La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: ubune le 24 juin 2022 à 09:44:01
-
Salut à tous,
Ayant reçu mon CRS305 je partage la config à effectuer pour avoir > 2Gbps et un routeur derrière qui n'aura pas besoin de gérer la COS 6 sur nos requetes dhcp/dhpv6.
Grâce à cet equipement, vous pouvez avoir n'importe quel routeur/firewall supportant l'option 90 "version Orange" derrière et ça fonctionnera.
Son port Cuivre 1gbps et ses 4 Ports SFP+ permettent de s'y connecter facilement avec votre routeur, via Dac, Gbic Fibre ou cuivre.
Il supporte parfaitement les ONU à 2.5Gbps (support du HSGMII) , parfait pour profiter des offres FTTH 2Gbps.
Dans un premier temps, il faut mettre à jour votre version de routeros (obligatoire pour le HSGMII, personnellement j'ai installé la version 7.3.1
Dans mon exemple (cf schéma), sfp-sfpplus4 est le port ou il y a l'onu "GPON-ONU-34-20BI", sfp-sfpplus3 sera le port ou il y aura l'adaptateur 10G SFP+/RJ45, et ether1 l'actuel port pour mon routeur openwrt (je n'ai pas encore reçu le module Cuivre 10G).
Pour lire la configuration complete de votre switch, en terminal tapez simplement la commande :
export
Vlan-Filtering :
Dans l'interface bridge il faut activer impérativement le vlan-filtering, même si on met en "permit all" (cf screenshot).
Sans ça, les switch rule pour modifier la priorité du vlan sur les flux dhcp/dhcpv6 ne s'appliquaient jamais (oui oui j'ai perdu un peu de temps la dessus ^^').
Config des ports physiques : (sfpplus4 est le port ou il y a l'onu sans autoneg et forcé à 2.5Gbps) :
/interface ethernet
set [ find default-name=ether1 ] advertise=100M-half,100M-full,1000M-half,1000M-full loop-protect=off
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus2 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus3 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus4 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full auto-negotiation=no loop-protect=off speed=2.5Gbps
Config du vlan 832 :
On ajoute le vlan 832 sur le bridge de base, configuré en tag à minima sur les ports ou il y a l'onu et votre routeur :
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus4,sfp-sfpplus3,ether1 vlan-ids=832
Switch Rules :
On applique les switch rules pour modifier la priorité vlan sur les flux dhcp/dhcpv6 (en cos 6 comme fait par la livebox), dans mon exemple, mon routeur est actuellement connecté sur le port "ether1", il faudra donc modifier la commande en fonction de votre raccordement.
/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832
add dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832
-
Salut à tous,
Ayant reçu mon CRS305 je partage la config à effectuer pour avoir > 2Gbps et un routeur derrière qui n'aura pas besoin de gérer la COS 6 sur nos requetes dhcp/dhpv6.
Grâce à cet equipement, vous pouvez avoir n'importe quel routeur/firewall supportant l'option 90 "version Orange" derrière et ça fonctionnera.
Son port Cuivre 1gbps et ses 4 Ports SFP+ permettent de s'y connecter facilement avec votre routeur, via Dac, Gbic Fibre ou cuivre.
Il supporte parfaitement les ONU à 2.5Gbps (support du HSGMII) , parfait pour profiter des offres FTTH 2Gbps.
Dans un premier temps, il faut mettre à jour votre version de routeros (obligatoire pour le HSGMII, personnellement j'ai installé la version 7.3.1
Dans mon exemple (cf schéma), sfp-sfpplus4 est le port ou il y a l'onu "GPON-ONU-34-20BI", sfp-sfpplus3 sera le port ou il y aura l'adaptateur 10G SFP+/RJ45, et ether1 l'actuel port pour mon routeur openwrt (je n'ai pas encore reçu le module Cuivre 10G).
Pour lire la configuration complete de votre switch, en terminal tapez simplement la commande :
export
Vlan-Filtering :
Dans l'interface bridge il faut activer impérativement le vlan-filtering, même si on met en "permit all" (cf screenshot).
