La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la Freebox par un routeur => Discussion démarrée par: FiberDude le 25 octobre 2019 à 16:12:44
-
Update - 31-10-2019 :
Il y en fait encore moins de conf à faire qu'initialement : pas besoin de routes et de pools IPv6 sur le MikroTik.
+ Ajout de règles firewall : pas besoin de celui de la box bloquant l'ICMPv6
=>Je voulais partager ici un récap de ce que j'ai pu trouver ça et là sur le web et qui m'a permis de mettre en place IPv6 sur mon réseau domestique :-*.
Le Set-up :
- Un accès fibre ZMD en 10G-EPON
- Le media converter "MDCONU" Fibre <=> SFP, fourni par Free
- Une Freebox Mini4K configurée en mode bridge
- Un MikroTik avec une configuration "classique" : 1 port WAN + 1 bridge avec N ports LAN/Wifi) et le package IPv6 activé : en l’occurrence pour moi il s'agit d'un RB2011 (+ un RB941 en spare)
- Une IPv4 full stack : je ne suis pas sûr que cela soit essentiel ici, mais c'est ma situation au moment où j'ai fait ces manipulations
=> On est sur un réseau qui fonctionne déjà parfaitement bien en IPv4 avec le mode bridge sur du 10G-EPON.
Le Mod'op :
Sur le MikroTik :
- Noter l'IPv6 "link-local" du port WAN
Sur l'interface FreeboxOS :
- Aller dans les paramètres de configuration IPv6 et noter les préfixes IPv6 attribués : 2a01:e0a:XXXX:XXX[0-7]::/64. La Freebox a l'IP 2a01:e0a:XXXX:XXX0::1
- Facultatif : activer le firewall IPv6
- Dans la partie Délégation de prefixe : mettre l'IPv6 du port WAN du MikroTik dans le champ Next Hop du deuxième préfixe 2a01:e0a:XXXX:XXX1::/64.
Sur le MikroTik :
- Accepter les RA (router advertisments) :
/ipv6 settings
set accept-router-advertisements=yes- Reconfigurer le Neighbor Discovery (menu : IPv6 => ND) :
/ipv6 nd
set [ find default=yes ] disabled=yes
add hop-limit=64 interface="LAN Trusted" managed-address-configuration=yes other-configuration=yes ra-interval=20s-1m
add hop-limit=64 interface=WAN- Ajouter des IPv6 statiques aux ports WAN et LAN basées respectivement sur le premier et deuxième préfixe notés précédemment (le port WAN prends la ::2 car la Fbx a la ::1, le port LAN peut prendre la ::1 sur le deuxième préfixe) :
/ipv6 address
add address=2a01:e0a:XXXX:XXX0::2 interface=WAN
add address=2a01:e0a:XXXX:XXX1::1 interface=LAN
- Ajout de règles firewall : Laisser passer pings et dropper tout le reste
/ipv6 firewall filter
add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="INPUT : Accept established, related" connection-state=established,related
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept established, related" connection-state=established,related
add action=drop chain=forward comment="FWD : Drop everything else" in-interface=WAN log-prefix="DROP : IPv6 FORWARD"
add action=drop chain=input comment="INPUT : Drop everything else" in-interface=WAN log-prefix="DROP : IPv6 INPUT"
Et voila : on est en IPv6 !!
Tests
- Sur le MikroTik, dans la "Neighbor List" IPv6, on doit voir sur l'interface WAN deux entrées avec la MAC de la Freebox et deux IPv6 : la "link-local" fe80::... et la publique : 2a01:e0a:XXXX:XXX0::1.
- Obtention d'IPv6, dérivées du deuxième préfixe, coté clients par auto-configuration RA (pas de DHCPv6 !!)
- Ping sortant vers DNS IPv6 de Google : 2001:4860:4860::8888 (OK depuis un client mais KO depuis le MikroTik)
- Ping entrant : http://www.ipv6now.com.au/pingme.php
- Vérification de la connectivité et du navigateur : https://ipv6-test.com/ )
- Scan de ports : http://www.ipv6scanner.com/cgi-bin/main.py
+ Pour aller plus loin :
Ajout d'un LAN IOT / Guest
- Sur FreeboxOS : ajouter l'IPv6 local du port WAN Mikrotik dans un autre préfixe : 2a01:e0a:XXXX:XXX2::/64.
[li]Sur Mikrotik : ajouter un IPv6 statique au port/bridge portant les LAN IOT/Guest
/ipv6 address add address=2a01:e0a:XXXX:XXX2::1 interface="LAN Guest"
-
Merci beaucoup pour les infos. Passant bientôt chez Free, ca me sera utile.
-
Merci pour ces infos, ça m'a bien aidé à configurer mon HAP AC².
En revanche il sature à 100% de CPU sur un core en IPv6 autour de 400Mb/s alors qu'il arrive à très bien gérer le 1Gb/s en ipv4 avec ~25% sur un core.
-
Merci pour ces infos, ça m'a bien aidé à configurer mon HAP AC².
En revanche il sature à 100% de CPU sur un core en IPv6 autour de 400Mb/s alors qu'il arrive à très bien gérer le 1Gb/s en ipv4 avec ~25% sur un core.
