Auteur Sujet: La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+  (Lu 918062 fois)

0 Membres et 1 Invité sur ce sujet

Gnubyte

  • Abonné Orange Fibre
  • *
  • Messages: 1 051
  • Toulon (83)
    • HSGMII intégriste
Le fil qui commence ici a été ouvert le 12 octobre 2020.
L'histoire de l'exploitation du second gigabit d'une connexion Orange, possible mais pas nécessairement simple, depuis septembre 2020, se trouve ici en page 275.

Résumé des épisodes précédents:

Fin 2018, Free a annoncé un débit de 10Gbit/s sur la nouvelle Freebox Delta. Cette annonce a entraîné, en 2019, le déploiement progressif par Orange, Bouygues et SFR d’offres dites “2 Giga”, pourtant fournies avec un routeur triple play ne disposant que de ports 1Gbps. Cette nouvelle offre 2Gbps/600Gbps Orange n’était en fait que l’application d’un niveau de débit prévu par la norme FTTH ITU G.984.x comme vous pourrez lire sur le post original si le cœur vous en dit. Les limitations techniques des box internet Orange/Bouygues/SFR ne seront rectifiées qu’en 2022 pour Bouygues, puis Orange avec sa Livebox 6, alors que SFR a commencé à déployer une offre 10Gbps XGSPON en avril 2022.

Acheter et payer une bande passante, mais ne pouvoir en exploiter que la moitié, constituant une abomination frustrante, j’ai repoussé toutes les limites techniques pour parvenir à une exploitation native de la bande passante. C’est le motif principal de ce fil, qui a donné l’objet à nombreuses interprétation et implémentations, via des appliance en VM ou en baremetal, d’une ribambelle assez éclectique de logiciels de routage, en pur iptable Linux ou en logiciel de plus haut niveau comme PfSense. Tout le panel du tableau d’honneur de la joyeuse confrérie des chasseurs du dernier giga se trouvant là, avec pour beaucoup des tutoriels précis.

A la date de parution de la version revue et corrigée de ce tutoriel, on pourrait penser qu’il est caduque car la Livebox v6 est sortie, avec son port Ethernet 2.5Gbps natif à disposition. Effectivement, on pourrait penser, comme l’on dit certains, qu’il s’agit là de la fin du game. Hélas, une Livebox v6 ne sait toujours pas permettre l’acheminement des flux VOD et téléphonie tout en fournissant un mode bridge proposant l’adresse IP externe au port 2.5Gbps. Formulé autrement, le port 2.5Gbps d’une Livebox v6, tout au moins à ce que l’on en sait au 20 avril 2022, ne propose toujours qu’une adresse IP interne, et non l'adresse IP externe. Ce faisant, le routeur reste toujours la Livebox v6, avec les limitations d’une box opérateur qui peut éventuellement sembler insuffisante à quelques uns d’entre nous.

Les pérégrinations historiques du post original historique sont principalement basées sur quelques difficultés
  • L’ONU ancestral Sercomm FGS202 ne sait peut-être pas synchroniser à 2Gbps, car il n’est pas réglé pour cela, même si d’un point de vue matériel, il en est capable. [EDIT] Le FGS202 synchronise à 2.5Gbps, cf META ici
  • Les ONT externes connus depuis les Livebox v3 sont limités à une sortie en Ethernet 1Gbps
  • Il fallait donc trouver un ONU pouvant synchroniser en 2.4Gbps descendant (1.2Gbps  montant).
  • Il fallait convertir ce flux 2.5Gbps pour le faire entrer dans un routeur qui puisse s'assurer de l'authentification et du FW. Problème: Fort peu de solutions permettent la synchronisation en 2.5Gbps en 2020, d'où la carte double port SFP+ à base de chipset BMC57810s, dont je parle plus bas, mais décrite sur le post historique déjà cité.
  • Et enfin parvenir à en faire entrer les flux dans un routeur acceptant ces vitesses sans d’écrouler sous la charge. 

Il y eu donc trois avancées significatives, apparues en 2019, 2020, et enfin 2022
  • 2019
    • Un hacker Canadien anglophone qui rôde même parfois ici (merci @upnatom), a rencontré ces difficultés avec un accès Bell Telecom 1.5Gbps hélas livré avec une box 1Gbps
    • Il cerne une famille d’équipements ONU au format SFP pouvant recevoir nativement ce débit 2.4G/1.2G (en fait, la norme le prévoit, donc si le dispositif est bien conçu l’inscription sur l’arbre GPON est possible)
    • Il trouve un équipement pouvant accueillir cet ONU SFP dûment inscrit dans le réseau de l’opérateur, en l’occurrence une carte PCIe à deux ports SFP+ disposant d’un chipset Marvell BMC57810s disponible à vil prix sur internet et, frustré que le pilote du noyau linux ne prévoie pas l’exploitation du mode 2.5Gbps, prévu par la norme SFP mais non implémenté dans le pilote, il écrit carrément un patch du dit pilote, qui permet ainsi la connexion directe du lien fibre à sa pleine vitesse sur un équipement matériel sur lequel tourne un logiciel routeur. Sans ce patch, on aurait pas vu l’ombre du 2eme Gigabit sans bidouille à base de double NAT LACP
  • 2020
    • En février 2020, la frustration de ce second Giga perdu me monte au point que je commence à ratisser la toile de toutes les références techniques de la norme. Lafibre.info s’agite également ici 
    • Mars 2020, @Thornhill pointe le fil original de @upnatom sur le forum dslreports.com où est exposé l’utilisation de la carte BMC 57810s pour dépasser ce foutu gigabit. 
    • Juillet 2020, Mikrotik sort un routeur disposant de 12 ports 10Gbps, et sensé supporter un débit d’au moins 10Gbps avec 25 règles de filtres IP, le désormais célèbre Mikrotik CCR2004-1G-12S+2XS. J’en prends un immédiatement. 
    • Fin aout 2020, @mj pointe un document technique stipulant que le chipset Intel(Lantiq PEB/PEF 98035 utilise une interface SGMII boostée, la bien mystérieuse et si rarement implémentée norme HSGMII 2.5Gbps.
    • 1er Septembre 2020, je sors du bois car j’ai trouvé un équipement ONU SFP singeant mon ONT externe, et me permettant une connexion fibre fonctionnelle (sans TV ni téléphone, juste internet) avec la fibre optique directement branchée dans le routeur Mikrotik CCR2004, mais à seulement 1Gbps, sans aucun équipement Orange entre la fibre optique et mon switch Ethernet. Ce proof of concept constitue un précédent, car l’éradication de l’ONT Orange avec insertion de la fibre directement dans le routeur n’avait jamais été opérée.
    • Dés lors, je suis lancé, et j’expérimente sans arrêt de nouveaux ONU, et la carte double SFP+ Marvell BMC57810s, pour ponter l’ONU d’un côté, et un lien 10Gbps de l’autre pour faire entrer le flux dans le routeur CCR2004-1G-12S+2XS
    • Le 12 octobre 2020, je publie ici la méthodologie pour établir un lien à plus de 1Gbps. À la date du 20 avril 2022, le fil comprend 274 pages, avec plus d’une trentaine de succès dans une foule de configurations logicielles, matérielles, VM ou baremetal.
  • 2022
    • Le 13 avril 2022, Mikrotik finit par entendre nos prières, et, contrairement à ce que le support Mikrotik m’avait annoncé en septembre 2020, finit par sortir un firmware v7.3beta33 qui assure le support HSGMII 2.5Gbps sur ses routeurs à base de Passive Intelligent Port Extender 98PX1012 (justement mon CCR2004-1G-12S+2XS), et 98DXxxxx.
    • Sont donc compatibles, en date du 20 avril 2022:
      • CCR2004-1G-12S+2XS
      • CCR2116-12G-4S+
      • CCR2216-1G-12XS-2XQ
    • Sont donc NON compatibles, en date du 20 avril 2022:
      • CCR2004-1G-2XS-PCIe
      • CCR2004-16G-2S+

    • On notera que certains switchs Mikroktik, comme le CRS305 (cf liste des courses), peuvent s'occuper de la gestion de la priorité COS à 6 nécessaire pour obtenir une réponse positive du DHCP Orange. Cependant, le CRS305, ou le CRS309 logé à la même enseigne, est un switch, et non un routeur, et ne dispose pas de la puissance de traitement suffisante pour gérer les 2Gbps. Si on veut utiliser un autre équipement pour gérer l'authentification, le CRS305 peut s'occuper de cette partie de l'ensemble. Vous en saurez plus 2 ou 3 posts plus bas, dans la section concernant les réglages du routeur Mikrotik.

