > ONU > CRS305 > rb5009
En reliant le CRS305 et rb5009 avec un câble dac…
Si je pense aller vers cette solution, c’est juste car j’ai peur que le cpu du rb5009 ne tienne pas le 2gb, mais aucuns soucis pour faire la cos6, ça ça marche.
Bon dimanche
Bonjour,
J'ai cette configuration et cela fonctionne très bien cpu a 20% sur le down et 10% sur le Up.
(https://www.speedtest.net/result/d/1e45ddac-16c2-4c07-949f-92a25f1de1bb.png)
J'ai aussi essayé la full config sur le 5009 cpu a 50% avec un seul bridge a 2.5gb, mais étant aussi dans une config avec vlan j'ai opté pour un CRS305 pour faire les COS.
-
si j'ai bien compris l'idée c'est l'inverse
fibre > onu > crs305 > rb5009 > lan
-
Ca veut juste dire que c'est pas le bon routeur pour ce FAI. Le RB5009 est bien pour être coller au cul d'une freebox en bridge par ex. Ou d'un FAI qui ne bidouille pas des champs exotiques des en-têtes ethernet.
Ou alors vu la capa du cpu, c’est pas grave si c’est pas offload
-
Ou alors vu la capa du cpu, c’est pas grave si c’est pas offload
C'est à ce monsieur ci dessous qu'il faut répondre.
[...] le souci avec cette configuration c'est que le CPU en prends plein la tete... et j'aimerai peut-etre bien à terme switcher sur un abonnement à 2Gbits (j'ai du 500/500 pour le moment).
-
@Hugues, je penses que tu as sûrement raison. Car j’ai oublié un point important, la fréquence dynamique du cpu, en effet en charge le cpu est à 30%, mais à 350Mhz….
La fréquence nominale est 1400Mhz, donc ça devrait en effet laisser de la marge…
-
Pour le moment ni l'un ni l'autre, juste en LAB,
J'ai mon switch 10g pour tag la cos6, donc je me prends plus trop la tête sur cette aspect la.
Je ferais probablement un test en conditions réelles prochainement
quel switch 10G tu utilises pour faire du DSCP?
-
[...] Car j’ai oublié un point important, la fréquence dynamique du cpu, en effet en charge le cpu est à 30%, mais à 350Mhz….
La fréquence nominale est 1400Mhz, donc ça devrait en effet laisser de la marge…
ca se supervise ... genre un observium... et avec peu de traffic la freq évolue vite up and down.
-
Bonjour,
Je rencontre des soucis en utilisant le module GPON de fs.com sur mon RB5009.
Lorsque je reboot le routeur, le module lui ne semble pas redémarrer, résultat, ma connexion internet est "buggué" (ping 1700ms, 30Mbps en down 1Mbps en up au lieu de 500).
Sur le module j'ai le message suivi :
[ 118.952000] [onu] gpe_tod_sync_set [3259] : param->multiframe_count > ONU_TOD_SFRAME_CNT_MAXPour réglé ce problème il me suffit de reboot le module (ou le débrancher/rebrancher)
Y-a-t-il un moyen de forcer le redémarrage du module SFP lorsque le routeur redémarre ?
Merci d'avance :)
-
Comment fais-tu pour reboot le module sans le débrancher/rebrancher ?
Eteindre et rallumer l'interface suffit, ou est-ce qu'il te faut une autre commande ?
-
Comment fais-tu pour reboot le module sans le débrancher/rebrancher ?
Eteindre et rallumer l'interface suffit, ou est-ce qu'il te faut une autre commande ?
Je me connecte en ssh dessus et je fais un reboot (le module GPON fs.com login: ONTUSER pwd: 7sp!lwUBz1)
Et non désactiver et réactiver (même en attendant 1 minute) depuis l'interface de routerOS ne suffit pas (je ne pense pas que ça coupe l'alimentation de la cage SFP)
Depuis routerOS je n'ai aucun moyen de refaire fonctionner ma connexion, donc à chaque redémarrage du router je dois intervenir manuellement :/
-
Okay. Tu as un vrai shell sur l'ONU ? C'est un busybox ?
