Auteur Sujet: Boîtier ONT + Livebox v4 -> MikroTik RB5009 + GPON-ONU-34-20BI FS.com (Lu 5862 fois)

Jimbo-77 · « **Réponse #12 le:** 26 mars 2023 à 10:19:20 »

Citation de: yeocti le 26 mars 2023 à 07:15:28

Bonjour,

En IPv6, tu ne reçois pas une adresse mais un préfixe (ie. des milliers d'adresses).
Ce préfixe doit être assigné à un pool et les adresses seront ensuites distribuées sur ton LAN.

Erreur de vocabulaire, mais en effet, je vois bien un préfixe.

Citation de: yeocti le 26 mars 2023 à 07:15:28

D'un point de vue configuration, c'est normalement détaillé dans le post sur l'utilisation d'un CCR2004 (la configuration est identique). Les étapes sont les suivantes :
- Dans la configuration du client DHCPv6, il faut assigner le préfixe reçu à un pool.

C'est bien la configuration que j'ai reprise.
Cependant une question, on est d'accord que les règles firewall ipv6 ne viennent pas en remplacement des IPv4. Elles coexistent en parallèle, chacune étant "responsable" de son monde ?

Côté client dhcp, je vois bien ce préfixe avec attribution au pool pool_FT_6 (comme dans la conf que j'ai pompée

)

Citation de: yeocti le 26 mars 2023 à 07:15:28

- Dans la partie IPv6/Addresse, tu assignes une adresse à ton interface LAN en vérifiant que Advertise est coché. Cette adresse sera prise dans le pool précédemment configuré (option from-pool).

Je confirme, je vois bien dans cette partie une adresse avec le préfixe récupérée et qui se termine :1. Que je pingue sans soucis depuis mon ordi.
Ordi qui a bien deux IP avec ce même préfixe.

Je me demande si c'est pas au niveau fw.
Si quelqu'un à une IP publique que je peux pinguer et sur laquelle je peux faire un netcat en 80 par exemple. Je suis preneur.

J'ai essayé cette IP 2001:8b0:0:30::666:102 qui correspond au site https://loopsofzen.uk/ et je ne la pingue pas, et le netcat sur le port 80 ne fonctionne pas non plus.

En tout cas merci d'avoir pris le temps de me donner ces premiers éléments.

yeocti · « **Réponse #13 le:** 26 mars 2023 à 11:47:12 »

Il y a effectivement des règles de firewall pour ce qui concerne l'IPv4 et d'autres pour l'IPv6.

Si tu récupères une IPv6 sur ton PC, c'est déjà un bon début.
Peux tu essayer le ping depuis le router directement ?

Tu peux utiliser les adresses des serveurs DNS publics (Quad9, cloudlfare, Google, etc).

N'hésite pas à poster ta configuration également en enlevant toutes informations sensibles.

Jimbo-77 · « **Réponse #14 le:** 26 mars 2023 à 16:30:31 »

Citation de: yeocti le 26 mars 2023 à 11:47:12

Il y a effectivement des règles de firewall pour ce qui concerne l'IPv4 et d'autres pour l'IPv6.

Si tu récupères une IPv6 sur ton PC, c'est déjà un bon début.
Peux tu essayer le ping depuis le router directement ?

J'arrive même à initier une connexion vers le site que j'ai mentionné :

Code: [Sélectionner]

[admin@JimRouter] > /system/telnet 2001:8b0:0:30::666:102 80
Connecting to 2001:8b0:0:30::666:102
Connected to 2001:8b0:0:30::666:102


^C^C^C^D
HTTP/1.1 400 Bad Request
Date: Sun, 26 Mar 2023 13:16:49 GMT

La même chose sur mon laptop :

Code: [Sélectionner]

❯ nc -v 2001:8b0:0:30::666:102 80
nc: connectx to 2001:8b0:0:30::666:102 port 80 (tcp) failed: No route to host

Et je ne sais pas si ça peut aider mais si je fais un traceroute qui me semble louche :

