La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: Jimbo-77 le 17 mars 2023 à 10:08:17
-
Salut à tous !
Suite aux mises à jour côté Orange, j’ai vu ma configuration a base de routeur wifi Netgear devenir non fonctionnelle.
J’ai dû évidemment ressortir la Livebox du placard. Maintenant comme je suis septique quant à une mise à jour rapide de Netgear prenant en charge les nouveaux paramètres de connexion, je me dis que ça peut être l’occasion de mettre quelque chose de plus configurable et pérenne. Et puis c’est l’occasion de geeker un peu aussi ;D
Pour avoir passé un « peu » de temps sur ce forum, MikroTik a l’air d’être une solution reconnue et je vais donc m’orienter la dessus.
Mon choix se porte donc vers le RB5009 avec l’utilisation du transceiver/ONU (pas sûr du vocabulaire) en lieu et place du couple ONT+Livebox.
La question : Voyez-vous une contrindication à cette configuration ?
Je pense en particulier à la récupération du numéro de série de l’ONT que je n’ai pas vu documenter pour ce type de boîtier.
Preneur aussi d’autres remarques.
D’avance merci pour vos réponses.
Jim
-
Bonjour,
Pas de contre indication à cette configuration.
Il y a plusieurs utilisateurs avec un RB5009 sur le topic suivant : https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/
Attention toutefois, il semble que la version 7.8 de RouterOS pose problème pour le support du stick FS.com.
Si tu restes en 7.7, pas de soucis, en attendant la correction du bug.
Le numéro de série de l'ONT orange est inscrit dessus et ne dépend pas du Mikrotik.
L'identifiant et le mot de passe Orange t'ont été communiqués à l'inscription ou à défaut, peuvent t'être renvoyés par le support.
Les autres informations sont accessibles depuis la Livebox.
Les deux sujets à suivre :
https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/
-
Bonjour,
Pas de contre indication à cette configuration.
Il y a plusieurs utilisateurs avec un RB5009 sur le topic suivant : https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/
Attention toutefois, il semble que la version 7.8 de RouterOS pose problème pour le support du stick FS.com.
Si tu restes en 7.7, pas de soucis, en attendant la correction du bug.
Merci je n’avais pas vu cette régression. Je garde ça en tête.
Le numéro de série de l'ONT orange est inscrit dessus et ne dépend pas du Mikrotik.
Oui, c’est ce que je me disais. Mais je ne me souviens pas avoir vu de témoignages de personnes l’ayant fait.
L'identifiant et le mot de passe Orange t'ont été communiqués à l'inscription ou à défaut, peuvent t'être renvoyés par le support.
Les autres informations sont accessibles depuis la Livebox.
Yes :)
Les deux sujets à suivre :
https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/
Merci. Je les avais déjà repérés. Mais c’est sûr que je vais devoir les reparcourir :)
-
Bon bah ça attendra. Le site où j’avais prévu de commander (Senetic) a vu son soudainement passer à zéro…
Et comme j’ai l’impression que ce routeur est en rupture un peu partout, pas trop le choix que de patienter.
-
C'est le cas de beaucoup de produits Mikrotik, malheureusement.
Tu peux également surveiller getic.com qui est régulièrement approvisionné et propose de bons tarifs.
-
C'est le cas de beaucoup de produits Mikrotik, malheureusement.
Tu peux également surveiller getic.com qui est régulièrement approvisionné et propose de bons tarifs.
Merci pour le tips.
-
Sur Senetic, le RB5009 s’est retrouvé de nouveau en stock. Commande passée.
J’espère que c’est pas un faux stock.
-
punaise Senetic vs Getic c'est 275€ vs 202€ :-\
-
J’avoue.
Mais je suis un gosse. Je ne sais pas attendre mes nouveaux jouets. :D
-
Routeur reçu hier. Donc Senetic est une boutique à recommander.
Côté, je l’ai juste allumé pour voir si je savais me connecter dessus. C’est ce week-end que les festivités commencent ;)
-
Petit update :
J'ai passé un peu de temps à récupérer les tutos pour la configuration d'un Mikrotik et ça a fonctionné presque du premier coup.
