La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: kehfb le 24 février 2025 à 11:39:08
-
Bonjour à tous,
Je m'excuse d'avance si je n'ai pas trouvé par moi même les resources nécessaires à la résolution de mon problème ici (y'a trop d'info et je manque de tps).
Voici le context :
Je cherche à remplacer ma Livebox4 par mon RG5009 en y connectant mon SFP. Mais j'ai beau avoir tenter plusieurs config trouvé ici et sur github, impossible d'avoir une connection internet... Je suis pas le plus calé en réseau donc dsl par avance si le pb est un ICC.
Context :
- router : RG5009UG+S+IN
- SFP : Sercomm FGS202 (celui de ma box donc je concidère qu'il est déjà opérationnel, p-e à tord)
- config suivie : https://github.com/JayBeeDe/remplacement-livebox-fibre-par-mikrotik (elle me semblait plus à jour que les postes trouvé ici, je l'ai adapté pour du 1G-baseX)
Note : J'ai bien mes identifiants fpi (login/pass)
Je vois quelques paquets transmis sur le vlan832 mais strictement rien en réception. J'ai tenté mettre manuellement le port SFP en 1G-baseX sur l'interface sfp, pas mieux.
Merci par avance pour vos explications/corrections.
Edit: j'ai adapté le débit dans la config qui vient de github et j'ai déjà tenté de laisser le port en autonégo. Rien ne change.
-
- SFP : Sercomm FGS202 (celui de ma box donc je concidère qu'il est déjà opérationnel, p-e à tord)
Alors du coup cette ligne du tuto sur github ne va pas fonctionner:
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5G-baseT
Le FS202 ne supporte pas le 2.5G-baseT. Avant tout chose il faut essayer si ça marche en mettant le port en autonegociation. Possible qu'il y ait d'autres trucs à changer (je n'ai pas vu de prio à 6 pour ICMP et ARP mais ça peut marcher sans).
-
Je n'ai pas précisé mais j'ai adapté cette ligne pour mettre en 1G-baseX.
Et je n'ai pas non plus précisé avoir déjà essayé en auto négociation. J'update le thread. Désolé.
-
De ce que je vois c’est que j’ai des paquets qui sortent mais rien qui rentre.. et dans le logs j'ai bien de l'UDP qui passe:
forward: in:bridge-lan out:bridge-wan, connection-state:new src-mac 00:e0:4c:68:01:9d, proto UDP, 192.168.88.254:54251->8.8.8.8:53, len 45
Par contre pas moyen de charger une page WEB. Vous voyez qqch qui va pas avec ces règles firewall ? Je suis nul à ça mais j'apprends... Doucement :D.
/ip firewall filter
add action=drop chain=input comment="drop invalid input" connection-state=invalid
add action=drop chain=forward comment="drop invalid forward" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=!LAN
add action=drop chain=forward comment="force LAN to use the router as DNS server" dst-address-list="" dst-port=53 in-interface-list=LAN log=yes protocol=udp
add action=accept chain=input comment="accept established,related input" connection-state=established,related
add action=accept chain=forward comment="accept established,related forward" connection-state=established,related
add action=accept chain=input comment="accept outgoing traffic input" in-interface-list=LAN
add action=accept chain=forward comment="accept outgoing traffic forward" in-interface-list=LAN
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" disabled=yes dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" disabled=yes ipsec-policy=out,ipsec
add action=accept chain=input comment="accept icmp input" protocol=icmp
add action=accept chain=input comment="accept dns input" dst-port=53 in-interface=bridge-wan protocol=udp
add action=accept chain=input comment="accept dhcp input" dst-port=67 in-interface=bridge-wan protocol=udp
add action=accept chain=input comment="accept ntp input" dst-port=123 in-interface=bridge-wan protocol=udp
add action=drop chain=input comment="Drop everything else input"
add action=drop chain=forward comment="Drop everything else forward"
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=bridge-wan src-address=192.168.88.0/24
Merci.
-
Avant cela, le routeur a-t-il au moins obtenu une adresse IP ?
Si la règle d’autorisation DNS est bien pour tes clients du LAN, c’est le LAN que tu dois autoriser comme source. Et surtout pas le WAN, un serveur DNS récursif ouvert sur Internet c’est risqué.
Mais pour diagnostiquer si tu peux joindre l’extérieur, d’abord ping une adresse publique comme 8.8.8.8, ou en IPv6, 2001:4860:4860::8888. Ensuite, tu considères le DNS si tu ne peux toujours pas atteindre un site.