Fastrack n'existe pas pour ipv6, ceci peut expliquer cela.
-
J'ai déjà fait le gig v4 + v6 avec fasttrack (et donc conntrack en v6) sur un HexS, du coup, je ne sais pas trop...
-
Après j'ai des VLAN au milieu. J'ai essayé en désactivant toutes les règles de filtrage, j'ai eu un léger gain mais le CPU saturait quand même :(
-
Bon j'ai refais des tests en simplifiant ma configuration. Je peux avoir le même débit si je désactive toutes les règles. Par contre, il suffit que j'en réactive une toute simple, par exemple :
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
Pour que le débit chute à nouveau. J'ai ouvert un post sur le forum Mikrotik, on va voir... Sinon je verrai pour passer sur un routeur plus performant.
-
En effet fouinix, Catalyst semble avoir vu juste : après ton message de hier, j'ai aussi fait quelques tests.
De mon coté, j'ai un 2011UAS-2HnD-IN, donc avec CPU un Atheros AR9344 @ 600 Mhz et 1 seul coeur.
Je n'ai, à priori, pas atteint les débits suffisants pour le faire saturer car j'ai à peu près les même débits IPv4 qu'en IPv6 (~400 Mb/s), mais j'ai également remarqué une charge CPU en IPv6 que je n'ai pas en IPv4.
Selon le "profiler" dans winbox, l'utilisation est en partie (30-40 % du total) sur les processus firewall, et le reste est attribué à "CPU0" ???
Ce sujet est déjà abordé dans les forums MikroTik :
https://forum.mikrotik.com/viewtopic.php?t=102362
https://forum.mikrotik.com/viewtopic.php?t=116296
=> La réponse semble bien être celle que tu envisages : du plus gros hardware !!
Il se peut aussi qu'une future update RouterOS améliore les choses : il est up-to-date à ce niveau ton HAP ac² ?
Je suis en 6.45.5 et la 6.45.7 semble être dispo avec, entre autres, update du module "conntrack" en 6.45.6 et 6.46.7 d'après le changelog; et d'expérience le firmware d'un MKT peut vraiment changer les choses... en bien ou en mal ;D
J'avais moi-même envisage cette solution notamment pour disposer d'un port SFP+ et pouvoir plugger directement le module 10G-EPON sur mon routeur au lieu de passer par le MDCONU car port uniquement SFP sur le RB2011, si toutefois il s'avère un jour possible de bypasser cet équipement et la box (personne n'a encore réussi à ma connaissance).
De plus mon RB2011 date un peu et n' a pas pas de Wifi 5Ghz : c'est une bonne opportunité pour le remplacer !
Dans cette optique, le RB4011 semble sexy : ports Gb + Wifi 5Ghz AC2000, CPU 4 coeurs @ 1.4 Ghz et port SFP+... bon à 250$, mais quand même ! :P
Malheureusement, dans la description il y a "Note: The RB4011 does not support Passive DAC modules and SFP GPON modules." :(
https://mikrotik.com/product/rb4011igs_5hacq2hnd_in
=> Je n'ai pas envie de changer de constructeur, j'attends donc de voir ce que MikroTik va nous sortir en 2020.
Pour le moment je continue de bidouiller en passant par le SFP du MDCONU, même si ca donne pas grand chose : packets RA avec préfixe en /80 sans le flag autonomous set mais pas de DHCPv6 dispo non plus, échange de packets ND avec le MDCONU et le "next hop" sortant, mais pas de ping vers ce dernier (DSLAM et/ou autres routeur/gateways)... :o
Bon, je vous laisse : j'ai une update MikroTik à faire !!
-
=> La réponse semble bien être celle que tu envisages : du plus gros hardware !!
Il se peut aussi qu'une future update RouterOS améliore les choses : il est up-to-date à ce niveau ton HAP ac² ?
Oui le routeur était à jour. J'ai aussi testé avec la 6.44 et j'observe de meilleur débit de moins de mémoire consommée. Ca reste pas ouf, je monte à 500Mb/s.
Dans cette optique, le RB4011 semble sexy : ports Gb + Wifi 5Ghz AC2000, CPU 4 coeurs @ 1.4 Ghz et port SFP+... bon à 250$, mais quand même ! :P
Oui, après je pense attendre que Mikrotik sorte des routeurs avec offload hardware en IPv6.
-
Il faudrait qu'ils implèment le fasttrack pour l'ipv6, ou un équivalent. Un post intéressant sur le sujet :
https://forum.mikrotik.com/viewtopic.php?t=138946#p685563
A voir avec RoS7, qui sait...
EDIT : j'aurais bientôt un CCR 1009 qui ne me sert plus, sinon ::)
-
Pour voir l'influence de fastpath, Il serait intéressant de voir ce qui change dans les résultats de cette commande, une fois avec la règle unique de fw ipv6 puis sans :
interface bridge settings print
et peut-être aussi : ip settings print
(Je l'aurai volontiers fait mais je ne suis pas dans le même contexte)
-
Il y'a déjà le fastpath en v6, mais il est désactivé si :
- Vous avez une règle de firewall quelquonque, en v4 OU en v6
- Vous avez du conntrack activé, en v4 OU en v6
En gros, il faut utiliser le mikrotik comme simple routeur, sans firewall ou NAT, et là, ça marche...