Y'avait la modification du fichier data_1g_8q.ini que j'avais pas.
Par contre, j'ai la partie IPv6 qui ne fonctionne pas.
Je pense bien récupérer l'adresse WAN, mais je n'arrive pas à surfer. Je me tape un timeout.
Et comme je suis une quiche en IPv6, je vais devoir chercher un peu comment ça marche.
En tout cas, merci à ceux qui ont défriché le sujet. Vu mes compétences réseau, il m'aurait pas 6 mois pour en arriver là. Et encore...
-
Bonjour,
En IPv6, tu ne reçois pas une adresse mais un préfixe (ie. des milliers d'adresses).
Ce préfixe doit être assigné à un pool et les adresses seront ensuites distribuées sur ton LAN.
D'un point de vue configuration, c'est normalement détaillé dans le post sur l'utilisation d'un CCR2004 (la configuration est identique). Les étapes sont les suivantes :
- Dans la configuration du client DHCPv6, il faut assigner le préfixe reçu à un pool.
- Dans la partie IPv6/Addresse, tu assignes une adresse à ton interface LAN en vérifiant que Advertise est coché. Cette adresse sera prise dans le pool précédemment configuré (option from-pool).
-
Bonjour,
En IPv6, tu ne reçois pas une adresse mais un préfixe (ie. des milliers d'adresses).
Ce préfixe doit être assigné à un pool et les adresses seront ensuites distribuées sur ton LAN.
Erreur de vocabulaire, mais en effet, je vois bien un préfixe.
D'un point de vue configuration, c'est normalement détaillé dans le post sur l'utilisation d'un CCR2004 (la configuration est identique). Les étapes sont les suivantes :
- Dans la configuration du client DHCPv6, il faut assigner le préfixe reçu à un pool.
C'est bien la configuration que j'ai reprise.
Cependant une question, on est d'accord que les règles firewall ipv6 ne viennent pas en remplacement des IPv4. Elles coexistent en parallèle, chacune étant "responsable" de son monde ?
Côté client dhcp, je vois bien ce préfixe avec attribution au pool pool_FT_6 (comme dans la conf que j'ai pompée :) )
- Dans la partie IPv6/Addresse, tu assignes une adresse à ton interface LAN en vérifiant que Advertise est coché. Cette adresse sera prise dans le pool précédemment configuré (option from-pool).
Je confirme, je vois bien dans cette partie une adresse avec le préfixe récupérée et qui se termine :1. Que je pingue sans soucis depuis mon ordi.
Ordi qui a bien deux IP avec ce même préfixe.
Je me demande si c'est pas au niveau fw.
Si quelqu'un à une IP publique que je peux pinguer et sur laquelle je peux faire un netcat en 80 par exemple. Je suis preneur.
J'ai essayé cette IP 2001:8b0:0:30::666:102 qui correspond au site https://loopsofzen.uk/ et je ne la pingue pas, et le netcat sur le port 80 ne fonctionne pas non plus.
En tout cas merci d'avoir pris le temps de me donner ces premiers éléments.
-
Il y a effectivement des règles de firewall pour ce qui concerne l'IPv4 et d'autres pour l'IPv6.
Si tu récupères une IPv6 sur ton PC, c'est déjà un bon début.
Peux tu essayer le ping depuis le router directement ?
Tu peux utiliser les adresses des serveurs DNS publics (Quad9, cloudlfare, Google, etc).
N'hésite pas à poster ta configuration également en enlevant toutes informations sensibles.
-
Il y a effectivement des règles de firewall pour ce qui concerne l'IPv4 et d'autres pour l'IPv6.
Si tu récupères une IPv6 sur ton PC, c'est déjà un bon début.
Peux tu essayer le ping depuis le router directement ?
