Toujours pas les VLAN d'Orange:(

root@SFP:/home/ONTUSER# onu gtcsng
errorcode=0 serial_number=HWTCxxxxba9f  (serial de mon HG8010Hv3)

C'est pas quelque chose comme SCOMxxxxxxxx ? En tout cas, c'est ce que j'ai récupéré du FGS202 ! Mais vu que t'es O5, normalement, c'est que ton serial est OK.

Je n'ai jamais vérifié si l'ONU "voyait" les VLAN comme toi. T'es sûr que t'as pas un problème de config DHCP (option 90) ou de CoS ?

Bon OK ça fonctionne avec :

root@SFP:/home/ONTUSER# cd /etc/mibs
root@SFP:/etc/mibs# diff data_1g_8q.ini.bak data_1g_8q.ini
--- data_1g_8q.ini.bak
+++ data_1g_8q.ini
@@ -12,7 +12,7 @@


 # ONT-G
-256 0 HWTC 0000000000000 00000000 2 0 0 0 0 #0
+256 0 SCOM SMBSSGLBF121\0 00000000 2 0 0 0 0 #0

 # ONT2-G
 # Begin: modified by Sean.Chen for Reliance bug 373267 on 20170628
root@SFP:/etc/mibs#

Et la OK c'est développeur-intégrateur-maniaque approved. A l'octet près.

Hop j'ai mon IPv4

IP Address      80.12.-.-/24
Gateway      80.12.-.-
DHCP Server      80.10.247.48
Expires After      2d 23:55:35
Primary DNS      81.253.149.9
Secondary DNS      80.10.246.1

Bien joué !

Au pire tu peux récupérer le bootloader en liaison série, c'est toujours récupérable

-> Bon à savoir:)

Il me manque le NAT Loopback (qui permet l'accès a tout les services de mon serveur par son domaine résolu en IP publique depuis dans le réseau local...)

https://help.mikrotik.com/docs/display/ROS/NAT#NAT-HairpinNAT

/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.0.2 out-interface=LAN protocol=tcp src-address=192.168.0.0/24

J'ai testé vite fait sans succès. IP du serveur 192.168.0.2 et réseau local en 192.168.0.0/24


IPv6 OK mais pas terminé (manque ouverture de port firewall filetering)
et truc cheloux je peux plus utiliser la première IPv6 pour mon serveur ce qui m'ennuie (RouterOS l'attribue en interne et il apparait un conflit dans dhcp client v6)

(conf v6 interface réseau sur le serveur, direct le "préfixe::" que je souhaite rendre accessible depuis l’extérieur, avec pfSense ça fonctionne)
iface enp2s0 inet6 static
 address 2a01:XXXX:XXXX:e500::/64

dans ton cas je pense qu'on serait plus sur un truc du genre d'apres la documentation :

/ip firewall nat add chain=dstnat action=dst-nat dst-address=<IP ORANGE> dst-port=443 to-addresses=192.168.0.2 to-ports=443 protocol=tcp  > la regle de nat pour ton serveur par exemple.
/ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.0.2 out-interface=LAN protocol=tcp src-address=192.168.0.0/24         > la regle qui permet de gerer le paquet retour en evitant les reponse directe

il faudrait donc que tu script pour modifier la premiere regle a chaque fois que l'ip que te fournit orange change dans la regle.
il doit aussi y avoir moyen de tricher avec le service Dyndns de mikrotik et un objet dns (ex: https://forum.mikrotik.com/viewtopic.php?t=159694#p784626) (mais je suis pas convaincu que ce soit la meilleure methode)

J'suis en pro avec IP publique fixe, hébergement de SMTP et "config qui s'approche le plus possible d'un vrais dédié" oblige, notriche pour moi:) C'est top de préciser le cas IP dynamique sur le thread je vais me pencher de suite sur la conf de cette merveille de RouterOS:D

Un routeur déroutant pour les habitués de pfSense, mais pas tant que ça quand on veux être au plus proche de la logique du réseau:D

Ah mais quel gland j'avais attribué la mauvaise IPv6 a mon bridge-lan !
2a01:----:----:e500::/64 -> conflit avec l'ipv6 statique du serveur, celle utilisée par la conf ipv6 de mon domaine
à la place de :
2a01:----:----:e500::1/64 -> impec ! c'est la seconde IPv6 du pool pour mon bridge du mikrotik, comme fait gnubyte ! j'ai pas tout copier coller comme un bourrin je préfère tout refaire a la mano en essayant de comprendre quite à faire des conneries lol

Par contre hardcoder l'IPv4 publique dans les rêgles firewall v4 je trouve ça un peu moche, j'espère qu'il y a une autre soluce...

