Auteur Sujet: Mikrotik RB5009 (Lu 25370 fois)

nscheffer · « **Réponse #48 le:** 06 juillet 2022 à 21:10:30 »

Citation de: nicox11 le 06 juillet 2022 à 21:01:07

Je l'ai acheté sur www.ip-sa.com il y a de ça quelques mois, il semble out of stock partout actuellement.

En gros les éléments de ma conf qui peuvent intéresser. En gros j'ai un VLAN attaché au bridge qui fait le requête DHCP

Code: [Sélectionner]
/interface bridge add name=WANBridge add admin-mac=DC:2C:6E:DC:E9:7B auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full set [ find default-name=ether8 ] name=ether8-ONT-OUT set [ find default-name=sfp-sfpplus1 ] arp=disabled name=sfp-ONT-IN speed=2.5Gbps /interface vlan add interface=ether1 name=10-LAN vlan-id=10 add interface=WANBridge name=Orange832 vlan-id=832 /ip dhcp-client option add code=77 name=userclass value=0x#### add code=90 name=authsend value=0x#### /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 add name=10-LAN-POOL ranges=10.10.10.10-10.10.10.254 /ip dhcp-server add address-pool=dhcp interface=bridge name=defconf add address-pool=10-LAN-POOL interface=10-LAN lease-time=8h name=10-LAN-DHCP /ipv6 dhcp-client option add code=15 name=userclass value=0x### add code=16 name=class-identifier value=0x### add code=11 name=authsend value=0x### /interface bridge port add bridge=bridge comment=defconf hw=no interface=ether6 add bridge=WANBridge interface=sfp-ONT-IN add bridge=WANBridge interface=ether8-ONT-OUT /ipv6 settings set accept-router-advertisements=yes

Je suis pas sur de bien comprendre ta fibre avec son ONT SFP est sur le port SFP+ du RB5009 et tu ressors sur le port ether 8 vers ton switch ?
Tu re-rentres comment ?
As tu bien toutes les optimisations hardware pour ton RB5009 pour ne pas utiliser ton CPU dans ton bridge ?
Si c'est le cas quand tu fais ton test de débit ton CPU du RB5009 doit être en dessous de 10% max car c'est le Switch Chip qui doit faire le job intégralement, surtout que dans ton cas tu n'as pas de Switch Rule pour faire la CoS...

nicox11 · « **Réponse #49 le:** 06 juillet 2022 à 21:22:36 »

Citation de: nscheffer le 06 juillet 2022 à 21:10:30

Je suis pas sur de bien comprendre ta fibre avec son ONT SFP est sur le port SFP+ du RB5009 et tu ressors sur le port ether 8 vers ton switch ?
Tu re-rentres comment ?
As tu bien toutes les optimisations hardware pour ton RB5009 pour ne pas utiliser ton CPU dans ton bridge ?
Si c'est le cas quand tu fais ton test de débit ton CPU du RB5009 doit être en dessous de 10% max car c'est le Switch Chip qui doit faire le job intégralement, surtout que dans ton cas tu n'as pas de Switch Rule pour faire la CoS...

ONT SFP est sur le port SFP+ du RB5009 et tu ressors sur le port ether 8 vers ton switch ?
Oui c'est ça, il re-rentre sur le port7, ça apparait pas dans le bout de conf que je t'ai envoyé.

Quand je fais un speedtest, le CPU oscille entre 15 et 20%.
Le bridge semble bien en mode "Offload" :

Code: [Sélectionner]

/interface/bridge/port> print
Flags: I - INACTIVE; H - HW-OFFLOAD
Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, PATH-COST, INTERNAL-PATH-COST, HORIZON
#    INTERFACE       BRIDGE     HW   PVID  PRIORITY  PATH-COST  INTERNAL-PATH-COST  HORIZON
;;; defconf
0 I  ether6          bridge     no      1  0x80             10                  10  none
1  H sfp-ONT-IN      WANBridge  yes     1  0x80             10                  10  none
2 H ether8-ONT-OUT  WANBridge  yes     1  0x80             10                  10  none

nscheffer · « **Réponse #50 le:** 06 juillet 2022 à 21:46:27 »

Citation de: nicox11 le 06 juillet 2022 à 21:22:36

ONT SFP est sur le port SFP+ du RB5009 et tu ressors sur le port ether 8 vers ton switch ?
Oui c'est ça, il re-rentre sur le port7, ça apparait pas dans le bout de conf que je t'ai envoyé.

