La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: ubune le 24 juin 2022 à 09:44:01
-
Salut à tous,
Ayant reçu mon CRS305 je partage la config à effectuer pour avoir > 2Gbps et un routeur derrière qui n'aura pas besoin de gérer la COS 6 sur nos requetes dhcp/dhpv6.
Grâce à cet equipement, vous pouvez avoir n'importe quel routeur/firewall supportant l'option 90 "version Orange" derrière et ça fonctionnera.
Son port Cuivre 1gbps et ses 4 Ports SFP+ permettent de s'y connecter facilement avec votre routeur, via Dac, Gbic Fibre ou cuivre.
Il supporte parfaitement les ONU à 2.5Gbps (support du HSGMII) , parfait pour profiter des offres FTTH 2Gbps.
Dans un premier temps, il faut mettre à jour votre version de routeros (obligatoire pour le HSGMII, personnellement j'ai installé la version 7.3.1
Dans mon exemple (cf schéma), sfp-sfpplus4 est le port ou il y a l'onu "GPON-ONU-34-20BI", sfp-sfpplus3 sera le port ou il y aura l'adaptateur 10G SFP+/RJ45, et ether1 l'actuel port pour mon routeur openwrt (je n'ai pas encore reçu le module Cuivre 10G).
Pour lire la configuration complete de votre switch, en terminal tapez simplement la commande :
export
Vlan-Filtering :
Dans l'interface bridge il faut activer impérativement le vlan-filtering, même si on met en "permit all" (cf screenshot).
Sans ça, les switch rule pour modifier la priorité du vlan sur les flux dhcp/dhcpv6 ne s'appliquaient jamais (oui oui j'ai perdu un peu de temps la dessus ^^').
Config des ports physiques : (sfpplus4 est le port ou il y a l'onu sans autoneg et forcé à 2.5Gbps) :
/interface ethernet
set [ find default-name=ether1 ] advertise=100M-half,100M-full,1000M-half,1000M-full loop-protect=off
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus2 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus3 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus4 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full auto-negotiation=no loop-protect=off speed=2.5Gbps
Config du vlan 832 :
On ajoute le vlan 832 sur le bridge de base, configuré en tag à minima sur les ports ou il y a l'onu et votre routeur :
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus4,sfp-sfpplus3,ether1 vlan-ids=832
Switch Rules :
On applique les switch rules pour modifier la priorité vlan sur les flux dhcp/dhcpv6 (en cos 6 comme fait par la livebox), dans mon exemple, mon routeur est actuellement connecté sur le port "ether1", il faudra donc modifier la commande en fonction de votre raccordement.
/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832
add dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832
-
Salut à tous,
Ayant reçu mon CRS305 je partage la config à effectuer pour avoir > 2Gbps et un routeur derrière qui n'aura pas besoin de gérer la COS 6 sur nos requetes dhcp/dhpv6.
Grâce à cet equipement, vous pouvez avoir n'importe quel routeur/firewall supportant l'option 90 "version Orange" derrière et ça fonctionnera.
Son port Cuivre 1gbps et ses 4 Ports SFP+ permettent de s'y connecter facilement avec votre routeur, via Dac, Gbic Fibre ou cuivre.
Il supporte parfaitement les ONU à 2.5Gbps (support du HSGMII) , parfait pour profiter des offres FTTH 2Gbps.
Dans un premier temps, il faut mettre à jour votre version de routeros (obligatoire pour le HSGMII, personnellement j'ai installé la version 7.3.1
Dans mon exemple (cf schéma), sfp-sfpplus4 est le port ou il y a l'onu "GPON-ONU-34-20BI", sfp-sfpplus3 sera le port ou il y aura l'adaptateur 10G SFP+/RJ45, et ether1 l'actuel port pour mon routeur openwrt (je n'ai pas encore reçu le module Cuivre 10G).
Pour lire la configuration complete de votre switch, en terminal tapez simplement la commande :
export
Vlan-Filtering :
Dans l'interface bridge il faut activer impérativement le vlan-filtering, même si on met en "permit all" (cf screenshot).
Sans ça, les switch rule pour modifier la priorité du vlan sur les flux dhcp/dhcpv6 ne s'appliquaient jamais (oui oui j'ai perdu un peu de temps la dessus ^^').
Config des ports physiques : (sfpplus4 est le port ou il y a l'onu sans autoneg et forcé à 2.5Gbps) :
/interface ethernet
set [ find default-name=ether1 ] advertise=100M-half,100M-full,1000M-half,1000M-full loop-protect=off
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus2 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus3 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus4 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full auto-negotiation=no loop-protect=off speed=2.5Gbps
Config du vlan 832 :
On ajoute le vlan 832 sur le bridge de base, configuré en tag à minima sur les ports ou il y a l'onu et votre routeur :
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus4,sfp-sfpplus3,ether1 vlan-ids=832
Switch Rules :
On applique les switch rules pour modifier la priorité vlan sur les flux dhcp/dhcpv6 (en cos 6 comme fait par la livebox), dans mon exemple, mon routeur est actuellement connecté sur le port "ether1", il faudra donc modifier la commande en fonction de votre raccordement.
/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832
add dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832
Si tu branches ton routeur sur le port ether1 du CRS305 tu seras bridé à 1Gbps, il faut utiliser un port sfp+ sur le CRS305 avec soit un module SFP+ Ethernet du type Mikrotik S+RJ10 (et coté routeur un port Ethernet > 1Gbps soit 2.5 ou 5 ou 10Gbps) ou un cable DAC si ton routeur dispose d'un port SFP+...
-
Si tu branches ton routeur sur le port ether1 du CRS305 tu seras bridé à 1Gbps, il faut utiliser un port sfp+ sur le CRS305 avec soit un module SFP+ Ethernet du type Mikrotik S+RJ10 (et coté routeur un port Ethernet > 1Gbps soit 2.5 ou 5 ou 10Gbps) ou un cable DAC si ton routeur dispose d'un port SFP+...
Bonjour,
Tout à fait, c'est indiqué dans mon post ^^'
Dans mon exemple (cf schéma), sfp-sfpplus4 est le port ou il y a l'onu "GPON-ONU-34-20BI", sfp-sfpplus3 sera le port ou il y aura l'adaptateur 10G SFP+/RJ45, et ether1 l'actuel port pour mon routeur openwrt (je n'ai pas encore reçu le module Cuivre 10G).
-
Salut,
Pourrais-tu reprendre la config du GPON-ONU-34-20BI stp ?
Je suppose qu'il faut reprendre le S/N de l'ONT Orange (dans mon cas un boitier ONT Huawei) ?
Merci
-
Salut,
D'abord merci pour ton post qui m'a permis de résoudre un petit souci
en effet mon ccr2004-16g-2s+-pc ne gère pas l'hsgmii.
Je n'ai pas besoin de cos6 etc.. comme je suis chez Bouygues
Je peut contourner cette limitation en utilisant un crs309 que j'ai sur mon réseau local.
J'ai retiré 2 interfaces de ce réseau pour créer un bridge avec une interface forcée en 2.5Gbit.
La 2eme interface de ce bridge part vers le port wan de mon routeur (le ccr2044)
Le débit du coup est bien de 2 gbits en descendant
questions pratiques : as t'on besoin de règle de firewall au niveau du crs309 ?
tout le trafic passe via le bridge et va vers le wan du routeur (qui lui a un firewall) et le crs309 reste safe ?
-
Salut,
Pourrais-tu reprendre la config du GPON-ONU-34-20BI stp ?
Je suppose qu'il faut reprendre le S/N de l'ONT Orange (dans mon cas un boitier ONT Huawei) ?
Merci
J'ai fait un post qui peut aider ici : https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg976645/#msg976645 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg976645/#msg976645)
-
questions pratiques : as t'on besoin de règle de firewall au niveau du crs309 ?
tout le trafic passe via le bridge et va vers le wan du routeur (qui lui a un firewall) et le crs309 reste safe ?
Post ta conf.
Normalement, si bien configuré, le traffic entre l'ONT (dans le port SFP) et le port vers ton router doit être offloadé et ton switch (le CRS309) n'a rien à filter, il fonctionne comme un "simple" switch.
-
Merci pour ton retour
voici ma conf pour le crs309
/interface bridge
add name="BridgeONU to Wan"
add admin-mac=18:FD:74:00:BB:35 auto-mac=no comment=defconf name=bridgeLan
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/system logging action
set 3 remote=192.168.6.52
/interface bridge port
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=ether1
add bridge="BridgeONU to Wan" comment=defconf ingress-filtering=no interface=\
sfp-sfpplus1
add bridge="BridgeONU to Wan" comment=defconf ingress-filtering=no interface=\
sfp-sfpplus2
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus3
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus4
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus5
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus6
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus7
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus8
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/interface ovpn-server server
set auth=sha1,md5
/ip dhcp-client
add interface=bridgeLan
/ip dns
set servers=192.168.6.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.6.0/24
set ssh address=192.168.6.0/24 disabled=yes port=64444
set www-ssl address=192.168.6.0/24 certificate=server2.pem disabled=no port=\
64445 tls-version=only-1.2
set api disabled=yes
set winbox address=192.168.6.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=SwitchDante
/system logging
add action=remote topics=critical
add action=remote topics=error
add action=remote topics=info
add action=remote topics=warning
/system note
set show-at-login=no
/system routerboard settings
set boot-os=router-os
/tool bandwidth-server
set enabled=no
Les sfp 1 et 2 sont pour l'hsgmii et les autres font partie de mon LAN (192.168.6.0)
-
Je voudrais voir ta conf complète, je vois quelques sujets à clarifier :
- Tu as deux bridges (BridgeONU to Wan, bridgeLan), mais le CRS309 n'a qu'un seul switch chip. Cela veut dire que tu n'auras qu'un seul bridge HW offloaded. ==> Il serait opportun de revoir la conf pour avoir un seul bridge et faire la ségregation au niveaux des VLAN
- Pour Bouygues, j'ai vu ailleurs dans le forum qu'il faut utiliser le VLAN 100 ==> Il faudrait prévoir les VLAN au niveau du bridge
Le post tout en haut de ce topic a un exemple de conf avec une config de VLAN.
