Code: [Sélectionner]

/interface bridge port
add bridge=bridge interface=vlan832-internet


Supprime la ligne ci-dessus, si cela ne solutionne pas le problème, quelle est la version de RouterOS ?
Je n'ai aucun interface slave peu importe comment je crée les interfaces bridge / vlan / ethernet. Soit c'est lié à l'OS, soit c'est lié au HW.

[admin@CCR] /system/routerboard> print
       routerboard: yes
             model: CCR2116-12G-4S+
     serial-number: xxxxxxxxxxxx
     firmware-type: al64v3
  factory-firmware: 7.2
  current-firmware: 7.12rc6
  upgrade-firmware: 7.12rc6


Code: [Sélectionner]

Et comme je suis totalement perdu, est-ce-que j'ai plus de cohérence ?


Oui, je viens de voir aussi dans ton configuration initiale que tu avais un serveur ET un client dhcp sur ton interface bridge. Je ne sais pas comment ça pouvait fonctionner correctement. Si on fait une analogie avec la communication entre êtres humaisn, c'est comme si tu veux parler à une personne (1 interface) mais qu'en pratique tu t'écoutes (rôle du client) toi-même parler (rôle du serveur). Pour que cela fonctionne, il te faut 2 personnes (2 interfaces), avec une personne (interface bridge) qui parle (1 serveur, ton routeur) et une autre qui écoute (1 client - ton PC). Je cite précédemment le fonctionnement du LAN (là où se trouve tes périphériques PC, ...). Pour la partie WAN (accès à Internet et le reste du monde), le serveur se trouve sur l'interface vlan 832 du matériel Orange (auquel nous n'avons pas accès physiquement), le client c'est l'interface vlan 832 de ton routeur. J'espère que l'analogie est claire :/

Tu n'as pas supprimé add bridge=bridge interface=vlan832-internet
Pourquoi tu as perdu ton accès au port 80+ssh : dans ta configuration, tu bloques toutes les connexions entrantes vers le routeur : add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"Ajoute une règle avant ce drop :
/ip firewall filter
chain=input action=accept connection-state=new protocol=tcp src-interface-list=support dst-port=22,80,443,8291

Je ne sais pas d'où vient la configuration mais elle ne doit pas servir pour une architecture spécifique.

Cette ligne s'accompagne de la précédente :

Code: [Sélectionner]

add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
Il faut bien sur avoir rempli l'adress-list avec les IP que l'on utilise.

Code: [Sélectionner]

/ip firewall address-list
add address=192.168.10.0/24 list=support
Comme l'ONU utilise une adresse 192.168.1.X/24 je préfère pour éviter de tout mélanger de changer l'adresse du local.

Cette config de Firewall que Gnubyte avait proposé dans son post fonctionne très bien.

ablyes: Tu n'utilises pas Winbox ? C'est vachement plus pratique que de faire ca via la page web.

/ip firewall address-list
add address=192.168.10.0/24 list=support

Tu veux dire qu'après ça j'aurai tout mon réseau 192.168.10.XXX ?
Seul l'ONU sera accessible en 192.168.1.10 ?

Même avec winbox, il arrive à faire un scan et trouver le routeur, mais je n'arrive pas à m'y connecter.
Je crois ne pas avoir le choix que de faire un reset du routeur.
Puis reprendre mon propre tuto avec les dernières adaptations (pas mélanger bridge et tout le reste... un schema m'aiderait. bcp).

Cette ligne s'accompagne de la précédente :

Code: [Sélectionner]

add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
Il faut bien sur avoir rempli l'adress-list avec les IP que l'on utilise.

Code: [Sélectionner]

/ip firewall address-list
add address=192.168.10.0/24 list=support
Comme l'ONU utilise une adresse 192.168.1.X/24 je préfère pour éviter de tout mélanger de changer l'adresse du local.
Cette config de Firewall que Gnubyte avait proposé dans son post fonctionne très bien.

Bien vu pour la reste, j'ai regardé sans la voir. Je suis beaucoup plus restrictif dans mes règles, mais sur les petits routeurs, ca se justifie.

Oui, c'est une bonne idée d'utiliser le 192.168.1.X pour l'ONU et 192.168.10.X pour le LAN. Mais l'ONU sera toujours dispo qu'en se connectant à partir du routeur car la passerelle par défaut c'est 192.168.2.1 de mémoire. Perso, une fois que j'ai configuré mon ONU, je n'y touche plus.

Le "safe mode" est sympa aussi

Mais oui, je n'utilise jamais ça, mais ce n'est vraiment pas une bonne pratique de ma part !!!

Tu veux dire qu'après ça j'aurai tout mon réseau 192.168.10.XXX ?
Seul l'ONU sera accessible en 192.168.1.10 ?

Oui, mais, attention, il faut changer le dhcp serveur...

