La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: ablyes le 03 novembre 2023 à 17:46:53
-
Bonjour,
Le routeur MikroTik RB5009UG+S+IN peut servir à remplacer le livebox, je propose de créer un thread dédié.
Ce routeur n'est pas aussi avancé que son grand frère le CCR2004, mais est largement plus accessibles pour nos bourses.
Il est également plus évolué que le HeX S.
La complexité du CCR2004 fait que la configuration proposée dans le thread original https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/ est loin de coller directement à ce routeur, elle m'a à la fois aidé, mais par la suite découragé la première fois que j'ai essayé de configurer mon RB5009UG.
Je vais ici détailler ce que j'ai fait pour arriver à faire marcher l'ipv4, et on verra où cela nous mènera.
J'ai comme décrit sur la page du CCR2004, acheté un ONU acheté chez FS.com.
Réf. de l'ONU : SFP GPON-ONU-34-20BI (https://www.fs.com/fr/products/183843.html?attribute=46672&id=3208708)
PART 1 : Quelques notes et configuration basique
On se prépare psychologiquement, et on sauvegarde quelque part les élements suivant que l'on trouve notés sur l'arrière de sa livebox, dans les menus admin, ou dans la doc reçu avec la livebox.
- Serial number : SMBSXXXXXXXX
- Hardware version : SMBSSXXXXXXX
- Login/password pour la connexion.
On branche le routeur, cable rj45 sur le port ether8.
On accède à sa console d'admin à partir de son navigateur, à partir de l'adresse : 192.168.88.1
On change le mot de passe, on met à jour son routeur et on effectue les modifications suivantes :
(https://i.ibb.co/PZ5GzG4/config-base.png) (https://ibb.co/BVg2K2j)
On débranche/rebranche son cable réseau.
PART 2 : Configuration de l'ONU
1/ sur le GPON après un ssh sur 192.168.1.10
[Conditions :
- Faut avoir la fibre connectée sur le module
- Si vous êtes sur votre réseau en 192.168.1.255 , alors vérifier bien que vous n'avez rien en .10]
ssh -o KexAlgorithms=diffie-hellman-group14-sha1 -oHostKeyAlgorithms=+ssh-dss 192.168.1.10 -l ONTUSERMot de passe
7sp!lwUBz12/ on rentre le numéro de série précédement noté
set_serial_number SMBSXXXXXXXX3/ on rentre le vendor_ID
sfp_i2c -i 7 -s “ SMBS”4/ pour ma part, j'ai dû mettre le hardware version de l'ONT.
cp /etc/mibs/data_1g_8q.ini /etc/mibs/data_1g_8q.ini.ORG
vi /etc/mibs/data_1g_8q.ini
rempalacer la ligne ci-dessous avec le hardware version de l'ONT =>
# ONT-G
256 0 HWTC 0000000000000 00000000 2 0 0 0 0 #0
PAR
256 0 SMBS SMBSSXXXXXXX\0 00000000 2 0 0 0 0 #0
5/ un petit reboot
reboot6/ On se reconnecte, puis on tape cette commande dont le résultat devrait faire apparaitre "curr_state=5 previous_state=4"
onu ploamsg
PART 3 : Configuration IPv4
Je désactive les interfaces que je ne compte pas utiliser.
De ether2 à ether7.
Pour le moment on est branché à ether8, on utilisera ether8.
L'idéal étant d'utiliser ether1 qui est le port en 2,5Gb/s
/interface ethernet
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
On met l'adresse mac de sa livebox (adaptez bien cette ligne... n'allez pas la recopier)
/interface bridge
add admin-mac=20:XX:XX:XX:XX:XX auto-mac=no name=bridge
VLAN 832 pour Internet
/interface vlan
add comment="Internet ONT" interface=sfp-sfpplus1 loop-protect-disable-time=0s \
loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
Set des options du client DHCP, adaptez les 140 caractères YYYYYYYY, comme suivant :
1- allez sur https://jsfiddle.net/kgersen/3mnsc6wy/, entrez le login/pass et copiez la sortie simplement.
2- dans votre éditeur préféré : ajouter 0x au début, et supprimez les deux points ":" partout.
/ip dhcp-client option
add code=60 name=vendor-class-identifier value=0x736167656d
add code=77 name=userclass value="0x2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833"
add code=90 name=authsend value=0xYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=1w name=LAN
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes \
log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 \
out-interface=vlan832-internet passthrough=yes
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \
interface=bridge
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=1.1.1.1,1.0.0.1 \
gateway=192.168.1.1 netmask=24
Règles firewall, et je suis totalement dépassé !
/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=192.168.42.0/24 list=support
add address=192.168.255.0/24 list=support
##############################
# Puis quelques classes qui ne devraient pas nécessairement pousser des datagrames sur l'interface WAN
##############################
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" disabled=yes list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
#add address=224.0.0.0/4 comment="MC, Class D, IANA" disabled=yes list=bogons
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input comment="Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST" dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established
add action=accept chain=input comment="Accept to related connections" connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
Si on expose le port ssh:
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge to-addresses=0.0.0.0
/ip service
set telnet disabled=yes
set ftp disabled=yes
Avec ça vous avez internet.
PART 4 : Configuration IPv6
Je ne le ferai pas, si quelqu'un est motivé pour s'en charger, je mettrai à jour ici cette partie.
PART 5 : Autours du routeur
* dhcp statique :
Voici un exemple, à adapter selon votre IP/adresse mac.
add address=192.168.1.100 comment="cam 1" mac-address=XX:XX:XX:XX:XX:XX
add address=192.168.1.101 comment="cam 2" mac-address=XX:XX:XX:XX:XX:XX
* création d'un DNS NAME
/ip cloud
set ddns-enabled=yes
print
On devrait avoir ceci :
ddns-enabled: yes
ddns-update-interval: none
update-time: yes
public-address: 159.148.147.196
public-address-ipv6: 2a02:610:7501:1000::2
dns-name: 529c0491d41c.sn.mynetname.net. <<<<<<<<<<<<<<< voici ce qui nous interesse.
status: updated
Maintenant il faut créer une liste d'adresses qui ne contiendra que votre DNS Name.
Cette adresse sera utilisée pour le port forward.
add address=529c0491d41c.sn.mynetname.net list=public_address
* port forwarding avec loopback
Exemple avec port 443.
Au lieu de filtrer avec l'IP externe directement, qui risque de changer, on utilise la liste "public_address" qui ne contient qu'une seule adresse : votre ip externe.
Pour être honnête, je n'ai pas encore tester le changement d'ip.
/ip/firewall/nat
add action=dst-nat chain=dstnat comment=https dst-address-list=public_address \
dst-port=443 protocol=tcp src-address-list="" to-addresses=192.168.1.100 \
to-ports=443
CHANTIER EN COURS.
N'hésitez pas à apporter des corrections et améliorations.
J'espère que ça simplifiera grandement la vie à ceux qui n'ont pas le temps de faire un master réseau pour changer leur livebox.
-
Problèmes non résolus ou doutes émis à propos de la configuration ci-dessus
1- Le débit en DL est OK, le débit en UP est moitié moins qu'avec la livebox. Aucune idée de le raison.
2- Que vaut mon firewall avec la configuration ci-dessus face à celui d'une livebox ? Est-ce-que toutes les règles de sécurité sont OK ? Je n'en sais rien.
3- L'ipv6 n'est toujours pas configuré, mais j'en ai pas besoin pour le moment.
4- J'utilise le port ether8, est-ce-que gagne quelque chose à passer sur le port ether1 ? Pas sûr.
-
Salut !
Concernant tes regles firewall pour le SSH, est-ce bien nécessaire ?
tu veux acceder a ton routeur par ssh depuis internet ?
Si tu ne veux pas te prendre un brute force par SSH depuis le wan le plus simple reste quand meme de soit desactiver SSH, soit en bloquer l'accès depuis le wan.
Je me trompe peut-etre mais je ne crois pas que mettre plein de regles firewall va rendre le routeur plus sécurisé.
1 on bloque tout ce qui veut rentrer.
2 on autorise que ce dont on a besoin.
je prends cette regle au pif :
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 protocol=tcp src-address-list=spammersBloquer le port 25 et 587, ca veut dire qu'on a un serveur mail à la maison ?
Si ce n'est pas le cas alors la règle ne sert a rien. la règle "on bloque tout ce qui veut rentrer." devrait faire le job non ? sinon on devrait faire ces 2 regles là pour tous les ports qui existent...
ces 2 règles là :
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcpca permet a ton routeur d'être un serveur DNS sur internet ? ou je me trompe ?
-
Oui, j'ai bien un serveur mail.
Mais pour le SSH, non, je ne veux surtout accéder à mon routeur en ssh de l'extérieur.
Je préfère monter un VPN, puis attaquer en local.
De toute façon, pour le moment je n'expose pas le port 22 (pas de port forward de ce port)
-
ok alors dans ce cas toute cette partie est optionelle, et ne s'adresse qu'a ceux qui exposent leur port 22 sur le net :
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
celle-ci optionnelle aussi et ne s'adresse qu'a ceux qui ont un serveur mail chez eux :
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 protocol=tcp src-address-list=spammersD'ailleurs elle est interessante car on peut l'adapter en changeant les ports, a d'autres services qu'on voudrait rendre disponible aussi sur le net.
