Auteur Sujet: Switch Mikrotik CRS-305 (pour HSGMII, Cos 6) devant n'importe quel routeur/fw (Lu 17743 fois)

nscheffer · « **Réponse #36 le:** 04 août 2024 à 10:42:04 »

Citation de: fttmeh le 17 juin 2024 à 23:01:11

Après lecture du manuel, il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants ("The port is considered untrusted. Both headers are ignored, and the port's profile is forced to all ingress packets. This is the default setting."). Cela ne m'arrange pas car je modifie pour IPv6 le PCP/DSCP des certaines paquets (ICMPv6 types 133, 135, 136) avec des mangle rules.

Voici la conf mise à jour :

Code: [Sélectionner]
/interface ethernet switch set 0 qos-hw-offloading=yes /interface ethernet switch qos port set Router trust-l2=keep trust-l3=keep set ONT trust-l2=keep trust-l3=keep /interface ethernet switch qos profile add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \ traffic-class=6 /interface ethernet switch qos port set sfp-sfpplus2 tx-manager=offline set sfp-sfpplus3 tx-manager=offline /interface ethernet switch l3hw-settings set icmp-reply-on-error=no /interface ethernet switch rule add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\ orange-prio-bng ports=Router switch=switch1 vlan-id=832 add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \ new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832 add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \ new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832

Bonjour #fttmeh,

Sur ton CRS305 a quel port correspond Router et ONT ? Juste pour être sur....

fttmeh · « **Réponse #37 le:** 04 août 2024 à 21:13:26 »

Router : Connexion au routeur
ONT : As indicated

nscheffer · « **Réponse #38 le:** 04 août 2024 à 21:31:20 »

Citation de: fttmeh le 04 août 2024 à 21:13:26

Router : Connexion au routeur
ONT : As indicated

Ce qui correspond au port sfp2 et sfp3 ?
D’où la commande tx-manager ?

fttmeh · « **Réponse #39 le:** 04 août 2024 à 21:46:53 »

J’utilise les ports sfp1 et sfp4 seulement, pour espacer au maximum les composants qui dégagent de la chaleur à l'interieur du switch.

La conf de tx-manager est pour que le switch ne réserve pas de la mémoire commune pour les deux ports non-utilisés, en suivant la préconisation du manuel (cf. Section « Resource Saving » dans le manuel https://help.mikrotik.com/docs/pages/viewpage.action?pageId=189497483)

B3nJ1 · « **Réponse #40 le:** 06 octobre 2024 à 14:05:09 »

Citation de: fttmeh le 17 juin 2024 à 23:01:11

Après lecture du manuel, il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants ("The port is considered untrusted. Both headers are ignored, and the port's profile is forced to all ingress packets. This is the default setting."). Cela ne m'arrange pas car je modifie pour IPv6 le PCP/DSCP des certaines paquets (ICMPv6 types 133, 135, 136) avec des mangle rules.

Voici la conf mise à jour :

Code: [Sélectionner]
/interface ethernet switch set 0 qos-hw-offloading=yes /interface ethernet switch qos port set Router trust-l2=keep trust-l3=keep set ONT trust-l2=keep trust-l3=keep /interface ethernet switch qos profile add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \ traffic-class=6 /interface ethernet switch qos port set sfp-sfpplus2 tx-manager=offline set sfp-sfpplus3 tx-manager=offline /interface ethernet switch l3hw-settings set icmp-reply-on-error=no /interface ethernet switch rule add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\ orange-prio-bng ports=Router switch=switch1 vlan-id=832 add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \ new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832 add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \ new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832

Je viens juste de mettre à jour en 7.16 mon CRS309 avec ta config, tout marche nickel, merci beaucoup !

lepoulpe · « **Réponse #41 le:** 13 novembre 2024 à 22:18:22 »

Bonjour,

J'ai installé un CRS-305 avec un stick LEOX devant mon routeur pour gérer le marquage QoS demandé par Orange. Je suis en RouterOS 7.15.3.
J'ai repris les confs postées ici et tout fonctionne bien pour la partie DHCP, par contre cela ne fonctionne pas pour la TV. La CoS à 5 ne semble pas être prise en compte et le décodeur n'accède pas aux flux multicast.

