La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: thegibs le 31 mars 2016 à 16:54:38
-
[BONJOUR / Je ne peux plus maintenir le contenu de ce message, n'étant plus chez Orange et sans matériel sous la main pour tester.]
Bonjour,
Tout d'abord merci aux contributeurs du thread Ubiquity (zoc, kgersen, florian, MikeTheFreeMan…) qui ont fourni la recherche et les éléments nécessaires à la mise en œuvre de ce tuto. Ce post sera mis à jour en fonction des premiers retours.
L'ambition de ce post est de proposer une solution *générique* permettant de prendre en charge le nouveau mode de connexion Fibre Livebox (DHCP) avec des routeurs ne supportant pas le changement de CoS (Class of Service) nécessaire en particulier pour les échanges DHCP indispensables à l'obtention d'une adresse IP.
Pour rappel, les demandes DHCP depuis votre équipement doivent être marqués en CoS=6 (sauf quelques exceptions remontées par quelques chanceux abonnés, si ce n'est pas le cas vous n'aurez… pas d'adresse donc pas d'Internet).
Notoirement, le routeur Ubiquity ERL ne sait pas nativement faire ce travail (il existe des solutions à base de patchs et de compilation custom, voir le thread dédié au routeur). Beaucoup d'autres routeurs 'grand public' auront ce soucis.
Pour ce premier essai (testé avec succès au moins pour la partie Internet à ce jour), l'objectif est de mettre en œuvre le schéma suivant:
Câblage:
Port 1 du switch Netgear GS108Tv2 => Port WAN du routeur.
Switch Netgear GS108Tv2 port 2 => ONT
Routeur (port à dédier à la Livebox) => Livebox Play port WAN (Internet)
Livebox Play (port "TV") => Boîtier Livebox TV
Livebox Play (port RJ11) => Téléphone
Routeur (port(s) à dédier à votre LAN interne) => switch (réutiliser le Netgear sur les ports 3 à 8 est tout à fait possible) => vos appareils locaux
Ca donne ceci pour le câblage:
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_01.jpg)
Configuration du switch: se connecter à l'adresse IP du switch sur votre réseau interne. Mettre à jour le firmware (ici: http://www.netgear.com/support/product/GS108Tv2 (http://www.netgear.com/support/product/GS108Tv2)). Ensuite (reboot), procéder à la configuration suivante.
Choisir les ports à utiliser. Dans cet exemple, on prendra le port 1 (g1) pour le routeur, et le port 2 (g2) pour l'ONT.
Créer les VLANs
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_02.jpg)
Assigner les VLANs aux 2 interfaces. Ici sur le VLAN 832, on coche les ports à utiliser. Procéder de même pour les VLANs 838 et 840 précédemment créés.
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_03.jpg)
Enfin, restreindre tout traffic sur les 2 ports uniquement aux VLANs
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_04.jpg)
-
Maintenant, passons à la QoS.
Créer une classe. Il suffit de lui donner un nom (reconnaissable :) ) et de faire 'Add' en bas à droite.
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_05.jpg)
Cliquer sur le nom de la classe:
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_06.jpg)
Il faut maintenant définir des critères discriminants, qui permettront d'identifier le trafic concerné par cette classe. Onn choisira le plus générique possible, à savoir un trafic du port 68 vers 67, sur le VLAN 832. Puis 'Apply' (attention ça n'est pas modifiable, il faut supprimer/recréer la classe si besoin, après l'avoir détachée des Policy et Service Configuration associées (voir plus loin).
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_07.jpg)
Il nous faut maintenant créer une Policy Configuration (en clair: que doit-on faire de ce trafic défini dans la classe). A nouveau, pour commencer on lui donne juste un nom, puis on fait 'Add'.
[EDIT]: donner un nom générique à la Policy, car il sera peut-être nécessaire d'en créer plusieurs associations avec les classes, ce nom ne doit donc plutôt pas être attaché à "l'action" de la Policy, mais plutôt au profil de connexion recherché (Internet, Orange,...). Les images seront mises à jour lorsque d'autres policies seront ajoutées au tuto. Merci à MikeTheFreeMan.
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_08.jpg)
Ensuite, on clique sur le nom de la policy créée:
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_09.jpg)
Et on configure "l'action" à effectuer, en l'occurrence, marquer la CoS à 6. Rien d'autre, et 'Apply'.
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_10.jpg)
Ensuite, direction la Service Configuration. Nous allons associer cette Policy Configuration à un port 'in' dédié (ici le g1). Puis 'Apply'.
(https://lafibre.info/images/materiel/2021603_switch_netgear_gs108tv2_pour_gerer_qos_11.jpg)
Et voilà pour le moment.
Il manque encore:
- Le marquage CoS du trafic voix (CoS=5)
- Le marquage CoS d'autres types de trafic (ICMP, IGMP…)
- L'IPv6, mais pour le routeur ERL il est probable que cela exige une évolution de l'OS, le switch ne pourra pas influer (voir contributions dans ce fil)
D'après les premiers retours ce n'est pas nécessaire, mais cela permettra de se rapprocher au mieux de la configuration de la Livebox.
Pour ma part, je n'ai pas encore testé car je ne maîtrise pas encore bien l'ERL pour le configurer en "parent" de la Livebox. Indiquez en réponse vos tests et partagez votre expérience avec tel ou tel routeur !
EDIT: une ressource équivalente trouvée par florian: http://flyovercountry.org/2014/02/google-fiber-gigabit-speeds-your-router-part-2-qos/ (http://flyovercountry.org/2014/02/google-fiber-gigabit-speeds-your-router-part-2-qos/)
Merci encore à tous les contributeurs.
-
Bonne initiative et très bon tuto thegibs, malheureusement je ne possède pas ce modèle de switch pour tester.
Mais il faut que prenne le temps de le faire avec avec l'edge switch d'ubiquiti qui traine dans le carton.
;)
-
Je crois que tu as fait un erreur, la conf doit être appliqué au port 2, et non 1 (Le port 2 est est celui relié au coté WAN du routeur, c'est ça ?)
Car le filtre s'applique sur les packets entrant, et non sortant.
Voir la fin de l'article : http://flyovercountry.org/2014/02/google-fiber-gigabit-speeds-your-router-part-2-qos
"Note: g2 is not a typo. This isn’t true of all switches, but here make sure to choose your router WAN port for the service configuration. The GS108T QoS only acts on packets coming into a switch port, not packets leaving a port. You need to mark the packets for QoS as they’re leaving the router coming into switch port 2, then outbound on switch port 1 to the OTN."
-
Câblage:
ONT (boîtier fibre vers RJ45) => port 1 du switch Netgear GS108Tv2
Switch Netgear GS108Tv2 port 2 => routeur sur port WAN
Routeur (port à dédier à la Livebox) => Livebox Play port WAN (Internet)
Livebox Play (port "TV") => Boîtier Livebox TV
Livebox Play (port RJ11) => Téléphone
Routeur (port(s) à dédier à votre LAN interne) => switch (réutiliser le Netgear sur les ports 3 à 8 est tout à fait possible) => vos appareils locaux
...
Choisir les ports à utiliser. Dans cet exemple, on prendra le port 1 (gs1) pour le routeur, et le port 2 (gs2) pour l'ONT.
y'a une incohérence la.
-
y'a une incohérence la.
Tout à fait, je corrige ;D les yeux de lynx...
EDIT: corrigé.
EDIT2: j'ai mis un schéma de câblage en + pour Mme Michu si besoin ;D
-
Je crois que tu as fait un erreur, la conf doit être appliqué au port 2, et non 1 (Le port 2 est est celui relié au coté WAN du routeur, c'est ça ?)
Car le filtre s'applique sur les packets entrant, et non sortant.
Tu as raison pour l'article, mais chez moi j'ai fait le choix de port1 = routeur. Merci de l'avoir vérifié en tout cas 8)
-
Tu as raison pour l'article, mais chez moi j'ai fait le choix de port1 = routeur. Merci de l'avoir vérifié en tout cas 8)
Ah oui, vu l'incohérence, j'étais résté sur 1 = ONT :)
C'est du bon boulot en tout cas.
Je me faisais la conf cette aprèm (en théorie car je n'ai pas encore le sw), et je suis arrivé aux même étapes que toi :D)
J'ai juste un doute, je ne sais pas si le port coté routeur wan doit être taggé 832 ou untaggé 832, mais dans le doute j'ai mit taggué aussi.
-
Ah oui, vu l'incohérence, j'étais résté sur 1 = ONT :)
C'est du bon boulot en tout cas.
Oui, j'ai compris après la remarque de kgersen :) C'était pourtant très clair... dans ma tête.
Je me faisais la conf cette aprèm (en théorie car je n'ai pas encore le sw), et je suis arrivé aux même étapes que toi :D)
J'ai juste un doute, je ne sais pas si le port coté routeur wan doit être taggé 832 ou untaggé 832, mais dans le doute j'ai mit taggué aussi.
Pour moi il est taggué, car c'est comme cela que les tutos ERL ont été écrits (ses interfaces sont eth1.832 par exemple). Pour rester cohérent, j'ai taggué (moi aussi dans le doute :) ).
EDIT: dans ma compréhension du switch, 'Untagged' signifie qu'il désencapsule (802.1q) le port tout en le laissant appartenir au VLAN. Ce qui en pratique permet à l'hôte connecté de ne pas gérer le VLAN du tout. Or sur l'ERL, tout est fait pour dans les tutos, dont j'ai voulu rester proche pour ne pas créer une config 'spéciale-switch-en-amont'. Et puis la Livebox en aval du routeur parle VLAN aussi, autant rester cohérent bout-en-bout non ? La seule désencapsulation selon moi, doit intervenir sur le port du routeur dédié au LAN interne.
-
cette conf permettrais donc d'avoir ipv6, TV et téléphone? avec l'ERL?
-
cette conf permettrais donc d'avoir ipv6, TV et téléphone? avec l'ERL?
Le téléphone et la TV, dans mon scenario, sont servis par la Livebox. Mais elle est placée "derrière" l'ERL (ou tout autre routeur). Mon postulat de départ, c'est de ne faire que de la configuration, pas de patch, pas de compilation custom etc. La seule solution que j'ai lue concernant la téléphonie sans Livebox, s'appuie sur un composant qui n'est plus disponible mis à jour publiquement suite à des pressions d'Orange sur son auteur.
Aussi "simple" que possible donc, l'idée est de ne plus dépendre de ce moule à gaufre obligatoirement loué comme box d'accès (reboot à faire minimum 1 fois par semaine, et parfois 1 à 2 fois par jour).
Pour l'IPv6: je n'ai aucune information sur les éventuelles modifications à faire pour la partie IPv6. Je veux d'abord qu'on valide la v4. Mais il est possible dans le switch de définir des classes de trafic IPv6, donc en théorie oui. <= EDIT: IPv6 oui, mais DHCP, probablement pas, voir réponse de zoc juste après.
-
Super le tutorial, j'attends le retour des premiers tests (à titre perso, je peux pas me permettre de tester des nouvelles configs sur la connexion familiale).
Il y a un point que je ne trouvais pas clair, c'était comment appliquer plusieurs policy sur le même port.
Et le lien posté concernant la connexion google fiber l'explique bien : il suffit que les différentes policy aient le même nom et le port prendra toute les policy concernées.
Donc dans l'idéal au lieu de mettre un nom comme SetCosTo6, on mettra "Orange" ou un nom générique du genre.
A voir ce que ça donne, le GS108Tv2 est donné comme ayant 16 Gbps de fond de panier (2Gbps par port), je me demande si c'est aussi le cas avec le DiffServ activé (et l'influence aussi de plusieurs règles).
-
Pour l'IPv6: je n'ai aucune information sur les éventuelles modifications à faire pour la partie IPv6. Je veux d'abord qu'on valide la v4. Mais il est possible dans le switch de définir des classes de trafic IPv6, donc en théorie oui.
En IPv6 c'est plus compliqué: Hormis le problème de CoS (même priorité que pour DHCP en IPv4, donc même solution), il faut un client qui supporte l'option 11 pour l'authentification, ce que l'ERL par exemple ne supporte pas. Personnellement je me suis une fois de plus résolu à compiler un autre client DHCP6-PD (dibbler) et l'installer sur l'ERL.
-
Je suppose que tout est géré en hard par le bcm53312s (le soc de ce switch), sans perte de vitesse. Sur les topics Google fiber+ ce switch, les mecs ont 900 en down, même vitesse qu'avec la box par defaut... On verra bien, mais je ne me fais pas trop de soucis pour ça.
-
Hello,
Super le tutorial, j'attends le retour des premiers tests (à titre perso, je peux pas me permettre de tester des nouvelles configs sur la connexion familiale).
Merci... et pas mieux chez moi. Mais je ne désespère pas, peut-être demain soir ou ce week-end.
Il y a un point que je ne trouvais pas clair, c'était comment appliquer plusieurs policy sur le même port.
Et le lien posté concernant la connexion google fiber l'explique bien : il suffit que les différentes policy aient le même nom et le port prendra toute les policy concernées.
Donc dans l'idéal au lieu de mettre un nom comme SetCosTo6, on mettra "Orange" ou un nom générique du genre.
En effet, je ne m'étais pas (encore) posé la question, n'ayant qu'une policy je l'ai nommée de la façon qui me semblait logique. En pratique, je pense que c'est plutôt un problème d'interface, le fait qu'une policy puisse être associée à plusieurs classes ne semble pas affichable. Les écrans de configuration sont faits avec les moyens du bord, et son boulot c'est plutôt de switcher efficacement ;D
Bref, ta suggestion est très bonne, dès que j'aurai le nécessaire pour créer les policies additionnelles, je mettrait à jour les images et le texte.
A voir ce que ça donne, le GS108Tv2 est donné comme ayant 16 Gbps de fond de panier (2Gbps par port), je me demande si c'est aussi le cas avec le DiffServ activé (et l'influence aussi de plusieurs règles).
Moi ma logique, c'est KISS 8) (Keep It Stupid Simple). En espérant qu'une seule règle ne fasse pas saturer l'engin. On pourrait tester pour voir si l'ajout de critères de filtrage (champs IP TOS, etc.) sont un frein ou au contraire un critère encore plus discriminant qui limite l'influence du filtre. Je pense plutôt à la première option...
-
Bon je pensais que le switch serait livré aujourd'hui et pouvoir tester ça ce soir / ce weekend, mais visiblement c'est foutu, donc ça devra attendre la semaine prochaine :-\
-
Moi ma logique, c'est KISS 8) (Keep It Stupid Simple).
Comme en modem 'Packet Radio' . le KISS ( Keep It Simply Stupid ) est pas très récent.
-
Bon, au final j'ai récupéré le switch et... Ca fonctionne ;D
Mon cas , routeur Mikrotik CCR 1009, qui supporte bien les options DHCP nativement, mais pas le marquage des packets DHCP.
Donc je mets en place la solution du 1er post...rha... l'interface DHCP reste sur "searching" quelques secondes, je me dis "ça marche pas bordel", et bing, je récupère une ip. Cool ! (pour info, évidemment, sans cette modif, je ne récuperais rien, étant dans une zone ou la CoS est nécessaire. J'étais donc en PPPoE le temps de trouver une soluce).
Le temps de reconfigurer mon pare-feu+nat pour utiliser l'interface vlan832 au lieu de la pppoe, me voilà en ligne.
Bien en DHCP vu le test de débit :
(https://www.speedtest.net/result/5216254389.png) (https://www.speedtest.net/my-result/5216254389)
Le lease m'indique 24h, mais je suppose que je vais récupérer la même ip, sans coupure, lors du renew.
-
Y'avait pas de raisons mais c'est une bonne nouvelle :)
Todo list potentielle :
- créer les autres règles pour reproduire le reste du fonctionnement de la livebox (voir post de kgersen : https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg322098/#msg322098 ). A noter que le même protocole peut avoir un CoS différent (ex: ICMPv6). Peut-on trouver un paramètre discriminant pour faire matcher uniquement les bonnes trames ?
- brasser un port de l'erl sur le switch et le wan de la livebox aussi pour laisser le switch faire le bridge
- tant qu'à mettre un switch, pourquoi pas laisser aussi le switch passer les toutes les egress qos même sur les vlan tv (bonus)
Autres suggestions ?
-
Bon, au final j'ai récupéré le switch et... Ca fonctionne ;D
Génial, merci Florian pour ton test ! puis-je avoir une copie de ta config ERL si tu as mis la Livebox en 'aval' du routeur ?
Je mettrai à jour le post dans la soirée pour indiquer que le test est OK.
A+
-
Todo list potentielle :
- créer les autres règles pour reproduire le reste du fonctionnement de la livebox (voir post de kgersen : https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg322098/#msg322098 ). A noter que le même protocole peut avoir un CoS différent (ex: ICMPv6). Peut-on trouver un paramètre discriminant pour faire matcher uniquement les bonnes trames ?
- brasser un port de l'erl sur le switch et le wan de la livebox aussi pour laisser le switch faire le bridge
- tant qu'à mettre un switch, pourquoi pas laisser aussi le switch passer les toutes les egress qos même sur les vlan tv (bonus)
Autres suggestions ?
Je m'occupe ce soir de mettre à jour avec ce que je pourrai. J'avais déjà gardé une copie du tableau des trames, déjà le principe est validé par Florian, on va maintenant optimiser tout ça en effet.
Merci !
-
Génial, merci Florian pour ton test ! puis-je avoir une copie de ta config ERL si tu as mis la Livebox en 'aval' du routeur ?
Je mettrai à jour le post dans la soirée pour indiquer que le test est OK.
A+
J'ai un mikrotik, pas d'erl :)
Conf internet only, je ne me sers pas de la tv ni du tel.
-
Bien en DHCP vu le test de débit :
(https://www.speedtest.net/result/5216254389.png) (https://www.speedtest.net/my-result/5216254389)
Génial pour toi que tu ais trouvé une solution ;D
-
Génial pour toi que tu ais trouvé une solution ;D
Merci :)
Ça te servira aussi si jamais un jour Orange active ça dans ton coin :)
Il ne manque plus que l'ipv6 sur le mikrotik, mais les devs ont déjà annoncés bosser sur le rajout d'options dans le client dhcpv6. Waiting now...
-
Ça te servira aussi si jamais un jour Orange active ça dans ton coin :)
Effectivement on ne sais jamais ;D
-
Bon j'ai enfin sorti le Edge Switch du carton. Et ça cartonne ;)
Tout fonctionne également.
-
Pensez-vous qu'un Cisco SG200-18 est capable de cette config ? Ou le GS108t V1 ?
http://www.cisco.com/c/en/us/support/switches/sg200-18-18-port-gigabit-smart-switch/model.html
-
Je n'arrive pas à voir si le SG200 permet de faire ses propres classes via DiffServ.
Par contre d'après Netgear, une des fonctions du v2 par rapport au v1 , c'est Diffserv.
Donc, sauf erreur de doc, le v1 ne doit pas pouvoir faire ce que le v2 fait. Ou pas de la même manière en tout cas.
-
Pensez-vous qu'un Cisco SG200-18 est capable de cette config ? Ou le GS108t V1 ?
http://www.cisco.com/c/en/us/support/switches/sg200-18-18-port-gigabit-smart-switch/model.html
SG200-18: en regardant brièvement la doc (http://www.cisco.com/c/dam/en/us/td/docs/switches/lan/csbss/sf20x_sg20x/administration_guide/Cisco_200Sx_v1_4_AG.pdf), pas complètement car ce switch n'a que 2 modes pour 'classifier' les paquets entrants: la CoS (niveau VLAN) ou le DSCP (niveau IP). Il ne sait pas analyser un paquet au niveau IP pour determiner si c'est du DHCP par exemple.
