[Ivan Rostovikov]

Привет.

RB951 5.26

1 порт WAN

2-5 порт + Wifi бридж LAN

igmp-proxy настроен. iptv работает.

Проблема в том, что микротик льет мультикаст на все порты бриджа. и на wifi тоже.

Как этого избежать ?

IGMP-snooping на интерфейс бриджа не взлетает. :-(

[biox]

У меня получился такой порядок:

 

1. Обновляю прошивку

2. Обновляю Routerboard firmware (если вначале обновит rbf а потом прошивку получим кирпич)

3. Устанавливаю пакеты Multicast и NTP

4. Настраиваю IGMP proxy на WAN и bridge

5. Настраиваю multicast на WIFI (Multicast helper в FULL и WMM в enable)

5. Создаю 2 правила фаервола - input igmp accept и input udp accept

6. Настраиваю NTP client и server (для нормальной работы CAS может быть необходима синхронизация времени на STB или в PC player)

Обычно этого оказывается достаточно.

Изменено 10 января, 2014 пользователем biox

[tartila]

Привет.

RB951 5.26

1 порт WAN

2-5 порт + Wifi бридж LAN

igmp-proxy настроен. iptv работает.

Проблема в том, что микротик льет мультикаст на все порты бриджа. и на wifi тоже.

Как этого избежать ?

IGMP-snooping на интерфейс бриджа не взлетает. :-(

 

igmp-proxy не должен разбираться в портах бриджа, это не входит в его задачи. Что бы поднять igmp-proxy на любом интерфейсе, на нем должен быть ipv4 адрес, в том числе и на бридже. Wi-Fi не бриджуйте вместе с LAN, иначе туда все равно будет залетать multicast или нарисуйте фильтр на бридже, запрещающий мультик в Wi-Fi. Но я обычно не бриджую, тогда и проблем не имею. ;)

[Ivan Rostovikov]

>igmp-proxy не должен разбираться в портах бриджа, это не входит в его задачи.

Конечно не его задача. Это задача IGMP-snooping. И на самых тупых Dlink-ах это запросто работает.

Согласитесь, лить мультикаст во все лан-порты сразу - это прошлый век.

 

>или нарисуйте фильтр на бридже, запрещающий мультик в Wi-Fi.

Можно пример в студию ?

 

>Но я обычно не бриджую, тогда и проблем не имею. ;)

И как же ? свитч -группу делать , чтоб локалка работала , а в бридж не включать ?

 

 

 

[biox]

Ivan Rostovikov :)

[Saab95]

>igmp-proxy не должен разбираться в портах бриджа, это не входит в его задачи.

Конечно не его задача. Это задача IGMP-snooping. И на самых тупых Dlink-ах это запросто работает.

Согласитесь, лить мультикаст во все лан-порты сразу - это прошлый век.

 

Можно указать порт, в который подключен приемник мультикаста, и лить сразу в него.

 

При этом можно в бридж объединить сразу все порты, в том числе и WAN, запретить передачу пакетов из всех портов бриджа в сторону WAN, тогда при наличии IPTV потока он сразу польется на все порты внутренней сети без проблем.

 

>или нарисуйте фильтр на бридже, запрещающий мультик в Wi-Fi.

Можно пример в студию ?

 

 

 

/interface bridge filter

add action=drop chain=forward packet-type=multicast out-interface=!wlan1

 

 

>Но я обычно не бриджую, тогда и проблем не имею. ;)

И как же ? свитч -группу делать , чтоб локалка работала , а в бридж не включать ?

 

Свич группу вообще лучше не использовать, если не требуется передавать трафика под 500 и более мегабит.

[Ivan Rostovikov]

>Можно указать порт, в который подключен приемник мультикаста, и лить сразу в него.

Это должен быть L3 порт. Со своим IP адресом. Так работает IGMP-proxy.

 

>Свич группу вообще лучше не использовать, если не требуется передавать трафика под 500 и более мегабит.

 

Если не выйдет получить IGMP-snooping (который решил бы все проблемы по скольку для этого и создан) придется таки разделять бридж локалки и Wifi на отдельные L3 интерфейсы но обьеденять их в свич группы, чтоб работал домашний DLNA.

[alibek]

Как этого избежать

Кривой мультикаст на Микротиках.

Я завести нормально так и не смог.

Решил проблему отказом от них.