Sans ça, les switch rule pour modifier la priorité du vlan sur les flux dhcp/dhcpv6 ne s'appliquaient jamais (oui oui j'ai perdu un peu de temps la dessus ^^').
Config des ports physiques : (sfpplus4 est le port ou il y a l'onu sans autoneg et forcé à 2.5Gbps) :
/interface ethernet
set [ find default-name=ether1 ] advertise=100M-half,100M-full,1000M-half,1000M-full loop-protect=off
set [ find default-name=sfp-sfpplus1 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus2 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus3 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full loop-protect=off
set [ find default-name=sfp-sfpplus4 ] advertise=1000M-full,10000M-full,2500M-full,5000M-full auto-negotiation=no loop-protect=off speed=2.5Gbps
Config du vlan 832 :
On ajoute le vlan 832 sur le bridge de base, configuré en tag à minima sur les ports ou il y a l'onu et votre routeur :
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus4,sfp-sfpplus3,ether1 vlan-ids=832
Switch Rules :
On applique les switch rules pour modifier la priorité vlan sur les flux dhcp/dhcpv6 (en cos 6 comme fait par la livebox), dans mon exemple, mon routeur est actuellement connecté sur le port "ether1", il faudra donc modifier la commande en fonction de votre raccordement.
/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832
add dst-port=547 mac-protocol=ipv6 new-vlan-priority=6 ports=ether1 protocol=udp switch=switch1 vlan-id=832
Si tu branches ton routeur sur le port ether1 du CRS305 tu seras bridé à 1Gbps, il faut utiliser un port sfp+ sur le CRS305 avec soit un module SFP+ Ethernet du type Mikrotik S+RJ10 (et coté routeur un port Ethernet > 1Gbps soit 2.5 ou 5 ou 10Gbps) ou un cable DAC si ton routeur dispose d'un port SFP+...
-
Si tu branches ton routeur sur le port ether1 du CRS305 tu seras bridé à 1Gbps, il faut utiliser un port sfp+ sur le CRS305 avec soit un module SFP+ Ethernet du type Mikrotik S+RJ10 (et coté routeur un port Ethernet > 1Gbps soit 2.5 ou 5 ou 10Gbps) ou un cable DAC si ton routeur dispose d'un port SFP+...
Bonjour,
Tout à fait, c'est indiqué dans mon post ^^'
Dans mon exemple (cf schéma), sfp-sfpplus4 est le port ou il y a l'onu "GPON-ONU-34-20BI", sfp-sfpplus3 sera le port ou il y aura l'adaptateur 10G SFP+/RJ45, et ether1 l'actuel port pour mon routeur openwrt (je n'ai pas encore reçu le module Cuivre 10G).
-
Salut,
Pourrais-tu reprendre la config du GPON-ONU-34-20BI stp ?
Je suppose qu'il faut reprendre le S/N de l'ONT Orange (dans mon cas un boitier ONT Huawei) ?
Merci
-
Salut,
D'abord merci pour ton post qui m'a permis de résoudre un petit souci
en effet mon ccr2004-16g-2s+-pc ne gère pas l'hsgmii.
Je n'ai pas besoin de cos6 etc.. comme je suis chez Bouygues
Je peut contourner cette limitation en utilisant un crs309 que j'ai sur mon réseau local.
J'ai retiré 2 interfaces de ce réseau pour créer un bridge avec une interface forcée en 2.5Gbit.
La 2eme interface de ce bridge part vers le port wan de mon routeur (le ccr2044)
Le débit du coup est bien de 2 gbits en descendant
questions pratiques : as t'on besoin de règle de firewall au niveau du crs309 ?
tout le trafic passe via le bridge et va vers le wan du routeur (qui lui a un firewall) et le crs309 reste safe ?
-
Salut,
Pourrais-tu reprendre la config du GPON-ONU-34-20BI stp ?