Je vois deux solutions :
- utiliser /etc/rc.local sur routerOS pour automatiser le reboot de l'ONU en ssh,
- faire tourner un script à l'ONU qui le fait redémarrer lorsqu'il détecte une perte de lien avec le routeur (ou, plus simplement, lorsque "param->multiframe_count > ONU_TOD_SFRAME_CNT_MAX" apparait dans les logs, si c'est vraiment ca qui créée le souci)
-
Okay. Tu as un vrai shell sur l'ONU ? C'est un busybox ?
Je vois deux solutions :
- utiliser /etc/rc.local sur routerOS pour automatiser le reboot de l'ONU en ssh,
- faire tourner un script à l'ONU qui le fait redémarrer lorsqu'il détecte une perte de lien avec le routeur (ou, plus simplement, lorsque "param->multiframe_count > ONU_TOD_SFRAME_CNT_MAX" apparait dans les logs, si c'est vraiment ca qui créée le souci)
BusyBox.
Ok je vois, il n'y a pas de conf prévu pour que lors du reboot software routerOS, stop l'alimentation de la cage SFP. Dommage :/
Je vais bidouiller un script ;)
Merci ;)
EDIT:
J'ai posé la question au support de fs.com pour savoir s'il n'y a rien de prévu pour reboot le module dans ce genre de cas, j'attend leur réponse :)
-
> Ok je vois, il n'y a pas de conf prévu pour que lors du reboot software routerOS, stop l'alimentation de la cage SFP. Dommage :/
J'en sais rien du tout, je n'ai pas de Mikrotik... ca serait une bonne solution, en effet. Ou une commande de reboot par le bus i2c de la cage SFP?
-
> Ok je vois, il n'y a pas de conf prévu pour que lors du reboot software routerOS, stop l'alimentation de la cage SFP. Dommage :/
J'en sais rien du tout, je n'ai pas de Mikrotik... ca serait une bonne solution, en effet. Ou une commande de reboot par le bus i2c de la cage SFP?
Ok je vais aller poser des questions sur les forums mikrotik :D. Je ne pense pas qu'on puisse envoyer des instructions via le bus i2c depuis routerOS :/
-
Bonjour,
J’utilise à ce jour un routeur asus avec vpnfusion qui me permet de router certains de mes appareils via Surfshark mon vpn et je trouve ça hyper pratique pour par exemple laisser mon Apple TV sans vpn et ne plus être bloqué sur certaines appli genre Netflix et Disney+.
Est-ce que le rb5009 pourrais me permettre d’en faire autant avec mon vpn ?
Merci
-
Bonjour,
J’utilise à ce jour un routeur asus avec vpnfusion qui me permet de router certains de mes appareils via Surfshark mon vpn et je trouve ça hyper pratique pour par exemple laisser mon Apple TV sans vpn et ne plus être bloqué sur certaines appli genre Netflix et Disney+.
Est-ce que le rb5009 pourrais me permettre d’en faire autant avec mon vpn ?
Merci
Bonjour,
D'après le site de Surfshark, les protocoles suivants sont proposés :
- WireGuard
- IKEv2/IPsec
- OpenVPN UDP / TCP
RouterOS supporte ces 3 protocoles, il ne devrait donc pas y avoir de contre-indication à utiliser Surfshark sur un RB5009.
Mais, si le routeur Asus donne satisfaction, pourquoi changer ? Un RB5009 nécessite d'être configuré et est peut-être moins intuitif.
Je glisse ça là au besoin : https://support.surfshark.com/hc/en-us/sections/4417059333010-Routers
edit : ajout du lien
-
Bonjour,
Mais, si le routeur Asus donne satisfaction, pourquoi changer ? Un RB5009 nécessite d'être configuré et est peut-être moins intuitif.
Merci pour ta réponse rapide. En fait mon routeur asus n’a qu’un seul port wan 2,5gb et je trouve trop léger pour mon réseau. Je pouvais pouvoir agrandir ce goulot d’étranglement.
Je m’y connais un peu mais effectivement je ne m’embarquerais pas dans des configs complexes.
