La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: LordK1 le 21 octobre 2021 à 23:29:33
-
Bonjour à toutes et à tous,
J'ai remplacé ma Livebox par un ERL il y a... Pfiou, 7 ans déjà ! Tout en gardant un ONT externe.
Mise à part une alimentation cramée sans trop de raison, et quelques soucis de télé de temps à autre, je suis content de l'ensemble.
Je n'utilise qu'internet et la télévision (sur le même réseau), quelques vlans, mais j'ai bien envie de monter un petit système de téléphonie à l'occasion (donc très optionnel).
Aujourd'hui, je voudrais quand même tester autre chose. Pour apprendre, faire évoluer un peu mon installation etc.
Du coup, je regardais du côté de Mikrotik et de son RB5009. Il semble très tentant, mais j'ai quelques interrogations globales :
- Ce sera suffisant pour tenir le Gb/s descendant de ma connexion ?
- J'ai lu quelque part que ROS 7 n'était pas encore compatible avec le principe de remplacement d'une Livebox. C'est vrai ?
- Le matériel étant plus récent, j'aurais tendance à croire qu'il sera plus efficace que mon ERL actuel, mais certaines personnes m'ont dit qu'il serait en dessous niveau performances. Qui a raison ? :)
En tout cas merci à vous tous, pour tout ce que j'ai déjà appris ici, et ce que j'apprendrai encore surement.
-
- Ce sera suffisant pour tenir le Gb/s descendant de ma connexion ?
- J'ai lu quelque part que ROS 7 n'était pas encore compatible avec le principe de remplacement d'une Livebox. C'est vrai ?
- Le matériel étant plus récent, j'aurais tendance à croire qu'il sera plus efficace que mon ERL actuel, mais certaines personnes m'ont dit qu'il serait en dessous niveau performances. Qui a
J'utilise actuellement le RB4011 sous ROS 7.1rc4. Le nouveau RB5009 est semble-t-il largement plus puissant.
- le Gbps est largement atteint avec une charge CPU non maximale, même en single-thread, et ceci sans l'accélération matérielle fastpath (car celle-ci ne permet pas l'IPv6 ni le reset du DSCP)
- avec le RB4011 toujours, le trafic IPSEC (celui-ci reste accéléré par hardware) atteint 600 Mbps, c'est tout simplement excellent pour un appareil de ce prix
- les dernières versions de ROS 7 permettent le remplacement de livebox, ce n'était pas le cas auparavant car les "bridge filter rules" (pour la CoS=6) ne fonctionnaient pas.
-
Super, merci pour ces informations.
Reste à trouver ce modèle, et comparer avec l'ERL du coup !
-
Salut,
Je possède le CCR2004-16g-2s+ qui est livré avec ROS7 "stable" (non disponible via download). J'utilise uniquement internet via le SFP Orange FGS202 et aucun soucis même avec la CoS6.
Cependant avec le RB5009 ça n'avait pas l'air de marcher avec la version 7 "stable" qui était livré. :'(
-
Cependant avec le RB5009 ça n'avait pas l'air de marcher avec la version 7 "stable" qui était livré. :'(
Ah...
Tu as une source là dessus ? Je ne retrouve pas le sujet que j'avais vu ici même.
-
Ah...
Tu as une source là dessus ? Je ne retrouve pas le sujet que j'avais vu ici même.
https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg897129/#msg897129
-
Ah bah voila, c'est celui là que j'avais vu et qui me faisait douter de la compatibilité entre ROS7 et le remplacement de la LB.
Et donc après avoir relu la fin du sujet, je n'ai pas vu de nouvelles informations sur le sujet.
Quelqu'un en aurait un pour me dire si je peux l'acheter ou si je dois m'orienter vers autre chose ?
-
Ah bah voila, c'est celui là que j'avais vu et qui me faisait douter de la compatibilité entre ROS7 et le remplacement de la LB.
Et donc après avoir relu la fin du sujet, je n'ai pas vu de nouvelles informations sur le sujet.
Quelqu'un en aurait un pour me dire si je peux l'acheter ou si je dois m'orienter vers autre chose ?
Je ne sais pas trop quoi te conseiller, le mien n'a pas de soucis mais il n'est pas livré dans la même version que le RB5009 visiblement.
Le matos est récent, l'OS aussi avec peu de retour.
https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg897294/#msg897294
Le CCR2004-16g-2s+ n'est pas le même budget non plus que le RB5009.
-
Oui et puis ton CCR2004-16g-2s+ est aussi fait pour utiliser le tout sans ONT, non ?
J'ai un ONT, et pas prévu de le virer pour le moment, donc ça fait un peu overkill. Mais si le 5009 n'est pas compatible, il va bien me falloir une "solution de repli".
Par contre, j'aimais bien le 2.5G du 5009 pour aller à mon PC principal et un SFP 10G pour alimenter mon switch :-\
-
Oui et puis ton CCR2004-16g-2s+ est aussi fait pour utiliser le tout sans ONT, non ?
J'ai un ONT SFP qui m'a été fourni par Orange et qui est pluggé dans un des SFP+.
Pour le moment je suis chez SOSH en 300/300 et le CCR2004 se tourne les pouces c'est clair. 8)
J'aurais bien pris le RB5009 mais je voulais 2 SFP+ et je me sers de la puissance du CCR2004 et de ses 16 RJ45 pour mes quelques devices qui ont besoin d'un RJ45 mais qui consomme pas grand chose en débit.
ça me fait gagner un switch dans la baie.
L'autre SFP+ me sert de trunk vers un CRS309
-
Quelqu'un en aurait un pour me dire si je peux l'acheter ou si je dois m'orienter vers autre chose ?
ROS 7 (hors RB5009) n'est réellement utilisable que depuis les RCs, soit près de 2 ans après les premières Beta.