Mais ce n'est pas forcement perdu pour fonctionner avec Orange. Un mapping DSCP -> CoS peut suffire si les paquets DHCP ne sont pas a 0 (avec l'ERL ils ne sont pas a zero par exemple). Mais il peut y avoir des effets indésirables comme mapper a CoS6 un paquet non DHCP.
GS108t V1: il a la meme restriction que le Cisco.
-
Update: ça marche chez moi aussi, du premier coup pour la partie routeur => internet, mais pas moyen de faire tomber en marche la Livebox en aval du routeur.
Les seuls fichiers de config que j'ai trouvé pour l'ERL sont en mode PPPoE. Je vais voir dans le thread dédié.
En //, je vais voir ce soir pour le mapping CoS des autres protocoles que DHCP.
@+
-
Pour la conf dhcp, voici celle de b416 (voir son post ici : https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg312308/#msg312308 ).
Petit ménage fait ci-dessous sur la conf de b416, attention de bien vérifier si tout monte au cas où il y aurait une coquille.
Il reste des trucs à personnaliser selon votre install (code fti, mac adress, vos réseaux et vos dns serveurs [virez ceux de google par ex]).
Il y a également le patch de l'option 90 à appliquer (voir intervention de kgersen : https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg309517/#msg309517 ).
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
description BR_TV
}
ethernet eth0 {
address 192.168.0.254/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description Internet_ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:XXXXXXXX;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth, SIP;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
description LAN2_Livebox
duplex auto
speed auto
vif 832 {
address 192.168.2.254/24
description "VLAN TV Canal 2"
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN TV VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat disable
wan-interface eth1.832
}
service {
dhcp-server {
disabled false
hostfile-update disable
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
shared-network-name LAN1 {
authoritative disable
subnet 192.168.0.0/24 {
default-router 192.168.0.254
dns-server 192.168.0.254
lease 86400
start 192.168.0.1 {
stop 192.168.0.200
}
}
}
shared-network-name LAN2 {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.254
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.2.1 {
stop 192.168.2.20
}
subnet-parameters "option rfc3118-auth 0:0:0:0:0:0:0:0:0:0:0:64:XXXXXXXXXXX;"
subnet-parameters "option SIP 0:6:73:62:63:74:33:67:3:50:55:54:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;"
static-mapping Livebox {
ip-address 192.168.2.1
mac-address 00:37:XX:XX:XX:XX
}
}
}
}
dns {
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
description "Masquerading outgoing connections"
log disable
outbound-interface eth1.832
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.8.0.4853089.160219.1607 */
-
Petit ménage fait ci-dessous sur la conf de b416, attention de bien vérifier si tout monte au cas où il y aurait une coquille.
Il reste des trucs à personnaliser selon votre install (code fti, mac adress, vos réseaux et vos dns serveurs [virez ceux de google par ex]).
Génial, merci ! Je croyais naïvement pouvoir ne pas déclarer les options dans mon DHCP-server... Je vois bien les DHCP Discover de la Livebox sur VLAN 832, mais mon ERL ne lui répond même pas. Pas de soucis en revanche pour l'accès internet de l'ERL, j'avais déjà modifié le fichier permettant de gérer l'option 90.
Je teste de ce pas, téléphone KO depuis ce début d'apm, ce n'est pas très bon pour le WAF.
EDIT: marche pas. Toujours pas de bail octroyé à la Livebox par le DHCP-Server de l'ERL. Je vais encore faire des captures pour voir.
EDIT2: voici les captures. On voit bien un DHCP Offer en réponse au DHCP Discover, mais la Livebox au lieu de faire un DHCP Request, recommence un DHCP Discover. Ceci en tout 3 fois. Je suis en train de chercher quelle est la différence entre mon Offer et celui de référence capturé par kgersen.
(les 00 sont bien sûr des remplacements de ma part).
17:26:59.058916 IP (tos 0xc0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 362)
0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 18:00:00:00:00:00 (oui Unknown), length 334, xid 0x380a72d, secs 12, Flags [Broadcast]
Client-Ethernet-Address 18:00:00:00:00:00 (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Parameter-Request Option 55, length 11:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
BR, Lease-Time, RN, RB
AUTH, Option 119, Option 120
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.000.000.000.000.000.000.000
17:26:59.060576 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 386)
172.16.16.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 358, xid 0x380a72d, secs 12, Flags [Broadcast]
Your-IP 172.16.16.10
Client-Ethernet-Address 18:00:00:00:00:00 (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Offer
Server-ID Option 54, length 4: 172.16.16.1
Lease-Time Option 51, length 4: 86400
Subnet-Mask Option 1, length 4: 255.255.255.0
Default-Gateway Option 3, length 4: 172.16.16.1
Domain-Name-Server Option 6, length 8: dns-adsl-gpe3-m.orange.fr,dns-adsl-gpe1-a.wanadoo.fr
RN Option 58, length 4: 43200
RB Option 59, length 4: 75600
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.000.000.000.000.000.000.00
T120 Option 120, length 42: 6,29538,25460,13159,848,21844,1633,25443,25971,29457,28530,24942,26469,00000,00000,00000,00000,00000,00000,00000,29696
-
Et avec ça : https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg309517/#msg309517
Cette partie est un peu différente de b416.
-
Et avec ça : https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg309517/#msg309517
Cette partie est un peu différente de b416.
En effet il y a des options que je n'ai pas mises, mais cet extrait, c'est la partie cliente DHCP, pas la partie serveur. Or je n'ai aucun soucis à obtenir mon IP publique sur mon routeur, le soucis est ENTRE mon routeur et ma livebox. Il y a un progrès tout de même, puisque j'ai maintenant un DHCP Offer. En revanche, il n'est pas assez bien pour la Livebox. Je regarde du côté des options pour les implèmenter sur mon serveur.
Merci
EDIT: pour le fun, vu que je n'arrive toujours pas à faire monter la LB, mon débit (initialement 1Gbps, puis bridé à 500Mbps sans raison) vient de passer à environ 830Mbps.
-
C'est toujours en lien avec la solution "switch pour la CoS quand le routeur ne sait pas le faire" ça ?
-
C'est toujours en lien avec la solution "switch pour la CoS quand le routeur ne sait pas le faire" ça ?
Non, t'as raison je dérive ;D Je stoppe là mes questions sur ce sujet complèmentaire. Mais pour l'instant, ça bloque l'adoption -chez moi-. Et pas de Livebox, pas de SIP. Pas de SIP, pas de règle de CoS. Et donc pas d'update de ce thread :-X
-
Si tu as déjà une ip sur ton vlan832, c'est que la cos est bonne, donc c'est ok, le problème n'est pas lié à la présence du switch.. Sauf si j'ai loupé un truc ?
-
Finally ! ;D
La chaîne renvoyée par mon serveur DHCPv4 de l'ERL à la Livebox en aval n'était pas correcte. (Option 90: dhcpliveboxfr250 à encoder, soit: 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30 )
Je ne partage pas encore mon fichier de config final de l'ERL (qui n'aurait pas sa place ici), car j'y travaille encore. Le téléphone est revenu, ouf ! (WAF++).
Donc scenario complet validé (switch + routeur[LAN] + livebox[Tel|TV]), en quelques lignes avant de mettre à jour le tuto dans les jours qui viennent:
- configuration du switch, selon le tuto déjà publié au début de cette discussion
- configuration du routeur, VLANs, options DHCP, serveur DHCP pour LAN, serveur DHCP pour Livebox
- configuration de la Livebox pour correspondre au nouveau plan d'adressage
Astuce si vous avez un PC portable: bien laisser, au moins temporairement, le Wifi de la Livebox. Ceci permet facilement à distance de lui demander de rebooter, tout en ayant le câble sur le LAN pour garder la main sur votre routeur.
NB: je n'ai pas encore testé la partie TV, mais j'obtiens bien un IP sur le bridge proposé dans les modèles de config ERL du thread dédié.
-
NB: je n'ai pas encore testé la partie TV, mais j'obtiens bien un IP sur le bridge proposé dans les modèles de config ERL du thread dédié.
Euuuh si tu conserves la Livebox, alors il ne faut pas attribuer d'IP au bridge (la configuration de c0mm0n est fausse sur ce point, c'est un mix entre une config avec et sans Livebox...).
-
Euuuh si tu conserves la Livebox, alors il ne faut pas attribuer d'IP au bridge (la configuration de c0mm0n est fausse sur ce point, c'est un mix entre une config avec et sans Livebox...).
Ouais je me disais aussi... que ce n'était pas très logique. Mais honnêtement, si je rebranche la STB TV, c'est juste pour finir le tuto, car je ne l'utilise pas, je l'ai toujours trouvée lente, très instable, et jamais fonctionnelle quand j'en avais besoin. TNT Power maintenant.
En tout cas, c'est une bizarre coincidence que l'installation de switch+routeur en amont de la Livebox m'aient permis de retrouver +900Mbps, là où j'avais été précédemment rétrogradé à 500Mbps. Limitation par la box sur ma plaque ? (je ne suis pas le seul concerné, mais je n'ai pas reconfirmé avec les voisins).
Pour les possesseurs d'ERL qui souhaiteraient adopter mon choix technique, voici les infos de configuration dans le post suivant:
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg324314/#msg324314 (https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg324314/#msg324314)
-
Je suis en train de configurer le switch pour le marquage du CoS avec l'aide de l'extract effectué par kgersen ici : https://docs.google.com/spreadsheets/d/1Toh7a3wyXfH2NscAvhgxOJk1JEEBd6PwfmO003xRDo0/edit?usp=sharing
J'ai quelques interrogations concernant certains protocoles.
Autant DHCP, ARP et IGMP ne posent pas de problèmes vu qu'il y a peu de chance que ce flux sortant soit pour autre chose que l'infra Orange côté WAN.
Mais pour SSL, TLSv1, TCP (les trois pour le décodeur tv), voir SIP, SIP/SDP, RTP et RTCP si on utilise un service VoIP concurrent, peuvent poser problème si on peut strictement marquer que le traffic pour reproduire le traffic de l'infra Orange.
Pour le décodeur tv, je me demande si on peut pas utiliser le switch pour premier marquage afin d'appliquer des règles précises sur uniquement le flux du décodeur grâce à ce premier marqueur.
Pour la VoIP ça peut poser problème dans le cadre d'autres services.
Vous pensez à des astuces pour ce type de config avec un GS108Tv2 ?
J'imagine que le marquage inverse (prioriser autre chose que les paquets "Orange") ne posera pas de problème mais c'est histoire de faire le truc jusqu'au bout.
-
Pour moi il n'y a pas de problème: 802.1p est associé à 802.1q. Autrement dit la priorité est associée au VLAN qui transporte le paquet. Hors sur internet il n'y a pas de VLAN, donc qu'elle que soit la priorité configurée, elle disparaîtra dès que le paquet sort du reseau d'Orange... Si ça se trouve les VLAN ne sont qu'entre la box/le routeur et l'OLT donc il se pourrait que ça n'aille pas plus loin que l'arbre PON...
Donc, la CoS permet à orange de prioritiser le traffic sur son reseau, mais pas plus loin.
Par contre si tu utilises les capacités du switch pour modifier le DSCP, alors ça a un impact de bout en bout.
Je pense donc qu'au contraire, prioritiser tout le traffic SIP sortant est un avantage, même pour les fournisseurs SIP tiers, car ça vous assure que votre traffic SIP sera plus prioritaire que votre traffic data au moins dans (une partie) du reseau d'Orange.
-
Pour SIP OK ce n'est pas un problème vu l'intérêt à le prioriser mais pour TCP ou TLS, le prioriser par rapport à d'autres flux ça l'est moins.
Et même si on décide de pas créer la règle pour TLS/TCP (et que ça n'a aucun incidence sur le décodeur tv), c'est un moyen facile pour Orange de détecter qui n'utilise pas sa livebox comme router principal voire même de resserrer les vis encore davantage (si Orange voit passer du traffic priorisé à destination autre que sa propre infra).
Pour moi autant normaliser jusqu'au bout.
-
Bonjour,
Merci pour toutes les informations, j'ai donc une configuration fonctionnelle, TV, tel, Internet.
Cependant, j'ai une différence de 250/300Mbits en moins en download avec le netgear comparé aux même tests avec uniquement l'ERL. (Déjà cross check les 3 cables reliant le GS108T ils sont OK)
Je pense surement à une configuration du switch que j'ai du pas/mal configurer. Si vous avez des pistes.
SANS GS108T: 942.2Mb/s - 248.5 Mb/s - 7 ms
AVEC GS108T: 667.4Mb/s - 204.1 MB/S - 22ms
-
Tu n'as pas configuré une CoS sur le netgear justement, qui aurait pour conséquence de diminuer la priorité du traffic (et donc le débit ensuite ?)
Je dis ça car j'utilise aussi ce switch, mais juste pour tagguer les requetes DHCP en prio6, c'est tout ,et je n'ai aucun soucis de débit ensuite.
-
Tu n'as pas configuré une CoS sur le netgear justement, qui aurait pour conséquence de diminuer la priorité du traffic (et donc le débit ensuite ?)
Je dis ça car j'utilise aussi ce switch, mais juste pour tagguer les requetes DHCP en prio6, c'est tout ,et je n'ai aucun soucis de débit ensuite.
Merci du retour, je viens de faire un test pour me confirmer que c'est bien le switch le problème. J'ai une connexion annexe 100Mega numéricable, je me branche en direct sur le modem NC, 98mega / 5 mega UP bref ca roule.
Je mets le modem NC sur un port du switch (le 6 dans mon exemple) et je branche le pc sur le port 7, configure la passerelle manuellement pour sortir sur NC, de nouveau, perte de 30% du débit en tombant à 64 Mega donc c'est clairement un QoS ou autre que j'ai du activer ou laisser activé par erreur.
Sinon de mon côté, seulement activé le COS 6 DHCP + IGMP Snooping
-
Ok problème réglé.
J'ai fais redémarrer la switch sur l'image firmware 2 (celle de base pas mise à jour 5.4.2.18) plus de problème, je redémarre pour confirmer le soucis sur l'image 1 mise à jour 5.4.2.22 retour de la perte de 30% approx... Repassage en 5.4.2.18 plus de problème.
Je n'ai aucune explication logique :D
-
Bizarre, je suis dans la dernière version également.
-
Bonjour,
Est-ce que quelqu'un a réussi à rajouter une "class configuration" IPv6 en plus de celle(s) en IPv4 dans la policy ?
Je m'explique : j'ai suivi le tuto du premier post et tout fonctionne bien en IPv4, les paquets DHCP sont taggués avec la bonne CoS.
J'ai testé pour le fun l'ajout d'autres "class configurations" avec le même nom de policy et c'est bien accepté par le switch (comme dans le tuto google fiber).
Par contre, j'ai essayé de rajouter une configuration pour tagguer les paquets DHCPv6 qui sortent de l'ERL (pour pouvoir utiliser le dibbler dispo dans le repo debian de l'ERL et pas celui patché), et là cela ne fonctionne pas.
J'ai créé une "IPv6 class configuration" qui matche les paquets IPv6 avec port source 546 et destination 547, mais quand je veux le rajouter avec le même nom de policy j'ai une erreur "Maximum of entries is reached" (cf capture).
Avec un nom différent, ça passe, mais impossible d'affecter deux policies sur un même port...
J'ai essayé de contourner le truc en modifiant à la main le fichier de conf du switch et en le re-uploadant, mais ça ne fonctionne pas, le switch ne redémarre pas, obligé de passer par un factory reset.
Avez-vous une idée pour que ça fonctionne ou bien est-ce que l'on est condamné à utiliser le dibbler patché (qui fonctionne très bien ceci dit, mais du coup l'utilisation de ce montage perd un peu de son intérêt...) ?
-
J'ai réussi à les configurer (j'en ai 3 en tout pour l'instant : dhcp, arp et igmp).
Dans cette page ils l'expliquent un peu : http://flyovercountry.org/2014/02/google-fiber-gigabit-speeds-your-router-part-2-qos/
C'est assez contre intuitif mais il faut sélectionner la première policy et toute en créant une deuxième.
Je te donne le mode opératoire ce soir sinon quand je suis chez moi en face de la webgui.
-
Hello,
Oui, j'ai bien suivi ce qui est fait sur cette page, mais c'est pour les classes IPv6 que ça coince. J'arrive bien à en ajouter d'autres pour IPv4 (par ex pour ARP ou IGMP), mais quand je veux ajouter une classe IPV6 que j'ai créée via "IPv6 class configuration", ça marche pas :(
-
(pour pouvoir utiliser le dibbler dispo dans le repo debian de l'ERL et pas celui patché)
Fait attention a la version de dibbler dispo dans le repo debian ... il me semble que ce n'est pas la bonne pour fonctionner avec les options specials d'Orange ( a verifer).
-
Bien vu, la version dispo dans le repo de l'ERL est la 0.8.2 (alors que la patchée est la 1.0.1). Ça marche bien pour la partie serveur, mais pour le client il doit manquer des choses...
Bon, je vais rester avec mon dibbler patché du coup... voire avec le dhclient patché aussi vu que de toutes manière, on a pas de solution "clean" pour l'ERL... :'(
C'est un peu hors sujet, mais quelqu'un a un lien pour la mise en place d'un environnement de cross compilation pour l'ERL à partir d'un linux x86 standard ?
Merci ! :)
-
Hello,
Oui, j'ai bien suivi ce qui est fait sur cette page, mais c'est pour les classes IPv6 que ça coince. J'arrive bien à en ajouter d'autres pour IPv4 (par ex pour ARP ou IGMP), mais quand je veux ajouter une classe IPV6 que j'ai créée via "IPv6 class configuration", ça marche pas :(
Comme tu t'en doute, je n'ai pas essayé en ipv6.
Trois possibilités :
- possible mais pas très intuitif (comme en ipv4)
- bug de la webgui (pouvant éventuellement être réparé par une révision du firmware)
- limitation du switch :(
-
Le forum US de Netgear est pas degeux, y'a des devs dessus, tu peux toujours tenter de te renseigner là bas également.
-
OK, merci à tous. :)
Pour la conf des classes ipv4 + ipv6, je penche pour une limitation du switch car je n'ai pas réussi à passer la conf en éditant et en réinstallant le fichier texte de la conf.
En fait, vu la réponse de kgersen, on ne peut pas utiliser la version de dibbler-client fournie dans les repos de l'ERL car la version est trop ancienne. Donc on aura pas de version "full Ubiquity", du moins en 1.8.
Du coup, comme il faut forcèment installer le package à la main, autant installer la version patchée et ne pas se reposer sur le switch.
D'ailleurs du coup j'ai aussi installé dhclient3 patché pour l'ipv4, étant donné que la conf QoS du switch a tendance à "sauter" de manière aléatoire quand on y touche un peu... le second effet kiss cool est qu'on s'en aperçoit quelques heures après, à l'expiration du bail DHCP...
Ça commence à faire un peu beaucoup de bidouilles pour que ça marche, mais bon, c'est encore gérable...
-
Bon je confirme le "bug" de lepoulpe, je me mange le même message en mixant ipv4 et v6.
Je vais poster sur le forum netgear US quand j'aurais quelques minutes.
-
Il suffit de mettre en cascade un deuxième switch GS108Tv2 pour gérer l'IPv6.
Ok, je sors...