    Nous en sommes donc au point où l’on connaît les équipements Mikrotik qui permettent de coller sa fibre Orange cash dans le routeur, pour en utiliser toute la bande passante, et c’est la raison de la refonte de cette première page.

Première étape, disposer d’un module ONU SFP.
Première option, à privilégier, le module FS.COM

SourcePhotonics - GPON-ONU-34-20BI
      
  • Les ONU SourcePhotonics en chipset Lantiq, longtemps décrit comme introuvable, sont à nouveaux fournis par FS.COM , fournisseur chinois de portée internationale, qui vent un module SFP ONU à base d'intel/Lantiq PEB98035.
  • FS.COM est un fournisseur de matériel réseau pour datacenter, depuis le câble RJ45 non blindé voire super blindé de 15cm à 5m, jusqu'au switch Layer 3 à 64 ports 100Gb, fixe ou modulaire. Ils ne sont pas là pour faire de la figuration.
  • Le module en question peut se trouver à l'adresse suivante: https://www.fs.com/fr/products/133619.html, coûte moins de 70€ livré en France, peut se commander avec adaptation au numéro de série de sa LiveBox si on le demande à la commerciale, qui parle un français parfait car FS.COM dispose d'une filiale en Allemagne.
  • Ce module a été rapporté comme directement fonctionnel par @mackila, et j'en attends un à la date du 18 décembre 2021, tout comme toute une partie de la communauté de ce fil de discussion. Pensez à vous prévaloir de venir de lafibre.info  :D 
  • Ce produit, qui fonctionne immédiatement avec activation d'origine du mode HSGMII 2.5Gbps, casse donc complètement le jeu de la chasse au module Lantiq compatible, comme rapporté sur les posts originaux de la page 275.
  • Source Photonics est le fabriquant original des modules Alcatel/Nokia G-010S-S et G-010S-P, mais aussi des CalrlitoXXPro v1. Sourcer directement des modules ONU Source Photonics SPS-34-24T-HP-TDFO, neufs ou leur dernière évolution, avec une version à jour d'OpenWRT, constitue un événement aussi inattendu que la découverte de l'Arche d'Alliance ou du Graal, comment dire, cela rend la manipulation infiniment plus simple. Fin du game, plus besoin de bidouiller un module chiné, on peut commander son module personnalisé, avec un droit de retour de 30 jours.

Seconde étape: Extraire les identifiants de connexion de sa Livebox
  • Brancher la fibre sur la LBv5 et la démarrer
  • Une fois OK selon les voyants, se connecter sur l’interface d’administration sur http://192.168.1.1
  • Aller dans les informations Systèmes, onglet ONT, capturez et rangez dans un coin la capture d’écran.
  • Notez les éléments suivants
    • Serial Number (indispensable) de type ABCD12345678
    • VendorID (peut être utile)
    • ONT Software Version 0 (peut être utile)
    • ONT Software Version 1 (peut être utile)

Troisième étape: Paramétrer l’ONU
Utilisez un Switch, ou un convertisseur, postez l’IP de votre ordinateur sur 192.168.1.2 par exemple, avec 192.168.1.10 comme passerelle par défaut 192.168.1.10

Ce sont les commandes minimales, qui sont suffisantes si tu es sur un OLT Huawei (HWTC).
@hwti souligne à juste raison que:
Citer
Sur un OLT Alcatel/Nokia (ALCL), il faudra en plus Hardware Version, ça se fait en éditant le /etc/mibs/data_1g_8q.ini .

Sous Linux, l’ONU ne permet pas une connexion SSH sans forcer l’utilisation d’un système de chiffrement caduque:
[/list]ssh -o KexAlgorithms=diffie-hellman-group14-sha1 -oHostKeyAlgorithms=+ssh-dss  192.168.1.10 -l ONTUSER

Le login est ONTUSER
Le mot de passe est 7sp!lwUBz1

Ensuite, modifiez  le serial
set_serial_number ABCD12345678

puis le vendor_ID de 4 lettres (inutile chez moi)
sfp_i2c -I -s “ABCD”

On rapporte que la syntaxe suivante fonctionnerait mieux:

sfp_i2c -i 7 -s “ABCD”



Branchez la fibre.
reboot

Attendez deux minutes que l’ONU démarre, reloguez vous, et tapez

onu ploamsg

On constate, ému, que l’ONU voit son “curr_state” passer O5. L’ONU est désormais reconnu par l’ONT Orange.

Quatrième étape.
On considère que vous avez déjà lancé un jour votre routeur Mikrotik, qu’il a une adresse IP forgée connue, sinon c’est 192.168.88.1 admin sans password
On met à jour le routeur Mikrotik avec la v7.3beta33 ou suivante du système, par tous les moyens. Le plus simple est de télécharger la bonne version sur son ordinateur depuis la page download de Mikrotik, pensez bien à prendre la version arm64, puis de pousser le fichier par drag and drop à la racine de l’arborescence montrée par la fenêtre File de winbox. Lequel Winbox doit être à jour également.
Une fois fois le fichier en place, rebooter le routeur, et winbox connecté doit indiquer sur la barre de fenêtre la version en cours.

Cinquième étape.
Là, vous avez un routeur Mikrotik compatible, un ONU inscrit O5 sur l'arbre GPON d'Orange, synchronisé, qui n'attend plus qu'une authentification. Il est temps de régler le routeur conformément à ce post pour ce qui est d'IPv4, rassurez vous, j'en ai glissé une copie juste après, et de celui ci pour IPv6, avec une copie juste après également. Je n'aborde pas l'utilisation du décodeur TV, car cela fait bien longtemps que je m'en sers plus.
En suivant ces réglages, vous aurez une connexion valide avec une IPv4 par bail renouvelable, dynamique sauf si vous avez opté pour une adresse IPv4 fixe, et une tranche /56 d'IPv6, à la vitesse de 1Gbps descendant.

Sixième étape.
On considère que vous avez déjà forgé l’adresse IPv4 privée du routeur, en vous connectant via l’interface ether1, puis en paramétrant sfp-sfpplusY de votre choix comme interface LAN avec l’IP 192.168.1.1 par exemple. Vous placerez l’ONU dans l’interface WAN sfp-sfpplusX.

Connectez vous à votre routeur via Winbox.
Insérez l’ONU, puis la fibre optique sur l’ONU.

Si l’interface sfp-sfpplusX est désactivée, activez la. Laissez le système le reconnaître.
Cliquez sur Interfaces, Doublez cliquez la ligne  sfp-sfpplusX  en question, puis, onglet Ethernet, où pas grand chose ne s’affiche.

Ouvrez le terminal intégré de winbox, et tapez:
/interface/ethernet
set auto-negotiation=no sfp-sfpplusX
set speed=2.5Gbps sfp-sfpplusX

Désactivez l’interface sfp-sfpplusX, puis réactivez la. Attendez 1 minute.

Par sécurité, allez dans /IP/DHCP Client, sélectionnez la ligne de votre client DHCP (br_wan, chez moi et dans mon tuto de réglages), désactivez là (croix rouge), puis activez là. le Status doit passer "bound" presque instantanément.

Voilà, si vous avez tout bien suivi, votre vitesse est à plus de 2Gbps en descente, et si vous avez opté pour un accès Orange Pro (il faut un numéro URSSAF ad hoc), votre débit montant peut dépasser 1Gbps.

Logiquement, en double cliquant sur l’interface, onglet SFP, on doit voir une indication reconnaissant le module FS.COM. Hélas, en date du 8 mai 2022, le firmware v7.3beta37 n'indique ces informations qu'avant le premier reboot. Après, tout est vierge.

Voilà. J'avais résumé en soulignant que c'était beaucoup plus simple.
C'est le moins que l'on puisse dire.

N'oubliez pas d'adapter votre propre réseau LAN à ces vitesses, sinon cette ascèse demeure inutile. Avec un switch 10Gbps et une carte 10Gbps, voire une carte par hôte, alors la manipulation en vaut la peine. Avec le temps, mon propre réseau local tourne en 10Gbps, avec encore quelques hôtes en 1Gbps, mais tous les serveurs et les stations de travail sont reliés en 10 ou en 2,5Gbps.

