30-40 Megabits de Multicast en puerto WAN con PepePhone, ¿es normal?

Hola,

Hace poco pasé de O2 a PepePhone (red de movistar - NEBA). en Pepephone me pusieron una ONT ZTE ZXHN F601. No caí en preguntarle al instalador la clave así que por ahora la sigo usando.

Puse mi router mikrotik que tengo de hace unos años conectado a la ONT y el router de PepePhone solo lo uso para la Wifi.

Al conectar el mikrotik y configurarlo, veo que en el puerto de Wan/Internet conectado a la ONT recibo constantemente 30-40Megabits de tráfico Multicast.

Le he metido la herramienta Torch para ver qué pasa por el puerto WAN/Internet y veo que aparte de lo típico de VLAN 20 de Pepephone, veo tráfico multicast en VLAN 180,182 y 3785 y de ahí parece que viene todo el tráfico "extra".

Entiendo que esto es de Telefónica, porque es su red.

Mis preguntas son, ¿es normal que yo vea ese tráfico? ¿No debería estar filtrado en algún punto anterior ya que estoy ahora en PepePhone y no tengo nada con movistar/o2?

Subo una imagen de de lo que se ve.

Gracias!
 

Adjuntos

  • torch.png
    torch.png
    138.4 KB · Visitas: 74
Hostias no, para nada es normal. Es más, diría que estás recibiendo tráfico de otro cliente. O eso, o están haciendo pruebas de meter multicast en fibra Neba para revender el servicio de tv a terceros.

Entiendo que en tu red no hay ningún desco suscrito a esas direcciones multicast, demandando ese tráfico (estaría bien probarlo, lo mismo tienes iptv por face). Tampoco eres “paco” en el esquema paco-pepe del famoso manual, no?

Lo peor es que no sé qué recomendarte. Probaría pinchando el cpe de Pepe un tiempo, y ver si ese tráfico “se apaga”.

Cuanto menos, curioso tu problema. Si quieres, probamos a configurar el router para IPTV, usando esas vlans.

Saludos!
 
Hola pokoyo

Lo primero agradecer tu respuesta y los increíbles hilos que has abierto en este foro de documentación, me quito el sombrero, de verdad.(y)

Volviendo al tema, en mi red, que uso la típica 192.168 no hay más que móviles, tablets, y alguna tv, ningún deco ni nada similar. Así que el tráfico con esas ips de origen y esos destinos multicast no los reconozco de nada.

No se de qué paco me hablas jejeje, descartado eso, sea lo que sea :LOL:

Ya estuve un tiempo con el router de Pepephone antes de decidirme poner el mío, el motivo por el que metí el mikrotik es que en la ONT siempre le veía los led parpadeando como locos y no me cuadraba con el uso que hago y con el mikrotik se puede "husmear" más, además de que el router de Pepephone, un ZTE ZXHN H3640, parece que daba latencia en los test de subida un poco más alta, 20ms contra los 7-8 que suele dar la fibra siempre, así que metí el mikrotik a ver si notaba diferencia e intentar ver qué volvía tan loca a la ONT.

Me encantaría configurar el router para IPTV pero no tengo muy claro cómo hacerlo ya que no soy experto, solo me defiendo un poco. Si puedes indicarme un enlace concreto que mirar o similar y algún cliente por software que pueda usar para probar te lo agradecería.
 
Tienes por ahí a mano un desco des los UHD de Movistar? Si lo tienes dime, y configuramos la red para ello.

También sería bueno saber si esto sólo te pasa con la ONT + Mikrotik, y desaparece con el router que te proporcionó Pepephone. Sospecho que el problema lo vas a tener igual, puesto que tienes el mismo setup (ONT + Router), así que el tráfico multicast te estará llengado igualmente.

Es super curioso el caso, es como si te hubieran enganchado a una boca de de la CTO que no es la tuya (el chisme de la calle / cuarto de comunicaciones, donde va tu fibra enganchada). Pero, al mismo tiempo, el tráfico no viene sobre las VLANs normales que usa telefónica, así que sospecho que están probando el tema del multicast en fibra Neba (quiero recordar que alguno comentó por aquí en su día que Orange lo había solicitado formalmente, y puede que estés conectado a CTO de Orange, puesto que tienen acuerdo con el grupo MasMóvil, al que pertenece Pepephone)

Las IP's y los grupos multicast sí que los reconozco, 172.26.x.y son IPs de los servidores de vídeo de Movistar.

Saludos!
 
Si quieres, pásame un export de cómo tienes ahora mismo configurado el mikrotik, para que paremos ese tráfico multicast.

Saludos!
 