-
En fait je suis partie de ma config pré existante : config fonctionnelle sur mon CCR2004-16g-2S+ avec vlan 100 et connection ipv4 et ipv6 etc....
Le CRS309 est après le CCR2004 danc cette config initiale. (sfp2 du CCR2004 vers le CRS309 entièrement bridgé sur réseau loca ip du réseau local 192.168.6.0)
Le seul problème est que que le CCR2004 n'est pas compatible hsgmii donc limité à 1gbit/s.
J'ai donc fait un test en retirant 2 ports sfp+ (1 et 2) du bridge LAN du CRS309 pour faire le bridge "BridgeONU to Wan (sfp1 + sfp2)" poiur voir s'il suppporte bien le hsgmii .
(et oui /interface/bridge/port sur le CRS309 montre bien que le HW offload n'est pas actif sur les 2 interfaces de ce bride supplémentaire
ONU en sfp1 du CRS309 et sfp2 du CRS309 reliés au port wan du CCR2004 (port WAN qui gere le vlan 100 et le client dhcp)
et là sans aucune autre modification le CCR2004 récupérè bien l'ipv4 et l'ipv6 Bouygues. Seule différence : débit en download passé à 1600 mbit/s.
Pourquoi avoir utilisé un seul switch : c'est un test et le CRS309 me sert pour relier 2 pièces de mon réseau, et là je regarde s'il peut faire le taf de 2 sans avoir à repayer un autre CRS juste pour avoir un meilleur download ;)
/interface bridge
add admin-mac=2C:C8:1B:CD:14:F4 auto-mac=no igmp-snooping=yes name=bridgeLan
/interface ethernet
set [ find default-name=ether16 ] name=LTE-Wan
set [ find default-name=sfp-sfpplus1 ] loop-protect=off mac-address=\
CC:00:F1:FF:6E:10 name=sfp-Wan sfp-shutdown-temperature=90C
/interface vlan
add interface=sfp-Wan name=Fibre_ByTel_vl100 vlan-id=100
/interface list
add include=all name=Internal
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendorid value=0x42594754454c494144
/ip pool
add name=dhcp_pool1 ranges=192.168.6.2-192.168.6.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridgeLan lease-time=1d name=dhcp1
/port
set 0 name=serial0
set 1 name=serial1
/system logging action
set 1 disk-file-count=4 disk-file-name=logD disk-lines-per-file=4096
set 3 remote=192.168.6.52
add email-to=nonosch@posteo.dk name=mail target=email
/interface bridge port
add bridge=bridgeLan interface=ether1
add bridge=bridgeLan interface=ether2
add bridge=bridgeLan interface=ether3
add bridge=bridgeLan interface=ether4
add bridge=bridgeLan interface=ether5
add bridge=bridgeLan interface=ether6
add bridge=bridgeLan interface=ether7
add bridge=bridgeLan interface=ether8
add bridge=bridgeLan interface=sfp-sfpplus2
add bridge=bridgeLan interface=ether9
add bridge=bridgeLan interface=ether10
add bridge=bridgeLan interface=ether12
add bridge=bridgeLan interface=ether11
add bridge=bridgeLan interface=ether13
add bridge=bridgeLan interface=ether14
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=Internal
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set accept-redirects=no accept-router-advertisements=no max-neighbor-entries=\
8192
/interface list member
add interface=ether15 list=Internal
add interface=bridgeLan list=LAN
add interface=LTE-Wan list=WAN
add interface=Fibre_ByTel_vl100 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.6.1/24 interface=bridgeLan network=192.168.6.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no interface=LTE-Wan script=":if (\$bound=1) do={/ip rou\
te set [find comment=WanLTE ] gateway=( \$\"gateway-address\" ) }" \
use-peer-dns=no use-peer-ntp=no
add add-default-route=no dhcp-options=vendorid interface=Fibre_ByTel_vl100 \
script=":if (\$bound=1) do={/ip route set [find comment=WanFibre ] gateway\
=( \$\"gateway-address\" ) }" use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.6.0/24 dns-server=192.168.6.1 gateway=192.168.6.1
/ip dns
set allow-remote-requests=yes servers="192.168.6.52,fe80::84d4:2dff:fe46:5f14,\
9.9.9.9,9.0.0.9,1.0.0.1,2620:fe::fe,8.8.8.8"
/ip firewall address-list
add address=192.168.6.2-192.168.6.254 list=allowed_to_router
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
not_in_internet
/ip firewall filter
add action=accept chain=input comment="default configuration" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input src-address-list=allowed_to_router
add action=drop chain=input comment="Blocage Ping depuis Internet" protocol=\
icmp
add action=drop chain=input comment="drop all else"
add action=fasttrack-connection chain=forward comment=FastTrack \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="Established, Related" \
connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
log=yes log-prefix=invalid
add action=drop chain=forward comment=\
"Drop tries to reach not public addresses from LAN" dst-address-list=\
not_in_internet in-interface-list=LAN log=yes log-prefix=!public_from_LAN \
out-interface-list=!LAN
add action=drop chain=forward comment=\
"Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN log=yes log-prefix=!NAT
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp \
protocol=icmp
add action=drop chain=forward comment=\
"Drop incoming from internet which is not public IP" in-interface-list=\
WAN log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment=\
"Drop packets from LAN that do not have LAN IP" in-interface-list=LAN \
log=yes log-prefix=LAN_!LAN src-address=!192.168.6.0/24
add action=accept chain=forward comment=\
"Perso : allow intranet traffic - accept everything else coming from LAN" \
in-interface-list=LAN out-interface-list=LAN
add action=accept chain=forward comment="Perso : allow internet traffic" \
in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward comment="Allow Port Forwarding" \
connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="Perso : drop all else"
add action=drop chain=output comment="Perso: Blocage 4.2.2.1 LTE-Wan" \
dst-address=4.2.2.1 log-prefix="Blocage LTE-Wan 4.2.2.1" out-interface=\
LTE-Wan protocol=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
protocol=icmp
add action=accept chain=icmp comment=\
"host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
protocol=icmp
add action=drop chain=icmp comment="deny all other types"
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
192.168.6.0/24
/ip route
add comment=WanFibre disabled=no distance=1 dst-address=8.8.8.8/32 gateway=\
176.136.32.1%Fibre_ByTel_vl100 pref-src="" routing-table=main scope=10 \
suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
8.8.8.8 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=20
add comment=WanLTE disabled=no distance=1 dst-address=1.0.0.1/32 gateway=\
10.159.29.81 pref-src="" routing-table=main scope=10 suppress-hw-offload=\
no target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=\
1.0.0.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=20
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.6.0/24,192.168.88.0/24
set ssh address=192.168.6.0/24 disabled=yes port=64444
set www-ssl address=192.168.6.0/24 certificate=server2.pem disabled=no port=\
64445 tls-version=only-1.2
set api disabled=yes
set winbox address=192.168.6.0/24,192.168.88.0/24
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/ipv6 address
add address=::1 from-pool=Pool_ipv6 interface=bridgeLan
/ipv6 dhcp-client
add add-default-route=yes interface=Fibre_ByTel_vl100 pool-name=Pool_ipv6 \
pool-prefix-length=60 request=prefix use-interface-duid=yes use-peer-dns=\
no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="INPUT : Accept established, related" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/16
add action=drop chain=input in-interface-list=WAN log=yes log-prefix=\
dropLL_from_public src-address=fe80::/16
add action=drop chain=input comment="defconf: drop everything else" \
log-prefix="DROP : IPv6 INPUT"
add action=accept chain=forward comment="FWD : Accept established, related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment=\
"Perso : allow intranet traffic - accept everything else coming from LAN" \
in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop everything else" \
log-prefix="DROP : IPv6 FORWARD"
/ipv6 nd
set [ find default=yes ] hop-limit=64 managed-address-configuration=yes
il faudra bien évidemment que je regarde si les débit se tienne bien, mais la question que je voulai résoudre avant de remettre cette config "test" (là je suis en configuration simple sans passer par le CRS309 pour l'onu, c'est est ce procéder ainsi ne présente pas un risque au niveau du CRS309
-
Il est vrai que le cpu du CRS309 prend cher sans le hw offload ;)
-
Avec tes deux bridges, tu sépares bien le trafic LAN et WAN.
Tu peux faire un seul bridge, ensuite séparer le trafic LAN et WAN avec des VLANs, et pour améliorer la sécurité, isoler les ports WAN pour qu’ils ne puissent communiquer qu’entre eux (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features)).
Pour avoir une bonne performance, il te faut le CCR2004 pour le routage et le CRS pour avoir plus de 1 Gbps sur le lien WAN.
