Auteur Sujet: La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (Lu 944350 fois)

TL91700 · « **Réponse #3492 le:** 07 mai 2022 à 13:10:15 »

Citation de: Mackila le 07 mai 2022 à 12:57:59

Dans l'ordre des points d'interrogation, sachant que toutes les réponses sont déjà données dans le sujet (d'où peut-être l'absence de réponses explicites)...

Oui
Faudra le paramétrage adéquat du client DHCP (options, CoS - cette dernière pouvant éventuellement être gérée par le CRS305)
Configurer le numéro de série identique à celui de la livebox
Pour le 2.5G pour l'instant pas d'interface graphique, faut le faire en ligne de commande
Non
OuiOui (double ??, double réponse)

Merci

Quand tu dis que le client DHCP peux etre gérer par le CRS305, cela signifie que l'IP est attribué au CRS305 dans ce cas ? ou le routeur pfsense pour récupérer l'IP v4 ?

nscheffer · « **Réponse #3493 le:** 07 mai 2022 à 13:36:25 »

Citation de: TL91700 le 07 mai 2022 à 13:10:15

Merci
Quand tu dis que le client DHCP peux etre gérer par le CRS305, cela signifie que l'IP est attribué au CRS305 dans ce cas ? ou le routeur pfsense pour récupérer l'IP v4 ?

Le CRS305 fait le pont 2.5Gbps vers du 10Gbps et peut très facilement faire la CoS 6 avec une Switch Rule, aucun impact sur le CPU.

Ensuite tu as deux options :
Dans le premier cas le CRS305 fait tout, c'est lui qui a l'IPv4 Publique et fait la NAT pour ton réseau local, ton pfsense à moins de sens.
Dans le second le CRS fait seulement le pont 2.5Gbps et la CoS 6, ensuite c'est ton pfsense qui fait la requête DHCP avec les bonnes options, récupère une IP Publique et fait la NAT pour ton réseau local.

De mon coté je suis dans le second cas et j'utilise aussi une Switch Rule pour faire la CoS 6. L'avantage de la Swith Rule est quelle peut faire plusieurs actions, du coup j'ajoute le VLan 832, ce qui permet d'avoir un Firewall avec aucun VLAN à gérer, c'est plus simple.

Mackila · « **Réponse #3494 le:** 07 mai 2022 à 14:59:26 »

Ouais alors théoriquement le CRS305 peut tout faire (et donc prendre l'IP publique).
Sauf que le CPU est tout rikiki, les performances ne seront pas au rendez-vous.
Et pas de NAT en offload hardware sur le CRS305 ( https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading : "These devices do not support Fasttrack or NAT connection offloading."

Donc en fait il n'y a qu'une seule option viable (ta 2e : "Dans le second le CRS fait seulement le pont 2.5Gbps et la CoS 6, ensuite c'est ton pfsense qui fait la requête DHCP avec les bonnes options, récupère une IP Publique")

uknys · « **Réponse #3495 le:** 07 mai 2022 à 15:26:14 »

Citation de: uknys le 30 avril 2022 à 19:11:09

J'ai réussi à faire passer mon ONT FS.com en 2.5gbps sur le pfSense installé sur mon HP T730+, mais je semble bloqué sur du 1gbps toujours alors que j'ai fait la modification côté NIC et côté ONU comme le montre le dmesg du pfsense. Je précise que mon PC sur lequel je fais le speedtest est en 2.5gbps.

Code: [Sélectionner]
[2.6.0-RELEASE][admin@pfSense.home.arpa]/root: dmesg | grep bxe0 bxe0: <QLogic NetXtreme II BCM57810 10GbE [BELL BYPASS] (B0) BXE v:1.7> mem 0xe2000000-0xe27fffff,0xe1800000-0xe1ffffff,0xe2810000-0xe281ffff irq 24 at device 0.0 on pci1 bxe0: PCI BAR0 [10] memory allocated: 0xe2000000-0xe27fffff (8388608) -> 0xfffff800e2000000 bxe0: PCI BAR2 [18] memory allocated: 0xe1800000-0xe1ffffff (8388608) -> 0xfffff800e1800000 bxe0: PCI BAR4 [20] memory allocated: 0xe2810000-0xe281ffff (65536) -> 0xfffff800e2810000 bxe0: Found 10Gb Fiber media. bxe0: IFMEDIA flags : 20 bxe0: Using defaults for TSO: 65518/35/2048 bxe0: Ethernet address: 80:61:5f:11:ad:e4 bxe0: MSI vectors Requested 1 and Allocated 1 vlan0: changing name to 'bxe0.832' bxe0: NIC Link is Up, 2500 Mbps full duplex, Flow control: ON - receive & transmit bxe0: link state changed to UP bxe0.832: link state changed to UP
Ce qui est confirmé côté ONT :

Code: [Sélectionner]
root@SFP:/home/ONTUSER# onu lanpsg 0 errorcode=0 pport=0 mode=15 enable=1 link_status=5 phy_duplex=1
Avez-vous des idées pourquoi je suis bloqué à 1gbps alors que le CPU peut tenir au moins les 2gbps de ma connexion ? (vu sur une autre personne dans le topic qui est sur le réseau COVAGE).

