Auteur Sujet: Mikrotik RB5009 (Lu 33887 fois)

fansat70 · « **Réponse #60 le:** 11 septembre 2022 à 22:40:39 »

Il y a eu une discussion sur un sujet voisin ici: https://lafibre.info/remplacer-freebox/freebox-revolution-en-mode-bridge-perte-de-connexion-internet/

nonolk · « **Réponse #61 le:** 12 septembre 2022 à 09:23:59 »

Bonjour Fansat70,

Et merci pour ta réponse. Mais je ne suis a priori pas dans ce cas, je m'explique :
- Internet fonctionne parfaitement
- La TV en utilisant Oqee sur Applet TV, IPhone et Ipad fonctionne aussi parfaitement.

Le souci n'est présent que sur les flux TV destinés au Freebox player (révolution), et le souci est : l'apparition de freezes, dès que le freebox player est connecté au travers du Mikrotik (rb5009).
J'ai essayé en remplaçant le RB5009 par un rb3011 et même sanction. Les vlans me semblent, correctement paramétrés (vlan untagged + dhcp, vlan 100 tagged), je ne vois d'erreurs sur aucun port du mikrotik.
Ça ressemble à un souci de mtu, mais je ne trouve pas d'infos à ce sujet. Ou sans doute une erreur de configuration de ma part, mais franchement, je ne trouve pas.

J'ai aussi remplacé le Mikrotik par un simple switch HP, avec les vlans configuré de la même façon et aucun problème.

C'est pourquoi je sollicite l'aide des personnes du forum.

Cordialement,

fansat70 · « **Réponse #62 le:** 12 septembre 2022 à 10:08:03 »

Citation de: nonolk le 12 septembre 2022 à 09:23:59

Bonjour Fansat70,

Et merci pour ta réponse. Mais je ne suis a priori pas dans ce cas, je m'explique :
- Internet fonctionne parfaitement
- La TV en utilisant Oqee sur Applet TV, IPhone et Ipad fonctionne aussi parfaitement.

Le souci n'est présent que sur les flux TV destinés au Freebox player (révolution), et le souci est : l'apparition de freezes, dès que le freebox player est connecté au travers du Mikrotik (rb5009).
J'ai essayé en remplaçant le RB5009 par un rb3011 et même sanction. Les vlans me semblent, correctement paramétrés (vlan untagged + dhcp, vlan 100 tagged), je ne vois d'erreurs sur aucun port du mikrotik.
Ça ressemble à un souci de mtu, mais je ne trouve pas d'infos à ce sujet. Ou sans doute une erreur de configuration de ma part, mais franchement, je ne trouve pas.

J'ai aussi remplacé le Mikrotik par un simple switch HP, avec les vlans configuré de la même façon et aucun problème.

C'est pourquoi je sollicite l'aide des personnes du forum.

Cordialement,

Pas expert RouterOs, mais dans le lien fourni, il me semblait que le player était sur un subnet différent du subnet "standard" (voir côté DHCP?). Par ailleurs, pas de "douceurs", genre IGMP V2 ou V3 ou Network Storm Detection agressif?

nonolk · « **Réponse #63 le:** 12 septembre 2022 à 10:18:21 »

@Fansat70

Oui, je sais, pour le subnet différent, c'est le fameux VLAN 100, mais d'après ce que j'ai compris, le Mikrotik dois juste le laisser passer et ne pas interférer. D'ailleurs le freebox player se connecte bien au Freebox server.

Je penche aussi pour un souci genre mtu, IGMP ou antiflood, mais je dois dire que pour les deux derniers (sur Cisco et HP aucuns soucis) sur le Mikrotik, je manque d'expérience, d'où le fait que je demande de l'aide.

C'est la raison pour laquelle j'ai posté toute ma conf dans un de mes messages precédent.

Je suis quasi certain que c'est juste "une vis" à tourner, mais je ne trouve pas laquelle.

Merci pour ton aide

Hugues · « **Réponse #64 le:** 12 septembre 2022 à 10:32:34 »

Je dirais que le multicast n'est pas traité comme tel et flood le CPU.