Rien d'anormal à cela, le tempo des releases matériels réseau n'est simplement pas le même que celui des appli Android.
Là où ca se complique,
On a aucune garantie sur le ROS 7 stable inclus dans le RB5009 (et introuvable ailleurs).
J'aurais tendance à me méfier, car la notion de "stable" est assez spéciale chez Mikrotik et le RB5009 est encore trop confidentiel avoir un retour global.
Le RB5009 lui-même étant quasi-introuvable, et totalement overkill pour un remplacement de LB à 1Gbps, la question de rester sur du classique (RB4011) peut se poser.
-
Là où ca se complique,
On a aucune garantie sur le ROS 7 stable inclus dans le RB5009 (et introuvable ailleurs).
J'aurais tendance à me méfier, car la notion de "stable" est assez spéciale chez Mikrotik et le RB5009 est encore trop confidentiel avoir un retour global.
Oui, c'était ça dont j'avais peur. Donc soit j'attends les retours plus nombreux, soit je me lance et je fais moi même des retours. N'ayant pas le niveau réseau pour fouiller en profondeur, ça me poussera à apprendre.
Le RB5009 lui-même étant quasi-introuvable, et totalement overkill pour un remplacement de LB à 1Gbps, la question de rester sur du classique (RB4011) peut se poser.
Je n'ai aucun mal à le trouver, pourtant. Ce qui m'intéressait dans ce produit, c'était le 10G pour alimenter mon switch, et le 2.5G pour aller en direct sur mon PC. Au delà de l'utilisation purement internet, les usages internes au réseau pourraient aussi profiter d'un petit upgrade.
-
Bon et bien la commande est validée, je devrais recevoir ça dans peu de temps, je ferai un retour quand je pourrai !
Merci à tous pour les réponses et l'aide. Après quelques années, je vois que ça a pas changé, et ça fait plaisir.
-
On attend ton retour :-)
Bcp de gens ici utilisent du Mikrotik avec ROS 6.x , peu d'expérimentations sont faites sous ROS 7 encore, sachant que ROS 7 n'est pas encore dispo au téléchargement, uniquement livré en embed sur certains nouveaux modèles à ce jour.
-
Bon, je n'ai pas eu trop le temps de m'y mettre depuis que je l'ai, si ce n'est découvrir un peu cette interface que je n'avais jamais utilisée. Et que le port 1 est par défaut exclu du bridge...
C'est beaucoup plus complet qu'un ERL, c'est une certitude.
J'ai donc reçu le bouzin sous ROS v7.0.5 (stable).
J'ai tout de suite vu la possibilité de configurer une session PPPoE. Mais je suppose que ce ne sera pas aussi simple que ça, pour remplacer la livebox hein ? Au delà des différents vlan à créer, je crois me souvenir de réglages avec la MAC de la livebox, ou de trucs comme ça, non ? Et puis bon, il parait que l'avenir est au DHCP.
En tout cas, maintenant que je sais que je peux switcher de PPPoE à DHCP au besoin, je vais pouvoir lancer des tests, en gardant mon ERL en repli pendant toute la période où je ne manquerai pas de me planter. Je vais partir sur la base de ce sujet (https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/) et tenter d'adapter à ce que je vois/trouve. Et je ferai le suivi ici, je suppose.
-
J'ai donc comme prévu suivi le mode opératoire de ce sujet (https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/).
J'ai 8 ports ethernet, et un port SFP.
Le but final est d'utiliser le SFP comme lien 10G avec le switch, le port eth1 (2.5G) sur mon poste principal, et le eth8 en entrée WAN.
Donc pour résumer, les commandes passées :
/interface ethernet
set [ find default-name=sfp-sfpplus1] comment=LAN name=SFP-LAN
set [ find default-name=ether1 ] comment=LAN name=ether1-LAN
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] comment="ONT Orange" name=ether8-WAN
/interface vlan
add comment="Internet ONT" interface=ether8-WAN loop-protect-disable-time=0s \
name=vlan832-internet vlan-id=832
add comment="VOD ONT" interface=ether8-WAN loop-protect-disable-time=0s \
name=vlan838-vod vlan-id=838
add comment="TV ONT" interface=ether8-WAN loop-protect-disable-time=0s \
name=vlan840-tv vlan-id=840
/ip dhcp-client option
add code=77 name=userclass value=\
"'+FSVDSL_livebox.Internet.softathome.Livebox3'"
add code=90 name=authsend value=\
0x0000000000000000000000{MonCodeftiEnHéxa}
add code=60 name=class-identifier value="'sagem'"
/ip dhcp-client
add dhcp-options=authsend,clientid,hostname,userclass disabled=no interface=\
vlan832-internet
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT LAN to WAN" out-interface=\
vlan832-internet
/queue interface
set ether1-LAN queue=ethernet-default
set ether8-WAN queue=ethernet-default
set SFP-LAN queue=ethernet-default
Premier point qui ne suit pas : au niveau des commandes
/interface vlan
add comment="Internet ONT" interface=ether2-WAN loop-protect-disable-time=0s \
loop-protect-send-interval=0s name=vlan832-internet vlan-id=832
il semblerait que ROS7 change un peu la donne, puisqu'il refuse la valeur de 0s :
value of loop-protect-send-interval is out of range (00:00:01 .. )
De ce que je comprends, ça ne doit pas forcément avoir d'impact ? Si je me trompe, n'hésitez pas à me le dire.
Et une fois toutes ces commandes passées, ça donne ça niveau interface :
(http://lordk1.info/mikrotik/interfaces.png)
(http://lordk1.info/mikrotik/DHCP832.png)
Mais quand je branche mon ONT sur le eth8, il le détecte, se met en status "searching" et ne va pas plus loin. Il doit donc y avoir quelque chose qui ne va pas, et je suis preneur de toute aide que vous accepterez de m'apporter.