-
Dernière bizarrerie sur ces histoires de débit et charge CPU :
En local, c-a-d entre deux bridges du MkT portant chacun leur préfixe public IPv6 ou leur LAN privé IPv4, je n'ai pas vu cette limitation (speedtest web self hosted en HTML5) même si v6 semble provoquer plus de charge que v4, je sature le gigabit du MkT dans les deux cas.
Ceci-dit, je ne voyais pas non plus les connexions au niveau du firewall v6 du MkT alors que je suis sur de passer en v6 (et pas en link-local !)... ???
Sinon, en ce qui concerne le bypass de la box (mais pas du MDCONU) : je comprends que cela a finalement été fait dans un thread La Fibre de Dec 2018 !
=> https://lafibre.info/remplacer-freebox/remplacer-le-boitier-onu/48/ (les post intéressants commencent à cette page mais ca part dans tous les sens...)
C'est pas encore très clair pour moi, mais voici en gros les étapes :
- Spoofer la MAC de la Box : celle du port SFP de la Freebox => compliqué de connaitre cette MAC sans matos pour faire une capture...
- Monter le lien IPv6 : configurer le port SFP avec une requête DHCPv6 sur le VLAN 836 => on devrais obtenir une IP dans le range de l'abonné (je suppute la ...XXXX:XXX0::1). On peut alors en profiter pour faire un capture et confirmer les infos pour l'étape suivante (cf détails dans réponses DHCPv6 et échanges RA/ND)
- Monter le lien IPv4 (en 4rd) : Ajouter un tunnel ipip6 sur le SFP avec l'IPv4 full stack de l'abonné et les options suivantes : Local IP = 2a01:e0a:XXXX:XXX0:0:ffff:ffff:0 avec XXXX:XXX le préfixe attribué à l'abonné, Remote IP = 2a01:e00:29:200a::fffd ou 2a01:e00:29:200a::ffff et encap limit = none
=> Bon, je vais essayer de trouver un cable SFP-SFP pour faire une capture au cul de ma box... ::)
-
J'avais pas vu ton update sans ajouter de routes. Vivement que je puisse tester ça. Du coup c'est le ND qui découvre la route ?
-
Je suis pas sûr Florian : c'est peut être juste les RA...
J'ai quand même mis un ND sur le WAN mais j'ai pas l'impression que ce soit nécessaire :/ipv6 nd
set [ find default=yes ] disabled=yes
add advertise-dns=yes hop-limit=64 interface="Root bridge" managed-address-configuration=yes other-configuration=yes ra-interval=20s-1m
add advertise-dns=yes hop-limit=64 interface="Guest bridge" managed-address-configuration=yes other-configuration=yes ra-interval=20s-1m
add hop-limit=64 interface=eth1
Du coup dans les neighbors on a l'Pv6 LL de la box :/ipv6 neighbor print
Flags: R - router
0 R address=fe80::e69e:12ff:feXX:XXXX interface=eth1 mac-address=E4:9E:12:XX:XX:XX status="stale"
(...)
Note 1 : le "stale" m'inquiétait au début, on devrais avoir "reachable"mais ca semble OK... ???
Note 2 : elle apparaît également sans ND sur le WAN, mais j'ai pas eu la patiente de rebooter pour purger les caches des bidouilles précédentes pour confirmer, alors je laisse le ND comme cela...
Et les routes dynamiques vers chaque préfixe :/ipv6 route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, o - ospf, b - bgp, U - unreachable
# DST-ADDRESS GATEWAY DISTANCE
0 ADC 2a01:e0a:XXX:XXX0::/64 eth1 0
1 ADC 2a01:e0a:XXX:XXX1::/64 Root bridge 0
2 ADC 2a01:e0a:XXX:XXX2::/64 Guest bridge 0
=> On note qu'il ny 'a pas de gateway par défaut, mais ca fonctionne. :-\
Coté client j'ai le préfixe (pas son IP !!) IPv6 en GW dans mes routes (clients Linux/Android configurés soit en statique soit en SLAAC avec private extensions) :# ip -6 r
2a01:e0a:XXX:XXXX::/64 dev enp0s31f6 proto kernel metric 256 pref medium
fe80::/64 dev enp0s31f6 proto kernel metric 256 pref medium
default via fe80::4e5e:cff:feYY:YYYY dev enp0s31f6 proto ra metric 1024 expires 1759sec hoplimit 64 pref medium
Certainement des packets RA qui doivent annoncer tout cela, faudrait capturer et analyser mais ca marche très bien comme ca... puis je préfère passer mon temps à creuser le bypass de la box : je verrais si y'a un cable SFP-SFP qui traîne chez les collègues du rézo au boulot pour avancer sur ce point ;D
Sinon, en reconfigurant le RB941 (aka "hAP lite") qui me sert de spare et de point d'accès mobile, j'ai fini par le "flinguer" et j'ai donc fait un reset (pas un netinstall, juste un reset). A ma grande surprise il y avait des règles de firewall IPv6 par défaut que je n'ai pas eu dans le RB2011 à l'activation du package IPv6 (et j'ai pas eu le temps de voir pour le RB940 ::) )...
