Auteur Sujet: La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (Lu 944650 fois)

zoc · « **Réponse #4968 le:** 01 décembre 2023 à 17:12:10 »

Citation de: pinomat le 01 décembre 2023 à 16:55:32

Effectivement, il y a des problèmes de perf avec les bridges pour le moment. C'est 50 à 100% de CPU en plus avec mon CCR2116 en utilisant un bridge. Le mieux; c'est pas de bridge sur le routeur et un switch devant le routeur pour marquer les paquets DHCPv4+ARP. Le marquage pcp IPv6+IGMP peut se faire directement via les firewalls.

Du coup quel intérêt de ne pas tout faire sur le switch dédié (ce que perso je fais) ? Il n'y a que le DSCP qui n'est pas modifiable par ce biais (en tout cas avec un switch Mikrotik), mais à priori ça n'a pas d'impact (et chez Mikrotik ils ont annoncé rajouter un jour cette possibilité dans les switch rules, sans ETA pour l'instant cependant).

Dulcow · « **Réponse #4969 le:** 01 décembre 2023 à 20:17:13 »

Citation de: pinomat le 01 décembre 2023 à 16:55:32

Je ne suis pas sûr de bien comprendre. Tu veux obtenir une IP de la livebox (Prise RJ45 sur la LAN) sur ton VLAN 666 ?

Quelle est la config du bridge (particulèrement port+vlan) ?
/interface/bridge/export

Quel est le schéma de connexion ?
Livebox RJ45 LAN -> Mikrotik Ether2 -> Bridge -> VLAN 666

Dans tous les cas, impossible d'avoir une IP sur le VLAN 666 à partir de la Livebox sans mettre en place un système pour tagger le VLAN 666 des paquets qui viennent de la Livebox. La Livebox n'envoie pas de paquets taggués sur les ports LAN.
Effectivement, il y a des problèmes de perf avec les bridges pour le moment. C'est 50 à 100% de CPU en plus avec mon CCR2116 en utilisant un bridge. Le mieux; c'est pas de bridge sur le routeur et un switch devant le routeur pour marquer les paquets DHCPv4+ARP. Le marquage pcp IPv6+IGMP peut se faire directement via les firewalls.

/interface/bridge/export

Code: [Sélectionner]

/interface bridge
add frame-types=admit-only-vlan-tagged name="bridge1 [VLANs]" vlan-filtering=yes
add admin-mac=18:6A:81:93:FD:90 auto-mac=no name="bridge2 [WAN]"
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface="vlan832 [Orange]" \
    passthrough=yes
/interface bridge port
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether8 [Homelab]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether7 [Camera]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether6 [Localnet]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether5 [Manage]"
add bridge="bridge1 [VLANs]" interface="ether2 [Livebox]" pvid=666
add bridge="bridge1 [VLANs]" interface="ether1 [Desktop]" pvid=30
add bridge="bridge2 [WAN]" interface="vlan832 [Orange]"
/interface bridge vlan
add bridge="bridge1 [VLANs]" tagged="ether8 [Homelab],bridge1 [VLANs]" vlan-ids=10
add bridge="bridge1 [VLANs]" tagged="ether7 [Camera],bridge1 [VLANs]" vlan-ids=20
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs],ether6 [Localnet]" untagged="ether1 [Desktop]" vlan-ids=30
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs],ether5 [Manage]" vlan-ids=99
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs]" untagged="ether2 [Livebox]" vlan-ids=666

Pour le schema de connexion, c'est plutôt : Livebox RJ45 LAN -> Mikrotik Ether2 -> VLAN 666 -> Bridge
Je n'autorise que des trames tagged sur le bridge, du coup, j'ai meme mis le port qui va vers la Livebox dans un VLAN (666)

On peut tout a fait mettre des ports untagged sur le bridge (c'est le cas de la Livebox Ether2 et de Desktop Ether1), il suffit de les declarer en untagged.

Je pense que mon souci est lie au Stack Tagging car les trames arrivent déjà tagged depuis vlan832.

