Вы находитесь на странице: 1из 123

Module- 2

Les Paramètres de
Configuration par
Défaut & DHCP
1. Les Paramètres de Configuration par défaut

Tous les équipements fonctionnant sous RouterOS possèdent tous une
configuration par défaut qui leur est commune.

Sur les équipement les plus petits il y aura forcément:

Une règle NAT(Network Address Translation);

Des règles de pare-feu pour:

Autoriser du trafic sortant (Outbound traffic)

Bloquer du trafic entrant (Inbound traffic).

Les plus gros et plus puissants équipements tels que les
CCR(Cloud Core Router):

Possèdent une adresse IP par défaut

Ne possèdent aucune règle de pare-feu ou de NAT

Requièrent que les administrateurs implémentent eux mêmes des
règles de pare-feu et des règles de NAT qui leur conviennent.

Pour afficher la configuration par défaut via l’interface ligne de
commandes, exécutez la commande:
[admin@CAPsMAN_MAIN] > /system default-configuration print
[admin@CAPsMAN_MAIN] > /sy default-conf/ p
[admin@CAPsMAN_MAIN] > /sy d pr


Les trois commandes ci-dessus sont équivalentes.

1.1.Les Paramètres d’Authentification - Credentials



Les paramètres d’authentification par défaut sur un équipement
MikroTik sont:


Usernam: admin


Password: “aucun mot de passe”

Pour une sécurité renforcée de votre infrastructure réseau:

Les administrateurs devraient créer un mot de passe complexe pour
l’utilisateur “admin” avant de procéder à tout autre configuration.

Il serait plus judicieux de désactiver le compte “admin” après avoir
créé d’autres utilisateurs auxquels vous aurez attribuer des droits
d’administrateur.

Le fait d'avoir des comptes uniques pour chaque personne qui se
connecte à l'appareil permet de rendre compte des modifications
apportées aux appareils de l'organisation.
1.2.Les Interfaces

Généralement sur tous les équipements tournant sous RouterOS, la
toute première interface Ethernet (ether 1) est réservée pour
fonctionner en tant que interface WAN(Wide Area Network).

La deuxième interface Ethernet (ether 2) et les autres sont
configurées pour des fonctions LAN (Local Area Network).

1.3.Les Adresses IP sur les Interfaces LAN



L’adresse IP par défaut des interfaces LAN sur tous les équipements
MikroTik est la même:

Adresse IP: 192.168.88.1

Masque de sous-réseau: 255.255.255.0

Adresse Réseau: 192.168.88.0

Adresse de diffusion: 192.168.88.255

Le service DHCP(Dynamic Host Configuration Protocol) est activé par
défaut sur les interfaces LAN d’un équipement MikroTik.
MISE EN GARDE
Les routeurs virtuels tels que le CHR(Cloud Hosted Router) et les
plateforme matérielle x86 compatibles avec RouterOS ne possèdent pas
des adresses IP qui sont pré-configurées sur l’une de leurs interfaces.

1.4.Les Adresses IP dynamiques



Le service DHCP(Dynamic Host Configuration Protocol) est activé par
défaut sur les interfaces LAN d’un équipement MikroTik.

La configuration d’un adressage IP automatique sur un équipement
MikroTik qui n’en possède pas, est assez facile et précise. Elle peut se
faire:

Via l’interface ligne de commandes;

Via l’interface graphique de WinBox.
1.4.1. Interface WAN – Client DHCP

Par défaut, l’interface ether 1 sur tout équipement MikroTik est en
mode Client DHCP.

Pour afficher les configurations en mode client DHCP qui existent sur
un équipement MikroTik, exécutez la commande suivante:

[admin@CAPsMAN_MAIN] > /ip dhcp-client print detail


Flags: X - disabled, I - invalid, D - dynamic
0 XI ;;; defconf
interface=*D add-default-route=yes default-route-distance=1
use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid

1 XI interface=ether1 add-default-route=yes default-route-distance=1


use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid

2 interface=bridge add-default-route=yes default-route-distance=1


use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid
status=searching...


Pour afficher les configurations en mode client DHCP qui existent sur
un équipement MikroTik via l’interface graphique de WinBox procédez
comme suit:
1.4.2. Interface LAN – Serveur DHCP

L’adresse IP par défaut des interfaces LAN sur tous les équipements
MikroTik est la même:

Adresse IP: 192.168.88.1

Masque de sous-réseau: 255.255.255.0

Adresse Réseau: 192.168.88.0

Adresse de diffusion: 192.168.88.255

Le service DHCP(Dynamic Host Configuration Protocol) est activé
par défaut sur les interfaces LAN d’un équipement MikroTik de petite
capacité.

L’adresse IP 192.168.88.1/24 servira de passerelle par défaut pour
toutes les machines du réseau local.

L’implémentation de bout en bout d’un serveur DHCP sur un
équipement MikroTik sera abordé plus loin.
1.5.Le Pare-Feu (Firewall)

Il existe de nombreuses règles de pare-feu pour protéger les
équipements RouterBOARD dès qu’ils sont connectés à Internet.

Ces règles peuvent protéger l’équipement contre les connexions
nuisibles venant de l’extérieur, bien que le manque d’un mot de passe
complexe par défaut constitue une vulnérabilité.

Les équipements de la gamme CHR(Cloud Hosted Router) ne
possèdent pas de règles de pare-feu par défaut.

La configuration des règles d’un pare-feu est abordée en détails plus
loin.

Sur les équipements qui possèdent par défaut des règles de pare-feu,
les lignes ci-après donnent un aperçu sur les types de trafic réseau qui
sont autorisés.
1.5.1. Acheminement du Trafic – Forward Trafic

Par défaut, les connexions traversant un routeur MikroTik via un trafic
sortant sont autorisées grâce à la règle NAT masquerade.

Ce trafic venant des réseaux locaux filaires comme sans-fil est autorisé à
traverser le routeur MikroTik.

Tout trafic entrant sur l’interface WAN (ether 1) et qui ne fait pas parti
d’une connexion sortante déjà établie est bloqué pour empêcher le fait
qu’un attaquant n’usurpe le trafic afin d’atteindre vos réseaux locaux.

NB: Il faut comprendre par “forward” le fait qu’un paquet passe à travers
le routeur pour joindre un réseau extérieur (ex: Internet).
1.5.2. Trafic Entrant – Input Trafic

Les connexions entrante sur l’interface WAN qui n’ont pas été initiées
précédemment par un trafic sortant (LAN > WAN) sont bloquées. Ce
filtrage empêche le succès des analyses par balayage de ports (Port
Scanning) TCP/UP et d’autres mécanismes de reconnaissance.

Les connexions vers le routeur et ce, depuis les réseaux internes (LANs)
sont acceptées. Ces connexions permettent aux administrateurs
d’accéder facilement au routeur MikroTik via WinBox, SSH, etc …

Il y a un exception pour les règles par défaut du pare-feu: elle
concerne le trafic ICMP(Internet Control Message Protocol). Elle
autorise toute personne à envoyer des requêtes ICMP (ping) vers
l’équipement. Ceci peut être utile pour l’amorçage du démarrage d’un
routeur ou pour les tâches de maintenance.

Des standards de conformité tels que PCI-DSS(Payment Card Industry –
Data Security Standards) n’autorisent pas ce type (ICMP) de connexion
depuis des hôtes externes au réseau d’une organisation.
1.5.3. Trafic Sortant – Output Trafic

Par défaut, toutes les connexions (ou trafics) sortant d’un routeur vers
des resources comme les serveurs DNS et NTP sont autorisées.

Aucun filtrage active n’est configuré par défaut pour filter du trafic
correspondant à la chaîne Output.

Nous reviendrons plus loin sur la notion de chaîne au niveau du pare-feu
de RouterOS.

1.5.4. NAT (Network Address Translation)



Par défaut, tout trafic sortant vers Internet par l’interface ether 1
connaîtra par défaut l’influence du protocole NAT.


Tout le trafic sortant par l’interface ether 1 apparaîtra comme venant de
l’unique adresse IP publique qui est configurée sur cette interface.
1.6.Les Services IP

Par défaut, les instances du système RouterOS exécutent par défaut des
services IP. Ceci facilite l’accessibilité de l’équipement mais peut aussi
représenter des risques de sécurité.

