Auteur Sujet: Mikrotik + LB5 + Téléphone (Lu 471 fois)

hleb · « **le:** 10 septembre 2025 à 11:31:15 »

Bonjour à vous,

Je suis bloqué sur l'étape d'authentification de ma Livebox 5 sur un port dédié de mon routeur Mikrotik.

En compilant les informations à droite et à gauche (et en capturant une réponse DHCP d'Orange), j'ai conclu qu'il fallait les paramètres suivants sur mon serveur DHCP :

Option 15: 'orange.fr'
Option 90: 'dhcpliveboxfr250' en dur
Option 119: 'XXX.access.orange-multimedia.net'
Option 125: '000005580c010a00010000000000000000' en dur

Ayant utilisé le topic https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/, j'ai un br-wan défini qui englobe le vlan832-internet, qui lui est bindé à mon interface sfp-sfpplus1-wan.

J'ai également un br-lan qui englobe mes autre ports, avec notamment ether9-livebox. Ma Livebox est branché à ce port depuis son port n°4.
Pour le VLAN 832 de la Livebox, j'ai un vlan vlan832-livebox bindé à ether9-livebox.

Je pense que le problème provient de ma configuration de forward entre le vlan832-livebox et le br-wan.
J'ai pensé à une règle de Bridge que j'ai défini ainsi, mais je constate un problème de master/slave.

Code: [Sélectionner]

/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no igmp-snooping=yes name=br-lan port-cost-mode=short
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no igmp-snooping=yes name=br-wan port-cost-mode=short
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (vlan832-livebox) is not slave
add action=accept chain=forward in-interface=vlan832-livebox log=yes log-prefix=lb_bridge out-interface=vlan832-internet
/interface bridge port
add bridge=br-lan interface=ether1 internal-path-cost=10 path-cost=10
add bridge=br-lan interface=ether2 internal-path-cost=10 path-cost=10
add bridge=br-lan interface=ether3 internal-path-cost=10 path-cost=10
add bridge=br-lan interface=ether4 internal-path-cost=10 path-cost=10
add bridge=br-lan interface=ether6 internal-path-cost=10 path-cost=10
add bridge=br-lan interface=ether7 internal-path-cost=10 path-cost=10
add bridge=br-lan interface=ether8 internal-path-cost=10 path-cost=10
add bridge=br-lan interface=ether9-livebox internal-path-cost=10 path-cost=10
add bridge=br-lan interface=ether10 internal-path-cost=10 path-cost=10
add bridge=br-wan interface=vlan832-internet internal-path-cost=10 path-cost=10

Auriez-vous des idées ? Ou une configuration Mikrotik qui fonctionne dans ce cas ?

Lucy-Han · « **Réponse #1 le:** 10 septembre 2025 à 13:05:29 »

Bonjour hleb,

Je n'ai pas regardé ce point depuis longtemps mais le téléphone fonctionne... Voici les différences constatées avec tes paramètres :
- Je n'envoie pas l'option 15
- L'option 90 est envoyée en hexa : 0x0000000000000000000000646863706c697665626f786672323530
- Option 119 : ok
- Mon option 125 : 0x000005580c010a0000000000ffffffffff

De plus le port accueillant la Livebox n'est pas dans le bridge LAN.

hleb · « **Réponse #2 le:** 10 septembre 2025 à 13:48:33 »

Merci Lucy-Han,

J'ai corrigé l'option 90, effectivement avec le padding, ça ne pouvait pas fonctionner.
Pour l'option 125, dans ma capture du paquet que je reçois d'Orange, j'ai ça :

Code: [Sélectionner]

Option: (125) V-I Vendor-specific Information
    Length: 17
    Enterprise: Orange (1368)
        Length: 12
        Option 125 Suboption: 1
            Length: 10
            Data: 00010000000000000000

Je ne vois pas d'où proviennent les F ? 7d11000005580c010a00010000000000000000

Aurais-tu un peu plus de détail sur les bridges et les VLAN pour ce port en particulier ? Et entre quels objets tu positionnes le forward ?

Si, je suis ces instructions : https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/msg406223/#msg406223 je bloque sur l'ajout de la règle suivante car mon vlan832-internet est dans le bridge br-wan et RouterOS remonte une erreur.

