Auteur Sujet: Switch Mikrotik CRS-305 (pour HSGMII, Cos 6) devant n'importe quel routeur/fw (Lu 6294 fois)

ubune · « **le:** 24 juin 2022 à 09:44:01 »

Salut à tous,

Ayant reçu mon CRS305 je partage la config à effectuer pour avoir > 2Gbps et un routeur derrière qui n'aura pas besoin de gérer la COS 6 sur nos requetes dhcp/dhpv6.
Grâce à cet equipement, vous pouvez avoir n'importe quel routeur/firewall supportant l'option 90 "version Orange" derrière et ça fonctionnera.

Son port Cuivre 1gbps et ses 4 Ports SFP+ permettent de s'y connecter facilement avec votre routeur, via Dac, Gbic Fibre ou cuivre.
Il supporte parfaitement les ONU à 2.5Gbps (support du HSGMII) , parfait pour profiter des offres FTTH 2Gbps.

Dans un premier temps, il faut mettre à jour votre version de routeros (obligatoire pour le HSGMII, personnellement j'ai installé la version 7.3.1

Dans mon exemple (cf schéma), sfp-sfpplus4 est le port ou il y a l'onu "GPON-ONU-34-20BI", sfp-sfpplus3 sera le port ou il y aura l'adaptateur 10G SFP+/RJ45, et ether1 l'actuel port pour mon routeur openwrt (je n'ai pas encore reçu le module Cuivre 10G).

Pour lire la configuration complete de votre switch, en terminal tapez simplement la commande :

Code: [Sélectionner]

export
Vlan-Filtering :
Dans l'interface bridge il faut activer impérativement le vlan-filtering, même si on met en "permit all" (cf screenshot).
Sans ça, les switch rule pour modifier la priorité du vlan sur les flux dhcp/dhcpv6 ne s'appliquaient jamais (oui oui j'ai perdu un peu de temps la dessus ^^').

Config des ports physiques : (sfpplus4 est le port ou il y a l'onu sans autoneg et forcé à 2.5Gbps) :

Code: [Sélectionner]

/interface ethernet
set [ find default-name=ether1 ] advertise=100M-half,100M-full,1000M-half,1000M-full loop-protect=off
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus2 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus3 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus4 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full auto-negotiation=no loop-protect=off speed=2.5Gbps

Config du vlan 832 :
On ajoute le vlan 832 sur le bridge de base, configuré en tag à minima sur les ports ou il y a l'onu et votre routeur :

Code: [Sélectionner]

/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus4,sfp-sfpplus3,ether1 vlan-ids=832

Switch Rules :
On applique les switch rules pour modifier la priorité vlan sur les flux dhcp/dhcpv6 (en cos 6 comme fait par la livebox), dans mon exemple, mon routeur est actuellement connecté sur le port "ether1", il faudra donc modifier la commande en fonction de votre raccordement.

Code: [Sélectionner]

/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832
add dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832

nscheffer · « **Réponse #1 le:** 24 juin 2022 à 14:13:35 »

Citation de: ubune le 24 juin 2022 à 09:44:01

Salut à tous,

Ayant reçu mon CRS305 je partage la config à effectuer pour avoir > 2Gbps et un routeur derrière qui n'aura pas besoin de gérer la COS 6 sur nos requetes dhcp/dhpv6.
Grâce à cet equipement, vous pouvez avoir n'importe quel routeur/firewall supportant l'option 90 "version Orange" derrière et ça fonctionnera.

Son port Cuivre 1gbps et ses 4 Ports SFP+ permettent de s'y connecter facilement avec votre routeur, via Dac, Gbic Fibre ou cuivre.
Il supporte parfaitement les ONU à 2.5Gbps (support du HSGMII) , parfait pour profiter des offres FTTH 2Gbps.

Dans un premier temps, il faut mettre à jour votre version de routeros (obligatoire pour le HSGMII, personnellement j'ai installé la version 7.3.1

Dans mon exemple (cf schéma), sfp-sfpplus4 est le port ou il y a l'onu "GPON-ONU-34-20BI", sfp-sfpplus3 sera le port ou il y aura l'adaptateur 10G SFP+/RJ45, et ether1 l'actuel port pour mon routeur openwrt (je n'ai pas encore reçu le module Cuivre 10G).

