Si ça peut intéresser du monde, sachez que K-Net fonctionne avec le 'Mikrotik Hex S' en remplacement de la box Icotera (Je suis sur Covage 1Gbps symétrique). On le trouve pour 60€ sur Amazon ou chez EuroDK.
Pour ceux qui ne veulent pas s'embêter, pour l'IPv4, ça fonctionne directement sans configuration (je parle entre autre de la gestion de l'IP en /32). Voilà, on branche, ça fonctionne.
Pour l'IPv6, il faut faire la configuration manuellement, mais ça fonctionne également.
Côté débit, l'offload hardware fait son boulot et permet de router/nater l'IPv4 au débit de ma ligne sans aucun soucis (CPU à 14%).
Pour l'IPv6, il n'y a pas d'offload hardware à partir du moment où on filtre (ce qui me semble indispensable de nos jours pour un accès particulier), c'est donc le CPU du routeur qui s'occupe du routage. Ça plafonne à ~500Mb/s avec le CPU étant à ~40% d'utilisation pendant le test.
#---- Mikrotik Hex S ---------------------------------------------#
| IPv4 DL | ~950 Mb/s |
| IPv4 UL | ~750 Mb/s (même débit avec le PC en direct sur l'ONT) |
| IPv6 DL | ~500 Mb/s |
| IPv6 UL | ~400 Mb/s |
#-----------------------------------------------------------------#
Je suis un peu déçu du Mikrotik, comparé à mon "vieux" Ubiquiti EdgeRouter Lite (95€ sur Amazon). Le EdgeRouteur, il faut ajouter un script manuellement pour la gestion de l'IPv4 en /32, mais ensuite, l'offload IPv6 fonctionne et permet d'être au maximum de la bande passante fourni par K-Net.
#---- Ubiquiti EdgeRouter Lite -----------------------------------#
| IPv4 DL | ~950 Mb/s |
| IPv4 UL | ~750 Mb/s (même débit avec le PC en direct sur l'ONT) |
| IPv6 DL | ~950 Mb/s |
| IPv6 UL | ~750 Mb/s (même débit avec le PC en direct sur l'ONT) |
#-----------------------------------------------------------------#
Je peux coller des morceaux de conf si besoin. Suffit de demander.
edit: Update avec le test de TheDark
edit: Feedback vs EdgeRouter Lite + Tableau bande passante
Salut,
Tu as essayé le serveur Bouygues Telecom(40 Gb/s) sur nperf.com ?
Cordialement
Merci de l'info, alors:
IPv4:
- DL:~950Mb/s / CPU 13%
- UL: ~750Mb/s / CPU 13%
IPv6:
- DL: ~500Mb/s / CPU ~35%
- UL: ~400Mb/s / CPU ~40%
Pas terrible en IPv6 étant donné qu'il n'y a pas d'accélération hardware. Faudrait que je ressaye avec mon EdgeRouter Lite pour comparer.
Quels sont les avantages de cette box par rapport à celle de Knet ?
Citation de: Eototo le 08 Septembre 2018 à 11:13:30
Quels sont les avantages de cette box par rapport à celle de Knet ?
Le routeur Mikrotik n'est pas vraiment une "Box". C'est à dire qu'elle n'a pas de prise téléphone par exemple, ni même de WiFi. C'est juste un routeur.
Alors c'est quoi l'avantage?
Si, comme moi, on n'a pas besoin du téléphone fixe, ni du WiFi, ca permet par exemple:
- De faire des vlan sur ton réseau interne pour créer des zones de sécurité différentes: lan, guest, dmz, ...
- Pouvoir monter des VPN avec d'autres routeurs. Dans mon cas, je m'en sers pour protéger une réplication de NAS distante, et centraliser une console Ubiquiti Unifi pour gérer des AP WiFi distant.
- Baisser le niveau de paranoïa en ne laissant pas de "Box" que je ne maîtrise pas, accéder à mes équipements sur mon réseau interne.
- Et bien d'autre suivant ton niveau de Geekitude...
OK merci !
Citation de: halesk2k le 08 Septembre 2018 à 11:54:22
Le routeur Mikrotik n'est pas vraiment une "Box". C'est à dire qu'elle n'a pas de prise téléphone par exemple, ni même de WiFi. C'est juste un routeur.
Alors c'est quoi l'avantage?
Si, comme moi, on n'a pas besoin du téléphone fixe, ni du WiFi, ca permet par exemple:
- De faire des vlan sur ton réseau interne pour créer des zones de sécurité différentes: lan, guest, dmz, ...
- Pouvoir monter des VPN avec d'autres routeurs. Dans mon cas, je m'en sers pour protéger une réplication de NAS distante, et centraliser une console Ubiquiti Unifi pour gérer des AP WiFi distant.
- Baisser le niveau de paranoïa en ne laissant pas de "Box" que je ne maîtrise pas, accéder à mes équipements sur mon réseau interne.
- Et bien d'autre suivant ton niveau de Geekitude...
👍👍👍
T'es sur que l'offload ne marche pas en v6 ? J'ai bien le Gig sur un Hex normal moi...
Citation de: Hugues le 08 Septembre 2018 à 23:54:10
T'es sur que l'offload ne marche pas en v6 ? J'ai bien le Gig sur un Hex normal moi...
Je me suis peut être planté quelque part... Je fais mumuse sérieusement avec Mikrotik que depuis quelques jours.
Pour moi l'offload, il est implicite dans l'action du firewall filter. Sauf qu'en IPv6, il n'y a que "action=accept". Alors qu'en IPv4, il y a "action=fasttrack-connection".
Pour être sûre que ça ne soit pas un problème coté Internet, j'ai fait un iperf entre deux PC dans deux vlan locaux séparés avec en première règle firewall "action=accept chain=forward".
