Auteur Sujet: RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON  (Lu 1678 fois)

0 Membres et 1 Invité sur ce sujet

FiberDude

  • Client Free fibre
  • *
  • Messages: 9
  • St Orens (31)
Update - 31-10-2019 :
Il y en fait encore moins de conf à faire qu'initialement : pas besoin de routes et de pools IPv6 sur le MikroTik.
+ Ajout de règles firewall : pas besoin de celui de la box bloquant l'ICMPv6

=>Je voulais partager ici un récap de ce que j'ai pu trouver ça et là sur le web et qui m'a permis de mettre en place IPv6 sur mon réseau domestique  :-*.

Le Set-up :
  • Un accès fibre ZMD en 10G-EPON
  • Le media converter "MDCONU" Fibre <=> SFP, fourni par Free
  • Une Freebox Mini4K configurée en mode bridge
  • Un MikroTik avec une configuration "classique" : 1 port WAN + 1 bridge avec N ports LAN/Wifi) et le package IPv6 activé : en l’occurrence pour moi il s'agit d'un RB2011 (+ un RB941 en spare)
  • Une IPv4 full stack : je ne suis pas sûr que cela soit essentiel ici, mais c'est ma situation au moment où j'ai fait ces manipulations
=> On est sur un réseau qui fonctionne déjà parfaitement bien en IPv4 avec le mode bridge sur du 10G-EPON.

Le Mod'op :
Sur le MikroTik :
  • Noter l'IPv6 "link-local" du port WAN
Sur l'interface FreeboxOS :
  • Aller dans les paramètres de configuration IPv6 et noter les préfixes IPv6 attribués : 2a01:e0a:XXXX:XXX[0-7]::/64. La Freebox a l'IP 2a01:e0a:XXXX:XXX0::1
  • Facultatif : activer le firewall IPv6
  • Dans la partie Délégation de prefixe : mettre l'IPv6 du port WAN du MikroTik dans le champ Next Hop du deuxième préfixe 2a01:e0a:XXXX:XXX1::/64.
Sur le MikroTik :
  • Accepter les RA (router advertisments) :
/ipv6 settings
set accept-router-advertisements=yes
  • Reconfigurer le Neighbor Discovery (menu : IPv6 => ND) :
    /ipv6 nd
    set [ find default=yes ] disabled=yes
    add hop-limit=64 interface="LAN Trusted" managed-address-configuration=yes other-configuration=yes ra-interval=20s-1m
    add hop-limit=64 interface=WAN
    • Ajouter des IPv6 statiques aux ports WAN et LAN basées respectivement sur le premier et deuxième préfixe notés précédemment (le port WAN prends la ::2 car la Fbx a la ::1, le port LAN peut prendre la ::1 sur le deuxième préfixe) :
    /ipv6 address
    add address=2a01:e0a:XXXX:XXX0::2 interface=WAN
    add address=2a01:e0a:XXXX:XXX1::1 interface=LAN
    • Ajout de règles firewall : Laisser passer pings et dropper tout le reste
    /ipv6 firewall filter
    add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
    add action=accept chain=input comment="INPUT : Accept established, related" connection-state=established,related
    add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
    add action=accept chain=forward comment="FWD : Accept established, related" connection-state=established,related
    add action=drop chain=forward comment="FWD : Drop everything else" in-interface=WAN log-prefix="DROP : IPv6 FORWARD"
    add action=drop chain=input comment="INPUT : Drop everything else" in-interface=WAN log-prefix="DROP : IPv6 INPUT"

    Et voila : on est en IPv6 !!

    Tests
    • Sur le MikroTik, dans la "Neighbor List" IPv6, on doit voir sur l'interface WAN deux entrées avec la MAC de la Freebox et deux IPv6 : la "link-local" fe80::... et la publique : 2a01:e0a:XXXX:XXX0::1.
    • Obtention d'IPv6, dérivées du deuxième préfixe, coté clients par auto-configuration RA (pas de DHCPv6 !!)
    • Ping sortant vers DNS IPv6 de Google : 2001:4860:4860::8888 (OK depuis un client mais KO depuis le MikroTik)
    • Ping entrant : http://www.ipv6now.com.au/pingme.php
    • Vérification de la connectivité et du navigateur : https://ipv6-test.com/ )
    • Scan de ports : http://www.ipv6scanner.com/cgi-bin/main.py

