Auteur Sujet: Orange DHCP conformité protocolaire 2023 - lire depuis le début du sujet (Lu 168667 fois)

PackTu · « **Réponse #516 le:** 07 mars 2023 à 11:51:55 »

Le bridge sur le vlan832 n'est obligatoire que si on utilise les bridge filters.

Par contre même quand j'utilisais les bridge rules je montait sans problème au 2Gbps sauf que le processeur était à 55,60%, puis j'ai changé de configuration pour passer au CRS310 ==> RB5009.

breizyann · « **Réponse #517 le:** 07 mars 2023 à 13:56:46 »

Impossible de récupérer Ipv4 après reboot du routeur (ma config ci-dessous)

1. pour récupérer l'ipv6 public (après reboot du Mikrotik) je dois faire un release lorsque le router est à nouveau online.
(action indispensable car à la fin du reboot l'ipv6 est également en mode parcage)

2. pour l'ipv4 je reste toujours en 172.16.x.x même avec un release. Le release relance un searching automatiquement un renew après un renew.
(mais le retour est toujours ipv4 en mode parcage)

Je partage ma config afin de vérification au-cas ou.

• La Cos6 est appliquée par un Bridge => pas le choix sur mon routeur il ne gère pas les cpu switch rule.
• Les options 61 (ipv4) et 1 (ipv6) sont construites à base de la Mac adress de la LB4.
• L'option 11 et 90 sont identiques (récupérées dans ce qu'envoie la LB4).

Merci pour votre aide et vos conseils.

Yann

jbfavre · « **Réponse #518 le:** 07 mars 2023 à 14:00:56 »

Citation de: breizyann le 07 mars 2023 à 13:56:46

Impossible de récupérer Ipv4 après reboot du routeur (ma config ci-dessous)

Tu n'as pas de réponse, ou tu obtiens une IP parking ?
Dans le second cas, vérifie la valeur de l'option 125 en DHCP4 (option 17 en v6)

breizyann · « **Réponse #519 le:** 07 mars 2023 à 14:33:16 »

Citation de: jbfavre le 07 mars 2023 à 14:00:56

Tu n'as pas de réponse, ou tu obtiens une IP parking ?
Dans le second cas, vérifie la valeur de l'option 125 en DHCP4 (option 17 en v6)

IP de parking pour les deux (ipv4 et ipv6) mais ipv6 je peux la récupérer un faisant juste un release avec le bouton RELEASE sur le client dhcpv6 de la winbox.
Je fais la même chose sur le client dhcp (ipv4) mais ça me retourne toujours une ip de parking: 172.16.x.x

Analyze de l'option 125 DHCP4 => j'y ai pensé mais comment je fais sachant que la fibre rentre directement sur le port SFP du routeur.
Peut 'ton dupliquer le port SFP vers un port ethernet afin d'analyser avec wireshark par exemple?

jbfavre · « **Réponse #520 le:** 07 mars 2023 à 15:00:07 »

Citation de: breizyann le 07 mars 2023 à 14:33:16

IP de parking pour les deux (ipv4 et ipv6) mais ipv6 je peux la récupérer un faisant juste un release avec le bouton RELEASE sur le client dhcpv6 de la winbox.
Je fais la même chose sur le client dhcp (ipv4) mais ça me retourne toujours une ip de parking: 172.16.x.x

J'utilise un script sur mes dhcp-client pour vérifier la valeur des option 125 et 17.
Pour DHCPv4:

Code: [Sélectionner]