-
Tiens bah, après avoir tenté le coup de la class ipv6, le "operational status" de ma Policy pour le DHCP v4 est passé en down. Je reboot le routeur, bingo il ne se reconnecte pas. Donc en rentrant je vais devoir supprimer puis refaire la conf diffserv du switch visiblement...
-
Ha bin je pense qu'il m'est arrivé la même chose hier !
Je ne savais pas si ça venait de moi ou du switch. D'ailleurs je n'arrive plus à supprimer la policy, j'ai un message d'erreur (je l'ai pourtant supprimée de l'interface). :-[
Je me demande si je ne vais pas devoir (encore) passer par un factory reset...
Ça m'a définitivement convaincu de passer au dhclient3 patché. Pour l'instant je laisse le switch, comme ça je peux facilement faire des captures de ce qui sort vers ONT avec du port mirroring, mais je sens qu'à terme je vais le supprimer...
-
Plus jamais je tente de reproduire un bug à distance :P
Vu le comportement totalement étrange et le 1er message d'erreur qui est faux, je pense que c'est un vrai bug, mais qui ne permet pas de dire que c'est une limitation du switch.
On verra ce que dit Netgear :D
-
Bah j'ai quand même essayé de bypasser la GUI en éditant le fichier de conf du switch (téléchargeable dans Maintenance -> Upload (!!!) -> HTTP file upload.
J'ai ajouté la classe IPv6 sur le même modèle que l'IPv4, mais quand j'ai réinstallé la conf, ça ne bootait plus...
Après, il est possible que je me sois gouré... :P
-
Je pense que le switch ne capte pas ce que lui dit le fichier de conf, quand ipv4 + v6 il débloque.
Mais vu qu'on peut faire du full v6, je ne vois pas pourquoi matériellement une Policy ne pourrait pas avoir du v4 et du v6, c'est tout ce que je dis :)
Surtout qu'ensuite ça met en carafe en douce (bon ça marque down ...) la police existante. Si les devs avaient vraiment limité les fonctions à cause de hard, le "refus" serait beaucoup plus propre que ça et avec un message explicite ;D
-
Bon, j'ai du faire un reset usine pour pouvoir refaire la conf.
-
Bonjour a tous
voila ma config
livebox 3 Abo JET FTTH
équipement:
UTM Endian 2.5.2
switch netgear GS724T v3 ver 5.4.2.19
premier test ONT sur le WAN avec vlan 835 MTU 1452 Mode PPPoE avec user fti/
adresse ip Wan ok 90.xx.xx.xx mais problème de débit 4.24 Mb/s pas cool :'(
donc test avec la solution du tuto
ONT sur le switch vlan 832 Taged Port g11
Endian sur le switch vlan 832 Taged Port g10
Endian port wan avec vlan 832 assignée a eth0 mode dhcp
pas d'adresse WAN
je vais ressortir du carton mon netgear wndr3700.
si quelqu'un a une idée merci pour votre aide
-
Tu as bien configuré ton client dhcp sur l'Endian ? (si jamais c'est possible...)
-
bonjour
merci pour ta réponse rapide
a part le vlan, mtu, adresse MAC, j'ai pas d'autre choix
une autre question le Service Configuration sur le switch doit être appliquez sur le port ONT ou WAN ?
Cordialement
-
a part le vlan, mtu, adresse MAC, j'ai pas d'autre choix
Donc ça ne marchera jamais vu qu'il manque tout ce qui concerne l'authentification (vendor, user class et option 90).
-
bonjour
merci pour ta réponse
voila les log de l'endian
Apr 30 15:39:50 kernel [ 3577.383019] eth1.832: no IPv6 routers present
Apr 30 15:40:05 ulogd[3507] We are losing events. Please, consider using the clauses `netlink_socket_buffer_size' and `netlink_socket_buffer_maxsize'
Apr 30 15:40:16 uplink[uplink1] Starting Uplink 'uplink1'
Apr 30 15:40:18 dhclient Internet Systems Consortium DHCP Client V3.0.5-RedHat
Apr 30 15:40:18 dhclient Copyright 2004-2006 Internet Systems Consortium.
Apr 30 15:40:18 dhclient All rights reserved.
Apr 30 15:40:18 dhclient For info, please visit http://www.isc.org/sw/dhcp/
Apr 30 15:40:18 dhclient
Apr 30 15:40:20 kernel [ 3607.715685] ADDRCONF(NETDEV_CHANGE): eth1.832: link becomes ready
Apr 30 15:40:20 dhclient Listening on LPF/eth1.832/00:0f:c9:08:b0:4b
Apr 30 15:40:20 dhclient Sending on LPF/eth1.832/00:0f:c9:08:b0:4b
Apr 30 15:40:20 dhclient Sending on Socket/fallback
Apr 30 15:40:20 dhclient DHCPDISCOVER on eth1.832 to 255.255.255.255 port 67 interval 8
Apr 30 15:40:21 ntpd[3998] Deleting interface #56 eth1.832, fe80::20f:c9ff:fe08:b04b#123, interface stats: received=0, sent=0, dropped=0, active_time=100 secs
Apr 30 15:40:21 ntpd[3998] peers refreshed
c'est pour sa que sa marche pas
merci quand meme
-
Donc ça ne marchera jamais vu qu'il manque tout ce qui concerne l'authentification (vendor, user class et option 90).
Et le plus cocasse dans cette histoire c'est qu'on peut personnaliser le serveur ;D
EDIT : Je viens de voir que dhclient.conf est présent, y'a sans doute moyen de l'utiliser pour passer les bonnes options. Mais avant faut trouver quel fichier s’occupe de la config des interfaces, et je ne trouve pas... c'est pas comme sur une redhat classique dans /etc/sysconfig...
EDIT2 : le dhclient intégré a edian prend bien en charge toutes les options. Y'a plus qu'a bidouiller un peu pour s'en servir.
-
Sinon pour répondre à l'autre question, la cos doit être appliqué le port "WAN" du switch, pas l'ONT (vu que la politique s'applique en "in")
-
bonsoir
merci pour votre retour c'est plutôt une bonne nouvelle
merci a vous
je vais essayer de comprendre tous ça
merci encore
-
Plus jamais je tente de reproduire un bug à distance :P
Vu le comportement totalement étrange et le 1er message d'erreur qui est faux, je pense que c'est un vrai bug, mais qui ne permet pas de dire que c'est une limitation du switch.
On verra ce que dit Netgear :D
Alors, j'ai été en ligne avec le support NetGear France. Ils reproduisent le problème, mais pour eux c'est une limitation du switch, on ne peut pas appliquer de classes ipv4 et v6 sur le même port avec ce modèle.
La personne était à l'écoute et comprenait le soucis, mais ça sonnait comme "définitif" (pas du genre "ça pourra être corrigé par un firm").
-
doit-on ne plus conseiller ce switch et de-épingler ce sujet donc ?
quelles alternatives y a t'il ?
-
EdgeSwitch ? :)
Mais pas au même prix.
-
EdgeSwitch ? :)
Mais pas au même prix.
On est pas rendus si on doit utiliser un switch de compétition. C'est 215€ le 24 ports en version Lite, et le double en non Lite. Et puis j'en ai 3 au siège de ma boite, je peux vous dire que c'est du solide, ça ventile, impossible à mettre dans le salon, ça fait beaucoup trop de bruit. J'en ai un sous le bureau du centre d'appel, heureusement que l'ambiance de la pièce est sonore, car il fait un bruit non nul.
-
Sinon, au pire, on peut utilisé 2 ports , un pour IPv4 et un pour IPv6 mais ca complique la config et ca consomme un port WAN de plus sur l'ERL.
-
je peux vous dire que c'est du solide, ça ventile, impossible à mettre dans le salon
La datasheet du 24 ports Lite indique pourtant qu'il est Fanless...
Après, effectivement, c'est plus prévu pour aller dans un local dédié au matos informatique (chez moi tous les équipements hors postes clients sont dans un coin rangement fermé de 2 m2). Je conçois que même si on fait d'abstraction du bruit, une telle bête dans le salon ce n'est pas très esthétique ;D
-
Sinon, au pire, on peut utilisé 2 ports , un pour IPv4 et un pour IPv6 mais ca complique la config et ca consomme un port WAN de plus sur l'ERL.
Je me demandais justement si c'était possible (j'ai un mikrotik mais le principe doit être le même).
Au niveau du routage sortant il faudrait différencier ipv4 et ipv6.
Actuellement j'ai une ligne : add action=masquerade chain=srcnat out-interface=vlan832-orange to-addresses=0.0.0.0
Il faudrait une out-interface avec un nom différent, et l'équivalent du 0.0.0.0 pour l'ipv6.... ?
Bon de toute façon ce n'est pas encore d'actualité pour moi vu que les options en dhcpv6 ne sont pas encore gérées.
-
Je me demandais justement si c'était possible (j'ai un mikrotik mais le principe doit être le même).
Je ne vois pas d'impossibilité technique. C'est comme si tu avais du dual-wan IPv4+IPv4 alors que là tu as de l'IPv4+IPv6...
Si ma mémoire est bonne, l'équivalent du 0.0.0.0 en IPv6 c'est "::/0" ;). Et puis de toute façon en IPv6 tu ne feras pas de masquerading. Il suffit donc juste d'avoir une route par défaut correcte.
-
oui ipv4 et ipv6 sont complètement disjoints, il n'y a rien a différencier.
chacun a son routage et il n'y a pas masquerade/nat en IPv6.
D'ailleurs on peut meme avoir 2 routeurs, un pour IPv4 et l'autre pour IPv6 ... ou garder la livebox pour IPv4 et utiliser un routeur pour IPv6 (en théorie sauf "bidouille/sécurité" coté Orange mais j'en doute).
-
Merci de vos réponses. C'est super intéressant et ça pourra du coup, sur le principe, permettre de continuer d'utiliser cette solution malgré l'arrivé d'ipv6.
-
La datasheet du 24 ports Lite indique pourtant qu'il est Fanless...
Après, effectivement, c'est plus prévu pour aller dans un local dédié au matos informatique (chez moi tous les équipements hors postes clients sont dans un coin rangement fermé de 2 m2). Je conçois que même si on fait d'abstraction du bruit, une telle bête dans le salon ce n'est pas très esthétique ;D
Heu, ça veut donc dire que j'ai des switchs non "lite" au taff :D
-
Alors, j'ai été en ligne avec le support NetGear France. Ils reproduisent le problème, mais pour eux c'est une limitation du switch, on ne peut pas appliquer de classes ipv4 et v6 sur le même port avec ce modèle.
La personne était à l'écoute et comprenait le soucis, mais ça sonnait comme "définitif" (pas du genre "ça pourra être corrigé par un firm").
Pour info, Netgear France va quand même soumettre une "feature request", afin de pouvoir mélanger classe IPv4 et v6 dans une même policy (après à voir si c'est possible techniquement pour ce modèle. Vu que le M4100 (gamme supérieure) n'en est pas capable non plus... Je ne sais pas ce que ça peut donner)
-
Pour info, Netgear France va quand même soumettre une "feature request", afin de pouvoir mélanger classe IPv4 et v6 dans une même policy (après à voir si c'est possible techniquement pour ce modèle. Vu que le M4100 (gamme supérieure) n'en est pas capable non plus... Je ne sais pas ce que ça peut donner)
Bon en tout cas merci de tes efforts pour faire avancer les choses côté Netgear.
De toutes façons pour IPv6 on est pour l'instant condamné à bidouiller vu que le client DHCPv6 de l'ERL ne fonctionne pas avec Orange...
-
Bonjour a tous
j’ai changer la version de endian 2.5.1 pour la version 3.2 beta 1, la version du DHCP Client est la 4.2.5-P1
sur cette version il y a un fichier de conf en CLI netwizard sous /usr/local/bin/netwizard
mais je ne suis pas assez caler en script Linux si une âme charitable pouvais me donner un petit coup de main ;D.
je peut faire des test et réinstaller si besoin. ma ligne ftth orange n'est pas encore en production donc pas de problème pour faire des test :)
merci a vous
-
Bon en tout cas merci de tes efforts pour faire avancer les choses côté Netgear.
De toutes façons pour IPv6 on est pour l'instant condamné à bidouiller vu que le client DHCPv6 de l'ERL ne fonctionne pas avec Orange...
Bon j'ai eu un retour, ce n'est pas possible.
Du coup on aura un port pour l'ipv6, et un pour l'ipv4, et voilà. Enfin, si Orange persiste à vouloir de la QoS pour le DHCP.
-
si ca intéresse quelqu'un j'ai un GS108Tv2 d occasion a vendre.
MP pour les intéressés
-
Heu, ça veut donc dire que j'ai des switchs non "lite" au taff :D
J'ai personnellement le ES-16-150W, il est ventilé mais je n'ai jamais entendu le ventilateur se lancer hormis au boot du switch ;)
-
Bonjour à tous
je voudrais savoir s'il y a un équivalent moins onéreux et surtout avec moins de ports que le GS108Tv2 qu'on peut utiliser ce tutoriel ?
merci d'avance
-
Bonjour,
Moi j'ai la question inverse, il a t'il une version avec plus de ports (12 ou 16) ?
Merci
Greg
-
Bonjour,
Moi j'ai la question inverse, il a t'il une version avec plus de ports (12 ou 16) ?
Merci
Greg
Oui il existe en 5 ports
Bonjour à tous
je voudrais savoir s'il y a un équivalent moins onéreux et surtout avec moins de ports que le GS108Tv2 qu'on peut utiliser ce tutoriel ?
merci d'avance
oui il existe en 16 et 24 ports
LIEN (https://www.amazon.fr/Netgear-GS105E-200PES-Configurable-Gigabit-Managed/dp/B00GWKN1Q2/ref=sr_1_2?ie=UTF8&qid=1473088385&sr=8-2&keywords=netgear+gs105)
-
Bonjour,
Merci !!! ;D
donc si je pige bien le GS116E-200PES doit permettre de faire gérer la partie vlan et cos a la place du routeur ?
-
Bonjour,
Merci !!! ;D
donc si je pige bien le GS116E-200PES doit permettre de faire gérer la partie vlan et cos a la place du routeur ?
Il gère les VLANs et la QoS mais ce n'est pas un routeur
-
oui derrière il faudra un routeur mais le routeur n'aura pas besoin de faire la qos 6 ni le vlan.
le routeur devra "juste" gérer les options du dhcp pour que la connexion soit faite.
-
Je viens de tester avec un GS116E-200PES, pour la partie vlan pas de problème mais par contre impossible de configurer la qos c'est un gros fail...
Greg
-
La gamme "e" n'a pas les même fonctionnalités que la T, ce n'est pas surprenant.
La QoS est très simplifiée et ne permet pas d'en faire autant que les T.
-
Je viens de tester avec un GS116E-200PES, pour la partie vlan pas de problème mais par contre impossible de configurer la qos c'est un gros fail...
Greg
http://www.downloads.netgear.com/files/GDC/GS105E/ProSAFE_Plus_Utility_UM_EN.pdf (http://www.downloads.netgear.com/files/GDC/GS105E/ProSAFE_Plus_Utility_UM_EN.pdf) page 18
-
http://www.downloads.netgear.com/files/GDC/GS105E/ProSAFE_Plus_Utility_UM_EN.pdf (http://www.downloads.netgear.com/files/GDC/GS105E/ProSAFE_Plus_Utility_UM_EN.pdf) page 18
je ne vois rien qui permette de regler la qos6 si le traffic est du dhcp...y'a juste du 802.1p basic (on / off) et du rate limiting.
-
oui derrière il faudra un routeur mais le routeur n'aura pas besoin de faire la qos 6 ni le vlan.
le routeur devra "juste" gérer les options du dhcp pour que la connexion soit faite.
la qos 6 n'était pas demandé
-
la qos 6 n'était pas demandé
Désolé de te contredire mais le sujet est justement un switch pour prendre en charge la CoS devant les routeurs. Le 6 n'est pas précisé mais nous sommes dans la section remplacer la livebox donc c'est implicite.
mais bon fort de cette expérience j'ai donc cherché un switch avec un "T" mais il n'est existe pas de non rackabe avec 16 ports. la seul solution serai de mettre plusieurs switch.
-
Hello Florian, je suis tombé par hasard sur ton topic : https://community.netgear.com/t5/Smart-Plus-Click-Switches/GS108Tv2-Diffserv-can-t-mix-ipv4-and-ipv6-classes-in-one-policy/td-p/1078399
La réponse de Netgear n'a pas l'air catégorique sur la non possibilité de mettre une policy ipv4 et ipv6 sur le même port, peut-être qu'en poussant un peu ?
Je ne vois pas encore de solution idéale pour une connexion sur infra Orange en DHCP hormis la bidouille du dhcp client.
-
Ce qui est sur c'est que ça ne fonctionne pas actuellement chez eux.
Et vu les échanges avec le support, ça semble être définitif sur le 108tv2. Le jour ou Mikrotik supportera les bonnes options en dhcpv6, j'utiliserai un autre port et basta, pas bien grave au final.
-
Bonjour à tous,
J'ai un GS108Tv2 et un tp-link tl-er5120 impossible d'obtenir une connexion WAN, l'un de vous pourrait nous poster sa configuration fonctionnelle (donc IPV4 à ce jour) du Netgear afin que je puisse voir ou je pèche certainement.
Merci a tous
-
Les informations de la première page sont toujours valables.
-
Bonjour Et meilleurs vœux 2017 à tous
Oui sauf que le port Routeur du switch laisse toujours le VLAN 832 semble t il ? comment faire pour modifier cela, et que d'autres routeurs puissent être utilisés ?
-
Pourquoi veux tu l'enlever ? L'interface wan du routeur a besoin de parler sur ce vlan, donc normal que le port du switch sur lequel il est branché continu de le propager.
Ou alors je n'ai pas compris ton soucis.
-
Je pense qu'il veut utiliser un routeur qui ne supporte pas les VLAN, sinon je vois pas... Après le problème ça va surtout être la prise en charge des options DHCP nécessaires (la 90 en particulier)...
Du coup, il faut que le port du switch qui va au routeur soit en mode access avec le PVID 832 (non taggué donc) et pas en mode Trunk, et ça devrait marcher.
Par contre du coup pas de TV possible.
-
Merci de ta réponse, mon soucis est le suivant :
Je n'ai aucun besoin de télé, de téléphone, juste internet, et de pouvoir utiliser un routeur qui ne gère pas les VLANs sur son interface wan, un routeur de base donc, sauf si je me trompe dans le raisonnement.
-
Ah, oui possible. Suffit de passer le port en untagged sur le vlan832, avec le pvid qui va avec oui.
Vu l'interface, ça se trouve assez rapidement en de basant sur le tuto actuel. Si ca ne suffit pas je prendrais d'autres screenshots.
-
Est-ce qu'un routeur "de base" va supporter le mécanisme d'authentification DHCP spécifique utilisé par Orange (je n'en connais aucun, même ceux pour lesquels ça finit par marcher nécessitent des modifications manuelles des fichiers de conf) ?
-
Donc j'ai bien passé le port g1 (routeur) en untagged
(http://Capture1.jpg)
Mais qu'entends tu par le pvid qui va avec ?
-
En dessous de VLAN Membership dans les menus, tu dois avoir Port PVID Configuration. Vérifier que le PVID du port est bien à 832 également (ça doit être le cas, mais parfois ça reste à 1).
-
Bon c'est bien ça, mais toujours rien... :-[
-
Comme l'a dit Zoc avant, ton routeur est bien configuré ? De quel modèle s'agit il ? Il supporte le DHCP "made in orange" pour établir la connexion ?