Sur des équipements en production, vous devriez impérativement
désactiver les protocoles nons sécurisés de RouterOS tels que http, ftp,
api, telnet, ...
2. Les Interfaces
2.1.Les Types d’Interfaces

Le système RouterOS supports plusieurs types d’interface réseau qui
sont réparties en deux groupes principaux:

Les interfaces physiques:

Ethernet:

ports RJ45 ,

port SFP & modules SFP

Sans-Fil (Wireless)

Carte sans-fil intégrée

Carte MPCI-E

Cellulaire:

Clé USB 3G/ 4G/ 4G LTE

Carte MPCI-E 3G/ 4G/ 4G LTE

Les interfaces logiques (ou logicielles):

VLANs (Virtual Local Area Networks)

Tunnels:

GRE: Generic Routing Encapsulation,

EoIP: Ethernet over IP

IP-IP: IP in IP

PPP: Point to Point Protocol

L2TP: Layer 2 Tunneling Protocol

VRRP: Virtual Router Redundancy Protocol

Ponts (Bridges)

Ethernet virtuel (Virtual Ethernet)

VPLS: Virtual Private LAN Service
2.2.Commande de Listage d’Interfaces

Pour afficher la liste de toutes les interfaces sur un système RouterOS,
employez la commande: /interface print .
[admin@CAPsMAN_MAIN] > /interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU
0 R ether1 ether 1500 1598
1 X ether2 ether 1500 1598
2 RS ether3 ether 1500 1598
3 S ether4 ether 1500 1598
4 S ether5 ether 1500 1598
5 S ether6 ether 1500 1598
6 S ether7 ether 1500 1598
7 S ether8 ether 1500 1598
8 RS ether9 ether 1500 1598
9 S ether10 ether 1500 1598
10 S sfp1 ether 1500 1598
11 XS ;;; managed by CAPsMAN
wlan1 wlan 1500 1600
12 R bridge bridge 1500 1598
13 R bridge-HotSpot bridge 1500 1598
14 S cap1 cap 1500 1600
15 DRS cap2 cap 1500 1600
16 D ;;; no supported channel
cap3 cap

Pour afficher le nombre total d’interfaces sur un système RouterOS,
employez la commande:
[admin@CAPsMAN_MAIN] > /interface print count-only
17


Pour afficher le nombre total d’interfaces sans-fil sur un système
RouterOS, employez la commande:
> /interface print count-only where type=”wlan”
1

2.3.Les Statistiques sur les Interfaces



Pour afficher les statistiques des paquets qui sont transmis ou reçus sur
les interfaces actives, employez la commande suivante:
> /interface print stats where running
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME RX-BYTE TX-BYTE RX-PACKET TX-PACKET
0 R ether1 99 104 562 826 13 907 573 769 83 474 325 60 053 195
1 RS ether3 1 137 839 029 11 637 832 977 6 627 700 16 937 956
2 RS ether9 14 395 247 841 80 317 620 502 64 164 608 73 789 282
3 R bridge 1 955 037 534 22 597 793 433 12 663 873 25 496 794
4 R bridg... 14 125 332 338 80 006 723 011 64 164 084 73 790 074
5 DRS cap2 929 751 070 11 077 326 762 6 043 184 8 875 795
2.4.Les Interfaces Ethernet

Par défaut, l’interface ether1 est configurée en client DHCP afin qu’elle
puisse obtenir automatiquement une adresse IP.

L’interface ether2 et les autres (ether3, 4, …) sont souvent dépendants
d’un même pont (bridge) en utilisant l’option Master Port. Cette option
n’existe plus sur les versions récentes de RouterOS.

Ce pont nommé par défaut bridge regroupe logiquement toutes les
interfaces qui constituent la partie LAN(Local Area Network) d’un
équipement RouterBOARD.

En configuration par défaut, les équipements de la gamme
SOHO(Small Office Home Office) ont leur interface ether2 nommée
ether2-master.

Sur les équipements RB7xx et RB9xx, le port ether2 est employé
comme port maître (master port). Ainsi, les interfaces ether3 ...
ether5 dépendent de l’interface ether2 car elle est en mode maître
(master).

Les interfaces ether3 … ether5 sont en mode slave (escalve).
MISE EN GARDE

Seules les interfaces qui sont en mode master (maître) peuvent recevoir
une configuration d’adresse IP.

Si vous souhaitez attribuer une adresse IP à une interface qui était
précédemment en mode esclave (slave), il faut impérativement la mettre
en mode maître (master).

Le mode slave (esclave) d’une interface est indiqué par la présence de
la lettre “ S “ - Slave dans la colonne qui précède le nom d’une
interface.

Indication d’une interface


en mode Slave.
[admin@CAPsMAN_MAIN] > interface ethernet print brief

Flags: X - disabled, R - running, S - slave


# NAME MTU MAC-ADDRESS ARP SWITCH
0 R ether1 1500 74:4D:28:29:AC:15 enabled switch1
1 X ether2 1500 74:4D:28:29:AC:16 enabled switch1
2 RS ether3 1500 74:4D:28:29:AC:17 enabled switch1
3 S ether4 1500 74:4D:28:29:AC:18 enabled switch1
4 S ether5 1500 74:4D:28:29:AC:19 enabled switch1
5 S ether6 1500 74:4D:28:29:AC:1A enabled switch2
6 S ether7 1500 74:4D:28:29:AC:1B enabled switch2
7 S ether8 1500 74:4D:28:29:AC:1C enabled switch2
8 RS ether9 1500 74:4D:28:29:AC:1D enabled switch2
9 S ether10 1500 74:4D:28:29:AC:1E enabled switch2
10 S sfp1 1500 74:4D:28:29:AC:14 enabled switch1
2.5.Power Over Ethernet(PoE)

La fonctionnalité POE permet à un interface interface Ethernet de fournir
une alimentation électrique à un autre équipement:

Une interface ethernet POE peut être:

Active: fournit une alimentation électrique à un autre équipement.

Passive: reçoit une alimentation électrique venant d’un autre
équipement.

Généralement les équipements RouterBOARD Radio (WiFi, LTE, …)
possède une interface PoE passive. Ainsi, la source d’alimentation
provient d’un commutateur POE ou d’un injecteur PoE conçu par
MikroTik.

Injecteur PoE
Interconnexion avec un Point d’Accès RouterBOARD ayant un seul port Ethernet.

Commutateur POE – Modèle CRS112-8P-4S-IN

Tous les 8 ports (8P) ethernet de ce commutateur peuvent fournir
une alimentation électrique à d’autres équipements.

Il possède 4 ports SFP (4S) pour accueillir des liaisons fibres
optiques.
2.5.1. Les Mode de Fonctionnement PoE

Les ports ou interfaces des équipements qui sont capable de fournir
une alimentation PoE possèdent 3 modes de fonctionnement:

Auto On

Le port est en mode automatique I.e il détecte si l’équipement
qui lui est connecté a besoin d’une source d’alimentation PoE.
Si oui, il s’active automatiquement pour fournir cette
alimentation électrique.

Force On

Le port est forcé de fournir une source d’alimentation PoE.

Off

La capacité de fournir une alimentation électrique PoE est
désactivée.

La configuration par défaut d’un port PoE est Auto On.
> interface ethernet poe print detail
0 name="ether10" poe-out=auto-on poe-priority=10
power-cycle-ping-enabled=no power-cycle-interval=none

MISE EN GARDE

Assurez-vous toujours que les équipements que vous branchez sur
un port POE aient une compatibilité POE avant de mettre le port
en mode “Forced On”.


Pour surveillez l’activité PoE d’un port lorsqu’un équiipement est
branché dessus, employez la commande suivante:
[admin@MikroTik] > /interface ethernet poe monitor ether10
name: ether10
poe-out: auto-on
poe-out-status: waiting-for-load
-- [Q quit|D dump|C-z pause]
2.5.2. Les Priorités PoE

Toute interface PoE possède un numéro de priorité.

0 est le plus haut niveau de priorité.

99 est le plus bas niveau de priorité.

La valeur de la priorité PoE par défaut est : 10

Si l'unité RouterBOARD détecte une condition de surintensité, les
ports avec la priorité la plus basse auront la sortie POE désactivée
en premier.

RouterOS vérifie les conditions de surintensité toutes les six
secondes. Cela protège le périphérique RouterBOARD tout en
garantissant que les périphériques POE en amont restent en ligne si
possible.
2.5.3. Cycle de Puissance PoE

Une fonctionnalité très pratique de RouterOS est la possibilité de
redémarrer les ports POE. Cette action force un redémarrage de
l'appareil à l'autre extrémité de la connexion.

La commande suivante forcerait un cycle d'alimentation de dix
secondes quel que soit le périphérique alimenté par le port PoE en
question sur le RouterBOARD:

> /interface ethernet poe power-cycle ether10 duration=10s


Les injecteurs POE ne peuvent pas être redémarrés à distance
comme les ports POE du RouterBOARD dans l'exemple précédent. Il
est également important que les injecteurs disposent d’entrées
d’alimentation stables et fiables. Les surtensions pendant les coups
de foudre ou les baisses de tension pourraient non seulement
endommager l'injecteur, mais également entraîner la mise hors ligne de
l'appareil alimenté plus loin sur la ligne et nécessiter une visite d'un
technicien sur le site.
2.6.Les Modules SFP(Small Form-factor Pluggable)

Les modules SFP et SFP+ permettent aux entreprises d'utiliser des
câbles en cuivre et en fibre optique de différentes normes avec un
module qui se branche sur un port standard de l'industrie. Lorsque le
câblage est mis à niveau, les routeurs et les commutateurs n'ont pas
besoin d'être remplacés. Au lieu de cela, il suffit de mettre à niveau les
modules SFP ou SFP+ vers ceux qui fonctionnent avec le nouveau
câblage.

Les interfaces qui acceptent les modules SFP sont numérotées de la
même manière que les ports Ethernet et ont les mêmes configurations
par défaut.

Les interfaces SFP+ facilitent des connexions plus rapides (10Gb/s)
vers des unités RouterBOARD haut de gamme comme le CCR(Cloud
Core Router).