/ip dhcp-client add comment="Orange public IPv4" dhcp-options=vendor-class,user-class,authentication,clientid interface=<TON_INTERFACE> script="{\
    \n    :if (\$bound=1) do={\
    \n        foreach option,value in=\$\"lease-options\" do={\
    \n            :if (\$option=\"125\") do={\
    \n                :log debug \"IPv4: Found [\$value]\";\
    \n                :global class [:pick \$value 11];\
    \n                :log debug \"Extracted [\$class]\";\
    \n                :if (\$class=\"\\00\") do={\
    \n                    :log info \"IPv4: ISP network is OK\";\
    \n                };\
    \n                :if (\$class=\"\\01\") do={\
    \n                    :log error \"IPv4: Technical blacklist\";\
    \n                };\
    \n                :if (\$class=\"\\02\") do={\
    \n                    :log error \"IPv4: Auth or encoding failure\";\
    \n                };\
    \n                :if (\$class=\"\\03\") do={\
    \n                    :log error \"IPv4: Account or service probably terminated\";\
    \n                };\
    \n                :if (\$class=\"\\04\") do={\
    \n                    :log error \"IPv4: Invoice payment problem.\";\
    \n                };\
    \n                :if (\$class=\"\\99\") do={\
    \n                    :log error \"IPv4: CoS & DSCP issue.\";\
    \n                };\
    \n            }\
    \n        }\
    \n    }\
    \n}"

Et DHCPv6:

Code: [Sélectionner]

/ipv6 dhcp-client add add-default-route=yes comment="Orange public IPv6 prefix delegation" dhcp-options=authentication,user-class,vendor-class dhcp-options=authentication,user-class,vendor-class interface=<TON_INTERFACE> pool-name=pool-v6orange rapid-commit=no request=prefix script="{\
    \n    :if (\$\"pd-valid\"=1) do={\
    \n        foreach option,value in=\$options do={\
    \n            :if (\$option=\"17\") do={\
    \n                :log debug \"IPv6: Found [\$value]\";\
    \n                :global class [:pick \$value 11];\
    \n                :log debug \"Extracted [\$class]\";\
    \n                :if (\$class=\"\\00\") do={\
    \n                    :log info \"IPv6: ISP network is OK\";\
    \n                };\
    \n                :if (\$class=\"\\01\") do={\
    \n                    :log error \"IPv6: Technical blacklist\";\
    \n                };\
    \n                :if (\$class=\"\\02\") do={\
    \n                    :log error \"IPv6: Auth or encoding failure\";\
    \n                };\
    \n                :if (\$class=\"\\03\") do={\
    \n                    :log error \"IPv6: Account or service probably terminated\";\
    \n                };\
    \n                :if (\$class=\"\\04\") do={\
    \n                    :log error \"IPv6: Invoice payment problem.\";\
    \n                };\
    \n                :if (\$class=\"\\99\") do={\
    \n                    :log error \"IPv6: CoS & DSCP issue.\";\
    \n                };\
    \n            }\
    \n        }\
    \n    }\
    \n}" use-interface-duid=yes use-peer-dns=no

breizyann · « **Réponse #521 le:** 07 mars 2023 à 15:14:08 »

Citation de: jbfavre le 07 mars 2023 à 15:00:07

J'utilise un script sur mes dhcp-client pour vérifier la valeur des option 125 et 17.

Houlala, une merveille ça (merci pour le partage)

Je vais tester et je te ferai un retour avec mention @jbfavre

jbfavre · « **Réponse #522 le:** 07 mars 2023 à 15:45:07 »

Citation de: breizyann le 07 mars 2023 à 14:33:16

IP de parking pour les deux (ipv4 et ipv6) mais ipv6 je peux la récupérer un faisant juste un release avec le bouton RELEASE sur le client dhcpv6 de la winbox.
Je fais la même chose sur le client dhcp (ipv4) mais ça me retourne toujours une ip de parking: 172.16.x.x

Analyze de l'option 125 DHCP4 => j'y ai pensé mais comment je fais sachant que la fibre rentre directement sur le port SFP du routeur.
Peut 'ton dupliquer le port SFP vers un port ethernet afin d'analyser avec wireshark par exemple?

