Remplacer la LiveBox par un routeur => Discussion démarrée par: redcat le 25 octobre 2014 à 14:22:15 Remplacer la LiveBox par un routeur => Discussion démarrée par: redcat le 25 octobre 2014 à 14:22:15/interface vlan
add interface=ether24 l2mtu=1584 mtu=1492 name=internet-orange vlan-id=835
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=internet-orange
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap default-route-distance=1 dial-on-demand=no disabled=no interface=internet-orange keepalive-timeout=60 \
max-mru=1480 max-mtu=1492 mrru=disabled name=pppoe-user-orange password=xxxxxxx profile=default service-name=internet-orange use-peer-dns=yes user=\
fti/xxxxxxx
10:57:03 pppoe-user-orange: rcvd CHAP Failure id=0x1
10:57:03 CHAP authentication failure, unit 39819
10:57:03 pppoe-user-orange: LCP close
10:57:03 pppoe-user-orange: LCP closed
10:57:03 pppoe-user-orange: sent LCP TermReq id=0x45
10:57:03 failed to authenticate ourselves to peer
Log complet : http://pastebin.com/9bSAUmqg (http://pastebin.com/9bSAUmqg) # hard packet switching : no CPU
/interface ethernet
set [ find default-name=ether1 ] master-port=none
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1
set [ find default-name=ether6 ] master-port=ether1
set [ find default-name=ether7 ] master-port=ether1
set [ find default-name=ether8 ] master-port=ether1
set [ find default-name=ether09 ] master-port=ether1
set [ find default-name=ether10 ] master-port=ether1
set [ find default-name=ether11 ] master-port=ether1
set [ find default-name=ether12 ] master-port=ether1
set [ find default-name=ether13 ] master-port=ether1
set [ find default-name=ether14 ] master-port=ether1
set [ find default-name=ether15 ] master-port=ether1
set [ find default-name=ether16 ] master-port=ether1
set [ find default-name=ether17 ] master-port=ether1
set [ find default-name=ether18 ] master-port=ether1
set [ find default-name=ether19 ] master-port=ether1
set [ find default-name=ether20 ] master-port=ether1
set [ find default-name=ether21 ] master-port=ether1
set [ find default-name=ether22 ] master-port=ether1
set [ find default-name=ether23 ] master-port=ether1
# ether24 : CPU Port
set [ find default-name=ether24 ] master-port=none
# ether24 vlan 835
/interface vlan
add interface=ether24 l2mtu=1584 mtu=1492 name=internet-orange vlan-id=835
# PPPoE + Auth
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap default-route-distance=1 dial-on-demand=no disabled=no interface=internet-orange keepalive-timeout=60 max-mru=1492 max-mtu=1492 mrru=disabled name=pppoe-orange
password=xxxxxxx profile=default service-name="" use-peer-dns=yes
user=fti/xxxxxxx
# IP config
/ip address
add address=172.21.0.254/24 interface=ether1 network=172.21.0.0
# NAT
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-orange to-addresses=0.0.0.0
J'ai réussit a le faire marche finalement. Je ne sais pas pourquoi, mais il faut que j'attende que le routeur essaye de se connecter 13 fois avant que ca passe.Tu fais comment pour saisir une ligne aussi longue ? ça passe pas sur le mien, il me fait une erreur de ligne trop longue à chaque fois :(
Tu fais comment pour saisir une ligne aussi longue ? ça passe pas sur le mien, il me fait une erreur de ligne trop longue à chaque fois :(
Qu'est-ce que tu entend par "une ligne aussi longue" ?Pardon je me suis mal exprimé :( je parlais de la ligne à saisir dans le terminal pour paramétrer le Mikrotik ;)
Pardon je me suis mal exprimé :( je parlais de la ligne à saisir dans le terminal pour paramétrer le Mikrotik ;)
Haaa OK!oui oui ;) mais celle-ci c'est une unique ligne n'est ce pas ?
Il s'agit d'une liste de commande et pas une seule ligne :)
add ac-name="" add-default-route=yes allow=pap,chap default-route-distance=1 dial-on-demand=no disabled=no interface=internet-orange keepalive-timeout=60 max-mru=1492 max-mtu=1492 mrru=disabled name=pppoe-orange password=xxxxxxx profile=default service-name="" use-peer-dns=yes user=fti/xxxxxxx
/interface pppoe-client
add name=pppoe-orange
set pppoe-orange add-default-route=yes
set pppoe-orange allow=pap,chap
set pppoe-orange default-route-distance=1
set pppoe-orange dial-on-demand=no
set pppoe-orange disabled=no
set pppoe-orange interface=internet-orange
set pppoe-orange keepalive-timeout=60
set pppoe-orange max-mru=1492
set pppoe-orange max-mtu=1492
set pppoe-orange mrru=disabled
set pppoe-orange ac-name=""
set pppoe-orange password=xxxxxxx
set pppoe-orange profile=default
set pppoe-orange service-name=""
set pppoe-orange use-peer-dns=yes
Je n'ai pas eut besoin de changé les priorités pour le QOS des Vlan (802.1p) car il n'y a pas d'impact pour le débit.Etrange... Ca veut dire que chez toi les requêtes DHCP en priorité 0 fonctionnent ?
Enfin, je viens de voir que Mikrotik propose un SFP GPON donc je peux me débarrasser de l'ONT et brancher la fibre directement sur le CCR !!!!Pour pouvoir utiliser un ONT autre que celui fourni par Orange, ça suppose que tu puisses configurer le SLID de l'ONT remplaçant avec le SLID de l'ONT d'Orange. Et le problème, c'est que le SLID est personnel et que tu ne le connais pas (Il faut se connecter sur l'ONT d'Orange, et donc connaitre le mot de passe, pour récupérer le SLID)...
http://routerboard.com/SFPONU
- Ajouter la livebox derrière le CCR pour avoir la TV et la téléphonie.Et le téléphone fonctionne ?
Etrange... Ca veut dire que chez toi les requêtes DHCP en priorité 0 fonctionnent ?
Pour pouvoir utiliser un ONT autre que celui fourni par Orange, ça suppose que tu puisses configurer le SLID de l'ONT remplaçant avec le SLID de l'ONT d'Orange. Et le problème, c'est que le SLID est personnel et que tu ne le connais pas (Il faut se connecter sur l'ONT d'Orange, et donc connaitre le mot de passe, pour récupérer le SLID)...
/interface vlan
add interface=etherWAN name=vlan832-orange vlan-id=832 mtu=1500 arp=enabled use-service-tag=no
/ip dhcp-client option
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
add code=90 name=authsend value=0x0000000000000000000000006674692f**************************
add code=60 name=vendor-class-identifier value=0x736167656d
/ip dhcp-client
add interface=vlan832-orange disabled=no add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier
/ip firewall nat
add action=masquerade chain=srcnat out-interface=vlan832-orange to-addresses=0.0.0.0
/interface ethernet
set [ find default-name=ether5 ] master-port=none name=ether1 comment=LAN
/ip address
add address=192.168.1.1/24 network=192.168.1.0 interface=ether1
/ip pool
add name="pool_lan" ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add name="LAN" interface=ether1 lease-time=1w address-pool=pool_lan authoritative=yes lease-script=""
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24 dns-server=8.8.8.8,8.8.4.4 wins-server="" ntp-server=""
/interface ethernet
set [ find default-name=ether5 ] master-port=none name=ether5 comment=Livebox
/interface vlan
add comment="Internet Livebox" name=vlan832-livebox mtu=1500 vlan-id=832 interface=ether5
add comment="VOD Livebox" name=vlan838-livebox mtu=1500 vlan-id=838 interface=ether5
add comment="VOD Orange" name=vlan838-orange mtu=1500 vlan-id=838 interface=etherWAN
add comment="TV Livebox" name=vlan840-livebox mtu=1500 vlan-id=840 interface=ether5
add comment="TV Orange" name=vlan840-orange mtu=1500 vlan-id=840 interface=etherWAN
/interface bridge
add comment=Livebox name=br-livebox mtu=1500
/interface bridge port
add bridge=br-livebox interface=vlan838-livebox
add bridge=br-livebox interface=vlan838-orange
add bridge=br-livebox interface=vlan840-livebox
add bridge=br-livebox interface=vlan840-orange
/ip address
add address=192.168.2.1/24 network=192.168.2.0 interface=vlan832-livebox
/ip pool
add name="livebox" ranges=192.168.2.20-192.168.2.200
/ip dhcp-server option
add code=90 name=authsend value=0x0000000000000000000000646863706c697665626f786672323530
add code=120 name=SIP value=0x00067362637433670341554206616363657373116f72616e67652d6d756c74696d65646961036e657400
/ip dhcp-server
add name="Livebox" interface=vlan832-livebox lease-time=1w address-pool=livebox authoritative=yes lease-script=""
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24 dns-server=81.253.149.1,80.10.246.130 wins-server="" ntp-server="" caps-manager="" dhcp-option=authsend,SIP
/ip dhcp-server lease
add comment=Livebox address=192.168.2.21 mac-address=**:**:**:**:**:** server=Livebox dhcp-option=authsend,SIP
Bonjour, je suis nouveau ici, et cela m'intéresse également... J'ai actuellement un routeur collé en double NAT derrière la livebox, j'en ai un peu marre.Pour la configuration, pas de soucis ca tourne sous RouterOS. Tu peux même le faire sur un Switch Mikrotik.
Merci beaucoup pour les éléments de retours et le futur tuto :-*
Je lorgne du coté de l'HAP ac (ou RB962UiGS-5HacT2HnT pour les intimes), avec son Wifi 802.11ac et son port SFP.
Niveau fonctionnalité livebox, j'aurais besoin de la téléphonie et du multi TV.
Niveau fonctionnalité routeur, j'ai pas besoin de grand chose d'extra ordinaire, à part un serveur openvpn et un serveur proxy...
Pour le meilleur prix, je l'ai vu moins chez ubntshop sur ebay que sur amazon.de ;)
Un avis sur ce modèle et la faisabilité d'une telle configuration (la puissance cpu m'a l'air un peu faiblarde) ?
Enfin, je viens de voir que Mikrotik propose un SFP GPON donc je peux me débarrasser de l'ONT et brancher la fibre directement sur le CCR !!!!
http://routerboard.com/SFPONU
On est bien d'accord que le nat loopback fonctionne sur les Mikrotik ? (avant que je lance l'achat debut Mars ....)
Bonjour,
Quel est l’intérêt de se débarrasser de l'ONT ?
Hello,
Pas eu le temps ce week-end , j'espère avoir un peu plus de temps ce soir .
Cette semaine ayant remis la liveboite en fonction , afin de palier a un manque cruel de nat loopback j'ai mis en place un serveur DNS.
On est bien d'accord que le nat loopback fonctionne sur les Mikrotik ? (avant que je lance l'achat debut Mars ....)
On est bien d'accord que le nat loopback fonctionne sur les Mikrotik ? (avant que je lance l'achat debut Mars ....)Bien sur : http://wiki.mikrotik.com/wiki/Hairpin_NAT
Juste à me debarrasser d'un boitier + prise et je n'ai pas confiance en la fiabilité de huawei.
Et ça fonctionne mal ? J'ai pas l'impression de voir de soucis liés à l'ONT sur le forum en tout cas.
"chat échaudé craint l’eau froide !"
Une surtension EDF avait grillée ma freebox V3 + carte réseau de mon pc un samedi soir...
0110: 00 00 00 00 00 00 63 82 53 63 35 01 01 37 06 01 ......c. Sc5..7..
0120: 79 03 21 06 2a 5a 17 00 00 00 00 00 00 00 00 00 y.!.*Z.. ........
0130: 00 00 00 66 74 69 2f 00 00 00 00 00 00 00 4d 2c ...fti/x xxxxxxM,
0140: 2b 46 53 56 44 53 4c 5f 6c 69 76 65 62 6f 78 2e +FSVDSL_ livebox.
0150: 49 6e 74 65 72 6e 65 74 2e 73 6f 66 74 61 74 68 Internet .softath
0160: 6f 6d 65 2e 4c 69 76 65 62 6f 78 33 3c 05 73 61 ome.Live box3<.sa
0170: 67 65 6d 0c 04 52 2d 59 45 3d 07 01 00 15 17 6f gem..R-Y E=.....o
0180: da cb ff ...
/log printSinon dans Winbox, tu as un raccourci log dans le menu/system logging add topics=dhcp,debug/system logging action add name=file target=disk disk-file-name=log_dhcp
/system logging action=file
/system logging topics=dhcp,debug action=file
J'ai le dhcp du vlan832 est toujours en searching....
J'ai pas trouvé de log
J'ai regardé avec tools packet sniffer , je vois bien la requête dans les raw data avec mon identifiant fti/ ....
Je ne comprends pas pourquoi ça ne marche pas
merci pour les info , je vais voir ça ce soir ;)
No. Time Source Destination Protocol Length Info
1 0.000000 0.0.0.0 255.255.255.255 DHCP 391 DHCP Discover - Transaction ID 0x169c3bd8
Frame 1: 391 bytes on wire (3128 bits), 391 bytes captured (3128 bits)
Encapsulation type: Ethernet (1)
Arrival Time: Feb 17, 2016 19:47:55.000000000 Paris, Madrid
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1455734875.000000000 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 391 bytes (3128 bits)
Capture Length: 391 bytes (3128 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:ip:udp:bootp]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Ethernet II, Src: IntelCor_XX:XX:cb (00:15:XX:XX:XX:cb), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: IntelCor_XX:XX:cb (00:15:XX:XX:XX:cb)
Address: IntelCor_XX:XX:cb (00:15:XX:XX:XX:cb)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00.. = Differentiated Services Codepoint: Default (0)
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
Total Length: 377
Identification: 0x0000 (0)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 16
Protocol: UDP (17)
Header checksum: 0xa975 [validation disabled]
[Good: False]
[Bad: False]
Source: 0.0.0.0
Destination: 255.255.255.255
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Source Port: 68
Destination Port: 67
Length: 357
Checksum: 0x9523 [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
[Stream index: 0]
Bootstrap Protocol (Discover)
Message type: Boot Request (1)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x169c3bd8
Seconds elapsed: 49
Bootp flags: 0x0000 (Unicast)
0... .... .... .... = Broadcast flag: Unicast
.000 0000 0000 0000 = Reserved flags: 0x0000
Client IP address: 0.0.0.0
Your (client) IP address: 0.0.0.0
Next server IP address: 0.0.0.0
Relay agent IP address: 0.0.0.0
Client MAC address: IntelCor_XX:XX:cb (00:15:XX:XX:XX:cb)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Discover)
Length: 1
DHCP: Discover (1)
Option: (55) Parameter Request List
Length: 6
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (121) Classless Static Route
Parameter Request List Item: (3) Router
Parameter Request List Item: (33) Static Route
Parameter Request List Item: (6) Domain Name Server
Parameter Request List Item: (42) Network Time Protocol Servers
Option: (12) Host Name
Length: 8
Host Name: MikroTik
Option: (61) Client identifier
Length: 7
Hardware type: Ethernet (0x01)
Client MAC address: IntelCor_XX:XX:cb (00:15:XX:XX:XX:cb)
Option: (90) Authentication
Length: 23
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information:
Option: (77) User Class Information
Length: 44
Instance of User Class: [0]
User Class Length: 43
User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e...
Option: (60) Vendor class identifier
Length: 5
Vendor class identifier: sagem
Option: (255) End
Option End: 255
je suis obligé de mettre la prio a 6 pour parvenir à avoir une connexion (et encore avec un debit pourri 110mbs/1mbs)Normal d'avoir un débit pourri en priorité 6, Orange limite très certainement le traffic pour les paquets ayant cette priorité.
ifconfig em0_vlan832 vlanpcp 6 (sous Shell pfsense, ajuste "em0_vlan832" a ton infertace WAN)Bonjour,
J’ai bien compris ce qu'il fallait faire, mais je n'y parviens pas sur pfSense.
J’ai cherché des tuto concernant la QoS (pfSense) mais en vain .....
PS : j’ai peur que si je dois avoir une QOS sur le Mikrotik que cela ne fonctionne pas aussi facilement pour moi que grapplerbaki donc j’hésite énormèment a l’acheter
/interface bridge filter add chain=forward action=set-priority new-priority=from-ingress
Bonjour a tous,
Bon j'ai reçus mon routeur Mikrotic CCR1009-8G-1S-1S+PC
J'ai suivis le tuto de grapplerbaki
Tout semble s’être bien passer
Par contre je n'ais pas compris ces ligne :
3) Convertir votre login PPPoe en Hexa pour les options DHCP client => voir le poste sur le DHCP
https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/
Ma connexion PC-1 (ipv4) est :
Adresse IP : 192.168.88.10
Masque de sous réseau : 255.255.255.0
Passerelle par défaut : 192.168.88.1
Les branchements sont :
eth1 = PC-1
eth2 =
eth3 = Serveur
eth4 =
eth5 = Livebox
eth6 =
eth7 = ONT
eth8 =
Dans http://192.168.88.1/webfig/ j'ai paramétré le PPPoE avec mon PPPoE User et mon PPPoE Password fournis par Orange.
Le problème est que le routeur ne se connecte pas au Net
J'ai loupé quelque chose mas quoi ?
Merci a vous
/ip dhcp-client option
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
add code=90 name=authsend value=0x0000000000000000000000006674692f**************************
add code=60 name=vendor-class-identifier value=0x736167656d
Tu t'emmêles les pinceaux
La connexion DHCP sur le vlan832 remplace la PPPoE sur vlan835
Le vlan832 doit etre créé sur l'interface ou est raccordé l'ONT
Avec winbox reinitialise le routeur a 0 et reprend le tuto de grapplerbaki
Desolé sur certaines partie je suis allé un peu vite sur le premier setup quand tu recois le boitier.
Supprime l'address 192.168.88.1 qui est sur ether1, via mes commande tu as mis 192.168.1.1
ah je comprend mieux, desolé mais j'ai renommé mes interfaces.
Ether7 = EtherWan
ah je comprend mieux, desolé mais j'ai renommé mes interfaces.
Ether7 = EtherWan
/interface vlan>
add interface=etherWAN name=vlan832-orange vlan-id=832 mtu=1500 arp=enabled use-service-tag=no
input does not match any value of interface
si tu as mis l'ONT sur ether7 :
/interface vlan
add interface=ether7 name=vlan832-orange vlan-id=832 mtu=1500 arp=enabled use-service-tag=no
Oui le CCR1009 supporte sans problème du Gigabit en Nat. Il n'a pas de Nat en hardware mais avec les 9 coeurs à 1ghz, il ya de quoi faire.Merci pour ta réponse aussi rapide mais justement je voulais pas investir dans une 1009 (budget trop élevé) et donc avec les RB2011 que j'ai je serais bel et bien plafonné alors :( une idée dans quelle proportion ?
J'ai le même débit que l'ERL (860Mbps), limité par mon laptop et je consomme que 10% du CPU total.
L'accès au CPU est différents suivant les ports :
http://i.mt.lv/routerboard/files/CCR1009-140630151432.pdf (http://i.mt.lv/routerboard/files/CCR1009-140630151432.pdf)
le RB2011LS est limité par le CPU.
Merci pour ta réponse aussi rapide mais justement je voulais pas investir dans une 1009 (budget trop élevé) et donc avec les RB2011 que j'ai je serais bel et bien plafonné alors :( une idée dans quelle proportion ?
