Auteur Sujet: Routeur MikroTik RB5009UG+S+IN & SFP GPON-ONU-34-20BI (Lu 7809 fois)

nonolk · « **Réponse #48 le:** 05 décembre 2023 à 10:38:09 »

A mon avis, tu devrais t'y mettre (en plus quelque part c'est ce qui est recommandé par @levieuxatorange ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140), mais en effet pour le moment ce n'est pas une obligation.
L'ipv6 c'est le futur ;-)

Dulcow · « **Réponse #49 le:** 05 décembre 2023 à 15:11:24 »

Citation de: nonolk le 05 décembre 2023 à 10:38:09

A mon avis, tu devrais t'y mettre (en plus quelque part c'est ce qui est recommandé par @levieuxatorange ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140), mais en effet pour le moment ce n'est pas une obligation.
L'ipv6 c'est le futur ;-)

On verra, pour le moment, je ne suis pas pressé.

cfz · « **Réponse #50 le:** 07 décembre 2023 à 18:48:10 »

Est-ce possible d'arrive à 1Gb d'upload en utilisant cette configuration ? J'ai eu beau utiliser le mibs data_1g_8q_us1280_ds512 je plafonne à 600 comme beaucoup.

Un peu partout sur le forum je vois des gens qui postent des résultats identiques aux miens mais quelques rares personnes (notamment ici https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg992075/#msg992075) arrivent à upload à 1Gbps.

J'ai testé sans le bridge filter pour la CoS 6, ça a le mérite de soulager le CPU mais ça ne change malheureusement rien au débit.

Edit :
Après avoir vérifié mon contrat, j'ai droit à 2Gbps/600Mbps

Atmis · « **Réponse #51 le:** 07 décembre 2023 à 22:21:34 »

Effectivement, ce sont les offres pros qui permettent de monter à 1Gbps en upload

Kana-chan · « **Réponse #52 le:** 08 décembre 2023 à 13:16:44 »

Pas que, l'offre GP 5000 / 1000 sur Livebox 7 c'est bien du 1 Gbps en upload

Dulcow · « **Réponse #53 le:** 10 décembre 2023 à 13:36:14 »

Citation de: nonolk le 05 décembre 2023 à 10:38:09

A mon avis, tu devrais t'y mettre (en plus quelque part c'est ce qui est recommandé par @levieuxatorange ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140), mais en effet pour le moment ce n'est pas une obligation.
L'ipv6 c'est le futur ;-)

Hello, je suis en train de regarder pour la partie DHCPv6 et je ne comprends pas trop bien tes règles bridge filter (exemple issue de ton post sur le forum MikroTik) :

Code: [Sélectionner]

/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=vlan832-wan passthrough=yes
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832-wan
add action=set-priority chain=output mac-protocol=arp new-priority=6 out-interface=vlan832-wan passthrough=yes
add action=set-priority chain=output comment=NA/NS mac-protocol=ipv6 new-priority=6 out-interface=vlan832-wan packet-mark=na/ns passthrough=yes

- Sur la 2nde règle, il n'y pas de passthrough=yes alors qu'on l'a sur toutes les autres ?
- Sur la 3eme règle, il n'y a pas de parcket-marl=na/ns alors que tu en as mis en IPv6 dans la 4eme ?

A+

D.

zoc · « **Réponse #54 le:** 10 décembre 2023 à 16:19:33 »

La 3ème c’est pour ARP, pas IPv6. Le comment=na/ns est un commentaire. Ça ne sert à rien à part donner des infos à l’humain qui lit la ligne.

Probzx · « **Réponse #55 le:** 10 décembre 2023 à 19:19:09 »

Bonsoir,
Je profite de ce topic pour vous demander des conseils sur la configuration de mon RB5009.
Ma config est opérationnelle pour l'accès internet mais je stagne sur la configuration des vlans.
Je ne parviens pas à faire en sorte que les différents appareils situés dans les différents vlans puissent accéder à internet et communiquer entre eux.
J'utilise un bridge au niveau du LAN qui regroupe tous les ports sauf le 8 qui me sert de backup dans le cas où je me coupe la main, ainsi que le eth1 qui est ma patte WAN.
Le port SFP est utilisé pour la liaison avec un switch de distribution, il doit faire passer tous les vlans.
Voici ma config :

Dulcow · « **Réponse #56 le:** 10 décembre 2023 à 19:47:27 »

Citation de: Probzx le 10 décembre 2023 à 19:19:09

Bonsoir,
Je profite de ce topic pour vous demander des conseils sur la configuration de mon RB5009.
Ma config est opérationnelle pour l'accès internet mais je stagne sur la configuration des vlans.
Je ne parviens pas à faire en sorte que les différents appareils situés dans les différents vlans puissent accéder à internet et communiquer entre eux.
J'utilise un bridge au niveau du LAN qui regroupe tous les ports sauf le 8 qui me sert de backup dans le cas où je me coupe la main, ainsi que le eth1 qui est ma patte WAN.
Le port SFP est utilisé pour la liaison avec un switch de distribution, il doit faire passer tous les vlans.
Voici ma config :

Normalement, ton bridge-lan ne devrait pas avoir d'IP de mon point de vue, seuls tes VLANs dessus en ont. J'ai 2x bridges comme toi, mon bridge VLANs n'accepte que les trames tagged (avec VLAN filtering active).