Pour les 2 règles de DNS, je m'intérroge encore...
-
Bonsoir ablyes, merci pour ce tutoriel, c'est un très bon début.
Il manque une précision ici : 256 0 SMBS SMBSSXXXXXXX\0 00000000 2 0 0 0 0 #0 , de mémoire, c'est à remplacer par le hardware version.
Le masquerade et le dhcp-client se font sur le vlan 832 (vlan832-internet). Cela permet de respecter l'architecture Orange.
Qu'est-ce que port forwarding avec loopback ? Parce qu'une interface "loopback" sert soit pour la communication du périphérique (PC) avec lui même soit pour la communication des protocoles de routage (routeur).
PART 4 : Configuration IPv6
Bientôt.
Parce que si l'IPV6 fonctionne mal, il impactera l'IPV4 -> et vous n'aurez plus internet !
Concernant ce point, ce n'est pas tout à fait exact, l'IPv6 n'impacte pas obligatoirement l'IPv4. Selon la configuration, il faut effectivement que les clients ne priviligient pas IPv6 (en cas de problème de configuration).
En revanche, il est vrai qu'il y a des vrais problèmes avec IPv6 chez Mikrotik en fonction des versions de RouterOS. Pour ceux que ça intéresse, j'ai ouvert deux tickets (en cours de traitement).
1) L'IGMP snooping sur le bridge bloque les paquets RA. Si un switch Mikrotik (ici, c'est un CRS310-1G-5S-4S+) se trouve entre le routeur et le PC, pas d'IPv6 !
2) Les RA IPv6 du routeur (ici ccr2116-12g-4S+) sont parfois mal générés (envoi de plusieurs préfixes IPv6, options manquantes, mauvais préfixe envoyé, ...). Pas d'IPv6 sur Windows 10 ou problème de routage Pv6.
Ces deux cas sont malheuereusement vrais pour les versions 7.11.2 + 7.12rc6.
-
Bonsoir ablyes, merci pour ce tutoriel, c'est un très bon début.
Il manque une précision ici : 256 0 SMBS SMBSSXXXXXXX\0 00000000 2 0 0 0 0 #0 , de mémoire, c'est à remplacer par le hardware version.
Le masquerade et le dhcp-client se font sur le vlan 832 (vlan832-internet). Cela permet de respecter l'architecture Orange.
Qu'est-ce que port forwarding avec loopback ? Parce qu'une interface "loopback" sert soit pour la communication du périphérique (PC) avec lui même soit pour la communication des protocoles de routage (routeur).
Concernant ce point, ce n'est pas tout à fait exact, l'IPv6 n'impacte pas obligatoirement l'IPv4. Selon la configuration, il faut effectivement que les clients ne priviligient pas IPv6 (en cas de problème de configuration).
En revanche, il est vrai qu'il y a des vrais problèmes avec IPv6 chez Mikrotik en fonction des versions de RouterOS. Pour ceux que ça intéresse, j'ai ouvert deux tickets (en cours de traitement).
1) L'IGMP snooping sur le bridge bloque les paquets RA. Si un switch Mikrotik (ici, c'est un CRS310-1G-5S-4S+) se trouve entre le routeur et le PC, pas d'IPv6 !
2) Les RA IPv6 du routeur (ici ccr2116-12g-4S+) sont parfois mal générés (envoi de plusieurs préfixes IPv6, options manquantes, mauvais préfixe envoyé, ...). Pas d'IPv6 sur Windows 10 ou problème de routage Pv6.
Ces deux cas sont malheuereusement vrais pour les versions 7.11.2 + 7.12rc6.
Merci pour ton retour.
Pour la hardware version, je l'ai bien mis, mais avant avec cette phrase :
"rempalacer la ligne ci-dessous avec le hardware version de l'ONT =>"
Je vais faire le changement pour le dhcp-client, donc au lieu de ça,
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge to-addresses=0.0.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \
interface=bridge
je devrais avoir ça ?
/ip firewall nat
add action=masquerade chain=srcnat out-interface=vlan832-internet to-addresses=0.0.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \
interface=vlan832-internet
Peux-tu m'expliquer (plus doucement) pourquoi ?
Pour le port forward et le loopback, c'est que j'heberge un tas de services, et je veux pouvoir y accéder à partir d'un tas d'appareils, sans me prendre la tête avec si je suis en LAN ou WAN.
Il était donc essentiel d'avoir cette partie fonctionnelle. Pas toutes les box gèrent le loopback, et je suis en partie chez orange, parce qu'il est très bien supporté. D'ailleurs, ils ont eu un moment un souci qui a duré quelques mois, le loopback ne fonctionnait plus. Cela m'a encouragé à regarder pour le remplacement de la livebox.
C'est noté pour l'IPV6, je vais le sortir du lot, parce que je n'ai pas le temps de le faire en ce moment.
Sinon, pour le débit de l'upload, t'aurais pas une idée ?
Merci en tout cas pour vos feedbacks, c'est très encourageant.
-
Nouveau souci :
Mon server mail bloque l'ip de mon routeur 192.168.1.1
Trop de tentatives de connexion.
Je ne comprends pas trop pourquoi ...
Je ne veux pas encore mettre cette IP dans la liste verte, je veux d'abord comprendre pourquoi en local, en utilisat les règles de port forward et loopback actuelles, mon serveur mail (synology) décide de bloquer l'IP du routeur.
Avez-vous une idée ?
-
Trop de tentatives de connexion.
Tu as les logs qui indiquent cela ?
Mail station devrait bloquer les IP externes, pas le routeur.
-
Y'a qu'une seule machine qui accède à ce serveur mail en local.
192.168.1.16 <> 192.168.1.1 <> 192.168.30
ordi local <> routeur <> nas syno
-
Sinon, pour le débit de l'upload, t'aurais pas une idée ?
Merci en tout cas pour vos feedbacks, c'est très encourageant.
pour ton problème d'upload ce serai pas le souci connu du SFP GPON-ONU-34-20BI ?
résolution par fw_setenv mib_file data_1g_8q_us1280_ds512.ini ?
ex : https://lafibre.info/remplacer-bbox/routeur-sfp-pour-remplacer-bbox-fibre-ont/168/ (https://lafibre.info/remplacer-bbox/routeur-sfp-pour-remplacer-bbox-fibre-ont/168/)
ps dans ce cas (en tout cas chez Bouygues il faut attendre un temps certain pour que l'upload remonte)
-
je n'arrive plus à me connecter à l'ONT !
-
je n'arrive plus à me connecter à l'ONT !
Suite à une manoeuvre particulière ?
-
Non rien, j'ai bcp de mal à avoir le prompt via ssh à partir de ma machine.
Au bout d'un moment j'arrive à mettre le mot de passe (après plusieurs tentatives), mais je ne peux rien taper, puis déconnexion.
Comme si une règle du firewall empêchait ma connexion.
J'ai désactivé les règles ssh temporairement pour voir, pas d'impact.
-
Non rien, j'ai bcp de mal à avoir le prompt via ssh à partir de ma machine.
Au bout d'un moment j'arrive à mettre le mot de passe (après plusieurs tentatives), mais je ne peux rien taper, puis déconnexion.
Comme si une règle du firewall empêchait ma connexion.
J'ai désactivé les règles ssh temporairement pour voir, pas d'impact.
il répond au ping ?
-
ça pue ...
~ ping 192.168.1.10
PING 192.168.1.10 (192.168.1.10): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
64 bytes from 192.168.1.10: icmp_seq=2 ttl=64 time=1.031 ms
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
64 bytes from 192.168.1.10: icmp_seq=7 ttl=64 time=0.816 ms
64 bytes from 192.168.1.10: icmp_seq=8 ttl=64 time=0.870 ms
64 bytes from 192.168.1.10: icmp_seq=9 ttl=64 time=0.961 ms
64 bytes from 192.168.1.10: icmp_seq=10 ttl=64 time=0.992 ms
64 bytes from 192.168.1.10: icmp_seq=11 ttl=64 time=0.979 ms
64 bytes from 192.168.1.10: icmp_seq=12 ttl=64 time=0.821 ms
64 bytes from 192.168.1.10: icmp_seq=13 ttl=64 time=0.959 ms
Request timeout for icmp_seq 14
Request timeout for icmp_seq 15
Request timeout for icmp_seq 16
Request timeout for icmp_seq 17
Request timeout for icmp_seq 18
Request timeout for icmp_seq 19
Request timeout for icmp_seq 20
Request timeout for icmp_seq 21
Request timeout for icmp_seq 22
On peut se connecter à l'ONT avec une connexion internet OK ?
-
ça pue ...
