-----------------------------------------------------------------------------------------------------------------------------------------------------------------------| Dernière mise à jour du post ci-dessous le
08 avril 2023 après avoir été impacté par le durcissement tel que annoncé/présenté par
@levieuxatorange |-----------------------------------------------------------------------------------------------------------------------------------------------------------------------Bonjour @tous,
Comme promis je vous fais un retour d'expérience réussie de ma connexion fibre internet sans livebox en ipv6.
Ce tuto est intégralement issu du post de
@catalyst et adapté à ma configuration.
https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg533294/#msg533294Je traite dans ce mini-tuto la partie authentification (obtenir un prefix ipv6 /56 auprès d'orange)
Affectation d'une ipv6 /64 issue de ce pool sur mon bridge-lan qui regroupe toutes les interfaces rj45 de ether1 à ether5.
Quelques règles firewall/ipv6 additionelles sont également disponibles en fin du tuto.
Choix du matériel:
routeur: Mikrotik hex_s (RouterOS:6.48 stable)
https://mikrotik.com/product/hex_sont: SFP/ONT Sercomm FGS202 (directement inséré dans le port SFP du routeur).
Je précise que mon mini-tuto ne concerne que la partie internet exclusivement.
J'ai en effet souscris à une offre "orange initiale" (donc sans service TV) et même si j'ai le service téléphonique inclus dans cette offre.
J'ai préféré opter pour une ligne VOIP auprès de ovh-telecom (offre "VOIP découverte" pour 1,19€/mois ttc).
https://www.ovhtelecom.fr/telephonie/voip/Pour l'offre "orange initiale" les débits annoncés par orange sont de 500 Mbps (symètrique).
Connexion au routeur via son adresse mac avec l'outil winbox (une merveille)
https://mikrotik.com/downloadLa mise en oeuvre de la configurations se fera en mode terminal.
Configuration réalisée from scratch (le brige-lan n'est pas purgé).
Identification en mode DHCPv6 (avec Cos 6) et chaine longue:a. Le vlan utilisé pour l'autentification dhcp:
vlan832b. La chaine longue et la
Cos 6 sont désormais obligatoires pour s'identifier. Voir le topic de
@levieuxatorange (grand merci à lui pour le partage d'informations from orange):
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/c. Préalable il faut bien sur posséder/retrouver son identifiant:
fti/xxxxxxx avec son password associé:
yyyyyyyd. Ensuite il faut utiliser le script de
@kgersen pour générer la chaine longue (encore merci
@kgersen):
https://jsfiddle.net/kgersen/3mnsc6wy/ (on ne garde pas les
: points générés par le script)
e. Pour le clientid (option 1) j'utilise la mac adress de la LB4. Les
zzzzzzzz sont donc la fin de la mac adress.
f. Si le travail est bien fait la longue chaine doit donner ceci: 0x+140 caractères (total = 142 avec le 0x au début).
Cos 6:
Ici On passe par un brige pour appliquer la
Cos 6 sur le dhcp-client (merci à
@seb59).
Sur le routeur que j'utilise
impossible d'appliquer la
Cos 6 sur les requettes dhcp autrement que par l'intermédiare d'un bridge.
Ce bridge est appliqué sur l'interface appelé
vlan832 dans mon cas.
Cette technique permet de s'authentifier et d'avoir un "Bound" rapidement.
Problème, ceci à un vrai coût sur la bande passante.
Exemple:
Mon abonnement actuel chez orange me délivre du 500/Mbps symètrique. Et bien avec ce bridge je ne peux pas dépasser
425/Mbps* ! (la livebox4 me donne bien du 500/Mbps).
La désactivation du filtre (/interface bridge filter)
une fois le bound obtenu me permet de retrouver les 500/Mbps délivré par orange (comme la livebox4).
N'ayant pas de contrainte particulière, je reboot mon routeur, via le scheduler, toutes les nuits vers 1h du matin.
Vers 2h du matin je désactive à nouveau (/interface bridge filter) toujours en utilsant le scheduler.
Je précise aussi que je réactive (/interface bridge filter) avant d'initier le reboot et toujours via le scheduler.
Ce fonctionement convient parfaitement à mon usage actuel et je n'ai plus d'impact/coût sur la bande passante.
1. C'est parti pour la création du vlan, du bridge et du client dhcpv6 avec ses options:...
[admin@MikroTik] >
[admin@MikroTik] > /interface vlan add interface=sfp1 loop-protect-disable-time=00:05:00 loop-protect-send-interval=00:00:05 name=vlan832 vlan-id=832
[admin@MikroTik] > /interface bridge add name=bridge-wan
[admin@MikroTik] > /interface bridge port add bridge=bridge-wan interface=vlan832
[admin@MikroTik] > /interface bridge filter add chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832 mac-protocol=ipv6 src-port=546 dst-port=547 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request"
[admin@MikroTik] > /ipv6 firewall filter add action=accept chain=input protocol=udp src-address=fe80::/10 dst-port=546 in-interface=bridge-wan log=no comment="allow dhcpv6 replies on WAN"
[admin@MikroTik] > /ipv6 settings set accept-router-advertisements=yes
[admin@MikroTik] > /ipv6 dhcp-client option add code=1 name=clientid value=0x0003000144A6zzzzzzzz
[admin@MikroTik] > /ipv6 dhcp-client option add code=11 name=authentication value=0x+140 caractères généré par le script @kgersen mentioné au point d ci-dessus.