-
Le routeur est un TP-LINK TL-ER5120 .... pour les options "DHCP Orange" comment le savoir ?
-
Le routeur est un TP-LINK TL-ER5120 .... pour les options "DHCP Orange" comment le savoir ?
Consulter les specifications techniques du routeur et regarder s'il supporte l'authentification DHCP conforme à la RFC 3118. Orange utilise cette méthode pour transmettre l'identifiant client (fti/xxxxxx) dans la requête DHCP. Donc déjà si tu ne peux rentrer nulle part cette information c'est mal parti.
99 chances sur 100 que ce ne soit pas supporté sur un routeur grand public.
-
Tu entend que le routeur envoi les identifiants dans la requete dhcp ? pourtant je ne les ais jamais entrés dans ma livebox ?
-
Oui, c'est un fait avéré.
Et si tu ne les as pas entrés, c'est sans doute parce que au choix:
- Le technicien qui est venu installer la box l'a fait sans que tu ne t'en rende compte
- Tu as utilisé la procédure d'installation de la box par SMS et dans ce cas les paramètres sont transmis automatiquement, mais ils sont bien là...
-
EDIT : grillé.
Pas que les identifiants.
C'est un exemple pour Mikrotik ici , étape 1 à 4/5 : https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg307232/#msg307232
Mais les éléments DHCP à envoyer sont les même quelque soit le routeur. Avec une Livebox, tout est déjà configuré, donc rien à renseigner.
-
rien à renseigner.
Bah si, le fti/xxxxxx (mais ça peut être fait automatiquement comme je l'ai dit plus haut avec la procédure d'installation par SMS).
-
Nous font $ù*^$$
Et peu t on repasser en identification classique c'etait sur un autre VLAN non ?
-
835 pour le PPPoE. Et du coup plus besoin de gérer des priorités avec le switch
-
Bah si, le fti/xxxxxx (mais ça peut être fait automatiquement comme je l'ai dit plus haut avec la procédure d'installation par SMS).
Oui ce que je voulais dire c'est que c'était soit fait par le tech, soit automatiquement. L'utilisateur final le rentre jamais lui même ou presque.
-
Ok cela fonctionne Hors DHCP (juste remplacé 832 > 835 et l'authentification sur le routeur), c'est bien ...
Quel est l’intérêt pour FT, que les clients ne gère plus leur authentification ? ou pour mieux leur pourrir la vie ?
Constat quand même, le débit passe de + de 110 Mb à environs 60 Mb... même si ce n'est pas l'objectif.
Merci pour les explication
-
Il faut certainement bricoler un peu, mais on doit pouvoir s'en sortir avec ça :
-
Il faut effectivement également passer le bon user-class (+FSVDSL_livebox.Internet.softathome.Livebox3), ainsi que le vendor-class-identifier (sagem), mais ce n'est pas suffisant chez Orange, il faut également l'option 90.
-
Du coup il va falloir demander aux divers fournisseurs de routeur d'évoluer un peu quand meme
-
Bonne chance, c'est tellement spécifique (personne n'utilise la RFC 3118 en pratique...) que personne ne voudra investir du temps là dessus.
Même chez Ubiquiti ils ne veulent pas le faire, c'est pas faute de leur avoir demandé (mais heureusement on peut le faire nous même en modifiant un script perl...).
-
Il y a tout ce qu'il faut :)
-
Bonjour,
Une petite question, selon vous est il possible avec le petit switch et un raspberry PI de faire un petit relai DHCP juste pour résoudre le problème de cos 6 et authentification DHCP d'orange ?
Et placer n'importe quel routeur derrière ?
Merci
Greg
-
Bonjour,
Je viens d'ouvrir une demande chez Ubiquiti pour que les EdgeRouters puissent configurer la CoS sans avoir à patcher leurs clients DHCP : https://community.ubnt.com/t5/EdgeMAX-Feature-Requests/DHCP-Client-Set-802-1p-QoS-on-requests/idi-p/2048812 (https://community.ubnt.com/t5/EdgeMAX-Feature-Requests/DHCP-Client-Set-802-1p-QoS-on-requests/idi-p/2048812)
-
Bonjour,
Je viens d'ouvrir une demande chez Ubiquiti pour que les EdgeRouters puissent configurer la CoS sans avoir à patcher leurs clients DHCP : https://community.ubnt.com/t5/EdgeMAX-Feature-Requests/DHCP-Client-Set-802-1p-QoS-on-requests/idi-p/2048812 (https://community.ubnt.com/t5/EdgeMAX-Feature-Requests/DHCP-Client-Set-802-1p-QoS-on-requests/idi-p/2048812)
802.1P ne concerne que les vlan (niveau 2). DHCP travaille au niveau 3 (réseau) et n'a pas de notion de vlan.
Il y a déjà un mapping de la priorité niveau 3 vers le niveau 2 (802.1p donc) dans l'ERL.
Ce qu'il manque c'est de pouvoir spécifier la prio niveau 3 pour DHCP. Sur un OS Linux comme c'est le cas avec l'ERL, ca se fait au niveau du SKB (socket buffer, voir http://vger.kernel.org/~davem/skb.html ) dans le champ 'priority'. C'est la qu'il faut qu'Ubiquiti fasse une modif.
-
Tout d'abord, merci à l'OP pour cette méthode sympathique qui permet de s'affranchir de toute modif du firmware du routeur (pour un Edgerouteur en v1.10).
Maintenant, je me pose la question suivante (dans le cas de figure ou on conserve la LB pour la TV/Téléphonie) :
Sachant qu'avec cet "infra", on se retrouve forcement avec un switch en amont et (fort probablement) un switch en aval du routeur, ne serait-il pas possible de s'affranchir des bridges configurés sur le routeur et de faire passer directement les deux VLAN bridgés du switch en amont à celui en aval par le biais d'un trunk ?
Parce ce que si j'ai bien compris la config, seul le VLAN 832 est routé/NATé ?
Certes, ça bouffe un port en plus sur les deux switchs (amont et aval), mais ça libère le routeur des deux VLAN bridgés.
Je dis une connerie ou bien ?
-
Tout d'abord, merci à l'OP pour cette méthode sympathique qui permet de s'affranchir de toute modif du firmware du routeur (pour un Edgerouteur en v1.10).
Maintenant, je me pose la question suivante (dans le cas de figure ou on conserve la LB pour la TV/Téléphonie) :
Sachant qu'avec cet "infra", on se retrouve forcement avec un switch en amont et (fort probablement) un switch en aval du routeur, ne serait-il pas possible de s'affranchir des bridges configurés sur le routeur et de faire passer directement les deux VLAN bridgés du switch en amont à celui en aval par le biais d'un trunk ?
Parce ce que si j'ai bien compris la config, seul le VLAN 832 est routé/NATé ?
Certes, ça bouffe un port en plus sur les deux switchs (amont et aval), mais ça libère le routeur des deux VLAN bridgés.
Je dis une connerie ou bien ?
non si tu conserve la livebox tu peux bridger les autres VLAN via le switch.
-
Merci pour la réponse rapide ;D
Pour le coup, je me demandais si le fait de supprimer les bridges apporterait quelque chose en terme d'utilisation CPU.
Je lis partout (et je l'ai déjà constaté effectivement) que les bridges, c'est mal parce que souvent, ça bouffe du CPU (pas d'offload).
Est-ce également le cas pour un ERL dans la config avec les VLAN bridgés ?
Si oui, il y a un bénéfice certain à passer par un trunk.
-
oui les bridges consomment du cpu mais dans le cas d'Orange les débits sur ces VLANs sont faibles car c'est pour de la TV/VoD donc en pratique ca ne changera pas grand chose.
si y'avait jusqu'a 1Gbps qui devait passer dans ces VLANs la ca serait différent.
-
Bonsoir,
savez-vous si les firmwares de type LEDE (openwrt) et DD-WRT supporte les options User-Class, Authentication etc... ?
Avant j'avais un mikrotik RB3011 mais il était pas assez puissant pour ma connexion 1 Gb, du coup je me demandais un routeur de type LINKSYS WRT3200ACM ou Netgear R9000 flashé pourrait faire l'affaire.
Merci
-
Bonsoir,
savez-vous si les firmwares de type LEDE (openwrt) et DD-WRT supporte les options User-Class, Authentication etc... ?
Avant j'avais un mikrotik RB3011 mais il était pas assez puissant pour ma connexion 1 Gb, du coup je me demandais un routeur de type LINKSYS WRT3200ACM ou Netgear R9000 flashé pourrait faire l'affaire.
Merci
LEDE oui: https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-lede-fork-dopenwrt/
attention toutefois quand on flash un firmware alternatif on peut perdre l’accélération matérielle (appelée: offload, fast path, hardware NAT) et avoir des performances limitées. Il convient de verifier cela pour chaque modele de routeur.
-
LEDE oui: https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-lede-fork-dopenwrt/
attention toutefois quand on flash un firmware alternatif on peut perdre l’accélération matérielle (appelée: offload, fast path, hardware NAT) et avoir des performances limitées. Il convient de verifier cela pour chaque modele de routeur.
Ah oui ! merci pour la précision sur l'accélération matérielle.
-
Bon ben voilà.
Après avoir suivi (et compris) les différentes explications concernant le fonctionnement de la fibre FTTH Orange en DHCP, je suis ravi de vous annoncer que tout fonctionne. Switch en amont pour marquage de la COS pour les requêtes DHCP, config aux p'tits oignons sur l'ERL, et un débit au rendez-vous.
Donc un grand merci à tout ceux qui ont décortiqués ce joyeux bordel qu'est la connexion Orange.
Et également un grand merci à ceux qui ont pris le temps de tout "compiler" afin de rendre la compréhension plus rapide.
-
Bon ben voilà.
Après avoir suivi (et compris) les différentes explications concernant le fonctionnement de la fibre FTTH Orange en DHCP, je suis ravi de vous annoncer que tout fonctionne. Switch en amont pour marquage de la COS pour les requêtes DHCP, config aux p'tits oignons sur l'ERL, et un débit au rendez-vous.
Donc un grand merci à tout ceux qui ont décortiqués ce joyeux bordel qu'est la connexion Orange.
Et également un grand merci à ceux qui ont pris le temps de tout "compiler" afin de rendre la compréhension plus rapide.
Bonjour,
Plusieurs questions suite à ton post :
- IPv6 fonctionne ?
- Pourquoi la COS n'est pas faites sur l'ERL ?
- Accès Fibre je suppose ? Test débit à combien en Ethernet sur le Switch/ERL ?
Merci d'avance.
Nicolas
-
Alors dans l'ordre :
- Pas d'IPv6 (je vais y revenir)
- Parce que je préfère ne pas toucher au firmware du routeur.
- Quant au débit, de mémoire ça doit être 290/120 à quelques poils près (abo Play Fibre).
Concernant IPv6, très sincèrement, je ne m'y suis pas intéressé du tout. Ca fait bientôt 40 ans que je suis dans l'informatique. J'ai commencé à toucher aux réseaux avec du Twinax, de l'AUI et du BNC. J'ai travaillé pour quelques centaines de clients, du particulier à la grosse boite de pharma, et je n'ai JAMAIS eu de demande ou de besoin en IPv6. C'est malheureux à dire, mais c'est comme ça.
Alors je ne dis pas qu'il n'y a pas d’intérêt, et le jour ou on me demandera une infra IPv6 je m'y mettrais sans souci.
Mais aujourd'hui, ben non.
Ah et tant que j'y pense : lors de mes recherches/tests/lectures sur la fibre, j'ai réussi à me procurer un GPON SFP Sercomm. Hélas, je fais partie des clients dont l'authentification est faite via le n° de série de l'ONT (donc pas de SLID).
Pour le coup, j'ai un SFP qui ne me sert à rien.
Si quelqu'un en a l'utilité, il est à lui en échange des frais de port (on va dire genre 10 balles).
-
Bonjour,
Y'a t'il moyen de trouver un switch moins cher qui permet également de faire de la priorisation dhcp sur le vlan 832 ?
Quelles caracteristiques dois je chercher pour mettre le switch entre l'ONT et mon routeur et voir ainsi celui-ci gérer la partie vlan 832 ainsi que la prioritisation du dhcp en 6
DSCP
COS
et QOS ?
Pour info, j'arrive à connecter mon routeur Netgear R7000 directement sur l'ONT mais j'ai des problèmes de lenteur d'internet à cause du client dhcp qui est en raw socket et sur lequel je ne peux pas mettre specifiquement de priorité et je suis donc obligé de passé toute l'interface reseau en priorité 6
Merci
-
Bonjour,
J'ai lu ce sujet attentivement, j'ai un switch GS108Ev3 qui me permettrait de faire la même chose.
Je n'utilise ni la TV ni le téléphone, j'aimerais donc me séparer de ma Livebox. J'ai sous la main un Synology RT1900AC. Pour l'instant, il fonctionne très bien derrière la Livebox mais cela m'oblige à faire du double NAT, c'est un peu lourd.
Si mon switch gère la CoS pour le VLAN 832, est-ce que mon routeur serait capable de s'authentifier sur le réseau Orange ? Je ne trouve pas d'info sur la compatibilité avec la RFC3118.
Merci :)
-
Le problème pour s'authentifier sur le réseau orange c'est que tu as 2 manières une fois branché à l'ONT:
1/ Utiliser PPPOE qui est amené à disparaitre et qui fait perdre l'IP fixe
2/ Le faire en DHCP mais il est nécessaire de passer des options additionnelles et peu de routeurs permettent d'ajouter des options facilement. Sur mon Netgear R7800 sous DD-WRT j'ai du gruger car de base l'interface ne propose pas d'ajouter d'options à la connexion Wan en DHCP.
-
Merci pour les infos, je vais tester ça ce soir. Au pire, le routeur retournera chez Amazon pour être remplacé par un Ubiquiti ER-X ou autre.
-
Bon, j'ai pu faire quelques tests :
- mon switch est une version E : pas possible de faire une configuration aussi avancée que dans le tuto ;
- connexion en PPPoE depuis le RT1900ac : pas moyen d'arriver à me connecter au réseau orange avec mes identifiants fti/****** (ONT au format SFP dont le signal passe par un convertisseur SFP<>RJ45, le raccordement fibre dans ma ville a moins d'un mois)
Je pense que je vais renvoyer mon routeur, autant conserver la Livebox pour éviter le double NAT, dommage.
-
Bonsoir,
savez-vous si les firmwares de type LEDE (openwrt) et DD-WRT supporte les options User-Class, Authentication etc... ?
Avant j'avais un mikrotik RB3011 mais il était pas assez puissant pour ma connexion 1 Gb, du coup je me demandais un routeur de type LINKSYS WRT3200ACM ou Netgear R9000 flashé pourrait faire l'affaire.
Merci
Pour ma part, j'ai réussi à le faire avec DD-WRT en hackant un peu le routeur. Voir mon post à propos de ca: https://www.dd-wrt.com/phpBB2/viewtopic.php?p=1122795 (https://www.dd-wrt.com/phpBB2/viewtopic.php?p=1122795)
Ci dessous la partie utile (Le reste concernait les VLAN 832 et le Cos mais je fais tout avec le switch à présent)
- On Administration / Shell / Startup Script:
cp -a /sbin /tmp/sbin_rw
mkdir /tmp/sbin
ln -s /bin/busybox /tmp/sbin/udhcpc
rm /tmp/sbin_rw/udhcpc
echo '#!/bin/sh
exec /tmp/sbin/udhcpc $* -x "0x4d:2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833" -x "0x5a:00000000000000000000006674692fxxxxxxxxxxxxxx" -x "0x3c:736167656d"' > /tmp/sbin_rw/udhcpc
chmod +x /tmp/sbin_rw/udhcpc
mount -o bind /tmp/sbin_rw /sbin
stopservice wan
startservice wan
Don't forget to replace "xxxxxxxxxxxxxx" by your login in hexadecimal(Only what there is after fti/)
-
Pour ma part, j'ai réussi à le faire avec DD-WRT en hackant un peu le routeur. Voir mon post à propos de ca: https://www.dd-wrt.com/phpBB2/viewtopic.php?p=1122795 (https://www.dd-wrt.com/phpBB2/viewtopic.php?p=1122795)
Ci dessous la partie utile (Le reste concernait les VLAN 832 et le Cos mais je fais tout avec le switch à présent)
- On Administration / Shell / Startup Script:
cp -a /sbin /tmp/sbin_rw
mkdir /tmp/sbin
ln -s /bin/busybox /tmp/sbin/udhcpc
rm /tmp/sbin_rw/udhcpc
echo '#!/bin/sh
exec /tmp/sbin/udhcpc $* -x "0x4d:2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833" -x "0x5a:00000000000000000000006674692fxxxxxxxxxxxxxx" -x "0x3c:736167656d"' > /tmp/sbin_rw/udhcpc
chmod +x /tmp/sbin_rw/udhcpc
mount -o bind /tmp/sbin_rw /sbin
stopservice wan
startservice wan
Don't forget to replace "xxxxxxxxxxxxxx" by your login in hexadecimal(Only what there is after fti/)
Merci pour ces infos ! Je vais avoir la fibre d'ici la fin du mois et mon cas d'utilisation est similaire au tiens (Netgear R7000 sous DDWRT).
Je souhaite me passer la livebox et passer par le DHCP. Je ne veux pas la tv ni le telephone fixe.
Par contre je me posais la question sur ta remarque concernant le CoS et la vitesse.
Tu dis être passé par le switch pr le faire maintenant mais ta précédente solution permettait de gérer ça non ? Notamment les 2 lignes suivantes:
"=====
vconfig set_egress_map `get_wanface` 0 6
iptables -t mangle -I POSTROUTING -o `get_wanface` -j CLASSIFY --set-class 0:1
=====
"
Tu gagnes quoi à passer par le switch du coup ? Ton edit laisse supposer que la solution précédente ne gère pas le CoS et que le problème vient de là.
De mon côté ca m'embeterait de claquer 70 euros pr acheter un switch en plus du fait de devoir l'alimenter ça commence à faire beaucoup de boites et de fils (routeur, ONT, switch).
-
Merci pour ces infos ! Je vais avoir la fibre d'ici la fin du mois et mon cas d'utilisation est similaire au tiens (Netgear R7000 sous DDWRT).
Je souhaite me passer la livebox et passer par le DHCP. Je ne veux pas la tv ni le telephone fixe.
Par contre je me posais la question sur ta remarque concernant le CoS et la vitesse.
Tu dis être passé par le switch pr le faire maintenant mais ta précédente solution permettait de gérer ça non ? Notamment les 2 lignes suivantes:
"=====
vconfig set_egress_map `get_wanface` 0 6
iptables -t mangle -I POSTROUTING -o `get_wanface` -j CLASSIFY --set-class 0:1
=====
"
Tu gagnes quoi à passer par le switch du coup ? Ton edit laisse supposer que la solution précédente ne gère pas le CoS et que le problème vient de là.
De mon côté ca m'embeterait de claquer 70 euros pr acheter un switch en plus du fait de devoir l'alimenter ça commence à faire beaucoup de boites et de fils (routeur, ONT, switch).
Sans le switch, tout marchait plutot bien jusqu'au moment où je me suis rendu compte que tous les services que j'hébergeait étaient ultra lents depuis l'extérieur. Aucun problème à l'intérieur du réseau. Le problème apparaissait quand je n'étais pas chez moi et que je voulais acceder à mon serveur de Streaming audio, serveur de fichiers, etc...