Les ports sont nommés «sfp1», «sfp2», «sfp3», etc
Module SEP pour un câble
Ethernet en cuivre. Module SFP pour un câble
Ethernet en Fibre Optique.
Type de connecteur: RJ45
Type de connecteur: LC


Employez la commande suivante pour consulter l’état du port sfp1:

> /interface ethernet monitor sfp1


name: sfp1
status: no-link
auto-negotiation: done
advertising:
link-partner-advertising:
sfp-module-present: no

Une autre option pour relier des
périphériques avec des connexions haut
débit consiste à utiliser des câbles à
connexion directe (DAC) préfabriqués. Il
s'agit de liaisons à haut débit généralement
de un à cinq mètres de long avec des
modules et un câble SFP ou SFP +
combinés en une seule unité. Un exemple
de DAC est illustré ci-contre :


Ce sont des unités très économiques pour connecter des appareils
avec des liaisons haut débit, mais les modules à chaque extrémité ne
peuvent pas être retirés du câble et réutilisés. Ils sont également
limités en longueur avec seulement une distance suffisante pour
passer entre les appareils dans le même rack ou les racks
immédiatement adjacents les uns aux autres.
2.7.Les Interfaces Sans-Fil (Wireless)

Les appareils SOHO MikroTik avec interfaces
réseau sans fil ont souvent des connexions
pontées entre les réseaux filaires et sans fil. Avec
cette configuration par défaut, toutes les
interfaces, sauf ether1 fonctionnant en tant que
port WAN, font partie du même LAN. Pour la
plupart des petits réseaux, c'est toute la
configuration dont ils ont besoin.

Le pontage (bridging) des connexions filaires et
sans fil permet également la diffusion en continu
vers des appareils sans fil tels que Apple TV R ou
Google Chromecast R à partir d'hôtes filaires. Carte Sans-Fil au format
Mini PCI-Express

Les cartes d'extension sans fil Mini PCI / Mini PCI-
Express supplémentaires n'auront pas de
configuration par défaut. Un exemple de ces cartes
d'extension est illustré ci-après :
2.8.Les Interfaces Pontées (Bridge Interfaces)

Les ponts sont des composants matériels ou logiciels qui combinent
des segments réseau de la couche 2 du modèle OSI (liaison de
données).

Dans RouterOS, les ponts sont implémentés dans le logiciel pour
combiner des interfaces séparées dans un même réseau.

Le pontage matériel améliore les performances du réseau ponté et
réduit la surcharge des ressources de traitement sur les unités
physiques RouterBOARD.

Un pont peut également être utilisé comme interface de bouclage
(loopback interface) virtuelle pour exécuter OSPF, MPLS ou d'autres
protocoles. Cela permet aux interfaces physiques connectées au pont
de s'activer ou de se désactiver sans affecter le protocole car l'interface
virtuelle reste active.

Ce type d'implémentation de bouclage virtuel sera traité plus en
détail dans le module dédié au Routage.
Pour connecter des réseaux physiques entre eux via un pont virtuel ne
nécessite que quelques étapes:
1. Créez l'interface de pont
2. Configurez les fonctionnalités sur le pont (Fast Forward, etc.)
3. Ajoutez des ports au pont
Les sections suivantes vous guideront à travers les étapes ci-dessus :

2.8.1.Création des Ponts(Bridges)


>/interface bridge add name="LAN-BRIDGE" comment=LAN


Un pont nommé "LAN-BRIDGE" a été créé.

Comment indique la présence d'un commentaire qui nous permettra
de reconnaire facilement le rôle que joue une interface.
2.8.2.Activation de la fonctionnalité Fast Forward

L'activation de la fonctionnalité Fast Forward est possible à partir de la
version 6.39 du système RouterOS.

Elle permet d'augmenter la vitesse de transmission sur un pont qui
relie deux ou plusieurs interfaces physiques.

Voici la commande pour activer la fonctionnalité Fast Forward sur un
pont qui a été nouvellement créé :

>/interface bridge add name="LAN-BRIDGE" comment=LAN


fast-forward=yes


Après la création d'une interface pontée, nous avons la possibilité
d'afficher la liste des ponts qui existe sur l'équipement à l'aide la
commande suivante : /interface bridge print
2.8.3.Ajout des Ports ou Interfaces physique

Après la création d'une interface pontée, nous avons la possibilité de
lui ajouter des ports ou des interfaces physiques.

Cet ajout est synonyme d'un regroupement d'interfaces physiques
sous une interface logicielle.
[admin@CAPsMAN_MAIN] > /interface bridge port
/interface bridge port> add interface=ether2 bridge=LAN-BRIDGE
/interface bridge port> add interface=ether3 bridge=LAN-BRIDGE


Un pont constitue un domaine de diffusion (broadcast domain).

Après la configuration ci-dessus, les interfaces ether2 et ether3 font
parti d'un même domaine de diffusion. Il s'agit de l'interface pontée
nommée LAN-BRIDGE.

Lorsqu'une interface pontée est créée, elle devient un maître
(master) pour toutes les autres interfaces physiques qui seront
regroupées sous elle.

Toutes les interfaces physiques qui dépendent d'une interface pontée
sont des interfaces esclaves (slave).

Rappel : seules les interfaces (physiques comme logicielle) qui sont en
mode master (maître) peuvent recevoir une configuration d'adresse
IP.

L'ajout d'un port physique à une interface pontée peut se faire via
l'interface graphique de WinBox comme suit :
[admin@CAPsMAN_MAIN] > /interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU
0 R ether1 ether 1500 1598
1 X ether2 ether 1500 1598
2 RS ether3 ether 1500 1598
3 S ether4 ether 1500 1598
4 S ether5 ether 1500 1598
5 S ether6 ether 1500 1598
6 S ether7 ether 1500 1598
7 S ether8 ether 1500 1598
8 RS ether9 ether 1500 1598
9 S ether10 ether 1500 1598
10 S sfp1 ether 1500 1598
11 XS ;;; managed by CAPsMAN
wlan1 wlan 1500 1600
12 R ;;; LAN
LAN-BRIDGE bridge 1500 65535
13 R bridge bridge 1500 1598
14 R bridge-HotSpot bridge 1500 1598
15 S cap1 cap 1500 1600
2.8.4.Suppression des Ports(Interfaces) Ponté(e)s

Pour des raisons techniques, nous pourrons être amenés à annuler toute
une configuration réseau en supprimant soit l'interface pontée en entier
ou soit supprimer individuellement les interfaces physiques du pont.

MISE EN GARDE

Pendant la suppression d'un pont, le système RouterOS ne vous
demandera pas de confirmer l'action que êtes entrain de mener.

Le fait de supprimer individuellement les interfaces physiques
qui appartiennent à un pont, est considérée comme une meilleure
pratique.


Prenez toujours le soin d'afficher la liste complète des interfaces
physiques qui appartiennent à un pont à l'aide de la commande :
/interface bridge port print.

Nous remarquons que au début de chacune des lignes affichées ci-
dessus, il y a un numéro (0, 1, 2, … ,11). Ces numéros consituent des
identifiants.

Pour supprimer une interface physique qui appartient à un pont, il
faut juste supprimer le numéro de la ligne qui lui correspond.
/interface bridge port remove [Numero_Ligne]

Pour supprimer entièrement un pont, employez la commande
suivante :
/interface bridge remove [Nom_Interf_Pontee]
2.9.Le Paramètre MTU(Maximum Transfer Unit) d'une
Interface

Le paramètre MTU(Maximum Transfer Unit) d'une interface réseau
désigne la taille maximale d'une trame à la couche 2 (Liaison de
Données) ou d'un paquet à la couche 3 (Réseau) qui peut être
transmis sans subir une première fragmentation.

Par défaut, la valeur du paramètre MTU pour les communications
de la couche 3 est 1500 octets.

La valeur du paramètre MTU à la couche 2 est souvent supérieur à
celui de la couche 3.

Ces valeurs de MTU par défaut sont en accord avec les exigences
des autres constructeurs et facilite ainsi une interconnexion des
équipements.

Les trames qui ont une taille supérieure à 1500 octets sont
désignées par l'acronyme anglais "Jumbo Frame" et peuvent avoir
une taille de 9000 octets.

La figure ci-après montre les différentes valeurs de MTU qui ont été
réglées sur l'interface ether1 sur un équipements RouterBOARD.

Pour afficher les mêmes informations à la ligne de commande RouterOS,
employez la commande :
/interface ethernet print detail .

Il suffira d'appuyer sur la touche "D" ou la touche de direction "bas"
pour faire afficher le reste des informations. Sinon, il faut juste appuyer
sur la touche "Q" pour interrompre l'affichage.

Les interfaces des équipements RouterBoard peuvent supporter des
trames plus grandes en taille mais les différents modèles ont leurs limites.

Exemple :

Le Modèle CCR1036 peut supporter jusqu'à 10226 octets comme
valeur maximale du paramètre MTU.

Le modèle RB951 peut supporter uniquement 4074 octets comme
valeur maximale du paramètre MTU.

Le modèle RB751 peut supporter uniquement 2290 octets comme
valeur maximale du paramètre MTU.

Pour des informations complémentaires sur les valeurs de MTU en
fonction du modèle de RouterBOARD, veuillez consulter le lien ci-
après :

https://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_Rout
erBoards#MAC.2FLayer-2.2FL2_MTU
2.10.L'Etat d'une Interface

Les interfaces des équipements RouterBoard sont activées par défaut.
Mais celles qui ne sont pas utilisées devraient être désactivées pour des
raisons de sécurité.