Ci-dessous ma conf.
sfp-sfpplus1 = Stick LEOX vers Orange
sfp-sfpplus4 = Interface vers le routeur

Code: [Sélectionner]

/interface bridge
add igmp-snooping=yes ingress-filtering=no name=bridgeWAN vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no loop-protect=off speed=2.5G-baseT
set [ find default-name=sfp-sfpplus2 ] loop-protect=off
set [ find default-name=sfp-sfpplus3 ] loop-protect=off
set [ find default-name=sfp-sfpplus4 ] loop-protect=off
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set sfp-sfpplus1 trust-l2=keep trust-l3=keep
set sfp-sfpplus4 trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add dscp=48 name=orange-ftth pcp=6 traffic-class=6
add name=orange-tv pcp=5 traffic-class=5
/interface bridge port
add bridge=bridgeWAN ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridgeWAN ingress-filtering=no interface=sfp-sfpplus4
/interface bridge vlan
add bridge=bridgeWAN tagged=sfp-sfpplus4,sfp-sfpplus1 vlan-ids=832
add bridge=bridgeWAN tagged=sfp-sfpplus1,sfp-sfpplus4 vlan-ids=840
/interface ethernet switch rule
add comment="Orange ARP - CoS to 6" mac-protocol=arp new-qos-profile=orange-ftth ports=\
    sfp-sfpplus4 switch=switch1 vlan-id=832
add comment="Orange ICMPv6 and Multicast - Cos to 6" dst-address6=fe00::/7 mac-protocol=ipv6 \
    new-qos-profile=orange-ftth ports=sfp-sfpplus4 protocol=icmpv6 switch=switch1 vlan-id=832
add comment="Orange DHCPv4 - CoS to 6" dst-port=67 mac-protocol=ip new-qos-profile=orange-ftth \
    ports=sfp-sfpplus4 protocol=udp src-port=68 switch=switch1 vlan-id=832
add comment="Orange DHCPv6 - CoS to 6" dst-port=547 mac-protocol=ipv6 new-qos-profile=\
    orange-ftth ports=sfp-sfpplus4 protocol=udp src-port=546 switch=switch1 vlan-id=832
add comment="Orange IPTV - Set CoS to 5" mac-protocol=ip new-qos-profile=orange-tv ports=\
    sfp-sfpplus4 switch=switch1 vlan-id=840

J'ai réussi à appliquer la CoS5 avec une méthode alternative à base de bridge filter :

Code: [Sélectionner]

/interface bridge filter
add action=set-priority chain=forward comment="Orange IPTV - Set CoS to 5" mac-protocol=vlan \
    new-priority=5 out-bridge=bridgeWAN passthrough=yes vlan-id=840

Avec cette conf la TV fonctionne, mais ce n'est pas totalement satisfaisant

Quelqu'un aurait-il une idée ? Merci.

hitech39 · « **Réponse #42 le:** 20 janvier 2025 à 11:29:29 »

Je relance le sujet, pour vous dire qu'avec la nouvelle version en 7.17, on peut maintenant appliquer des switch rules sur un bond, ce qui permet d'utiliser n'importe quel switch mikrotik et de projet de plus d 1gbps de connexion.
Actuellement je tourne avec un CRS326 et 3 liens 1gbps vers un fortigate, ça marche nikel, download à 2.2 gbps.
par contre bien appliquer la partie QOS port sur les port physiques, ce qui donne ça en config sur le CRS326 :

Code: [Sélectionner]