Le hEX et le hEX S sont quasi identique à part le port SFP et le POE 802.3af/at (la raison pour laquelle j'ai pris un hEX S), ca devrait donc être assez similaire. Etant donné que j'ai bien du Gigabit en IPv4, c'est que je respecte bien le "cable interne" du routeur (https://i.mt.lv/cdn/rb_files/RB760iGS-dsw-180517144423.png).
T'es bien sûre d'avoir 1 Gb/s en IPv6 ?
Du coup, si a une idée, ou si tu peux me poster quelques lignes de conf de ton routeur, je veux bien :)
Le fasttrack c'est pour le fastpath en conntrack, pas de conntrack en IPv6 vu que pas de NAT !
Je ressortirais un Hex du placard et j'irais tester ça dans la semaine, tous ceux que j'ai en prod en ce moment sont derrière des tunnels.
Bien vu, je n'avais pas vu qu'il une différence entre fastpath et fasttrack.
Je suis un peu perdu du coup. Dans le monde linux (l'OS sous-jacent à RouterOS), la conntrack sert surtout pour faire du firewall statefull (new, related, established), en plus de servir à tenir la table de mapping de NAT/PAT. Pour moi, ce n'est pas parce qu'il n'y a pas de NAT qu'il n'y a pas de conntrack. Du coup, comme je suis un peu borné, je suis parti sur cette hypothèse.
Du coup, j'ai fait quelques recherche sur fastpath/fasttrack sur IPv6 chez Mikrotik et je suis tombé sur cette prez: https://mum.mikrotik.com/presentations/UA15/presentation_3077_1449654925.pdf
Apparemment, fastpath fonctionne en IPv4 et IPv6, mais fasttrack ne fonctionne qu'en IPv4.
Test en réel donc. Et effectivement, ca semble être le cas. En IPv6, tant qu'il n'y a pas de règle de firewall (routage simple), le fastpath semble s'activer pour l'IPv6.
[ ID] Interval Transfer Bandwidth
[ 5] 0.00-1.00 sec 99.9 MBytes 838 Mbits/sec
[ 5] 1.00-2.00 sec 110 MBytes 921 Mbits/sec
[ 5] 2.00-3.00 sec 102 MBytes 855 Mbits/sec
[ 5] 3.00-4.00 sec 110 MBytes 921 Mbits/sec
[ 5] 4.00-5.00 sec 108 MBytes 907 Mbits/sec
[ 5] 5.00-6.00 sec 108 MBytes 905 Mbits/sec
[ 5] 6.00-7.00 sec 109 MBytes 914 Mbits/sec
[ 5] 7.00-8.00 sec 110 MBytes 919 Mbits/sec
[ 5] 8.00-9.00 sec 110 MBytes 921 Mbits/sec
[ 5] 9.00-10.00 sec 110 MBytes 918 Mbits/sec
[ 5] 10.00-10.04 sec 4.16 MBytes 913 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 5] 0.00-10.04 sec 0.00 Bytes 0.00 bits/sec sender
[ 5] 0.00-10.04 sec 1.05 GBytes 902 Mbits/sec receiver
Je met le coup des légère fluctuation au fait qu'un des peers est une VM. Mais on est bien au quasi gigabit là.
Par contre, dès que j'active la moindre règle de firewall.
/ipv6 firewall filter> add chain=forward action=accept
- Je suppose que - le fastpath se désactive, et on tombe à 500 Mb/s.
[ ID] Interval Transfer Bandwidth
[ 5] 0.00-1.00 sec 57.1 MBytes 479 Mbits/sec
[ 5] 1.00-2.00 sec 62.8 MBytes 527 Mbits/sec
[ 5] 2.00-3.00 sec 62.6 MBytes 525 Mbits/sec
[ 5] 3.00-4.00 sec 63.1 MBytes 529 Mbits/sec
[ 5] 4.00-5.00 sec 63.2 MBytes 530 Mbits/sec
[ 5] 5.00-6.00 sec 63.3 MBytes 531 Mbits/sec
[ 5] 6.00-7.00 sec 63.9 MBytes 536 Mbits/sec
[ 5] 7.00-8.00 sec 63.2 MBytes 530 Mbits/sec
[ 5] 8.00-9.00 sec 61.6 MBytes 517 Mbits/sec
[ 5] 9.00-10.00 sec 64.1 MBytes 538 Mbits/sec
[ 5] 10.00-10.04 sec 2.33 MBytes 530 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 5] 0.00-10.04 sec 0.00 Bytes 0.00 bits/sec sender
[ 5] 0.00-10.04 sec 627 MBytes 524 Mbits/sec receiver
étonnant pour la règle accept sur forward, mais effectivement ne n'en mets pas sur mes routeurs...
Bienvenue chez Mikrotik et leurs bug bizarres... :)
Ma conclusion à 2cts.
C'est super frustrant
- Malgré les kilomètres de docs sur le site de Mikrotik, ainsi que leur forum qui compte des millers de messages, ca n'est jamais clairement expliqué comment fonctionne le fastpath et ses limitations. J'ai du trouver l'info dans une prez...
- J'ai posté une question sur le forum de Mikrotik il y a 3 jours. C'est toujours en attente de modération... A croire que ca les déranges d'afficher des questions sans réponse (mode complotiste)
- J'aime bien le form factor du Hex S, avec l'alimentation en 802.3af par le switch auquel il est raccordé.
- N'ajoute que 3.4 W sur le switch en POE, au lieu des 8 W via le transfo de mon EdgeRouter Lite. Et donc chauffe moins...
Alternative ?