-
Avec mon CRS309 (qui reçoit l'ONT Leox via un adatpateur S+RJ10) et un RB5009 (connecté en SFP+ sur le switch), j'ai bien ~2200Mbps en download. Le CPU se tourne les pouces.
J'ai activé l'offload hardware, il fait aussi du routage intervlan à 10Gbit/s sans charger le CPU.
-
Avec tes deux bridges, tu sépares bien le trafic LAN et WAN.
Tu peux faire un seul bridge, ensuite séparer le trafic LAN et WAN avec des VLANs, et pour améliorer la sécurité, isoler les ports WAN pour qu’ils ne puissent communiquer qu’entre eux (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features)).
Pour avoir une bonne performance, il te faut le CCR2004 pour le routage et le CRS pour avoir plus de 1 Gbps sur le lien WAN.
Ok :) je vais voir ça selon tes indications
(bon ça risque de me prendre un peut/beaucoup de temps :D mais instructif :) )
-
Du coup la config serai :
/interface bridge
add admin-mac=18:FD:74:00:BB:35 auto-mac=no comment=defconf name=bridge
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/ip dhcp-client
add interface=bridge
et pour l'isolation des deux groupes de ports
/interface ethernet switch port-isolation
set 0 forwarding-override=sfp-sfpplus2
set 1 forwarding-override=sfp-sfpplus1
set 2 forwarding-override=\
sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,sfp-sfpplus8,ether1
set 3 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,sfp-sfpplus8,ether1
set 4 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus6,sfp-sfpplus7,sfp-sfpplus8,ether1
set 5 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus7,sfp-sfpplus8,ether1
set 6 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus8,ether1
set 7 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,ether1
set 8 forwarding-override="sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6\
,sfp-sfpplus7,sfp-sfpplus8"
me reste plus qu'a tester
Edit : c'est ok pour les débits (juste l'upload dans les choux mais je devrai le récupérer dans plus de 24h ,pb connu avec l'ont FS chez Bouygues, si j'ai bien suivi )
et le cpu du CRS309 respire mieux du coup
Server: LaFibre.info - Douai (id: 4010)
ISP: Bouygues Telecom
Idle Latency: 14.98 ms (jitter: 0.06ms, low: 14.95ms, high: 15.05ms)
Download: 1908.15 Mbps (data used: 2.3 GB)
54.42 ms (jitter: 42.07ms, low: 15.22ms, high: 337.23ms)
Upload: 220.53 Mbps (data used: 197.8 MB)
33.63 ms (jitter: 1.16ms, low: 17.01ms, high: 37.55ms)
Packet Loss: 0.0%
Merci beaucoup pour ton aide :)
-
Je suis actuellement en train de voir pour mettre une configuration similaire avec un CRS305 qui porte l’interface wan avec un RB5009 derrière.
Le truc c’est que je galère avec le trunk entre les deux devices et donc la disponibilité du réseau lan sur le CRS.
Donc je serai preneur de vos conf respectives 😊
-
Mes conf sont dans les post précédent mais je suis chez Bouygues donc vlan 100 pour le Wan
Si je fais pas d'erreurs, dans ton cas il faut que tu mette en place un bridge avec l'adresse lan donnée par ton routeur (dans mon cas 192.168.6.0 )
puis que tu prenne 2 ports qui te serviront pour le lan 832 et que tu leurs donne le lan pour Orange et que tu mette en place la cos6 pour ces 2 ports comme indiqué dans la post original
puis il faut isoler les 2 ports pour la connection wan des autres ports avec les régles forwarding-override.
Le 2eme port du groupe wan relié au port wan du rb5009 et un de tes autres port relié à un port lan de ton rb5009
-
Mes conf sont dans les post précédent mais je suis chez Bouygues donc vlan 100 pour le Wan
Si je fais pas d'erreurs, dans ton cas il faut que tu mette en place un bridge avec l'adresse lan donnée par ton routeur (dans mon cas 192.168.6.0 )
puis que tu prenne 2 ports qui te serviront pour le lan 832 et que tu leurs donne le lan pour Orange et que tu mette en place la cos6 pour ces 2 ports comme indiqué dans la post original
puis il faut isoler les 2 ports pour la connection wan des autres ports avec les régles forwarding-override.
Le 2eme port du groupe wan relié au port wan du rb5009 et un de tes autres port relié à un port lan de ton rb5009
Merci pour le feedback. Je vais regarder ça ce week-end.
Par contre, je galère déjà avec les interfaces, vlan, bridge, vlan interface, vlan bridge et là tu m'ajoutes les isolations de ports... ;D
Je sens que ça va être joyeux ;).
-
Ben perso je suis aussi en mode apprentissage ;D
-
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8
et pour l'isolation des deux groupes de ports
/interface ethernet switch port-isolation
set 0 forwarding-override=sfp-sfpplus2
set 1 forwarding-override=sfp-sfpplus1
Edit : c'est ok pour les débits (juste l'upload dans les choux mais je devrai le récupérer dans plus de 24h ,pb connu avec l'ont FS chez Bouygues, si j'ai bien suivi )
et le cpu du CRS309 respire mieux du coup
La conf a l'air bien. Tu pourrais renforcer la sécurité en activant le filtrage par VLAN (attention au moment de mettre en place la config de ne pas terminer déconnecté de ton switch - Safe Mode est recommandé). Mais, l'isolation de ports fait te protège déjà.
-
Je vais voir pour le vlan filtering (en safe mode) tranquillement :) histoire d'aller un peu plus loin encore.
Merci pour tes indications et conseils (encore une fois mais il faut le dire :) )
-
Bon d'après ce que j'ai pu comprendre :
/interface bridge
add admin-mac=18:FD:74:00:BB:35 auto-mac=no comment=defconf \
ingress-filtering=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/system logging action
set 3 remote=192.168.6.52
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
ingress-filtering=no interface=sfp-sfpplus1 pvid=100
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
ingress-filtering=no interface=sfp-sfpplus2 pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=100
add bridge=bridge untagged="sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus\
6,sfp-sfpplus7,sfp-sfpplus8,ether1" vlan-ids=1
/interface ovpn-server server
set auth=sha1,md5
Merci pour le rappel sur le "safe mode" ;D
-
La conf a l'air bien. Tu as bien un VLAN pour ton WAN (VLAN = 100) et pour ton réseau interne (VLAN = 1).
-
Tes bons conseils m'ont bien aidé ;) :)
-
Petit question : Ayant un CRS305 et le RB5009 derrière, au niveau bridge et filter rule, quelle est la meilleure solution ? La mettre sur le CRS ou la laisser sur le routeur ?
-
Petit question : Ayant un CRS305 et le RB5009 derrière, au niveau bridge et filter rule, quelle est la meilleure solution ? La mettre sur le CRS ou la laisser sur le routeur ?
Moi je laisserai sur le routeur, pour préparer le jour où tu envisages de sortir le CRS305.
-
Moi je laisserai sur le routeur, pour préparer le jour où tu envisages de sortir le CRS305.
Merci pour le conseil, mais vu j'ai terminé ma conf ce week-end. Cf ce post https://lafibre.info/remplacer-livebox/need-help-conf-crs305-gt-rb5009-vlantrunk/ (https://lafibre.info/remplacer-livebox/need-help-conf-crs305-gt-rb5009-vlantrunk/) pour le résumé de la bataille et en l'occurence, la règle s'est retrouvé sur le switch.
Bon après, je ne pense pas que ce soit le truc le plus compliqué à modifier.
-
Nouvelle version (v 7.15), nouvelle méthode. On peut désormais modifier la COS et le DSCP avec un switch chip de façon plus simple. Ci-dessous un exemple de configuration. Le port "Router" a le SFP+ de la fibre connecté.
Source : https://help.mikrotik.com/docs/pages/viewpage.action?pageId=189497483 (https://help.mikrotik.com/docs/pages/viewpage.action?pageId=189497483)
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos profile
add dscp=48 name=orange-requirements pcp=6
/interface ethernet switch rule
add comment="Orange arp - CoS to 6" mac-protocol=arp new-qos-profile=orange-requirements ports=Router switch=switch1 vlan-id=832
add comment="Orange DHCPv4 - CoS to 6" dst-port=67 mac-protocol=ip new-qos-profile=orange-requirements ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Orange DHCPv6 - CoS to 6" dst-port=547 mac-protocol=ipv6 new-qos-profile=orange-requirements ports=Router protocol=udp switch=switch1 vlan-id=832
-
Merci de l’avoir fait.
De mon côté j’envisageais aussi de faire ce changement mais plus tard, je suis à peu près certain qu’il y a des bugs cachés dans cette nouvelle fonctionnalité, comme à chaque fois que chez Mikrotik ils déploient un nouveau firmware….
-
@zoc : tu as déjà eu des problèmes avec la nouvelle version ?
J’ai mis en prod chez moi et tout fonctionne comme avant, je n’ai pas fait des captures de paquets pour confirmer que tout est OK.
-
Non, mais vu le nombre de bugs introduits en 7.15 et fixés en 7.15.1 je préfère être prudent.
-
D'ailleurs je suis un peu surpris que le routeur accepte la première switch rule, le protocole arp n'ayant pas de champ dscp... J'imagine que le switch ignore le paramètre et n'applique que le pcp...