J'avoue que si je connais les bases du réseau, là on dépasse quand même mes compétences en terme de debug. Donc même une piste de recherche, de test, etc m'ira bien :)
-
Dans les options envoyées du client DHCP (onglet Advanced) il manque le class-identifier 'sagem'.
-
Dans les options envoyées du client DHCP (onglet Advanced) il manque le class-identifier 'sagem'.
En effet.
Pourtant, les captures correspondent à celles du sujet d'origine, qui ne contiennent pas non plus cette option en option DHCP... Me voila bien perdu, pour le coup. Je vais tester avec, histoire de voir. Merci !
-
Le sujet d'origine a 5 ans et les choses évoluent / changent. Il faut adapter , il reste des choses valides, mais d'autres ne le sont plus.
Si ca fonctionne pas, tu dois être en zone où il faut tagguer en COS la trame DHCP request.
Vérifie en sniffant ta Livebox d'origine.
-
La livebox met toujours la CoS à 6 pour le DHCP, que ce soit effectivement nécessaire ou pas dans la zone où elle est utilisée….
-
La livebox met toujours la CoS à 6 pour le DHCP, que ce soit effectivement nécessaire ou pas dans la zone où elle est utilisée….
Ah ? Bah faut tagguer du coup, pour être sûr ^^
C'est expliqué comment faire, un bridge filter et ça fonctionne. IPv6 aussi.
-
Merci, je teste ça dans les jours à venir et je vous tiens au courant !
-
Pour info sur Mikrotik (enfin chez moi), le symptôme d'une CoS manquante, et uniquement d'une CoS manquante, tout le reste étant OK, c'est de n'avoir que l'IP du serveur DHCP dans l'onglet 'Status' du client DHCP. Chez moi, sans la CoS, le serveur DHCP répond OFFER mais pas ACK.
-
Pour info sur Mikrotik (enfin chez moi), le symptôme d'une CoS manquante, et uniquement d'une CoS manquante, tout le reste étant OK, c'est de n'avoir que l'IP du serveur DHCP dans l'onglet 'Status' du client DHCP. Chez moi, sans la CoS, le serveur DHCP répond OFFER mais pas ACK.
Un grand merci pour cette précision.
Depuis que j'ai la fibre, je suis en PPPoE. Est-il possible que l'authentification via DHCP ne soit pas disponible ?
-
Est-il possible que l'authentification via DHCP ne soit pas disponible ?
Non. C’est généralisé sur tous le territoire depuis au moins 2018 (hors Corse je crois où c’est venu un peu plus tard) pour les offres avec IP dynamique, ça commence à se généraliser aussi pour les offres à IPV4 fixe.
D’où l’extinction progressive du PPPoE d’ailleurs (qui n’était donc utilisé que sur les offres avec IP fixe depuis 2018).
-
Bien. Donc j'ai bien des soucis dans mes réglage, et il faut que je regarde quoi, et comment améliorer le tout :)
C'est parti pour pas mal d'apprentissage et de mise à niveau, à mon avis !
-
Hello,
add code=77 name=userclass value="'+FSVDSL_livebox.Internet.softathome.Livebox3'"
en
add code=77 name=userclass value="'+FSVDSL_livebox.Internet.softathome.Livebox4'"
?
-
Les 2 sont valables. Orange ne vérifie pas que la version de Livebox annoncée est bien celle possédée par le client. Je suis resté des mois avec "Livebox3" alors que j'avais une Livebox 4.
-
Les 2 sont valables. Orange ne vérifie pas que la version de Livebox annoncée est bien celle possédée par le client. Je suis resté des mois avec "Livebox3" alors que j'avais une Livebox 4.
Same.
-
Same.
Ok c'est bon à savoir, merci :)
-
Pour information, je n'ai pas abandonné, ni oublié de faire un retour. Je suis juste très occupé par le boulot.
Mais j'ai bien noté (comment ne l'avais je pas vu plus tôt) que le sujet d'origine est un peu daté, et que tout n'est surement plus à jour. J'ai aussi croisé les réglages avec d'autres, vus à droite à gauche. Je compile un peu tout pour faire des tests et intégrer certaines choses qui semblent désormais nécessaires (COS priority 6).
J'en profite aussi pour me familiariser avec ROS et Mikrotik. C'est vraiment bien, mais ça reste compliqué, la première fois :)
Dés que j'aurai un truc fonctionnel, je posterai ma configuration finale.
-
Première correction (qui avait échappé à tout le monde) au niveau de l'auth (code 90).
Orange a modifié la chaine en 2018, visiblement. Et même si ça fonctionne encore avec l'ancienne configuration en PPPoE, c'est surement problématique en DHCP.
La commande
add code=90 name=authsend value=\
0x0000000000000000000000{MonCodeftiEnHéxa}devient donc
add code=90 name=authsend value=\
0x00000000000000000000001a0900000558010341010D{MonCodeftiEnHéxa}
Et on verra rien qu'avec ça si on un progrès :)
-
Voici mes options DHCP
(https://i.ibb.co/BZZDFbj/rosdhcp.png) (https://ibb.co/J77LgV2)
Pour la partie VLAN dans interface, j'ai du le positionner sur l'interface physique directement plutôt que sur le bridge. Je ne sais pas si j'ai mal fait quelque chose mais cela fonctionne comme ça.
(https://i.ibb.co/CvsWJVJ/vlan-Orange.jpg) (https://imgbb.com/)
-
Pour la partie VLAN dans interface, j'ai du le positionner sur l'interface physique directement plutôt que sur le bridge. Je ne sais pas si j'ai mal fait quelque chose mais cela fonctionne comme ça.
Merci ! Ça, ça m'aide beaucoup. En effet, ici (https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg406195/#msg406195) tout est fait sur l'interface WAN, et ici (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg833752/#msg833752) tout est fait sur le bridge. Je ne sais pas trop pourquoi, ni comment décider entre les deux...
