Auteur Sujet: Configuration RouterOS (Mikrotik) pour livebox  (Lu 333022 fois)

0 Membres et 1 Invité sur ce sujet

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #312 le: 24 mars 2016 à 16:56:15 »
Tu es sur ? J'ai essayé de lancer dibbler alors que mon ERL est toujours en PPPoE et je n'ai pas obtenu de préfixe.

ton NRO a migré déja?! t'as simplement toujours pas d'infra IPv6 en face non?

quand j'ai testé Dibbler c’était sans IPv4 du tout et ca marchait bien. J'obtenais/libérais l'IPv6-PD alors que je n'avais pas du tout d'IPv4.

Logiquement si le dual stack d'Orange est bien fait, IPv6 et IPv4 devraient être complètement indépendants l'un de l'autre.

Apres y'a peut-être une subtilité avec PPPoE mais j'en doute.

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 259
  • Antibes (06) / Mercury (73)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #313 le: 24 mars 2016 à 18:17:02 »
ton NRO a migré déja?!
Oui je viens de passer ma config en DHCP il y a 30 minutes.

Mais toujours pas d'IPv6... J'ai du merder dans la config de dibbler, faut que je regarde  ;D

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 259
  • Antibes (06) / Mercury (73)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #314 le: 24 mars 2016 à 18:37:54 »
Bon, manifestement ca devrait marcher car je reçois bien le dhcp6 advertise de "ba0bab", mais ça s'arrête là:

18:31:05.293730 04:18:d6:xx:xx:xx > 33:33:00:01:00:02, ethertype 802.1Q (0x8100), length 208: vlan 832, p 6, ethertype IPv6, fe80::618:d6ff:fef0::xx.546 > ff02::1:2.547: dhcp6 solicit
18:31:05.328449 a0:f3:e4:51:a7:93 > 04:18:d6:xx:xx:xx ethertype 802.1Q (0x8100), length 189: vlan 832, p 6, ethertype IPv6, fe80::ba0:bab.547 > fe80::618:d6ff:fef0::xx: dhcp6 advertise

Je vais voir du coté du firewall ;)

Edit: bingo  ;D
Edit: Par contre j'ai pas encore trouvé comme forcer linux à envoyer des routers solicitations pour obtenir la route par défaut... Il n'envoie que de neighbor solicitations... Du coup obligé d'attendre que "ba0bab" veuille bien envoyer un router advertisement de lui même pour que ça marche.


« Modifié: 24 mars 2016 à 19:29:13 par zoc »

Florian

  • Abonné Bbox fibre
  • *
  • Messages: 2 077
  • Argenteuil (95)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #315 le: 24 mars 2016 à 19:48:00 »
Bon, me voila en PPPoE à  partir du CCR1009. Je perds un peu en débit vu l'overhead (925mb au lieu de 945), mais c'est plus pour tester la stabilité&co que les perfs pures. A noter qu'avec le fasttrack activé, même en téléchargeant à 925mb/sec, aucun des 9 cores ne dépasse 20% d'utilisation, tout est bien accéléré. Ils ont vraiment fait du bon boulot par rapport à la gestion du pppoe. Pas eu besoin de changer le type de queue également (cela désactiverait le fast path de toute façon)

Pour ceux que ça intéresse, en PPPoE, la config est équivalente à la personne ayant débutée le topic.