J'ai donc revu mes règles et intégré quelques unes du package de base, voici ce que ca donne (sans mes règles perso) :/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=fe80::/16 list=allowed
add address=ff02::/16 comment=multicast list=allowed
/ipv6 firewall filter
add action=accept chain=input comment="INPUT : Accept established, related" connection-state=established,related
add action=drop chain=input comment="INPUT : Drop invalid" connection-state=invalid in-interface-list=WAN
add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf : allow allowed addresses" src-address-list=allowed
add action=drop chain=input comment="INPUT : Drop everything else"
add action=accept chain=forward comment="FWD : Accept established, related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=drop chain=forward comment="FWD : Drop everything else" in-interface-list=WAN
=> Tout semble bien fonctionner comme cela : 19/20 sur https://ipv6-test.com.
-
Tu as toujours ton premier post où tu avais configuré des routes (si je ne raconte pas de bêtises) ?
-
Nope justement j'ai modifié le post, d'où la note "Update" au début...
=> C'était juste une route par défaut (::/0) vers l'IPv6 globale de la box en gateway.
-
Merci beaucoup, je viens de mettre ça sur mon ccr, ça marche nickel :)
-
Vu que le mode bridge déconne (perte de la connexion ipv4 quand la box fait une déco/reco), je pensais à du routeur et indiquer mon mikro comme dmz dans la box. Ca, c'est pour l'ipv4.
Par contre, au niveau de l'ipv6, quel est l'impact ? Si j'utilise toujours ton tuto, et je joue toujours avec les next hop+ra/nd , l'ipv6 devrait toujours fonctionner, non ?
EDIT : je me réponds, l'ipv6 marche toujours nickel en cas de freebox en mode routeur + dmz vers le mikrotik pour l'ipv4. Si ça reste stable, c'est un peu le meilleur des deux mondes pour mon utilisation...A suivre.
-
Hey : je savais pas que le mode bridge avait une feature "DMZ" !!
=> Très bonne idée : je l'ai mise en pratique dès que j'ai lu ton message, et ca tourne nickel :P
Et en effet :
- je n'ai plus la limitation à 30 Mb/s du mode bridge
- j'avais remarqué la perte de connectivité IPv4 de temps à autres (alors que la stack IPv6 continue de fonctionner) et identifié que seul un reboot de la box corrigeait cela, mais ne savais pas que c'était lié au mode bridge...
wget --show-progress -O /dev/null http://mafreebox.freebox.fr:8095/
--2019-12-08 17:32:13-- http://mafreebox.freebox.fr:8095/
Resolving mafreebox.freebox.fr (mafreebox.freebox.fr)... 212.27.38.253
Connecting to mafreebox.freebox.fr (mafreebox.freebox.fr)|212.27.38.253|:8095... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null [ <=> ] 201.55M 72.9MB/s
=> C'est donc un peu le meilleur des deux mondes comme tu dis, sauf peut être pour l'inconfort psychologique que j'éprouve à faire du double NAT pour rien, mais bon ca corrige deux problèmes d'importance majeure...
Thanks Florian !!
-
Hey : je savais pas que le mode bridge avait une feature "DMZ" !!
=> Très bonne idée : je l'ai mise en pratique dès que j'ai lu ton message, et ca tourne nickel :P
Et en effet :
- je n'ai plus la limitation à 30 Mb/s du mode bridge
- j'avais remarqué la perte de connectivité IPv4 de temps à autres (alors que la stack IPv6 continue de fonctionner) et identifié que seul un reboot de la box corrigeait cela, mais ne savais pas que c'était lié au mode bridge...
wget --show-progress -O /dev/null http://mafreebox.freebox.fr:8095/
--2019-12-08 17:32:13-- http://mafreebox.freebox.fr:8095/
Resolving mafreebox.freebox.fr (mafreebox.freebox.fr)... 212.27.38.253
Connecting to mafreebox.freebox.fr (mafreebox.freebox.fr)|212.27.38.253|:8095... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [application/octet-stream]
Saving to: ‘/dev/null’
/dev/null [ <=> ] 201.55M 72.9MB/s
=> C'est donc un peu le meilleur des deux mondes comme tu dis, sauf peut être pour l'inconfort psychologique que j'éprouve à faire du double NAT pour rien, mais bon ca corrige deux problèmes d'importance majeure...
Thanks Florian !!
Pour la partie en gras, j'ai repassé la box en mode routeur et utilisé la dmz hein, je n'ai pas bridge+dmz. Donc, ipv4 pas dmz, ipv6 de la même manière quelque soit le cas.
-
My bad : je parlais en effet de la feature DMZ en mode routeur en fait, ca n'a pas de sens en mode bridge ::)
-
D'ailleurs le mode dmz vers un routeur, c'est techniquement du double nat ? ;D
On va pas se mentir, dans un monde idéal, que le routeur porte l'ip publique serait plus clean, mais en attendant (si jamais...) que le mode bridge soit sans bug embettant, ça marche très bien comme ça.