-
J'ai fait une capture de packets et cela semble OK :
- arp - OK (pas de DSCP, c'est normal)
- dhcpv4 - OK
- dhcpv6 - OK
-
Bon, c'est en place aussi chez moi (de toute façon l'ancienne méthode est officiellement dépréciée). Petite différences cependant chez moi:
- J'ai rajouté traffic-class=6 à la policy afin que le switch lui aussi priorise la transmission des paquets concernés
- J'ai configuré le tx-manager à offline sur les ports du switch que je n'utilise pas (conseillé dans la doc.)
J'ai fait un release/renew de mes baux v4/v6 et ça semble fonctionner.
-
Après lecture du manuel, il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants ("The port is considered untrusted. Both headers are ignored, and the port's profile is forced to all ingress packets. This is the default setting."). Cela ne m'arrange pas car je modifie pour IPv6 le PCP/DSCP des certaines paquets (ICMPv6 types 133, 135, 136) avec des mangle rules.
Voici la conf mise à jour :
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \
traffic-class=6
/interface ethernet switch qos port
set sfp-sfpplus2 tx-manager=offline
set sfp-sfpplus3 tx-manager=offline
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\
orange-prio-bng ports=Router switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
-
il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants
Bon point, c'est également ma compréhension de la documentation.
De mon coté je marque tout ICMPv6 (et pas uniquement certains types) destiné à fe80::ba0:bab en priorité 6 avec une switch rule, donc je ne suis pas impacté, même si en pratique ce n'est pas tout à faire ce qui est recommandé par @levieuxatorange.
Après peut-être qu'en mettant trust-l2 et trust-l3 à keep ? Je ne sais pas comment sont traitées les switch rules dans ce cas (si c'est appliqué avant ou apres les paramètres du port), la documentation ne parle que du comportement du mapping de la QoS.
-
Après lecture du manuel, il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants ("The port is considered untrusted. Both headers are ignored, and the port's profile is forced to all ingress packets. This is the default setting."). Cela ne m'arrange pas car je modifie pour IPv6 le PCP/DSCP des certaines paquets (ICMPv6 types 133, 135, 136) avec des mangle rules.
Voici la conf mise à jour :
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \
traffic-class=6
/interface ethernet switch qos port
set sfp-sfpplus2 tx-manager=offline
set sfp-sfpplus3 tx-manager=offline
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\
orange-prio-bng ports=Router switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
Bonjour #fttmeh,
Sur ton CRS305 a quel port correspond Router et ONT ? Juste pour être sur....
-
Router : Connexion au routeur
ONT : As indicated
-
Router : Connexion au routeur
ONT : As indicated
Ce qui correspond au port sfp2 et sfp3 ?
D’où la commande tx-manager ?
-
J’utilise les ports sfp1 et sfp4 seulement, pour espacer au maximum les composants qui dégagent de la chaleur à l'interieur du switch.
La conf de tx-manager est pour que le switch ne réserve pas de la mémoire commune pour les deux ports non-utilisés, en suivant la préconisation du manuel (cf. Section « Resource Saving » dans le manuel https://help.mikrotik.com/docs/pages/viewpage.action?pageId=189497483 (https://help.mikrotik.com/docs/pages/viewpage.action?pageId=189497483))
-
Après lecture du manuel, il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants ("The port is considered untrusted. Both headers are ignored, and the port's profile is forced to all ingress packets. This is the default setting."). Cela ne m'arrange pas car je modifie pour IPv6 le PCP/DSCP des certaines paquets (ICMPv6 types 133, 135, 136) avec des mangle rules.
Voici la conf mise à jour :
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \
traffic-class=6
/interface ethernet switch qos port
set sfp-sfpplus2 tx-manager=offline
set sfp-sfpplus3 tx-manager=offline
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\
orange-prio-bng ports=Router switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
Je viens juste de mettre à jour en 7.16 mon CRS309 avec ta config, tout marche nickel, merci beaucoup ! :)
-
Bonjour,
J'ai installé un CRS-305 avec un stick LEOX devant mon routeur pour gérer le marquage QoS demandé par Orange. Je suis en RouterOS 7.15.3.
J'ai repris les confs postées ici et tout fonctionne bien pour la partie DHCP, par contre cela ne fonctionne pas pour la TV. La CoS à 5 ne semble pas être prise en compte et le décodeur n'accède pas aux flux multicast.
Ci-dessous ma conf.
sfp-sfpplus1 = Stick LEOX vers Orange
sfp-sfpplus4 = Interface vers le routeur
/interface bridge
add igmp-snooping=yes ingress-filtering=no name=bridgeWAN vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no loop-protect=off speed=2.5G-baseT
set [ find default-name=sfp-sfpplus2 ] loop-protect=off
set [ find default-name=sfp-sfpplus3 ] loop-protect=off
set [ find default-name=sfp-sfpplus4 ] loop-protect=off
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set sfp-sfpplus1 trust-l2=keep trust-l3=keep
set sfp-sfpplus4 trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add dscp=48 name=orange-ftth pcp=6 traffic-class=6
add name=orange-tv pcp=5 traffic-class=5
/interface bridge port
add bridge=bridgeWAN ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridgeWAN ingress-filtering=no interface=sfp-sfpplus4
/interface bridge vlan
add bridge=bridgeWAN tagged=sfp-sfpplus4,sfp-sfpplus1 vlan-ids=832
add bridge=bridgeWAN tagged=sfp-sfpplus1,sfp-sfpplus4 vlan-ids=840
/interface ethernet switch rule
add comment="Orange ARP - CoS to 6" mac-protocol=arp new-qos-profile=orange-ftth ports=\
sfp-sfpplus4 switch=switch1 vlan-id=832
add comment="Orange ICMPv6 and Multicast - Cos to 6" dst-address6=fe00::/7 mac-protocol=ipv6 \
new-qos-profile=orange-ftth ports=sfp-sfpplus4 protocol=icmpv6 switch=switch1 vlan-id=832
add comment="Orange DHCPv4 - CoS to 6" dst-port=67 mac-protocol=ip new-qos-profile=orange-ftth \
ports=sfp-sfpplus4 protocol=udp src-port=68 switch=switch1 vlan-id=832
add comment="Orange DHCPv6 - CoS to 6" dst-port=547 mac-protocol=ipv6 new-qos-profile=\
orange-ftth ports=sfp-sfpplus4 protocol=udp src-port=546 switch=switch1 vlan-id=832
add comment="Orange IPTV - Set CoS to 5" mac-protocol=ip new-qos-profile=orange-tv ports=\
sfp-sfpplus4 switch=switch1 vlan-id=840
J'ai réussi à appliquer la CoS5 avec une méthode alternative à base de bridge filter :
/interface bridge filter
add action=set-priority chain=forward comment="Orange IPTV - Set CoS to 5" mac-protocol=vlan \
new-priority=5 out-bridge=bridgeWAN passthrough=yes vlan-id=840
Avec cette conf la TV fonctionne, mais ce n'est pas totalement satisfaisant ;D
Quelqu'un aurait-il une idée ? Merci.
-
Je relance le sujet, pour vous dire qu'avec la nouvelle version en 7.17, on peut maintenant appliquer des switch rules sur un bond, ce qui permet d'utiliser n'importe quel switch mikrotik et de projet de plus d 1gbps de connexion.
Actuellement je tourne avec un CRS326 et 3 liens 1gbps vers un fortigate, ça marche nikel, download à 2.2 gbps.
par contre bien appliquer la partie QOS port sur les port physiques, ce qui donne ça en config sur le CRS326 :
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no name=ONT speed=2.5G-baseX
/interface bonding
add mode=802.3ad name=FortiGate slaves=ether3,ether5,ether7 transmit-hash-policy=layer-2-and-3
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set ether3 trust-l2=keep trust-l3=keep
set ether5 trust-l2=keep trust-l3=keep
set ether7 trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6
/interface list
add name=WAN
add name=LAN
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=ether11
add bridge=bridge comment=defconf interface=ether12
add bridge=bridge comment=defconf interface=ether13
add bridge=bridge comment=defconf interface=ether14
add bridge=bridge comment=defconf interface=ether15
add bridge=bridge comment=defconf interface=ether16
add bridge=bridge comment=defconf interface=ether17
add bridge=bridge comment=defconf interface=ether18
add bridge=bridge comment=defconf interface=ether19
add bridge=bridge comment=defconf interface=ether20
add bridge=bridge comment=defconf interface=ether21
add bridge=bridge comment=defconf interface=ether22
add bridge=bridge comment=defconf interface=ether23
add bridge=bridge comment=defconf interface=ether24
add bridge=bridge comment=defconf interface=ONT
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge interface=FortiGate
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface bridge vlan
add bridge=bridge comment="Vlan for Orange" tagged=ONT,FortiGate vlan-ids=832
add bridge=bridge untagged=bridge,ether1 vlan-ids=1
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=FortiGate switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip new-qos-profile=orange-prio-bng ports=FortiGate protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng ports=FortiGate protocol=udp switch=switch1 vlan-id=832
/interface list member
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=ether11 list=LAN
add interface=ether12 list=LAN
add interface=ether13 list=LAN
add interface=ether14 list=LAN
add interface=ether15 list=LAN
add interface=ether16 list=LAN
add interface=ether17 list=LAN
add interface=ether18 list=LAN
add interface=ether19 list=LAN
add interface=ether20 list=LAN
add interface=ether21 list=LAN
add interface=ether22 list=LAN
add interface=ether23 list=LAN
add interface=ether24 list=LAN
add interface=ONT list=WAN
add interface=sfp-sfpplus2 list=LAN
-
Après lecture du manuel, il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants ("The port is considered untrusted. Both headers are ignored, and the port's profile is forced to all ingress packets. This is the default setting."). Cela ne m'arrange pas car je modifie pour IPv6 le PCP/DSCP des certaines paquets (ICMPv6 types 133, 135, 136) avec des mangle rules.