On crée le vlan835  sur un port ethernet de notre choix. Je recommande un port "cpu" (5 à 8 ):

/interface vlan
add interface=ether8 mtu=1492 name=vlan835-orange vlan-id=835

On crée l'interface PPPoE "sur" l'interface vlan835 juste créée avec les options qui vont bien :

/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap default-route-distance=1 dial-on-demand=no disabled=no interface=vlan835-orange keepalive-timeout=60 max-mru=1492 max-mtu=1492 mrru=disabled name=pppoe-orange password=****** profile=default service-name="" use-peer-dns=yes user=fti/*******

la règle de nat pour sortir par l'interface pppoe :

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-orange to-addresses=0.0.0.0

Pour activer le fasttrack (fonctionnel meme sur le pppoe depuis les dernières 6.35rc3x). A adapter à vos besoin de sécurité. Perso mon pare feu est réglé de manière "simple". Je donne toute la conf ici vu qu'elle est passe partout :

/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="activation fasttrack"
add chain=forward action=accept connection-state=established,related comment="si pas fasttrack accepte connex ok"
add chain=forward action=drop connection-state=invalid protocol=tcp comment="drop connex foireuse vers lan"
add chain=input action=drop connection-state=invalid comment="Drop connex foireuse vers routeur" 
add chain=input action=accept connection-state=established  comment="autorise connex ok vers routeur" 
add chain=input action=accept protocol=icmp comment="autorise le ping"
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!pppoe-orange comment="autorise prise en main que depuis le lan"
add chain=input action=drop comment="drop le reste vers le router"

Pour les règles de nat, là je les garde pour moi :D, mais la syntaxe est déja expliqué dans ce topic :

/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-port=leportànater in-interface=pppoe-orange protocol=tcp to-addresses=l'ip locale de la machine cible to-ports=port cible comment="nom de la règle".

Ensuite reste la partie interne, mais tout est déja expliqué dans les premières pages :)
« Modifié: 24 mars 2016 à 22:05:09 par Florian »

Florian

  • Abonné Bbox fibre
  • *
  • Messages: 2 077
  • Argenteuil (95)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #316 le: 24 mars 2016 à 23:39:37 »
J'ai fait un comparatif :

Si je mets le LAN sur un port CPU (ether5 par exemple) alors le taux d'utilisation cpu lors d'un transfert wan => lan à 925mb/sec n'est que 20% max, et encore pendant une période courte, ça varie entre 1 et 20%.

Si je mets le LAN sur un port "switch" (entre ether1 et 4), j'ai toujours mes 925mb/sec en débit, mais j'ai un coeur du routeur à 98% non stop, même si le traffic est toujours fasttracké :)

Donc au final, j'ai configuré la Livebox juste comme switch+point d'accès wifi, et je ne vais pas utiliser les ports switch mikrotik.

BM92

  • Abonné Free fibre
  • *
  • Messages: 786
  • Rueil-Malmaison (92)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #317 le: 27 mars 2016 à 03:11:42 »
Bonjour Baki et a tous,

un schéma avec les différents flux que tu veux mettre en place avec les hosts (pas obliger de mettre les vrai IP) :

Et on fait cela comment ?

Je veux savoir comment tu veux accéder à ton serveur :
- de l'exterieur avec iP public : il faut que tu fasses du port forward;
- de l'interieur avec ip public : il faut que tu fasse du Hairpin NAT (NAT loopback).

Le problème n'est pas l'accès car on y accède de l'intérieur mais aussi de l'extérieur (via nom de domaine)
Mais l'IP de la personne connecté soit dans le serveur ou soit dans photo station n'est pas bonne
Quant je vais dans le serveur pour voir mon journal d'activité je vois bien le nom d'utilisateur et son IP
Le problème est que cette IP n'est pas l'IP publique de la personne connecté mais celle du Routeur
Avant je voyais le nom d'utilisateur mais aussi son IP publique

Un schéma avec ton réseau serait plus simple pour d'aider.

Mon réseaux est relativement simple (IP modifier)
Routeur : 192.168.80.1
Serveur : 192.168.80.10
Mon Ordinateur : 192.168.80.100

Tu as configurer du source NAT alors que dans ton cas, il faut plutôt configurer du destination NAT.

Peut être ma la pour moi c'est du chinois

Florian

  • Abonné Bbox fibre
  • *
  • Messages: 2 077
  • Argenteuil (95)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #318 le: 27 mars 2016 à 10:17:50 »
Comment ta règle de nat est crée ?