Du coup, j'ai fait la même chose avec mon routeur 4g, relié de la même manière à mon mikrotik, avec une gestion des routes qui fait que la connex 4g ne sera utilisée que si la fibre n'arrive plus à joindre 8.8.4.4 . On est bien. Merci encore pour ton tuto ipv6.
-
Juste pour confirmation, j'ai eu une perte de lien FO ce matin (le "bug" classique en zmd, perte de 5-7 secondes), et, contrairement au mode bridge, l'ipv4 est toujours fonctionnelle. Il semblerait même que les sessions tcp n'aient pas sauté, vu que je n'ai pas déco d'irc par exemple.
-
Pour ton routeur 4G, il n'y a peut être pas besoin de faire un check vers 8.8.4.4.
Essaie de le mettre en GW par défaut avec une métrique (aka "distance" chez MikroTik) plus élevée : 2 pour la route "4G" et normalement 1 pour la route "WAN" vers la box. Le switch over vers la 4G devrais être automatique en cas de perte de lien WAN, et le fall back également...
=> C'est comme cela que MikroTik configure un failover auto vers le lien radio lorsqu'on insère une clé USB 4G ou un tel android avec partage de connexion USB.
Je ne sais plus par contre comment cela réagis en cas de perte de connectivité avec un lien qui reste up (ex : Box OK mais DSLAM KO), mais dans mes souvenirs j'étais assez satisfait de cette conf auto...
-
Pour ton routeur 4G, il n'y a peut être pas besoin de faire un check vers 8.8.4.4.
Essaie de le mettre en GW par défaut avec une métrique (aka "distance" chez MikroTik) plus élevée : 2 pour la route "4G" et normalement 1 pour la route "WAN" vers la box. Le switch over vers la 4G devrais être automatique en cas de perte de lien WAN, et le fall back également...
=> C'est comme cela que MikroTik configure un failover auto vers le lien radio lorsqu'on insère une clé USB 4G ou un tel android avec partage de connexion USB.
Je ne sais plus par contre comment cela réagis en cas de perte de connectivité avec un lien qui reste up (ex : Box OK mais DSLAM KO), mais dans mes souvenirs j'étais assez satisfait de cette conf auto...
Justement, c'est ce que j'ai fait au début, mais le soucis c'est qu'en mode routeur, le mikrotik fait par défaut un check-gateway sur... les gateways, qui sont les routeurs, et non la connectivité internet derrière. En Bridge la logique fonctionne, mais sinon... Pas vraiment (à part plantage de box qui ne répond plus).
Du coup, j'ai appliqué cette logique de routage recursif, exposé ici https://forum.mikrotik.com/viewtopic.php?t=81083#p664111
-
Ah cool, t'as même répondu à la question qui suivait : "comment t'a mis en place le check ?"
Je pensais à un script mais j'aime pas le principe de scheduler des checks. Cette solution est bien plus élégante : faut juste savoir qu'il y a cette feature sur les bestioles de chez MKT...
=> Du coup tu le fait également en IPv6 (si IPv6 présente sur ta 4G) ?
Ceci-dit, sans rien faire les packet RA devraient s'occuper de dire au MKT quelle route est UP, mais laquelle est la "default" ? peut etre encore avec des métriques... en tous cas l'option "check gateway" est dispo dans la conf des routes IPv6 également :D
+ Il ne serai pas plus "indiqué" de faire le check sur le DNS de Free ou le DSLAM/Premier routeur sur ton lien pour moins de latence (même si on parle de quelques ms) ?
Après, un test sur le DNS de google n'est pas non plus dénué de sens : en cas de pb de "sortie" chez free, tu switches de provider ! ... à moins que ton FAI 4G ne soit également Free ::)
Merci pour le tuyau !!
-
L'ipv6 en 4g, c'est un peu compliqué à gérer. Je n'ai pas par exemple l'option de déleguer un prefixe dans le routeur 4g, je ne sais pas comment cela se comporterait. Et vu que ça ne me sert qu'en cas de panne fibre, j'ai décidé de passer l'APN en ipv4 only (sans compter que l'apn ipv4+6 semble problématique avec BT : https://lafibre.info/bboost/arrivee-de-lipv6-sur-un-routeur-huawei-b715s-23c/msg688045/#msg688045 )
Je suis chez B&You pour la 4g, donc non je n'ai pas fait de backup Free/Free ;D Je voulais une adresse de test tout le temps up, et accessible depuis tous les opérateurs. Si je prends une adresse interne à Free, rien ne me dit qu'un jour ils ne vont pas bloquer les réponses au ping quand tu es à l'extérieur de leur réseau. Ou que les adresses changent lors d'une maintenance, ce genre de chose. Avec 8.8.4.4 , je suis tranquille à ce niveau : )
-
Petit retour sur la bascule d'une connex à une autre en cas de coupure. Ce que j'avais mis en place en suivant les instructions de Mikrotik ne fonctionne pas (ou très mal). J'ai eu une panne de 5h hier sur la ligne Free, et j'ai du basculer à la mano.
