La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: Jimbo-77 le 27 mai 2023 à 19:46:19
-
Hello !
Comme expliqué dans un autre post, je suis en train de mette en place une configuration avec trois équipements Mikrotik.
Lorsque j'utilise le RB5009 seul ou via le CRS305 sans trunk, ça fonctionne. Par contre dès que j'essaye de mettre ma conf cible (ci-dessous), impossible d'avoir un truc fonctionnel.
(https://i.ibb.co/XygTR8p/Home-network-2.png) (https://ibb.co/bHZn9JL)
J'ai suivi les posts, instruction, lu la doc Mikrotik concernant les vlan et la partie trunk, mais impossible de m'en sortir.
Voilà où j'en suis, la partie LAN fonctionne. En étant connecté via le routeur, j'arrive à accéder à tout mon LAN. Par contre, la partie internet ne fonctionne pas.
En l'état la requête dhcp pour obtenir une IP publique ne fonctionne pas. Ca n'arrive pas jusqu'au CRS305 (d'après capture faite via l'interface web).
Par contre, je vois les paquets côté routeur, mais sans le vlan id à 832. Je pense donc que faute de vlan, les paquets ne passent pas le trunk.
J'ai essayé différentes choses côté interface vlan, bridge port... Mais toujours le même comportement. :(
Ci-joint les conf des deux équipements :
Configuration du switch - CR305
# jan/02/1970 04:10:50 by RouterOS 7.9
# software id = S7JD-AWF5
#
# model = CRS305-1G-4S+
# serial number = HEC08VZ852G
/interface bridge
add admin-mac=48:A9:8A:B1:86:B3 auto-mac=no comment=defconf name=bridge pvid=\
20 vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface vlan
add interface=bridge name=vlan20-int vlan-id=20
/interface list
add name=WAN
add name=LAN
add name=MGMT
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf disabled=yes frame-types=\
admit-only-untagged-and-priority-tagged interface=ether1
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
interface=sfp-sfpplus1 pvid=832
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=sfp-sfpplus4 pvid=20
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus2 vlan-ids=832
add bridge=bridge tagged=sfp-sfpplus2 vlan-ids=20
add bridge=bridge untagged=sfp-sfpplus4 vlan-ids=1
/interface list member
add interface=sfp-sfpplus1 list=LAN
add interface=sfp-sfpplus2 list=LAN
add interface=sfp-sfpplus3 list=LAN
add interface=sfp-sfpplus4 list=LAN
add interface=ether1 list=MGMT
/ip address
add address=192.168.1.5/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=192.168.88.5/24 interface=ether1 network=192.168.88.0
/ip dns
set servers=192.168.1.1
/ip traffic-flow
set interfaces=ether1
/system identity
set name=JimCore
/system note
set show-at-login=no
/system routerboard settings
set boot-os=router-os
/tool sniffer
set filter-interface=sfp-sfpplus2
Configuration du routeur - RB5009
# jan/02/1970 03:13:32 by RouterOS 7.9.1
# software id = 9RLD-WK5C
#
# model = RB5009UG+S+
# serial number = HE708XF9NJC
/interface bridge
add admin-mac=48:A9:8A:75:E6:99 auto-mac=no comment=defconf name=bridge pvid=\
20 vlan-filtering=yes
/interface vlan
add disabled=yes interface=bridge name=vlan20-lan vlan-id=20
add interface=bridge name=vlan832-internet vlan-id=832
/interface bonding
add mode=802.3ad name=bonding1 slaves=ether3,ether4
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e746572\
6e65742e736f66746174686f6d652e4c697665626f7833"
add code=90 name=authsend value="0x0*************************************************"
/ip pool
add name=pool_lan ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add address-pool=pool_lan interface=bridge lease-time=1w name=LAN
/ipv6 dhcp-client option
add code=16 name=class-identifier value=0x0000040e0005736167656d
add code=15 name=userclass value="0x002b46535644534c5f6c697665626f782e496e7465\
726e65742e736f66746174686f6d652e6c697665626f78340a"
add code=11 name=authsend value="0x**************************************************"
/ipv6 dhcp-server
add address-pool=pool_FT_6 interface=bridge name=DHCPv6 route-distance=5
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (vlan832-internet) is not slave
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes \
log-prefix="Set CoS6 on DHCP request IPv4" mac-protocol=ip new-priority=6 \
out-interface=vlan832-internet passthrough=yes src-port=68
# in/out-bridge-port matcher not possible when interface (vlan832-internet) is not slave
add action=set-priority chain=output dst-port=547 ip-protocol=udp log=yes \
log-prefix="Set CoS6 on DHCP request IPv6" mac-protocol=ipv6 \
new-priority=6 out-interface=vlan832-internet passthrough=yes
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether2 pvid=20
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether5 pvid=20
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether6 pvid=20
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether7 pvid=20
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=ether1 pvid=20
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=bonding1 pvid=20
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=832
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=20
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=LAN
add interface=ether8 list=LAN
add interface=vlan832-internet list=WAN
add interface=ether2 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=vlan20-lan list=LAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether8 network=\
192.168.88.0
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \
disabled=yes interface=vlan832-internet
/ip dhcp-server lease
add address=192.168.1.12 mac-address=00:05:CD:14:76:70
add address=192.168.1.25 mac-address=00:60:2F:9A:38:C3
add address=192.168.1.23 mac-address=00:1D:63:2E:11:D6
add address=192.168.1.18 mac-address=58:D3:49:15:38:57
add address=192.168.1.28 mac-address=58:D3:49:19:C1:14
add address=192.168.1.34 mac-address=58:D3:49:CB:49:FF
add address=192.168.1.32 client-id=1:64:95:6c:7d:a9:f2 mac-address=\
64:95:6C:7D:A9:F2 server=LAN
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 domain=home gateway=\
192.168.1.1 netmask=24
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes servers=80.10.246.7,81.253.149.14
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
add address=192.168.1.1 name=router.lan
add address=192.168.1.1 name=router.home
add address=192.168.1.6 name=Jimnas2.home
add address=192.168.1.160 name=jimroon.home
add address=192.168.1.3 name=JimSwitch.home
add address=192.168.1.1 name=jimrouter.home
add address=192.168.1.5 name=jimswitch2.home
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=JimRouter
/system logging
add prefix=-DHCP- topics=dhcp
add prefix="FW -" topics=firewall
add topics=bridge
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=ntp.midway.ovh
add address=chronos.univ-brest.fr
add address=chronos.espci.fr
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set filter-interface=vlan20-lan
Merci d'avance pour votre aide.
Jim
-
Il y a quelques trucs évidents qui ne vont pas:
- Tu mets ton DHCPv4/v6 sur l'interface bridge, donc effectivement ca sort sans VLAN. Il faut mettre DHCP (v4 et v6) sur l'interface vlan832-internet
- Dans la config du CRS, le VLAN 832 est targué sur une seule interface, donc tout ce qui arrive sur cette interface pour ce VLAN ne peut aller... nulle part. Donc clairement déjà il faut que VLAN832 soit targué sur l'interface connectée à l'ONT et sur l'interface connectée au port WAN du RB.
Ces 2 actions devraient déjà permettre d'avoir internet sur le LAN (Pour peu que les options DHCP et la CoS soient faits correctement, je n'ai pas vérifié. Pour la suite, on verra plus tard.
-
Il y a quelques trucs évidents qui ne vont pas:
- Tu mets ton DHCPv4/v6 sur l'interface bridge, donc effectivement ca sort sans VLAN. Il faut mettre DHCP (v4 et v6) sur l'interface vlan832-internet
- Dans la config du CRS, le VLAN 832 est targué sur une seule interface, donc tout ce qui arrive sur cette interface pour ce VLAN ne peut aller... nulle part. Donc clairement déjà il faut que VLAN832 soit targué sur l'interface connectée à l'ONT et sur l'interface connectée au port WAN du RB.
Ces 2 actions devraient déjà permettre d'avoir internet sur le LAN (Pour peu que les options DHCP et la CoS soient faits correctement, je n'ai pas vérifié. Pour la suite, on verra plus tard.
Pour la partie dhcp à la base il était sur l’interface vlan832. La conf que j’ai postée est celle de ma dernière tentative. Pour le principe je te testerai demain.
Pour le deuxième point c’est noté. Je regarde ça.
Merci pour ces premiers retours. :)
-
Je viens juste de vérifier la partie dhcp client et j'ai bien paramètre l'interface 832 :
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \
disabled=yes interface=vlan832-internet
Où as-tu vu que le bridge était configuré pour le dhcp ?
-
Effectivement. J’ai du confondre avec la config serveur dhcp.
-
J'ai suivi les posts, instruction, lu la doc Mikrotik concernant les vlan et la partie trunk, mais impossible de m'en sortir.
