Bonjour,
Petit tuto pour remplacer votre BBox par un router/switch Mikrotik.
J'utilise un CRS109-8G-1S-2HnD, qui est plus switch à la base sur lequel on a greffé un gros cpu pour faire du routage.
Donc si vous reprenez ce tuto pour une routerboard classique faudra ne pas prendre en compte la partie switch et faire attention aux noms des interfaces.
Ce switch dispose d'une cage SFP, j'y ai donc mis un SFP Cuivre dédié pour le coté ONT fibre.
Sur mikrotik, la cli est assez pertubante, je conseil d'utiliser la web interface (très bien faite), ou le client 'lourd' winbox également très bon.
J'utilise la dernière version stable 6.43.4
Pour info, je suis en ZMD dans la métropole Lilloise, déployé en fibre Orange en Février dernier et chez BouygTel depuis Juin.
Je ne sais pas quand je suis passé en vlan 100, tout ce que je sais c'est que j'ai viré la bbox il y a 3 semaines bientôt et j'ai aucun soucis depuis.
On commence par assigner la MAC de la BBox sur l'interface coté ONT (semble t il pas forcèment nécessaire, à tester) :
/interface ethernet
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment="Fibre WAN" mac-address=34:6B:XX:XX:XX:XXOn créé l'interface vlan 100 sur l'interface physique :
/interface vlan
add interface=sfp1 name=Fibre_ByTel_vl100 vlan-id=100
On créé le vendorid BYGTELIAD :
/ip dhcp-client option
add code=60 name=vendorid value=0x42594754454c494144Et on met l'interface wan en client dhcp :
/ip dhcp-client
add dhcp-options=vendorid disabled=no interface=Fibre_ByTel_vl100Normalement à ce niveau si on branche l'interface WAN (sfp1 ici) sur l'ONT à la place de la bbox on doit avoir une IP publique
Ensuite pour le LAN on créé un bridge avec les ports restants :
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=wlan1
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=ether6
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8On active dhcp snooping sur le bridge (c'est pour la box TV)
/interface bridge
add comment="Switch Bridge" igmp-snooping=yes name=bridge
On créé une interface pour le bridge :
/ip address
add address=192.168.1.1/24 comment=LAN_USR interface=bridge network=192.168.1.0On créé un pool IP pour le DHCP local :
/ip pool
add name=dhcp_pool_lan ranges=192.168.1.20-192.168.1.50On défini les carractéristiques du dhcp local :
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 domain=domain.home gateway=192.168.1.1 netmask=24Ici c'est une ruse pour spécifier les DNS au boitier bbox4k, avec une réservation dans le DHCP. (C'est pour que le replay fonctionne, enfin au moins les menus...):
Je fixe l'ip dhcp de la box par réservation DHCP avec la MAC (vous verrez ce sera utile plus tard). Puis je defini un network /32, pour lui donner les DNS Bouygues uniquement.
/ip dhcp-server network
add address=192.168.1.20/32 dns-server=194.158.122.10,194.158.122.15 domain=domain.home gateway=192.168.1.1 netmask=24
/ip dhcp-server lease
add address=192.168.1.20 mac-address=D0:05:XX:XX:XX:XX server=dhcp_lanOn active le DHCP serveur :
/ip dhcp-server
add address-pool=dhcp_pool_lan disabled=no interface=bridge name=dhcp_lanOn se défini des DNS correctes pour le dns local du Mikrotik (...et pour les clients dhcp autres que boitier TV) :
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4Après on fait du firewall :
On se met du NAT pour sortir :
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Fibre_ByTel_vl100 src-address=192.168.1.0/24Et on filte en faisant gaffe aux flux TV :
/ip firewall filter
'Chaine INTPUT'
add action=accept chain=input in-interface=Fibre_ByTel_vl100 protocol=igmp
add action=accept chain=input src-address=192.168.1.0/24
add action=accept chain=input dst-port=8200,8202 in-interface=Fibre_ByTel_vl100 protocol=udp
add action=drop chain=input
'Chaine FORWARD'
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward protocol=udp
add action=accept chain=forward out-interface=Fibre_ByTel_vl100
add action=drop chain=forward
'Chaine OUTPUT'
Rien... Y'a tout qui sortInfo : si vous n'aviez pas Fastrack actif sur votre routerboard, il faudra l'activer puis rebooter et les règle fasttrack apparaitront. Ca doit pouvoir marcher sans, mais ca permet de gagner 10 à 20% de CPU.
A ce moment internet doit fonctionner sans restriction !
Enfin on active IGMP Proxy, pour récupérer le flux IPTV :
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=Fibre_ByTel_vl100 upstream=yes
add alternative-subnets=0.0.0.0/0 interface=bridgePour la partie wifi du router, j'ai opté pour la facilité, j'ai juste bridgé sur le switch. Je verrai plus tard pour mettre le wifi sur un subnet dédié.
Il restera à sécuriser davantage les flux firewall entrant pour la TV, car je trouve çà limite pour le moment. Apparemment la TV utilise les port UDP 8200 et 8202. A brider en INPUT et en FORWARD. J'aimerai bien réussir à filtrer les sources, mais faut que j'y travail...
Voilà avec çà, Internet OK, Wifi OK, TV OK (iptv toutes chaines) et Replay BofBof. Telephone NOK (mais je m'en sert pas, et je pense que sans bbox c'est impossible. A tenter BBox sur un port LAN avec le tel derrière ca peut ptet marcher).
Question performance j'ai pas trop tester, mais avec mon laptop qui ne fait que du 100M j'avais 100M en montant et descendant sur Speedtest.
En utilisation pour la TV par exemple le CPU monte à 30% avec 2 flux TV donc env 25 Mbps et un peu de download/upload.
Et là, c'est le debut de la liberté ! (vlan, VPN, filtrage, un truc sérieux
)
Je posterai de nouveau les évolutions pour la partie firewall, car j'ai une solution pour le replay qui d'après les premiers tests fonctionne, mais qui est pas au top encore.
Egalement coté sécu, là j'ai donné le mini possible.
Si vous êtes sur mikrotik je vous conseil de suivre ce guide pour la sécurisation du router :
https://www.manitonetworks.com/networking/2017/7/25/mikrotik-router-hardeninga+
EDIT 04/01/2019 :
1) ne pas oublier d'ajouter le package multicast sur le mikrotik qui n'est pas installé par défaut sinon la config IGMP Proxy est pas possible :
> télécharger le zip "extra packages" du site mikrotik correspondant au hardware et à la version de routeros
> copier multicast.ppk sur la flash du router
> redémarrer
> repasser les blocs de config pour l'IGMP proxy si vous aviez oublier de faire cette install avant de vous lancer dans la config
2) partir d'une config vierge idéalement avant d'injecter cette config (modifiée en fonction de votre matériel)
- /system reset-configuration no-defaults skip-backup
==> Attention si vous faites cette action, le router ne sera administrable que par le câble console, jusqu'a ce que vous remettiez une config mini
==> A ne tenter que si vous avez le câble console et que vous êtes un minimum habitué à la CLI.
- sinon, passez par Winbox pour nettoyer un maximum (notamment règle de firewall) avant de vous lancer dans la reconfig.
3) Coté charge le CRS109 est env à 25-30% avec deux flux TV + Internet peu importe le débit grâce à Fasttrack ca tient la route. Mais faut pas lui en demander plus !!
Au delà on commence à perdre des paquets, et la TV fait des artéfact... le CPU galère.
=> partir sur une gamme RB un peu plus moderne semble plus adapté genre minimum un hEX (pas le lite, trop petit)
Remplacer la Bbox par un routeur