IGMP est bien activé ? Pour être honnête, Multicast sur Mikrotik c'est rarement une réussite.

nonolk · « **Réponse #65 le:** 12 septembre 2022 à 11:34:31 »

Merci Hugues,

Je vais regarder ce que j'ai configuré pour l'IGMP (ce sont les paramètres par défaut).

Par contre, le CPU lui ne dépasse jamais les 30%.

Merci a tous

Fyr · « **Réponse #66 le:** 12 septembre 2022 à 14:51:41 »

Citation de: nonolk le 12 septembre 2022 à 09:23:59

J'ai essayé en remplaçant le RB5009 par un rb3011 et même sanction. Les vlans me semblent, correctement paramétrés (vlan untagged + dhcp, vlan 100 tagged), je ne vois d'erreurs sur aucun port du mikrotik.

Y a d'autres infos dans le fils donné : il faut une IP full stack pour que le Mikrotik s'en sorte bien (ça concerne pas ton pb de télé). Et le vlan 100 a deux pattes : dont une coté wan, Et je pense pas dans le même "bridge-LAN" que le reste de ton réseau local ? En gros t'as deux prises coté WAN : une pour internet à router, l'autre pour la téloche à bridger entre wan et lan + filtrer. Bon j'ai pas de Revolution sous la main juste une Pop et en plus j'utilise pas le Player...

https://lafibre.info/remplacer-freebox/freebox-revolution-en-mode-bridge-perte-de-connexion-internet/msg953060/#msg953060

Citation de: fbn le 02 juin 2022 à 18:12:14

Je ne remets plus la main sur le tuto, mais dans les grandes lignes :

- Créer deux interfaces VLAN, une sur le WAN, une autre le LAN, avec le TAG VLAN100 et associées aux interfaces physiques. Ce sont des interfaces virtuelles
- Créer un Bridge entre les deux interfaces virtuelles
- Créer les règles du firewall pour laisser passer tout le trafic entrant côté LAN, et j'ai fait pareil sur le WAN, en limitant sur le réseau 192.168.27.0/24

Je crois que c'est tout...

nonolk · « **Réponse #67 le:** 03 décembre 2022 à 14:58:50 »

Bonjour à tous,

Déjà merci pour votre retour qui m'avait permis de résoudre mon souci, la solution était de faire un nouveau bridge.... et non d'utiliser le bridge principal. Maintenant après plusieurs mois de soucis (débit anémique le soir dans le bas-rhin) chez free, je suis reparti chez Orange.

J'ai donc relu tous les différents tutos et j'ai réussi à faire une configuration qui marche plutôt bien (et qui intègre toutes les dernières informations COS6 sur arp et ICMPV6 NA/NS).

Par contre, je suis coincé avec deux bridges, un pour le lan (hardware offloadé, car utilisations de vlans) et un pour le wan (non offloadé car sur le rb5009 seulement le premier bridge bénéficie de l'offload).
J'ai essayé en vain de faire avec un seul bridge, mais dans ce cas-là, la COS6 n'est jamais appliqué (les bridge filter rules ne matchent jamais).

Alors, je me permets de poster ma config ci-dessous afin de vous demander votre avis et si on ne peut pas faire mieux. Car le souci avec cette configuration c'est que le CPU en prends plein la tete... et j'aimerai peut-etre bien à terme switcher sur un abonnement à 2Gbits (j'ai du 500/500 pour le moment).

Code: [Sélectionner]