Aussi, bien que je remplisse correctement (amha) les infos du dhcpv6 je n'arrive pas à avoir d'IPv6.

Merci pour votre aide !

En passant sur Opnsense, j'ai réussi à passer le problème du DHCPv6, un préfixe m'est bien assigné, mais je suis toujours bloqué sur la vitesse.

En creusant un peu, je constate que 'Downstream FEC enable' et 'Upstream FEC enable' sont désactivés bien que je sois O5 et que tout semble fonctionner, avez-vous des idées ?

Code: [Sélectionner]

root@SFP:/home/ONTUSER# onu gtcsg
errorcode=0 ds_fec_enable=0 us_fec_enable=0 ds_ploam_waiting=0 ds_ploam_overflow=0 ds_state=3 ds_sf_state=3 ds_physical_equipment_error=0 onu_id=14 gtc_ds_delay=12 onu_response_time=34992 start_offset_enable=0

Merci pour votre aide !

nscheffer · « **Réponse #3496 le:** 07 mai 2022 à 15:47:12 »

Citation de: Mackila le 07 mai 2022 à 14:59:26

Ouais alors théoriquement le CRS305 peut tout faire (et donc prendre l'IP publique).
Sauf que le CPU est tout rikiki, les performances ne seront pas au rendez-vous.
Et pas de NAT en offload hardware sur le CRS305 ( https://help.mikrotik.com/docs/display/ROS/L3+Hardware+Offloading : "These devices do not support Fasttrack or NAT connection offloading."

Donc en fait il n'y a qu'une seule option viable (ta 2e : "Dans le second le CRS fait seulement le pont 2.5Gbps et la CoS 6, ensuite c'est ton pfsense qui fait la requête DHCP avec les bonnes options, récupère une IP Publique")

@Mackila

Oui tu as raison mais pour le prix on peut pas tout avoir !
L'avantage est de pouvoir valider que sans la LiveBox cela fonctionne, ensuite on fait une config qui tient le 2.5Gbps et plus...

Nico2888 · « **Réponse #3497 le:** 07 mai 2022 à 18:13:27 »

Citation de: nscheffer le 06 mai 2022 à 15:34:05

Bonjour,

Tu peux poster ta config Mikrotik ?
Pour les options DHCP ce sont 60, 61, 77 et 90.
Pour la CoS 6 de mon coté sur un CRS305 je fais avec une Switch Rule.

Bonjour nscheffer,

Voici un export de ma conf. Merci énormément pour ton aide.

Nico

Code: [Sélectionner]