    + Pour aller plus loin :
    Ajout d'un LAN IOT / Guest
    • Sur FreeboxOS : ajouter l'IPv6 local du port WAN Mikrotik dans un autre préfixe :  2a01:e0a:XXXX:XXX2::/64.
    [li]Sur Mikrotik : ajouter un IPv6 statique au port/bridge portant les LAN IOT/Guest
/ipv6 address add address=2a01:e0a:XXXX:XXX2::1 interface="LAN Guest"
    « Modifié: 31 octobre 2019 à 13:43:15 par FiberDude »

    Florian

    • Client Free fibre
    • *
    • Messages: 1 410
    • FTTH 10G-Epon+4G BT - Argenteuil (95)
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #1 le: 26 octobre 2019 à 09:30:21 »
    Merci beaucoup pour les infos. Passant bientôt chez Free, ca me sera utile.

    fouinix

    • Client Orange Fibre
    • *
    • Messages: 38
    • Valence (26)
      • Blog
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #2 le: 01 novembre 2019 à 18:25:34 »
    Merci pour ces infos, ça m'a bien aidé à configurer mon HAP AC².
    En revanche il sature à 100% de CPU sur un core en IPv6 autour de 400Mb/s alors qu'il arrive à très bien gérer le 1Gb/s en ipv4 avec ~25% sur un core.

    Catalyst

    • Client FAI autre
    • *
    • Messages: 177
    • Antibes / Paris
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #3 le: 01 novembre 2019 à 19:09:06 »
    Merci pour ces infos, ça m'a bien aidé à configurer mon HAP AC².
    En revanche il sature à 100% de CPU sur un core en IPv6 autour de 400Mb/s alors qu'il arrive à très bien gérer le 1Gb/s en ipv4 avec ~25% sur un core.

    Fastrack n'existe pas pour ipv6, ceci peut expliquer cela.

    Hugues

    • AS57199 MilkyWan
    • Expert
    • *
    • Messages: 7 618
    • Paris (15ème)
      • Twitter
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #4 le: 01 novembre 2019 à 19:16:02 »
    J'ai déjà fait le gig v4 + v6 avec fasttrack (et donc conntrack en v6) sur un HexS, du coup, je ne sais pas trop...

    fouinix

    • Client Orange Fibre
    • *
    • Messages: 38
    • Valence (26)
      • Blog
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #5 le: 01 novembre 2019 à 20:17:17 »
    Après j'ai des VLAN au milieu. J'ai essayé en désactivant toutes les règles de filtrage, j'ai eu un léger gain mais le CPU saturait quand même :(

    fouinix

    • Client Orange Fibre
    • *
    • Messages: 38
    • Valence (26)
      • Blog
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #6 le: 01 novembre 2019 à 22:37:46 »
    Bon j'ai refais des tests en simplifiant ma configuration. Je peux avoir le même débit si je désactive toutes les règles. Par contre, il suffit que j'en réactive une toute simple, par exemple :
     add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

    Pour que le débit chute à nouveau. J'ai ouvert un post sur le forum Mikrotik, on va voir... Sinon je verrai pour passer sur un routeur plus performant.

    FiberDude

    • Client Free fibre
    • *
    • Messages: 9
    • St Orens (31)
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #7 le: 02 novembre 2019 à 10:54:11 »
    En effet fouinix, Catalyst semble avoir vu juste : après ton message de hier, j'ai aussi fait quelques tests.
    De mon coté, j'ai un 2011UAS-2HnD-IN, donc avec CPU un Atheros AR9344 @ 600 Mhz et 1 seul coeur.

    Je n'ai, à priori, pas atteint les débits suffisants pour le faire saturer car j'ai à peu près les même débits IPv4 qu'en IPv6 (~400 Mb/s), mais j'ai également remarqué une charge CPU en IPv6 que je n'ai pas en IPv4.
    Selon le "profiler" dans winbox, l'utilisation est en partie (30-40 % du total) sur les processus firewall, et le reste est attribué à "CPU0"  ???
    Ce sujet est déjà abordé dans les forums MikroTik :
    https://forum.mikrotik.com/viewtopic.php?t=102362
    https://forum.mikrotik.com/viewtopic.php?t=116296

