Auteur Sujet: La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (Lu 938772 fois)

Florian · « **Réponse #2352 le:** 09 octobre 2021 à 11:50:22 »

J'espère vraiment que des ONT aussi customisables que les existants seront dispos quand les fais français passeront ne xgs-pon... pas envie de retourner vers une box opérateur pour profiter de débits supérieurs :/

Gnubyte · « **Réponse #2353 le:** 09 octobre 2021 à 11:53:34 »

Citation de: epalzeolithe le 09 octobre 2021 à 11:28:48

cela a l'air bon : https://test-ipv6.com/

J'ai l'IPV6 sur mon LAN 1gbps, faut que je trouve comment l'avoir sur mon 2ème LAN 2.5gbps

(c'est totalement new pour moi l'IPV6)

Alors il était temps de t'y mettre, pour de bon.
Pleins de concepts sont nouveaux et semblent fous quand on ne connait que PIv4. Jette un oeil sur les quelques mots que j'avais posté en abordant le Firewall PIv6.

J'y ajouterai, en résumé, corrigez moi si je dis des bêtises, quelques notions rapides, pour retrouver ses marques :

Les 128 bits de l'adresse IPv6 sont constitués de huit blocs hexadécimaux de 16 bits séparés par des signes « deux points ». Par exemple, 2dfc:0:0:0:0217:cbff:fe8c:0.
Les adresses IPv4 sont divisées en « classes » : réseaux de classe A pour quelques réseaux très volumineux, réseaux de classe C pour des milliers de petits réseaux et réseaux de classe B entre les deux. IPv6 utilise la mise en sous-réseau pour ajuster la taille des réseaux dans l'espace d'adressage spécifique qui a été attribué.
IPv4 utilise un espace d'adressage de type classe en utilisation multicast (224.0.0.0/4). IPv6 utilise un espace d'adressage intégré pour le multicast, à FF00::/8. IPv6 utilise des groupes multicast. La multidiffusion fait partie des spécifications de base d’IPv6, alors qu’elle est facultative en IPv4. La multidiffusion permet la transmission d’un paquet vers plusieurs destinations en une seule opération.
IPv4 utilise des adresses de « diffusion » qui forcent chaque équipement à s'arrêter et à examiner les paquets.
IPv4 utilise 0.0.0.0 comme adresse non spécifiée et une adresse de type classe (127.0.0.1) pour le bouclage. IPv6 utilise :: et ::1 comme adresse non spécifiée et adresse de rebouclage, respectivement.
IPv4 utilise des adresses publiques uniques au monde pour le trafic et des adresses « privées ». IPv6 utilise des adresses unicast uniques au monde et des adresses locales (FD00::/8).
IPv6 inclut une qualité de service (QoS) intégrée.
IPv6 possède une couche de sécurité réseau intégrée (IPsec).
IPv6 élimine la traduction d’adresses réseau (NAT) et permet une connectivité de bout en bout au niveau de la couche IP.
IPv6 a des en-têtes de paquets plus grands (environ deux fois plus grands qu’IPv4).
IPv6 dispose d'une fonctionnalité d'autoconfiguration, le Network Discovery, aussi efficace que redoutable. Il faut bien régler son firewall, sinon on est à poil sur internet.

cetipabo · « **Réponse #2354 le:** 09 octobre 2021 à 11:58:16 »

Citation de: Florian le 09 octobre 2021 à 11:50:22

J'espère vraiment que des ONT aussi customisables que les existants seront dispos quand les fais français passeront ne xgs-pon... pas envie de retourner vers une box opérateur pour profiter de débits supérieurs :/

a en croire tout ce qui est mis en oeuvre depuis ces 10 dernières années par les FAI, tout est fait pour qu'il soit impossible de se passer de leurs box...Heureusement qu'il y aura toujours un gros barbu ici pour nous trouver la parade avec des hack bien poilus

epalzeolithe · « **Réponse #2355 le:** 09 octobre 2021 à 12:02:39 »

Citation de: Gnubyte le 09 octobre 2021 à 11:53:34

Alors il était temps de t'y mettre, pour de bon.
Pleins de concepts sont nouveaux et semblent fous quand on ne connait que PIv4. Jette un oeil sur les quelques mots que j'avais posté en abordant le Firewall PIv6.