Ma femme est de retour a la maison donc les plages de test vont se faire rares...

D.

pinomat · « **Réponse #4970 le:** 02 décembre 2023 à 01:39:16 »

Citation de: nonolk le 01 décembre 2023 à 17:00:17

@pinomat, non je ne suis pas complètement d'accord, dans ma config je tourne avec 2 bridges et en dl a plus de 2 gigas je suis à 64% de cpu environs.
C'est clair que sans on peut monter a plus de 8gb sans soucis, mais bon ;-)

@nonolk, oui tu as aussi raison. C'est juste que les exigeances en terme de performances sont relatives

Les perfs du CCR2116 avec environ 100 règles en IPv4 et 25 règles firewall en IPv6 :

IPv4 Avec bridge : 11-13% de CPU à 2G
IPv6 Avec bridge : 10-13% de CPU à 2G
EDIT : Après mon bidouillage pour avoir mon bridge Orange a décidé de ne plus m'envoyer de préfixe -> Status Message: No prefixes have been assigned. Retour à la normale 1 20aines de minutes et en désactivant le dhcp-client IPv6.

IPv4 Sans bridge : 3-5% CPU à 2G
IPv6 Sans bridge : 9-10% CPU à 2G

Citation de: zoc le 01 décembre 2023 à 17:12:10

Du coup quel intérêt de ne pas tout faire sur le switch dédié (ce que perso je fais) ? Il n'y a que le DSCP qui n'est pas modifiable par ce biais (en tout cas avec un switch Mikrotik), mais à priori ça n'a pas d'impact (et chez Mikrotik ils ont annoncé rajouter un jour cette possibilité dans les switch rules, sans ETA pour l'instant cependant).

Mon très cher @zoc, tu as tout à fait raison : il n'y a pas d'intérêt particulier. Mais je suis, étant optimiste dans l'âme, je me suis dis que de cette manière, mon routeur sera prêt lorsque Mikrotik sera décidé à nous fournir cette possibilité via les switch rules

pinomat · « **Réponse #4971 le:** 02 décembre 2023 à 01:46:41 »

@Dulcow
Désolé, je ne vois pas ce que tu essaies de faire. Tu peux effectivement untagged tes paquets vers la Livebox, mais avec quels appareils tu souhaites que ta Livebox communique ? Ou à quels services tu veux accéder. Je suis un peu perdu.

Il faut au moins une autre machine (ou le routeur Mikrotik) sur ce VLAN 666, est-ce que tu as un VLAN 666 avec un dhcp client ?

Il faudrait avoir un schéma pour savoir qui doit comuniquer avec qui et quels sont les services auxquels tu veux accéder ?

Sur ce bonne soirée et bon courage avec ta femme

Dulcow · « **Réponse #4972 le:** 02 décembre 2023 à 13:51:17 »

Citation de: pinomat le 02 décembre 2023 à 01:46:41

@Dulcow
Désolé, je ne vois pas ce que tu essaies de faire. Tu peux effectivement untagged tes paquets vers la Livebox, mais avec quels appareils tu souhaites que ta Livebox communique ? Ou à quels services tu veux accéder. Je suis un peu perdu.

Il faut au moins une autre machine (ou le routeur Mikrotik) sur ce VLAN 666, est-ce que tu as un VLAN 666 avec un dhcp client ?

Il faudrait avoir un schéma pour savoir qui doit comuniquer avec qui et quels sont les services auxquels tu veux accéder ?

Sur ce bonne soirée et bon courage avec ta femme

En attachement, le schema complet de mon reseau et plan d'adressage (et une photo du tout pour les curieux).

Il n'y a rien sur le VLAN666, juste la Livebox. La raison pour laquelle c'est necessaire (de ce que j'ai compris quand je l'ai mis en place), c'est parce que mon bridge a du VLAN filtering et que je n'autorise que les trames tagged. L'avantage de cette méthode c'est que je ne peux pas avoir de traffic untagged sur mon bridge. Ca m'oblige a systématiquement mettre mes devices/ports dans un VLAN si je veux qu'il passe par le Mikrotik. Du coup pour Internet, c'est la meme chose, il faut que ca soit dans un VLAN.