Encore merci ;)
Bonjour a tous,
Dans votre CCR1009 quel est la version de votre firmeware ?
Moi j'ai le Webfig v6.30.4, ils en sont a la version 6.34.2 (pour le CCR) : http://www.mikrotik.com/download
Avez-vous fait la mise a jour ?
Claude
Bonjour Claude,
Oui j'ai mis à jour le RouterOs, je suis en 6.34.2.
Baki.
tu n'as pas acheté de module SFP dans l'espoir de virer l'ONT d'Orange ?
Donc, vu qu'il n'y aucun module sfp sur ton mikrotik , je ne vois pas pourquoi il y aurai un client dhcp sur cette interface .
/ip dhcp-client option
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
add code=90 name=authsend value=0x0000000000000000000000006674692f**************************
add code=60 name=vendor-class-identifier value=0x736167656d
/ip dhcp-client
add interface=vlan832-orange disabled=no add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier/interface vlan
add comment="VoIP Orange" name=vlan851-orange mtu=1500 vlan-id=851 interface=[b]ether7[/b]
Par contre cette option est désactivée
(http://i84.servimg.com/u/f84/09/01/53/15/2016-012.jpg) (http://www.servimg.com/view/10015315/681)
Bonjour Claude,
Pour avoir le téléphone, il faut ajouter le Vlan 851 encore un problème avec l'interface :Code: [Sélectionner]/interface vlan
add comment="VoIP Orange" name=vlan851-orange mtu=1500 vlan-id=851 interface=[b]ether7[/b]
Je ne vois pas dans tes captures le Vlan 851 pour la partie WAN seulement sur la partie livebox
Baki.
/ip firewall mangle
add action=set-priority chain=forward new-priority=6 out-interface=vlan832-orangeVoila le Tuto pour la configuration du Mikrotik RouterOS + quelques paramétrages spécifiques au CCR1009.Bon j'ai fait cette config mais ça connecte pas :( j'aurais deux questions:
J'ai une préférence pour l'outil Winbox pour la conf mais on peut aussi la version web ou le ssh.
Pour ceux qu'ils veulent se familiariser avec ROuterOS, des image de VM sont disponible sur le site. J'ai utilisé Oracle Virtulabox pour faire des testes.
http://www.mikrotik.com/download
Pour une presentation du boitier c'est la version RM mais c'est exactement le meme specs.
http://forum.mikrotik.com/viewtopic.php?t=84475 (http://forum.mikrotik.com/viewtopic.php?t=84475)
1) télécharger l'outil winbox 3.1
http://download2.mikrotik.com/routeros/winbox/3.1/winbox.exe (http://download2.mikrotik.com/routeros/winbox/3.1/winbox.exe)
2) Le routeur est configurer avec l'adresse IP par défaut : 192.168.88.1/24 et avec l'utilisateur admin avec un mot de passe vide.
Vous paramétrer votre PC sur le même réseau et vous lancer Winbox, il ya aussi la possibilité de se connecter via Adresse Mac.
Autre option vous pouvez directement attaquer le routeur via un navigateur internet.
3) Convertir votre login PPPoe en Hexa pour les options DHCP client => voir le poste sur le DHCP
https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/ (https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/)
4) Spécifique au CCR1009, l'accès au CPU est différents suivant les ports.
http://i.mt.lv/routerboard/files/CCR1009-140630151432.pdf (http://i.mt.lv/routerboard/files/CCR1009-140630151432.pdf)
En gros les ports 1-4 sont connecté à un Switch Atheros8327, les suivants sont indépendants avec accès direct au CPU.
J'ai pris une Switch Mikrotik layer 3 donc aucun intérêt d'utiliser le switch surtout qu'il y a un impact sur les perfs.
J'ai choisi le port 7 pour le WAN, Port 5 pour la livebox et le port 1 pour le LAN. J'ai renommé via la winbox le nom des interfaces.
Je garde le port 8 libre qui permet via POE d'alimenter le routeur (alim de secours).
5) Configuration du DHCP client pour le WAN.
a) On va créer le vlan 832 pour avoir l'internet :Code: [Sélectionner]/interface vlan
add interface=etherWAN name=vlan832-orange vlan-id=832 mtu=1500 arp=enabled use-service-tag=no
b) Setup des options DHCP Client :Code: [Sélectionner]/ip dhcp-client option
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
add code=90 name=authsend value=0x0000000000000000000000006674692f**************************
add code=60 name=vendor-class-identifier value=0x736167656d
/ip dhcp-client
add interface=vlan832-orange disabled=no add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier
c) Mise en place du NAT :
Code: [Sélectionner]/ip firewall nat
add action=masquerade chain=srcnat out-interface=vlan832-orange to-addresses=0.0.0.0
6) Configuration du DHCP server pour le LAN (vous l'adaptez à votre réseau).Code: [Sélectionner]/interface ethernet
set [ find default-name=ether5 ] master-port=none name=ether1 comment=LAN
/ip address
add address=192.168.1.1/24 network=192.168.1.0 interface=ether1
/ip pool
add name="pool_lan" ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add name="LAN" interface=ether1 lease-time=1w address-pool=pool_lan authoritative=yes lease-script=""
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24 dns-server=8.8.8.8,8.8.4.4 wins-server="" ntp-server=""
6) Configuration de la livebox pour Tel et TV. Il faut l'addresse mac de livebox pour que le DHCP server lui assigne l'IP de votre choixCode: [Sélectionner]/interface ethernet
set [ find default-name=ether5 ] master-port=none name=ether5 comment=Livebox
/interface vlan
add comment="Internet Livebox" name=vlan832-livebox mtu=1500 vlan-id=832 interface=ether5
add comment="VoIP Livebox" name=vlan851-livebox mtu=1500 vlan-id=851 interface=ether5
add comment="VoIP Orange" name=vlan851-orange mtu=1500 vlan-id=851 interface=etherWAN
add comment="VOD Livebox" name=vlan838-livebox mtu=1500 vlan-id=838 interface=ether5
add comment="VOD Orange" name=vlan838-orange mtu=1500 vlan-id=838 interface=etherWAN
add comment="TV Livebox" name=vlan840-livebox mtu=1500 vlan-id=840 interface=ether5
add comment="TV Orange" name=vlan840-orange mtu=1500 vlan-id=840 interface=etherWAN
/interface bridge
add comment=Livebox name=br-livebox mtu=1500
/interface bridge port
add bridge=br-livebox interface=vlan851-livebox
add bridge=br-livebox interface=vlan851-orange
add bridge=br-livebox interface=vlan838-livebox
add bridge=br-livebox interface=vlan838-orange
add bridge=br-livebox interface=vlan840-livebox
add bridge=br-livebox interface=vlan840-orange
/ip address
add address=192.168.2.1/24 network=192.168.2.0 interface=vlan832-livebox
/ip pool
add name="livebox" ranges=192.168.2.20-192.168.2.200
/ip dhcp-server option
add code=90 name=authsend value=0x0000000000000000000000646863706c697665626f786672323530
add code=120 name=SIP value=0x00067362637433670341554206616363657373116f72616e67652d6d756c74696d65646961036e657400
/ip dhcp-server
add name="Livebox" interface=vlan832-livebox lease-time=1w address-pool=livebox authoritative=yes lease-script=""
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24 dns-server=81.253.149.1,80.10.246.130 wins-server="" ntp-server="" caps-manager="" dhcp-option=authsend,SIP
/ip dhcp-server lease
add comment=Livebox address=192.168.2.21 mac-address=**:**:**:**:**:** server=Livebox dhcp-option=authsend,SIP
7) Enfin pour améliorer le débit pour être au max, il faut changer le type des interfaces Queue. J'avais un débit de seulement 650Mbps
Via winbox, vous allez dans Queues, ensuite l'onglet Interface queues.
Il faut modifier le Queue Type en Ethernet-default.
'8) Setup de l'UPNP + Firewall
Les Man de Mikrotik sont très bien fait :
http://wiki.mikrotik.com/wiki/Manual:IP/UPnP (http://wiki.mikrotik.com/wiki/Manual:IP/UPnP)
http://wiki.mikrotik.com/wiki/Basic_universal_firewall_script (http://wiki.mikrotik.com/wiki/Basic_universal_firewall_script)
Voila normalement avec ca vous avez le Net, la TV et le téléphone.
Pour ceux que cela intéresse j'ai aussi le script pour mettre à jour le DNS de NoIP.
si tu as internet non 8)
Ben non plus maintenant
Mon ordi n'arrive plus a se connecté :'(
Ben non plus maintenant
Mon ordi n'arrive plus a se connecté :'(
Si tu as réussi à avoir une IP avec le DHCP c'est que tu n'as pas besoin de changer les priorités des paquets donc pas besoin de change le COS.
Baki.
C'est étrange, le vlan 851 existe encore dans la nouvelle archi ?
Je pensais que le trafic VoIP passait par le vlan 832 suite à la migration.
Dans l'onglet "Mangle" j'ai Set Priority - Forward
Chain : forward
Out Interface vlan832-orange
Action : set priority
New Priority : 6
C'est de cela que tu parle ?
Oui, on a lu dans le blog "blog.jbfavre.org", qu'il avait réussi à avoir la téléphonie via le Vlan 851 sans passer par le 832 avec une priorité 5.
Ok donc tu changes bien la priorité des packets en sortie, est ce que si tu enlèves cette règle firewall tu arrives à avoir une IP avec le DHCP ?
BAki.
Oui, on a lu dans le blog "blog.jbfavre.org", qu'il avait réussi à avoir la téléphonie via le Vlan 851 sans passer par le 832 avec une priorité 5.
Comme dis plus haut ma connexion est de retour, j'ai accès au Net
Donc de ce cote pas de problème
Cela apporterais quoi si on modifie a la priorité de cette règle ?
Mais toujours pas de téléphone
Si tu as réussi à avoir une IP avec le DHCP c'est que tu n'as pas besoin de changer les priorités des paquets donc pas besoin de change le COS.
Baki.
Oui, on a lu dans le blog "blog.jbfavre.org", qu'il avait réussi à avoir la téléphonie via le Vlan 851 sans passer par le 832 avec une priorité 5.
J'ai quelques petites questions :
- En plus d'assurer le débit max avec le nat, les règles mangle pour la CoS, l'ipv6 etc, qu'est-ce que cela donne si on ajoute de la QoS et du VPN par dessus (je suis intéressé de savoir s'il en reste beaucoup sous la patte pour voir venir ou alors s'il commence à être stressé avec juste les règles de base) ?
- Si je comprends bien, il n'y a pas d'offload et tout se fait via le CPU ?
- La consommation max serait de 30 Watts, et en idle ça donne quoi ?
Je crois avoir lu que certains étaient sceptique et n'y sont jamais parvenu
Donc pour résumer dans mon cas, pas besoin de changer les priorités tous passe sur le 832 pour internet et la VOIP.
Cela m'apprendre à suivre un tuto sur un blog sans regarder ce qui passe :)
Baki.
Il faut verifier que ta livebox est en DHCP/IPV6 et non en PPPoE voir les informations systèmes.Merci Baki ;) Effectivement il s'avère que je suis encore en PPoE ici :( Ça dépend des BAS dont on dépend je suppose ? Bon je vais me la refaire en PPoE et voir ce que ça donne ;)
Pour le login Fti/***, oui en DHCP il n'est pas necessaire d'utiliser le mot de passe puisque ce n'est pas de PPPoE et qu'il n'y a pas d’authentification.
L’inconvénient du PPPoe c'est que l'IP change souvent, en DHCP elle est quasiment fixe et de plus orange migre vers DHCP/IPV6.
Coté Mikrotik, il faut jouer avec les queues pour avoir des perfs correct sinon tu vas consommers 100% d'un seul core alors que les autres vont rien faire.
2) Le routeur est configurer avec l'adresse IP par défaut : 192.168.88.1/24 et avec l'utilisateur admin avec un mot de passe vide.
Vous paramétrer votre PC sur le même réseau et vous lancer Winbox, il ya aussi la possibilité de se connecter via Adresse Mac.
Autre option vous pouvez directement attaquer le routeur via un navigateur internet.
Tu règles ton PC avec une adresse statique entre 192.168.1.2 et 192.168.1.254.
/ip pool
add name="pool_lan" ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add name="LAN" interface=ether1 lease-time=1w address-pool=pool_lan authoritative=yes lease-script=""
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24 dns-server=8.8.8.8,8.8.4.4 wins-server="" ntp-server=""
Ton PC est bien configuré, le problème vient plutôt du coté routeur.
1) est ce que tu peux me dire si le DHCP client a bien une IP => status = BoundVisiblement pas d'IP pour les DHCP Client
2) est ce que le NAT est bien configuré sur out-interface=vlan832-orange
3) est ce que tu peux faire un traceroute (tracert www.google.fr) ? pour voir si le DNS est bien résolu et si les routes sont correctes.Baki
les ports eth2 à eth4 sont réunis dans le switch0
ont ->ERPoE eth3 -> switch GS108Tv2 -> decodeur TV
eth4 -> switch GS108Tv2 -> mon pc
-> Gigset C530IP
-> Raspberry PI2 (siproxd-orange + asterisk)
Ou ONT → Routeur → Ordinateur
Et comme cela est-ce que l'on peu toujours avoir une connexion Ethernet entre l'ordinateur et le routeur sans la Livebox
En gros, la Livebox est-elle obligatoire pour avoir accès au Net
Ou la Livebox est obliger d’être connectée via le vlan832-orange
Tu auras toujours internet même si tu coupe la livebox , tu perdras seulement les services (TV & téléphonie)
ta livebox est bien sur un reseau different du reseau local "PC"
exemple : ton pc sur 192.168.1.0 et le reseau de la livebox sur 192.168.2.0 ?
1) est ce que tu peux me dire si le DHCP client a bien une IP => status = Bound
2) est ce que le NAT est bien configuré sur out-interface=vlan832-orange
3) est ce que tu peux faire un traceroute (tracert www.google.fr) ? pour voir si le DNS est bien résolu et si les routes sont correctes.
c'est normal de ne pas pouvoir aller sur l'interface de la livebox depuis ton pc car tu es sur un autre réseau :P
Oui, quelqu'un est en train de taper à ta porte.
Tu ferais bien de le bloquer depuis le wan (et/ou changer le numéro de port).
Dans le Log je trouve ceci :
Y a pas une embrouille-la ? ;D
L'IP n'est pas mon IP et je pense que pour le bon fonctionnement les appareils n'ont pas besoins de SSH ou de Telnet ?
J'ai fait un Speedtest et voici le résultat
Pour un abonnement Fibre Orange 200/50 c'est plutôt bien
Ma prochaine étape sera d'ajouter un nom de domaine dans le routeur
Mais la j'aurais encore besoins de votre aide
#No-IP automatic Dynamic DNS update for RouterOS v6.x
#--------------- Change Values in this section to match your setup ------------------
# No-IP User account info
:local noipuser "login"
:local noippass "password"
# Set the hostname or label of network to be updated.
# Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names.
# To specify multiple hosts, separate them with commas.
:local noiphost "hostname.ddns.net"
# Change to the name of interface that gets the dynamic IP address
:local inetinterface "ether7"
#------------------------------------------------------------------------------------
# No more changes need
:global previousIP
:if ([/interface get $inetinterface value-name=running]) do={
# The update URL. Note the "\3F" is hex for question mark (?). Required since ? is a special character in commands.
:local url "http://dynupdate.no-ip.com/nic/update\3F"
:local noiphostarray
:set noiphostarray [:toarray $noiphost]
:foreach host in=$noiphostarray do={
:log info "No-IP: Sending update for $host"
/tool fetch url=($url . "&hostname=$host") user=$noipuser password=$noippass mode=http keep-result=no;
:log info "No-IP: Host $host updated on No-IP with IP $currentIP"
}
} else={
:log info "No-IP: $inetinterface is not currently running, so therefore will not update."
}
Ooption 2 : tu veux mettre à jour une entrée DNS pour serveur Web qui serait hébergé chez toi.
Baki
Enfin, je viens de voir que Mikrotik propose un SFP GPON donc je peux me débarrasser de l'ONT et brancher la fibre directement sur le CCR !!!!
http://routerboard.com/SFPONU
3- D'après l'un des premiers posts, l'ipv6 n'est pas supporté à cause du dhcp, c'est toujours le cas ? Ca serait un gros moins :(
Oui c'est cela
J'ai un serveur (chez moi) sur le routeur et je possède déjà mon nom de domaine
Salut grapplerbaki,
Pour ma curiosité personnelle, as-tu réussi à supprimer l'ONT et donc brancher la fibre directement sur le Microtik ?
Bonjour ici.
1- Si j'ai bien compris, pour exploiter les 9 coeurs de la bête, il y a juste à utiliser un port ethernet relié en direct, et modifier le type de queue c'est ça ? Ensuite l'os réparti automatiquement les connexs entrent les coeurs ? Si je vais ici : http://wiki.mikrotik.com/wiki/Manual:Queue je vois que multi-queue-ethernet-default serait mieux que ethernet-default, mais je me trompe ?
3- D'après l'un des premiers posts, l'ipv6 n'est pas supporté à cause du dhcp, c'est toujours le cas ? Ca serait un gros moins :(
Par avance, merci.
Mais qu'en est il avec un seul stream TCP ? Je pense à ce post : http://forum.mikrotik.com/viewtopic.php?t=91713#p460206
...
Sur le forum, la limite d'un seul stream TCP est de 1gbps par coeur (sans prendre en compte le NAT). Après, j'aimerai voir quel serait ton besoin pour utiliser plus 1gbps avec un seul stream TCP sachant que les clients Bittorent ou newsgroup sont en multithread.
Je ferai le test à mon retour de vacances.
Baki.
Il faut que tu me donnes plus d'info sur comment est géré ton nom de domaine. A prirori en DHCP tu as une IP fixe ton tu peux le parametrer sans soucis via un de tes postes.
Baki.
Le dhcp server authoritative d'Orange envoie un refus pour le prolongement du bail dhcp de ton ip publique.
Reste à savoir pourquoi.
Bonjour,
Dites moi vous l'avez acheté où votre Mikrotik ?
EuroDk est en Estonie dans l union européenne. Pas de frais de douane.
Baki
Sur amazon france la tarif (387€) inclus la tva.
Sur amazon france la tarif (387€) inclus la tva.
Oui on perd un sfp+ et 1gb de ram, mais pour remplacer un livebox, je ne pense pas que cela change grand chose :D
EDIT : donc en effet on ne parlait pas du même, autant pour moi.
Oui mais le port 8, je le garde pour alimentation de secours via POE.
Baki
Soit via un injecteur POE passif ou un switch POE.
Il faut au moins du 48v, même si 24v devrait suffire.
Oui, quelqu'un est en train de taper à ta porte.
Tu ferais bien de le bloquer depuis le wan (et/ou changer le numéro de port).
Bon sur ce coup c'est l'IP : 101.254.141.27 qui frappe a ma porte (https://smileys.surlatoile.org/repository/Combat/2guns.gif)
Comment peut-on bloquer depuis le wan ce genre de chose ?
Pour le SSH on peu lui donner quel port ?
Par avance merci
Claude
Salut Claude,
Je pense que tu es passé à coter de mon lien vers les règles de base firewall Mikrotik.
Je te fais un extrait des commandes.
En mettant en place ces règles tu seras tranquille.
Il est possible de mettre en place un équivalent au fail2ban.
Baki.
