Bonjour à tous,

Je me disais qu'il était peut être utile de partager ici mon retour d'expérience au cas où cela aiderait quelqu'un... Je travaille dans l'info, mais pas du tout dans le réseau alors ça m'a quand même pris une petite journée à débuguer !

Déjà merci à tous car ce forum est rempli d'informations très intéressantes (il y a beaucoup de lecture  ).

Mon objectif était de remplacer ma Livebox 5 par mon firewall Sophos SG230 sur lequel tourne Opensense.

Voilà ce qui a fonctionné pour moi :

---

- J'ai acheté cet ONU : https://www.fs.com/products/183843.html
 
En passant la commande on peut demander à pré-configurer un adresse MAC et un numéro de série. Je l'ai fait avec la MAC de la livebox et le numéro de série de l'ONT intégré à la livebox. Pas sur que ça soit utile car je l'ai également configuré moi même par la suite, cela rallonge le délai d'expédition, je l'ai reçu au bout de 15 jours à peu près.

---

- Pour le configurer je l'ai branché sur un port SFP, auquel j'ai associé une interface en 192.168.1.x. Je suis allé dessus en SSH depuis le pare-feu directement pour m'éviter de créer des règles et des routes depuis mon LAN. Je l'ai configuré avec ce tutoriel : https://github.com/akhamar/orange-2500mbps-G010SP , sans faire la partie "Driver BXE" car mon port SFP est un port 1Gb.

---

- Ensuite j'ai suivi ce tutoriel : https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html , j'ai simplement adapté le modèle de la Livebox dans le user-class.

A ce moment là j'ai eu quelques problèmes avec l'option-90 de la conf DHCP, et je suis parti en quête d'infos sur le forum.

Pendant un moment je me suis basé sur cette conf et ce script sans succès : https://lafibre.info/opnsense/opnsense-22-1/48/ , cela marchait presque, j'avais bien une IP via DHCP mais non routable, en 172.16.x.x, donc je ne comprenais pas trop. Un peu désespéré j'ai fait un diagnostic avec l'appli d'orange : "Identifiants invalides". En fait j'ai compris que le mot de passe associé au login fti/xxx n'est pas celui de mon compte orange  , je ne l'avais plus donc le SAV me l'a redonné au téléphone.

Puis, idem, identifiants invalides. Ca commençait à être le bazard dans ma conf à force de faire des test alors je reprends tout de zéro et je me rends compte que le script récupéré sur le forum pour généré l'option-90 ne me donne pas le même résultat que https://jsfiddle.net/kgersen/3mnsc6wy/. Ce dernier fonctionne enfin !

---

Petit tips au cas où : à force de changer la conf, redémarrer le pare-feu etc, je ne pouvais plus joindre la gateway que le DHCP d'Orange m'avait donné. J'ai demandé un changement d'IP publique sur l'application Orange puis j'ai redémarré le pare-feu pour renouveler le bail DHCP et là tout est propre.

Au final, j'ai bien quasiment 1Gbs en débit descendant mais que 300Mbs en montant, il faudra que je creuse (j'ai l'IPS et ZenArmor d'activé sur Opnsense, peut être que ça joue). D'après les testeurs en ligne l'IPv6 ne semble pas fonctionner mais je ne m'en sers pas pour le moment (ça sera la prochaine étape). Je ne manquerait pas d'éditer ce post si j'ai des réponses à ces problèmes.

Voilà le résultat