Déjà pour commencer je vois un soucis:
Ton adresse MAC dans l'en-tête Ethernet est cohérente avec celle du header BOOTP (apparemment celle de ton routeur) mais pas avec la MAC de l'option 61 (apparemment celle de ta LB).
Cette incohérence est problématique, tu devrais changer pour avec la même MAC partout.
(OK même la 1ère trame qui fonctionne a ce défaut, mais quand même il vaut mieux corriger).

Ensuite, tu devrais faire la capture sur l'interface physique (enp7s0) et pas l'interface virtuelle VLAN (enp7s0.832), ça permet de voir si la COS est bien définie.

Si tu as un .pcap à m'envoyer ça m'intéresse.

Et d'ailleurs quelle conf as-tu faise exactement pour tc ? Ton kernel est un peu ancien, certains comportements peuvent changer par rapport aux derniers en date.

J'ai pushé ma config ici : https://gitlab.com/herveboisse/dhcp-orange

Je ne sais pas si mon implémentation peut être considérée comme une base solide, mais je peux en tout cas témoigner d'un cas que j'ai rencontré il y a environ un mois.
Un après-midi, la diode Fibre de l'ONT Huawei est passée au rouge et la connexion a été coupée, suivi de la réception d'un SMS de notification d'incident sur le mobile du titulaire de la ligne.
Au bout d'une heure environ le problème a été réglé.
Avec cette configuration en place, les clients DHCP v4 et v6 ont été relancés automatiquement et tout est retombé en marche sans aucune intervention de ma part.

merci pour ta réponse.
Oui pour la MAC j'ai suivi les conseil du vieux et j'ai utilisé la MAC de ma LB pour les options DHCP. Par contre j'ai pas spoofé la MAC de l'interface de mon routeur mais ça n'a jamais posé de problème... Mais tu as raison je vais changer cela c'est vite fait (edit: en fait je me souviens pourquoi je l'avais pas fait... mon routeur est aussi client de la livebox pour récupérer les flux IPTV et avoir 2 MAC identiques sur mon réseau ça risque de me poser problème).

Pour TC, je fais comme toi:

ip link set dev enp7s0.832 type vlan egress-qos-map 0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0

tc qdisc replace dev enp7s0.832 root handle 1: prio \
        bands 2 \
        priomap 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
tc filter del dev enp7s0.832

# DHCPv4 (raw sockets, do not specify "protocol ip")
tc filter add dev enp7s0.832 parent 1: prio 2 u32 \
     match ip ihl 5 0xf \
     match u16 0x0000 0x1fff at 6 \
     match ip protocol 17 0xff \
     match ip sport 68 0xffff \
     match ip dport 67 0xffff \
     action skbedit priority 0:6 pipe \
     action pedit munge ip tos set 0xc0 retain 0xfc pipe \
     action csum ip4h

(au fait dans tes scripts, j'ai remarqué que tu as pedit 2 fois sur l'avant dernière ligne, je sais pas si c'est une erreur ou pas ?)

Je t'ai envoyé les fichier .pcap capturés sur l'interface physique via MP.

Je fais également toute la CoS sur un CRS305, donc ça serait uniquement pour le DSCP. Comme ça marche sans je pense que de toute façon je vais créer les règles et les désactiver pour pouvoir les activer rapidement si ça devient obligatoire.

J'ai également un CCR2004, mais:

• Les règles bridge filter ne matchent rien 
• Les règles firewall mangle fonctionnent parfaitement en IPv6, mais en IPv4 elles ne matchent que les packets avec une IP (donc uniquement les release, pas les discovery ni les request)  :'(

Du coup, j'ai un CCR309 en commande (yet another boite à brancher)

J'ai fais de même pour le coup.

Sinon dans vos règles, je vois souvent "out-interface=vlan832-wan". On parle de l'interface VLAN ou du bridge ?

J'ai un bridge (br-wan) dans lequel j'ai mon interface vlan832, sur lequel j'applique les règles et j'ai beaucoup de mal à atteindre 2Gb/s, c'est lié ?

Bonjour @tous,

@Reymouth, j'utilise également un bridge pour appliquer la Cos6 sur les requettes dhcp v4 et v6 (c'est la seule solution sur mon routeur qui ne gère pas les cpu switch rule).

Pour connaitre l'impact du bridge sur ton débit. Dès que tu que tu as récupéré les 2 ip publiques v4 et v6 => tu désactives les 2 filtres :
/interface bridge filter disable 0
/interface bridge filter disable 1
dans le cas ou tu as 1 filtre par protocole.

Ensuite tu refais tes mesures et voir si amélioraton

J'ai testé cela à titre personel et pu voir la différence sur une offre à 500/Mbs.
Avec le bridge/filter je plafonnais a 425/Mbs. Soit 15% de débit perdu. !!
En désactivant le bridge/filter je récupérais les 500/Mbs (soit le max de mon offre).

Bien sur tu auras toujours besoin d'avoir ton bridge/filter activé à chaque fois que ton routeur fera des dhcp request vers orange.
Ce petit test a pour but de mettre en évidence l'impact du bridge/filter et peut être ainsi répondre à ta question ?

Merci pour les informations @breizyann.

Ayant un CRS305 juste devant appliquant les règles proposées par @cyayon, je n’ai pas de bridge filter sur mon RB5009.

Le bridge est donc inutile et peut être supprimé, me permettant d’obtenir un meilleur débit, si je comprends bien ?

@cyayon et @zoc c’est ce que vous faites ?

Si je ne me trompe pas, les CRS3xx sont capable de régler la COS avec des switch rules, mais pas la DSCP.
Or, @levieuxatorange dit bien qu'il est souhaitable d'avoir une cohérence entre les 2.
Donc, le bridge peut malgré tout s'imposer pour pouvoir régler la DSCP.

C’est le cas, je règle la CoS avec des switch rules sur mon CRS305.

Les règles firewall mangle permettant de modifier le DSCP ne peuvent-elles pas s’appliquer sur l’interface vlan 832 côté routeur (dans min cas sur le RB5009) ?

Mon expérience personnelle, sur un CCR2004:

• IPv6: COS + DSCP gérées par firewall mangle sur le routeur
• IPv6: COS + DSCP gérées par firewall mangle sur le routeur, mais uniquement pour les DHCPv4 release (les discovery et requests ne matchent jamais, ni pour la COS, ni pour la DSCP)
• Les règles bridge filter ne voient rien non plus

Je pense retirer le bridge et passer sur l'interface vlan-832 en direct.