Auteur Sujet: La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (Lu 1451171 fois)

Reymouth · « **Réponse #4908 le:** 21 octobre 2023 à 00:31:22 »

Bonjour,

Après analyse, je constate que j'ai 2 route par defaut pour l'IPv6 :

Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, d - DHCP, g - SLAAC; + - ECMP
Columns: DST-ADDRESS, GATEWAY, DISTANCE
     DST-ADDRESS              GATEWAY                    DISTANCE
DAd+ ::/0                     fe80::ba0:bab%vlan832-wan         1
DAg+ ::/0                     fe80::ba0:bab%vlan832-wan         1

La première route en DAd+ est fourni par Orange via le DHCP. Par contre je ne sais pas d’où vient la seconde et je ne parviens pas à la supprimer. Je posséde un RB5009UPr+S+ en version 7.11.2.
Si vous avez une idée, je suis preneur. Merci

EDIT: J'ai trouvé mon soucis, j'avais activé l'option accept-router-advertisements.
Un coup de

Code: [Sélectionner]

ipv6/settings/ set accept-router-advertisements=yes et un redémarrage. Problème réglé !

ablyes · « **Réponse #4909 le:** 04 novembre 2023 à 18:32:06 »

Citation de: Mackila le 28 septembre 2021 à 20:39:23

@Gnubyte

Merci pour tout le boulot de synthèse, c'est assez extraordinaire d'avoir toute cette connaissance à disposition pour nos propres essais.

J'ai cependant relevé une coquille en bas de ton post n°1026 "configuration IPv4 pour Mikrotik [...]".

Code: [Sélectionner]
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=192.168.1.5 to-ports=80
En effet, le port forwarding ci-dessus, destiné à montrer les photos des bambins à leur grand-mère, m'a posé un léger problème : le taquin routeur ayant alors pour instruction de modifier les paquets émis par le LAN vers internet sur le port 80 (dont plus ou moins tout le traffic de navigation internet non chiffré), vers la machine hébergeuse de photos pour mamie.

Cet effet entrainant une légère gêne, j'ai d'abord modifié la règle pour ne rediriger que le traffic entrant dans le routeur depuis l'interface WAN sur le VLAN 832. C'est bien, ça fonctionne, mais il manque le petit truc pratique : le fameux "loopback" ou autrement nommé "hairpin NAT", qui permet aux machines du LAN d'accéder aux services hébergés sur le LAN en passant par l'IP publique (pour que du coup l'accès au dit service se fasse de façon identique depuis l'intérieur ou l'extérieur du réseau).

Première approche, qui fonctionne (temporairement), c'est d'ajouter, en lieu et place du filtre sur "In. interface", un filtre sur "Dst. Address", en y mettant l'adresse publique. C'est bien, ça fonctionne, mais ça va casser tout seul au premier changement d'IP publique .

En cas d'IP WAN dynamique, le salut pourrait venir d'un script pour mettre à jour la règle, mais je trouve que cela manque d'élégance.

La solution que j'ai mis en œuvre pour le moment, c'est de passer par un service de DNS dynamique. Perso j'utilise une adresse DynuDNS, laquelle est pointée par un CNAME de mon domaine habituel. Il suffit alors dans "Address Lists", de rajouter le nom à la liste nommée par exemple "WAN-IP", puis de filtrer la règle dst-nat avec le champs "Dst. Address List" avec la valeur "WAN-IP". Pour l'instant, ça a l'air de fonctionner correctement

J'ai le même souci, quand je pointe de l'extérieur, j'arrive à accéder à ce que je peux héberger sur mon nas.
De l'intérieur je ne peux pas (je note cepedant, que safari sait y accéder, je ne sais par quelle magie... incroyable).

Code: [Sélectionner]

add action=dst-nat chain=dstnat comment="http tcp" dst-port=80 in-interface=\
    br-wan protocol=tcp to-addresses=192.168.1.100 to-ports=80
add action=dst-nat chain=dstnat comment="http udp" dst-port=80 in-interface=\
    br-wan protocol=udp to-addresses=192.168.1.100 to-ports=80
add action=dst-nat chain=dstnat comment="https tcp" dst-port=443 \
    in-interface=br-wan protocol=tcp to-addresses=192.168.1.100 to-ports=443
add action=dst-nat chain=dstnat comment="https udp" dst-port=443 \

Quelle est l'astuce ?
La livebox le fait bien par défaut sans aucun souci.

pinomat · « **Réponse #4910 le:** 04 novembre 2023 à 19:06:30 »

Il manque peut être une règle forward ?
Ou alors, une autre règle "drop" les paquets.
Sinon, si c'est une connexion Orange donc avec ip publique sur vlan 832, je n'utiliserais pas le bridge mais l'interface vlan 832. Parce que selon ta config, tout ce qui vient du brwan est natté alors que ce n'est pas nécessaire.
Enfin, ce ne sont que des suppositions...
La connexion de l'extérieur arrive sur l'interface sur laquelle est assignée l'ip publique. Le routeur nat vers ton serveur puis forward la connexion vers ton serveur. Il faut autoriser aussi le retour (connexion established, related)...
En interne, ce n'est que du Routage, il ne doit pas avoir de nat (on peut le faire, mais c'est inutile).