/ip firewall address-list
add address=192.168.1.0/24 disabled=no list=support
add address=192.168.2.0/24 disabled=no list=support
/ip firewall address-list
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" disabled=no list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" disabled=yes list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" disabled=no list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" disabled=no list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" disabled=no list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" disabled=no list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" disabled=no list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" disabled=no list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" disabled=no list=bogons
add address=224.0.0.0/4 comment="MC, Class D, IANA" disabled=yes list=bogons
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input \
comment="Add Syn Flood IP to the list" connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect"\
disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" disabled=no src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=input\
comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST"\
disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" disabled=no dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours"\
connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" disabled=no port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" disabled=no port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established\
disabled=no
add action=accept chain=input comment="Accept to related connections" connection-state=related disabled=no
add action=accept chain=input comment="Full access to SUPPORT address list" disabled=no src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"\
disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" disabled=no icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" disabled=no icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" disabled=no icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" disabled=no icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" disabled=no protocol=icmp
add action=jump chain=output comment="Jump for icmp output" disabled=no jump-target=ICMP protocol=icmp
/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute downstream" disabled=no
3) Enfin des règles pour Eviter les attaques sur le SSH en brut force (on met l'IP en blacklist pendant 10 jours) :
Bonjour à Tous,
Je suis encore en pleine hésitation sur le budget et donc le matos que je vais acheter.
Mais mon but est de virer complètement la Livebox, tout en gardant la TV (via deux décodeurs, noir et un blanc dont j'ai oublié les dénomination).
De ce que je lis ici, tout le monde a gardé la livebox derrière le routeur ici.
Est-ce que quelqu'un a testé sans ?
Oui.
Ce qu'on sait, c'est que la LB fait de la CoS, notamment les requêtes DHCP qui sortent en priorité "haute" (pour faire simple).
Dans certaines "régions", la CoS semble obligatoire, et des requêtes DHCP en priorité "normale" n'obtiennent pas de réponse. Dans d'autres "régions" ces mêmes requêtes obtiennent une réponse.
Problème: Pas possible de modifier la CoS sur un routeur Ubiquiti sans tuer les perfs (il faut désactiver l'offload). L'autre piste est de compiler un client DHCP patché, mais pour l'instant personne n'a pu affirmer que ça fonctionnait.
je vais voir ce que donne le compte en banque et aviser pour un CCR1009-8G-1S-1S+PC
Le seul inconvénient de ce routeur, c'est sa led power bleue qui peut t'eclairer à elle seule un petit appart ;DSi c'est que ça, je m'en fou. Comme tu dis, un coup de feutre, ou de scotch noir dessus et c'est réglé. D'autant que si il ne chauffe pas trop malgré le côté passif, je pensais l'enfermer dans un tableau électrique :-X
(Je la trouve très puissante, et je suis pas le seul apparemment. J'ai mit du feutre noir dessus du coup...)
Le seul inconvénient de ce routeur, c'est sa led power bleue qui peut t'eclairer à elle seule un petit appart ;D
Elles on peut les désactiver non ? Y'a tout un menu "system leds" je crois.
Bonjour Baki et merci pour tes explications
Cette règle des 10 jours peu être modifier au choix de l'utilisateur
Comme par exemple mettre 5 jours ou 20 jours ?
Je pense que cela n'a pas d'incidence sur les règles ?
Si c'est l'ip du routeur, il est possible qu'en cas de règle nat vers ton syno, l'ip source qui apparaisse soit la sienne, et non la "vraie" source avant nat ?
c'est bien l'ip de ton routeur ? et pas l'ip d'un périphérique local ?
J'ai demander a un ami de faire un essai
Moi je vois bien les ips "distantes" sur mon NAS synology.
Bah moi a la place je vois l'IP du routeurc'est toi qui a configuré ton routeur ...
A crois que cela passe par cette IP, mais pourquoi ?
Ça le fait que quand tu utilises ton nom de domaine ?
Essaie, de taper directement l'ip publique et le port du synology pour voir.
http://IP Publique/photo/index.php#!Albums
J'arrive dans l'album mais c'est toujours l'IP du routeur que je vois
Sans méchanceté aucune, installer un routeur "aussi complexe/complet" sur un réseau sans en maitriser totalement la configuration (ce qui est manifestement le cas si on se réfère aux posts précédents) est à mon sens risqué. Personnellement je ne me lancerais pas là dedans avoir d'avoir une connaissance parfaite de son fonctionnement, au moins au niveau des bases (routage "statique" et firewall)...
C'est toujours le même problème lorsque l'on recopie les configs des autres sans rien comprendre.
Rien a voir car j'ai ajouter moi même le serveur après
Tu utilises l'ip publique en étant dehors hein sur la tablette (càd avec une connexion 4g ou sur le réseau d'un voisin) ?
Pas d'idées, c'est peut-être la façon dont le port forward fonctionne sur ton routeur (on peut peut-être le configurer).
un schéma avec les différents flux que tu veux mettre en place avec les hosts (pas obliger de mettre les vrai IP) :
http://IP Publique:5000/photo/index.php#!AlbumsCe qui est normal, l'album photo est sur :80 et pas :500x.
Ca passe pas
https://IP Publique:5001/photo/index.php#!Albums
Ca passe pas
http://IP Publique/photo/index.php#!Albums
J'arrive dans l'album mais c'est toujours l'IP du routeur que je vois
/ip firewall nat add chain=dstnat dst-port=80 action=dst-nat protocol=tcp to-address=192.168.1.2 to-port=80
Autre espoir, ONT SFP d'orange pour la nouvelle livebox est compatible avec le routeur Mikrotik.
options=hostname,clientid,authsend,
Moi je dirais que tu es dans une zone géographique où malheureusement la CoS est obligatoire, et en conséquence les requêtes DHCP doivent être émises avec la priorité 802.1p à 6 au lieu de 0.
Moi je dirais que tu es dans une zone géographique où malheureusement la CoS est obligatoire, et en conséquence les requêtes DHCP doivent être émises avec la priorité 802.1p à 6 au lieu de 0.
D'une zone a une autre c'est pas la même chose ?Manifestement non, on a des témoignagnes sur d'autres sujets qui montrent que la même configuration fonctionne ou pas selon la localisation.
C'est quoi qui change ?
Moi je suis a Rueil-Malmaison (92) et pas besoins de "priority=6"
Vu que Mirko a dit que passer le dhcp en ip au lieu de raw était prévu, mais tjs pas de trace du truc...
Ouais moi non plus.Si tu veux le brader ... :p
Et je n'arrive pas à faire rentrer les packets dhcp dans un bridge pour, là, faire du traitement. Put*** quel idée de demander une CoS6 dans certains endroit et pas d'autres. Du coup ce routeur ne me sert à absolument rien...
Si tu veux le brader ... :p
Ca va se terminer comme ça à priori.
Ca va se terminer comme ça à priori.
Avant de brader attend un peu, la solution viendras peut etre un peu plus tard
As-tu été voir sur le forum Mikrotic, voir même leur poser la question ?
Mais cette histoire de CoS6 est quant même surprenante
Tu as essayé ce que je t'ai dit il y a quelques posts ?
Sinon mettre un switch entre l'ont et le mikrotik qui s'occuperait de mettre la priorité sur le VLAN pourrait marcher.
/ip dhcp-client option
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
add code=90 name=authsend value=0x0000000000000000000000006674692fmonloginorange
add code=60 name=vendor-class-identifier value=0x736167656d
Mais rien ne rentre dans mon bridge filter.
Ouais moi non plus.
Et je n'arrive pas à faire rentrer les packets dhcp dans un bridge pour, là, faire du traitement. Put*** quel idée de demander une CoS6 dans certains endroit et pas d'autres. Du coup ce routeur ne me sert à absolument rien...
je me suis posé la même question.
J'ai donc mis l'achat de ce routeur de coté .
Apparemment la nouvelle livebox permet le loopback (reverse dns) , le point sur lequel j'avais un souci (serveur web etc )
Je suis retourné sur la LiveBox pour la connexion DHCP et l'iPv6 avec un serveur DNS au cul ;)
Perso c'était surtout parceque la LB n'est pas réputée comme stable (+ pare feu assez limité). N'utilisant pas la tv ni la téléphonie, je vais voir si elle plante ou pas dans mon utilisation normale du coup.
je l'ai remis en fonction il y a 1 mois avec une certaine appréhension mais aucun souci pour le moment, j'ai désactiver le WiFi sur la livebox car j'utilise le AC68U en PA
mon équipement : 4 smartphones , 1 surface , Ipad , 3 Pc , PS4 , 2 x TV smart ....
Ce serai dommage ... mais je serais client :p
Je ne vais pas le vendre en dessous de 350, il est neuf.
Anyway, je viens de poster une feature request, mais vu le boulot que ça doit impliquer.... quoi qu'un mec a bien réussi a compilier lui même un nouveau dhcp client sur un ERL... bordel...
un mec a bien réussi a compilier lui même un nouveau dhcp client sur un ERL... bordel...Le mec c'est moi ;D
Je sais pas si tu as le +PC ou -PC, mais ils sont respectivement à 350 et 310e livré ici : http://www.ip-sa.com.pl/ccr1009-p-2048.html :-\
Le mec c'est moi ;D
La différence avec RouterOS c'est que EdgeOS se base sur une distribution debian et que par conséquent tous les sources (sauf ceux spécifiques à l'offload qui sont propriétés du fabriquant du CPU) sont disponibles car sous licence GPL.
En l'occurrence, faire en sorte que dhclient fasse partir les requêtes en priorité 6, ça se limite à rajouter 2 lignes dans le code...
int val = 6;
setsockopt(sock, SOL_SOCKET, SO_PRIORITY, &val, sizeof (val));
Quand j'active les logs dhcp,
J'ai debranché le ccr. De mémoire dans system tu as une section loging.
Sinon dans tools, tu as un sniffer de packets :)
Tu as essayé ce que je t'ai dit il y a quelques posts ?
Sinon mettre un switch entre l'ont et le mikrotik qui s'occuperait de mettre la priorité sur le VLAN pourrait marcher.
IPv6 est independant d'IPv4 donc peut marcher sur le vlan832 en meme temps qu'IPv4 est sur le vlan 835 en PPPoE.Tu es sur ? J'ai essayé de lancer dibbler alors que mon ERL est toujours en PPPoE et je n'ai pas obtenu de préfixe.
Tu es sur ? J'ai essayé de lancer dibbler alors que mon ERL est toujours en PPPoE et je n'ai pas obtenu de préfixe.
ton NRO a migré déja?!Oui je viens de passer ma config en DHCP il y a 30 minutes.
18:31:05.293730 04:18:d6:xx:xx:xx > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 208: vlan 832, p 6, ethertype IPv6, fe80::618:d6ff:fef0::xx.546 > ff02::1:2.547: dhcp6 solicit
18:31:05.328449 a0:f3:e4:51:a7:93 > 04:18:d6:xx:xx:xx ethertype 802.1Q (0x8100), length 189: vlan 832, p 6, ethertype IPv6, fe80::ba0:bab.547 > fe80::618:d6ff:fef0::xx: dhcp6 advertiseun schéma avec les différents flux que tu veux mettre en place avec les hosts (pas obliger de mettre les vrai IP) :
Je veux savoir comment tu veux accéder à ton serveur :
- de l'exterieur avec iP public : il faut que tu fasses du port forward;
- de l'interieur avec ip public : il faut que tu fasse du Hairpin NAT (NAT loopback).
Un schéma avec ton réseau serait plus simple pour d'aider.
Tu as configurer du source NAT alors que dans ton cas, il faut plutôt configurer du destination NAT.
Tu ne dois avoir qu'une règle de masquerade, celle de l'interne vers le vlan832.
Le all ethernet te sert à quoi ?
Pareil pour l'action jump ?
Je n'ai pas les deux dernières chez moi, et je ne me souviens pas les avoir lu dans les tutos ici.
Je m'y met ce soir, je vous prepare les règles firewall mangle pour changer les priorités sur les paquets en fonction des services.
Pour tout mettre en priorité 6 :Code: [Sélectionner]/ip firewall mangle
add action=set-priority chain=forward new-priority=6 out-interface=vlan832-orange
J'ai fait une feature request ici : http://forum.mikrotik.com/viewtopic.php?f=1&t=106144&p=530040 mais je doute que ça sera implanté...
il ne faut pas demander de tagger CoS 6 dans le client DHCP ca n'a pas de sens vu que CoS n'est pas une notion d'IP mais du niveau d'en dessous (le client DHCP ne sait pas qu'il y a un VLAN en dessous).
Ce qu'il faut demander ce sont 2 choses:
A. pouvoir specifier une valeur de DSCP pour les paquets "DHCP client" sortants (Orange utilise CS6 soit la valeur 48).
B. pouvoir configurer un mapping DSCP->CoS en sortie d'une interface de type vlan (et si ca se trouve c'est déjà fait et actif).
Donc si on veut être recevable auprès des devs il faudrait leur clarifier ce point et avec un peu de chance il n'y a que A a implementer.
Merci pour les précisions.
Pour le point B, je suppose que ça marche déja vu le topic suivant : http://forum.mikrotik.com/viewtopic.php?t=38294
Mais le soucis reste que les packets dhcp ne rentrent pas dans la "couche" firewall non (taggué ou non) ?
c) Mise en place du NAT :
Code: [Sélectionner]/ip firewall nat
add action=masquerade chain=srcnat out-interface=vlan832-orange to-addresses=0.0.0.0
to adress vers adresse ....
from adress en provenance (venant de) de l'adresse....
Ton port cible c'est toujours 53 ?
T'as pas un serveur DNS open chez toi ?
On voit ton ip à la dernière ligne.
Sinon manifestement une personne essaye de faire des requêtes dns chez toi donc logique que l'ont clignote..Oui mais c'est tout les jours et toute la journée
Il y a du trafic entrant qui est par la suite refusé par ton routeur /livebox
Non, mon IP 90.127. est tronquée
La dernière ligne sont les octets ou kilo octets
Oui mais c'est tout les jours et toute la journée
Non, mon IP 90.127. est tronquée
La dernière ligne sont les octets ou kilo octets
Oui mais c'est tout les jours et toute la journée
Je maintiens qu'on la voit à la dernière ligne (pas collone) de ton impr. Écran
Tu n'as pas un nom de domaine qui pointe vers chez toi ?
Rien à faire manifestement..
Vérifie bien que ton serveur ne répond pas au dns sur le port 53..
Ça s'arrêtera
Oui mais si le serveur a pour habitude de répondre quand il est allumé les requêtes continuent quand il est éteint.
BM, je te confirme que ton serveur dns est accessible depuis l'extérieur (je viens de m'y connecter avec un nslookup - tonip et les résolutions fonctionnent). A mon avis, c'est un truc a sécuriser.
Il est sous quoi ton serveur ?
Une distribution Linux ?
Tu as mis le dmz vers ton serveur je suppose..
Pourquoi ?
Le mieux serait de ne redireger que les ports nécessaires... (Pas le port 53 qu'il n'est nécessaire d'ouvrir que si ton serveur doit faire dns pour tous)
Il est sous quoi ton serveur ?
Une distribution Linux ?
Tu as mis le dmz vers ton serveur je suppose..
Le mieux serait de ne redireger que les ports nécessaires... (Pas le port 53 qu'il n'est nécessaire d'ouvrir que si ton serveur doit faire dns pour tous)
add chain=input action=drop connection-state=invalid comment="Drop connex foireuse vers routeur"
add chain=input action=accept connection-state=established comment="autorise connex ok vers routeur"
add chain=input action=accept protocol=icmp comment="autorise le ping"
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!pppoe-orange comment="autorise prise en main que depuis le lan"
add chain=input action=drop comment="drop le reste vers le router"
Avec les commentaires tu devrais comprendre le principe :)
Dans mon cas, la dernière ligne de drop est un peu redondante avec l'avant dernière, mais par sécurité, toujours finir par un drop :)
Pourquoi avoir remplacer la LB puisque manifestement tu n'es pas à l'aise avec un routeur tiers ?
La Dmz se règle au niveau du routeur...Il faut que je regarde mais je ne crois pas
Pour tester si vous avez un DNS ouvert : http://openresolver.com/
Voici sa réponse :ca craint... concretement ca veut dire que quelqu'un utilise ou pourrait utiliser ta ligne FTTH pour effectuer une attaque de type DOS en utilisant ton resolveur dns ouvert à tout vent...
Open recursive resolver detected on 90.127.xx.x
IP address 90.127.xx.x is vulnerable to DNS Amplification attacks.
Pour mes lignes oui, tu peux les envoyer comme ça (sur celle avec l'interface en effet).
Ton in-interface=!pppoe-orange c'est l'interface ou est brancher le boitier ONT je suppose c'est pas un vlan ?Il faut que tu remplaces par le VLAN 832 de l'interface reliée à l'ONT (et sans oublier le ! devant ;) ).
Une question pour Florian
Dans cette ligne : add chain=input action=accept src-address=192.168.1.0/24 in-interface=!pppoe-orange comment="autorise prise en main que depuis le lan"
Notamment "in-interface=!pppoe-orange" toi tu semble etre en PPPoE moi en DHCP
Ton in-interface=!pppoe-orange c'est l'interface ou est brancher le boitier ONT je suppose c'est pas un vlan ?
C'est l'interface sur laquelle est mon ont en effet.
Mais cette interface pppoe est elle même "sur" l'interface vlan835 (voir PJ)
Mon vlan832-orange est aussi sur l'interface de l'ONT
Donc tu remplace mon pppoe var vlan832-orange si tu veux faire la même chose.
Voici sa réponse :
Open recursive resolver detected on 90.127.xx.x
IP address 90.127.xx.x is vulnerable to DNS Amplification attacks.
Ah bah la 6.35 vient de passer en current.
ni Claude/BM92 qui n'a pas peur d'apprendre.
Je commande la bête, le temps de la recevoir et je viens jouer dans cette cours (sans lâcher l'autre).
Au plaisir de vous lire.
Gnubyte
Donc, à force de lurker comme un fou depuis 3 jour, je vais me prendre le Mikrotik CCR 1009-8G-1S-PC fanless (https://www.amazon.fr/MikroTik-Cloud-Core-Router-1009-8G-1S-PC/dp/B01CARMDTG?ie=UTF8&p%3Bredirect=true&redirect=true&ref_=oh_aui_detailpage_o00_s00%3Bsc%3D1#productDetails) arrêtez moi si je me trompe,
Ah oui, pardon. Donc juste un dhcp server pour que la box puisse se connecter au net avec les bonnes infos.
mais pourquoi dois-je lui donner une adresse en 192.168.2.x (par exemple)? Pourquoi ne pas toujours utiliser une ip en 192.168.1.x, du moment que la gateway renseigné est toujours l'ip du CCR ?
Le fait d’être en offre pro avec ip fixe pour t'il empêcher l'utilisation du DHCP ?
Cdlt
No switch-chip - the device now features only fully independent Ethernet ports each with a direct connection to the CPU, allowing to overcome previous shared 1Gbit limitation from switch-chip ports and utilize full potential of CPU processing power on those ports.
Pour le moment, je cherche bêtement à le configurer en "home routeur", donc envoyer le VLAN-835 (eth1) vers tous les autres interfaces, et configurer un switch virtuel sur eth2<->eth7.
Je ne suis pas sur d'être très clair dans mes explications.
Il existe un analyseur de réseau pour serveur ?
