Bonsoir,
La "preferred source" dans une route IP est une très bonne idée et sera plus performante. Si on veut gérer du multi LAN avec le relais DHCP et avoir exactement le même comportement que Cisco, il est possible d'utiliser le filtre Layer7 pour matcher le champ "Relay Agent IP Address". L'intérêt est limité, mais voici un exemple : LAN 1 : 192.168.255.0/24 IP du routeur 192.168.255.1 LAN 2 : 192.168.200.0/24 IP du routeur 192.168.200.1 IP du serveur DHCP distant : 192.168.2.1 Config du NAT : /ip firewall layer7-protocol add name=IP-LAN-1 regexp="\\xC0\\xA8\\xFF\\x01" /ip firewall layer7-protocol add name=IP-LAN-2 regexp="\\xC0\\xA8\\xC8\\x01" # pour définir IP, il faut convertir les bloc de IP en hexadecimal sans les points https://codebeautify.org/ip-to-hex-converter /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.2.1 dst-port=67 layer7-protocol=IP-LAN-1 out-interface=sfp1 protocol=udp to-addresses=192.168.255.1 /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.2.1 dst-port=67 layer7-protocol=IP-LAN-2 out-interface=sfp1 protocol=udp to-addresses=192.168.200.1 # Ne pas simplifier les règles de NAT, l'IP de destination, le protocole et le port, car le layer7 consomme beaucoup de ressources CPU. L'intérêt de cette configuration est limité, sauf peut-être pour donner un exemple de matching avec Layer 7. Bien cordialement, ALEGRI Rémy ________________________________ De : Iberio DOVAL <[email protected]> Envoyé : lundi 26 août 2024 21:51:53 À : Steeve BEAUVAIS - Société Serinya Telecom; Rémy ALEGRI Cc : frnog-tech Objet : Re: [FRnOG] [TECH] Mikrotik et relais DHCP Bonsoir à tous, En ajoutant une route statique avec une Pref. Source, l'IP source du DISCOVER est correcte : add disabled=no distance=1 dst-address=192.168.255.1/32 gateway=sfp1 pref-src=192.168.2.1 (Testé en 7.14.2) Cordialement, Ibério Le 26/08/2024 19:31, « [email protected] <mailto:[email protected]> au nom de Steeve BEAUVAIS - Société Serinya Telecom » <[email protected] <mailto:[email protected]> au nom de [email protected] <mailto:[email protected]>> a écrit : [Vous ne recevez pas souvent de courriers de [email protected] <mailto:[email protected]>. Découvrez pourquoi ceci est important à https://aka.ms/LearnAboutSenderIdentification <https://aka.ms/LearnAboutSenderIdentification> ] Merci pour le retour :) La NAT est dans mes pistes mais comme tu le dis c'est pas la meilleure solution. Au moins ta réponse ajoute une pièce à cette éventualité :p J'ai regardé cette option local-address, malheureusement ,elle ne change pas l'IP source mais elle ajoute l'info dans le datagramme du paquet DHCP ce qui permet au serveur de répondre un OFFER sur le bon pool. Au cas où, je précise que dans mon mail initial quand je parle OFFER je pense DISCOVER mais c'est le soir ^^ Cordialement, Steeve Le lun. 26 août 2024 à 19:24, Rémy ALEGRI <[email protected] <mailto:[email protected]>> a écrit : > Bonjour, > > > La solution que j'ai déjà appliquée consiste à ajouter une règle de NAT > vers le serveur. Cela fonctionne si le routeur gère uniquement un seul LAN. > > > voici un exemple de règle de NAT: > > dst-address=192.168.255.1 (adresse IP du serveur DHCP distant) > > to-addresses=192.168.2.1 (adresse IP LAN du routeur) > > out-interface=sfp1 (l'interface de sortie WAN) > > > /ip firewall nat add action=src-nat chain=srcnat comment="NAT DHCP RELAY" > dst-address=192.168.255.1 dst-port=67 out-interface=sfp1 protocol=udp > to-addresses=192.168.2.1 > > > > Il semble que, depuis une mise à jour, il est possible d'ajouter le *paramètre > *"adresse-locale" dans le relais DHCP, (disponible en version 7.10.1). Je > n'ai pas testé, mais cela semble être une amélioration significative à la > règle de NAT. > > > > Bien cordialement, > > ALEGRI Rémy > > > > ------------------------------ > *De :* [email protected] <mailto:[email protected]> > <[email protected] <mailto:[email protected]>> de la part de > Steeve BEAUVAIS - Société Serinya Telecom < > [email protected] <mailto:[email protected]>> > *Envoyé :* lundi 26 août 2024 18:42:38 > *À :* frnog-tech > *Objet :* [FRnOG] [TECH] Mikrotik et relais DHCP > > Bonjour à tous ! > > Je suis bloqué sur une feature toute bête avec les Mikrotik. > En gros, j'utilise du relais DHCP sur mes CPE, pour forward les paquets > DHCP au serveur de certains de mes clients. > > Mais les Mikrotik envoient le paquet avec en IP source l'adresse de > l'interface qu'ils utilisent pour envoyer le paquet donc généralement l'IP > WAN et non l'IP de l'interface d'où provient l'OFFER comme le fait un > Cisco, par exemple. > > Le problème étant que le client n'est pas censé connaître ces IP WAN > (j'utilise la RFC6598). Donc soit le client n'a pas de route retour donc le > paquet ne revient jamais, soit son pare-feu en amont du DHCP filtre et la > client ne souhaite pas changer sa règle à raison. > > Vous connaissez une conf sur Mikrotik qui permet de régler ça (je cherche > mais je ne trouve pas pour le moment) où est-ce que vous utilisez une > méthode autre si vous avez rencontré le cas ? > > Merci d'avance :) > > Cordialement, > Steeve > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ <http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