J'arrive même à initier une connexion vers le site que j'ai mentionné :
[admin@JimRouter] > /system/telnet 2001:8b0:0:30::666:102 80
Connecting to 2001:8b0:0:30::666:102
Connected to 2001:8b0:0:30::666:102
^C^C^C^D
HTTP/1.1 400 Bad Request
Date: Sun, 26 Mar 2023 13:16:49 GMT
La même chose sur mon laptop :
❯ nc -v 2001:8b0:0:30::666:102 80
nc: connectx to 2001:8b0:0:30::666:102 port 80 (tcp) failed: No route to host
Et je ne sais pas si ça peut aider mais si je fais un traceroute qui me semble louche :
❯ traceroute6 2001:8b0:0:30::666:102
traceroute6 to 2001:8b0:0:30::666:102 (2001:8b0:0:30::666:102) from fd7e:7789:37ae:4660:1ca1:61de:2862:866a, 64 hops max, 12 byte packets
1 fd7e:7789:37ae:4660:14b4:ee62:dd2e:b2e5 318.417 ms 4.657 ms 4.228 ms
2 fd7e:7789:37ae:4660:2:fd45:3d7a:3c65 8.901 ms 81.674 ms 134.783 ms
3 fd7e:7789:37ae:4660:14b4:ee62:dd2e:b2e5 22.865 ms 9.629 ms 35.855 ms
4 * * *
N'hésite pas à poster ta configuration également en enlevant toutes informations sensibles.
Ci-dessous la conf ipv6 :
/ipv6 dhcp-client option
add code=16 name=class-identifier value=0x0000040e0005736167656d
add code=15 name=userclass value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f78340a
add code=11 name=authsend value=0x0000000000000000000000-------------------------------------
/ipv6 dhcp-server
add address-pool=pool_FT_6 interface=bridge name=DHCPv6 route-distance=5
/ipv6 address
add address=::1 from-pool=pool_FT_6 interface=bridge
/ipv6 dhcp-client
add add-default-route=yes dhcp-options=authsend,userclass,class-identifier dhcp-options=authsend,userclass,class-identifier interface=br-wan pool-name=pool_FT_6 request=prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix="Not from LAN"
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input comment="defconf: IPV6-SSH-CONNEXION" connection-state=new dst-port=22 log=yes log-prefix=\
IPV6-SSH-CONNEXION protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade3" connection-state=new dst-port=22 log=yes log-prefix=\
IPV6-SSH-BRUTEFORCE-grade3 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade2" connection-state=new dst-port=22 log=yes log-prefix=\
IPV6-SSH-BRUTEFORCE-grade2 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade1" connection-state=new dst-port=22 log=yes log-prefix=\
IPV6-SSH-BRUTEFORCE-grade1 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 firewall mangle
add action=mark-packet chain=output comment="Neighbor Solicitation NS" icmp-options=135:0-255 new-packet-mark=na/ns out-interface=br-wan passthrough=no protocol=icmpv6
add action=mark-packet chain=output comment="Neighbor Advertisement NA" icmp-options=136:0-255 new-packet-mark=na/ns out-interface=br-wan passthrough=no protocol=icmpv6
/ipv6 settings
set accept-router-advertisements=yes
-
L'option ipv6 forward n'est pas active dans IPv6 settings.
C'est probablement ce qui bloque la connectivité IPv6.
Tu as beaucoup trop de règles redondantes dans ton pare-feu IPv6 (parfois en triple ou en quadruple).
J'imagine que tu as gardé le pare-feu par défaut et que tu as ensuite ajouté des règles glanées ici et là.
Il faut faire le ménage... Les règles input doivent être groupées ensemble et les règles forward ensemble.
Pare-feu par défaut :
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix="Not from LAN"
Une seule fois suffit et cette règle est redondante avec la ligne 5 des règle par défaut.
Je te conseille de garder la première, bien que moins sélective. Ca assurera une compatibilité avec d'autres FAI qu'Orange.
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
Cette partie n'est qu'une répétition des règles par défaut.
À supprimer donc.
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
Si le port 22 n'est pas ouvert sur ton routeur, tu peux te passer de ces règles.
Sinon, à grouper avec les règles input. En 3ème position.
add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
Encore une répétition des règles par défaut.
A supprimer.
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
Si le port 22 n'est pas ouvert sur ton routeur, tu peux te passer de ces règles.
