Auteur Sujet: La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (Lu 944188 fois)

Asclèpios · « **Réponse #4704 le:** 05 juillet 2023 à 12:19:38 »

Citation de: ablyes le 05 juillet 2023 à 12:09:45

J'ai pas mal bossé.
Je vous mets ici ma configuration, je suis comme dirait-on bloqué, parce que je ne sais pas où regarder.
J'ai l'impression que la partie ipv4 et ipv6 sont bien configurées.
Merci d'avance pour vos conseils.

Code: [Sélectionner]
# 2023-07-05 12:02:52 by RouterOS 7.10.1 # software id = FVJY-YJ61 # # model = RB5009UG+S+ # serial number = HEH0XXXXXXX /interface bridge add admin-mac=48:A9:8A:D2:8A:69 auto-mac=no comment=defconf name=bridge /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip dhcp-client option add code=77 name=user-class value=0x2B46535644534C5F6C697665626F782E496E7465726E65742E736F66746174686F6D652E4C697665626F7835 add code=90 name=authentication value=0x00000000000000000000001aXXXXXXXXXXXXXX......XXXXXXXXX add code=60 name=vendor-class value=0x736167656d /ip pool add name=dhcp ranges=192.168.1.11-192.168.1.254 /ip dhcp-server add address-pool=dhcp interface=bridge lease-time=10m name=defconf /ipv6 dhcp-client option add code=15 name=userclass value=0x2B46535644534C5F6C697665626F782E496E7465726E65742E736F66746174686F6D652E4C697665626F7835 add code=11 name=authsend value=0x00000000000000000000001aXXXXXXXXXXXXXXXXXXXX....XXXXXX add code=1 name=DUID value=0x00030001209A7D31C6C0 add code=16 name=vendor-class value=0x0000040e0005736167656d add code=17 name=vendor-infos value=0x000005580006000e495056365f524551554553544544 /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=sfp-sfpplus1 /ip neighbor discovery-settings set discover-interface-list=LAN /ipv6 settings set accept-router-advertisements=yes /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /interface ovpn-server server set auth=sha1,md5 /ip address add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0 /ip dhcp-client add comment=defconf interface=ether1 /ip dhcp-server network add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.1.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6 add address=::1/128 comment="defconf: lo" list=bad_ipv6 add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6 add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6 add address=100::/64 comment="defconf: discard only " list=bad_ipv6 add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6 add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6 /ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN /system clock set time-zone-name=Europe/Paris /system identity set name=Troll /system note set show-at-login=no /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN

Pourquoi ne pas essayer avec Winbox ?

yeocti · « **Réponse #4705 le:** 05 juillet 2023 à 12:19:56 »

Il ne me semble pas voir la configuration de ton DHCP Client.
Tu as bien défini les options. Maintenant, il faut configurer le client lui même (tu l'avais pourtant fait dans la précédente configuration que tu avais posté 🤔)

Il te manque les bridge filters pour mettre la CoS à 6.

Édit : il y a semble t'il une configuration par défaut du DHCP client. Ce n'est pas bon.
Il n'y a pas d'interface pour récupérer le VLAN 832 d'Orange.

Reprends le tuto de la première page depuis le début pour la partie configuration Mikrotik. Concentre toi sur l'IPv4.
Une fois que tu maitriseras IPv4, tu pourras passer à IPv6.

ablyes · « **Réponse #4706 le:** 05 juillet 2023 à 12:44:02 »

J'ai ajouté les bridges filters.
Mais, ça ne prend pas cette commande, je ne comprends pas pourquoi.

Code: [Sélectionner]

/ip/dhcp-client> add dhcp-options=authsend,clientid,hostname,userclass interface=orange-832
input does not match any value of option

Config actuelle, après quelques ajouts.