Je suppose qu'il faut reprendre le S/N de l'ONT Orange (dans mon cas un boitier ONT Huawei) ?
Merci
J'ai fait un post qui peut aider ici : https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg976645/#msg976645 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg976645/#msg976645)
-
questions pratiques : as t'on besoin de règle de firewall au niveau du crs309 ?
tout le trafic passe via le bridge et va vers le wan du routeur (qui lui a un firewall) et le crs309 reste safe ?
Post ta conf.
Normalement, si bien configuré, le traffic entre l'ONT (dans le port SFP) et le port vers ton router doit être offloadé et ton switch (le CRS309) n'a rien à filter, il fonctionne comme un "simple" switch.
-
Merci pour ton retour
voici ma conf pour le crs309
/interface bridge
add name="BridgeONU to Wan"
add admin-mac=18:FD:74:00:BB:35 auto-mac=no comment=defconf name=bridgeLan
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/system logging action
set 3 remote=192.168.6.52
/interface bridge port
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=ether1
add bridge="BridgeONU to Wan" comment=defconf ingress-filtering=no interface=\
sfp-sfpplus1
add bridge="BridgeONU to Wan" comment=defconf ingress-filtering=no interface=\
sfp-sfpplus2
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus3
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus4
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus5
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus6
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus7
add bridge=bridgeLan comment=defconf ingress-filtering=no interface=\
sfp-sfpplus8
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/interface ovpn-server server
set auth=sha1,md5
/ip dhcp-client
add interface=bridgeLan
/ip dns
set servers=192.168.6.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.6.0/24
set ssh address=192.168.6.0/24 disabled=yes port=64444
set www-ssl address=192.168.6.0/24 certificate=server2.pem disabled=no port=\
64445 tls-version=only-1.2
set api disabled=yes
set winbox address=192.168.6.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=SwitchDante
/system logging
add action=remote topics=critical
add action=remote topics=error
add action=remote topics=info
add action=remote topics=warning
/system note
set show-at-login=no
/system routerboard settings
set boot-os=router-os
/tool bandwidth-server
set enabled=no
Les sfp 1 et 2 sont pour l'hsgmii et les autres font partie de mon LAN (192.168.6.0)
-
Je voudrais voir ta conf complète, je vois quelques sujets à clarifier :
- Tu as deux bridges (BridgeONU to Wan, bridgeLan), mais le CRS309 n'a qu'un seul switch chip. Cela veut dire que tu n'auras qu'un seul bridge HW offloaded. ==> Il serait opportun de revoir la conf pour avoir un seul bridge et faire la ségregation au niveaux des VLAN
- Pour Bouygues, j'ai vu ailleurs dans le forum qu'il faut utiliser le VLAN 100 ==> Il faudrait prévoir les VLAN au niveau du bridge
Le post tout en haut de ce topic a un exemple de conf avec une config de VLAN.
-
En fait je suis partie de ma config pré existante : config fonctionnelle sur mon CCR2004-16g-2S+ avec vlan 100 et connection ipv4 et ipv6 etc....
Le CRS309 est après le CCR2004 danc cette config initiale. (sfp2 du CCR2004 vers le CRS309 entièrement bridgé sur réseau loca ip du réseau local 192.168.6.0)
Le seul problème est que que le CCR2004 n'est pas compatible hsgmii donc limité à 1gbit/s.
J'ai donc fait un test en retirant 2 ports sfp+ (1 et 2) du bridge LAN du CRS309 pour faire le bridge "BridgeONU to Wan (sfp1 + sfp2)" poiur voir s'il suppporte bien le hsgmii .
(et oui /interface/bridge/port sur le CRS309 montre bien que le HW offload n'est pas actif sur les 2 interfaces de ce bride supplémentaire
ONU en sfp1 du CRS309 et sfp2 du CRS309 reliés au port wan du CCR2004 (port WAN qui gere le vlan 100 et le client dhcp)
et là sans aucune autre modification le CCR2004 récupérè bien l'ipv4 et l'ipv6 Bouygues. Seule différence : débit en download passé à 1600 mbit/s.
