D'après ce que je connais sur la config des VLAN sur les Mikrotik, on attache le VLAN à l'interface Ethernet et l'interface Ethernet au bridge... Dans ta configuration, tu attaches le VLAN au bridge (de mémoire, cela désactive le HW offloading).

Ça dépend de la configuration. Si le port ethernet est dans le bridge, alors l'interface VLAN est attachée au bridge (avec vlan filtering activé).
Je ne sais pas si ça désactive le hardware offloading (je ne suis pas sûr) mais manifestement, si l'interface est dans le bridge avec un vlan attaché à l'interface, il se passe des choses bizarres : https://help.mikrotik.com/docs/display/ROS/Layer2+misconfiguration#Layer2misconfiguration-VLANinterfaceonaslaveinterface

Ça dépend de la configuration. Si le port ethernet est dans le bridge, alors l'interface VLAN est attachée au bridge (avec vlan filtering activé).
Je ne sais pas si ça désactive le hardware offloading (je ne suis pas sûr) mais manifestement, si l'interface est dans le bridge avec un vlan attaché à l'interface, il se passe des choses bizarres : https://help.mikrotik.com/docs/display/ROS/Layer2+misconfiguration#Layer2misconfiguration-VLANinterfaceonaslaveinterface

Alors que moi, j'ai toujours suivi ce guide quand je faisais mes configs Orange : https://help.mikrotik.com/docs/display/ROS/VLAN où les vlan sont rattachés au port ethernet...
Pour le moment je me passe du bridge, il n'est pas nécessaire si un switch gère le changement de priorité pcp des paquets DHCP IPv4.

Je comprends bien ton explication mais je comprends toujours pas pourquoi ils seront détaggués 😆.
Plus j’essaye de comprendre et je suis perdu 😁.

Un petit cours très rapide sur les VLAN (qui ne détaille pas tous les cas) : http://igm.univ-mlv.fr/~dr/XPOSE2007/vlanparlegrandquinapascomprislesconsignes/Definition.html

D'après ton schéma modifié, je crois comprendre que l'ONU se trouve dans la cage sfp1, Orange ne verra donc pas tes paquets car :
"PVID - The Port VLAN ID is used for access ports to tag all ingress traffic with a specific VLAN ID. A dynamic entry is added in the bridge VLAN table for every PVID used, the port is automatically added as an untagged port."

Pour résumer à quoi sert le PVID :
traffic sortant (egress) = supprimer le tag VLAN
traffic entrant (ingress) = ajouter le tag VLAN (=PVID)

Orange envoie sur l'ONU des trames déjà taggués 832 et 840. Le plus gros problème donc c'est que quand les paquets sortent du port sfp1, le switch retirera le tag VLAN 832, et donc Orange va ignorer ces paquets.

J'espère que c'est plus clair pour ton cas d'usage.

Question subsidiaire tu as bien prévu que les LAN du CSS610 et du RB5009 soient bien deux réseaux distincts ? Parce qu'ils ne peuvent pas communiquer sur le même segment de réseau. Cela n'empêche pas qu'ils communiquent entre eux via le routeur !

Bonsoir,

Alors ça tombe bien, j'ai exactement la même config (CRS305 + RB5009 + CSS610) et ça tourne depuis plusieurs mois sans soucis. Mais je n'avais pas jusque-là filtré les VLAN : je m'y suis mis vendredi, et je pense que je ne suis pas loin du compte.
En gros, je tague le VLAN 832, j'autorise tout (admit-all) sur les bridges, et les interfaces SFP qui relient le CRS305 et le RB5009, j'autorise seulement ce qui est taggé (admit-only-vlan-tagged) sur le SFP de l'ONU et sur l'interface vlan832 du RB5009, et je n'autorise que ce qui n'est pas taggé (admit-only-untagged-and-priority-tagged) sur toutes les autres interfaces.
J'ai aussi ajouté une isolation de port sur le CRS305 au niveau du switch (mais je ne pense pas que ce soit nécessaire vu le filtrage au niveau des VLAN)

Pas d'impact relevé sur les perfs, le routeur se balade à 2Gbps en IPV6 (sans fasttrack donc).

Bonjour,

Quelques remarques :

Sur le CRS305 :
- Le port sfp-sfpplus1-onu ne devrait pas avoir de pvid en 832 d'autant plus que tu n'acceptes que le trafic tagué en 832.
- Inutile d'ajouter le bridge au VLAN 832. C'est nécessaire uniquement si le cpu doit avoir accès aux paquets correspondants, ce qui n'est pas le cas sur le CRS305.

Sur le RB5009 :
- C'est une erreur d'ajouter l'interface vlan-832 au bridge. Il faut simplement la créer dessus, comme tu l'as fait et ensuite créer un VLAN 832 avec le port sfp-sfpplus1 et le bridge lui-même.
- Je trouve plus propre d'avoir un VLAN bien défini pour le LAN (autre que le VLAN 1 utilisé par défaut). Ça permet de bien segmenter les choses.

Je ne suis pas sûr de comprendre cette remarque.
Il y a un trunk comprenant le VLAN 20 entre le RB5009 et le CRS305 puis entre le CRS305 et le CSS610 donc le LAN du CSS610 a bien accès au VLAN 20 et donc au réseau correspondant. Il n'y a pas besoin d'avoir un réseau différent.