# dec/03/2022 14:17:23 by RouterOS 7.6
# software id = NYZZ-0FRB
#
# model = RB5009UPr+S+
# serial number = 
/caps-man channel
add band=2ghz-b/g/n frequency=2412 name=CH1
add band=2ghz-b/g/n frequency=2417 name=CH2
add band=2ghz-b/g/n frequency=2422 name=CH3
add band=2ghz-b/g/n frequency=2427 name=CH4
add band=2ghz-b/g/n frequency=2432 name=CH5
add band=2ghz-b/g/n frequency=2437 name=CH6
add band=2ghz-b/g/n frequency=2442 name=CH7
add band=2ghz-b/g/n frequency=2447 name=CH8
add band=2ghz-b/g/n frequency=2452 name=CH9
add band=2ghz-b/g/n frequency=2457 name=CH10
add band=2ghz-b/g/n frequency=2462 name=CH11
add band=2ghz-b/g/n frequency=2467 name=CH12
add band=2ghz-b/g/n frequency=2472 name=CH13
add band=5ghz-a/n/ac frequency=5180 name=CH36
add band=5ghz-a/n/ac frequency=5200 name=CH40
add band=5ghz-a/n/ac frequency=5220 name=CH44
add band=5ghz-a/n/ac frequency=5240 name=CH48
add band=5ghz-a/n/ac frequency=5260 name=CH52
add band=5ghz-a/n/ac frequency=5280 name=CH56
add band=5ghz-a/n/ac frequency=5300 name=CH60
add band=5ghz-a/n/ac frequency=5320 name=CH64
add band=5ghz-a/n/ac frequency=5500 name=CH100
add band=5ghz-a/n/ac frequency=5520 name=CH104
add band=5ghz-a/n/ac frequency=5540 name=CH108
add band=5ghz-a/n/ac frequency=5560 name=CH112
add band=5ghz-a/n/ac frequency=5580 name=CH116
add band=5ghz-a/n/ac frequency=5600 name=CH120
add band=5ghz-a/n/ac frequency=5620 name=CH124
add band=5ghz-a/n/ac frequency=5640 name=CH128
add band=5ghz-a/n/ac frequency=5660 name=CH132
add band=5ghz-a/n/ac frequency=5680 name=CH136
add band=5ghz-a/n/ac frequency=5700 name=CH140
add band=5ghz-a/n/ac frequency=5160 name=CH32
add band=5ghz-a/n/ac frequency=5340 name=CH68
add band=5ghz-a/n/ac frequency=5480 name=CH96
add band=5ghz-n/ac extension-channel=eeeC frequency=5500,5520,5540,5560 name=\
    CH106
/interface bridge
add frame-types=admit-only-vlan-tagged ingress-filtering=no name=bridge-LAN \
    protocol-mode=none vlan-filtering=yes
add name=bridge-wan protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] poe-out=off
set [ find default-name=ether2 ] name=ether2-Livebox poe-out=off 
set [ find default-name=ether3 ] name=ether3-Garage
set [ find default-name=ether4 ] name=ether4-PI
set [ find default-name=ether5 ] name=ether5-AP poe-out=off
set [ find default-name=ether6 ] name=ether6-Bureau poe-out=off
set [ find default-name=ether7 ] name=ether7-Cave
set [ find default-name=ether8 ] name=ether8-Salon
set [ find default-name=sfp-sfpplus1 ] advertise=\
    100M-half,100M-full,1000M-half,1000M-full name=sfp-wan
/interface vlan
add interface=bridge-LAN name=DMZ vlan-id=30
add interface=bridge-LAN name=vlan-tv vlan-id=40
add interface=bridge-LAN name=vlan1 vlan-id=10
add interface=bridge-LAN name=vlan2 vlan-id=2
add interface=ether2-Livebox name=vlan832-livebox vlan-id=832
add interface=sfp-wan name=vlan832-wan vlan-id=832
add arp=disabled interface=sfp-wan loop-protect=off name=vlan840-wan vlan-id=\
    840
/caps-man datapath
add bridge=bridge-LAN name=datapath_vlan2 vlan-id=2 vlan-mode=use-tag
add bridge=bridge-LAN name=datapath_vlan10 vlan-id=10 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=nonolk
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=Iot
/caps-man configuration
add channel=CH6 channel.band=2ghz-g/n .extension-channel=disabled country=\
    france datapath=datapath_vlan2 datapath.local-forwarding=no mode=ap name=\
    Iot security=Iot ssid=xxx
add channel=CH106 channel.band=5ghz-n/ac country=france datapath=\
    datapath_vlan10 mode=ap name=xxx security=xxx ssid=xxx
add datapath=datapath_vlan10 name=xxx security=xxx ssid=xxx
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=Orange_TV
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=class-identifier value="'sagem'"
add code=77 name=userclass value=\
    "'+FSVDSL_livebox.Internet.softathome.Livebox5'"
add code=90 name=authsend value="chaine longue"
/ip dhcp-server option