Voici la conf mise à jour :
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \
traffic-class=6
/interface ethernet switch qos port
set sfp-sfpplus2 tx-manager=offline
set sfp-sfpplus3 tx-manager=offline
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\
orange-prio-bng ports=Router switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
Bonjour à tous
Je viens d'installer un switch CRS305 pour tenter de remplacer ma livebox mais je n'y arrive pas. J'ai appliqué la configuration donné par fttmeh ci-desssus mais rien ne se passe. Je n'ai aucun RX packet sur ONT.
Voici ma conf actuelle. Je serais intéressé d'avoir vos retour pour ceux pour qui cela à fonctionné.
J'ai simplement ajouté le vlan 832 qui n'était pas mentionné dans la conf.
/interface bridge
add comment=defconf ingress-filtering=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] loop-protect=off name=ONT
set [ find default-name=ether1 ] loop-protect=off name=Router
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=Router
add bridge=bridge comment=defconf ingress-filtering=no interface=ONT
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf interface=sfp-sfpplus4
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface bridge vlan
add bridge=bridge comment=orange tagged=ONT,Router vlan-ids=832
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=Router \
switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67-68 mac-protocol=ip new-qos-profile=orange-prio-bng \
ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=546-547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng \
ports=Router protocol=udp switch=switch1 vlan-id=832
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Paris
/system note
set show-at-login=no
Merci
-
Ton routeur est branché comment au switch CRS305?
Dans ta conf, tu utilises le port ethernet RJ45 pour le router. Il faudra regarder comment tu accèdes à ton switch et avoir un VLAN différent si tu utilises le même port pour le management de ton switch et l’accès Internet (eg. VLAN 832 pour le WAN autre chose pour le management)
/interface bridge
add comment=defconf ingress-filtering=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] loop-protect=off name=ONT
set [ find default-name=ether1 ] loop-protect=off name=Router
-
Ton routeur est branché comment au switch CRS305?
Dans ta conf, tu utilises le port ethernet RJ45 pour le router. Il faudra regarder comment tu accèdes à ton switch et avoir un VLAN différent si tu utilises le même port pour le management de ton switch et l’accès Internet (eg. VLAN 832 pour le WAN autre chose pour le management)
Le routeur (qui est un fortigate) est configuré avec le vlan 832.
Pour le moment, j'ai laissé le management par défaut et j'y accède sur le vlan natif.
Sur l'interface ethernet de mon fortigate, j'ai donc
- vlan 1 : 192.168.88.10/24 pour l'accès au management du switch (temporaire)
- vlan 832 : configuré en dhcp client avec les différentes options DHCP nécessaire.
-
Ton fortigate est branché sur le port ether1 du switch, c'est ça ?
Si oui, il faut que tu sépares l'interface de management du bridge. Je te propose la conf suivante :
/interface bridge
add comment=defconf ingress-filtering=no name=bridge vlan-filtering=yes pvid=10
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] loop-protect=off name=ONT
set [ find default-name=ether1 ] loop-protect=off name=Router
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=Router pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ONT
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf interface=sfp-sfpplus4
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface bridge vlan
add bridge=bridge comment=orange tagged=ONT,Router vlan-ids=832
add bridge=bridge comment="Management switch" untagged=Router vlan-ids=10
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=Router \
switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67-68 mac-protocol=ip new-qos-profile=orange-prio-bng \
ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=546-547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng \
ports=Router protocol=udp switch=switch1 vlan-id=832
# Rajout VLAN pour management
/interface vlan
add comment="Management VLAN" interface=bridge name=mgmt vlan-id=10
/ip address
add address=192.168.88.1/24 comment=defconf interface=mgmt network=192.168.88.0
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Paris
/system note
set show-at-login=no
-
Ton fortigate est branché sur le port ether1 du switch, c'est ça ?
Si oui, il faut que tu sépares l'interface de management du bridge. Je te propose la conf suivante :
Merci beaucoup pour l'aide.
Oui, mon fortigate est branché sur le port ether1 du switch.
J'ai implémenté la conf. que tu m'as donné, mais malheureusement, ça ne change rien au fait que je n'arrive pas à obtenir la moindre ip sur mon fortigate... Dans les captures, je vois les dhcp request, mais il n'y a aucune réponse.
Peut être que ça ne vient pas du switch. Mais je sèche complètement ! J'y ai passé l'après midi sans réussir quoi que ce soit.
Sur le fortigate, la config est normalement bonne avec les options dhcp nécessaires.
Est-ce qu'il faut que je force l'adresse mac de la livebox sur le switch le port ONT du switch ? J'ai essayé, mais ça ne changeait rien.
-
Merci beaucoup pour l'aide.
Oui, mon fortigate est branché sur le port ether1 du switch.
J'ai implémenté la conf. que tu m'as donné, mais malheureusement, ça ne change rien au fait que je n'arrive pas à obtenir la moindre ip sur mon fortigate... Dans les captures, je vois les dhcp request, mais il n'y a aucune réponse.
Peut être que ça ne vient pas du switch. Mais je sèche complètement ! J'y ai passé l'après midi sans réussir quoi que ce soit.
Sur le fortigate, la config est normalement bonne avec les options dhcp nécessaires.
Est-ce qu'il faut que je force l'adresse mac de la livebox sur le switch le port ONT du switch ? J'ai essayé, mais ça ne changeait rien.
Seb,
Tu dois avoir ton ONT sur un port sfp le 2 par exemple, et le Fortigate sur le premier port stp par exemple.
Le port ethernet te sert si tu veux pour alimenter ton CRS305 et le management.
Ensuite je t'ai envoyé ma config en MP, tu peux faire un copier coller pour les switch rules.
Déja tu devrais voir tes requêtes DHCP du FortiGate sur le vlan que tu veux, avec les options DHCPv4 (tu feras IPv6 après) et en sortie sur le port 2 tu dois avoir ton vlan 832 et la CoS 6 sur la requête DHCP.
Tu peux déjà poster toute ta config de ton CRS305 ?
-
Seb,
Tu dois avoir ton ONT sur un port sfp le 2 par exemple, et le Fortigate sur le premier port stp par exemple.
Le port ethernet te sert si tu veux pour alimenter ton CRS305 et le management.
Ensuite je t'ai envoyé ma config en MP, tu peux faire un copier coller pour les switch rules.
Déja tu devrais voir tes requêtes DHCP du FortiGate sur le vlan que tu veux, avec les options DHCPv4 (tu feras IPv6 après) et en sortie sur le port 2 tu dois avoir ton vlan 832 et la CoS 6 sur la requête DHCP.
Tu peux déjà poster toute ta config de ton CRS305 ?
Désolé, je n'avais pas encore prit le temps de répondre à ton MP. Un grand merci d'ailleur !
J'ai testé la conf que tu m'a donnés en me calcant sur les même vlan (j'ai pris le 111) mais en adaptant la config pour correspondre aux ports que moi j'utilise (sfp1 et ethernet), mais même résultat.
Je ne peux pas utiliser deux ports SFP sur le switch, car je ne dispose pas de deux modules SFP supplémentaires ni d’une fibre en plus. Le seul module SFP dont je dispose est celui de l’ONT d’Orange, que j’ai connecté au sfp1 du switch.
De plus, mon FortiGate est un 40F, qui n’a pas de port SFP. J’ai temporairement accès à un 81F que j'utilise pour les tests, qui possède bien deux ports SFP puisqu'a la base mon intention était de connecter l'arrivée de la fibre directement dessus, mais ayant du acheter le switch CR305, je n'ai pas le choix d'interconnecter le switch avec le fortigate en ethernet.
En théorie, l’utilisation du port Ethernet ne devrait pas poser de problème. J'ai cru comprendre que d'autres ont l'air de l'avoir fait.
Je vais essayer de ramener du boulot 2 sfp + une fibre, mais j'ai du mal à croire que ça changera quoi que ce soit à mon problème.
Je sèche complet...
Ma configuration actuelle est exactement celle donnée par fttmeh juste 2 posts au dessus.
-
Désolé, je n'avais pas encore prit le temps de répondre à ton MP.
J'ai testé la conf que tu m'a donnés en me calcant sur les même vlan (j'ai pris le 111) mais en adaptant la config pour correspondre aux ports que moi j'utilise (sfp1 et ethernet), mais même résultat.
Je ne peux pas utiliser deux ports SFP sur le switch, car je ne dispose pas de deux modules SFP supplémentaires ni d’une fibre en plus. Le seul module SFP dont je dispose est celui de l’ONT d’Orange, que j’ai connecté au port 1 du switch.
De plus, mon FortiGate est un 40F, qui n’a pas de port SFP. J’ai temporairement accès à un 81F que j'utilise pour les tests, qui possède bien deux ports SFP puisqu'a la base mon intention était de connecter l'arrivée de la fibre directement dessus, mais ayant du acheté le switch CR305, je n'ai pas le choix d'interconnecter le switch avec le fortigate en ethernet.
