Projet  :
- 1er post :  Comment récupérer les ips et surfer en ipv4 et v6 pour ceux qui connaissent déjà RouterOS.
- 2eme post : Débuter en IPv4 avec Mikrotik/RouterOS.
- 3ème post : Débuter en IPv6 avec Mikrotik/RouterOS.
- 4ème post : Sauvegarde, export, divers




Bonjour,

Avant tout, je n'ai jamais fait de tuto ici, et me traînant mon mikrotik depuis quelques temps, il est possible que je loupe des éléments pour SFR car la conf était déjà en place avant (pour Orange par exemple).

Je vais faire de mon mieux, et je suis ouvert à toute correction / amélioration (et questions). Donc si je dis une grosse connerie en dessous, merci de me l'indiquer, je le prendrai bien 

Je pars du principe que vous sachez déja vous connecter à votre Mikro via Winbox, ouvrir un terminal, lui mettre une ip, les bases. Si ce n'est pas le cas, demandez et j'expliquerai ce qu'il vous manque (ou allez voir le post 2).

J'ai fait ma conf en ligne de commande majoritairement, car certaines options n'étaient pas dispo via la GUI fut un temps. Mais aujourd'hui ça semble ok, donc on va faire du full GUI.

Ma conf est la suivante :
- Abonnement RED 1gb/sec, dont je n'utilise que le net. Si quelqu'un utilise le tel et ou la tv et veut faire un tuto sur le sujet, je le rajouterai volontier. La nb6vac me sert uniquement de point d'accès Wifi, dont j'ai modifié l'ip en 192.168.1.245 et désactivé le serveur DHCP pour ne pas avoir de conflit.

- Mon mikrotik est un CCR 1009 passif de première génération. Les CCR 1009 plus récents ont 2gb de ram au lieu de 1 (ce qui ne change rien pour un usage particulier et la plupart des pros. La ram sert surtout au BGP / routage) , et tous les ports reliés au CPU, alors que sur le mien, il y a uniquement les ports de 5 à 8. Les ports 1 à 4 passent par un switch chip. Firm 6.45.1 au moment de ce message.

-L'ip de mon mikrotik coté LAN est 192.168.1.1. Ce n'est pas celle par défaut.
-LAN = ether5 (relié à mon LAN donc)
-WAN = ether8 (relié à l'ONT. En vrai, à un switch relié à l'ONT via un VLAN dédié, mais on va rester simple)




Chez SFR, en IPv4, la configuration est relativement simple comparé à Orange. La seule chose demandée par le serveur DHCP, c'est de recevoir l'option 60 (vendor class identifier), et que celui ci commence par neufbox.

En IPV6 , gros warning, il faudra certainement reseter votre conf (exportez la avant quand même...). En effet, SFR, chez moi, demande le DUID de la neufbox. Pour le générer, il faut changer l'adresse MAC de l'ether1 du Mikrotik avant toute autre action, par celle de la neufbox (l'interne, celle notée sur l'étiquette). Si vous changez la mac après, le duid ne sera pas updaté. Voir le topic suivant : https://forum.mikrotik.com/viewtopic.php?f=2&t=120801&p=699787#p699787

"ok, I had to disable dhcp and IPv6 package, reboot, reset conf, reboot, change the mac, reboot, activate package, reboot, and then the new duid for ipv6 was generated based on eth1."

=> Donc, si l'IPV6 vous intéresse, commencez par cette étape. Perso je l'ai réalisé avant même qu'SFR me propose l'ipv6, en prévision. Evidemment, vérifier aussi avec la box que l'ipv6 est disponible chez vous. Si votre box n'en récupère pas, votre routeur perso n'en aura pas non plus.

EDIT : apparemment chez certaines personnes, pas la peine d'avoir le même DUID que la box pour avoir la connection IPv6.

1- IPV4 :

 -Connectez vous à votre Mikrotik via Winbox, puis allez dans IP => DHCP Client. Ensuite, allez dans l'onglet DHCP Client Option.


 -Vous tomberez sur 3 options déjà présentes automatiquement,  clientid, clienid_duid, et hostname. Ne vous en souciez pas. Ne vous souciez pas non plus de mon option 50 sur le screenshot    On va rajouter une option en cliquant sur la croix bleue.