~ ping 192.168.1.10
PING 192.168.1.10 (192.168.1.10): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
64 bytes from 192.168.1.10: icmp_seq=2 ttl=64 time=1.031 ms
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
Request timeout for icmp_seq 6
64 bytes from 192.168.1.10: icmp_seq=7 ttl=64 time=0.816 ms
64 bytes from 192.168.1.10: icmp_seq=8 ttl=64 time=0.870 ms
64 bytes from 192.168.1.10: icmp_seq=9 ttl=64 time=0.961 ms
64 bytes from 192.168.1.10: icmp_seq=10 ttl=64 time=0.992 ms
64 bytes from 192.168.1.10: icmp_seq=11 ttl=64 time=0.979 ms
64 bytes from 192.168.1.10: icmp_seq=12 ttl=64 time=0.821 ms
64 bytes from 192.168.1.10: icmp_seq=13 ttl=64 time=0.959 ms
Request timeout for icmp_seq 14
Request timeout for icmp_seq 15
Request timeout for icmp_seq 16
Request timeout for icmp_seq 17
Request timeout for icmp_seq 18
Request timeout for icmp_seq 19
Request timeout for icmp_seq 20
Request timeout for icmp_seq 21
Request timeout for icmp_seq 22
On peut se connecter à l'ONT avec une connexion internet OK ?
euh non il me semble (mon setup est un peu particulier (port isolation..) donc de toute façon je dois me déconnecter d'internet pour me connecter à l'ont).
mais la fibre doit être branchée (sauf modif comme indiquée sur le site https://hack-gpon.org/ont-fs-com-gpon-onu-stick-with-mac/)
-
ton routeur est en 192.168.1.1 et ton ONT en 192.168.1.10 ? le WAN et le LAN dans le meme sous réseau ? :o
-
Oui, il me semble.
-
je n'arrive plus à me connecter à l'ONT !
De mémoire, si la fibre est connectée à l'ONT, tu n'as plus accès à l'ONt. Débranche la fibre et reboot au besoin le routeur.
Pourquoi mettre le dhcp-client sur le vlan 832 ? Je te poserai la question inverse, pourquoi mettre le dhcp-client sur le bridge ?
Heu ......
Prenons l'exemple d'une île et d'un continent. L'île c'est le vlan840, le continent, le vlan832 (permet d'accéder à Internet). Toi, tu te trouves déjà sur le continent. Mais tu veux accéder aussi à l'île (en pratique, pour pouvoir modifier la CoS des paquets DHCPv4 ou pour envoyer des requêtes IGMP). Toutefois, tu construis un pont (bridge) pour accéder à l'île. Pourquoi tu passerais sur le pont pour pouvoir accéder au continent où tu te trouves déjà ? C'est un peu ce que tu as mis en place.
Bon c'est un peu brouillon, mais c'est assez compliqué à expliquer si tu as peu de notion réseau, mais grosso modo, le bridge ne sert qu'à une seule chose, pouvoir tagger les paquets DHCPv4 parce qu'on ne peut pas le faire avec autre chose directement sur le CCR2004 (enfin, moi je parle en fait du CCR2116 que je possède).
Mikrotik : le bridge est interface virtuelle de niveau 2 pour faire de la commutation (principe du switch)
le vlan est une interface virtuelle de niveau 3 pour séparer les réseaux.
Au passage, Mikrotik travaille sur une solution (QoS) pour faire des switchs rules en egress qui remplaceront le bridge rule (consommateur en performance au passage).
-
Problèmes non résolus ou doutes émis à propos de la configuration ci-dessus
1- Le débit en DL est OK, le débit en UP est moitié moins qu'avec la livebox. Aucune idée de le raison.
2- Que vaut mon firewall avec la configuration ci-dessus face à celui d'une livebox ? Est-ce-que toutes les règles de sécurité sont OK ? Je n'en sais rien.
3- L'ipv6 n'est toujours pas configuré, mais j'en ai pas besoin pour le moment.
4- J'utilise le port ether8, est-ce-que gagne quelque chose à passer sur le port ether1 ? Pas sûr.
Point 1 : Aucune idée ! Le UP c'est le Speedtest ? Il y avait des bridages si les paquets autre que les DHCP ont une CoS différente, mais le bridge filter est correct. Peut-être le fait de passer par le bridge au lieu du vlan832 consomme du CPU (ce que je répètes depuis quelques jours !). Vérifies les ressoures du Mikrotik pendant l'Upload :
Pour monitorer les services
/tool/profile cpu=allPour monitor uniquement les CPU
/system/resource/cpu/print interval=13 - Oublie l'IPv6, trop de problème en fonction des versions de RouterOS, tu risquerais d'avoir des problèmes qui sont liés à des bugs...
Point 4 : Vu le diagramme du Mikrotik https://i.mt.lv/cdn/product_files/RB5009UGS_220852.png, changer de port n'améliorera pas les perfs.
Au fait, concernant
je devrais avoir ça ?
/ip firewall nat
add action=masquerade chain=srcnat out-interface=vlan832-internet to-addresses=0.0.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier \
interface=vlan832-internet
OUI !
-
Merci pour ton retour.
Pour la fin, j'ai des soucis, parce que ça dit que je ne peux pas appliquer sur interface en slave. Regardez
(https://i.ibb.co/1s9FGT6/vlan832-internet.png) (https://ibb.co/JxzDjHQ)
Et pareil pour la partie dhcp-client.
I'interface est slave de qui ? Pourquoi ?
(https://i.ibb.co/PZd9rhW/slave.png) (https://ibb.co/WWLPHyz)
-
Merci pour ton retour.
Pour la fin, j'ai des soucis, parce que ça dit que je ne peux pas appliquer sur interface en slave. Regardez
(https://i.ibb.co/1s9FGT6/vlan832-internet.png) (https://ibb.co/JxzDjHQ)
Et pareil pour la partie dhcp-client.
I'interface est slave de qui ? Pourquoi ?
(https://i.ibb.co/PZd9rhW/slave.png) (https://ibb.co/WWLPHyz)
Ah, ça me rappelle des choses... J'avais oublié cette particularité chez Mikrotik (je n'utilise pas de bridge sur mon routeur). Je n'ai pas ce phénomène en v7.12rc6 sur le CCR2116-12G-4S+, mais chaque matériel peut avoir des différences de comportement...
Remplace l'interface sfp-sfpplus1 par bridge
/interface vlan
add comment="Internet ONT" interface=bridge loop-protect-disable-time=0s \
loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
Est-ce que tu as bien quelques choses comme ça ?
/interface bridge port export
[b]/interface bridge port
add bridge=bridge interface=sfp-sfpplus1 [/b]
-
/interface bridge port export
# 2023-11-11 00:52:35 by RouterOS 7.12
# software id = FVJY-YJ61
#
# model = RB5009UG+S+
# serial number = XX
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge interface=vlan832-internet
-
/interface bridge port
add bridge=bridge interface=vlan832-internet
Supprime la ligne ci-dessus, si cela ne solutionne pas le problème, quelle est la version de RouterOS ?
Je n'ai aucun interface slave peu importe comment je crée les interfaces bridge / vlan / ethernet. Soit c'est lié à l'OS, soit c'est lié au HW.
[admin@CCR] /system/routerboard> print
routerboard: yes
model: CCR2116-12G-4S+
serial-number: xxxxxxxxxxxx
firmware-type: al64v3
factory-firmware: 7.2
current-firmware: 7.12rc6
upgrade-firmware: 7.12rc6
-
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge interface=vlan832-internet
/interface vlan
add comment="Internet ONT" interface=bridge loop-protect-disable-time=0s loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=vlan832-internet to-addresses=0.0.0.0
....
....
/ip dhcp-client
add comment=defconf interface=ether1
add dhcp-options=hostname,clientid,authsend,userclass,vendor-class-identifier interface=vlan832-internet
Résultat :
+ meilleur débit en UP.
- plus d'accès au routeur en http sur le port 80
- plus d'accès au routeur en ssh (cependant, c'était après reboot du routeur)
+ j'arrive à pinger l'adresse du routeur .1.1
- le port forward ne marche plus, je dois l'adapter, mais j'aimerais bien déjà réparer l'accès au routeur.
Et comme je suis totalement perdu, est-ce-que j'ai plus de cohérence ?
-
Et comme je suis totalement perdu, est-ce-que j'ai plus de cohérence ?
Oui, je viens de voir aussi dans ton configuration initiale que tu avais un serveur ET un client dhcp sur ton interface bridge. Je ne sais pas comment ça pouvait fonctionner correctement. Si on fait une analogie avec la communication entre êtres humaisn, c'est comme si tu veux parler à une personne (1 interface) mais qu'en pratique tu t'écoutes (rôle du client) toi-même parler (rôle du serveur). Pour que cela fonctionne, il te faut 2 personnes (2 interfaces), avec une personne (interface bridge) qui parle (1 serveur, ton routeur) et une autre qui écoute (1 client - ton PC). Je cite précédemment le fonctionnement du LAN (là où se trouve tes périphériques PC, ...). Pour la partie WAN (accès à Internet et le reste du monde), le serveur se trouve sur l'interface vlan 832 du matériel Orange (auquel nous n'avons pas accès physiquement), le client c'est l'interface vlan 832 de ton routeur. J'espère que l'analogie est claire :/
Tu n'as pas supprimé add bridge=bridge interface=vlan832-internet
Pourquoi tu as perdu ton accès au port 80+ssh : dans ta configuration, tu bloques toutes les connexions entrantes vers le routeur : add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"Ajoute une règle avant ce drop :
/ip firewall filter
chain=input action=accept connection-state=new protocol=tcp src-interface-list=support dst-port=22,80,443,8291
Je ne sais pas d'où vient la configuration mais elle ne doit pas servir pour une architecture spécifique.