Pourquoi avoir utilisé un seul switch : c'est un test et le CRS309 me sert pour relier 2 pièces de mon réseau, et là je regarde s'il peut faire le taf de 2 sans avoir à repayer un autre CRS juste pour avoir un meilleur download ;)
/interface bridge
add admin-mac=2C:C8:1B:CD:14:F4 auto-mac=no igmp-snooping=yes name=bridgeLan
/interface ethernet
set [ find default-name=ether16 ] name=LTE-Wan
set [ find default-name=sfp-sfpplus1 ] loop-protect=off mac-address=\
CC:00:F1:FF:6E:10 name=sfp-Wan sfp-shutdown-temperature=90C
/interface vlan
add interface=sfp-Wan name=Fibre_ByTel_vl100 vlan-id=100
/interface list
add include=all name=Internal
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=vendorid value=0x42594754454c494144
/ip pool
add name=dhcp_pool1 ranges=192.168.6.2-192.168.6.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridgeLan lease-time=1d name=dhcp1
/port
set 0 name=serial0
set 1 name=serial1
/system logging action
set 1 disk-file-count=4 disk-file-name=logD disk-lines-per-file=4096
set 3 remote=192.168.6.52
add email-to=nonosch@posteo.dk name=mail target=email
/interface bridge port
add bridge=bridgeLan interface=ether1
add bridge=bridgeLan interface=ether2
add bridge=bridgeLan interface=ether3
add bridge=bridgeLan interface=ether4
add bridge=bridgeLan interface=ether5
add bridge=bridgeLan interface=ether6
add bridge=bridgeLan interface=ether7
add bridge=bridgeLan interface=ether8
add bridge=bridgeLan interface=sfp-sfpplus2
add bridge=bridgeLan interface=ether9
add bridge=bridgeLan interface=ether10
add bridge=bridgeLan interface=ether12
add bridge=bridgeLan interface=ether11
add bridge=bridgeLan interface=ether13
add bridge=bridgeLan interface=ether14
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=Internal
/ip settings
set max-neighbor-entries=8192 tcp-syncookies=yes
/ipv6 settings
set accept-redirects=no accept-router-advertisements=no max-neighbor-entries=\
8192
/interface list member
add interface=ether15 list=Internal
add interface=bridgeLan list=LAN
add interface=LTE-Wan list=WAN
add interface=Fibre_ByTel_vl100 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.6.1/24 interface=bridgeLan network=192.168.6.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no interface=LTE-Wan script=":if (\$bound=1) do={/ip rou\
te set [find comment=WanLTE ] gateway=( \$\"gateway-address\" ) }" \
use-peer-dns=no use-peer-ntp=no
add add-default-route=no dhcp-options=vendorid interface=Fibre_ByTel_vl100 \
script=":if (\$bound=1) do={/ip route set [find comment=WanFibre ] gateway\
=( \$\"gateway-address\" ) }" use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.6.0/24 dns-server=192.168.6.1 gateway=192.168.6.1
/ip dns
set allow-remote-requests=yes servers="192.168.6.52,fe80::84d4:2dff:fe46:5f14,\
9.9.9.9,9.0.0.9,1.0.0.1,2620:fe::fe,8.8.8.8"
/ip firewall address-list
add address=192.168.6.2-192.168.6.254 list=allowed_to_router
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
not_in_internet
/ip firewall filter
add action=accept chain=input comment="default configuration" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input src-address-list=allowed_to_router
add action=drop chain=input comment="Blocage Ping depuis Internet" protocol=\
icmp
add action=drop chain=input comment="drop all else"
add action=fasttrack-connection chain=forward comment=FastTrack \
connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="Established, Related" \
connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
log=yes log-prefix=invalid
add action=drop chain=forward comment=\
"Drop tries to reach not public addresses from LAN" dst-address-list=\
not_in_internet in-interface-list=LAN log=yes log-prefix=!public_from_LAN \
out-interface-list=!LAN
add action=drop chain=forward comment=\
"Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN log=yes log-prefix=!NAT
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp \
protocol=icmp
add action=drop chain=forward comment=\
"Drop incoming from internet which is not public IP" in-interface-list=\
WAN log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment=\
"Drop packets from LAN that do not have LAN IP" in-interface-list=LAN \