Code: [Sélectionner]

❯ traceroute6 2001:8b0:0:30::666:102
traceroute6 to 2001:8b0:0:30::666:102 (2001:8b0:0:30::666:102) from fd7e:7789:37ae:4660:1ca1:61de:2862:866a, 64 hops max, 12 byte packets
 1  fd7e:7789:37ae:4660:14b4:ee62:dd2e:b2e5  318.417 ms  4.657 ms  4.228 ms
 2  fd7e:7789:37ae:4660:2:fd45:3d7a:3c65  8.901 ms  81.674 ms  134.783 ms
 3  fd7e:7789:37ae:4660:14b4:ee62:dd2e:b2e5  22.865 ms  9.629 ms  35.855 ms
 4  * * *

Citation de: yeocti le 26 mars 2023 à 11:47:12

N'hésite pas à poster ta configuration également en enlevant toutes informations sensibles.

Ci-dessous la conf ipv6 :

Code: [Sélectionner]

/ipv6 dhcp-client option
add code=16 name=class-identifier value=0x0000040e0005736167656d
add code=15 name=userclass value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f78340a
add code=11 name=authsend value=0x0000000000000000000000-------------------------------------
/ipv6 dhcp-server
add address-pool=pool_FT_6 interface=bridge name=DHCPv6 route-distance=5
/ipv6 address
add address=::1 from-pool=pool_FT_6 interface=bridge
/ipv6 dhcp-client
add add-default-route=yes dhcp-options=authsend,userclass,class-identifier dhcp-options=authsend,userclass,class-identifier interface=br-wan pool-name=pool_FT_6 request=prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix="Not from LAN"
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input comment="defconf: IPV6-SSH-CONNEXION" connection-state=new dst-port=22 log=yes log-prefix=\
    IPV6-SSH-CONNEXION protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade3" connection-state=new dst-port=22 log=yes log-prefix=\
    IPV6-SSH-BRUTEFORCE-grade3 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade2" connection-state=new dst-port=22 log=yes log-prefix=\
    IPV6-SSH-BRUTEFORCE-grade2 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade1" connection-state=new dst-port=22 log=yes log-prefix=\
    IPV6-SSH-BRUTEFORCE-grade1 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 firewall mangle
add action=mark-packet chain=output comment="Neighbor Solicitation NS" icmp-options=135:0-255 new-packet-mark=na/ns out-interface=br-wan passthrough=no protocol=icmpv6
add action=mark-packet chain=output comment="Neighbor Advertisement NA" icmp-options=136:0-255 new-packet-mark=na/ns out-interface=br-wan passthrough=no protocol=icmpv6
/ipv6 settings
set accept-router-advertisements=yes

yeocti · « **Réponse #15 le:** 26 mars 2023 à 17:48:29 »

L'option ipv6 forward n'est pas active dans IPv6 settings.
C'est probablement ce qui bloque la connectivité IPv6.

Tu as beaucoup trop de règles redondantes dans ton pare-feu IPv6 (parfois en triple ou en quadruple).
J'imagine que tu as gardé le pare-feu par défaut et que tu as ensuite ajouté des règles glanées ici et là.
Il faut faire le ménage... Les règles input doivent être groupées ensemble et les règles forward ensemble.