-
Pourquoi tu as perdu ton accès au port 80+ssh : dans ta configuration, tu bloques toutes les connexions entrantes vers le routeur : add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"....
Je ne sais pas d'où vient la configuration mais elle ne doit pas servir pour une architecture spécifique.
Cette ligne s'accompagne de la précédente :
add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
Il faut bien sur avoir rempli l'adress-list avec les IP que l'on utilise.
/ip firewall address-list
add address=192.168.10.0/24 list=support
Comme l'ONU utilise une adresse 192.168.1.X/24 je préfère pour éviter de tout mélanger de changer l'adresse du local.
Cette config de Firewall que Gnubyte avait proposé dans son post fonctionne très bien.
ablyes: Tu n'utilises pas Winbox ? C'est vachement plus pratique que de faire ca via la page web.
-
Cette ligne s'accompagne de la précédente :
add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
Il faut bien sur avoir rempli l'adress-list avec les IP que l'on utilise.
/ip firewall address-list
add address=192.168.10.0/24 list=support
Comme l'ONU utilise une adresse 192.168.1.X/24 je préfère pour éviter de tout mélanger de changer l'adresse du local.
Cette config de Firewall que Gnubyte avait proposé dans son post fonctionne très bien.
ablyes: Tu n'utilises pas Winbox ? C'est vachement plus pratique que de faire ca via la page web.
/ip firewall address-list
add address=192.168.10.0/24 list=support
Tu veux dire qu'après ça j'aurai tout mon réseau 192.168.10.XXX ?
Seul l'ONU sera accessible en 192.168.1.10 ?
Même avec winbox, il arrive à faire un scan et trouver le routeur, mais je n'arrive pas à m'y connecter.
Je crois ne pas avoir le choix que de faire un reset du routeur.
Puis reprendre mon propre tuto avec les dernières adaptations (pas mélanger bridge et tout le reste... un schema m'aiderait. bcp).
-
/ip firewall address-list
add address=192.168.10.0/24 list=support
Tu veux dire qu'après ça j'aurai tout mon réseau 192.168.10.XXX ?
Seul l'ONU sera accessible en 192.168.1.10 ?
Même avec winbox, il arrive à faire un scan et trouver le routeur, mais je n'arrive pas à m'y connecter.
Je crois ne pas avoir le choix que de faire un reset du routeur.
Puis reprendre mon propre tuto avec les dernières adaptations (pas mélanger bridge et tout le reste... un schema m'aiderait. bcp).
Le "safe mode" est sympa aussi
-
Cette ligne s'accompagne de la précédente :
add action=accept chain=input comment="Full access to SUPPORT address list" src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
Il faut bien sur avoir rempli l'adress-list avec les IP que l'on utilise.
/ip firewall address-list
add address=192.168.10.0/24 list=support
Comme l'ONU utilise une adresse 192.168.1.X/24 je préfère pour éviter de tout mélanger de changer l'adresse du local.
Cette config de Firewall que Gnubyte avait proposé dans son post fonctionne très bien.
Bien vu pour la reste, j'ai regardé sans la voir. Je suis beaucoup plus restrictif dans mes règles, mais sur les petits routeurs, ca se justifie.
Oui, c'est une bonne idée d'utiliser le 192.168.1.X pour l'ONU et 192.168.10.X pour le LAN. Mais l'ONU sera toujours dispo qu'en se connectant à partir du routeur car la passerelle par défaut c'est 192.168.2.1 de mémoire. Perso, une fois que j'ai configuré mon ONU, je n'y touche plus.
Le "safe mode" est sympa aussi
Mais oui, je n'utilise jamais ça, mais ce n'est vraiment pas une bonne pratique de ma part !!!
Tu veux dire qu'après ça j'aurai tout mon réseau 192.168.10.XXX ?
Seul l'ONU sera accessible en 192.168.1.10 ?
Oui, mais, attention, il faut changer le dhcp serveur...
Je crois ne pas avoir le choix que de faire un reset du routeur.
Puis reprendre mon propre tuto avec les dernières adaptations (pas mélanger bridge et tout le reste... un schema m'aiderait. bcp).
Oui, possible que cela soit plus simple. Il n'y a pas d'interface console (prise USB/RJ45) en cas de secours.
-
WinBox permet de se connecter au routeur via l'adresse IP, mais aussi via l'adresse MAC en cliquant sur cette dernière avant de cliquer sur "Connect", on voit alors l'adresse MAC dans le champ "Connect To"
-
Tu veux dire qu'après ça j'aurai tout mon réseau 192.168.10.XXX ?
Seul l'ONU sera accessible en 192.168.1.10 ?
C'est pas cette ligne là qui va faire que ton réseau sera en 192.168.10.xxx , mais vue que l'on parlait de firewall je l'ai mise.
Même avec winbox, il arrive à faire un scan et trouver le routeur, mais je n'arrive pas à m'y connecter.
Je crois ne pas avoir le choix que de faire un reset du routeur.
Puis reprendre mon propre tuto avec les dernières adaptations (pas mélanger bridge et tout le reste... un schema m'aiderait. bcp).
Tu n'es pas obligé forcément d'en passer par là.
Si tu reparts de 0 moi je te conseille :
Après le reset,
Fait les config uniquement avec Winbox.
Tu lances le terminal sous winbox
Tu ouvres un Notepad ou Notepad++ (avec la coloration syntaxique c'est mieux)
Tu colles les la conf de Gnubyte dans ton Notepad, tu adaptes les interfaces a ta config.
Ensuite tu les colles au fur et a mesure dans l'ordre.
Un conseil : Quand tu vas faire ta config, tu vas faire un bridge sur toute tes interface ethernet pour ton réseau local
Sort une interface du bridge et assigne lui une IP
/ip address add address=192.168.77.1/24 disabled=no interface=ether8 network=192.168.77.0
/interface list add name=LAN
/interface list member add interface=ether8 list=LAN
/ip firewall address-list add address=192.168.77.0/24 list=support
Ca te permet de garder un accès au routeur, je t'ai mis l'ensemble de ligne qui doit normalement de permettre de garder un accès même après avoir mis des regle de firewall.
Tu vas procéder par etape, et quand tu vas arriver sur la partie "On peut enfin lancer l'authentification DHCP", tu t'assure de recevoir l'IP d'orange
Ensuite viendra la partie Firewall :
Si tu nas pas fait derreur logiquement tu ne dois pas te faire jeter. Sinon tu actives le mode safemode, si tu te fais jeter , tu reviendra a la derniere config avant dêtre passer en safe mode.
Es-tu dans une zone ou il faut appliquer la COS ?
-
Ajouter le sous réseau de son ONU dans IP >> Adresse List suffit pour acceder a son ONU depuis tous les ports du bridge.
Mon réseau local est en 192.168.88.0/24
mon RB5009 en 192.168.88.1
mon ONU en 192.168.20.10
(https://i.imgur.com/Z2QsIJt.png)
(https://i.imgur.com/tSySFHP.png)
-
Hello,
Me voici dans la meme configuration avec quelques petites choses qui different ;-)
J'utilise déjà une interface bridge pour mon routage inter VLANs (avec VLAN filtering). De ce que j'ai compris, il faut que les ports physiques soient declares en slaves pour que l'hardware offloading fonctionne (le RB5009 n'est pas un foudre de guerre pour la partie hardware). Avec des règles firewalls simple et du fast-track, mon routage inter-vlan fonctionne très bien. J'aimerai ne pas toucher à cette partie vu que ca fonctionne.
Dans cette configuration ci-dessous, le RB5009 est mis derriere la Livebox et je récupère une IP dynamique depuis la box (comme pour simuler ce que j'aurai avec l'ONU).
/interface bridge
add frame-types=admit-only-vlan-tagged name="bridge1 [VLANs]" vlan-filtering=yes
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface="ether2 [Livebox]" passthrough=yes
/interface bridge port
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether8 [Homelab]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether7 [Camera]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether6 [Localnet]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether5 [Manage]"
add bridge="bridge1 [VLANs]" interface="ether2 [Livebox]" pvid=666
add bridge="bridge1 [VLANs]" interface="ether1 [Desktop]" pvid=30
/interface bridge vlan
add bridge="bridge1 [VLANs]" tagged="ether8 [Homelab],bridge1 [VLANs]" vlan-ids=10
add bridge="bridge1 [VLANs]" tagged="ether7 [Camera],bridge1 [VLANs]" vlan-ids=20
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs],ether6 [Localnet]" untagged="ether1 [Desktop]" vlan-ids=30
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs],ether5 [Manage]" vlan-ids=99
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs]" untagged="ether2 [Livebox]" vlan-ids=666
Ce matin, j'ai tente de mettre la CoS 6 sur mes demandes DHCP vers la Livebox (la encore pour simuler la chose sans avoir a descendre Internet a chaque) mais je ne vois rien dans les logs. Je pense que c'est ca mon problème.
Ca fonctionne bien (la règle bridge filter) quand elle est sur un bridge séparé mais les performances ne sont pas bonnes avec 2 bridges du coup (capture en attachement).
Dans mes idees, la configuration final sera avec le vlan832 [Orange] sur mon bridge, le port sfp+ declare en slave pour que l'hardware offloading soit active. Il faut que j'arrive à faire fonctionner la CoS 6 dans ce setup.