Sinon, à mettre plutôt en fin de règle input (avant-dernière position)
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input comment="defconf: IPV6-SSH-CONNEXION" connection-state=new dst-port=22 log=yes log-prefix=\
IPV6-SSH-CONNEXION protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade3" connection-state=new dst-port=22 log=yes log-prefix=\
IPV6-SSH-BRUTEFORCE-grade3 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade2" connection-state=new dst-port=22 log=yes log-prefix=\
IPV6-SSH-BRUTEFORCE-grade2 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade1" connection-state=new dst-port=22 log=yes log-prefix=\
IPV6-SSH-BRUTEFORCE-grade1 protocol=tcp
Et encore une répétition...
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
Je t'invite fortement à consulter la documentation Mikrotik concernant le pare-feu :
https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall (https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall)
https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall (https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall)
Cette documentation peut également t'être utile :
https://help.mikrotik.com/docs/display/ROS/Securing+your+router (https://help.mikrotik.com/docs/display/ROS/Securing+your+router)
-
D'abord merci pour le temps passé à analyser ma conf.
Le problème est résolu. C'était bien ipv6 forward. Par contre, ce qui est bizarre, c'est que sous l'interface web, elle était indiquée comme active.
J'ai décoché, et recoché avec un apply derrière et ça a résolu le souci.
Concernant les règles, j'avais remarqué les redondance sur le port 546, mais je voulais y revenir plus tard.
Effectivement j'ai gardé les règles par défaut, mais par contre repris la conf du thread sur le sujet. https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg807812/#msg807812 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg807812/#msg807812)
Et la règle est bien en triple dans l'exemple.
J'avoue que j'aurai dû allumer le cerveau à ce moment là. Ce que j'avais fait pour le coup sur la partie ipv4.
Et promis, je vais me pencher sur la doc.
Encore merci.
-
Top!
C'est effectivement un problème connu de IPv6 settings.
Il faut parfois activer/désactiver pour que ça retombe en marche.
-
J’ai fait du ménage dans la conf firewall. Les trucs qui me semblaient évident.
Je regarderai plus en détail ce week-end si y’a d’autres choses à modifier.
Autres trucs que dois investiguer. Deux comportements étranges.
Le premier c’est que je perds des pings sur mon lan. En particulier vers mon ampli qui est branché sur un petit switch qui est lui même branché sur switch qui est branché sur le routeur. Et ce quand je regarde de la vod via l’AppleTV branchait sur le premier switch après le routeur. J’ai un smokeping depuis des années et je n’ai jamais eu de souci jusqu’au passage au MikroTik.
Et tout est en gigabit.
AmpliHC———Switch———Switch———Routeur
AppleTV———/ \———NAS (smokeping)
Deuxième truc, si je me fie au graphique de l’interface, j’ai deux fois plus de flux sur l’interface l’an que sur l’interface wan.
Pour être plus clair, si je vois 25Mb/s sur l’interface wan parce que je regarde une série. Je me retrouve avec 50 sur l’interface où est branchée l’Appletv. Et encore plus bizarre, je retrouve les 25Mb/s sur l’interface où est branché mon point d’accès wifi qui pour le coup n’est pas censé voir passer ce flux…
Si des personnes ont des idées en attendant que je regarde ça ce week-end, je suis preneur.
-
Update au commentaire précédent.
Après une capture, il semblerait que je reçoive les paquets en double.
Les premiers en source l'IP publique du serveur concerné et en destination l'IP privée du client sur mon réseau.
Les deuxième en source l'IP publique du serveur concerné et en destination mon IP publique.
Comme le routeur faisait bien le nat, mais envoyait quand même les paquets d'origine non modifiés sur le réseau.
Ca a donc pour conséquence que tout paquet ayant gardé l'IP publique en destination est diffusé sur toutes mes interfaces.
Je continue de creuser quand j'ai le temps.
-
C’est bon. Je pense avoir trouvé.
Mon interface wan se trouvait dans mon bridge lan en plus du bridge wan.
Je ne constate plus de flux en double.