Pour lire la configuration complete de votre switch, en terminal tapez simplement la commande :
Code: [Sélectionner]
export
Vlan-Filtering :
Dans l'interface bridge il faut activer impérativement le vlan-filtering, même si on met en "permit all" (cf screenshot).
Sans ça, les switch rule pour modifier la priorité du vlan sur les flux dhcp/dhcpv6 ne s'appliquaient jamais (oui oui j'ai perdu un peu de temps la dessus ^^').

Config des ports physiques : (sfpplus4 est le port ou il y a l'onu sans autoneg et forcé à 2.5Gbps) :

Code: [Sélectionner]
/interface ethernet set [ find default-name=ether1 ] advertise=100M-half,100M-full,1000M-half,1000M-full loop-protect=off set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off set [ find default-name=sfp-sfpplus2 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off set [ find default-name=sfp-sfpplus3 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off set [ find default-name=sfp-sfpplus4 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full auto-negotiation=no loop-protect=off speed=2.5Gbps
Config du vlan 832 :
On ajoute le vlan 832 sur le bridge de base, configuré en tag à minima sur les ports ou il y a l'onu et votre routeur :

Code: [Sélectionner]
/interface bridge vlan add bridge=bridge tagged=sfp-sfpplus4,sfp-sfpplus3,ether1 vlan-ids=832
Switch Rules :
On applique les switch rules pour modifier la priorité vlan sur les flux dhcp/dhcpv6 (en cos 6 comme fait par la livebox), dans mon exemple, mon routeur est actuellement connecté sur le port "ether1", il faudra donc modifier la commande en fonction de votre raccordement.

Code: [Sélectionner]
/interface ethernet switch rule add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832 add dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832

Si tu branches ton routeur sur le port ether1 du CRS305 tu seras bridé à 1Gbps, il faut utiliser un port sfp+ sur le CRS305 avec soit un module SFP+ Ethernet du type Mikrotik S+RJ10 (et coté routeur un port Ethernet > 1Gbps soit 2.5 ou 5 ou 10Gbps) ou un cable DAC si ton routeur dispose d'un port SFP+...

ubune · « **Réponse #2 le:** 24 juin 2022 à 14:18:54 »

Citation de: nscheffer le 24 juin 2022 à 14:13:35

Si tu branches ton routeur sur le port ether1 du CRS305 tu seras bridé à 1Gbps, il faut utiliser un port sfp+ sur le CRS305 avec soit un module SFP+ Ethernet du type Mikrotik S+RJ10 (et coté routeur un port Ethernet > 1Gbps soit 2.5 ou 5 ou 10Gbps) ou un cable DAC si ton routeur dispose d'un port SFP+...

Bonjour,
Tout à fait, c'est indiqué dans mon post ^^'

Citation de: ubune le 24 juin 2022 à 09:44:01

Dans mon exemple (cf schéma), sfp-sfpplus4 est le port ou il y a l'onu "GPON-ONU-34-20BI", sfp-sfpplus3 sera le port ou il y aura l'adaptateur 10G SFP+/RJ45, et ether1 l'actuel port pour mon routeur openwrt (je n'ai pas encore reçu le module Cuivre 10G).

cyayon · « **Réponse #3 le:** 28 juillet 2022 à 16:45:38 »

Salut,

Pourrais-tu reprendre la config du GPON-ONU-34-20BI stp ?
Je suppose qu'il faut reprendre le S/N de l'ONT Orange (dans mon cas un boitier ONT Huawei) ?

Merci

nonosch · « **Réponse #4 le:** 14 mai 2023 à 17:54:50 »

Salut,

D'abord merci pour ton post qui m'a permis de résoudre un petit souci

en effet mon ccr2004-16g-2s+-pc ne gère pas l'hsgmii.
Je n'ai pas besoin de cos6 etc.. comme je suis chez Bouygues
Je peut contourner cette limitation en utilisant un crs309 que j'ai sur mon réseau local.