Optix · « **Réponse #4911 le:** 04 novembre 2023 à 19:53:21 »

Suffit juste de lire la doc :

https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT

ablyes · « **Réponse #4912 le:** 04 novembre 2023 à 20:07:23 »

Oui je l’ai bien lue. Sur le moment j’ai compris l’exemple énoncé.
J’ai adapté quelques commandes supplémentaires mais je me retrouve à tout router vers mon nas maintenant !
Et j'espère que tu n'as pas un master en réseau pour simplement me renvoyer vers la doc

Je n’ai pas le level pour saisir les remarques précédentes.
Voici en partie la configuration liée à ce port forwarding.

Code: [Sélectionner]


add action=dst-nat chain=dstnat comment="http tcp" dst-port=80 in-interface=\
    bridge protocol=tcp to-addresses=192.168.1.100 to-ports=80
add action=dst-nat chain=dstnat comment="http udp" dst-port=80 in-interface=\
    bridge protocol=udp to-addresses=192.168.1.100 to-ports=80
add action=dst-nat chain=dstnat comment="https tcp" dst-port=443 \
    in-interface=bridge protocol=tcp to-addresses=192.168.1.100 to-ports=443
add action=dst-nat chain=dstnat comment="https udp" dst-port=443 \
    in-interface=bridge protocol=tcp to-addresses=192.168.1.100 to-ports=443

# ajoutées suite à la lecture de la doc :
add action=masquerade chain=srcnat comment="loopback tcp" dst-address=192.168.1.100 out-interface=bridge protocol=tcp src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment="loopback udp" dst-address=192.168.1.100 out-interface=bridge protocol=udp src-address=192.168.1.0/24

Notez que j'utilise l'interface bridge maintenant.
Je route bien vers le nas en interne, mais un peu trop ... tout route vers le NAS maintenant.

Voici aussi mes interfaces :

yeocti · « **Réponse #4913 le:** 05 novembre 2023 à 14:38:13 »

Bonjour,

Citation de: ablyes le 04 novembre 2023 à 20:07:23

Code: [Sélectionner]
add action=dst-nat chain=dstnat comment="http tcp" dst-port=80 in-interface=\ bridge protocol=tcp to-addresses=192.168.1.100 to-ports=80 add action=dst-nat chain=dstnat comment="http udp" dst-port=80 in-interface=\ bridge protocol=udp to-addresses=192.168.1.100 to-ports=80 add action=dst-nat chain=dstnat comment="https tcp" dst-port=443 \ in-interface=bridge protocol=tcp to-addresses=192.168.1.100 to-ports=443 add action=dst-nat chain=dstnat comment="https udp" dst-port=443 \ in-interface=bridge protocol=tcp to-addresses=192.168.1.100 to-ports=443

Ces règles interceptent tout ce qui passe par l'interface bridge à destination du port 80 ou 443 et renvoi le trafic vers 192.168.1.100.
Il n'y a pas de distinction faite entre le trafic à destination de ton NAS et le reste. Tout est redirigé. Autrement dit, les règles ne sont pas assez sélectives.

Si tu veux utiliser ton adresse IP publique depuis ton réseau local, tes règles devraient ressembler à ça d'après la doc

) :

Code: [Sélectionner]

/ip firewall nat add chain=dstnat action=dst-nat dst-address=TON_IP_PUBLIQUE dst-port=80 to-addresses=192.168.1.100 to-ports=80 protocol=tcp
/ip firewall nat add chain=dstnat action=dst-nat dst-address=TON_IP_PUBLIQUE dst-port=80 to-addresses=192.168.1.100 to-ports=80 protocol=udp
/ip firewall nat add chain=dstnat action=dst-nat dst-address=TON_IP_PUBLIQUE dst-port=443 to-addresses=192.168.1.100 to-ports=443 protocol=tcp
/ip firewall nat add chain=dstnat action=dst-nat dst-address=TON_IP_PUBLIQUE dst-port=443 to-addresses=192.168.1.100 to-ports=443 protocol=udp

Les deux règles masquerade me semblent correctes.

Citation de: ablyes le 04 novembre 2023 à 20:07:23

Code: [Sélectionner]
# ajoutées suite à la lecture de la doc : add action=masquerade chain=srcnat comment="loopback tcp" dst-address=192.168.1.100 out-interface=bridge protocol=tcp src-address=192.168.1.0/24 add action=masquerade chain=srcnat comment="loopback udp" dst-address=192.168.1.100 out-interface=bridge protocol=udp src-address=192.168.1.0/24

ablyes · « **Réponse #4914 le:** 05 novembre 2023 à 15:36:54 »

Je comprends.
Y’a moyen d’y coller une variable ou quelque chose qui pointe vers un morceau de code en cas de changement d’ip ?
Je suis chez orange, mais mon ip change de temps à autres.

pinomat · « **Réponse #4915 le:** 05 novembre 2023 à 16:13:42 »

Citation de: ablyes le 05 novembre 2023 à 15:36:54

Je comprends.
Y’a moyen d’y coller une variable ou quelque chose qui pointe vers un morceau de code en cas de changement d’ip ?
Je suis chez orange, mais mon ip change de temps à autres.