Dans mon Syno dans le moniteur de ressource il montre pas grand chose
Tout dépend de l'OS du "serveur". En effet si ton serveur est un Synology (DSM) tu ne pourras pas faire gd chose.
tcpdump s'installe sur un syno sans souci
Il n'avait pas dit que c'était un Windows plus haut ? Autant pour moi.
J'ai bien installer Wireshark mais je le trouve compliquer a l’utilisation, notamment a paramétrer
J'aurai voulu écouter que l'IP du routeur
Sniffer et streamer le trafic réseau depuis RouterOS
Dans mon post sur la partie TV, je vous parlais de « Torch » un outil intégré à RouterOS ultra-light permettant d’afficher le trafic réseau de façon macro (adresses dst/src, port, protocole, n° du vlan, …) avec la possibilité de mettre quelques filtres.
Pratique mais assez limité car on n’a pas possible d’analyser le contenu des paquets !
Un autre outil intégré à RouterOS que j’aime beaucoup est « Packet Sniffer. Il est plus complet avec la possibilité de visualiser les hosts, les connections, les paquets, etc... Mais ce qui est génial c’est le « Streaming » TZSP (TaZmen Sniffer Protocol).
En clair, le trafic capturé sur RouterOS peut être « streamé » sur une machine de votre choix :Code: [Sélectionner]/tool sniffer set streaming-enabled=yes streaming-server=<mon_ip>
/tool sniffer start
Sur votre machine, vous démarrez une capture Wireshark en filtrant tout ce qui arrive sur le port UDP 37008.
Vous obtiendrez alors les trames Ethernet du routeur à votre machine of course, et dans les paquets IP vous trouverez des enveloppes TZSP qui elles, contiennent le trafic de couche 2 capturé par le routeur (trames Ethernet, paquets IP, etc..).
Bon attention, dans les lignes ci-dessus il n’y a aucun filtre, donc vous allez capturer et streamer sur votre machine tout le trafic de votre routeur ! Il sera préférable de mettre en place des filtres pour le capturer et donc streamer que les trames qui vous intéresse (déjà définir la ou les interfaces à capturées, le protocole, port(s), etc…).
Par exemple ici on capture le trafic du VLAN838 attaché à l’ONT (vlan838-vod) pour les paquets UDP sur les ports 67 et 68 (DHCP) et on stream ce trafic vers « 10.2.4.114 » (mon IP) :
(https://sebastien.warin.fr/wp-content/uploads/2017/01/PacketSnifferFull_thumb.png)
Sur mon PC j’ai lancé la capture Wireshark sur le port UDP 37008 et je vois bien apparaitre les requêtes DHCP sur le VLAN 838 de mon routeur (en rose, la trame Ethernet entre mon routeur et ma machine contenant l’enveloppe TZSP qui renferme la trame Ethernet de la requête DHCP capturée sur le VLAN 838 du routeur).
(https://sebastien.warin.fr/wp-content/uploads/2017/01/PacketSnifferWireShark_thumb.png)
La trame ci-dessus est reçue quand je sniffe l’interface du VLAN directement or ce qui nous intéresse c’est de contrôler la « CoS » c’est-à-dire la priorité de la trame, information contenue dans les headers VLAN 802.1Q.
Autrement dit pour analyser l’entête 802.1Q liée au VLAN pour pouvoir connaitre la priorité associée et donc la CoS, il faut sniffer le trafic au niveau de l’interface Ethernet (« ether2-WAN » dans mon cas).
Seulement si je change les filtres sur « Packet Sniffer » en prenant tout le trafic sur « ether2 » (comme on le voit dans la capture ci-dessus), impossible de lire correctement les entêtes des trames Ethernet dans Wireshark :
(https://sebastien.warin.fr/wp-content/uploads/2017/01/PacketSnifferTrameError_thumb.png)
De ce fait, impossible de lire l’entête 802.1Q et donc de connaitre la priorité (CoS) de la trame.
Je n’ai pas plus creusé que cela ! En résumé on arrive bien à récupérer via streaming TZSP les trames Ethernet classique (803.2) mais jamais celle au format VLAN (802.1Q).
Ainsi cette feature est parfaite pour une analyse rapide sans avoir besoin de se brancher en filaire (pratique sur un laptop en Wifi), mais sera réservée sur de petit volume de trafic car le streaming crée des pertes et de la latence, et pour des analyses au-dessus de la couche 2 (couche IP ou protocoles TCP/UDP). Autrement j’utilise le bon vieux « port mirroring » !
Si c'est la première fois que tu te connectes au routeur en SSH alors c'est tout à fait normal, et il faut choisir de continuer en choisissant Oui
Si tu fais oui la première fois, et pas 'enregistrer la clé" ?
(btw cacher le fingerprint RSA ne sert à rien, c'est une clé publique :) )
si tu cliques sur OUI/OUI, il se passe quoi.
Aucun message d'erreur du genre "permission denied" ?
l'ONT au format SFP de la LB4
Attention pour ceux qui upgradent sans trop regarder les releases notes, la version 6.40rc36 change les bridges et master port :
...
Hello !
Super TUTO seb woaw! J'aurais voulu savoir si toi ou quelqu'un d'autre à finalement réussi à configurer ce routeur en faisant arriver la fibre directement sur le GPON au format SFP ? A la base je voulais prendre un ubiquiti mais selon les internautes il n'y aurais pas assez de puissance dans ça cage SFP... :(
Hello,
Oui comme je le disais dans mon message ci-dessus du 12 juillet 2017 et confirmé par mon ami Etienne Deneuve dans son message du 20 août, je confirme bien qu'on peut directement brancher l'ONT SFP fourni avec la LB4 sur le port SFP du Mikrotik RB3011.
Il faut juste au préalable l'avoir configuré avec la LB4 (comme expliqué dans mon post initial à propos du GPON, l'ONT a besoin d'un SLID et d'un mot de passe utilisé pour négocier la clé AES du downstream). Cette étape est réalisée par le technicien qui vient installer votre LB. Mais une fois votre LB4 opérationnelle avec le SFP, vous pouvez tout simplement extraire l'ONT SFP et le brancher sur votre Mikrotik en suivant les mêmes étapes que mon guide à la différence qu'il ne s'agira plus de l'interface Ethernet (eth2 dans mon guide) mais de l'interface SFP (sfp0).
@kgersen : l’intérêt ici est de supprimer dans un "équipement 220v" et d'avoir l'ONT directement "intergré" dans le routeur sans autre boitier externe. Exit donc l'ONT externe type Huawai/Alcatel et encore moins un MC220 sinon ca perd tout son intérêt ;)
Je compte souscrire à la Fibre d'Orange avec un abonnement à100Mb pour commencer.Donc pas de SFP mais un ONT externe et une LB3.
Donc pas de SFP mais un ONT externe et une LB3.Tu peux acheter le SFP sur eBay mais effectivement la LB3 est problématique (le SFP nécessite une LB4 pour être configuré).
Donc pas de SFP mais un ONT externe et une LB3.
Je ne vais pas avoir des choses très sophistiquées sur mon lan c est vraiment que de l internet classique
quoi que je me dis que deux firewall valent mieux qu un
Il faut définir la priorité avec un switch qui peut manipuler les requêtes DHCP ou un autre appareil, mais le Mikrotik en lui même ne le peut pas (la requête dhcp passe par un raw socket, et non par la couche firewall)
pour les processeurs d’un Mikrotik / RouterOS, pas besoin de bidouiller des binaires ou d’installer un switch en amont, vous pouvez bien changer la CoS de vos requêtes DHCP directement depuis RouterOS
Bon attention tu frôles le carton rouge ;)
Bonjour,
Je compte souscrire à la Fibre d'Orange avec un abonnement à100Mb pour commencer.
Bien sûr je vais remplacer la livebox par un routeur :)
J'aurai bien aimé un asus RT 5300 mais cela a l'air compliqué pour un novice et la réussitd n'est pas certaine. Je m'oriente donc vers un Mikrotik avec derrière des Orbi de Netgear pour assurer le wifi.
Quelle référence de routeur me conseillez-vous ? Je recherche quelque chose de compact, en boitier normal, pas besoin de 100 ports ehternet et possibilité si possible de brancher en sfp.
J'ai en tête de surtout faire passer le flux internet, la TV serait un plus.
J'ai bien pensé au CCR1009-7G-1C-PC mais cela me semble cher et gros pour mon besoin.
Merci à vous
Le principal problème étant que, en cas de reboot du routeur, il faut faire un RELEASE du bail à la mano ou par scriptÉtrange. J’ai chez moi 2 ERL que j’intervertis à chaque mise à jour (donc l’adresse link-local change) et je n’ai jamais remarqué le problème (et pourtant je ne fais pas de release).
/interface vlan add name=<le_vlan_832_de_ether1> interface=ether1 vlan-id=832 comment="ETHER1-VLAN832-ONT"
/interface bridge add name=<le_bridge_vers_l'ONT> protocol-mode=none
/interface bridge port add bridge=<le_bridge_vers_l'ONT> interface=<le_vlan_832_de_ether1>
/interface bridge filter add chain=output action=set-priority new-priority=6 mac-protocol=ip ip-protocol=udp dst-port=67 out-interface=<le_vlan_832_de_ether1>
/interface bridge filter
add chain=output action=set-priority new-priority=6 mac-protocol=ipv6 ip-protocol=udp dst-port=547 out-interface=<le_vlan_832_de_ether1>
/ipv6 settings set accept-router-advertisements=yes
add chain=input action=accept in-interface=<le_bridge_vers_l'ONT> src-address=fe80::ba0:bab/128 protocol=udp dst-port=546
add chain=input action=accept in-interface=<le_bridge_vers_l'ONT> src-address=fe80::/10 protocol=udp dst-port=546
/ipv6 dhcp-client option
# option sagem :
add code=16 name=class-identifier value=0x0000040e0005736167656d
# option SVDSL_livebox.Internet.softathome.Livebox3 :
add code=15 name=userclass value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f7833
# option 'version courte' fti/<votre_identifiant_Orange> : >>> la version courte n'est plus supportée par Orange !!!
# remplacer XXX...... par fti/<votre_identifiant_Orange> en héxa
add code=11 name=authsend value=0x0000000000000000000000XXXXXXXXXXXXXXXXXXXXXX
/ipv6 dhcp-client add \
interface=<le_bridge_vers_l'ONT> \
dhcp-options=authsend,userclass,class-identifier \
request=prefix \
pool-name=pool_FT_6 \
pool-prefix-length=64 \
add-default-route=yes
/ipv6 pool print detail
Flags: D - dynamic
0 D name="pool_FT_6" prefix=2a01:cb1d:xxxx:xx00::/56 prefix-length=64 expires-after=2d12h44m49s
/ipv6 address add address=::1/64 from-pool=pool_FT_6 interface=ether2 advertise=yes
/ipv6 pool used print detail
pool=pool_FT_6 prefix=2a01:cb1d:xxxx:xx00::/64 owner="Address" info="ether2"
/ipv6 address print detail where interface=ether2
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
0 G address=2a01:cb1d:xxxx:xx00::1/64 from-pool=pool_FT_6 interface=ether2 actual-interface=ether2 eui-64=no advertise=yes no-dad=no
1 DL address=fe80::66d1:54ff:fexx:xxxx/64 from-pool="" interface=ether2 actual-interface=ether2 eui-64=no advertise=no no-dad=no
chain=input action=accept connection-state=established,related,untracked
chain=input action=drop connection-state=invalid
chain=input action=accept in-interface=ether2
chain=input action=accept protocol=udp src-address=fe80::ba0:bab/128 in-interface=<le_bridge_vers_l'ONT> dst-port=546
chain=input action=drop
chain=forward action=accept connection-state=established,related,untracked
chain=forward action=drop connection-state=invalid
chain=forward action=accept in-interface=ether2
chain=forward action=drop
/ipv6 dhcp-client release [find interface=<le_bridge_vers_l'ONT>]
/interface bridge set [find name=<le_bridge_vers_l'ONT>] auto-mac=no admin-mac=<adresse_MAC_de_ether1>
# faire un reboot puis lancer (une fois suffit) :
/ipv6 dhcp-client release [find interface=<le_bridge_vers_l'ONT>]
très sympa tout cela !
pour ma part, je vais attendre que cela soit plus stable.
à bientôt donc.
/partitions p
Flags: A - active, R - running
# NAME FALLBACK-TO VERSION SIZE
0 part0 next RouterOS v6.40.4 Oct/02/2017 08:38:30 64MiB
1 AR part1 part0 RouterOS v6.42rc52 Mar/26/2018 12:... 64MiB
Même chose chez moi, IPv6 reste en searching.
J'ai reboot l'ONT pour voir, ça ne change rien. Pas de soucis coté IPv4.
Les options ne se passent qu'en ligne de commande pour le moment.
Bonjour,Non rien tout les compteurs restent à 0
Est ce que vous voyez arriver le retour du DHCP V6 port 546 à l'entrée de votre routeur ?
Vous pouvez utiliser Torch ou juste remettre à zero le compteur de la régle Firewall qui accepte ces paquets pour voir si ca augmente ...
et c'est un switch en amont qui modifie la cos dhcp, mais visiblement un truc merde, alors que tout est ok en ipv4Je suppose que la config du switch a été modifiée pour faire aussi de la cos dhcp6 ? (Parce que ça ne peut pas être la même règle que pour dhcp ipv4).
Ok. Donc de ce coté, pas de souci pour moi.
Je précise que je suis actuellement dans une config avec LB derrière le routeur.
En effet, madame aime bien le décodeur TV Orange, et la mémé de Bretagne n'a pas encore assimilé qu'elle pouvait appeler sur les mobiles et continue à nous appeler sur le fixe.
Ou avoir un switch qui peut faire ça sur un seul port (c'est ce que j'ai fini par obtenir).On peut savoir lequel ?
Le nouvel HeX S à un double 880mhz justement, c'est intéressant. Avec du fasttrack ça passerait je pense, mais en effet s'il est forcé de faire un bridge, c'est plus la même chose...
Ah oué... Évidement...
Sinon, y'a les switch Cisco en 10G qui sont pas trop pouilleux aussi :P
Yes, pas mal , 2 CPUs à 880Mhz, vu le cablage, si tu utilises pas le SFP , tu peux router à 1Gbps ou pas loin je pense.Me plait bien ce p'tit truc.
A tester. (Attention, ya pas de Wifi là où le "Hex" en possède, just-in-case)
On peut savoir lequel ?
J'ai un EdgeSwitch 24 ports et il a les même limitations que le 108Tv2...
On ne peut pas faire de Diffserv à la fois en IPv4 et IPv6 sur le même port. Impossible donc de marquer à la fois les requêtes DHCP et DHCP6 avec la PRIO 6...
On ne peut pas faire de Diffserv à la fois en IPv4 et IPv6 sur le même port. Impossible donc de marquer à la fois les requêtes DHCP et DHCP6 avec la PRIO 6...
Après, (je viens d'y penser), je ne sais pas si on ne pourrait pas marquer un des 2 protocoles sur un port en "IN" (Le port du switch où est connecté le routeur) et l'autre protocole sur un port en "OUT" (Le port du switch où est connecté l'ONT). J'avoue que ça fait longtemps que j'ai pas joué avec le diffserv de ce switch mais il me semble de mémoire que c'est possible...
Moi il est désactivé, la box me sert juste de point d'accès wifi. C'est mon mikrotik qui faire serveur dhcp pour mon LAN.
Quel firm ?
Si t'es en searching avec la bonne conf, c'est certainement un soucis de QoS . Ou alors tu as flashé en 6.43.1 ou .2, qui posent parfois soucis en ipv6.
root@gateway:~# ping6 fe80::ba0:bab%eth1.832
PING fe80::ba0:bab%eth1.832(fe80::ba0:bab) 56 data bytes
From fe80::feec:daff:fe43:403 icmp_seq=1 Destination unreachable: Address unreachable
Oui, oui je suis sur 832
Je comprends vraiment pas depuis ce "Renew", aucun autres équipements à part la LB ne veut se connecter.
Merci @Catalyst pour le fasttrack ! J'ai un RB3011 depuis maintenant plusieurs moi, que j'avais configuré grâce à ce super tuto donc tout roule super bien, mais j'ai appris que orange avait silencieusement augmenté le débit fibre de ces abonnées (il y à une semaine ou deux).
Du coup vu que je suis sur un abonnement Open Play qui est normalement à 300/100 je suis maintenant passé à 1000/300 cependant quand je testais mon débit je ne dépassais pas les ~550. Et la j'ai activé le fasttrack sur mon routeur et magie 1000/300 sans problème ! :)
Voilà pour la petite anecdote.
Bon week-end à tous et aller la France !!!
Attention, à savoir: la modification de CoS: uniquement en IPv4 par interface chez Netgear (ou un seul à la fois: IPv4 ou IPv6 je ne sais plus).
Sinon, le SFP dans un switch, ça fonctionne chez plusieurs marques / modèles (Netgear, Dlink, Tplink, ...)
Petite question concernant les pools et l'ipv6. Dans la conf du dhcp client, on indique un pool. Mais on ne crée jamais de pool à la main si je ne m'abuse. Du coup le pool est crée automatiquement dès qu'on reçoit une réponse à la requête DHCP ?
Merci.
/ipv6 dhcp-client add \
interface=<le_bridge_vers_l'ONT> \
dhcp-options=authsend,userclass,class-identifier \
request=prefix \
pool-name=pool_FT_6 \ <<<<<<<<<<<<<<<
pool-prefix-length=64 \
add-default-route=yes J'ai fait une feature request ici : http://forum.mikrotik.com/viewtopic.php?f=1&t=106144&p=530040 mais je doute que ça sera implanté...
(...)Dommage cette histoire de débit limité à cause du bridge sur le VLAN 832 pour la CoS 6...
La liaison Internet passe par un bridge, créé pour forcer la CoS à 6 des paquets DHCPv4. Par effet de bord cela désactive partiellement Fasttrack ...
(...)
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features (http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features)
tu peux changer la priorité dans un VLAN du switch :
new-vlan-priority - if specified changes the vlan tag priority bits;
Pour info sinon je suis arrivé à ceci, un peu plus générique que de fonctionner par ports, et qui fonctionne :Code: [Sélectionner]/ip firewall mangle
add action=mark-connection chain=postrouting connection-bytes=1-10000 connection-mark=no-mark dscp=!0 new-connection-mark=nofasttrack out-interface=vlan832 passthrough=yes
add action=change-dscp chain=postrouting dscp=!0 new-dscp=0 out-interface=vlan832 passthrough=yes
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-bytes=10001-0 connection-mark=no-mark connection-state=established,related
Le principe est d'analyser les 10 premiers Ko de la connexion, si on trouve un TOS != 0 alors la connexion n'est pas fasttrackée, sinon elle l'est.
On fait donc le pari que si l'on n'a pas vu un TOS != 0 dans les premiers X Ko, on n'en verra pas ensuite...
Le défaut c'est que les connexions en dessous du seuil des X Ko ne sont pas fasttrackées. Bon...
La config :
- une interface vlan832 sur ether1
- le client DHCP sur vlan832
- une switch rule sur le port "switch1 cpu", protocol UDP, dst port 67, ... et new-vlan-priority=6
Et voilà, je plafonne la ligne 1Gbps, un core sur 4 du CPU à 22% d'utilisation, les autres qui se tournent les pouces ;D
Mikrotik 8)
Le Hic c est que l'endroit ou je devrai pouvoir rentrer le dst port 67 et protocole UDP... c'est tout grisé... :o
J ai bien passé le VLAN sur le bridge, cf capture, mais pas mieux... ???C'est qu'il n'y a aucun paquet qui matche... Enlève ton port source pour voir et enlève aussi les sélecteurs d'interface/bridge.
