Auteur Sujet: [TUTO] Remplacement BBox Fibre par Mikrotik (IPv4, IPv6 et TV/Replay) (Lu 20969 fois)

piscou · « **Réponse #36 le:** 27 décembre 2024 à 21:39:43 »

Citation de: pinomat le 11 mai 2024 à 17:18:17

Forcer IGMPv2 (workaround)

- Relier le port WAN du routeur à un switch
- Relier la première interface du second igmpproxy au LAN (pour l'installation bon fonctionnement d'IGMP Proxy)
- Relier la seconde interface du second igmpproxy au même switch que SFP GPON
- Le switch doit être correctement configuré pour autoriser le VLAN100 sur les 2 ports, ne pas activer l'IGMP Snooping sur le VLAN100

Installation du conteneur LXC sous proxmox
Voici une très rapide explication de ce que j'ai fait.
Se connecter en ssh au serveur proxmox et créer le conteneur
Code: [Sélectionner]
#Télécharger le script de création du conteneur LXC wget https://github.com/tteck/Proxmox/raw/main/ct/debian.sh #Modifier les droits pour l'exécution chmod +x ./debian.sh
Exécuter le script et configurer le conteneur avec l'interface connectée au LAN

Créer une seconde interface eth1 pour le conteneur lxc via CLI ou WebUI

Se connecter au conteneur lxc
Code: [Sélectionner]
#Lancer la console du conteneur lxc-console XXX #Saisir les identifiants renseignés lors de l'installation du contenur #Installer iptables + iptables-persistent + tcpdump + igmpproxy apt-get update;apt-get install iptables iptables-persistent tcpdump igmpproxy #Bloquer le traffic par défaut pour les chain INPUT, OUTPUT, FORWARD - parce qu'on a besoin de rien d'autre iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Autoriser 12 paquets IGMP par heure vers l'adresse 224.0.0.1/32 et l'interface de sortie eth1 iptables -A OUTPUT -d 224.0.0.1/32 -o eth1 -p igmp -m limit --limit 12/hour -j ACCEPT #Sauvegarder les règles iptables netfilter-persistent save #Quitter la console avec ctrl-a puis q
Bon courage à tous.

Bonjour, et merci pour le tuto, cela faisait un bail que je cherchais une solution pour forcer les trames igmp en v2
J'ai une config à base d'Opnsense sous proxmox, j'ai donc tenté de transcrire tout cela :
- création du conteneur debian, installation des paquets
- pour les interfaces, le conteneur a deux pattes : l'une sur le bridge vmbr100 qui est sur le wan, l'autre sur le bridge qui va au lan de la TV

j'ai appliqué les regles iptables mais...rien
peux tu partager un peu plus ta config, en particulier celle d'igmpproxy dans le conteneur (quelles IP as tu mis pour tes interfaces ? sans ip en upstream igmpproxy refuse de démarrer)
as tu changé des options sysctl sur le conteneur ou sur proxmox pour forcer igmp en v2
Merci pour tes éclairages, si j'arrive à faire fonctionner je ferai un tuto dédié opnsense / iptv pour aider les autres !!

grunge · « **Réponse #37 le:** 28 décembre 2024 à 22:25:01 »

Bonjour,

Je viens de souscrire à la bbox pure et avant que le technicien n'arrive j'essaie de configurer mon gpon huawei.
Je n'arrive juste pas à configurer le ploam car je pense que mon stick est une version fs modded (acheté sur lbc)
Dans le script onu.sh, il n'est pas mention de npassword mais de onu_ploam, du coup je n'ai pas touché à ce script.
J'ai donc essayé de modifier la valeur, d'après la doc il faut mettre \00 au lieu de 0x00 pour fabriquer les hexa, mais rien ne s'applique. Avez vous une idée ou alors je suis bon pour remplacer le firmware avec celui de Carlito? (il faudrait que je me renseigne comment changer de firmware...)
Merci d'avance

Ippephyx · « **Réponse #38 le:** 30 janvier 2025 à 17:52:13 »

Bonjour,
Tout comme d'autres, je reste perdu pour la TV... Internet aucun soucis.
Je n'ai pas de SFP, mais un nokia ONT externe...
L'un d'entre vous aurait-il la gentillesse de me guider un peu plus pour les flux TV ?