-
Le seul intérêt de mettre la config sur le bridge, c'est de pouvoir utiliser les bridge filter rules pour changer la CoS de l'entête VLAN des requêtes DHCP.
Si tu n'en as pas besoin, ou si tu changes la CoS autrement (genre avec un switch sur l'interface WAN, merci ROS7), il est préférable de monter la configuration directement sur l'interface du port.
-
Le seul intérêt de mettre la config sur le bridge, c'est de pouvoir utiliser les bridge filter rules pour changer la CoS de l'entête VLAN des requêtes DHCP.
Si tu n'en as pas besoin, ou si tu changes la CoS autrement (genre avec un switch sur l'interface WAN, merci ROS7), il est préférable de monter la configuration directement sur l'interface du port.
Quand tu dis un switch, tu veux dire mettre un switch matériel entre l'ONT et le port WAN, ou tu parles d'une fonctionnalité que je ne connais pas de ROS7 ? Dans le premier cas, je dois pouvoir faire quelque chose avec mon TPLink, mais ça m'enchante pas forcément. Dans le second, si tu peux me pointer le menu du doigt, je suis preneur.
Et il existe donc encore des zones ou le changement de CoS à 6 n'est pas obligatoire ? Étant en PPPoE sur mon ERL actuellement, c'est quelque chose dont je ne m'étais jamais soucié.
[Edit] Tout de suite après mon message, j'ai vu le menu switch dans WinBox, et me suis trouvé bien con. Du coup tu as des ressources sur comment faire avec ROS7 pour exploiter ça ?
Et quels sont les avantages et inconvénients de l'une ou l'autre solution, si tu as le temps de m'éclairer un peu ?
Merci
-
Non. Je parle d'un vrai switch (dans mon cas un CRS305).
A ma connaissance il n'y a pas de routeurs avec des ports > 1G ayant un switch chip permettant de changer la CoS. Et les CRS qui ont ça sont trop limités en CPU.
-
OK.
Donc soit mon TPLink en est capable (reste à vérifier), soit je devrais passer par cette technique du bridge. Heureusement que Seb explique bien les principes de toutes ses manipulations, je déteste faire sans comprendre.
-
C'est pas hyper complexe quand tu réfléchis avec OSI en tête, comme toujours quand on fait du réseau.
Le marquage COS est de niveau OSI 2, donc il faut regarder coté switch ou bridge.
Pour le client DHCP, il s'agit de couche OSI 3 il faudra donc regarder coté IP.
Si le port WAN est dans un bridge, il devient donc esclave et il conviendra de monter le client DHCP sur l'interface maitresse (le bridge) et d'utiliser cette même interface dans tout réglage de la couche 3 (le firewall notamment).
Si le port WAN n'est pas dans un bridge, on monte le client DHCP direct dessus (c'est un port de type VLAN normalement, le 832) et on utilise l'interface (VLAN) directement dans les réglages supérieurs comme le firewall.
Voila ^^
-
Tiens, petite info pour everybody qui a du Mikrotik :
Dans la dernière update : la 6.49.1, ils ont rajouté un canal pour les updates, qui permet d'accéder à ROS7.
Le canal s'appelle "upgrade". C'est écrit dans le changelog.
Il m'est donc aujourd'hui possible, via ce canal, de passer mes équipements sous ROS 7.1rc6 (à ce jour).
-
Bon, j'ai encore avancé dans mes tests, mais comme d'habitude je me retrouve bloqué par quelque chose.
Pour le coup, il s'agit certainement d'un manque de connaissance de ma part, sur ce qui concerne les bridges.
Lors de la première mise en route du routeur (genre après un reset), j'ai mes 9 ports (8 ethernet et un SPF) qui apparaissent dans les interfaces. Vient s'ajouter à ça un "bridgeLocal", de conf par défaut, qui reprend les ports 2 à 8, plus le SFP (le port 1 étant dédié au wan), avec le port 2 en "port root".
Dans mes manipulations successives, je crée un autre bridge pour le wan (pour pouvoir effectuer le tag COS6 de la requête DHCP). Et là je suis un peu perdu. Je suis censé ajouter à ce bridge le vlan 832. Mais de mon point de vue, je devais aussi y ajouter le port WAN, non (dans mon cas, eth8) ? Sans quoi, il ne sert à rien, le bridge ?
Et ensuite, comment discutent-ils entre eux, ces deux bridges ?
Si quelqu'un a le temps et le courage de me pointer des ressources me permettant de comprendre, je suis preneur. C'est frustrant de sentir qu'on est pas loin, mais de pas réussir pour autant...
-
Port 1 => une interface (qui correspond au port).
Tu crée un VLAN832 sur la port 1 => t'as une autre interface, virtuelle, qui correspond à ce qui sortira tagué VLAN832 par le port physique "port 1". Mais c'est considéré comme une interface à part entière.
Quand on crée un bridge, normalement, c'est pour que plusieurs interfaces contribuent au même réseau. (le bridge est virtuellement comme un commutateur ethernet).
Sauf que comme tu le dis, quand on crée un bridge uniquement dans le but de pouvoir appliquer des règles de filtrage ("bridge filter"), en fait on se contente de créer un commutateur (virtuel) avec un seul port (virtuel lui aussi puisqu'on choisi l'interface VLAN 832 du port 1). On peut se dire "un commutateur à un seul port ça sert à rien". Certes. Mais il faut se rendre compte qu'il y a un autre "port" connecté au "bridge" : le CPU du routeur, qui lui permet justement de faire son boulot de routeur entre les différents réseaux qu'on paramètre.