Il faut savoir que le CoS, la priorité, n'est nécessaire que dans certaines régions. Peut etre que tu n'en auras pas besoin. Pour savoir, il faut tester sans. Pour ma part, sans, je ne recois pas de réponse au DHCPDISCOVER
Dans le cas où c'est nécessaire dans ta région, la priorité des paquets dhcp doit etre de 6 alors que le reste doit etre en priorité 0.
Dans le cas où la requete dhcp n'est pas de 6, on ne recoit pas de bail et si le reste des communications n'est pas en priorité 0 alors Internet est hyper lent
C'est très difficile de le faire avec un simple routeur car les clients DHCP et notamment udhcp sous linux utilisent les RAW sockets. Ces sockets ne passent pas par ipfilter sous linux et les paquets ne peuvent pas etre facilement altérés par la table mangle d'iptables.
Il faut donc jouer de ruses pour réussir à changer la priorité:
- Changer la policy par défaut qui elle est prise en compte par les RAW sockets en passant tout en priorité 6 (vconfig set_egress_map `get_wanface` 0 6)
- Et la totalité des requettes (sauf les RAW sockets) en priorité 0 (iptables -t mangle -I POSTROUTING -o `get_wanface` -j CLASSIFY --set-class 0:1)
Je pensais avoir réussi mais j'avais toujours le problème de l'extérieur. Et je n'ai pas trouvé comment faire pour régler le problème. Si tu trouves, n'hésite pas à m'en faire part!
A présent, tout ce qui est VLAN et CoS est géré par le switch et le routeur n'a pas conscience du tout des VLAN et CoS
-
Sans le switch, tout marchait plutot bien jusqu'au moment où je me suis rendu compte que tous les services que j'hébergeait étaient ultra lents depuis l'extérieur. Aucun problème à l'intérieur du réseau. Le problème apparaissait quand je n'étais pas chez moi et que je voulais acceder à mon serveur de Streaming audio, serveur de fichiers, etc...
Il faut savoir que le CoS, la priorité, n'est nécessaire que dans certaines régions. Peut etre que tu n'en auras pas besoin. Pour savoir, il faut tester sans. Pour ma part, sans, je ne recois pas de réponse au DHCPDISCOVER
Dans le cas où c'est nécessaire dans ta région, la priorité des paquets dhcp doit etre de 6 alors que le reste doit etre en priorité 0.
Dans le cas où la requete dhcp n'est pas de 6, on ne recoit pas de bail et si le reste des communications n'est pas en priorité 0 alors Internet est hyper lent
C'est très difficile de le faire avec un simple routeur car les clients DHCP et notamment udhcp sous linux utilisent les RAW sockets. Ces sockets ne passent pas par ipfilter sous linux et les paquets ne peuvent pas etre facilement altérés par la table mangle d'iptables.
Il faut donc jouer de ruses pour réussir à changer la priorité:
- Changer la policy par défaut qui elle est prise en compte par les RAW sockets en passant tout en priorité 6 (vconfig set_egress_map `get_wanface` 0 6)
- Et la totalité des requettes (sauf les RAW sockets) en priorité 0 (iptables -t mangle -I POSTROUTING -o `get_wanface` -j CLASSIFY --set-class 0:1)
Je pensais avoir réussi mais j'avais toujours le problème de l'extérieur. Et je n'ai pas trouvé comment faire pour régler le problème. Si tu trouves, n'hésite pas à m'en faire part!
A présent, tout ce qui est VLAN et CoS est géré par le switch et le routeur n'a pas conscience du tout des VLAN et CoS
J'heberge aussi pas mal de services de mon côté donc je risque d'avoir le même problème de lenteur.
Au niveau de l'impact tu as une idée du débit que tu obtenais vs celui que tu devais avoir ?
Vu le niveau des VLAN (directement sur la trame Ethernet) je pense que la commande vconfig en egress taggera tout ce qui passe en sortie et ceux après iptables du coup je me demande si la commande suivante est utile compte tenu du fait que le process du vlan doit être fait dans un deuxième temps (apres iptables). Du coup ca doit être la CoS 6 (indiquant une prio pourrave) qui est la source des lenteurs sur l'infra orange. Ils preferent prioriser le traffic sur le DHCP ce qui est complètement logique.
Niveau switch aucune référence moins chère n'existe ?
-
J'heberge aussi pas mal de services de mon côté donc je risque d'avoir le même problème de lenteur.
Au niveau de l'impact tu as une idée du débit que tu obtenais vs celui que tu devais avoir ?
Vu le niveau des VLAN (directement sur la trame Ethernet) je pense que la commande vconfig en egress taggera tout ce qui passe en sortie et ceux après iptables du coup je me demande si la commande suivante est utile compte tenu du fait que le process du vlan doit être fait dans un deuxième temps (apres iptables). Du coup ca doit être la CoS 6 (indiquant une prio pourrave) qui est la source des lenteurs sur l'infra orange. Ils preferent prioriser le traffic sur le DHCP ce qui est complètement logique.
Niveau switch aucune référence moins chère n'existe ?
J'ai pas les chiffres mais en gros, au lieu d'avoir mon service qui s'affiche en moins d'une seconde, ca prenait 30 secondes. En gros, c'était inutilisable.
Je ne comprendre pas trop ce que veux dire par le fait que la deuxieme commande est inutile. Je sais pour l'avoir testé que si tu mets tous en CoS 6, c'est lent dans tous les cas du coup et pas seulement de l'extérieur du réseau.
C'est bien les CoS 6 qui pose problème mais pour établir la connexion, t'as pas le choix...
Niveau switch, il faut un switch manageable capable de faire du CoS sur les VLAN et sache que tous les switchs manageables ne le font pas, loin s’en faut.
-
J'ai pas les chiffres mais en gros, au lieu d'avoir mon service qui s'affiche en moins d'une seconde, ca prenait 30 secondes. En gros, c'était inutilisable.
Je ne comprendre pas trop ce que veux dire par le fait que la deuxieme commande est inutile. Je sais pour l'avoir testé que si tu mets tous en CoS 6, c'est lent dans tous les cas du coup et pas seulement de l'extérieur du réseau.
C'est bien les CoS 6 qui pose problème mais pour établir la connexion, t'as pas le choix...
Niveau switch, il faut un switch manageable capable de faire du CoS sur les VLAN et sache que tous les switchs manageables ne le font pas, loin s’en faut.
Ce que je voulais dire c'est que d'après les commandes, tu as un tagging au niveau vlan (ethernet) qui est fait et qui semble appliquer la CoS 6 à tout les paquets sortants (y compris les RAW sockets du coup). Puis tu as iptables qui lui applique la CoS 0 à tous les paquets sortants également (hors RAW sockets).
Je ne sais pas en détail comment la pile réseau marche sur le routeur, mais si le tagging des vlan est fait après le passage par iptables lorsqu'un paquet part je me demandais si le tagging par le vlan n'écrasait pas la CoS mise par iptables juste avant.
Ton problème de vitesse était uniquement lorsque tu accédais à tes services par l'extérieur ? Ta connection vers l'extérieur n'était pas impactée c'est ça ?
-
Je me demande si ebtables ne pourrait pas régler le problème. Il peut fouiller dans les paquets ethernets et appliquer des rules comme iptables.
http://ebtables.netfilter.org/misc/ebtables-man.html
et plus spécifiquement ça:
http://ebtables.netfilter.org/examples/basic.html#ex_nobridge
-
Ce que je voulais dire c'est que d'après les commandes, tu as un tagging au niveau vlan (ethernet) qui est fait et qui semble appliquer la CoS 6 à tout les paquets sortants (y compris les RAW sockets du coup). Puis tu as iptables qui lui applique la CoS 0 à tous les paquets sortants également (hors RAW sockets).
Je ne sais pas en détail comment la pile réseau marche sur le routeur, mais si le tagging des vlan est fait après le passage par iptables lorsqu'un paquet part je me demandais si le tagging par le vlan n'écrasait pas la CoS mise par iptables juste avant.
Ton problème de vitesse était uniquement lorsque tu accédais à tes services par l'extérieur ? Ta connection vers l'extérieur n'était pas impactée c'est ça ?
Iptables/IpFilter passe en dernier donc c'est lui qui remet à 0 le CoS de tous les paquets qui son initialement en 6 sauf que comme le dhcp est en RAW socket, lui reste en 6 et c'est exactement ce qu'on veut.
Et oui comme je te l'ai dit, à l'intérieur du réseau, aucun problème si ces 2 règles sont présentes.
-
Iptables/IpFilter passe en dernier donc c'est lui qui remet à 0 le CoS de tous les paquets qui son initialement en 6 sauf que comme le dhcp est en RAW socket, lui reste en 6 et c'est exactement ce qu'on veut.
Et oui comme je te l'ai dit, à l'intérieur du réseau, aucun problème si ces 2 règles sont présentes.
Ok merci pour toutes ces infos ! Dès que j'ai ma connection je testerai ça.
-
Je me demande si ebtables ne pourrait pas régler le problème. Il peut fouiller dans les paquets ethernets et appliquer des rules comme iptables.
http://ebtables.netfilter.org/misc/ebtables-man.html
et plus spécifiquement ça:
http://ebtables.netfilter.org/examples/basic.html#ex_nobridge
Je sais pas. Ca m'étonnerait qu'il agisse sur les RAW sockets...
-
Je sais pas. Ca m'étonnerait qu'il agisse sur les RAW sockets...
si avec un bridge ca marche (en théorie):
- on crée un bridge avec dedans une seule interface (la wan)
- on met la config dhcp sur le bridge au lieu de l'interface
- on met une règle ebtables qui envoi sur iptables le trafic dhcp sortant (grace a la table broute: -t broute −j redirect −−redirect−target DROP)
- on met une regle iptables qui CoS 6 le trafic dhcp sortant
probleme c'est que tout le trafic wan devient bridgé ce qui peut impacter les perfs.
-
si avec un bridge ca marche (en théorie):
- on crée un bridge avec dedans une seule interface (la wan)
- on met la config dhcp sur le bridge au lieu de l'interface
- on met une règle ebtables qui envoi sur iptables le trafic dhcp sortant (grace a la table broute: -t broute −j redirect −−redirect−target DROP)
- on met une regle iptables qui CoS 6 le trafic dhcp sortant
probleme c'est que tout le trafic wan devient bridgé ce qui peut impacter les perfs.
Faut voir car je viens de regarder et "ebtables" ne semble pas être une commande disponible
-
Faut voir car je viens de regarder et "ebtables" ne semble pas être une commande disponible
sur quelle machine ?
-
sur quelle machine ?
Sous DD-WRT
Parce que tu comptes faire ca sur quoi ?
-
Sous DD-WRT
Parce que tu comptes faire ca sur quoi ?
n'importe quel routeur ou pc sous linux. ce topic n'est pas spécifique a dd-wrt.
a priori ebtables existe aussi sous dd-wrt mais je ne suis pas spécialiste de dd-wrt.
-
n'importe quel routeur ou pc sous linux. ce topic n'est pas spécifique a dd-wrt.
a priori ebtables existe aussi sous dd-wrt mais je ne suis pas spécialiste de dd-wrt.
Ah ok, j'avais pas vu que ce n'était plus aacebedo qui me parlait ;-)
-
ebtables est dispo sur mon DDWRT mais apparemment la version est defecteuse et fige.
Du coup je l'ai récupéré ici https://forum.dd-wrt.com/phpBB2/viewtopic.php?p=1103763#1103763
Maintenant je n'ai pas encore mon boitier fibre mais j'ai tenté de jouer un peu avec le routeur DDWRT quand même et je n'ai pas réussi à capturer les paquets sortants sur l'interface pour vérifier la tronche du paquet sortant. Du coup je ne sais pas si ebtables set correctement la cos.
La commande que j'ai tentée est la suivante:
/tmp/ebtables -A FORWARD -p ipv4 --ip-protocol udp --ip-source-port 67 -j ACCEPT
Je pense qu'il faudrait un truc comme ça
/tmp/ebtables -A FORWARD -i vlanXXX -p ipv4 --ip-protocol udp --ip-source-port 67:68 -j ACCEPT --vlan-prio 6
/tmp/ebtables -A OUTPUT -i vlanXXX -p ipv4 --ip-protocol udp --ip-source-port 67:68 -j ACCEPT --vlan-prio 6
avec vlanXXX le vlan sur lequel on met le port WAN du routeur taggé avec le bon id
Reste à voir si ca vaut les 80€ du switch...
-
ebtables est dispo sur mon DDWRT mais apparemment la version est defecteuse et fige.
Du coup je l'ai récupéré ici https://forum.dd-wrt.com/phpBB2/viewtopic.php?p=1103763#1103763
Maintenant je n'ai pas encore mon boitier fibre mais j'ai tenté de jouer un peu avec le routeur DDWRT quand même et je n'ai pas réussi à capturer les paquets sortants sur l'interface pour vérifier la tronche du paquet sortant. Du coup je ne sais pas si ebtables set correctement la cos.
La commande que j'ai tentée est la suivante:
/tmp/ebtables -A FORWARD -p ipv4 --ip-protocol udp --ip-source-port 67 -j ACCEPT
Je pense qu'il faudrait un truc comme ça
/tmp/ebtables -A FORWARD -i vlanXXX -p ipv4 --ip-protocol udp --ip-source-port 67:68 -j ACCEPT --vlan-prio 6
/tmp/ebtables -A OUTPUT -i vlanXXX -p ipv4 --ip-protocol udp --ip-source-port 67:68 -j ACCEPT --vlan-prio 6
avec vlanXXX le vlan sur lequel on met le port WAN du routeur taggé avec le bon id
Reste à voir si ca vaut les 80€ du switch...
--vlan-prio c'est une 'match extension' ca ne sert pas à mettre la prio mais a la tester (comme un pattern matching).
ebtables ne peut changer la prio.
il faut passer par iptables comme indiquer dans mon post précedent:
- on met une règle ebtables qui envoi sur iptables le trafic dhcp sortant (grace a la table broute: -t broute −j redirect −−redirect−target DROP)
donc ca donnera un truc du genre:
faire un bridge br0 et mettre l'interface vlanXXX dedans.
ebtables −t broute −A BROUTING −i br0 −p ipv4 −−ip−protocol udp --ip-source-port 68 −j redirect −−redirect−target DROP
ceci va intercepter les dhcp clients entrant dans le bridge (donc quand le process dhcpclient va emettre des "raw socket" sur le bridge br) et les remonter au niveau d'iptables . DROP sur un broute => router le paquet . cf la doc:
broute is used to make a brouter, it has one built-in chain: BROUTING. The targets DROP and ACCEPT have a special meaning in the broute table (these names are used instead of more descriptive names to keep the implementation generic). DROP actually means the frame has to be routed, while ACCEPT means the frame has to be bridged. The BROUTING chain is traversed very early. However, it is only traversed by frames entering on a bridge port that is in forwarding state. Normally those frames would be bridged, but you can decide otherwise here. The redirect target is very handy here.
le paquet étant routé il arrive sur iptables, c'est la qu'il faut le marquer en QoS.
donc pas confondre le fonctionnement d'iptables et d'ebtables c'est pas trop la meme chose.
lecture: http://ebtables.netfilter.org/br_fw_ia/br_fw_ia.html (oui je sais c'est pas simple:))
-
Merci pour cette doc !
Donc si je résume je fais ca pour router les packets DHCP sortant sur socket raw par ebtables vers iptables:
ebtables −t broute −A BROUTING −i br0 −p ipv4 −−ip−protocol udp --ip-source-port 68 −j redirect −−redirect−target DROP
puis ça pour tagger les paquets sortants en cos 6 :
iptables -t mangle -I POSTROUTING -o br0 -j CLASSIFY --set-class 0:6 -p udp --sport 68 --dport 67
Me reste plus qu'a attendre l'installation de la fibre pr tester.
-
Petit retex concernant le GS716Tv3 (j'avais un v2 jusqu'à hier).
- Quelques trucs en plus (routage/protected port/MVR)
- Un temps de boot multiplié par 2, voire 3 (environ 1m30, c'est looooooong)
- Refroidissement passif (0 Db, du bonheur)
- L'interface web est beaucoup plus réactive
Malheureusement, pas de progrès du coté DiffServ (donc toujours pas de possibilité de marquage CoS6 en IPv4 et en IPv6 en simultané).
Le système de "protected port" n'a aucun intérêt pour moi.
En effet, on peut juste marquer les ports comme protégés (ou pas), et il n'y a alors aucune communication possible entre deux ports protégés.
Je ne vois qu'une application à ça : l'isolation des clients (qui m'est déjà offerte en WiFi par mon contrôleur Unifi)
Je vais un peu me pencher sur l'aspect routage du bouzin pour voir si ça a un intérêt quelconque, mais comme ça, à froid, je vois pas.
En résumé, rien de vraiment folichon, mais c'était principalement les 0 db qui me faisaient de l'oeil.
-
Les policy ne peuvent toujours s'appliquer qu'en "IN" ?
-
Hélas oui.
C'est pas demain la veille que j'vais faire de l'ipv6 moi...
Ceci dit, ça ne change pas grand chose (à part pour ma culture personnelle)...
Edith (gag foireux) : Après réflexion, je pourrais cascader deux switchs pour qu'un me fasse le marquage IPv4 et le deuxième celui d'IPv6, mais ça devient usinagazesque.
-
Ce que j'avais tenté de faire, c'était un port dédié à l'ipv4, et un autre au V6. Pareil sur mon routeur du coup. Mais, pour une raison que j'ignore, ca foutait la grouille avec l'ipv6 ND, et du coup l'ipv6 n'etait plus exploitable au bout d'un moment. Mais pendant le laps de temps où le ND ne re-decouvrait pas son voisinage, ça fonctionnait...
-
Pour info, le GS108Tv2 (ainsi que de nombreux switch netgear de la série GSxxxT) possède une CLI accessible en telnet sur le port 60000.
Une fois connecté, il faut taper admin puis entrée, et lorsqu'il demande le mot de passe, il faut saisir votre mot de passe d'administration du switch.
Attention, certaines commandes feront systématiquement rebooter l'appareil (cette CLI n'a rien d'officiel, ceci expliquant cela).
-
As t-on des nouvelles concernant ce sujet ?
https://community.ubnt.com/t5/EdgeRouter/802-1p-tagging-CLASSIFY-iptables-target-and-offload/td-p/1412967
Les échanges se sont arrêtés il y a deux ans et a priori il faut toujours utilisé le dhclient3 patché de zoc si je me fit au tuto à jour du forum ?
J'envisage d'acheter un ER4, c'est pas que ça me dérange d'utiliser le fichier patché, mais ça serait un plus si c’était en natif dans la config du routeur.
edit: ce switch ferrait l'affaire si jamais ?
https://www.tp-link.com/fr/products/details/cat-40_T1500G-10PS.html#features
Quality of Service
802.1p CoS/DSCP priority
-
A priori, non, ça collera pas avec ce switch.
J'ai parcouru (vite fait je l'admet) le "user guide" et j'ai bien peur que la paramétrage diffserv ne puisse pas être limité au traffic DHCP.
Donc tu vas te retrouver avec tout le trafic avec une CoS à 6. Pas sur que ce soit viable...
-
Merci pour ton retour rapide. :)
-
Certainement pas viable. La priorité 6 est là pour garantir une certaine qualité de service au détriment du débit. Pas plus de quelques dizaines de megabits si tout le traffic est en priorité 6.
Sinon, il ne faut pas espérer quoi que ce soit du coté d'Ubiquiti. Donc client DHCP patché ou switch supportant DiffServ, pas le choix.
