Auteur Sujet: Configurer un MikroTik hEX RB750Gr3 sur la fibre Orange (IPv4)  (Lu 3017 fois)

0 Membres et 1 Invité sur ce sujet

Ryukenden

  • Client Orange Fibre
  • *
  • Messages: 48
  • 69
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #36 le: 09 janvier 2021 à 10:04:47 »
J'en profite pour vous faire part d'un petit souci que j'ai du mal à resoudre.
J'ai ajouter les règles Firewall suivantes, trouvés ici :
https://wiki.mikrotik.com/wiki/Basic_universal_firewall_script

/ip firewall address-list add address=192.168.88.1/24 disabled=no list=support

/ip firewall address-list

add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" disabled=no list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" disabled=no list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" disabled=no list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" disabled=no list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" disabled=no list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" disabled=no list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" disabled=no list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" disabled=no list=bogons
add address=224.0.0.0/4 comment="MC, Class D, IANA # Check if you need this subnet before enable it"\
disabled=yes list=bogons

/ip firewall filter

add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input \
comment="Add Syn Flood IP to the list" connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect"\
disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" disabled=no src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=input\
comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST"\
disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" disabled=no dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours"\
connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" disabled=no port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" disabled=no port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established\
disabled=no
add action=accept chain=input comment="Accept to related connections" connection-state=related disabled=no
add action=accept chain=input comment="Full access to SUPPORT address list" disabled=no src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"\
disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood, adjust the limit as needed" disabled=no icmp-options=8:0 limit=2,5 protocol=icmp
add action=accept chain=ICMP comment="Echo reply" disabled=no icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" disabled=no icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" disabled=no icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" disabled=no protocol=icmp
add action=jump chain=output comment="Jump for icmp output" disabled=no jump-target=ICMP protocol=icmp

Depuis, mon décodeur IPTV branché directement au routeur ne reçois plus les trames audio au format Dolby Digital.
Mon décodeur est un MAG sous linux, avez vous une idée de ce qui pourrais causé cela dans ce code ?

Kirky

  • Client Orange Fibre
  • *
  • Messages: 18
  • PUTEAUX 92800
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #37 le: 10 janvier 2021 à 00:45:21 »
Un processeur puissant permet de compenser l'absence d'accélération matériels (circuits optimisés pour une tache spécifique), mais c'est comme utiliser un char d’assaut pour ouvrir une porte, avoir la clé c'est mieux et moi cher.

Le RB750Gr3 me suffit amplement, j'ai tout le nécessaire avec ce modèle.
Dans mon cas (connexion Sosh), je suis limité à 300Mbps symétrique et j'ai échangé mon SFP contre une ONT donc ce modèle est le meilleur choix pour moi :
https://mikrotik.com/product/RB750Gr3
Dans ton cas, si tu compte migrer vers une connexion Orange pour profiter des 1Gbps symétrique, il va te falloir un modèle avec accélération matériel (switch rules), le RB960PGS (hEX PoE) est un bon choix :
https://mikrotik.com/product/RB960PGS
Sinon il y a l’équivalant du RB750Gr3 (hEX) avec cage SFP en plus, le RB760iGS (hEX S), mais tu ne pourra peut-être pas atteindre le Giga et tu doit vérifier que le SFP Orange est compatible avec :
https://mikrotik.com/product/hex_s

D'après ce que j'ai pu lire, le SFP d'Orange est compatible avec RouterOS en version 6.46.8 (Long-term), mais il y aurait des problèmes de compatibilité avec les dernières version 6.48 (Stable), 6.48rc1 (Testing), 7.1beta3 (Development), tu ne pourra donc pas profiter des dernières mise à jours tout de suite.

Je te conseil donc de garder l'ONT:
ONT+hEX pour une connexion 300 ou 400 Mbps.
ou
ONT+hEX PoE pour une connexion 1Gbps.

Merci pour toutes les informations  :) :) :).