log=yes log-prefix=LAN_!LAN src-address=!192.168.6.0/24
add action=accept chain=forward comment=\
"Perso : allow intranet traffic - accept everything else coming from LAN" \
in-interface-list=LAN out-interface-list=LAN
add action=accept chain=forward comment="Perso : allow internet traffic" \
in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward comment="Allow Port Forwarding" \
connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="Perso : drop all else"
add action=drop chain=output comment="Perso: Blocage 4.2.2.1 LTE-Wan" \
dst-address=4.2.2.1 log-prefix="Blocage LTE-Wan 4.2.2.1" out-interface=\
LTE-Wan protocol=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
protocol=icmp
add action=accept chain=icmp comment=\
"host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
protocol=icmp
add action=drop chain=icmp comment="deny all other types"
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
192.168.6.0/24
/ip route
add comment=WanFibre disabled=no distance=1 dst-address=8.8.8.8/32 gateway=\
176.136.32.1%Fibre_ByTel_vl100 pref-src="" routing-table=main scope=10 \
suppress-hw-offload=no target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
8.8.8.8 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=20
add comment=WanLTE disabled=no distance=1 dst-address=1.0.0.1/32 gateway=\
10.159.29.81 pref-src="" routing-table=main scope=10 suppress-hw-offload=\
no target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=\
1.0.0.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=20
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.6.0/24,192.168.88.0/24
set ssh address=192.168.6.0/24 disabled=yes port=64444
set www-ssl address=192.168.6.0/24 certificate=server2.pem disabled=no port=\
64445 tls-version=only-1.2
set api disabled=yes
set winbox address=192.168.6.0/24,192.168.88.0/24
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/ipv6 address
add address=::1 from-pool=Pool_ipv6 interface=bridgeLan
/ipv6 dhcp-client
add add-default-route=yes interface=Fibre_ByTel_vl100 pool-name=Pool_ipv6 \
pool-prefix-length=60 request=prefix use-interface-duid=yes use-peer-dns=\
no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="INPUT : Accept established, related" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="INPUT : Accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=\
33434-33534 protocol=udp
add action=accept chain=input comment=\
"defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\
udp src-address=fe80::/16
add action=drop chain=input in-interface-list=WAN log=yes log-prefix=\
dropLL_from_public src-address=fe80::/16
add action=drop chain=input comment="defconf: drop everything else" \
log-prefix="DROP : IPv6 INPUT"
add action=accept chain=forward comment="FWD : Accept established, related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment=\
"defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \
hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="FWD : Accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment=\
"Perso : allow intranet traffic - accept everything else coming from LAN" \
in-interface-list=LAN
add action=drop chain=forward comment="defconf: drop everything else" \
log-prefix="DROP : IPv6 FORWARD"
/ipv6 nd
set [ find default=yes ] hop-limit=64 managed-address-configuration=yes
il faudra bien évidemment que je regarde si les débit se tienne bien, mais la question que je voulai résoudre avant de remettre cette config "test" (là je suis en configuration simple sans passer par le CRS309 pour l'onu, c'est est ce procéder ainsi ne présente pas un risque au niveau du CRS309
-
Il est vrai que le cpu du CRS309 prend cher sans le hw offload ;)
-
Avec tes deux bridges, tu sépares bien le trafic LAN et WAN.
Tu peux faire un seul bridge, ensuite séparer le trafic LAN et WAN avec des VLANs, et pour améliorer la sécurité, isoler les ports WAN pour qu’ils ne puissent communiquer qu’entre eux (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features)).
Pour avoir une bonne performance, il te faut le CCR2004 pour le routage et le CRS pour avoir plus de 1 Gbps sur le lien WAN.