Je crois ne pas avoir le choix que de faire un reset du routeur.
Puis reprendre mon propre tuto avec les dernières adaptations (pas mélanger bridge et tout le reste... un schema m'aiderait. bcp).

Oui, possible que cela soit plus simple. Il n'y a pas d'interface console (prise USB/RJ45) en cas de secours.

Tu veux dire qu'après ça j'aurai tout mon réseau 192.168.10.XXX ?
Seul l'ONU sera accessible en 192.168.1.10 ?

C'est pas cette ligne là qui va faire que ton réseau sera en 192.168.10.xxx , mais vue que l'on parlait de firewall je l'ai mise.

Même avec winbox, il arrive à faire un scan et trouver le routeur, mais je n'arrive pas à m'y connecter.
Je crois ne pas avoir le choix que de faire un reset du routeur.
Puis reprendre mon propre tuto avec les dernières adaptations (pas mélanger bridge et tout le reste... un schema m'aiderait. bcp).

Tu n'es pas obligé forcément d'en passer par là.

Si tu reparts de 0 moi je te conseille :
Après le reset,
Fait les config uniquement avec Winbox.
Tu lances le terminal sous winbox
Tu ouvres un Notepad ou Notepad++ (avec la coloration syntaxique c'est mieux)
Tu colles les la conf de Gnubyte dans ton Notepad, tu adaptes les interfaces a ta config.
Ensuite tu les colles au fur et a mesure dans l'ordre.

Un conseil : Quand tu vas faire ta config, tu vas faire un bridge sur toute tes interface ethernet pour ton réseau local
Sort une interface du bridge et assigne lui une IP

/ip address add address=192.168.77.1/24 disabled=no interface=ether8 network=192.168.77.0
/interface list add name=LAN
/interface list member add interface=ether8 list=LAN
/ip firewall address-list add address=192.168.77.0/24 list=support

Ca te permet de garder un accès au routeur, je t'ai mis l'ensemble de ligne qui doit normalement de permettre de garder un accès même après avoir mis des regle de firewall.

Tu vas procéder par etape, et quand tu vas arriver sur la partie "On peut enfin lancer l'authentification DHCP", tu t'assure de recevoir l'IP d'orange
Ensuite viendra la partie Firewall :
Si tu nas pas fait derreur logiquement tu ne dois pas te faire jeter. Sinon tu actives le mode safemode, si tu te fais jeter , tu reviendra a la derniere config avant dêtre passer en safe mode.

Es-tu dans une zone ou il faut appliquer la COS ?

Hello,

Me voici dans la meme configuration avec quelques petites choses qui different ;-)

J'utilise déjà une interface bridge pour mon routage inter VLANs (avec VLAN filtering). De ce que j'ai compris, il faut que les ports physiques soient declares en slaves pour que l'hardware offloading fonctionne (le RB5009 n'est pas un foudre de guerre pour la partie hardware). Avec des règles firewalls simple et du fast-track, mon routage inter-vlan fonctionne très bien. J'aimerai ne pas toucher à cette partie vu que ca fonctionne.

Dans cette configuration ci-dessous, le RB5009 est mis derriere la Livebox et je récupère une IP dynamique depuis la box (comme pour simuler ce que j'aurai avec l'ONU).

/interface bridge
add frame-types=admit-only-vlan-tagged name="bridge1 [VLANs]" vlan-filtering=yes
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface="ether2 [Livebox]" passthrough=yes
/interface bridge port
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether8 [Homelab]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether7 [Camera]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether6 [Localnet]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether5 [Manage]"
add bridge="bridge1 [VLANs]" interface="ether2 [Livebox]" pvid=666
add bridge="bridge1 [VLANs]" interface="ether1 [Desktop]" pvid=30
/interface bridge vlan
add bridge="bridge1 [VLANs]" tagged="ether8 [Homelab],bridge1 [VLANs]" vlan-ids=10
add bridge="bridge1 [VLANs]" tagged="ether7 [Camera],bridge1 [VLANs]" vlan-ids=20
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs],ether6 [Localnet]" untagged="ether1 [Desktop]" vlan-ids=30
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs],ether5 [Manage]" vlan-ids=99
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs]" untagged="ether2 [Livebox]" vlan-ids=666

Ce matin, j'ai tente de mettre la CoS 6 sur mes demandes DHCP vers la Livebox (la encore pour simuler la chose sans avoir a descendre Internet a chaque) mais je ne vois rien dans les logs. Je pense que c'est ca mon problème.

Ca fonctionne bien (la règle bridge filter) quand elle est sur un bridge séparé mais les performances ne sont pas bonnes avec 2 bridges du coup (capture en attachement).

Dans mes idees, la configuration final sera avec le vlan832 [Orange] sur mon bridge, le port sfp+ declare en slave pour que l'hardware offloading soit active. Il faut que j'arrive à faire fonctionner la CoS 6 dans ce setup.

Bonne journee,

D.