En meme temps le nombre de packets de ma filter rule sur le bridge reste a 0, donc il doit manquer un truc encore...
# may/04/2019 11:51:50 by RouterOS 6.44.2
# software id = 6DZP-Q4TF
#
# model = RB4011iGS+
# serial number = AAAF09CD4344
/interface bridge
add admin-mac=B8:69:F4:F2:13:DF auto-mac=no comment=defconf name=bridge
add disabled=yes fast-forward=no frame-types=\
admit-only-untagged-and-priority-tagged name="bridge CoS6" pvid=832 \
vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
/interface vlan
add interface="bridge CoS6" name=vlan832-internet use-service-tag=yes \
vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=77 name=userclass value="0x2b46535644XXXXXXXXXXXXXXXXXXXXXXXXXXXXX\
6e65742e736f66746174686f6d652e4c697665626f7834"
add code=90 name=authsend value="0x00000000000000000000001a0900000558010341010\
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\
e7f724a6ff319c3ee55c63d"
add code=60 name=vendor-class value=0x736167656d
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
add action=set-priority chain=output disabled=yes dst-port=67 ip-protocol=udp \
mac-protocol=ip new-priority=6 out-bridge="bridge CoS6" out-bridge-list=\
all passthrough=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge="bridge CoS6" interface=ether1-WAN
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-WAN list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip arp
add address=192.168.88.118 interface=bridge mac-address=54:C9:DF:CD:C8:B0
add address=192.168.88.151 interface=bridge mac-address=D8:80:39:EC:01:0B
add address=192.168.88.114 interface=bridge mac-address=84:F3:EB:4E:2B:7C
add address=192.168.88.251 interface=bridge mac-address=00:1E:06:34:3D:F9
add address=192.168.88.112 interface=bridge mac-address=70:EE:50:00:71:C6
add address=192.168.88.113 interface=bridge mac-address=50:A0:09:93:31:71
add address=192.168.88.115 interface=bridge mac-address=F4:60:E2:B3:10:B0
add address=192.168.88.116 interface=bridge mac-address=08:9E:08:48:E3:77
add address=192.168.88.117 interface=bridge mac-address=54:60:09:DB:58:C8
add address=192.168.88.119 interface=bridge mac-address=E4:F0:42:44:3D:57
add address=192.168.88.120 interface=bridge mac-address=34:EA:34:90:FA:78
add address=192.168.88.121 interface=bridge mac-address=84:A9:3E:D3:D7:F4
add address=192.168.88.146 interface=bridge mac-address=C0:EE:FB:F4:5C:D8
add address=192.168.88.147 interface=bridge mac-address=04:CF:8C:97:D3:21
add address=192.168.88.148 interface=bridge mac-address=04:CF:8C:9B:1E:0F
add address=192.168.88.149 interface=bridge mac-address=00:28:F8:3E:5B:9D
add address=192.168.88.217 interface=bridge mac-address=34:CE:00:EA:E6:DA
add address=192.168.88.108 interface=bridge mac-address=EC:9B:F3:C0:90:EF
add address=192.168.88.150 interface=bridge mac-address=B4:FB:E4:F3:76:23
add address=192.168.88.153 interface=bridge mac-address=10:FE:ED:42:15:11
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1-WAN
add dhcp-options=authsend,clientid,hostname,userclass interface=\
vlan832-internet
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat connection-type="" disabled=yes log=yes \
out-interface="bridge CoS6"
/ip ssh
set allow-none-crypto=yes
/system clock
set time-zone-name=Europe/Paris
/system identity
set name="MikroTik RB4011"
/system logging
add topics=dhcp,debug
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Est ce que je dois déduire de l'absence de réponse que plus personne n'utilise ce type de solution?Non, j'avais utilisé la méthode du bridge sur un hAP ac², avant de passer aux switch rules.
/interface bridge
add admin-mac=B8:69:F4:F2:13:DF auto-mac=no comment=defconf name=bridge
add disabled=yes fast-forward=no frame-types=\
admit-only-untagged-and-priority-tagged name="bridge CoS6" pvid=832 \
vlan-filtering=yes
Non, j'avais utilisé la méthode du bridge sur un hAP ac², avant de passer aux switch rules.
Donc ça doit fonctionner !
Je ne vois pas l'option DHCP clientid (61) positionnée à l'adresse MAC de ta Livebox (01 suivi de l'adresse MAC, donc 14 caractères) dans ta configuration.
Pour ma part j'envoie ces 4 :
(https://i.postimg.cc/65qb8YQ5/sc.png)
Code: [Sélectionner]/interface bridge
add admin-mac=B8:69:F4:F2:13:DF auto-mac=no comment=defconf name=bridge
add disabled=yes fast-forward=no frame-types=\
admit-only-untagged-and-priority-tagged name="bridge CoS6" pvid=832 \
vlan-filtering=yes
Je me trompe peut-être mais ton interface bridge n'est pas activée dans ta configuration, "disabled=yes" au lieu de "disabled=no" ::)
/interface bridge filter
add action=set-priority chain=output disabled=yes dst-port=67 ip-protocol=udp \
mac-protocol=ip new-priority=6 out-bridge="bridge CoS6" out-bridge-list=\
all passthrough=yes
Tu me confirmes que si j ai deja eu un retour (DHCP Offer) en etant sur une prio a 0, cela veut bien dire qu a priori je n ai pas beoin de mettre la prio a 6?Ca, je n'en sais rien, je n'ai jamais regardé comment l'infra d'Orange se comporte quand la CoS n'est pas à 6 chez moi.
Aucune idée quant au message d'erreur.
Tu peux cependant vérifier si ta chaine correspondant à l'option 90 fait bien 140 caractères de long (sans le 0x au début).
Et la COS 6 me semble désactivée également ?Code: [Sélectionner]/interface bridge filter
add action=set-priority chain=output disabled=yes dst-port=67 ip-protocol=udp \
mac-protocol=ip new-priority=6 out-bridge="bridge CoS6" out-bridge-list=\
all passthrough=yes
L'autre souci que j'ai rencontré c'est que je ne dois pas mettre les infos de MAC protocol/ Protocol/ Dst port/ Src port sur le bridge filter rule, sinon la connexion ne se fait pas. Donc tous ses settings sont vides pour que la connexion DHCP se fasse, par contre si je laisse tel quel, une fois le client DHCP connecté mon upload est catastrophique, moins de 1Mb/s, mais si je remets les valeurs qui vont bien (ip/udp/68/67) alors mon upload redevient normal, vers les 200Mb/s
Normal que le débit soit réduit, car du coup tous tes paquets sortent avec la COS 6.
Il faut donc en premier lieu corriger ta règle de sorte à ne flaguer que les paquets DHCP (protocol=UDP / dst-port=67).
Un speedtest (https://www.speedtest.net/) confirmera si c'est bon ou pas.
J'ai essayé également, mais tant que je mets a la prio 6 toutes mes trames sortantes, ca ne change rien... :'(
Toujours au sujet des problèmes de débit, en second lieu, il y a éventuellement ceci (https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg634349/#msg634349) à appliquer, pour les éventuels paquets en provenance du LAN qui traverseraient le routeur avec une COS différente de 0.
-L'autre souci que j'ai rencontré c'est que je ne dois pas mettre les infos de MAC protocol/ Protocol/ Dst port/ Src port sur le bridge filter rule, sinon la connexion ne se fait pas. Donc tous ses settings sont vides pour que la connexion DHCP se fasse, par contre si je laisse tel quel, une fois le client DHCP connecté mon upload est catastrophique, moins de 1Mb/s, mais si je remets les valeurs qui vont bien (ip/udp/68/67) alors mon upload redevient normal, vers les 200Mb/s
/interface vlan
add name=eth1_832 interface=ether1 vlan-id=832 comment="Vers ONT"
/interface bridge
add name=br_832_OR protocol-mode=none
/interface bridge port
add bridge=br_832_OR interface=eth1_832
/interface bridge filter
add chain=output action=set-priority new-priority=6 \
out-interface=eth1_832 mac-protocol=ip ip-protocol=udp dst-port=67
D'après le diagramme du routeur (https://i.mt.lv/cdn/rb_files/RB3011UiAS-160307123613.png) (dispo sur la fiche produit), je dirais qu'en effet ça n'est pas possible d'utiliser des switch rules sur SFP1, celui ci étant connecté directement au CPU.
Il serait presque même mieux d'utiliser un convertisseur cuivre (https://lafibre.info/remplacer-livebox/choix-de-lont-pour-orange-fibre/), cela permettrait :
- de pouvoir utiliser les switch rules ;
- d'avoir un lien entre les ports Eth6-10 et le CPU à 2Gb/s au lieu de 1Gb/s quand le port SFP est utilisé.
Bref d'avoir un switch / routeur globalement bien plus performant :)
Hello all!Bonsoir
Juste pour vous dire que j avais bien solutionné le soucis, en fait mon erreur etait d etre sur (ether1 <-> bridge <-> interface vlan <-> dhcp client) et lorsque je suis passé sur (ether1 <-> interface vlan <-> bridge <-> dhcp client) tout est bien rentré dans l ordre, mon client bind bien et pas de soucis de débit... si ca peut aider qqun plus tard... :)
Bonsoir tout le monde!
J'ai bien avancé de mon coté, je voulais vous faire mon petit feedback, des fois que ca puisse aider d'autres personnes...
-Déja je confirme que le CoS 6 est nécessaire sur la partie Request - Ack de la négo DHCP, mais pas sur la partie Discovery - Offer, car lorsque je mettais une prio a 0, je voyais bien un Discovery, puis Offer, Request, puis plus rien... du coup au départ je pensais que le soucis venait de mes parametres DHCP, mais lorsque j'ai (enfin!!) pu mettre une prio a 6 avec un bridge/Vlan/filter rule, la connexion se fait bien! :)
-L'autre souci que j'ai rencontré c'est que je ne dois pas mettre les infos de MAC protocol/ Protocol/ Dst port/ Src port sur le bridge filter rule, sinon la connexion ne se fait pas. Donc tous ses settings sont vides pour que la connexion DHCP se fasse, par contre si je laisse tel quel, une fois le client DHCP connecté mon upload est catastrophique, moins de 1Mb/s, mais si je remets les valeurs qui vont bien (ip/udp/68/67) alors mon upload redevient normal, vers les 200Mb/s
Du coup, tous les 3 jours (durée du lease) faut que je fasse cette manip, c'est loin d'etre acceptable et j'essaie de tester d'autres trucs pour le moment...
La question d un de mes posts précédents reste donc toujours d'actualité: est ce qu'il y a d'autres personnes qui sont avec un Mikrotik et qui passe par le bridge/vlan/filter rule pour obtenir la connexion? Je ne peux pas penser que la solution de bidouiller tous les 3 jours soit acceptable pour qui que ce soit, donc je me dis qu'il doit y avoir une autre solution...
Merci par avance! :)
Bonjour à tous,
Je tiens déjà à remercier tout le monde pour les tutos, conseils etc.
J'ai la fibre sosh et un mikrotik hex S, puis un Wap AC.
Via le port SFP j'ai pu suivre le tuto de Catalyst (en remplaçant le ether1 par sfp1).
Tout fonctionne bien mais je bloque au "Activez SLAAC sur un host du LAN" où je comprends pas trop ce que je dois faire.
D'autant que je dois lier cela à mon WAP via le port ether5.
Et je me posais la question si je peux ne configurer le DHCP que sur le WAP.
Ainsi, y aurait-il une âme charitable pour m'aide à finaliser ma config ?
Merci !
Dob.
[edit] Pour ceux qui ce seraient fait la même réflexion, un récap. mis à jour existe à cette adresse https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg533294/#msg533294 (https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg533294/#msg533294)
Sous Windows, il faut simplement activer ipv6 dans les paramètres réseau pour que SLAAC soit activé. il l'est peut-être déjà. Sous Linux c'est paramétré d'office.
l'AP est normalement transparent, il doit laisser passer ipv6 sans rien configurer dessus, tout comme ipv4.
L'ipv6 était bien activé sur mon Win10 et j'ai bien une adresse ipv6 dans les paramètres réseaux.Aucun problème pour utiliser des serveurs DNS ipv4, tout le monde n'a pas accès à un serveur DNS ipv6 et il faut bien faire la résolution de noms.
Par contre, je n'ai pas d'accès à internet (en restant en ethernet pour le moment).
Malgré avoir suivi le tuto à la lettre, il semble que le DNS ne fonctionne pas car le ping me donne une erreur dns.
J'ai lu que Win10 n'accepte le Slaac que si l'ipv6 uniquement est activée. J'ai donc un doute sur l'utilisation des résolveurs en DHCPv4 comme indiqué.
Merci !
J’ai l’impression de passer à côté de quelque chose.
Merci pour la patience en tout cas.
Quand je ping avec l’adresse ipv6 de free dans le tuto, cela fonctionne.
J’ai suivi le tuto de Florian sur un autre post et cela ne fonctionne pas, et même quand je fais avec un dns DHCPv4.
Serait-il possible de m’indiquer en quelques lignes les étapes, pour que je vérifie où je me suis loupé e.g. créer dhcp-server etc.
Merci ! Je vais y arriver :)
ipconfig /all
ping -4 free.fr
ping -6 free.fr
Masque la fin de tes ip publiques. /ipv6 nd print
/ipv6 nd set [find default=yes] managed-address-configuration=yes other-configuration=yes
Les deux commandes ping retournent : La requête Ping n’a pas pu trouver l’hôte free.fr. Vérifiez le nom et essayez à nouveau.
pour le ipconfig : j'ai mis juste ce qui retourne de la carte ethernet via laquelle je me connecte :
Suffixe DNS propre à la connexion. . . :
Description. . . . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection
Adresse physique . . . . . . . . . . . : XXXX
DHCP activé. . . . . . . . . . . . . . : Oui
Configuration automatique activée. . . : Oui
Adresse IPv6. . . . . . . . . . . . . .: 2a01:XXXXXX(préféré)
Adresse IPv6 temporaire . . . . . . . .: 2a01:XXXXX(préféré)
Adresse IPv6 de liaison locale. . . . .: fe80::58b5:61e5:89f7:2445%8(préféré)
Adresse d’autoconfiguration IPv4 . . . : 169.254.36.69(préféré)
Masque de sous-réseau. . . . . . . . . : 255.255.0.0
Passerelle par défaut. . . . . . . . . : fe80::ba69:f4ff:fe03:eb4c%8
IAID DHCPv6 . . . . . . . . . . . : 121411342
DUID de client DHCPv6. . . . . . . . : 00-01-00-01-24-A6-E2-D3-3C-97-0E-CF-E2-61
Serveurs DNS. . . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS sur Tcpip. . . . . . . . . . . : Activé
Et je confirme que le ping debut l'ordinateur via l'adresse ipv6 de free fonctionne bien.
J'ai mis aussi ma config du DHCP server en pj.
Merci !
Sinon pour répondre à Catalyst, je n'ai pas de volonté particulière pour ma configuration, simplement faire : fibre -> Hex S -> Wap AC -> PC, smartphone, tablette
Puis je pensais aussi qu’il y avait bien plus de site avec une adresse ipv6 active
Oui je n’ai configuré que la connectivité v6. Je pensais, à tord, que le dns v6 allait tout de même me renvoyer une adresse ip (v4 ou v6). Puis je pensais aussi qu’il y avait bien plus de site avec une adresse ipv6 active. Je suis un peu long à comprendre mais ça va mieux ^^ Je vais donc finir la configuration en ipv4 maintenant.
Bon je confirme tout ce que tu as dit, sur les forums Mirotik, effectivement on n explique pas trop ce choix sur le RB4011...
Et je viens juste de voir que mon switch, le GS724tpv2, ne permet pas de prendre de multiples critères lors de la création de la classe DiffServ pour différencier les paquets... c'est un peu la loose la du coup... :'(
Hello,
quelqu'un aurait eu l'occasion de tester le hex S ( https://mikrotik.com/product/hex_s ) avec le SFP Orange / Sosh ?
Compatible ou pas ?
/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=switch1-cpu protocol=udp src-mac-address=XX:XX:XX:XX:XX:XX/FF:FF:FF:FF:FF:FF switch=switch1
add dst-mac-address=33:33:00:01:00:02/FF:FF:FF:FF:FF:FF mac-protocol=ipv6 new-vlan-priority=6 ports=switch1-cpu src-mac-address=XX:XX:XX:XX:XX:XX/FF:FF:FF:FF:FF:FF switch=switch1
Mes switch rules qui fonctionnent pour ipv4 et ipv6: (Remplacer XX:XX:XX:XX:XX:XX par la MAC de votre intrerface WAN)Code: [Sélectionner]/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=switch1-cpu protocol=udp src-mac-address=XX:XX:XX:XX:XX:XX/FF:FF:FF:FF:FF:FF switch=switch1
add dst-mac-address=33:33:00:01:00:02/FF:FF:FF:FF:FF:FF mac-protocol=ipv6 new-vlan-priority=6 ports=switch1-cpu src-mac-address=XX:XX:XX:XX:XX:XX/FF:FF:FF:FF:FF:FF switch=switch1
Il y a un bug dans les regles de filtrage, ou alors le chipset ne supporte tout simplement pas...
Par exemple, le champ VLAN ID ne fonctionne pas, ni utiliser un autre port que "switch1 cpu"
Du coup j'ai utilisé le packet sniffer et j'ai trouvé que les requetes DHCPv6 partent toujours vers la même MAC, je l'ai donc utilisée comme filtre.
Sans filtrer la MAC, le cpu du switch sature la connection ipv6 à 40Mb, et avec j'ai bien le débit max.
De retour et merci mobyfab, finalement j'ai refait la config de zéro pour avoir quelque chose de propre et ca tourne nickel en IPv4 et en IPv6 sur le port ether1 avec les switch rules !!!!
Je viens de faire un test de débit sur ipv6-test.com en IPv4 et IPv6 même si ce n'est pas le meilleur créneau horaire et la période idéale j'ai 606Mb/s en IPv4 et 373Mb/s en IPv6, c'est top je suis content... merci à tous encore.
Pour ceux qui veulent je peux poster la dernier config complète.
