Auteur Sujet: Configuration RouterOS (Mikrotik) pour livebox (Lu 334981 fois)

kfc · « **Réponse #516 le:** 21 avril 2018 à 01:08:32 »

Trop fort Catalyst

Réussi du premier coup gràce a toi.

1. ca fait deux jours que j'essaie de faire ca via firewall mangle :grr
3. rappeler qu'on est dans le context /ipv6 firewall filter
6. maintenant le LAN serait bridge1 pour quasi tout le monde je pense, faut que je relise en détail comment ça fonctionne ..
9. config firewall filter inout/output/forward recommandée vu que MK ne livre pas de defconf la dessus :/

EDIT en fait ca a l'air de marcher meme sans le bridge filter pour la prio. Cela me rassure un peu vu que mon interface WAN n'est pas sur le bridge. Je pense que mon problème était sur le formattage des options dhcp..

recopie basique de la policy IPV4 dans /ipv6 filter:
/ipv6 firewall filter
add action=accept chain=input dst-port=546 in-interface=vlan832 protocol=udp src-address=fe80::/10
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=vlan832
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN" connection-state=new in-interface=vlan832

Je remarque au passage que l'action fasttrack-connection n'est pas disponible :sad

talisker · « **Réponse #517 le:** 30 avril 2018 à 17:59:54 »

Merci a Catalyst pour ce tuto

Ca marche nickel en Interne, pour info j'utilise la dernière version. Pour l'instant tout va bien avec cette version.

Par contre, ca ping6 bien en interne mais comment on sort sur Internet en V6 ? normalement c'est la route par défaut .. ::/0 ? ca n'a pas l'air de sortir ...
Est ce qu'il y a pingV6 en routeros ?

Catalyst · « **Réponse #518 le:** 30 avril 2018 à 20:49:00 »

Sur le routeur, que donnent ces commandes ?

/ipv6 route print
/ipv6 address print
/ipv6 pool print
/ipv6 pool used print
/ping 2a01:e0c:1::1

(tu peux masquer ton préfixe si tu préfères)

talisker · « **Réponse #519 le:** 01 mai 2018 à 11:18:22 »

Envoyé en MP
C'est bon ca fonctionne, c'est plutôt tombé en marche ...
J'ai quand même supprimer les adresses LLA (Adresse unicast lien-local) en doublons sur l'interface WAN et les 3 VLANs (VOD, Internet, TV). J'ai juste gardé celle pour Internet.
Pour le coup, ca fonctione bien quand on est sur Youtube le flux passe bien IPV6

Catalyst · « **Réponse #520 le:** 01 mai 2018 à 14:20:28 »

Merci à vous pour vos remarques et commentaires.

j'ai mis à jour le tuto avec.

Florian · « **Réponse #521 le:** 05 mai 2018 à 12:59:58 »

Merci pour la conf ipv6.

Je vais essayer de la mettre en place, sachant que je ne passe pas par un bridge, et ma CoS DHCP est gérée par un switch en amont. En gros, j'aurais un port pour l'ipv4, et un autre pour l'ipv6, coté switch et coté routeur.

Va falloir aussi que je me plonge enfin dans certains principes de l'ipv6... Mais avant ça, étant bloqué en 6.42RC20 à cause du bug de MAJ lié à cette version, je vais devoir faire un upgrade via Netinstall. Fun times ahead

Florian · « **Réponse #522 le:** 05 mai 2018 à 19:49:51 »

Bon, mon dhcpv6 client reste en searching et ne récupère rien. Sad :/

Meneldor · « **Réponse #523 le:** 08 mai 2018 à 14:32:58 »

Même chose chez moi, IPv6 reste en searching.
J'ai reboot l'ONT pour voir, ça ne change rien. Pas de soucis coté IPv4.

talisker · « **Réponse #524 le:** 09 mai 2018 à 10:21:19 »

Citation de: Meneldor le 08 mai 2018 à 14:32:58

Même chose chez moi, IPv6 reste en searching.
J'ai reboot l'ONT pour voir, ça ne change rien. Pas de soucis coté IPv4.

Bonjour,

Est ce que vous voyez arriver le retour du DHCP V6 port 546 à l'entrée de votre routeur ?
Vous pouvez utiliser Torch ou juste remettre à zero le compteur de la régle Firewall qui accepte ces paquets pour voir si ca augmente ...

Florian · « **Réponse #525 le:** 09 mai 2018 à 18:57:49 »

Dans mon cas j'ai toujours un packet ayant comme source ff02::1:2 qui apparaît cycliquement, et rien d'autre ensuite. Je suppose que c'est la demande initiale ? Le protocole est 86dd (ipv6). La règle de firewall ne s'incrèmente pas. Ce qui confirmerait le "aucune réponse".