add code=120 name=SIP value="0x00067362637433670353545206616363657373116F72616\
    E67652D6D756C74696D65646961036E657400"
add code=119 name=domain-search value=\
    0x0353545206616363657373116f72616e67652d6d756c74696d65646961036e657400
add code=125 name=VendorSPecific value=0x000005580c010a0001000000ffffffffff
add code=90 name=authsend value=\
    0x000000000000000000000064
add code=125 name=authtv value="Livebox5based"
/ip pool
add name=pool-lan ranges=192.168.1.100-192.168.1.200
add name=pool-IOT ranges=192.168.2.100-192.168.2.200
add name=pool-livebox ranges=192.168.4.10-192.168.4.20
add name=poot-tv ranges=192.168.42.10-192.168.42.19
/ip dhcp-server
add add-arp=yes address-pool=pool-lan interface=vlan1 lease-time=8h name=Lan
add add-arp=yes address-pool=pool-IOT interface=vlan2 lease-time=8h name=IOT
add add-arp=yes address-pool=pool-livebox interface=vlan832-livebox \
    lease-time=8h name=Livebox
add address-pool=poot-tv interface=vlan-tv lease-time=8h name=TV \
    use-framed-as-classless=no
/ipv6 dhcp-client option
add code=16 name="class-identifer " value=0x0000040e0005736167656d
add code=11 name=authsend value="chaine longue"
add code=15 name=userclass value="bla bla"
/ipv6 dhcp-server option
add code=23 name=dnssrv value=0x2a01cbxxxx
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=Iot name-format=prefix \
    name-prefix=garage_24_ radio-mac=xxx slave-configurations=\
    xxx
add action=create-dynamic-enabled master-configuration=xx \
    name-format=prefix name-prefix=garage_5_ radio-mac=xxx
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp \
    mac-protocol=ip new-priority=6 out-interface=vlan832-wan passthrough=yes
add action=set-priority chain=output dst-port=547 ip-protocol=udp \
    mac-protocol=ipv6 new-priority=6 out-interface=vlan832-wan
add action=set-priority chain=output mac-protocol=arp new-priority=6 \
    out-interface=vlan832-wan passthrough=yes
add action=set-priority chain=output comment=NA/NS mac-protocol=ipv6 \
    new-priority=6 out-interface=vlan832-wan packet-mark=na/ns passthrough=\
    yes
/interface bridge port
add bridge=bridge-LAN comment=defconf frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether5-AP pvid=10
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
    interface=ether6-Bureau
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
    interface=ether7-Cave
add bridge=bridge-LAN comment=defconf frame-types=admit-only-vlan-tagged \
    interface=ether8-Salon
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4-PI pvid=10
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3-Garage pvid=10
add bridge=bridge-wan interface=vlan832-wan
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge-LAN tagged=\
    bridge-LAN,ether8-Salon,ether7-Cave,ether6-Bureau vlan-ids=10
add bridge=bridge-LAN tagged=\
    bridge-LAN,ether6-Bureau,ether7-Cave,ether8-Salon vlan-ids=2
add bridge=bridge-LAN tagged=\
    ether6-Bureau,ether7-Cave,ether8-Salon,bridge-LAN vlan-ids=30
add bridge=bridge-LAN tagged=ether8-Salon,bridge-LAN vlan-ids=40
add bridge=bridge-LAN tagged=sfp-wan,bridge-LAN vlan-ids=832
add bridge=bridge-LAN tagged=bridge-LAN,sfp-wan vlan-ids=840
/interface list member
add comment=defconf interface=bridge-LAN list=LAN
add interface=vlan1 list=LAN
add interface=vlan2 list=LAN
add interface=DMZ list=LAN
add interface=ether2-Livebox list=LAN
add interface=vlan-tv list=Orange_TV
add interface=vlan840-wan list=Orange_TV
add interface=bridge-wan list=WAN
/ip address
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.2.1/24 interface=vlan2 network=192.168.2.0
add address=192.168.3.1/24 interface=DMZ network=192.168.3.0
add address=192.168.4.1/24 interface=vlan832-livebox network=192.168.4.0
add address=192.168.255.254 comment="TV Orange" interface=vlan840-wan \
    network=192.168.255.254
add address=192.168.42.1/24 interface=vlan-tv network=192.168.42.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,class-identifier,userclass \