J'ai retiré 2 interfaces de ce réseau pour créer un bridge avec une interface forcée en 2.5Gbit.
La 2eme interface de ce bridge part vers le port wan de mon routeur (le ccr2044)

Le débit du coup est bien de 2 gbits en descendant

questions pratiques : as t'on besoin de règle de firewall au niveau du crs309 ?
tout le trafic passe via le bridge et va vers le wan du routeur (qui lui a un firewall) et le crs309 reste safe ?

fttmeh · « **Réponse #5 le:** 15 mai 2023 à 14:45:52 »

Citation de: cyayon le 28 juillet 2022 à 16:45:38

Salut,

Pourrais-tu reprendre la config du GPON-ONU-34-20BI stp ?
Je suppose qu'il faut reprendre le S/N de l'ONT Orange (dans mon cas un boitier ONT Huawei) ?

Merci

J'ai fait un post qui peut aider ici : https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg976645/#msg976645

fttmeh · « **Réponse #6 le:** 15 mai 2023 à 14:48:53 »

Citation de: nonosch le 14 mai 2023 à 17:54:50

questions pratiques : as t'on besoin de règle de firewall au niveau du crs309 ?
tout le trafic passe via le bridge et va vers le wan du routeur (qui lui a un firewall) et le crs309 reste safe ?

Post ta conf.

Normalement, si bien configuré, le traffic entre l'ONT (dans le port SFP) et le port vers ton router doit être offloadé et ton switch (le CRS309) n'a rien à filter, il fonctionne comme un "simple" switch.

nonosch · « **Réponse #7 le:** 15 mai 2023 à 19:41:52 »

Merci pour ton retour

voici ma conf pour le crs309

Code: [Sélectionner]

/interface bridge
add name="BridgeONU to Wan"
add admin-mac=18:FD:74:00:BB:35 auto-mac=no comment=defconf name=bridgeLan
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/system logging action
set 3 remote=192.168.6.52
/interface bridge port
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=ether1
add bridge="BridgeONU to Wan" comment=defconf ingress-filtering=no interface=\
    sfp-sfpplus1
add bridge="BridgeONU to Wan" comment=defconf ingress-filtering=no interface=\
    sfp-sfpplus2
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
    sfp-sfpplus3
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
    sfp-sfpplus4
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
    sfp-sfpplus5
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
    sfp-sfpplus6
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
    sfp-sfpplus7
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
    sfp-sfpplus8
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/interface ovpn-server server
set auth=sha1,md5
/ip dhcp-client
add interface=bridgeLan
/ip dns
set servers=192.168.6.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.6.0/24
set ssh address=192.168.6.0/24 disabled=yes port=64444
set www-ssl address=192.168.6.0/24 certificate=server2.pem disabled=no port=\
    64445 tls-version=only-1.2
set api disabled=yes
set winbox address=192.168.6.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=SwitchDante
/system logging
add action=remote topics=critical
add action=remote topics=error
add action=remote topics=info
add action=remote topics=warning
/system note
set show-at-login=no
/system routerboard settings
set boot-os=router-os
/tool bandwidth-server
set enabled=no

Les sfp 1 et 2 sont pour l'hsgmii et les autres font partie de mon LAN (192.168.6.0)

fttmeh · « **Réponse #8 le:** 15 mai 2023 à 21:05:46 »

Je voudrais voir ta conf complète, je vois quelques sujets à clarifier :

Tu as deux bridges (BridgeONU to Wan, bridgeLan), mais le CRS309 n'a qu'un seul switch chip. Cela veut dire que tu n'auras qu'un seul bridge HW offloaded. ==> Il serait opportun de revoir la conf pour avoir un seul bridge et faire la ségregation au niveaux des VLAN
Pour Bouygues, j'ai vu ailleurs dans le forum qu'il faut utiliser le VLAN 100 ==> Il faudrait prévoir les VLAN au niveau du bridge

Le post tout en haut de ce topic a un exemple de conf avec une config de VLAN.

nonosch · « **Réponse #9 le:** 15 mai 2023 à 22:31:15 »

En fait je suis partie de ma config pré existante : config fonctionnelle sur mon CCR2004-16g-2S+ avec vlan 100 et connection ipv4 et ipv6 etc....

Le CRS309 est après le CCR2004 danc cette config initiale. (sfp2 du CCR2004 vers le CRS309 entièrement bridgé sur réseau loca ip du réseau local 192.168.6.0)

Le seul problème est que que le CCR2004 n'est pas compatible hsgmii donc limité à 1gbit/s.