Grossièrement :
Commutateur "bridge WAN", 2 "ports" (interfaces) connectés:
- Interface VLAN832 sur port physique n°1 ;
- CPU du routeur ;
Commutateur "bridge LAN", 9 "ports" (interfaces) connectés :
- port SFP ;
- port physique n°2 ;
- port physique n°3 ;
- port physique n°4 ;
- port physique n°5 ;
- port physique n°6 ;
- port physique n°7 ;
- port physique n°8 ;
- CPU du routeur ;
Les deux bridges peuvent "discuter entre eux" grâce aux règles de routage, gérées par le CPU du routeur, qui participe aux deux.
-
Grossièrement :
Commutateur "bridge WAN", 2 "ports" (interfaces) connectés:
- Interface VLAN832 sur port physique n°1 ;
- CPU du routeur ;
Voila, c'est ça que je comprends pas. Dans les sujets que je prends pour support, le vlan 832 est pas créé sur le port 1, mais sur le br-wan, qui n'a lui même aucun port physique de lié.
-
Voici mes options DHCP
(https://i.ibb.co/BZZDFbj/rosdhcp.png) (https://ibb.co/J77LgV2)
La partie noircie me semble super longue. Il me semblait, des mes lectures, qu'il n'y avait besoin que de 0x00000000000000000000001a0900000558010341010D suivi du fti converti en Hexa. Tu as autre chose derrière ?
-
Le fait que à version courte de la chaîne fonctionne est un coup de bol (et du coup ça commence à ne plus fonctionner car Orange commence à vérifier le mdp), aucune Livebox n’a jamais envoyé ce type de chaîne d’authentification. La bonne version c’est fti+salt+hash(salt+mdp).
-
Ouais, donc quand je reste bloqué sur le status "requesting" au niveau de la demande DHCP, c'est peut être justement parce que je ne transmets pas mon mot de passe...
Je commence à m'y perdre moi, dans tous ces changements !
Heureusement que certaines choses ne changent pas : zoc qui nous vient en aide ;D
Et du coup zoc, j'en profite : sur mon ERL, il fallait aussi utiliser la MAC de la livebox à un endroit ou deux. C'est plus nécessaire ? Dans les tutos Mikrotik, je ne vois plus rien qui concerne ça.
-
Perso, pas eu besoin de mettre la MAC.
Je te conseille de rajouter quelque chose pour sniffer les paquets qui sortent du routeur : tu verras bien si toute la configuration est correcte (COS, options DHCP, réponses). Ça permet de savoir où on en est et de progresser par étape.
-
Tu peux monter le log level aussi.
Tu peux demander au Mikrotik de cracher dans le logs tout ce qui concerne DHCP (ya un log topic "dhcp" pour ça). Tu vois donc tous les champs échangés (en DHCP client ou server)
Pour la COS , tu peux aussi regarder le nombres de paquets qui passent dans le filtre, et si le compteur s'incrémente, c'est que ton paquet passe par la règle, et donc le tag COS.
En dernier recours, un sniff avec port mirroring, mais ca demande un peu plus de setup :-) (perso je le fais avec une 2ème carte réseau pour être bien)
-
Oui, je dois avoir le nécessaire pour le faire en terme de matériel. Par contre, en terme de connaissances, je suis déjà à ma limite. J'adore apprendre, mais en partant de si loin ça devient compliqué :D
Surtout avec madame derrière qui râle un peu à chaque test, quand j'échange l'ERL (qui fonctionne) pour le mikrotik et que ça coupe son internet ::)
-
Yop !
Pour info je viens de passer à ROS 7.1 stable, et le bridge filter ne fonctionne plus : il indique bien 0 paquet traversant, le dhcp-client reste donc en statut "requesting" puisque le paquet n'est plus taggué en COS.
Donc pas génial.
En revanche, maintenant, il reconnait le module SFP Sercomm en direct, plus besoin de convertisseur de média externe.
Je suis sous CCR2004-12S+
-
Pour info je viens de passer à ROS 7.1 stable, et le bridge filter ne fonctionne plus : il indique bien 0 paquet traversant, le dhcp-client reste donc en statut "requesting" puisque le paquet n'est plus taggué en COS.
Donc pas génial.
Oh. Et tu fais comment du coup ? Tu mets un switch au milieu pour appliquer le tag ?
Si tu as une config à partager, je suis preneur.
-
Pour la CoS j'ai prévenu... sauf que sur l'autre ccr2004 je n'ai pas le choix...
Du coup la CoS c'est un crs305 qui l'ajoute...
-
J'ai pas dit le contraire, mais le sujet que j'ai pointé plus haut montrait que la personne l'avait fait avec un bridge. Je pensais que ça faisait le taff.
-
Non, le bridge ca ne fonctionne plus.
Ya des trucs louches quand même : rien (ni le firewall, ni le bridge filter) ne voit les DHCP en output. Tous les compteurs restent à zéro, alors que les paquets sont émis (j'ai chécké). C'est très bizarre comme comportement.
Je vais utiliser un autre switch pour tagguer du coup.
-
j'ai essayé avec es règles simples sur du traffic maitrisé, c'est pas seulement le dhcp, mais tout traffic. Rien ne déclenche... :(
-
Ca fonctionne, sur le switch : un CRS312-4C+8XG que j'ai relié au routeur (pour que ce soit le routeur qui porte l'IP et le dhcp-client).
Ca fonctionne, comme avant.
Le switch est sur archi mipsbe, alors que le routeur est en arm64. ROS 7 se comporte donc différement en fonction de l'architecture du matériel (logique), mais bon là .... C'est pas super.
Ca fonctionne je répète, mais ça oblige soit à faire du VLAN in VLAN, soit à relier le routeur au switch via un mini bridge juste pour ça ...
Pas super. C'est con :-p
-
J'avoue j'ai pas tenté le diable : j'ai mis le crs305 sous switchOS, j'ai pas tenté le bridge filter avec le pauvre CPU du 305 alors qu'il a un switch chip qui sait faire...
-
Le bridge filter utilisera le switch chip si tu es Hardware Offloadé (depuis ROS 6.3 je crois ?).