D'après ce que je connais sur la config des VLAN sur les Mikrotik, on attache le VLAN à l'interface Ethernet et l'interface Ethernet au bridge... Dans ta configuration, tu attaches le VLAN au bridge (de mémoire, cela désactive le HW offloading).
Non conforme
/interface vlan
add interface=[b]bridge [/b]name=vlan832-internet vlan-id=832
/interface bridge
add admin-mac=48:A9:8A:75:E6:99 auto-mac=no comment=defconf name=bridge pvid=\
20 vlan-filtering=yes
/interface bridge port
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=832
Conforme
/interface vlan
add interface=[b]sfp-sfpplus1[/b] name=vlan832-internet vlan-id=832
/interface bridge
add admin-mac=48:A9:8A:75:E6:99 auto-mac=no comment=defconf name=bridge pvid=\
20 vlan-filtering=yes
/interface bridge port
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=832
2) J'ajouterai l'interface bridge au bridge du CRS305 et je tagguerai le VLAN 832.
3) Il y a aussi ceci un problème sur le CRS305, tu mets pvid = 832, ce qui signifie que tout ce qui les paquets en egress sur ce port seront détaggués.
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
interface=sfp-sfpplus1 [b]pvid=832[/b]
Il faudrait refaire le schéma avec le nom de chaque port .
-
Merci d'avoir pris le temps de jeter un oeil.
C'est pas encore ça mais voici les dernières actions/statut.
D'après ce que je connais sur la config des VLAN sur les Mikrotik, on attache le VLAN à l'interface Ethernet et l'interface Ethernet au bridge... Dans ta configuration, tu attaches le VLAN au bridge (de mémoire, cela désactive le HW offloading).
Conforme
/interface vlan
add interface=[b]sfp-sfpplus1[/b] name=vlan832-internet vlan-id=832
/interface bridge
add admin-mac=48:A9:8A:75:E6:99 auto-mac=no comment=defconf name=bridge pvid=\
20 vlan-filtering=yes
/interface bridge port
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=832
Modification effectuée.
/interface vlan
add disabled=yes interface=bridge name=vlan20-lan vlan-id=20
add interface=sfp-sfpplus1 name=vlan832-internet vlan-id=832
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether2 pvid=20
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether5 pvid=20
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether6 pvid=20
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether7 pvid=20
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=ether1 pvid=20
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=bonding1 pvid=20
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=832
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=20
2) J'ajouterai l'interface bridge au bridge du CRS305 et je tagguerai le VLAN 832.
Fait aussi.
/interface bridge port
add bridge=bridge comment=defconf disabled=yes frame-types=\
admit-only-untagged-and-priority-tagged interface=ether1
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
interface=sfp-sfpplus1 pvid=832
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=sfp-sfpplus4 pvid=20
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus2,sfp-sfpplus1,bridge vlan-ids=832
add bridge=bridge tagged=sfp-sfpplus2 vlan-ids=20
add bridge=bridge untagged=sfp-sfpplus4 vlan-ids=1
3) Il y a aussi ceci un problème sur le CRS305, tu mets pvid = 832, ce qui signifie que tout ce qui les paquets en egress sur ce port seront détaggués.
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
interface=sfp-sfpplus1 [b]pvid=832[/b]
Là, j'avoue que je ne te suis pas. Je suis preneur d'un complément d'explication.
Pourquoi les paquets seraient détaggués ?
Il faudrait refaire le schéma avec le nom de chaque port .
Je vais essayer de faire ça cet après-midi.
Schéma du post initial mis à jour.
Sinon les requêtes dhcp ont l'air de bien être tagguées et envoyés via l'interface sfp1
(https://i.ibb.co/tzxWXHj/Capture-d-cran-2023-05-28-10-57-26.png) (https://ibb.co/XD3v8W0)
Par contre, suite aux dernière modifications, j'ai perdu la main sur le CRS305 via le routeur.
Je remets les dernière configurations :
Routeur (RB5009):
# may/28/2023 11:52:23 by RouterOS 7.9.1
# software id = 9RLD-WK5C
#
# model = RB5009UG+S+
# serial number = HE708XF9NJC
/interface bridge
add admin-mac=48:A9:8A:75:E6:99 auto-mac=no comment=defconf name=bridge pvid=\
20 vlan-filtering=yes
/interface vlan
add disabled=yes interface=bridge name=vlan20-lan vlan-id=20
add interface=sfp-sfpplus1 name=vlan832-internet vlan-id=832
/interface bonding
add mode=802.3ad name=bonding1 slaves=ether3,ether4
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e746572\
6e65742e736f66746174686f6d652e4c697665626f7833"
add code=90 name=authsend value="***********************************************"
/ip pool
add name=pool_lan ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add address-pool=pool_lan interface=bridge lease-time=1w name=LAN
/ipv6 dhcp-client option
add code=16 name=class-identifier value=0x0000040e0005736167656d
add code=15 name=userclass value="0x002b46535644534c5f6c697665626f782e496e7465\
726e65742e736f66746174686f6d652e6c697665626f78340a"
add code=11 name=authsend value="0x0*******************************"
/ipv6 dhcp-server
add address-pool=pool_FT_6 interface=bridge name=DHCPv6 route-distance=5
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (vlan832-internet) is not slave
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes \
log-prefix="Set CoS6 on DHCP request IPv4" mac-protocol=ip new-priority=6 \
out-interface=vlan832-internet passthrough=yes src-port=68
# in/out-bridge-port matcher not possible when interface (vlan832-internet) is not slave
add action=set-priority chain=output dst-port=547 ip-protocol=udp log=yes \
log-prefix="Set CoS6 on DHCP request IPv6" mac-protocol=ipv6 \
new-priority=6 out-interface=vlan832-internet passthrough=yes
/interface bridge port
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether2 pvid=20
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether5 pvid=20
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether6 pvid=20
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=ether7 pvid=20
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=ether1 pvid=20
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=bonding1 pvid=20
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=832
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=20
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=LAN
add interface=ether8 list=LAN
add interface=vlan832-internet list=WAN
add interface=ether2 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=vlan20-lan list=LAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether8 network=\
192.168.88.0
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \
interface=vlan832-internet
/ip dhcp-server lease
add address=192.168.1.12 mac-address=00:05:CD:14:76:70
add address=192.168.1.25 mac-address=00:60:2F:9A:38:C3
add address=192.168.1.23 mac-address=00:1D:63:2E:11:D6
add address=192.168.1.18 mac-address=58:D3:49:15:38:57
add address=192.168.1.28 mac-address=58:D3:49:19:C1:14
add address=192.168.1.34 mac-address=58:D3:49:CB:49:FF
add address=192.168.1.32 client-id=1:64:95:6c:7d:a9:f2 mac-address=\
64:95:6C:7D:A9:F2 server=LAN
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 domain=home gateway=\
192.168.1.1 netmask=24
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes servers=80.10.246.7,81.253.149.14
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
add address=192.168.1.1 name=router.lan
add address=192.168.1.1 name=router.home
add address=192.168.1.6 name=Jimnas2.home
add address=192.168.1.160 name=jimroon.home
add address=192.168.1.3 name=JimSwitch.home
add address=192.168.1.1 name=jimrouter.home
add address=192.168.1.5 name=jimswitch2.home
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ipv6 dhcp-client
add add-default-route=yes dhcp-options=authsend,userclass,class-identifier \
dhcp-options=authsend,userclass,class-identifier disabled=yes interface=\
vlan832-internet pool-name=pool_FT_6 request=prefix
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=input comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
add action=accept chain=forward comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\
icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\
500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\
ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\
ipsec-esp
add action=accept chain=forward comment=\
"defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment=\
"defconf: drop everything else not coming from LAN" in-interface-list=\
!LAN
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=JimRouter
/system logging
add prefix=-DHCP- topics=dhcp
add prefix="FW -" topics=firewall
add topics=bridge
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=ntp.midway.ovh
add address=chronos.univ-brest.fr
add address=chronos.espci.fr
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool sniffer
set filter-interface=vlan832-internet
Switch (CRS305):
# jan/02/1970 19:28:21 by RouterOS 7.9
# software id = S7JD-AWF5
#
# model = CRS305-1G-4S+
# serial number = HEC08VZ852G
/interface bridge
add admin-mac=48:A9:8A:B1:86:B3 auto-mac=no comment=defconf name=bridge pvid=\
20 vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface vlan
add interface=bridge name=vlan20-int vlan-id=20
/interface list
add name=WAN
add name=LAN
add name=MGMT
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf disabled=yes frame-types=\
admit-only-untagged-and-priority-tagged interface=ether1
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
interface=sfp-sfpplus1 pvid=832
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf frame-types=\
admit-only-untagged-and-priority-tagged interface=sfp-sfpplus4 pvid=20
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus2,sfp-sfpplus1,bridge vlan-ids=832
add bridge=bridge tagged=sfp-sfpplus2 vlan-ids=20
add bridge=bridge untagged=sfp-sfpplus4 vlan-ids=1
/interface list member
add interface=sfp-sfpplus1 list=LAN
add interface=sfp-sfpplus2 list=LAN
add interface=sfp-sfpplus3 list=LAN
add interface=sfp-sfpplus4 list=LAN
add interface=ether1 list=MGMT
/ip address
add address=192.168.1.5/24 comment=defconf interface=bridge network=\
192.168.1.0
add address=192.168.88.5/24 interface=ether1 network=192.168.88.0
/ip dns
set servers=192.168.1.1
/ip traffic-flow
set interfaces=ether1
/system identity
set name=JimCore
/system note
set show-at-login=no
/system routerboard settings
set boot-os=router-os
/tool sniffer
set filter-interface=sfp-sfpplus2
-
Là, j'avoue que je ne te suis pas. Je suis preneur d'un complément d'explication.