set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no name=ONT speed=2.5G-baseX
/interface bonding
add mode=802.3ad name=FortiGate slaves=ether3,ether5,ether7 transmit-hash-policy=layer-2-and-3
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set ether3 trust-l2=keep trust-l3=keep
set ether5 trust-l2=keep trust-l3=keep
set ether7 trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6
/interface list
add name=WAN
add name=LAN
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=ether11
add bridge=bridge comment=defconf interface=ether12
add bridge=bridge comment=defconf interface=ether13
add bridge=bridge comment=defconf interface=ether14
add bridge=bridge comment=defconf interface=ether15
add bridge=bridge comment=defconf interface=ether16
add bridge=bridge comment=defconf interface=ether17
add bridge=bridge comment=defconf interface=ether18
add bridge=bridge comment=defconf interface=ether19
add bridge=bridge comment=defconf interface=ether20
add bridge=bridge comment=defconf interface=ether21
add bridge=bridge comment=defconf interface=ether22
add bridge=bridge comment=defconf interface=ether23
add bridge=bridge comment=defconf interface=ether24
add bridge=bridge comment=defconf interface=ONT
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge interface=FortiGate
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface bridge vlan
add bridge=bridge comment="Vlan for Orange" tagged=ONT,FortiGate vlan-ids=832
add bridge=bridge untagged=bridge,ether1 vlan-ids=1
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=FortiGate switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip new-qos-profile=orange-prio-bng ports=FortiGate protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng ports=FortiGate protocol=udp switch=switch1 vlan-id=832
/interface list member
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=ether11 list=LAN
add interface=ether12 list=LAN
add interface=ether13 list=LAN
add interface=ether14 list=LAN
add interface=ether15 list=LAN
add interface=ether16 list=LAN
add interface=ether17 list=LAN
add interface=ether18 list=LAN
add interface=ether19 list=LAN
add interface=ether20 list=LAN
add interface=ether21 list=LAN
add interface=ether22 list=LAN
add interface=ether23 list=LAN
add interface=ether24 list=LAN
add interface=ONT list=WAN
add interface=sfp-sfpplus2 list=LAN

sebd48 · « **Réponse #43 le:** 08 mars 2025 à 16:09:00 »

Citation de: fttmeh le 17 juin 2024 à 23:01:11

Après lecture du manuel, il me semble qu'avec la nouvelle configuration, le switch va écrasser les valeurs PCP/DSCP de paquets arrivants ("The port is considered untrusted. Both headers are ignored, and the port's profile is forced to all ingress packets. This is the default setting."). Cela ne m'arrange pas car je modifie pour IPv6 le PCP/DSCP des certaines paquets (ICMPv6 types 133, 135, 136) avec des mangle rules.

Voici la conf mise à jour :

Code: [Sélectionner]
/interface ethernet switch set 0 qos-hw-offloading=yes /interface ethernet switch qos port set Router trust-l2=keep trust-l3=keep set ONT trust-l2=keep trust-l3=keep /interface ethernet switch qos profile add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 \ traffic-class=6 /interface ethernet switch qos port set sfp-sfpplus2 tx-manager=offline set sfp-sfpplus3 tx-manager=offline /interface ethernet switch l3hw-settings set icmp-reply-on-error=no /interface ethernet switch rule add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=\ orange-prio-bng ports=Router switch=switch1 vlan-id=832 add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67 mac-protocol=ip \ new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832 add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=547 mac-protocol=ipv6 \ new-qos-profile=orange-prio-bng ports=Router protocol=udp switch=switch1 vlan-id=832

Bonjour à tous

Je viens d'installer un switch CRS305 pour tenter de remplacer ma livebox mais je n'y arrive pas. J'ai appliqué la configuration donné par fttmeh ci-desssus mais rien ne se passe. Je n'ai aucun RX packet sur ONT.

Voici ma conf actuelle. Je serais intéressé d'avoir vos retour pour ceux pour qui cela à fonctionné.
J'ai simplement ajouté le vlan 832 qui n'était pas mentionné dans la conf.

Code: [Sélectionner]

/interface bridge
add comment=defconf ingress-filtering=no name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp-sfpplus1 ] loop-protect=off name=ONT
set [ find default-name=ether1 ] loop-protect=off name=Router
/interface ethernet switch
set 0 qos-hw-offloading=yes
/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep
/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=Router
add bridge=bridge comment=defconf ingress-filtering=no interface=ONT
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf interface=sfp-sfpplus4
/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no
/interface bridge vlan
add bridge=bridge comment=orange tagged=ONT,Router vlan-ids=832
/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=Router \
    switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67-68 mac-protocol=ip new-qos-profile=orange-prio-bng \
    ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=546-547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng \
    ports=Router protocol=udp switch=switch1 vlan-id=832
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Paris
/system note
set show-at-login=no

Merci

fttmeh · « **Réponse #44 le:** 08 mars 2025 à 16:31:00 »

Ton routeur est branché comment au switch CRS305?