Je n'ai pas lu la configuration pour le VLAN20 ce qui est important c'est que le LAN soit dans le même domaine de broadcast et donc qu'il n'y ait qu'une seule interface VLAN 20 reliée par des switchs.
En théorie dans la configuration PC <-> switch < VLAN20 > routeur <VLAN20> switch <-> PC, il y a 2 domaines de broadcast, on peut définir 2 VLAN 20 mais ils ne seront pas dans le même segment de réseau dans ce cas.
EN pratique, vu que les routeurs peuvent aussi faire du switching, la configuration est toutefois possible.

Un petit feedback. Déjà merci pour l'aide apporté.
Mention spécial à Yeocti. Tes configurations m'ont permis de bien avancé. J'ai même récupéré une IP publique
Par contre, pour la partie LAN, y'a un truc qui cloche.

Branché sur une interface du routeur, je n'arrive pas à le pinguer. Le seul moyen que j'ai trouvé pour me connecter dessus, a été de me connecter au switch via l'interface ether1 du CRS305 et de faire un ssh depuis l'admin du switch sur l'IP de management. L'IP sur le vlan 20 étant injoignable depuis le switch

Autre truc, je ne peux pas pinguer le routeur depuis le deuxième switch, le CSS610. Par contre si je mets le vlan à 20 sur le port où je connecte mon laptop, ça passe.

J'ai changé l'adressage car j'ai un historique niveau équipement, mais je ne pense pas avoir fait une erreur de ce côté.

Y'a encore un truc qui m'échappe.
Donc avant de commencer à modifier des trucs au "pif", je suis preneur d'un nouveau coup de main

D'ailleurs je que le bridge est ajouté en taggué, normal ?

/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
Voilà où j'en suis niveau conf :

Switch CR305

# jan/02/1970 01:51:16 by RouterOS 7.9
# software id = S7JD-AWF5
#
# model = CRS305-1G-4S+
# serial number = HEC08VZ852G
/interface bridge
add admin-mac=48:A9:8A:B1:86:B3 auto-mac=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no disabled=yes speed=2.5Gbps
/interface vlan
add interface=bridge name=MGMT vlan-id=99
add interface=bridge name=vlan20-lan vlan-id=20
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf interface=sfp-sfpplus4
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=832
add bridge=bridge tagged=sfp-sfpplus2,sfp-sfpplus4 vlan-ids=20
add bridge=bridge tagged=bridge,sfp-sfpplus2 vlan-ids=99
/interface ethernet switch rule
add comment="Orange - Set CoS6 on ARP request" mac-protocol=arp new-vlan-priority=6 ports=sfp-sfpplus2 switch=switch1 vlan-id=832
add comment="Orange - Set CoS6 on DHCPv4 request" dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
add comment="Orange - Set CoS6 on DHCPv6 request" dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
add comment="Orange - Set CoS6 on ICMPv4 request" mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=icmp switch=switch1 vlan-id=832
add comment="Orange - Set CoS6 on ICMPv6 request" mac-protocol=ipv6 new-vlan-priority=6 ports=sfp-sfpplus2 protocol=icmp switch=switch1 vlan-id=832
/ip address
add address=192.168.99.5/24 interface=MGMT network=192.168.99.0
add address=192.168.88.5/24 interface=ether1 network=192.168.88.0
add address=192.168.1.5/24 interface=vlan20-lan network=192.168.1.0
/system identity
set name=JimCore
/system note
set show-at-login=no
/system routerboard settings
set boot-os=router-os

Routeur RB5009

# may/29/2023 16:44:29 by RouterOS 7.9.1
# software id = 9RLD-WK5C
#
# model = RB5009UG+S+
# serial number = HE708XF9NJC
/interface bridge
add admin-mac=48:A9:8A:75:E6:98 auto-mac=no name=bridge vlan-filtering=yes
/interface vlan
add interface=bridge name=MGMT vlan-id=99
add interface=bridge name=vlan20-lan vlan-id=20
add interface=bridge name=wan-oge-net vlan-id=832
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value=0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833
add code=90 name=authsend value=0x******************************************************
/ip pool
add name=pool-lan ranges=192.168.1.100-192.168.1.200
/ip dhcp-server
add address-pool=pool-lan interface=vlan20-lan name=defconf
/interface bridge port
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether1 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether6 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether7 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-untagged-and-priority-tagged interface=ether8 pvid=20
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=99
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=832
/ip address
add address=192.168.99.1/24 interface=MGMT network=192.168.99.0
add address=192.168.1.1/24 interface=vlan20-lan network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier interface=wan-oge-net
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=JimRouter
/system note
set show-at-login=no

Branché sur une interface du routeur, je n'arrive pas à le pinguer. Le seul moyen que j'ai trouvé pour me connecter dessus, a été de me connecter au switch via l'interface ether1 du CRS305 et de faire un ssh depuis l'admin du switch sur l'IP de management. L'IP sur le vlan 20 étant injoignable depuis le switch

Ok, je pense que tu dois changer sur ton RB5009:

/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 vlan-ids=20
en

/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether1,ether2,ether3,ether4,ether5,ether6,ether6,ether8 vlan-ids=20