Et je me dis que si ça « broadcastait » mon la, ça explique les soucis de Ping que j’avais sur mon ampli qui doit être en 100Mb.
-
Sache qui si tu as deux bridges, seul le premier bénéficie de l'accélération matérielle.
https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Creatingmultiplebridges
À part un usage CPU plus élevé, ça ne devrait pas porter à conséquences dans ton cas, mais c'est bon à savoir.
Je ne sais pas comment se compose ton installation mais :
- Si ton ONU est branché directement sur le RB5009, tu pourrais te contenter d'un seul bridge et extraire simplement l'interface qui porte l'ONU de celui-ci.
- Si tu utilises des VLANs sur ton réseau, tu peux mettre toutes les interfaces dans le bridge avec vlan filtering activé (cf doc Mikrotik pour la configuration des VLANs)
-
Sache qui si tu as deux bridges, seul le premier bénéficie de l'accélération matérielle.
https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Creatingmultiplebridges
À part un usage CPU plus élevé, ça ne devrait pas porter à conséquences dans ton cas, mais c'est bon à savoir.
Je ne sais pas comment se compose ton installation mais :
- Si ton ONU est branché directement sur le RB5009, tu pourrais te contenter d'un seul bridge et extraire simplement l'interface qui porte l'ONU de celui-ci.
- Si tu utilises des VLANs sur ton réseau, tu peux mettre toutes les interfaces dans le bridge avec vlan filtering activé (cf doc Mikrotik pour la configuration des VLANs)
Merci pour l'info. Comme tu dis, bon à savoir. :)
-
Sache qui si tu as deux bridges, seul le premier bénéficie de l'accélération matérielle.
https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Creatingmultiplebridges
À part un usage CPU plus élevé, ça ne devrait pas porter à conséquences dans ton cas, mais c'est bon à savoir.
Je ne sais pas comment se compose ton installation mais :
- Si ton ONU est branché directement sur le RB5009, tu pourrais te contenter d'un seul bridge et extraire simplement l'interface qui porte l'ONU de celui-ci.
- Si tu utilises des VLANs sur ton réseau, tu peux mettre toutes les interfaces dans le bridge avec vlan filtering activé (cf doc Mikrotik pour la configuration des VLANs)
Ta remarque prend tout son intérêt aujourd'hui. Comme indiqué dans un autre thread, je vais ajouter un switch qui sera relié au routeur en fibre.
Le switch sera connecté à mon arrivée fibre Sosh. Ce qui implique que le lien entre les deux équipements verra passer le wan et le lan. De ce que j'ai lu et pour suivre tes conseils, le mieux est de tout mettre dans un unique bridge.
Et si je comprends bien, si je veux éviter le comportement que j'ai eu (paquets publics (non NATé) sur mon lan) il faut que le vlan filtering soit actif.
Est-ce que j'ai bon ?
-
Sache qui si tu as deux bridges, seul le premier bénéficie de l'accélération matérielle.
https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading#L3HardwareOffloading-Creatingmultiplebridges
À part un usage CPU plus élevé, ça ne devrait pas porter à conséquences dans ton cas, mais c'est bon à savoir.
Je ne sais pas comment se compose ton installation mais :
- Si ton ONU est branché directement sur le RB5009, tu pourrais te contenter d'un seul bridge et extraire simplement l'interface qui porte l'ONU de celui-ci.
- Si tu utilises des VLANs sur ton réseau, tu peux mettre toutes les interfaces dans le bridge avec vlan filtering activé (cf doc Mikrotik pour la configuration des VLANs)
Sauf que dans ce cas là, il devra bien utiliser 2 bridges, le premier (hardware offloadé) pour les vlans, et un deuxième pour appliquer les bridges rules pour la COS6 (pas de switch rules possible pour la COS6 sur le rb5009 pour le moment).
C'est la conf que j'utilise et elle fonctionne parfaitement.
-
Sauf que dans ce cas là, il devra bien utiliser 2 bridges, le premier (hardware offloadé) pour les vlans, et un deuxième pour appliquer les bridges rules pour la COS6 (pas de switch rules possible pour la COS6 sur le rb5009 pour le moment).