Hola,

Nunca he tenido TV de movistar, eso es lo más gracioso de todo, me llega todo eso y jamás tuve contratada tv :LOL:, así que no tengo ningún deco, lástima.

Aquí tienes el export, solo he eliminado la parte del dhcp-server con los leases

# oct/15/2022 11:23:46 by RouterOS 7.5
# software id = IA7W-LCFX
#
# model = RouterBOARD 750G r2
# serial number = xxxxxxxxxxxxxxx
/interface bridge
add admin-mac=E4:8D:8C:CB:A4:84 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-switch
set [ find default-name=ether3 ] disabled=yes name=ether3-tv
set [ find default-name=ether4 ] name=ether4-blueray
set [ find default-name=ether5 ] name=ether5-wifi-IN
/interface vlan
add interface=ether1-wan name=vlan20 vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=red-local ranges=192.168.1.200-192.168.1.254
/ip dhcp-server
add add-arp=yes address-pool=red-local interface=bridge lease-time=6h name=dhcp
/queue tree
add max-limit=6M name=upload parent=vlan20
add limit-at=4M max-limit=6M name=other_upload packet-mark=other_traffic parent=upload priority=1
add limit-at=2M max-limit=6M name=heavy_upload packet-mark=heavy_traffic parent=upload
add max-limit=6M name=download parent=bridge
add limit-at=4M max-limit=6M name=other_download packet-mark=other_traffic parent=download priority=1
add limit-at=2M max-limit=6M name=heavy_download packet-mark=heavy_traffic parent=download
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,rest-api
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-switch
add bridge=bridge comment=defconf interface=ether3-tv
add bridge=bridge comment=defconf interface=ether4-blueray
add bridge=bridge comment=defconf interface=ether5-wifi-IN
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set rp-filter=strict tcp-syncookies=yes
/interface detect-internet
set detect-interface-list=WAN internet-interface-list=WAN wan-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-wan list=WAN
add interface=vlan20 list=WAN
/ip address
add address=192.168.1.3/24 interface=bridge network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=PePephone default-route-distance=10 interface=vlan20 use-peer-dns=no use-peer-ntp=no
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.1.1.1/dns-query
/ip dns static
add address=192.168.1.3 comment=defconf name=router.lan
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
add address=192.168.1.1-192.168.1.254 list=allowed_to_router
add list=ddos-attackers
add list=ddos-target
add list=ddos-targets
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="Established, Related" connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge log=yes log-prefix=!public_from_LAN out-interface=!bridge
add action=drop chain=forward comment="Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan log=yes log-prefix=!NAT
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp protocol=icmp
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1-wan log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge log=yes log-prefix=LAN_!LAN src-address=!192.168.1.0/24
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddos-target address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos
add action=jump chain=forward connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddos-target address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s protocol=tcp tcp-flags=syn,ack
add action=accept chain=forward connection-rate=0-100k protocol=tcp
add action=accept chain=forward connection-rate=0-100k protocol=udp
/ip firewall mangle
add action=mark-connection chain=forward connection-mark=!heavy_traffic_conn new-connection-mark=all_conn
add action=mark-connection chain=forward connection-bytes=500000-0 connection-mark=all_conn connection-rate=200k-100M new-connection-mark=heavy_traffic_conn protocol=tcp
add action=mark-connection chain=forward connection-bytes=500000-0 connection-mark=all_conn connection-rate=200k-100M new-connection-mark=heavy_traffic_conn protocol=udp
add action=mark-packet chain=forward connection-mark=heavy_traffic_conn new-packet-mark=heavy_traffic passthrough=no
add action=mark-packet chain=forward connection-mark=all_conn new-packet-mark=other_traffic passthrough=no
add action=mark-connection chain=forward connection-mark=!heavy_traffic_conn new-connection-mark=all_conn
add action=mark-connection chain=forward connection-bytes=500000-0 connection-mark=all_conn connection-rate=200k-100M new-connection-mark=heavy_traffic_conn protocol=tcp
add action=mark-connection chain=forward connection-bytes=500000-0 connection-mark=all_conn connection-rate=200k-100M new-connection-mark=heavy_traffic_conn protocol=udp
add action=mark-packet chain=forward connection-mark=heavy_traffic_conn new-packet-mark=heavy_traffic passthrough=no
add action=mark-packet chain=forward connection-mark=all_conn new-packet-mark=other_traffic passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall raw
add action=drop chain=prerouting dst-address-list=ddos-target src-address-list=ddos-attackers
add action=drop chain=prerouting dst-address-list=dddos-targets src-address-list=ddos-attackers
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/snmp
set enabled=yes trap-generators=interfaces trap-interfaces=all
/system clock
set time-zone-name=Europe/Madrid
/system ntp client
set enabled=yes
/system ntp client servers
add address=pool.ntp.org
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Cualquier otra cosa lo busco sin problemas. Muchas gracias!
 
