Dudas sobre configuración IGMP

Hola a todos, tengo dudas en relación a la correcta implementación del IGMP en una instalación sencilla. Me refiero a seguir utilizando el router de la operadora para la VoIP y la TV, sin configurar las VPN en el Mikrotik.

Todo lo que he visto está relacionado con la configuración del Mikrotik para ser utilizado como router principal, pero en este caso particular yo prefiero quedarme con doble router (operadora más Mikrotik), solventando los doble NAT por supuesto etc, más que nada por no complicarme la vida en caso de problemas con el lado de la operadora, posibles cambios de la misma etc.

Tengo un poco de cacao mental con ello, pido perdón si ya se ha tratado anteriormente pero como digo no he encontrado nada relacionado con esto en concreto en el foro o en la wiki.

Mi configuración es un CRS328 como router principal, configurado en un solo bridge (excepto un puerto que sería el WAN) con varios puntos de acceso de Ubiquiti, televisiones IP y el deco de la operadora conectado también a este router. O sea, que el router de la operadora va a un interfaz WAN del CRS328 y no tiene nada más conectado. Tengo una red wifi de invitados la cual gestiono con una VLAN que gestiono con el CRS328 y el cual enlaza con un trunk a un CRS326, con la misma configuración de un solo bridge.

Lo que quiero es gestionar el tráfico multicast convenientemente para evitar problemas, la duda es si solamente activando IGMP Snooping en ambos routers se soluciona esto o he de hacer algo más.

Mis pruebas y dudas son las siguientes:

He probado a activar IGMP Snooping en los bridges de ambos routers y en la tabla Bridge->MDB no veo ningún movimiento a no ser que active en Interface->Bridge->IGMP Snooping la opción de Multicast Querier. ¿Es eso normal? ¿Debería estar activa esa opción o no es necesario?

Si fuera necesario activar el Multicast Querier en el router principal (CRS32:cool:, ¿hay que hacer algo en el secundario (CRS326)?

¿Beneficia en algo o es necesario en mi caso activar el IGMP Proxy? De ser interesante instalarlo... ¿He de configurar algo en el router secundario CRS326, o ya se "entera" al tener activo IGMP Snooping?

Así he configurado el IGMP Proxy, el ether24 es la WAN del CRS328 y IP 192.168.1.1 es la IP del router de la operadora:

Enriquecido (Código BB):
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether24 upstream=yes
add interface=bridge1


Lo que veo en el firewall haciendo un filtrado de protocolos es que hay poco "movimiento" si no activo el Multicast Querier, algo más si lo activo y bastante más si a la vez está el IGMP Proxy (nota, si veis que hay referencia a la VLAN10 es porque eran unas pruebas, en realidad es la LAN sin VLAN):

Multicast Querier desactivado
sin_multicast_querier.jpg


Multicast Querier activado
con_multicast_querier.jpg


Con Querier y con el IGMP Proxy
con_proxy.jpg




Gracias anticipadas y disculpad la "empanada". Un saludo.
 
Si tú no vas a enrutar el tráfico multicast, es decir, no vas a sustituir el router de la operadora, diría que, en un principio, con habilitar el igmp snooping (escuchar el tráfico igmp y ver quién lo solicita) es suficiente.
La pestaña MDB sólo verás jaleo cuando haya un dispositivo final solicitando tráfico multicast. Es decir, cuando pinches un desco al mikrotik.

La duda que me surge a mi al ver tu setup, es si el CRS que hace de router debería llevar o no igmp-proxy si quieres propagar el IGMP hacia abajo. El segundo equipo que hace de switch tengo claro que con el igmp-snooping le vale. Pero el primero, tu puerta de enlace, lo dudo. Y el multicast querier es una cosa que ya está haciendo el router de telefónica, así que sospecho que no necesitas tenerlo en ningún caso. Es una especie de sonda para mantener actualizados qué equipos participan en el tráfico multicast.

A ver si tienes suerte y se pasa por aquí el compi @furny, que de estas cosas de tráfico multicast e IGMP sabe bastante más que yo.

De todas maneras, te dejo los enlaces a la wiki donde puedes ver el uso de ambas opciones (las opciones del IGMP Proxy parece que aún no están en la wiki nueva)

IGMP Proxy: https://wiki.mikrotik.com/wiki/Manual:Routing/IGMP-Proxy
IGMP Snooping: https://help.mikrotik.com/docs/pages/viewpage.action?pageId=59277403

Saludos!
 
Si tú no vas a enrutar el tráfico multicast, es decir, no vas a sustituir el router de la operadora, diría que, en un principio, con habilitar el igmp snooping (escuchar el tráfico igmp y ver quién lo solicita) es suficiente.
La pestaña MDB sólo verás jaleo cuando haya un dispositivo final solicitando tráfico multicast. Es decir, cuando pinches un desco al mikrotik.