Merci.

piscou · « **Réponse #39 le:** 31 janvier 2025 à 20:59:25 »

Bonsoir,

Désolé, moi j'ai abandonné, je me suis pris une AppleTV 4k

codename56 · « **Réponse #40 le:** 16 avril 2025 à 13:35:34 »

Bonjour,

Tout d'abord merci beaucoup pour le tutoriel ! Pour ma part je cherche à remplacer la BBox par un routeur MikroTik L009UiGS (que j'ai complété avec le module ONU SFP GPON conseillé).

J'ai suivi toutes les étapes, et le routeur obtient une IPv4. Par contre impossible d'obtenir un préfixe IPv6 et je ne comprends pas pourquoi... Si quelqu'un a une idée je suis preneur.

Je viens de revérifier le mot de passe sur le gpon, ainsi que l'adresse MAC qui est bien celle de la box. Je sèche $:-\$

Ci-dessous la configuration du routeur.

Code: [Sélectionner]

[admin@MikroTik] > /export 
# 2025-04-16 12:03:16 by RouterOS 7.14.3
# software id = ZCGK-0N3A
#
# model = L009UiGS
/interface ethernet
set [ find default-name=sfp1 ] auto-negotiation=no name=LNK_GPON_BYT
/interface vlan
add interface=LNK_GPON_BYT loop-protect=off name=BouyguesNet vlan-id=100
/interface list
add name=ADM
add name=WAN
add name=LAN
/ip dhcp-client option
add code=60 name=vendorid_bbox value="'BYGTELIAD'"
/ip pool
add name=admin ranges=192.168.100.50-192.168.100.60
add name=home ranges=10.12.4.1-10.12.4.199
/ip dhcp-server
add address-pool=admin interface=ether8 name=admin
add address-pool=home interface=ether1 name=home
/port
set 0 name=serial0
/ipv6 settings
set accept-redirects=no accept-router-advertisements=yes max-neighbor-entries=4096
/interface list member
add interface=ether8 list=ADM
add interface=BouyguesNet list=WAN
add interface=ether1 list=LAN
/ip address
add address=192.168.100.1/24 interface=ether8 network=192.168.100.0
add address=192.168.1.1/24 interface=LNK_GPON_BYT network=192.168.1.0
add address=10.12.4.254/24 interface=ether1 network=10.12.4.0
/ip dhcp-client
add dhcp-options=hostname,clientid,vendorid_bbox interface=BouyguesNet
/ip dhcp-server network
add address=10.12.4.0/24 dns-server=10.12.4.210 gateway=10.12.4.254
add address=192.168.100.0/24 gateway=192.168.100.1
/ip dns
set servers=10.12.4.210
/ip firewall filter
add action=accept chain=input comment="Allow ESTABLISHED,RELATED,UNTRACKED" connection-state=\
    established,related,untracked
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=input comment="Allow loopback" dst-address=127.0.0.1
add action=drop chain=input comment="Drop all from outside" in-interface-list=WAN
add action=fasttrack-connection chain=forward comment="Forward LAN to WAN" connection-state=\
    established,related,untracked hw-offload=yes
add action=accept chain=forward comment="Forward LAN to WAN" connection-state=established,related,untracked
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade on WAN" out-interface-list=WAN
/ipv6 dhcp-client
add add-default-route=yes interface=BouyguesNet pool-name=ipv6-pool request=prefix use-interface-duid=yes \
    use-peer-dns=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="Allow ESTABLISHED,RELATED,UNTRACKED" connection-state=\
    established,related,untracked
add action=drop chain=input comment="Drop INVALID" connection-state=invalid
add action=accept chain=input comment="Allow ICMPv6" protocol=icmpv6
add action=drop chain=input comment="Drop all from outside" in-interface-list=WAN
add action=accept chain=forward comment="Forward LAN to WAN" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop INVALID" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
/ipv6 firewall nat
add action=masquerade chain=srcnat comment="Masquerade on WAN" out-interface-list=WAN
/ipv6 nd
set [ find default=yes ] advertise-dns=no disabled=yes hop-limit=64
add interface=ether1
/system clock
set time-zone-name=Europe/Paris
/system note
set show-at-login=no
/system routerboard settings
set enter-setup-on=delete-key
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=ADM
/tool mac-server mac-winbox
set allowed-interface-list=ADM