Tu assignes ensuite les ports du bridges pour avoir l'hardware offloading (H dans la seconde colonne de Bridge/Ports)

Ensuite, tu ajoutes les ports dans les VLANs du bridge suivant s'ils sont tagged ou pas (ether8 ne le sera pas, la ou les autres sont surement des trunks qui viennent d'un switch managed L2?).

Dernière étape dans le firewall, c'est dire qui a accès a quoi. Par default, vu que tous les ports sur le meme bridge, tous les VLANs discuteront avec tous.

Dulcow · « **Réponse #57 le:** 10 décembre 2023 à 19:48:10 »

Citation de: zoc le 10 décembre 2023 à 16:19:33

La 3ème c’est pour ARP, pas IPv6. Le comment=na/ns est un commentaire. Ça ne sert à rien à part donner des infos à l’humain qui lit la ligne.

Merci, j'ai vire la règle ;-)

Probzx · « **Réponse #58 le:** 10 décembre 2023 à 23:46:14 »

Citation de: Dulcow le 10 décembre 2023 à 19:47:27

Normalement, ton bridge-lan ne devrait pas avoir d'IP de mon point de vue, seuls tes VLANs dessus en ont. J'ai 2x bridges comme toi, mon bridge VLANs n'accepte que les trames tagged (avec VLAN filtering active).

Tu assignes ensuite les ports du bridges pour avoir l'hardware offloading (H dans la seconde colonne de Bridge/Ports)

Ensuite, tu ajoutes les ports dans les VLANs du bridge suivant s'ils sont tagged ou pas (ether8 ne le sera pas, la ou les autres sont surement des trunks qui viennent d'un switch managed L2?).

Dernière étape dans le firewall, c'est dire qui a accès a quoi. Par default, vu que tous les ports sur le meme bridge, tous les VLANs discuteront avec tous.

Merci pour tes conseils ! Je vais modifier ma configuration.
En fait, je me sert des ports 2 à 7 comme d'un switch, je veux faire transiter les vlan 20, 100 et 200 sur les ports 6 et 7 (Proxmox), les ports 2 à 5 sur du vlan 10 (lan) et enfin tous les vlan sur le ports SFP+ qui est relié à mon switch.
De là je pourrais dispatcher les vlans sur mon switch, qui seront tous sur le vlan 10 sauf le deuxième port SFP+ sur lequel je ferais transiter les vlans 20, 100 et 200.

nonolk · « **Réponse #59 le:** 11 décembre 2023 à 10:52:26 »

@Dulcow, tu vas un peu vite en besogne ;-)

Si les règles sont là c'est pour correspondre à:

Citer

La mystérieuse COS6 ... :
La COS6 sert à prioriser les pkts DHCP(4/6), ARP et ICMP NS/NA entre la boxe et la BNG (premier routeur qui gère les IPs) qui gère le contexte client.
Normalement, une COS0 sur ces paquets ne devrait pas marcher, mais un bug de certain équipement le permet.
Comme vous ne pouvez pas savoir sur quel équipement vous êtes ni si vous allez rester dessus (upgrade / changement / réaménagement) je conseille fortement de passer la conf en COS6
La COS6 ne va pas plus loin que le BNG et est remplacé par une COS0 à ce point, il ne sert donc à rien de taguer tous vos paquets en COS6. De plus le trafic en COS6 est fortement limité en débit, donc là aussi, si vous pouvez limiter proprement uniquement aux paquets ci dessus, c'est nettement mieux.
La COS6 jusqu'au BNG sert à protéger le trafic d'établissement et de maintient de la connexion en cas de surcharge sur le segment client <-> BNG. Plein de cas possible.

La COS6 (et idéalement le pendant dscp) doit être appliqué :
Au DHCPv4v6 issu de la boxe
Au ARP issu de la boxe
A l'ICMPv6 code NS/NA issu de la boxe et à destination de l'ipv6 fe80::ba0:bab
A l'ICMPv6 code RS issu de la boxe et à destination de l'ipv6 multicast idoine (c'est ba0bab qui répond)
Rien d'autre ...

Le BNG peut avoir utilité à avoir un marquage DSCP en plus de la COS.
Cependant très peu de chance que ce BNG soit à saturation, ni sur les cartes d'interface, ni en coeur.
Je maintiens donc : DSCP cohérent avec la COS, c'est mieux. Mais dans > 99% des cas cela se passera bien même sans le DSCP en ligne avec la COS

Voir ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/ donc si j'étais toi je referai cette règle.

Pour la question sur la règle 2 c 'est lié au client dhcpv6 et son implémentation cf: https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg807140/#msg807140, le passthrough n'est pas obligatoire a mon sens c'est a toi de voir si tu t'en sers ou pas (passthrough - if a packet is matched by the rule, increase counter and go to next rule (useful for statistics)).

Bonne journée,