En théorie, l’utilisation du port Ethernet ne devrait pas poser de problème. J'ai cru comprendre que d'autre ont l'air de l'avoir fait.
Je vais essayer de ramener du boulot 2 sfp + une fibre, mais j'ai du mal à croire que ça changera quoi que ce soit à mon problème.
Je sèche complet...
Ma configuration actuelle est exactement celle donnée par fttmeh juste 2 posts au dessus.
Si tu veux que ca marches tu dois impérativement sortir et entrer par un port sfp du CRS305.
Tu peux acheter un SFP RJ45 pour utiliser un cable ethernet depuis le CRS305 vers le FortiGate 40F.
ensuite quand ca marchera tu peux envisager de mettre de lien du CRS305 vers le FortiGate, mais déjà fais le marcher avec un seul lien et avant de saturer 1Gb/s sur ton lien il faut y aller...
-
Si tu veux que ca marches tu dois impérativement sortir et entrer par un port sfp du CRS305.
Tu peux acheter un SFP RJ45 pour utiliser un cable ethernet depuis le CRS305 vers le FortiGate 40F.
ensuite quand ca marchera tu peux envisager de mettre de lien du CRS305 vers le FortiGate, mais déjà fais le marcher avec un seul lien et avant de saturer 1Gb/s sur ton lien il faut y aller...
Ah d’accord ! Là tu m’apprends quelque chose !! Est-ce que le mikrotik bride quelque chose sur l’interface ethernet ? J’ai du mal à comprendre, techniquement pourquoi cela ne fonctionnerait pas puisqu’on ne fait que transiter des paquets dans un vlan qu’importe que ce soit du ethernet ou de la fibre.
En tout cas, merci pour ces infos précieuses. Puisque je fais pour le moment mes tests depuis le 81F qui dispose de ports sfp, je vais emprunter 2 SFP et une fibre à mon travail, et je referai un test le week-end prochain.
-
Ah d’accord ! Là tu m’apprends quelque chose !! Est-ce que le mikrotik bride quelque chose sur l’interface ethernet ? J’ai du mal à comprendre, techniquement pourquoi cela ne fonctionnerait pas puisqu’on ne fait que transiter des paquets dans un vlan qu’importe que ce soit du ethernet ou de la fibre.
En tout cas, merci pour ces infos précieuses. Puisque je fais pour le moment mes tests depuis le 81F qui dispose de ports sfp, je vais emprunter 2 SFP et une fibre à mon travail, et je referai un test le week-end prochain.
Si tu veux moins galérer et garder pour le futur une upgrade 10G dans ce cas renvoi ton CRS305 et change le pour un CRS304, au lieu d'avoir 4x SFP+ tu as 4X port Ethernet 1/2.5/5/10G
-
Si tu veux moins galérer et garder pour le futur une upgrade 10G dans ce cas renvoi ton CRS305 et change le pour un CRS304, au lieu d'avoir 4x SFP+ tu as 4X port Ethernet 1/2.5/5/10G
Ce n'est pas possible car dans ce cas la, je ne pourrais plus connecter la fibre d'orange dessus. A la base, j'ai acheté le switch la uniquement parce que le fortigate ne permet malheureusement pas de faire de la COS6 sur les requêtes dhcp.
-
Ce n'est pas possible car dans ce cas la, je ne pourrais plus connecter la fibre d'orange dessus. A la base, j'ai acheté le switch la uniquement parce que le fortigate ne permet malheureusement pas de faire de la COS6 sur les requêtes dhcp.
Dans ce cas il te faut acheter un SFP RJ45 et utiliser un cable ethernet sur ce SFP et vers le FortiGate
-
J'ai une bonne nouvelle, j'ai trouvé dans mon garage une boite de 2 sfp Fortinet tout neuf ainsi que des fibres. Je n'aurais jamais pensé avoir tout ça.
J'ai donc refait la configuration du switch en utilisant uniquement des ports sfp. Malheureusement, j'ai exactement la même pénomène..
Aucun retour aux requêtes dhcp...
12.738320 0.0.0.0.68 -> 255.255.255.255.67: udp 548
12.738320 0.0.0.0.68 -> 255.255.255.255.67: udp 548
16.664884 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
16.664884 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
18.700645 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
18.700645 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
18.807260 0.0.0.0.68 -> 255.255.255.255.67: udp 548
18.807260 0.0.0.0.68 -> 255.255.255.255.67: udp 548
20.725002 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
20.725002 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
24.766503 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
24.766503 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
29.987247 0.0.0.0.68 -> 255.255.255.255.67: udp 548
29.987247 0.0.0.0.68 -> 255.255.255.255.67: udp 548
Voici ma conf du switch avec les 2 sfp cette fois-ci
/interface bridge
add comment=defconf ingress-filtering=no name=bridge pvid=10 vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] loop-protect=off name=ONT
set [ find default-name=sfp-sfpplus2 ] loop-protect=off name=Router
/interface vlan
add comment="Management VLAN" interface=bridge name=mgmt vlan-id=10
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set ONT trust-l2=keep trust-l3=keep
set Router trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=Router
add bridge=bridge comment=defconf ingress-filtering=no interface=ONT
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf interface=sfp-sfpplus4
add bridge=bridge comment=defconf interface=ether1 pvid=10
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=bridge comment=orange tagged=ONT,Router vlan-ids=832
add bridge=bridge comment="Management switch" untagged=ether1 vlan-ids=10
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=Router switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67-68 mac-protocol=ip new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=546-547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
/ip address
add address=192.168.1.98/24 comment=defconf interface=mgmt network=192.168.1.0
Et voici ma conf. du fortigate
config system interface
edit "orange"
set vdom "root"
set mode dhcp
config client-options
edit 90
set code 90
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 77
set code 77
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 60
set code 60
set value "XXXXXXXXXXXXXXXXXXXX"
next
end
set allowaccess ping
set device-identification enable
set role wan
set snmp-index 17
config ipv6
set ip6-mode dhcp
config client-options
edit 11
set code 11
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 15
set code 15
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 16
set code 16
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 17
set code 17
set value "XXXXXXXXXXXXXXXXXXXX"
next
end
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
config dhcp6-iapd-list
edit 23
next
end
end
set interface "wan1"
set vlanid 832
next
end
-
J'ai une bonne nouvelle, j'ai trouvé dans mon garage une boite de 2 sfp Fortinet tout neuf ainsi que des fibres. Je n'aurais jamais pensé avoir tout ça.
J'ai donc refait la configuration du switch en utilisant uniquement des ports sfp. Malheureusement, j'ai exactement la même pénomène..
Aucun retour aux requêtes dhcp...
12.738320 0.0.0.0.68 -> 255.255.255.255.67: udp 548
12.738320 0.0.0.0.68 -> 255.255.255.255.67: udp 548
16.664884 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
16.664884 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
18.700645 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
18.700645 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
18.807260 0.0.0.0.68 -> 255.255.255.255.67: udp 548
18.807260 0.0.0.0.68 -> 255.255.255.255.67: udp 548
20.725002 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
20.725002 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
24.766503 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
24.766503 fe80::861e:a3ff:fefa:2f10.546 -> ff02::1:2.547: udp 224 [hlim 1]
29.987247 0.0.0.0.68 -> 255.255.255.255.67: udp 548
29.987247 0.0.0.0.68 -> 255.255.255.255.67: udp 548
Voici ma conf du switch avec les 2 sfp cette fois-ci
/interface bridge
add comment=defconf ingress-filtering=no name=bridge pvid=10 vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] loop-protect=off name=ONT
set [ find default-name=sfp-sfpplus2 ] loop-protect=off name=Router
/interface vlan
add comment="Management VLAN" interface=bridge name=mgmt vlan-id=10
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set ONT trust-l2=keep trust-l3=keep
set Router trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=Router
add bridge=bridge comment=defconf ingress-filtering=no interface=ONT
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf interface=sfp-sfpplus4
add bridge=bridge comment=defconf interface=ether1 pvid=10
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=bridge comment=orange tagged=ONT,Router vlan-ids=832
add bridge=bridge comment="Management switch" untagged=ether1 vlan-ids=10
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=Router switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67-68 mac-protocol=ip new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=546-547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
/ip address
add address=192.168.1.98/24 comment=defconf interface=mgmt network=192.168.1.0
Et voici ma conf. du fortigate
config system interface
edit "orange"
set vdom "root"
set mode dhcp
config client-options
edit 90
set code 90
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 77
set code 77
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 60
set code 60
set value "XXXXXXXXXXXXXXXXXXXX"
next
end
set allowaccess ping
set device-identification enable
set role wan
set snmp-index 17
config ipv6
set ip6-mode dhcp
config client-options
edit 11
set code 11
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 15
set code 15
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 16
set code 16
set value "XXXXXXXXXXXXXXXXXXXX"
next
edit 17
set code 17
set value "XXXXXXXXXXXXXXXXXXXX"
next
end
set ip6-allowaccess ping
set dhcp6-prefix-delegation enable
config dhcp6-iapd-list
edit 23
next
end
end
set interface "wan1"
set vlanid 832
next
end
Super pour les SFP !
Par contre je trouve que les Switch Rule c'est plus facile si tu interceptes le traffic qui arrive sur un port et tu le rediriges sur un autre port en faisant les motifs nécessaires, regarde ma config que je t'ai envoyé en MP.
