Auteur Sujet: Configuration RouterOS (Mikrotik) pour livebox (Lu 336294 fois)

damien92220 · « **Réponse #672 le:** 09 novembre 2019 à 11:20:34 »

Citation de: zigjack le 28 avril 2019 à 14:04:49

Bon je confirme tout ce que tu as dit, sur les forums Mirotik, effectivement on n explique pas trop ce choix sur le RB4011...
Et je viens juste de voir que mon switch, le GS724tpv2, ne permet pas de prendre de multiples critères lors de la création de la classe DiffServ pour différencier les paquets... c'est un peu la loose la du coup...

Hello,

pour le GS724TPv2 j'ai pas capté, il ne peut pas faire comme un GS108Tv2 ou de gérer IPv4 et IPv6 sur le même port ?

hj67 · « **Réponse #673 le:** 10 novembre 2019 à 11:32:28 »

Si le GS724TPv2 fonctionne comme GS108Tv2, on ne peut pas appliquer de règle IPv4 et Ipv6 sur un même port.

breizyann · « **Réponse #674 le:** 24 janvier 2020 à 19:48:51 »

Citation de: kfc le 04 décembre 2018 à 16:59:52

Hello,

quelqu'un aurait eu l'occasion de tester le hex S ( https://mikrotik.com/product/hex_s ) avec le SFP Orange / Sosh ?
Compatible ou pas ?

Test effectué et validé pour la partie internet exclusivement (offre orange initiale):
https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg725710/#msg725710

doctorrock · « **Réponse #675 le:** 06 février 2020 à 12:32:46 »

Merci pour ce retour complet !

En effet chez Mikrotik, si tu ne prends pas un routeur avec des switch chips cablées comme tu veux, tu vas être obligé de créer un bridge non hardware-offloadé pour gérer la COS, et donc de faire passer tout le traffic Internet par le CPU, ce qui est assez couteux ^_^

nscheffer · « **Réponse #676 le:** 29 mars 2020 à 16:05:46 »

Bonjour à tous,

J'ai pu hier enlever ma Livebox Pro v4 sur un accès Fibre Orange Pro !
J'ai mis à la place un routeur Mikrotik hEX PoE et cela marche nickel en IPv4 et IPv6...
https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg744698/#msg744698

Seul soucis pour le moment c'est que je passe par le port sfp1 avec un SFP Mikrotik RJ45 qui m'oblige à utiliser un bridge, la conséquence je plafonne à 300Mb/s au max.
J'ai donc basculer du port sfp1 sur ether1, la même config fonctionne.
Ensuite on enlève le bridge et on passe avec des switch rules :
- en IPv4 nickle et je plafonne maintenant à 1Gb/s avec un CPU au repos...
- en IPv6 KO c'est la le problème

Si quelqu'un a déjà reussi les switch rule pour la partie dhpc-client-v6 je suis preneur.

Bon dimanche

Nicolas

mobyfab · « **Réponse #677 le:** 29 mars 2020 à 20:17:42 »

Mes switch rules qui fonctionnent pour ipv4 et ipv6: (Remplacer XX:XX:XX:XX:XX:XX par la MAC de votre intrerface WAN)

Code: [Sélectionner]

/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=switch1-cpu protocol=udp src-mac-address=XX:XX:XX:XX:XX:XX/FF:FF:FF:FF:FF:FF switch=switch1
add dst-mac-address=33:33:00:01:00:02/FF:FF:FF:FF:FF:FF mac-protocol=ipv6 new-vlan-priority=6 ports=switch1-cpu src-mac-address=XX:XX:XX:XX:XX:XX/FF:FF:FF:FF:FF:FF switch=switch1

Il y a un bug dans les regles de filtrage, ou alors le chipset ne supporte tout simplement pas...
Par exemple, le champ VLAN ID ne fonctionne pas, ni utiliser un autre port que "switch1 cpu"
Du coup j'ai utilisé le packet sniffer et j'ai trouvé que les requetes DHCPv6 partent toujours vers la même MAC, je l'ai donc utilisée comme filtre.

Sans filtrer la MAC, le cpu du switch sature la connection ipv6 à 40Mb, et avec j'ai bien le débit max.

nscheffer · « **Réponse #678 le:** 29 mars 2020 à 22:50:04 »

Citation de: mobyfab le 29 mars 2020 à 20:17:42

Mes switch rules qui fonctionnent pour ipv4 et ipv6: (Remplacer XX:XX:XX:XX:XX:XX par la MAC de votre intrerface WAN)
Code: [Sélectionner]
/interface ethernet switch rule add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=switch1-cpu protocol=udp src-mac-address=XX:XX:XX:XX:XX:XX/FF:FF:FF:FF:FF:FF switch=switch1 add dst-mac-address=33:33:00:01:00:02/FF:FF:FF:FF:FF:FF mac-protocol=ipv6 new-vlan-priority=6 ports=switch1-cpu src-mac-address=XX:XX:XX:XX:XX:XX/FF:FF:FF:FF:FF:FF switch=switch1
Il y a un bug dans les regles de filtrage, ou alors le chipset ne supporte tout simplement pas...
Par exemple, le champ VLAN ID ne fonctionne pas, ni utiliser un autre port que "switch1 cpu"
Du coup j'ai utilisé le packet sniffer et j'ai trouvé que les requetes DHCPv6 partent toujours vers la même MAC, je l'ai donc utilisée comme filtre.

Sans filtrer la MAC, le cpu du switch sature la connection ipv6 à 40Mb, et avec j'ai bien le débit max.

