Auteur Sujet: La fibre Orange à 2Gbps, sur un routeur MikroTik 10Gbps CCR2004, via un ONT SFP+ (Lu 943895 fois)

jordank · « **Réponse #4152 le:** 05 décembre 2022 à 14:09:40 »

Citation de: Mastah le 05 décembre 2022 à 13:00:57

Mon screen n'est pas du tout pour de la config IPV6. C'est de l'IPV4.

Toutes mes excuses, je faisais allusion à l'IPv6 par rapport au lien que vous m'aviez partagé.
J'ai bien la CoS6 de configuré, je n'ai aucun soucis à récupérer une IP d'orange.

J'ai sniffé l'échange dhcp avec ou sans le problème et je n'ai vu aucune différences notoire.
J'ai vérifié également l'état du module SFP, et la encore aucune différence (atténuation d'environ -17.8dBm en Rx dans les deux cas)

Quelqu'un ayant un RB5009 et un module GPON de fs.com pourrait nous faire un retour d'expérience (histoire de savoir si je suis le seul à avoir ce genre de problème)

EDIT:

Après investigation, il s'avère que le module GPON n'est pas reboot lors du redémarrage du mikrotik.
et ce log est généré dans le debug du module :

Code: [Sélectionner]

[ 118.952000] [onu] gpe_tod_sync_set [3259] : param->multiframe_count > ONU_TOD_SFRAME_CNT_MAXJe ne trouve pas la signification sur le net, si quelqu'un a une doc complète du module GPON de fs.com je suis preneur

Quoiqu'il en soit lorsque je reboot le module, la connexion revient à la normal. Y'a t'il quelque chose à paramétrer au niveau du routeur pour qu'au redémarrage ça redémarre également le module ?

tidalf · « **Réponse #4153 le:** 05 décembre 2022 à 20:53:41 »

Citation de: hwti le 05 septembre 2022 à 20:58:12

C'est possible, le MT7986 a bien deux liens HSGMII (un sur SFP1, l'autre vers le switch qui est relié à SFP2 et aux ports Ethernet).
Selon https://forum.banana-pi.org/t/banana-pi-bpi-r3-router-board-with-mediatek-mt7986-filogic-830-support-wi-fi-6-6e-2-5gbe-sfp/12933/31, les SFP sont connectés directement au 3.3V, mais ce n'est pas sur le schéma public (donc peut-être qu'il faudra le mod pour que le G-010S-A soit détecté/alimenté).

Je vois qu'il y a OpenWRT vanilla, mais avec un seul SFP fonctionnel : https://forum.banana-pi.org/t/banana-pi-bpi-r3-openwrt-image/13236/4
Donc à priori seul l'OpenWRT vendeur est complet.
Je suppose que le NAT sera logiciel, au moins pour l'instant.

Hello

il fait tout en hard, il nat les 2.1gb sans faire bouger le cpu

Aize147 · « **Réponse #4154 le:** 05 décembre 2022 à 22:13:48 »

Citation de: tidalf le 05 décembre 2022 à 20:53:41

Hello
il fait tout en hard, il nat les 2.1gb sans faire bouger le cpu

Avec les règles de CoS 6 ?

Avec l'image fourni par SinoVoip ou la snapshot d'OpenWrt ?

tidalf · « **Réponse #4155 le:** 06 décembre 2022 à 00:28:27 »

Citation de: Aize147 le 05 décembre 2022 à 22:13:48

Avec les règles de CoS 6 ?

Avec l'image fourni par SinoVoip ou la snapshot d'OpenWrt ?

oui a priori pour les regles de cos6, j'ai fait comme indiqué ici https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/ (mais j'en ai pas besoin), ca a pas fait changer les perfs ni le load cpu.

le snapshot d'openwrt, r21392-ada4d0d0ab.
J'ai du mettre un autre sfp 2.5 (ca marche pas des 10gb par contre, comme indiqué et je sais pas si on peut leur dire de faire moins).

Gnubyte · « **Réponse #4156 le:** 08 décembre 2022 à 07:32:57 »

Citation de: cyayon le 05 décembre 2022 à 14:05:41

Bonjour à tous,

je viens d'acquérir un CCR2004. Je possède déjà un ONT Leox compatible 2.5G.

Actuellement, j'utilise un routeur / firewall à base d'archlinux qui fonctionne très bien. J'ai migré récemment de dhclient vers systemd-networkd et j'utilise un CRS305 entre le Leox et mon router pour faire de la COS6 (avant j'utilisais un script à base de commandes tc pour faire de la COS6 sur dhclient).

Je compte brancher le CCR2004 en direct sur le Leox et gérer la dhcp client Orancge + COS6.

