Auteur Sujet: La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (Lu 943716 fois)

Lucy-Han · « **Réponse #4908 le:** 20 octobre 2023 à 16:31:24 »

Bonjour à tous,

Après un an de MikroTik CHR derrière un CRS305, en Proxmox sur un dell Optiplex 7050 i7, passage en MikroTik CCR2004-1G-2XS-PCIe. Rien de particulier à signaler, une fois bien compris le fonctionnement du PCI Passthrough. Seul bémol : la carte est relativement bruyante, rien de grave l'Optiplex étant dans un cellier, mais pour un usage dans un bureau...

filou59 · « **Réponse #4909 le:** 20 octobre 2023 à 16:42:56 »

Citation de: Lucy-Han le 20 octobre 2023 à 16:31:24

Après un an de MikroTik CHR derrière un CRS305, en Proxmox sur un dell Optiplex 7050 i7, passage en MikroTik CCR2004-1G-2XS-PCIe. Rien de particulier à signaler, une fois bien compris le fonctionnement du PCI Passthrough. Seul bémol : la carte est relativement bruyante, rien de grave l'Optiplex étant dans un cellier, mais pour un usage dans un bureau...

Salut

Tien j'ai une config un peu similaire, je suis en train de tout revoir...

Tu mets ou l'ONU du coup ? Toujours dans le CRS305 ou directement dans le CCR2004 ?

Lucy-Han · « **Réponse #4910 le:** 20 octobre 2023 à 16:50:45 »

J'ai laissé l'ONU dans le CRS305. Sauf si les versions les plus récentes de RouterOS le permettent, j'ai le souvenir d'avoir lu que le CCR2004-1G-2XS-PCIe n'était pas compatible.

Reymouth · « **Réponse #4911 le:** 21 octobre 2023 à 00:31:22 »

Bonjour,

Après analyse, je constate que j'ai 2 route par defaut pour l'IPv6 :

Code: [Sélectionner]

Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, d - DHCP, g - SLAAC; + - ECMP
Columns: DST-ADDRESS, GATEWAY, DISTANCE
     DST-ADDRESS              GATEWAY                    DISTANCE
DAd+ ::/0                     fe80::ba0:bab%vlan832-wan         1
DAg+ ::/0                     fe80::ba0:bab%vlan832-wan         1

La première route en DAd+ est fourni par Orange via le DHCP. Par contre je ne sais pas d’où vient la seconde et je ne parviens pas à la supprimer. Je posséde un RB5009UPr+S+ en version 7.11.2.
Si vous avez une idée, je suis preneur. Merci

EDIT: J'ai trouvé mon soucis, j'avais activé l'option accept-router-advertisements.
Un coup de

Code: [Sélectionner]

ipv6/settings/ set accept-router-advertisements=yes et un redémarrage. Problème réglé !

ablyes · « **Réponse #4912 le:** 04 novembre 2023 à 18:32:06 »

Citation de: Mackila le 28 septembre 2021 à 20:39:23

@Gnubyte

Merci pour tout le boulot de synthèse, c'est assez extraordinaire d'avoir toute cette connaissance à disposition pour nos propres essais.

J'ai cependant relevé une coquille en bas de ton post n°1026 "configuration IPv4 pour Mikrotik [...]".

Code: [Sélectionner]
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=192.168.1.5 to-ports=80
En effet, le port forwarding ci-dessus, destiné à montrer les photos des bambins à leur grand-mère, m'a posé un léger problème : le taquin routeur ayant alors pour instruction de modifier les paquets émis par le LAN vers internet sur le port 80 (dont plus ou moins tout le traffic de navigation internet non chiffré), vers la machine hébergeuse de photos pour mamie.

Cet effet entrainant une légère gêne, j'ai d'abord modifié la règle pour ne rediriger que le traffic entrant dans le routeur depuis l'interface WAN sur le VLAN 832. C'est bien, ça fonctionne, mais il manque le petit truc pratique : le fameux "loopback" ou autrement nommé "hairpin NAT", qui permet aux machines du LAN d'accéder aux services hébergés sur le LAN en passant par l'IP publique (pour que du coup l'accès au dit service se fasse de façon identique depuis l'intérieur ou l'extérieur du réseau).

Première approche, qui fonctionne (temporairement), c'est d'ajouter, en lieu et place du filtre sur "In. interface", un filtre sur "Dst. Address", en y mettant l'adresse publique. C'est bien, ça fonctionne, mais ça va casser tout seul au premier changement d'IP publique .