-
J'ai repéré ce fil un peu tard.
Fondamentalement, la différence notable dans les réglages pour Orange, entre RouterOS v6 et v7, c'était le bridge filter de la COS=6 non fonctionnel. Je n'ai pas encore essayé avec la v7 finale.
@LordK1: tu pouvais partir de ce réglage en IPv4 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg833752/#msg833752) et voire éventuellement, de celui ci, complémentaire, en IPv6 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg835193/#msg835193)
Qui a essayé et réussi le bridge filter cos=6 avec un RouterOS v7.1?
Fondamentalement, en fait, c'est ça l'enjeu.
-
Bonjour Gnubyte,
Oui, je me base beaucoup sur les messages que tu as pointé pour tenter des choses. Sans trop de résultat pour le moment, très certainement à cause de cette histoire de CoS.
Il faut que je regarde si mon switch pourrait remplir ce rôle, en faisant passer le trafic via deux ports réservés dessus. J'avoue ne pas avoir eu trop le temps de m'y pencher ces derniers jours, et les fêtes à venir ne vont rien arranger.
Si tu as besoin d'un cobaye pour certains tests, n'hésite pas ! Je serais ravi d'aider dans la mesure de mes moyens.
-
Qui a essayé et réussi le bridge filter cos=6 avec un RouterOS v7.1?
Comme dit plus haut : moi, mais avec mon switch, ca ne fonctionne pas sur le routeur
-
Je n'ai pas la même hypothèse pour expliquer que les règles bridge filter en RoS 7.1 fonctionnent sur le CRS312 et pas sur le CCR, autre que l'archi du CPU. P'tet ben que si ça marche sur le CRS, c'est parceque c'est le 98DX8212 qui prend la règle en hardware (et que le support via le CPU reste buggué) ?
-
Je n'ai pas la même hypothèse pour expliquer que les règles bridge filter en RoS 7.1 fonctionnent sur le CRS312 et pas sur le CCR, autre que l'archi du CPU. P'tet ben que si ça marche sur le CRS, c'est parceque c'est le 98DX8212 qui prend la règle en hardware (et que le support via le CPU reste buggué) ?
Nop je ne pense pas, et je vais te dire pourquoi.
J'ai crée un bridge dédié, pour les 2 ports, logique.
Mais j'avais déja un bridge puisque c'est mon switch "de prod", c'est un CRS3.XXX , donc tout le switching actuel de ma "prod" se fait via le bridge. Ca fonctionne comme ça sur les CRS3.XXXX (et j'aime bien plus que le old-fashion ou les != CRS3, via le menu "switch", quelle galère !)
Donc le premier bridge, mon "LAN", est Hardware Offloadé (il passe pas par le CPU), mais .... pas le second.
Les ASIC ne peuvent être sollicités que pour un seul bridge. Si tu "coupes" ton switch en plusieurs bridges, seul le premier sera entièrement Hardware Offloadé, mais aucun des suivants.
C'est d'ailleurs très clairement indiqué dans la doc (et logique).
Donc non, ça passe par le CPU, et comme le CPU est microscopique (logique, c'est un switch), je me suis tourné vers une autre solution (j'ai un autre switch matériel, Mikrotik, dans un placard : je l'ai ressorti).
-
Ça ne te limite pas en débit de faire le filtrage pour la CoS avec un CPU anémique ? :o
-
Qui a essayé et réussi le bridge filter cos=6 avec un RouterOS v7.1?
Oui, sur RB4011 (arm 32bit) depuis les RC.
En revanche, ça ne fonctionnait pas sur les betas.
-
Ça ne te limite pas en débit de faire le filtrage pour la CoS avec un CPU anémique ? :o
Je t'ai dit que j'ai ressorti un autre switch plus puissant pour ;-)
(En fait c'est un routeur, mais avec un CPU potable, qui arrive à faire du switching @ 1gbps , oui)
-
Bon, puisque l'information est remontée à Mikrotik, en attendant des nouvelles, je reste avec mon ERL :-\
https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/756/
-
Ça ne te limite pas en débit de faire le filtrage pour la CoS avec un CPU anémique ? :o
@Mackila
Pour avoir fait des tests sur pleins de Mikrotik et des Ubiquiti, quand on fait la CoS au travers d'un changement de CoS dans le VLAN (VLAN Priority) et que pour les paquets DHCP cela revient (je pense) à inspecter et traiter tout le trafic :
- si cela est fait avec une Switch Rule comme sur un Mikrotik c'est l'Asic du Chip Switch qui est devant le CPU qui fait cela de manière native en hardware sans solliciter le CPU et comme on-dit "Line Rate" (une telle assistance hardware produit le même résultat que l'on est 1Kbps, 1Mbps ou 1Gbps de trafic)
- si cela est fait avec un bridge filter c'est le CPU qui doit vérifier chaque paquet et le traiter d'ou l'effondrement des performances en général quelque soit le CPU sauf monstreux multi-core CPU
-
Bonjour,
Avec le passage à la version 7 (7.1.1), mon RB3011 limite maintenant la connexion internet à 180 Mbps. Un des 2 CPUs sature. Je suis dans la configuration où le SFP est directement inséré dans le RB3011. C'est visiblement cette règle qui fait monter le CPU:
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log-prefix="Set CoS to 6 on DHCP" mac-protocol=ip new-priority=6 \
out-interface=vlan832-internet
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832-internet
Si je les désactive, je retrouve la bande passante de ma connexion (300/300 Mbps, Sosh).
Je n'avais pas ce problème en v6.
J'ai également constaté qu'une connexion iperf à 1Gbps sur le switch du RB3011 (entre 2 PC en local) faisait aussi monter le CPU à 100 %. Je mesure 927 Mbit/s en IPv4 et 900 Mbit/s en IPv6 donc cela ne m'impacte pas vraiment... Je ne me rappelle pas que j'avais cette saturation en v6.