Venant d'un linux standard (archlinux), j'ai quelques questions sur le 'portage' des options de systemd-networkd vers RouterOS, en particulier sur le DUID/Client Identifier. Actuellement mon interface dans le vlan832 reprend la MAC de la livebox, puis-je faire même et définir une MAC spécifique sur RouterOS ?

[DHCPv4]
ClientIdentifier=mac

[DHCPv6]
DUIDType=link-layer

J'ai bien vu les options DHCP (https://help.mikrotik.com/docs/display/ROS/DHCP#DHCP-DHCPOptions) : clientid_duid et clientid (61). Mais elles ont un lien avec la MAC de l'interface (qui devrait avoir la même que la livebox).
Au pire, s'il n'est pas possible de définir la MAC de l'interface vlan832, je peux toujours définir ces options avec la MAC de la Livebox.

De plus, il est conseillé de désactiver le Rapid Commit sur les requêtes clientes DHCPv6 (RapidCommit=no), peut-on faire de même avec RouterOS ?

Enfin, suite aux dernières discussions sur la COS6, je pense qu'il faudrait ajouter au tuto en page 1, le marquage COS6 pour les paquets ARP et ICMPv6 NS/NA. Un autre forumeur proposait ce genre de rêgles (à vérifier / adapter) :
Code: [Sélectionner]
/interface/bridge/filter > add action=set-priority chain=output mac-protocol=arp new-priority=6 out-interface=vlan832-orange-internet passthrough=yes add action=set-priority chain=output comment=NA/NS mac-protocol=ipv6 new-priority=6 out-interface=vlan832-orange-internet packet-mark=na/ns passthrough=yes /ipv6/firewall/mangle> add action=mark-packet chain=output comment="Neighbor Solicitation NS"icmp-options=135:0-255 new-packet-mark=na/ns out-interface=orange-wan-bridge-internet passthrough=no protocol=icmpv6 add action=mark-packet chain=output comment="Neighbor Advertisement NA" icmp-options=136:0-255 new-packet-mark=na/ns out-interface=orange-wan-bridge-internet passthrough=no protocol=icmpv6
Merci pour vos commentaires.

L'infrastructure Orange ne s'est jamais, à ma connaissance, jamais inquiété de l'adresse MAC du routeur ni pour obtenir la synchro FTTH O5, ni pour répondre à une requête dhcp.

Je mets de côté les options ARP. Pour l'heure, sur les deux lignes que j'ai sous la main, ça fonctionne avec juste dhcp_v6, mais je vais trouver le temps de poster une mention relative à cette possibilité, qui peut éventuellement varier selon l'OLT.

cyayon · « **Réponse #4157 le:** 08 décembre 2022 à 07:54:39 »

Hello,

Merci pour ta réponse.

Sinon, je me demande pourquoi on doit utiliser mangle en plus du bridge filter.
Ce dernier ne suffit-il pas ?

Quelle est la subtilité derrière passthrough=yes/no ?

Depuis le durcissement coté Orange (voir post dédié), il faut impérativement passer l'option 61 en DHCP v4/v6.
En lisant la doc Mikrotik https://help.mikrotik.com/docs/display/ROS/DHCP, cette option semble passée by default. Mais si demain Mikrotik décide de ne plus l'inclure par défaut, je pense qu'il faudrait l'ajouter dans le tuto.

Est-ce que ceci fonctionnerait ?

pour ipv4 :

Code: [Sélectionner]

/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834"
add code=90 name=authsend value=0x00000000000000000000001a0900000558010341010DXXXXXXXXXXXXXXXXXXXXXX
add code=61 name=clientid value="0x01<livebox_mac_addr>"

pour ipv6 :

Code: [Sélectionner]

/ipv6 dhcp-client option
add code=16 name=class-identifier value=0x0000040e0005736167656d
add code=15 name=userclass value="0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f78340a"
add code=11 name=authsend value=0x00000000000000000000001a0900000558010341010DXXXXXXXXXXXXXXXXXXXXX
add code=61 name=clientid_duid value="0xff<livebox_mac_addr>"

Merci

doctorrock · « **Réponse #4158 le:** 08 décembre 2022 à 16:45:22 »

L'option ClientID en DHCPV6 a le numéro 1 et non pas 61 comme en DHCPV4

cyayon · « **Réponse #4159 le:** 08 décembre 2022 à 16:51:01 »

oui et les options 61 (dhcpv4) et 1 (dhcpv6) sont built-in, donc pas besoin de d'en soucier sur mikrotik a priori.