-
Et bizarrement, à part chez Netgear, on ne peut avoir un marquage CoS suffisamment précis (uniquement les trames DHCP) que sur des switchs plutôt haut de gamme (genre Cisco ou HPE) dont les tarifs sont bien souvent prohibitifs.
-
Oui les prix monte vite après. Pour un usage domestique ces n’est pas forcèment l’idéal...
Le GS110TP serait donc en toute logique OK pour effectuer ce marquage CoS ?
-
Yep, c'est bon.
Attention cependant : 802.3af uniquement pour le POE.
-
C'est indiqué dans ce topic, mais attention on ne peut faire de la cos ipv4 et ipv6 simultanèment sur ces modèles.
-
Quel modèle serait l’idéal avec un prix contenu ? (Curiosité)
-
Ben justement, à prix contenu, y'a pas grand chose (et c'est pas faute d'avoir cherché).
Et encore moins avec du POE.
Et si on va vers de l'at, alors la, c'est le désert.
-
Le ES8 de chez Ubiquiti ? J’imagine que vous avez déjà regardé remarque.
-
J'ai un ES8 (et un ES24-Lite). Il fait du POE passif ou at (je m'en sers pour alimenter un UAP-AC-Lite en passif).
Les 2 ont la même limitation: Impossible de marquer DHCP et DHCP6 sur le même port. Par contre il est possible d'appliquer une policy dans la direction IN ou OUT (d'après la doc.), donc en théorie il doit être possible de marquer DHCP avec une policy en IN sur le port où est connecté le routeur et de marquer DHCP6 avec une policy en OUT sur le port où est connecté l'ONT.
En pratique je n'ai pas encore essayé, il faut que je monte un petit lab pour ça (j'ai des rasp. PI dans un placard), impensable que je modifie la conf (ou alors faut que j'expédie femme et enfant en WE quelque part loin de la maison :P )...
-
Je vois, puis il faut bien dire le ES8 commence à piquer niveau prix (200€), je vais partir sur le TPlink que j'ai cité plus haut le T1500G-10PS (100€), il est déjà overkill pour mon usage (ça me permettras de faire mumuse), mais il est abordable et fait du POE af sur les 8 ports.
Je préfère faire tout "bien" ou ne pas faire du tout, je me contenterais d'un DHCP patché pour le coup. ;D
Et qui sait, peut être qu'un jour Ubiquiti mettra à jour son OS pour le supporter directement via leur EdgeRouter ::)
-
Et qui sait, peut être qu'un jour Ubiquiti mettra à jour son OS pour le supporter directement via leur EdgeRouter ::)
Ca n'arrivera pas tant que personne ne leur proposera un patch suffisemment générique pour ne pas être "spécifique Orange France".
J'avais commencé à préparer un patch où la priorité des sockets était configurable dans le fichier de config de dhclient (ce qui est à mon avis un préalable à la prise en compte de la requête par Ubiquiti) au lieu d'être en dur dans le code, mais je n'ai pas vraiment de temps à y consacrer.
-
J'aurais bien repris ton travail, j'ai du temps, mais malheureusement je pense que ça me dépasse :-\
-
Ca n'arrivera pas tant que personne ne leur proposera un patch suffisemment générique pour ne pas être "spécifique Orange France".
J'avais commencé à préparer un patch où la priorité des sockets était configurable dans le fichier de config de dhclient (ce qui est à mon avis un préalable à la prise en compte de la requête par Ubiquiti) au lieu d'être en dur dans le code, mais je n'ai pas vraiment de temps à y consacrer.
Si tu as un repo git, on pourrait crowdsourcer l'affaire.
-
Bonsoir à tous !
Je viens de recevoir mon switch netgear et je n'arrive pas à faire fonctionner la connection avec mon routeur R7000 sous DDWRT.
J'ai analysé les trames DHCP sortantes du routeur pour vérifier qu'elles avaient bien les infos d'id dans les champs correspondants. Ca c'est ok.
Par contre quand je branche le port WAN au port 1 du switch et l'ONT sur le port 2 ca ne fonctionne toujours pas.
Quand je mets wireshark a la place de l'ONT je ne vois pas les trames DHCP passer. Est ce que les trames sortantes du routeur et qui entrent dans le switch doivent être taggées en 832 ?
Mon routeur ayant un switch broadcom il est impossible de tagger avec un id de plus de 15, le switch peut-il recevoir du traffic avec un un vlan non taggé et le tagger a la sortie vers l'ONT ?
-
Oui il faut tagger, je n'ai plus le menu en tête, mais c'est possible.
-
Bonsoir à tous !
Je viens de recevoir mon switch netgear et je n'arrive pas à faire fonctionner la connection avec mon routeur R7000 sous DDWRT.
J'ai analysé les trames DHCP sortantes du routeur pour vérifier qu'elles avaient bien les infos d'id dans les champs correspondants. Ca c'est ok.
Par contre quand je branche le port WAN au port 1 du switch et l'ONT sur le port 2 ca ne fonctionne toujours pas.
Quand je mets wireshark a la place de l'ONT je ne vois pas les trames DHCP passer. Est ce que les trames sortantes du routeur et qui entrent dans le switch doivent être taggées en 832 ?
Mon routeur ayant un switch broadcom il est impossible de tagger avec un id de plus de 15, le switch peut-il recevoir du traffic avec un un vlan non taggé et le tagger a la sortie vers l'ONT ?
Si ca peut t'aider, voici ma configuration:
Switch Port 7: Port WAN du routeur
Switch Port 8: ONT
Switch Ports 7 et 8 isolés par rapport aux Ports 1 à 6
AUCUNE configuration de VLAN sur mon routeur DD-WRT => Tout est transparent pour lui niveau VLAN, priorité COS, ...
Petite explication de ma configuration de VLAN:
Le port WAN doit être:
- Admit All car doit accepter les non taggés en provenance du routeur (car le routeur ne s'occupe pas des VLAN)
- U (Untagged) car doit sortir en non taggé vers le routeur (pour la meme raison)
- PVID à 832 pour forcer les paquets entrant à être taggés VLAN 832
Le port ONT doit etre
- VLAN only car doit accepter uniquement les taggés
- T car doit sortir en taggé
-
Merci pour cette réponse super rapide !
Ca marche parfaitement !
-
Bonjour à tous,
Est-ce que l'un de vous a les connaissances pour faire cette configuration sur un switch Cisco 3750g IOS 15?
J'en ai récupéré un récemment mais je n'ai pas encore eu le temps de me familiariser avec la CLI.
Merci!
-
Erf !
Faire une conf Cisco, c'est un metier.
J'vais regarder ça. Je suis plus routeur que switch.
Edit : v'la un p'tit lien pour commencer : https://www.cisco.com/c/en/us/support/docs/switches/catalyst-3750-series-switches/91862-cat3750-qos-config.html (https://www.cisco.com/c/en/us/support/docs/switches/catalyst-3750-series-switches/91862-cat3750-qos-config.html)
A priori, c'est pas bien compliqué.
-
Merci Mark5,
Je vais jeter un œil au lien. Je posterai la configuration si j'y arrive.
-
ca fait longtemps que j'ai pas fait d'ios mais un truc du genre:
ip access-list extended dhcp
permit udp any any eq 53
permit tcp any any eq 53
class-map class-dhcp-prio
match access-group name dhcp
policy-map policy-dhcp-prio
class class-dhcp-prio
set dscp CS6
interface gigabitEthernet ....(port vers l'ONT)
service-policy output policy-dhcp-prio
apres tout n'est pas forcement permis, notamment certains switch ne peuvent faire du marquage que sur l'ingress et pas sur l'egress donc il faudra utiliser l'interface vers le routeur et faire un "service-policy input .." . Sur ce point la mes souvenirs sont brumeux :) cf la doc propre au 3750g
-
rapide recherche:
Policing
On the Cisco Catalyst 3750 Switch, policing can only be configured on the ingress port. Policing can only be configured through MQC. This means there is no interface specific command to police the traffic. You can configure policing in the policy-map and you can apply the policy-map using only the service-policy input <policy-name> command. You cannot apply any policy-map to the output side of an interface.
Distribution1(config-if)#service-policy output test
police command is not supported for this interface
Configuration failed!
Warning: Assigning a policy map to the output side of an
interface not supported.
donc faut forcement faire "service-policy input..." sur l'interface vers le routeur.
-
Wow!
Super ces infos kgersen. Je teste ce soir en rentrant!
Merci encore, je vous tiens au courant.
-
Pour info, c'est pas le port 53, mais plutôt 68 vers 67 et juste en udp (pas besoin de tcp pour les requêtes DHCP contrairement aux requêtes DNS ;))
-
Pour info, c'est pas le port 53, mais plutôt 68 vers 67 et juste en udp (pas besoin de tcp pour les requêtes DHCP contrairement aux requêtes DNS ;))
yep j'ai été un peu rapide c'est DHCP pas DNS:p
-
OK donc si j'ai bien compris, ça devrait donner quelque chose comme ça:
ip access-list extended dhcp
permit udp any any eq 67
permit udp any any eq 68
ipv6 access-list extended dhcp6
permit udp any any eq 546
permit udp any any eq 547
class-map class-dhcp-prio
match access-group name dhcp
match access-group name dhcp6
policy-map policy-dhcp-prio
class class-dhcp-prio
set dscp CS6
interface gigabit 1/0/1 (interface vers wan routeur)
service-policy input policy-dhcp-prio
Je n'ai pas encore testé et je ne sais pas si ça fonctionnera en IPv6...
Je dois encore tout brancher avant de pouvoir essayer.
-
a la louche oui ;D
pour raffiner pas besoin de 67 et 68, juste le trafic DHCP sortant du routeur (entrant vu du switch) donc dest port = 67 (sauf erreur de ma part). mais bon tu peux raffiner dans un second temps quand ca marchera.
-
Et bien entendu, créer les trunk qui vont bien sur le port qui va accueillir l'ONT ainsi que celui du WAN de l'ER.
Attention à bien n'utiliser QUE les VLAN nécessaire à Orange sur les deux ports.
J'ai plus la syntaxe en tête, mais c'est du genre :
switchport mode trunk
switchport trunk allowed vlan 832,838,840
Tout ça à vérifier parce que c'est de mémoire mais la cli IOS est collaborative (cf ?).
-
Merci Mark5,
C'est effectivement ça pour le trunk et les vlans autorisés.
Je vais rebrancher l 'ensemble maintenant pour tester!
-
Quand tu auras une conf fonctionnelle, il serait cool de la partager ici afin que d'autres puissent éventuellement en profiter.
A titre personnel, j'ai quelques réticences à coller du Cisco chez wam : bruyant et énergivore.
-
Quand tu auras une conf fonctionnelle, il serait cool de la partager ici afin que d'autres puissent éventuellement en profiter.
A titre personnel, j'ai quelques réticences à coller du Cisco chez wam : bruyant et énergivore.
Bon,
ça n'a pas fonctionné. J'obtiens bien une adresse ip dans le vlan 838 mais rien dans le 832. J'ai essayé un certain nombre de commandes trouvées dans les doc Cisco mais sans succès.
Et je suis d'accord, c'est bruyant et certainement énergivore, mais c'est surtout pour apprendre et contribuer :) .
La suite demain mais si vous avez des idées, je les prends volontier!
-
Faudrait poster ta conf qu'on puisse étudier ça et vérifier qu'il ne manque rien.
Je suis sur que ça doit pouvoir fonctionner.
-
Et tant que j'y pense : t'as bien pensé à activer la QoS globalement sur ton switch ?
Ca dit quoi ça :
show mls qos
-
Bon... J'ai pris 5 minutes pour sortir un 3650...
Tout d'abord, il faut activer la QoS sur le switch (en mode config bien sur) :
mls qosEnsuite créer les vlans qui vont bien :
vlan 832
vlan 838
vlan 840
Puis la conf qui (en théorie) devrait être fonctionnelle (pas possibilité de tester, faudrait que je raméne le switch chez wam et ça me fait braire) :
Building configuration...
Current configuration : 4180 bytes
!
! Last configuration change at 09:50:44 CET Wed Jul 4 2018
! NVRAM config last updated at 09:50:54 CET Wed Jul 4 2018
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname C3560
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$VEHg$hkVQtQ/JdIO4vrcqYGxi/.
enable password cisco
!
username cisco privilege 15 secret 5 $1$WHbf$qlU88TQk0RsJE.eOJ2Wjs1
no aaa new-model
clock timezone CET 1 0
clock summer-time CET recurring last Sun Mar 2:00 last Sun Oct 3:00
system mtu routing 1500
authentication mac-move permit
udld aggressive
!
!
!
!
mls qos map cos-dscp 0 8 16 24 32 46 46 56
mls qos
!
!
!
!
errdisable recovery cause link-flap
errdisable recovery interval 60
!
spanning-tree mode rapid-pvst
spanning-tree loopguard default
spanning-tree portfast default
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
class-map match-all class-dhcp-prio
match access-group name dhcp
!
policy-map policy-dhcp-prio
class class-dhcp-prio
set dscp cs6
!
!
!
!
!
!
macro global description cisco-global
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
!
interface GigabitEthernet0/8
!
interface GigabitEthernet0/9
!
interface GigabitEthernet0/10
!
interface GigabitEthernet0/11
!
interface GigabitEthernet0/12
!
interface GigabitEthernet0/13
!
interface GigabitEthernet0/14
!
interface GigabitEthernet0/15
!
interface GigabitEthernet0/16
!
interface GigabitEthernet0/17
!
interface GigabitEthernet0/18
!
interface GigabitEthernet0/19
!
interface GigabitEthernet0/20
!
interface GigabitEthernet0/21
!
interface GigabitEthernet0/22
!
interface GigabitEthernet0/23
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 832,838,840
switchport mode trunk
service-policy input policy-dhcp-prio
!
interface GigabitEthernet0/24
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 832,838,840
switchport mode trunk
!
interface GigabitEthernet0/25
!
interface GigabitEthernet0/26
!
interface GigabitEthernet0/27
!
interface GigabitEthernet0/28
!
interface Vlan1
ip address 192.168.10.250 255.255.255.0
!
ip http server
ip http authentication local
ip http secure-server
!
!
!
ip access-list extended dhcp
permit udp any any eq bootpc
permit udp any any eq bootps
!
ip sla enable reaction-alerts
logging esm config
!
!
!
line con 0
line vty 0 4
password Cisco
login
line vty 5 15
password Cisco
login
!
end
Postulat de base : le WAN du routeur est sur Gi0/23, l'ONT sur Gi0/24 (mais ça me parait évident).
Et pas la peine de vous exciter sur les mots de passe à la con, c'est un switch de test ;D
-
Bonjour,
Alors voici les informations:
c3750g#show mls qos
QoS is enabled
QoS ip packet dscp rewrite is enabled
Les vlans avaient bien été créés.
La conf du switch après mes derniers tests :
! Last configuration change at 06:38:35 UTC Mon Mar 1 1993
!
version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname c3750g
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 xxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxx
!
username admin privilege 15 password 7 xxxxxxxxxxxxxxxxx
no aaa new-model
clock timezone UTC 1 0
clock summer-time UTC recurring last Sun Mar 2:00 last Sun Oct 3:00
switch 1 provision ws-c3750g-48ts
system mtu routing 1500
!
!
!
!
mls qos
no setup express
!
crypto pki trustpoint TP-self-signed-114123264
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-114123264
revocation-check none
rsakeypair TP-self-signed-114123264
!
!
crypto pki certificate chain TP-self-signed-114123264
certificate self-signed 01
3082023D 308201A6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31313431 32333236 34301E17 0D393330 33303130 30303432
325A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3131 34313233
32363430 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
B51B8297 B06B3D74 570597AB 5568B51C 6BBF2184 6BAAE9DC 4352ECD6 D07D0C5C
4E743188 EBEDBE26 2F7CDE18 E5E3E072 50CE79D8 54C76C9D 31FA769B B00EB0F8
07E0E804 BB0043C4 96C4F022 0E25EBEE 1CF22226 1D26F4BE AD62FC54 BBB9610F
D634A69C E5BB8FE4 5CCBFEDE A0AC0B01 6D20BA8C 72FE9A5D 95C4B9B1 89C69905
02030100 01A36730 65300F06 03551D13 0101FF04 05300301 01FF3012 0603551D
11040B30 09820763 33373530 672E301F 0603551D 23041830 16801475 3AD6DA77
7F46F440 2A0DC429 5539C2B3 9F395430 1D060355 1D0E0416 0414753A D6DA777F
46F4402A 0DC42955 39C2B39F 3954300D 06092A86 4886F70D 01010405 00038181
006206D8 65F84209 15C840A6 2D99CF60 2A9AE63F 48A10D04 7A66659D E820E380
6FA6CFFE 5ECF8669 2F984915 31CF8BB8 DF8C797B 21BE0FD0 97B03E13 B293FCB3
E635C838 AFAF968A E4011299 C9ABD657 34027A7D 55E91BD5 2F341A8A 4EF92FCA
5B72A905 2B05E090 482EBE3A 6B034F37 027B03E5 6C8AA320 3C64AACD E7A6E48D 67
quit
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
class-map match-any class-dhcp6-prio
match input-interface Vlan832
match access-group name dhcp6
class-map match-any class-dhcp-prio
match input-interface Vlan832
match access-group name dhcp
!
policy-map policy-dhcp-prio
class class-dhcp-prio
set dscp cs6
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface GigabitEthernet1/0/1
description EdgeRouter WAN Port
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 832,838,840
switchport mode trunk
service-policy input policy-dhcp-prio
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
!
interface GigabitEthernet1/0/4
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
!
interface GigabitEthernet1/0/18
!
interface GigabitEthernet1/0/19
!
interface GigabitEthernet1/0/20
!
interface GigabitEthernet1/0/21
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
!
interface GigabitEthernet1/0/24
!
interface GigabitEthernet1/0/25
!
interface GigabitEthernet1/0/26
!
interface GigabitEthernet1/0/27
!
interface GigabitEthernet1/0/28
!
interface GigabitEthernet1/0/29
!
interface GigabitEthernet1/0/30
!
interface GigabitEthernet1/0/31
!
interface GigabitEthernet1/0/32
!
interface GigabitEthernet1/0/33
!
interface GigabitEthernet1/0/34
!
interface GigabitEthernet1/0/35
!
interface GigabitEthernet1/0/36
!
interface GigabitEthernet1/0/37
!
interface GigabitEthernet1/0/38
!
interface GigabitEthernet1/0/39
!
interface GigabitEthernet1/0/40
!
interface GigabitEthernet1/0/41
!
interface GigabitEthernet1/0/42
!
interface GigabitEthernet1/0/43
!
interface GigabitEthernet1/0/44
!
interface GigabitEthernet1/0/45
!
interface GigabitEthernet1/0/46
!
interface GigabitEthernet1/0/47
!
interface GigabitEthernet1/0/48
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 832,838,840
switchport mode trunk
!
interface GigabitEthernet1/0/49
!
interface GigabitEthernet1/0/50
!
interface GigabitEthernet1/0/51
!
interface GigabitEthernet1/0/52
!
interface Vlan1
ip address 172.16.0.253 255.255.255.0
!
ip default-gateway 172.16.0.1
ip http server
ip http secure-server
!
!
!
ip access-list extended dhcp
permit udp any any eq bootps
permit udp any any eq bootpc
!
!
!