Citation de: Jimbo-77 le 26 mars 2023 à 16:30:31

Pare-feu par défaut :
Code: [Sélectionner]
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix="Not from LAN"
Une seule fois suffit et cette règle est redondante avec la ligne 5 des règle par défaut.
Je te conseille de garder la première, bien que moins sélective. Ca assurera une compatibilité avec d'autres FAI qu'Orange.
Code: [Sélectionner]
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128 add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128 add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
Cette partie n'est qu'une répétition des règles par défaut.
À supprimer donc.
Code: [Sélectionner]
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
Si le port 22 n'est pas ouvert sur ton routeur, tu peux te passer de ces règles.
Sinon, à grouper avec les règles input. En 3ème position.
Code: [Sélectionner]
add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
Encore une répétition des règles par défaut.
A supprimer.
Code: [Sélectionner]
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128 add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
Si le port 22 n'est pas ouvert sur ton routeur, tu peux te passer de ces règles.
Sinon, à mettre plutôt en fin de règle input (avant-dernière position)
Code: [Sélectionner]
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input comment="defconf: IPV6-SSH-CONNEXION" connection-state=new dst-port=22 log=yes log-prefix=\ IPV6-SSH-CONNEXION protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade3" connection-state=new dst-port=22 log=yes log-prefix=\ IPV6-SSH-BRUTEFORCE-grade3 protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade2" connection-state=new dst-port=22 log=yes log-prefix=\ IPV6-SSH-BRUTEFORCE-grade2 protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade1" connection-state=new dst-port=22 log=yes log-prefix=\ IPV6-SSH-BRUTEFORCE-grade1 protocol=tcp
Et encore une répétition...
Code: [Sélectionner]
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

Je t'invite fortement à consulter la documentation Mikrotik concernant le pare-feu :
https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall

Cette documentation peut également t'être utile :
https://help.mikrotik.com/docs/display/ROS/Securing+your+router

Jimbo-77 · « **Réponse #16 le:** 26 mars 2023 à 18:50:45 »

D'abord merci pour le temps passé à analyser ma conf.

Le problème est résolu. C'était bien ipv6 forward. Par contre, ce qui est bizarre, c'est que sous l'interface web, elle était indiquée comme active.
J'ai décoché, et recoché avec un apply derrière et ça a résolu le souci.

Concernant les règles, j'avais remarqué les redondance sur le port 546, mais je voulais y revenir plus tard.

Effectivement j'ai gardé les règles par défaut, mais par contre repris la conf du thread sur le sujet. https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg807812/#msg807812
Et la règle est bien en triple dans l'exemple.
J'avoue que j'aurai dû allumer le cerveau à ce moment là. Ce que j'avais fait pour le coup sur la partie ipv4.

Et promis, je vais me pencher sur la doc.

Encore merci.

yeocti · « **Réponse #17 le:** 26 mars 2023 à 18:53:13 »

Top!

C'est effectivement un problème connu de IPv6 settings.
Il faut parfois activer/désactiver pour que ça retombe en marche.

Jimbo-77 · « **Réponse #18 le:** 30 mars 2023 à 14:08:32 »

J’ai fait du ménage dans la conf firewall. Les trucs qui me semblaient évident.
Je regarderai plus en détail ce week-end si y’a d’autres choses à modifier.

Autres trucs que dois investiguer. Deux comportements étranges.

Le premier c’est que je perds des pings sur mon lan. En particulier vers mon ampli qui est branché sur un petit switch qui est lui même branché sur switch qui est branché sur le routeur. Et ce quand je regarde de la vod via l’AppleTV branchait sur le premier switch après le routeur. J’ai un smokeping depuis des années et je n’ai jamais eu de souci jusqu’au passage au MikroTik.
Et tout est en gigabit.

Code: [Sélectionner]

AmpliHC———Switch———Switch———Routeur
         AppleTV———/              \———NAS (smokeping)

Deuxième truc, si je me fie au graphique de l’interface, j’ai deux fois plus de flux sur l’interface l’an que sur l’interface wan.
Pour être plus clair, si je vois 25Mb/s sur l’interface wan parce que je regarde une série. Je me retrouve avec 50 sur l’interface où est branchée l’Appletv. Et encore plus bizarre, je retrouve les 25Mb/s sur l’interface où est branché mon point d’accès wifi qui pour le coup n’est pas censé voir passer ce flux…

Si des personnes ont des idées en attendant que je regarde ça ce week-end, je suis preneur.

Jimbo-77 · « **Réponse #19 le:** 30 mars 2023 à 16:51:03 »

Update au commentaire précédent.
Après une capture, il semblerait que je reçoive les paquets en double.
Les premiers en source l'IP publique du serveur concerné et en destination l'IP privée du client sur mon réseau.
Les deuxième en source l'IP publique du serveur concerné et en destination mon IP publique.