C'est la conf que j'utilise et elle fonctionne parfaitement.
Mais pourquoi un seul bridge avec le filtre ne conviendrait pas ? Puisque la conf s'applique qu'à l'interface vlan-internet.
Cf la conf que j'ai récupérée dans un autre thread qui doit être celle que j'ai.
############################################################################################
# Definition du filtre qui envoit les requêtes DHCP avec la COS=6 si nécessaires à Orange
# Prélablement à la crétion du client DHCP bien sûr
############################################################################################
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes
/interface bridge port
add bridge=br-wan interface=vlan832-internet
# définition du pont où s'enverra la requête DHCP, à COS forgée
############################################################################################
Y'a pas le réseau, c'est vraiment un monde à part. Dixit un mec du système :D
-
Je te confirme, que le réseau c’est un monde à part…. dixit un autre système guy…
La raison est simple pour le deuxième bridge, si tu veux juste de l’ipv6 pas de soucis… par contre l’implémentation de Mikrotik au niveau de l’ipv4, te force à faire comme cela… il te faut un bridge afin de l’utiliser pour le client dhcp v4, c’est lui qui va porter l’ipv4 et te permettre d’implémenter la bridge rule pour la Cos6… en gros sinon la bridge rule ne s’appliquera jamais, dans le cas ou tu fais un bridge avec des vlans hardware offloadés.
Le morceau de conf que tu donnes est le bon, mais ne fonctionnera juste pas dans cette configuration… j’ai essayé longtemps…
Cf: https://forum.mikrotik.com/viewtopic.php?t=191367
Bonne soirée,
-
Je te confirme, que le réseau c’est un monde à part…. dixit un autre système guy…
La raison est simple pour le deuxième bridge, si tu veux juste de l’ipv6 pas de soucis… par contre l’implémentation de Mikrotik au niveau de l’ipv4, te force à faire comme cela… il te faut un bridge afin de l’utiliser pour le client dhcp v4, c’est lui qui va porter l’ipv4 et te permettre d’implémenter la bridge rule pour la Cos6… en gros sinon la bridge rule ne s’appliquera jamais, dans le cas ou tu fais un bridge avec des vlans hardware offloadés.
Le morceau de conf que tu donnes est le bon, mais ne fonctionnera juste pas dans cette configuration… j’ai essayé longtemps…
Cf: https://forum.mikrotik.com/viewtopic.php?t=191367
Bonne soirée,
Merci pour ces nouveaux éléments. Je vais étudier ça ce week-end.
-
Sauf que dans ce cas là, il devra bien utiliser 2 bridges, le premier (hardware offloadé) pour les vlans, et un deuxième pour appliquer les bridges rules pour la COS6 (pas de switch rules possible pour la COS6 sur le rb5009 pour le moment).
C'est la conf que j'utilise et elle fonctionne parfaitement.
Oui, effectivement avec le RB5009 seul, deux bridges sont nécessaires. J'ai répondu un peu vite.
Par curiosité, si l'accélération hardware est désactivée sur le port portant l'ONU, les bridge filters ne fonctionnent pas non plus avec un seul bridge ?
Ta remarque prend tout son intérêt aujourd'hui. Comme indiqué dans un autre thread, je vais ajouter un switch qui sera relié au routeur en fibre.
Le switch sera connecté à mon arrivée fibre Sosh. Ce qui implique que le lien entre les deux équipements verra passer le wan et le lan. De ce que j'ai lu et pour suivre tes conseils, le mieux est de tout mettre dans un unique bridge.
Et si je comprends bien, si je veux éviter le comportement que j'ai eu (paquets publics (non NATé) sur mon lan) il faut que le vlan filtering soit actif.
Est-ce que j'ai bon ?
Il y aura un Trunk VLAN entre le RB5009 et le Switch pour acheminer les différents VLAN, dont le 832, entre les deux équipements.
Effectivement, le vlan filtering devra être activé (attention à bien le configurer pour ne pas perdre l'accès).