Je n'ai répondu qu'à une partie de la question, désolé.
Tu as aussi la possibilité d'utiliser /tool/sniffer pour capturer la négo DHCP et l'analyser en local sur ta machine avec Wireshark

doctorrock · « **Réponse #523 le:** 07 mars 2023 à 16:52:49 »

@jbfavre : Bizarre que tes règles bridge filter ne matchent rien. Chez moi elles matchent et semblent fonctionner.

J'ai

Citer

/ipv6/firewall/mangle> print
Flags: X - disabled, I - invalid; D - dynamic
0 ;;; Neighbor Solicitation NS
chain=output action=mark-packet new-packet-mark=na/ns passthrough=no protocol=icmpv6 out-interface=orange-wan-bridge-internet icmp-options=135:0-255 log=no log-prefix=""

1 ;;; Neighbor Advertisement NA
chain=output action=mark-packet new-packet-mark=na/ns passthrough=no protocol=icmpv6 out-interface=orange-wan-bridge-internet icmp-options=136:0-255 log=no log-prefix=""

2 ;;; Router Solicitation
chain=output action=mark-packet new-packet-mark=na/ns passthrough=no protocol=icmpv6 out-interface=orange-wan-bridge-internet icmp-options=133:0-255 log=no log-prefix=""

/interface/bridge/filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; DHCP
chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832-orange-internet mac-protocol=ip dst-port=67 ip-protocol=udp log=no log-prefix=""

1 ;;; ARP
chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832-orange-internet mac-protocol=arp log=no log-prefix=""

2 ;;; NA/NS
chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832-orange-internet mac-protocol=ipv6 packet-mark=na/ns log=no log-prefix=""

3 ;;; DHCPV6
chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832-orange-internet mac-protocol=ipv6 dst-port=547 ip-protocol=udp packet-mark=no-mark log=no log-prefix=""

zoc · « **Réponse #524 le:** 07 mars 2023 à 17:03:19 »

Citation de: breizyann le 07 mars 2023 à 13:56:46

• Les options 61 (ipv4) et 1 (ipv6) sont construites à base de la Mac adress de la LB4.

Et cette adresse Mac est clonée aussi sur le bridge ?

Il est indispensable d'avoir Mac du bridge = option 61 = option 1. Et inutile que ce soit celle d'une Livebox du moment que les 3 sont identiques (moi je clone celle de mon Ubiquiti ER4 pour pouvoir interchanger facilement ER4 et CCR2004 pendant la mise au point de ma config pour le CCR).

jbfavre · « **Réponse #525 le:** 07 mars 2023 à 17:31:25 »

Citation de: doctorrock le 07 mars 2023 à 16:52:49

@jbfavre : Bizarre que tes règles bridge filter ne matchent rien. Chez moi elles matchent et semblent fonctionner.

J'ai

C'est bien mon problème

De mon côté:

Code: [Sélectionner]

 5    ;;; set DSCP6 for DHCPv4
      chain=output action=change-dscp new-dscp=48 passthrough=yes protocol=udp 
      out-interface=br-wan-vlan832 src-port=68 dst-port=67 log=yes log-prefix="set DSCP6 for DHCPv4" 

 6    ;;; set CoS6 for DHCPv4
      chain=output action=set-priority new-priority=6 passthrough=yes protocol=udp 
      out-interface=br-wan-vlan832 src-port=68 dst-port=67 log=yes log-prefix="set CoS6 for DHCPv4 "

et

Code: [Sélectionner]

 0    ;;; Router Solicitation RS
      chain=output action=mark-packet new-packet-mark=cos6/dscp6 passthrough=yes protocol=icmpv6 
      dst-address=ff00::/8 out-interface=br-wan-vlan832 icmp-options=133:0-255 

 1    ;;; Neighbor Solicitation NS
      chain=output action=mark-packet new-packet-mark=cos6/dscp6 passthrough=yes protocol=icmpv6 
      dst-address=fe80::ba0:bab/128 out-interface=br-wan-vlan832 icmp-options=135:0-255 