Du coup, j'ai décidé de faire autre chose, où je ne laisse plus le check gateway décider de la situation.
Déjà, niveau ipv4, je suis repassé en dhcp pour l’obtention des adresses et routes, au lieu de les entrer à la main. Quand je mets les mêmes infos à la mano, ça ne se comporte pas nickel en cas de bascule, aucune idée du pourquoi pour le moment.
Donc, l'eth8 est relié à mon routeur 4g, le sfp2 à la delta. Sur les équipements, la réservation est fixe évidemment. A noter, lors de la création du dhcp client, mettre une distance plus élevée pour le ligne de secours (ici 3 vs 1)
(https://web.rootax.org/temp/bascule1.jpg)
Là, je fais tous les tests de routage, forcer par une connexion, une autre, tout est ok et sans "perte".
Ensuite, mon idée est de jouer avec les poids / distance. Si la connex Free est ko, alors passer la 4g en distance "1", et la fibre en "2". Quand la connex Free est de nouveau up, la repasser en "1", et mettre la 4g en "2" (j'ai utilisé "3" dans mon cas, mais c'est le même principe)
Pour ça, j'ai fait 2 scripts assez simple :
Le premier "PrimaryVersBackup", va tester le lien fibre en faisant un ping vers 9.9.9.9 par l'interface fibre. Si il y a 0 réponse, alors on agit. On passe la distance du premier client dhcp à 1, et celle du 2nd dhcp client à 2 :
:if ( [/ping 9.9.9.9 interface=sfp-sfpplus2 count=30 ] = 0 ) do={/ip dhcp-client set 0 default-route-distance=1 ; /ip dhcp-client set 1 default-route-distance=2}
Ce script est schedulé toutes les 2 minutes.
Toutes les minutes, j'ai un autre script qui vérifie la connexion fibre, si elle est up et sans perte, alors on la met en priorité.
:if ( [/ping 9.9.9.9 interface=sfp-sfpplus2 count=15 ] = 15 ) do={/ip dhcp-client set 0 default-route-distance=3 ; /ip dhcp-client set 1 default-route-distance=1}
Je pense que je peux faire ça en 1 seul script en jouant avec un "else", mais pour mes tests il était plus simple de partir sur 2 actions indépendantes.
Voilà voilà.
EDIT : j'ai eu une coupure de plusieurs minutes depuis, et ça a fonctionné comme prévu.
-
Bonjour et merci pour ces supers infos...
J'ai enfin réussi à activer l'IPV6 sur mon mikrotik (un CRS309 en v6.49.1) grâce à ce fil.
Je ne m'y connais pas spécialement en configuration réseau, et mes questions vont probablement vous paraître évidentes, mais pas pour moi... ;)
En fait, ça fonctionne chez moi quand la 5ème règle du firewall est désactivée. Si je l'active, elle me fait perdre la connexion IPV6.
Je parle de cette règle :
add action=drop chain=forward comment="FWD : Drop everything else" in-interface=WAN log-prefix="DROP : IPv6 FORWARD"Autre chose, impossible de faire en sorte que le test icmpv6 passe, même avec les règles 1 et 3 qui devraient pourtant permettre au ping de passer (seule la règle 5 est désactivée pour que l'IPV6 fonctionne, les autres sont activées)... J'ai un "filtering" qui apparait dans les résultats de ipv6-test.com.
Quand je vais sur http://www.ipv6now.com.au/pingme.php et que je rentre l'ip de ma freebox (de la forme 2a01:xxx:xxxx:xx0::1), le ping est OK.
Par contre, si j'essaye de rentrer l'adresse du routeur, le ping est KO (j'ai tenté : 2a01:xxx:xxxx:xx1::1). Mais je m'y prends peut-être mal dans l'adresse à rentrer...
A mon avis, c'est bien au niveau du routeur qu'un paramétrage n'est pas fait comme il faut, mais je me trompe peut-être...
Quelqu'un pourrait-il solutionner mon problème en me donnant les règles que je dois appliquer ?
D'avance merci.
-
Donc tu utilises un CRS309 en mode routeur derrière une FTTH 10Gbit/s ?
C'est un peu comme avoir une ferrari et ne rouler qu'en zones 30, tu es bien conscient de ça ?
-
Bonsoir @Hugues,
Alors pas vraiment, j'aimerais bien avoir de la fibre 10Gbits/s, mais je ne suis qu'en VDSL vu que la fibre n'arrive pas encore chez moi...
J'ai donc une Freebox Mini Server actuellement avec un débit...je préfère pas aborder le sujet ;)
Mais ça ne m'empêche pas de vouloir essayer d'avoir un système IPV6 qui fonctionne correctement...
Par contre, ça m'intéresse ton commentaire. Le jour où je pourrai avoir la fibre, le CRS309 va me brider niveau débit ?
-
Yep, avec un CRS309 tu n'as aucune accélération matérielle, donc tu es limité à quelques centaines de Mbit/s. Le mieux c'est de passer par un RB4011 ou 5009 (voir un CCR2004) branché sur le CRS309 :)
-
Je suis un peu surpris que ça limite autant... ???