-
Merci pour ta réponse rapide. En fait mon routeur asus n’a qu’un seul port wan 2,5gb et je trouve trop léger pour mon réseau. Je pouvais pouvoir agrandir ce goulot d’étranglement.
Je m’y connais un peu mais effectivement je ne m’embarquerais pas dans des configs complexes.
Le RB5009 ne possède qu'un seul port RJ45 en 2,5Gb et sauf à utiliser le SFP+ en complément, le "goulot d'étranglement" restera le même ???
Le routeur Asus ne permet pas d'atteindre 2Gb ?
Quel est l'objectif de le remplacer ? Avoir 2Gb sur chacun des appareils connectés au routeur ?
-
Le RB5009 ne possède qu'un seul port RJ45 en 2,5Gb et sauf à utiliser le SFP+ en complément, le "goulot d'étranglement" restera le même ???
Le routeur Asus ne permet pas d'atteindre 2Gb ?
Quel est l'objectif de le remplacer ? Avoir 2Gb sur chacun des appareils connectés au routeur ?
Ok je vois peut-être grand mais j’anticipe l’avenir, lol
Jai un switch avec cage sfp+ qui aimerait bien trouver son mâle >:(
En fait, c’est peut-être idiot mais j’aimerais pouvoir apporter au minima du 2,5 à mon switch… ( routeur nas derrière, différents pc et appareils connectés.
-
Ah oui, dans ce cas, ça a plus de sens.
-
Ah oui, dans ce cas, ça a plus de sens.
Merci de m’avoir répondu en tt cas.
Sur le fond de ma question, sais-tu si avec ce routeur Mikrotik je peux créer un tunnel avec mon vpn Surfshark et y exclure certaines Ip d’appareils pour qu’il passent sans le vpn ?
-
Oui, la configuration d'un Mikrotik sous ses airs austères est particulièrement complète.
-
Hello,
quelqu'un a déjà testé le kit 1U pour 5009 ?
Si oui, test fait dans une baie 10" ? Ça rentre ?
D'après mes calculs oui, mais je voulais un retour d'expérience.
Merci
-
J’avais fait les mesures également et je pensais que ça logeait. En fait, il est un poil trop large.
Comme on peut le voir sur la photo, il est plus large que l’étagère en dessous. J’ai donc dû meuler les montants de l’armoire pour que ça rentre (environ 2mm de chaque côté) et là ça passe bien.
-
J’avais fait les mesures également et je pensais que ça logeait. En fait, il est un poil trop large.
Comme on peut le voir sur la photo, il est plus large que l’étagère en dessous. J’ai donc dû meuler les montants de l’armoire pour que ça rentre (environ 2mm de chaque côté) et là ça passe bien.
Merci du retour ;)
dommage à 5mm près ;D
-
C'est clair que c'est dommage. J'ai tout tenté pour le rentrer sans meuleur, mais rien à faire. C'est vraiment le corps du routeur qui est un poil trop large. J'ai cru que mon armoire était mal conçue et n'était pas assez large, mais tous les autres éléments 10' sont parfaitement adaptés.
C'est d'autant plus dommage qu'une fois le RB5009 inséré dans l'armoire, on se rend compte que c'est vraiment la dimension de routeur parfaite pour une armoire 10", les perfs dans un format compact !
-
d’autant plus que la conception inférieure à 10" avec le kit 1u fait clairement penser qu'il est adapté pour une baie 10"
-
Tout à fait ! Les 2 supports du kit K-79 se détachent bien pour former un élément 10'... enfin 10' et un peu plus .... ::)
Cela dit, aucun regret d'avoir meulé les montants, ça se fait bien (si on possède une meuleuse ;D) et après ça l'intégration est bonne, sans forcer et ça ne se voit pas.
-
@ochbob, non je ferai ça comme cela:
Fibre > ONU > CRS305 > rb5009
En reliant le CRS305 et rb5009 avec un câble dac…
Si je pense aller vers cette solution, c’est juste car j’ai peur que le cpu du rb5009 ne tienne pas le 2gb, mais aucuns soucis pour faire la cos6, ça ça marche.
Bon dimanche
Peux tu m'expliquer pourquoi placer un SCR305 et pas faire directement arriver la fibre au RB5009 ?