En date du 8 mai 2022, quand je réécris cette première page, on ne peut plus simple qu'avant du fait de la caducité de toute la logique due à la manœuvre pour faire rentrer 2.5Gbps dans un routeur qui ne savait initialement faire que du 1 ou 10Gbps, un lien fibre Orange Pro 2Gbps à IP Fixe initialement sur LBv5 (complètement mise de côté, hélas louée sans pouvoir être rendue), le lien dispose des performances suivantes:

Le tout, avec un vrai FW IPv4 et IPv6. Le jeu en vaut tout de même la chandelle.


Mise à jour du 16 décembre 2022
La version stable actuelle de RouterOS (v7,6) est stable avec les ONU Lantiq, fonctionnant de façon plus facile qu'auparavant, notamment sans besoin de forcer la vitesse de l'interface à la main en ligne de commande, tout est infiniment mieux reconnu à cette heure en terme de vitesse d'interface SFP à 2,5Gbps. Bon, Ok, les ONU FS.com peuvent plantouiller la remontée de santé et de température, mais ils sont rock stables.

Je procède également à l'ajout de précisions quant aux chaînes transmises par DCHP_CLIENT lors de la négociation routeur<=>InfraOrange. Dans le présent post j'expose la négociation matérielle d'inscription sur l'arbre GPON, mais je vois que j'ai relativement peu développé l'étape de la couche OSI juste au dessus, celle de la négociation DHCP.

Comme exposé dans le post original page 273, on converti son identifiant fti en hexa, que l'on place dans l'option 90 des dchp client IPv4 et IPv6.  Ça fonctionne chez moi avec une chaîne 90 courte "presque", depuis deux ans, mais, conformément au post de @levieuxatorange en date du 7 novembre 2022, il convient de resserrer la validité des chaines 90 que l'on envoit lors de la négociation, sous peine de nous voir refuser un bail DHCP valide, et d'être flaggué "client Orange renégat presque, vil adepte de l'éviction de LiveBox"

Je vous invite à jeter un œil aux arguments option 90 en IPV4 et option 11 en IPv6 que vous envoyez lors de l'établissement de la connexion. Si vous avez une chaîne relativement courte, qui contient grossièrement des zéros et identifiants fti en hexa, ce qui jusqu'ici fonctionnait encore, vous vous exposez à la déconnexion.

Munissez vous donc de votre identifiant fti ET de votre mot de passe, et rendez vous sur la page de @kgersen (merci à lui) https://jsfiddle.net/kgersen/3mnsc6wy/ et générez votre nouvelle option 90/11. On retire tous les ":" et on place 0x devant. En écrasant les versions antérieures, ça fonctionne impeccablement ici.



« Modifié: 09 août 2023 à 12:12:43 par Gnubyte »

Gnubyte

  • Abonné Orange Fibre
  • *
  • Messages: 1 051
  • Toulon (83)
    • HSGMII intégriste
Un certain nombre d'entre vous m'ont demandé la configuration IPv4 pour Mikrotik CCR2004-1G-12S+2XS.



Je rappelle que l'ensemble est plus qu'inspiré du volumineux post de Seb59 en Janvier 2017:

Rappel de l'organisation des ports. N'y cherchez pas de logique, il est d'inspiration Seb59. Les ports utilisés ne sont pas nécessairement collés les uns aux autres, de façon à diluer la dissipation thermique et repousser le seuil d'intervention du refroidissement actif.

D'origine, le CCR2004 démarre en 192.168.88.1/24 sur l'interface eth1 1Gbps.
Dans sa configuration d'origine, le plus simple consiste à s'y connecter avec winbox, et écraser certains réglages dans une même étape:
Cliquez sur Quick Set en haut à gauche, puis, modifiez ainsi
  • L'adresse IP de la Gateway :192.168.1.1/
  • Local Network / IP Address
  • Router Indentity: Mikrotik CCR2004 (utile pour différentier le routeur des switchs 10Gbps du réseau
  • Password: A changer immanquablement, car à peine connecté, des petits farceurs aux scripts aiguisés tenteront de se connecter.

Alors, il sera de bon ton de déconnecter winbox, puis de le reconnecter.

Le plus simple est de se connecter depuis une session ssh, moins à même de ne pas apprécier les quelques caractères accentués que j'ai glissé ici.

Citer
#######################################################################################################################
#
# Rappel des fonctions des ports sur mon routeur -
# N'y cherchez pas de logique, ça m'a pris comme ça.
#
#######################################################################################################################
#
# Configuration IPv4 pour Mikrotik CCR2004-1G-12S+2XS
# Accès Orange Up 2Gbps
#
#######################################################################################################################
# Config IPV4 - Sans LB - Sans TV
#################################
#
# Eth7  : Décodeur TV <= Utilisation au prochain épisode
# Eth8  : LB          <= Utilisation au prochain épisode
#
# Eth10 : ONT         <=
# Eth12 : LAN         <= Seuls ces 2 là seront utilisés pour l'instant.
#
#################################

#####################################################################################################################################
# Configuration des interfaces du routeur
#####################################################################################################################################


/interface ethernet
set [ find default-name=sfp-sfpplus1 ] disabled=yes
set [ find default-name=sfp-sfpplus2 ] disabled=yes
set [ find default-name=sfp-sfpplus3 ] disabled=yes
set [ find default-name=sfp-sfpplus4 ] disabled=yes
set [ find default-name=sfp-sfpplus5 ] disabled=yes
set [ find default-name=sfp-sfpplus6 ] disabled=yes
set [ find default-name=sfp-sfpplus7 ] comment="Routeur TV local" name=ether7-TV
set [ find default-name=sfp-sfpplus8 ] comment=Livebox name=ether8-LB
set [ find default-name=sfp-sfpplus9 ] disabled=yes
set [ find default-name=sfp-sfpplus10 ] name=ether10-WAN comment="WAN-ONU-2500GBaseX" advertise=1000M-full,2500M-full,10000M-full 
set [ find default-name=sfp-sfpplus11 ] disabled=yes
set [ find default-name=sfp-sfpplus12 ] name=ether12-LAN comment=LAN  advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,2500M-full,10000M-full
set [ find default-name=sfp28-1 ] disabled=yes
set [ find default-name=sfp28-2 ] disabled=yes


De façon à lier tous les Vlan nécessaires, nous utilisons un bridge.
ATTENTION, mise à jour du 1er janvier 2023:

Citer
##################################################
# Créons le bridge principal qui va servir sans arrêt
# On remplace XX:XX:XX:XX:XX:XX par l'adresse MAC de la
# Livebox, généreusement notée sur l'étiquette placée dessous
##################################################

/interface bridge
add name=br-wan admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no

La surcharge de l'adresse MAC de ce bridge permet l'envoi automatique d'un DUID DHCPv6 conforme aux attentes d'Orange.

FIN de mise à jour du 1er janvier 2023:

On écrase les IP des interfaces d'accès.
Citer
############################################################################################
# Surcharge des IP de configuration - Arbitraire
############################################################################################
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=192.168.88.0       
add address=192.168.1.1/24 interface=ether12-LAN network=192.168.1.0

Créons une interface esclave sur ce vlan 832

Citer
############################################################################################
# Ajout du VLAN 832 sur ether10-WAN pour accès Internet (valable pour IPV4 et IPV6)
# VLAN 832 pour Internet, le 838 pour la VOD/Replay et le 840 pour le multicast TV
############################################################################################
/interface vlan
add comment="Internet ONT" interface=ether10-WAN loop-protect-disable-time=0s loop-protect-send-interval=1s name=vlan832-internet vlan-id=832

Définissons les options nécéssaires à la configuration du client DHCP pour se connecter à l'accès Orange.

ATTENTION, mise à jour du 1er janvier 2023:
Convertissez votre identifiant fti  et votre mot de passe conformément à ce qu'affiche la généreuse page ad hoc de @Kgersen https://jsfiddle.net/kgersen/3mnsc6wy/
complet pour remplacer les 142 caractères XXXXXXXXXXXXXXXXXXXXX en les convertissant sur https://www.rapidtables.com/convert/number/ascii-to-hex.html

Attention, la valeur de l'option 90 comprend bien 140 caractères en hexa.
Citer
############################################################################################
# Définition des options du client DHCPv4 pour Orange
############################################################################################
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
add code=90 name=authsend  value=0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

FIN de mise à jour du 1er janvier 2023:

On lancera le client DHCP un peu plus tard, nous avons deux ou trois choses à définir avant, comme le serveur DHCP côté LAN, interface ether12-LAN.