    => La réponse semble bien être celle que tu envisages : du plus gros hardware !!
    Il se peut aussi qu'une future update RouterOS améliore les choses : il est up-to-date à ce niveau ton HAP ac² ?
    Je suis en 6.45.5 et la 6.45.7 semble être dispo avec, entre autres, update du module "conntrack" en 6.45.6 et 6.46.7 d'après le changelog; et d'expérience le firmware d'un MKT peut vraiment changer les choses... en bien ou en mal  ;D

    J'avais moi-même envisage cette solution notamment pour disposer d'un port SFP+ et pouvoir plugger directement le module 10G-EPON sur mon routeur au lieu de passer par le MDCONU car port uniquement SFP sur le RB2011, si toutefois il s'avère un jour possible de bypasser cet équipement et la box (personne n'a encore réussi à ma connaissance).
    De plus mon RB2011 date un peu et n' a pas pas de Wifi 5Ghz : c'est une bonne opportunité pour le remplacer !
    Dans cette optique, le RB4011 semble sexy : ports Gb + Wifi 5Ghz AC2000, CPU 4 coeurs @ 1.4 Ghz et port SFP+... bon à 250$, mais quand même !  :P
    Malheureusement, dans la description il y a "Note: The RB4011 does not support Passive DAC modules and SFP GPON modules." :(
    https://mikrotik.com/product/rb4011igs_5hacq2hnd_in

    => Je n'ai pas envie de changer de constructeur, j'attends donc de voir ce que MikroTik va nous sortir en 2020.

    Pour le moment je continue de bidouiller en passant par le SFP du MDCONU, même si ca donne pas grand chose : packets RA avec préfixe en /80 sans le flag autonomous set mais pas de DHCPv6 dispo non plus, échange de packets ND avec le MDCONU et le "next hop" sortant, mais pas de ping vers ce dernier (DSLAM et/ou autres routeur/gateways)...  :o


    Bon, je vous laisse : j'ai une update MikroTik à faire !!

    fouinix

    • Client Orange Fibre
    • *
    • Messages: 38
    • Valence (26)
      • Blog
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #8 le: 02 novembre 2019 à 12:30:51 »
    => La réponse semble bien être celle que tu envisages : du plus gros hardware !!
    Il se peut aussi qu'une future update RouterOS améliore les choses : il est up-to-date à ce niveau ton HAP ac² ?

    Oui le routeur était à jour. J'ai aussi testé avec la 6.44 et j'observe de meilleur débit de moins de mémoire consommée. Ca reste pas ouf, je monte à 500Mb/s.


    Dans cette optique, le RB4011 semble sexy : ports Gb + Wifi 5Ghz AC2000, CPU 4 coeurs @ 1.4 Ghz et port SFP+... bon à 250$, mais quand même !  :P

    Oui, après je pense attendre que Mikrotik sorte des routeurs avec offload hardware en IPv6.


    Florian

    • Client Free fibre
    • *
    • Messages: 1 410
    • FTTH 10G-Epon+4G BT - Argenteuil (95)
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #9 le: 02 novembre 2019 à 12:52:26 »
    Il faudrait qu'ils implèment le fasttrack pour l'ipv6, ou un équivalent. Un post intéressant sur le sujet :

    https://forum.mikrotik.com/viewtopic.php?t=138946#p685563


    A voir avec RoS7, qui sait...

    EDIT : j'aurais bientôt un CCR 1009 qui ne me sert plus, sinon  ::)

    Catalyst

    • Client FAI autre
    • *
    • Messages: 177
    • Antibes / Paris
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #10 le: 02 novembre 2019 à 14:09:56 »
    Pour voir l'influence de fastpath, Il serait intéressant de voir ce qui change dans les résultats de cette commande, une fois avec la règle unique de fw ipv6 puis sans :

    interface bridge settings print

    et peut-être aussi : ip settings print

    (Je l'aurai volontiers fait mais je ne suis pas dans le même contexte)

    Hugues

    • AS57199 MilkyWan
    • Expert
    • *
    • Messages: 7 618
    • Paris (15ème)
      • Twitter
    RECAP : IPv6 avec MikroTik & Mini4K mode bridge en ZMD 10G-EPON
    « Réponse #11 le: 02 novembre 2019 à 23:20:32 »
    Il y'a déjà le fastpath en v6, mais il est désactivé si :
    - Vous avez une règle de firewall quelquonque, en v4 OU en v6
    - Vous avez du conntrack activé, en v4 OU en v6


    En gros, il faut utiliser le mikrotik comme simple routeur, sans firewall ou NAT, et là, ça marche...

     

    Mobile View