Je viens de relire la conf du switch et il y a clairement un truc qui va pas: le VLAN filtering n’est pas activé (il est désactivé par défaut), donc les switch rules ne sont pas exécutées…

Pourtant, dans les 2 conf que j’ai testée (dans la page précédente), le vlan filtering est bien à yes à la deuxième ligne « vlan-filtering=yes ».
C’est un paramètre dont je faisais bien attention car en page 1, ubune mentionne bien que ce paramètre est très important. D’ailleurs quand il est activé, on voit bien qu’un vlan1 grisé (non modifiable) apparaît dans l’onglet vlan. Et il disparait quand on désactive le vlan filtering.

J’ai fait plein de tests ce matin chez un ami qui a Orange aussi. Puisqu’il a un boîtier ONT au lieu du SFP, directement sur la livebox, j’ai pu faire beaucoup de Test un peu dans tous les sens.
J’ai le même résultat que chez moi. Les requêtes DHCP n’obtiennent pas de réponse. Je confirme bien que le switch marque bien les paquets en COS6. J’ai pu valider le point en faisant une capture.

Le test qui m’intrigue le plus, c’est qu’en mettant le fortigate en transparent (juste pour pouvoir faire des captures de traffic) comme intermédiaire entre le boîtier ONT et la livebox, la connexion échoue.
J’ai l’impression qu’Orange a renforcé les contraintes de leur côté en plus des options DHCP.

Je ne comprends pas ceux qui ont réussi, comment vous avez fait.
Je pense que je vais arrêter de perdre mon temps et changer d’opérateur.

En tout cas, merci beaucoup pour l’aide reçu !

Le FortiGate en transparent tu changes la MAC vu coté ONT !
Attention pour la CoS 6 tu as bien DHCPv4 Request, Renew et le Ping (ICMP) ?

Oui, j’ai testé de changer la mac côté de l’ONT.

Le COS6 était bien sur tous ces paquets-là. Il faudrait que je revérifie pour en être sûr à 100 %, mais je ne suis plus devant.
Je ne sais pas quand sera la prochaine fois que je ferai des tests et si j’en aurai encore la motivation. Je me tâte à changer d’opérateur comme aller chez Free qui a l’air d’être l’opérateur qui a des IP publique ipv4 et IPv6 qui changent le moins souvent oui bien, d’aller chez OVH qui propose un forfait « pro » sans avoir besoin de siret apparement, qui permet d’avoir des ip fixe et de mettre n’importe quel routeur derrière.
Ayant une infra complète derrière mon fortigate (2 NAS, 3 hyperviseurs, une 20ene de VM et autant de dockers), j’aimerais avoir quelque chose qui tiennent la route.
Jusqu’à présent, ça fonctionnait très bien avec ma Livebox en amont de mon firewall, mais j’ai remarqué que je commence à avoir des pertes de paquet à partir d’environ 12 000 sessions simultanées car la Livebox ne suit plus.

Une piste : il faut attendre au moins une quinzaine de minutes après l’arrêt de la Livebox avant de tester avec son routeur.

Pas pour DHCPv4.

Avec vos différents retour, j'ai été tenté de refaire des tests.
J'ai attendu 35 min fibre débranchée avant de la connecter à nouveau. J'ai bien configuré l'option 61. En fait, elle est pourtant bien spécifié mais le fortigate écrase le champ par l'adresse mac de son interface... En mettant l'adresse mac de la livebox sur l'interface, ça règle le problème. J'avais déjà remarqué cela hier.
Je confirme bien que le switch marque bien en COS6 tous les paquets nécessaires.

Malheureusement, toujours parei, aucun retour aux requête dhcp. Je ne sais pas ce qu'orange controle de l'autre côté pour dégager les paquets, mais il y a clairement un système qui fait que je n'obtiens aucune réponse...
J'ai mis joins une capture si certain son curieux.

Je vais arrêter de vous embêter sur ce forum car je ne pense pas que le CRS-305 soit la cause du problème.
Je vais faire un retour le forum concerné par le fortigate pour donner un feedback de tout ces tests.
Je ne pense pas que je vais consommer plus de temps à faire d'autres tests car même si je finirais par y arriver, cela ne me donne pas l'impression d'être une solution pérenne dans le temps.

Un grand merci pour l'aide reçu ! Bonne soirée à tous !

Tu envoies également l'option 12 "hostname" non nécessaire (FortiGate-81F-POE). Je ne pense pas que cela soit gênant.

Mon ER4 l'envoyait aussi sans que ça ne pose de problème.