Nicolas
# mar/30/2020 07:46:36 by RouterOS 6.47beta49
# software id = PLK7-FUWK
#
# model = 960PGS
# serial number = AD8A0A404F4B
/interface bridge
add admin-mac=74:4D:28:6D:F7:AC auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=ether1 name=vlan832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
add code=90 name=authsend value=0x00000000000000000000001a0900000558010341010d6674692FXXXXXXX
/ip pool
add name=dhcp ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ipv6 dhcp-client option
add code=11 name=authentication value=0x00000000000000000000001a0900000558010341010d6674692FXXXXXXX
add code=15 name=user-class value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f7834
add code=16 name=vendor-class value=0x0000040e0005736167656d
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set accept-router-advertisements=yes
/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=switch1-cpu protocol=udp src-mac-address=YY:YY:YY:YY:YY:YY/FF:FF:FF:FF:FF:FF switch=switch1
add mac-protocol=ipv6 new-vlan-priority=6 ports=switch1-cpu src-mac-address=YY:YY:YY:YY:YY:YY/FF:FF:FF:FF:FF:FF switch=switch1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add dhcp-options=vendor-class-identifier,userclass,authsend disabled=no interface=vlan832
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=vlan832
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www-ssl disabled=no
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes
/ipv6 address
add address=::1 from-pool=pool_REN_6 interface=bridge
/ipv6 dhcp-client
add add-default-route=yes dhcp-options=authentication,user-class,vendor-class interface=vlan832 pool-name=pool_REN_6 request=prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=input comment="allow dhcpv6 replies on WAN" dst-port=546 in-interface=vlan832 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="accept established, related, untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="accept established, related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="forward drop everything else" in-interface=vlan832
add action=drop chain=input comment="input drop everything else" in-interface=vlan832
/system clock
set time-zone-name=Europe/Paris
/system package update
set channel=testing
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN/tool sniffer set filter-interface=vlan832-net filter-ip-protocol=udp filter-mac-protocol=ipv6 filter-operator-between-entries=and filter-port=546,547
Fais comme moi, met l'address MAC du serveur dhcp dans le filtre "dst-mac-address" (voir mon post plus haut)
ça te permet de ne match que le traffic dhcp et donc de ne pas perdre en débit.
Tu peux trouver l'address mac avec le sniffer:Code: [Sélectionner]/tool sniffer set filter-interface=vlan832-net filter-ip-protocol=udp filter-mac-protocol=ipv6 filter-operator-between-entries=and filter-port=546,547
étrange !
J'ai un adaptateur tplink MC220L et l'ONT sercomm venu avec la box. Tu as autre chose ?
J'ai l'ONT d'origine Huawei de chez Orange qui va sur le port Ethernet 1 du Mikrotik.
Dans le futur je souhaite virer l'ONT et mettre directement un SFP Sercomm que j'ai commandé mais il faudra que je change de Mikrotik car pas de switch rule sur le port SFP !
J'ai en tête un RouteurBoard RB953GS pour le futur...
Bonjour. J'utilise un traducteur, donc désolé pour la langue.
Je viens de Pologne, j'utilise de l'orange et j'ai échangé Funbox contre HAPAC2
Quelqu'un a-t-il réussi à connecter mikrotik à la télévision via wifi?
Si oui, veuillez configurer.
Après le LAN, tout fonctionne sans problème, mais je ne peux pas gérer la télévision via WIFI.
###########################
#
# Config IPV4
# Eth1 : ONT
# Eth3 : LAN
#
###########################
# jun/13/2020 11:47:47 by RouterOS 6.46.4
# software id = QCE2-AKRF
#
# model = RB2011UiAS
# serial number = C68F0B18AA8C
/interface bridge
add name=local
/interface vlan
add comment=ETHER1-VLAN832-ONT interface=ether1 name=vlan832-internet vlan-id=832
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
add code=90 name=authsend value=0x00000000000000000000001a0900000558010341010dXXXXXXXXXXXXXXXXXXXXXX
/ip pool
add name=dhcp_pool4 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool4 disabled=no interface=local name=dhcp1
/queue interface
set ether1 queue=ethernet-default
set ether3 queue=ethernet-default
/interface bridge port
add bridge=local interface=ether3
/interface list member
add interface=ether1 list=WAN
add interface=local list=LAN
/ip address
add address=192.168.88.1/24 interface=local network=192.168.88.0
/ip dhcp-client
add dhcp-options=authsend,clientid,hostname,userclass disabled=no interface=vlan832-internet
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=vlan832-internet
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2200
set api disabled=yes
set winbox address=192.168.88.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Paris
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no| (https://lafibre.info/index.php?action=dlattach;topic=14613.0;attach=85025) | (https://lafibre.info/index.php?action=dlattach;topic=14613.0;attach=85026;image) |
/ip route
add comment=routespe distance=1 dst-address=8.8.4.4/32 gateway=86.245.40.1
add comment="Reach Google Via FTTH Only" distance=2 dst-address=8.8.4.4/32 type=blackhole#affecte la gateway sur la route speciale pour le failover a chaque changement d'IP
/system scheduler set VERIFY-FTTH disabled=yes
:delay 5s
:global gw [/ip route get [find vrf-interface=vlan832] value-name=gateway];
/ip route set [find comment="routespe"] gateway=$gw;
/system scheduler set VERIFY-FTTH disabled=no
/ip cloud force-update#script test liaison principale
:global statusFibreOK;
:local number1 "+33607077777";
:local iptest1 "8.8.4.4";
:local date;
:local time;
:set date [/system clock get date];
:set time [/system clock get time];
:local MSGUP "$date $time Liaison fibre OK!";
:local MSGDOWN "$date $time Liaison fibre DOWN!";
:local result1 [/ping $iptest1 count=4];
:if ($result1 > 1 && $statusFibreOK != true) do={
/ip dhcp-client set [find comment="isp1"] default-route-distance=1;
/tool sms send port=usb1 phone-number=$number1 message=$MSGUP channel=2;
:set statusFibreOK true;
/log warning "Good: Liaison FTTH UP";
} else={
:if ($result1 = 0 && $statusFibreOK != false) do={
/ip dhcp-client set [find comment="isp1"] default-route-distance=100;
/tool sms send port=usb1 phone-number=$number1 message=$MSGDOWN channel=2;
:set statusFibreOK false;
/log error "ERROR: Liaison FTTH DOWN";
}
}ONT -> eth1 (WAN)
eth2 -> PC1
eth3 -> Shield
eth4 -> NAS
ONT -> eth1 (WAN)
-> eth2 -> switch/AP -> PC1
-> Shield
-> NAS
D'après leurs tests, ca route pas loin de 2Gbps , 4 CPU à ~700Mhz, ca devrait le faire oui :-)
ONT -> eth1 (WAN)
eth2 -> PC1
eth3 -> Shield
eth4 -> NAS
ONT -> eth1 (WAN)
-> eth2 -> switch/AP -> PC1
-> Shield
-> NAS
Certains routeurs Mikrotik sont dotés d'un switch mais le plus sûr reste encore d'utiliser l'option numéro 2 avec un switch dédié.
/interface vlan add interface=sfp1 loop-protect-disable-time=00:05:00 loop-protect-send-interval=00:00:05 name=vlan832 vlan-id=832
/interface bridge add name=brWAN
/interface bridge port add bridge=brWAN interface=vlan832
/interface bridge filter add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP IPv4 request" mac-protocol=ip new-priority=6 out-interface=vlan832 passthrough=yes src-port=68
/ip dhcp-client option add code=60 name=vendor-class-identifier value=0x736167656d
/ip dhcp-client option add code=61 name=client-identifier value=0x01xxxxxxxxxxxx
/ip dhcp-client option add code=77 name="User Class Information" value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
/ip dhcp-client option add code=90 name=Authentification value= 0x00000000000000000000001a0900000558010341010dxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxen_version_longue
/ip dhcp-client add interface=brWAN dhcp-options="vendor-class-identifier,client-identifier,User Class Information,Authentification" add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes disabled=no
/ip firewall nat add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=brWAN
Bonsoir à tous,
J'ai reçu 3 SFP ONT G-010S-A, j'ai un TP-LINK MC220L et Mikrotik hEX S pour remplacer deux livebox 5...
J'ai bien reprogrammé les SFP ONT avec MfrID, G984Serial et le HardwareVersion pour matcher les valeurs de ma Livebox 5.
J'ai ensuite branché le SFP ONT dans le port sfp1 du Mikrotik :
- j'ai bien le statut O5 sur le SFP ONT
- j'ai bien les différents vlan sur le SFP ONT (832, etc...)
Puis je fais une conf Mikrotik standard ou je fais ma CoS 6 pour le dhcp request et j'envoi les options 60,61,77 et 90 en version longue (d'après les infos de liveboxtools)
Mon soucis DHCP-client en searching.... je vois des paquets partir sur le sfp1 mais rien ne revient, une idée ?
Ma conf est très simple :Code: [Sélectionner]/interface vlan add interface=sfp1 loop-protect-disable-time=00:05:00 loop-protect-send-interval=00:00:05 name=vlan832 vlan-id=832
/interface bridge add name=brWAN
/interface bridge port add bridge=brWAN interface=vlan832
/interface bridge filter add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP IPv4 request" mac-protocol=ip new-priority=6 out-interface=vlan832 passthrough=yes src-port=68
/ip dhcp-client option add code=60 name=vendor-class-identifier value=0x736167656d
/ip dhcp-client option add code=61 name=client-identifier value=0x01xxxxxxxxxxxx
/ip dhcp-client option add code=77 name="User Class Information" value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
/ip dhcp-client option add code=90 name=Authentification value= 0x00000000000000000000001a0900000558010341010dxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxen_version_longue
/ip dhcp-client add interface=brWAN dhcp-options="vendor-class-identifier,client-identifier,User Class Information,Authentification" add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes disabled=no
/ip firewall nat add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=brWAN
Merci d'avance
Nicolas
Après quelques capture et analyse dans Wireshark je viens de découvrir que mon bridge filter ne marche pas et ne mets pas la CoS à 6 pour le DHCP Request (en fait c'est le vlan-priority que l'on change à 6)
Je cherche et j'investigue...
Pour info Mikrotik en version stable 6.48.1, sur le port ether1 j'ai mon TPLink avec le SFP ONT (tout est ok) et je suis sur le port ether3 en direct avec le laptop.
@nscheffer
Oui, que n'as tu pas pris un CCR2004 ?
@nscheffer
le rb2011 il est pas un peu anémique avec son cpu 1 coeur @600mhz ??
prends un RB3011, il a les switch rules, et le CPU a 2x 1.4Ghz et largement mieux :)
@cetipaboha bon ???
J'ai bien cherché avant de me décider et poser plusieurs questions sur le forum de Mikrotik mais d'après le dernier wiki de Mikrotik (https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features) le RB3011 ne supporte pas les switch rules sur le port sfp...
Sur le RB3011 le soucis je pense est le switch qui doit débrayer quand on insère un sfp et du coup comme le dit le wiki switch rule uniquement sur les ports ethernet...effectivement c'est que je viens de comprendre en relisant 10x la ligne en bas du diagramme...Zut moi qui lorgnais sur ce modèle...
effectivement c'est que je viens de comprendre en relisant 10x la ligne en bas du diagramme...Zut moi qui lorgnais sur ce modèle...
# dec/29/2021 14:29:46 by RouterOS 6.48.2
# software id = FMS1-XJ8N
#
# model = CRS109-8G-1S-2HnD
# serial number = 883E070BC618
/interface bridge
add admin-mac=64:D1:54:F9:FB:0D auto-mac=no comment=defconf name=bridge
add fast-forward=no name=orange-832 protocol-mode=none
/interface vlan
add interface=ether1 name=ether1.832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=wifi-passphrase supplicant-identity=MikroTik wpa2-pre-shared-key=XXXXX
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge \
security-profile=wifi-passphrase ssid=MikroTik-F9FB15 wireless-protocol=802.11
/ip dhcp-client option
add code=90 name=authsend value=0x0000000000000000000000XXXXXXXXXXXXXXXXXXXXXX
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
add code=61 name=vendor-client-identifier value=0x0887C63B2760
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
# no interface
add action=set-priority chain=output new-priority=6 out-interface=*C
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=ether1.832 src-port=68
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=ether1.832 src-port=546
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=orange-832 interface=ether1.832
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add dhcp-options=authsend,vendor-class-identifier,userclass disabled=no
add dhcp-options=authsend,userclass,vendor-class-identifier disabled=no interface=orange-832
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Paris
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
@cetipabo j'ai essaye avec la chaine courte et longue sur l'auth sur l'option DHCP 90 selon https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/ .
La chaine courte etant les 22 '0' suivi du fti/ username en hexa, et la chaine longue etant avec le mdp et le salt etc
@nscheffer le SFP ONT de la LB n'est pas le meme que celui du Mikrotik. Comment je peux faire une capture du reseau pour voir ce que la LB envoie? Je n'ai qu'une carte reseau sur mon ordi. Je me plug dessus en ethernet a la place de l'eth du SFP de la LB et je sniff le reseau?
Pour liveboxinfos.ga , je n'ai pas de Windows, je suis sous Linux.
Code 60 Vendor Class Identifier:
sagem
736167656d
Code 77 User Class Information:
+FSVDSL_livebox.Internet.softathome.Livebox4
2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
Code 90 AuthSend (Long String Authentication):
00000000000000000000001a09xxxxxxxx
Ok, je viens de sniff le reseau de ma LB4.
Je vois dans la DHCP Discover les 3 options DHCP suivantes:Code: [Sélectionner]Code 60 Vendor Class Identifier:
sagem
736167656d
Code 77 User Class Information:
+FSVDSL_livebox.Internet.softathome.Livebox4
2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
Code 90 AuthSend (Long String Authentication):
00000000000000000000001a09xxxxxxxx
Je vais essayer de copier exactement la meme chose dans mon Mikrotik Cloud Router et sniff le reseau ensuite pour voir si la priority 6 du VLAN est bien mise aussi.
Missing Option 15 Domain Name
Missing Option 28 Broadcast Address
Missing Option 51 IP Address Lease Time
Missing Option 58 Renewal Time Value
Missing Option 59 Rebinding Time Value
Missing Option 119 Domain Search
Missing Option 120 SIP Server
Missing Option 125 V-I Vendor Specific Information
Extra Option 121 Classless Static Router
Extra Option 33 Static Route
Extra Option 42 Network Time Protocol Servers
Extra Option 138 CAPWAP Access Controllers
Bien vu pour le code 61, je viens de le rajouter, meme constat: je n'ai aucun retour d'Orange / la fibre. Rien dans Wireshark, je ne vois que mes DHCP Discover partir dans void.
Serait-ce mon TP Link MC220L qui est mort? Mon GPON SFP ONT Sercomm FGS202?
J'ai repere aussi des differents DHCP Parameter Request List, meme si je ne pense pas que ce soit lie a mon probleme:Code: [Sélectionner]Missing Option 15 Domain Name
Missing Option 28 Broadcast Address
Missing Option 51 IP Address Lease Time
Missing Option 58 Renewal Time Value
Missing Option 59 Rebinding Time Value
Missing Option 119 Domain Search
Missing Option 120 SIP Server
Missing Option 125 V-I Vendor Specific Information
Extra Option 121 Classless Static Router
Extra Option 33 Static Route
Extra Option 42 Network Time Protocol Servers
Extra Option 138 CAPWAP Access Controllers
/interface vlan add interface=ether1 name=ether1.832 vlan-id=832
/interface bridge add fast-forward=no name=orange-832 protocol-mode=none
/interface bridge filter add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=ether1.832 src-port=68
/interface bridge filter add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=ether1.832 src-port=546
/interface bridge port add bridge=orange-832 interface=ether1.832
# dec/30/2021 23:04:48 by RouterOS 6.48.2
# software id = FMS1-XJ8N
#
# model = CRS109-8G-1S-2HnD
# serial number = 883E070BC618
/interface bridge
add admin-mac=64:D1:54:F9:FB:0D auto-mac=no comment=defconf name=bridge
add fast-forward=no name=orange-832 protocol-mode=none
/interface vlan
add interface=ether1 name=ether1.832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=wifi-passphrase supplicant-identity=MikroTik wpa2-pre-shared-key=XXXXXX
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge \
security-profile=wifi-passphrase ssid=MikroTik-F9FB15 wireless-protocol=802.11
/ip dhcp-client option
add code=90 name=authsend value=\
0x00000000000000000000001a09XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=user-class-information value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
add code=61 name=vendor-client-identifier value=0xXXXXXXXXXXXX
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge filter
# no interface
add action=set-priority chain=output new-priority=6 out-interface=*C
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=ether1.832 src-port=68
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=ether1.832 src-port=546
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=orange-832 interface=ether1.832
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add dhcp-options=authsend,vendor-class-identifier,user-class-information disabled=no
add dhcp-options=vendor-class-identifier,vendor-client-identifier,user-class-information,authsend disabled=no interface=orange-832
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Paris
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Suite a un demenagement (toujours chez Sosh / Orange), je n'arrive plus a re-configurer mon Mikrotik Cloud Router (CRS109-8G-1S-2HnD, RouterOS v6.48.2 (stable)) avec un TP Link MC220L en front, et un GPON SFP ONT Sercomm FGS202.Je ne suis pas certain de bien comprendre…. Le SFP FGS202 c’est celui de l’ancien logement ? Les ONT sont enregistrés dans la configuration de l’OLT côté opérateur donc clairement on ne peut pas les réutiliser après déménagement (sauf à convaincre le support technique au 3900 d’enregistrer son numéro de série dans le nouvel OLT…).
Je viens de recevoir le DHCP Offer avec le GPON de la LB avec une vingtaine de DHCP Discover.
Apres le demenagement, je crois que l'installateur Fibre m'a rajoute ce boitier externe, et qu'avant il y avait un SFP Sercomm directement dans la LB que j'ai re-utilise dans mon GPON TP Link. Mais je ne suis plus trop sur de moi.
Je vais continuer mes tests :)
Ok, merci zoc, c'est pour cela. J'essayais de faire fonctionner le mikrotik avec le SFP FGS202 de l'ancien logement.
Dans le nouveau logement, l'installateur m'a donne un boitier externe fibre avec la fibre directement branche dessus sans SFP, relie a la LB par ethernet.
J'ai reutilise ce boitier sur le mikrotik et tout fonctionne parfaitement.
add-if-missing - adds a VLAN tag on egress traffic and uses default-vlan-id from the ingress port. Should be used for trunk ports.Il faut donc:
/interface ethernet switch port
set 0 vlan-header=add-if-missing vlan-mode=fallback
set 5 default-vlan-id=832 vlan-header=always-strip
/interface ethernet switch vlan
add comment="Orange Net" independent-learning=no ports=ether1,switch1-cpu switch=switch1 vlan-id=832
Le QCA8327 supporte la switch rule pour mettre la CoS à 6 sur les paquets DHCP ?
J'me méfie de ce tableau, ce n'est pas parcequ'un nombre de règle est indiqué, que toutes les règles possibles sont forcément supportées... J'en ai déjà fait l'expérience (malheureuse). Et du coup c'est pour ça que je pose la question...
Le QCA8327 supporte la switch rule pour mettre la CoS à 6 sur les paquets DHCP ?
Il me semble que c'était sur mon bref passage en RB5009. Le 88E6393X est marqué 256 règles, et j'avais tenté, pour contourner le bug actuel de non fonctionnement des filtres bridge sur RoS7, de passer par une switch rule. Non supporté. :(
C'est d'ailleurs à cause de ça que j'ai renvoyé le 5009, et que j'ai pris un CCR2004 à la place. Sauf que grosse nouille que je suis, j'ai pris le CCR2004 en RoS7 only. Qui donc avait le même bug :-X . J'ai pas voulu faire le chieur outre mesure, j'ai gardé le CCR et j'ai mis en CRS305 en série pour faire la CoS en attendant le débuggage de RoS7 (je sais, ça risque d'être long...)
Bonjour a tous,
Je me permet de repondre a ce thread, et de confirmer que les switchs rules de doctorrock fonctionnent bien, sur un rb3011 en ROS 7.1.1.
Si vous voulez je peut poster ma conf, sachant que sans la COS à 6 je n'obtient pas d'IP...
Bonne journée
Je suis à l'heure actuelle en hésitation sur le modèle du MikroTik. De mon point de vue, le rb3011 serait le choix le plus judicieux, mais le RB5009 est très séduisant (performance et taille)
Qu'en pensez vous ?