En local de mon PC à mon NAS, j'arrive à soutenir un débit d'environ 240Mo/s (je parle bien en Mo, pas d'erreur de conversion en les bits, les bytes et les octets), ce que je trouve pas si mal même si je ne suis pas à 10Gb (le NAS est de toutes façons limité à 5Gb/s). Après, j'ai pas des règles de fou question routage, c'est un réseau domestique...
-
En local de mon PC à mon NAS, j'arrive à soutenir un débit d'environ 240Mo/s
Sans routage, donc ?
-
Oui, mais si je le mets derrière la freebox, c'est la freebox qui fait le routage...
Là, il me sert plus à faire du loadbalancing avec une connexion 4G et des fonctions de switch pour tout mon réseau local que des vraies fonctions de routage.
Le routage n'est utile que si on remplace totalement la box non ?
-
@FiberDude Est-ce que tu pourrais faire un export de ta config tunnel + vlan stp, j'ai essayé de suivre ton tuto et celui ci (https://lafibre.info/remplacer-freebox/tuto-remplacer-sa-freebox-par-un-routeur-ubuiquity-en-zmd-10g-epon/), mais y'a certaines choses que j'arrive pas à faire, comme augmenter le MTU (Winbox affiche un message d'erreur), mettre l'IPv4 sur le tunnel IPIP6, etc… Ou alors j'ai pas bien compris ce qu'il faut faire.
Merci à toi
-
Hi all: je reviens suite à une absence prolongée du thread... 8)
=> Je vais répondre aux messages depuis mon dernier post (Décembre 2019).
@technarf à propos des règles FW : ce n'est pas "normal", je n'explique pas pourquoi cela te fait perdre la connectivité et pourquoi le ping ne passes pas en v6...
Pistes :
Le nom de tes interfaces dans les ACLs peut-être : ce sont des alias que j'ai fait moi même :
Ex pour mes interfaces WAN & LAN :
/interface list
add name=WAN
add name=LAN
/interface list member
add interface=eth1 list=WAN
add interface="Root bridge" list=LAN
+ Je reposte mes ACL IPv6 qui ont évoluées depuis (!! l'ordre est important !!)
Les "address-list" :
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=fe80::/16 list=allowed
add address=ff02::/16 comment=multicast list=allowed
add address=<MON_PREFIXE_IPv6>::/60 list=allowed
Les filtres :
/ipv6 firewall filter
add action=drop chain=input comment="INPUT : Drop invalid" connection-state=invalid in-interface-list=WAN log-prefix="DROP : IPv6 INPUT"
add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="INPUT : Accept established, related" connection-state=established,related
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." disabled=yes dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="allow allowed addresses" src-address-list=allowed
add action=drop chain=input comment="INPUT : Drop everything else" connection-state="" log-prefix="DROP : IPv6 INPUT"
add action=accept chain=forward comment="FWD : Accept established, related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=drop chain=forward comment="FWD : Drop everything else" in-interface-list=WAN log-prefix="DROP : IPv6 FORWARD"
@axel50397 à propos du IPIPv6 : ce n'est malheureusement pas l'objet du présent thread.
Ici on ne remplace pas totalement la Freebox (bien que j'aimerais bien y parvenir), on la laisse juste en mode bridge et on fait tout le reste et notamment la partie IPv6 à l'aide d'un routeur.
Je suppose que ta question concernant le tunnel IPIPv6 sont dans le cas on plug directement la fibre sur le routeur, mais je comprend qu'il faudrait plutôt utiliser un tunnel "6to4" ce qui correspondrais peut-être au "4rd" chez Free mais c'est seulement valable si tu es en zone "IPv6 natif" (= ZMD & ZTD ?? - cf liens plus bas)...
=> Je n'ai pas encore de certitude là dessus car je n'ai pas encore réussi à bypasser totalement la Freebox : je n'ai donc pas de conf fonctionnelle à te proposer coté Mikrotik pour cela... :'(
Concernant la MTU, chez Mikrotik, elle est peut être limitée par le matériel : par exemple je n'ai pas de "Jumbo frames" sur mon réseau local avec un RB2011 qui est pourtant "gigabit" et SFP...
Pour note/trace
Je suis tombé sur les pages/infos qui pourraient se révéler intéressantes pour y parvenir, mais je n'ai encore trouvé le temps d'exploiter tout cela :
- Implémentation de IPv6 chez Free (PDF de 2009) : https://ripe58.ripe.net/content/presentations/ipv6-free.pdf (https://ripe58.ripe.net/content/presentations/ipv6-free.pdf)
- Bypass de la freebox avec un Mikrotik : https://schu.be/replace-freebox-with-mikrotik.html (https://schu.be/replace-freebox-with-mikrotik.html) => Ce post me semble le plus prometteur : merci à son auteur Victor Schubert !!! :)
- Le super post de EntertainingMuffin sur LaFibre.info qui remplace également sa Freebox par un Mikrotik mais en zone "6rd", mais cela reste un bonne source d'information/inspiration : https://lafibre.info/remplacer-freebox/tutovdsl6rd-remplacer-sa-freebox-par-un-routeur-mikrotik-tout-en-un/ (https://lafibre.info/remplacer-freebox/tutovdsl6rd-remplacer-sa-freebox-par-un-routeur-mikrotik-tout-en-un/)
- Et pour finir la mise en place du 6rd sur un Mikrotik chez un autre FAI (Tweak) : https://gist.github.com/olafz/db655e5bbb415fba03142be27fa204ae (https://gist.github.com/olafz/db655e5bbb415fba03142be27fa204ae)
-
Bonjour, et tout d'abord un grand merci et bravo pour ce sujet, qui m'a été bien utile. Je "bloque" cependant sur mes propres besoins de configuration.