Code: [Sélectionner]

# 2023-07-05 12:02:52 by RouterOS 7.10.1
# software id = FVJY-YJ61
#
# model = RB5009UG+S+
# serial number = HEH0XXXXXXX
/interface bridge
add admin-mac=48:A9:8A:D2:8A:69 auto-mac=no comment=defconf name=bridge
add fast-forward=no name=orange-832 protocol-mode=none
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,2500M-full arp=disabled mac-address=20:9A:7D:31:C6:C0 name=sfp-ONT-IN rx-flow-control=on tx-flow-control=on
/interface vlan
add interface=sfp-ONT-IN name=Orange832 vlan-id=832
add interface=ether1 name=VLAN832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=77 name=user-class value=0x2B46535644534C5F6C697665626F782E496E7465726E65742E736F66746174686F6D652E4C697665626F7835
add code=90 name=authentication value=0x00000000000000000000001aXXXXXXXXXXXXXX......XXXXXXXXX
add code=60 name=vendor-class value=0x736167656d
/ip pool
add name=dhcp ranges=192.168.1.11-192.168.1.254
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=10m name=defconf
/ipv6 dhcp-client option
add code=15 name=userclass value=0x2B46535644534C5F6C697665626F782E496E7465726E65742E736F66746174686F6D652E4C697665626F7835
add code=11 name=authsend value=0x00000000000000000000001aXXXXXXXXXXXXXXXXXXXX....XXXXXX
add code=1 name=DUID value=0x00030001209A7D31C6C0
add code=16 name=vendor-class value=0x0000040e0005736167656d
add code=17 name=vendor-infos value=0x000005580006000e495056365f524551554553544544
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP IPv4 request" mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes src-port=68
add action=set-priority chain=output disabled=yes mac-protocol=ipv6 new-priority=6 out-interface=VLAN832 passthrough=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-ONT-IN
add bridge=orange-832 interface=VLAN832
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set accept-router-advertisements=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=Troll
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Asclèpios · « **Réponse #4707 le:** 05 juillet 2023 à 12:57:57 »

Citation de: ablyes le 05 juillet 2023 à 12:44:02

J'ai ajouté les bridges filters.
Mais, ça ne prend pas cette commande, je ne comprends pas pourquoi.
Code: [Sélectionner]
/ip/dhcp-client> add dhcp-options=authsend,clientid,hostname,userclass interface=orange-832 input does not match any value of option

Config actuelle, après quelques ajouts.
Code: [Sélectionner]
Comme indiqué dans le retour de la commande une option = une valeur Faire la configuration via Winbox serait pour toi plus simple … car plus visuel # 2023-07-05 12:02:52 by RouterOS 7.10.1 # software id = FVJY-YJ61 # # model = RB5009UG+S+ # serial number = HEH0XXXXXXX /interface bridge add admin-mac=48:A9:8A:D2:8A:69 auto-mac=no comment=defconf name=bridge add fast-forward=no name=orange-832 protocol-mode=none /interface ethernet set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,2500M-full arp=disabled mac-address=20:9A:7D:31:C6:C0 name=sfp-ONT-IN rx-flow-control=on tx-flow-control=on /interface vlan add interface=sfp-ONT-IN name=Orange832 vlan-id=832 add interface=ether1 name=VLAN832 vlan-id=832 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip dhcp-client option add code=77 name=user-class value=0x2B46535644534C5F6C697665626F782E496E7465726E65742E736F66746174686F6D652E4C697665626F7835 add code=90 name=authentication value=0x00000000000000000000001aXXXXXXXXXXXXXX......XXXXXXXXX add code=60 name=vendor-class value=0x736167656d /ip pool add name=dhcp ranges=192.168.1.11-192.168.1.254 /ip dhcp-server add address-pool=dhcp interface=bridge lease-time=10m name=defconf /ipv6 dhcp-client option add code=15 name=userclass value=0x2B46535644534C5F6C697665626F782E496E7465726E65742E736F66746174686F6D652E4C697665626F7835 add code=11 name=authsend value=0x00000000000000000000001aXXXXXXXXXXXXXXXXXXXX....XXXXXX add code=1 name=DUID value=0x00030001209A7D31C6C0 add code=16 name=vendor-class value=0x0000040e0005736167656d add code=17 name=vendor-infos value=0x000005580006000e495056365f524551554553544544 /interface bridge filter add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP IPv4 request" mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=VLAN832 passthrough=yes src-port=68 add action=set-priority chain=output disabled=yes mac-protocol=ipv6 new-priority=6 out-interface=VLAN832 passthrough=yes /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=sfp-ONT-IN add bridge=orange-832 interface=VLAN832 /ip neighbor discovery-settings set discover-interface-list=LAN /ipv6 settings set accept-router-advertisements=yes /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /interface ovpn-server server set auth=sha1,md5 /ip address add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0 /ip dhcp-client add comment=defconf interface=ether1 /ip dhcp-server network add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.1.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6 add address=::1/128 comment="defconf: lo" list=bad_ipv6 add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6 add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6 add address=100::/64 comment="defconf: discard only " list=bad_ipv6 add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6 add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6 /ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN /system clock set time-zone-name=Europe/Paris /system identity set name=Troll /system note set show-at-login=no /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN

Comme indiqué dans le retour de la commande une option = une valeur

Faire la configuration via Winbox serait pour toi plus simple … car plus visuel

yeocti · « **Réponse #4708 le:** 05 juillet 2023 à 13:06:16 »

Citation de: ablyes le 05 juillet 2023 à 12:44:02

Mais, ça ne prend pas cette commande, je ne comprends pas pourquoi.
Code: [Sélectionner]
/ip/dhcp-client> add dhcp-options=authsend,clientid,hostname,userclass interface=orange-832 input does not match any value of option

La réponse t'est pourtant donnée : input does not match any value of option

Ce que tu as défini comme option :

Code: [Sélectionner]

/ip dhcp-client option
add code=77 name=user-class value=0x2B46535644534C5F6C697665626F782E496E7465726E65742E736F66746174686F6D652E4C697665626F7835
add code=90 name=authentication value=0x00000000000000000000001aXXXXXXXXXXXXXX......XXXXXXXXX
add code=60 name=vendor-class value=0x736167656d

Les options que tu donnes à ton dhcp-client :

Code: [Sélectionner]

add dhcp-options=authsend,clientid,hostname,userclass interface=orange-832

Pourquoi tu crées 2 interfaces pour le VLAN 832 ?

Code: [Sélectionner]

/interface vlan
add interface=sfp-ONT-IN name=Orange832 vlan-id=832
add interface=ether1 name=VLAN832 vlan-id=832

Concentre-toi sur le tuto de la première page.
Relis et comprends la logique de la configuration.

ablyes · « **Réponse #4709 le:** 05 juillet 2023 à 13:49:28 »

J'ai effacé la 2ème interface VLAN832 créée par erreur.

Je n'avais pas compris le mécanisme.
On déclare des DHCP options, mais qui ne sont pas utilisées.
Puis on les affecte à une interface.

Donc j'aurais dû taper :

Code: [Sélectionner]

add dhcp-options=authentication,clientid,hostname,user-class interface=orange-832

Commande ok, mais je désespère.
Config actuelle :

Code: [Sélectionner]