-
Avec mon CRS309 (qui reçoit l'ONT Leox via un adatpateur S+RJ10) et un RB5009 (connecté en SFP+ sur le switch), j'ai bien ~2200Mbps en download. Le CPU se tourne les pouces.
J'ai activé l'offload hardware, il fait aussi du routage intervlan à 10Gbit/s sans charger le CPU.
-
Avec tes deux bridges, tu sépares bien le trafic LAN et WAN.
Tu peux faire un seul bridge, ensuite séparer le trafic LAN et WAN avec des VLANs, et pour améliorer la sécurité, isoler les ports WAN pour qu’ils ne puissent communiquer qu’entre eux (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features)).
Pour avoir une bonne performance, il te faut le CCR2004 pour le routage et le CRS pour avoir plus de 1 Gbps sur le lien WAN.
Ok :) je vais voir ça selon tes indications
(bon ça risque de me prendre un peut/beaucoup de temps :D mais instructif :) )
-
Du coup la config serai :
/interface bridge
add admin-mac=18:FD:74:00:BB:35 auto-mac=no comment=defconf name=bridge
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/ip dhcp-client
add interface=bridge
et pour l'isolation des deux groupes de ports
/interface ethernet switch port-isolation
set 0 forwarding-override=sfp-sfpplus2
set 1 forwarding-override=sfp-sfpplus1
set 2 forwarding-override=\
sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,sfp-sfpplus8,ether1
set 3 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,sfp-sfpplus8,ether1
set 4 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus6,sfp-sfpplus7,sfp-sfpplus8,ether1
set 5 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus7,sfp-sfpplus8,ether1
set 6 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus8,ether1
set 7 forwarding-override=\
sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6,sfp-sfpplus7,ether1
set 8 forwarding-override="sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus6\
,sfp-sfpplus7,sfp-sfpplus8"
me reste plus qu'a tester
Edit : c'est ok pour les débits (juste l'upload dans les choux mais je devrai le récupérer dans plus de 24h ,pb connu avec l'ont FS chez Bouygues, si j'ai bien suivi )
et le cpu du CRS309 respire mieux du coup
Server: LaFibre.info - Douai (id: 4010)
ISP: Bouygues Telecom
Idle Latency: 14.98 ms (jitter: 0.06ms, low: 14.95ms, high: 15.05ms)
Download: 1908.15 Mbps (data used: 2.3 GB)
54.42 ms (jitter: 42.07ms, low: 15.22ms, high: 337.23ms)
Upload: 220.53 Mbps (data used: 197.8 MB)
33.63 ms (jitter: 1.16ms, low: 17.01ms, high: 37.55ms)
Packet Loss: 0.0%
Merci beaucoup pour ton aide :)
-
Je suis actuellement en train de voir pour mettre une configuration similaire avec un CRS305 qui porte l’interface wan avec un RB5009 derrière.
Le truc c’est que je galère avec le trunk entre les deux devices et donc la disponibilité du réseau lan sur le CRS.
Donc je serai preneur de vos conf respectives 😊
-
Mes conf sont dans les post précédent mais je suis chez Bouygues donc vlan 100 pour le Wan
Si je fais pas d'erreurs, dans ton cas il faut que tu mette en place un bridge avec l'adresse lan donnée par ton routeur (dans mon cas 192.168.6.0 )
puis que tu prenne 2 ports qui te serviront pour le lan 832 et que tu leurs donne le lan pour Orange et que tu mette en place la cos6 pour ces 2 ports comme indiqué dans la post original
puis il faut isoler les 2 ports pour la connection wan des autres ports avec les régles forwarding-override.