Tout ce que je vois dans les logs du client DHCP en boucle :

Code: [Sélectionner]

11:55:44 dhcp,debug,packet send BouyguesNet -> ff02::1:2%e 
11:55:44 dhcp,debug,packet type: solicit 
11:55:44 dhcp,debug,packet transaction-id: 9e5ba7 
11:55:44 dhcp,debug,packet  -> clientid:   00030001 d401c3da 8868 
11:55:44 dhcp,debug,packet  -> elapsed_time: 57 
11:55:44 dhcp,debug,packet  -> rapid_commit: [empty] 
11:55:44 dhcp,debug,packet  -> ia_pd:  
11:55:44 dhcp,debug,packet    t1: 1800 
11:55:44 dhcp,debug,packet    t2: 2880 
11:55:44 dhcp,debug,packet    id: 0xb

fttmeh · « **Réponse #41 le:** 16 avril 2025 à 14:47:20 »

Bonjour,

Dans le ruleset il manque une règle pour permettre la reception des paquets DHCPv6 :

Code: [Sélectionner]

/ipv6 firewall filter
add action=accept chain=input comment="Allow ESTABLISHED,RELATED,UNTRACKED" connection-state=\
    established,related,untracked
add action=drop chain=input comment="Drop INVALID" connection-state=invalid
add action=accept chain=input comment="Allow ICMPv6" protocol=icmpv6

## À RAJOUTER
add action=accept chain=input comment="Accept DHCPv6 client prefix delegation" dst-port=546 src-port=547 protocol=udp src-address=fe80::/10
## /end ##

add action=drop chain=input comment="Drop all from outside" in-interface-list=WAN

codename56 · « **Réponse #42 le:** 16 avril 2025 à 18:44:50 »

Bon sang je suspectais mes règles de firewall en plus ! Merci pour le coup de main, mon problème est résolu, le routeur a bien obtenu son préfixe IPv6 !

Merci infiniment.

Kelyan · « **Réponse #43 le:** 28 avril 2025 à 18:36:17 »

Bonjour,

Je viens de recevoir mon RB5009 ainsi que mon GPON-ONU-34-20BI.
J'ai une offre pure fibre sans l'option débit + (donc pas besoin de la TV)
Je vais donc avoir une installation qui ressemble à celle de Flo_77.

Concernant le numéro de série, je trouve celui de la BBox (F5688b-v2) commençant par SQ puis 13 chiffres, mais je ne trouve pas celui du module GPON CS50001. Evidemment, celui écrit directement sur ce dernier est composé de 16 chiffres. Aucun "SMB" à l'horizon.
Je n'ai pas la même interface web que le post original. Surement une maj coté Bouygues.

Donc actuellement, pas de réponse au client DHCP. Vous savez s'il y a un ban coté Bouygues après un certain nombre de requetes DHCP infructueuses ? Vous mettez combien de temps avant d'avoir une réponse DHCP ?

Ma configuration actuelle ressemble à ça :
Coté ONU :

Code: [Sélectionner]

set_serial_number SQ0000000000000
# J'ai également testé avec celui à 16 chiffres sur l'étiquette de l'ONU Bouygues.

uci set gpon.ploam.nPassword="0x00 0x00 0x0X 0xXX 0xXX 0xXX 0xXX 0xXX 0xXX 0xXX"
fw_setenv nPassword 0x00 0x00 0x0X 0xXX 0xXX 0xXX 0xXX 0xXX 0xXX 0xXX

fw_setenv mib_file data_1g_8q_us1280_ds512.ini

uci set network.host.macaddr="94:98:8F:XX:XX:XX"

# Le uci commit & reboot ont été éfféctués

Coté RB5009:

Code: [Sélectionner]

/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no name=LNK_GPON_BYT speed=2.5G-baseX