J'ai donc fait un test en retirant 2 ports sfp+ (1 et 2) du bridge LAN du CRS309 pour faire le bridge "BridgeONU to Wan (sfp1 + sfp2)" poiur voir s'il suppporte bien le hsgmii .

(et oui /interface/bridge/port sur le CRS309 montre bien que le HW offload n'est pas actif sur les 2 interfaces de ce bride supplémentaire

ONU en sfp1 du CRS309 et sfp2 du CRS309 reliés au port wan du CCR2004 (port WAN qui gere le vlan 100 et le client dhcp)

et là sans aucune autre modification le CCR2004 récupérè bien l'ipv4 et l'ipv6 Bouygues. Seule différence : débit en download passé à 1600 mbit/s.

Pourquoi avoir utilisé un seul switch : c'est un test et le CRS309 me sert pour relier 2 pièces de mon réseau, et là je regarde s'il peut faire le taf de 2 sans avoir à repayer un autre CRS juste pour avoir un meilleur download

Code: [Sélectionner]

/interface bridge
add admin-mac=2C:C8:1B:CD:14:F4 auto-mac=no igmp-snooping=yes name=bridgeLan
/interface ethernet
set [ find default-name=ether16 ] name=LTE-Wan
set [ find default-name=sfp-sfpplus1 ] loop-protect=off mac-address=\
    CC:00:F1:FF:6E:10 name=sfp-Wan sfp-shutdown-temperature=90C
/interface vlan
add interface=sfp-Wan name=Fibre_ByTel_vl100 vlan-id=100
/interface list
add include=all name=Internal
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendorid value=0x42594754454c494144
/ip pool
add name=dhcp_pool1 ranges=192.168.6.2-192.168.6.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridgeLan lease-time=1d name=dhcp1
/port
set 0 name=serial0
set 1 name=serial1
/system logging action
set 1 disk-file-count=4 disk-file-name=logD disk-lines-per-file=4096
set 3 remote=192.168.6.52
add email-to=nonosch@posteo.dk name=mail target=email
/interface bridge port
add bridge=bridgeLan  interface=ether1
add bridge=bridgeLan  interface=ether2
add bridge=bridgeLan  interface=ether3
add bridge=bridgeLan  interface=ether4
add bridge=bridgeLan  interface=ether5
add bridge=bridgeLan  interface=ether6
add bridge=bridgeLan  interface=ether7
add bridge=bridgeLan  interface=ether8
add bridge=bridgeLan  interface=sfp-sfpplus2
add bridge=bridgeLan interface=ether9
add bridge=bridgeLan interface=ether10
add bridge=bridgeLan interface=ether12
add bridge=bridgeLan interface=ether11
add bridge=bridgeLan interface=ether13
add bridge=bridgeLan interface=ether14
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=Internal
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set accept-redirects=no accept-router-advertisements=no max-neighbor-entries=\
    8192
/interface list member
add interface=ether15 list=Internal
add interface=bridgeLan list=LAN
add interface=LTE-Wan list=WAN
add interface=Fibre_ByTel_vl100 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.6.1/24 interface=bridgeLan network=192.168.6.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no interface=LTE-Wan script=":if (\$bound=1) do={/ip rou\
    te set [find comment=WanLTE ] gateway=( \$\"gateway-address\" ) }" \
    use-peer-dns=no use-peer-ntp=no
add add-default-route=no dhcp-options=vendorid interface=Fibre_ByTel_vl100 \
    script=":if (\$bound=1) do={/ip route set [find comment=WanFibre ] gateway\
    =( \$\"gateway-address\" ) }" use-peer-dns=no use-peer-ntp=no

/ip dhcp-server network
add address=192.168.6.0/24 dns-server=192.168.6.1 gateway=192.168.6.1
/ip dns
set allow-remote-requests=yes servers="192.168.6.52,fe80::84d4:2dff:fe46:5f14,\
    9.9.9.9,9.0.0.9,1.0.0.1,2620:fe::fe,8.8.8.8"