Bonne journee,
D.
-
Pourquoi pas un seul bridge avec tous les ports y compris le SFP+ ?
Sur un RB5009 c'est le seul moyen d'avoir de l'offloading sur tous les ports. Et ça n'empêche absolument pas le vlan filtering ni de mixer ports avec tag vlan obligatoire ou avec tag vlan interdit (c'est ce que je fais sur un CRS326...).
-
Pourquoi pas un seul bridge avec tous les ports y compris le SFP+ ?
Sur un RB5009 c'est le seul moyen d'avoir de l'offloading sur tous les ports. Et ça n'empêche absolument pas le vlan filtering ni de mixer ports avec tag vlan obligatoire ou avec tag vlan interdit (c'est ce que je fais sur un CRS326...).
Bah c'est bien ce que je tente de faire mais je n'arrive pas à faire fonctionner le bridge filter CoS 6 quand le port sfp+ est dans le bridge1. Voici a quoi ma configuration cible devrait ressembler (mais ca ne fonctionne pas, aucune CoS 6 dans les logs).
Configuration du bridge
/interface bridge
add frame-types=admit-only-vlan-tagged name="bridge1 [VLANs]" vlan-filtering=yes
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 out-interface="sfp-sfpplus1 [ONU]" passthrough=yes
/interface bridge port
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether8 [Homelab]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether7 [Camera]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether6 [Localnet]"
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="ether5 [Manage]"
add bridge="bridge1 [VLANs]" interface="ether2 [Livebox]" pvid=666
add bridge="bridge1 [VLANs]" interface="ether1 [Desktop]" pvid=30
add bridge="bridge1 [VLANs]" frame-types=admit-only-vlan-tagged interface="sfp-sfpplus1 [ONU]"
/interface bridge vlan
add bridge="bridge1 [VLANs]" tagged="ether8 [Homelab],bridge1 [VLANs]" vlan-ids=10
add bridge="bridge1 [VLANs]" tagged="ether7 [Camera],bridge1 [VLANs]" vlan-ids=20
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs],ether6 [Localnet]" untagged="ether1 [Desktop]" vlan-ids=30
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs],ether5 [Manage]" vlan-ids=99
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs]" untagged="ether2 [Livebox]" vlan-ids=666
add bridge="bridge1 [VLANs]" tagged="bridge1 [VLANs],sfp-sfpplus1 [ONU]" vlan-ids=832
Configuration des VLANs
/interface vlan
add interface="bridge1 [VLANs]" name="vlan10 [Homelab]" vlan-id=10
add interface="bridge1 [VLANs]" name="vlan20 [Camera]" vlan-id=20
add interface="bridge1 [VLANs]" name="vlan30 [Localnet]" vlan-id=30
add interface="bridge1 [VLANs]" name="vlan99 [Manage]" vlan-id=99
add interface="bridge1 [VLANs]" name="vlan666 [Internet]" vlan-id=666
add interface="bridge1 [VLANs]" loop-protect-disable-time=0s loop-protect-send-interval=1s name="vlan832 [Orange]" vlan-id=832
-
Bon, en gros c'est un problème déjà connu: https://forum.mikrotik.com/viewtopic.php?t=191367
J'ai lu en diagonale, mais de ce que je comprends
- Les bridge rules ne sont pas appliquées sur un bridge avec l'offload activé
- Le switch du RB5009 ne supporte pas les switch rules
-
Bon, en gros c'est un problème déjà connu: https://forum.mikrotik.com/viewtopic.php?t=191367
J'ai lu en diagonale, mais de ce que je comprends
- Les bridge rules ne sont pas appliquées sur un bridge avec l'offload activé
- Le switch du RB5009 ne supporte pas les switch rules
Fudge me... Bon bah je vais rester derriere la Livebox pour le moment, tant pis les 2Gbits.
Merci pour le tuyau.
-
Y a d'autres modeles de router MikroTik qui fonctionnerait ? Car c'est "que" ca, ca va finir en upgrade un de ces 4...
-
Y a d'autres modeles de router MikroTik qui fonctionnerait ? Car c'est "que" ca, ca va finir en upgrade un de ces 4...
Salut !
il n'y a pas que Mikrotik, un routeur openwrt genre BPI-R3 c'est puissant, c'est pas cher, et ça marche bien aussi. ;D
J'ai tiré a boulets rouge dessus avant que la version stable d'openwrt sorte sur ce modèle, maintenant tout est parfaitement fonctionnel dessus. Mes ONU SFP sont bien reconnus et fonctionnent parfaitement.
-
Ouais m'enfin openwrt quoi....
Je l'utilise dans une VM pour fait du NAT64 (mon VPN roadwarrior wireguard est IPv6 only) car pas le choix (en fait si, mais je ne voulais pas installer une distribution classique rien que pour ça), j'ai déjà réussi à le casser une fois en mettant un package à jour (ce que la doc. officielle déconseille effectivement de faire, mais objectivement c'est une hérésie).
-
Bonjour a tous,
Alors les deux bridges n'empêchent absolument pas de dépasser les 2 Gb, c'est exactement ma config actuelle.
(https://lafibre.info/index.php?action=dlattach;topic=44730.0;attach=141595;image)
De plus si vous regardez ici https://lafibre.info/mikrotik/mikrotik-rb5009-test-en-ipv6/ (https://lafibre.info/mikrotik/mikrotik-rb5009-test-en-ipv6/) vous verez que le petit en as encore sous le pied.
Mais oui les deux bridges sont bien obligatoire en ipv4 (seulement), c'est lié a l'implémentation du client dhcp v4 par mikrotik.
Et là un bout de conf qui marche en ipv4 et ipv6 https://lafibre.info/mikrotik/mikrotik-rb5009/msg972074/#msg972074 (https://lafibre.info/mikrotik/mikrotik-rb5009/msg972074/#msg972074)
Bonne journée,
-
Ouais m'enfin openwrt quoi....
perso je ne vois pas le problème avec openwrt...sur les machines ARM ou l'acceleration hardware est supportée (MT7621/MT7622/filogic) ca n'a absolument pas à rougir face aux routeurs Mikrotiks. je viens d'ailleurs de ranger mon RB5009 dans un tiroir maintenant que mon BPI-R3 supporte a 100% mon onu sfp. Pour un usage domestique ca fait largement le taf sur une ligne 2Gbps. sur un speedtest mon cpu ne dépasse pas 1%, et moins de 5% sur le wifi ou il y a aussi de l'acceleration HW. Pour une conso de 8w.
-
Bonjour a tous,
Alors les deux bridges n'empêchent absolument pas de dépasser les 2 Gb, c'est exactement ma config actuelle.
(https://lafibre.info/index.php?action=dlattach;topic=44730.0;attach=141595;image)
De plus si vous regardez ici https://lafibre.info/mikrotik/mikrotik-rb5009-test-en-ipv6/ (https://lafibre.info/mikrotik/mikrotik-rb5009-test-en-ipv6/) vous verez que le petit en as encore sous le pied.
Mais oui les deux bridges sont bien obligatoire en ipv4 (seulement), c'est lié a l'implémentation du client dhcp v4 par mikrotik.
Et là un bout de conf qui marche en ipv4 et ipv6 https://lafibre.info/mikrotik/mikrotik-rb5009/msg972074/#msg972074 (https://lafibre.info/mikrotik/mikrotik-rb5009/msg972074/#msg972074)
Bonne journée,
Merci pour cette confirmation ;-) Tu as utilisé le fichier mibs de base "data_1g_8q.ini" ?
-
Non celui-ci data_1g_8q_us1280_ds512.ini, en n'oubliant pas de faire les mêmes modifs que sur le fichier d'origine.
-
Non celui-ci data_1g_8q_us1280_ds512.ini, en n'oubliant pas de faire les mêmes modifs que sur le fichier d'origine.
Ok donc c'est bien pour ca que j'avais en debit en mousse. Mon premier test devait fonctionner en fait... Je vais retenter quand je peux.
-
Bon bah avec le bon fichier et le double bridge (CPU dans les 65%), ca donne ca. Un gros merci à tous ;-)
Est-ce utile de regarder la partie IPv6 sachant que je n'en est pas l'utilite ?
Thanks,
D.
-
A mon avis, tu devrais t'y mettre (en plus quelque part c'est ce qui est recommandé par @levieuxatorange ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140 (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140)), mais en effet pour le moment ce n'est pas une obligation.
L'ipv6 c'est le futur ;-)
-
A mon avis, tu devrais t'y mettre (en plus quelque part c'est ce qui est recommandé par @levieuxatorange ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140 (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140)), mais en effet pour le moment ce n'est pas une obligation.
L'ipv6 c'est le futur ;-)
On verra, pour le moment, je ne suis pas pressé.
-
Est-ce possible d'arrive à 1Gb d'upload en utilisant cette configuration ? J'ai eu beau utiliser le mibs data_1g_8q_us1280_ds512 je plafonne à 600 comme beaucoup.
Un peu partout sur le forum je vois des gens qui postent des résultats identiques aux miens mais quelques rares personnes (notamment ici https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg992075/#msg992075) arrivent à upload à 1Gbps.
J'ai testé sans le bridge filter pour la CoS 6, ça a le mérite de soulager le CPU mais ça ne change malheureusement rien au débit.