Le 2eme port du groupe wan relié au port wan du rb5009 et un de tes autres port relié à un port lan de ton rb5009
-
Mes conf sont dans les post précédent mais je suis chez Bouygues donc vlan 100 pour le Wan
Si je fais pas d'erreurs, dans ton cas il faut que tu mette en place un bridge avec l'adresse lan donnée par ton routeur (dans mon cas 192.168.6.0 )
puis que tu prenne 2 ports qui te serviront pour le lan 832 et que tu leurs donne le lan pour Orange et que tu mette en place la cos6 pour ces 2 ports comme indiqué dans la post original
puis il faut isoler les 2 ports pour la connection wan des autres ports avec les régles forwarding-override.
Le 2eme port du groupe wan relié au port wan du rb5009 et un de tes autres port relié à un port lan de ton rb5009
Merci pour le feedback. Je vais regarder ça ce week-end.
Par contre, je galère déjà avec les interfaces, vlan, bridge, vlan interface, vlan bridge et là tu m'ajoutes les isolations de ports... ;D
Je sens que ça va être joyeux ;).
-
Ben perso je suis aussi en mode apprentissage ;D
-
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2 \
pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8
et pour l'isolation des deux groupes de ports
/interface ethernet switch port-isolation
set 0 forwarding-override=sfp-sfpplus2
set 1 forwarding-override=sfp-sfpplus1
Edit : c'est ok pour les débits (juste l'upload dans les choux mais je devrai le récupérer dans plus de 24h ,pb connu avec l'ont FS chez Bouygues, si j'ai bien suivi )
et le cpu du CRS309 respire mieux du coup
La conf a l'air bien. Tu pourrais renforcer la sécurité en activant le filtrage par VLAN (attention au moment de mettre en place la config de ne pas terminer déconnecté de ton switch - Safe Mode est recommandé). Mais, l'isolation de ports fait te protège déjà.
-
Je vais voir pour le vlan filtering (en safe mode) tranquillement :) histoire d'aller un peu plus loin encore.
Merci pour tes indications et conseils (encore une fois mais il faut le dire :) )
-
Bon d'après ce que j'ai pu comprendre :
/interface bridge
add admin-mac=18:FD:74:00:BB:35 auto-mac=no comment=defconf \
ingress-filtering=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=2.5Gbps
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/system logging action
set 3 remote=192.168.6.52
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
ingress-filtering=no interface=sfp-sfpplus1 pvid=100
add bridge=bridge comment=defconf frame-types=admit-only-vlan-tagged \
ingress-filtering=no interface=sfp-sfpplus2 pvid=100
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus5
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus6
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus7
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus8
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=100
add bridge=bridge untagged="sfp-sfpplus3,sfp-sfpplus4,sfp-sfpplus5,sfp-sfpplus\
6,sfp-sfpplus7,sfp-sfpplus8,ether1" vlan-ids=1
/interface ovpn-server server
set auth=sha1,md5
Merci pour le rappel sur le "safe mode" ;D
-
La conf a l'air bien. Tu as bien un VLAN pour ton WAN (VLAN = 100) et pour ton réseau interne (VLAN = 1).
-
Tes bons conseils m'ont bien aidé ;) :)
-
Petit question : Ayant un CRS305 et le RB5009 derrière, au niveau bridge et filter rule, quelle est la meilleure solution ? La mettre sur le CRS ou la laisser sur le routeur ?
-
Petit question : Ayant un CRS305 et le RB5009 derrière, au niveau bridge et filter rule, quelle est la meilleure solution ? La mettre sur le CRS ou la laisser sur le routeur ?
Moi je laisserai sur le routeur, pour préparer le jour où tu envisages de sortir le CRS305.
-
Moi je laisserai sur le routeur, pour préparer le jour où tu envisages de sortir le CRS305.
Merci pour le conseil, mais vu j'ai terminé ma conf ce week-end. Cf ce post https://lafibre.info/remplacer-livebox/need-help-conf-crs305-gt-rb5009-vlantrunk/ (https://lafibre.info/remplacer-livebox/need-help-conf-crs305-gt-rb5009-vlantrunk/) pour le résumé de la bataille et en l'occurence, la règle s'est retrouvé sur le switch.
Bon après, je ne pense pas que ce soit le truc le plus compliqué à modifier.