Je t'ai donné différentes solutions en message privé. Merci d'ouvrir un post séparé pour ce problème particulier.
Il y a toujours 50 solutions à un problème.
Le plus simple est de créer une entrée dns spécifique dans la config du routeur et ton problème est réglé pour ton accès à partir du lan interne. C'est plus simple que de faire du hairpin nat+masquerade ou un vlan séparé + hairpin nat.
Pourquoi faire simple quand on peut faire compliqué....

ablyes · « **Réponse #4916 le:** 05 novembre 2023 à 17:32:26 »

Citation de: pinomat le 05 novembre 2023 à 16:13:42

Je t'ai donné différentes solutions en message privé. Merci d'ouvrir un post séparé pour ce problème particulier.
Il y a toujours 50 solutions à un problème.
Le plus simple est de créer une entrée dns spécifique dans la config du routeur et ton problème est réglé pour ton accès à partir du lan interne. C'est plus simple que de faire du hairpin nat+masquerade ou un vlan séparé + hairpin nat.
Pourquoi faire simple quand on peut faire compliqué....

En effet, j'avais saisi que je pouvais changer ça sur mon serveur dns local en cours de nos échanges, je n'avais pas saisi que je pouvais le faire à partir du routeur lui même sans faire de hairpin.
Ton dernier post éclaircis les choses pour moi, et je t'en remercie.
Je ne pense pas être le seul à poser des questions sur ce thread. Mille excuses si j'ai pollué le thread.

tucs · « **Réponse #4917 le:** 05 novembre 2023 à 17:59:39 »

Citation de: ablyes le 05 novembre 2023 à 15:36:54

Je comprends.
Y’a moyen d’y coller une variable ou quelque chose qui pointe vers un morceau de code en cas de changement d’ip ?
Je suis chez orange, mais mon ip change de temps à autres.

Sur mikrotik, il y a l'option ip > cloud
ça donne un dns name de l'ip dynamique

unipo · « **Réponse #4918 le:** 05 novembre 2023 à 20:58:28 »

Petite histoire en cette fin de week-end (tldr en fin de post)

Pour commencer, offre orange 500/500 (moins cher, suffisant margres mon utilisation intensive, et surtout c'etait le seul moyen que j'avait à l'epoque d'avoir un ONT de la part d'orange.)

Setup de base
ONT orange => Raspberry Pi4 => Edgerouter X SFP => Tout mon bordel.

Setup voulut
ONT GPON-ONU-34-20BI de chez FS.com => Edgerouter X SFP => toujours le même bordel

La raison étant de sortir le Pi 4, l'ERX-SFP étant largement suffisant pour le moment (peu de bufferbloat avec hardware offloading et il me sature 500/500) et me sortir la dernière pièce d'équipement d'orange (mis à part le décodeur)

Déplacement de config/vlans/firewall sans soucis, ONT GPON-ONU-34-20BI reconnu par l'ER-XSFP (mes recherches m'ont permit de trouvé que depuis un merge d'openwrt il n'y a plus besoins de hacker (pont de soudure) les modules SFP pour bypasser l'auto négociation).

Le problème m'ayant fait perdre le plus de temps a été de récupérer les VLANs sur l'ONT:
Je lui avait rentré le numéro de série de l'ONT d'orange ainsi que le hardwareversion. Il s'autentifiait bien auprès de l'OLT mais j'avais aucune VLAN d'orange (832/835/840/etc...).
Passé deux heures d'acharnement et proche de l'abandon j'ai tenté de rentrer un hardwareversion de l'ONT d'une livebox5 trouvé sur le net et PAF ça fonctionne!
Il va falloir m'expliquer comment l'ONT s'identifie auprès de l'OLT avec d'une part un numéro de série d'un ONT Huawei et de l'autre une harwareversion d'un ONT Sagemcom n'étant même pas le mien...

Dans les logs je vois que l'ER-X-SFP donne 1W au module qui apparemment nécessite 2.2W d'après FS.com, mais il à l'air de fonctionné correctement.

tldr: Module ONT GPON-ONU-34-20BI de chez FS.com dans Edgerouter X SFP en openwrt 23.05.0: ça fonctionne!

On sait jamais si mon post peut aider quelqu'un.

Merci à Gnubyte et aux posts de nombreux anonymes qui m'ont bien aidé dans mes troubleshootings!

ablyes · « **Réponse #4919 le:** 06 novembre 2023 à 14:13:03 »

Citation de: tucs le 05 novembre 2023 à 17:59:39

Sur mikrotik, il y a l'option ip > cloud
ça donne un dns name de l'ip dynamique

Merci, c'est ce que j'ai utilisé !
Le loopback et port forward marchent. Faut que je débranche/rebranche le routeur pour voir ce qui se passe en cas de changement d'ip.
J'ai ajouté une section liée à ton aide dans l'autre post dédiée au petit frère.