- Est-ce que le "hAP ac²", avec son vrai CPU ferait mieux? Apparement c'est similaire au EdgeRouter X, donc ca devrait gérer du gigabit sans offload normalement. Sauf qu'apparement, il chauffe pas mal, j'aime pas le form factor, et d'après la doc, il consomerait 15W, mais est-ce que c'est le max avec un équipement POE sur le port 5? mystère, impossible de trouver la réponse, sauf a en acheter un et tester soit-même. Frustrant...
- Apparement, le RB3011 ferait l'affaire coté débit IPv4/IPv6. Mais il manque l'accélération IPSec...
Frustrant, y a toujours un truc qui cloche, sauf à aller taper dans les CCR, mais ca n'est pas le même prix.
Donc en attendant, j'ai remis mon EdgeRouteur Lite, avec son offload IPv4, IPv6 et IPsec. En esperant que l'offload IPv6 en fasttrack fonctionne dans une future release de RouterOS (je suis sûre que le controlleur sait le gérer en plus, c'est juste pas implémenté)
Le Hex S va aller remplacer un hAP Lite limité à 100Mb/s actuelement sur une fibre Sosh 300/300.
Citation de: halesk2k le 10 Septembre 2018 à 10:35:54
En esperant que l'offload IPv6 en fasttrack
Toujours pas ! Fastpath. Tu n'auras jamais de fasttrack en IPv6.
Sinon, le rb3011 fait le boulot oui. C'est ce que j'ai @ home et pour l'infra de collecte de MilkyWan.
Sur ce coup la, c'est bien ce que j'ai voulu dire. Pourquoi je n'aurais jamais de fasttrack en IPv6 ?
D'après la doc (https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack (https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack)), le fasttrack en IPv4 ne sert pas que pour le NAT, donc pourquoi pas en IPv6 aussi ?
CitationIPv4 FastTrack handler is automatically used for marked connections. Use firewall action "fasttrack-connection" to mark connections for fasttrack. Currently only TCP and UDP connections can be actually fasttracked (even though any connection can be marked for fasttrack). IPv4 FastTrack handler supports NAT (SNAT, DNAT or both).
SI j'en crois ce qui est écrit, une fois qu'une connexion a été taggué fasttrack par l'OS, tous les paquets suivant de la même connexion seront traité par le micro controlleur sans passer par la stack OS.
Et en bonus, le fasttrack gère aussi le NAT, mais ce n'est pas sa fonction principale.
Du coup, j'ai remis le Hex S pour tester (heureusement que le Hex et l'ERL ont la même conf ;) )
J'ai deux vlan locaux sans NAT entre les deux (192.168.50.0/24 et 192.168.70.0/24). Sur le Hex, les IP dans ces deux vlans sont sur la même interface physique, l'un en natif, l'autre en tagué, ce qui explique, je pense, qu'on plafone à 870Mb/s, mais ca suffira pour le test)
Avec le fasttrack (conf par défaut):
alex@d630:~$ iperf3 -c 192.168.50.195
Connecting to host 192.168.50.195, port 5201
[ 4] local 192.168.70.146 port 57114 connected to 192.168.50.195 port 5201
[ ID] Interval Transfer Bandwidth Retr Cwnd
[ 4] 0.00-1.00 sec 105 MBytes 881 Mbits/sec 0 383 KBytes
[ 4] 1.00-2.00 sec 102 MBytes 857 Mbits/sec 0 407 KBytes
[ 4] 2.00-3.00 sec 103 MBytes 864 Mbits/sec 0 430 KBytes
[ 4] 3.00-4.00 sec 104 MBytes 874 Mbits/sec 0 450 KBytes
[ 4] 4.00-5.00 sec 103 MBytes 868 Mbits/sec 0 450 KBytes
[ 4] 5.00-6.00 sec 104 MBytes 875 Mbits/sec 0 450 KBytes
[ 4] 6.00-7.00 sec 105 MBytes 880 Mbits/sec 0 450 KBytes
[ 4] 7.00-8.00 sec 104 MBytes 871 Mbits/sec 0 484 KBytes
[ 4] 8.00-9.00 sec 104 MBytes 873 Mbits/sec 0 508 KBytes
[ 4] 9.00-10.00 sec 104 MBytes 870 Mbits/sec 0 508 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 1.01 GBytes 871 Mbits/sec 0 sender
[ 4] 0.00-10.00 sec 1.01 GBytes 870 Mbits/sec receiver
iperf Done.
Je désactive la règle de marquage fasttrack:
# 8 ;;; defconf: fasttrack
# chain=forward action=fasttrack-connection connection-state=established,related
[alex@bty-gw] /ip firewall filter> set disabled=yes 8
iperf:
alex@d630:~$ iperf3 -c 192.168.50.195
Connecting to host 192.168.50.195, port 5201
[ 4] local 192.168.70.146 port 57118 connected to 192.168.50.195 port 5201
[ ID] Interval Transfer Bandwidth Retr Cwnd
[ 4] 0.00-1.00 sec 50.5 MBytes 424 Mbits/sec 20 170 KBytes
[ 4] 1.00-2.00 sec 49.5 MBytes 415 Mbits/sec 12 154 KBytes
[ 4] 2.00-3.00 sec 49.8 MBytes 418 Mbits/sec 7 163 KBytes
[ 4] 3.00-4.00 sec 50.1 MBytes 420 Mbits/sec 11 134 KBytes
[ 4] 4.00-5.00 sec 49.8 MBytes 418 Mbits/sec 7 177 KBytes
[ 4] 5.00-6.00 sec 51.6 MBytes 433 Mbits/sec 20 132 KBytes
[ 4] 6.00-7.00 sec 51.1 MBytes 429 Mbits/sec 17 174 KBytes
[ 4] 7.00-8.00 sec 51.5 MBytes 432 Mbits/sec 10 154 KBytes
[ 4] 8.00-9.00 sec 51.7 MBytes 434 Mbits/sec 8 163 KBytes
[ 4] 9.00-10.00 sec 51.3 MBytes 431 Mbits/sec 10 198 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 507 MBytes 425 Mbits/sec 122 sender
[ 4] 0.00-10.00 sec 506 MBytes 425 Mbits/sec receiver
iperf Done.