!
ipv6 access-list dhcp6
permit udp any any eq 546
permit udp any any eq 547
!
vstack
!
line con 0
line vty 0 4
login
line vty 5 15
login
!
end
Ma configuration routeur est celle qui était fonctionnelle sans switch avec les binaires modifiés pour ER5-POE. J'ai flashé le dernier firmware sans remettre ces binaires dhcp.
interfaces {
ethernet eth0 {
description Internet_ONT
duplex auto
poe {
output off
}
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xxxxxxxxxxxxxxxxxxxxxxxxxxxxx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
client-option "send dhcp-client-identifier 1:xxxxxxxxxxxxxxxxxxx;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WAN6_IN
name WAN_IN
}
local {
ipv6-name WAN6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
address dhcp
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:xxxxxxxxxxxxxxxxx;"
client-option "request subnet-mask, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
address 192.168.255.254/24
description "VLAN TV Canal 1 - Zap"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description LAN2_Livebox_VoIP
duplex auto
poe {
output off
}
speed auto
vif 832 {
address 192.168.10.254/24
description Voip
}
}
ethernet eth2 {
address 192.168.2.254/24
description LAN3_Livebox_TV
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 172.16.0.1/24
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
mtu 1500
switch-port {
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
-
Mouais, je vois rien de déconnant de prime abord.
Faudrait un p'tit coup de Wireshark sur l'if vers l'ont pour voir si tout est bon dans l'cochon.
-
Bien vu !
Ca me parle (assez vaguement je l'admet), mais bien j'ai de vagues souvenirs d'un truc du genre...
-
edit: j'ai viré mon message précédent car je crois que ca ne s'applique qu'en entrée sur les switch. ca doit être des souvenirs de routeurs:)
A priori dans la doc, y'a quasi rien pour le 'traitement en sortie' si ce n'est les queues en fonction de la prio.
eventuellement regarde la mapping DSCP->CoS car l'action est "set dscp cs6" donc il faudrait s'assurer que c'est bien propager au niveau 2 aussi (mais bon par défaut ca devrait etre bon).
edit : show mls qos maps dscp-to-cos
edit: éventuellement ajoute 'set cos 6' aussi si c'est possible
edit: mais bon le mieux c'est une capture ;D
-
Bonsoir,
Un petit update sur mes avancées : j'ai enfin du CS6 dans les trames capturées avec Wireshark!
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0xc0 (DSCP: CS6, ECN: Not-ECT)
1100 00.. = Differentiated Services Codepoint: Class Selector 6 (48)
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
Total Length: 328
Identification: 0x0000 (0)
Flags: 0x0000
0... .... .... .... = Reserved bit: Not set
.0.. .... .... .... = Don't fragment: Not set
..0. .... .... .... = More fragments: Not set
...0 0000 0000 0000 = Fragment offset: 0
Time to live: 128
Protocol: UDP (17)
Header checksum: 0x38e6 [validation disabled]
[Header checksum status: Unverified]
Source: 0.0.0.0
Destination: 255.255.255.255
Voici un résumé de ce que j'ai fait jusque là:
mls qos
!
vlan dot1q tag native
!
class-map match-all class-dhcp-prio
match access-group name dhcp
!
policy-map policy-dhcp-prio
class class-dhcp-prio
set dscp cs6
!
interface GigabitEthernet1/0/1
description router WAN
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 832,838,840
switchport mode trunk
mls qos vlan-based
spanning-tree portfast trunk
!
interface GigabitEthernet1/0/48
description ONT
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 832,838,840
switchport mode trunk
spanning-tree portfast trunk
!
interface Vlan832
no ip address
service-policy input policy-dhcp-prio
!
ip access-list extended dhcp
permit udp any any eq bootps
!
Je testerai la connexion avec l'Edgerouter demain. Si cela fonctionne, je verrai quoi faire pour l'IPv6.
-
Oui, mais non.
Ce qu'il faut, c'est pas du CS6 au niveau IP, c'est une priorité 802.1p à 6 dans l'entête ethernet VLAN 802.1q.
Donc à moins que le switch ne mappe le DSCP sur la priorité 802.1p, c'est pas bon (edit: cf le message de @kgersen plus haut)... Il manque l'entête ethernet dans ta capture pour s'assurer que c'est bon.
-
sh mls qos int gi1/0/48 et
sh mls qos int gi1/0/48 stat ca donne quoi ?
idem pour l'autre interface.
-
Bonjour kgersen,
Je viens de connecter mon ER5-POE sur le port 1, l'ONT sur le port 48 et j'ai obtenu directement une adresse IP sur le vlan 832.
Last login: Wed Jul 11 17:54:10 2018 from 10.0.0.5
admin@ubnt:~$ show dhcp client leases
interface : eth0.832
ip address : 90.xx.xx.xx.xx [Active]
subnet mask: 255.255.248.0
domain name: orange.fr [overridden by domain-name set using CLI]
router : 90.90.240.1
name server: 81.253.149.6 80.10.246.136
dhcp server: 80.10.247.48
lease time : 259200
last update: Thu Jul 12 13:13:22 UTC 2018
expiry : Sun Jul 15 13:13:16 UTC 2018
reason : BOUND
admin@ubnt:~$
Je redémarre l'ensemble pour être sur...
-
Bonjour,
J'ai quelques questions sur le design présenté en première page.
- Que se passé-t-il en cas d'attaque DDOS ? Bien que je filtre sur le routeur, le switch en frontal ne risque-t-il lui pas d'être surcharge (car je ne mets aucun filtrage à cet endroit) ?
- Du coup, quel est le risque d'utiliser ce switch à la fois en frontal et pour le LAN (comme présenté), meme si on sépare via des vlans (dans le cas d'un DDOS par exemple on perd toute connectivité) ?
- Et pour finir, un peut plus subjectivement : Quelqu'un à un retour niveau performance ? Ce changement de CoS tient-il sur du flux gigabit ?
Merci d'avance pour vos réponses.
-
Un switch, généralement, ça supporte un traffic beaucoup plus important que le traffic maximal d’un seul port...
Aucun risque qu’un DDOS qui arriverait sur un port (Donc 1 Gbps max.) ne fasse tomber les autres ports.
-
Merci zoc. Effectivement, maintenant que tu l'as écrit, ta réponse me saute aux yeux...
-
Bonjour,
Merci pour le tuto.
En revanche, j’aurai dès question :
Je souhaiter mettre en place cette archi mais avec dés modifications :
Routeur : asus rt ac3200
Switch gs724t.
De plus je souhaite utiliser la téléphonie et la télé avec boîtier TV orange.
Pouvez-vous me dire si avec les boîtiers tv sur la box orange est 100% fonctionnelle ?
Ensuite pour mon routeur asus je vais être capable de récupérer une IP public orange sans parametrage spécifique ? Je laisse l’ipv6 en automatique ? Je dois mettre les dns orange ?
Question bête mais pourquoi la box tu la mets sur le cul du routeur ? Tu pourrai la brancher sur le switch avec la même configuration que le port du routeur sur le switch non ? Cela permettrai un usage en parallèle des 2 .non ? Et du coup je peux faire pareil avec mes boîtier tv d’orange ? Je veux bien des détails lol
Cordialement.
-
Petit retex concernant le GS716Tv3 (j'avais un v2 jusqu'à hier).
- Quelques trucs en plus (routage/protected port/MVR)
- Un temps de boot multiplié par 2, voire 3 (environ 1m30, c'est looooooong)
- Refroidissement passif (0 Db, du bonheur)
- L'interface web est beaucoup plus réactive
Malheureusement, pas de progrès du coté DiffServ (donc toujours pas de possibilité de marquage CoS6 en IPv4 et en IPv6 en simultané).
Le système de "protected port" n'a aucun intérêt pour moi.
En effet, on peut juste marquer les ports comme protégés (ou pas), et il n'y a alors aucune communication possible entre deux ports protégés.
Je ne vois qu'une application à ça : l'isolation des clients (qui m'est déjà offerte en WiFi par mon contrôleur Unifi)
Je vais un peu me pencher sur l'aspect routage du bouzin pour voir si ça a un intérêt quelconque, mais comme ça, à froid, je vois pas.
En résumé, rien de vraiment folichon, mais c'était principalement les 0 db qui me faisaient de l'oeil.
Hello,
petite question les ports SFP sont compatibles avec le module SFP d'orange ?
Oui si lui ne l'est pas un autre GSxxxxT(x) qui peut l'être (exemple: GS728TP)
-
Salut !
Impossible pour moi de répondre vu que je ne peux pas tester.
J'ai effectivement récupéré un SFP "qui va bien", mais je fais partie des nouveaux abonnés dont l'authentification ne se fait plus par le SLID mais par le n° de série de l'ONT. Donc impossible de le mettre en œuvre pour valider de manière ferme et définitive le bon fonctionnement de l'ensemble.
-
Je possède ce genre de switch GS110TP donc POE et avec 48w d'alimentation j'espère avoir assez de jus pour alimenter le sfp
Il faudrait que j'essaie ce soir en mettant un des port sfp et un port rj avec les bons vlan
Si j'ai le temps de réaliser le test je posterait le résultat
-
Je possède ce genre de switch GS110TP donc POE et avec 48w d'alimentation j'espère avoir assez de jus pour alimenter le sfp
Il faudrait que j'essaie ce soir en mettant un des port sfp et un port rj avec les bons vlan
Si j'ai le temps de réaliser le test je posterait le résultat
Ah oui bien ça, en attente des résultats :)
-
J'ai une bonne nouvelle pour vous !!
Le GS110TP est compatible avec le module SFP d'Orange.
Pour la conf, j'ai appliqué la même que celle décrite ici sauf que le sfp est sur le port 9 et pour tester j'ai mis la livebox direct derrière le port 8
Morceaux de ma conf :
vlan name 832 "OrangeONT C2 internet"
vlan name 838 "OrangeONT VOD"
vlan name 840 "OrangeONT C1 Zapping"
interface 0/8
description 'Livebox'
vlan pvid 832
vlan acceptframe vlanonly
vlan participation auto 1
vlan participation include 832,838,840
vlan tagging 832,838,840
green-mode short-reach auto
no poe
exit
interface 0/9
description 'SFP Orange ONT'
vlan pvid 832
vlan acceptframe vlanonly
vlan participation auto 1
vlan participation include 832,838,840
vlan tagging 832,838,840
exit
-
J'ai une bonne nouvelle pour vous !!
Le GS110TP est compatible avec le module SFP d'Orange.
Pour la conf, j'ai appliqué la même que celle décrite ici sauf que le sfp est sur le port 9 et pour tester j'ai mis la livebox direct derrière le port 8
Morceaux de ma conf :
vlan name 832 "OrangeONT C2 internet"
vlan name 838 "OrangeONT VOD"
vlan name 840 "OrangeONT C1 Zapping"
interface 0/8
description 'Livebox'
vlan pvid 832
vlan acceptframe vlanonly
vlan participation auto 1
vlan participation include 832,838,840
vlan tagging 832,838,840
green-mode short-reach auto
no poe
exit
interface 0/9
description 'SFP Orange ONT'
vlan pvid 832
vlan acceptframe vlanonly
vlan participation auto 1
vlan participation include 832,838,840
vlan tagging 832,838,840
exit
C'est une bonne nouvelle :D
-
Bonjour,
est-ce que la première page est toujours d'actualité pour les clients possédant un module SFP (branché dans un MC220L) s'identifiant non plus avec le SLID mais avec le numéro de série de l'ONT ?
Je n'arrive pas à récupérer une adresse IP via DHCP sur mon ER-X, j'ai même branché une livebox en lieu et place de l'ER-X et cela ne fonctionne pas non plus.
Je peux récupérer une adresse IP sur mon ER-X tant que le bail DHCP n'est pas expiré (en branchant la livebox juste avant).
Comment peut-on déboguer cela ?
-
est-ce que la première page est toujours d'actualité pour les clients possédant un module SFP (branché dans un MC220L) s'identifiant non plus avec le SLID mais avec le numéro de série de l'ONT ?
Ca ne change rien.
-
Et il vaut mieux déboguer côté switch ou côté routeur ?
-
Je pense que le plus efficace, c’est d’utiliser la fonction « port mirroring » du switch sur le port de l’ONT afin de pouvoir analyser le traffic une fois la QoS appliquée.
-
Bon, a priori, en laissant le trafic autre que celui des VLAN ça à l'air de tenir, je surveille.
-
J'essaye actuellement de faire marcher l'IPV6 sur un deuxième port avec mon GS110TP. L'idée est de changer la priorité des requêtes venant de mon routeur Mikrotik RB3011.
Malheureusement pour l'instant le client DHCPv6 du mikrotik reste en searching.
Je me pose une question, dans la config QOS IPV6 du GS110TP je n'ai pas de sélection du VLAN comme c'est le cas dans la QOS IVP4, je ne peux que sélectionner les ports. Est ce que cela est normal?
Est ce que qqn a réussit a configure iPV4 et IPV6 sur deux ports differents?
Merci d'avance
-
Sur un 108tv2 j'avais tenté, j'avais le net quelque minutes en ipv6, puis le Neighbourhood Discovery (de mon Mikrotik ccr1009) foutait la grouille, je suppose parceque 2 interfaces étaient connectées sur le même switch dans le même vlan...
Ensuite j'ai tenté en faisant un bridge, et donc en utilisant qu'un seul port du switch, et ça fonctionnait (mais on perd le fastpath/fasttrack avec le bridge, le débit en ipv4 et 6 saturait autour de 750mb/sec.
Au final j'ai changé pour un switch qui supporte la QOS et les acls aussi bien en v4 que v6 sur un même port, mais ce genre de switch, ce n'est souvent pas donné...
-
Moi aussi j'ai un peu craqué.... j'ai commandé un Ubiquiti ERPRO-8. Normalement je pourrais tout gérer dessus sauf le port SFP.
-
Moi aussi j'ai un peu craqué.... j'ai commandé un Ubiquiti ERPRO-8. Normalement je pourrais tout gérer dessus sauf le port SFP.
Le ER-4 a des meilleures performances et il est moins cher. Tu peux peut-être changer ta commande.
-
Le ER-4 a des meilleures performances et il est moins cher. Tu peux peut-être changer ta commande.
Merci pour l'info c'est modifié ;-) Je te fais un chèque pour l'économie que tu viens de me faire faire?
-
Moi aussi j'ai un peu craqué.... j'ai commandé un Ubiquiti ERPRO-8. Normalement je pourrais tout gérer dessus sauf le port SFP.
Si par « tout gérer », tu veux dire y compris la CoS nécessaire à l’obtention de l’adresse IP, alors clairement c’est non... Enfin pas sans patcher le client DHCP du firmware. Et je ne parle même pas d’IPv6 pour lequel il faut installer un paquet tiers (lui aussi patché pour la CoS).
Et ce sera pareil avec l’ER4 d’ailleurs, en pratique quel que soit le routeur d’Ubiquiti choisi.
-
Si par « tout gérer », tu veux dire y compris la CoS nécessaire à l’obtention de l’adresse IP, alors clairement c’est non... Enfin pas sans patcher le client DHCP du firmware. Et je ne parle même pas d’IPv6 pour lequel il faut installer un paquet tiers (lui aussi patché pour la CoS).
Et ce sera pareil avec l’ER4 d’ailleurs, en pratique quel que soit le routeur d’Ubiquiti choisi.
En fait ce qui me motive par rapport à mon setup actuel avec le Mikrotik c'est le gain de perf et la simplification du setup (moins de materiel donc moins de risque de panne). Avec le RB3011 avec la technique du bridge pour la COS en IPV4 je plafonne a 500/260 (917/260 avec la LB4), avec le RB3011 + COS6 sur le switch Netgear je monte à 850/250 mais IPV4 seulement (je n'ai pas réussis à faire marcher l'iPV6 meme en utilisant 2 ports du switch). Avec l'ER4 moyennant un peu de boulot de patch + installation j'espère atteindre les 900 (comme j'ai pu le voir sur topic associé).
Et puis on va pas se mentir....c'est quand meme assez fun de bidouiller ce genre de chose ;-)
-
Bonjour,
Je suis intéressé pour savoir les différents marquage réalisé par le réseau du trafic que vous recevez.
...
CoS=6 => Requêtes DHCP
CoS=5 => VoIP
...
-
Hello!
Petite question par rapport a la capture de la "Class configuration" en premiere page.
Je vois que tu mets en meme temps le VLAN a 832, mais aussi le source L4 port a 68 et le destination L4 port a 67.
Or, quand j'essaie de mettre ces options, il n'en conserve qu'une, la derniere (je passe par l interface web)
En meme temps, j ai bien compris l'histoire du CoS a 6, mais je comprends pas cette histoire de port... A quoi sert ce setting source L4 port et destination L4 port?
-
Hello!
Petite question par rapport a la capture de la "Class configuration" en premiere page.
Je vois que tu mets en meme temps le VLAN a 832, mais aussi le source L4 port a 68 et le destination L4 port a 67.
Or, quand j'essaie de mettre ces options, il n'en conserve qu'une, la derniere (je passe par l interface web)
En meme temps, j ai bien compris l'histoire du CoS a 6, mais je comprends pas cette histoire de port... A quoi sert ce setting source L4 port et destination L4 port?
Bonjour,
Cela sert à marquer le CoS pour les requêtes DHCP sortantes vers Orange (ce sont les ports utilisés par DHCP). Je ne peux hélas reproduire le setting, ayant depuis quelques mois abandonné ce fonctionnement (ma Livebox Play 3 ayant retrouvé une stabilité satisfaisante, et en cas de coupure de courant ça ne revenait pas toujours proprement avec la config switch + Livebox). D'autres pourront peut-être te répondre précisèment pour ce cas, que je n'ai jamais rencontré lors de mes tests.
-
Salut et merci pour ton retour! :)
J ai un peu creusé entre 2 et effectivement j'ai vu que le port 67 correspond au port sur lequel on envoi la requete DHCP DISCOVER, donc c est le port coté serveur et le port 68 est celui qui recoit le DHCP OFFER, donc le port coté client.
Mais si j interpretes bien ta capture d'écran, on veut faire transiter ce qui part du port 68 vers le port 67... mais du coup c est le fonctionnement normal d'une résolution DHCP ca, non?
(Désolé si je dis des betises, j'essaie de comprendre :))
-
Non, le but c'est de changer la priorité du traffic DHCP uniquement (parce que si tout le traffic est en CoS 6, alors le débit est catastrophique). D'où le besoin de matcher sur les ports (L4) en plus du VLAN.
-
Ok, effectivement c'est logique...
Mais ca devrait fonctionner quand meme, on est d'accord?
Et comme je n'ai a priori pas la possibilité de mettre les 3 conditions en meme temps sur l'interface du switch, il faut que je vois dans quelle section de paramétrage je pourrais faire ca...
Merci pour le retour :)
-
Comme tu utilises un routeur Mikrotik, tu as la méthode sans avoir besoin d'un switch intermédiaire :
https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg628648/#msg628648
Avec le RB3011 avec la technique du bridge pour la COS en IPV4 je plafonne a 500/260 (917/260 avec la LB4)
Même méthode :)
-
A vrai dire, je l'avais vu ce message, mais je pensais que c'était mieux de faire mettre le cos a 6 par le Switch...
Mais à bien y réfléchir, je pense que c'est peut-être même mieux d'enlever l'étape du Switch... Moins d'intermédiaire...
Et du coup, dans cette config, on ne met plus du tout de cos a 6 si j'ai bien compris alors ?
De toutes façons, étant sur la route des vacances on reverra tout va semaine prochaine maintenant...
Encore merci d'avoir pris le temps de m'aider ;)
-
Est ce que quelqu'un a testé avec Cisco IOS le marquage ?
