Bonjour,

Super tutoriel, merci beaucoup. J'pensais pas que me débarrasser de ma livebox était possible, j'ai eu de la chance de tomber la-dessus.

C'est tellement possible que ce forum regorge de façons de s'y prendre. Ce fil n'est pas le premier du genre, le début de l'éradication des LB date de 2014, grâce aux travaux d'un utilisateur nommé @Comm0n qui semble ne plus fréquenter le forum. Ce fil ne fait juste que présenter la possibilité de le faire avec les LB ne disposant pas d'ONT, donc avec la fibre directement branchée sur la LB, permettant d'utiliser la pleine vitesse bien avant l'avènement des LBv6.

Cela étant dit, je trouve les étapes 5 et 6 confuses entre elles : à moins que j'ai mal compris quelque chose, chacune arrive à contacter orange d'une manière différente. Donc quand est-ce que l'étape 5 prend fin et l'étape 6 commence ?

En fait le protocole d'authentification FTTH ITU G.984.x prévoit 2 niveaux d'authentification.
Tout d'abord, comme il s'agit d'un arbre optique partagé entre plusieurs voisins, il faut que l'équipement soit reconnu comme celui d'un client Orange de façon matérielle par les équipement optique réseau d'Orange. C'est ce qui se reconnait par le statut "O5" de la norme. Le Statut va de O1 à 05, de non connecté à connexion reconnue. C'est l'étape 5.

Une fois l'équipement optique reconnu, ce n'est pas pour autant que l'on a de l'internet qui transite. Le routeur doit alors lancer une requête dhcp forgée via une connexion à COS=6 forgée. Cette requête DHCP doit contenir les options attendues par les équipements Orange. Une fois que Orange reconnait le client, il lui fournit une connexion, avec une IPv4, une tranche d'IPv6, et ça roule.

Car brancher l'ONU (avec la fibre), puis faire l'étape 5, puis débrancher l'ONU pour finir selon la sixième étape ne m'a pas l'air cohérent.

J'ai aussi un autre problème : Après conversion sur rapidtables.com en hexa sans espace ou virgule, mon option 90 fait 418 caractères. En virant le Salt et le Byte du convertisseur de Kgersen, puis en le passant en hexa, j'en obtient 320, ce qui est toujours 180 caractères de trop. Une fois de plus, j'ai loupé un truc ?

Utilises la page de @kgersen https://jsfiddle.net/kgersen/3mnsc6wy/ en y insérant ton fti, et elle fait le café.

Dis nous ce qu'il en est.

Dis nous ce qu'il en est.

Merci beaucoup. Donc, il n'y a vraiment pas besoin d'insérer le ONU avant l'étape 6 ? L'étape 5, juste de la configuration du port sfp ?

D'ailleurs, voici ce que me donne un faux code 90 (même longueur que mon vrai login fti): 
30303A30303A30303A30303A30303A30303A30303A30303A30303A30303A30303A31613A30393A30303A30303A30353A35383A30313A30333A34313A30313A30443A36363A37343A36393A32463A33353A37323A37393A36373A36343A33353A33383A33633A31323A33313A33323A33333A33343A33353A33363A33373A33383A33393A33303A33313A33323A33333A33343A33353A33363A30333A31333A34313A66313A30383A38353A33613A31373A65303A37363A30323A62623A37393A35313A61623A39353A61303A31323A3662
Ça me parait un peu large. 

J'ai suivi le tutoriel ci dessous.
J'ai bien une ipv4 publique, le NAT fonctionne bien, je parviens à ping le 8.8.8.8 et google.fr MAIS j'arrive à accéder à certains sites (comme lafibre par exemple) mais pas à d'autres (comme Paypal, Google etc...)

Par ailleurs, je voudrais savoir comment ajouter l'ipv6, car sauf erreur de ma part ce tuto permet uniquement de récupérer une ipv4 sur le réseau Orange.

Faut-il configurer obligatoirement l'ipv6 pour accéder à certains site ? Normalement si les ports 80 et 443 sont ouverts je ne vois pas pourquoi je pourrais accéder à certains site et pas à d'autres.

Un certain nombre d'entre vous m'ont demandé la configuration IPv4 pour Mikrotik CCR2004-1G-12S+2XS.



Je rappelle que l'ensemble est plus qu'inspiré du volumineux post de Seb59 en Janvier 2017:

Rappel de l'organisation des ports. N'y cherchez pas de logique, il est d'inspiration Seb59. Les ports utilisés ne sont pas nécessairement collés les uns aux autres, de façon à diluer la dissipation thermique et repousser le seuil d'intervention du refroidissement actif.

D'origine, le CCR2004 démarre en 192.168.88.1/24 sur l'interface eth1 1Gbps.
Dans sa configuration d'origine, le plus simple consiste à s'y connecter avec winbox, et écraser certains réglages dans une même étape:
Cliquez sur Quick Set en haut à gauche, puis, modifiez ainsi

• L'adresse IP de la Gateway :192.168.1.1/
• Local Network / IP Address
• Router Indentity: Mikrotik CCR2004 (utile pour différentier le routeur des switchs 10Gbps du réseau
• Password: A changer immanquablement, car à peine connecté, des petits farceurs aux scripts aiguisés tenteront de se connecter.