    interface=bridge-wan use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=\
    192.168.1.1 netmask=24
add address=192.168.2.0/24 dns-server=80.10.246.5,81.253.149.13 gateway=\
    192.168.2.1 netmask=24
add address=192.168.4.0/24 dhcp-option=\
    authsend,SIP,domain-search,VendorSPecific dns-server=\
    80.10.246.5,81.253.149.13 gateway=192.168.4.1 netmask=24
add address=192.168.42.0/24 dhcp-option=authtv,domain-search dns-server=\
    80.10.246.5,81.253.149.13 gateway=192.168.42.1 netmask=24
/ip dns
set allow-remote-requests=yes use-doh-server=https://dns.nextdns.io/ \
    verify-doh-cert=yes
/ip dns static
add address=45.90.30.0 name=dns.nextdns.io
add address=2a07:a8c0:: name=dns.nextdns.io type=AAAA
add address=2a07:a8c1:: name=dns.nextdns.io type=AAAA
add address=45.90.28.0 name=dns.nextdns.io
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input dst-port=53 protocol=udp src-address=\
    192.168.3.2
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input in-interface-list=LAN protocol=icmp
add action=drop chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Allow multicast TV Orange" dst-port=\
    8200,8202 in-interface=vlan840-wan protocol=udp
add action=accept chain=input comment="Service Orange TV" dst-port=5678 \
    in-interface-list=Orange_TV protocol=udp
add action=accept chain=input comment="Allow IGMP for Orange TV" \
    in-interface-list=Orange_TV protocol=igmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN log-prefix=debug
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="DNS/NTP pour le decodeur TV Orange" \
    dst-port=53,123,5000 in-interface=vlan-tv out-interface=bridge-wan \
    protocol=udp
add action=accept chain=forward comment="HTTP/S pour le decodeur TV Orange" \
    dst-port=80,443,8554 in-interface=vlan-tv out-interface=bridge-wan \
    protocol=tcp
add action=accept chain=forward comment="TV Orange" dst-port=8200,8202 \
    in-interface=vlan840-wan out-interface=vlan-tv protocol=udp
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward dst-address=192.168.0.0/16 src-address=\
    192.168.0.0/16
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=output new-priority=5 out-interface=vlan840-wan \
    passthrough=yes src-address-type=local
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set sip disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=xxx/64,192.168.1.0/24,192.168.4.0/24
set ssh address=xxx/64,192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24,xxxx/64,192.168.4.0/24
set api-ssl disabled=yes
/ip ssh
set forwarding-enabled=local
/ipv6 address
add address=::1 from-pool=pool_FT_6 interface=vlan1
add address=::1 from-pool=pool_FT_6 interface=vlan2
add address=::1 from-pool=pool_FT_6 interface=DMZ
/ipv6 dhcp-client
add add-default-route=yes dhcp-options="authsend,userclass,class-identifer " \
    dhcp-options="authsend,userclass,class-identifer " interface=bridge-wan \
    pool-name=pool_FT_6 rapid-commit=no request=prefix use-peer-dns=no
/ipv6 dhcp-server
add address-pool="" dhcp-option=dnssrv interface=vlan1 lease-time=8h name=\
    Ip6vlan1
/ipv6 firewall address-list
add address=fe80::/10 comment="defconf: RFC6890 Linked-Scoped Unicast" list=\
    no_forward_ipv6
add address=ff00::/8 comment="defconf: multicast" list=no_forward_ipv6
add address=::1/128 comment="defconf: RFC6890 lo" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: RFC6890 IPv4 mapped" list=\
    bad_ipv6
add address=2001::/23 comment="defconf: RFC6890" list=bad_ipv6
add address=2001:db8::/32 comment="defconf: RFC6890 documentation" list=\
    bad_ipv6
add address=2001:10::/28 comment="defconf: RFC6890 orchid" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: RFC6890 Discard-only" list=\
    not_global_ipv6
add address=2001::/32 comment="defconf: RFC6890 TEREDO" list=not_global_ipv6
add address=2001:2::/48 comment="defconf: RFC6890 Benchmark" list=\