Pour afficher les interfaces qui sont activées, exécutez la commande
suivante :
[admin@CAPsMAN_MAIN] > /interface ethernet print where running
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP SWITCH
0 R ether1 1500 74:4D:28:29:AC:15 enabled switch1
1 RS ether3 1500 74:4D:28:29:AC:17 enabled switch1
2 RS ether9 1500 74:4D:28:29:AC:1D enabled switch2


Nous pourrons employer le symbole " ! " pour précéder le mot "running".
Cela nous permettra d'afficher les interfaces qui sont désactivés :
/interface ethernet print where !running
[admin@CAPsMAN_MAIN] > /interface ethernet print where !running
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP SWITCH
0 X ether2 1500 74:4D:28:29:AC:16 enabled switch1
1 S ether4 1500 74:4D:28:29:AC:18 enabled switch1
2 S ether5 1500 74:4D:28:29:AC:19 enabled switch1
3 S ether6 1500 74:4D:28:29:AC:1A enabled switch2
4 S ether7 1500 74:4D:28:29:AC:1B enabled switch2
5 S ether8 1500 74:4D:28:29:AC:1C enabled switch2
6 S ether10 1500 74:4D:28:29:AC:1E enabled switch2
7 S sfp1 1500 74:4D:28:29:AC:14 enabled switch1

Interface désactivée ou inactive


2.11.Paramètre "Duplex" d'une Interface

Les interfaces Ethernet peuvent fonctionner en mode duplex intégral (Full
duplex) ou en mode semi-duplex (half-duplex).

Une connexion duplexe intégrale (full duplex) permet une
transmission simultanée des informations en émission (Tx) comme en
réception (Rx).

Une connexion semi-duplexe (half-duplex) permet une transmissions
des informations à tour de rôle en émission (Tx) et en réception (Rx).
En outre, en communication semi-duplexe (half-duplex), lorsque
l'émetteur transmet une information, le récepteur ne transmet pas. Il
reçoit uniquement et lorsque le récepteur à son tour transmet,
l'émetteur reçoit uniquement.

La commande pour afficher le mode duplex (full ou half) d'une interface est
la suivante :
/interface ethernet monitor [Nom-Interface]
[admin@CAPsMAN_MAIN] > /interface ethernet monitor ether1
name: ether1
status: link-ok
auto-negotiation: done
rate: 100Mbps
full-duplex: yes
tx-flow-control: no
rx-flow-control: no
advertising: 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
link-partner-advertising: 10M-half,10M-full,100M-half,100M-full
2.12.Contrôle de Flux sur une Interface

Le contrôle de flux sur une interface est une fonctionnalité qui permet à
une interface qui reçoit de plus de trafic que ce qu'elle peut gérer
d'envoyer un signal de "temporisation" ou "d'arrêt" de transmission des
trames.

La trame qui contient le message de "temporisation" force l'équipement qui
est à l'autre bout de la liaison d'arrêter la transmission.

Par défaut, le contrôle de flux est désactivé sur les interfaces ethernet
dans RouterOS comme le montre la figure ci-après.

Les interfaces qui sont réglées sur "auto-negotiate" pour le débit et le
mode duplexe négocieront aussi les paramètres de contrôle de flux.

Généralement les paramètres de contrôle de flux en émission (Tx) et en
réception (Rx) sont modifiées rarement.

En configuration manuelle du débit et du mode duplex des interfaces,
si vous souhaitez activer le contrôle de flux en émission (tx-flow-
control) et en réception (rx-flow-control) ils serait préférable de
laisser cette option en mode "auto" – automatique.
[admin@CAPsMAN_MAIN] > /interface ethernet monitor ether1
name: ether1
status: link-ok
auto-negotiation: done
rate: 100Mbps
full-duplex: yes
tx-flow-control: no
rx-flow-control: no
advertising: 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
link-partner-advertising: 10M-half,10M-full,100M-half,100M-full

Employez les commandes suivantes pour lister les interfaces qui ont réçu
des trames de "temporisation". Cela nous permettra de savoir si
l'activation du contrôle de flux est nécessaire dans votre réseau :
> /interface ethernet
/interface ethernet> print stats where rx-pause!="0"
/interface ethernet> print stats where tx-pause!="0"


Si aucune interface n'est listée après l'exécution des commandes ci-
dessus, alors votre routeur ne bénéficiera probablement pas de l'activation
du contrôle de flux.

Si des interfaces ont reçu ces trames, alors la meilleure des actions à
mener est de débuter une maintenance sur les équipements qui causent
des goulots d'étranglement sur le réseau.
2.13.Le Protocole STP(Spanning Tree Protocol)

Le protocole à arbre de recouvrement ou spanning tree protocol
(STP) protège les réseaux et les hôtes contre les déluges de paquets de
diffusion qui ont été engendrés par des connexion en boucle qui
existeraient entre deux équipements.

Les équipements qui exécutent le protocole STP découvrent les chemins
réseau qui existent entre eux et choisissent le pont racine ou root bridge.

Il existe plusieurs variantes du protocole STP :

STP : Spanning Tree Protocol

RSTP : Rapid Spanning Tree Protocol

MSTP : Multiple Spanning Tree Protocol

PVSTP : Per-Vlan Spanning Tree Protocol

Par défaut, les interfaces physiques et ethernet-virtuelle sont configurées
pour fonctionner en RSTP et possède coût STP de 32768.

La figure ci-après montre les paramètres STP par défaut qui sont
appliquées à une nouvelle interface pontée qui a été créée :

Sur l'image ci-contre, la valeur de
la priorité STP est affichée en
hexadécimal : 8000 ; ce qui donne
"32768" en décimal.

Le paramètre "Region Name" est
uniquement employé lorsque le
protocole MSTP – Multiple STP est
implémenté.


Même s'il cela n'est pas strictement requis, il est recommandé que
certaines versions de STP soient exécutées sur des interfaces
Ethernet pour prévénir les problèmes qui sont relatifs à une boucle de
commutation.

Les boucles de commutation sont souvent causées par le fait que des
utilisateurs sur un réseau se permettent de brancher leurs propres
équipements (commutateurs, concentrateurs,…) sur le réseau local de
l'entreprise.
2.13.1. Configuration du Protocole STP

Employez les commandes suivantes pour activer le mode Spanning
Tree(dans ce cas, il s'agira d'activer RSTP) sur un pont (bridge) :
> /interface bridge
/interface ethernet> set "[Nom-Pont]" protocol-mode=rstp


Le fait de modifier le mode Spanning Tree(dans ce cas, il s'agira
d'activer RSTP) sur une interface peut cause une brève interruption du
trafic réseau puisque cela engendrera une reconvergence des
protocoles.
2.14.Evaluation du Câble

Le systèmes RouterOS possède une fonctionnalité qui lui permet de
tester les liaisons Ethernet. En voici un exemple :
[admin@MikroTik] > /interface ethernet cable-test ether3
name: ether3
status: link-ok
-- [Q quit|D dump|C-z pause]


Voici un cas d'analyse qui montre un câble qui est partiellement
endommagé c'est-à-dire une câble dont certaines paires de fils sont
coupées :
[admin@MikroTik] > /interface ethernet cable-test ether5
name: ether5
status: link-ok
cable-pairs: normal:?,shorted:0,normal:?,normal:?
-- [Q quit|D dump|C-z pause]
2.15.Securité Physique

Lorsqu'une interface réseau n'est pas employé sur un équipement, il est
fortement recommandé de le désactiver. Ceci empêchera le fait qu'un
attaquant ayant un accès local à l'équipement puisse accéder à son
interface de configuration.

La norme PCI-DSS(Payment Card Industry – Data Security Standard)
requiert l'implementation de la sécurité physique, y compris des
contrôles logiques tels que la désactivation logicielle des interfaces.

Voici un exemple de désactivation de plusieurs interfaces réseau qui ne
sont pas utilisées :
> /interface set ether4,ether5 disabled=yes
3. Les Adresses et le Protocole DHCP
3.1.Les Adresses Statiques

Les adresses IP statiques peuvent être facilement ajouter aux
interfaces physiques et aux interfaces virtuelles.

L'exemple ci-après montre l'ajout de l'adresse 192.168.200.1/24 à
l'interface ether5 :
> /interface address
add address=192.168.200.1/24 interface=sfp1


La notation d'une adresse IP sous la forme 192.168.200.1/24 est
désignée par le terme CIDR(Class-less Inter-Domain Routing). Si vous
n'êtes pas à l'aise avec cette notation, vous pourrez aussi employez la
notation utilisée ci-après pour ajouter une adresse IP à une interface :
> /interface address
add address=192.168.200.1 netmask=255.255.255.0 interface=sfp1

Ayez toujours l'habitude d'ajouter un commentaire à l'ajout des adresses
IP, surtout si des adresses d'essaie et des adresses de production sont
employés:
> /interface address
add address=192.168.200.1 interface=ether5 comment=DMZ
add address=192.168.17.1 interface=ether6 comment=Worbench


Il est possible d'ajouter plusieurs adresses IP à une même interface. Nous
avons souvent ce cas lorsqu'une organisation a reçu une plage (ou un
bloc) d'adresses IP publiques et une seule interface en amont chez le
fournisseur d'accès Internet. L'organisation peut ainsi configurer le
protocole NAT de l'adresse IP publique vers les adresses respectives des
serveurs qui sont dans la zone démillitarisée – DMZ(Demilitarized Zone).