Ma config est très particulière (et sans doute très superflue, mais bon, je n'ai pas vraiment l'envie de remettre tout à plat immédiatement, et ça marche sans souci en IPV4 - au pire dites-vous que je pose mes questions pour ma culture ;) - désolé aussi si la solution figure dans vos échanges précédents, j'avoue que je débute vraiment en IPV6, j'ai lu les échanges attentivement et si elle y est, je ne l'ai pas comprise...).
Bref, je viens de passer en freebox Delta+Pop et le passage à Oqee m'a convaincu de tenter la migration en IPV6, que j'avais soigneusement esquivée jusqu'ici...
Pour dire un mot de mon réseau, en gros la freebox est en mode routeur (je n'ai pas renoncé aux fonctionnalités que ça apporte), elle est reliée à mon Mikrotik RB4011 GS. J'ai repris la config du premier post (au début sans trop les comprendre, mais j'assimile doucement ;D) et j'ai obtenu un sous-réseau IPV6 qui, visiblement, marche nickel. Du coup, Oqee fonctionne en filaire, mais bon, maintenant que j'ai sauté le pas, autant configurer tout mon réseau en IPV6... ::)
Mon souci c'est que je redistribue mon wifi par un autre routeur sous dd-wrt, qui est connecté au LAN du Mikrotik (oui je sais, j'aurais dû prendre un RB4011 avec wifi, mais à l'époque j'avais pas envie de jeter mon routeur wifi qui marchait bien...). J'ai tenté divers réglages sur ce routeur, mais je ne parviens pas à connecter quoi que ce soit en IPV6 sur le wifi (aucune adresse attribuée aux machines connectées). Avant de me lancer dans de plus amples explorations, je voudrais lever un doute : j'ai lu sur les forums Mikrotik que lorsque le FAI fournit un préfixe en /64, on va au devant des plus grands malheurs pour faire du sous-réseau, parce que la plupart des matériels n'est pas configurée pour gérer des sous-réseaux à préfixes supérieurs à 64 (en gros, je lis à peu près partout qu'un FAI digne de ce nom devrait distribuer, au maximum, des /60).
Je comprends aussi que Free donne non pas un mais 8 préfixes /64, et que ça me permet de monter jusqu'à 7 sous-réseaux et/ou VLAN sur le Mikrotik. Yes, mais est-ce que fonctionnellement, je peux déléguer mon 2e préfixe à mon routeur wifi (typiquement, je ne peux pas "pointer" ce routeur en "Next hop" de la freebox car elle me réclame un lien local, et qu'elle ne le verra pas, vu qu'il y a le Mikrotik entre deux...) ?
En gros ça donnerait :
Internet<-> Freebox Delta <-> Mikrotik <-> Routeur wifi <-> Machines en Wifi
2a01:XXXX:XXXX:XXX0::/64 2a01:XXXX:XXXX:XXX1::/64 2a01:XXXX:XXXX:XXX2::/64
Ou est-ce que je suis condamné à avoir ma 2a01:XXXX:XXXX:XXX2 sur le mikrotik, parce qu'avec la config ci-dessus, le seul moyen de mettre un sous-réseau derrière le Mikrotik serait de lui donner un adressage en 2a01:XXXX:XXXX:XXX1:XYYY::/68 ?
Désolé si les questions sont bêtes et béotiennes... J'espère surtout qu'elles sont claires ;)
Merci pour votre aide !
-
Oubliez les préfixes autres que /64, et oubliez les adresses globales là où ce n'est pas nécessaire. Tous vos périphériques ont déjà une IPv6 automatiquement attribuée, une link-local (commence par fe80) et ça suffit pour faire du routage. Et vu la quantité de routeurs (inutiles) dans votre installatio, ça peut être intéressant de les utiliser.
En gros il suffit de faire une seconde délégation d'un autre /64 depuis la box sur le krotik. Puis de celui-ci router ce nouveau/64 vers le routeur suivant (wifi). Bref du simple routage quoi. Et ne pas oublier le routage dans l'autre sens ensuite. C'est ça quand on met des routeurs partout, faut router. Mais tous ces routeurs n'apportent rien. En v4 c'est d'ailleurs pas fameux puisuqils doivent tous faire un NAT a chaque fois bref c'est dégueulasse.
-
Merci pour votre réponse, oui, effectivement, c'est du super crado, je me repens... Mais c'est sympa d'avoir répondu malgré tout :D
Ok pour la délégation, je vais faire le routage comme il faut (et au printemps, grand nettoyage...)