Pourquoi les paquets seraient détaggués ?
Je ne parle pas bien français quelques fois...
Je vais essayer de l'expliquer simplement (en espérant pas trop me planter). Si tu mets pvid=832 sur une interface (disons sfp1) et que tu branches un PC derrière :
1) Tous les paquets envoyés par le PC arrive sur le switch sans tag.
2) Le port va ajouter un tag 832 à les paquets reçus sur cette interface. Les paquets transiterons sur le VLAN 832.
3) Lorsque le switch transmet un paquet vers le PC, il va filtrer les paquets du VLAN 832 et supprimer le tag dès avant qu'il sorte de l'interface sfp1.
J'espère que c'est plus clair.
-
Je ne parle pas bien français quelques fois...
Je vais essayer de l'expliquer simplement (en espérant pas trop me planter). Si tu mets pvid=832 sur une interface (disons sfp1) et que tu branches un PC derrière :
1) Tous les paquets envoyés par le PC arrive sur le switch sans tag.
2) Le port va ajouter un tag 832 à les paquets reçus sur cette interface. Les paquets transiterons sur le VLAN 832.
3) Lorsque le switch transmet un paquet vers le PC, il va filtrer les paquets du VLAN 832 et supprimer le tag dès avant qu'il sorte de l'interface sfp1.
J'espère que c'est plus clair.
Le comportement que tu décris, ce n’est pas quand on est en admit-only-untagged-and-priority-tagged ?
J’ai cru comprendre que lorsqu’on est en tagged-only les paquets restent taggués.
-
Le comportement que tu décris, ce n’est pas quand on est en admit-only-untagged-and-priority-tagged ?
J’ai cru comprendre que lorsqu’on est en tagged-only les paquets restent taggués.
Le frame-type filtre les paquets entrants dans le switch (ingress). Si tu configures un port avec un frame type à :
admit-all : Le port accepte tous les types de trames entrants (avec et sans VLAN)
admit-only-untagged-and-priority-tagged : le port accepte uniquement les trames sans VLAN (ou si c'est le VLAN 0 je crois)
admit-only-vlan-tagged : le port accepte uniquement les trames avec VLAN
Le PVID permet de définir à quel VLAN un port appartient. Si un port X appartient à un PVID Y, le port X devient membre de ce VLAN Y. Donc les paquets avec un VLAN Y seront de facto autorisés à sortir par ce port. Ensuite, les paquets entrants par le port X seront modifiés en accord avec ce PVID. Il y a peut-être une particularité si le paquet entrant est déjà taggué avec un VLAN Z, je pense qu'il pourrait être autorisé à entrer sans être modifier. Mais en pratique, cela ne devrait pas arriver dans une configuration "type" comme ce que tu veux faire. L'objectif est que seul les paquets avec un VLAN 832 passe par ce port, non ?
-
Le frame-type filtre les paquets entrants dans le switch (ingress). Si tu configures un port avec un frame type à :
admit-all : Le port accepte tous les types de trames entrants (avec et sans VLAN)
admit-only-untagged-and-priority-tagged : le port accepte uniquement les trames sans VLAN (ou si c'est le VLAN 0 je crois)
admit-only-vlan-tagged : le port accepte uniquement les trames avec VLAN
Le PVID permet de définir à quel VLAN un port appartient. Si un port X appartient à un PVID Y, le port X devient membre de ce VLAN Y. Donc les paquets avec un VLAN Y seront de facto autorisés à sortir par ce port. Ensuite, les paquets entrants par le port X seront modifiés en accord avec ce PVID. Il y a peut-être une particularité si le paquet entrant est déjà taggué avec un VLAN Z, je pense qu'il pourrait être autorisé à entrer sans être modifier. Mais en pratique, cela ne devrait pas arriver dans une configuration "type" comme ce que tu veux faire. L'objectif est que seul les paquets avec un VLAN 832 passe par ce port, non ?
Je comprends bien ton explication mais je comprends toujours pas pourquoi ils seront détaggués 😆.
Plus j’essaye de comprendre et je suis perdu 😁.
Pour répondre à ta question, le port sfp1 du CRS305 ne verra que les paquets en 832. Même s’il pourrait y en avoir avec d’autres vlan puisqu’il y a des vlan pour le téléphone et la tv.
Mais perso, il n’y a qu’interner qui m’intéresse.
-
Bonjour,
Voici une piste de configuration. J'ai considéré que la configuration était vierge.
En partant de la configuration par défaut, il faudra simplement modifier/supprimer certaines choses.
Par ailleurs, en l'absence de précisions dans le premier post, je considère les postulats suivants :
- Le LAN est sur le VLAN 20 et le réseau est 192.168.20.0/24
- Le Management se fait sur le VLAN 99 et le réseau est 192.168.99.0/24
L'adresse IP du switch sera 192.168.99.253.
L'adresse IP du routeur sera : 192.168.99.254
Je n'ai pas forcément respecté le nom de tes interfaces ni ton plan d'adressage.
La configuration présentée ci-dessous constitue surtout un début de solution.
J'espère ne pas avoir fait trop d'erreur de copié-collé (oui, je suis flemmard).
Configuration du CRS305
Je considère que la configuration est vierge, comme si la commande suivante avait été lancée.
/system/reset-configuration no-defaults=yes
On commence par créer le bridge sur lequel on ajoute tous les ports SFP. Dans un premier temps, le bridge vlan filtering n'est PAS activé.
Le port ethernet qui sert à l'administration reste en dehors afin de conserver l'accès en cas de problème.
/interface bridge
add name=bridge disabled=no auto-mac=yes protocol-mode=rstp;
:local bMACIsSet 0;
:foreach k in=[/interface find where !(slave=yes || passthrough=yes || name~"bridge")] do={
:local tmpPortName [/interface get $k name];
:if ($bMACIsSet = 0) do={
:if ([/interface get $k type] = "ether") do={
/interface bridge set "bridge" auto-mac=no admin-mac=[/interface get $tmpPortName mac-address];
:set bMACIsSet 1;
}
}
:if (([/interface get $k type] != "ppp-out") && ([/interface get $k type] != "lte")) do={
/interface bridge port
add bridge=bridge interface=$tmpPortName comment=defconf;
}
}
Ensuite, on crée une interface MGMT sur le VLAN 99 qui servira à administrer le switch.
Ainsi, on aura toujours accès au switch lorsque le bridge vlan filtering sera activé.
/interface vlan add interface=bridge name=MGMT vlan-id=99
On attribue une IP à l'interface précedemment créée ainsi qu'au port ether1.
/ip address add address=192.168.99.253/24 interface=MGMT network=192.168.99.0
/ip address add address=192.168.88.5/24 interface=ether1 network=192.168.88.0
Ensuite, on configure les VLANs.
- Sur le port SFP1, on accepte uniquement les paquets tagués avec le VLAN 832 ;
- Sur le port SFP2, on accepte les paquets tagués avec le VLAN 20, le VLAN 99 ou le VLAN 832 ;
- Avoir le VLAN 99 sur ce port permet l'administration depuis le LAN.
- Sur le port SFP4, on accepte uniquement les paquets tagués avec le VLAN 20 (éventuellement 99 si cette patte du LAN doit pouvoir administrer le switch).
Le fait de taguer le bridge permet au CPU (et donc à l'interface correspondante) d'avoir accès aux paquets.
Sur les ports tagués, le PVID reste à 1. Ce VLAN n'existant pas, les paquets seront rejetés.
/interface bridge vlan add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=832
/interface bridge vlan add bridge=bridge tagged=sfp-sfpplus2,sfp-sfpplus4 vlan-ids=20
/interface bridge vlan add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=99
/interface bridge port add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
/interface bridge port add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus2
/interface bridge port add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus4
On configure les switch rules pour mettre la CoS à 6.
