Auteur Sujet: Mikrotik et routeurOS7 (Lu 18500 fois)

Mackila · « **Réponse #36 le:** 21 novembre 2021 à 19:08:41 »

Non. Je parle d'un vrai switch (dans mon cas un CRS305).
A ma connaissance il n'y a pas de routeurs avec des ports > 1G ayant un switch chip permettant de changer la CoS. Et les CRS qui ont ça sont trop limités en CPU.

LordK1 · « **Réponse #37 le:** 21 novembre 2021 à 20:46:41 »

OK.
Donc soit mon TPLink en est capable (reste à vérifier), soit je devrais passer par cette technique du bridge. Heureusement que Seb explique bien les principes de toutes ses manipulations, je déteste faire sans comprendre.

doctorrock · « **Réponse #38 le:** 21 novembre 2021 à 23:12:21 »

C'est pas hyper complexe quand tu réfléchis avec OSI en tête, comme toujours quand on fait du réseau.

Le marquage COS est de niveau OSI 2, donc il faut regarder coté switch ou bridge.

Pour le client DHCP, il s'agit de couche OSI 3 il faudra donc regarder coté IP.

Si le port WAN est dans un bridge, il devient donc esclave et il conviendra de monter le client DHCP sur l'interface maitresse (le bridge) et d'utiliser cette même interface dans tout réglage de la couche 3 (le firewall notamment).
Si le port WAN n'est pas dans un bridge, on monte le client DHCP direct dessus (c'est un port de type VLAN normalement, le 832) et on utilise l'interface (VLAN) directement dans les réglages supérieurs comme le firewall.

Voila ^^

doctorrock · « **Réponse #39 le:** 21 novembre 2021 à 23:21:30 »

Tiens, petite info pour everybody qui a du Mikrotik :

Dans la dernière update : la 6.49.1, ils ont rajouté un canal pour les updates, qui permet d'accéder à ROS7.
Le canal s'appelle "upgrade". C'est écrit dans le changelog.

Il m'est donc aujourd'hui possible, via ce canal, de passer mes équipements sous ROS 7.1rc6 (à ce jour).

LordK1 · « **Réponse #40 le:** 27 novembre 2021 à 17:04:39 »

Bon, j'ai encore avancé dans mes tests, mais comme d'habitude je me retrouve bloqué par quelque chose.
Pour le coup, il s'agit certainement d'un manque de connaissance de ma part, sur ce qui concerne les bridges.

Lors de la première mise en route du routeur (genre après un reset), j'ai mes 9 ports (8 ethernet et un SPF) qui apparaissent dans les interfaces. Vient s'ajouter à ça un "bridgeLocal", de conf par défaut, qui reprend les ports 2 à 8, plus le SFP (le port 1 étant dédié au wan), avec le port 2 en "port root".

Dans mes manipulations successives, je crée un autre bridge pour le wan (pour pouvoir effectuer le tag COS6 de la requête DHCP). Et là je suis un peu perdu. Je suis censé ajouter à ce bridge le vlan 832. Mais de mon point de vue, je devais aussi y ajouter le port WAN, non (dans mon cas, eth8) ? Sans quoi, il ne sert à rien, le bridge ?
Et ensuite, comment discutent-ils entre eux, ces deux bridges ?

Si quelqu'un a le temps et le courage de me pointer des ressources me permettant de comprendre, je suis preneur. C'est frustrant de sentir qu'on est pas loin, mais de pas réussir pour autant...

Mackila · « **Réponse #41 le:** 27 novembre 2021 à 18:05:13 »

Port 1 => une interface (qui correspond au port).
Tu crée un VLAN832 sur la port 1 => t'as une autre interface, virtuelle, qui correspond à ce qui sortira tagué VLAN832 par le port physique "port 1". Mais c'est considéré comme une interface à part entière.

Quand on crée un bridge, normalement, c'est pour que plusieurs interfaces contribuent au même réseau. (le bridge est virtuellement comme un commutateur ethernet).