Tom.exe · « **Réponse #4973 le:** 02 décembre 2023 à 14:39:22 »

Citation de: Dulcow le 02 décembre 2023 à 13:51:17

[...]Il n'y a rien sur le VLAN666, juste la Livebox. [...]

Petite question, et si on faisait sauter la livebox ? pour la remettre aprés ton routeur mikrotik si tu souhaite absoluement garder le télephone

Edit: je vois que c'est ce que tu essaye de faire, je crois me rappeler avoir vu un tuto avec le routeur que tu utilise, je vais chrcher ça

Edit 2: Par ici --> https://lafibre.info/remplacer-livebox/routeur-mikrotik-rb5009ugsin-pour-remplacer-livebox/

Dulcow · « **Réponse #4974 le:** 02 décembre 2023 à 14:45:10 »

Citation de: Tom.exe le 02 décembre 2023 à 14:39:22

Petite question, et si on faisait sauter la livebox ? pour la remettre aprés ton routeur mikrotik si tu souhaite absoluement garder le télephone

Je n'utilise ni le telephone ni la TV. Je cherche juste virer la Livebox pour faciliter les ouvertures/forward de ports et ne plus etre limite par le 1G de ses ports Ethernet (quelle vaste blague ca d'ailleurs, le fameux 2G "partagé").

Pour le moment, j'ai un autre souci, malgré les options qui semblent correctes (clientid, authsend, userclass, vendor-class-identifier) et la COS6 sur mon second bridge, je me fais parker en 172.16.X.X par Orange quand je demande une IP. Je suspecte que mon login/password n'est pas le bon. Je me demande si ca n'a pas change quand je suis passe de chez Sosh vers Orange.

Quel est la longueur exacte du champs de l'option 90 (après le 0x) ? Car je suis 148 en utilisant ce qui est généré sur https://jsfiddle.net/kgersen/3mnsc6wy/

Tom.exe · « **Réponse #4975 le:** 02 décembre 2023 à 14:57:53 »

Citation de: Dulcow le 02 décembre 2023 à 14:45:10

[...] Pour le moment, j'ai un autre souci, malgré les options qui semblent correctes (clientid, authsend, userclass, vendor-class-identifier) et la COS6 sur mon second bridge, je me fais parker en 172.16.X.X par Orange quand je demande une IP. Je suspecte que mon login/password n'est pas le bon. Je me demande si ca n'a pas change quand je suis passe de chez Sosh vers Orange.

Quel est la longueur exacte du champs de l'option 90 (après le 0x) ? Car je suis 148 en utilisant ce qui est généré sur https://jsfiddle.net/kgersen/3mnsc6wy/

Donc ton ONT Fonctionne, tu peut l'incerré dans ton Mikrotik, il est reconnu, tu a setup correctement ton vlan832, tu a mis tes option, et tu finis parqué en 172.16.x.x
148, sa me parait un peut long, je suis a 140, mais en config opnsense, j'arrive plus a trouver liveboxinfos, c'etait un soft super pour récuperer toute les options a passer dans un routeur, directement en sortie de livebox, "pas plus simple", si quelqu'un l'a, hésitez pas a repartager, je crois qu'il y a des equivalents qui tournent, mais je saurait pas dire si ils marchent bien

Edit: en fouillant (pas trés loins) dans mon pc, j'ai retrouvé une version, enjoy tant qu'elle marche

rooot · « **Réponse #4976 le:** 02 décembre 2023 à 15:07:40 »

@tom.exe --> https://liveboxinfo.zpl.ovh/

Tom.exe · « **Réponse #4977 le:** 02 décembre 2023 à 15:09:16 »

Citation de: rooot le 02 décembre 2023 à 15:07:40

@tom.exe --> https://liveboxinfo.zpl.ovh/

Oh super !!
Ouf, sa a simplement changé de domaine, Merci !