De retour et merci mobyfab, finalement j'ai refait la config de zéro pour avoir quelque chose de propre et ca tourne nickel en IPv4 et en IPv6 sur le port ether1 avec les switch rules !!!!
Je viens de faire un test de débit sur ipv6-test.com en IPv4 et IPv6 même si ce n'est pas le meilleur créneau horaire et la période idéale j'ai 606Mb/s en IPv4 et 373Mb/s en IPv6, c'est top je suis content... merci à tous encore.

Pour ceux qui veulent je peux poster la dernier config complète.

Nicolas

nscheffer · « **Réponse #679 le:** 30 mars 2020 à 07:49:53 »

Citation de: nscheffer le 29 mars 2020 à 22:50:04

De retour et merci mobyfab, finalement j'ai refait la config de zéro pour avoir quelque chose de propre et ca tourne nickel en IPv4 et en IPv6 sur le port ether1 avec les switch rules !!!!
Je viens de faire un test de débit sur ipv6-test.com en IPv4 et IPv6 même si ce n'est pas le meilleur créneau horaire et la période idéale j'ai 606Mb/s en IPv4 et 373Mb/s en IPv6, c'est top je suis content... merci à tous encore.

Pour ceux qui veulent je peux poster la dernier config complète.

Nicolas

Cela fonctionne avec les switch rules mais pour IPv6 je marque tout le traffic ce qui impacte les performances, il reste à arriver à trouver la switch rule comme IPv4 pour ne matcher que le DHCPv6 Solicit et le marquer au lieu de faire tout le trafic IPv6 !

Voila ma dernière config :

Code: [Sélectionner]

# mar/30/2020 07:46:36 by RouterOS 6.47beta49
# software id = PLK7-FUWK
#
# model = 960PGS
# serial number = AD8A0A404F4B
/interface bridge
add admin-mac=74:4D:28:6D:F7:AC auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
add code=90 name=authsend value=0x00000000000000000000001a0900000558010341010d6674692FXXXXXXX
/ip pool
add name=dhcp ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ipv6 dhcp-client option
add code=11 name=authentication value=0x00000000000000000000001a0900000558010341010d6674692FXXXXXXX
add code=15 name=user-class value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f7834
add code=16 name=vendor-class value=0x0000040e0005736167656d
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set accept-router-advertisements=yes
/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=switch1-cpu protocol=udp src-mac-address=YY:YY:YY:YY:YY:YY/FF:FF:FF:FF:FF:FF switch=switch1
add mac-protocol=ipv6 new-vlan-priority=6 ports=switch1-cpu src-mac-address=YY:YY:YY:YY:YY:YY/FF:FF:FF:FF:FF:FF switch=switch1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add dhcp-options=vendor-class-identifier,userclass,authsend disabled=no interface=vlan832
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=vlan832
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www-ssl disabled=no
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes
/ipv6 address
add address=::1 from-pool=pool_REN_6 interface=bridge
/ipv6 dhcp-client
add add-default-route=yes dhcp-options=authentication,user-class,vendor-class interface=vlan832 pool-name=pool_REN_6 request=prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked 
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=input comment="allow dhcpv6 replies on WAN" dst-port=546 in-interface=vlan832 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="accept established, related, untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="accept established, related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="forward drop everything else" in-interface=vlan832
add action=drop chain=input comment="input drop everything else" in-interface=vlan832
/system clock
set time-zone-name=Europe/Paris
/system package update
set channel=testing
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Les XX sont pour le login sans le fti/ et les YY pour la MAC du Mikrotik coté WAN.

mobyfab · « **Réponse #680 le:** 30 mars 2020 à 10:26:33 »

Fais comme moi, met l'address MAC du serveur dhcp dans le filtre "dst-mac-address" (voir mon post plus haut)
ça te permet de ne match que le traffic dhcp et donc de ne pas perdre en débit.

Tu peux trouver l'address mac avec le sniffer:

Code: [Sélectionner]

/tool sniffer set filter-interface=vlan832-net filter-ip-protocol=udp filter-mac-protocol=ipv6 filter-operator-between-entries=and filter-port=546,547

nscheffer · « **Réponse #681 le:** 30 mars 2020 à 10:51:56 »

Citation de: mobyfab le 30 mars 2020 à 10:26:33

Fais comme moi, met l'address MAC du serveur dhcp dans le filtre "dst-mac-address" (voir mon post plus haut)
ça te permet de ne match que le traffic dhcp et donc de ne pas perdre en débit.

Tu peux trouver l'address mac avec le sniffer:
Code: [Sélectionner]
/tool sniffer set filter-interface=vlan832-net filter-ip-protocol=udp filter-mac-protocol=ipv6 filter-operator-between-entries=and filter-port=546,547

C'est bien la mon soucis, ca ne marche qu'avec la src-mac du Mikrotik seule et si je mets la dst-mac de l'ONT que j'ai récupéré avec le sniffer (merci) avec ou sans la src-mac du Mikrotik je n'arrive plus à récupérer mon IPv6 !!

mobyfab · « **Réponse #682 le:** 30 mars 2020 à 11:18:38 »

étrange !

J'ai un adaptateur tplink MC220L et l'ONT sercomm venu avec la box. Tu as autre chose ?

nscheffer · « **Réponse #683 le:** 30 mars 2020 à 11:42:57 »

Citation de: mobyfab le 30 mars 2020 à 11:18:38

étrange !

J'ai un adaptateur tplink MC220L et l'ONT sercomm venu avec la box. Tu as autre chose ?

J'ai l'ONT d'origine Huawei de chez Orange qui va sur le port Ethernet 1 du Mikrotik.
Dans le futur je souhaite virer l'ONT et mettre directement un SFP Sercomm que j'ai commandé mais il faudra que je change de Mikrotik car pas de switch rule sur le port SFP !
J'ai en tête un RouteurBoard RB953GS pour le futur...