-
Est-ce qu'il faut que je force l'adresse mac de la livebox sur le switch le port ONT du switch ? J'ai essayé, mais ça ne changeait rien.
Non, d’ailleurs la mac de la box on s’en moque, pas besoin de la cloner nulle part. Il faut juste une correspondance entre l’adresse mac du port wan du routeur et le contenu de l’option dhcp-client-identifier pour IPv4 et le DUID pour IPv6.
-
Ah d’accord ! Là tu m’apprends quelque chose !! Est-ce que le mikrotik bride quelque chose sur l’interface ethernet ?
Le port RJ-45 du CRS305 n’a rien de spécial hormis le fait qu’il est utilisé par la configuration par défaut pour l’administration du switch. Il est tout à fait possible de l’utiliser pour autre chose et d’y faire passer des VLANS.
-
Super pour les SFP !
Par contre je trouve que les Switch Rule c'est plus facile si tu interceptes le traffic qui arrive sur un port et tu le rediriges sur un autre port en faisant les motifs nécessaires, regarde ma config que je t'ai envoyé en MP.
Je viens de retester ta conf. Même résultat...
7.523535 0.0.0.0.68 -> 255.255.255.255.67: udp 548
7.523535 0.0.0.0.68 -> 255.255.255.255.67: udp 548
17.253371 fe80::861e:a3ff:fefa:2fa0.546 -> ff02::1:2.547: udp 224 [hlim 1]
17.253371 fe80::861e:a3ff:fefa:2fa0.546 -> ff02::1:2.547: udp 224 [hlim 1]
La voici
/interface bridge
add admin-mac=18:FD:74:00:44:70 auto-mac=no comment="Internet ONUs" ingress-filtering=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment=FortiSwitch
set [ find default-name=sfp-sfpplus1 ] comment="FortiGate Orange & Orange-Pro"
set [ find default-name=sfp-sfpplus2 ] comment="ONU Orange"
set [ find default-name=sfp-sfpplus3 ] comment="Not Used"
set [ find default-name=sfp-sfpplus4 ] auto-negotiation=no comment="ONU Orange-Pro"
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=bridge comment="Orange & Orange-Pro ONUs" tagged=sfp-sfpplus2,sfp-sfpplus4 vlan-ids=832
add bridge=bridge comment="FortiGate Orange" tagged=sfp-sfpplus1 vlan-ids=111
add bridge=bridge comment="FortiGate Orange-Pro" tagged=sfp-sfpplus1 vlan-ids=112
/interface ethernet switch rule
add comment="Intercept Orange DHCPv4 Request with vlan 111 on port sfp1 and forward it with vlan 832 and CoS 6 to port sfp2" dst-port=67 new-dst-ports=sfp-sfpplus2 new-vlan-id=832 new-vlan-priority=6 ports=\
sfp-sfpplus1 protocol=udp switch=switch1 vlan-id=111
add comment="Intercept All Orange Trafic with vlan 111 on port sfp1 and forward it with vlan 832 to port sfp2" new-dst-ports=sfp-sfpplus2 new-vlan-id=832 ports=sfp-sfpplus1 switch=switch1 vlan-id=111
add comment="Intercept All Orange Trafic back from Vlan 832 on port sfp2 and forward it to port sfp1 with vlan 111" new-dst-ports=sfp-sfpplus1 new-vlan-id=111 ports=sfp-sfpplus2 switch=switch1 vlan-id=832
add comment="Intercept Orange-Pro DHCPv4 Request with vlan 112 on port sfp1 and forward it with vlan 832 and CoS 6 to port sfp4" dst-port=67 new-dst-ports=sfp-sfpplus4 new-vlan-id=832 new-vlan-priority=6 ports=\
sfp-sfpplus1 protocol=udp switch=switch1 vlan-id=112
add comment="Intercept All Orange-Pro Trafic with vlan 112 on port sfp1 and forward it with vlan 832 to port sfp4" new-dst-ports=sfp-sfpplus4 new-vlan-id=832 ports=sfp-sfpplus1 switch=switch1 vlan-id=112
add comment="Intercept All Orange-Pro Trafic back from Vlan 832 on port sfp4 and forward it to port sfp1 with vlan 112" new-dst-ports=sfp-sfpplus1 new-vlan-id=112 ports=sfp-sfpplus4 switch=switch1 vlan-id=832
/system note
Merci @zoc pour les confirmations :)
-
Je viens de relire la conf du switch et il y a clairement un truc qui va pas: le VLAN filtering n’est pas activé (il est désactivé par défaut), donc les switch rules ne sont pas exécutées…
-
Je viens de relire la conf du switch et il y a clairement un truc qui va pas: le VLAN filtering n’est pas activé (il est désactivé par défaut), donc les switch rules ne sont pas exécutées…
Pourtant, dans les 2 conf que j’ai testée (dans la page précédente), le vlan filtering est bien à yes à la deuxième ligne « vlan-filtering=yes ».
C’est un paramètre dont je faisais bien attention car en page 1, ubune mentionne bien que ce paramètre est très important. D’ailleurs quand il est activé, on voit bien qu’un vlan1 grisé (non modifiable) apparaît dans l’onglet vlan. Et il disparait quand on désactive le vlan filtering.
-
Ah oui my bad, pas vu la première ligne, je ne devrais pas faire de trucs techniques au réveil un dimanche matin :)
-
J’ai fait plein de tests ce matin chez un ami qui a Orange aussi. Puisqu’il a un boîtier ONT au lieu du SFP, directement sur la livebox, j’ai pu faire beaucoup de Test un peu dans tous les sens.
J’ai le même résultat que chez moi. Les requêtes DHCP n’obtiennent pas de réponse. Je confirme bien que le switch marque bien les paquets en COS6. J’ai pu valider le point en faisant une capture.
Le test qui m’intrigue le plus, c’est qu’en mettant le fortigate en transparent (juste pour pouvoir faire des captures de traffic) comme intermédiaire entre le boîtier ONT et la livebox, la connexion échoue.
J’ai l’impression qu’Orange a renforcé les contraintes de leur côté en plus des options DHCP.
Je ne comprends pas ceux qui ont réussi, comment vous avez fait.
Je pense que je vais arrêter de perdre mon temps et changer d’opérateur.
En tout cas, merci beaucoup pour l’aide reçu !
-
J’ai fait plein de tests ce matin chez un ami qui a Orange aussi. Puisqu’il a un boîtier ONT au lieu du SFP, directement sur la livebox, j’ai pu faire beaucoup de Test un peu dans tous les sens.
J’ai le même résultat que chez moi. Les requêtes DHCP n’obtiennent pas de réponse. Je confirme bien que le switch marque bien les paquets en COS6. J’ai pu valider le point en faisant une capture.
Le test qui m’intrigue le plus, c’est qu’en mettant le fortigate en transparent (juste pour pouvoir faire des captures de traffic) comme intermédiaire entre le boîtier ONT et la livebox, la connexion échoue.
J’ai l’impression qu’on a renforcer les contraintes de leur côté en plus des options DHCP.
Je ne comprends pas ce qui ont réussi, comment vous avez fait.
Je pense que je vais arrêter de perdre mon temps et changer d’opérateur.
En tout cas, merci beaucoup pour l’aide reçu !
Le FortiGate en transparent tu changes la MAC vu coté ONT !
Attention pour la CoS 6 tu as bien DHCPv4 Request, Renew et le Ping (ICMP) ?
-
Le FortiGate en transparent tu changes la MAC vu coté ONT !
Attention pour la CoS 6 tu as bien DHCPv4 Request, Renew et le Ping (ICMP) ?
Oui, j’ai testé de changer la mac côté de l’ONT.
Le COS6 était bien sur tous ces paquets-là. Il faudrait que je revérifie pour en être sûr à 100 %, mais je ne suis plus devant.
Je ne sais pas quand sera la prochaine fois que je ferai des tests et si j’en aurai encore la motivation. Je me tâte à changer d’opérateur comme aller chez Free qui a l’air d’être l’opérateur qui a des IP publique ipv4 et IPv6 qui changent le moins souvent oui bien, d’aller chez OVH qui propose un forfait « pro » sans avoir besoin de siret apparement, qui permet d’avoir des ip fixe et de mettre n’importe quel routeur derrière.
Ayant une infra complète derrière mon fortigate (2 NAS, 3 hyperviseurs, une 20ene de VM et autant de dockers), j’aimerais avoir quelque chose qui tiennent la route.
Jusqu’à présent, ça fonctionnait très bien avec ma Livebox en amont de mon firewall, mais j’ai remarqué que je commence à avoir des pertes de paquet à partir d’environ 12 000 sessions simultanées car la Livebox ne suit plus.
-
Une piste : il faut attendre au moins une quinzaine de minutes (https://cyayon.github.io/orange/Bring%20Your%20Own%20Router%20Orange%20ISP.html#debug--troubleshoot) après l’arrêt de la Livebox avant de tester avec son routeur.
Car, en général, la liaison DHCPv6 (binding) du routeur telle qu'elle est enregistrée sur le serveur diffère probablement de
celle de la Livebox (IAID différent).
-
Une piste : il faut attendre au moins une quinzaine de minutes (https://cyayon.github.io/orange/Bring%20Your%20Own%20Router%20Orange%20ISP.html#debug--troubleshoot) après l’arrêt de la Livebox avant de tester avec son routeur.