# jan/02/1970 01:09:38 by RouterOS 7.3beta37
# software id = QAL9-GJXC
#
# model = CRS305-1G-4S+
# serial number = B9XXXXXXXXXX
/interface bridge
add name=br-wan
/interface ethernet
set [ find default-name=ether1 ] advertise="10M-half,10M-full,100M-half,100M-f\
    ull,1000M-half,1000M-full,10000M-full,2500M-full" comment=LAN name=\
    ether1-LAN
set [ find default-name=sfp-sfpplus1 ] advertise=\
    1000M-full,10000M-full,2500M-full auto-negotiation=no comment=\
    WAN-ONU-2500GBaseX name=ether1-WAN speed=2.5Gbps
set [ find default-name=sfp-sfpplus2 ] disabled=yes
set [ find default-name=sfp-sfpplus3 ] disabled=yes
set [ find default-name=sfp-sfpplus4 ] disabled=yes
/interface vlan
add comment="Internet ONT" interface=ether1-WAN loop-protect-disable-time=0s \
    loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e746572\
    6e65742e736f66746174686f6d652e4c697665626f7834"
add code=90 name=authsend value="0x00000000000000000000001a0900000558010341010\
    d6674692f793378686879783c12344359316f73455f72302c2f7e494d430313406c08b22ce\
    d67c3b7XXXXXXXXXXXXXX"
/ip pool
add name=pool_lan ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add address-pool=pool_lan interface=ether1-LAN lease-time=1w name=LAN
/port
set 0 name=serial0
/queue interface
set ether1-LAN queue=ethernet-default
set ether1-WAN queue=ethernet-default
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes \
    log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 \
    out-interface=vlan832-internet passthrough=yes
/interface bridge port
add bridge=*6 comment=defconf interface=ether1-LAN
add bridge=*6 comment=defconf interface=ether1-WAN
add bridge=*6 comment=defconf interface=sfp-sfpplus2
add bridge=*6 comment=defconf interface=sfp-sfpplus3
add bridge=*6 comment=defconf interface=sfp-sfpplus4
add bridge=br-wan interface=vlan832-internet
/ip address
add address=192.168.88.1/24 comment=defconf interface=*6 network=192.168.88.0
add address=192.168.88.1/24 comment=defconf interface=ether1-LAN network=\
    192.168.88.0
add address=192.168.1.1/24 interface=ether1-LAN network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \
    interface=br-wan
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1 \
    netmask=24
/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=192.168.88.0/24 list=support
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" disabled=yes \
    list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" disabled=yes \
    list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" disabled=yes \
    list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\
    bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder \
    address-list-timeout=30m chain=input comment=\
    "Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" \
    src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner \
    address-list-timeout=1w chain=input comment="Port Scanner Detect" \
    protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" \
    src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=\
    ICMP protocol=icmp
add action=jump chain=forward comment="Jump for icmp forward flow" \
    jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\
    bogons
add action=add-src-to-address-list address-list=spammers \
    address-list-timeout=3h chain=forward comment=\
    "Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\
    25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \
    protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" \
    connection-state=established
add action=accept chain=input comment="Accept to related connections" \
    connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" \
    src-address-list=support
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \
    icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\
    3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \
    protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=br-wan to-addresses=0.0.0.0
/system clock
set time-zone-name=Europe/Paris
/system routerboard settings
set boot-os=router-os
/tool sniffer
set file-name=br-wan.log filter-interface=br-wan

nscheffer · « **Réponse #3498 le:** 07 mai 2022 à 21:39:00 »

Citation de: Nico2888 le 07 mai 2022 à 18:13:27

Bonjour nscheffer,

Voici un export de ma conf. Merci énormément pour ton aide.

Nico

Code: [Sélectionner]
# jan/02/1970 01:09:38 by RouterOS 7.3beta37 # software id = QAL9-GJXC # # model = CRS305-1G-4S+ # serial number = B9XXXXXXXXXX /interface bridge add name=br-wan /interface ethernet set [ find default-name=ether1 ] advertise="10M-half,10M-full,100M-half,100M-f\ ull,1000M-half,1000M-full,10000M-full,2500M-full" comment=LAN name=\ ether1-LAN set [ find default-name=sfp-sfpplus1 ] advertise=\ 1000M-full,10000M-full,2500M-full auto-negotiation=no comment=\ WAN-ONU-2500GBaseX name=ether1-WAN speed=2.5Gbps set [ find default-name=sfp-sfpplus2 ] disabled=yes set [ find default-name=sfp-sfpplus3 ] disabled=yes set [ find default-name=sfp-sfpplus4 ] disabled=yes /interface vlan add comment="Internet ONT" interface=ether1-WAN loop-protect-disable-time=0s \ loop-protect-send-interval=1s name=vlan832-internet vlan-id=832 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip dhcp-client option add code=60 name=vendor-class-identifier value=0x736167656d add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e746572\ 6e65742e736f66746174686f6d652e4c697665626f7834" add code=90 name=authsend value="0x00000000000000000000001a0900000558010341010\ d6674692f793378686879783c12344359316f73455f72302c2f7e494d430313406c08b22ce\ d67c3b7XXXXXXXXXXXXXX" /ip pool add name=pool_lan ranges=192.168.1.100-192.168.1.200 /ip dhcp-server add address-pool=pool_lan interface=ether1-LAN lease-time=1w name=LAN /port set 0 name=serial0 /queue interface set ether1-LAN queue=ethernet-default set ether1-WAN queue=ethernet-default /interface bridge filter add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes \ log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 \ out-interface=vlan832-internet passthrough=yes /interface bridge port add bridge=*6 comment=defconf interface=ether1-LAN add bridge=*6 comment=defconf interface=ether1-WAN add bridge=*6 comment=defconf interface=sfp-sfpplus2 add bridge=*6 comment=defconf interface=sfp-sfpplus3 add bridge=*6 comment=defconf interface=sfp-sfpplus4 add bridge=br-wan interface=vlan832-internet /ip address add address=192.168.88.1/24 comment=defconf interface=*6 network=192.168.88.0 add address=192.168.88.1/24 comment=defconf interface=ether1-LAN network=\ 192.168.88.0 add address=192.168.1.1/24 interface=ether1-LAN network=192.168.1.0 /ip dhcp-client add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \ interface=br-wan /ip dhcp-server network add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1 \ netmask=24 /ip firewall address-list add address=192.168.1.0/24 list=support add address=192.168.88.0/24 list=support add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" disabled=yes \ list=bogons add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" disabled=yes \ list=bogons add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" disabled=yes \ list=bogons add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\ bogons add address=198.18.0.0/15 comment="NIDB Testing" list=bogons add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons /ip firewall filter add action=add-src-to-address-list address-list=Syn_Flooder \ address-list-timeout=30m chain=input comment=\ "Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \ tcp-flags=syn add action=drop chain=input comment="Drop to syn flood list" \ src-address-list=Syn_Flooder add action=add-src-to-address-list address-list=Port_Scanner \ address-list-timeout=1w chain=input comment="Port Scanner Detect" \ protocol=tcp psd=21,3s,3,1 add action=drop chain=input comment="Drop to port scan list" \ src-address-list=Port_Scanner add action=jump chain=input comment="Jump for icmp input flow" jump-target=\ ICMP protocol=icmp add action=jump chain=forward comment="Jump for icmp forward flow" \ jump-target=ICMP protocol=icmp add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\ bogons add action=add-src-to-address-list address-list=spammers \ address-list-timeout=3h chain=forward comment=\ "Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\ 25,587 limit=30/1m,0:packet protocol=tcp add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \ protocol=tcp src-address-list=spammers add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp add action=accept chain=input comment="Accept to established connections" \ connection-state=established add action=accept chain=input comment="Accept to related connections" \ connection-state=related add action=accept chain=input comment="Full access to SUPPORT address list" \ src-address-list=support add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \ icmp-options=8:0 limit=1,5:packet protocol=icmp add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\ icmp add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \ protocol=icmp add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\ 3:0-1 protocol=icmp add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \ protocol=icmp /ip firewall nat add action=masquerade chain=srcnat out-interface=br-wan to-addresses=0.0.0.0 /system clock set time-zone-name=Europe/Paris /system routerboard settings set boot-os=router-os /tool sniffer set file-name=br-wan.log filter-interface=br-wan