Les commandes ci-après permettent d'ajouter plusieures adresses IP
publiques à partir d'un bloc /28 à l'interface ether1 :
> /interface address
add address=172.16.195.17/28 interface=ether1 comment="HTTP Server"
add address=172.16.195.18/28 interface=ether1 comment="Email Server"
add address=172.16.195.19/28 interface=ether1 comment="CRM Server"

Pour afficher uniquement les adresses IP statiques, il faut employé la
suite d'instructions suivante : " … where !dynamic" .
● Le symbole " ! " signifie la négation ou le contraire d'une
instruction.
● !dynamic signifie tout ce qui n'est pas dynamique (ou
automatique). D'où 'affichage de tout ce qui est statique.

[admin@CAPsMAN_MAIN] > /ip address print where !dynamic


Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; hotspot network
172.18.0.1/22 172.18.0.0 bridge-HotSpot
1 I ;;; Link-To-ADSL-WAN1-22701818
192.168.4.2/24 192.168.4.0 ether2
2 192.168.89.1/24 192.168.89.0 bridge
3 ;;; hotspot network
172.18.0.1/22 172.18.0.0 ether6
4 ;;; WAN1-TGT
192.168.1.254/24 192.168.1.0 ether1
3.2.Les Adresses Dynamiques avec le Protocole DHCP

Grâce à l'implementation du protocole DHCP(Dynamic Host
Configuration Protocole) sous RouterOS, il y a la fonctionnalité typique
nécessaire en entreprise ainsi que quelques fonctionnalités qui apporte
un plus.

Sur le système RouterOS, DHCP peut s'exécuter sous trois rôles :

Serveur DHCP (DHCP Server)

Client DHCP

Relai DHCP (DHCP Relay)

Il y a la possibilité de ne pas dutout exécuter DHCP et de laisser ainsi le
rôle de serveur DHCP à un autre système tel que le contrôleur de
domaine Active Directory ou un serveur DHCP de l'ISC(Internet
Systems Consortium).
3.2.1. Processus d'Echange de Paquets DORA

Le protocole DHCP fonctionne de la même manière que sur les autres
plateformes, via des requêtes et des attributions d'adresses IP via le
processus DORA :

Discover (Client > Serveur)

Offer (Serveur > Client)

Request (Client > Serveur )

Acknowledgement (Serveur > Client)

Il est possible de voir les étapes d'exécution du processus DORA dans
les fichiers journaux de RouterOS. Ceci n'est possible que si
l'enregistrement des événements DHCP dans les fichiers journaux
(log) est activé car aux commandes suivantes :
> /system logging add action=[Emplacement-Sauvegarde] topics=dhcp


Passons à l’application de cette commande pour collecter l’historique des
processus DHCP sur notre système.

Avant l’application de la commande
/system logging add action=usb topics=dhcp, voici les
différents types de fichiers journaux qui sont enregistrés par défaut sur un
système RouterOS :
[admin@CAPsMAN_MAIN] > /system logging print
Flags: X - disabled, I - invalid, * - default
# TOPICS ACTION
PREFIX
0 * info usb
1 * error usb
2 * warning usb
3 * critical usb


Les événements DHCP ne sont pas enregistrés par défaut dans les
fichiers journaux à moins que l’administrateur ne l’ait activé. Passons
alors à l’activation de la journalisation des événements DHCP.
[admin@MikroTik]> /system logging add action=usb topics=dhcp


Cette commande ci-dessus a pour rôle d’enregistrer l’historique des
événements DHCP (topics=dhcp) dans les fichiers journaux (logs)
qui sont stockés sur le support de stockage USB (action=usb) qui est
branché sur notre routeur MikroTik. Vérifions si cet enregistrement est
activé en exécutant la commande ci-après :
[admin@CAPsMAN_MAIN] > /system logging print
Flags: X - disabled, I - invalid, * - default
# TOPICS ACTION
PREFIX
0 * info usb
1 * error usb
2 * warning usb
3 * critical usb
4 dhcp usb


La ligne numéro 4, nous confirme que la journalisation des événements
DHCP a été activée par l’administrateur.

Nous pouvons consultez le contenu du journal d’événements DHCP en
exécutant la commande :
/log print detail where topics=dhcp,debug,packet

Nous pouvons consultez le contenu du journal d’événements DHCP
via l’interface graphique de WinBox :
MISE EN GARDE

L’enregistrement du journal d’événements DHCP consomme
énormément de l’espace sur vos supports de stockage.

Activez cette fonctionnalité de façon ponctuelle et non permanente. Par
exemple, vous pourrez activer cette journalisation en cas de
maintenance et après vous la désactivez.

[admin@CAPsMAN_MAIN] > /system logging print


Flags: X - disabled, I - invalid, * - default
# TOPICS ACTION PREFIX
0 * info usb
1 * error usb
2 * warning usb
3 * critical usb
4 dhcp usb


Pour désactiver la journalisation des événements DHCP, voici la
commande à exécuter :
system logging remove numbers=4

Le processus DORA est illustré par la figure ci-après :
3.2.2. Le Serveur DHCP

Pour être en mesure d'utiliser un équipement tournant RouterOS comme
un serveur DHCP, il y a trois paramètres qu'il faut configurer :

Le poule d'adresses IP des Clients (Client IP Pool).

L'adresse IP du réseau DHCP (DHCP Network address).

L'instance du serveur DHCP (DHCP Server Instance).

3.2.3. Le Poule d'Adresses IP des Clients (Client IP Pool)



Il s'agit d'une plage d'adresses IP à partir de laquelle le serveur DHCP
attribuera des adresses IP aux machines clientes.

Sur les équipements RouterBOARD, nous avons par défaut :

L'adresse IP de l'interface LAN : 192.168.88.1/24.

La plage des adresses IP des équipements routerboard est :
192.168.888.10 - 192.168.88.254.

L'attribution des adresse IP par un serveur DHCP sur un équipement
MikroTik se fait de façon décroissante :

Le premier client recevra comme adresse IP : 192.168.88.254/24 .

Le second : 192.168.88.253/24

Ainsi de suite jusqu'à ce que tous les clients DHCP obtiennent tous
leur adresse IP ou jusqu'à ce que toutes les adresses de la plage
d'adresse soient épuisées.

Il est possible de configurer une seconde plage d'adresses DHCP pour
prévenir l'épuisement des adresses dans une plage. Mais cela requiert
une bonne planification de l'adressage IP et une bonne segmentation lors
de la conception d'un réseau.

Le fait de réduire le temps de bail (lease time) d'une adresse IP via
DHCP est aussi une bonne pratique qui permettrait de rendre disponibles
les adresses IP dans une plage.

La commande suivante permet de créer un poule (ou une plage)
d'adresses IP pour l'adressage des clients DHCP :
> /ip pool
add name="PLAGE-DHCP-LAN" range=192.168.88.10-192.168.88.254


Il est possible de créer plusieurs poules (ou plages) d'adresses IP pour
l'adressage des clients DHCP dans un sous-réseau. Une plage point vers
un sous-réseau donné et l'autre pointe vers un autre:

> /ip pool

add name="PLAGE-DHCP-LAN" range=192.168.88.10-192.168.88.100

next-pool="PLAGE-DHCP-LAN2" range=192.168.88.10-150.168.88.254


La création d'un poule (plage) d'adresses IP DHCP peut se faire via
l'interface graphique de WinBox aussi :
3.2.4. Les Réseaux DHCP

La création d'un réseau DHCP permet de regrouper les paramètres
suivants :

Les adresses IP des serveurs DNS,

les adresses IP des passerelles ;

les adresses IP des serveurs NTP ;

et d'autres ensembles d'option dont les clients ont besoin.
> /ip dhcp-server network add address=192.168.88.0/24


L'ajout d'autres options dans la configuration d'un serveur DHCP permet
aux clients d'être fonctionnels sur un réseau.

> /ip dhcp-server network


add address=192.168.88.0/24 dns-server=8.8.8.8,8.8.4.4
gateway=192.168.88.1 comment="SERVEUR-DHCP-WiFi"

Instance d'un Serveur DHCP

Une instance DHCP fonctionne sur une interface physique ou virtuelle et
est à l'écoute des messages de diffusion venant des clients DHCP.

Elle permet de regrouper le poule d'adresses IP et le réseau DHCP qui
ont été configurés précédemment.

La commande ci-après permet de configurer une instance de serveur
DHCP sur l'interface ether2, et de spécifier le poule d'adresse PLAGE-
DHCP-LAN avec une durée de bail (lease time) de 8 heures :

> /ip dhcp-server

add interface=ether2 address-pool=192.168.88.0 lease-time=8h


name="PLAGE-DHCP-LAN" disable=no

● L'option disable=no est requise parce que les instances de serveur


DHCP sont désactivées à moins qu'elles n'aient été activées.
3.2.5. Durée du bail (Lease time) d'une Adresse IP

Par défaut, les versions à jour du système RouterOS nous donne pour
durée du bail d'une adresse IP provenant du serveur DHCP 10
minutes. Cette durée peut être augmentée lors des configurations.

Mise en garde :

Il n'est pas recommandé de configurer une durée de bail qui soit
supérieure à 24H. Sinon, avec un tel paramétrage, un réseau qui a
une petite plage d'adresses IP sur son serveur DHCP connaîtra
rapidement un épuisement des adresses qui sont disponibles.

Lorsque toutes les adresses IP de la plage DHCP sont épuisées, les
nouveaux équipements (clients DHCP) qui se connecteront au réseau
ne pourront plus obtenir des adresses IP.