[admin@MikroTik] > /ipv6 dhcp-client option add code=15 name=user-class value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
[admin@MikroTik] > /ipv6 dhcp-client option add code=16 name=vendor-class value=0x0000040e0005736167656d
[admin@MikroTik] > /ipv6 dhcp-client option add code=17 name=vendor-infos value=0x000005580006000e495056365f524551554553544544
[admin@MikroTik] > /ipv6 dhcp-client add interface=bridge-wan dhcp-options=clientid,authentication,user-class,vendor-class,vendor-infos request=prefix pool-name=pool_REN_6 pool-prefix-length=64 add-default-route=yes disabled=no
[admin@MikroTik] >
...
2. On ajoute des règles mangle pour changer la DSCP via le firewall ipv6:...
[admin@MikroTik] >
[admin@MikroTik] >/ipv6 firewall mangle add action=change-dscp new-dscp=48 chain=postrouting protocol=icmpv6 icmp-options=133:0 dst-address=ff00::/8 out-interface=bridge-wan passthrough=yes
[admin@MikroTik] >/ipv6 firewall mangle add action=change-dscp new-dscp=48 chain=postrouting protocol=icmpv6 icmp-options=135:0 dst-address=fe80::ba0:bab/128 out-interface=bridge-wan passthrough=yes
[admin@MikroTik] >/ipv6 firewall mangle add action=change-dscp new-dscp=48 chain=postrouting protocol=icmpv6 icmp-options=136:0-255 dst-address=fe80::ba0:bab/128 out-interface=bridge-wan passthrough=yes
[admin@MikroTik] >/ipv6 firewall mangle add action=change-dscp new-dscp=48 chain=output protocol=udp src-port=546 dst-port=547 out-interface=bridge-wan passthrough=yes
[admin@MikroTik] >
...
3. On affecte une adresse du pool IPV6 au bridge-lan:...
[admin@MikroTik] >
[admin@MikroTik] > /ipv6 address add address=::1/64 from-pool=pool_REN_6 interface=bridge-lan no-dad=no advertise=yes
[admin@MikroTik] >
...
4. On ajoute des règles additionelles pour le firewall ipv6:...
[admin@MikroTik] >
[admin@MikroTik] > /ipv6 firewall filter add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6
[admin@MikroTik] > /ipv6 firewall filter add action=accept chain=input comment="accept established, related, untracked" connection-state=established,related,untracked
[admin@MikroTik] > /ipv6 firewall filter add action=accept chain=forward comment="accept ICMPv6" protocol=icmpv6
[admin@MikroTik] > /ipv6 firewall filter add action=accept chain=forward comment="accept established, related, untracked" connection-state=established,related,untracked
[admin@MikroTik] > /ipv6 firewall filter add action=drop chain=forward comment="forward drop everything else" in-interface=bridge-wan
[admin@MikroTik] > /ipv6 firewall filter add action=drop chain=input comment="input drop everything else" in-interface=bridge-wan
[admin@MikroTik] >
...
Résultat des mesures effectuées:
download = 500 Mbps (soit le max de l'offre avec /interface bridge filter désactivé)
upload = 500 Mbps (soit le max de l'offre avec /interface bridge filter désactivé)
===================================================
5. Commentaires:1. Je suis localisé dans une commune de la périphérie sud de RENNES.
2. La Cos 6 et la chaine longue sont désormais obligatoires ici pour s'authentifier. (depuis le 02 mars 2023 exactement)
3. L'option 11 fonctionne désormais ici uniquement telle que spécifiée via la config ci-dessus point:
b,
c,
d,
e.
4.
*On voit les "couts" en terme de débit (download) avec la solution (dhcp avec Cos 6) via le bridge...
n.b:
Je tiens à remercier tous les membres de la fibreinfo qui oeuvrent depuis des années pour une solution alternative à la livebox et sans lesquels je n'aurais jamais réussi cette opération.
Mention particulière à: @seb59, @kgersen, @catalyst, @Hugues, @ZOC, @cyayon, @levieuxatorange etc...
Ainsi qu'à tous ceux qui ont apporté leur riches contributions sur l'option 11 et bien sur sans oublier les modérateurs.
ps1: dernière mise à jour de ce post le
08 avril 2023 après avoir été impacté par le durcissement tel que annoncé/présenté par
@levieuxatorange.
ps2: ps2: mon tuto config
ipv4:
https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg725710/#msg725710Bien cordialement,
Yann