Bonjour @tous,
A mon tour je viens apporter ma contribution et mon retour d'expérience réussie de ma connexion fibre internet sans livebox.
(voir ci-dessous le modèle de mon routeur).
Je ne traite dans ce mini-tuto que la partie authentification (obtenir une IP publique auprès d'orange).
Vous ne trouverez donc pas d'informations relatives au Lan mis à part une règle firewall Lan to Wan.
Choix du matériel:
routeur: Mikrotik hex_s (RouterOS:6.48 stable)
https://mikrotik.com/product/hex_sont: SFP/ONT Sercomm FGS202 (directement inséré dans le port SFP du routeur).
Je précise que mon mini-tuto ne concerne que la partie
internet exclusivement.
J'ai en effet souscris à une offre "orange initiale" (donc sans service TV) et même si j'ai le service téléphonique inclus dans cette offre.
J'ai préféré opter pour une ligne VOIP auprès de ovh-telecom (offre "VOIP découverte" pour 1,19€/mois ttc).
https://www.ovhtelecom.fr/telephonie/voip/J'ai effectué et mis en oeuvre trois configurations différentes avec mesure de débit:
Pour l'offre "orange initiale" les débits annoncés par orange sont de 500 Mbps (symètrique).
Connexion au routeur via son adresse mac avec l'outil winbox (une merveille)
https://mikrotik.com/downloadLa mise en oeuvre des configurations se fera en mode terminal.
================================================================
1. Identification en mode PPOE:a. le vlan utilisé pour l'autentification ppoe:
vlan835b. login = fti/
xxxxxxx (
xxxxxxx en ascii)
c. passwd =
yyyyyyy (
yyyyyyy en ascii)
...
admin@MikroTik] >
[admin@MikroTik] > /interface vlan add interface=sfp1 loop-protect-disable-time=00:05:00 loop-protect-send-interval=00:00:05 name=vlan835 vlan-id=835
[admin@MikroTik] > /interface pppoe-client add interface=vlan835 add-default-route=yes disabled=no name=pppoe-orange password=yyyyyyy user=fti/xxxxxxx
[admin@MikroTik] > /ip firewall nat add action=masquerade chain=srcnat comment="NAT LAN to WAN" ipsec-policy=out,none out-interface=pppoe-orange
[admin@MikroTik] >
...
Résultat des mesures effectuées:
download = 284 Mbps maxiupload = 393 Mbps maxi================================================================
================================================================
2. Identification en mode DHCP (sans Cos 6):a. le vlan utilisé pour l'autentification dhcp:
vlan832b. login=
XXXXXXXXXXXXXX => les 7 caractères (
en hexa) qui suivent le fti/ de votre identifiant:
https://www.rapidtables.com/convert/number/ascii-to-hex.html...
[admin@MikroTik] >
[admin@MikroTik] > /interface vlan add interface=sfp1 loop-protect-disable-time=00:05:00 loop-protect-send-interval=00:00:05 name=vlan832 vlan-id=832
[admin@MikroTik] > /ip dhcp-client option add code=60 name=vendor-class-identifier value=0x736167656d
[admin@MikroTik] > /ip dhcp-client option add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
[admin@MikroTik] > /ip dhcp-client option add code=90 name=authsend value=0x00000000000000000000001a0900000558010341010d6674692FXXXXXXXXXXXXXX
[admin@MikroTik] > /ip dhcp-client add interface=vlan832 dhcp-options=vendor-class-identifier,userclass,authsend add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes disabled=no
[admin@MikroTik] > /ip firewall nat add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=vlan832
[admin@MikroTik] >
...
Résultat des mesures effectuées:
download = 500 Mbps maxi
upload = 500 Mbps maxi================================================================
================================================================
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------| Dernière mise à jour du post ci-dessous le
08 avril 2023 après avoir été impacté par le durcissement tel que annoncé/présenté par
@levieuxatorange |-----------------------------------------------------------------------------------------------------------------------------------------------------------------------3. Identification en mode DHCP (avec Cos 6) et chaine longue:a. Le vlan utilisé pour l'autentification dhcp:
vlan832b. La chaine longue et la
Cos 6 sont désormais obligatoires pour s'identifier. Voir le topic de
@levieuxatorange (grand merci à lui pour le partage d'informations from orange):
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/c. Préalable il faut bien sur posséder/retrouver son identifiant:
fti/xxxxxxx avec son password associé:
yyyyyyyd. Ensuite il faut utiliser le script de
@kgersen pour générer la chaine longue (encore merci
@kgersen):
https://jsfiddle.net/kgersen/3mnsc6wy/ (on ne garde pas les
: points générés par le script)
e. Pour le clientid (option 61) j'utilise la mac adress de la LB4. Les
zzzzzzzz sont donc la fin de la mac adress
f. Si le travail est bien fait la longue chaine doit donner ceci: 0x+140 caractères (total = 142 avec le 0x au début)
Cos 6:
Ici on passe par un brige pour appliquer la
Cos 6 sur le dhcp-client (merci à
@seb59).