Citer
############################################################################################
# Définition de la plage d'IP LAN DHCP
############################################################################################
/ip pool
add name=pool_lan ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add address-pool=pool_lan disabled=no interface=ether12-LAN lease-time=1w name=LAN

RouterOS permet de définir de nombreux types de queues, destinées à limiter et prioriser le traffic.
https://wiki.mikrotik.com/wiki/Manual:Queue pour plus d'informations.
Nous resterons dans le simple, First-In/First-Out, premier arrivé, premier distribué.

Citer
############################################################################################
# Définition des types de queue utilisée par RouterOS pour gérer les interfaces qui nous occupent.
############################################################################################
/queue interface
#set ether7-TV queue=ethernet-default <= On provisionne
#set ether8-LB queue=ethernet-default <= Pour la suite
set ether10-WAN queue=ethernet-default
set ether12-LAN queue=ethernet-default

Si l'on lance le client DHCP requérrant l'IP publique à Orange, sans marquer CE trafic DHCP sortant de son nécessaire (selon la localisation géographique) niveau de priorité COS=6, cela ne fonctionnera pas.
Par chez moi c'est nécessaire.
Au passage, on ajoute l'interface esclave vlan832-internet au bridge br-wan, sur lequel s'nvoie la requête DHCP (à COS=6 forgée)

Citer
############################################################################################
# Definition du filtre qui envoit les requêtes DHCP avec la COS=6 si nécessaires à Orange
# Prélablement à la crétion du client DHCP bien sûr
############################################################################################
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes
/interface bridge port   
add bridge=br-wan interface=vlan832-internet
# définition du pont où s'enverra la requête DHCP, à COS forgée
############################################################################################

On peut enfin lancer l'authentification DHCP

Citer
############################################################################################
# Création du client DHCP qui requiert les adresses IPv4 et IPv6 à Orange
############################################################################################
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier disabled=no interface=br-wan
############################################################################################

À partir de ce moment, l'IP WAN apparaît sur le bridge br-wan dans l'interface winbox /IP/ADDRESS

Définissons le service DNS pour le LAN
Citer
############################################################################################
# On définit le service DNS pour le LAN
############################################################################################
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1 netmask=24
###########################################################################################

Nous avons une adresse IP externe, mais le NAT IPv4 n'est pas encore lancé.
Créons donc quelques règles de Firewall.
D'abord on ajoute à la liste "support" toutes les tranches d'IP que nous allons utiliser
C'est très imporant car si votre tranche IP LAN n'y est pas, le FW vous coupera l'accès au routeur lui même.

Citer
########################################################################################################################################################################################
# Avant de lancer le NAT, on crée deux doigts de règles de FW
########################################################################################################################################################################################

############################################################################################
# Définitions des listes particulières liées aux RFC pour ne pas prêter la joue inutilement.
############################################################################################
# D'abord on ajoute à la liste "support" toutes les tranches d'IP que nous allons utiliser
# C'est très imporant car si votre tranche IP LAN n'y est pas, le FW vous coupera l'accès au routeur lui même.
############################################################################################

/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=192.168.42.0/24 list=support
add address=192.168.255.0/24 list=support
##############################
# Puis quelques classes qui ne devraient pas nécessairement pousser des datagrames sur l'interface WAN
##############################
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" disabled=yes list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
#add address=224.0.0.0/4 comment="MC, Class D, IANA" disabled=yes list=bogons

Enfin, les règles firewall elles mêmes.

Citer
############################################################################################
# Les règles de Firewall - adapter aux besoins
############################################################################################

/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST" dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established
add action=accept chain=input comment="Accept to related connections" connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp

Notez le traitement spécial réservé aux tentatives d'ouverture de shell SSH depuis l'interface WAN.

Citer
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist

Une fois les deux doigts de firewall activés, on peut lancer le NAT

Citer
############################################################################################
# Et enfin, le NAT
############################################################################################
/ip firewall nat
add action=masquerade chain=srcnat out-interface=br-wan to-addresses=0.0.0.0

Voilà, le routeur est connecté, et il route.
On peut alors ajouter un port forwarding vers son super serveur wouaibe pour montrer à mamie les photos des petits.
Ici, serveur web http port 80 sur l'IP LAN 192.168.1.5
Oui, c'est arbitraire.
Pensez bien à préciser l'interface d'entrée, sinon toutes les connexions sortantes, ici "in-interface=br-wan" vers un port identique (ici, une page web non chiffrée http://), serait immanquablement renvoyé vers le réseau interne.

Citer
add action=dst-nat chain=dstnat dst-port=80 in-interface=br-wan protocol=tcp to-addresses=192.168.1.5 to-ports=80

On finit en désactivant le telnet et le FTP, au cas où.
Le plus sûr, c'est ssh, et que depuis l'intérieur du réseau.

Citer
############################################################################################
# Réglages des types d'accès en supervision
############################################################################################
/ip service
set telnet disabled=yes
set ftp disabled=yes


Citer
############################################################################################
# On rajoute du graphing sur http://192.168.1.1/graphs
############################################################################################

/tool graphing interface add
/tool graphing resource add

J'ai commis ce post:

https://lafibre.info/mikrotik/script-dinclusion-de-blocklistes-de-moches/msg994334/#msg994334

On y trouve une série de scripts qui permettent de mettre à jour toutes les 4 heures une liste d'IP ou tranches d'IP de moches à droper depuis le brin WAN du FW.



« Modifié: 02 février 2023 à 13:41:30 par Gnubyte »

Gnubyte

  • Abonné Orange Fibre
  • *
  • Messages: 1 051
  • Toulon (83)
    • HSGMII intégriste
Voici la suite de la configuration pour disposer d'IPv6 sur le routeur CCR2004.

Cette configuration s'établit en 2 étapes:
  • La communication aux serveurs d'Orange des options dhcp qu'il attend pour qu'il octroie une connectivité IPv6.
  • Les réglages de la partie IPv6 du Firewall nécessaire pour ne pas prêter votre réseau local à l'insécurité qui règne sur internet.

La première étape n'est pas très difficile, à la différence d'IPv4, où l'on obtient une seule adresse IP dans le plus courant des accès grand publics. La seconde est moins triviale, car elle exige de la prudence et quelques explications.
  • IPv6 passe l'adressage du réseau de 2³² à 2¹²⁸ adresses possibles. Lors de la connexion, on hérite alors non pas d'une seule et unique adresse IP publique et valide, qui est, elle, directement sur internet, mais l'on obtient une tranche d'adresses, et pas n'importe quelle épaisseur de tranche. Orange nous octroie ce que l'on appelle un "/56", et dans ce /56 on dispose de 256 sous-réseaux en /64, avec donc (2¹⁶)⁴=2⁶⁴ ,  adresses IP publiques (= aussi 2^(128-64), mais plus le /augmente moins on a d'adresse, je vous renvoie aux bonnes sources de documentation sur IPv6). Oui, faites le calcul, ça nous fait 256 sous réseaux de 1,84 x10¹⁹ adresses.  Sachant qu'un corps humain contient environ 10¹⁴ cellules, si l'on octroyait une adresse IP à chacune d'entre elle, il nous en resterait assez pour, en considérant que l'on a deux enfants, et que chacun de nos enfant engendre 2 enfants, ainsi de suite, et qu'à chaque enfant on octroie une adresse IP à chacune de ses 10¹⁴ cellules, il faudrait attendre la 16eme génération pour en arriver à bout ( ça fait 131070 descendants si mes calculs sont exacts, mais ça n'a aucune importante, cette supputation stérile de 2 enfants par enfants sur 15 générations est juste un prétexte pour essayer de considérer la quantité absolument colossale d'adresses IP routables fournie). Oui, je sais, partant de l'habitude de faire du NAT derrière une unique adresse IP publique, ça donne le vertige. Et en plus, on a 256 sous réseaux de cette taille...
  • IPv6 règle assez magistralement la question du manque d'adresse, et depuis un moment, du reste, car la RFC 2460 qui en a finalisé les spécifications date de décembre 1998, érigé au rang de standard par le RFC8200 en juillet 2017. Ok on a de la place, tellement de place que l'on n'a plus besoin du mécanisme de NAT. On pourrait, le faire. Mais c'est mal. Autre avantage, les entêtes sont plus simples, gèrent la prise en compte de la Qualité de Service (QOS, priorisation des flux) dès sa conception, et permet la non fragmentation. Dit autrement, la charge CPU des routeurs est plus faible, peut plus facilement monter. Je m'égare. Oui, c'est mieux, mais la notion vraiment géniale, c'est l'auto configurabilité du réseau. C'est tout à la fois génial, et l'enfer.  Exemple:
    • Vous connectez votre routeur à internet par IPv6, avec le Network Discovery activé (l'autoconfiguration), et, dès que nous connectez votre smartphone, la TV ou le Frigo, ils se connectent automatiquement sans rien faire, trouvent internet tout seuls, pas même besoin de paramétrer vous même votre routeur. Là, c'est fun, car votre réseau local étant équipé d'adresses IP publiques routables, on pourra considérer que tout internet en IPv6 est dans votre réseau local.
    • Hélas, si vous ne faites rien de plus, votre réseau local, intégralement doté d'adresses IP publiques, sera dans le réseau local des autres aussi. Et là, c'est le drame. (facile)

