Il y a quelques trucs évidents qui ne vont pas:

• Tu mets ton DHCPv4/v6 sur l'interface bridge, donc effectivement ca sort sans VLAN. Il faut mettre DHCP (v4 et v6) sur l'interface vlan832-internet
• Dans la config du CRS, le VLAN 832 est targué sur une seule interface, donc tout ce qui arrive sur cette interface pour ce VLAN ne peut aller... nulle part. Donc clairement déjà il faut que VLAN832 soit targué sur l'interface connectée à l'ONT et sur l'interface connectée au port WAN du RB.

Ces 2 actions devraient déjà permettre d'avoir internet sur le LAN (Pour peu que les options DHCP et la CoS soient faits correctement,  je n'ai pas vérifié. Pour la suite, on verra plus tard.

Je viens juste de vérifier la partie dhcp client et j'ai bien paramètre l'interface 832 :

/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \
    disabled=yes interface=vlan832-internet
Où as-tu vu que le bridge était configuré pour le dhcp ?

J'ai suivi les posts, instruction, lu la doc Mikrotik concernant les vlan et la partie trunk, mais impossible de m'en sortir.

D'après ce que je connais sur la config des VLAN sur les Mikrotik, on attache le VLAN à l'interface Ethernet et l'interface Ethernet au bridge... Dans ta configuration, tu attaches le VLAN au bridge (de mémoire, cela désactive le HW offloading).

Non conforme
/interface vlan
add interface=[b]bridge [/b]name=vlan832-internet vlan-id=832
/interface bridge
add admin-mac=48:A9:8A:75:E6:99 auto-mac=no comment=defconf name=bridge pvid=\
    20 vlan-filtering=yes
/interface bridge port
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=832

Conforme
/interface vlan
add interface=[b]sfp-sfpplus1[/b] name=vlan832-internet vlan-id=832
/interface bridge
add admin-mac=48:A9:8A:75:E6:99 auto-mac=no comment=defconf name=bridge pvid=\
    20 vlan-filtering=yes
/interface bridge port
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1 vlan-ids=832

2) J'ajouterai l'interface bridge au bridge du CRS305 et je tagguerai le VLAN 832.

3) Il y a aussi ceci un problème sur le CRS305, tu mets pvid = 832, ce qui signifie que tout ce qui les paquets en egress sur ce port seront détaggués.

add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
    interface=sfp-sfpplus1 [b]pvid=832[/b]
Il faudrait refaire le schéma avec le nom de chaque port .

Là, j'avoue que je ne te suis pas. Je suis preneur d'un complément d'explication.
Pourquoi les paquets seraient détaggués ?

Je ne parle pas bien français quelques fois...

Je vais essayer de l'expliquer simplement (en espérant pas trop me planter). Si tu mets pvid=832 sur une interface (disons sfp1) et que tu branches un PC derrière :
1) Tous les paquets envoyés par le PC arrive sur le switch sans tag.
2) Le port va ajouter un tag 832 à les paquets reçus sur cette interface. Les paquets transiterons sur le VLAN 832.
3) Lorsque le switch transmet un paquet vers le PC, il va filtrer les paquets du VLAN 832 et supprimer le tag dès avant qu'il sorte de l'interface sfp1.

J'espère que c'est plus clair.

Le comportement que tu décris, ce n’est pas quand on est en admit-only-untagged-and-priority-tagged ?
J’ai cru comprendre que lorsqu’on est en tagged-only les paquets restent taggués.

Le frame-type filtre les paquets entrants dans le switch (ingress). Si tu configures un port avec un frame type à :
admit-all : Le port accepte tous les types de trames entrants (avec et sans VLAN)
admit-only-untagged-and-priority-tagged : le port accepte uniquement les trames sans VLAN (ou si c'est le VLAN 0 je crois)
admit-only-vlan-tagged : le port accepte uniquement les trames avec VLAN

Le PVID permet de définir à quel VLAN un port appartient. Si un port X appartient à un PVID Y, le port X devient membre de ce VLAN Y. Donc les paquets avec un VLAN Y seront de facto autorisés à sortir par ce port. Ensuite, les paquets entrants par le port X seront modifiés en accord avec ce PVID. Il y a peut-être une particularité si le paquet entrant est déjà taggué avec un VLAN Z, je pense qu'il pourrait être autorisé à entrer sans être modifier. Mais en pratique, cela ne devrait pas arriver dans une configuration "type" comme ce que tu veux faire. L'objectif est que seul les paquets avec un VLAN 832 passe par ce port, non ?