Le fait d'avoir une durée de bail assez courte permet aux adresses IP
de se libérer afin qu'elles soient disponibles pour être attribuées à
d'autres clients DHCP.

Une fois qu'une adresse IP ait été offerte à un client DHCP et qu'il a
accepté cette adresse, elle apparaîtra dans les fichiers journaux relatifs
aux bails DHCP (DHCP Leases).

Le système RouterOS garde les informations suivantes à propos de
l'attribution des adresses IP :

(1) L'adresse IP qui a été attribuée au client.

(2) L'adresse MAC du client qui correspond au bail en question.

(3) Le temps restant pour l'adresse IP qui a été attribuée ?

(4) Le nom d'hôte de la machine Client (si cette option est
disponible).

Pour afficher les traces des attributions d'adresses IP via DHCP sous
RouterOS, employez la commande :
● /ip dhcp-server lease print

Il est possible de rendre statique l'attribution d'une adresse IP via un
serveur DHCP de telle sorte que chaque fois qu'un client requiert une
adresse IP pour son adresse MAC, qu'il obtienne toujours la même
adresse IP.
1

Cliquez sur une ligne de bail DHCP et faite clique-droit . Ensuite cliuquez
sur Make Static pour rendre ce bail statique.
2


Rendre un bail DHCP statique, peut aussi se faire à la ligne de
commandes de RouterOS.

A la ligne de commandes de RouterOS, les bails DHCP sont identifiés
par un numéro de ligne. Par conséquent pour rendre un bail DHCP
statique à la ligne de commande, nous aurons besoin du numéro de la
ligne en question.
> /ip dhcp-server lease make-static [Num-Ligne-Bail-DHCP]

Application :

> /ip dhcp-server lease make-static 7



Pour afficher tous les bails DHCP qui sont marqués comme statiques
veuillez utiliser la commande ci-après :
> /ip dhcp-server lease print where !dynamic


NOTE : Le fait de rendre un bail DHCP statique est très bénéfique
pour les imprimantes qui ont besoin d'une adresse IP pour fonctionner
dans un réseau d'ordinateurs.

3.2.6. Les Options DHCP



Les options DHCP permettent de configurer les détails concernant
l'adressage et le système pour les clients DHCP.

Tout attribue affecté aux clients DHCP est une option même si les
administrateurs réseau ne s'en rendent pas compte.

Toutes les options DHCP ne sont pas utilisables par tous les clients. Par
exemple les clients Windows n'utilisent pas les options NTP pour
synchroniser automatiquement leurs horloges même si cette option est
bien configurées. Par contre les clients Windows utilisent les options
DHCP relatives à Active Directory ou à l'horloge statique.

Voici quelques URL de référence pour vous informez davantage sur les
options DHCP:
https://tools.ietf.org/html/rfc2132

https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-
dhcp-parameters.xhtml


Voici quelques options DHCP les plus utilisées habituellement même sur
les systèmes Windows:

Option 1 : Masque de sous-réseau

Option 3 : Adresse IP de la passerelle par défaut (Routeur).

Option 6 : Adresse(s) des Serveurs DNS

Option 15 : Nom de domaine du réseau DHCP

Option 51 : Delai de Bail (Lease Time) exprimé en secondes
Emploi des Options DHCP

Pour employer les options DHCP, elles doivent d'abord être créees puis
attribuées à une instance de serveur DHCP.

Les options peuvent être assignées individuellement à uneinstance ou elle
peuvent être regroupées dans des ensembles.

L'exemple ci-après montre la création de deux options DHCP à la ligne de
commande de RouterOS. Les premières options règles le paramètre de
serveurs NTP et le second règle le fuseau horaire.
> /ip dhcp-server option
/ip dhcp-server option> add name="pool.ntp.org" code="42"
value="’0.pool.ntp.org,1.pool.ntp.org’"
/ip dhcp-server option> add name="Eastern Time" code="101"
value="’America/New_York’"


NOTE : Les client Windows n'emploient pas les options NTP qui ont été configurées ci-
dessus ; ils font plutôt recours aux serveurs Active Directory pour obtenir des mises à
jour précises de temps. La configurations de cette option DHCP sera sans effet sur les
postes de travail qui joignent un domaine Windows .
3.2.7. Gestion des Adresses IP Statiques avec le Protocole
DHCP

Une fois qu'un réseau s'est développé au-delà d'un certain point, il devient
difficile d'attribuer, de modifier et de documenter des adresses IP statiques.

Compte tenu de la quantité de routeurs, de commutateurs, d'imprimantes, de
points d'accès sans fil (WAP) et plus encore dans un réseau typique, la tâche
peut rapidement devenir incontrôlable. Au lieu de saisir manuellement des
adresses IP statiques sur chaque périphérique, une option plus simple
consiste à laisser le protocole DHCP le faire pour vous.

La distribution d'adresses IP statiques avec un protocole destiné à
l'adressage dynamique semble contre-intuitif, mais il existe quelques avantages
rapides qui sont facilement reconnaissables une fois que vous commencez à
utiliser cette stratégie.


Adresses IP Pré-créées

Il est possible de pré-créer l'adresse IP d'un périphérique si vous
connaissez préalablement son adresse MAC. Vous pouvez ainisi créer une
réservation DHCP statique en utilisant cette adresse MAC. Ainsi, lorsque le
périphérique est connecté au réseau, il recevra immédiatement l'adresse
IP que vous lui avez réservée.

Exemple d'Adresses IP Pré-créées
/ip dhcp-server lease
add address=192.168.88.119 lease-time=8h
mac-address=00:11:22:AA:BB:CC comment="Accounting check printer"

Commentaires :

Une fois que le périphérique ayant pour adresse MAC
00:11:22:AA:BB:CC sera connecté au réseau, le serveur DHCP lui
attribuera immédiatement l'adresse IP 192.168.88.119 et le
périphérique gardera cette adresse IP pour une durée de 8h.

Les commentaires dans les configurations sont très importants et
dans ce cas de configurations, ils vous permettent de reconnaître
facilement le périphérique pour lequel vous avez réservé une
adresse IP.

Limitez les déplacement vers les bureaux distants

Les baux pré-créés signifient que vous n'avez pas besoin d'un administrateur
réseau sur place pour configurer l'adresse IP ou les options réseau. Demandez
simplement à quelqu'un d'autre de brancher l'appareil et le protocole DHCP
s'occupera du reste.

Cette stratégie DHCP peut également permettre d'économiser sur les frais
d'expédition si les appareils doivent d'abord être envoyés via un bureau
principal pour la configuration.

L'adresse IP d'un appareil peut également être modifiée facilement avec peu
ou pas de temps d'arrêt. Mettez simplement à jour la réservation DHCP
statique avec la nouvelle adresse et le prochain renouvellement poussera
le changement vers le périphérique.

Réadressage transparent

Associez les réservations de bail mises à jour à des mises à jour
d'enregistrements DNS coordonnées pour l'appareil et vous pouvez
facilement réattribuer les adresses IP des appareils sur un réseau.

Il est possible de mettre à jour d’autres paramètres tels que les serveurs DNS,
la passerelle par défaut, les serveurs NTP, etc. sans vous connecter à
l'appareil. Définissez simplement les options du réseau DHCP et attendez le
renouvellement du bail ou redémarrez l'appareil à distance.

3.2.8. Client DHCP



Les routeurs MikroTik peuvent aussi jouer le rôle de client DHCP.

Un client DHCP reçoit habituellement sa configuration lorsqu'un routeur en
amont envoie une adresse IP dynamique et un adresse IP de passerelle via un
flux montant du fournisseur d'accès.

Toute interface d'un routeur MikroTik peut jouer le rôle d'un client DHCP.

On peut aussi ajouter quelques options à la configuration d'un client DHCP pour
améliorer la façon dont le routage se fera.

La commande ci-après permet de configurer une interface en tant que
client DHCP :.
/ip dhcp-client
add interface=ether1 disabled=no comment="WAN_FAI"


Un client DHCP standard est maintenant configuré pour extraire une
adresse IP et un masque de sous-réseau, une adresse IP de
passerelle et des adresses IP de serveur DNS. Il existe quelques
options qui peuvent être configurées avec l'interface même si le client est
désactivé:
● add-default-route (ajout d'une route par défaut)
● use-peer-dns (emploi du serveur DNS de la passerelle)
● use-peer-ntp (emploi du serveur NTP de la passerelle)

Ces trois options sont activées par défaut, et sont prêts à être désactivés
pour que vous personnalisiez vos paramètres de configuration DNS, NTP
et vos paramètres de routage.

Avoir deux clients DHCP avec les deux paramétrant une route par
défaut pourrait évidemment causer des problèmes, donc un client aurait
probablement "adddefault-route = no" défini.

Si vous utilisez des serveurs DNS autres que ceux fournis par votre
FAI, vous pouvez définir «use-peer-dns = no» et configurer les vôtres
à la place. L'exemple ci-près montre un client DHCP actif et ses
options attribuées:

[admin@MikroTik] > /ip dhcp-client print detail


Flags: X - disabled, I - invalid
0 ;;; defconf
interface=ether1 add-default-route=yes default-route-distance=1
use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid
status=bound address=a.b.c.d/x gateway=a.b.c.d
dhcp-server=172.16.52.1/24 primary-dns=8.8.8.8
secondary-dns=8.8.4.4 expires-after=17h56m3s
3.3.Les Adresses Point-à-Point

Pour créer des liens directs entre les équipements, RouterOS supportent
deux types différents d'adressage IPv4 :

Les adresses /30.

