> Le 10 oct. 2022 à 10:19, Xavier Beaudouin via frnog <frnog@frnog.org> a écrit > : > > Salut Laurent, > >> J'aimerais bien retrouver la maitrise de mes LAN, en partie perdue avec le >> passage à la fibre ! Quel routeur / firewall conseillerais-tu ? > > Alors ça dépends de ton opérateur FTTH. Certains te laisserons juste l'ONT, > d'autres > auront l'ONT intégrés à la "boiteacon"... > Sur ceux qui te laissent l'ONT, tu as plusieurs possibilités : > - session via un protocole X ou Y (pppoE ou juste via un VLAN) > - pas de session le vlan est décapsulé direct sur l'ONT... > > Dans ce cas et uniquement ce cas tu peux prendre un routeur / firewall de ton > choix...
> Dans l'autre cas, t'es obligé de garder la "boiteacon" et prier pour qu'elle > soit > stable... (et faire du NAT44 parce que... bon le mode bridge ce n'est pas > donné > à tous les opérateurs…) Tu vas l’embrouiller là :) Parce que dans les 2 cas, il peut mettre le routeur de son choix, à la différence que: -si ONT opérateur seul, son routeur portera l’IP publique et fera le NAT -si ONT/CPE opérateur, son routeur ne portera pas l’IP publique et donc le CPE opérateur fera le NAT (après double NAT ou pas, ça dépend si on veut s’emmerder avec une route statique sur le CPE opérateur) Petite remarque au passage: les FTTH B2B collectés par des opérateurs alternatifs sont livrées sur ONT seul, donc à moins que l’opérateur alternatif n’impose son CPE, on est dans le bas de figure le plus propre. Par contre, la plus grande partie de ces FTTH sont livrés en PPPoE (parce que pour le réseau de collecte et pour le collecteur, c’est plus simple de gérer du PPPoE avec realm que du DHCP avec Option 82), et il y a certains équipements, surtout du côté des firewall d’entrée de gamme qui peuvent encore avoir du mal à encaps/decaps 700 ou 800Mbps de PPPoE. Essentiellement je pense parce que les constructeurs de CPE ne sont pas forcément proches des opérateurs, et ils devaient penser que PPPoE allait mourrir avec le DSL. A tester donc. Perso, si y a pas besoin de firewall chez le client, je recommande un petit Mikrotik, ça fait très bien le boulot, et ça sait monter des tunnels très stables. Et le scripting intégré du MK permet des choses intéressantes/rigolotes. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