Donc, l'ascèse nécessaire exige de rédiger un firewall IPv6 au moins aussi raisonnablement sûr que celui en IPv4, à ceci près que la relative protection du NAT, qui cache toutes les IP du LAN maison au reste du monde, disparait en un instant, exigeant, je le souligne, un peu de rationnalité. J'invite du reste à la critique, et si vous avez des modifications constructives et argumentées à proposer, vous êtes les bienvenus.

On peut donc partir à la suite du post précédent concernant les réglages IPv4.
Je vais répéter un peu, mais si on lance tel quel, on a la connectivité IPv6 sans IPv4. C'est possible aussi, tout comme le Dual Stack, c'est à dire à la fois IPv4 et IPv6. C'est l'option que j'ai choisie.

Attention, préalable indispensable, il faut télécharger le fichier zip des extra packages sur https://mikrotik.com/download. Veillez bien à disposer d'un firmware avec sa bonne version d'extra package. C'est fonctionnel en v6.48 au 28 janvier 2021. Souvenez vous, glissez déposer le fichier "routeros-arm64-6.48.npk" (pour un CCR2004 en arm64), et "ipv6-6.48.npk" dans la fenêtre Files, puis rebootez, puis activez le module IPv6 installé mais pas activé en faisant System/Package double clic sur ipv6, Enable, puis System/reboot pour finir.


Citer
###################################################################################################################
#
#  ___   ____                   __                 _                                        _     _                                  _
# |_ _|   |   _ \    __   __  / /_      ___    | |__       ___  __        __    | |_  (_)   _ __ ___     __ _    | |
#   | |     |  |_ |   \  \  / / | '_ \    /   __   | | '_ \   /  _  \  \ \  /\   / /   | __| | |  |   '_ ` _ \   / _  \     | |
#   | |     |   __/    \  V /  | (_) |   \_  _ \ | |   | |  | (_) |   \ V   V /     | |_   | |  |  | | | | |   |  __/     |_|
# |___|   |_|          \_/    \___/    |___/  |_|  |_|  \___/     \_/\_/      \__|  |_| |_| |_| |_|  \___|     (_)
#                                                                                                   
#
###################################################################################################################

#######################################################################################################################
# Rappel des ports SFP+ utilisés sur le routeur, pour bien suivre et adapter à vos besoins. Ils sont identiques
# aux réglages de la config IPV4.
#
# Eth7  : Décodeur TV
# Eth8  : LB
# Eth10 : ONT
# Eth12 : LAN
#
#######################################################################################################################
#
# Configuration Orange IPV6
#
#######################################################################################################################


#########################################
# Configuration des interfaces du routeur
#########################################

/interface ethernet
set [ find default-name=sfp-sfpplus1 ] disabled=yes
set [ find default-name=sfp-sfpplus2 ] disabled=yes
set [ find default-name=sfp-sfpplus3 ] disabled=yes
set [ find default-name=sfp-sfpplus4 ] disabled=yes
set [ find default-name=sfp-sfpplus5 ] disabled=yes
set [ find default-name=sfp-sfpplus6 ] disabled=yes
set [ find default-name=sfp-sfpplus7 ] comment="Routeur TV local" name=ether7-TV
set [ find default-name=sfp-sfpplus8 ] comment="Livebox" name=ether8-LB
set [ find default-name=sfp-sfpplus9 ] disabled=yes
set [ find default-name=sfp-sfpplus10 ] comment="WAN" name=ether10-WAN
set [ find default-name=sfp-sfpplus11 ] disabled=yes
set [ find default-name=sfp-sfpplus12 ] comment="LAN" name=ether12-LAN
set [ find default-name=sfp28-1 ] disabled=yes
set [ find default-name=sfp28-2 ] disabled=yes

############################################################################################
# Surcharge des IP de configuration - Arbitraire
############################################################################################
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1 network=192.168.88.0       
add address=192.168.1.1/24 interface=ether12-LAN network=192.168.1.0                     
#add address=192.168.42.254/24 comment="Routeur TV local" interface=ether7-TV network=192.168.42.0
############################################################################################

On poursuit avec les réglages nécessaires pour IPv4 aussi, qui sont des redites mais rendent cette configuration éventuellement autonome en IPv6.

Citer

############################################################################################
# Ajout du VLAN 832 sur ether10-WAN pour accès Internet (valable pour IPV4 et IPV6)
# VLAN 832 pour Internet,
# le 838 pour la VOD/Replay et le 840 pour le multicast TV, qui pourront servir plus tard
############################################################################################
/interface vlan
add comment="Internet ONT" interface=ether10-WAN loop-protect-disable-time=0s loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
add comment="VOD ONT" interface=ether10-WAN loop-protect-disable-time=0s name=vlan838-vod vlan-id=838
add comment="TV ONT" interface=ether10-WAN loop-protect-disable-time=0s name=vlan840-tv vlan-id=840

##################################################
# Créons le bridge principal qui va servir sans arrêt
##################################################

/interface bridge
add name=br-wan protocol-mode=none

On associe ce bridge à une interface esclave.

Citer
/interface bridge port   
add bridge=br-wan interface=vlan832-internet

On répète le filtre de bridge nécessaire pour passer la COS=6 sur les requêtes dhcp IPv4, en remarque, mais logiquement il est inutile en IPv6.

Citer
/interface bridge filter
############################################################################################
# On crée le filtre pour la CPS=6
#
# En IPv4, port 67 UDP
############################################################################################
# Attention ce filtre est en commentaire
#add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes

On répète le filtre de bridge nécessaire pour passer la COS=6 sur les requêtes dhcp IPv6, pour si on en a besoin (j'en ai besoin).

Citer

############################################################################################
# Puis en IPv6, port 547 UDP
############################################################################################

add chain=output action=set-priority new-priority=6 mac-protocol=ipv6 ip-protocol=udp dst-port=547 out-interface=vlan832-internet


Il faut, avant de lancer le client dhcp, rappeler au routeur qu'il doit accepter de recevoir une délégation de préfixe du serveur upstream Orange

Citer
############################################################################################
# Indiquer à RouterOS de prendre en compte les Router Advertisements venant du réseau Orange
#
# ATTENTION, si le Router Advertisement IPV6 est activé sans le dhcp client en add-default-route=yes, c'est sujet à exploit 
# cf https://blog.mikrotik.com/security/cve-2023-32154.html
# et cf https://lafibre.info/mikrotik/mise-a-jour-version-7-9-1-dispo-pour-corriger-une-vulnerabilite/
# What this issue can cause: This vulnerability allows network-adjacent attackers to execute arbitrary code on affected
# installations of Mikrotik RouterOS. Authentication is not required to exploit this vulnerability.
# Recommended course of action: You can disable IPv6 advertisements, or upgrade to RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8
# (all versions already released), and of course newer versions afterwards.
#
############################################################################################

#/ipv6 settings set accept-router-advertisements=yes
/ipv6 settings set accept-router-advertisements=no

Attention, astuce, la requête DHCPv6 part en multicast,et revient en unicast, et si le firewall n'est pas prévenu, il zappe la réponse.