Bonjour,

Voici une piste de configuration. J'ai considéré que la configuration était vierge.
En partant de la configuration par défaut, il faudra simplement modifier/supprimer certaines choses.

Par ailleurs, en l'absence de précisions dans le premier post, je considère les postulats suivants :
- Le LAN est sur le VLAN 20 et le réseau est 192.168.20.0/24
- Le Management se fait sur le VLAN 99 et le réseau est 192.168.99.0/24

L'adresse IP du switch sera 192.168.99.253.
L'adresse IP du routeur sera : 192.168.99.254

Je n'ai pas forcément respecté le nom de tes interfaces ni ton plan d'adressage.
La configuration présentée ci-dessous constitue surtout un début de solution.
J'espère ne pas avoir fait trop d'erreur de copié-collé (oui, je suis flemmard).


Configuration du CRS305

Je considère que la configuration est vierge, comme si la commande suivante avait été lancée.
/system/reset-configuration no-defaults=yes

On commence par créer le bridge sur lequel on ajoute tous les ports SFP. Dans un premier temps, le bridge vlan filtering n'est PAS activé.
Le port ethernet qui sert à l'administration reste en dehors afin de conserver l'accès en cas de problème.
/interface bridge
    add name=bridge disabled=no auto-mac=yes protocol-mode=rstp;
    :local bMACIsSet 0;
    :foreach k in=[/interface find where !(slave=yes   || passthrough=yes   || name~"bridge")] do={
        :local tmpPortName [/interface get $k name];
        :if ($bMACIsSet = 0) do={
            :if ([/interface get $k type] = "ether") do={
            /interface bridge set "bridge" auto-mac=no admin-mac=[/interface get $tmpPortName mac-address];
            :set bMACIsSet 1;
            }
        }
        :if (([/interface get $k type] != "ppp-out") && ([/interface get $k type] != "lte")) do={
            /interface bridge port
            add bridge=bridge interface=$tmpPortName comment=defconf;
        }
   }

Ensuite, on crée une interface MGMT sur le VLAN 99 qui servira à administrer le switch.
Ainsi, on aura toujours accès au switch lorsque le bridge vlan filtering sera activé.
/interface vlan add interface=bridge name=MGMT vlan-id=99

On attribue une IP à l'interface précedemment créée ainsi qu'au port ether1.
/ip address add address=192.168.99.253/24 interface=MGMT network=192.168.99.0
/ip address add address=192.168.88.5/24 interface=ether1 network=192.168.88.0

Ensuite, on configure les VLANs.
- Sur le port SFP1, on accepte uniquement les paquets tagués avec le VLAN 832 ;
- Sur le port SFP2, on accepte les paquets tagués avec le VLAN 20, le VLAN 99 ou le VLAN 832 ;
    - Avoir le VLAN 99 sur ce port permet l'administration depuis le LAN.
- Sur le port SFP4, on accepte uniquement les paquets tagués avec le VLAN 20 (éventuellement 99 si cette patte du LAN doit pouvoir administrer le switch).

Le fait de taguer le bridge permet au CPU (et donc à l'interface correspondante) d'avoir accès aux paquets.
Sur les ports tagués, le PVID reste à 1. Ce VLAN n'existant pas, les paquets seront rejetés.
/interface bridge vlan add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=832
/interface bridge vlan add bridge=bridge tagged=sfp-sfpplus2,sfp-sfpplus4 vlan-ids=20
/interface bridge vlan add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=99

/interface bridge port add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
/interface bridge port add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus2
/interface bridge port add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus4

On configure les switch rules pour mettre la CoS à 6.
Le port correspond au port sur lequel arrivent les paquets. Ici, les paquets arrivent du routeur, donc sur sfp-sfpplus2.
/interface ethernet switch rule add comment="Orange - Set CoS6 on ARP request" mac-protocol=arp new-vlan-priority=6 ports=sfp-sfpplus2 switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="Orange - Set CoS6 on DHCPv4 request" dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="Orange - Set CoS6 on DHCPv6 request" dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="Orange - Set CoS6 on ICMPv4 request" mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=icmp switch=switch1 vlan-id=832
/interface ethernet switch rule add comment="Orange - Set CoS6 on ICMPv6 request" mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus2 protocol=icmp switch=switch1 vlan-id=832

Cette configuration se limite à configurer une interface de management, le bridge et les VLAN associés.
Le switch n'a pas internet, n'est pas sécurisé, etc etc. C'est à faire.