Lucy-Han · « **Réponse #4978 le:** 02 décembre 2023 à 15:24:55 »

Citation de: Dulcow le 02 décembre 2023 à 14:45:10

Je n'utilise ni le telephone ni la TV. Je cherche juste virer la Livebox pour faciliter les ouvertures/forward de ports et ne plus etre limite par le 1G de ses ports Ethernet (quelle vaste blague ca d'ailleurs, le fameux 2G "partagé").

Pour le moment, j'ai un autre souci, malgré les options qui semblent correctes (clientid, authsend, userclass, vendor-class-identifier) et la COS6 sur mon second bridge, je me fais parker en 172.16.X.X par Orange quand je demande une IP. Je suspecte que mon login/password n'est pas le bon. Je me demande si ca n'a pas change quand je suis passe de chez Sosh vers Orange.

Quel est la longueur exacte du champs de l'option 90 (après le 0x) ? Car je suis 148 en utilisant ce qui est généré sur https://jsfiddle.net/kgersen/3mnsc6wy/

Après le 0x la longueur de mon option 90 est de 140.

Que dit l'option 125 de la réponse du serveur DHCP d'Orange ? Cette réponse est visible dans les log du Mikrotik et devrait donner une piste sur la raison du parcage.

Enfin voici un script Python pour générer l'option 90.

Code: [Sélectionner]

#!/usr/bin/python3

import hashlib
import random

ORANGE_LOGIN = 'fti/xxxxxxx'
ORANGE_PASSWD = 'xxxxxxx'

# Convertir en hexadecimal
def tohex(s):
   return ''.join(format(ord(c), '02x') for c in s)

# Generation de l'option 90 (IPv4) & 11 (IPv6) d'Orange
def orange_dhcp_auth_option(login, passwd):

    r = hashlib.md5(str(random.randint(0, 9999999999999999)
                        ).encode()).hexdigest()[:16]
    id = r[0]
    h = '3c12' + tohex(r) + '0313' + tohex(id) + \
        hashlib.md5((id + passwd + r).encode()).hexdigest()
    result = '0x00000000000000000000001a0900000558010341010d' + \
        tohex(login) + h

    return result


def main():

    print(orange_dhcp_auth_option(ORANGE_LOGIN,ORANGE_PASSWD))

if __name__ == '__main__':
    main()

Dulcow · « **Réponse #4979 le:** 02 décembre 2023 à 16:19:27 »

Citation de: Lucy-Han le 02 décembre 2023 à 15:24:55

Après le 0x la longueur de mon option 90 est de 140.

Que dit l'option 125 de la réponse du serveur DHCP d'Orange ? Cette réponse est visible dans les log du Mikrotik et devrait donner une piste sur la raison du parcage.

Enfin voici un script Python pour générer l'option 90.

Code: [Sélectionner]
#!/usr/bin/python3 import hashlib import random ORANGE_LOGIN = 'fti/xxxxxxx' ORANGE_PASSWD = 'xxxxxxx' # Convertir en hexadecimal def tohex(s): return ''.join(format(ord(c), '02x') for c in s) # Generation de l'option 90 (IPv4) & 11 (IPv6) d'Orange def orange_dhcp_auth_option(login, passwd): r = hashlib.md5(str(random.randint(0, 9999999999999999) ).encode()).hexdigest()[:16] id = r[0] h = '3c12' + tohex(r) + '0313' + tohex(id) + \ hashlib.md5((id + passwd + r).encode()).hexdigest() result = '0x00000000000000000000001a0900000558010341010d' + \ tohex(login) + h return result def main(): print(orange_dhcp_auth_option(ORANGE_LOGIN,ORANGE_PASSWD)) if __name__ == '__main__': main()

Merci pour le script, je vais regarder mais je pense mes id/password ne sont pas bons... Je vais aussi creuser de ce cote la.

Pour les logs du Mikrotik, c'est assez étrange, je ne vois pas de raison apparente au parquage => En fait si, il y a des states invalid dans la CoS, je pense que mon firewall les jettent.