Le port correspond au port sur lequel arrivent les paquets. Ici, les paquets arrivent du routeur, donc sur sfp-sfpplus2.
/interface ethernet switch rule add comment="Orange - Set CoS6 on ARP request" mac-protocol=arp new-vlan-priority=6 ports=sfp-sfpplus2 switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="Orange - Set CoS6 on DHCPv4 request" dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="Orange - Set CoS6 on DHCPv6 request" dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="Orange - Set CoS6 on ICMPv4 request" mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=icmp switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="Orange - Set CoS6 on ICMPv6 request" mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus2 protocol=icmp switch=switch1 vlan-id=832
Cette configuration se limite à configurer une interface de management, le bridge et les VLAN associés.
Le switch n'a pas internet, n'est pas sécurisé, etc etc. C'est à faire.
Configuration du RB5009
Je considère que la configuration est vierge, comme si la commande suivante avait été lancée.
/system/reset-configuration no-defaults=yes
On commence par créer le bridge sur lequel on ajoute tous les ports ethernet et le sfp1. Dans un premier temps, le bridge vlan filtering n'est PAS activé.
Attention, tous les ports ethernet sont dans le bridge. Je n'ai prévu aucun port ethernet pour l'administration en cas de problème.
/interface bridge
add name=bridge disabled=no auto-mac=yes protocol-mode=rstp;
:local bMACIsSet 0;
:foreach k in=[/interface find where !(slave=yes || passthrough=yes || name~"bridge")] do={
:local tmpPortName [/interface get $k name];
:if ($bMACIsSet = 0) do={
:if ([/interface get $k type] = "ether") do={
/interface bridge set "bridge" auto-mac=no admin-mac=[/interface get $tmpPortName mac-address];
:set bMACIsSet 1;
}
}
:if (([/interface get $k type] != "ppp-out") && ([/interface get $k type] != "lte")) do={
/interface bridge port
add bridge=bridge interface=$tmpPortName comment=defconf;
}
}
Ensuite, on crée les interfaces correspondantes aux VLANs, y compris une interface pour le management.
Ainsi, on aura toujours accès au routeur lorsque le bridge vlan filtering sera activé.
/interface vlan add interface=bridge name=vlan20-lan vlan-id=20
/interface vlan add interface=bridge name=MGMT vlan-id=99
/interface vlan add interface=bridge name=wan-oge-net vlan-id=832
On attribue une IP aux interfaces VLAN créées (sauf wan-oge-net qui obtiendra l'IP publique Orange via DHCP).
/ip address add address=192.168.99.254/24 interface=MGMT network=192.168.99.0
/ip address add address=192.168.20.254/24 interface=vlan20-lan network=192.168.20.0
Ensuite, on configure les VLANs.
- Sur le port SFP1, on accepte les paquets tagués avec le VLAN 20, le VLAN 99 ou le VLAN 832 ;
- Sur les ports ether1-8, les paquets seront tagués en entrée, détagués en sortie.
- Il n'est pas nécessaire d'ajouter ces ports en untagged. Ils le seront automatiquement lorsque le PVID des ports sera configuré.
Le fait de taguer le bridge permet au CPU (et donc à l'interface correspondante) d'avoir accès aux paquets.
Sur les ports tagués, le PVID reste à 1. Ce VLAN n'existant pas, les paquets seront rejetés.
/interface bridge vlan add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
/interface bridge vlan add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=99
/interface bridge vlan add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=832
/interface bridge port add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
/interface bridge port add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged interface=ether1-8 pvid=20
Ensuite, on configure un serveur DHCP sur le LAN
/ip pool add name="dhcp-lan" ranges=192.168.20.100-192.168.20.200;
/ip dhcp-server add name=defconf address-pool="dhcp-lan" interface=vlan20-lan lease-time=30m disabled=no;
/ip dhcp-server network add address=192.168.20.0/24 gateway=192.168.20.254 dns-server=192.168.20.254;
Le client DHCP :
/ip dhcp-client option add code=60 name=vendor-class-identifier value=0x736167656d
/ip dhcp-client option add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
/ip dhcp-client option add code=90 name=authsend value="0x0*************************************************"
/ip dhcp-client add add-default-route=yes dhcp-options="clientid,oge - 60,oge - 77,oge - 90" interface=wan-oge-net
Cette configuration se limite à configurer le bridge et les VLAN associés ainsi que les interfaces pour les VLANs et le DHCP.
Il n'y a pas de pare-feu (ie. par ex. le VLAN 99 est accessible sans restriction depuis le VLAN 20 et vice-versa) et pas de sécurisation particulière. C'est à faire.
Finalisation
Une fois tout ceci fait, on peu activer le bridge vlan filtering sur le switch et le routeur.
Il sera toujours possible d'accéder au switch et au routeur via leur IP respective.
/interface/bridge/set "bridge" vlan-filtering=yes
-
Merci pour avoir pris le temps de faire un post aussi détaillé.
La j’ai eu ma dose pour la journée. Je retenté demain avec ces nouvelles informations.
-
D'après ce que je connais sur la config des VLAN sur les Mikrotik, on attache le VLAN à l'interface Ethernet et l'interface Ethernet au bridge... Dans ta configuration, tu attaches le VLAN au bridge (de mémoire, cela désactive le HW offloading).
Ça dépend de la configuration. Si le port ethernet est dans le bridge, alors l'interface VLAN est attachée au bridge (avec vlan filtering activé).
Je ne sais pas si ça désactive le hardware offloading (je ne suis pas sûr) mais manifestement, si l'interface est dans le bridge avec un vlan attaché à l'interface, il se passe des choses bizarres : https://help.mikrotik.com/docs/display/ROS/Layer2+misconfiguration#Layer2misconfiguration-VLANinterfaceonaslaveinterface
-
Bonsoir,
Alors ça tombe bien, j'ai exactement la même config (CRS305 + RB5009 + CSS610) et ça tourne depuis plusieurs mois sans soucis. Mais je n'avais pas jusque-là filtré les VLAN : je m'y suis mis vendredi, et je pense que je ne suis pas loin du compte.
En gros, je tague le VLAN 832, j'autorise tout (admit-all) sur les bridges, et les interfaces SFP qui relient le CRS305 et le RB5009, j'autorise seulement ce qui est taggé (admit-only-vlan-tagged) sur le SFP de l'ONU et sur l'interface vlan832 du RB5009, et je n'autorise que ce qui n'est pas taggé (admit-only-untagged-and-priority-tagged) sur toutes les autres interfaces.
J'ai aussi ajouté une isolation de port sur le CRS305 au niveau du switch (mais je ne pense pas que ce soit nécessaire vu le filtrage au niveau des VLAN)
Pas d'impact relevé sur les perfs, le routeur se balade à 2Gbps en IPV6 (sans fasttrack donc).
Ma config en détail. Les commentaires sont bienvenus, car je suis loin d'être un spécialiste du réseau ;D Merci à tous ceux qui enrichissent le sujet sur ce forum !
CRS305:
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no comment="ONU FS.com" name=sfp-sfpplus1-onu speed=2.5Gbps
set [ find default-name=sfp-sfpplus2 ] comment="Vers RB5009"
set [ find default-name=sfp-sfpplus3 ] comment="Vers CSS610"
/interface ethernet switch port-isolation
set 0 forwarding-override=sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4
set 1 forwarding-override=sfp-sfpplus2
set 2 forwarding-override=ether1,sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus1-onu
set 3 forwarding-override=ether1,sfp-sfpplus2,sfp-sfpplus4
set 4 forwarding-override=ether1,sfp-sfpplus2,sfp-sfpplus3
/queue interface
set ether1 queue=ethernet-default
set sfp-sfpplus1-onu queue=ethernet-default
set sfp-sfpplus2 queue=ethernet-default
set sfp-sfpplus3 queue=ethernet-default
set sfp-sfpplus4 queue=ethernet-default
/interface bridge port
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether1
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1-onu pvid=832
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=sfp-sfpplus3
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=sfp-sfpplus4
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1-onu,sfp-sfpplus2,bridge vlan-ids=832
/interface ethernet switch rule
add comment="Orange COS dhcpv4" dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus1-onu protocol=udp switch=switch1 vlan-id=832
add comment="Orange COS dhcpv6" dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus1-onu protocol=udp switch=switch1 vlan-id=832
add comment="Orange COS6 icmpv6 DST (fe00::/7 = fe80::/10 + ff02::/16)" dst-address6=fe00::/7 mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus1-onu protocol=icmp switch=switch1 vlan-id=832
add comment="Orange COS6 arp" mac-protocol=arp new-vlan-priority=6 ports=sfp-sfpplus1-onu switch=switch1 vlan-id=832
/ip dhcp-client
add interface=bridge
RB5009 :
# J'utilise pour le bridge la MAC address de la Livebox sur le bridge auquel est associé le vlan-832, pour toujours présenter la même MAC en IPV6 ou IPV4, ou si je change de matériel.