-
Bonsoir,
Car en faisant arriver la fibre sur le crs305, tu peux utiliser des switch rules pour appliquer la COs6 sur les packets dhcp.
Ce qui te permet d’utiliser qu’un seul bridge sur le rb5009, car seul le 1er bridge est hardware offloader sur le rb5009, et si tu utilises aussi des vlans, il est judicieux de la faire en hardware, donc sur le premier bridge (cela n’est pas le cas sur des routeurs plus haut de gamme). Et donc cela limite la charge cpu…
Cependant, je relativise le problème, car le rb5009 devrait même dans cette configuration tenir sans souci le 2,5Gbs…
En espérant avoir répondu à ta question,
-
pour info, le RB5009 de nouveau dispo chez Azurtem.
En stock : 7 Produits
-
Bonsoir,
Car en faisant arriver la fibre sur le crs305, tu peux utiliser des switch rules pour appliquer la COs6 sur les packets dhcp.
Ce qui te permet d’utiliser qu’un seul bridge sur le rb5009, car seul le 1er bridge est hardware offloader sur le rb5009, et si tu utilises aussi des vlans, il est judicieux de la faire en hardware, donc sur le premier bridge (cela n’est pas le cas sur des routeurs plus haut de gamme). Et donc cela limite la charge cpu…
Cependant, je relativise le problème, car le rb5009 devrait même dans cette configuration tenir sans souci le 2,5Gbs…
En espérant avoir répondu à ta question,
Si je comprends bien :
Le CRS305 est utilisé pour faire baisser la charge du CPU du routeur mais ce n'est pas indispensable, le RB5009 gère le COS6 et le HGSMII.
Des routeurs plus haut de gamme comme le CCR2004 peuvent faire du hardware offloader sur plusieurs bridges.
Tu penses qu'avec cette config il est possible de faire fonctionner la TV ?
Pour mon ONT je me tâte à commander le LXT-010H-D mais il n'est plus disponible en ce moment, en alternative il y a le VSOL V2802RH avec un port TV intégré, je n'ai pas vu de retour d'utilisateur Orange pour celui ci.
Idem pour le LXT-010S-H, out of stock.
Je vais devoir patienter un peu.
-
je me tâte à commander le LXT-010H-D mais il n'est plus disponible en ce moment
Il est indisponible sur le site mais on peut en avoir en contactant directement le service marketing apparemment.
-
Des routeurs plus haut de gamme comme le CCR2004 peuvent faire du hardware offloader sur plusieurs bridges.
À ma connaissance, le hardware offloading n'est possible que s'il y a au moins un switch chip.
Donc :
- Sur le CCR2004-1G-12S+2XS, pas de switch chip donc pas d'hardware offloading
- Sur le CCR2004-16G-2S+, un seul switch chip, donc seul le premier bridge sera hardware offloadé
-
Je leur ai envoyé un mail pour leur commander.
J'avoue ne pas comprendre la différence pratique entre le LXT-010-HD et le 010-SH si on dispose d'un routeur avec un port SFP+.
Je vois, merci pour cette précision concernant les CCR2004.
-
À ma connaissance, le hardware offloading n'est possible que s'il y a au moins un switch chip.
C'est ça. L'absence switch chip n'enpêche cependant pas la gestion de la CoS, mais ça consommera du CPU: Sans switch chip, CoS appliquée avec un bridge filter, avec switch chip, CoS avec les switch rules.
-
@zoc, je rajouterais :
- si switch chip : cos6 via switch rules si supporté, ce qui n’est pas le cas pour le moment pour le rb5009 (j’ai fait une demande en ce sens au support Mikrotik cf réponse en pièce jointe, qui a mis à jour la doc en conséquence) https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features (https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features).
Cordialement,
-
pour info, le RB5009 de nouveau dispo chez Azurtem.
En stock : 7 Produits
Euh, je vois "En attente de réappro" de mon côté
-
Euh, je vois "En attente de réappro" de mon côté
https://shop.azurtem.com/index.php?id_product=490&rewrite=rb5009ugsin&controller=product&id_lang=2
plus que 3 dispo
tu regardais ce modèle : RB5009UPr+S+IN qui est full POE
https://shop.azurtem.com/index.php?id_product=537&rewrite=rb5009uprsin&controller=product&id_lang=2
-
En effet.