[Ivan Rostovikov]

>/interface bridge filter

add action=drop chain=forward packet-type=multicast out-interface=!wlan1

 

 

Не канает.

 

!wlan1

^

тут вроде ошибка. Но я пробовал оба варианта.

Трафик льется.

 

Wi-Fi интерфейс в свич группу не входит. Так, что даже не знаю что и делать.

Не ожидал от Микротиков такой гадости.

[alibek]

Трафик льется.

У меня как-то получалось зафильтровать мультикаст в WLAN.

Но это все-равно проблемы не решает.

Во-первых, я все-таки хочу смотреть IPTV по беспроводной сети, на Zyxel или D-Link (с 802.11n и WMM) это получается без проблем.

Во-вторых, мультикаст все-равно работает глючно, зашифрованные каналы не транслируются (на них даже подписки не идет).

[Ivan Rostovikov]

Трафик льется.

У меня как-то получалось зафильтровать мультикаст в WLAN.

Но это все-равно проблемы не решает.

Во-первых, я все-таки хочу смотреть IPTV по беспроводной сети, на Zyxel или D-Link (с 802.11n и WMM) это получается без проблем.

Во-вторых, мультикаст все-равно работает глючно, зашифрованные каналы не транслируются (на них даже подписки не идет).

 

У меня все транслируется. и шифрованное и нешифрованное. iptv показывает отлично., HD в том числе. Программы переключаются быстрее чем на других роутерах.

Вот еще бы snooping-у его обучить - и совсем конфетка была бы.

 

 

К стати сказать. Роутер не знает шифрованный пакет или нет. Ему пофиг.

[biox]

alibek посмотрите мой пост выше, с этими настройками на RB951G, IPTV от N3 прекрасно работает на дюнах через WIFI.

[Ivan Rostovikov]

У Вас лан порты и Wifi разделены ?

Т.е. Wifi это отдельный L3 интерфейс ?

[biox]

У Вас лан порты и Wifi разделены ?

Т.е. Wifi это отдельный L3 интерфейс ?

Не понимаю на кой ляд абоненту дома грабли у вас техподдержке работы мало, так приезжайте мы от своей тп вам работы подкинем?

Из настроек WIFI тебуется поставить Multicast helper в FULL и при необходимости включить поддержку WMM, всё это выполняется на одной вкладке winbiox,a

Изменено 10 января, 2014 пользователем biox

[Ivan Rostovikov]

Извиняюсь, я не совсем понимаю о каких граблях и какой техподдержке Вы ведете речь.

Я лишь задал пару вопросов про Ваш вариант настройки. Просто ответьте на него если можно и не усложняйте ведение беседы.

[biox]

М.... мы с вами наверное с разных планет......... пост о применяемых мной настройках находится выше, WIFI лежит в бридже с LAN

Изменено 10 января, 2014 пользователем biox

[Ivan Rostovikov]

У Вас там только пара фоток из которых не понятно как настроен Wifi. L2 или L3. Именно об этом я спрашиваю.

Если по L3 то как Вы увязываете его с остальной локалкой ?

[biox]

Я задал вам встречный вопрос: зачем вам дома, на абонентском роутере, L3 на WIFI?

Изменено 10 января, 2014 пользователем biox

[Ivan Rostovikov]

После редактирования постов стало яснее. Благодарю.

Теперь понятно, что WiFi у Вас бриджем с LAN портами. И у меня так же. И я тоже считаю, что это правильно.

Однако суть этого топика - как заставить микротик не лить мультикаст во все порты одновременно, что и происходит при такой конфигурации.

Замечу. Мне как раз не нужен мультикаст по WiFi. И мне не нужно, что бы он лился в те порты куда его не просят.

"В лоб" этого можно добиться только если разнести эти порты по L3 т.к. снупинг не взлетает. Поэтому я про L3 и спросил.

[biox]

"снупинг не взлетает" - пункты 1 и 2 из моего первого поста.

 

просто когда болит зуб, я не думаю что вы лечите большой палец левой руки, вероятнее всего вы будете лечит зуб, а не палец. Это я к тому, что, если не работает снупинг, то его и нужно лечить.

Изменено 10 января, 2014 пользователем biox

[alibek]

У меня все транслируется. и шифрованное и нешифрованное. iptv показывает отлично., HD в том числе.

Конфигурацией не поделитесь?

Я ума дать 2011UAS так и не смог.

И ладно бы я, я с ними дела раньше не имел, тех.поддержка Нага тоже помочь не смогла.