Si le switch permet de gérer la CoS6, c'est un must et il sera donc possible de se passer des bridge filters et de revenir à un seul bridge sur le RB5009.
-
Par curiosité, si l'accélération hardware est désactivée sur le port portant l'ONU, les bridge filters ne fonctionnent pas non plus avec un seul bridge ?
Honnêtement, j’ai pas essayé. Car je suis pas sur que soit super de mixer port hardware offloadé et non offloadé sur un même bridge (Ce n’est que mon avis).
-
Actuellement c’est le CSS610 qui va accueillir la fibre et je crois que je ne peux pas mettre de filtre sur ce dernier.
Il est fort probable qu’à terme j’achète un CRS305 qui lui peut mais faut que j’y voie plus clair sur ma future installation avant.
La l’idée c’est d’avoir une solution opérationnelle lorsque je déménagerai dans quelques mois.
Sinon pour les tests, ça devra attendre, perte de lien fibre ce soir…
D’ailleurs il m’a fallu une bonne demi-heure avant de comprendre que le problème ne venait pas du routeur et de ma conf ;D.
-
J'ai bien l'impression que tu peux mettre des ACLs sous switchOS (l'OS du CSS610) et donc mettre en place la CoS6 sur le switch.
Voir https://help.mikrotik.com/docs/display/SWOS/CSS610+series+Manual#CSS610seriesManual-ACLandACLStatsTabs
Plus qu'à voir si l'ONU est supporté ?
-
Honnêtement, j’ai pas essayé. Car je suis pas sur que soit super de mixer port hardware offloadé et non offloadé sur un même bridge (Ce n’est que mon avis).
De mon côté, j'ai migré mais je n'ai pas besoin de CoS6 (pour le moment) donc pas forcément évident de tester.
Qui plus est, comme j'ai un switch qui s'occupe de la CoS... Mais, la doc Mikrotik prévoit la possibilité d'avoir des ports non offloadés et offloadés sur un même bridge. Si j'ai du temps un moment, j'essaierai pour voir.
-
Connexion fibre revenue, mais un peu dégradée.
J'en profite pour vous posez des questions suite à cette panne :
- Combien avez-vous en atténuation en RX et TX ?
J'ai un LibreNMS pour suivre ça et suite au retour de la connexion, j'ai -2.26dB en TX, mais le RX reste à -40dB alors qu'il était à -17.45dB avant la coupure
- Savez-vous pourquoi j'ai dû rebooter le routeur pour retrouver une configuration opérationnelle ?
J'avais bien rechoppé une ipv4 et un préfixe ipv6, mais impossible de surfer, pingre en public...
-
J'ai 1,105dBm en TX et -17,67dBm en RX.
Ta connexion fonctionne bien ? -40dBm c'est au delà des normes.
-
J'ai 1,105dBm en TX et -17,67dBm en RX.
Ta connexion fonctionne bien ? -40dBm c'est au delà des normes.
La connexion n’était pas optimale, y’avait 5% de perte de paquets.
Là, c’est de nouveau coupé. Et d’ailleurs les valeurs de perte n’ont pas bougé. Je soupçonne une sorte de bug dans la mise à jour des valeurs car je suis en coupure franche et j’avais toujours la même chose…
-
-40dBm est probablement la valeur minimale de puissance reçue que l'ONT calcule et/ou affiche, tu peux l'interpréter comme "pas de signal". Tes valeurs avant coupure étaient bonnes, à priori.
-
-40dBm est probablement la valeur minimale de puissance reçue que l'ONT calcule et/ou affiche, tu peux l'interpréter comme "pas de signal". Tes valeurs avant coupure étaient bonnes, à priori.
Je viens de retrouver ma connectivité fibre. Pareil TX a 2.29dB mais le RX reste à 40dB.
Débit à peu près correct et 1% de perte de paquets.
Je ne comprends comme je peux avoir une connexion à peu près opérationnelle malgré ces -40dB.
-
-40dBm est probablement la valeur minimale de puissance reçue que l'ONT calcule et/ou affiche, tu peux l'interpréter comme "pas de signal". Tes valeurs avant coupure étaient bonnes, à priori.