Je devrais récupérer des antiques catalyst gigabit sur cisco IOS 10
-
Juste pour info, pour ceux que ca intéresserait, sur les FW < 1.1.1.25 sur le GS724TPv2, on ne peut pas prendre plusieurs critères lors de la création de la Class pour passer le CoS a 6...
Donc pensez a bien updater le Firmware, faites pas comme moi... :)
-
Bonjour,
Je repasse bientôt chez Orange, donc me revoilà à prendre des news sur cette histoire de CoS. Quand j'étais chez eux, j'avais eu besoin de configurer la cos à 6 pour les requêtes DHCP (ce que je faisais avec un switch, ce gs108tv2 puis un autre quand j'ai eu l'ipv6).
A t on déja vu des zones avoir besoin de cette cos à 6 ne plus en avoir besoin dans le temps ?
Merci.
-
Le switch Negear GS108Tv2 a été remplacé par le nouveau modèle NETGEAR GS308T-100PES.
Quelqu'un l'a déjà essayé ?
Est-il possible de changer la COS sur ce nouveau modèle pour les packets DHCP en IPv4 et IPv6 ?
-
Salut!
Pour ma part; j'ai arreté de faire ca avec le switch mais directement avec le Mikrotik, a la source... ;)
Bon courage!
-
Salut!
Pour ma part; j'ai arreté de faire ca avec le switch mais directement avec le Mikrotik, a la source... ;)
Bon courage!
Tu fais un bridge du coup ? Quand j'avais fait ca, j'avais des problèmes de perfs, surtout en ipv6. Mais il y a eu tellement de firms depuis...
-
Tu fais un bridge du coup ? Quand j'avais fait ca, j'avais des problèmes de perfs, surtout en ipv6. Mais il y a eu tellement de firms depuis...
Depuis bob62 a fait le job en tout cas pour certains routeurs MTK. A priori transposable sur ipv6, surtout que tu reviens chez Orange il me semble ;)
https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg628648/#msg628648
-
Je devais revenir, mais en fait à priori non. Mais je m'intéresse quand même. À voir si cette manip fonctionne sur mon ccr1009 , vu que je n'utilise pas les ports sur le switch (1-4) pour mes interfaces lan et wan...
-
Heu du coup Florian, je t ai répondu sur l autre thread, je sais pas si tu as vu...
https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg675944/#msg675944
Catalyst, tu as raison ce qu a fait Bob marche... si le switch chip de ton routeur accepte les switch rules... ce qui n etait pas le cas pour moi :(
D'ou le besoin de passer par une autre solution, a base de bridge ;)
J'avoue que ca pas été facile de mettre en place le setup, mais je me suis bien fait aidé sur le forum Mikrotik! :D Et maintenant ca roule impec! :)
-
Yep merci :) Sans switch chip ca limite un peu les choses, mais c'est toujours bon à savoir :)
-
Le switch Negear GS108Tv2 a été remplacé par le nouveau modèle NETGEAR GS308T-100PES.
Quelqu'un l'a déjà essayé ?
Est-il possible de changer la COS sur ce nouveau modèle pour les packets DHCP en IPv4 et IPv6 ?
Non, c'est faux.
Les 2 gammes GS10x et GS30x sont différentes, cf ce que j'ai écrit ici (https://lafibre.info/switch/nouveau-remplacant-du-switch-netgear-gs108tv2/msg680151/#msg680151).
-
Bien que certain devait faire des retours du SFP dans le switch GS716T, rien d'écrit sur le topic le confirmant.
Venant de l'acquérir, je peux officiellement dire que le SFP fonctionne bien dans ce switch (GS716Tv3).
Cela peut être utile à certains.
-
j’utilise un usg3p (ubiquiti) avec dhclient3 patché et dibbler installé pour l’IPV6. mais du coup cela m’interesserait de gerer ca au niveau d’un switch plurot que de modifier le logiciel du routeur. J’ai cru voir dans le thread que c’etait possible de gérer ipv4 et ipv6 au niveau du switch mais apres j’ai ete un peu perdu dans les reponses... Que faut-il faire pour aujourd.hui gerer au niveau du switch la qos pour ipv6 et ipv4 avec un ont arrivant sur le switch et l’usg en sortie de celui -ci? Quel matos est approprié?
-
Il y a un topic récent (https://lafibre.info/remplacer-livebox/index-des-equipements-compatibles-avec-sfp-ont-dorange-sercomm-fgs202/) qui récence le matos compatible avec le SFP ainsi que sur la possibilité de faire le marquage CoS.
-
Il y a un topic récent (https://lafibre.info/remplacer-livebox/index-des-equipements-compatibles-avec-sfp-ont-dorange-sercomm-fgs202/) qui récence le matos compatible avec le SFP ainsi que sur la possibilité de faire le marquage CoS.
hrm encore faut il avoir le sfp fourni par orange, moi j’ai le terminateur ethernet. Je me demandais sinon si un routeur mikrotik pourrait etre configure en bridge transparent?
-
j’utilise un usg3p (ubiquiti) avec dhclient3 patché et dibbler installé pour l’IPV6. mais du coup cela m’interesserait de gerer ca au niveau d’un switch plurot que de modifier le logiciel du routeur. J’ai cru voir dans le thread que c’etait possible de gérer ipv4 et ipv6 au niveau du switch mais apres j’ai ete un peu perdu dans les reponses... Que faut-il faire pour aujourd.hui gerer au niveau du switch la qos pour ipv6 et ipv4 avec un ont arrivant sur le switch et l’usg en sortie de celui -ci? Quel matos est approprié?
Je ne sais pas si GS108Tv2 est capable de prendre en charge la CoS pour IPv4 et IPv6 au même temps. Il y a un topic sur le CISCO SG350-28P réalise par pinomat proposant une config pour le marquage CoS6 sur du ipv4 et ipv6 simultanément.
https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/msg679194/#msg679194
-
Je ne sais pas si GS108Tv2 est capable de prendre en charge la CoS pour IPv4 et IPv6 au même temps. Il y a un topic sur le CISCO SG350-28P réalise par pinomat proposant une config pour le marquage CoS6 sur du ipv4 et ipv6 simultanément.
https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/msg679194/#msg679194
Malheureusement non, le GS108Tv2 ne peut faire le marquage de la COS que pour un de deux protocoles (IPv4 ou IPv6).
-
Je ne sais pas si GS108Tv2 est capable de prendre en charge la CoS pour IPv4 et IPv6 au même temps. Il y a un topic sur le CISCO SG350-28P réalise par pinomat proposant une config pour le marquage CoS6 sur du ipv4 et ipv6 simultanément.
https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/msg679194/#msg679194
a priori cela devrait fonctionner sur le Sg350-10 non?
-
Pour la cos, oui.
Après pour le SFP cela fonctionne a priori sur les SG350-XX mais pas les SG300-XX.
-
Bonjour,
je rencontre un problème pour fixer la cos à 6 sur les trames dhcp.
j'ai bien un GS108T-v2, j'ai bien effectué la configuration comme dans le tuto, mais quand je capture les packets sur l'interface de sortie, le champ cos est toujours à 0.
(https://lafibre.info/images/materiel/202007_switch_GS108Tv2_1.jpg)
port 3 -> port wan du firewall
port 4 -> port ethernet boitier ONT.
j'ai tenté en filtrant l'ensemble du vlan plutot que les trames dhcp, pas mieux.
Je précise que j'ai tenté aussi un factory reset du switch, afin de réappliquer le tuto from scratch , mais pas mieux.
Je dois avoir une autre option qui interfere avec le marquage de la cos, mais impossible de trouver.
Si quelqu'un arrive à repérer ou je me suis trompé dans les screenshots ci dessous
(https://lafibre.info/images/materiel/202007_switch_GS108Tv2_2.jpg)
(https://lafibre.info/images/materiel/202007_switch_GS108Tv2_3.jpg)
(https://lafibre.info/images/materiel/202007_switch_GS108Tv2_4.jpg)
(https://lafibre.info/images/materiel/202007_switch_GS108Tv2_5.jpg)
(https://lafibre.info/images/materiel/202007_switch_GS108Tv2_6.jpg)
-
Question con : le diffserv est bien activé dans ton switch ?
Et c'est quoi ce vlan 25 ?
-
(https://lafibre.info/images/materiel/202007_switch_GS108Tv2_7.jpg)
le vlan 25 defini en pvid, c'est juste un vlan non utilisé pour éviter que le traffic du vlan1 viennent compliquer la lecture de la capture de trame.
-
Oué... Ben la, je vois pas ce qui coince.
Tout me parait cohérent.
-
idem, je comprends pas ce qui marche pas.
j'ai fait un dump de la conf dans le fichier txt ci joint au cas ou.
si un personne se servant de ce switch pour modifier le cos, et pour qui cela fonctionne pouvait me faire un dump de sa conf que je trouve quelle est l'option en place dans ma configuration qui bloque cette modification, cela serait le top.
A votre bon coeur.
Bonne journée
-
T'as essayé en désactivant le DHCP snooping ?
C'est globalement le seule différence fonctionnelle entre ta config et la mienne (j'ai un 716TV3 mais les principes de fonctionnement sont strictement identiques).
-
je ne trouve pas le menu comme indiqué dans les docs https://kb.netgear.com/21815/How-do-I-configure-Dynamic-Host-Configuration-Protocol-DHCP-snooping-using-the-web-interface-on-my-managed-switch
je vais chercher ou je peux le désactiver.
Merci pour la piste en tout cas, je continue de chercher.
-
Bon j'ai enfin sorti le Edge Switch du carton. Et ça cartonne ;)
Tout fonctionne également.
tu peux paster ta conf sur le edgeswitch?
-
tu peux paster ta conf sur le edgeswitch?
Je repose la question differemment, est-ce que c'est possible de modifier la CoS en utilisant un EdgeSwitch comme celui-ci
https://eu.store.ui.com/collections/operator-edgemax-switches/products/edgeswitch-10x
voir un switch unifi?
-
tu peux paster ta conf sur le edgeswitch?
Je doute que tu obtiennes une réponse de sa part plus de 4 ans après ;D
Je repose la question differemment, est-ce que c'est possible de modifier la CoS en utilisant un EdgeSwitch comme celui-ci
https://eu.store.ui.com/collections/operator-edgemax-switches/products/edgeswitch-10x
voir un switch unifi?
Voir : https://community.ui.com/releases/EdgeMAX-EdgeSwitch-Firmware-v1-9-1-v1-9-1/8a87dfc5-70f5-4055-8d67-570db1f5695c#comment/c01cc3bb-ba95-43a3-9af0-56b72bdf6f32
Sur un EdgeSwitch (type ES16-150) c'est possible, mais pas en IPv4/6 simultanément.
Et je ne sais pas si la série X (plus limitée) est capable de faire du diffserv.
Je connais peu l'Unifi à part les solutions Wifi, mais c'est plutôt cher et peu configurable.
Pour avoir exploré pas mal de solutions dans l'optique d'un kit de déploiement clean sur les sites sous ma charge, c'est soit :
- client patché (mais indépendamment de la CoS DHCP, on aura toujours un souci de bridage du débit sur le trafic internet sortant si DSCP <> 0)
- switch cisco SG350-xx qui fera à la fois le tagging Cos pour le DHCP, et en parallèle le reset du DSCP pour le trafic montant
-
Je doute que tu obtiennes une réponse de sa part plus de 4 ans après ;D
Voir : https://community.ui.com/releases/EdgeMAX-EdgeSwitch-Firmware-v1-9-1-v1-9-1/8a87dfc5-70f5-4055-8d67-570db1f5695c#comment/c01cc3bb-ba95-43a3-9af0-56b72bdf6f32
Sur un EdgeSwitch (type ES16-150) c'est possible, mais pas en IPv4/6 simultanément.
Et je ne sais pas si la série X (plus limitée) est capable de faire du diffserv.
Je connais peu l'Unifi à part les solutions Wifi, mais c'est plutôt cher et peu configurable.
Pour avoir exploré pas mal de solutions dans l'optique d'un kit de déploiement clean sur les sites sous ma charge, c'est soit :
- client patché (mais indépendamment de la CoS DHCP, on aura toujours un souci de bridage du débit sur le trafic internet sortant si DSCP <> 0)
- switch cisco SG350-xx qui fera à la fois le tagging Cos pour le DHCP, et en parallèle le reset du DSCP pour le trafic montant
Merci pour les infos/confirmations :) Du coup j'hésite à simplement prendre un routeur mikrotik pour cette partie là :/
-
Merci pour les infos/confirmations :) Du coup j'hésite à simplement prendre un routeur mikrotik pour cette partie là :/
Sauf erreur chez Mikrotik pas de Fastrack (offload) en IPv6, donc il faut un modèle relativement puissant pour ne pas être bridé.
Pour le reste (CoS, DSCP) ça semble possible, mais c'est un peu le bazar entre les switch-rules qui ne fonctionnent pas sur tous les modèles, les règles firewall qui désactivent l'offload (mais pas toujours), etc.
-
Bonjour a tous,
j'ai une question, j'ai un routeur GS110TP avec une entree Fibre (du coup pas d'ONT), à part adapter la config qui est dans le post, dois je faire declarer le numero de serie du switch chez orange pour que cela fonctionne?
Merci
-
Le GS110TP est un switch, pas un routeur...
Il faut obligatoirement un ONT chez Orange (et chez les autres en FTTH), qu’il soit au format SFP, au format Ethernet, ou intégré à leur box.
D’une part, Orange s’en moque totalement du numéro de série du switch (il ne sera jamais visible chez eux). D’autre part, Orange refusera catégoriquement d’enregistrer dans leur système le numéro de série d’un ONT qui ne provient pas de chez eux.
J’espère que vous n’aviez pas l’intention de connecter une optique fibre classique (prévue pour du point à point) sur votre arrivée fibre (qui n’est pas du point à point mais un arbre GPON), et si c’est le cas je plains les 63 autres clients Orange qui partagent la même fibre que vous, parce qu’en faisant n’importe quoi vous avez toutes les chances de les priver eux aussi d’Internet...
-
Merci pour votre réponse, je me demandais si c’était possible et du coup je comprends mieux, j'utiliserais le boitier ONT orange (je ne suis pas encore fibré).
-
Bonjour,
j'ai un GS308T, et je ne sais pas si c'est le cas pour d'autres switch administrables de la gamme, mais en farfouillant le net j'ai trouvé comment activer le telnet pour le parametrer en ligne de commande.
Dans l'interface web il suffit d'aller dans Maintenance >> TroubleShooting >> Remote diagnostics
Puis de cocher Enable
(https://lafibre.info/images/materiel/202112_netgear_interface_1.png)
Ensuite avec putty faire un telnet sur l'ip du switch sur le port 60000, le user/pass est celui de l'administration web.
ou si vous avez telnet d'installé, faire : telnet ip_du_switch 60000
(https://lafibre.info/images/materiel/202112_netgear_interface_2.png)
-
Bonjour,
merci pour cette description et ce tuto mais il semble que ce ne soit plus comme ça depuis une mise à jour.
la partie " MARK COS " n'y ai plus
c'est devenu : MARK VLAN COS
Si j'active simple COS, je peux cocher MARK COS , choisir 6
mais j'ai cette erreur :
Alert
Error: Failed to retrieve Committed Rate.
j'ai deux Switchs Netgéar
GS 310TP
GS 308Tv3
Cordialement
-
pour info, dans Chrome/Edge les images dans la 1ere page ne s'affichent pas. Sur Firefox ca marche.
Dans chrome "un truc" converti les liens http en https, du coup ca ne marche pas...enfin chez moi en tout cas.
-
Salut à tous,
J'ai récupéré un netgear GS716T pour une bouchée de pain en révision v3. Pensez-vous que le software est du même acabit que le GS108Tv2 ? Je n'ai pas encore eu le temps de tester (sans doute ce weekend)
D'après le manuel le diffserv en v6 est bien présent, mais après pour l'assignation v4/v6 à un même port... :-X Le manuel : https://www.downloads.netgear.com/files/GDC/GS716TV3/GS716Tv3_GS724Tv4_GS748Tv5_SWA_25Sept2013.pdf
-
Salut à tous,
J'ai récupéré un netgear GS716T pour une bouchée de pain en révision v3. Pensez-vous que le software est du même acabit que le GS108Tv2 ? Je n'ai pas encore eu le temps de tester (sans doute ce weekend)
D'après le manuel le diffserv en v6 est bien présent, mais après pour l'assignation v4/v6 à un même port... :-X Le manuel : https://www.downloads.netgear.com/files/GDC/GS716TV3/GS716Tv3_GS724Tv4_GS748Tv5_SWA_25Sept2013.pdf
J'avais obtenu un mais je n'ai pas réussi à le configurer (applet Java), je n'ai jamais reussi à avoir l'écran de configuration. Cependant, je n'ai pas essayé de le configurer via telnet/ssh (même pas essayé de voir si c'est possible). Il est donc parti au recyclage.
-
Merci pour ton retour.
Un applet java ? Bizarre. Chez moi, tout fonctionne normalement via le navigateur (192.168.0.239 par défaut en http) sans ajouter quoi que ce soit. C'était peut-être une vieille révision ou un ancien firmware ?
Sinon, j'ai enfin pu tester ce weekend et à priori c'est la même chose que le GS108Tv2, lorsque je veux ajouter la policy ipv6 avec le même nom, il me dit qu'elle existe déjà, ce qui logiquement n'est pas faux, mais du coup... on peut rien faire.
J'ai aussi tenté de forcer avec ce code (dites-moi si c'est pas bon j'ai peut-être fait une boulette), mais une fois reboot, seul la v4 est prise en compte. Point positif, il ne plante pas comme le GS108T.
0x4e470x010x00GS7XXT 6.3.1.11 0x000000000x00000000000000
! The line above is the NSDP Text Configuration header. DO NOT EDIT THIS HEADER
!Current Configuration:
!
!System Description "GS716Tv3 ProSafe 16-port Gigabit Ethernet Smart Switch, 6.3.1.11, B1.0.0.4"
!System Software Version "6.3.1.11"
!System Up Time "0 days 0 hrs 33 mins 24 secs"
!Additional Packages QOS,IPv6 Management,Routing
!Current SNTP Synchronized Time: SNTP Client Mode Is Disabled
!
vlan database
vlan 832
vlan name 832 "DHCP"
exit
configure
line console
exit
line telnet
exit
!
class-map match-all DHCP ipv4
match dstl4port 67
exit
class-map match-all DHCPv6 ipv6
match dstl4port 567
exit
policy-map SETCOS in
class DHCP
exit
exit
policy-map SETCOS in
class DHCPv6
exit
exit
interface g1
service-policy in SETCOS
vlan participation include 832
vlan tagging 832
exit
exit
-
pour info, dans Chrome/Edge les images dans la 1ere page ne s'affichent pas. Sur Firefox ca marche.
Dans chrome "un truc" converti les liens http en https, du coup ca ne marche pas...enfin chez moi en tout cas.
Répond dans le sujet dédié :
C'est corrigé.
La problématique vient d'image tiers, hébergée hors du forum en http (ici sur un hébergement free page perso).
De plus en plus de navigateurs ne supportent plus d'avoir des images http dans une page https (cela a commencé par les scripts pour être étendu aux images).
N'hésitez pas à me donner les URL des contenus intéressants avec des images ou vidéos hébergées sur des services tiers. Outre la problématique du http, on a la problématique des images effacées après quelques années.
Il faut donc que je passe sur les sujets en question télécharger les images et les mettre sur le forum avant que cela soit trop tard.