On dirait que tu as utilisé l'option src-nat comme le dit baki.

BM92

  • Abonné Free fibre
  • *
  • Messages: 786
  • Rueil-Malmaison (92)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #319 le: 27 mars 2016 à 11:09:54 »
Bonjour Florian,
Dans IP - > Firewall - -> NAT j'ai 2 règles action : Masquerade - Chain : srcnat
1 pour vlan832-orange et l'autre pour all ethernet

1 règle action : jump - Chain : dstnat - Dst. Address : 192.168.XX.XX/16 (la petite case a gauche est coché) - adress type : local - Action : jump

Florian

  • Abonné Bbox fibre
  • *
  • Messages: 2 077
  • Argenteuil (95)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #320 le: 27 mars 2016 à 11:31:08 »
Tu ne dois avoir qu'une règle de masquerade, celle de l'interne vers le vlan832.

Le all ethernet te sert à quoi ?

Pareil pour l'action jump ? 

Je n'ai pas les deux dernières chez moi, et je ne me souviens pas les avoir lu dans les tutos ici.

BM92

  • Abonné Free fibre
  • *
  • Messages: 786
  • Rueil-Malmaison (92)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #321 le: 27 mars 2016 à 12:24:37 »
Tu ne dois avoir qu'une règle de masquerade, celle de l'interne vers le vlan832.
Le all ethernet te sert à quoi ?
Pareil pour l'action jump ? 
Je n'ai pas les deux dernières chez moi, et je ne me souviens pas les avoir lu dans les tutos ici.

A quoi elles serve je n'en sais rien mais si je désactive l'une ou l'autre je n'ai plus accès au Net ni a mon serveur de l'extérieur
J'ai un Bridge br-livebox
Et un autre Bridge nommé bridge1
Un Switch qui regroupe les 4 premiers ports donc celui de mon serveur
Je rappel que mon problème n'est pas un problème d'accès au serveur mais d'affichage de l'ip publique de la personne connecté que l'on peu voir dans le serveur.
De l'intérieur comme de l'extérieur on accède au serveur

BM92

  • Abonné Free fibre
  • *
  • Messages: 786
  • Rueil-Malmaison (92)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #322 le: 27 mars 2016 à 12:41:51 »
Est-ce qu'il existe un règle qui serait susceptible de caché ou obliger l'affichage de l'ip publique de la personne connecté ?

Florian

  • Abonné Bbox fibre
  • *
  • Messages: 2 077
  • Argenteuil (95)
Configuration RouterOS (Mikrotik) pour livebox
« Réponse #323 le: 27 mars 2016 à 13:54:30 »
Je m'y met ce soir, je vous prepare les règles firewall mangle pour changer les priorités sur les paquets en fonction des services.

Pour tout mettre en priorité 6 :
/ip firewall mangle
add action=set-priority chain=forward new-priority=6 out-interface=vlan832-orange


Juste un commentaire, si je peux me permettre, à mon avis ce post devrait être supprimé. En lisant chronologiquement le topic, j'ai cru, avant l'achat du CCR1009, que cette ligne pourrait faire marcher le dhcp client sur le vlan832 si on se trouve dans une zone où la CoS est obligatoire. Ce qui est faux, vu que le dhcp utilise des raw sockets et ne rentre pas dans la couche firewall de RouterOS.

A l'heure actuelle, il n'y a pas de solution pour tagguer les packets DHCP chez Mikrotik. Du coup, obligé de repasser en PPPoE avec tous les inconvénients qui vont avec. Et le jour ou Orange coupera le PPPoE pour ne laisser que le DHCP, well...

Je précise que grapplerbaki a fait un boulot de dingue hein, mais ce détail est très important pour ceux qui envisagerait l'achat de ce routeur.

J'ai fait une feature request ici : http://forum.mikrotik.com/viewtopic.php?f=1&t=106144&p=530040    mais je doute que ça sera implanté...