Normalement, ton bridge-lan ne devrait pas avoir d'IP de mon point de vue, seuls tes VLANs dessus en ont. J'ai 2x bridges comme toi, mon bridge VLANs n'accepte que les trames tagged (avec VLAN filtering active).

Tu assignes ensuite les ports du bridges pour avoir l'hardware offloading (H dans la seconde colonne de Bridge/Ports)

Ensuite, tu ajoutes les ports dans les VLANs du bridge suivant s'ils sont tagged ou pas (ether8 ne le sera pas, la ou les autres sont surement des trunks qui viennent d'un switch managed L2?).

Dernière étape dans le firewall, c'est dire qui a accès a quoi. Par default, vu que tous les ports sur le meme bridge, tous les VLANs discuteront avec tous.

J'ai suivis tes conseils et j'ai effectué des modifications, malheureusement ça ne fonctionne pas pour le moment.

J'ai configuré mon bridge en "Admit only VLAN tagged".
J'ai bien tous les ports nécessaires que j'ai laissé en 1 pour le PVID et configuré également en "admit only VLAN tagged".

Hello, étonnant car ca devrait fonctionner. Tu as bien tagged ton traffic sur tes ports ether6 et ether7 avec VLAN ID = 20 ?

Salut
Oui, comme tu peux le voir sur le screenshot, dans l'onglet de configuration VLAN Bridge, j'en ai crée un pour le vlan ID 20 en ajoutant le bridge br-lan, ether6 et 7 en tagged.
J'arrive à pinger la passerelle du vlan 20 depuis un ip dans le réseau par défaut 192.168.20.254, mais pas mon serveur en .200.

Tu as quoi cote firewall ?
Tu aurais un schema avec les addresses locales et les VLANs ?

Je t'ai fais un petit schéma, voir en pièce jointe.

Au niveau du firewall, voici mes règles :

[admin@MikroTik] > /ip firewall/filter/print stats
Columns: CHAIN, ACTION, BYTES, PACKETS
 # CHAIN    ACTION                        BYTES    PACKETS
;;; Add Syn Flood IP to the list
 0 input    add-src-to-address-list           0          0
;;; Drop to syn flood list
 1 input    drop                              0          0
;;; Port Scanner Detect
 2 input    add-src-to-address-list      13 264        323
;;; Drop to port scan list
 3 input    drop                         17 700        443
;;; Jump for icmp input flow
 4 input    jump                     60 460 572  1 299 761
;;; Block all access to the winbox - except to support list # DO NOT ENABLE THIS>
 5 input    drop                          1 080         26
;;; Jump for icmp forward flow
 6 forward  jump                      1 449 974     18 066
;;; Drop to bogon list
 7 forward  drop                         12 269         70
;;; Add Spammers to the list for 3 hours
 8 forward  add-src-to-address-list           0          0
;;; Avoid spammers action
 9 forward  drop                              0          0
;;; Accept DNS - UDP
10 input    accept                    1 678 353     32 222
;;; Accept DNS - TCP
11 input    accept                        2 060         49
;;; Accept to established connections
12 input    accept                   36 439 718    314 812
;;; Accept to related connections
13 input    accept                            0          0
;;; Full access to SUPPORT address list
14 input    accept                   21 664 238    107 397
;;; Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL>
15 input    drop                      5 057 022     93 917
;;; Echo request - Avoiding Ping Flood
16 ICMP     accept                   12 097 428    223 767
;;; Echo reply
17 ICMP     accept                   10 766 368    200 794
;;; Time Exceeded
18 ICMP     accept                       50 953        591
;;; Destination unreachable
19 ICMP     accept                    9 181 459     65 507
;;; PMTUD
20 ICMP     accept                            0          0
;;; Drop to the other ICMPs
21 ICMP     drop                     52 424 195  1 132 507
;;; Jump for icmp output
22 output   jump                     22 609 857    305 339
;;; drop ssh brute forcers
23 input    drop                              0          0
24 input    add-src-to-address-list           0          0
25 input    add-src-to-address-list           0          0

J'ai ajouté ltous les réseaux dont j'ai besoin dans la support list.

Bonjour,

J’ai recu un GPON-ONU-34-20BI. Malheureusement même si le serial number a été changé, je dois encore toucher le HardwareVersion pour etre accepté sur le reseau Orange.

Le problème c’est que je n’arrive même pas a pinger l’ONU sur son interface 192.168.1.10. Donc le ssh ca marche encore moins. Il est branché et reconnu sur une cage SFP mon EdgeSwitch et mon Mac a comme adresse 192.168.1.100 (même sous réseau du coup). Il n’y aucun autre appareil en conflit avec la meme IP que l’ONU.

Il doit me manquer un truc basique / évident pour accéder a cet ONU et editer le fichier /etc/mibs/data_1g_8q.ini mais je seche?

Merci pour votre aide!

J’ai essayé avec et sans, mais je n’ai pas d’indication si le lien fibre marche bien sur l’ES (je vois juste que le module SFP est fonctionnel)

Je vais retester si c’est important d’avoir la fibre branchée!

Il faut attendre longtemps une fois que tout est branché pour que l’interface apparaisse ?

@Probzx, ton serveur est situé ou sur ton schéma ? Tu a bien tagué tous tes vlans sur tes ports sfp+ (trunk) ?

Au niveau des ports 6 et 7 du routeur. Quand je fais mes tests je ping depuis le routeur lui même.