Merci :)
-
Je suis bien tenté pour un RB5009 avec poe poiur mon lab, mais il a pas l'air en stock nul part :(
Les gens qui ont le RB5009UPr+S+IN, le PoE marche bien? J'ai pas de gros besoin, juste pour alimenter un CSR305 et un wAP LTE. Acheter un switch PoE juste pour ça me parait overkill (enfin prendre le RB5009 version PoE est peut-être overkill aussi...)
-
Je suis bien tenté pour un RB5009 avec poe poiur mon lab, mais il a pas l'air en stock nul part :(
Les gens qui ont le RB5009UPr+S+IN, le PoE marche bien? J'ai pas de gros besoin, juste pour alimenter un CSR305 et un wAP LTE. Acheter un switch PoE juste pour ça me parait overkill (enfin prendre le RB5009 version PoE est peut-être overkill aussi...)
Oui j'alimente une borne wifi avec qui pompe dans le range 10-15W, moyenne 11W.
L'alim de base livrée avec fournit 48V 2A max.
Après faut juste respecter les specs du protocole et les puissances max de sortie par port https://mikrotik.com/product/rb5009upr_s_in dans la section POE Out.
Y a des modele 3D pour se faire des "arceaux" pour relever le RB5009 et le refroidir mieux. Et bien sûr ça marche redoutablement bien. https://www.thingiverse.com/thing:5155670
Mets toi une alerte chez Getic (ou le site de ton choix) y a du stock qui rentre mi-mai.
-
Dispo dans 15 jours:
https://www.getic.com/product/mikrotik-rb5009upr-s-in
330 pcs on 12.05.2023
-
Merci pour vos réponses rapides :)
Pour la chaleur, il sera au sous sol dans un rack, ça me fait pas trop peur.
Oui j'avais vu getic, c'est fiable leurs estimations, historiquement ? J'ai vu aussi qu'ils ont un arrivage de crs309...
-
Oui j'avais vu getic, c'est fiable leurs estimations, historiquement ? J'ai vu aussi qu'ils ont un arrivage de crs309...
Oui. Mets toi une alerte mail et traine pas quand ça va être dispo ça disparait assez vite.
-
Bonjour,
Il y a une petite chute de tension sur les ports PoE par rapport à la tension délivrée par l'alimentation.
Du coup, on n'a pas tout à fait 48V en PoE. J'ai des injecteurs PoE qui du coup refusaient de démarrer.
J'ai changé l'alimentation pour avoir une tension plus élevée, ça a résolu mon souci.
-
Je suis bien tenté pour un RB5009 avec poe poiur mon lab, mais il a pas l'air en stock nul part :(
Les gens qui ont le RB5009UPr+S+IN, le PoE marche bien? J'ai pas de gros besoin, juste pour alimenter un CSR305 et un wAP LTE. Acheter un switch PoE juste pour ça me parait overkill (enfin prendre le RB5009 version PoE est peut-être overkill aussi...)
Dispo chez azurtem
-
Le RB5009UPr+S+IN (version avec POE out) est pas dispo chez azurtem justement.
-
En plus y a même une version "outdoor" du RB5009 https://mikrotik.com/product/rb5009_out
-
Bon au final j'ai commandé la version non-poe sur Azurtem, si besoin d'un injecteur on verra sur un switch à part.
J'espère le recevoir ce weekend pour jouer un peu :)
-
Pareil.
J'ai reçu le routeur hier avec le kit pour rack 19 pouces.
Je teste ce weekend sur ma connection K-Net pour voir comment fonctionne RouterOS et Winbox.
ça change des constructeurs que je vois au boulot :D
-
Je n'ai pas tout compris pour l'histoire de la COS, de pourauoi on ne peut pas avoir les règles de filtres avec un seul bridge sur le RB5009.
J'ai bien compris que si on définit plusieurs bridges, seul le premier est hw offloadé.