 

Вот еще бы snooping-у его обучить - и совсем конфетка была бы.

К стати сказать. Роутер не знает шифрованный пакет или нет. Ему пофиг.

Видимо не пофиг. У меня он нешифрованные каналы показывал, а шифрованные нет. Разницы между каналами никакой.

Думаю, что дело как раз в том, что у MT нет снупинга, вместо этого у него костыль под названием IGMP Proxy и возможно он пытается как-то анализировать трафик.

[Ivan Rostovikov]

Конфигурацию привел Biox. У меня точно такая же.

Шифрованные каналы не показывает из-за того, что STB не может их расшифровать. Например из-за неверных настроек NTP. Такое бывает.

IGMP-Proxy вообще не занимается мультикастом. Он занимается IGMP пакетами. Мультикастом занимается TCP/IP стек микротика.

 

 

 

 

/interface bridge

add l2mtu=1598 name=bridge1

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no \

frequency=2467 l2mtu=2290 mode=ap-bridge wireless-protocol=802.11

/interface pppoe-client

add add-default-route=yes allow=chap disabled=no interface=ether1 name=wan \

password=*** use-peer-dns=yes user=***

/ip neighbor discovery

set wlan1 discover=no

set wan discover=no

/interface wireless security-profiles

set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \

group-key-update=15m mode=dynamic-keys supplicant-identity=MikroTik \

wpa-pre-shared-key=****** wpa2-pre-shared-key=********

/ip hotspot user profile

set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \

mac-cookie-timeout=3d

/ip ipsec proposal

set [ find default=yes ] enc-algorithms=3des

/ip pool

add name=dhcp-hosts ranges=192.168.1.2-192.168.1.200

/ip dhcp-server

add address-pool=dhcp-hosts disabled=no interface=bridge1 name=dhcp1

/port

set 0 name=serial0

/ppp profile

add name=remote-users only-one=yes use-compression=no use-encryption=no \

use-vj-compression=no

/system logging action

set 0 memory-lines=100

set 1 disk-lines-per-file=100

/interface bridge port

add bridge=bridge1 interface=ether2

add bridge=bridge1 interface=ether3

add bridge=bridge1 interface=ether4

add bridge=bridge1 interface=ether5

add bridge=bridge1 interface=wlan1

/ip address

add address=192.168.1.1/24 interface=wlan1 network=192.168.1.0

/ip dhcp-client

add add-default-route=no dhcp-options=hostname,clientid disabled=no \

interface=ether1

/ip dhcp-server network

add address=192.168.1.0/24 dns-server=**** gateway=192.168.1.1

/ip dns

set servers=****

/ip firewall filter

add chain=input dst-port=1234 protocol=udp

add chain=input protocol=igmp

/ip firewall nat

add action=masquerade chain=srcnat out-interface=wan src-address=\

192.168.1.0/24 to-addresses=0.0.0.0

 

/ip proxy

set parent-proxy=0.0.0.0

/ip service

set api disabled=yes

/routing igmp-proxy

set quick-leave=yes

/routing igmp-proxy interface

add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes

add interface=bridge1

/system identity

set name=xxx

/system leds

set 0 interface=wlan1

/system routerboard settings

set cpu-frequency=400MHz

 

Для WiFi сюда надо добавить "Multicast helper в FULL и WMM в enable" о, чем и писал Biox. Но поскольку оно мне не надо - я не этого не делаю.

[tartila]

Извиняюсь, что долго так... :) Были свои дела.

Блочить траф на интерфейс в бридже вот так надо

/interface bridge filter add chain=output out-interface=wlan0 action=drop mac-protocol=ip packet-type=multicast

 

Почему не forward... Да потому что proxy :)

 

Кривой мультикаст на Микротиках.

Я завести нормально так и не смог.

Решил проблему отказом от них.

 

Ахах... Nice. :)

[alibek]

Шифрованные каналы не показывает из-за того, что STB не может их расшифровать.

Разумеется нет. Ставлю вместо микротика обычный Zyxel Keenetic и все работает.

NTP используется провайдерский.

Кроме того, у меня Микротик не воспроизводил и незашифрованные каналы, у которых source-ip приватный (это трансляции с IP-камер). Указание подсети 0.0.0.0/0 не помогало.

[biox]

На самом деле не каждому в работе нужен скальпель..... кому то нужен топор, а кому то мачете....