# Je n'utilise qu'un seul bridge pour ne pas perde l'accélération matériel sur le deuxième bridge
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment="defconf / Orange MAC LB6" name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] comment=" Vers CRS305"
/interface vlan
add comment="VLAN Orange Internet" interface=bridge name=vlan-832 vlan-id=832
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7836"
add code=90 name=authsend value="0x00000000000000000000001a0900000XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
/ip pool
add name=pool_ipv4 ranges=192.168.1.20-192.168.1.199
/ip dhcp-server
add address-pool=pool_ipv4 interface=bridge lease-time=12h name=dhcp_bridge
/ipv6 dhcp-client option
add code=11 name=authentication value="0x00000000000000000000001a0900000XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
add code=15 name=user-class value="0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7836"
add code=16 name=vendor-class value=0x0000040e0005736167656d
/queue interface
set ether1 queue=ethernet-default
set ether2 queue=ethernet-default
set ether3 queue=ethernet-default
set ether4 queue=ethernet-default
set ether5 queue=ethernet-default
set ether6 queue=ethernet-default
set ether7 queue=ethernet-default
set ether8 queue=ethernet-default
set sfp-sfpplus1 queue=ethernet-default
/interface bridge port
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether1
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether2
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether3
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether4
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether5
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether6
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether7
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment="VLAN Orange Internet" frame-types=admit-only-vlan-tagged interface=vlan-832 pvid=832
/ipv6 settings
set accept-redirects=no accept-router-advertisements=no
/interface bridge vlan
add bridge=bridge tagged=vlan-832,sfp-sfpplus1,bridge vlan-ids=832
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add comment=Orange dhcp-options=vendor-class-identifier,userclass,authsend,clientid,hostname interface=vlan-832 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1 ntp-server=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=2606:4700:4700::1111,2606:4700:4700::1001,1.1.1.1,1.0.0.1 use-doh-server=https://cloudflare-dns.com/dns-query verify-doh-cert=yes
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" disabled=yes dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Orange: LAN vers WAN" ipsec-policy=out,none out-interface=vlan-832
/ipv6 address
add address=::1 comment=Orange from-pool=pool_ipv6 interface=bridge
/ipv6 dhcp-client
add add-default-route=yes comment=Orange dhcp-options=authentication,user-class,vendor-class dhcp-options=authentication,user-class,vendor-class interface=vlan-832 pool-name=pool_ipv6 rapid-commit=no request=prefix use-interface-duid=yes use-peer-dns=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation. ; Orange : sur le vlan-832 et fe80::ba0:bab/128" dst-port=546 in-interface=vlan-832 protocol=udp src-address=fe80::ba0:bab/128
add action=accept chain=input comment="defconf: accept IKE" disabled=yes dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" disabled=yes protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" disabled=yes protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" disabled=yes ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" disabled=yes protocol=139
add action=accept chain=forward comment="defconf: accept IKE" disabled=yes dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" disabled=yes protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" disabled=yes protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" disabled=yes ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 firewall mangle
add action=change-dscp chain=output comment="Orange : icmpv6 (type 133 - RS) - DSCP to 6" dst-address=ff00::/8 icmp-options=133:0-255 new-dscp=48 out-interface=vlan-832 passthrough=yes protocol=icmpv6
add action=change-dscp chain=output comment="Orange : icmpv6 (type 136 - NA) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=136:0-255 new-dscp=48 out-interface=vlan-832 passthrough=yes protocol=icmpv6
add action=change-dscp chain=output comment="Orange : icmpv6 (type 135 - NS) - DSCP to 6" dst-address=fe80::ba0:bab/128 icmp-options=135:0-255 new-dscp=48 out-interface=vlan-832 passthrough=yes protocol=icmpv6
add action=change-dscp chain=output comment="Orange : dhcpv6 - DSCP to 6" dst-port=547 new-dscp=48 out-interface=vlan-832 passthrough=yes protocol=udp src-port=546
-
Ça dépend de la configuration. Si le port ethernet est dans le bridge, alors l'interface VLAN est attachée au bridge (avec vlan filtering activé).
Je ne sais pas si ça désactive le hardware offloading (je ne suis pas sûr) mais manifestement, si l'interface est dans le bridge avec un vlan attaché à l'interface, il se passe des choses bizarres : https://help.mikrotik.com/docs/display/ROS/Layer2+misconfiguration#Layer2misconfiguration-VLANinterfaceonaslaveinterface
Alors que moi, j'ai toujours suivi ce guide quand je faisais mes configs Orange : https://help.mikrotik.com/docs/display/ROS/VLAN où les vlan sont rattachés au port ethernet...
Pour le moment je me passe du bridge, il n'est pas nécessaire si un switch gère le changement de priorité pcp des paquets DHCP IPv4.
Je comprends bien ton explication mais je comprends toujours pas pourquoi ils seront détaggués 😆.
Plus j’essaye de comprendre et je suis perdu 😁.
Un petit cours très rapide sur les VLAN (qui ne détaille pas tous les cas) : http://igm.univ-mlv.fr/~dr/XPOSE2007/vlanparlegrandquinapascomprislesconsignes/Definition.html
D'après ton schéma modifié, je crois comprendre que l'ONU se trouve dans la cage sfp1, Orange ne verra donc pas tes paquets car :
"PVID - The Port VLAN ID is used for access ports to tag all ingress traffic with a specific VLAN ID. A dynamic entry is added in the bridge VLAN table for every PVID used, the port is automatically added as an untagged port."
Pour résumer à quoi sert le PVID :
traffic sortant (egress) = supprimer le tag VLAN
traffic entrant (ingress) = ajouter le tag VLAN (=PVID)
Orange envoie sur l'ONU des trames déjà taggués 832 et 840. Le plus gros problème donc c'est que quand les paquets sortent du port sfp1, le switch retirera le tag VLAN 832, et donc Orange va ignorer ces paquets.
J'espère que c'est plus clair pour ton cas d'usage.
Question subsidiaire tu as bien prévu que les LAN du CSS610 et du RB5009 soient bien deux réseaux distincts ? Parce qu'ils ne peuvent pas communiquer sur le même segment de réseau. Cela n'empêche pas qu'ils communiquent entre eux via le routeur !
-
Alors que moi, j'ai toujours suivi ce guide quand je faisais mes configs Orange : https://help.mikrotik.com/docs/display/ROS/VLAN où les vlan sont rattachés au port ethernet...
Oui, c'est pas toujours évident de trouver la bonne doc. Les CRS3xx sont configurés un peu différemment des autres switch apparemment et du coup, il y a plusieurs Doc qui traînent.
Question subsidiaire tu as bien prévu que les LAN du CSS610 et du RB5009 soient bien deux réseaux distincts ? Parce qu'ils ne peuvent pas communiquer sur le même segment de réseau. Cela n'empêche pas qu'ils communiquent entre eux via le routeur !
Je ne suis pas sûr de comprendre cette remarque.
Il y a un trunk comprenant le VLAN 20 entre le RB5009 et le CRS305 puis entre le CRS305 et le CSS610 donc le LAN du CSS610 a bien accès au VLAN 20 et donc au réseau correspondant. Il n'y a pas besoin d'avoir un réseau différent.
-
Bonsoir,
Alors ça tombe bien, j'ai exactement la même config (CRS305 + RB5009 + CSS610) et ça tourne depuis plusieurs mois sans soucis. Mais je n'avais pas jusque-là filtré les VLAN : je m'y suis mis vendredi, et je pense que je ne suis pas loin du compte.
En gros, je tague le VLAN 832, j'autorise tout (admit-all) sur les bridges, et les interfaces SFP qui relient le CRS305 et le RB5009, j'autorise seulement ce qui est taggé (admit-only-vlan-tagged) sur le SFP de l'ONU et sur l'interface vlan832 du RB5009, et je n'autorise que ce qui n'est pas taggé (admit-only-untagged-and-priority-tagged) sur toutes les autres interfaces.
J'ai aussi ajouté une isolation de port sur le CRS305 au niveau du switch (mais je ne pense pas que ce soit nécessaire vu le filtrage au niveau des VLAN)
Pas d'impact relevé sur les perfs, le routeur se balade à 2Gbps en IPV6 (sans fasttrack donc).
Bonjour,
Quelques remarques :
Sur le CRS305 :
- Le port sfp-sfpplus1-onu ne devrait pas avoir de pvid en 832 d'autant plus que tu n'acceptes que le trafic tagué en 832.
