Merci à tous pour les retours ! Je teste demain, j'ai justement plusieurs VLANs. Je vous tiens au courant.
Cordialement, Steeve Le lun. 26 août 2024 à 22:43, Rémy ALEGRI <[email protected]> a écrit : > Bonsoir, > > > La "preferred source" dans une route IP est une très bonne idée et sera > plus performante. > > > Si on veut gérer du multi LAN avec le relais DHCP et avoir exactement le > même comportement que Cisco, il est possible d'utiliser le filtre Layer7 > pour matcher le champ "Relay Agent IP Address". L'intérêt est limité, mais > voici un exemple : > > LAN 1 : 192.168.255.0/24 > IP du routeur 192.168.255.1 > > > LAN 2 : 192.168.200.0/24 > > IP du routeur 192.168.200.1 > > > IP du serveur DHCP distant : 192.168.2.1 > > > Config du NAT : > > /ip firewall layer7-protocol add name=IP-LAN-1 > regexp="\\xC0\\xA8\\xFF\\x01" > > /ip firewall layer7-protocol add name=IP-LAN-2 regexp="\\xC0\\xA8\\xC8\ > \x01" > # pour définir IP, il faut convertir les bloc de IP en hexadecimal sans > les points https://codebeautify.org/ip-to-hex-converter > > /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.2.1 > dst-port=67 layer7-protocol=IP-LAN-1 out-interface=sfp1 protocol=udp > to-addresses=192.168.255.1 > /ip firewall nat add action=src-nat chain=srcnat dst-address=192.168.2.1 > dst-port=67 layer7-protocol=IP-LAN-2 out-interface=sfp1 protocol=udp > to-addresses=192.168.200.1 > # Ne pas simplifier les règles de NAT, l'IP de destination, le protocole > et le port, car le layer7 consomme beaucoup de ressources CPU. > > > L'intérêt de cette configuration est limité, sauf peut-être pour donner un > exemple de matching avec Layer 7. > > > Bien cordialement, > ALEGRI Rémy > ------------------------------ > *De :* Iberio DOVAL <[email protected]> > *Envoyé :* lundi 26 août 2024 21:51:53 > *À :* Steeve BEAUVAIS - Société Serinya Telecom; Rémy ALEGRI > *Cc :* frnog-tech > *Objet :* Re: [FRnOG] [TECH] Mikrotik et relais DHCP > > Bonsoir à tous, > > En ajoutant une route statique avec une Pref. Source, l'IP source du > DISCOVER est correcte : > > add disabled=no distance=1 dst-address=192.168.255.1/32 gateway=sfp1 > pref-src=192.168.2.1 > (Testé en 7.14.2) > > Cordialement, > Ibério > > Le 26/08/2024 19:31, « [email protected] < > mailto:[email protected] <[email protected]>> au nom de > Steeve BEAUVAIS - Société Serinya Telecom » <[email protected] < > mailto:[email protected] <[email protected]>> au nom de > [email protected] < > mailto:[email protected] > <[email protected]>>> a écrit : > > > [Vous ne recevez pas souvent de courriers de > [email protected] < > mailto:[email protected] > <[email protected]>>. Découvrez pourquoi ceci est > important à https://aka.ms/LearnAboutSenderIdentification < > https://aka.ms/LearnAboutSenderIdentification> ] > > > Merci pour le retour :) > > > La NAT est dans mes pistes mais comme tu le dis c'est pas la meilleure > solution. Au moins ta réponse ajoute une pièce à cette éventualité :p > J'ai regardé cette option local-address, malheureusement ,elle ne change > pas l'IP source mais elle ajoute l'info dans le datagramme du paquet DHCP > ce qui permet au serveur de répondre un OFFER sur le bon pool. > > > Au cas où, je précise que dans mon mail initial quand je parle OFFER je > pense DISCOVER mais c'est le soir ^^ > > > Cordialement, > Steeve > > > > > Le lun. 26 août 2024 à 19:24, Rémy ALEGRI <[email protected] < > mailto:[email protected] <[email protected]>>> a écrit : > > > > Bonjour, > > > > > > La solution que j'ai déjà appliquée consiste à ajouter une règle de NAT > > vers le serveur. Cela fonctionne si le routeur gère uniquement un seul > LAN. > > > > > > voici un exemple de règle de NAT: > > > > dst-address=192.168.255.1 (adresse IP du serveur DHCP distant) > > > > to-addresses=192.168.2.1 (adresse IP LAN du routeur) > > > > out-interface=sfp1 (l'interface de sortie WAN) > > > > > > /ip firewall nat add action=src-nat chain=srcnat comment="NAT DHCP RELAY" > > dst-address=192.168.255.1 dst-port=67 out-interface=sfp1 protocol=udp > > to-addresses=192.168.2.1 > > > > > > > > Il semble que, depuis une mise à jour, il est possible d'ajouter le > *paramètre > > *"adresse-locale" dans le relais DHCP, (disponible en version 7.10.1). Je > > n'ai pas testé, mais cela semble être une amélioration significative à la > > règle de NAT. > > > > > > > > Bien cordialement, > > > > ALEGRI Rémy > > > > > > > > ------------------------------ > > *De :* [email protected] <mailto:[email protected] > <[email protected]>> <[email protected] < > mailto:[email protected] <[email protected]>>> de la part de > > Steeve BEAUVAIS - Société Serinya Telecom < > > [email protected] < > mailto:[email protected] > <[email protected]>>> > > *Envoyé :* lundi 26 août 2024 18:42:38 > > *À :* frnog-tech > > *Objet :* [FRnOG] [TECH] Mikrotik et relais DHCP > > > > Bonjour à tous ! > > > > Je suis bloqué sur une feature toute bête avec les Mikrotik. > > En gros, j'utilise du relais DHCP sur mes CPE, pour forward les paquets > > DHCP au serveur de certains de mes clients. > > > > Mais les Mikrotik envoient le paquet avec en IP source l'adresse de > > l'interface qu'ils utilisent pour envoyer le paquet donc généralement > l'IP > > WAN et non l'IP de l'interface d'où provient l'OFFER comme le fait un > > Cisco, par exemple. > > > > Le problème étant que le client n'est pas censé connaître ces IP WAN > > (j'utilise la RFC6598). Donc soit le client n'a pas de route retour donc > le > > paquet ne revient jamais, soit son pare-feu en amont du DHCP filtre et la > > client ne souhaite pas changer sa règle à raison. > > > > Vous connaissez une conf sur Mikrotik qui permet de régler ça (je cherche > > mais je ne trouve pas pour le moment) où est-ce que vous utilisez une > > méthode autre si vous avez rencontré le cas ? > > > > Merci d'avance :) > > > > Cordialement, > > Steeve > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ <http://www.frnog.org/> > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> > > > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