    not_global_ipv6
add address=fc00::/7 comment="defconf: RFC6890 Unique-Local" list=\
    not_global_ipv6
add address=::/128 comment="defconf: unspecified" list=bad_dst_ipv6
add address=ff00::/8 comment="defconf: multicast" list=bad_src_ipv6
add address=2a01:xxx::/64 comment="Internal Vlan1" list=\
    internal_lan
add address=2a01:xxx::/64 comment="Internal Vlan2" list=\
    internal_lan
add address=2a01:xxx::/64 comment="Internal DMZ" list=internal_lan
/ipv6 firewall filter
add action=accept chain=input dst-port=546 in-interface=bridge-wan protocol=\
    udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/16
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment="defconf: drop bad forward IPs" \
    src-address-list=no_forward_ipv6
add action=drop chain=forward comment="defconf: drop bad forward IPs" \
    dst-address-list=no_forward_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="Allow ssh access from Vlan1 to DMZ" \
    dst-port=22 in-interface=vlan1 out-interface=DMZ protocol=tcp src-port=""
add action=drop chain=forward comment="Block interVLAN to Vlan1" \
    out-interface=vlan1 src-address-list=internal_lan
add action=drop chain=forward comment="Block interVLAN to Vlan2" \
    out-interface=vlan2 src-address-list=internal_lan
add action=drop chain=forward comment="Block interVLAN to DMZ" out-interface=\
    DMZ src-address-list=internal_lan
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\
    !LAN
/ipv6 firewall mangle
add action=mark-packet chain=output comment="Neighbor Solicitation NS" \
    icmp-options=135:0-255 new-packet-mark=na/ns out-interface=bridge-wan \
    passthrough=no protocol=icmpv6
add action=mark-packet chain=output comment="Neighbor Advertisement NA" \
    icmp-options=136:0-255 new-packet-mark=na/ns out-interface=bridge-wan \
    passthrough=no protocol=icmpv6
/ipv6 firewall raw
add action=accept chain=prerouting comment=\
    "defconf: enable for transparent firewall" disabled=yes
add action=accept chain=prerouting comment="defconf: RFC4291, section 2.7.1" \
    dst-address=ff02::1:ff00:0/104 icmp-options=135 protocol=icmpv6 \
    src-address=::/128
add action=drop chain=prerouting comment="defconf: drop bogon IP's" \
    src-address-list=bad_ipv6
add action=drop chain=prerouting comment="defconf: drop bogon IP's" \
    dst-address-list=bad_ipv6
add action=drop chain=prerouting comment=\
    "defconf: drop packets with bad SRC ipv6" src-address-list=bad_src_ipv6
add action=drop chain=prerouting comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_dst_ipv6
add action=drop chain=prerouting comment="defconf: drop non global from WAN" \
    in-interface-list=WAN src-address-list=not_global_ipv6
add action=accept chain=prerouting comment=\
    "defconf: accept local multicast scope" dst-address=ff02::/16
add action=drop chain=prerouting comment=\
    "defconf: drop other multicast destinations" dst-address=ff00::/8
add action=accept chain=prerouting comment=\
    "defconf: accept everything else from WAN" in-interface-list=WAN
add action=accept chain=prerouting comment=\
    "defconf: accept everything else from LAN" in-interface-list=LAN
add action=drop chain=prerouting comment="defconf: drop the rest"
/ipv6 nd
set [ find default=yes ] advertise-dns=no dns=2a01:xxx::1 \
    hop-limit=64 interface=vlan1 other-configuration=yes ra-interval=6s-15s
add advertise-dns=no interface=vlan2
add advertise-dns=no interface=DMZ
/ipv6 nd prefix default
set preferred-lifetime=30m valid-lifetime=1h
/routing igmp-proxy interface
add alternative-subnets=193.0.0.0/8,81.0.0.0/8,172.0.0.0/8,80.0.0.0/8 \
    interface=vlan840-wan upstream=yes
add interface=vlan-tv
/system clock
set time-zone-name=Europe/Paris
/system ntp client
set enabled=yes
/system ntp client servers
add address=5.196.160.139
add address=212.85.158.10
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set filter-interface=bridge-LAN filter-ip-protocol=udp