J'y ajouterai, en résumé, corrigez moi si je dis des bêtises, quelques notions rapides, pour retrouver ses marques :

Les 128 bits de l'adresse IPv6 sont constitués de huit blocs hexadécimaux de 16 bits séparés par des signes « deux points ». Par exemple, 2dfc:0:0:0:0217:cbff:fe8c:0.
Les adresses IPv4 sont divisées en « classes » : réseaux de classe A pour quelques réseaux très volumineux, réseaux de classe C pour des milliers de petits réseaux et réseaux de classe B entre les deux. IPv6 utilise la mise en sous-réseau pour ajuster la taille des réseaux dans l'espace d'adressage spécifique qui a été attribué.
IPv4 utilise un espace d'adressage de type classe en utilisation multicast (224.0.0.0/4). IPv6 utilise un espace d'adressage intégré pour le multicast, à FF00::/8. IPv6 utilise des groupes multicast. La multidiffusion fait partie des spécifications de base d’IPv6, alors qu’elle est facultative en IPv4. La multidiffusion permet la transmission d’un paquet vers plusieurs destinations en une seule opération.
IPv4 utilise des adresses de « diffusion » qui forcent chaque équipement à s'arrêter et à examiner les paquets.
IPv4 utilise 0.0.0.0 comme adresse non spécifiée et une adresse de type classe (127.0.0.1) pour le bouclage. IPv6 utilise :: et ::1 comme adresse non spécifiée et adresse de rebouclage, respectivement.
IPv4 utilise des adresses publiques uniques au monde pour le trafic et des adresses « privées ». IPv6 utilise des adresses unicast uniques au monde et des adresses locales (FD00::/8).
IPv6 inclut une qualité de service (QoS) intégrée.
IPv6 possède une couche de sécurité réseau intégrée (IPsec).
IPv6 élimine la traduction d’adresses réseau (NAT) et permet une connectivité de bout en bout au niveau de la couche IP.
IPv6 a des en-têtes de paquets plus grands (environ deux fois plus grands qu’IPv4).
IPv6 dispose d'une fonctionnalité d'autoconfiguration, le Network Discovery, aussi efficace que redoutable. Il faut bien régler son firewall, sinon on est à poil sur internet.

MErci bon c'est bon

IPV6 sur mon réseau 2.5Gbps, un instant de jouissance

Gnubyte · « **Réponse #2356 le:** 09 octobre 2021 à 12:17:34 »

Citation de: cetipabo le 09 octobre 2021 à 11:58:16

a en croire tout ce qui est mis en oeuvre depuis ces 10 dernières années par les FAI, tout est fait pour qu'il soit impossible de se passer de leurs box...Heureusement qu'il y aura toujours un gros barbu ici pour nous trouver la parade avec des hack bien poilus

Il est vrai que je porte la barbe

epalzeolithe · « **Réponse #2357 le:** 09 octobre 2021 à 17:22:11 »

Tuto OPnsense 2.7.1
-------------------

Prérequis du tuto
- ONU en O5 et activé en 2.5Gbps HSGMII (Nokia G-10S-A dans mon cas)
- Carte BCM57810s (marque 10Gtek sur Amazon dans mon cas), avec 2.5Gbps activé
- Carte Ethernet RJ45 2.5Gbps (double RTL8125 sur Amazon dans mon cas)
- Opnsense 2.7.1 installé sur 1 disque dur du PC (dans mon cas i5-7600K)

interfaces
- bxe0 > ONU
- re0 > LAN en 2.5Gbps > 10.0.0.1
- em0 > LAN2 en 1Gbps > 192.168.1.1

Drivers
- connexion à Opnsense/Web sur le port em0, avec un autre pc
- activation dans settings, ssh et root access dans OPNsense
-

Code: [Sélectionner]

ssh root@192.168.1.1
scp user@autremachine:/Users/user/if_bxe.ko .
scp user@autremachine:/Users/user/if_re.ko .
scp user@autremachine:/Users/user/loader.conf.local.ko .
chmod 555 *.ko
chmod 555 *.local
cp if_bxe.ko /boot/kernel
cp if_re.ko /boot/kernel
chflags schg /boot/kernel/if_bxe.ko
chflags schg /boot/kernel/if_re.ko
cp loader.conf.local /boot
reboot

Check
- vérifiez au boot d'opnsense que l'interface bxe0 est up et à 2500Mbps (en blanc)

Configuration Opnsense
- créer sur bxe0, le vlan 832 > bxe0_vlan832
- créer l'interface "Fibre" sur le bxe0/vlan 832, et activez là
- IPV4 > DHCP
- IPV6 > DHCPv6
- Config avancée DHCP
- dans le champ "send", on mets :