Edit :
Après avoir vérifié mon contrat, j'ai droit à 2Gbps/600Mbps ;D
-
Effectivement, ce sont les offres pros qui permettent de monter à 1Gbps en upload ;)
-
Pas que, l'offre GP 5000 / 1000 sur Livebox 7 c'est bien du 1 Gbps en upload :)
-
A mon avis, tu devrais t'y mettre (en plus quelque part c'est ce qui est recommandé par @levieuxatorange ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140 (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140)), mais en effet pour le moment ce n'est pas une obligation.
L'ipv6 c'est le futur ;-)
Hello, je suis en train de regarder pour la partie DHCPv6 et je ne comprends pas trop bien tes règles bridge filter (exemple issue de ton post sur le forum MikroTik) :
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=vlan832-wan passthrough=yes
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832-wan
add action=set-priority chain=output mac-protocol=arp new-priority=6 out-interface=vlan832-wan passthrough=yes
add action=set-priority chain=output comment=NA/NS mac-protocol=ipv6 new-priority=6 out-interface=vlan832-wan packet-mark=na/ns passthrough=yes
- Sur la 2nde règle, il n'y pas de passthrough=yes alors qu'on l'a sur toutes les autres ?
- Sur la 3eme règle, il n'y a pas de parcket-marl=na/ns alors que tu en as mis en IPv6 dans la 4eme ?
A+
D.
-
La 3ème c’est pour ARP, pas IPv6. Le comment=na/ns est un commentaire. Ça ne sert à rien à part donner des infos à l’humain qui lit la ligne.
-
Bonsoir,
Je profite de ce topic pour vous demander des conseils sur la configuration de mon RB5009.
Ma config est opérationnelle pour l'accès internet mais je stagne sur la configuration des vlans.
Je ne parviens pas à faire en sorte que les différents appareils situés dans les différents vlans puissent accéder à internet et communiquer entre eux.
J'utilise un bridge au niveau du LAN qui regroupe tous les ports sauf le 8 qui me sert de backup dans le cas où je me coupe la main, ainsi que le eth1 qui est ma patte WAN.
Le port SFP est utilisé pour la liaison avec un switch de distribution, il doit faire passer tous les vlans.
Voici ma config :
-
Bonsoir,
Je profite de ce topic pour vous demander des conseils sur la configuration de mon RB5009.
Ma config est opérationnelle pour l'accès internet mais je stagne sur la configuration des vlans.
Je ne parviens pas à faire en sorte que les différents appareils situés dans les différents vlans puissent accéder à internet et communiquer entre eux.
J'utilise un bridge au niveau du LAN qui regroupe tous les ports sauf le 8 qui me sert de backup dans le cas où je me coupe la main, ainsi que le eth1 qui est ma patte WAN.
Le port SFP est utilisé pour la liaison avec un switch de distribution, il doit faire passer tous les vlans.
Voici ma config :
Normalement, ton bridge-lan ne devrait pas avoir d'IP de mon point de vue, seuls tes VLANs dessus en ont. J'ai 2x bridges comme toi, mon bridge VLANs n'accepte que les trames tagged (avec VLAN filtering active).
Tu assignes ensuite les ports du bridges pour avoir l'hardware offloading (H dans la seconde colonne de Bridge/Ports)
Ensuite, tu ajoutes les ports dans les VLANs du bridge suivant s'ils sont tagged ou pas (ether8 ne le sera pas, la ou les autres sont surement des trunks qui viennent d'un switch managed L2?).
Dernière étape dans le firewall, c'est dire qui a accès a quoi. Par default, vu que tous les ports sur le meme bridge, tous les VLANs discuteront avec tous.
-
La 3ème c’est pour ARP, pas IPv6. Le comment=na/ns est un commentaire. Ça ne sert à rien à part donner des infos à l’humain qui lit la ligne.
Merci, j'ai vire la règle ;-)
-
Normalement, ton bridge-lan ne devrait pas avoir d'IP de mon point de vue, seuls tes VLANs dessus en ont. J'ai 2x bridges comme toi, mon bridge VLANs n'accepte que les trames tagged (avec VLAN filtering active).
Tu assignes ensuite les ports du bridges pour avoir l'hardware offloading (H dans la seconde colonne de Bridge/Ports)
Ensuite, tu ajoutes les ports dans les VLANs du bridge suivant s'ils sont tagged ou pas (ether8 ne le sera pas, la ou les autres sont surement des trunks qui viennent d'un switch managed L2?).
Dernière étape dans le firewall, c'est dire qui a accès a quoi. Par default, vu que tous les ports sur le meme bridge, tous les VLANs discuteront avec tous.
Merci pour tes conseils ! Je vais modifier ma configuration.
En fait, je me sert des ports 2 à 7 comme d'un switch, je veux faire transiter les vlan 20, 100 et 200 sur les ports 6 et 7 (Proxmox), les ports 2 à 5 sur du vlan 10 (lan) et enfin tous les vlan sur le ports SFP+ qui est relié à mon switch.
De là je pourrais dispatcher les vlans sur mon switch, qui seront tous sur le vlan 10 sauf le deuxième port SFP+ sur lequel je ferais transiter les vlans 20, 100 et 200.
-
@Dulcow, tu vas un peu vite en besogne ;-)
Si les règles sont là c'est pour correspondre à:
La mystérieuse COS6 ... :
La COS6 sert à prioriser les pkts DHCP(4/6), ARP et ICMP NS/NA entre la boxe et la BNG (premier routeur qui gère les IPs) qui gère le contexte client.
Normalement, une COS0 sur ces paquets ne devrait pas marcher, mais un bug de certain équipement le permet.
Comme vous ne pouvez pas savoir sur quel équipement vous êtes ni si vous allez rester dessus (upgrade / changement / réaménagement) je conseille fortement de passer la conf en COS6
La COS6 ne va pas plus loin que le BNG et est remplacé par une COS0 à ce point, il ne sert donc à rien de taguer tous vos paquets en COS6. De plus le trafic en COS6 est fortement limité en débit, donc là aussi, si vous pouvez limiter proprement uniquement aux paquets ci dessus, c'est nettement mieux.
La COS6 jusqu'au BNG sert à protéger le trafic d'établissement et de maintient de la connexion en cas de surcharge sur le segment client <-> BNG. Plein de cas possible.
La COS6 (et idéalement le pendant dscp) doit être appliqué :
Au DHCPv4v6 issu de la boxe
Au ARP issu de la boxe
A l'ICMPv6 code NS/NA issu de la boxe et à destination de l'ipv6 fe80::ba0:bab
A l'ICMPv6 code RS issu de la boxe et à destination de l'ipv6 multicast idoine (c'est ba0bab qui répond)
Rien d'autre ...
Le BNG peut avoir utilité à avoir un marquage DSCP en plus de la COS.
Cependant très peu de chance que ce BNG soit à saturation, ni sur les cartes d'interface, ni en coeur.
Je maintiens donc : DSCP cohérent avec la COS, c'est mieux. Mais dans > 99% des cas cela se passera bien même sans le DSCP en ligne avec la COS
Voir ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/ (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/) donc si j'étais toi je referai cette règle.
Pour la question sur la règle 2 c 'est lié au client dhcpv6 et son implémentation cf: https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg807140/#msg807140 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg807140/#msg807140), le passthrough n'est pas obligatoire a mon sens c'est a toi de voir si tu t'en sers ou pas (passthrough - if a packet is matched by the rule, increase counter and go to next rule (useful for statistics)).
Bonne journée,
-
Normalement, ton bridge-lan ne devrait pas avoir d'IP de mon point de vue, seuls tes VLANs dessus en ont. J'ai 2x bridges comme toi, mon bridge VLANs n'accepte que les trames tagged (avec VLAN filtering active).
Tu assignes ensuite les ports du bridges pour avoir l'hardware offloading (H dans la seconde colonne de Bridge/Ports)
Ensuite, tu ajoutes les ports dans les VLANs du bridge suivant s'ils sont tagged ou pas (ether8 ne le sera pas, la ou les autres sont surement des trunks qui viennent d'un switch managed L2?).
Dernière étape dans le firewall, c'est dire qui a accès a quoi. Par default, vu que tous les ports sur le meme bridge, tous les VLANs discuteront avec tous.
J'ai suivis tes conseils et j'ai effectué des modifications, malheureusement ça ne fonctionne pas pour le moment.
J'ai configuré mon bridge en "Admit only VLAN tagged".
J'ai bien tous les ports nécessaires que j'ai laissé en 1 pour le PVID et configuré également en "admit only VLAN tagged".
-
J'ai suivis tes conseils et j'ai effectué des modifications, malheureusement ça ne fonctionne pas pour le moment.
J'ai configuré mon bridge en "Admit only VLAN tagged".
J'ai bien tous les ports nécessaires que j'ai laissé en 1 pour le PVID et configuré également en "admit only VLAN tagged".
Hello, étonnant car ca devrait fonctionner. Tu as bien tagged ton traffic sur tes ports ether6 et ether7 avec VLAN ID = 20 ?
-
Hello, étonnant car ca devrait fonctionner. Tu as bien tagged ton traffic sur tes ports ether6 et ether7 avec VLAN ID = 20 ?
