Okay donc d'après se que j'ai compris grace a vous, pour remplacer ma box pour relier mes serveurs en 2.5G j'ai prévu:
- fs.com ONU avec demande pour remplacer le SN ( https://www.fs.com/fr/products/133619.html )
- Mikrotik RB5009UG+S+IN ( https://mikrotik.com/product/rb5009ug_s_in )
- Un switch 2.5G

Dite moi si je me trompe 

Attention le Mikrotik RB5009 n’est pas encore sec et je suis pas sûr que l’on puisse faire correctement la CoS 6 même avec la dernière 7.2rc3

Pas encore sec ? 
Et merci pour les infos, tu me recommanderais quels routeurs ? c'est pour monter a la place de la livebox pas de rack 

Il faut juste patienter et je pense que la version finale de la 7.2 devrait être bonne…
Sur le papier ton choix du RB5009 est pour moi le meilleur hardware du moment chez Mikrotik avec un port ethernet 2.5Gbps qui est PoE in, un SFP+ donc 10Gbps une architecture ARM64 qui est pérenne, suffisamment de RAM et de flash et un Switch Chip qui permet d’avoir des switch rule comme pour la CoS 6 sans saturer le CPU !

Il faut juste patienter et je pense que la version finale de la 7.2 devrait être bonne…
Sur le papier ton choix du RB5009 est pour moi le meilleur hardware du moment chez Mikrotik avec un port ethernet 2.5Gbps qui est PoE in, un SFP+ donc 10Gbps une architecture ARM64 qui est pérenne, suffisamment de RAM et de flash et un Switch Chip qui permet d’avoir des switch rule comme pour la CoS 6 sans saturer le CPU !

Alors pour le moment non. J'ai échangé avec le support MTK (SUP-71491) et ce sont deux sujets bien distincts :

- les règles "bridge filter" ne fonctionnent pas pour l'action set-priority ce qui nous intéresse dans le cas Orange (elles fonctionnent pour tout le reste depuis la 7.2rc2)
C'est à priori prévu pour la 7.2rc4, sans prévision de date.

- le support hardware du 88E6393X n'est pas prévu à court terme (we will consider...) pour une règle de type /interface/ethernet/switch/rule new-vlan-priority

Donc quand la 7.2 sera sèche, on pourra utiliser le RB5009 sans switch externe pour Orange, en sachant que /interface/bridge/filter fait remonter le traffic au CPU (au moins dans le sens montant).
Par ailleurs, et ce n'était pas le cas sur le RB4011 en v6 : dès qu'on active ces règles bridge filter, tout le système fast-track est désactivé, même pour le routage L3.
Donc tout remonte au CPU (montant + descendant) et traverse le kernel par les voies standard (pas de fast-track).
A voir si c'est définitif.

Pas si grave (en attendant le XS-GPON), le CPU assure environ 1,5Gbps en single thread (soit ~6 Gbps avec les 4 coeurs).

C’est le client dhclient d’origine de VyOS ou il a été patché pour la CoS ?

egress-qos seul ne suffit pas, cette directive ne fait que mapper la priorité noyau en priorité 802.1p. Dhclient non patché utilise la priorité noyau par défaut (0) et pas 6, donc c’est la partie « 0:0 » qui s’applique et pas « 6:6 ».

Et quoi qu’il en soit, si l’option 90 dans le dhcp discover n’est pas bonne, le contrôle d’accès chez Orange bloque tout et donc aucun paquet ne revient.

C’est le client dhclient d’origine de VyOS ou il a été patché pour la CoS ?

egress-qos seul ne suffit pas, cette directive ne fait que mapper la priorité noyau en priorité 802.1p. Dhclient non patché utilise la priorité noyau par défaut (0) et pas 6, donc c’est la partie « 0:0 » qui s’applique et pas « 6:6 ».

Et quoi qu’il en soit, si l’option 90 dans le dhcp discover n’est pas bonne, le contrôle d’accès chez Orange bloque tout et donc aucun paquet ne revient.

Oui  patch sur  /opt/vyatta/sbin/vyatta-interfaces.pl

  $output  = "#\n# autogenerated by vyatta-interfaces.pl on $date\n#\n";
  $output .= "\noption user-class code 77 = string;\n";
  $output .= "option rfc3118-auth code 90 = string;\n\n";

  #$output .= "\trequest subnet-mask, broadcast-address, routers, domain-name-servers, rfc3442-classless-static-routes";
# orange tweaks
  my $vid = "sagem";
  my $uc = "+FSVDSL_livebox.Internet.softathome.Livebox5";
  my $auth = "XXX....;

  $output .= "\tsend vendor-class-identifier = \"$vid\";\n";
  $output .= "\tsend user-class \"$uc\";\n";
  $output .= "\tsend rfc3118-auth $auth;\n\n";
  $output .= "\trequest subnet-mask, broadcast-address, routers, domain-name-servers, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth";
Par contre, je suis en patch driver bnx2x de JAMESMTL qui est quasi identique que steevebrush, mais je ne pense pas que cela joue quoi que ce soit.

Bonjour @SnakeXG

J'ai une Orange Open Fibre avec une Livebox 5 et une Orange Pro Open Fibre avec aussi une Livebox 5 Pro (même hardware que la Livebox 5 mais Firmware différent).
Sur les deux livebox 5 actuellement j'ai un ONT LEOX en attendant une mise à jour de mon Firewall pour les virer.
J'ai dans le passé fait plusieurs tests avec du Mikrotik (pleins de modèles différents), OpenWRT, Ubiquiti et même du Rapsberry pour valider le fonctionnement.
Déjà ce que tu peux faire pour vérifier que ton ONT FS fonctionne c'est de le mettre dans un boitier type MC220 et brancher le MC220 en ethernet sur le port 4 de ta livebox 5 pour voir si au moins ton ONT FS est bien reconnu et fonctionne....

Je n'ai pas de convertisseur mais cela m'a donné l'idée de refaire mon bridge sur VyOS et de connecter un SFP 1G BASE-T sur le deuxième port de la carte broadcom puis de connecter au port 4 de la LB5.
Cela fonctionne j'ai 1Gbps, donc le problème ne vient pas de ONT mais bien de l'authentification DHCP.

Attention pour VyOS cela n'utilise plus /opt/vyatta/sbin/vyatta-interfaces.pl depuis la 1.3 mais /usr/lib/python3/dist-packages/vyos/ifconfig/interface.py et /usr/share/vyos/templates/dhcp-client/ipv4.tmpl

Je n'ai pas non plus réussi à choper d'ip avec le dhcp modifié pour avoir le bon DSCP CS6 (ce que vous appelez le "COS 6") via ce wrapper https://git.kindwolf.org/so_priority.so/

Une fois que j'ai tout plié je ferais un tuto

C'est une bonne piste, par contre sur OPNsense même avec le COS 6 je n'avais pas de résultat.