IPTV Movistar Colombia con rb4011 y doble nat

Hola,

Me presento, me registré hace unos años pero por cuestiones de trabajo he estado alejado de los foros.

A ver si alguien tiene montado algo similar o puede darme ideas sobre el problema que tengo.

Tengo un RB4011iGS+ y FTTH de Movistar en Colombia (aquí también se usa el Askey RFT3505VW).

Dicho Askey está configurado en modo monopuesto (solo tiene conectados los decos de IPTV y hace de ata).

Los decos necesitan acceso a internet para ciertas aplicaciones (P.E: Netflix) pero al estar en monopuesto el Askey lo pierde por lo que necesito conectarlos al mikrotik.

He configurado en ether1 una ip en el rango 192.168.1.0/24 y alcanzo correctamente la interfaz de configuración del Askey.

Luego he accedido a la tabla de enrutamiento y enrutado mediante esta interfaz todo lo que va por la vlan de IPTV (3 subredes 172) que se alcanzan sin problemas.
Configuré la opción 240 y los dns de la IPTV en el puerto que voy a asignarle al deco de pruebas (ether6 en este caso).

Luego configuré en el proxy IGMP ether1 como upstream y ether6 como downstream, con alternative subnets 0.0.0.0/0.
Al encender el deco logra hacer todos los pasos de aprovisionamiento sin problemas pero cuando se sintoniza un canal funciona bien por 15 segundos y se pierde la señal.
Puedo cambiar al canal siguiente y tiene el mismo comportamiento, es como si algún elemento cortara el flujo multicasst.

Comparto la configuración de firewall (filtros y nat) por si alguien tiene alguna idea de qué se me puede estar escapando.
Código:
/IP firewall filter:
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept IPTV IGMP packets" in-interface=ether1 protocol=IGMP
add action=accept chain=input comment="Accept IPTV multicast & broadcast traffic" dst-address-type=!unicast in-interface=ether1
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy"ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-NAT-state=!dstnat connection-state=new in-interface-list=WAN
la interface list WAN contiene a ehter1 y el cliente PPPoE para salir a internet.

/ip firewall nat                                                                
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN                                
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.10.3 (ip asignada al deco)
IGMP proxy:
/routing IGMP-proxy
set query-interval=10s quick-leave=yes
/routing IGMP-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add interface=ether6

Muchas gracias por la ayuda.
Saludos.
 
Hola,

Me presento, me registré hace unos años pero por cuestiones de trabajo he estado alejado de los foros.

A ver si alguien tiene montado algo similar o puede darme ideas sobre el problema que tengo.

Tengo un RB4011iGS+ y FTTH de Movistar en Colombia (aquí también se usa el Askey RFT3505VW).

Dicho Askey está configurado en modo monopuesto (solo tiene conectados los decos de IPTV y hace de ata).

Los decos necesitan acceso a internet para ciertas aplicaciones (P.E: Netflix) pero al estar en monopuesto el Askey lo pierde por lo que necesito conectarlos al mikrotik.

He configurado en ether1 una ip en el rango 192.168.1.0/24 y alcanzo correctamente la interfaz de configuración del Askey.

Luego he accedido a la tabla de enrutamiento y enrutado mediante esta interfaz todo lo que va por la vlan de IPTV (3 subredes 172) que se alcanzan sin problemas.
Configuré la opción 240 y los dns de la IPTV en el puerto que voy a asignarle al deco de pruebas (ether6 en este caso).

Luego configuré en el proxy IGMP ether1 como upstream y ether6 como downstream, con alternative subnets 0.0.0.0/0.
Al encender el deco logra hacer todos los pasos de aprovisionamiento sin problemas pero cuando se sintoniza un canal funciona bien por 15 segundos y se pierde la señal.
Puedo cambiar al canal siguiente y tiene el mismo comportamiento, es como si algún elemento cortara el flujo multicasst.

Comparto la configuración de firewall (filtros y nat) por si alguien tiene alguna idea de qué se me puede estar escapando.
Código:
/IP firewall filter:
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Accept IPTV IGMP packets" in-interface=ether1 protocol=IGMP
add action=accept chain=input comment="Accept IPTV multicast & broadcast traffic" dst-address-type=!unicast in-interface=ether1
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy"ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-NAT-state=!dstnat connection-state=new in-interface-list=WAN
la interface list WAN contiene a ehter1 y el cliente PPPoE para salir a internet.

/ip firewall nat                                                               
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN                               
add action=dst-nat chain=dstnat in-interface=ether1 to-addresses=192.168.10.3 (ip asignada al deco)
IGMP proxy:
/routing IGMP-proxy
set query-interval=10s quick-leave=yes
/routing IGMP-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add interface=ether6

Muchas gracias por la ayuda.
Saludos.
Tienes el igmp snooping funcionando en el bridge principal? Suena a inundación por tráfico multicast.

Saludos!
 
Hola,

Muchas gracias por responder.

A ver si te entiendo.

ni ether1 ni ether6 hacen parte de ningún bridge. ¿debo tenerlo activo en el resto de ellos? ( en el principal tengo los puertos del 2 al 5 y del 7 al 9).

Saludos.
Tienes el igmp snooping funcionando en el bridge principal? Suena a inundación por tráfico multicast.

Saludos!
 
Si el puerto está separado y no pertenece a ningún bridge, no debería ser necesario el IGMP-Snooping. Pero, por si acaso, prueba y actívalo (mete ese puerto en un bridge aparte y activa esa opción sobre el bridge).