Salut :)
Oui, comme tu peux le voir sur le screenshot, dans l'onglet de configuration VLAN Bridge, j'en ai crée un pour le vlan ID 20 en ajoutant le bridge br-lan, ether6 et 7 en tagged.
J'arrive à pinger la passerelle du vlan 20 depuis un ip dans le réseau par défaut 192.168.20.254, mais pas mon serveur en .200.
-
Salut :)
Oui, comme tu peux le voir sur le screenshot, dans l'onglet de configuration VLAN Bridge, j'en ai crée un pour le vlan ID 20 en ajoutant le bridge br-lan, ether6 et 7 en tagged.
J'arrive à pinger la passerelle du vlan 20 depuis un ip dans le réseau par défaut 192.168.20.254, mais pas mon serveur en .200.
Tu as quoi cote firewall ?
Tu aurais un schema avec les addresses locales et les VLANs ?
-
Tu as quoi cote firewall ?
Tu aurais un schema avec les addresses locales et les VLANs ?
Je t'ai fais un petit schéma, voir en pièce jointe.
Au niveau du firewall, voici mes règles :
[admin@MikroTik] > /ip firewall/filter/print stats
Columns: CHAIN, ACTION, BYTES, PACKETS
# CHAIN ACTION BYTES PACKETS
;;; Add Syn Flood IP to the list
0 input add-src-to-address-list 0 0
;;; Drop to syn flood list
1 input drop 0 0
;;; Port Scanner Detect
2 input add-src-to-address-list 13 264 323
;;; Drop to port scan list
3 input drop 17 700 443
;;; Jump for icmp input flow
4 input jump 60 460 572 1 299 761
;;; Block all access to the winbox - except to support list # DO NOT ENABLE THIS>
5 input drop 1 080 26
;;; Jump for icmp forward flow
6 forward jump 1 449 974 18 066
;;; Drop to bogon list
7 forward drop 12 269 70
;;; Add Spammers to the list for 3 hours
8 forward add-src-to-address-list 0 0
;;; Avoid spammers action
9 forward drop 0 0
;;; Accept DNS - UDP
10 input accept 1 678 353 32 222
;;; Accept DNS - TCP
11 input accept 2 060 49
;;; Accept to established connections
12 input accept 36 439 718 314 812
;;; Accept to related connections
13 input accept 0 0
;;; Full access to SUPPORT address list
14 input accept 21 664 238 107 397
;;; Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL>
15 input drop 5 057 022 93 917
;;; Echo request - Avoiding Ping Flood
16 ICMP accept 12 097 428 223 767
;;; Echo reply
17 ICMP accept 10 766 368 200 794
;;; Time Exceeded
18 ICMP accept 50 953 591
;;; Destination unreachable
19 ICMP accept 9 181 459 65 507
;;; PMTUD
20 ICMP accept 0 0
;;; Drop to the other ICMPs
21 ICMP drop 52 424 195 1 132 507
;;; Jump for icmp output
22 output jump 22 609 857 305 339
;;; drop ssh brute forcers
23 input drop 0 0
24 input add-src-to-address-list 0 0
25 input add-src-to-address-list 0 0
J'ai ajouté ltous les réseaux dont j'ai besoin dans la support list.
-
@Probzx, ton serveur est situé ou sur ton schéma ? Tu a bien tagué tous tes vlans sur tes ports sfp+ (trunk) ?
-
Bonjour,
J’ai recu un GPON-ONU-34-20BI. Malheureusement même si le serial number a été changé, je dois encore toucher le HardwareVersion pour etre accepté sur le reseau Orange.
Le problème c’est que je n’arrive même pas a pinger l’ONU sur son interface 192.168.1.10. Donc le ssh ca marche encore moins. Il est branché et reconnu sur une cage SFP mon EdgeSwitch et mon Mac a comme adresse 192.168.1.100 (même sous réseau du coup). Il n’y aucun autre appareil en conflit avec la meme IP que l’ONU.
Il doit me manquer un truc basique / évident pour accéder a cet ONU et editer le fichier /etc/mibs/data_1g_8q.ini mais je seche?
Merci pour votre aide!
-
Avez-vous branché la fibre dessus ?
-
J’ai essayé avec et sans, mais je n’ai pas d’indication si le lien fibre marche bien sur l’ES (je vois juste que le module SFP est fonctionnel)
Je vais retester si c’est important d’avoir la fibre branchée!
Il faut attendre longtemps une fois que tout est branché pour que l’interface apparaisse ?
-
Avec certains équipements (Mikrotik), il est nécessaire d'avoir la fibre branchée pour que l'interface de l'ONT soit accessible. Lorsque la fibre est branchée, l'accès est immédiat.
Pas de VLAN ou autre configuration exotique qui empêcherait de voir le module ?
-
@Probzx, ton serveur est situé ou sur ton schéma ? Tu a bien tagué tous tes vlans sur tes ports sfp+ (trunk) ?
Au niveau des ports 6 et 7 du routeur. Quand je fais mes tests je ping depuis le routeur lui même.
-
Avec certains équipements (Mikrotik), il est nécessaire d'avoir la fibre branchée pour que l'interface de l'ONT soit accessible. Lorsque la fibre est branchée, l'accès est immédiat.
Pas de VLAN ou autre configuration exotique qui empêcherait de voir le module ?
Salut
Pas de VLAN sur le port sur lequel le SFP est branché. J'ai essayé avec la fibre branchée et ca n'est pas mieux (j'ai essayé de brancher / débrancher le module aussi). :(
-
@probzx, ton serveur sait il gérer des vlans ? Tu utilises un système de virtualisation, genre VMware, proxmox ? Car sinon en règle générale un port « access » ne doit être que dans un Vlan et donc en untag chez MikroTik.
-
@probzx, ton serveur sait il gérer des vlans ? Tu utilises un système de virtualisation, genre VMware, proxmox ? Car sinon en règle générale un port « access » ne doit être que dans un Vlan et donc en untag chez MikroTik.
Merci pour ton aide.
Mon serveur tourne sur Proxmox.
Je vois, donc étant donné que je veux faire passer plusieurs VLAN vers mon serveur de virtualisation, il faut que je mette le port en trunk/tagged, ou alors que je configure les vlans souhaité sur le serveur ?
J'ai également le soucis avec le VLAN 10 sur les ports 2 à 5, en mettant ces ports en untagg sur le vlan 10 je ne parviens pas à établir une connexion, que ce soit en fixant l'ip ou en essayant d'en obtenir une via le DHCP du vlan 10.
-
@probzx, ok. Peux tu alors exporter la conf complète de ton bridge et de un des ports access et d’un des trunk ?
Je pense que ton bridge a un souci dans la conf des vlans
-
Encore Bonjour,
J’ai recupéré un ONU Huawei flashé Carlitoxxv1, malheureusement il oscille entre le status O1 et le O2… Voici la config du /etc/init.d/sys.sh (la ligne grimée en rouge c’est le S/N de mon ONU SERCOM actuel)
Je pense que je suis sur un OLT Alcatel exigent.
Que dois-je faire pour qu’il passe en O5 ?
-
@probzx, ok. Peux tu alors exporter la conf complète de ton bridge et de un des ports access et d’un des trunk ?
Je pense que ton bridge a un souci dans la conf des vlans
Je reviens avec un peu d'absence, entre les fêtes et le boulot j'avais mis mon projet en pause.
Voici donc la configuration de mon bridge :
/interface bridge
add frame-types=admit-only-vlan-tagged name=br-lan vlan-filtering=yes
add admin-mac=98:42:65:15:93:60 auto-mac=no name=br-wan
Mes VLAN :
/interface vlan
add interface=br-lan name=VLAN10 vlan-id=10
add interface=br-lan name=VLAN20 vlan-id=20
add interface=br-lan name=VLAN100 vlan-id=100
add comment="Internet ONT" interface=ether1 loop-protect-disable-time=0s \
loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
Les ports du bridge :
/interface bridge port
add bridge=br-lan interface=sfp-sfpplus1
add bridge=br-wan comment=WAN interface=vlan832-internet
add bridge=br-lan interface=ether2
add bridge=br-lan interface=ether3
add bridge=br-lan interface=ether4
add bridge=br-lan interface=ether5
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether6
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether7
Les vlans du bridge :
/interface bridge vlan
add bridge=br-lan tagged=br-lan,ether6,ether7 vlan-ids=20
add bridge=br-lan tagged=br-lan,ether4,ether5 vlan-ids=10
-
@probzx, en effet ton bridge me semble mal configuré par rapport a ton schema de la page précedente.
Voila quelques modifs à tester:
/interface bridge
add frame-types=admit-only-vlan-tagged name=br-lan vlan-filtering=yes
add admin-mac=98:42:65:15:93:60 auto-mac=no name=br-wan
/interface vlan
add interface=br-lan name=VLAN10 vlan-id=10
add interface=br-lan name=VLAN20 vlan-id=20
add interface=br-lan name=VLAN100 vlan-id=100
add comment="Internet ONT" interface=ether1 loop-protect-disable-time=0s \
loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
/interface bridge port
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
add bridge=br-wan comment=WAN interface=vlan832-internet
add bridge=br-lan frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=10
add bridge=br-lan frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
add bridge=br-lan frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=10
add bridge=br-lan frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=10
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether6
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether7
/interface bridge vlan
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=20
add bridge=br-lan tagged=br-lan,sfp-sfpplus1 vlan-ids=10
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=100
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=200
Ca correspond plus a ton schema pour la partie routeur, je te laisse configurer ton switch.