Merci à vous tous.
# jan/05/2022 17:50:30 by RouterOS 7.1.1
/interface bridge
add name=bridge-Lan
/interface ethernet
set [ find default-name=ether1 ] comment="ONT Orange" name=ether1-WAN
set [ find default-name=ether2 ] comment=LIveBox name=ether2-LB
set [ find default-name=ether3 ] name=ether3-LB
set [ find default-name=ether6 ] name=ether6-PI
set [ find default-name=ether7 ] name=ether7-AP
set [ find default-name=ether8 ] name=ether8-Bureau
set [ find default-name=ether9 ] name=ether9-Cave
set [ find default-name=ether10 ] name=ether10-Salon poe-out=off
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=bridge-Lan name=VLAN2 vlan-id=2
add interface=bridge-Lan name=br2vlan1 vlan-id=10
add comment="Internet ONT" interface=ether1-WAN loop-protect-disable-time=0s \
loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
add comment="Internet LiveBox" interface=ether2-LB loop-protect-disable-time=\
0s loop-protect-send-interval=1s name=vlan832-livebox vlan-id=832
/interface ethernet switch port
set 3 vlan-header=add-if-missing vlan-mode=secure
set 4 default-vlan-id=1 vlan-header=always-strip vlan-mode=secure
set 5 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure
set 6 default-vlan-id=10 vlan-header=always-strip vlan-mode=secure
set 7 vlan-header=add-if-missing vlan-mode=secure
set 8 vlan-header=add-if-missing vlan-mode=secure
set 9 vlan-header=add-if-missing vlan-mode=secure
set 11 vlan-mode=secure
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=90 name=authsend value="Chaine d'autenfication version longue"
add code=60 name=class-identifier value="'sagem'"
add code=77 name=userclass value=\
"'+FSVDSL_livebox.Internet.softathome.Livebox4'"
/ip dhcp-server option
add code=90 name=authsend value=\
0x0000000000000000000000646863706c697665626f786672323530
add code=120 name=SIP value="A adapter"
add code=125 name=VendorSPecific value=0x000005580c010a0001000000ffffffffff
add code=119 name=domain-search value=\
0x0353545206616363657373116F72616E67652D6D756C74696D65646961036E657400
/ip pool
add name=pool-livebox ranges=192.168.100.2-192.168.100.10
add name=pool-iot ranges=192.168.0.100-192.168.0.200
add name=pool-lan ranges=192.168.1.100-192.168.1.199
/ip dhcp-server
add add-arp=yes address-pool=pool-livebox allow-dual-stack-queue=no \
interface=vlan832-livebox lease-time=1w1d name=Livebox
add add-arp=yes address-pool=pool-iot interface=VLAN2 lease-time=8h name=iot
add add-arp=yes address-pool=pool-lan interface=br2vlan1 lease-time=1w1d10m name=Lan
/ipv6 dhcp-client option
add code=16 name=class-identifer value=0x0000040e0005736167656d
add code=15 name=userclass value="0x002b46535644534c5f6c697665626f782e496e7465\
726e65742e736f66746174686f6d652e6c697665626f7834"
add code=11 name=authsend value="Authentification version longue"
/port
set 0 name=serial0
/queue interface
set ether1-WAN queue=ethernet-default
set ether2-LB queue=ethernet-default
set ether3-LB queue=ethernet-default
/routing bgp template
set default as=65530 disabled=no name=default output.network=bgp-networks
/routing ospf instance
add name=default-v2
add name=default-v3 version=3
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
add disabled=yes instance=default-v3 name=backbone-v3
/certificate crl
add url=http://www.accv.es/fileadmin/Archivos/certificados/raizaccv1_der.crl
/interface bridge port
add bridge=bridge-Lan interface=ether6-PI
add bridge=bridge-Lan interface=ether7-AP
add bridge=bridge-Lan interface=ether8-Bureau
add bridge=bridge-Lan interface=ether9-Cave
add bridge=bridge-Lan interface=ether10-Salon
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set accept-router-advertisements=yes max-neighbor-entries=8192
/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=switch1-cpu \
protocol=udp switch=switch1
add dst-mac-address=33:33:00:01:00:02/FF:FF:FF:FF:FF:FF mac-protocol=ipv6 \
new-vlan-priority=6 ports=switch1-cpu src-mac-address=\
2C:C8:1B:18:E6:FE/FF:FF:FF:FF:FF:FF switch=switch1
/interface ethernet switch vlan
add independent-learning=no ports=ether2-LB,ether5,ether4 switch=switch1 \
vlan-id=2
add independent-learning=no ports=ether3-LB switch=switch1 vlan-id=832
add independent-learning=yes ports=\
ether6-PI,ether8-Bureau,ether9-Cave,ether10-Salon,switch2-cpu,ether7-AP \
switch=switch2 vlan-id=10
add independent-learning=no ports=\
ether8-Bureau,ether9-Cave,ether10-Salon,switch2-cpu switch=switch2 \
vlan-id=2
/interface list member
add comment=defconf interface=ether1-WAN list=WAN
add interface=bridge-Lan list=LAN
/ip address
add address=192.168.100.1/24 comment="LAN Livebox" interface=vlan832-livebox \
network=192.168.100.0
add address=192.168.0.1/24 interface=VLAN2 network=192.168.0.0
add address=192.168.1.1/24 interface=br2vlan1 network=192.168.1.0
/ip dhcp-client
add dhcp-options=authsend,clientid,hostname,userclass interface=\
vlan832-internet
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=80.10.246.5,81.253.149.13 gateway=\
192.168.0.1
add address=192.168.1.0/24 dns-server=192.168.1.1 \
gateway=192.168.1.1 ntp-server=162.159.200.1,51.15.191.239
add address=192.168.100.0/24 dhcp-option=\
authsend,SIP,VendorSPecific,domain-search dns-server=\
81.253.149.2,80.10.246.132 domain=orange.fr gateway=192.168.100.1 \
netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add address=192.168.1.2-192.168.1.254 list=allowed_to_router
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
not_in_internet
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment="Forward Livebox to WAN" \
in-interface=vlan832-livebox out-interface=vlan832-internet
add action=drop chain=forward dst-address=192.168.0.0/16 src-address=\
192.168.0.0/16
add action=accept chain=input comment="default configuration" \
connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=drop chain=input protocol=icmp
add action=drop chain=input
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
log-prefix=invalid
add action=drop chain=forward comment=\
"Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat \
connection-state=new in-interface=vlan832-internet log=yes log-prefix=\
!NAT
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp \
protocol=icmp
add action=drop chain=forward comment=\
"Drop incoming from internet which is not public IP" in-interface=\
vlan832-internet log=yes log-prefix=!public src-address-list=\
not_in_internet
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
protocol=icmp
add action=accept chain=icmp comment=\
"host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=forward comment="Drop Weak IOT protocol" dst-port=32100 \
out-interface=vlan832-internet protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=\
vlan832-internet
/ip firewall service-port
set sip disabled=yes
/ip service
set telnet address=192.168.1.0/24 disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh address="192.168.1.0/24"
set api address=192.168.1.0/24 disabled=yes
set winbox address=192.168.1.0/24
set api-ssl address=192.168.1.0/24 disabled=yes
/ip ssh
set forwarding-enabled=local
/ipv6 address
add address=::1 from-pool=pool_FT_6 interface=br2vlan1
add address=::1 from-pool=pool_FT_6 interface=VLAN2
/ipv6 dhcp-client
add add-default-route=yes dhcp-options=authsend,userclass,class-identifer \
dhcp-options=authsend,userclass,class-identifer interface=\
vlan832-internet pool-name=pool_FT_6 rapid-commit=no request=prefix \
use-peer-dns=no
/ipv6 firewall address-list
add address=fe80::/16 list=allowed
add address=ff02::/16 comment=multicast list=allowed
add address=::1/128 comment="defconf: RFC6890 lo" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: RFC6890 IPv4 mapped" list=\
bad_ipv6
add address=2001::/23 comment="defconf: RFC6890" list=bad_ipv6
add address=2001:db8::/32 comment="defconf: RFC6890 documentation" list=\
bad_ipv6
add address=2001:10::/28 comment="defconf: RFC6890 orchid" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: RFC6890 Discard-only" list=\
not_global_ipv6
add address=2001::/32 comment="defconf: RFC6890 TEREDO" list=not_global_ipv6
add address=2001:2::/48 comment="defconf: RFC6890 Benchmark" list=\
not_global_ipv6
add address=fc00::/7 comment="defconf: RFC6890 Unique-Local" list=\
not_global_ipv6
add address=::/128 comment="defconf: unspecified" list=bad_dst_ipv6
add address=::/128 comment="defconf: unspecified" list=bad_src_ipv6
add address=ff00::/8 comment="defconf: multicast" list=bad_src_ipv6
add address=fc00::/7 comment="defconf: RFC6890 Unique-Local" list=\
bad_src_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"accept DHCPv6-Client prefix delegation." dst-port=546 in-interface=\
vlan832-internet protocol=udp src-address=fe80::/10 src-port=""
add action=accept chain=input comment="allow established and related" \
connection-state=established,related
add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=drop chain=input in-interface=vlan832-internet log=yes log-prefix=\
dropLL_from_public src-address=fe80::/16
add action=accept chain=input comment="allow allowed addresses" \
src-address-list=allowed
add action=drop chain=input log=yes
add action=accept chain=forward comment=established,related connection-state=\
established,related
add action=drop chain=forward comment=invalid connection-state=invalid \
log-prefix=ipv6,invalid
add action=accept chain=forward comment=icmpv6 protocol=icmpv6
add action=accept chain=forward comment="local network" in-interface=\
!vlan832-internet src-address-list=allowed
add action=drop chain=forward log-prefix=IPV6
add action=drop chain=forward comment="Block Vlan1 to Vlan2" in-interface=\
br2vlan1 out-interface=VLAN2
add action=drop chain=forward comment="Block Vlan2 to Vlan1" in-interface=\
VLAN2 out-interface=br2vlan1
/ipv6 nd
set [ find default=yes ] interface=br2vlan1 ra-interval=3m12s-10m
add advertise-dns=no interface=VLAN2 ra-interval=3m12s-10m
/ipv6 nd prefix default
set preferred-lifetime=1h valid-lifetime=1h
/lcd
set default-screen=stat-slideshow read-only-mode=yes
/lcd pin
set pin-number=2905
/system clock
set time-zone-name=Europe/Paris
/system logging
add disabled=yes topics=dhcp
add disabled=yes topics=firewall
/system ntp client
set enabled=yes
/system ntp server
set manycast=yes
/system ntp client servers
add address=5.196.160.139
add address=212.85.158.10
Le RB3011 peut éventuellement manquer de souffle pour le 2,5Gbps, si les paquets sont trop petits.Expérience tentée, issue malheureuse.
Je suis justement attentif à une expérience heureuse du RB5009 en RouterOS v7.1.x avec le filtre COS à 6 sur un bridge. Qui confirme éventuellement l'avoir validé ?
Tu parles de moi, ou il y a quelqu'un d'autre qui a tenté la CoS DHCP sur du RB5009 ?Je ne parle jamais d'autrui sans le citer :)
Hello,
Thank you for the report!
We have managed to reproduce the issue locally in our labs and look forward to fixing it on upcoming RouterOS versions, unfortunately, I cannot provide an ETA now.
Sadly, there are no workarounds available to get a bridge filter to work correctly.
Exactement le même message que Yann Shukor m'avais transmis lors des échanges que j'avais eu avec lui concernant le non fonctionnement sur le RB5009.Tu as une date ? un no de ticket support ?
Edgars,
Thank you for your response,
Please note :
- issue has been reported in ROS7 forum section as soon as Oct.2020 (and hopefully fixed in latest RCs for RB4011)
- it has already has been reported for RB5009 by several customers through french reseller Azurtem from early October 2021.
- 802.1p vlan prio for DHCP requests is absolute requirement for Orange FTTH network in most areas
Looking forward to a quick patch, as RB5009 cannot reliably operate at the moment on Orange FTTH networks, which is likely a significant sales share of RB5009.
Pour l'instant j'ai la flemme de tout ranger proprement dans la baie, pour cause de CRS305 supplémentaire pour ajouter la CoS...@Mackila
0 br-wan bound prefix 2a01:cb05:XXXX::/56, 2d23h26m23s
[admin@MikroTik CCR2004] > ping 2001:4860:4860::8888
SEQ HOST SIZE TTL TIME STATUS
0 2001:4860:4860::8888 56 116 8ms echo reply
1 2001:4860:4860::8888 56 116 8ms echo reply
2 2001:4860:4860::8888 56 116 8ms echo reply
3 2001:4860:4860::8888 56 116 8ms echo reply
4 2001:4860:4860::8888 56 116 8ms echo reply
5 2001:4860:4860::8888 56 116 8ms echo reply
6 2001:4860:4860::8888 56 116 8ms echo reply
7 2001:4860:4860::8888 56 116 8ms echo reply
8 2001:4860:4860::8888 56 116 8ms echo reply
9 2001:4860:4860::8888 56 116 8ms echo reply
10 2001:4860:4860::8888 56 116 8ms echo reply
11 2001:4860:4860::8888 56 116 8ms echo reply
12 2001:4860:4860::8888 56 116 8ms echo reply
13 2001:4860:4860::8888 56 116 8ms echo reply
14 2001:4860:4860::8888 56 116 8ms echo reply
15 2001:4860:4860::8888 56 116 8ms echo reply
16 2001:4860:4860::8888 56 116 8ms echo reply
17 2001:4860:4860::8888 56 116 8ms echo reply
18 2001:4860:4860::8888 56 116 8ms echo reply
19 2001:4860:4860::8888 56 116 8ms echo reply
sent=20 received=20 packet-loss=0% min-rtt=8ms avg-rtt=8ms max-rtt=8ms
ifconfig en0
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
...
inet6 fe80::3c:2be1:fd73:38ca%en0 prefixlen 64 secured scopeid 0xb
inet6 2a01:cb05:XXXX:cbfd prefixlen 64 autoconf secured
inet6 2a01:cb05:XXXX:5479 prefixlen 64 autoconf temporary
nd6 options=201<PERFORMNUD,DAD>
media: autoselect
status: active
ping6 2001:4860:4860::8888
PING6(56=40+8+8 bytes) 2a01:cb05:XXXX:5479 --> 2001:4860:4860::8888
16 bytes from 2001:4860:4860::8888, icmp_seq=0 hlim=116 time=12.075 ms
16 bytes from 2001:4860:4860::8888, icmp_seq=1 hlim=116 time=11.849 ms
^C
--- 2001:4860:4860::8888 ping6 statistics ---
11 packets transmitted, 2 packets received, 81.8% packet loss
round-trip min/avg/max/std-dev = 11.849/11.962/12.075/0.113 ms
Je viens demander un peu d'aide ici parce que je n'ai pas de piste pour le moment.
Je n'arrive pas à avoir une conf ipv6 fonctionnelle.
J'ai un ONU FS.com pour remplacer la LB5 tout marche nickel et IPv6 je reçois bien mon préfix /56 avec un dhcp-clientCode: [Sélectionner]0 br-wan bound prefix 2a01:cb05:XXXX::/56, 2d23h26m23s
Du routeur tout semble fonctionner (petit ping vers google)Code: [Sélectionner][admin@MikroTik CCR2004] > ping 2001:4860:4860::8888
SEQ HOST SIZE TTL TIME STATUS
0 2001:4860:4860::8888 56 116 8ms echo reply
1 2001:4860:4860::8888 56 116 8ms echo reply
2 2001:4860:4860::8888 56 116 8ms echo reply
3 2001:4860:4860::8888 56 116 8ms echo reply
4 2001:4860:4860::8888 56 116 8ms echo reply
5 2001:4860:4860::8888 56 116 8ms echo reply
6 2001:4860:4860::8888 56 116 8ms echo reply
7 2001:4860:4860::8888 56 116 8ms echo reply
8 2001:4860:4860::8888 56 116 8ms echo reply
9 2001:4860:4860::8888 56 116 8ms echo reply
10 2001:4860:4860::8888 56 116 8ms echo reply
11 2001:4860:4860::8888 56 116 8ms echo reply
12 2001:4860:4860::8888 56 116 8ms echo reply
13 2001:4860:4860::8888 56 116 8ms echo reply
14 2001:4860:4860::8888 56 116 8ms echo reply
15 2001:4860:4860::8888 56 116 8ms echo reply
16 2001:4860:4860::8888 56 116 8ms echo reply
17 2001:4860:4860::8888 56 116 8ms echo reply
18 2001:4860:4860::8888 56 116 8ms echo reply
19 2001:4860:4860::8888 56 116 8ms echo reply
sent=20 received=20 packet-loss=0% min-rtt=8ms avg-rtt=8ms max-rtt=8ms
En revanche sur une machine de mon LAN qui obtient une IP avec la discoveryCode: [Sélectionner]ifconfig en0
en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
...
inet6 fe80::3c:2be1:fd73:38ca%en0 prefixlen 64 secured scopeid 0xb
inet6 2a01:cb05:XXXX:cbfd prefixlen 64 autoconf secured
inet6 2a01:cb05:XXXX:5479 prefixlen 64 autoconf temporary
nd6 options=201<PERFORMNUD,DAD>
media: autoselect
status: activeCode: [Sélectionner]ping6 2001:4860:4860::8888
PING6(56=40+8+8 bytes) 2a01:cb05:XXXX:5479 --> 2001:4860:4860::8888
16 bytes from 2001:4860:4860::8888, icmp_seq=0 hlim=116 time=12.075 ms
16 bytes from 2001:4860:4860::8888, icmp_seq=1 hlim=116 time=11.849 ms
^C
--- 2001:4860:4860::8888 ping6 statistics ---
11 packets transmitted, 2 packets received, 81.8% packet loss
round-trip min/avg/max/std-dev = 11.849/11.962/12.075/0.113 ms
C'est beaucoup moins la joie ... j'ai loupé un truc ?