 -Cela ouvrira la fenêtre ci dessus. Je ne crois pas que le "name" soit vraiment important. On va lui indiquer vendor-class-identifier. Le code lui est important, on va remplir 60. En "value", je laissé le mien visible. Le "0x" du début indique qu'il s'agit d'hexa. Le reste de la chaine, si on la passe dans un convertisseur hexa to text donne :

6e657566626f785f4e42365641432d4658432d72305f4e42365641432d4d41494e2d52342e302e34305f4e42365641432d5844534c2d58585858585858

==>

neufbox_NB6VAC-FXC-r0_NB6VAC-MAIN-R4.0.40_NB6VAC-XDSL-XXXXXXX

Une fois les infos remplies, vous devez avoir ça, puis faites Apply / OK.



 -Maintenant qu'on a l'option qui va bien, on va pouvoir créer le DHCP Client qui utilise cette option. Cliquez sur l'onglet DHCP Client. Même principe, petite croix bleue pour ajouter un client. En interface, choisissez celle reliée à votre ONT (moi la 8 ). Si vous utilisez d'autres DNS, décochez "use peer DNS". J'ai laissez User Peer NTP de coché, mais j'en ai configuré un autre à coté... Bien choisir "add default route" sur "yes".

 -Dans l'onglet "advanced", choisir "vendor-class-identifier" qu'on vient de renseigner. Ca lui dit juste de l'utiliser. Ce qui fait que vous pouvez utilisez différentes options pour différents client dhcp si jamais vous en avez l'utilité. Ou que vous désirez faire des tests.
Apply / OK.




 -Si tout va bien, et que vous n'avez pas fait le con avec le pare feu, vous devriez recevoir une ip en 2-3 minutes max. J'ai constaté ce délais parfois pour la première attribution.


Ensuite on ajoute une règle de nat sortante pour permettre à vos équipements de sortir correctement :


Vu que la route est ajoutée automatiquement, pour pouvez normalement surfer en ipv4 si vos appareils ont le Mikrotik en passerelle.

2- IPv6 :

 -Je pars du principe qui vous avez le bon DUID, voir mon début de post. Celui ci va généralement commencer par 0003000 puis il y aura d'ajouté la mac l'ether1 (qu'il faut changer par celle de votre box le temps de la génération du DUID). Vous pouvez le voir en allant dans IPv6 => DHCPv6 Client, ajouter un client DHCP, et le champs duid apparaît. Sinon en terminal : /ipv6 dhcp-client print detail


-Si vous avez le bon, le plus dur est fait  Sur le même principe que l'IPv4, on va créer un client DHCP dans la section IPv6. Sur la capture d'écran précédente, petite croix bleue, et on configure. Toujours l'interface reliée à votre ONT. On ne demande que le préfix. Dans le "pool name", on donne le nom du pool d'adresse qui sera utilisé. Je ne me souviens plus si l'on doit créer ce pool avant ou après, ou s'il se crée tout seul... Longueur du préfixe, 56. Si 64 passe, qu'on me le dise    Apply/OK


Vous devriez récupérer un prefix et avoir le status "bound".

- Attention, en IPV6, vous n'êtes pas "protégé" par le NAT, vos appareils sont directement joignables, et il n'y a pas de configuration de pare feu par défaut de faite en IPv6. Je vous recommande donc de créer des règles de bases en IPv6 => Firewall avant de distribuer des ipv6 à vos appareils. Je vous donner une conf de base dans un le post 3.

 - Maintenant, on va dans IPv6 => Pool. J'ai dit plus haut que je ne me souvenais plus si on devait créer le pool d'adresse avant ou après la création du dhcp client. Si le pool est vide, alors on va créer un pool, avec le même nom que celui donné dans l'étape du DHCP client. Mais je crois à 75% qu'il est crée tout seul.


 - Si vous avez bien ces infos dans pool, il est temps d'aller dans IPv6 => DHCPv6 Server. A noter que ce n'est pas exactement le même principe qu'en DHCPv4. Ici, on fait juste de la prefix delegation il me semble. Dans tous les cas, donnez le nom que vous voulez, en interface choisissez votre port LAN. Dans addresse Pool6, on met celui vu plus haut, le lease time que vous voulez. En DHCP Options, j'expliquerais ce que j'ai fait dans un autre poste, ce n'est pas vital pour commencer.


 -Dans IPv6 => route, vous devriez voir des routes présentes suites à tout ce qu'on a fait avant. Une pour ::/0 , qui si je ne dis pas de bétises doit avoir en gateway l'adresse fe80::xxxxx de votre mikrotik , et une ou deux routes génériques pour votre préfix.