Code: [Sélectionner]

dhcp-class-identifier "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox4", option-90 00:00:00:00:00:00:00:00:00:00:00:identifiants

- dans le champd "request", on mets :

Code: [Sélectionner]

subnet-mask, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, routers, domain-name-servers, option-90

- Config avancé DHCP6
- on utilise la VLAN priority Internetwork Control (6)
- dans send on mets :

Code: [Sélectionner]

ia-pd 0 ,raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:34 ,raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d ,raw-option 6 00:0b:00:11:00:17:00:18 ,raw-option 17 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44 ,raw-option 11 00:00:00:00:00:00:00:00:00:00:00:identifiants

- on active Prefix delegation
- on mets 0 dans id-assoc pd ID
- on mets 8 dans Prefix Interface Site-Level Aggregation Length
- sauvegarde, et... dans interfaces/assignements, vous avez une IPV4 et un prefix IPV6 /56
- on assigne le LAN25 à l'interface re0 qui est la carte ethernet RJ45 en 2.5Gbps
- on assigne IPV4 static : 10.0.0.1/24
- on active le server DHCPv4 sur ce sous-réseau 10.0.0.0 si nécessaire
- en IPV6, track interface, puis en on choisit l'interface "Fibre" et le prefix ID 0
- dans le Firewall/Rules, on vérifie sur le LAN25 qu'en IPV4+V6 toutes les sources LAN25 Net sont autorisées (sinon on crée les rules)
- On rajouter sur l'interface fibre, la règle IPV4/V6 ICMP allow ce qui est mieux pour être pingué en IPV6
>>> c'est fini, routeur 2.5Gbps kikitoudur qui distribue du 2Gbps Orange sur tout le réseau local, en IPV4 et IPV6

Maeda · « **Réponse #2358 le:** 09 octobre 2021 à 18:33:04 »

Citation de: stefbwz le 08 octobre 2021 à 00:37:06

Oui mais maintenant plus besoin de compiler quoi que ce soit, la version standard (nigthly, ok peut etre pas encore la lts) de openwrt ou meme de openbsd sont supportées.

edit, c'est supporté dans la derniere version 21.02

Pour apporter un peu de soutiens à la macchia, ça fonctionne très bien avec OpenWrt 21, je l'ai en "prod" pour la maison sous OpenWrt 21.02.0-rc4 avec un G-010S-A, sans le moindre patch.

Donc avec une macchiatobin, on peut quand même avoir un routeur HSGMII et SFP+/RJ45 10Gb clé en main sous openWrt (et on peut y mettre les mains si on veut).
Sans besoin d'aucun équipement supplémentaire. (bon et heureusement vu son coût)

Et si on est joueur :

- il y a un peu de tuning sur l'usage de tous les cores pour le réseau : https://fosdem.org/2021/schedule/event/network_performance_in_kernel/attachments/slides/4433/export/events/attachments/network_performance_in_kernel/slides/4433/chevallier_network_performance_in_the_linux_kernel.pdf / https://github.com/xdp-project/xdp-project/blob/master/areas/arm64/board_macchiatobin02_initial_benchmarks.org )

- et encore on ne profite même pas des perfs des kernels plus récents (dans le cas d'openWrt) où il y a pas mal de modif qui passent pour les drivers Marvell et XDP : https://lore.kernel.org/lkml/20200703.144639.1141703316199653510.davem@davemloft.net/T/

Je pense que techniquement, elle pourrai tenir bien plus que 2Gbps en routage sans être dans le rouge.

Le mainteneur de l'archi ARM Linux (Russell King) possède également une macchiatobin, ça change rien mais ça ne peut qu'aider.

Ca reste une solution onéreuse, c'est clair. Mais les possibilités sont assez unique aussi, et c'est surement pas fini !

Et comme stefbwz, j'insiste, ça fonctionne "out-of-box" maintenant, ça ne peut qu'inviter à l'adopter !

epalzeolithe · « **Réponse #2359 le:** 09 octobre 2021 à 22:26:26 »

Bonsoir

après avoir monter mon opnsense en 2gbps

je souhaiterai monter la livebox derrière pour avoir la téléphonie

j'ai essayé de faire un fake dhcp sur le vlan 832, et de desservir juste ce qu'il faut : NOK

quelqu'un aurait réussi ?