/ip firewall address-list
add address=192.168.6.2-192.168.6.254 list=allowed_to_router
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
    not_in_internet
/ip firewall filter
add action=accept chain=input comment="default configuration" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input src-address-list=allowed_to_router
add action=drop chain=input comment="Blocage Ping depuis Internet" protocol=\
    icmp
add action=drop chain=input comment="drop all else"
add action=fasttrack-connection chain=forward comment=FastTrack \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="Established, Related" \
    connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
    log=yes log-prefix=invalid
add action=drop chain=forward comment=\
    "Drop tries to reach not public addresses from LAN" dst-address-list=\
    not_in_internet in-interface-list=LAN log=yes log-prefix=!public_from_LAN \
    out-interface-list=!LAN
add action=drop chain=forward comment=\
    "Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN log=yes log-prefix=!NAT
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp \
    protocol=icmp
add action=drop chain=forward comment=\
    "Drop incoming from internet which is not public IP" in-interface-list=\
    WAN log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface-list=LAN \
    log=yes log-prefix=LAN_!LAN src-address=!192.168.6.0/24
add action=accept chain=forward comment=\
    "Perso : allow intranet traffic - accept everything else coming from LAN" \
    in-interface-list=LAN out-interface-list=LAN
add action=accept chain=forward comment="Perso : allow internet traffic" \
    in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward comment="Allow Port Forwarding" \
    connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="Perso : drop all else"
add action=drop chain=output comment="Perso: Blocage 4.2.2.1 LTE-Wan" \
    dst-address=4.2.2.1 log-prefix="Blocage LTE-Wan 4.2.2.1" out-interface=\
    LTE-Wan protocol=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp comment=\
    "host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
    protocol=icmp
add action=drop chain=icmp comment="deny all other types"
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    192.168.6.0/24
/ip route
add comment=WanFibre disabled=no distance=1 dst-address=8.8.8.8/32 gateway=\
    176.136.32.1%Fibre_ByTel_vl100 pref-src="" routing-table=main scope=10 \
    suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
    8.8.8.8 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=20
add comment=WanLTE disabled=no distance=1 dst-address=1.0.0.1/32 gateway=\
    10.159.29.81 pref-src="" routing-table=main scope=10 suppress-hw-offload=\
    no target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=\
    1.0.0.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=20
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.6.0/24,192.168.88.0/24
set ssh address=192.168.6.0/24 disabled=yes port=64444
set www-ssl address=192.168.6.0/24 certificate=server2.pem disabled=no port=\
    64445 tls-version=only-1.2
set api disabled=yes
set winbox address=192.168.6.0/24,192.168.88.0/24
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/ipv6 address
add address=::1 from-pool=Pool_ipv6 interface=bridgeLan
/ipv6 dhcp-client
add add-default-route=yes interface=Fibre_ByTel_vl100 pool-name=Pool_ipv6 \
    pool-prefix-length=60 request=prefix use-interface-duid=yes use-peer-dns=\
    no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="INPUT : Accept established, related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
    udp src-address=fe80::/16
add action=drop chain=input in-interface-list=WAN log=yes log-prefix=\
    dropLL_from_public src-address=fe80::/16
add action=drop chain=input comment="defconf: drop everything else" \
    log-prefix="DROP : IPv6 INPUT"
add action=accept chain=forward comment="FWD : Accept established, related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment=\
    "Perso : allow intranet traffic - accept everything else coming from LAN" \
    in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop everything else" \
    log-prefix="DROP : IPv6 FORWARD"
/ipv6 nd
set [ find default=yes ] hop-limit=64 managed-address-configuration=yes

il faudra bien évidemment que je regarde si les débit se tienne bien, mais la question que je voulai résoudre avant de remettre cette config "test" (là je suis en configuration simple sans passer par le CRS309 pour l'onu, c'est est ce procéder ainsi ne présente pas un risque au niveau du CRS309

nonosch · « **Réponse #10 le:** 15 mai 2023 à 23:53:50 »

Il est vrai que le cpu du CRS309 prend cher sans le hw offload

fttmeh · « **Réponse #11 le:** 16 mai 2023 à 08:36:51 »

Avec tes deux bridges, tu sépares bien le trafic LAN et WAN.

Tu peux faire un seul bridge, ensuite séparer le trafic LAN et WAN avec des VLANs, et pour améliorer la sécurité, isoler les ports WAN pour qu’ils ne puissent communiquer qu’entre eux (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features).

Pour avoir une bonne performance, il te faut le CCR2004 pour le routage et le CRS pour avoir plus de 1 Gbps sur le lien WAN.