Bonsoir @Nico2888,

Dans ta conf je ne vois pas l'option 61 dans la partie DHCP client options. Je suis dans le 78 avec un OLT Alcatel, mes deux box envoient l'option 61 et je fais pareil sans les Box. J'ai par contre pas encore fait le test sans.

Quelques vérifications :
- ton ONT est bien en O5 ?
- si tu mets le ports en Auto (sans le forcer en 2.5Gbps) il va négocier en 1Gbps est ce que ca marche ?
- sans les règles du Firewall, est que le WAN récupère une IPv 4?

Déjà quelques pistes pour investiguer...

Serveurperso · « **Réponse #3499 le:** 08 mai 2022 à 21:38:44 »

Je vous remercie d'avance aussi car je vais clairement avoir besoin de voir ça des que l'ONU arrive. La mon routeur est conf et sur mon réseau mais sans la partie ONU

Gnubyte · « **Réponse #3500 le:** 08 mai 2022 à 21:51:32 »

Voilà, la page 1 est refondue, sauvegardée en page 275.

Tout tient en 3 posts, histoire, explications, réglage IPv4, IPv6 et showtime.

doctorrock · « **Réponse #3501 le:** 08 mai 2022 à 22:58:07 »

Citation de: Gnubyte le 08 mai 2022 à 21:51:32

Voilà, la page 1 est refondue, sauvegardée en page 275.

Tout tient en 3 posts, histoire, explications, réglage IPv4, IPv6 et showtime.

Joli !

Le lien pour le FGS202 a pété par contre je crois.
On pourrait compléter avec la conf pour Bouygues non ? Il y a peu de choses à rajouter en fait, mais on est dans la section Orange ... Bref

uknys · « **Réponse #3502 le:** 08 mai 2022 à 23:05:58 »

Bon après moult réflexions (et après m'être rendu compte que j'étais sur une vieille offre Up de 2020 limité à 1gbps...), j'ai enfin réussi à passer la barre des 2gbps.

Avec une solution à base d'OPNSense, l'ONT de FS.com et de BMC57810S. J'utilise un switch Mikrotik (CRS326, j'ai que mon pc fixe en 10 gbps et l'OPNSense pour l'instant) entre les deux et tout fonctionne nickel !

bassman · « **Réponse #3503 le:** 09 mai 2022 à 09:05:05 »

Citation de: Gnubyte le 08 mai 2022 à 21:51:32

Voilà, la page 1 est refondue, sauvegardée en page 275.

Tout tient en 3 posts, histoire, explications, réglage IPv4, IPv6 et showtime.

Merci pour ce travail de compilation et de maintien à jour des informations !