Gnubyte · « **Réponse #2360 le:** 10 octobre 2021 à 01:08:34 »

Citation de: Maeda le 09 octobre 2021 à 18:33:04

Pour apporter un peu de soutiens à la macchia, ça fonctionne très bien avec OpenWrt 21, je l'ai en "prod" pour la maison sous OpenWrt 21.02.0-rc4 avec un G-010S-A, sans le moindre patch.

(...)

Et comme stefbwz, j'insiste, ça fonctionne "out-of-box" maintenant, ça ne peut qu'inviter à l'adopter !

Cette solution est remarquable, exigeant au bout du compte un savoir faire comparable. L'out-of-the-box est tout de même un atout.

Gnubyte · « **Réponse #2361 le:** 10 octobre 2021 à 01:09:51 »

Aucun rapport, mais, hop, un dédicace à Boris.

stefbwz · « **Réponse #2362 le:** 10 octobre 2021 à 11:00:39 »

Citer

Et si on est joueur :
- il y a un peu de tuning sur l'usage de tous les cores pour le réseau : https://fosdem.org/2021/schedule/event/network_performance_in_kernel/attachments/slides/4433/export/events/attachments/network_performance_in_kernel/slides/4433/chevallier_network_performance_in_the_linux_kernel.pdf / https://github.com/xdp-project/xdp-project/blob/master/areas/arm64/board_macchiatobin02_initial_benchmarks.org )

Merci pour ces infos:
Après une rapide lecture et avec mon install sans rien redemarrer
J'ai utilisé les commandes suivantes (eth3 est le wan et eth1 le lan)
je suis passé de 90% d'utilisation sur un core a 22% par core sur chacun des cores lors d'un nperf, avec toujours le debit max a la clé mais plus de regularité sur la courbe de rx (je ne sais pas si c'est un hazard)

La macchiatobin semble bien pouvoir aller jusqu'a 10Gb/s en routage

Code: [Sélectionner]

 
ethtool -X eth1 weight 1 2 2 1
ethtool -X eth3 weight 2 1 1 2
ethtool -X eth1 equal 4
ethtool -X eth3 equal 4
ethtool -N eth1 rx-flow-hash tcp4 sdfn
ethtool -N eth3 rx-flow-hash tcp4 sdfn
ethtool -N eth1 rx-flow-hash tcp6 sdfn
ethtool -N eth3 rx-flow-hash tcp6 sdfn
ethtool -N eth1 rx-flow-hash udp4 sdfn
ethtool -N eth3 rx-flow-hash udp4 sdfn
ethtool -N eth1 rx-flow-hash udp6 sdfn
ethtool -N eth3 rx-flow-hash udp6 sdfn
ethtool -K eth1 rx-hashing on
ethtool -K eth3 rx-hashing on
ethtool -K rx-vlan-filter on
ethtool -K "$DEVICE" rx-vlan-filter on

Pour rendre le changement permanent :
créer un fichier /etc/hotplug.d/iface/10-ethtool avec dedans :

Code: [Sélectionner]

[ ifup = "$ACTION" ] || exit 0
[ -n "$DEVICE" ] || exit 0

if [ "$DEVICE" == eth1 ]] ; then
    ethtool -X "$DEVICE" weight 1 2 2 1
fi

if [ "$DEVICE" == eth3 ]] ; then
    ethtool -X "$DEVICE" weight 2 1 1 2
fi

if [ "$DEVICE" == eth1 ] || [ "$DEVICE" == eth3 ] ; then
      logger "Executing device optimization for '$DEVICE'"
      ethtool -X "$DEVICE" equal 4
      ethtool -N "$DEVICE" rx-flow-hash tcp4 sdfn
      ethtool -N "$DEVICE" rx-flow-hash udp4 sdfn
      ethtool -N "$DEVICE" rx-flow-hash tcp6 sdfn
      ethtool -N "$DEVICE" rx-flow-hash udp6 sdfn
      ethtool -K "$DEVICE" rx-hashing on
      ethtool -K "$DEVICE" rx-vlan-filter on
fi

stefbwz · « **Réponse #2363 le:** 10 octobre 2021 à 11:37:06 »

Un peu off-topic mais j'ai ajouté un ssd nvme dans le port pciexprès de la macchiatobin et j'utilise cet espace pour faire tourner des containers docker pour du monitoring, grafana et pihole. Ca marche super, mais la encore j'ai du recompiler le kernel car le support nvme n'est pas activé dans openwrt pour arm, alors qu'il l'est dans la version x86.