50% de perf en moins sans le fasttrack IPv4. On peut conclure que le fasttrack ne sert donc pas qu'au NAT, mais bien à n'importe quelle session TCP (et UDP, d'après la doc, mais je n'aime pas dire "session udp" :) ). Donc pourqoi pas de fasttrack en IPv6 ? surtout que sur la page du controller (https://www.mediatek.com/products/homeNetworking/mt7621n-a (https://www.mediatek.com/products/homeNetworking/mt7621n-a)), c'est bien spécifié "Network Accelerator: 2Gbps IPv4/6 routing". Je pense que c'est simplement que Mikrotik ne l'a pas implémenté.
Donc je persiste sur ce coup:
Fastpath (routage sans règle de FW): IPv4 et IPv6
Fasttrack: IPv4 uniquement
Et j'epère que Mikrotik va sortir le fasttrack pour IPv6 dans un prochain RouterOS.
Sinon, j'ai un Edgerouter X dans la famille, même plateforme que les Hex/Hex S (mt7621a) et je suis persuadé que l'IPv6 est bien accéléré, même avec quelques règles de firewall, je testerais dès que j'aurais la main dessus :)
Et pour le RB3011, tu me confirmes qu'il peut router l'IPv6 en 1Gb/s avec quelques filter basiques ? Mon besoin, c'est juste de bloquer les connexions entrantes.
Je squate mon topic pour:
1/ Ma question a été validée par la modération sur le forum de Mikrotik ( https://forum.mikrotik.com/viewtopic.php?f=3&t=138946)
2/ Annoncer que Mikrotik a débuggé l'offload ipsec sur le RB3011 apparemment puisque c'est disponible dans la bêta de RouterOS 6.44 (https://forum.mikrotik.com/viewtopic.php?f=21&t=139057).
Ce routeur commence à devenir intéressant :)
Hugues, tu serais super sympa si tu pouvais faire un iperf sur ton RB3011 en IPv6 avec au moins une règle de FW pour valider le 1Gb/s.
Je te fais ça demain, mon rb3011 à la maison est sur un FTTH 300Mbit/s, et ceux qui servent à la collecte ne portent que des tunnels :)
Je sais pas si tu as vu l'annonce du rb4011, mais ça pourrait te plaire aussi !
PS : j'ai commandé un HAP AC2, je testerais a l'occasion.
Ça, c'est super sympa! Et même le "hAP ac²", je suis sûre qu'il en a dans le ventre avec son vrai CPU. Je pense que c'est comme le Edgerouter X, tellement puissant qu'il fait tout en software sans broncher.
J'avais vu le rb4011 mais il consomme 19W. Non pas que je suis super-écolo, mais ça m'embête un peu. "Le hEX S" tourne avec un peu plus de 3W, c'est impressionnant.
Mikrotik a mis à jour les tests de perf IPSec sur le rb3011 et il plafonne à 400Mb/s alors que le rb4011 monte à 2Gb/s.
Sincèrement, les spec du rb4011 sont énorme pour le prix du boîtier... Mais bon, pour mon besoin, 400Mb/s en IPSec suffiront largement. (BGP sur un lien GRE/IPIP over IPSec).
J'attend que l'acceleration IPSec sorte de bêta et/ou que le rb4011 sorte pour de vrai (amazon / eurodk) et je me déciderais pour l'un ou l'autre.
Citation de: halesk2k le 11 Septembre 2018 à 21:32:22
Je pense que c'est comme le Edgerouter X, tellement puissant qu'il fait tout en software sans broncher.
Hum, l'ERX n'est pas puissant du tout. C'est un CPU de brouette dedans, a une époque il n'avait pas d'HW Offload et du coup tout était limité à 600Mbit/s.
L'ERL on peut plus en discuter déjà, même si pour moi ça reste du jouet !
Le truc vraiment cool pour s'éclater, c'est les CCR, ça coute un peu cher, mais c'est incroyablement polyvalent :)
Citation de: halesk2k le 11 Septembre 2018 à 21:32:22
J'avais vu le rb4011 mais il consomme 19W. Non pas que je suis super-écolo, mais ça m'embête un peu. "Le hEX S" tourne avec un peu plus de 3W, c'est impressionnant.
Je vais en acheter un pour tester (enfin je dis 'je', mais c'est pas moi en perso, on a des CPE Mikrotik au boulot donc je peux en acheter pour bench), je te ferais un REX conso a l'occase
Citation de: halesk2k le 11 Septembre 2018 à 21:32:22
Sincèrement, les spec du rb4011 sont énorme pour le prix du boîtier... Mais bon, pour mon besoin, 400Mb/s en IPSec suffiront largement. (BGP sur un lien GRE/IPIP over IPSec).
Fais gaffe aux PPS, c'est généralement ce qui te bloque chez Mikrotik.
Pour BGP et IPIP, tu devrais jeter un oeil à ce qu'on fait chez MilkyWan (https://lafibre.info/milkywan/milkywan-as57199), ça pourrait te plaire ;-)
Attention je suis un big fan d'Ubiquiti, gamme EdgeMax et Unifi :)
Pour avoir testé, l'ERX route et firewall en gigabit sans soucis en IPv4 sûre, et j'ai pas trop de doute qu'il le fasse aussi en IPv6. Et en IPSec, ça monte à plus de 350Mb/s. Quand on voit qu'il coute 50€ TTC sur Amazon, c'est plutôt un bon deal.