Du coup je ne sais pas trop si ça s'appliquera dans mon cas:
ONT <-> LEOX <-> CRS309 <-> RB5009
Je compte utiliser le RB5009 comme "router on a stick", qui prendrait le VLAN832 et un VLAN10. Le VLAN10 est là uniquement pour la communication entre le routeur et le switch.
Le CRS309 aura en plus le VLAN20, 30, etc (home, lab, guest...). C'est le switch qui se chargera de router le traffic inter vlan, avec route par défaut le switch.
Je suppose que dans mon cas le plus simple c'est d'appliquer le COS sur le switch ? Mais est-ce que ça veut dire que je perds l'offload sur les autres ports de mon switch ?
-
Vu qu'il n'y a pas de "collision" de VLAN dans ta config, un seul bridge offloadé avec tous les ports dedans, avec des switch rules pour la CoS sur le switch, fera très bien le job.
-
Le RB5009 ne supporte pas la CoS via des switch rules.
Il faut utiliser les bridge filters.
-
Il dit faire la CoS sur le CRS309...
-
Il dit faire la CoS sur le CRS309...
Autant pour moi. J'ai lu un peu vite.
-
Bon je confirme que tout marche bien (ou presque...)
Ce qui ne marche pas :
Le routeur obtient bien le préfix en /56 d'orange. J'ai configuré un serveur DHCPv6 sur le routeur pour qu'ils puissent distribuer des sous-préfix.
Je configure le client DHCPv6 du switch pour obtenir un /60 depuis le serveur DHCPv6 du routeur : mais le routeur n'assigne qu'un /64. Je ne peux donc pas redécouper ce préfix depuis le switch. J'ai manqué quelque chose ou c'est une limitation du serveur DHCVPv6 de Mikrotik ? J'ai rien trouvé à ce sujet sur le net.
EDIT: il fallait configurer le client dhcpv6 du routeur avec "Pool prefix length" de 60
-
Bonjour, pour ceux qui en cherchent, une 20ene de dispo chez Senetic et 80 chez Azurtem !
-
tien tien ?? que lest ce mystérieux L009UiGS-RM sur le meme chassis qu'un RB5009
https://mikrotik.com/product/l009uigs_rm
vendu a un prix dérisoire en plus
https://shop.azurtem.com/index.php?id_product=575&rewrite=l009uigs-rm&controller=product&id_lang=2
-
4x plus rapide qu'un RB2011... Vu que le RB2011 était un âne à 3 pattes asmathique, je ne suis pas sur que ce soit un bon achat...
-
tien tien ?? que lest ce mystérieux L009UiGS-RM sur le meme chassis qu'un RB5009
https://mikrotik.com/product/l009uigs_rm
vendu a un prix dérisoire en plus
https://shop.azurtem.com/index.php?id_product=575&rewrite=l009uigs-rm&controller=product&id_lang=2
à ce prix tu payes surtout le châssis :p
Mais les perfs pour des petites utilisations semblent intéressantes.
-
La version normale sans poe de retour en stock (40 pieces là de suite) chez GETIC.
-
Bonjour,
quelqu'un équipé d'un thermometre digital pourrait-il nous montrer quelle est la température du boitier en idle, svp ?
Quand je vois celle d'un RB4011 wifi, sur lequel on ne peut laisser sa main plus de 5 secondes...en idle.
-
Je fais ça dans la semaine
-
Bonjour,
quelqu'un équipé d'un thermometre digital pourrait-il nous montrer quelle est la température du boitier en idle, svp ?
Quand je vois celle d'un RB4011 wifi, sur lequel on ne peut laisser sa main plus de 5 secondes...en idle.
Et après tu peux sur-élever le routeur avec ça : https://www.thingiverse.com/thing:5155670 et tu gagnes ~10 degrés.
Le graphique c'est en marche avec le bidule pour le relever
-
Mais de mémoire j’en ai en prod chez mes grands-parents. Et je le tiens à la main sans soucis je dirais entre 30 et 40° maxi. Je ferais une mesure demain soir
-
ha ouais, 40°C ca va...
sur le RB4011 on cuit des oeufs sans souci !