Citer
############################################################################################
# Attention, la requête DHCPv6 part en multicast, et revient en unicast, donc le firewall
# perd la réponse. Il faut pourtant l'accepter. DHCPv6 écoute sur le port 546
############################################################################################

/ipv6 firewall filter
add chain=input action=accept in-interface=br-wan src-address=fe80::ba0:bab/128 protocol=udp dst-port=546

Préparons les options, différentes, de la requête DHCP IPv6. Le champ 11 correspond à l'option 90 en IPv4, et on pourra reprendre la mâme chaîne.
Sinon, convertissez votre identifiant fti complet pour remplacer les 142 caractères XXXXXXXXXXXXXXXXXXXXX en les convertissant sur sur le site habituel

Citer
############################################################################################
# Forgeons les options à envoyer avec la requête DHCPv6
# code 16 - class-didentifier = sagem
# code 15 - userclass = SVDSL_livebox.Internet.softathome.Livebox4
# code 11 - authsend - fti/identifiant en version longue
# Attention, l'option 11 doit être impérativement conforme avec l'option 90 du DHCPv4
############################################################################################

/ipv6 dhcp-client option

# option sagem :
add code=16 name=class-identifier value=0x0000040e0005736167656d

# option SVDSL_livebox.Internet.softathome.Livebox3 :
add code=15 name=userclass        value="0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f78340a"

# option 'version courte' fti/<votre_identifiant_Orange> :             >>>  la version courte n'est plus supportée par Orange  !!!
# remplacer XXX...... par fti/<votre_identifiant_Orange> en héxa
add code=11 name=authsend value=0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Attention, l'option 11 doit être impérativement conforme avec l'option 90 du DHCPv4

Attention, si vous visualisez sur l'outil winbox les fenêtres IPv6/Adresses et IPv6/DHCP-Client, vous verrez le DHCP passer "bound" et la frange d'IP déléguée s'afficher.

Citer
############################################################################################
# On lance dchp client IPv6, qui fournit une classe /56 que l'on attribue à un pool
# du nom de pool_FT_6 - On le fournira au serveur DHCPv6 avec PD, qui se chargera de
# redistribuer des IPv6 aux clients du réseau.
# Bien veiller à ce que le add-default-route soit bien activé
############################################################################################

/ipv6 dhcp-client
add interface=br-wan dhcp-options=authsend,userclass,class-identifier request=prefix pool-name=pool_FT_6 pool-prefix-length=64 add-default-route=yes


############################################################################################
# Il est temps de l'annoncer
############################################################################################

/ipv6 address
add address=::1/64 from-pool=pool_FT_6 interface=ether12-LAN advertise=yes

Là, ça y est, on est sur internet en IPv6, alors un instant d'émotion, et on se l'affiche pour le fun. C'est dans la fenêtre IPv6 Address List, sinon.

Citer
############################################################################################
# On jette un oeil à ce /56
############################################################################################

/ipv6 pool print detail



############################################################################################
# On y voit le /56 associé au pool_FT_6
# du style
#############
# 0 D name="pool_FT_6" prefix=2a01:cb1d:xxxx:xx00::/56 prefix-length=64 expires-after=2d3h17m54s
#############
#
# Raaah, c'est beau.
#
############################################################################################

############################################################################################
# Voyons plus en détail
############################################################################################

/ipv6 address print detail where interface=ether12-LAN

############################################################################################
# Ça donne un truc du genre:
# Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
# 0 DL address=fe80::xxxx:xxxx:xxxx:xxxx/64 from-pool="" interface=ether12-LAN actual-interface=ether12-LAN eui-64=no advertise=no no-dad=no
# => une adresse en fe80, équivalent localhost
#
# 1  G address=2a01:cb1c:xxxx:xx00::1/64 from-pool=pool_FT_6 interface=ether12-LAN actual-interface=ether12-LAN eui-64=no advertise=yes no-dad=no
# => nous voilà notre pool, assigné juste à la bonne interface, qui prend l'IP 2a01:cb1c:xxxx:xx00::1/64
#
# Raaah, c'est encore plus beau
#
############################################################################################

Alors, cette portion là n'est pas absolument nécessaire, car le réseau sait s'auto configurer, mais si on veut en venir un jour à une association fixe adresse MAC-IPv6, il faudra en avoir un et lâcher l'autoconfiguration, mais c'est plus pénible. Cependant je l'ai laissé, mais il ne se meuble d'aucun bail DHCPv6

Citer
############################################################################################
# Lançons ce serveur DHCPv6 en mode PD (disables=no)
############################################################################################

/ipv6 dhcp-server
add address-pool=pool_FT_6 name=DHCPv6 interface=ether12-LAN route-distance=5 disabled=no

/ipv6 pool used print detail

Au moins, on y voit la délagation IPv6, 2⁶⁴ IP routables. 2³² fois plus que toutes les IPv4 d'internet actuel, pour soi tout seul.
Oui, la vache.

Le temps de régler le firewall, on désactive l'autoconfiguration, sinon, c'est le LAN à poil sur internet.
Citer
############################################################################################
# Disable IPv6 Neighbour Discovery
############################################################################################

/ipv6 nd set [find] disabled=yes

« Modifié: 26 juillet 2023 à 08:26:18 par Gnubyte »

Gnubyte

  • Abonné Orange Fibre
  • *
  • Messages: 1 051
  • Toulon (83)
    • HSGMII intégriste
Voici la liste des courses, avec les références valides qui fonctionnent.

L'ONU SFP
Chipset: Intel/Lantiq PEB98035
   
  • SourcePhotonics - FS.COM
    • Longtemps décrit comme introuvable, FS.COM , fournisseur chinois de portée internationale, fournit un module SFP ONU à base d'intel/Lantiq PEB98035.
    • FS.COM est un fournisseur de matériel réseau pour datacenter, depuis le câble RJ45 non blindé voire super blindé de 15cm à 5m, jusqu'au switch Layer 3 à 64 ports 100Gb, fixe ou modulaire. Ils ne sont pas là pour faire de la figuration.
    • Le module en question peut se trouver à l'adresse suivante: https://www.fs.com/fr/products/133619.html, coûte moins de 60€ livré en France, peut se commander avec adaptation au numéro de série de sa LiveBox si on le demande à la commerciale, qui parle un français parfait car FS.COM dispose d'une filiale en Allemagne.
    • Ce module a été rapporté comme directement fonctionnel par @mackila, et j'en attends un à la date du 18 décembre 2021, tout comme toute une partie de la communauté de ce fil de discussion. Pensez à vous prévaloir de venir de lafibre.info  :D 
    • Ce produit, si, comme on peut s'y attendre, peut fonctionner immédiatement avec activation d'origine du mode HSGMII 2.5Gbps, casse complètement le jeu de la chasse au module Lantiq compatible.
    • Source Photonics est le fabriquant original des modules Alcatel/Nokia G-010S-S et G-010S-P, mais aussi des CalrlitoXXPro. Sourcer directement des modules ONU Source Photonics SPS-34-24T-HP-TDFO, neufs ou leur dernière évolution, avec une version à jour d'OpenWRT, constitue un événement aussi inattendu que la découverte de l'Arche d'Alliance ou du Graal, comment dire, cela rend la manipulation infiniment plus simple. Fin du game, plus besoin de bidouiller un module chiné, on peut commander son module personnalisé, avec un droit de retour de 30 jours. J'attends le mien. Enfin les miens.


Le routeur,
Mikrotik, marque d'équipements d'origine Lettone que j'aurais dû essayer bien avant. RouterOS est juste bien foutu, et ce Mikrotik CCR2004-1G-12S+2XS fait exactement ce que je lui demande, fonctionner H24/365 sans défaillir, facile à reparamétrer. Le CPU: AL32400@1700 MHz - 4x cores [ARM 64bit] envoit du bois. 12 ports SFP+ pour parer à toute évolution de l'infra maison. J'en ai déployé un au travail, en remplacement d'un Ubiquiti EdgeRouter 8 Pro.
Mikrotik CCR2004-1G-12S+2XS Routeur connecté Gigabit Ethernet Blanc 504€ 595€ (La vache, quelle inflation depuis la rédaction initiale de ce post)

Le modèle de ventilateur Noctua par lequel j'ai remplacé les ventilateurs du routeur, à prendre par deux: 15€ x2, 30€ Ceux d'origine sifflent un peu trop, et les Noctua méritent leur réputation. Les pales dotées de nervures font un bruit ridicule quand elles tournent, et le plus souvent, les ventilateurs sont à l'arrêt. Bien prendre les modèles PWM, Les ventilateurs d'origine ne le sont pas, mais les ports sur la carte mère le sont, alors autant utiliser la progressivité des connecteurs PWM.
Noctua NF-A4x10 FLX, Ventilateur Silencieux Haut de Gamme, 3 Broches (40x10 mm, Marron)

Les Switchs 10Gbps.
  • Le Mikrotik CRS305-1G-4S+in, petit modèle 4 ports, 147 €. Je l'ai gardé, mais il n'est plus en cours d'utilisation.
    Mikrotik - CRS305-1G-4S+in
  • Le Mikrotik MikroTik CRS309-1G-8S+, 8 ports, 252€. J'en ai deux. Un près du routeur, et l'autre sur mon bureau. Délicieusement passif. 252€x2=504€
    MikroTik CRS309-1G-8S+
J'ai aussi un switch 1Gbps Ubiquiti EdgeSwitch ES 8-150w. En fait, j'en ai deux, depuis longtemps. Il m'en reste un d'actif, sur mon bureau, pour les différentes servitudes qui n'ont pas besoin de 10Gbps (Raspi Octopi, imprimante, second port du NAS, etc). Ce switch dispose d'un port SFP+ parfaitement adapté aux paramétrages des ONU. J'utilise celui de spare pour ce faire.