Configuration du RB5009

Je considère que la configuration est vierge, comme si la commande suivante avait été lancée.
/system/reset-configuration no-defaults=yes

On commence par créer le bridge sur lequel on ajoute tous les ports ethernet et le sfp1. Dans un premier temps, le bridge vlan filtering n'est PAS activé.
Attention, tous les ports ethernet sont dans le bridge. Je n'ai prévu aucun port ethernet pour l'administration en cas de problème.
/interface bridge
    add name=bridge disabled=no auto-mac=yes protocol-mode=rstp;
    :local bMACIsSet 0;
    :foreach k in=[/interface find where !(slave=yes   || passthrough=yes   || name~"bridge")] do={
        :local tmpPortName [/interface get $k name];
        :if ($bMACIsSet = 0) do={
            :if ([/interface get $k type] = "ether") do={
            /interface bridge set "bridge" auto-mac=no admin-mac=[/interface get $tmpPortName mac-address];
            :set bMACIsSet 1;
            }
        }
        :if (([/interface get $k type] != "ppp-out") && ([/interface get $k type] != "lte")) do={
            /interface bridge port
            add bridge=bridge interface=$tmpPortName comment=defconf;
        }
   }

Ensuite, on crée les interfaces correspondantes aux VLANs, y compris une interface pour le management.
Ainsi, on aura toujours accès au routeur lorsque le bridge vlan filtering sera activé.
/interface vlan add interface=bridge name=vlan20-lan vlan-id=20
/interface vlan add interface=bridge name=MGMT vlan-id=99
/interface vlan add interface=bridge name=wan-oge-net vlan-id=832

On attribue une IP aux interfaces VLAN créées (sauf wan-oge-net qui obtiendra l'IP publique Orange via DHCP).
/ip address add address=192.168.99.254/24 interface=MGMT network=192.168.99.0
/ip address add address=192.168.20.254/24 interface=vlan20-lan network=192.168.20.0

Ensuite, on configure les VLANs.
- Sur le port SFP1, on accepte les paquets tagués avec le VLAN 20, le VLAN 99 ou le VLAN 832 ;
- Sur les ports ether1-8, les paquets seront tagués en entrée, détagués en sortie.
    - Il n'est pas nécessaire d'ajouter ces ports en untagged. Ils le seront automatiquement lorsque le PVID des ports sera configuré.

Le fait de taguer le bridge permet au CPU (et donc à l'interface correspondante) d'avoir accès aux paquets.
Sur les ports tagués, le PVID reste à 1. Ce VLAN n'existant pas, les paquets seront rejetés.
/interface bridge vlan add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
/interface bridge vlan add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=99
/interface bridge vlan add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=832

/interface bridge port add bridge=bridge frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
/interface bridge port add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged interface=ether1-8 pvid=20

Ensuite, on configure un serveur DHCP sur le LAN
/ip pool add name="dhcp-lan" ranges=192.168.20.100-192.168.20.200;
/ip dhcp-server add name=defconf address-pool="dhcp-lan" interface=vlan20-lan lease-time=30m disabled=no;
/ip dhcp-server network add address=192.168.20.0/24 gateway=192.168.20.254 dns-server=192.168.20.254;

Le client DHCP :
/ip dhcp-client option add code=60 name=vendor-class-identifier value=0x736167656d
/ip dhcp-client option add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
/ip dhcp-client option add code=90 name=authsend value="0x0*************************************************"

/ip dhcp-client add add-default-route=yes dhcp-options="clientid,oge - 60,oge - 77,oge - 90" interface=wan-oge-net

Cette configuration se limite à configurer le bridge et les VLAN associés ainsi que les interfaces pour les VLANs et le DHCP.
Il n'y a pas de pare-feu (ie. par ex. le VLAN 99 est accessible sans restriction depuis le VLAN 20 et vice-versa) et pas de sécurisation particulière. C'est à faire.

Finalisation

Une fois tout ceci fait, on peu activer le bridge vlan filtering sur le switch et le routeur.
Il sera toujours possible d'accéder au switch et au routeur via leur IP respective.

/interface/bridge/set "bridge" vlan-filtering=yes