-
Le ping est ko
PING 8.8.8.8 (8.8.8.8): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
92 bytes from 172.16.180.26: Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 5400 e268 0 0000 3f 01 6f8a 192.168.88.254 8.8.8.8
Et on voit bien que le bridge-wan à son IP (idem en ipv6)
Noté pour le DNS mais ce n'est pas ça le pb pour le moment.
Après si vous avez une autre procédure plus fonctionnelle, je suis preneur. Ca me laissera le temps par la suite de comprendre ce qu'il se passe.
-
172.16.180.26
t'es "parqué" avec donc une IP non routable. Possibles causes:
- Pas de Cos à 6 pour les paquets DHCP sortants
- Adresse Mac de l'interface WAN différente de celle dans dhcp-client-identifier
- Contenu de l'option 90 pas bon
-
Merci pour la réponse.
Point que je ne comprends pas ici.
- On est d’accord qu’il me faut mon id fti/ + passwd généré en hexa pour l’option 90 ? J’utilise ça actuellement : https://jsfiddle.net/kgersen/3mnsc6wy/ (https://jsfiddle.net/kgersen/3mnsc6wy/) il contenue créer est tjr valide ?
- le passwd a utiliser est le pass actuelle de ma box ou le pass que j’avais par défaut ? Pcq j’ai essayé avec les 2 et ko..
- comment je peux log pour debug le pb d’authentification ?
Pour la Mac adresse j’ai mis celle de ma boxe sur mon bridge-wan
Merci.
-
Le générateur est toujours le bon.
Pour le password, on parle duquel ? celui pour se logger sur la console d'admin web de la box ? Parce que ce n'est clairement pas celui-là, mais celui associé spécifiquement au fti/xxxxxxx. Il se peut que tu ne l'ai même jamais eu parce qu'à priori Sosh/Orange ne le fournit plus depuis qu'ils font de l'autoconfiguration de la box à la première connexion... Dans ce cas une solution est d'appeler le support pour qu'ils te le donnent.
L'autre solution c'est de récupérer l'option 90 directement depuis la box en utilisant l'outil LiveboxMonitor: https://lafibre.info/orange-les-news/controler-son-reseau-livebox-5-ou-6/
-
Pour le couple identifiant/mdp, j'ai tenté les 2 en fait :
- id fti + pass de la box -> ko
- id fti + pass fournit par le support sosh -> ko
J'ai également tenté de copier/coller exactement les options DHCP 61, 77 et 90 sortis par le tool LiveboxMonitor pour tester (uniquement la partie v4) et ko également J'ai itérer plusieurs fois là dessus : 90 only, 90 + 77, 90 +77 + 61.
Je chope bien une ip mais le ping ne passe tjr pas.
Il n'y aurait pas une autre procédure à jour ici pour Mikrotik que je compare et vois si je ne rate pas autre chose ?
Merci pour l'aide en tout cas :) !!
-
Bien sûr qu'il y en a sur RouterOS, il y en a 4 dans l'index des solutions de remplacement, et c'est le cas du plus gros sujet (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/) de cette section, rien que ça.
-
Alors oui, clairement le fil the @GNUByte est celui que j'ai utilisé pour construire la configuration de base pour mon CCR2004-16G-2S+.
Avec quelques différences, certes : je gère la CoS sur un switch CRS305 en amont avec des switch rules et du coup le port "wan" SFP-1 de mon routeur n'est pas dans un bridge (aucun intérêt, il passe quoi qu'il en soit par le CPU vu qu'il n'est pas connecté à un switch interne hardware). Mais l'idée est là, en tout cas pour tout ce qui est nécessaire pour être conforme à ce qu'Orange exige.
-
Je ne vois aucune différence entre ce que je fais et le thread link... ca ne fonctionne tjr pas et je sais pas pourquoi.
J'ai réussi !!! Ok jai compris le pb. Le set de la Mac address sur le bridge n'est pas bon. Du moins c'est p-e pas la bonne interface où il faut set ça ???. En hardcodant la MAC dans l'option DHCP clientid (61) je récupère une IP valide et tout fonctionne comme attendu !! J'avais tester ça mais j'ai du faire une typo au moment.
Merci la commu' pour l'aide. Je vais creuser encore pour comprendre exactement ce que je faisais mal, et taf' mes règles FW now. A+.
-
Alors pour info moi je n’ai pas cloné la mac de la livebox. Ce n’est pas nécessaire. Par contre effectivement il est nécessaire d’avoir une correspondance entre adresse mac de l’interface wan et option 61 (et duid pour IPv6)..