Alors, il sera de bon ton de déconnecter winbox, puis de le reconnecter.

Le plus simple est de se connecter depuis une session ssh, moins à même de ne pas apprécier les quelques caractères accentués que j'ai glissé ici.

De façon à lier tous les Vlan nécessaires, nous utilisons un bridge.
ATTENTION, mise à jour du 1er janvier 2023:

La surcharge de l'adresse MAC de ce bridge permet l'envoi automatique d'un DUID DHCPv6 conforme aux attentes d'Orange.

FIN de mise à jour du 1er janvier 2023:

On écrase les IP des interfaces d'accès.
Créons une interface esclave sur ce vlan 832

Définissons les options nécéssaires à la configuration du client DHCP pour se connecter à l'accès Orange.

ATTENTION, mise à jour du 1er janvier 2023:
Convertissez votre identifiant fti  et votre mot de passe conformément à ce qu'affiche la généreuse page ad hoc de @Kgersen https://jsfiddle.net/kgersen/3mnsc6wy/
complet pour remplacer les 142 caractères XXXXXXXXXXXXXXXXXXXXX en les convertissant sur https://www.rapidtables.com/convert/number/ascii-to-hex.html

Attention, la valeur de l'option 90 comprend bien 140 caractères en hexa.
FIN de mise à jour du 1er janvier 2023:

On lancera le client DHCP un peu plus tard, nous avons deux ou trois choses à définir avant, comme le serveur DHCP côté LAN, interface ether12-LAN.

RouterOS permet de définir de nombreux types de queues, destinées à limiter et prioriser le traffic.
https://wiki.mikrotik.com/wiki/Manual:Queue pour plus d'informations.
Nous resterons dans le simple, First-In/First-Out, premier arrivé, premier distribué.

Si l'on lance le client DHCP requérrant l'IP publique à Orange, sans marquer CE trafic DHCP sortant de son nécessaire (selon la localisation géographique) niveau de priorité COS=6, cela ne fonctionnera pas.
Par chez moi c'est nécessaire.
Au passage, on ajoute l'interface esclave vlan832-internet au bridge br-wan, sur lequel s'nvoie la requête DHCP (à COS=6 forgée)

On peut enfin lancer l'authentification DHCP

À partir de ce moment, l'IP WAN apparaît sur le bridge br-wan dans l'interface winbox /IP/ADDRESS

Définissons le service DNS pour le LAN
Nous avons une adresse IP externe, mais le NAT IPv4 n'est pas encore lancé.
Créons donc quelques règles de Firewall.
D'abord on ajoute à la liste "support" toutes les tranches d'IP que nous allons utiliser
C'est très imporant car si votre tranche IP LAN n'y est pas, le FW vous coupera l'accès au routeur lui même.

Enfin, les règles firewall elles mêmes.

Notez le traitement spécial réservé aux tentatives d'ouverture de shell SSH depuis l'interface WAN.

Une fois les deux doigts de firewall activés, on peut lancer le NAT

Voilà, le routeur est connecté, et il route.
On peut alors ajouter un port forwarding vers son super serveur wouaibe pour montrer à mamie les photos des petits.
Ici, serveur web http port 80 sur l'IP LAN 192.168.1.5
Oui, c'est arbitraire.
Pensez bien à préciser l'interface d'entrée, sinon toutes les connexions sortantes, ici "in-interface=br-wan" vers un port identique (ici, une page web non chiffrée http://), serait immanquablement renvoyé vers le réseau interne.

On finit en désactivant le telnet et le FTP, au cas où.
Le plus sûr, c'est ssh, et que depuis l'intérieur du réseau.


J'ai commis ce post:

https://lafibre.info/mikrotik/script-dinclusion-de-blocklistes-de-moches/msg994334/#msg994334

On y trouve une série de scripts qui permettent de mettre à jour toutes les 4 heures une liste d'IP ou tranches d'IP de moches à droper depuis le brin WAN du FW.

Tout est détaillé en première page de ce sujet. Il y a un post pour l'IPv4 et à la suite, un post pour l'IPv6.
Aujourd'hui, IPv6 n'est pas indispensable pour accéder à internet. Les sites sont accessibles en IPv4 et souvent également en IPv6. En revanche, IPv6, c'est l'avenir et c'est très bien de vouloir le mettre en œuvre.

Il n'est pas nécessaire d'ouvrir les ports 80 et 443 sur ton routeur pour accéder à internet (sauf si tu as un serveur chez toi).
La configuration du pare-feu est également bien détaillée dans le tuto en première page de ce sujet, à la fois pour IPv4 et IPv6.

Merci pour ta réponse.

J'ai bien accès à internet avec la config en IPv4 only, mais je n'ai en revanche pas accès à tous les sites.
Certains chargent sans problème, d'autres non.
Je me demande quelle paramètre peut jouer là dessus ?

Cette page peut peut être à mieux cerné le souci : http://ip.lafibre.info/connectivite.php

Si je prend par exemple google, je ping le 8.8.8.8 et la résolution de nom se fait correctement (le ping à google.fr aboutit). En revanche impossible d'y accéder en web.
Je vais essayer le site que tu m'a envoyé ce soir ou demain, merci.

Le ping est fait depuis le routeur ?