Les adresses /32.

Les sous-réseaux les plus anciens et les plus courants /30 peuvent
facilement être utilisés pour créer des réseaux point-à-point.
Malheureusement pour chaque réseau /30, il y a deux adresses
«gaspillées» :

L'adresse IP du réseau

et l'adresse IP de la diffusion

L'utilisation des anciennes adresses point-à-point présente certains
avantages:

Compatible avec les équipements réseau anciens.

Aucune entrée d'itinéraire (ou route) supplémentaire n'est
nécessaire.
3.3.1. L'ancien Adressage /30

La figure ci-après présente une topologie réseau dont les différents
sous-réseaux ont un masque /30 ou 255.255.255.252.

Chaque liaison point-à-point se trouve sur son propre sous-réseau et
possédant ainsi :

Un réseau

Des hôtes

Et des adresses de diffusions

Dans un tel réseau, nous n'avons plus besoin de spécifier une route par
defaut pourqu'un routeur communique avec un autre comme nous le
ferons dans le cas des réseaux /32. Cependant, les adresses IP
suivantes sont gaspillées et ne peuvent pas être attribuées aux
interfaces :

Les adresses réseau : 192.168.1.0/30, 192.168.1.4/30, 192.168.1.8/30

Les adresses de diffusion :

192.168.1.3/30,

192.168.1.7/30,

192.168.1.11/30
3.3.2. Le Nouvel Adressage /32

L'utilisation des adresses IP /32 le «gaspillage» d'adresses de réseau
et de diffusion qu'il y a dans les réseaux /30.

Malheureusement, l'implémentation des réseaux /32 nécessite une
surcharge administrative supplémentaire pour la gestion des itinéraires
ou routes.

Un exemple de topologie de réseau utilisant des adresses /32 est illustré
ci-après.

La simple configuration des adresses sur les interfaces ne suffit pas
pour faire fonctionner l’adressage /32. Chaque routeur a besoin d'une
route pointant vers l'IP de l'autre routeur via cette interface. Cela peut
être accompli via des entrées de route statiques ou des routes
dynamiques via OSPF, RIP ou un autre protocole de routage.

Les commandes suivantes implémentent des adresses /32 qui sont plus
efficaces avec des routes statiques.

Configuration du Routeur MikroTik-AGOE

La liaison de MikroTik-AGOE vers MikroTik-ANEHO a pour origine
l'interface ether1 .

La liaison de MikroTik-AGOE vers MikroTik-BAGUIDA a pour origine
l'interface ether2 .

Les configurations des adresses IP et des routes respectives sur le
routeur MikroTik-AGOE se feront comme suit :

/ip address add interface=ether1 address=192.168.1.1/32


/ip address add interface=ether2 address=192.168.1.5/32
/ip route add dst-address=192.168.1.2 gateway=ether1
/ip route add dst-address=192.168.1.6 gateway=ether2

Configuration du Routeur MikroTik-ANEHO

La liaison de MikroTik-ANEHO vers MikroTik-AGOE a pour origine
l'interface ether1 .

La liaison de MikroTik-ANEHO vers MikroTik-BAGUIDA a pour origine
l'interface ether2 .

Les configurations des adresses IP et des routes respectives sur le
routeur MikroTik-ANEHO se feront comme suit :

/ip address add interface=ether1 address=192.168.1.2/32


/ip address add interface=ether2 address=192.168.1.3/32
/ip route add dst-address=192.168.1.1 gateway=ether1
/ip route add dst-address=192.168.1.4 gateway=ether2

Configuration du Routeur MikroTik-BAGUIDA

La liaison de MikroTik-BAGUIDA vers MikroTik-ANEHO a pour origine
l'interface ether1 .

La liaison de MikroTik-BAGUIDA vers MikroTik-AGOE a pour origine
l'interface ether2 .

Les configurations des adresses IP et des routes respectives sur le
routeur MikroTik-BAGUIDA se feront comme suit :

/ip address add interface=ether1 address=192.168.1.4/32


/ip address add interface=ether2 address=192.168.1.6/32
/ip route add dst-address=192.168.1.3 gateway=ether1
/ip route add dst-address=192.168.1.5 gateway=ether2

Bien que toute cette configuration nécessite des étapes
supplémentaires pour les routes, elle utilise un total de six adresses
IP au lieu de douze.

Pour une configuration équivalente en /30, trois adresses IP auraient
été utilisées pour une adresse réseau et trois autres pour la
diffusion.

Les organisations qui ont beaucoup de liens point à point comme les
fournisseur d'accès sans-fil – WISP(Wireless Internet Service Provider)
peuvent réaliser des économies substantielles d'adresses en utilisant
les configurations /32.
3.4.Les Adresses MAC(Media Access Control)

Les adresses MAC ou encore appelés adresses physiques
fonctionnent à la couche 2 – Liaison de données du Modèle OSI(Open
System Interconnection).

Une adresse MAC est composée de 12 chiffres hexadécimaux qui sont
répartis en 2 groupes de 6 chiffres hexadécimaux :

Le 1er groupe de 6 chiffres hexadécimaux permet d'identifier le
fabricant ou constructeur d'une carte réseau. Ce premier groupe
est aussi désigné par l'acronyme OUI(Organizationally Unique
Identifier)

Le 2e groupe de 6 chiffres hexadécimaux represent le numéro de
série de la carte réseau en question.

Les OUI ci-après ont été enregistrés par MikroTik auprès de
l'organisation IEEE(Institute of Electrical and Electronics Engineers) en
2017: 4C:5E:0C , 64:D1:54, 6C:3B:6B, D4:CA:6D, E4:8D:8C .

http://standards-oui.ieee.org/oui.txt

Les adresses MAC ou encore appelés adresses physiques
fonctionnent à la couche 2 – Liaison de données du Modèle OSI(Open
System Interconnection).

Une adresse MAC est composée de 12 chiffres hexadécimaux qui sont
répartis en 2 groupes de 6 chiffres hexadécimaux :

Le 1er groupe de 6 chiffres hexadécimaux permet d'identifier le
fabricant ou constructeur d'une carte réseau. Ce premier groupe
est aussi désigné par l'acronyme OUI(Organizationally Unique
Identifier)

Le 2e groupe de 6 chiffres hexadécimaux represent le numéro de
série de la carte réseau en question.

Les OUI ci-après ont été enregistrés par MikroTik auprès de
l'organisation IEEE(Institute of Electrical and Electronics Engineers) en
2017: 4C:5E:0C , 64:D1:54, 6C:3B:6B, D4:CA:6D, E4:8D:8C .

RouterOS peut générer automatiquement des adresses MAC aléatoires
pour les interfaces virtuelles dès leur mise en ligne.

Le protocole ARP(Address Resolution Protocol) est utilisé pour établir
une relation en les adresses de la couche Réseau et les adresses de la
couche Liaison de données. Ceci se passe le plus souvent dans les
réseaux IPv4.

Avec IPv6, le mécanisme est un peu différent et la résolution de la
couche réseau à la couche de liaison se fait via le protocole NDP
(Neighbor Discovery Protocol).

Les clients réseau, les commutateurs et les routeurs gèrent un tableau de
ces relations entre les adresses Ipv4 et les adresses MAC, le plus
souvent appelé "table ARP" ou "cache ARP".

Le cache (ou la table) ARP se trouve toujours dans la mémoire RAM d'un
équipement réseau. Ceci dit, son contenu sera toujours vidé au
redémarrage ou à la coupure de l'alimentation électrique de l'équipement
en question.
3.4.1. Affichage de la Table ARP

Pour afficher le cache ARP à la ligne de commande de RouterOS,
exécutez les commandes suivantes :
/ip arp print
Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published,
C - complete
# ADDRESS MAC-ADDRESS INTERFACE
0 DC 172.18.0.87 00:0A:F5:26:C6:50 bridge-HotSpot
1 DC 172.18.2.184 D0:1C:3C:C4:FE:E1 bridge-HotSpot
2 DC 172.18.1.172 48:27:EA:7E:6A:F2 bridge-HotSpot
3 DC 172.18.3.187 CC:D2:9B:6E:DE:8E bridge-HotSpot
[...]
10 DC 192.168.89.218 90:56:FC:55:2B:91 bridge
[...]
19 DC 172.18.0.43 AC:AF:B9:BE:9E:E4 bridge-HotSpot
-- [Q quit|D dump|down]


Nous avons la possibilité d'être plus spécifique dans l'affichage de la
table ARP en précisant l'interface ethernet à partir de laquelle nous
voulons l'afficher en excutant par exemple la commande :
/ip arp print where interface=bridge
3.4.2. ARP pour l'inventaire des équipements

La table ARP peut être très utile lors de l'inventaire des équipements.
Pour ce faire, il suffit de rediriger le résultat de la commande
/ip arp print vers un fichier nommé par exemple invetaire-arp.txt
pour l'analyser après.  