Te importaría guardar un backup de esa configuración, darle un reset al equipo (dejándole que cargue la config por defecto) y configurar únicamente la vlan 20 y el cliente dhcp sobre dicha vlan? Es decir, sobre la config por defecto:
Código:
/interface/vlan
add interface=ether1 name=internet vlan-id=20

/ip/dhcp-client
add interface=internet

/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet

Y me dices si el problema persiste.

Saludos!
 
Te importaría guardar un backup de esa configuración, darle un reset al equipo (dejándole que cargue la config por defecto) y configurar únicamente la vlan 20 y el cliente dhcp sobre dicha vlan? Es decir, sobre la config por defecto:
Código:
/interface/vlan
add interface=ether1 name=internet vlan-id=20

/ip/dhcp-client
add interface=internet

/interface/list/member
set [find where interface=ether1 and list=WAN] interface=internet

Y me dices si el problema persiste.

Saludos!
Inicialmente lo enchufé vi lo que pasaba y lo reseteé para ver si la cosa cambiaba y sigue igual, lo único que hice fue meter unas reglas de firewall extra recomendadas por mikrotik

Aquí están las recomendaciones:
 
Inicialmente lo enchufé vi lo que pasaba y lo reseteé para ver si la cosa cambiaba y sigue igual, lo único que hice fue meter unas reglas de firewall extra recomendadas por mikrotik

Aquí están las recomendaciones:
Esas reglas de firewall no te hacen mal, pero tampoco ningún bien. Si te fijas en el documento que enlazan, hablan de “construir tu primer firewall” y de hecho tienes en la primera sección un aviso claro: te recomendamos enfáticamente que trabajes con el firewall por defecto. Aquí tienes algunos consejos para hacerlo (modificarlo) más seguro. Asegúrate de implementarlo únicamente cuando conozcas el beneficio de dichos cambios.

Resumiendo: el firewall por defecto es suficientemente bueno, no lo toques si no sabes lo que estás haciendo. No obstante, así lo podrías modificar para hacerlo aún más restrictivo.

Es decir, esas reglas no son para copiarlas y pegarlas a continuación de tu firewall, sino para que sustituyan el comportamiento de las reglas por defecto del mismo. De la manera que las tienes, solo has complicado el firewall, pero no has obtenido beneficio alguno de ellas. Te recomiendo des un paso atrás y vuelvas a las originales.

Con respecto al problema, vas a tener que reportarlo, pero con el CPE de Pepe conectado. No obstante, como es un problema que sospecho será visible desde la cabecera de la OLT, no deberían tener problema en atenderte, incluso con el Mikrotik, por si necesitan que les demuestres que ese tráfico está llegando ahí.

Saludos!
 
Hola,

Pensé que te había contestado..que cabeza.

Gracias por las recomendaciones del firewall, si que tengo que hacer limpia, es posible que lo resetee hasta dejarlo completamente a mi gusto.

He tenido unos días liados pero esta semana lo reporto a ver que me dicen.

Un saludo y muchas gracias!
 
Para ahorrar tiempo lo he reportado por whatsapp, la respuesta me ha parecido poco profesional la verdad. Literalmente ha sido esta:

"el cableado al que te encuentras conectado es a través de movistar por lo que puede ser normal que lo recibas aunque como bien dices si no tenemos TV no lo utilizes"

Por lo que yo entiendo, básicamente han pasado de mi y no han querido escalarlo. Pero en fin, que cada uno saque sus propias conclusiones.
 
Algo parecido me pasa a mi pero con DIGI, llamé a atención al cliente y fue una odisea, me llamaban a cada rato para que pusiera el router de ellos, que lo reiniciara, bla bla, gente que no sabía nada, al final me cansé y lo dejé por incorregible, aquí mis gráficos actualmente

D1Captura de pantalla 2022-10-30 174628.jpg


D2Captura de pantalla 2022-10-30 174713.jpg


DCaptura de pantalla 2022-10-30 174538.jpg


Alguien sabe alguna forma de solucionarlo?
 
Esto me recuerda que yo también tengo estadísticas gráficas. o_O

Una media semanal de 23+ megabits/segundo de tráfico multicast de entrada , que chapuza.


grafana-microtik.png
 
Última edición:
Por si a alguien le interesa, hoy mismo a las 04:50am lo han "arreglado", nadie me ha dicho nada y yo ya daba el tema por perdido, pero bueno, más vale tarde que nunca.

multicast-in-no-more.png
 
Arriba