Quand je fais un speedtest, le CPU oscille entre 15 et 20%.
Le bridge semble bien en mode "Offload" :
Code: [Sélectionner]
/interface/bridge/port> print Flags: I - INACTIVE; H - HW-OFFLOAD Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, PATH-COST, INTERNAL-PATH-COST, HORIZON # INTERFACE BRIDGE HW PVID PRIORITY PATH-COST INTERNAL-PATH-COST HORIZON ;;; defconf 0 I ether6 bridge no 1 0x80 10 10 none 1 H sfp-ONT-IN WANBridge yes 1 0x80 10 10 none 2 H ether8-ONT-OUT WANBridge yes 1 0x80 10 10 none

Tu devrais poser la question sur le forum Mikrotik car deux choses :
- le RB5009 n'est pas encore complètement "sec" au niveau soft ils ont encore pas mal de travail sur la version 7.x pour activer toutes les assistances HW
- ensuite dans ton cas c'est comme si tu fais 4 fois le trajet pour 600Mbps de traffic donc en fait 2.4Gbps à gérer par le RB5009 et je pense que c'est la ou c'est pas optimal.... et peut être que ton RB5009 n'arrive pas à gérer (dans sa version actuelle de l'OS, le Hard est capable en théorie de gérer bien plus haut)

Je vois plusieurs pistes :
- Mikrotik dans les prochaines MAJ te permet de monter plus haut dans ta config sans rien toucher
- Tu changes ton architecture pour éviter au switch d'entrer et de sortir (mais je vois déjà la remarque : comment faire pour mon 2.5Gbps SFP ONT ?)
- Tu vires le Switch et tu utilises une Switch Rule pour faire ta CoS 6 (la dernière fois que j'avais regardé c'était pas encore dispo sur le RB5009 en version 7.x, je le fais sur un CRS305 pour deux fibres Orange à 2.5Gbps chacune et ca marche nickel avec un CPU qui dort...

bolemo · « **Réponse #51 le:** 31 juillet 2022 à 17:19:56 »

Bonjour à tous,

J'ai actuellement routeur Netgear R7800 avec le firmware Voxel permettant un accès SSH et d'y faire un peu ce qu'on veut, et j'en suis très satisfait. Il tient super le gigabit symétrique, les règles pare-feu custom, etc… du moment que ça passe par le QCA NSS (accélération matérielle) ; dès qu'on passe hors de ça pour de gros débits, le CPU sature.

Je vais passer à l'avenir chez MilkyWan en offre OI (comme ce que j'ai actuellement), car K-Net devient une catastrophe. Leur backbone commence à être affecté et si la débit est bon, le routage devient mauvais avec des sites indisponibles, etc… J'y remédie avec un VPN, mais j'ai commandé un tunnel chez MilkyWan pour déjà y avoir mes IP, et avoir un backbone sérieux.

La grande inconnue sera le tunnel (basique, GRE), qui sera sur mon routeur, et risque de ne pas être accéléré… Je verrai bien dans les jours qui viennent.
Si cela devenait un problème, notre cher Hugues m'a recommandé le Mikrotik RB5009 qui remplacera alors mon routeur qui lui deviendra un AP pour le Wifi.
J'ai une totale confiance en sa recommandation, et je vois ici que c'est partagé par nombre d'entre vous.

Je ne sais pas encore si j'en aurai besoin, mais j'ai quelques questions :
1) RouterOS n'est pas open source. Donc à priori pas d'accès SSH au linux, ni possibilité d'y installer ou compiler des utilitaires / programmes maison ? Je bidouille vraiment pas mal sur mon routeur (j'aime bien un accès à toutes les fonctions, mettre les mains dans le cambouis…). RouterOS offre-t'il une bonne souplesse sans les configs ?
2) OpenWRT existe pour ce routeur, mais pas entièrement officiellement (hack) et cela ne grille-t'il pas la garantie ? Ceux qui l'utilisent voient-il un différence de perf avec RouterOS ?
3) Il est en rupture de stock un peu partout comme reporté ici, des pistes sur où se le procurer ?

Je vois aussi cela : https://globalscaletechnologies.com/product/mochabin/ qui utilise le même SoC, open source, 4 à 8 Go de RAM, eMMC, et on peut y mettre Ubuntu, OpenWRT… Ça semble vraiment bien, mais même question, quid de l'accélération matérielle ?
Pas dispo immédiatement, mais via le kickstarter, apparement ça pourrait être livré en août / septembre (donc attente similaire au Mikrotik s'il faut attendre…)

Voilà. Merci d'avance

cetipabo · « **Réponse #52 le:** 31 juillet 2022 à 18:04:27 »

@bolemo, pourquoi ne pas partir sur un miniPC en 4x 2.5Gbps, sous Openwrt ?
https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/msg955412/#msg955412

la tu es vraiment libre de faire ce que tu veux, la puissance est au rendez-vous, et c'est dispo.

bolemo · « **Réponse #53 le:** 01 août 2022 à 01:10:18 »

Citation de: cetipabo le 31 juillet 2022 à 18:04:27

@bolemo, pourquoi ne pas partir sur un miniPC en 4x 2.5Gbps, sous Openwrt ?
https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/msg955412/#msg955412

la tu es vraiment libre de faire ce que tu veux, la puissance est au rendez-vous, et c'est dispo.