De plus il te manques la partie COS6 sur le vlan 832:
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832-internet
add action=set-priority chain=output mac-protocol=arp new-priority=6 out-interface=vlan832-internet passthrough=yes
Voila qui devrait t'aider, je pense.
-
@probzx, en effet ton bridge me semble mal configuré par rapport a ton schema de la page précedente.
Voila quelques modifs à tester:
/interface bridge
add frame-types=admit-only-vlan-tagged name=br-lan vlan-filtering=yes
add admin-mac=98:42:65:15:93:60 auto-mac=no name=br-wan
/interface vlan
add interface=br-lan name=VLAN10 vlan-id=10
add interface=br-lan name=VLAN20 vlan-id=20
add interface=br-lan name=VLAN100 vlan-id=100
add comment="Internet ONT" interface=ether1 loop-protect-disable-time=0s \
loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
/interface bridge port
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
add bridge=br-wan comment=WAN interface=vlan832-internet
add bridge=br-lan frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=10
add bridge=br-lan frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
add bridge=br-lan frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=10
add bridge=br-lan frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=10
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether6
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether7
/interface bridge vlan
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=20
add bridge=br-lan tagged=br-lan,sfp-sfpplus1 vlan-ids=10
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=100
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=200
Ca correspond plus a ton schema pour la partie routeur, je te laisse configurer ton switch.
De plus il te manques la partie COS6 sur le vlan 832:
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp mac-protocol=ip new-priority=6 out-interface=vlan832-internet passthrough=yes
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832-internet
add action=set-priority chain=output mac-protocol=arp new-priority=6 out-interface=vlan832-internet passthrough=yes
Voila qui devrait t'aider, je pense.
Merci pour ton aide.
J'avais volontairement retiré la partie "WAN", mais effectivement j'ai déjà en place la partie COS6 avec ipv6 fonctionnelle :)
J'ai suivi des conseils en modifiant ma configuration, malheureusement je ne parviens pas à la faire fonctionner.
Je partage ici ma configuration si ça peut aider à pointer une erreur de configuration.
Voici ce que ça donne :
/interface bridge
add frame-types=admit-only-vlan-tagged name=br-lan port-cost-mode=short \
vlan-filtering=yes
add admin-mac=98:42:65:15:93:60 auto-mac=no name=br-wan port-cost-mode=short
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=sfp-sfpplus1 ] comment=LAN-SFP
/interface vlan
add interface=br-lan name=vlan10 vlan-id=10
add interface=br-lan name=vlan20 vlan-id=20
add interface=br-lan name=vlan100 vlan-id=100
add interface=br-lan name=vlan200 vlan-id=200
add comment="Internet ONT" interface=ether1 loop-protect-disable-time=0s \
loop-protect-send-interval=1s name=vlan832-internet vlan-id=832
/interface list
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes \
log-prefix="Set CoS6 on DHCP request" mac-protocol=ip new-priority=6 \
out-interface=vlan832-internet passthrough=yes
add action=set-priority chain=output dst-port=547 ip-protocol=udp \
mac-protocol=ipv6 new-priority=6 out-interface=vlan832-internet
/interface bridge port
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1 \
internal-path-cost=10 path-cost=10
add bridge=br-wan comment=WAN interface=vlan832-internet internal-path-cost=\
10 path-cost=10
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether2 pvid=10
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether3 pvid=10
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether4 pvid=10
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether5 pvid=10
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether6 pvid=20
add bridge=br-lan frame-types=admit-only-vlan-tagged interface=ether7 pvid=20
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=ether8 list=LAN
add interface=br-lan list=LAN
add interface=vlan10 list=LAN
add interface=vlan20 list=LAN
add interface=vlan100 list=LAN
add interface=vlan200 list=LAN
/ip address
add address=192.168.1.254/24 comment=LAN-DEFAULT disabled=yes interface=\
br-lan network=192.168.1.0
add address=192.168.88.1/24 interface=ether8 network=192.168.88.0
add address=192.168.10.254/24 comment=LAN interface=vlan10 network=\
192.168.10.0
add address=192.168.20.254/24 comment=SERVEUR interface=vlan20 network=\
192.168.20.0
add address=192.168.100.254/24 comment=DMZ interface=vlan100 network=\
192.168.100.0
add address=192.168.200.254/24 comment=MGMT interface=vlan200 network=\
192.168.200.0
/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=192.168.88.0/24 list=support
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" disabled=yes \
list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" disabled=yes \
list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" disabled=yes \
list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\
bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
add address=224.0.0.0/4 comment="MC, Class D, IANA" disabled=yes list=bogons
add address=192.168.20.0/24 list=support
add address=192.168.30.0/24 list=support
add address=192.168.200.0/24 list=support
add address=192.168.100.0/24 list=support
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder \
address-list-timeout=30m chain=input comment=\
"Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \
tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" \
src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner \
address-list-timeout=1w chain=input comment="Port Scanner Detect" \
protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" \
src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=\
ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except t\
o support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUP\
PORT ADDRESS LIST" dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" \
jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\
bogons
add action=add-src-to-address-list address-list=spammers \
address-list-timeout=3h chain=forward comment=\
"Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\
25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \
protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" \
connection-state=established
add action=accept chain=input comment="Accept to related connections" \
connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" \
src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS \
RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \
icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\
icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \
protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\
3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \
protocol=icmp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
/ip firewall nat
add action=masquerade chain=srcnat out-interface=br-wan to-addresses=0.0.0.0
/ip service
set telnet disabled=yes
set ftp disabled=yes
-
@Probzx, alors plusieurs remarques:
- les ports access eth2 à 5 doivent être en frame-types=admit-only-untagged-and-priority-tagged et surtout pas en admit-only-vlan-tagged.
- Ou sont définis tes vlan sur le bridge ? Je parle de cette partie qui ne figure pas dans ton export, sans cela ne marchera pas…
/interface bridge vlan
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=20
add bridge=br-lan tagged=br-lan,sfp-sfpplus1 vlan-ids=10
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=100
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=200- ensuite je dirais que tu as repris le firewall de quelqu’un d’autre sans probablement le comprendre…. ;-), tu as des blacklist ssh qui ne semble pas définies. Alors si j’étais toi je repartirai de zéro, de ce coté, car je ne suis pas sur que cela soit adapté a ton besoin. https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall (https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall)
Après tout ca cela si cela ne marche toujours pas exporte complètement ta conf et pas seulement une partie.
-
@Probzx, alors plusieurs remarques:
- les ports access eth2 à 5 doivent être en frame-types=admit-only-untagged-and-priority-tagged et surtout pas en admit-only-vlan-tagged.
- Ou sont définis tes vlan sur le bridge ? Je parle de cette partie qui ne figure pas dans ton export, sans cela ne marchera pas…
/interface bridge vlan
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=20
add bridge=br-lan tagged=br-lan,sfp-sfpplus1 vlan-ids=10
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=100
add bridge=br-lan tagged=br-lan,ether6,ether7,sfp-sfpplus1 vlan-ids=200- ensuite je dirais que tu as repris le firewall de quelqu’un d’autre sans probablement le comprendre…. ;-), tu as des blacklist ssh qui ne semble pas définies. Alors si j’étais toi je repartirai de zéro, de ce coté, car je ne suis pas sur que cela soit adapté a ton besoin. https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall (https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall)
Après tout ca cela si cela ne marche toujours pas exporte complètement ta conf et pas seulement une partie.
Merci pour ton aide, j'ai réussi à faire fonctionner correctement mon bridge et mes vlans :)
Je vais reprendre la configuration du firewall au début en me basant sur doc que tu m'a envoyé. Effectivement, j'ai chopé la configuration du firewall sur le guide : https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/
-
Bonjour à tous,
Je viens de recevoir mon RB5009.
Je peux m'appuyer sur le tuto en début de topic ? Y a-t-il des éléments à laisser tomber ? Des choses à ajouter ?
Des conseils éventuels ?
Merci
-
Les lignes de codes sont à entrer une par une dans le terminal c'est bien ça (je découvre RouterOS) ?
-
Les lignes de codes sont à entrer une par une dans le terminal c'est bien ça (je découvre RouterOS) ?
Bloc par bloc
Par contre la partie firewall tu t'en inspires au mieux ne copie pas tel quel.
Perso je sors la sfp-plus, ou la rj45 dédié au WAN, du bridge Ça me fait bugguer le cerveau de mettre toutes interfaces dans le même bridge pour router entre le sfp et le bridge avec les interfaces lan dedans.
RouterOS est peu différent d'un autre firewall+router A part les COS6 et réglages fins, tout le reste peut se faire via l'interface graphique si ça peut t'aider à mieux comprendre leur façon de faire et le jargon. Tu peux aussi partir d'une auto-config routeur de base du "Quick Set" et modifier après. Ca va te coller un dhcp client sur le wan, un firewall de base avec les accélérations hardware et les NAT essentielles, un dhcp sur les interfaces lan, les routes par défaut.