# 2023-07-05 13:57:08 by RouterOS 7.10.1
# software id = FVJY-YJ61
#
# model = RB5009UG+S+
# serial number = HEH0XXXXXXX
/interface bridge
add admin-mac=48:A9:8A:D2:8A:69 auto-mac=no comment=defconf name=bridge
add fast-forward=no name=orange-832 protocol-mode=none
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,2500M-full arp=disabled mac-address=20:9A:7D:31:C6:C0 name=sfp-ONT-IN rx-flow-control=on tx-flow-control=on
/interface vlan
add interface=sfp-ONT-IN name=Orange832 vlan-id=832
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=77 name=user-class value=0x2B46535644534C5F6C697665626F782E496E7465726E65742E736F66746174686F6D652E4C697665626F7835
add code=90 name=authentication value=0x00000000000000000000001aXXXXXXXXXXXXXX......XXXXXXXXX
add code=60 name=vendor-class value=0x736167656d
/ip pool
add name=dhcp ranges=192.168.1.11-192.168.1.254
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=10m name=defconf
/ipv6 dhcp-client option
add code=15 name=userclass value=0x2B46535644534C5F6C697665626F782E496E7465726E65742E736F66746174686F6D652E4C697665626F7835
add code=11 name=authsend value=0x00000000000000000000001aXXXXXXXXXXXXXXXXXXXX....XXXXXX
add code=1 name=DUID value=0x00030001209A7D31C6C0
add code=16 name=vendor-class value=0x0000040e0005736167656d
add code=17 name=vendor-infos value=0x000005580006000e495056365f524551554553544544
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (Orange832) is not slave
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP IPv4 request" mac-protocol=ip new-priority=6 out-interface=Orange832 passthrough=yes
# in/out-bridge-port matcher not possible when interface (Orange832) is not slave
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=Orange832 passthrough=yes src-port=68
add action=set-priority chain=output disabled=yes mac-protocol=ipv6 new-priority=6 out-interface=Orange832 passthrough=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-ONT-IN
add bridge=orange-832 interface=*D
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set accept-router-advertisements=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add comment=defconf interface=ether1
add dhcp-options=authentication,clientid,hostname,user-class interface=orange-832
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=Troll
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Asclèpios · « **Réponse #4710 le:** 06 juillet 2023 à 09:27:15 »

Depuis l’interface Winbox fait les captures d’écran suivantes :
dans IP > DHCP Client > DHCP Client Option
dans IP > DHCP Client > DHCP Client
Dans IP > Address
Dans IPv6 > IPv6 Settings > Disable IPv6

Puis rebranche ta Livebox vérifie internet OK depuis celle-ci

Rebranche routeur et refais les captures d’écran

Le fait que ton dhcp-client indique 172.16 …. Est déjà bon signe

yeocti · « **Réponse #4711 le:** 06 juillet 2023 à 16:56:28 »

Sur IPv4, je ne vois pas d'erreurs particulières.

Sur IPv6, il y a deux/trois choses :
L'option 15 doit être égale à 0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7835
L'option 17 n'est pas nécessaire.

Je vois que tu as mis une option DUID. Ce n'est pas nécessaire et en principe, elle ne sera pas prise en compte.
En revanche, il faut sans doute que tu coches la case Use Interface DUID.

Dans un premier temps, désactive comme le suggère Asclèpios IPv6. Si tu obtiens une IPv4, c'est parfait, tu pourras configurer IPv6 en tenant compte des commentaires ci-dessous.
Si pas d'IPv4 alors on va déboguer cette partie d'abord.

ablyes · « **Réponse #4712 le:** 06 juillet 2023 à 19:05:49 »

Et bien, voilà, en reprenant le premier post, et en comprenant la différence entre le RB5009 et le CCR2004, on arrive à quelque chose.
ça a été compliqué, et frustrant. J'ai maintenant une IP en 86.201
Je mets ici la configuration de mon RB5009 avec l'ipv4 uniquement.
Il me reste un souci à régler, j'ai paramétré l'ether8 pour avoir l'interface, mais je ne l'ai pas !
J'ai donc perdu la possibilité de configurer le routeur, ce que je fais habituellment : hard reset, mais ça sera la 10ème de la journée.
Est-ce-que vous pouvez m'aider sur cette partie ci ?
Est-ce-que vous voyez une règle de sécurité à ajouter ou une grosse boulette dans ma config (au moins celle qui me prive de l'accès à l'ip 192.168.88.1)

Code: [Sélectionner]

###################################################################################################
# Configuration des interfaces du routeur
###################################################################################################

/interface ethernet

set [ find default-name=ether1 ] name=ether1-ONT-OUT
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] name=ether8-CONFIG
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,2500M-full arp=disabled mac-address=20:9A:7D:31:C6:C0 name=sfp-ONT-IN rx-flow-control=on speed=2.5Gbps tx-flow-control=on

##################################################
# Créons le bridge principal qui va servir sans arrêt
# On remplace XX:XX:XX:XX:XX:XX par l'adresse MAC de la
# Livebox, généreusement notée sur l'étiquette placée dessous
##################################################
/interface bridge
add name=br-wan admin-mac=20:9A:7DXXXXXXXX auto-mac=no