Comme le routeur faisait bien le nat, mais envoyait quand même les paquets d'origine non modifiés sur le réseau.

Ca a donc pour conséquence que tout paquet ayant gardé l'IP publique en destination est diffusé sur toutes mes interfaces.

Je continue de creuser quand j'ai le temps.

Jimbo-77 · « **Réponse #20 le:** 30 mars 2023 à 21:38:27 »

C’est bon. Je pense avoir trouvé.
Mon interface wan se trouvait dans mon bridge lan en plus du bridge wan.

Je ne constate plus de flux en double.
Et je me dis que si ça « broadcastait » mon la, ça explique les soucis de Ping que j’avais sur mon ampli qui doit être en 100Mb.

yeocti · « **Réponse #21 le:** 31 mars 2023 à 15:46:34 »

Sache qui si tu as deux bridges, seul le premier bénéficie de l'accélération matérielle.
https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Creatingmultiplebridges

À part un usage CPU plus élevé, ça ne devrait pas porter à conséquences dans ton cas, mais c'est bon à savoir.
Je ne sais pas comment se compose ton installation mais :

Si ton ONU est branché directement sur le RB5009, tu pourrais te contenter d'un seul bridge et extraire simplement l'interface qui porte l'ONU de celui-ci.
Si tu utilises des VLANs sur ton réseau, tu peux mettre toutes les interfaces dans le bridge avec vlan filtering activé (cf doc Mikrotik pour la configuration des VLANs)

Jimbo-77 · « **Réponse #22 le:** 31 mars 2023 à 18:05:52 »

Citation de: yeocti le 31 mars 2023 à 15:46:34

Sache qui si tu as deux bridges, seul le premier bénéficie de l'accélération matérielle.
https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Creatingmultiplebridges

À part un usage CPU plus élevé, ça ne devrait pas porter à conséquences dans ton cas, mais c'est bon à savoir.
Je ne sais pas comment se compose ton installation mais :
Si ton ONU est branché directement sur le RB5009, tu pourrais te contenter d'un seul bridge et extraire simplement l'interface qui porte l'ONU de celui-ci.
Si tu utilises des VLANs sur ton réseau, tu peux mettre toutes les interfaces dans le bridge avec vlan filtering activé (cf doc Mikrotik pour la configuration des VLANs)

Merci pour l'info. Comme tu dis, bon à savoir.

Jimbo-77 · « **Réponse #23 le:** 26 avril 2023 à 15:38:48 »

Citation de: yeocti le 31 mars 2023 à 15:46:34

Sache qui si tu as deux bridges, seul le premier bénéficie de l'accélération matérielle.
https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Creatingmultiplebridges

À part un usage CPU plus élevé, ça ne devrait pas porter à conséquences dans ton cas, mais c'est bon à savoir.
Je ne sais pas comment se compose ton installation mais :
Si ton ONU est branché directement sur le RB5009, tu pourrais te contenter d'un seul bridge et extraire simplement l'interface qui porte l'ONU de celui-ci.
Si tu utilises des VLANs sur ton réseau, tu peux mettre toutes les interfaces dans le bridge avec vlan filtering activé (cf doc Mikrotik pour la configuration des VLANs)

Ta remarque prend tout son intérêt aujourd'hui. Comme indiqué dans un autre thread, je vais ajouter un switch qui sera relié au routeur en fibre.
Le switch sera connecté à mon arrivée fibre Sosh. Ce qui implique que le lien entre les deux équipements verra passer le wan et le lan. De ce que j'ai lu et pour suivre tes conseils, le mieux est de tout mettre dans un unique bridge.
Et si je comprends bien, si je veux éviter le comportement que j'ai eu (paquets publics (non NATé) sur mon lan) il faut que le vlan filtering soit actif.

Est-ce que j'ai bon ?