Citer
La carte BMC57810s.
J'en ai 5, en comptant le cluster de virtualisation. (Une dans deux noeuds pour leur connexion 10Gbps, deux dans un noeud pour connexion + pont HSGMII/10Gbps, une dans ma station, soit 5 cartes )
DELL BROADCOM BCM57810S 10GB Dual Port SFP+ PCI-E Ethernet Adapter, 93$ sur Ebay, attention des frais de TVA interviennent depuis le 1er Juillet 2021 Attention, celle ci, elle fonctionne. J'ai tiré l'url de mon historique Ebay. Compter 110€ avec la TVA si tout va bien. Si c'est du reconditionné, alors c'est reconditionné dans les règles de l'art, sinon, c'est du neuf, avec l'odeur de neuf, sans la moindre poussière, ça vient avec deux équerres, une longue, une courte, et TOUTES ont été réglées avec l'outil de supervision en mode MS-DOS. Toutes deux ont été en mode pont, mais j'ai booté la clé USB sur les 5, et toutes ont été reconnues.
Le même genre sur amazon, 140€, à tester pour voir: 10Gtek® Carte Réseau 10GbE PCIE Broadcom 57810S Chip, Dual SFP+ Ports, 10Gbit PCI Express x8 LAN Adapter Il faudrait tester une fois, pour  voir si on peut les paramétrer avec l'outil en MS-DOS pour le mode HSGMII 2.5Gbps, et avoir une possibilité de retour en cas de panne.
Même si, stricto sensu, cette carte n'est plus indispensable à la manipulation nécessaire à établir une connexion Orange 2.5gbps, ces cartes restent utiles à la synchronisation des ONU directement dans un serveur hébergeant une appliance de routage, dont l'index des réussite regorge.
De même, si votre PC ne comprend pas d'interface 10Gbps d'origine, ces cartes constituent une solution fiable et bon marché en occasion.


Je cause un peu de NAS,
parce qu'accéder au NAS rapidement est un des arguments qui m'ont fait basculer au tout 10Gbps. J'ai commencé par un lien simple, entre ma station et le NAS, et j'ai fini par mettre en 10Gbps tout ce qui pouvait l'être. Ça intéressera certains d'entre vous.
  • Je dispose d'un NAS Synology DS1819+ 1186€, (sans les disques).
  • La carte 10Gbps RJ45 10GBaseT, spécifiquement dédié à la famille dont fait partie mon NAS, Synology E10G18-T1 - Adaptateur réseau - PCIe 3.0 x4 Profil Bas - 10Gb Ethernet x 1
  • A tout prendre, aujourd'hui, je prendrais plutôt un NAS DS1821+ (1045€, sans lesdisques) J'y viendrai sans doute, du reste, car il suffit de placer les disques de l'un à l'autre pour que le système redémarre tel quel. Pourquoi Synology ? Parce que SHR c'est trop bien ! On commence avec des disques de 4To, puis on peut les mettre à jour pour des 8To, à chaque Black Friday/Soldes/promo/snipe Ebay. On migre la taille de ses grappes de disques, et j'attends encore une fonctionnalité équivalente chez la concurrence.
  • En fait, j'ai depuis remplacé la carte réseau isolée par une Synology E10M20-T1 qui cumule port 10GBaseT et support de disques SSD M2 cache en lecture/écriture. (264€, sans les 2 disques SSD M2 possibles)
  • Ha, et puis j'ai changé la RAM, car le DS1819+ est livré avec 4Go, ce qui est maigre, selon l'utilisation:
    J'ai pris ce modèle de RAM Crucial 16GB Kit (2x8Go) DDR4-3200 SIDIMM certifiée compatible par crucial, mais qui faisait parfois crier un peu l'interface Synology quand elle était en DSM version 6.2  Je n'ai pas d'alerte depuis le passage en DSM v7. 75€ Alerte ou pas, ça fonctionne bien.
L'encre conductrice destinée à appliquer le point de soudure, 10€:
Circuit Scribe Stylo à encre conductrice non toxique

Transceivers SFP+:

Les connectiques:


Le multigigabit, ça se mérite, comme j'ai souvent répété. Je n'ai pas fait le compte total, car il faut éventuellement rajouter le prix du serveur fanless qui héberge(ait) le pont HSGMII 2.5-10Gbps. Le boitier est un HDPLEX H5, une carte mère ASRock B550 Pro4 avec un AMD R7 4750G et 64Go de RAM. C'était la seule carte mère des 3 serveurs à pouvoir héberger les 2 cartes PCIe BMC 57810s. <== Cette mention des cartes BMC57810s est moins importante qu'auparavant, où, je le répète, on ne pouvait pas insérer l'ONU directement dans le routeur. C'est désormais possible, alors tout est plus simple, cuicui les petits oiseaux et bzz bzz les abeilles.

Voilà, vous avez tous les liens, avec des pièces qui s'adaptent les unes avec les autres. Ça fonctionne bien, depuis plus d'un an pour le routeur, un an pour l'insertion dans l'arbre GPON Orange d'un équipement non Orange, et 1 an dans 15 jours pour ce qui est de l'accès à 2Gbps+.

Bonnes bidouilles à tous.
Ici, avant, une balise list qui scotche. Mince j'ai beau la virer elle est toujours là.[/list]
« Modifié: 09 mai 2022 à 08:40:08 par Gnubyte »

Gnubyte

  • Abonné Orange Fibre
  • *
  • Messages: 1 051
  • Toulon (83)
    • HSGMII intégriste
Attention, c'est parti pour la suite de l'installation de la pile IPv6, le firewall IPv6.


La liste d'IP "bogons" devient bad_ipv6, avec un contenu un peu différent, à la sauce IPv6.

Je laisse la capture d'un seul tenant, car il faudra bien l'entrer intégralement, sans que vous n'oubliiez un morceau, pour votre sécurité.
J'ai choisi de loguer tout ce que l'on droppe, pour voir les problèmes éventuels. Ça permet d'agir en cas de souci.
J'ai choisi de reprendre le mécanisme de protection contre les attaques en ssh par force brute, mais adapté à IPv6.
Une fois la dernière ligne passée, où l'on droppe tout le reste qui ne provient pas du LAN (in-interface-list=!LAN), on relance l'autoconfiguration, et c'est bon.

Citer
############################################################################################
# IPv6 firewall to a router
############################################################################################+

# CONFIGURATION de base firewall IPv6

/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo"                 list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local"       list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat"          list=bad_ipv6
add address=100::/64 comment="defconf: discard only "     list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID"        list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone"            list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other"      list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other"      list=bad_ipv6
add address=::/104 comment="defconf: other"               list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other"      list=bad_ipv6

/ipv6 firewall filter add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
/ipv6 firewall filter add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST
/ipv6 firewall filter add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept HIP" protocol=139
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
/ipv6 firewall filter add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128

/ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN log=yes log-prefix=IPV6-TRASH
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=IPV6-INVALID
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" log=yes log-prefix=IPV6-BADSOURCE src-address-list=bad_ipv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 log=yes log-prefix=IPV6-BADSDST
/ipv6 firewall filter add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept HIP" protocol=139
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept new from inside" connection-state=new in-interface=ether12-LAN