Pas pour DHCPv4.
-
Orange a renforcé les contraintes de leur côté en plus des options DHCP.
Non.
Accessoirement, il manque l’option 61 pour DHCPv4 dans la conf du fortigate (a moins quelle soit générée automatiquement, mais du coup il faut vérifier son format).
-
Avec vos différents retour, j'ai été tenté de refaire des tests.
J'ai attendu 35 min fibre débranchée avant de la connecter à nouveau. J'ai bien configuré l'option 61. En fait, elle est pourtant bien spécifié mais le fortigate écrase le champ par l'adresse mac de son interface... En mettant l'adresse mac de la livebox sur l'interface, ça règle le problème. J'avais déjà remarqué cela hier.
Je confirme bien que le switch marque bien en COS6 tous les paquets nécessaires.
Malheureusement, toujours parei, aucun retour aux requête dhcp. Je ne sais pas ce qu'orange controle de l'autre côté pour dégager les paquets, mais il y a clairement un système qui fait que je n'obtiens aucune réponse...
J'ai mis joins une capture si certain son curieux.
Je vais arrêter de vous embêter sur ce forum car je ne pense pas que le CRS-305 soit la cause du problème.
Je vais faire un retour le forum concerné par le fortigate pour donner un feedback de tout ces tests.
Je ne pense pas que je vais consommer plus de temps à faire d'autres tests car même si je finirais par y arriver, cela ne me donne pas l'impression d'être une solution pérenne dans le temps.
Un grand merci pour l'aide reçu ! Bonne soirée à tous !
-
Dans cette capture, on ne voit pas l'en-tête vlan 832 et si la priorité est bonne.
Tu envoies également l'option 12 "hostname" non nécessaire (FortiGate-81F-POE). Je ne pense pas que cela soit gênant.
-
Tu envoies également l'option 12 "hostname" non nécessaire (FortiGate-81F-POE). Je ne pense pas que cela soit gênant.
Mon ER4 l'envoyait aussi sans que ça ne pose de problème.
-
Dans cette capture, on ne voit pas l'en-tête vlan 832 et si la priorité est bonne.
Tu envoies également l'option 12 "hostname" non nécessaire (FortiGate-81F-POE). Je ne pense pas que cela soit gênant.
C’est normal qu’il n’y a pas l’entête vlan parce que j’ai fait la capture directement dans le vlan 832
-
Tu peux faire la capture au niveau du port plutôt pour pouvoir vérifier l'en-tête complet ?
-
Tu peux faire la capture au niveau du port plutôt pour pouvoir vérifier l'en-tête complet ?
Je ne suis plus chez moi avant le week-end prochain.
De toute façon c’est sûr que l’entête est correcte. Autrement la capture serait vide puisque je l’ai faite dans le vlan832.
-
L'idée est de voir la priorité dans l'en-tête
-
Après lecture du manuel, il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants ("The port is considered untrusted. Both headers are ignored, and the port's profile is forced to all ingress packets. This is the default setting."). Cela ne m'arrange pas car je modifie pour IPv6 le PCP/DSCP des certaines paquets (ICMPv6 types 133, 135, 136) avec des mangle rules.
Voici la conf mise à jour :
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \
traffic-class=6
/interface ethernet switch qos port
set sfp-sfpplus2 tx-manager=offline
set sfp-sfpplus3 tx-manager=offline
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\
orange-prio-bng ports=Router switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \
new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832
Merci fttmeh pour ces infos.
Je me pose une question étant novice sur de la conf Mikrotik, notamment sur la partie /interface bridge port et /interface ethernet sur laquelle j'ai un doute.
La conf ci dessous vous parait correcte ?
[admin@Mikrotik CRS305] > export
# 2025-04-01 08:22:07 by RouterOS 7.18.2
# software id = EHCQ-TNLD
#
# model = CRS305-1G-4S+
# serial number = XXXXXXXXXX
/interface bridge
add admin-mac=18:FD:74:DC:86:AC auto-mac=no comment=defconf ingress-filtering=no name=bridge port-cost-mode=short vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus4 ] name=ONT
set [ find default-name=sfp-sfpplus1 ] name=R86S
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set R86S trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6
/interface ethernet switch qos port
set sfp-sfpplus2 tx-manager=offline
set sfp-sfpplus3 tx-manager=offline
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=R86S internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ONT internal-path-cost=10 path-cost=10
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/ip firewall connection tracking
set udp-timeout=10s
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=R86S switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip new-qos-profile=orange-prio-bng ports=R86S protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng ports=R86S protocol=udp switch=switch1 vlan-id=832
/interface list member
add interface=ether1 list=LAN
add interface=R86S list=LAN
add interface=sfp-sfpplus2 list=LAN
add interface=sfp-sfpplus3 list=LAN
add interface=ONT list=WAN
/ip address
add address=192.168.1.250/24 comment=defconf interface=R86S network=192.168.1.0
/ip dns
set servers=8.8.8.8
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.1.254
/system clock
set time-zone-name=Europe/Paris
/system identity
set name="Mikrotik CRS305"
/system note
set show-at-login=no
Merci :)
-
Bonjour,
Il me semble que dans la section bridge/port manque les PVID et dans le switch le port de management (ether1) est inclus. Il manque aussi la VLAN dans la conf.
Je te propose cette conf pour démarrer. Le port ether1 est rattaché à une interface nouvelle MGMT :
/interface vlan add interface=bridge name=MGMT vlan-id=10
/ip address
add address=192.168.1.250/24 comment=defconf interface=MGMT network=192.168.1.0
/interface bridge
add admin-mac=18:FD:74:DC:86:AC auto-mac=no comment=defconf ingress-filtering=no name=bridge port-cost-mode=short vlan-filtering=yes pvid=900
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1 internal-path-cost=10 path-cost=10 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=R86S internal-path-cost=10 path-cost=10 pvid=900
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ONT internal-path-cost=10 path-cost=10 pvid=900
/interface bridge vlan
add bridge=bridge comment="Untagged traffic" tagged=bridge untagged=R86S,ONT vlan-ids=900
add bridge=bridge comment="VLAN 832 - Orange" tagged=bridge,R86S,ONT vlan-ids=832
add bridge=bridge comment="Management" tagged=bridge untagged=ether1 vlan-ids=10
/interface vlan add interface=bridge name=MGMT vlan-id=10
/ip address
add address=192.168.1.250/24 comment=defconf interface=MGMT network=192.168.1.0
-
Merci je pense que je comprends mieux, je vais refaire la conf propre ce soir.
-
Je pense que ça ne devrait être pas trop mal à présent, j'ai viré le surplus et fait le minimum je pense.
/interface bridge
add admin-mac=18:FD:74:DC:86:AC auto-mac=no comment=defconf ingress-filtering=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] loop-protect=off name=ADMIN
set [ find default-name=sfp-sfpplus4 ] loop-protect=off name=ONT
set [ find default-name=sfp-sfpplus1 ] loop-protect=off name=R86S
set [ find default-name=sfp-sfpplus2 ] loop-protect=off
set [ find default-name=sfp-sfpplus3 ] loop-protect=off
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set R86S trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6
/interface ethernet switch qos port
set sfp-sfpplus2 tx-manager=offline
set sfp-sfpplus3 tx-manager=offline
/interface list
add name=WAN
add name=LAN
add name=MGMT
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=R86S
add bridge=bridge comment=defconf ingress-filtering=no interface=ONT
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface bridge vlan
add bridge=bridge comment="VLAN 832 - Orange" tagged=R86S,ONT vlan-ids=832
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=R86S switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip new-qos-profile=orange-prio-bng ports=R86S protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng ports=R86S protocol=udp switch=switch1 vlan-id=832
/interface list member
add interface=ADMIN list=MGMT
add interface=R86S list=LAN
add interface=sfp-sfpplus2 list=LAN
add interface=sfp-sfpplus3 list=LAN
add interface=ONT list=WAN
/ip address
add address=192.168.1.250/24 comment=defconf interface=ADMIN network=192.168.1.0
/ip dns
set servers=8.8.8.8
/system clock
set time-zone-name=Europe/Paris
/system identity
set name="MikroTik CRS305"
/system note
set show-at-login=no
-
Ça a l'air bien, quelques commentaires :
/interface bridge
/interface list
add name=WAN
add name=LAN
add name=MGMT
Le CRS305 est un switch et n'aura pas d'IP sur l'interface Router/ONT, il te faut les deux dans la même liste (WAN).
/ip address
add address=192.168.1.250/24 comment=defconf interface=ADMIN network=192.168.1.0
Il te manque peut-être le gateway pour ton switch.
-
merci j'ai corrigé:
/interface list member
add interface=ADMIN list=MGMT
add interface=R86S list=WAN
add interface=sfp-sfpplus2 list=LAN
add interface=sfp-sfpplus3 list=LAN
add interface=ONT list=WAN
Et pour la gateway, a priori Mikrotik ne l'indique pas explicitement dans la conf, mais elle est bien présente dans la table de routage
[admin@MikroTik CRS305] > /ip route print
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, s - STATIC
Columns: DST-ADDRESS, GATEWAY, DISTANCE
# DST-ADDRESS GATEWAY DISTANCE
0 As 0.0.0.0/0 192.168.1.254 1
DAc 192.168.1.0/24 ADMIN 0