Bon maintenant, il sert de switch depuis que j'ai remplacer la livebox fibre 300/300 (ca me démangeait) par un "hAP Lite" qui s'occupe du routage/filtrage/nat. Au passage, c'est la que va aller le "Hex S" qui m'a bien déçu en IPv6.
Perso je suis repassé sur l'ERL qui est ce que j'ai de plus performant actuellement à mettre devant ma - récente - fibre K-Net, bref.
Si ca peut servir à toi ou d'autre, je peux donner mon ressenti avec un rapide mieux/pire par rapport avec Mikrotik sur les features que j'utilise ou que j'ai utilisé.
Gros + Edgerouter:
- Acceleration IPv4/IPv6 sans se poser de question autre que "enable". Simple et efficace, ca juste marche.
- tunnel IPSec (j'y tiens à mon IPSec :) ) en VTI. Ca permet d'avoir des interfaces tunnel pour faire du routage dessus. Ca evite d'avoir a monter un GRE ou IPIP pour faire du routage dynamique. Tu gagnes quelques octet sur la MTU. Et c'est accéléré en hardware.
- Kernel Linux plus récent, je connais la plupart des soft open source qui tournent derrière, on peut simplement tcpdump sur les interfaces, accès root, ...
Gros + Mikrotik:
- Beaucoup de documentation
- Features solides
- Conso électrique, intégration hardware au top, ca semble efficient
- Configuration possible plus fines. J'ai en tête le gestion de la /32 de K-Net, les options DHCP client pour le réseau Orange.
Moins Edgerouter:
- On ressent trop la stack de logiciel qui tourne derrière.
- Il m'est déjà arriver de devoir reboot le routeur pour que ca tombe en marche. Sur des confs tordu, il faut reboot pour que les softs se relance dans le bon ordre.
Moins Mikrotik:
- Bah pas de VTI, obligé de magouiller pour faire du routage sur l'IPSec.
- Implémentation OpenVPN juste risible. Même si en mode site to site, c'est un peu con de faire de l'OpenVPN, ca peut dépanner de temps en temps.
- Pas de VPN IPSec sur IP dynamique
- On sent que le code vieilli et qu'ils galèrent a rester dans la course. Ils réimplémentent tout, mais pas assez vite, le monde avance plus vite qu'eux.
Edgerouteur, c'est un Linux avec plein de truc dedans, plein de features, qui évoluent vite, c'est mis à jour régulièrement, c'est frais quoi :) Mais jamais j'utiliserais un Edgerouter dans l'état pour faire du "core routage" comme tu le fais sur MilkyWan par exemple.
Mikrotik, bah c'est pépère, mais quand ca fonctionne, ca fonctionne. Ca me fait plus penser à du Cisco, simple, efficace, robuste, on pose, ca marche.
Pour les autres points que tu énumères, CCR, trop cher et consomme trop pour un truc @home. Mais si j'en récupère un un jour, je me ferais un plaisir de jouer avec.
Pour les PPS, toujours pour @home, je n'ai pas de besoin particulier. Les cas ou le débit me sert, c'est sur des gros transfert bien large.
Et surtout, n'hésite pas à partager tes tests de matos! J'avais déjà lu ton post sur lafibre.fr, c'est un beau projet qui fait rencontrer pas mal de monde, c'est super cool pour toi!
Allez il est tard, bye :)
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Attention je suis un big fan d'Ubiquiti, gamme EdgeMax et Unifi :)
J'eu été, maintenant je suis plus mitigé...
(Unifi a fond par contre, c'est trop de la balle)
J'ai un ERX pour bypasser ma livebox @ home, derrière un rb3011 qui monte des tunnels l2tp, et encore derrière un ERL qui fait la GW et RA IPv6 (mais pas DHCP/DNS/Whatever)
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Pour avoir testé, l'ERX route et firewall en gigabit sans soucis en IPv4 sûre, et j'ai pas trop de doute qu'il le fasse aussi en IPv6. Et en IPSec, ça monte à plus de 350Mb/s. Quand on voit qu'il coute 50€ TTC sur Amazon, c'est plutôt un bon deal.
Il le route en offloadé. Coupes l'offload, tu satureras à un peu moins de 100kpps, soit... pas le gigabit :p
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
AtBon maintenant, il sert de switch depuis que j'ai remplacer la livebox fibre 300/300 (ca me démangeait) par un "hAP Lite" qui s'occupe du routage/filtrage/nat. Au passage, c'est la que va aller le "Hex S" qui m'a bien déçu en IPv6.
C'est dommage, y'a des switchs sympa chez Mkt :D
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Gros + Edgerouter:
- Acceleration IPv4/IPv6 sans se poser de question autre que "enable". Simple et efficace, ca juste marche.
Sauf si tu fais des tunnels en v6, que tu veux faire passer de l'IPv6 dans un tunnel... etc... Je suis parti de chez Ubiquiti pour cette raison.
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
- tunnel IPSec (j'y tiens à mon IPSec :) ) en VTI. Ca permet d'avoir des interfaces tunnel pour faire du routage dessus. Ca evite d'avoir a monter un GRE ou IPIP pour faire du routage dynamique. Tu gagnes quelques octet sur la MTU. Et c'est accéléré en hardware.
Il me semble que j'en fais au taf, t'es sur que c'est pas géré ? Après ça accélère, mais pas au gig quoi.
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
- Kernel Linux plus récent, je connais la plupart des soft open source qui tournent derrière, on peut simplement tcpdump sur les interfaces, accès root, ...