Sauf que comme tu le dis, quand on crée un bridge uniquement dans le but de pouvoir appliquer des règles de filtrage ("bridge filter"), en fait on se contente de créer un commutateur (virtuel) avec un seul port (virtuel lui aussi puisqu'on choisi l'interface VLAN 832 du port 1). On peut se dire "un commutateur à un seul port ça sert à rien". Certes. Mais il faut se rendre compte qu'il y a un autre "port" connecté au "bridge" : le CPU du routeur, qui lui permet justement de faire son boulot de routeur entre les différents réseaux qu'on paramètre.

Grossièrement :

Commutateur "bridge WAN", 2 "ports" (interfaces) connectés:
- Interface VLAN832 sur port physique n°1 ;
- CPU du routeur ;

Commutateur "bridge LAN", 9 "ports" (interfaces) connectés :
- port SFP ;
- port physique n°2 ;
- port physique n°3 ;
- port physique n°4 ;
- port physique n°5 ;
- port physique n°6 ;
- port physique n°7 ;
- port physique n°8 ;
- CPU du routeur ;

Les deux bridges peuvent "discuter entre eux" grâce aux règles de routage, gérées par le CPU du routeur, qui participe aux deux.

LordK1 · « **Réponse #42 le:** 27 novembre 2021 à 19:10:17 »

Citation de: Mackila le 27 novembre 2021 à 18:05:13

Grossièrement :

Commutateur "bridge WAN", 2 "ports" (interfaces) connectés:
- Interface VLAN832 sur port physique n°1 ;
- CPU du routeur ;

Voila, c'est ça que je comprends pas. Dans les sujets que je prends pour support, le vlan 832 est pas créé sur le port 1, mais sur le br-wan, qui n'a lui même aucun port physique de lié.

LordK1 · « **Réponse #43 le:** 04 décembre 2021 à 21:10:20 »

Citation de: Dam08 le 21 novembre 2021 à 18:07:38

Voici mes options DHCP

La partie noircie me semble super longue. Il me semblait, des mes lectures, qu'il n'y avait besoin que de 0x00000000000000000000001a0900000558010341010D suivi du fti converti en Hexa. Tu as autre chose derrière ?

zoc · « **Réponse #44 le:** 04 décembre 2021 à 21:13:31 »

Le fait que à version courte de la chaîne fonctionne est un coup de bol (et du coup ça commence à ne plus fonctionner car Orange commence à vérifier le mdp), aucune Livebox n’a jamais envoyé ce type de chaîne d’authentification. La bonne version c’est fti+salt+hash(salt+mdp).

LordK1 · « **Réponse #45 le:** 04 décembre 2021 à 21:36:50 »

Ouais, donc quand je reste bloqué sur le status "requesting" au niveau de la demande DHCP, c'est peut être justement parce que je ne transmets pas mon mot de passe...
Je commence à m'y perdre moi, dans tous ces changements !

Heureusement que certaines choses ne changent pas : zoc qui nous vient en aide

Et du coup zoc, j'en profite : sur mon ERL, il fallait aussi utiliser la MAC de la livebox à un endroit ou deux. C'est plus nécessaire ? Dans les tutos Mikrotik, je ne vois plus rien qui concerne ça.

Mackila · « **Réponse #46 le:** 05 décembre 2021 à 13:42:20 »

Perso, pas eu besoin de mettre la MAC.

Je te conseille de rajouter quelque chose pour sniffer les paquets qui sortent du routeur : tu verras bien si toute la configuration est correcte (COS, options DHCP, réponses). Ça permet de savoir où on en est et de progresser par étape.

doctorrock · « **Réponse #47 le:** 05 décembre 2021 à 14:30:59 »

Tu peux monter le log level aussi.
Tu peux demander au Mikrotik de cracher dans le logs tout ce qui concerne DHCP (ya un log topic "dhcp" pour ça). Tu vois donc tous les champs échangés (en DHCP client ou server)

Pour la COS , tu peux aussi regarder le nombres de paquets qui passent dans le filtre, et si le compteur s'incrémente, c'est que ton paquet passe par la règle, et donc le tag COS.

En dernier recours, un sniff avec port mirroring, mais ca demande un peu plus de setup :-) (perso je le fais avec une 2ème carte réseau pour être bien)