Par contre, il faut préciser :

rapid-commit=no use-interface-duid=yes dans les options dhcp-client

cyayon · « **Réponse #4160 le:** 08 décembre 2022 à 20:38:37 »

Je suis en train d’implémenter une conf sur un CCR2004.

Dans le cas d’un multiwan (failover ou load-balancing), puis/dois-je créer plusieurs bridges ?
Je sais que sur les switch Mikrotik, c’est déconseillé car seul le premier bridge dispo de l’hardware offloading. Il faut passer par différents VLAN (tag) sur un seul bridge.
Mais dans ce cas, où positionne t on le filter pour modifier la priorité et faire de la COS6 ?

Par contre, si sur les CCR2004, on peut/doit faire un bridge par wan (isp), y a t-il une limite ?

Bref, quelle est la bonne méthode svp ?

Merci

nscheffer · « **Réponse #4161 le:** 08 décembre 2022 à 21:09:38 »

Citation de: cyayon le 08 décembre 2022 à 20:38:37

Je suis en train d’implémenter une conf sur un CCR2004.

Dans le cas d’un multiwan (failover ou load-balancing), puis/dois-je créer plusieurs bridges ?
Je sais que sur les switch Mikrotik, c’est déconseillé car seul le premier bridge dispo de l’hardware offloading. Il faut passer par différents VLAN (tag) sur un seul bridge.
Mais dans ce cas, où positionne t on le filter pour modifier la priorité et faire de la COS6 ?

Par contre, si sur les CCR2004, on peut/doit faire un bridge par wan (isp), y a t-il une limite ?

Bref, quelle est la bonne méthode svp ?

Merci

Bonsoir @cyayon,

Dans mon cas j'ai deux Fibre Orange et Orange Pro et à la place de ton CCR2004 j'ai un Fortigate 101F.
Par contre j'ai du insérer lors de mes derniers tests sans les Livebox 5 et 6 Pro un Mikrotik CRS305 pour faire la CoS 6 et le swap de vlan car si tu as deux accès Internet du même opérateur (Orange et Orange Pro) les vlan des box sont les mêmes le fameux vlan 832 !

Sur le CRS305 tu interceptes le trafic IPv4 qui entre sur un port venant du FortiGate (ton CCR2004) avec un vlan 111 ou 112 et avec trois switch rules par lien WAN que tu as (dans mon cas 6x switch rules) tu fais les actions suivantes :
- port entrant vlan 111 ou 112 requête DHCP redirect sur port sortant vers Orange ou Orange Pro avec vlan id 832 (new-vlan-id) et CoS 6 (new-vlan-priority)
- port entrant vlan 111 ou 112 pour le reste du traffic redirect sur port sortant vers Orange ou Orange Pro avec vlan id 832 (new-vlan-id)
- port entrant vlan 832 venant de la Box Orange redirect du traffic sur port sortant vers FortiGate avec vlan id 111 (new-vlan-id)

Code: [Sélectionner]

/interface ethernet
set [ find default-name=ether1 ] comment=FortiSwitch
set [ find default-name=sfp-sfpplus1 ] comment="FortiGate Orange & Orange-Pro"
set [ find default-name=sfp-sfpplus2 ] auto-negotiation=no comment="ONU Orange" speed=2.5Gbps
set [ find default-name=sfp-sfpplus3 ] comment="Not Used"
set [ find default-name=sfp-sfpplus4 ] auto-negotiation=no comment="ONU Orange-Pro" speed=2.5Gbps
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=mgt ingress-filtering=no interface=ether1
/interface bridge vlan
add bridge=bridge comment="Orange & Orange-Pro ONUs" tagged=sfp-sfpplus2,sfp-sfpplus4 vlan-ids=832
add bridge=bridge comment="FortiGate Orange" tagged=sfp-sfpplus1 vlan-ids=111
add bridge=bridge comment="FortiGate Orange-Pro" tagged=sfp-sfpplus1 vlan-ids=112
/interface ethernet switch rule
add comment="Intercept Orange DHCPv4 Request with vlan 111 on port sfp1 and forward it with vlan 832 and CoS 6 to port sfp2" dst-port=67 new-dst-ports=sfp-sfpplus2 new-vlan-id=832 new-vlan-priority=6 ports=sfp-sfpplus1 protocol=udp switch=switch1 vlan-id=111
add comment="Intercept All Orange Trafic with vlan 111 on port sfp1 and forward it with vlan 832 to port sfp2" new-dst-ports=sfp-sfpplus2 new-vlan-id=832 ports=sfp-sfpplus1 switch=switch1 vlan-id=111
add comment="Intercept All Orange Trafic back from Vlan 832 on port sfp2 and forward it to port sfp1 with vlan 111" new-dst-ports=sfp-sfpplus1 new-vlan-id=111 ports=sfp-sfpplus2 switch=switch1 vlan-id=832
add comment="Intercept Orange-Pro DHCPv4 Request with vlan 112 on port sfp1 and forward it with vlan 832 and CoS 6 to port sfp4" dst-port=67 new-dst-ports=sfp-sfpplus4 new-vlan-id=832 new-vlan-priority=6 ports=sfp-sfpplus1 protocol=udp switch=switch1 vlan-id=112
add comment="Intercept All Orange-Pro Trafic with vlan 112 on port sfp1 and forward it with vlan 832 to port sfp4" new-dst-ports=sfp-sfpplus4 new-vlan-id=832 ports=sfp-sfpplus1 switch=switch1 vlan-id=112
add comment="Intercept All Orange-Pro Trafic back from Vlan 832 on port sfp4 and forward it to port sfp1 with vlan 112" new-dst-ports=sfp-sfpplus1 new-vlan-id=112 ports=sfp-sfpplus4 switch=switch1 vlan-id=832