 -Enfin, on va voir la gueule du Neighbor Discovery (IPv6=>ND). Dans l'onglet "prefixes", vous devriez voir celui récupéré. Dans "interfaces", à nous de créer une "annonce". Je ne me suis pas embêté, seul particularité de mon screenshot, j'ai décoché Advertise DNS et coché Other Configuration. Ce qui me permettra d'annoncer le routeur lui même en temps que serveur DNSv6 (voir post 3)




Je ne pense ne rien avoir oublié pour la récupération du net...

Si vous avez des règles de pare-feu en ipv6 et que vous ne récupérez pas d'ipv6, ajoutez la règle suivante avant les autres (enfin, avant un éventuel drop quoi) :

chain=input action=accept protocol=udp src-address=fe80::/10 in-interface=ether8 dst-port=546 log=no log-prefix=""   => elle permet au DHCPv6 de fonctionner. Elle était nécessaire avec Orange, je l'ai laissé avec SFR, et elle est hitée, donc je suppose qu'elle reste nécessaire vu le reste de ma conf.

Enfin, perso j'ai donné une ipv6 à mon routeur en tant que tel, la première du pool, ce qui me permet certaines manips ensuite (voir les posts d'après), mais elles sont peut être aussi réalisables avec le local-link...

Après la partie IPv4, voici la partie IPv6, qui sera un peu plus courte. Ce post vient compléter le 1er. Avant tout, on va donner une IPv6 à son routeur. La première du pool est ce qui me semble le plus logique, mais vous faites ce que vous voulez 

 - Donner une IPv6 à son routeur :

On va dans IPv6 => Address. Petite croix bleu, et on entre la première addresse du préfixe que l'on a reçu. Par exemple, si vous avez un prefix en 2a02:842e:1e3:4f00::/56 (j'ai tapé un truc quasi au hasard), alors on mettra l'adresse 2a02:842e:1e3:4f00::1  . On choisit le pool qui l'on a généré dans le post 1, et on lui affecte la patte interne.


Vous pouvez lancer un ping vers l'adresse pour voir que tout est ok.




 - Réglage du pare feu :

Ici, pas de NAT à gérer, toutes les machines sont directement joignables. Du coup, étape très importante, créer des règles de pare feu pour limiter l'accès à vos machines et votre routeur. A noter, il n'y a pas de fasttrack/fastpath en IPv6 pour le moment. Si vous avez un petit CPU, il est possible que le débit soit limité par rapport à l'ipv4. Vous pouvez surveiller l'utilisation du processeur via System=>Ressources=>CPU.

Tout comme en IPv4, je ne garanti pas la sécurité de votre réseau avec ça, j'ai peux être fait des erreurs, etc. Mais ça devrait être une base pour commencer, et à affiner selon votre situation.

Si vous n'hébergez aucun service en IPv6, alors il n'y a que quelques règles à créer IMO. On va dans IPV6 => Firewall => Filter Rules

En 1er, j'aime bien dropper le ping vers l'adresse de mon routeur, depuis l'extérieur, ce qui donne :

1    ;;; Drop ping vers CCR lui meme SFR (eth5)
      chain=input action=drop protocol=icmpv6 dst-address=ladressedevotrerouteur/128 in-interface=ether8 log=no log-prefix=""
Directement après, on va autoriser les requêtes DHCP6 entre le routeur et l'équipement en face :

2    ;;; Autorisation requ tes DHCP6
      chain=input action=accept protocol=udp src-address=fe80::/10 in-interface=ether8 dst-port=546 log=no log-prefix=""
Ce qui donne en GUI :



Ensuite on va accepter les connexions à rentrer par notre patte WAN (ether8 pour moi), à passer SI elles ont été initialisées par nous (les états  established et related)

   ;;; Established+Related=ok SFR
      chain=forward action=accept connection-state=established,related in-interface=ether8 log=no log-prefix=""
Autorisons aussi nos connexions sortantes évidemment. Enfin évidemment, tout dépend de ce que vous allez bloquer ensuite. On va également autoriser la comm avec le routeur depuis l'interne (ether5).

chain=forward action=accept in-interface=ether5chain=input action=accept in-interface=ether5

Enfin, la grosses règles de blocage des connexions non initiées par nos machines.

;;; Drop ce qui n'est pas established ou related SFR
      chain=forward action=drop connection-state=!established,related protocol=!icmpv6 in-interface=ether8 log=no log-prefix=""
A noter que dans cette règle, j'autorise l'icmp vers mes machines.