J'ai commandé hier et j'ai reçu ce matin le même modèle que toi pour tester.
Cela fonctionne avec l'authentification longue.
Le seul souci que je rencontre, est au niveau de l'affichage des pages, j'obtiens 1 fois sur 2 une erreur et la page ne s'affiche pas. A force d'actualiser le navigateur cela fonctionne.
J'ai testé avec 3 pc's différents et j'ai le même souci.
Je n'obtiens pas d'adresse IPv6 non plus.
Je viens de trouver un SFP dans mes cartons de mon ancien abonnement Orange de Bordeaux. Penses-tu qu'il peut encore fonctionner ?

A bientôt,


Kirky

Ryukenden

  • Client Orange Fibre
  • *
  • Messages: 48
  • 69
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #38 le: 10 janvier 2021 à 14:56:39 »
Je n'ai pas l'utilité de l'IPv6, j'ai donc chercher à faire fonctionner uniquement l'IPv4 (Tuto IPv4 donc).
Pour l'IPv6 tu devra chercher dans d'autres sujets du Forum.

Concernant l'affichage des pages, je n'ai jamais rencontrer ce problème c'est peut-être un problème de DNS essaye avec des serveurs DNS de ton choix :
IP -> DHCP Client -> FTTH -> Use peer DNS (Décocher) -> Apply
IP -> DNS -> servers (8.8.8.8 pour les DNS Google ou 77.88.8.8 pour les DNS Yandex par exemple) -> Apply -> Reboot

Concernant ton ancien SFP, le hEX (RB750Gr3) n'a pas de cage SFP et c'est ton ONT ou ton SFP actuel qui est enregistré sur la fibre Orange, donc il ne fonctionnera pas.

Kirky

  • Client Orange Fibre
  • *
  • Messages: 18
  • PUTEAUX 92800
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #39 le: 10 janvier 2021 à 22:01:31 »
Je n'ai pas l'utilité de l'IPv6, j'ai donc chercher à faire fonctionner uniquement l'IPv4 (Tuto IPv4 donc).
Pour l'IPv6 tu devra chercher dans d'autres sujets du Forum.

Concernant l'affichage des pages, je n'ai jamais rencontrer ce problème c'est peut-être un problème de DNS essaye avec des serveurs DNS de ton choix :
IP -> DHCP Client -> FTTH -> Use peer DNS (Décocher) -> Apply
IP -> DNS -> servers (8.8.8.8 pour les DNS Google ou 77.88.8.8 pour les DNS Yandex par exemple) -> Apply -> Reboot

Concernant ton ancien SFP, le hEX (RB750Gr3) n'a pas de cage SFP et c'est ton ONT ou ton SFP actuel qui est enregistré sur la fibre Orange, donc il ne fonctionnera pas.

Bonsoir  :),
J'ai testé en personnalisant les DNS, j'ai testé ceux que tu m'as communiqué et j'ai testé ceux de de Cloudflare (1.1.1.1 & 1.0.0.1), mais j’obtiens le même souci.
Teamviewer ne fonctionne pas aussi  :'( :'( :'(.
Si tu aurais une idée  s'il te plait, cela m'arrangerais beaucoup. :)
J'ai peut être fais une erreur dans la configuration.
Est ce que cela te dérangerait de regarder mon script s'il te plait ?

Bonne soirée,


kirky

dmfr

  • Client Orange adsl
  • *
  • Messages: 144
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #40 le: 11 janvier 2021 à 00:38:37 »
Un processeur puissant permet de compenser l'absence d'accélération matériels (circuits optimisés pour une tache spécifique), mais c'est comme utiliser un char d’assaut pour ouvrir une porte, avoir la clé c'est mieux et moins cher.
Belle métaphore, mais cette clé n'ouvre la porte qu'entrebaillée, ou une fois sur deux.
Pas d'IPv6 au débit nominal, ou pas d'IPv6 du tout, pas de reset du DSCP, et probablement une brochette de problèmes étranges que tu découvriras au compte goutte... on est loin de ne serait-ce qu'égaler le fonctionnement de la livebox.
Autant ne rien dépenser du tout, et conserver celle-ci :)