/ipv6 firewall filter add action=drop chain=input comment="defconf: drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
/ipv6 firewall filter add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input comment="defconf: IPV6-SSH-CONNEXION" connection-state=new dst-port=22 log=yes log-prefix=IPV6-SSH-CONNEXION protocol=tcp src-address-list=ssh_stage3
/ipv6 firewall filter add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade3" connection-state=new dst-port=22 log=yes log-prefix=IPV6-SSH-BRUTEFORCE-grade3 protocol=tcp src-address-list=ssh_stage2
/ipv6 firewall filter add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade2" connection-state=new dst-port=22 log=yes log-prefix=IPV6-SSH-BRUTEFORCE-grade2 protocol=tcp src-address-list=ssh_stage1
/ipv6 firewall filter add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="defconf: IPV6-SSH-BRUTEFORCE-grade1" connection-state=new dst-port=22 log=yes log-prefix=IPV6-SSH-BRUTEFORCE-grade1 protocol=tcp
/ipv6 firewall filter add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist

/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN


/ipv6 firewall mangle add action=mark-packet chain=output comment="Neighbor Solicitation NS" icmp-options=135:0-255 new-packet-mark=na/ns out-interface=br-wan passthrough=no protocol=icmpv6
/ipv6 firewall mangle add action=mark-packet chain=output comment="Neighbor Advertisement NA" icmp-options=136:0-255 new-packet-mark=na/ns out-interface=br-wan passthrough=no protocol=icmpv6

# On réouvre le Network Discovery
/ipv6 nd set [find] disabled=no
   

Des fois que d'aucun aura seulement collé la configuration IPv6 monostack, on oublie pas de refermer TFP et Telnet, c'est plus prudent.
Citer
############################################################################################
# Réglages des types d'accès en supervision
############################################################################################
/ip service
set telnet disabled=yes
set ftp disabled=yes                                                                                                                                 

Enjoy.

J'ai fait quelques tests de charge, et en téléchargeant la plus grosse iso Linux disponible, avec le plus de sources possibles, sur un disque SSD Nvme PCIe x4, le débit descendant arrivait à 1500MBits/s avec une charge CPU de l'ordre de 10% sur un coeur.
« Modifié: 01 janvier 2023 à 22:56:54 par Gnubyte »

Gnubyte

  • Abonné Orange Fibre
  • *
  • Messages: 1 051
  • Toulon (83)
    • HSGMII intégriste
Réservé
« Modifié: 08 mai 2022 à 20:56:23 par Gnubyte »

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Si j'ai bien compris, tu pars d'une Livebox 4 et d'un ONT Huawei HG8010a ?
Donc ça voudrait dire qu'Orange aurait les anciens abonnés 1Gbps sur le profil 2Gbps, sans qu'ils aient migré vers Livebox Up avec une Livebox 5.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
superbe!

N3o et Zoc j'ai supprimé vos premiers messages respectifs du sujet. rien d'important dedans et ca permet une continuité des 3 messages de Gnubyte.

J'épingle ce sujet en attendant peut-etre une version plus courte qui donne juste ce qu'il faut acheter et comment faire le paramétrage ou pas... ca peut-etre quelqu'un d'autre qui s'en occupe. t'en a deja fait beaucoup :)
« Modifié: 09 novembre 2020 à 06:54:21 par kgersen »

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 259
  • Antibes (06) / Mercury (73)
Si j'ai bien compris, tu pars d'une Livebox 4 et d'un ONT Huawei HG8010a ?
Donc ça voudrait dire qu'Orange aurait les anciens abonnés 1Gbps sur le profil 2Gbps, sans qu'ils aient migré vers Livebox Up avec une Livebox 5.
Il est possible de conserver sa livebox 4 quand on migre vers livebox up. Du coup on a l’upload à 600 Mbps, mais évidemment le download à 1 Gbps malgré le profil à 2 Gbps vu l’utilisation soit de l’ont ethernet soit du SFP Sercomm

Gnubyte

  • Abonné Orange Fibre
  • *
  • Messages: 1 051
  • Toulon (83)
    • HSGMII intégriste
Si j'ai bien compris, tu pars d'une Livebox 4 et d'un ONT Huawei HG8010a ?
Donc ça voudrait dire qu'Orange aurait les anciens abonnés 1Gbps sur le profil 2Gbps, sans qu'ils aient migré vers Livebox Up avec une Livebox 5.
Une offre de débit est une offre de débit. Si le titulaire d'une LBv3 demande un passage en offre UP, sans migration de matériel, il voit son débit montant passer à 600Mbps.
Ça e été mon cas. J'ai eu le plus grand mal à migrer en offre LBv4, parce que je pensais alors qu'il pouvait être utile d'obtenir un SFP Sercomm reconnu par Orange.
En fait, on ne peut pas modifier le SFP Sercomm, et rien ne dit si il peut passer en 2.5Gbps, ni comment simplement lui récupérer son SN si on en change.

Gnubyte

  • Abonné Orange Fibre
  • *
  • Messages: 1 051
  • Toulon (83)
    • HSGMII intégriste
La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+
« Réponse #10 le: 09 novembre 2020 à 08:18:18 »
superbe!

N3o et Zoc j'ai supprimé vos premiers messages respectifs du sujet. rien d'important dedans et ca permet une continuité des 3 messages de Gnubyte.

J'épingle ce sujet en attendant peut-etre une version plus courte qui donne juste ce qu'il faut acheter et comment faire le paramétrage ou pas... ca peut-etre quelqu'un d'autre qui s'en occupe. t'en a deja fait beaucoup :)
Merci. Venant de toi je suis touché.
L'exposé est long, certes, mais j'ai tenté de faire en sorte qu'il garde une cohérence logique, et qu'il véhicule un bagage pédagogique suffisant pour ne pas acheter de composant erronés.
Cette fois ci, ça a été beaucoup plus long et laborieux qu'habituellement, car on dépassait le simple réglage logique du haut de couches OSI pour descendre jusqu'aux couches les plus basses, et garantir la synchro.
Il faut non seulement un réseau local à au moins 2.5Gbps sur toute la chaîne, mais aussi un Switch à port SFP pour régler le bon ONU, un serveur Linux, recompiler un noyau. Il faut, car ça reste fondamental, un routeur 10Gbps qui sache envoyer des requêtes DHCP cos à 6 sans nécessairement recompiler un binaire, ni y laisser sa chemise.
Plein de nouveaux concepts, le PHY, HSGMII, et j'ai passé sous silence un océan de commandes OpenWRT.
Ce coup ci, pour l'instant et en l'absence de routeur 10Gbps ou de Switch 10Gbps SFP+ acceptant de reconnaître l'ONU à base de chipset Lantiq préparé, il faut passer par le pont sur cette carte spécifique, qu'il faut régler en mode DOS, avec un système Linux pour façonner le pont...
C'est beaucoup moins plug ans play que les autres fois. C'est beaucoup plus onéreux. C'est presque un gros hack poilu. Il faut même souder.
Je n'avais pas envie de simplement montrer que c'était possible, donner des indications Sybillines et disparaître. Avec ce long exposé, on doit pouvoir reproduire la manip.
C'est la raison de la longueur de l'exposé.
Bien mis en place, bien exposé, le support sera plus facile.

Routeur, Switch, câbles, ONU, interfaces SFP, c'est sans doute un billet de 1000€, pour vraiment avoir un débit descendant de 2Gbps. J'ai étalé ces achats sur plusieurs mois, au fil de mes besoins.  À chacun de juger comment il l'envisage. Il est possible de le faire, mais il faut pour l'heure en accepter le prix. J'ai, avec la flopée d'ONU que j'ai testé, et un second Switch 8 ports, dépensé un peu plus, mais vous savez maintenant quelle est la solution qui fonctionne.

C'est une superbe expérience. Un peu dans mon coin, mais quel kiff. Je sais qu'ici il y en aura deux ou trois qui s'y precipiteront. J'en connais au moins deux.

Au plaisir de lire vos réactions, et de vous aider à reproduire ou améliorer la manipulation.

vivien

  • Administrateur
  • *
  • Messages: 47 086
    • Twitter LaFibre.info
La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+
« Réponse #11 le: 09 novembre 2020 à 09:38:17 »
Merci Gnubyte.

J'ai l'impression que Orange ne limite pas le débit à 2 Gb/s et que tu arrives à avoir plus quand il y a peu d'utilisation de l'arbre (l'arbre Gpon permet 2488 Mb/s mutualisé entre les 64 clients de l'arbre Gpon)

Tu confirmes ?

Je me suis permis d'éclater ton message sur plusieurs messages.
Il ne faut pas hésiter à segmenter un log tutoriel sur différents messages, cela permet de faire des liens direct ver une partie du tutoriel.
J'ai aussi intégré les photos directement au forum et tu vas avoir une miniature en une de LaFibre.info.