Et une règle pour protéger le routeur lui même. Ici j'ai aussi un argument pour autoriser l'icmpv6, mais si vous avez suivi je le bloque un peu plus tôt, donc je pourrais changer cette règle.

;;; Drop ce qui n'est pas etablished ou related sauf l'icmp SFR
      chain=input action=drop connection-state=!established,related protocol=!icmpv6 in-interface=ether8 log=no log-prefix=""

Avec ça, vous devriez pouvoir surfer, attaquer votre routeur depuis l'interne en v6, mais vos ports sur vos différentes machines ne devraient pas être accessibles, ni votre routeur depuis l'extérieur.

Vous pouvez tester cela avec un site tel que http://www.ipv6scanner.com/cgi-bin/main.py

 - Utilisez votre routeur comme serveur DNS même en IPV6 :

En IPv4, c'est assez simple, on configure notre serveur DHCPv4 pour lui indiquer que l'on veut utiliser notre routeur pour les résolutions dns, et basta. Je ne vais pas m'étendre, mais en V6, c'est sur le papier un peu plus délicat. Différents OS ne récupère pas de la même façon les informations de configuration, avec la partie DHCPv6 du Mikro on ne gère que le préfixe, etc...

Si dans la partie DHCP Client v6 vu dans le premier post, nous n'avons pas coché "use peer dns", alors RouterOS va aller chercher le serveur renseigné en IPv4. Dans notre cas, le routeur aussi du coup, mais en 192.168.1.1.

Je ne sais pas vous, mais quit à être en IPv6, j'aime que tout soit en ipv6  On va donc faire en sorte que les clients utilisent l'ipv6 de notre routeur quand ils récupèrent les infos d'adressages.

Le prérequis est d'avoir ma conf ND du post 1 au niveau des cases cochées :


EDIT : lors de mon premier post, j'ai utilisé mon adresse ipv6 "opérateur" affectée à mon routeur, mais évidemment pour ne pas être dépendant du FAI et garder une conf qui fonctionne, je vous conseille d'utiliser l'adresse ipv6 "local" (FE80xxx) de votre routeur, coté lan, que vous trouverez dans ipv6=> addresses.

Ensuite, on va aller créer une option dans IPv6=> DHCPv6 Server. Petite croix bleue, et on configure les infos. Le nom, c'est comme vous voulez. Par contre, le code 23 est important. Pour la value, c'est l'ipv6 version longue de notre routeur convertie en hexa. Ce qui donne en fait votre ipv6 version longue... Si vous ne savez pas combien de zero rajouter, vous pouvez rentrer l'ipv6 compacte (c'est à dire avec les ::1 à la fin) ici https://www.ipaddressguide.com/ipv6, et cliquer sur "Expand".


Une fois l'option crée, on va dire au serveur DHCPv6 sur l'utiliser, en indiquant la DHCP Option que l'on vient de créer.




Après tout ça, sur les machines Windows vous devriez voir quelques choses comme ça au niveau des DNS :


On voit bien notre routeur aussi bien en ipv6 que v4. Le nslookup doit fonctionner et se connecter au v6 en premier. Sur mes différents appareils Android, certains ne récupèrent que la v4, certains aussi le v6... Je ne sais pas pourquoi. Sur WebOS de LG, je récupère bien le serveur en V6 également.

Du coup dans votre cache DNS, pour peu que vos serveurs montant supportent la résolution v6, vous allez voir des entrées A (ipv4) et AAAA (ipv6)


Ca aurait marché aussi avec uniquement le serveur DNS en v4 (ici 192.168.1.1 pour ceux qui suivent), mais je préfère être en full v6 quand c'est possible.


Je crois que c'est tout pour le moment... Le post suivant va montrer quelques petites choses pour les débutants de RouterOS








 

Merci pour le tuto. Moi c'est passé sans rien faire niveau duid par contre.

Salut Florian,

Super tuto, il m'a bcp servit

Petite question: as-tu pu tester la partie IPTV? et as-tu prévu de l'ajouter à ton tuto ?

Je peux t'aider si tu as besoin
A+

Hello,

Je n'utilise pas la tv (je n'ai même pas de boitier tv...), donc je ne peux pas tester / l'ajouter au tuto.

Par contre si tu l'a fait et que c'est fonctionnel, tu peux faire un topic dédié au sujet. Où si tu veux regrouper les infos dans ce topic, je pourrais rajouter la partie TV en te citant bien entendu.

Non justement je bloque un peu...
Je te tiens au courant si je m'en sors
a+

Je me pose la même question (ma femme veut garder le téléphone  )