D'accord sur le principe. Après Mikrotik fournit tout les bons outils (MTR, TcpDump, etc...) en standard, du coup bof :p
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Gros + Mikrotik:
- Beaucoup de documentation
... quand elle est à jour et qu'elle fait ce qu'elle dit c'est cool (coucou les filtres BGP)
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
- Features solides
Vraiment pas du tout. Mikrotik c'est pas frais. J'ai encore eu des bugs de cohérence LDP/OSPF, voir même OSPF qui crashe. Le démon BGP est méga lent et pas opti. Le démon de routage galère à converger RIB/FIB en moins de 3 minutes, MPLS est... hazardeux. IPv6 est codé n'importement (pas de routes récursives en IPv6 si ton nexthop est une link local, don c iBGP sur OSPF en IPv6, bah t'oublies, je suis obligé de faire du ROUTAGE STATIQUE dans mon backbone a cause de ça...), Ajoutes à ça les bonds pas offloadés (et qui te font même perdre des perfs sur des 10G), le manque de protocoles (mais où sont IS-IS, VxLAN, l2tpv3 ?)... Mikrotik c'est sympa mais pas robuste.
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
- Conso électrique, intégration hardware au top, ca semble efficient
Ça c'est du délire. L'intégralité du backbone MilkyWan sur 5 DC consomme moins que mon PC de bureau.
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
- Configuration possible plus fines. J'ai en tête le gestion de la /32 de K-Net, les options DHCP client pour le réseau Orange.
En soi ouais. Après l'exemple du /32, c'est le mauvais, ça marche avec une grosse bidouille :D
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Moins Edgerouter:
- On ressent trop la stack de logiciel qui tourne derrière.
Ouep, surtout quagga, et c'est rageant quand tu sais qu'une conf marche sur Quagga mais pas sur vyatta... :D
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
- Il m'est déjà arriver de devoir reboot le routeur pour que ca tombe en marche. Sur des confs tordu, il faut reboot pour que les softs se relance dans le bon ordre.
Jamais eu ça, mais des fois mon ERX Crashe et ça me fallback la maison en 4G sans raison. Faut le reboot et ça repart.
Autre moins, ça manque d'offload. Sur les 100000 fonctions de la CLI, t'en as genre une dizaine qui sont vraiment offload. C'est énervant :)
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Moins Mikrotik:
- Bah pas de VTI, obligé de magouiller pour faire du routage sur l'IPSec.
Je connais pas, mais voir au dessus
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
- Implémentation OpenVPN juste risible. Même si en mode site to site, c'est un peu con de faire de l'OpenVPN, ca peut dépanner de temps en temps.
Je ne sais pas si il faut en rire ou pleurer...
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
- Pas de VPN IPSec sur IP dynamique
Pareil, ipsec je connais pas
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
- On sent que le code vieilli et qu'ils galèrent a rester dans la course. Ils réimplémentent tout, mais pas assez vite, le monde avance plus vite qu'eux.
Clairement. Soit ils préparent un truc de fou et ils laissent le stagiaire sur ROS6, soit ça commence à puer chez eux.
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Edgerouteur, c'est un Linux avec plein de truc dedans, plein de features, qui évoluent vite, c'est mis à jour régulièrement, c'est frais quoi :) Mais jamais j'utiliserais un Edgerouter dans l'état pour faire du "core routage" comme tu le fais sur MilkyWan par exemple.
Je vais bientôt déployer de l'EdgeRouter Infinity sur un AS, on verra ce que ça donne. Moi j'ai confiance, du Quagga + Debian, ça peut rien donner de mauvais :)
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Mikrotik, bah c'est pépère, mais quand ca fonctionne, ca fonctionne. Ca me fait plus penser à du Cisco, simple, efficace, robuste, on pose, ca marche.
Non non noooooon. Mikrotik c'est a peu près stable, mais pas stable. Je suis en train de virer mes CCR1072 pour passer sur du Cisco ASR sur AS50628 (le boulot), bah je peux te dire que le gap, tu le vois trèèèèèèèèèèèèès bien. Tu redécouvres la stabilité.
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Pour les autres points que tu énumères, CCR, trop cher et consomme trop pour un truc @home. Mais si j'en récupère un un jour, je me ferais un plaisir de jouer avec.
Pour le prix... j'ai jamais payé un CCR :P (on a des 1016-12S-1S+ d'occase a vendre @ work si un jour ça te tente)
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Pour les PPS, toujours pour @home, je n'ai pas de besoin particulier. Les cas ou le débit me sert, c'est sur des gros transfert bien large.
Ben disons qu'en burst c'est sympa de taper le débit max :)
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Et surtout, n'hésite pas à partager tes tests de matos! J'avais déjà lu ton post sur lafibre.fr, c'est un beau projet qui fait rencontrer pas mal de monde, c'est super cool pour toi!
Yes j'y penserais ! Merci :)
Citation de: halesk2k le 12 Septembre 2018 à 00:39:27
Allez il est tard, bye :)
@+ !
Merde, moi qui commencait à bien aimer Mikrotik...
Par contre ta remplacer ta livebox par un ERX, c'est magouille-land. Sur une ligne Orange 300/300, avec un Mkt, y a juste à mettre la règle de QOS et les options dhcp-client pour que ca marche tout seul.
Sinon, j'ai fait quelques tests de tunneling hier entre le Hex S et l'ERL. MAIS C'EST LENTTTT... IPIP ou GRE, c'est la même, ca dépasse pas les 70Mb/s, je ne sais pas encore qui est la fautif :) et moi qui voulais mettre ca dans de l'ipsec transport... Bref...
Oula, perso j'ai le gbit/s en tunnel gre, t'as du oublier du fastpath.
C'est marrant, ma box vient de recevoir le firmware pour qu'enfin je puisse bénéficier d'IPV6 (SFR pour ne pas les citer).
Je configure la bouzin, après quelques tests je me rend compte que je passe de 800 a 500mb/s péniblement.