/ip arp print detail file=invetaire-arp.txt


Télécharger le fichier invetaire-arp.txt sur votre ordinateur et ouvrez-le
avec un éditeur de texte assez robuste tel que Notepad++ ou Microsoft
Visual Studio Code. Servez-vous des informations qui s'y trouvent pour
edifier votre programme d'invetaire.  
3.4.3. Trouver des Adresses MAC grâce au OUI

L'un des OUI enregistrés pour VMware est «00:50:56», donc toute
addresse MAC commençant par cet OUI peut être une machine
virtuelle s'exécutant sur un hyperviseur VMware.

Cet appareil pourrait également être un commutateur de réseau virtuel.

Il est possible de rechercher une (ou des) adresses MAC dans la table
d’adresses MAC grâce à un OUI en employant une chaîne
d’expression régulière (Regex) comme indiquée dans la commande
suivante:
/ip arp print where mac-address~"ˆ00:50:56"


Le symbole tilde " ~ " indique ce tout ce qui le suit est une expression
régulière.

Le symbole " ˆ " indique ceci : "qui commence par"
3.4.4. Les Mode ARP

Les requêtes ARP sont limitées au domaine de diffusion dans lequel
elles ont été émises.

Les requêtes ARP ne sont pas acheminées en dehors d'un domaine de
diffusion et le routeur n'envoie des réponses ARP que s'il a dans sa
table ARP une entrée (ou ligne) qui correspond ) cette requête.

Lors de la configuration ARP sous RouterOS, il existe d'autre modes
de fonctionnement que vous devriez connaître aussi :

Disabled

Proxy ARP

Local Proxy ARP

Reply Only
Mode Disabled

En mode Disabled, le routeur le répondra à aucune requête ARP sur
une interface qui a reçu cette configuration.

Ceci est très utile sur les interfaces qui sont reliées à un segment
réseau pour "renifler" le trafic réseau de façon transparente.
/ip ethernet
/ip ethernet> set arp=disabled ether2
/ip ethernet> set arp=disabled ether3

Mode Proxy ARP



Proxy ARP est utile lorsque les clients sur des réseaux séparés
doivent pouvoir envoyer une requête ARP dans un autre sous-réseau.

Lorsque le routeur voit une requête ARP dans un réseau pour une
adresse MAC qu'il connaît dans un autre, le routeur répond à cette
requête avec sa propre adresse MAC. Le routeur transfère ensuite le
trafic destiné à l'adresse MAC recherchée sur l'autre réseau. Ce
processus est transparent pour le client qui a initialement envoyé la
requête ARP.
Figure : Proxy ARP en action
NOTE
Sachez que la mise en œuvre de Proxy ARP peut augmenter le trafic ARP sur le
réseau et peut avoir des conséquences inattendues. D'autres périphériques sur le
réseau qui ont des caches ARP plus petits peuvent ne pas être en mesure de gérer le
plus grand nombre d'entrées d'adresses.


Pour un exemple de proxy ARP, considérez la topologie de la figure
précédente où 192.168.1.2 doit envoyer une requête ARP à 192.168.2.2.

Lorsque 192.168.1.2 envoie une requête ARP à l'adresse MAC de diffusion
FF: FF: FF: FF: FF: FF, il fait une interrogation en posant la question "Qui a
192.168.2.2?"

Le routeur répondra avec sa propre adresse MAC.

Au fur et à mesure que le trafic passe de 192.168.1.2 à 192.168.2.2, le routeur
joue le rôle d'intermédiaire pour acheminer le trafic vers les réseaux auxquels il
est connecté. Il existe quelques scénarios dans lesquels l'utilisation de ce type
de «contournement» est nécessaire:

Lorsque les appareils de différents réseaux ont besoin d'une accessibilité de
couche 2 en raison des limitations des logicielles vieillissants.

Si les versions d'hyperviseurs en cours d'utilisation nécessitent des
communications de couche 2 entre les hôtes physiques pour la réplication
des machines virtuelles.

Employez les commandes suivantes pour activer le mode Proxy ARP
sur les interfaces ether2 et ether3 d'un routeur MikroTik :

/interface ethernet set [Number] arp=proxy-arp

/interface ethernet set 0 arp=proxy-arp


/interface ethernet set 1 arp=proxy-arp

Les deux commandes ci-dessus permettent d’activer le mode proxy ARP


respectivement sur les interfaces ether1 et ether2
Mode Reply Only

En mode Reply Only, le routeur répondra à une diffusion ARP s'il a
une réponse dans sa table ARP.

Si le routeur n’a pas de bonne réponse, il ne répondra tout simplement
pas.

Pour fonctionner dans ce mode, les techniciens peuvent avoir à
configurer des entrées ARP statiques pour les périphériques locaux
sur le routeur, comme indiqué ci-dessous:
/ip arp
/ip arp> add mac-address=00:11:22:aa:bb:cc addresse=192.168.88.2
interface=ether2
3.5.Amorçage en réseau (Wake On LAN - WOL)

Connaître les adresses MAC et les méthodes d'extension d'ARP
permet des utilisations intéressantes de l'outil WOL.

L'outil WOL envoie un «paquet magique» à une adresse MAC et
réveille l'hôte si cette fonctionnalité est activée sur l'interface réseau
de l'hôte.

La commande ci-après réveille un hôte dont l'adresse MAC est
0A:1B:2C:3D:4E:5F via l'interface ether2:
/tool wol interface=ether2 mac-address=0A:1B:2C:3D:4E:5F

Dans les versions plus récentes (ici version 6.47.1) de RouterOS,
l'outil wol est disponible aussi via l'interface graphique du logiciel
WinBox.

Menu Tools > wol
3.6.Noms de domaine et Enregistrement DNS

RouterOS peut jouer à la fois le rôle des serveurs DNS et des clients DNS.

Sur les unités RouterBOARD ou les CHR(Cloud Hosted Router) virtuels
avec un client DHCP fonctionnant sur l'interface WAN par défaut, une grande
partie de la configuration DNS est déjà effectuée. Le routeur utilisera
automatiquement les serveurs DNS en amont qui lui ont été fournis
dynamiquement pour la résolution de noms.

Des recherches de noms de domaine initiées par le routeur peuvent se
produire lors des opérations suivantes:
• Localisation des serveurs de mise à jour MikroTik.
• Ping de noms de domaine connus pour le dépannage.
• Résolution des adresses IP pour les noms de domaine utilisés dans les
listes d'adresses.

Si un équipement tournant sous RouterOS n'est pas configuré pour recevoir
automatiquement les adresses IP des serveurs DNS, alors sachez qu'il est
simple de configurer des adresses IP de serveurs DNS.

La commande ci-après permet de configurer un routeur MikroTik pour
qu'il se serve des serveurs DNS publique de Google pour la résolution
des noms de domaines :
/ip dns set servers=8.8.8.8,8.8.4.4

3.6.1.Router comme Serveur DNS



Pour permettre au routeur lui-même d'être utilisé comme serveur
DNS, l'option «allow-remote-requests = yes» doit être définie.

La figure ci-après montre une instance RouterOS avec des serveurs
DNS statiques et dynamiques configurés et les requêtes distantes
activées.

AVERTISSEMENT
Les serveurs DNS non sécurisés qui permettent des requêtes à distance
à partir d'Internet peuvent être cooptés dans des attaques DDoS
d'amplification DNS. Vérifiez les règles de pare-feu sur les interfaces
réseau publiques avant d'activer cette fonctionnalité.
/ip dns set servers=8.8.8.8,8.8.4.4 allow-remote-request=yes
Si l'option "allow-remote-requests = yes" est définie, il est important de
spécifier les serveurs de résolution de noms en amont et de les auditer
périodiquement. Si quelqu'un est capable de modifier les serveurs DNS
configurés, il pourrait détourner le trafic réseau et voler les informations de
connexion. Le guide de l'implémentation technique de la sécurité des
routeur d'infrastructure – STIG(Security Technical Implementation Guide)
[1, Vul. ID V-3020] indique ce qui suit à propos de la configuration des
serveurs DNS:
”Vérifiez la configuration de l'appareil pour vous assurer que les serveurs DNS
ont été définis ; s'il a été configuré en tant que résolveur client (recherche de
nom). Si le périphérique est configuré en tant que résolveur client et que les
serveurs DNS ne sont pas définis, il s’agit d’une constatation. »

Au fur et à mesure que les utilisateurs du réseau effectuent des recherches de


noms via le périphérique RouterOS, ces enregistrements seront mis en
cache localement jusqu'à ce que leur durée de vie (TTL) expire. Dans Winbox,
cliquez sur IP> DNS> Cache pour voir les enregistrements de nom mis en
cache.
Cette mise en cache locale peut entraîner une résolution de nom plus rapide
pour les utilisateurs locaux. Les entrées mises en cache pour certains
exemples de sites Web sont illustrées à la figure 8.11:
/ip dns cache print

Flags: S - static
# NAME TYPE DATA TTL
0 S router.lan A 192.168.88.1 1d
1 S shieldn... A 172.18.0.1 5m
2 c.whats... A 34.194.71.217 41m41s
3 c.whats... A 34.194.255.230 41m41s
4 c.whats... A 34.193.38.112 41m41s
5 c.whats... A 34.192.181.12 41m41s
6 whatsap... NS b.ns.whatsapp.net 1d21h58m59s
7 whatsap... NS a.ns.whatsapp.net 1d21h58m59s
8 a.ns.wh... A 66.111.48.12 16h58m11s
9 b.ns.wh... A 66.111.49.12 1d21h58m59s
-- [Q quit|D dump|down]
Rendez-vous au
Module 3