 2    ;;; Neighbor Advertisement NA
      chain=output action=mark-packet new-packet-mark=cos6/dscp6 passthrough=yes protocol=icmpv6 
      dst-address=fe80::ba0:bab/128 out-interface=br-wan-vlan832 icmp-options=136:0-255 

 3    ;;; DHCPv6
      chain=output action=mark-packet new-packet-mark=cos6/dscp6 passthrough=yes protocol=udp 
      out-interface=br-wan-vlan832 src-port=546 dst-port=547 

 4    ;;; set DSCP6 for RS/NS/NA
      chain=output action=change-dscp new-dscp=48 passthrough=yes packet-mark=cos6/dscp6 log=no 
      log-prefix="set DSCP6 for RS/NS/NA" 

 5    ;;; set CoS6 for RS/NS/NA
      chain=output action=set-priority new-priority=6 passthrough=yes packet-mark=cos6/dscp6 log=no 
      log-prefix="set CoS6  for RS/NS/NA"

Après, le "truc" c'est que j'utilise le VLAN filtering de mikrotik.
Donc mon setup, c'est: vlan832 -> bridge -> sfp-sfpplus12 (interface physique)
Là où j'ai l'impression que pas mal de monde utilise plutôt: bridge -> vlan832 -> sfp-sfpplus12 (interface physique)

Je ne sais pas si ça fait une différence, mais la seconde option n'est pas recommandée par Mikrotik, cf. https://help.mikrotik.com/docs/display/ROS/Layer2+misconfiguration#Layer2misconfiguration-BridgedVLANonphysicalinterfaces

doctorrock · « **Réponse #526 le:** 07 mars 2023 à 18:03:12 »

Oui je sais que le design VLAN que j'ai est crade, mais :

Il ne s'agit pas d'un switch. Le CCR2004 n'a pas de switch chip, et tout passe dans tous les cas par le CPU, donc dans tous les cas on ne "loupe" pas de hardware offload à cause du design crade : il n'y a pas de hardware offload puisque pas de switch
Il n'y a qu'un seul VLAN, sur une seule interface. Et j'ai désactivé STP dessus, donc le traffic ne peut pas boucler, se rendre fou, ou quoi que ce soit : ya qu'une interface avec un seul VLAN dedans.

Je pense qu'utiliser les VLAN filters :

Peut être la cause de ton problème
Ne sert à rien car une fois de plus => il n'y a pas de switch chip, rien ne peut être offloadé (c'est très différent avec un switch de type CRS3XXXX où là en effet, il FAUT passer par les VLAN filters)

jbfavre · « **Réponse #527 le:** 07 mars 2023 à 18:13:05 »

Citation de: doctorrock le 07 mars 2023 à 18:03:12

Oui je sais que le design VLAN que j'ai est crade, mais :
Il ne s'agit pas d'un switch. Le CCR2004 n'a pas de switch chip, et tout passe dans tous les cas par le CPU, donc dans tous les cas on ne "loupe" pas de hardware offload à cause du design crade : il n'y a pas de hardware offload puisque pas de switch
Il n'y a qu'un seul VLAN, sur une seule interface. Et j'ai désactivé STP dessus, donc le traffic ne peut pas boucler, se rendre fou, ou quoi que ce soit : ya qu'une interface avec un seul VLAN dedans.

Je pense qu'utiliser les VLAN filters :
Peut être la cause de ton problème
Ne sert à rien car une fois de plus => il n'y a pas de switch chip, rien ne peut être offloadé (c'est très différent avec un switch de type CRS3XXXX où là en effet, il FAUT passer par les VLAN filters)

Je l'avais mis en place comme ça parce que:

Je rencontrais les problèmes évoqué dans la page Mikrotik
J'ai d'autres VLAN et je voulais avoir une config uniforme

Je vais tester sans bridge VLAN filtering en espérant que ça ne foute pas le boxon dans mes autres VLANs. Je sais, y a pas de raison, mais bon… voilà, quoi 😅