Me concernant j'ai 5-6 règles de FW pour test en ipv6, que je laisse ou désactive ça ne change pas grand chose.
J'avais été à la pêche sur le forum mkt ou les gens râlent depuis 2019 lol et je suis tombé sur ce forum juste après.
Fasttrack ne sera jamais dispo sur ROS7. Enfin c'est ma vision, et il n'y a qu'a voir les releases de la béta, ils sont effectivement très lent à rattraper la course c'est juste incroyable.
J'avais quitté Unifi pour mkt mais je me rends compte que c'est kifkif quand on merde depuis le départ à vouloir acheter un routeur sans cpu parce qu'il est pas cher.
Je ne m'attendais pas à ce que IPV6 ai un comportement différent (manque de connaissances) que IPV4 sur mkt.
Les retours sur le RB4011+RM sont bon et les gars arrivent à faire du 1Gb en IPV6 c'est certain (j'ai lu plusieurs posts).
Du coup mon prochain routeur sera probablement celui là. Fasttrack n'étant qu'un patch/contournement les gars gueulent tous que si Mkt ne veulent pas implémenter Fasttrack sur l'ipv6 c'est juste pour vendre leur routeurs plus cher sans ajouter un contournement ou se faire ch...
C'est vrais que mon HEX S est vraiment top niveau conso et reboot contrairement à un Unifi ou tu as le temps d'aller faire ta douche.
Et mon unifi (le petit) me souviens même plus comment il s'appele, c'est la même chose niveau cpu. Il faut passer à gros dès le départ.
Citation de: domodial le 02 Avril 2021 à 16:32:44
C'est marrant, ma box vient de recevoir le firmware pour qu'enfin je puisse bénéficier d'IPV6 (SFR pour ne pas les citer).
Je configure la bouzin, après quelques tests je me rend compte que je passe de 800 a 500mb/s péniblement.
Me concernant j'ai 5-6 règles de FW pour test en ipv6, que je laisse ou désactive ça ne change pas grand chose.
J'avais été à la pêche sur le forum mkt ou les gens râlent depuis 2019 lol et je suis tombé sur ce forum juste après.
Fasttrack ne sera jamais dispo sur ROS7. Enfin c'est ma vision, et il n'y a qu'a voir les releases de la béta, ils sont effectivement très lent à rattraper la course c'est juste incroyable.
J'avais quitté Unifi pour mkt mais je me rends compte que c'est kifkif quand on merde depuis le départ à vouloir acheter un routeur sans cpu parce qu'il est pas cher.
Je ne m'attendais pas à ce que IPV6 ai un comportement différent (manque de connaissances) que IPV4 sur mkt.
Les retours sur le RB4011+RM sont bon et les gars arrivent à faire du 1Gb en IPV6 c'est certain (j'ai lu plusieurs posts).
Du coup mon prochain routeur sera probablement celui là. Fasttrack n'étant qu'un patch/contournement les gars gueulent tous que si Mkt ne veulent pas implémenter Fasttrack sur l'ipv6 c'est juste pour vendre leur routeurs plus cher sans ajouter un contournement ou se faire ch...
C'est vrais que mon HEX S est vraiment top niveau conso et reboot contrairement à un Unifi ou tu as le temps d'aller faire ta douche.
Et mon unifi (le petit) me souviens même plus comment il s'appele, c'est la même chose niveau cpu. Il faut passer à gros dès le départ.
Sympa de déterrer mon sujet :) ca fait toujours plaisir de parler réseau.
Sur Mikrotik, il faut bien différencier le fastpath et le fasttrack, car ils n'ont pas le même effet en IPv4 et IPv6.
- Fastpath: c'est le fait de router (au niveau IP) via un ASIC, et donc sans passer par la couche OS, donc pas d'interruption matériel, et l'OS ne voit rien.
- Fasttrack: c'est l'accélération matériel de la conntrack linux. C'est comme fastpath, mais au niveau au dessus (TCP, UDP), l'OS ne voit que les SYN et les paquets que l'ASIC n'a pas réussi a gérer.
A noter que dans les deux cas, un module kernel fait la passerelle pour configurer l'ASIC, puis quasiment tout se passe au niveau matériel et l'OS ne voit quasiment plus rien.
Si on veut utiliser l'accélération hardware Fastpath, il faut configurer le routeur en mode routage uniquement, donc sans aucune règle de firewall, ni nat. A partir du moment où on ajoute 1 règle de firewall ou 1 règle de nat, le routeur va automatiquement faire du connection tracking et donc activer la conntrack. C'est là ou ça devient important car Mikrotik n'a pas implémenté l'accélération hardware Fasttrack pour l'IPv6...
Donc sur un petit routeur Hex S, dans le cas où on s'en sert de firewall, le traffic IPv4 sera bien géré au niveau hardware via le Fasttrack, alors qu'en IPv6, tout passera par le CPU. Et ce pauvre CPU anémique n'est pas capable de tirer plus de 500Mb/s.
Tu parles du RB4011, ça tombe bien car c'est ce que j'ai actuellement, le Hex S ayant migré chez mes parents pour remplacer une box Sosh 300/300. Je te confirme que le RB4011 sait router 1Gb/s IPv4/IPv6 sans aucun, mais alors aucun problème, même en full CPU.
A noter que:
- L'ASIC pour traiter le traffic réseau est intégré au CPU, ca n'est pas un composant dédié.
- Le Hex S partage le même CPU que le Edgerouter X de chez Ubiquiti, qui eux on fait le taff pour que l'IPv6 profite de l'accélération hardware. C'est donc un manque de volonté de la part de Mikrotik et non une limitation hardware.