############################################################################################
# Surcharge des IP de configuration - Arbitraire
############################################################################################
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether8-CONFIG network=192.168.88.0
add address=192.168.1.1/24 interface=ether1-ONT-OUT network=192.168.1.0

############################################################################################
# Ajout du VLAN 832 sur sfp-ONT-IN pour accès Internet (valable pour IPV4 et IPV6)
# VLAN 832 pour Internet, le 838 pour la VOD/Replay et le 840 pour le multicast TV
############################################################################################
/interface vlan
add comment="Internet ONT" interface=sfp-ONT-IN loop-protect-disable-time=0s loop-protect-send-interval=1s name=vlan832-internet vlan-id=832

############################################################################################
# Définition des options du client DHCPv4 pour Orange
############################################################################################
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535........."
add code=90 name=authsend value=0x00000000000000..........


############################################################################################
# Définition de la plage d'IP LAN DHCP
############################################################################################
/ip pool
add name=pool_lan ranges=192.168.1.11-192.168.1.200
/ip dhcp-server
add address-pool=pool_lan disabled=no interface=ether1-ONT-OUT lease-time=1w name=LAN

############################################################################################
# Définition des types de queue utilisée par RouterOS pour gérer les interfaces qui nous occupent.
############################################################################################
/queue interface
set sfp-ONT-IN queue=ethernet-default
set ether1-ONT-OUT queue=ethernet-default

############################################################################################
# Definition du filtre qui envoit les requêtes DHCP avec la COS=6 si nécessaires à Orange
# Prélablement à la crétion du client DHCP bien sûr
############################################################################################
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes
/interface bridge port   
add bridge=br-wan interface=vlan832-internet
# définition du pont où s'enverra la requête DHCP, à COS forgée
############################################################################################

############################################################################################
# Création du client DHCP qui requiert les adresses IPv4 et IPv6 à Orange
############################################################################################
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier disabled=no interface=br-wan
############################################################################################

############################################################################################
# On définit le service DNS pour le LAN
############################################################################################
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1 netmask=24
###########################################################################################

########################################################################################################################################################################################
# Avant de lancer le NAT, on crée deux doigts de règles de FW
########################################################################################################################################################################################

############################################################################################
# Définitions des listes particulières liées aux RFC pour ne pas prêter la joue inutilement.
############################################################################################
# D'abord on ajoute à la liste "support" toutes les tranches d'IP que nous allons utiliser
# C'est très imporant car si votre tranche IP LAN n'y est pas, le FW vous coupera l'accès au routeur lui même.
############################################################################################

/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=192.168.42.0/24 list=support
add address=192.168.255.0/24 list=support
##############################
# Puis quelques classes qui ne devraient pas nécessairement pousser des datagrames sur l'interface WAN
##############################
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" disabled=yes list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
#add address=224.0.0.0/4 comment="MC, Class D, IANA" disabled=yes list=bogons

############################################################################################
# Les règles de Firewall - adapter aux besoins
############################################################################################

/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST" dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established
add action=accept chain=input comment="Accept to related connections" connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp

add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist

############################################################################################
# Et enfin, le NAT
############################################################################################
/ip firewall nat
add action=masquerade chain=srcnat out-interface=br-wan to-addresses=0.0.0.0

############################################################################################
# Réglages des types d'accès en supervision
############################################################################################
/ip service
set telnet disabled=yes
set ftp disabled=yes

EDIT:
Maintenant que j'y pense, je devrais peut être juste utiliser l'ether1 (qui est en 2,5Gb) pour tout (accès à internet + routeur config).
Je ne vais pas descendre au garage à chaque fois que je veux changer un paramètre ou ajouter un port forward.
Peut être que le mieux est de supprimer cette ligne:

Code: [Sélectionner]

/interface ethernet
set [ find default-name=ether8 ] name=ether8-CONFIG

/ip address
add address=192.168.88.1/24 comment=defconf interface=ether8-CONFIG network=192.168.88.0

Et à la place mettre :

Code: [Sélectionner]

/interface ethernet
set [ find default-name=ether8 ] disabled=yes

Q'en pensez-vous ?