Sur le CRS305 l'action "new-dst-ports" est la seule qui permet de réaliser plusieurs actions comme le changement de vlan et la CoS 6 dans une même switch rule.
Dans le cas du Multiwan tu risques de ne pas avoir le choix, d'ou cette config ci-desssus qui m'a été proposé par Mikrotik lors de l'ouverture d'un ticket car je m'en sortais pas avec les Switch Rules sans faire de "new-dst-ports" !

cyayon · « **Réponse #4162 le:** 08 décembre 2022 à 23:49:20 »

Hello,

Merci pour ta réponse très complète.
Actuellement j’ai un routeur/firewall sous Archlinux et aussi un CRS305. Je connais les switch rules du CRS pour faire de la COS6, de côté la, c’est bon.

En fait, ce qui me fait douter c’est que le CCR2004 n’a pas l’onglet SWITCH dans le gui web. du coup, je pensais que c’était la raison pour laquelle on passait par un bridge filter (voir au début de ce topic).
Mais en passant en CLI, il y a bien un menu switch et il semble qu’on puisse aussi définir des switch rules comme sur le CRS.

Mais ce sont des matériels différents, et je crois savoir qu’il y a des particularités à respecter selon le hardware dans la config layer2.

Dans le cas d’un CCR2004, pourquoi ne pas utiliser des switch rules pour faire la COS6 ? Faut il utiliser plutôt les bridge filters ?

nscheffer · « **Réponse #4163 le:** 09 décembre 2022 à 05:33:31 »

Citation de: cyayon le 08 décembre 2022 à 23:49:20

Hello,

Merci pour ta réponse très complète.
Actuellement j’ai un routeur/firewall sous Archlinux et aussi un CRS305. Je connais les switch rules du CRS pour faire de la COS6, de côté la, c’est bon.

En fait, ce qui me fait douter c’est que le CCR2004 n’a pas l’onglet SWITCH dans le gui web. du coup, je pensais que c’était la raison pour laquelle on passait par un bridge filter (voir au début de ce topic).
Mais en passant en CLI, il y a bien un menu switch et il semble qu’on puisse aussi définir des switch rules comme sur le CRS.

Mais ce sont des matériels différents, et je crois savoir qu’il y a des particularités à respecter selon le hardware dans la config layer2.

Dans le cas d’un CCR2004, pourquoi ne pas utiliser des switch rules pour faire la COS6 ? Faut il utiliser plutôt les bridge filters ?

Dans mon cas c'est le FortiGate qui va faire toute la partie SD-WAN (load balancing des liens WAN, à aujourd'hui j'en ai 3x avec 2 Fibres et un gros routeur 5G)c'est à dire être capable de décoder tout le traffic d'un point de vue application et session pour faire la répartition sur l'ensemble des liens en fonction des règles de routage applicative mais surtout de l'état et la performance applicative de chaque liens... et sans les Livebox c'est plus simple d'avoir la CoS 6 sur le Mikrotik CRS305 mais aussi parce que je peux pas encore la faire sur le FortiGate.

Dans ton cas si tu as plus d'un lien WAN (si tu as un seul lien WAN une fibre ou LTE/5G le problème ne se pose pas) un paquet qui va sortir de ton CCR2004 à destination de tes liens WAN tu vas devoir réussir à combiner ensemble :
- ta Switch Rule ou Bridge Filter de CoS 6 pour les requêtes DHCP et sans pour le reste du traffic
- ta fonction SD-WAN (je sais pas trop comment on peut la faire sur le Mikrotik) qui va faire "ton load balancing" en sortie avec les health checks des liens WAN

C'est la que je pense que tu vas avoir un soucis !