En cas d'IP WAN dynamique, le salut pourrait venir d'un script pour mettre à jour la règle, mais je trouve que cela manque d'élégance.

La solution que j'ai mis en œuvre pour le moment, c'est de passer par un service de DNS dynamique. Perso j'utilise une adresse DynuDNS, laquelle est pointée par un CNAME de mon domaine habituel. Il suffit alors dans "Address Lists", de rajouter le nom à la liste nommée par exemple "WAN-IP", puis de filtrer la règle dst-nat avec le champs "Dst. Address List" avec la valeur "WAN-IP". Pour l'instant, ça a l'air de fonctionner correctement

J'ai le même souci, quand je pointe de l'extérieur, j'arrive à accéder à ce que je peux héberger sur mon nas.
De l'intérieur je ne peux pas (je note cepedant, que safari sait y accéder, je ne sais par quelle magie... incroyable).

Code: [Sélectionner]

add action=dst-nat chain=dstnat comment="http tcp" dst-port=80 in-interface=\
    br-wan protocol=tcp to-addresses=192.168.1.100 to-ports=80
add action=dst-nat chain=dstnat comment="http udp" dst-port=80 in-interface=\
    br-wan protocol=udp to-addresses=192.168.1.100 to-ports=80
add action=dst-nat chain=dstnat comment="https tcp" dst-port=443 \
    in-interface=br-wan protocol=tcp to-addresses=192.168.1.100 to-ports=443
add action=dst-nat chain=dstnat comment="https udp" dst-port=443 \

Quelle est l'astuce ?
La livebox le fait bien par défaut sans aucun souci.

pinomat · « **Réponse #4913 le:** 04 novembre 2023 à 19:06:30 »

Il manque peut être une règle forward ?
Ou alors, une autre règle "drop" les paquets.
Sinon, si c'est une connexion Orange donc avec ip publique sur vlan 832, je n'utiliserais pas le bridge mais l'interface vlan 832. Parce que selon ta config, tout ce qui vient du brwan est natté alors que ce n'est pas nécessaire.
Enfin, ce ne sont que des suppositions...
La connexion de l'extérieur arrive sur l'interface sur laquelle est assignée l'ip publique. Le routeur nat vers ton serveur puis forward la connexion vers ton serveur. Il faut autoriser aussi le retour (connexion established, related)...
En interne, ce n'est que du Routage, il ne doit pas avoir de nat (on peut le faire, mais c'est inutile).

Optix · « **Réponse #4914 le:** 04 novembre 2023 à 19:53:21 »

Suffit juste de lire la doc :

https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT

ablyes · « **Réponse #4915 le:** 04 novembre 2023 à 20:07:23 »

Oui je l’ai bien lue. Sur le moment j’ai compris l’exemple énoncé.
J’ai adapté quelques commandes supplémentaires mais je me retrouve à tout router vers mon nas maintenant !
Et j'espère que tu n'as pas un master en réseau pour simplement me renvoyer vers la doc

Je n’ai pas le level pour saisir les remarques précédentes.
Voici en partie la configuration liée à ce port forwarding.

Code: [Sélectionner]


add action=dst-nat chain=dstnat comment="http tcp" dst-port=80 in-interface=\
    bridge protocol=tcp to-addresses=192.168.1.100 to-ports=80
add action=dst-nat chain=dstnat comment="http udp" dst-port=80 in-interface=\
    bridge protocol=udp to-addresses=192.168.1.100 to-ports=80
add action=dst-nat chain=dstnat comment="https tcp" dst-port=443 \
    in-interface=bridge protocol=tcp to-addresses=192.168.1.100 to-ports=443
add action=dst-nat chain=dstnat comment="https udp" dst-port=443 \
    in-interface=bridge protocol=tcp to-addresses=192.168.1.100 to-ports=443

# ajoutées suite à la lecture de la doc :
add action=masquerade chain=srcnat comment="loopback tcp" dst-address=192.168.1.100 out-interface=bridge protocol=tcp src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="loopback udp" dst-address=192.168.1.100 out-interface=bridge protocol=udp src-address=192.168.1.0/24

Notez que j'utilise l'interface bridge maintenant.
Je route bien vers le nas en interne, mais un peu trop ... tout route vers le NAS maintenant.