La duda que me surge a mi al ver tu setup, es si el CRS que hace de router debería llevar o no igmp-proxy si quieres propagar el IGMP hacia abajo. El segundo equipo que hace de switch tengo claro que con el igmp-snooping le vale. Pero el primero, tu puerta de enlace, lo dudo. Y el multicast querier es una cosa que ya está haciendo el router de telefónica, así que sospecho que no necesitas tenerlo en ningún caso. Es una especie de sonda para mantener actualizados qué equipos participan en el tráfico multicast.

A ver si tienes suerte y se pasa por aquí el compi @furny, que de estas cosas de tráfico multicast e IGMP sabe bastante más que yo.

De todas maneras, te dejo los enlaces a la wiki donde puedes ver el uso de ambas opciones (las opciones del IGMP Proxy parece que aún no están en la wiki nueva)

IGMP Proxy: https://wiki.mikrotik.com/wiki/Manual:Routing/IGMP-Proxy
IGMP Snooping: https://help.mikrotik.com/docs/pages/viewpage.action?pageId=59277403

Saludos!

Gracias por la respuesta.

La verdad es que se ve tráfico con ese protocolo aun solo conectando un portátil, en cualquiera de los tres casos que he expuesto. Si me conecto con un móvil a la wifi y veo la TV de Orange no parece haber tráfico multicast en exceso en ninguno de los casos, aparece la IP del móvil en la tabla de conexiones del firewall pero sin excesivo tráfico.

No conocía yo esa web (help.mikrotik.com), iba siempre a la wiki que muchas veces no sirve de mucho. Gracias por la info. Sigo más o menos igual :-( sobre todo después de ver esto en dicha web:

1625849817809.png


Dado que mis dos routers (CRS326-24G-2S+ y CRS328-24P-4S+) llevan el primero de los chips mencionados en el aviso, estarían afectados por esta advertencia, pero no sé si me afectaría para lo que yo quiero hacer o es solamente en caso que se utilicen funciones más avanzadas o no tendría efecto en la mayoría de las instalaciones habituales.

A ver si hubiera alguien que haya querido montar esto así alguna vez o si leyera el post el compañero que comentas...

Gracias de nuevo.
 
Hola, he conseguido que funcione pero he tenido que activar el IGMP Proxy del MK principal.

El deco conectado al MK que está como router, por tanto en otra red diferente.

Si lo conectaba solo con el IGMP Snooping activado, veía las grabaciones y la lista de canales con la programación pero no podía ver ningún canal de TV en directo (Orange).

Al activar el IGMP Proxy ya funciona, con el código que puse en el primer post.

Enriquecido (Código BB):
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether24 upstream=yes
add interface=bridge1

En el bridge, he dejado el el IGMP Snooping activado y Multicast Querier sin marcar, como viene por defecto.

Hay que modificar también la regla de firewall que bloquea el tráfico entrante no NATeado para lo cual yo he marcado las conexiones con destino a 224.0.0.0/4 en el Mangle y se las he puesto como excepción a dicha regla.

Enriquecido (Código BB):
/ip firewall filter add action=drop chain=forward comment="Drop todo lo de la WAN no DSTNATed" connection-mark=!multicast connection-nat-state=!dstnat connection-state=new in-interface-list=WAN log=yes log-prefix="NO NAT->"
/ip firewall mangle add action=mark-connection chain=prerouting dst-address=224.0.0.0/4 new-connection-mark=multicast passthrough=yes

También he creado otra regla en el firewall para aceptar el tráfico IGMP desde la WAN... veo que tiene movimiento así que la he dejado activa.

Enriquecido (Código BB):
/ip firewall filter add action=accept chain=input in-interface-list=WAN protocol=igmp

En el switch secundario (CRS326 con un único bridge) me funciona el deco también correctamente y en la tabla MDB de ambos switches me aparecen las IPs de multicast.

Por tanto, problema solucionado (aparentemente no da problemas) y a ver si le sirve a más gente ya que parece que este caso concreto no lo ha tenido nadie, supongo que por sustituir mayormente la gente el router de la operadora por el MK en lugar de poner un router por detrás del de la operadora como he hecho yo.

No sé si se puede optimizar algo más esta configuración, se admiten sugerencias ;)
 
Por cierto, para evitar el doble NAT hago un DMZ en el router de Orange a la IP del interfaz WAN del MK (ya que esa m***da de router de Orange no tiene asignación de rutas estáticas).
 
Por cierto, para evitar el doble NAT hago un DMZ en el router de Orange a la IP del interfaz WAN del MK (ya que esa m***da de router de Orange no tiene asignación de rutas estáticas).
Sí, no te queda otra. O buscarte una ONT y tirar directo, sacando los datos de conexión del router de Orange previamente.

Saludos!
 
Arriba