PS: j'ai suivi le post de https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg835193/#msg835193
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832-internet
traceroute -6 dns.google.com
traceroute to dns.google.com (2001:4860:4860::8888), 30 hops max, 80 byte packets
1 2a01cb05XXXX00000001.ipv6.abo.wanadoo.fr (2a01:cb05:XXXX::1) 0.078 ms 0.065 ms *
2 2a01cb08a004020f0193025300760193.ipv6.abo.wanadoo.fr (2a01:cb08:a004:20f:193:253:76:193) 1.403 ms 1.465 ms 1.534 ms
3 2a01:cfc4:0:200::b (2a01:cfc4:0:200::b) 8.642 ms 8.686 ms *
4 * * *
5 2001:4860:1:1::4b0 (2001:4860:1:1::4b0) 8.556 ms 8.598 ms 2001:688:0:3:8::17a (2001:688:0:3:8::17a) 8.524 ms
6 2a00:1450:80c7::1 (2a00:1450:80c7::1) 8.348 ms 2a00:1450:8121::1 (2a00:1450:8121::1) 7.957 ms 2a00:1450:812f::1 (2a00:1450:812f::1) 8.152 ms
7 2001:4860:0:1::51fb (2001:4860:0:1::51fb) 7.816 ms dns.google (2001:4860:4860::8888) 7.668 ms 8.491 ms
PING dns.google.com(dns.google (2001:4860:4860::8888)) 56 data bytes
64 bytes from dns.google (2001:4860:4860::8888): icmp_seq=1 ttl=116 time=9.21 ms
From gecko-arch (2a01:cb05:XXXX:ee38) icmp_seq=7 Destination unreachable: Address unreachable
From gecko-arch (2a01:cb05:XXXX:ee38) icmp_seq=8 Destination unreachable: Address unreachable
From gecko-arch (2a01:cb05:XXXX:ee38) icmp_seq=9 Destination unreachable: Address unreachable
64 bytes from dns.google (2001:4860:4860::8888): icmp_seq=10 ttl=116 time=8.50 ms
From gecko-arch (2a01:cb05:XXXX:ee38) icmp_seq=20 Destination unreachable: Address unreachable
From gecko-arch (2a01:cb05:XXXX:ee38) icmp_seq=21 Destination unreachable: Address unreachable
From gecko-arch (2a01:cb05:XXXX:ee38) icmp_seq=22 Destination unreachable: Address unreachable
64 bytes from dns.google (2001:4860:4860::8888): icmp_seq=23 ttl=116 time=9.12 ms
64 bytes from dns.google (2001:4860:4860::8888): icmp_seq=24 ttl=116 time=8.63 ms
^C
--- dns.google.com ping statistics ---
24 packets transmitted, 4 received, +6 errors, 83.3333% packet loss, time 23282ms
rtt min/avg/max/mdev = 8.496/8.865/9.211/0.307 ms
ip -6 route show dev enp6s0
2a01:cb05:XXXX::/64 proto ra metric 100 pref medium
fe80::/64 proto kernel metric 100 pref medium
default via fe80::2ec8:1bff:febb:f927 proto ra metric 20100 pref medium
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
# ADDRESS FROM-POOL INTERFACE ADVERTISE
0 DL fe80::2ec8:1bff:febb:f927/64 br-wan no
1 DL fe80::2ec8:1bff:febb:f931/64 sfpplus10-WAN no
2 G 2a01:cb05:xxxxxxxxx::1/64 pool_FT_6 br-wan yes
# Generated by NetworkManager
search home.domain.com
nameserver 192.168.10.65
nameserver 192.168.10.66
Dernier point comment un ping peut retourner des résultats aléatoires ?Aucune idée
--- dns.google.com ping statistics ---
147 packets transmitted, 147 received, 0% packet loss, time 146210ms
rtt min/avg/max/mdev = 7.827/8.907/11.820/0.535 ms
--- 2001:4860:4860::8888 ping6 statistics ---
716 packets transmitted, 143 packets received, 80.0% packet loss
round-trip min/avg/max/std-dev = 8.275/9.413/11.441/0.560 ms
Resolv.conf linux et macCode: [Sélectionner]# Generated by NetworkManager
search home.domain.com
nameserver 192.168.10.65
nameserver 192.168.10.66
Le ping avec la resolution c'est un ping -6 pardon j'ai pas mis la ligne de commande
Aucune idée
Alors j'ai forcé mon Linux en Full Duplex 1G => on dirait que c'est mieux j'ai pas de drop pour le momentCode: [Sélectionner]--- dns.google.com ping statistics ---
147 packets transmitted, 147 received, 0% packet loss, time 146210ms
rtt min/avg/max/mdev = 7.827/8.907/11.820/0.535 ms
Sur le mac idem j'ai forcé en Full 1G mais pas de changementCode: [Sélectionner]--- 2001:4860:4860::8888 ping6 statistics ---
716 packets transmitted, 143 packets received, 80.0% packet loss
round-trip min/avg/max/std-dev = 8.275/9.413/11.441/0.560 ms
A savoir que les 2 sont plug sur mon CRS326 qui lui est connecté à mon CCR2004 par une fibre 10G multimode
RouterOS version 7.2rc3 has been released "v7 testing" channel!
Before an upgrade:
1) Remember to make backup/export files before an upgrade and save them on another storage device;
2) Make sure the device will not lose power during upgrade process;
3) Device has enough free storage space for all RouterOS packages to be downloaded.
What's new in 7.2rc3 (2022-Jan-28 16:33):
*) bridge - fixed filter and NAT "set-priority" action;
*) queue - fixed traffic processing (introduced in v7.2rc2);
Pourquoi il n'y a pas de DNS v6 ?
Peux tu faire un ping6 depuis le Mac vers l'IP publique du routeur ? (Pour rester "en local")
➜ ping6 2a01:cb05:XXXX::1
PING6(56=40+8+8 bytes) 2a01:cb05:XXXX:6fef --> 2a01:cb05:XXXX::1
16 bytes from 2a01:cb05:XXXX::1, icmp_seq=0 hlim=255 time=1.017 ms
16 bytes from 2a01:cb05:XXXX::1, icmp_seq=1 hlim=255 time=0.862 ms
16 bytes from 2a01:cb05:XXXX::1, icmp_seq=2 hlim=255 time=0.833 ms
16 bytes from 2a01:cb05:XXXX::1, icmp_seq=3 hlim=255 time=0.809 ms
16 bytes from 2a01:cb05:XXXX::1, icmp_seq=4 hlim=255 time=0.644 ms
7.2rc3
*) bridge - fixed bridge filter and NAT rules on ARM64 and TILE devices;
WOohooo !!!!!
Il est l'heure de tenter de virer le 305 :P
Effectivement maintenant les règles en "bridge filter" ont l'air de compter correctement les paquets qui passent... Sauf quand les compteurs se mettent à afficher n'importe quoi... Et pour l'instant malgré de multiples essais, je n'ai pas réussi à avoir mes réponses DHCP (car CoS pas mise à 6) :(Je confirme, ça ne fonctionne pas mieux.
J'ai été obligé de supprimer puis de recréer les règles pour voir un changement de comportement... (même si au final ça ne fonctionne toujours pas)J'ai même essayé un reset complet de la configuration (export + reset/import), pour ma part les compteurs ne bougent pas.
What's new in 7.1.3 (2022-Feb-11 21:20):
*) bridge - fixed PPPoE packet forwarding when using "use-ip-firewall-for-pppoe" setting;
*) bridge - fixed bridge filter and NAT rules on ARM64 and TILE devices;
*) bridge - fixed filter and NAT "set-priority" action;
Ca fonctionne !
Branche la livebox, sniffe les paquets sur le WAN, enregistres-les.
Mets ton routeur, sniffe les paquets qui sortent, compare avec ceux de la livebox, comprend les paramètres à régler pour avoir la même chose que la livebox, corrige, profite.
RouterOS 7.1.3 est disponible, et le problème est corrigé.
Salut LordK1,
tu aurais possibilité de partager ta config du RB5009 ?
tu utilises le port SFP ?
Merci !
/interface bridge filter add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes
activé sur le bridge donc, mais je snif derrière et pas de COS !/interface bridge
add admin-mac=DC:2C:6E:DD:7F:D8 auto-mac=no comment=defconf name=br-lan
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no name=br-wan
/interface ethernet
set [ find default-name=ether1 ] name=lan1
set [ find default-name=ether2 ] name=lan2
set [ find default-name=sfp-sfpplus1 ] name=sfp-ont
/interface vlan
add interface=lan1 loop-protect-disable-time=0s loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
/ip dhcp-client option
add code=77 name=userclasstaf value="'+FSVDSL_livebox.Internet.sagem.LiveboxPro3'"
add code=60 name=class-identifier value="'sagem'"
add code=90 name=authsend value=0x00000000000000000000001xxxxxxxxx
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
/ip pool
add name=pool-lan ranges=192.168.13.10-192.168.13.254
/ip dhcp-server
add address-pool=pool-lan interface=br-lan name=defconf
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes
/interface bridge port
add bridge=br-lan interface=lan2
add bridge=br-wan interface=vlan832-internet
/interface list member
add comment=defconf interface=br-lan list=LAN
add comment=defconf interface=br-wan list=WAN
/ip address
add address=192.168.13.1/24 comment=defconf interface=br-lan network=192.168.13.0
/ip dhcp-client
add comment=defconf dhcp-options=authsend-home,clientid,hostname,authsend-home,class-identifier interface=br-wan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=br-wan
Pour en avoir le coeur net je suis repasssé en 7.1.3 mais toujours pas de COS6. Donc c'est ma config mais je pige pas d'où vient le problème qui doit etre bien visible mais j'ai trop le nez dedans je pense...
Je test sur l'eth1 pour sniffer la trame facillement. Une fois validé je balancerai ça sur le SFP, mais bon tant que ça marche pas sur l'eth1 inutile de m'acharner sur l'ONT...Code: [Sélectionner]/interface bridge
add admin-mac=DC:2C:6E:DD:7F:D8 auto-mac=no comment=defconf name=br-lan
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no name=br-wan
/interface ethernet
set [ find default-name=ether1 ] name=lan1
set [ find default-name=ether2 ] name=lan2
set [ find default-name=sfp-sfpplus1 ] name=sfp-ont
/interface vlan
add interface=lan1 loop-protect-disable-time=0s loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
/ip dhcp-client option
add code=77 name=userclasstaf value="'+FSVDSL_livebox.Internet.sagem.LiveboxPro3'"
add code=60 name=class-identifier value="'sagem'"
add code=90 name=authsend value=0x00000000000000000000001xxxxxxxxx
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
/ip pool
add name=pool-lan ranges=192.168.13.10-192.168.13.254
/ip dhcp-server
add address-pool=pool-lan interface=br-lan name=defconf
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes
/interface bridge port
add bridge=br-lan interface=lan2
add bridge=br-wan interface=vlan832-internet
/interface list member
add comment=defconf interface=br-lan list=LAN
add comment=defconf interface=br-wan list=WAN
/ip address
add address=192.168.13.1/24 comment=defconf interface=br-lan network=192.168.13.0
/ip dhcp-client
add comment=defconf dhcp-options=authsend-home,clientid,hostname,authsend-home,class-identifier interface=br-wan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=br-wan
Je me demande s'il n'y a pas qq chose dans les autres filtres ( ce sont les filtres par défaut) qui pourrait flinguer ça mais je vois pas trop
add action=dst-nat chain=dstnat dst-port=443 protocol=tcp to-addresses=192.168.1.5 to-ports=443
add action=dst-nat chain=dstnat dst-port=443 in-interface=br-wan protocol=tcp to-addresses=192.168.1.5 to-ports=443
Il faut réfléchir ses propres règles, avec son propre cerveau, adaptées à sa propre configuration, et pas recopier "bêtement" des règles que l'on ne comprend pas (et qui comportent des erreurs en plus). Surtout en ce qui concerne le firewall, et donc la sécurité.
Je veux bien qu'il faille avoir un cerveau, le mien se porte pas trop mal (d'ailleurs je vois pas trop en quoi c'est lié à une version de ROS ce soucis particulier), mais qd on prend un tutorial, l'idée de base c'est d'admettre que ce qui est dedans est correct. J'ai bêtement cru que c'était le cas, j'ai appliqué la regle NAT sans me poser de question dans une suite de réglages, au bout d'un moment je me suis aperçu que je pouvais plus surfer, et évidemment j'ai pas directement pensé que le problème venait de là, j'ai d'abord pensé que le problème venait d'un de MES réglages étant novice sur Mikrotik.
J'ai fini par trouver le problème, j'ai simplement voulu le préciser ici histoire d'éviter la même mésaventure à un futur propriétaire de Mikrotik qui voudrait se passer de la LB. Mais vous avez peut-être raison, j'aurai du ne rien dire, il faut laisser volontairement des mauvaises config histoire que les gens qui ne veulent pas réfléchir ne puissent pas utiliser les tutoriaux ::)
Bonjour,
J'ai une question au sujet des configurations avec RouterOs
Pour ma part, j'ai un RB3011 avec la version 6.49.5
J'ai vu qu'il était possible de faire un bacup , ce qui est normal et d'importer un bacup.
mais est-il possible d'importer une configuration directement à partir d'un fichier texte
avec un éditeur de texte
/interface bridge filter add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCPv4 request" mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes/interface bridge filter add action=set-priority chain=output dst-port=547 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP6 request" mac-protocol=[b]ip[/b] new-priority=6 out-interface=VLAN832 passthrough=yesHello,
Après échange sur ce topic très intéressant https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/ il semble nécessaire de changer la COS (6) sur les paquest ICMPv4/v6 IGMPv4 et ARP.
Savez-vous comment faire ça sur Mikrotik (bridge-filter sur CCR et switch-filter sur CRS) ?
merci.
/ipv6 firewall raw
add action=notrack chain=prerouting
add action=drop chain=prerouting in-interface=vlan832 protocol=tcp tcp-flags=syn,!ack
add action=accept chain=prerouting
Hello,
Petite question Mikrotik.
Je vais bientôt recevoir mon CRS305 que j'utiliserai uniquement en mode switchos (avec le sfp/ont), et tant qu'a faire je voudrai qu'il gère le vlan832+la cos, pour avoir juste mon routeur derrière sans configuration particulière (autres que les options dhcp envoyées).
Mais la commande suivante :Code: [Sélectionner]/interface bridge filter add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCPv4 request" mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes
Est la même qu'on soit en en switchos et routeros ?
Du coup la version dhcpv6 serait la suivante ?Code: [Sélectionner]/interface bridge filter add action=set-priority chain=output dst-port=547 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP6 request" mac-protocol=[b]ip[/b] new-priority=6 out-interface=VLAN832 passthrough=yes
Désolé si ça a déja été répondu avant.
Merci !
Bonjour,
Qu'il est difficile de s'y retrouver étant donné le nombre de pages sur ce topic.
J'essaye désespérément de passer en IPV6 sans succès avec mon Mikrotik Hex S. Soit je n'ai pas trouvé, soit il manque un tuto updaté de toutes les infos.
Je suis donc avec un HEX S en v7.7 avec l'ONT SFP inséré sur le port sfp1. Tout fonctionne parfaitement en IPV4 que j'ajoute la règle new priority sur le bridge ou non.
J'ai donc utilisé l'outil lbinfosv2.15 pour récupérer ce qui est envoyé pour le DHCP. J'ai bien mis sur le client DHCP V6 les options 11, 15, 16 et 17. J'ai tenté l'option 11 commençant par 0x ou 0x22, avec ou sans ce qui est à partir de 3c...
J'ai bien mis la mac de ma lb sur l'interface bridge-wan (interface client du dhcp), et j'ai bien la coche sur use interface DUID et j'ai tenté avec rapid commint ou non.
Maintenant à propos du changement de prio, lorsque je choisis le protocole ipv6 (86dd), impossible de spécifier le port de destination et le protocole, car les attributs dst-port et ip-protocol ne sont que pour ipv4.
Je ne sais donc pas si c'est la cause de mon problème, mais impossible de fonctionner en IPV6 pour l'instant.
Si une bonne âme sait m'aider...
/ipv6/settings/set disable-ipv6=noTrès étrange, rien n'indiquait que c'était désactivé.Par défaut, routerOS a toujours ipv6 de désactivé? Ca serait dommage en 2023.La dernière version que j'avais télécharger (ce n'est pas très vieux) avait bien IPv6 désactivé par défaut, et je ne trouve pas ça étonnant, il préférable de configurer à minima son firewall avant d'ouvrir les vannes d'IPv6. Enfin c'est mon avis perso de newbie. :)
Hello tout le monde!
Bon après avoir parcouru ce thread en long et en large,
Suite à une coupure d'Internet samedi dernier, il semblerait qu'orange/sosh ai décidé de passé sur l'enforcement option 90 en ille et vilaine. Aujourd'hui j'ai reussi à recupérer à nouveau une adresse ipv4, mais j'en ai bien ch***. Les ressources sont trop dispersé sur le forum, j'aimerais écrire un tuto pour les newcomers, et je me demande s'il ne serait pas plus pratique d'actualiser la premiere page avec les dernieres infos mise à jour, qu'en pensez vous?
Je vois maintenant que mon Mikrotik HAP AX^3 recupere un prefixe IPv6. Pour ceux qui sont un peu nOOb en IPV6, voila ce que j'ai compris: lorsque votre DHCPv6 fonctionne, orange va vous attribuer un prefix (c'a'd une range d'adresse IP qui commenceront toutes par le prefix).
Je comprends donc que chaque device qui supporte l'IPv6 sur mon réseau local dispose d'une addresse IPv6 publique. e.g:
Mon smartphone peut potentiellement etre joint via l'adresse se finissant par <prefix> + :XXXX:XXXX:e36e, mon PC est joignable via l'adresse style <prefix> + :XXXX:XXXX:b41f. Explosion de mon petit cerveau, je viens de comprendre l'interet de l'IPv6 et de l'inutilité du NAT dans ce cas la.
J'ai quelques questions en revanche:
1. Bien que le prefix soit correctement attribué dans le DHCP client (je suis en status "BOUND"), mes clients sur le réseau local n'ont pas d'adresse IPv6 - faut il que je configure un server DHCPv6 sur mon reseau local? Ou est ce que chaque device choisi sa propre ipv6?
2. Je remarque que mon routeur ne dispose pas d'adresse IP sur ce réseau, ou du moins l'adresse <PREFIX_ORANGE>::1/64 n'est pas pingable depuis l'exterieur. Comment fait on pour pouvoir se voir attribué une IP public pour le routeur egalement?
3. Je comprends donc que tous mes PCs en IPv6 ne sont plus protégés derriere un NAT. J'ai du mal a me faire un avis la dessus:
-> faut il quand meme garder un NAT dans le réseau local?
4. J'ai lu je ne sais ou que certains site étaient plus rapide en IPv6: du coup je me pose la question suivante: est il possible d'avoir une box en dual stack, que tous mes clients sur le reseau local soient en good'old ipv4, mais que le routeur accede aux sites via IPv6?
5. Le tag CoS6 sur la partie switch du HAP Ax3 ne fonctionne pas: j'ai un "not supported": cela signifie t'il que le seul moyen d'appliquer la CoS6 est via un bridge?
Merci pour vos lumieres!
/interface bridge
add name=bridge protocol-mode=none
add fast-forward=no name=orange-832 protocol-mode=none
/interface vlan
add interface=ether1 name=VLAN832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-client option
add code=61 name=clientid value=0x01LEMACDELAFREEBOX
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e746572\
6e65742e736f66746174686f6d652e4c697665626f7833"
add code=90 name=authsend value="0x0000000000000000000000...VotreIDLONG"
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes \
log-prefix="Set CoS6 on DHCP IPv4 request" mac-protocol=ip new-priority=6 \
out-interface=VLAN832 passthrough=yes
add action=set-priority chain=output dst-port=67 ip-protocol=udp \
mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes \
src-port=68
add action=set-priority chain=output disabled=yes mac-protocol=ipv6 \
new-priority=6 out-interface=VLAN832 passthrough=yes
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=orange-832 interface=VLAN832
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=bridge list=LAN
/ip dhcp-client
add dhcp-options=authsend,clientid,hostname,userclass interface=orange-832
Quelqu'un à déjà réussi avec un hap ax2 ?
Avec mon hap ac2 pas de soucis mais le ax2 il semblerait que les même réglages ne fonctionnent pas.
Il y a l'erreur avec les switch rules pour le cos2 comme mentionné dans un autre commentaire.
Alors es ce que j'ai loupé un truc en passant d'un appareil ou l'autre ou es ce que c'est ce fameux cos6 qui est indispensable ????
Edit:
J'ai finalement trouvé la solution. Il faut mettre le cos 6 sur le bridge au lieu du switch.
Voila le setup complet pour avoir une ip v4 avec un hAP ax2.