Ryukenden

  • Client Orange Fibre
  • *
  • Messages: 48
  • 69
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #41 le: 11 janvier 2021 à 01:48:06 »
Bonsoir  :),
J'ai testé en personnalisant les DNS, j'ai testé ceux que tu m'as communiqué et j'ai testé ceux de de Cloudflare (1.1.1.1 & 1.0.0.1), mais j’obtiens le même souci.
Teamviewer ne fonctionne pas aussi  :'( :'( :'(.
Si tu aurais une idée  s'il te plait, cela m'arrangerais beaucoup. :)
J'ai peut être fais une erreur dans la configuration.
Est ce que cela te dérangerait de regarder mon script s'il te plait ?

Bonne soirée,


kirky

Fait un /export dans le terminal et post ta configuration.

Belle métaphore, mais cette clé n'ouvre la porte qu'entrebaillée, ou une fois sur deux.
Pas d'IPv6 au débit nominal, ou pas d'IPv6 du tout, pas de reset du DSCP, et probablement une brochette de problèmes étranges que tu découvriras au compte goutte... on est loin de ne serait-ce qu'égaler le fonctionnement de la livebox.
Autant ne rien dépenser du tout, et conserver celle-ci :)

Les routeurs sont des équipements allumés H24 et qui font toujours la même chose, donc la grande majorité des routeurs sont des ASIC efficaces pour des taches spécifiques, tout en consommant peu de ressources. Les conditions que tu évoque ne concerne qu'un besoin de niche, même si ces produits équipés de processeur puissants sont utiles, ce ne sont pas la majorité des besoins.
Dans mon cas, je n'ai besoin que d'un fonctionnement fiable et efficace en IPv4.
Donc la porte s’ouvre toujours, avec un équipement hautement configurable dont je suis le propriétaire et que je contrôle.
Il n'y que des avantages à rendre la Livebox.

dmfr

  • Client Orange adsl
  • *
  • Messages: 144
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #42 le: 11 janvier 2021 à 09:20:11 »
Les conditions que tu évoque ne concerne qu'un besoin de niche,
....
Donc la porte s’ouvre toujours,
Pour le moment.
L'IPv6 n'est pas un besoin de niche, c'est une évolution silencieuse mais primordiale pour qu'internet continue à fonctionner "comme avant" pour tous.
C'est pas pour rien que tous les maillons de la chaîne (réseaux, systèmes, services) se mettent en conformité, et tu l'utilisais sans même t'en rendre compte quand tu avais la livebox.
L'attitude qui consiste à dire "je m'y mettrai quand je n'aurai plus le choix" est exactement ce qu'il ne faut pas faire.

Heureusement que le remplacement de la livebox à moitié est, pour le coup, une activité de niche  ;)

Kirky

  • Client Orange Fibre
  • *
  • Messages: 18
  • PUTEAUX 92800
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #43 le: 11 janvier 2021 à 10:57:40 »
Fait un /export dans le terminal et post ta configuration.

Les routeurs sont des équipements allumés H24 et qui font toujours la même chose, donc la grande majorité des routeurs sont des ASIC efficaces pour des taches spécifiques, tout en consommant peu de ressources. Les conditions que tu évoque ne concerne qu'un besoin de niche, même si ces produits équipés de processeur puissants sont utiles, ce ne sont pas la majorité des besoins.
Dans mon cas, je n'ai besoin que d'un fonctionnement fiable et efficace en IPv4.
Donc la porte s’ouvre toujours, avec un équipement hautement configurable dont je suis le propriétaire et que je contrôle.
Il n'y que des avantages à rendre la Livebox.