Avez-vous remarqué ces limitations en passant en v7 ?
-
Pour avoir fait des tests sur pleins de Mikrotik et des Ubiquiti, quand on fait la CoS au travers d'un changement de CoS dans le VLAN (VLAN Priority) et que pour les paquets DHCP cela revient (je pense) à inspecter et traiter tout le trafic :
- si cela est fait avec une Switch Rule comme sur un Mikrotik c'est l'Asic du Chip Switch qui est devant le CPU qui fait cela de manière native en hardware sans solliciter le CPU et comme on-dit "Line Rate" (une telle assistance hardware produit le même résultat que l'on est 1Kbps, 1Mbps ou 1Gbps de trafic)
- si cela est fait avec un bridge filter c'est le CPU qui doit vérifier chaque paquet et le traiter d'ou l'effondrement des performances en général quelque soit le CPU sauf monstreux multi-core CPU
L'implémentation est assez différente,
- Sur les ubiquiti edgerouters, il y a un vrai offload matériel par des hooks/APIs du SDK (Cavium). Les paquets offloadés ne sont même pas "vus" par le kernel.
La complexité d'une telle implémentation est probablement en rapport avec le gain obtenu.
- Chez Mikrotik, sur les modèles ARM récents tout du moins, c'est beaucoup moins central.
Les CPU utilisés (ARM Alpina ou Marvell) ne disposent d'aucun ASIC, et le "fast-track" n'est qu'un bypass sofware des règles netfilter pour toute connexion taggée comme telle.
La différence n'est pas comparable à l'ERL par exemple "avec ou sans".
Ce fast-track n'existe d'ailleurs pas en IPv6, et ca ne semble pas une priorité vu le faible gain pour les modèles actuels (RB4011 / 5009 / CCR-2xxx) et on peut imaginer que les modèles plus anciens (sous MIPS, tels que hEX, RB2011) ne sont plus leur première préoccupation, même si le gain serait là intéressant sous réserve d'ASICs disponibles sur ces CPUs.
En revanche le fast path sur des interfaces de type bridge reste l'exception réellement matérielle, c'est le switch-chip qui fait la commutation sans remonter au CPU.
-
J'en ai pris un au hasard,
Je vous invite à regarder de plus prêt les sections, switching, bridge, routing et leurs capacités de commutation ou routage.
https://mikrotik.com/product/crs305_1g_4s_in#fndtn-testresults
-
https://mikrotik.com/product/crs305_1g_4s_in#fndtn-testresults
C'est un switch.
Et donc ?
-
Bon, je reviens sur ce sujet, maintenant que la mise à jour 7.1.3 permet de faire la configuration sans passer par un switch pour le tag (merci ce message (https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg930729/#msg930729)).
J'ai donc appliqué la mise à jour sur mon RB5009. C'était d'ailleurs la première fois que je faisais une mise à jour Mikrotik, et j'ai été surpris par la facilité de mise en œuvre, en passant.
Puis je me suis dit que je testerai de refaire la configuration dans le semaine, quand ça ne couperait pas internet à ma femme.
Sauf que ce week end, mon ERL a rendu l'âme, après plusieurs années de bons et loyaux services.
Bien embêté dans cette période de télé-travail, j'ai cherché toutes les solutions à ma disposition, et qui m'éviteraient de rebrancher la livebox.
Du coup, j'ai branché le RB5009. Et incroyable, sans rien toucher, ça fonctionne.
Je constate une légère baisse de débit (peut être l'effet week end, je testerai plus avant dans les jours à venir), et il me reste à reconfigurer tout mon réseau (leeses DHCP etc) mais tout est opérationnel.
J'ai quand même bien cherché à comprendre pourquoi rien ne fonctionnait, pour finalement me rendre compte que j'avais réglé mes DNS dans le network, alors qu'ils n'étaient pas encore sur le réseau...
-
Je vais arrêter d'éditer dans tous les sens, et refaire un message.
J'ai crié victoire trop tôt, la télévision ne fonctionne pas.
Je cherche ;D
-
Bonjour,
J'utilise actuellement CRH (v7.3 beta 40) sous Proxmox.
Pour la partie IPv4, tout fonctionne correctement et je récupère une IP
Par contre pour l'IPv6, impossible d'obtenir le préfixe.
Voici la config actuelle :
/ipv6/dhcp-client/option
Columns: NAME, CODE, VALUE
# NAME CODE VALUE
0 authsend 11 0x00000000000000000000001a0900000XXXXXXX (version longue)
1 class-identifier 16 0x0000040e0005736167656d
2 userclass 15 0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f78340a
/ipv6/dhcp-client
0 interface=br-wan status=searching... duid="0x00030001d4f829c5c0e8" dhcp-server-v6=:: request=prefix add-default-route=yes default-route-distance=1 use-peer-dns=yes dhcp-options=authsend,*1,*2 pool-name="pool_FT_6" pool-prefix-length=64 prefix-hint=::/0 dhcp-options=authsend,*1,*2
Pour le COS 6:
/interface/bridge/filter
Flags: X - disabled, I - invalid, D - dynamic
0 chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832-internet mac-protocol=ip dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request"
1 chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832-internet mac-protocol=ipv6 log=yes log-prefix="Set CoS6 on DHCPv6 request"
Au niveau firewall, j'autorise tout pour l'instant :
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::/16
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input
add action=accept chain=forward
Et les logs lors de la requête dhcpv6 :
18:21:42 firewall,info Set CoS6 on DHCPv6 request outp: in:(unknown 0) out:vlan832-internet, src-mac 4c:19:5d:bc:d2:90, dst-mac 33:33:00:01:00:02, eth-proto 86dd, UDP, [fe80::4e19:5dff:febc:d290]:546->[ff02::1:2]:547, len 132
18:21:43 dhcp,debug resending..
