Hello,

Ne pouvant pour le moment pas m'engager sur une offre FTTH MilkyWan, et souhaitant tout de même profiter de ce réseau, j'ai entrepris de monter un tunnel sur mon routeur OPNsense.
Comme j'ai eu quelques petites galères, je vais essayer de détailler ce que j'ai fait, et peut-être aussi vous aurez des remarques pour optimiser ça !

Premièrement, j'ai une ligne principale FTTH 300Mbps symétrique chez Sosh. Il faut d'abord que celle-ci soit fonctionnelle, avec les renews DHCP conformes aux nouvelles specs d'Orange (il y a un sujet dédié sur ce forum). Si vous avez une ligne chez quelqu'un d'autre, il pourra y avoir des petites modifications dans ce tuto (des choses pas utiles notamment), on pourra en discuter.
Et j'ai souscris à un tunnel L2TP avec option IPv4 publique.

Dans mon cas, avant la configuration du tunnel, j'avais donc :
- 1 interface physique que j'appellerai MWAN (main wan)
- 1 interface de type VLAN que j'appelle WAN, sur laquelle il y a le client DHCP qui bosse, en IPv4 et IPv6
- plusieurs règles custom sur les flux entrants, mais rien de très spécifique.


Les prérequis à faire avant de créer le tunnel :
- ajouter 1 route statique vers le serveur DHCP d'Orange passant par la gateway de WAN (l'ip est identifiée par l'option « next-server » dans le fichier /var/db/dhcp.leases.vlan.832)
- (edit) voir les posts suivants, pour ajouter un script qui va générer une route statique automatiquement pour le serveur DHCP d'Orange, car celui-ci peut changer d'IP lors d'un reboot. En attendant d'avoir une solution plus propre
- ajouter 1 route statique vers l'endpoint L2TP de MilkyWan (celui qu'on vous a envoyé à la souscription)

- désactiver la partie IPv6 de l'interface WAN (l'endpoint L2TP étant en IPv4, ça ne sert à rien d'avoir 2 IPv6 et ça peut entrainer des galères de config du LAN)
- désactiver les règles de « force gateway » dans le menu Firewall > Settings > Advanced > disable force gateway, cela rentre en conflit avec la règle qui définit la priorité des paquets DHCP, nécessaire au bon renew coté Orange (cette option est p-e optionnelle si vous n'êtes pas chez Orange)


À ce niveau, vous devez toujours avoir un internet fonctionnel, en IPv4 only.

Dans le menu Interfaces > Point-to-Point, créer une nouvelle interface de type L2TP avec les options suivantes :
- Link interface : vlan.832 (ou le nom physique de votre interface Orange ou autre)
- Description : MilkyWan (ou ce que vous voulez)
- Username / Password : ce qu'on vous a envoyé
- Local IP : laisser vide
- Gateway : l'ip de l'endpoint qu'on vous a envoyé


Ensuite, dans Interface > Assignements, il faut créer une vraie interface basée sur ce lien Point-to-Point
Dans les paramètres de cette interface, il faut indiquer :
- Enable interface : cocher oui
- Prevent removal : cocher oui (c'est toujours mieux)
- Block private/bogon network : cocher oui (c'est bien aussi)
- IPv4 configuration type : L2TP
- IPv6 configuration type : SLAAC
- MAC address : laisser vide
- MTU : 1460 (sans ça, la connexion va monter, ça va ping mais toutes les connexions vont galérer/échouer)
- MSS : 1420
Dans la partie config L2TP, vous retrouvez les paramètres entrés précédemment
Dans la partie config SLAAC, cocher la case « Use IPv4 connectivity »


Normalement, vous devriez avoir un internet en IPv4 qui fonctionne via le tunnel !

Pour l'IPv6, il faut aller sur l'interface qui gère votre LAN, et configurer les options suivantes :
- IPv4 configuration type : ça vous gardez, c'est probablement du static
- IPv6 configuration type : Static IPv6  (c'était en track interface dans la config Orange)

Et dans la config IPv6 de cette interface, il vous faudra choisir une adresse IP statique dans un /64 (MilkyWan fournit un /48, donc à vous de choisir un /64 dedans pour votre LAN, ou sinon vous savez ce que vous faites )
IPv6 gateway à laisser en auto-detect.