Bonjour,

Script :

/interface bridge
add name=FTTH
add name=bridge

/interface vlan
add interface=ether1 name=VLAN832 vlan-id=832

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip dhcp-client option
add code=77 name="User Class Information" value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
add code=90 name=Authentification value=0x00000000000000000000001a0900000558010341010dXXXXXXXXXXXXXXXXXXXXXXYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY

/ip pool
add name=default-dhcp ranges=172.6.0.1-172.6.0.9

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes src-port=68

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=FTTH interface=VLAN832

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=FTTH list=WAN

/ip address
add address=172.6.0.254/24 comment=defconf interface=bridge network=172.6.0.0

/ip dhcp-client
add dhcp-options="User Class Information,Authentication" disabled=no interface=FTTH use-peer-dns=no

/ip dhcp-server network
add address=172.6.0.0/24 comment=defconf gateway=172.6.0.254

/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1

/ip dns static
add address=172.6.0.254 comment=defconf name=router.lan

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=4443 protocol=tcp to-addresses=172.6.0.252 to-ports=4443
add action=dst-nat chain=dstnat dst-port=4444 protocol=tcp to-addresses=172.6.0.252 to-ports=4444
add action=dst-nat chain=dstnat dst-port=4445 protocol=tcp to-addresses=172.6.0.252 to-ports=4445

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes

/system clock
set time-zone-name=Europe/Paris

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN

Bonne journée  ;)


Kirky

Ryukenden

  • Client Orange Fibre
  • *
  • Messages: 48
  • 69
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #44 le: 11 janvier 2021 à 11:12:39 »
Pour le moment.
L'IPv6 n'est pas un besoin de niche, c'est une évolution silencieuse mais primordiale pour qu'internet continue à fonctionner "comme avant" pour tous.
C'est pas pour rien que tous les maillons de la chaîne (réseaux, systèmes, services) se mettent en conformité, et tu l'utilisais sans même t'en rendre compte quand tu avais la livebox.
L'attitude qui consiste à dire "je m'y mettrai quand je n'aurai plus le choix" est exactement ce qu'il ne faut pas faire.

Heureusement que le remplacement de la livebox à moitié est, pour le coup, une activité de niche  ;)

Tes argument je pouvais déjà les lire il y a plus de 10ans à l'époque de la Freebox V5, si j'avais du anticiper à cette époque j'aurais été déçu.
Le remplacement de la Box opérateur est marginal, mais dans ce secteur le remplacement par un routeur rackable avec un processeurs puissant l'est encore plus.

Bonjour,

Script :

/interface bridge
add name=FTTH
add name=bridge

/interface vlan
add interface=ether1 name=VLAN832 vlan-id=832

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip dhcp-client option
add code=77 name="User Class Information" value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
add code=90 name=Authentification value=0x00000000000000000000001a0900000558010341010dXXXXXXXXXXXXXXXXXXXXXXYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY

/ip pool
add name=default-dhcp ranges=172.6.0.1-172.6.0.9

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes src-port=68

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=FTTH interface=VLAN832

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=FTTH list=WAN

/ip address
add address=172.6.0.254/24 comment=defconf interface=bridge network=172.6.0.0

/ip dhcp-client
add dhcp-options="User Class Information,Authentication" disabled=no interface=FTTH use-peer-dns=no

/ip dhcp-server network
add address=172.6.0.0/24 comment=defconf gateway=172.6.0.254

/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1

/ip dns static
add address=172.6.0.254 comment=defconf name=router.lan

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=4443 protocol=tcp to-addresses=172.6.0.252 to-ports=4443
add action=dst-nat chain=dstnat dst-port=4444 protocol=tcp to-addresses=172.6.0.252 to-ports=4444
add action=dst-nat chain=dstnat dst-port=4445 protocol=tcp to-addresses=172.6.0.252 to-ports=4445

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes

/system clock
set time-zone-name=Europe/Paris

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN

Bonne journée  ;)


Kirky

J'ai comparé avec ma config, essaye en modifiant les commandes suivantes :