-
Le RB5009 reconnait bien les ONT SFP (depuis la V7.7 je vois qu'il y a le support 2.5G) ? il n'y a pas trop de problemes avec ?
on aurait une liste d'ONT quelque part, ou on a la confirmation qu'ils sont bien reconnus par ce routeur ?
-
J’ai un Huawei et un Alcatel / Nokia je ferais quelques tests dès que j’ai 5minutes
Autant partir sur un Leox avec un port rj 2.5ghz on garde le sfp pour des trucs plus sympa comme ça
-
ca fait plus d'un an que j'ai un Leox, je cherche encore comment le configurer pour SFR ;D ;D ;D jamais réussi.
Avec un ONT SFP c'est bon. et le but c'est aussi un peu se passer de l'ONT externe...
-
ah ouais? Orange Plug & Play limite lol (dans ma zone ne tout cas)
-
au mieux j'arrive à avoir un O5 avec les VLAN, mais pas d'IP...en fait pour SFR personne n'a clairement indiqué la liste des parametres indispensables qu'il faut renseigner.
-
Bonjour à tous,
Je suis arrivé sur ce topic et en voyant l'entraide présente et le niveau de connaissances je me dis que je suis peut être au bon endroit pour demander des avis et conseils.
Je dispose d'un réseau qui me convient globalement plutôt bien avec entre autres:
- Freebox delta
- Switch netgear POE GS728TPv2
- Devices NVR / Caméras POE
- Bornes Wifi POE (le wifi de la box est désactivé)
- Quelques cartes ARM/x86 faisant office de serveurs
- Un NAS
- etc
Je souhaiterais ajouter des VLANs afin d'isoler certaines catégories de composants pour entre autres limiter la portée des broadcasts incessants inutiles et segmenter "joliment" mon réseau.
Mon switch est capable de faire des VLANs mais pas de possibilité de faire du routing inter VLAN.
Je suis donc à la recherche d'un routeur permettant de compléter le réseau dans cette optique.
Les besoins et contraintes seraient les suivants :
- Le routeur ne remplacerait pas la box (freebox) mais serait entre celle-ci et le switch. Je préfère conserver en point d'entrée la box de mon FAI.
- Routage inter VLANs
- DHCP Servers (pour chaque VLAN)
- Usage d'interface virtuelles pour n'utiliser qu'un port physique
- Bonus facultatif : Serveur DNS si l'implémentation est correcte pour enlever une carte ARM qui avait ce rôle
Mes questions :
- Est ce qu'un mikrotik RB5009 serait en mesure de répondre à mes besoins ? (je pense que oui vu les usages que j'ai pu lire dans les messages précédents mais je préfère confirmer...)
- Est il possible de lier la Freebox et le routeur mikrotics via leur port SFP ?
- Une question concernant + les VLANs en soit :
Mes bornes wifi sont branchées sur des ports du switch.
Si je crée plusieurs réseaux avec un VLAN différent (wifi standard pour les pc portables, téléphones sur un VLAN X et wifi domotique sur un VLAN Y), est ce que qu'une configuration est possible que la communication se fasse correctement ?
Exemple de cheminement :
Téléphone sur wifi avec VLAN 5 > borne wifi VLAN 1 > switch VLAN 1 > routeur VLAN 1 > internet
Je vous mets en pièce jointe un supposé avant / après pour montrer ce que j'avais en tête.
N'hésitez pas à me corriger si dans mes besoins ou idées, il y a des aberrations....
Merci pour votre aide.
-
Bonjour,
- Est ce qu'un mikrotik RB5009 serait en mesure de répondre à mes besoins ? (je pense que oui vu les usages que j'ai pu lire dans les messages précédents mais je préfère confirmer...)
Oui
- Est il possible de lier la Freebox et le routeur mikrotics via leur port SFP ?
Oui, avec un DAC si la distance est courte sinon, module SFP et fibre optique.
- Une question concernant + les VLANs en soit :
Mes bornes wifi sont branchées sur des ports du switch.
Si je crée plusieurs réseaux avec un VLAN différent (wifi standard pour les pc portables, téléphones sur un VLAN X et wifi domotique sur un VLAN Y), est ce que qu'une configuration est possible que la communication se fasse correctement ?