EDIT2
Peux plus faire de screenshot vue que je n'ai pas accès à l'interface du routeur.
J'ai un débit pareil qu'avant, si ce n'est moindre. Est-ce normal ?

yeocti · « **Réponse #4713 le:** 06 juillet 2023 à 19:33:28 »

Citation de: ablyes le 06 juillet 2023 à 19:05:49

J'ai maintenant une IP en 86.201

Félicitations !

Citation de: ablyes le 06 juillet 2023 à 19:05:49

Il me reste un souci à régler, j'ai paramétré l'ether8 pour avoir l'interface, mais je ne l'ai pas !
J'ai donc perdu la possibilité de configurer le routeur, ce que je fais habituellment : hard reset, mais ça sera la 10ème de la journée.
Est-ce-que vous pouvez m'aider sur cette partie ci ?
Est-ce-que vous voyez une règle de sécurité à ajouter ou une grosse boulette dans ma config (au moins celle qui me prive de l'accès à l'ip 192.168.88.1)

Ton PC est branché sur ether 8 ? Tu lui as assigné une IP en 192.168.88.x du coup (vu qu'il n'y a pas de serveur DHCP sur cette interface) ?
Qu'est ce qui est branché sur ether1 ? et sur le SFP ?

Je pense que tu dois pouvoir accéder à ton routeur par sa MAC. Sur l'écran de connexion Winbox, onglet Neighbors, il n'apparait pas ?

Autre question qui n'a rien à voir : tu as un seul bridge br-wan ou tu as gardé le bridge de la configuration par défaut en plus ?

Citation de: ablyes le 06 juillet 2023 à 19:05:49

J'ai un débit pareil qu'avant, si ce n'est moindre. Est-ce normal ?

La connexion entre le routeur et l'ONT est à 2,5GBps ?

ablyes · « **Réponse #4714 le:** 06 juillet 2023 à 20:23:16 »

Citer

Ton PC est branché sur ether 8 ? Tu lui as assigné une IP en 192.168.88.x du coup (vu qu'il n'y a pas de serveur DHCP sur cette interface) ?
Qu'est ce qui est branché sur ether1 ? et sur le SFP ?

Je pense que tu dois pouvoir accéder à ton routeur par sa MAC. Sur l'écran de connexion Winbox, onglet Neighbors, il n'apparait pas ?

Autre question qui n'a rien à voir : tu as un seul bridge br-wan ou tu as gardé le bridge de la configuration par défaut en plus ?

Sur le sfp c'est le GPON fs.com avec la fibre dessus.
Sur ether8, j'ai une ip en 192.168.88.251, mais je ne vois pas le routeur sensé être en 88.1
J'ai un mac, et Winbox sur parallel desktop ne détecte pas les addresses mac ... je dois utiliser un autre PC, pénible.

Je devrais connecter mon switch sur ether1, et oublier définitivement ether8 comme expliqué dans mon EDIT.

Citer

La connexion entre le routeur et l'ONT est à 2,5GBps ?

Aucune idée ! Comment je fais pour le savoir ?

yeocti · « **Réponse #4715 le:** 06 juillet 2023 à 20:34:22 »

Je pense que ton problème est là :

Tu as une règle de pare-feu qui restreint l'accès Winbox pour ce qui n'est pas dans la liste support.

Code: [Sélectionner]

add action=drop chain=input comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST" dst-port=8291 protocol=tcp src-address-list=!support

Seulement, dans la liste support, tu as :

Code: [Sélectionner]

/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=192.168.42.0/24 list=support
add address=192.168.255.0/24 list=support

La plage 192.168.88.x n'y est pas. Par contre, 192.168.1.x oui. Donc, en te branchant sur ether1, tu devrais récupérer l'accès au routeur.
Sinon, je pense que depuis ether8, tu dois avoir accès à l'interface web.