Sur le routeur que j'utilise
impossible d'appliquer la
Cos 6 sur les requettes dhcp autrement que par l'intermédiare d'un bridge.
Ce bridge est appliqué sur l'interface appelé
vlan832 dans mon cas.
Cette technique permet de s'authentifier et d'avoir un "Bound" rapidement.
Problème, ceci à un vrai coût sur la bande passante.
Exemple:
Mon abonnement actuel chez orange me délivre du 500/Mbps symètrique. Et bien avec ce bridge je ne peux pas dépasser
425/Mbps* ! (la livebox4 me donne bien du 500/Mbps).
La désactivation du filtre (/interface bridge filter)
une fois le bound obtenu me permet de retrouver les 500/Mbps délivré par orange (comme la livebox4).
N'ayant pas de contrainte particulière, je reboot mon routeur, via le scheduler, toutes les nuits vers 1h du matin.
Vers 2h du matin je désactive à nouveau (/interface bridge filter) toujours en utilsant le scheduler.
Je précise aussi que je réactive (/interface bridge filter) avant d'initier le reboot et toujours via le scheduler.
Ce fonctionement convient parfaitement à mon usage actuel et je n'ai plus d'impact/coût sur la bande passante.
...
admin@MikroTik] >
[admin@MikroTik] > /interface vlan add interface=sfp1 loop-protect-disable-time=00:05:00 loop-protect-send-interval=00:00:05 name=vlan832 vlan-id=832
[admin@MikroTik] > /interface bridge add name=bridge-wan
[admin@MikroTik] > /interface bridge port add bridge=bridge-wan interface=vlan832
[admin@MikroTik] > /interface bridge filter add chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832 mac-protocol=ip src-port=68 dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP4 request"
[admin@Mikrotok] > /interface bridge filter add chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832 mac-protocol=arp log=yes log-prefix="Set CoS6 for Orange ARP"
[admin@MikroTik] > /ip dhcp-client option add code=60 name=vendor-class value=0x736167656d
[admin@MikroTik] > /ip dhcp-client option add code=61 name=clientid value=0x0144A6zzzzzzzz
[admin@MikroTik] > /ip dhcp-client option add code=77 name=user-class value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
[admin@MikroTik] > /ip dhcp-client option add code=90 name=authentication value=0x+140 caractères généré par le script @kgersen mentioné au point d ci-dessus.
[admin@MikroTik] > /ip dhcp-client add interface=bridge-wan dhcp-options=vendor-class,clientid,user-class,authentication add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes disabled=no
[admin@MokroTik] > /ip firewall mangle add action=change-dscp chain=postrouting protocol=udp src-port=68 dst-port=67 new-dscp=48 out-interface=bridge-wan comment="Dhcpv4 - DSCP to 6" passthrough=yes
[admin@MikroTik] > /ip firewall nat add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=bridge-wan
[admin@MikroTik] >
...
Résultat des mesures effectuées:
download = 500 Mbps (soit le max de l'offre avec /interface bridge filter désactivé)
upload = 500 Mbps (soit le max de l'offre avec /interface bridge filter désactivé)
===================================================
Commentaires:1. Je suis localisé dans une commune de la périphérie sud de RENNES.
2. Je propose la solution PPOE qui est assez facile à configurer et elle m'a surtout servi d'accès internet pour debugger le(s) modes DHCP.
3. La Cos 6 et la chaine longue sont désormais
obligatoires ici pour s'authentifier. (depuis le 02 mars 2023 exactement)
4. L'option 90 fonctionne désormais
ici uniquement telle que spécifiée en
config 3 point:
b,
c,
d,
e.
6.
*On voit les "
couts" en terme de débit avec la solution
PPOE d'une part mais aussi avec la solution (
dhcp avec Cos 6) via le bridge
*...
n.b:
Je tiens à remercier tous les membres de la fibreinfo qui oeuvrent depuis des années pour une solution alternative à la livebox et sans lesquels je n'aurais jamais réussi cette opération.
Mention particulière à: @seb59, @kgersen, @catalyst, @Hugues, @ZOC, @levieuxatorange etc...
Ainsi qu'à tous ceux qui ont apporté leur riches contributions sur l'option 90 et bien sur sans oublier les modérateurs.
Bien cordialement,
Yann
ps1: dernière mise à jour de ce post le
08 avril 2023 après avoir été impacté par le durcissement tel que annoncé/présenté par
@levieuxatorange.
ps2: mon tuto config
ipv6:
https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg729645/#msg729645