Exemple de cheminement :
Téléphone sur wifi avec VLAN 5 > borne wifi VLAN 1 > switch VLAN 1 > routeur VLAN 1 > internet
Oui. Dans ce cas, le port sur lequel est branché la borne wifi sera un port trunk.
C'est à dire qu'il recevra les VLANs tagués (ici le 1 et le 5).
Le VLAN 1 est le VLAN pour le management des périphériques réseau ?
La doc Mikrotik est plutôt complète sur ce sujet :
- https://help.mikrotik.com/docs/display/ROS/Basic+VLAN+switching#BasicVLANswitching-CRS3xx,CRS5xxseriesswitches,CCR2116,CCR2216andRTL8367,88E6393X,88E6191X,88E6190,MT7621andMT7531switchchips
- https://help.mikrotik.com/docs/display/ROS/Bridging+and+Switching#BridgingandSwitching-VLANExample-TrunkandAccessPorts
- https://help.mikrotik.com/docs/display/ROS/Bridging+and+Switching#BridgingandSwitching-Managementaccessconfiguration
-
- Le routeur ne remplacerait pas la box (freebox) mais serait entre celle-ci et le switch. Je préfère conserver en point d'entrée la box de mon FAI.
Franchement, mets là en bridge. Ca va te simplifier la vie. .. Tu laisses la freebox gérer la partie fibre le chiffrement tout ça. Et tout le reste sur ta box: IPv4, v6, routage, switching et service, firewall, dhcp client + serveur., dns
Y a juste le phone qu'il faut quand même laisser sur la box. Free ne file pas de SIP..
-
Merci à vous deux pour ces retours + que rapides !
@yeocti
C'est super clair, merci.
Le VLAN 1 est le VLAN pour le management des périphériques réseau ?
La doc Mikrotik est plutôt complète sur ce sujet :
Oui en effet le VLAN 1 servirait pour les périphériques de l'infra réseau même.
@Fyr
Franchement, mets là en bridge. Ca va te simplifier la vie. .. Tu laisses la freebox gérer la partie fibre le chiffrement tout ça. Et tout le reste sur ta box: IPv4, v6, routage, switching et service, firewall, dhcp client + serveur., dns
J'ai vu la notion de bridge en effet, mais j'avais cru lire (mais mes souvenirs sont foireux) que le passage en mode bridge enlevait certaines fonctionnalités avec la TV je crois entre autres. Il faudrait que je repotage cette partie.
Bon week-end ;)
-
Y a des exemples dans les recoins du forum sur la config de la TV Free avec son propre routeur.
-
Hello,
Petit message "retour d'expérience".
Suite à vos retours, j'ai enfin pris le temps et j'ai acheté et configuré ce petit routeur.
Côté installation :
Routeur plutôt robuste, petit et silencieux. Monté avec le kit rack dans la baie.
Côté freebox :
En suivant les conseils j'ai opté pour la Freebox en mode bridge avec lien SFP avec le routeur mikrotik.
La configuration est facile et il est toujours possible d'accéder à la box via l'alias DNS si on souhaite faire une modif sur les fonctionnalités restantes de la box.
Côté mikrotik :
Il faut se remettre dans le bain côté configuration réseau (les souvenirs étaient un peu lointains... ;D )
L'avantage, c'est qu'il y a en effet beaucoup de documentation dispo (le first time configuration des docs officielles mikrotik est déjà une bonne première étape).
Et on peut facilement alterner entre configuration graphique ou terminal suivant ce qui l'on veut faire (les actions répétées c'est quand même plus pratique via de la command line que de cliquer 30000 fois....)
Mon usage reste assez simple comparé à certains du forum (chacun ses usages et besoins :P ) :
- Quelques VLANs avec un serveur DHCP pour chaque
- Des IP statiques pour les différents équipements
- Quelques entrées DNS en statique pour les interfaces perso + DNS hors FAI
- Filtrage entre réseaux
Je recommande donc également ce routeur qui reste accessible que ce soit en prix ou en usage et permet vraiment de pouvoir gagner en liberté et d'arrêter de faire des compromis avec des solutions un peu bofs en complément de box.
Merci encore pour votre aide !