Merci par avance de vos retours.

ochbob · « **Réponse #68 le:** 03 décembre 2022 à 22:07:43 »

Hello,

est ce que ce routeur est toujours interessant ?
Sur la papier il fait bien envie...
Les SFP+ est OK pour sync HGSMII 2.5gbps avec un ONU-34-20BI pour une connection Orange ?

Ça serait pour coupler avec un switch CRS 305.

Merci à vous.

Fyr · « **Réponse #69 le:** 04 décembre 2022 à 04:57:33 »

Citation de: nonolk le 03 décembre 2022 à 14:58:50

Par contre, je suis coincé avec deux bridges, un pour le lan (hardware offloadé, car utilisations de vlans) et un pour le wan (non offloadé car sur le rb5009 seulement le premier bridge bénéficie de l'offload).
J'ai essayé en vain de faire avec un seul bridge, mais dans ce cas-là, la COS6 n'est jamais appliqué (les bridge filter rules ne matchent jamais).

Entre ton LAN et Internet c'est le routage qui va fonctionner et là tu as une regle de fastpath que tu sembles avoir :
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes

et normalement tu dois voir les compteurs monter

par contre si le flux redescend via l'interface WAN qui va dans un bridge filter non offloadé c'est mort.
Et le trafic IPv6 ne sera pas offloadé non plus.

Ca veut juste dire que c'est pas le bon routeur pour ce FAI. Le RB5009 est bien pour être coller au cul d'une freebox en bridge par ex. Ou d'un FAI qui ne bidouille pas des champs exotiques des en-têtes ethernet.

Apres tu peux faire le choix de virer les VLANS et leur gestion et de garder une règle pour envoyer le trafic "DMZ" sur une machine ou un range. Et tu consacres le seul bridge offloadé au tripotage imposé par l'agrume. Goodies tu pourras même ajouter une regle d'hairpin sur ton dmz.

Ou creer plusieurs bridges à partir des interfaces et router entre eux sans tag vlan. Genre bridge 1 port eth 1 et 2, bridge 2 port eth 5 et 6... et les pool dhcp associés aux interfaces bridge 1 et bridge 2 etc. Et ca sera étanche entre les bridges qui seront routé à l'ancienne et mettre les règles de firewall.

nonolk · « **Réponse #70 le:** 04 décembre 2022 à 10:32:42 »

@Fyr, merci pour ton retour ça confirme mon avis, du coup pour le moment avec mon abo 500/500 ça tiens sans trop de soucis: 30% de cpu en pleine charge. En extrapolant ça devrait aussi tenir pour du giga, par contre pour du 2Gbits ça risque d’être un peu juste…

Et dans ce cas là le coupler avec un CRS305 avec un dac pour faire le marquage de la cos6 semble être une très bonne idée.
Car cela permet de se passer du deuxième bridge…. @ochbob du coup dans ton cas ça devrait le faire oui, c’est la solution vers la quelle je vais me tourner je pense.

Si d’autres ont un autre point vue ? J’aimerais bien avoir leurs avis.

Bon dimanche

ochbob · « **Réponse #71 le:** 04 décembre 2022 à 12:08:14 »

nonolk, dans ton cas tu essayais de tagguer en CoS 6 les requîtes DHCP via le RB5009 directement si je comprends bien ton installation ?
Et du coup face aux diffcultés, tu pense te rabattre sur le CRS305 pour lui déléguer cette tache ?
Ton ONU resterait dans dans le RB5009 ?

FIBRE > ONU > RB5009 > CRS3005 > LAN ?