/interface vlan
add interface=LNK_GPON_BYT name=BouyguesNet vlan-id=100

/ip dhcp-client option
add code=60 name=vendorid_bbox value="'BYGTELIAD'"

/ip dhcp-client option
add code=61 name=clientid_btel value="'94:98:8F:XX:XX:XX'"

/ip dhcp-client
add dhcp-options=hostname,clientid_btel,vendorid_bbox interface=BouyguesNet

/interface list
add comment="Interface for WAN - Interface that needs Masquerade" name=WAN

/interface list member
add interface=BouyguesNet list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="Accept masquerade on WAN interface" out-interface-list=WAN

/ipv6 settings
set accept-redirects=no accept-router-advertisements=yes disable-ipv6=no forward=yes max-neighbor-entries=16384
# Ici 4096 me retournais une erreur, 8192 aussi.

/ipv6 dhcp-client
add add-default-route=yes default-route-distance=1 dhcp-options="" dhcp-options="" disabled=no interface=BouyguesNet pool-name=ipv6-pool pool-prefix-length=64 prefix-hint=::/0 request=prefix \
    use-interface-duid=yes use-peer-dns=no

# Je n'ai pas mis en place l'édit de pinomat concernant la QoS étant donné que je n'ai pas l'option sur le RB5009.

Des idées ? J'aimerai éviter de reset la BBox (ayant des config dessus) afin de rollback de version et changer l'interface WEB.

fttmeh · « **Réponse #44 le:** 28 avril 2025 à 19:01:32 »

Citation de: Kelyan le 28 avril 2025 à 18:36:17

Bonjour,

Je viens de recevoir mon RB5009 ainsi que mon GPON-ONU-34-20BI.
J'ai une offre pure fibre sans l'option débit + (donc pas besoin de la TV)
Je vais donc avoir une installation qui ressemble à celle de Flo_77.

Concernant le numéro de série, je trouve celui de la BBox (F5688b-v2) commençant par SQ puis 13 chiffres, mais je ne trouve pas celui du module GPON CS50001. Evidemment, celui écrit directement sur ce dernier est composé de 16 chiffres. Aucun "SMB" à l'horizon.
Je n'ai pas la même interface web que le post original. Surement une maj coté Bouygues.

Un autre utilisateur (@nwks) a trouvé une façon d'obtenir les informations nécessaires : https://lafibre.info/remplacer-bbox/bbox-ultym-pas-de-sn-sfp-dans-linterface/msg1103725/#msg1103725 . Je n'ai pas testé en revanche.

Kelyan · « **Réponse #45 le:** 28 avril 2025 à 19:23:54 »

Citation de: fttmeh le 28 avril 2025 à 19:01:32

Un autre utilisateur (@nwks) a trouvé une façon d'obtenir les informations nécessaires : https://lafibre.info/remplacer-bbox/bbox-ultym-pas-de-sn-sfp-dans-linterface/msg1103725/#msg1103725 . Je n'ai pas testé en revanche.

Citation de: nwks le 26 janvier 2025 à 17:11:01

Pour l'instant pas de succès de mon côté en utilisant un SN "SMBSxxxxxxxx" : je reste coincé en "O2.3, Serial number state" $:-\$

Je leur laisse encore le bénéfice du doute, et je vais peut-être contacter le support pour leur remonter ce "bug" de l'interface...

Edit : le SN est en fait toujours visible via l'API ici : https://mabbox.bytel.fr/api/v1/wan/sfp
Dans la propriété "serial_number", il est simplement donné en hexa, i.e. 0x534d4253xxxxxxxx = SMBSxxxxxxxx (les 8 premiers digits sont à convertir en ASCII).
Après saisie dans le WAS-110 et reboot, j'obtiens bien un O5

Plus qu'a finaliser le setup...

Merci ! L'API m'a bien retourné le S/N et j'obtien maintenant mes IPv4 et v6 en DHCP. Donc apparemment pas de BAN coté Bouygues après des tentatives infructueuses, j'ai eu une réponse DHCP en moins de 30 secondes.
Pour info, Bouygues ne semble pas sensible à la casse. Dans les 8 digits après SMBS, j'ai une lettre et ça fonctionne en minuscule.