/ip pool
add name=default-dhcp ranges=172.6.0.1-172.6.0.9

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254


/ip address
add address=172.6.0.254/24 comment=defconf interface=bridge network=172.6.0.0

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0


/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=4443 protocol=tcp to-addresses=172.6.0.252 to-ports=4443
add action=dst-nat chain=dstnat dst-port=4444 protocol=tcp to-addresses=172.6.0.252 to-ports=4444
add action=dst-nat chain=dstnat dst-port=4445 protocol=tcp to-addresses=172.6.0.252 to-ports=4445

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN



« Modifié: 11 janvier 2021 à 20:29:32 par Ryukenden »

dmfr

  • Client Orange adsl
  • *
  • Messages: 144
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #45 le: 11 janvier 2021 à 15:15:02 »
Tes argument je pouvais déjà les lire il y a plus de 10ans à l'époque de la Freebox V5, si j'avais du anticiper à cette époque j'aurais été déçu.
C'était vrai à l'époque, ca l'est encore davantage aujourd'hui.
C'est pas parce qu'on fait une connerie suffisamment longtemps que ça devient une bonne idée.
Le remplacement de la Box opérateur est marginal, mais dans ce secteur le remplacement par un routeur rackable avec un processeurs puissant l'est encore plus.
Certes, mais heureusement pour la santé du réseau l'utilisation dans les règles de la box opérateur est beaucoup plus répandue.

/ip address
add address=172.6.0.254/24 comment=defconf interface=bridge network=172.6.0.0

/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan

....
En supprimant l'adr bridge en 172.x.x.x sans en ajouter une autre en 192.168.88.x, notre ami Kirky va tout simplement perdre sa connexion au routeur.
Chapeau l'expert !

Ryukenden

  • Client Orange Fibre
  • *
  • Messages: 48
  • 69
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #46 le: 11 janvier 2021 à 19:12:55 »
C'était vrai à l'époque, ca l'est encore davantage aujourd'hui.
C'est pas parce qu'on fait une connerie suffisamment longtemps que ça devient une bonne idée.Certes, mais heureusement pour la santé du réseau l'utilisation dans les règles de la box opérateur est beaucoup plus répandue.
En supprimant l'adr bridge en 172.x.x.x sans en ajouter une autre en 192.168.88.x, notre ami Kirky va tout simplement perdre sa connexion au routeur.
Chapeau l'expert !
C'est corrigé.
Je te lis souvent entrain de nous accuser de faire tomber le réseau avec nos routeurs perso comme si nous étions des Hackers, mais toi tu fais pareil ?
Je crois que la qualité d'un réseau c'est aussi son interopérabilité.

Kirky

  • Client Orange Fibre
  • *
  • Messages: 18
  • PUTEAUX 92800
Configurer un MikroTik hEX sur la fibre Orange
« Réponse #47 le: 14 janvier 2021 à 01:54:42 »
Tes argument je pouvais déjà les lire il y a plus de 10ans à l'époque de la Freebox V5, si j'avais du anticiper à cette époque j'aurais été déçu.
Le remplacement de la Box opérateur est marginal, mais dans ce secteur le remplacement par un routeur rackable avec un processeurs puissant l'est encore plus.

J'ai comparé avec ma config, essaye en modifiant les commandes suivantes :

/ip pool
add name=default-dhcp ranges=172.6.0.1-172.6.0.9

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254


/ip address
add address=172.6.0.254/24 comment=defconf interface=bridge network=172.6.0.0

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0


/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=4443 protocol=tcp to-addresses=172.6.0.252 to-ports=4443
add action=dst-nat chain=dstnat dst-port=4444 protocol=tcp to-addresses=172.6.0.252 to-ports=4444
add action=dst-nat chain=dstnat dst-port=4445 protocol=tcp to-addresses=172.6.0.252 to-ports=4445

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN


Bonjour,

Désolé de répondre seulement, je suis en déplacement.
Je testerais tes corrections ce week end.

Merci de ton aide et bonne fin de semaine.


Kirky

 

Mobile View