Dans ta conf, tu utilises le port ethernet RJ45 pour le router. Il faudra regarder comment tu accèdes à ton switch et avoir un VLAN différent si tu utilises le même port pour le management de ton switch et l’accès Internet (eg. VLAN 832 pour le WAN autre chose pour le management)

Citation de: sebd48 le 08 mars 2025 à 16:09:00

Code: [Sélectionner]
/interface bridge add comment=defconf ingress-filtering=no name=bridge vlan-filtering=yes /interface ethernet set [ find default-name=sfp-sfpplus1 ] loop-protect=off name=ONT set [ find default-name=ether1 ] loop-protect=off name=Router

sebd48 · « **Réponse #45 le:** 08 mars 2025 à 16:59:22 »

Citation de: fttmeh le 08 mars 2025 à 16:31:00

Ton routeur est branché comment au switch CRS305?

Dans ta conf, tu utilises le port ethernet RJ45 pour le router. Il faudra regarder comment tu accèdes à ton switch et avoir un VLAN différent si tu utilises le même port pour le management de ton switch et l’accès Internet (eg. VLAN 832 pour le WAN autre chose pour le management)

Le routeur (qui est un fortigate) est configuré avec le vlan 832.
Pour le moment, j'ai laissé le management par défaut et j'y accède sur le vlan natif.
Sur l'interface ethernet de mon fortigate, j'ai donc
- vlan 1 : 192.168.88.10/24 pour l'accès au management du switch (temporaire)
- vlan 832 : configuré en dhcp client avec les différentes options DHCP nécessaire.

fttmeh · « **Réponse #46 le:** 08 mars 2025 à 17:27:48 »

Ton fortigate est branché sur le port ether1 du switch, c'est ça ?

Si oui, il faut que tu sépares l'interface de management du bridge. Je te propose la conf suivante :

Code: [Sélectionner]

/interface bridge
add comment=defconf ingress-filtering=no name=bridge vlan-filtering=yes pvid=10

/interface ethernet
set [ find default-name=sfp-sfpplus1 ] loop-protect=off name=ONT
set [ find default-name=ether1 ] loop-protect=off name=Router
/interface ethernet switch
set 0 qos-hw-offloading=yes

/interface ethernet switch qos port
set Router trust-l2=keep trust-l3=keep
set ONT trust-l2=keep trust-l3=keep

/interface ethernet switch qos profile
add comment="Orange BNC reqs - PCP=6, DSCP=48 (CS6)" dscp=48 name=orange-prio-bng pcp=6 traffic-class=6

/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=Router pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ONT
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf interface=sfp-sfpplus4

/interface ethernet switch l3hw-settings
set icmp-reply-on-error=no

/interface bridge vlan
add bridge=bridge comment=orange tagged=ONT,Router vlan-ids=832
add bridge=bridge comment="Management switch" untagged=Router vlan-ids=10

/interface ethernet switch rule
add comment="Modify QoS profile for Orange ISP - ARP traffic" mac-protocol=arp new-qos-profile=orange-prio-bng ports=Router \
    switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv4" dst-port=67-68 mac-protocol=ip new-qos-profile=orange-prio-bng \
    ports=Router protocol=udp switch=switch1 vlan-id=832
add comment="Modify QoS profile for Orange ISP - DHCPv6" dst-port=546-547 mac-protocol=ipv6 new-qos-profile=orange-prio-bng \
    ports=Router protocol=udp switch=switch1 vlan-id=832

# Rajout VLAN pour management
/interface vlan
add comment="Management VLAN" interface=bridge name=mgmt vlan-id=10

/ip address
add address=192.168.88.1/24 comment=defconf interface=mgmt network=192.168.88.0

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Paris
/system note
set show-at-login=no

sebd48 · « **Réponse #47 le:** 08 mars 2025 à 17:43:32 »

Citation de: fttmeh le 08 mars 2025 à 17:27:48

Ton fortigate est branché sur le port ether1 du switch, c'est ça ?

Si oui, il faut que tu sépares l'interface de management du bridge. Je te propose la conf suivante :

Merci beaucoup pour l'aide.
Oui, mon fortigate est branché sur le port ether1 du switch.
J'ai implémenté la conf. que tu m'as donné, mais malheureusement, ça ne change rien au fait que je n'arrive pas à obtenir la moindre ip sur mon fortigate... Dans les captures, je vois les dhcp request, mais il n'y a aucune réponse.
Peut être que ça ne vient pas du switch. Mais je sèche complètement ! J'y ai passé l'après midi sans réussir quoi que ce soit.
Sur le fortigate, la config est normalement bonne avec les options dhcp nécessaires.

Est-ce qu'il faut que je force l'adresse mac de la livebox sur le switch le port ONT du switch ? J'ai essayé, mais ça ne changeait rien.