J'ai lu dans certains tuto ipv6 pour d'autres routeurs, que certains personnes étaient "vérouillées" sur le premier équipement branché en ipv6, et que les suivants ne pouvaient se connecter, à part de spoofer une sorte d'id spécifique. En gros, si ta livebox s'était déjà connecté, alors un autre équipement sera refusé. Certains disaient ne pas rencontrer ce soucis, d'autres confirmaient...

Voir :
https://blog.brimbelle.org/index.php/2018/04/30/fibre-orange-ipv6-et-dhcpcd/

"Attention, il semble qu’en plus des différentes options requises, Orange filtre sur la valeur du DUID de l’option 1 (CLIENTID) dans les requêtes DHCPv6. Mon impression est que la première valeur du DUID émise par l’équipement client connecté est mise sur liste blanche, et qu’il n’est ensuite plus possible d’utiliser une autre valeur. Ceci permettant à Orange de limiter les équipements connectés, éviter les échanges sauvages de Livebox, etc.

Il y a donc un travail nécessaire pour récupérer cette fameuse valeur du DUID :

Catalyst · « **Réponse #526 le:** 09 mai 2018 à 22:43:09 »

ff02::1:2 est l'adresse de destination dans la trame client DHCPv6 vers serveur. Elle n'apparait pas dans le sens contraire, le serveur répondant avec son adresse link-local en source.

Des pistes de recherche :

* A défaut de Wireshark, ajouter une règle dans 'ipv6 firewall filter' en tête de liste, pour voir tout ce qui rentre :

/ipv6 firewall filter add chain=input action=log in-interface=<le_wan> place-before=0
et surveiller par : /log print follow-only

A désactiver + tard par :
/ipv6 firewall filter p t
/ipv6 firewall filter remove 0

* On ne peut pas changer le DUID avec RouterOS, mais on devrait pouvoir le faire indirectement en changeant la MAC de la patte WAN puis en rebootant :
/interface ethernet print
/interface ethernet set <#_de_l'ether_physique_du_wan> mac-address=<MAC_Livebox>

Je n'ai jamais eu ce problème. J'ai swappé à plusieurs reprises le Mikrotik et la LB sur l'ONT sans problème de ce type.
Il y a un possible effet de bord si la LB est connectée au routeur ...
... et tant qu'à faire, noter avant l'ancienne MAC

* Je n'y crois pas trop, mais bon : sur la Livebox il y a la possiblité de désactiver ipv6 : (sur une LB3, configuration avancée / internet IPv6). Peut-être que cette option n'est que locale à la LB, peut-être qu'elle influe sur le réseau Orange.

doctorrock · « **Réponse #527 le:** 13 mai 2018 à 20:40:35 »

Alors de mon coté :

Déja je précise : je ne suis pas en ONT déporté, mais avec le SFP-ONT direct branché dans le routeur, donc la MAC de communication avec le réseau Orange est la MAC du routeur Mikrotik, que l'on peut forger, mais je n'ai pas eu besoin de le faire en IPV4 (Orange n'authentifie pas la MAC , mais utilise le numéro de série inscrit dans le SFP pour l'auth physique).
Donc ma stack IPV4 fonctionne sans soucis , sans la LB, et sans changer la MAC (mais en envoyant les bonnes options dans le client DHCP-V4 pour récupérer mon IPV4, ça, OK).

IPV6 autre histoire : Je confirme, pas possible de récupérer l'IPV6 , il faut changer le DUID (ça reste en "searching", j'ai pas sniffé).
On ne peut le changer sous Mikrotik directement (champ en read-only). Cependant en passant par la MAC, on devrait pouvoir changer le DUID (dérivé de la MAC) mais il faut pour cela .... reset la conf de ROS (factory reset) !
C'est ce que les forums de Mikrotik indiquent. (https://forum.mikrotik.com/viewtopic.php?t=120801). Un simple Reboot ne change pas le DUID.

Je n'ai pas fait le factory reset (c'est la "prod" de chez moi, donc pas trop le temps de rentrer dans des galères éventuelles de factory-reset), mais la Livebox elle, envoie bien le bon DUID (avec sa MAC dedans donc, j'ai sniffé le traffic c'est bien le cas) , et récupère bien une IPV6 par DHCPV6.

Après , ya encore le souci des options DHCP-client V6 : je vois bien pour ajouter des options dans le DHCP-serverV6 , mais pas le DHCP-clientV6 ? Je suis en ROS 6.42.1 , ya pas l'option pour les options :-D ?