Le 10/10/2022 à 10:42, David Ponzone a écrit :
Le 10 oct. 2022 à 10:19, Xavier Beaudouin via frnog <frnog@frnog.org> a écrit :
Salut Laurent,
J'aimerais bien retrouver la maitrise de mes LAN, en partie perdue avec le
passage à la fibre ! Quel routeur / firewall conseillerais-tu ?
Alors ça dépends de ton opérateur FTTH. Certains te laisserons juste l'ONT,
d'autres
auront l'ONT intégrés à la "boiteacon"...
Sur ceux qui te laissent l'ONT, tu as plusieurs possibilités :
- session via un protocole X ou Y (pppoE ou juste via un VLAN)
- pas de session le vlan est décapsulé direct sur l'ONT...
Dans ce cas et uniquement ce cas tu peux prendre un routeur / firewall de ton
choix...
Dans l'autre cas, t'es obligé de garder la "boiteacon" et prier pour qu'elle
soit
stable... (et faire du NAT44 parce que... bon le mode bridge ce n'est pas donné
à tous les opérateurs…)
Tu vas l’embrouiller là :)
Ca va aller quand même :-)
Parce que dans les 2 cas, il peut mettre le routeur de son choix, à la
différence que:
-si ONT opérateur seul, son routeur portera l’IP publique et fera le NAT
Ce n'est pas le cas en l'occurrence.
-si ONT/CPE opérateur, son routeur ne portera pas l’IP publique et donc le CPE
opérateur fera le NAT (après double NAT ou pas, ça dépend si on veut s’emmerder
avec une route statique sur le CPE opérateur)
Là franchement le double NAT dépasse mes compétences et je manque de motivation
pour en acquérir.
Petite remarque au passage: les FTTH B2B collectés par des opérateurs
alternatifs sont livrées sur ONT seul, donc à moins que l’opérateur alternatif
n’impose son CPE, on est dans le bas de figure le plus propre. Par contre, la
plus grande partie de ces FTTH sont livrés en PPPoE (parce que pour le réseau
de collecte et pour le collecteur, c’est plus simple de gérer du PPPoE avec
realm que du DHCP avec Option 82), et il y a certains équipements, surtout du
côté des firewall d’entrée de gamme qui peuvent encore avoir du mal à
encaps/decaps 700 ou 800Mbps de PPPoE.
Essentiellement je pense parce que les constructeurs de CPE ne sont pas
forcément proches des opérateurs, et ils devaient penser que PPPoE allait
mourrir avec le DSL.
A tester donc.
Perso, si y a pas besoin de firewall chez le client, je recommande un petit
Mikrotik, ça fait très bien le boulot, et ça sait monter des tunnels très
stables.
Et le scripting intégré du MK permet des choses intéressantes/rigolotes.
Merci pour ces complément d'information ; du coup je suis encore plus motivé
pour me renseigner sur le Mikrotik (je manque un peu de temps par contre pour le
faire immédiatement là tout de suite :-)
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