Dans firewall > adress lists.

Ajouter un nom qui sera résolu sur l'IP publique.

Dans la construction des règles, utiliser Src/Dst. Adress List au lieu de Src/Dst Adress.

C'est génial ça... je sais pas si c'est mieux que je change de thread pour tout ce qui est question d'utilisation de RouterOS car vu que j'ai la connexion IPv4 et IPv6 parfaitement OK ça commence a sortir du cadre de ce thread... (EDIT : mis à part l'ONU FS.com qui devrait donner un peu plus je trouve)

J'ai aussi la question du déplacement haut bas des entrées (que ce soit firewall ou autres) que j'ai pas trouvé sur l'IHM WebFig...

Et aussi en tant qu'habitué aux running-config startup-config à la Cisco versus l'application et sauvegarde immédiate et temps réel de toutes modification dans RouterOS si je me bloque j'serais bien deg de devoir tout hardreset (même si je garde un export compact)... ça doit être une bonne question d'ignorant et fréquente en RouterOS ça:)

Je conseille de dédier une interface avec une config simple pour la configuration. Et puis on peut winbox-er en L2 avec l'adresse MAC. Faut vraiment le faire exprès pour être obligé de reset la config avec le bouton physique

Très intéressant du coup ce winbox qui communique en L2 !!!! une tuerie je suis dessus j'adore:) ça répond donc a tout. me reste plus que de pouvoir changer ordre dans des rêges dans les pages firewall v4 et v6 et je m'estimerais aussi pépère qu'avec pfSense:) -> EDIT : Le drag'n'drop !!!! PTDR de pas avoir testé ça... encore mieux que pfSense avec ses flèches haut bas partout  !!!!

Reste plus que l'ouverture de port dans firewall filter IPv6 qui ne fonctionne pas, ça sent le bug 7.3beta40 j'ai testé des exemples de conf firewall v6 from scrash sans succès... input fonctionne mais pas forward. et en input je peux voir des paquets arriver sur le compteur mais forcément ça forward pas j'ai aucun retour:( reste plus que ce problème bloquant pour foutre le pfSense à le retraite

EDIT : j'ai fini par comprendre que 2a01:----:----:e500::/128 ne fonctionne pas comme IPv6 de serveur j'ai du changer par 2a01:----:----:e500::2/128 (c'était peut être une connerie de le faire même si OK avec pfSense) Voici la conf minimale pour faire fonctionner le serveur, mais reste encore l'ipv6 sortant initié depuis le lan qui est bouffé par le drop final EDIT : j'ai ajouté add action=accept chain=forward comment=outgoing out-interface=bridge-wan sous le drop des invalid et ça fonctionne ! ce qui donne :

[admin@MikroTik] /ipv6/firewall> export compact
# may/20/2022 08:05:31 by RouterOS 7.3beta40
# software id = IB7D-31FH
#
# model = CCR2004-1G-12S+2XS
# serial number = C8----------79
/ipv6 firewall address-list
add address=2a01:----:----:e500::2/64 list=server
/ipv6 firewall filter
add action=accept chain=input dst-port=546 in-interface=bridge-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=forward comment=established,related connection-state=established,related
add action=drop chain=forward comment=invalid connection-state=invalid
add action=accept chain=forward comment=outgoing out-interface=bridge-wan
add action=accept chain=forward comment=icmpv6 in-interface=bridge-wan protocol=icmpv6
add action=accept chain=forward dst-address-list=server dst-port=22 protocol=tcp
add action=accept chain=forward dst-address-list=server dst-port=25 protocol=tcp
add action=accept chain=forward dst-address-list=server dst-port=53 protocol=tcp
add action=accept chain=forward dst-address-list=server dst-port=53 protocol=udp
add action=accept chain=forward dst-address-list=server dst-port=80 protocol=tcp
add action=accept chain=forward dst-address-list=server dst-port=443 protocol=tcp
add action=drop chain=forward

j'ai quand même l'impression que l'ONU FS.com ne vas pas aussi vite qu'il le devrait, y'a un truc j'ai pas tout à fait l'UP que j'avais avec l'ONT 1Gbps !!! or que ça devrait monter au dessus de 1000 en up si c'était optimal ! A tester plus en comparaison à l'ONT avec ethernet 1Gbps, EDIT : OK après pleins de tests le matin c'est de l'ordre de 50Mbps... mais bizarre quand même, par contre sur le firewall je peux voir que l'interface est à plus de 1200Mbps quand le VLAN tourne dans les 950Mbps. gros overhead !