18:21:43 dhcp,debug,packet send br-wan -> ff02::1:2%b
18:21:43 dhcp,debug,packet type: solicit
18:21:43 dhcp,debug,packet transaction-id: 0e92d0
18:21:43 dhcp,debug,packet -> clientid: 00030001 d4f829c5 c0e8
18:21:43 dhcp,debug,packet -> oro: 23
18:21:43 dhcp,debug,packet -> elapsed_time: 1
18:21:43 dhcp,debug,packet -> auth: 00000000 00000000 0000001a 0900000XXXXX
18:21:43 dhcp,debug,packet f10cdb4f df12
18:21:43 dhcp,debug,packet -> rapid_commit: [empty]
18:21:43 dhcp,debug,packet -> ia_pd:
18:21:43 dhcp,debug,packet t1: 1800
18:21:43 dhcp,debug,packet t2: 2880
18:21:43 dhcp,debug,packet id: 0x9
18:21:43 firewall,info Set CoS6 on DHCPv6 request outp: in:(unknown 0) out:vlan832-internet, src-mac 4c:19:5d:bc:d2:90, dst-mac 33:33:00:01:00:02, eth-proto 86dd, UDP, [fe80::4e19:5dff:febc:d290]:546->[ff02::1:2]:547, len 132
18:21:45 dhcp,debug resending..
Auriez-vous une piste ?
-
Bonjour,
J'utilise actuellement CRH (v7.3 beta 40) sous Proxmox.
Pour la partie IPv4, tout fonctionne correctement et je récupère une IP
Par contre pour l'IPv6, impossible d'obtenir le préfixe.
Voici la config actuelle :
/ipv6/dhcp-client/option
Columns: NAME, CODE, VALUE
# NAME CODE VALUE
0 authsend 11 0x00000000000000000000001a0900000XXXXXXX (version longue)
1 class-identifier 16 0x0000040e0005736167656d
2 userclass 15 0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f78340a
/ipv6/dhcp-client
0 interface=br-wan status=searching... duid="0x00030001d4f829c5c0e8" dhcp-server-v6=:: request=prefix add-default-route=yes default-route-distance=1 use-peer-dns=yes dhcp-options=authsend,*1,*2 pool-name="pool_FT_6" pool-prefix-length=64 prefix-hint=::/0 dhcp-options=authsend,*1,*2
Pour le COS 6:
/interface/bridge/filter
Flags: X - disabled, I - invalid, D - dynamic
0 chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832-internet mac-protocol=ip dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request"
1 chain=output action=set-priority new-priority=6 passthrough=yes out-interface=vlan832-internet mac-protocol=ipv6 log=yes log-prefix="Set CoS6 on DHCPv6 request"
Au niveau firewall, j'autorise tout pour l'instant :
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::/16
add action=accept chain=input dst-port=546 in-interface=br-wan protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input
add action=accept chain=forward
Et les logs lors de la requête dhcpv6 :
18:21:42 firewall,info Set CoS6 on DHCPv6 request outp: in:(unknown 0) out:vlan832-internet, src-mac 4c:19:5d:bc:d2:90, dst-mac 33:33:00:01:00:02, eth-proto 86dd, UDP, [fe80::4e19:5dff:febc:d290]:546->[ff02::1:2]:547, len 132
18:21:43 dhcp,debug resending..
18:21:43 dhcp,debug,packet send br-wan -> ff02::1:2%b
18:21:43 dhcp,debug,packet type: solicit
18:21:43 dhcp,debug,packet transaction-id: 0e92d0
18:21:43 dhcp,debug,packet -> clientid: 00030001 d4f829c5 c0e8
18:21:43 dhcp,debug,packet -> oro: 23
18:21:43 dhcp,debug,packet -> elapsed_time: 1
18:21:43 dhcp,debug,packet -> auth: 00000000 00000000 0000001a 0900000XXXXX
18:21:43 dhcp,debug,packet f10cdb4f df12
18:21:43 dhcp,debug,packet -> rapid_commit: [empty]
18:21:43 dhcp,debug,packet -> ia_pd:
18:21:43 dhcp,debug,packet t1: 1800
18:21:43 dhcp,debug,packet t2: 2880
18:21:43 dhcp,debug,packet id: 0x9
18:21:43 firewall,info Set CoS6 on DHCPv6 request outp: in:(unknown 0) out:vlan832-internet, src-mac 4c:19:5d:bc:d2:90, dst-mac 33:33:00:01:00:02, eth-proto 86dd, UDP, [fe80::4e19:5dff:febc:d290]:546->[ff02::1:2]:547, len 132
18:21:45 dhcp,debug resending..
Auriez-vous une piste ?
Juste 2 remarques :
- pourquoi l'option 17 n'est pas envoyée ?
- si tu utilises l'outil Windows pour récupérer ce qu'envoi la Livebox en Ipv4 et Ipv6 est-ce que cela correspond ?
- c'est peut être idiot, mais une capture réseau pour vérifie avec WireShark que la CoS est bien à 6 pour ton DHCPv6 Solicit
Au passage j'utilise le mode Stream sur le Mikrotik pour faire une capture réseau d'un port et l'envoyer directement sur ma machine qui a WireShark lancé avec un filtre (par défaut c'est un filtre sur le trafic udp sur le port 37008), la config sur le Mikrotik est ultra simple :
/tool sniffer
set filter-interface=sfp-sfpplus1 streaming-enabled=yes streaming-server=10.255.16.222
-
Merci pour ton aide nscheffer
Ça fonctionne désormais, j'arrive à récupérer le préfix.
Le problème venait des options dans la conf du client DHCP. J'avais mis 3 fois : authsend et oublier les autres.
Pourtant, j'ai vérifié et refait plusieurs fois la conf.
Pour info, je n'ai pas eu besoin d'envoyer option 17.