C’est sympa aussi, merci.

Je ne vais pas forcément me précipiter (mais il est possible que je saute le pas rapidement si je me décide), et voir déjà ce que je peux atteindre en tunnel avec mon routeur (probablement pas le gigabit, mais il atteint 150 Mbps en OpenVPN d’après une source fiable). Un tunnel GRE sans chiffrage devrait faire beaucoup mieux !

Ensuite, et si besoin, je vais étudier les différentes solutions pour soit un nouveau routeur (Mikrotik, MochaBin ou miniPC), soit un miniPC ou un SBC suffisamment puissant entre mon routeur et l’ONT qui ne ferait que gérer l’encapsulation du tunnel, laissant mon R7800 faire le routage comme maintenant sans avoir à gérer le tunnel.

Je verrai, il y a plein de voies possibles. Par contre, je commence à prendre mes repères, car si je prends un nouveau routeur, il devra être solide pour quelques années au moins.

bolemo · « **Réponse #54 le:** 11 août 2022 à 10:34:20 »

Bon, je viens de passer commande du Mini PC. C'est plus rapide que pour le RB5009 qui est toujours en totale rupture de stock…

Merci pour le tuyau !

Fyr · « **Réponse #55 le:** 29 août 2022 à 15:58:00 »

Bolemo ayant opté pour un petit PC, je peux informer sans le priver, qu'il y a des RB5009 -AVEC POE- à 100 euros de plus que le modèle normal chez Getic (ex EuroDK)

https://www.getic.com/product/mikrotik-rb5009upr-s-in

Encore 195 en stock. Y a en 7 de moins que hier.

Mackila · « **Réponse #56 le:** 29 août 2022 à 20:49:05 »

bolemo · « **Réponse #57 le:** 30 août 2022 à 02:12:29 »

Citation de: Fyr le 29 août 2022 à 15:58:00

Bolemo ayant opté pour un petit PC, je peux informer sans le priver, qu'il y a des RB5009 -AVEC POE- à 100 euros de plus que le modèle normal chez Getic (ex EuroDK)

https://www.getic.com/product/mikrotik-rb5009upr-s-in

Encore 195 en stock. Y a en 7 de moins que hier.

Fyr le gentleman

Antoinel · « **Réponse #58 le:** 08 septembre 2022 à 19:34:49 »

Bonjour ici !

J'ai commandé le RB5009 POE ci-dessus et malheureusement il est arrivé "Dead On Arrival"... Il faut 10 essais (voir plus) pour qu'il boot et si par chance il boot, un reboot ou shutdown ensuite et c'est rebloqué (led bleu fixe + led verte eth2 faiblement allumée). J'ai testé une autre alim et aussi de l'alimenter en PoE (encore pire, toutes les led clignotent en orange).

En cherchant un peu, j'ai trouvé deux personnes sur le forum Mikrotik qui ont eu le même problème (un batch défectueux ?).

Pour le coup retour à l'envoyeur RMA en Lituanie (Getic)

Màj: gros problème a priori sur ce modèle:

https://old.reddit.com/r/mikrotik/comments/x9wccr/there_might_be_a_problem_with_cold_solder_joints/
https://old.reddit.com/r/mikrotik/comments/x9dj9n/rb5009uprsin_poein_not_working/
https://forum.mikrotik.com/viewtopic.php?t=189042
https://forum.mikrotik.com/viewtopic.php?t=188860
https://forum.mikrotik.com/viewtopic.php?t=188999
https://forum.mikrotik.com/viewtopic.php?t=188667

nonolk · « **Réponse #59 le:** 11 septembre 2022 à 15:44:10 »

Bonjour a tous,

Je me permet de venir humblement vous demander votre aide. En effet je viens de recevoir mon rb5009 et je rencontre un petit soucis, je suis chez Free et j'ai une Freebox revolution.
J'ai basculé ma Freebox en mode bridge afin d'éviter le double nat, et je rencontre un petit soucis avec les fluxs TV, j'ai des pixelisations sur la TV de facon assez recurante.

Si je debranche le cable Ethernet du player revolution et que je le branche en direct sur le freebox serveur, je tout fonctionne parfaitement. Les pixelisations ne se produisent que lorsque que je fais passer les flux au travers du Mikrotik.