Je confirme. En débranchant la fibre de l'ONU, la valeur de RX tombe à -40dBm et la valeur TX reste figée à la valeur au moment du débranchement.
Est-ce que tu as essayé de débrancher/rebrancher ta fibre à tout hasard ? Est-ce que c'est pareil avec la Livebox ?
-
Oui, j’ai du le faire pour tester avec le boîtier ONT dans le cadre de mes échanges avec Sosh.
Je réessayerai ce soir.
-
C’est remonté à -36dB :)
Pas top mais j’ai retrouvé une connexion potable. Un technicien doit passer. J’espère qu’il va remettre ça en ordre.
-
A -36dBm, on est très loin de la spec GPON et je suis quasi certain que le récepteur ne peut pas décoder le signal à ce niveau de puissance.
Il est par contre plus probable qu'il y ait un filtre (moyenneur) sur les puissances affichées. Comme tu alternes rapidement entre signal OK et pas de signal, en sachant que -40dBm est la valeur affichée quand tu n'as pas de signal, on arrive à une valeur moyenne qui tend entre -40dBm et ~-17dBm...
-
A -36dBm, on est très loin de la spec GPON et je suis quasi certain que le récepteur ne peut pas décoder le signal à ce niveau de puissance.
Il est par contre plus probable qu'il y ait un filtre (moyenneur) sur les puissances affichées. Comme tu alternes rapidement entre signal OK et pas de signal, en sachant que -40dBm est la valeur affichée quand tu n'as pas de signal, on arrive à une valeur moyenne qui tend entre -40dBm et ~-17dBm...
Je ne sais pas ce que tu veux dire par alternance rapide, mais sur l'interface y'a un rafraichissement de l'atténuation toutes les secondes et c'est à peu près constant.
Maintenant si tu veux dire changement d'atténuation plusieurs fois par seconde, effectivement, il est probable que la mesure soit moyennée.
Pour info, ci-dessous la courbe d'atténuation de ma connexion :
(https://i.ibb.co/SdLTNzJ/Capture-d-cran-2023-04-29-09-49-17.png) (https://ibb.co/F0Pv6Fn)
my pics (https://fr.imgbb.com/)
-
Chose qui peut être intéressante concernant mon incident fibre.
J’ai rebranché le boîtier ONT avec la Livebox et impossible d’avoir un lien fibre opérationnel. Le voyant LOS reste désespérément rouge.
J’en déduis que l’ONU fs.com est plus tolérant car je suis toujours à -35dB dans le meilleur des cas avec une connexion internet opérationnelle.
Test débit à 300Mb/s. J’ai quelques partes de paquets un coup de temps en temps mais ça pourrait passer inaperçu.
-
Tu as un lien vers la datasheet de ce module ? Ca serait intéressant de voir quelle est sa sensibilité.
-
Tu as un lien vers la datasheet de ce module ? Ca serait intéressant de voir quelle est sa sensibilité.
C’est le fameux module fs.com: https://www.fs.com/products/133619.html (https://www.fs.com/products/133619.html)
Je vois une sensibilité à -28dBm.
-
OK, des liens GPON stables à -28dBm, ca s'est déjà vu. La spec dit -28dBm, le module lui-même peut potentiellement être plus sensible. Mais -35dBm, c'est quand même bien faible.
Tu as probablement déjà essayé, mais si tu bouges la jarretière optique, nettoie les connecteurs à la bonbonne d'air ou si tu la remplaces tout simplement par une autre, c'est pareil ?
-
OK, des liens GPON stables à -28dBm, ca s'est déjà vu. La spec dit -28dBm, le module lui-même peut potentiellement être plus sensible. Mais -35dBm, c'est quand même bien faible.
Tu as probablement déjà essayé, mais si tu bouges la jarretière optique, nettoie les connecteurs à la bonbonne d'air ou si tu la remplaces tout simplement par une autre, c'est pareil ?
Je n’ai pas vraiment essayé de résoudre le souci dans le sens où je crois que tout l’immeuble est concerné.
Et le problème est apparu sans que je fasse quoique ce soit.