Et bien, voilà, en reprenant le premier post, et en comprenant la différence entre le RB5009 et le CCR2004, on arrive à quelque chose.
ça a été compliqué, et frustrant. J'ai maintenant une IP en 86.201
Je mets ici la configuration de mon RB5009 avec l'ipv4 uniquement.
Il me reste un souci à régler, j'ai paramétré l'ether8 pour avoir l'interface, mais je ne l'ai pas !
J'ai donc perdu la possibilité de configurer le routeur, ce que je fais habituellment : hard reset, mais ça sera la 10ème de la journée.
Est-ce-que vous pouvez m'aider sur cette partie ci ?
Est-ce-que vous voyez une règle de sécurité à ajouter ou une grosse boulette dans ma config (au moins celle qui me prive de l'accès à l'ip 192.168.88.1)
###################################################################################################
# Configuration des interfaces du routeur
###################################################################################################
/interface ethernet
set [ find default-name=ether1 ] name=ether1-ONT-OUT
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] name=ether8-CONFIG
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,2500M-full arp=disabled mac-address=20:9A:7D:31:C6:C0 name=sfp-ONT-IN rx-flow-control=on speed=2.5Gbps tx-flow-control=on
##################################################
# Créons le bridge principal qui va servir sans arrêt
# On remplace XX:XX:XX:XX:XX:XX par l'adresse MAC de la
# Livebox, généreusement notée sur l'étiquette placée dessous
##################################################
/interface bridge
add name=br-wan admin-mac=20:9A:7DXXXXXXXX auto-mac=no
############################################################################################
# Surcharge des IP de configuration - Arbitraire
############################################################################################
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether8-CONFIG network=192.168.88.0
add address=192.168.1.1/24 interface=ether1-ONT-OUT network=192.168.1.0
############################################################################################
# Ajout du VLAN 832 sur sfp-ONT-IN pour accès Internet (valable pour IPV4 et IPV6)
# VLAN 832 pour Internet, le 838 pour la VOD/Replay et le 840 pour le multicast TV
############################################################################################
/interface vlan
add comment="Internet ONT" interface=sfp-ONT-IN loop-protect-disable-time=0s loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
############################################################################################
# Définition des options du client DHCPv4 pour Orange
############################################################################################
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535........."
add code=90 name=authsend value=0x00000000000000..........
############################################################################################
# Définition de la plage d'IP LAN DHCP
############################################################################################
/ip pool
add name=pool_lan ranges=192.168.1.11-192.168.1.200
/ip dhcp-server
add address-pool=pool_lan disabled=no interface=ether1-ONT-OUT lease-time=1w name=LAN
############################################################################################
# Définition des types de queue utilisée par RouterOS pour gérer les interfaces qui nous occupent.
############################################################################################
/queue interface
set sfp-ONT-IN queue=ethernet-default
set ether1-ONT-OUT queue=ethernet-default
############################################################################################
# Definition du filtre qui envoit les requêtes DHCP avec la COS=6 si nécessaires à Orange
# Prélablement à la crétion du client DHCP bien sûr
############################################################################################
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes
/interface bridge port
add bridge=br-wan interface=vlan832-internet
# définition du pont où s'enverra la requête DHCP, à COS forgée
############################################################################################
############################################################################################
# Création du client DHCP qui requiert les adresses IPv4 et IPv6 à Orange
############################################################################################
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier disabled=no interface=br-wan
############################################################################################
############################################################################################
# On définit le service DNS pour le LAN
############################################################################################
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1 netmask=24
###########################################################################################
########################################################################################################################################################################################
# Avant de lancer le NAT, on crée deux doigts de règles de FW
########################################################################################################################################################################################
############################################################################################
# Définitions des listes particulières liées aux RFC pour ne pas prêter la joue inutilement.
############################################################################################
# D'abord on ajoute à la liste "support" toutes les tranches d'IP que nous allons utiliser
# C'est très imporant car si votre tranche IP LAN n'y est pas, le FW vous coupera l'accès au routeur lui même.
############################################################################################
/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=192.168.42.0/24 list=support
add address=192.168.255.0/24 list=support
##############################
# Puis quelques classes qui ne devraient pas nécessairement pousser des datagrames sur l'interface WAN
##############################
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" disabled=yes list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
#add address=224.0.0.0/4 comment="MC, Class D, IANA" disabled=yes list=bogons
############################################################################################
# Les règles de Firewall - adapter aux besoins
############################################################################################
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST" dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established
add action=accept chain=input comment="Accept to related connections" connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
############################################################################################
# Et enfin, le NAT
############################################################################################
/ip firewall nat
add action=masquerade chain=srcnat out-interface=br-wan to-addresses=0.0.0.0
############################################################################################
# Réglages des types d'accès en supervision
############################################################################################
/ip service
set telnet disabled=yes
set ftp disabled=yes
EDIT:
Maintenant que j'y pense, je devrais peut être juste utiliser l'ether1 (qui est en 2,5Gb) pour tout (accès à internet + routeur config).
Je ne vais pas descendre au garage à chaque fois que je veux changer un paramètre ou ajouter un port forward.
Peut être que le mieux est de supprimer cette ligne:
/interface ethernet
set [ find default-name=ether8 ] name=ether8-CONFIG
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether8-CONFIG network=192.168.88.0
Et à la place mettre :
/interface ethernet
set [ find default-name=ether8 ] disabled=yes
Q'en pensez-vous ?
EDIT2
Peux plus faire de screenshot vue que je n'ai pas accès à l'interface du routeur.
J'ai un débit pareil qu'avant, si ce n'est moindre. Est-ce normal ?