- Inutile d'ajouter le bridge au VLAN 832. C'est nécessaire uniquement si le cpu doit avoir accès aux paquets correspondants, ce qui n'est pas le cas sur le CRS305.
Sur le RB5009 :
- C'est une erreur d'ajouter l'interface vlan-832 au bridge. Il faut simplement la créer dessus, comme tu l'as fait et ensuite créer un VLAN 832 avec le port sfp-sfpplus1 et le bridge lui-même.
- Je trouve plus propre d'avoir un VLAN bien défini pour le LAN (autre que le VLAN 1 utilisé par défaut). Ça permet de bien segmenter les choses.
-
Merci infiniment yeocti d'avoir pris le temps de regarder et corriger ma config :)
J'ai fait les corrections comme recommandé (sauf le dernier point, je suis d'accord que ce serait plus propre, mais pour l'instant ça fonctionne bien comme ça :)))
-
Je ne suis pas sûr de comprendre cette remarque.
Il y a un trunk comprenant le VLAN 20 entre le RB5009 et le CRS305 puis entre le CRS305 et le CSS610 donc le LAN du CSS610 a bien accès au VLAN 20 et donc au réseau correspondant. Il n'y a pas besoin d'avoir un réseau différent.
Je n'ai pas lu la configuration pour le VLAN20 ce qui est important c'est que le LAN soit dans le même domaine de broadcast et donc qu'il n'y ait qu'une seule interface VLAN 20 reliée par des switchs.
En théorie dans la configuration PC <-> switch < VLAN20 > routeur <VLAN20> switch <-> PC, il y a 2 domaines de broadcast, on peut définir 2 VLAN 20 mais ils ne seront pas dans le même segment de réseau dans ce cas.
EN pratique, vu que les routeurs peuvent aussi faire du switching, la configuration est toutefois possible.
-
Je ne suis pas d'accord.
Dans la configuration PC <-> switch < VLAN20 > routeur <VLAN20> switch <-> PC, je ne vois pas où il peut y avoir deux domaines de broadcast ? Il n'y en a qu'un : le VLAN 20.
-
Un petit feedback. Déjà merci pour l'aide apporté.
Mention spécial à Yeocti. Tes configurations m'ont permis de bien avancé. J'ai même récupéré une IP publique :)
Par contre, pour la partie LAN, y'a un truc qui cloche.
Branché sur une interface du routeur, je n'arrive pas à le pinguer. Le seul moyen que j'ai trouvé pour me connecter dessus, a été de me connecter au switch via l'interface ether1 du CRS305 et de faire un ssh depuis l'admin du switch sur l'IP de management. L'IP sur le vlan 20 étant injoignable depuis le switch
Autre truc, je ne peux pas pinguer le routeur depuis le deuxième switch, le CSS610. Par contre si je mets le vlan à 20 sur le port où je connecte mon laptop, ça passe.
J'ai changé l'adressage car j'ai un historique niveau équipement, mais je ne pense pas avoir fait une erreur de ce côté.
Y'a encore un truc qui m'échappe.
Donc avant de commencer à modifier des trucs au "pif", je suis preneur d'un nouveau coup de main :)
D'ailleurs je que le bridge est ajouté en taggué, normal ?
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
Voilà où j'en suis niveau conf :
Switch CR305
# jan/02/1970 01:51:16 by RouterOS 7.9
# software id = S7JD-AWF5
#
# model = CRS305-1G-4S+
# serial number = HEC08VZ852G
/interface bridge
add admin-mac=48:A9:8A:B1:86:B3 auto-mac=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no disabled=yes speed=2.5Gbps
/interface vlan
add interface=bridge name=MGMT vlan-id=99
add interface=bridge name=vlan20-lan vlan-id=20
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf interface=sfp-sfpplus4
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=832
add bridge=bridge tagged=sfp-sfpplus2,sfp-sfpplus4 vlan-ids=20
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=99
/interface ethernet switch rule
add comment="Orange - Set CoS6 on ARP request" mac-protocol=arp new-vlan-priority=6 ports=sfp-sfpplus2 switch=switch1 vlan-id=832
add comment="Orange - Set CoS6 on DHCPv4 request" dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
add comment="Orange - Set CoS6 on DHCPv6 request" dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
add comment="Orange - Set CoS6 on ICMPv4 request" mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=icmp switch=switch1 vlan-id=832
add comment="Orange - Set CoS6 on ICMPv6 request" mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus2 protocol=icmp switch=switch1 vlan-id=832
/ip address
add address=192.168.99.5/24 interface=MGMT network=192.168.99.0
add address=192.168.88.5/24 interface=ether1 network=192.168.88.0
add address=192.168.1.5/24 interface=vlan20-lan network=192.168.1.0
/system identity
set name=JimCore
/system note
set show-at-login=no
/system routerboard settings
set boot-os=router-os
Routeur RB5009
# may/29/2023 16:44:29 by RouterOS 7.9.1
# software id = 9RLD-WK5C
#
# model = RB5009UG+S+
# serial number = HE708XF9NJC
/interface bridge
add admin-mac=48:A9:8A:75:E6:98 auto-mac=no name=bridge vlan-filtering=yes
/interface vlan
add interface=bridge name=MGMT vlan-id=99
add interface=bridge name=vlan20-lan vlan-id=20
add interface=bridge name=wan-oge-net vlan-id=832
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
add code=90 name=authsend value=0x******************************************************
/ip pool
add name=pool-lan ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add address-pool=pool-lan interface=vlan20-lan name=defconf
/interface bridge port
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether1 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether6 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether7 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether8 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=99
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=832
/ip address
add address=192.168.99.1/24 interface=MGMT network=192.168.99.0
add address=192.168.1.1/24 interface=vlan20-lan network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier interface=wan-oge-net
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=JimRouter
/system note
set show-at-login=no
-
Je crois qu'il faille mettre le bridge en tagged si tu veux faire du routing inter vlan, je ne suis pas sûr que ça soit forcement nécessaire sur le switch dans ton cas.
Ma config: ONT -> CRS309 (vlan832) -> RB5009 -> CRS309 (vlan10) -> vlan20 (home), vlan30 (lab) et vlan40 (guest). Tout le routing intervlan est fait par mon CRS309. Les serveurs DHCPv4 pour le lan sont sur le RB5009, et le CRS309 fait office de relais. C'est aussi le CRS309 qui route IPv6.