Voici aussi mes interfaces :

yeocti · « **Réponse #4916 le:** 05 novembre 2023 à 14:38:13 »

Bonjour,

Citation de: ablyes le 04 novembre 2023 à 20:07:23

Code: [Sélectionner]
add action=dst-nat chain=dstnat comment="http tcp" dst-port=80 in-interface=\ bridge protocol=tcp to-addresses=192.168.1.100 to-ports=80 add action=dst-nat chain=dstnat comment="http udp" dst-port=80 in-interface=\ bridge protocol=udp to-addresses=192.168.1.100 to-ports=80 add action=dst-nat chain=dstnat comment="https tcp" dst-port=443 \ in-interface=bridge protocol=tcp to-addresses=192.168.1.100 to-ports=443 add action=dst-nat chain=dstnat comment="https udp" dst-port=443 \ in-interface=bridge protocol=tcp to-addresses=192.168.1.100 to-ports=443

Ces règles interceptent tout ce qui passe par l'interface bridge à destination du port 80 ou 443 et renvoi le trafic vers 192.168.1.100.
Il n'y a pas de distinction faite entre le trafic à destination de ton NAS et le reste. Tout est redirigé. Autrement dit, les règles ne sont pas assez sélectives.

Si tu veux utiliser ton adresse IP publique depuis ton réseau local, tes règles devraient ressembler à ça d'après la doc

) :

Code: [Sélectionner]

/ip firewall nat add chain=dstnat action=dst-nat dst-address=TON_IP_PUBLIQUE dst-port=80 to-addresses=192.168.1.100 to-ports=80 protocol=tcp
/ip firewall nat add chain=dstnat action=dst-nat dst-address=TON_IP_PUBLIQUE dst-port=80 to-addresses=192.168.1.100 to-ports=80 protocol=udp
/ip firewall nat add chain=dstnat action=dst-nat dst-address=TON_IP_PUBLIQUE dst-port=443 to-addresses=192.168.1.100 to-ports=443 protocol=tcp
/ip firewall nat add chain=dstnat action=dst-nat dst-address=TON_IP_PUBLIQUE dst-port=443 to-addresses=192.168.1.100 to-ports=443 protocol=udp

Les deux règles masquerade me semblent correctes.

Citation de: ablyes le 04 novembre 2023 à 20:07:23

Code: [Sélectionner]
# ajoutées suite à la lecture de la doc : add action=masquerade chain=srcnat comment="loopback tcp" dst-address=192.168.1.100 out-interface=bridge protocol=tcp src-address=192.168.1.0/24 add action=masquerade chain=srcnat comment="loopback udp" dst-address=192.168.1.100 out-interface=bridge protocol=udp src-address=192.168.1.0/24

ablyes · « **Réponse #4917 le:** 05 novembre 2023 à 15:36:54 »

Je comprends.
Y’a moyen d’y coller une variable ou quelque chose qui pointe vers un morceau de code en cas de changement d’ip ?
Je suis chez orange, mais mon ip change de temps à autres.

pinomat · « **Réponse #4918 le:** 05 novembre 2023 à 16:13:42 »

Citation de: ablyes le 05 novembre 2023 à 15:36:54

Je comprends.
Y’a moyen d’y coller une variable ou quelque chose qui pointe vers un morceau de code en cas de changement d’ip ?
Je suis chez orange, mais mon ip change de temps à autres.

Je t'ai donné différentes solutions en message privé. Merci d'ouvrir un post séparé pour ce problème particulier.
Il y a toujours 50 solutions à un problème.
Le plus simple est de créer une entrée dns spécifique dans la config du routeur et ton problème est réglé pour ton accès à partir du lan interne. C'est plus simple que de faire du hairpin nat+masquerade ou un vlan séparé + hairpin nat.
Pourquoi faire simple quand on peut faire compliqué....

ablyes · « **Réponse #4919 le:** 05 novembre 2023 à 17:32:26 »

Citation de: pinomat le 05 novembre 2023 à 16:13:42

Je t'ai donné différentes solutions en message privé. Merci d'ouvrir un post séparé pour ce problème particulier.
Il y a toujours 50 solutions à un problème.
Le plus simple est de créer une entrée dns spécifique dans la config du routeur et ton problème est réglé pour ton accès à partir du lan interne. C'est plus simple que de faire du hairpin nat+masquerade ou un vlan séparé + hairpin nat.
Pourquoi faire simple quand on peut faire compliqué....

En effet, j'avais saisi que je pouvais changer ça sur mon serveur dns local en cours de nos échanges, je n'avais pas saisi que je pouvais le faire à partir du routeur lui même sans faire de hairpin.
Ton dernier post éclaircis les choses pour moi, et je t'en remercie.
Je ne pense pas être le seul à poser des questions sur ce thread. Mille excuses si j'ai pollué le thread.