Maintenant, votre routeur a de l'IPv6, mais il reste encore à la partager sur votre LAN

Dans Services > DHCPv6 > LAN (le nom de votre interface qui gère le LAN), il faut activer le DHCPv6, et mettre en range ce qui est proposé, qui correspond au /64 affecté à votre interface.
Vous pouvez ajouter une IPv6 pour le DNS (celle de votre interface LAN si vous avez un resolveur DNS qui tourne)
Et comme tous les équipements ne font pas de DHCPv6, on va aussi activer du router advertisement.
Dans Services > Router Advertisements > LAN, il faut définir :
- Router Advertisements : Assisted
- Router Priority : Normal
- Source Address : Automatic
- Advertise default gateway : cocher oui
- DNS options : Use the DNS configuration of the DHCPv6 server - si vous avez mis une IP dans la conf DNS du DHCPv6

Et voilà, un reboot pour valider, mais normalement vous devriez avoir de l'IPv4 et IPv6 comme sur une box « grand marché »

Il faudra penser à copier vos règles de pare feu entrantes pour qu'elles s'appliquent à votre interface L2TP, et autres customisations que vous auriez pu faire

Il y a une discussion en cours sur le forum de OPNsense pour peut-être patcher certaines choses qui simplifieraient cette config, cela vient du fait que Orange veut absolument des requêtes DHCP avec une priorité de 6, et il y a un conflit entre certaines règles automatiques. Donc je mettrai à jour si à l'avenir, la configuration se simplifie.
Et n'hésitez pas à me dire si vous auriez fait des choses différemment !

Coté performances, j'approche toujours les 300Mbps symétriques de la ligne, et le ping a pris ~1,5ms, mais tout fonctionne bien.

Bon, j'ai temporairement redésactivé mon tunnel L2TP car il y a 2 soucis :
- ça a marché un temps mais j'ai à nouveau une déconnexion de la ligne principale Sosh à chaque renouvellement du bail
- et depuis 2 jours, l'IPv6 marche de manière très étrange mais très mal

Je repars d'une conf clean Sosh only pour fixer le premier souci, et je remonterai le tunnel (en mettant à jour mon premier post) petit à petit.

Je suis dans le même cas que toi, Sosh 300/300 + tunnel MW (je ne me sers que de l'IPv6 par contre). Je te conseil de passer sur un routeur Mikrotik (rb4011 pour ma part), ca juste marche...

Pour ton problème de déco Sosh, le DHCP te filerais pas une IP en RFC1918 par hasard? Ca arrive si tu ne respectes pas scrupuleusement ce que le DHCP attend, ce que j'avais salement workaround sur mon Mikrotik via un script qui tournait (et qui tourne toujours d'ailleurs, au cas où) toutes les 30s:
/system script
add dont-require-permissions=no name=fix-sosh-dhcp policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="{\r\
    \n  :local currentIP [/ip address get [find interface=\"ether1\"] address];\r\
    \n  :if (((\$currentIP in 10.0.0.0/8) or (\$currentIP in 172.16.0.0/12)) or (\$currentIP in 192.168.0.0/16)) do={\r\
    \n    /ip dhcp-client release [/ip dhcp-client find where interface=ether1]\r\
    \n    :log info \"rfc1918 IP detected on ether1, releasing dhcp lease...\"\r\
    \n  }\r\
    \n}"
Bon, depuis le temps, j'ai pris le temps de corriger la root cause, et je n'ai plus d'IP en RFC1918.

Bon, j'ai refait ma conf hier, et aujourd'hui, je n'ai pas eu de coupure.
Entre mon premier post et actuellement, la seule chose qui semble changer est l'IP du serveur DHCP d'Orange. Donc ils en ont sans doute plusieurs.

Du coup, en solution à l'arrache pour vérifier, je me suis fait un script qui vérifie si l'ip définie dans le fichier de lease dhcp est bien dans la table de routage, et si non, ça l'ajoute. en Cron toutes les heures histoire d'être tranquille.
Si cela se confirme (connexion stable et plusieurs IP ajoutées dans la table), j'essaierai de voir avec les devs d'OPNsense si y'a moyen de faire un truc plus propre, intégré au script qui gère le renew du bail DHCP.

Hello,

Merci beaucoup pour ce tuto! Ca m'a beaucoup aidé. Personnellement je suis sur du FTTH Bouygues en OPNSense (pas de souci de bail ). J'ai mixé 2 tutos, le tiens pour créer l'interface L2TP et m'y authentifier.

Par contre pour garder un peu plus de flexibilité sur qui se connecte via le WAN MilkyWan, j'ai préféré utiliser des regles de Firewall comme mentionné dans le tuto OPNSense sur les VPN de Wireguard de routage selectif: https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html

Si je resume rapidement les étapes.
1/ Je configure les interfaces comme chez toi en ipv4 (L2TP) et v6 (SLAAC qui utilise l'ipv4)
2/ Je suis grossomodo le tuto opnsense:
- Creation d'Alias pour choisir quelles IPs ou sous reseaux vont utiliser le L2TP en ipv4 ou v6
- Je definis une regle firewall sur chaque interface que je veux tunneler via Milky en utilisant cet alias
- Je definis tout de meme une regle de routage comme tu l'avais fait (rappelé dans le tuto)
- Je créé une regle outbound NAT pour l'ipv4

Résultat, c'est assez sympa de pouvoir basculer certaines machines pour effectuer des tests (en gros juste mon LAN et mon GuestVlan par exemple).