Voici la configuration que j'utilise sur le Mikrotik (expurgée des informaitons sensibles):

Code: [Sélectionner]

# sep/11/2022 15:22:18 by RouterOS 7.5
# software id = NYZZ-0FRB
#
# model = RB5009UPr+S+
/interface bridge
add frame-types=admit-only-vlan-tagged ingress-filtering=no name=bridge-LAN \
    vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Wan
set [ find default-name=ether2 ] name=ether2-Freebox
set [ find default-name=ether3 ] name=ether3-Garage
set [ find default-name=ether4 ] name=ether4-PI
set [ find default-name=ether5 ] name=ether5-AP
set [ find default-name=ether6 ] name=ether6-Bureau
set [ find default-name=ether7 ] name=ether7-Cave
set [ find default-name=ether8 ] name=ether8-Salon
set [ find default-name=sfp-sfpplus1 ] name=sfp-emergency
/interface vlan
add interface=bridge-LAN name=DMZ vlan-id=30
add interface=bridge-LAN name=Internet vlan-id=40
add interface=bridge-LAN name=vlan1 vlan-id=10
add interface=bridge-LAN name=vlan2 vlan-id=2
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-lan ranges=192.168.1.100-192.168.1.200
add name=pool-IOT ranges=192.168.2.100-192.168.2.200
/ip dhcp-server
add add-arp=yes address-pool=pool-lan interface=vlan1 lease-time=8h name=Lan
add add-arp=yes address-pool=pool-IOT interface=vlan2 lease-time=6h name=IOT
/interface bridge port
add bridge=bridge-LAN comment=defconf interface=ether2-Freebox pvid=2
add bridge=bridge-LAN comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether5-AP pvid=10
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
    interface=ether6-Bureau
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
    interface=ether7-Cave
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
    interface=ether8-Salon
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4-PI pvid=10
add bridge=bridge-LAN interface=ether1-Wan pvid=40
add bridge=bridge-LAN frame-types=admit-only-vlan-tagged interface=\
    ether3-Garage
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge-LAN tagged=\
    bridge-LAN,ether8-Salon,ether7-Cave,ether6-Bureau,ether3-Garage vlan-ids=\
    10
add bridge=bridge-LAN tagged=\
    bridge-LAN,ether6-Bureau,ether7-Cave,ether8-Salon,ether3-Garage vlan-ids=\
    2
add bridge=bridge-LAN tagged=\
    bridge-LAN,ether6-Bureau,ether7-Cave,ether8-Salon,ether3-Garage vlan-ids=\
    30
add bridge=bridge-LAN tagged=ether1-Wan,ether2-Freebox vlan-ids=100
add bridge=bridge-LAN tagged=bridge-LAN vlan-ids=40
/interface list member
add comment=defconf interface=bridge-LAN list=LAN
add comment=defconf interface=Internet list=WAN
add interface=vlan1 list=LAN
add interface=vlan2 list=LAN
add interface=DMZ list=LAN
add interface=sfp-emergency list=LAN
/ip address
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.4.1/24 interface=sfp-emergency network=192.168.4.0
add address=192.168.2.1/24 interface=vlan2 network=192.168.2.0
add address=192.168.3.1/24 interface=DMZ network=192.168.3.0
/ip dhcp-client
add comment=defconf interface=Internet
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.28 gateway=\
    192.168.1.1 netmask=24
add address=192.168.2.0/24 dns-server=212.27.40.240,212.27.40.241 gateway=\
    192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input in-interface-list=LAN protocol=icmp
add action=drop chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward dst-address=192.168.0.0/16 src-address=\
    192.168.0.0/16
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 route
add disabled=no dst-address=::/0 gateway=fe80::f6ca:e5ff:fe57:f820%Internet \
    routing-table=main
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh address=192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24,192.168.4.0/24
set api-ssl disabled=yes
/ip ssh
set forwarding-enabled=local
/ipv6 address
add address=2a01::1::1 interface=vlan1
add address=2a01::2::1 interface=vlan2
add address=2a01::3::1 interface=DMZ
/ipv6 dhcp-server
add address-pool="" dhcp-option=dnssrv interface=vlan1 lease-time=8h name=\
    Ipv6Vlan1
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward dst-address=2a01:::xx3::2/128 dst-port=\
    443 in-interface=Internet out-interface=DMZ protocol=tcp
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/ipv6 nd
set [ find default=yes ] dns=2a01:::::28 hop-limit=64 interface=\
    vlan1 ra-preference=high
add advertise-dns=no interface=vlan2
add advertise-dns=no hop-limit=64 interface=DMZ
/system clock
set time-zone-name=Europe/Paris
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set filter-interface=ether8-Salon

Je vous remercie par avance pour votre aide, car ca fait plusieurs jours que je cherche en vain. Je prends aussi toute autre remarque.

Cordialement,