Voilà les configs, si ça peut donner de l'inspiration, ou si quelqu'un voit que je fais quelque chose de pas bien :p
RB5009:
/interface bridge add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface ethernet set [ find default-name=ether1 ] rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=ether2 ] rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=ether3 ] rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=ether4 ] rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=ether5 ] rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=ether6 ] rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=ether7 ] rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=ether8 ] rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=sfp-sfpplus1 ] rx-flow-control=on tx-flow-control=on
/interface wireguard add listen-port=51820 mtu=1420 name=wireguard1
/interface vlan add interface=bridge name=vlan10 vlan-id=10
/interface vlan add interface=bridge name=vlan99 vlan-id=99
/interface vlan add interface=bridge name=vlan832 vlan-id=832
/interface list add comment=defconf name=WAN
/interface list add comment=defconf name=LAN
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option add code=60 name=vendor-class-identifier value=0x736167656d
/ip dhcp-client option add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
/ip dhcp-client option add code=90 name=authsend value=0x00000000000000000000001aXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
/ip pool add name=vlan20_pool ranges=192.168.20.100-192.168.20.200
/ip pool add name=vlan30_pool ranges=192.168.30.100-192.168.30.200
/ip pool add name=vlan40_pool ranges=192.168.40.100-192.168.40.200
/ip dhcp-server add address-pool=vlan20_pool interface=vlan10 lease-time=12h name=vlan20_dhcp relay=192.168.20.1
/ip dhcp-server add address-pool=vlan30_pool interface=vlan10 lease-time=12h name=vlan30_dhcp relay=192.168.30.1
/ip dhcp-server add address-pool=vlan40_pool interface=vlan10 lease-time=12h name=vlan40_dhcp relay=192.168.40.1
/ipv6 dhcp-client option add code=16 name=class-identifier value=0x0000040e0005736167656d
/ipv6 dhcp-client option add code=11 name=authsend value=0x00000000000000000000001aXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
/ipv6 dhcp-client option add code=15 name=userclass value=0x002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f78340a
/ipv6 dhcp-server add address-pool=orange_pool interface=vlan10 name=orange_dhcp6
/interface bridge port add bridge=bridge comment=defconf interface=ether1
/interface bridge port add bridge=bridge comment=defconf interface=ether2
/interface bridge port add bridge=bridge comment=defconf interface=ether3
/interface bridge port add bridge=bridge comment=defconf interface=ether4
/interface bridge port add bridge=bridge comment=defconf interface=ether5
/interface bridge port add bridge=bridge comment=defconf interface=ether6
/interface bridge port add bridge=bridge comment=defconf interface=ether7
/interface bridge port add bridge=bridge comment=defconf interface=ether8 pvid=10
/interface bridge port add bridge=bridge comment=defconf interface=sfp-sfpplus1
/interface bridge vlan add bridge=bridge tagged=sfp-sfpplus1,bridge vlan-ids=832
/interface bridge vlan add bridge=bridge tagged=sfp-sfpplus1,bridge vlan-ids=10
/interface bridge vlan add bridge=bridge tagged=bridge vlan-ids=99
/interface list member add interface=vlan832 list=WAN
/interface list member add interface=vlan10 list=LAN
/interface list member add interface=vlan99 list=LAN
/interface wireguard peers add allowed-address=192.168.200.1/32 endpoint-address=XX.XX.XX.XX endpoint-port=51820 interface=wireguard1 public-key="XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
/ip address add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
/ip address add address=192.168.99.1/24 interface=vlan99 network=192.168.99.0
/ip address add address=192.168.200.2/24 interface=wireguard1 network=192.168.200.0
/ip dhcp-client add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier interface=vlan832
/ip dhcp-server network add address=192.168.20.0/24 dns-server=192.168.10.1 domain=lan.xxxx.fr gateway=192.168.20.1
/ip dhcp-server network add address=192.168.30.0/24 dns-server=192.168.10.1 domain=lab.xxxx.fr gateway=192.168.30.1
/ip dhcp-server network add address=192.168.40.0/24 dns-server=192.168.10.1 domain=guest.xxxx.fr gateway=192.168.40.1
/ip dns set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip firewall address-list add address=192.168.0.0/16 list=local_network
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
/ip firewall filter add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
/ip firewall filter add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall filter add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip route add disabled=no dst-address=192.168.0.0/16 gateway=192.168.10.254 routing-table=main suppress-hw-offload=no
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ipv6 dhcp-client add add-default-route=yes dhcp-options=authsend,class-identifier,userclass dhcp-options=authsend,class-identifier,userclass interface=vlan832 pool-name=orange_pool pool-prefix-length=60 rapid-commit=no request=prefix use-interface-duid=yes
/ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
/ipv6 firewall address-list add address=::1/128 comment="defconf: lo" list=bad_ipv6
/ipv6 firewall address-list add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
/ipv6 firewall address-list add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
/ipv6 firewall address-list add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
/ipv6 firewall address-list add address=100::/64 comment="defconf: discard only " list=bad_ipv6
/ipv6 firewall address-list add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
/ipv6 firewall address-list add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
/ipv6 firewall address-list add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
/ipv6 firewall filter add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept HIP" protocol=139
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" connection-state=!established in-interface-list=WAN
/ipv6 nd set [ find default=yes ] dns=2606:4700::1111,2001:4860:4860::8888
/snmp set enabled=yes
/system clock set time-zone-name=Europe/Paris
/system note set show-at-login=no
/tool graphing interface add
/tool graphing resource add
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN
CRS309:
/interface bridge add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface ethernet set [ find default-name=ether1 ] l2mtu=1592
/interface ethernet set [ find default-name=sfp-sfpplus1 ] l2mtu=1592
/interface ethernet set [ find default-name=sfp-sfpplus2 ] l2mtu=1592
/interface ethernet set [ find default-name=sfp-sfpplus3 ] l2mtu=1592 rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=sfp-sfpplus4 ] l2mtu=1592
/interface ethernet set [ find default-name=sfp-sfpplus5 ] l2mtu=1592 rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=sfp-sfpplus6 ] l2mtu=1592 rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=sfp-sfpplus7 ] l2mtu=1592 rx-flow-control=on tx-flow-control=on
/interface ethernet set [ find default-name=sfp-sfpplus8 ] l2mtu=1592 rx-flow-control=on tx-flow-control=on
/interface vlan add interface=bridge name=vlan10 vlan-id=10
/interface vlan add interface=bridge name=vlan20 vlan-id=20
/interface vlan add interface=bridge name=vlan30 vlan-id=30
/interface vlan add interface=bridge name=vlan40 vlan-id=40
/interface ethernet switch set 0 l3-hw-offloading=yes
/interface lte apn set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile set [ find default=yes ] html-directory=hotspot
/port set 0 name=serial0
/interface bridge port add bridge=bridge comment=defconf ingress-filtering=no interface=ether1 pvid=20
/interface bridge port add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
/interface bridge port add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2
/interface bridge port add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
/interface bridge port add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
/interface bridge port add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
/interface bridge port add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6 pvid=30
/interface bridge port add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7 pvid=30
/interface bridge port add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8 pvid=20
/interface ethernet switch l3hw-settings set ipv6-hw=yes
/ip neighbor discovery-settings set discover-interface-list=!dynamic
/ip settings set max-neighbor-entries=8192
/ipv6 settings set accept-router-advertisements=yes
/interface bridge vlan add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=832
/interface bridge vlan add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=10
/interface bridge vlan add bridge=bridge tagged=bridge untagged=sfp-sfpplus8,ether1 vlan-ids=20
/interface bridge vlan add bridge=bridge tagged=bridge untagged=sfp-sfpplus7,sfp-sfpplus6 vlan-ids=30
/interface bridge vlan add bridge=bridge tagged=bridge,ether1 vlan-ids=40
/interface ethernet switch rule add comment="orange cos6" dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="orange cos6" dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="drop guest to lab" dst-address=192.168.30.0/24 new-dst-ports="" ports=ether1 switch=switch1 vlan-id=40
/interface ethernet switch rule add comment="drop guest to lan" dst-address=192.168.20.0/24 new-dst-ports="" ports=ether1 switch=switch1 vlan-id=40
/interface ovpn-server server set auth=sha1,md5
/ip address add address=192.168.10.254/24 interface=vlan10 network=192.168.10.0
/ip address add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
/ip address add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
/ip address add address=192.168.40.1/24 interface=vlan40 network=192.168.40.0
/ip dhcp-relay add dhcp-server=192.168.10.1 disabled=no interface=vlan20 local-address=192.168.20.1 name=vlan20_relay
/ip dhcp-relay add dhcp-server=192.168.10.1 disabled=no interface=vlan30 local-address=192.168.30.1 name=vlan30_relay
/ip dhcp-relay add dhcp-server=192.168.10.1 disabled=no interface=vlan40 local-address=192.168.40.1 name=vlan40_relay
/ip dns set servers=192.168.10.1
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ipv6 address add address=::1 from-pool=pool interface=vlan20
/ipv6 address add address=::1 from-pool=pool interface=vlan30
/ipv6 dhcp-client add add-default-route=yes interface=vlan10 pool-name=pool rapid-commit=no request=prefix use-peer-dns=no
/ipv6 nd set [ find default=yes ] ra-preference=high
/snmp set enabled=yes
/system clock set time-zone-name=Europe/Paris
/system identity set name=CRS309
/system note set show-at-login=no
/system routerboard settings set boot-os=router-os
-
Branché sur une interface du routeur, je n'arrive pas à le pinguer. Le seul moyen que j'ai trouvé pour me connecter dessus, a été de me connecter au switch via l'interface ether1 du CRS305 et de faire un ssh depuis l'admin du switch sur l'IP de management. L'IP sur le vlan 20 étant injoignable depuis le switch
Ok, je pense que tu dois changer sur ton RB5009:
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
en
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether1,ether2,ether3,ether4,ether5,ether6,ether6,ether8 vlan-ids=20
-
Branché sur une interface du routeur, je n'arrive pas à le pinguer. Le seul moyen que j'ai trouvé pour me connecter dessus, a été de me connecter au switch via l'interface ether1 du CRS305 et de faire un ssh depuis l'admin du switch sur l'IP de management. L'IP sur le vlan 20 étant injoignable depuis le switch
Est ce que tu as bien mis le pvid du port correspondant à 20 ?
C'est normal que depuis le switch tu ne puisse pas atteindre le VLAN 20. Il n'a pas d'interface sur ce VLAN.
Autre truc, je ne peux pas pinguer le routeur depuis le deuxième switch, le CSS610. Par contre si je mets le vlan à 20 sur le port où je connecte mon laptop, ça passe.
Il faut que tu configure le trunk entre le CRS305 et le CSS610 sur ce dernier.
Ensuite, le port sur lequel ton PC est connecté doit avoir un PVID à 20.
-
Ok, je pense que tu dois changer sur ton RB5009:
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
en
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether1,ether2,ether3,ether4,ether5,ether6,ether6,ether8 vlan-ids=20
C'est ce que je venais de voir par rapport à ta configuration. Mais j'avais cru comprendre que c'était implicite...