Code: [Sélectionner]

add action=accept chain=forward comment="Forward Livebox to WAN" \
    in-interface=vlan832-livebox out-interface=vlan832-internet

Merci

Lucy-Han · « **Réponse #3 le:** 10 septembre 2025 à 15:08:58 »

hleb,

Comme déjà écrit cette configuration commence à dater (09/21) et je ne sais plus d'où provient cette option 125 se terminant en fff... La Livebox est connectée via son port 4 à un port du Mikrotik, ce port n'appartient à aucun bridge, sur ce port tourne le VLAN 832 avec l'adresse 192.168.10.1/24. Sur ce VLAN 832 tourne un serveur DHCP envoyant à la Livebox les options 90, 119 et 125 et gérant le sous-réseau 192.168.10.0/24. Sur le Mikrotik : une règle accept forward avec comme source 192.168.10.0/24.

hleb · « **Réponse #4 le:** 11 septembre 2025 à 09:57:05 »

Merci pour les informations supplémentaires Lucy-Han, ça m'a permis de trouver le problème.

J'ai fait un reset de la Livebox, fait ses mises à jour et je suis reparti d'une page blanche sur cette partie de la configuration du routeur.
Et ça fonctionne !

Note pour le futur :
- l'option 125 doit contenir les f à la fin
- le port dédié à la Livebox ne doit pas être bridgé

Voici ma conf

Code: [Sélectionner]

### 2025-09-11
###
### Configuration pour donner accès à Internet à une Livebox depuis
### un routeur Mikrotik
###
### Attention
###    - le port dédié à la Livebox ne doit pas être bridgé (ni au LAN, ni au WAN)
###    - la règle de forward s'applique au niveau du firewall, pas des bridges
###    - vérifier que la règle s'applique bien, incompatibilité entre interfaces 
###      master/slave. Mon VLAN vlan832-internet est dans le bridge br-wan, 
###      c'est le bridge qui doit être la destination

Code: [Sélectionner]

# Renommage du port dédié à la Livebox
/interface ethernet set [ find default-name=ether9 ] name=ether9-livebox

# Ajout du VLAN832 (le seul nécessaire pour l'accès à internet et au tél)
/interface vlan add comment=livebox interface=ether9-livebox loop-protect-disable-time=5s \
    name=vlan832-livebox vlan-id=832

# Définition d'une adresse pour le port et d'un pool (doit matcher la conf du serveur DHCP plus loin)
/ip address
    add address=192.168.100.254/24 comment="LAN Livebox" interface=\
    vlan832-livebox network=192.168.100.0
/ip pool
    add name=pool-livebox ranges=192.168.100.1-192.168.100.10

Code: [Sélectionner]

# Options à renvoyer à la Livebox pour qu'elle accepte de s'authentifier
# ce sont les 3 seules options nécessaires. Les options 90 et 125 sont 
# les mêmes pour tous. Seul l'option 119 est à adapter localement.
# 
#    90  => contient la chaîne "dhcpliveboxfr250", les 0 préfixés sont obligatoires, donc notation en hex
#    119 => information du serveur SIP local, pour Caen => CAE
#    125 => retrouvé dans un exemple de trame DHCP, les "ffffffffff" à la fin sont obligatoires
/ip dhcp-server option
    add code=90  name=authsend value=0x0000000000000000000000646863706c697665626f786672323530
    add code=119 name=domain-search value="'CAE.access.orange-multimedia.net'"
    add code=125 name=auth value=0x000005580c010a0000000000ffffffffff

# Option set regroupant les options précédentes à affecger au serveur DHCP
/ip dhcp-server option sets
    add name=livebox-only options=authsend,auth,domain-search

Code: [Sélectionner]

# Définition du serveur DHCP qui écoute sur le VLAN défini    
/ip dhcp-server
    add address-pool=pool-livebox interface=vlan832-livebox lease-time=1w1d name=\
    Livebox

# Autoriser le transfert du traffic du VLAN vers le WAN
/ip firewall filter
    add action=accept chain=forward comment="Forward Livebox to WAN" \
    in-interface=vlan832-livebox out-interface=br-wan