Pour avoir du 1Gb/s en IPv4 et IPv6 avec du matériel correct, les options sont Edgerouter X (50€) ou RB4011 (200€). J'ai aussi un Edgerouter Lite (80€ je dirais), qui permet d'avoir 3 vrais interfaces réseau (au lieu d'une seule partagé sur le X) et qui est aussi très performant et un peu plus sérieux que le Edgerouteur X.
Fastpath n'existe que pour certains modèles, pas le miens :-X
Je suis bien content que tu confirmes que ton nouveau routeur supporte un débit de 1gbs ;D
Je vais l'acheter le mois prochain car je viens de découvrir ce manque de pêche ipv6 aujourd'hui.
Ca fou la rage quelque part de ne pas tirer la patate de la ligne.
Mais bon c'est comme ça...
Alors il y'a bien du fastpath en IPv6 sur les Mikrotik, mais si tu as une seule règle, même en v4, ça fait sauter le fastpath en v6 aussi.
Par contre, tu peux mettre une règle, ça n'activera pas le conntrack, seulement le slowpath (cf https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS)
Je rejoins Hugues, le Hex S a du fastpath/fasttrack, c'est juste que comme tu utilises la conntrack, ça désactive l'accélération hardware en IPv6.
Ok d'ac ! Je disais cela mais pas correctement, dans le sens car comme j'ai des règles FW c'est mort.
D'ailleurs à part une utilisation différente pour un besoin précis, la majeur partie du temps les usagers comme moi applique des règles de FW.
C'est bien dommage et ça implique de changer d'équipement.
En tous les cas j'ai lu tout vos échanges, vous êtes des furieux du réseau lol ! Moi juste un utilisateur qui aime bien ça sans pousser trop loin ;)
Je viens de recevoir et configurer le RB4011 ;)
J'attends qu'ils me répare ma ligne car je me tape un 30mb/s DL et 540mb/s UP
Du grand n'importe quoi... peut même pas tester le jouet >:(
Citation de: domodial le 16 Avril 2021 à 10:49:20
Je viens de recevoir et configurer le RB4011 ;)
J'attends qu'ils me répare ma ligne car je me tape un 30mb/s DL et 540mb/s UP
Du grand n'importe quoi... peut même pas tester le jouet >:(
Classe 8)
Franchement, pour le tarif, c'est l'un des meilleurs routeur que j'ai eu entre les mains. Ca risque de dépendre surtout des fonctionnalités qu'on utilise, mais pour ma part, il est ultra fiable, 0 plantage, 0 ralentissement, ça juste marche tout le temps. A noter que je suis sur la branch long-term.
[alex@bty-gw] > /system package update print
channel: long-term
installed-version: 6.47.9
Moi je suis sur la branche Stable 8)
Par contre je ne sais pas si c'est moi qui déraille, (j'ai changé la box hier car ils pensaient que c'était la box mon débit pourrit).
Depuis je n'ai plus d'IPV6, enfin si mais je ne peux pas accéder au net.
Tout est ok dans la box SFR Fibre Plus (DMZ), de mon coté tout semble ok, mes machines disposent bien d'adresses IPV6 mais impossible de sortir dehors.
Je ne connais pas la config de SFR pour l'IPv6, et comme chacun va de son implémentation plus ou moins pourri...
Si t'as suivi ce tuto (le premier qui sort d'une recherche google), https://lafibre.info/remplacer-sfr/mikrotik-34744/msg666214/#msg666214, c'est pas top top, par exemple le drop ICMPv6 en première ligne, c'est pas conseillé, ICMP != ping, surtout en IPv6.
En effet je suis passé sur cette page, mais je n'ai pas mis de drop au début sur l'adresse du routeur.
Juste quelques règles de base, quand ça fonctionnait je n'avais mis que 4 règles, là plus rien ne fonctionne.
Bref
add action=accept chain=input comment="allow established and related" connection-state=established,related
add chain=input action=accept protocol=icmpv6 comment="accept ICMPv6"
add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute"
add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/16 comment="accept DHCPv6-Client prefix delegation."
add action=drop chain=input in-interface=sit1 log=yes log-prefix=dropLL_from_public src-address=fe80::/16
add action=accept chain=input comment="allow allowed addresses" src-address-list=allowed
add action=drop chain=input
Perso, je commencerais par un ACCEPT any-any-any (source addr, dest addr, port) pour vérifier qu'au moins l'IPv6 fonctionne.
Si ca peut aider, voilà une version allégé de ma conf IPv6.
/ipv6 firewall filter
add action=log chain=logdrop-inout limit=1,10 log-prefix="[drop-inout6]"
add action=drop chain=logdrop-inout
add action=log chain=logdrop-forward limit=1,10 log-prefix="[drop-forward6]"
add action=drop chain=logdrop-forward
add action=accept chain=input dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=wan-input protocol=icmpv6
add action=accept chain=lan-input protocol=icmpv6
add action=accept chain=lan-input connection-state=new port=22 protocol=tcp
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=jump chain=input in-interface-list=WAN jump-target=wan-input
add action=jump chain=input in-interface-list=LAN jump-target=lan-input
add action=jump chain=input jump-target=logdrop-inout
add action=accept chain=output connection-state=established,related,new,untracked
add action=jump chain=output jump-target=logdrop-inout
add action=accept chain=forward connection-state=established,related,untracked
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward src-address-list=bad_ipv6
add action=drop chain=forward dst-address-list=bad_ipv6
add action=drop chain=forward hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward protocol=icmpv6
add action=accept chain=forward dst-port=500,4500 protocol=udp
add action=accept chain=forward protocol=ipsec-ah
add action=accept chain=forward protocol=ipsec-esp
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward connection-state=new in-interface-list=LAN out-interface-list=WAN
add action=jump chain=forward jump-target=logdrop-forward
Je te remercie ! ça ne fonctionne pas mieux.
Il se trouve peut être que le modem neuf déconne ;D