-
C'est implicite lorsque tu configures le PVID du port.
-
Si je dis pas de bêtise (et c'est possible...), le PVID du port définie le VLAN id a assigner aux paquets sans VLAN id. Par contre quand tu le rajoute en untagged, ça dit au routeur d'enlever ce VLAN id avant d'envoyer les paquets aux clients connectés au port.
SI tu fais un wireshark tu devrais voir les paquets avec l'enête VLAN, ignorés par ton PC car pas configuré pour ce VLAN.
-
Le PVID définit le VLAN par défaut des paquets qui arrivent non tagués sur ce port.
L'ID du VLAN est ajouté à l'entrée du paquet dans le switch et retiré à sa sortie.
Que le port soit ajouté explicitement en untagged sur le bridge ou pas ne changera rien.
C'est juste le principe de fonctionnement des VLANs.
-
Est ce que tu as bien mis le pvid du port correspondant à 20 ?
Ca a l'air :
/interface bridge port
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether1 pvid=20
C'est normal que depuis le switch tu ne puisse pas atteindre le VLAN 20. Il n'a pas d'interface sur ce VLAN.
De ce que je comprends à la vue du dernier post à propos du untagged, soit je mets un pvid à 20 sur le port sfpplus4 ou j'ajoute en untagged.
Pour l'instant, y'a ça. A priori, pas suffisant.
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus2,sfp-sfpplus4 vlan-ids=20Il faut que tu configure le trunk entre le CRS305 et le CSS610 sur ce dernier.
Ensuite, le port sur lequel ton PC est connecté doit avoir un PVID à 20.
De ce que j'ai pu voir, le trunk est la bonne pratique, mais si j'ajoute simplement le pvid 20 au port où le switch est connecté, ça doit fonctionner sans mettre le port du laptop à 20, non ?
-
Tape /interface bridge vlan print pour voir si @yeocti a raison ou pas. Si il a raison tu devrais voir les etherX en current untagged.
Perso j'ai testé en ajoutant un VLAN et en le mettant comme PVID d'un ether, ça ne l'a pas ajouté automatiquement.
-
Tape /interface bridge vlan print pour voir si @yeocti a raison ou pas. Si il a raison tu devrais voir les etherX en current untagged.
Perso j'ai testé en ajoutant un VLAN et en le mettant comme PVID d'un ether, ça ne l'a pas ajouté automatiquement.
Tu peux vérifier, c'est marqué dans la doc Mikrotik. J'espère qu'ils ont raison ;)
Mais, pour que ça se voit, il faut un équipement actif connecté sur le port.
-
Tape /interface bridge vlan print pour voir si @yeocti a raison ou pas. Si il a raison tu devrais voir les etherX en current untagged.
Perso j'ai testé en ajoutant un VLAN et en le mettant comme PVID d'un ether, ça ne l'a pas ajouté automatiquement.
[admin@JimRouter] > /interface/bridge/vlan/print
Flags: D - DYNAMIC
Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge 20 bridge ether3
sfp-sfpplus1 ether5
ether7
1 bridge 99 bridge
sfp-sfpplus1
2 bridge 832 bridge
sfp-sfpplus1
3 D bridge 1 bridge
[admin@JimRouter] >
[admin@JimRouter] >
[admin@JimRouter] >
Welcome back!
[admin@JimCore] /interface/bridge> /interface/bridge/vlan/print
Flags: D - DYNAMIC
Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge 832 sfp-sfpplus2
1 bridge 20 sfp-sfpplus2
sfp-sfpplus4
2 bridge 99 bridge
sfp-sfpplus2
3 D bridge 1 bridge
sfp-sfpplus2
ether1
Sinon je réponds à ma propre question :
De ce que j'ai pu voir, le trunk est la bonne pratique, mais si j'ajoute simplement le pvid 20 au port où le switch est connecté, ça doit fonctionner sans mettre le port du laptop à 20, non ?
Que ce soit pour ce port ou le port du routeur, c'est comme s'il ne tagguait pas les paquets...
-
Ok, je pense que tu dois changer sur ton RB5009:
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
en
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether1,ether2,ether3,ether4,ether5,ether6,ether6,ether8 vlan-ids=20
Force est de constater que ça fonctionne.
-
[admin@JimRouter]
[code]
Welcome back!
[admin@JimCore] /interface/bridge> /interface/bridge/vlan/print
Flags: D - DYNAMIC
Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge 832 sfp-sfpplus2
1 bridge 20 sfp-sfpplus2
sfp-sfpplus4
2 bridge 99 bridge
sfp-sfpplus2
3 D bridge 1 bridge
sfp-sfpplus2
ether1
Là, le PVID de ether1 n'est pas à 20, il est à 1.
-
Force est de constater que ça fonctionne.
:)
Pour le switch il faut que tous les "access ports" soient en untagged vlan20 je pense.
-
Là, le PVID de ether1 n'est pas à 20, il est à 1.
Effectivement il apparaît en 1, mais dans ma conf :
/interface bridge port
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether1 pvid=20
Et donc plutôt d'être ajouté implicitement dans le untagged 20, il semble s'être retrouvé dans le 1. Donc logique que ça ne fonctionne pas.
La question, c'est pourquoi il n'apparaît en untagged 20 comme je l'avais compris.
-
Étrange.
De mémoire, le port restait dans le VLAN 1 quelques minutes mais était ajouté dans le VLAN 20 immédiatement.
Sur ma config, je n'ai aucun port explicitement mis en untagged sur mes VLANs. Ils sont tous ajoutés en fonction de leurs PVID. Peut être que sur le RB5009, il est nécessaire de désactiver/activer le port ?
-
Étrange.
De mémoire, le port restait dans le VLAN 1 quelques minutes mais était ajouté dans le VLAN 20 immédiatement.
Sur ma config, je n'ai aucun port explicitement mis en untagged sur mes VLANs. Ils sont tous ajoutés en fonction de leurs PVID. Peut être que sur le RB5009, il est nécessaire de désactiver/activer le port ?
Faut que je pense à tester.
Ceci étant, j'ai débranché et rebranché une paire de fois mon cable.
Par contre, j'ai la partie IPv6 qui fait des siennes.
J'ai repris la configuration que j'avais, mais je n'arrive pas à surfer. Je récupère bien le prefix ipv6, mais ça s'arrête là :D
D'ailleurs question à ceux qui n'ont pas encore lâcher :). L'IP v6 des devices sur notre réseau local, doit-elle basée sur le préfixe récupéré ?
En l'occurence, je n'ai que ce que je crois être du local fd7e:....
Souci réglé, juste l'adresse ipv6 qui n'était pas annoncée sur la bonne interface.
En tout cas, encore merci pour l'aide apportée !
-
Hello !
Petit truc étrange suite à la mise en place de la config de ce thread.
J’ai ma latence vers ma la gateway internet qui est plus importante.
Cf cette capture d’un smokeping que j’ai et qui montre la différence entre l’avant et après mise en place de la configuration :
(https://i.ibb.co/t4zPR1m/Smoke-Ping-Latency-Page-for-Internet-gateway.png) (https://ibb.co/Vtxp6kj)
Sachant que la partie gauche est évidemment avant la mise en place de la configuration mais avec tout de même le CRS305 et la partie droite physiquement câbler pareil mais avec la conf Vlan.
Une idée d’un paramètre « underground » qui pourrait être la raison ?
-
Tu peux poster ta configuration finale en entier ?
-
Bon, en fait je te réponds tout de suite.
J'ai remonté les posts pour voir où on en était.
Je pense que tu dois avoir une switch rule sur le CRS305 qui met la CoS à 6 sur les paquets ICMPv4.
A priori d'après le poste (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140) de @levieuxatorange, ce n'est pas nécessaire. Et, effectivement, si tu l'enlèves, tu vas gagner 2ms.
J'avais aussi cette règle et c'est peut-être ma faute si je l'ai introduite dans ta configuration.
-
Bon, en fait je te réponds tout de suite.
J'ai remonté les posts pour voir où on en était.
Je pense que tu dois avoir une switch rule sur le CRS305 qui met la CoS à 6 sur les paquets ICMPv4.
A priori d'après le poste (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140) de @levieuxatorange, ce n'est pas nécessaire. Et, effectivement, si tu l'enlèves, tu vas gagner 2ms.
J'avais aussi cette règle et c'est peut-être ma faute si je l'ai introduite dans ta configuration.
Je viens de la désactiver. On va voir :)
Merci pour la piste.
-
Et bien c’était ça :)
(https://i.ibb.co/px9NR3v/Smoke-Ping-Latency-Page-for-Internet-gateway2.png) (https://ibb.co/HVkRxrD)