Saludos!
 
Hola,

Muchas gracias por responder.

He creado un bridge con solo este puerto y activado IGMP snooping pero se sigue reproduciendo lo mismo.
En el log logro ver que cuando sube la interfaz del bridge el IGMP proxy empieza a reenviar paquetes y cuando baja deja de hacerlo.
¿puede tener que ver que esté usando 2 switchs diferentes? (por ether1 tengo conectado el HGU y en ehter6 el deco).

Muchas gracias.
Saludos.

Si el puerto está separado y no pertenece a ningún bridge, no debería ser necesario el IGMP-Snooping. Pero, por si acaso, prueba y actívalo (mete ese puerto en un bridge aparte y activa esa opción sobre el bridge).

Saludos!
 
No debería tener que ver. Pero prueba si quieres con puertos del mismo switch, a ver si se reproduce lo mismo.

Saludos!
 
Hola,

HE hecho las siguientes pruebas sin éxito.
Cambiado a un puerto separado del mismo switch 1 (separado y en bridge)
Conectado otro cable del HGU a una interfaz distinta del mikrotik por si el PPPoE estaba causando algún problema pero sigue haciendo lo mismo.
¿con respecto a la regla de masquerade puede representar algún problema el tener una sola interface list para el cliente PPPoE y ether1 que es por donde saldría el tráfico del deco?
Muchas gracias por tu ayuda.
Saludos.
No debería tener que ver. Pero prueba si quieres con puertos del mismo switch, a ver si se reproduce lo mismo.

Saludos!
 
Hola,

He intentado también desactivar RSTP en el equipo al no estar soportado pero el problema se sigue reproduciendo.
@pokoyo consideras necesario subir un export de la configuración? o podrías recomendarme algo adicional para probar.
Muchas gracias por tu ayuda.
Saludos.
 
Sube el export. La putada es que no conozco la config de Movistar en tu país, pero si veo algo raro te digo.

Saludos!
 
Hola,

Muchas gracias por responder.

Me temo que en efecto es un problema de inundación de multicast, pero no logro comprender la causa.

Cuando conecto un deco en el puerto ether2 del mikrotik, este se queda sin señal pero también afecta los que están conectados directamente al HGU.

Te adjunto el export por si ves algo raro en la configuración del equipo.

Muchas gracias.
Código:
# mar/24/2022 22:05:31 by RouterOS 6.49.5
# software id = ZTYI-3ZR9
#
# model = RB4011iGS+
# serial number = 
/interface bridge
add igmp-snooping=yes name=IPTVMovistar protocol-mode=none
add admin-mac=DC:2C:6E:65:5C:45 auto-mac=no comment=defconf name=bridge \
    protocol-mode=none
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mtu=1480 name=\
    Movistar use-peer-dns=yes user=Usuario
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=240 name=OptionDeco value="'239.130.1.0:22220'"
/ip pool
add name=default-dhcp ranges=172.20.10.2-172.20.10.12
add name=PoolDecos ranges=192.168.10.2-192.168.10.4
/ip dhcp-server
add add-arp=yes address-pool=default-dhcp disabled=no interface=bridge \
    lease-time=1d name=defconf
add add-arp=yes address-pool=PoolDecos disabled=no interface=ether2 \
    lease-time=1d name=DhcpIPTVMovistar
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=Movistar list=WAN
add interface=ether1 list=WAN
/ip address
add address=172.20.10.1/24 comment=defconf interface=bridge network=\
    172.20.10.0
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
add address=192.168.1.115/24 disabled=yes interface=ether1 network=\
    192.168.1.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether1 use-peer-dns=no
/ip dhcp-server network
add address=172.20.10.0/24 comment=defconf gateway=172.20.10.1
add address=192.168.10.0/24 comment=IPTVMovistar dhcp-option=OptionDeco \
    dns-server=172.29.32.36,172.29.32.37 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="Accept IPTV IGMP packets" \
    in-interface=ether1 protocol=igmp
add action=accept chain=input comment=\
    "Accept IPTV multicast & broadcast traffic" dst-address-type=!unicast \
    in-interface=ether1
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.10.4 \
    to-addresses=192.168.1.2
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN src-address=172.20.10.0/24
add action=dst-nat chain=dstnat dst-address=192.168.1.2 in-interface=ether1 \
    to-addresses=192.168.10.4
/ip route
add distance=1 dst-address=172.28.12.32/28 gateway=192.168.1.1
add distance=1 dst-address=172.29.32.0/20 gateway=192.168.1.1
add distance=1 dst-address=172.29.48.0/20 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=20046
set api disabled=yes
set api-ssl disabled=yes
/routing igmp-proxy
set query-interval=10s
/routing igmp-proxy interface
add interface=ether1 threshold=5 upstream=yes
add interface=ether2
/system clock
set time-zone-name=America/Bogota
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Saludos.

Sube el export. La putada es que no conozco la config de Movistar en tu país, pero si veo algo raro te digo.

Saludos!
 
No se si los tiros pueden ir por una opción que hay en el bridge llamada “fast leave” dentro que cada puerto ethernet se puede activar individualmente.

Llevo pocos días con una configuración multidesco (tenia problemas de cortes en la imagen a los pocos segundos) y activando esta opción he logrado solucionarlos.
 
Última edición:
Arriba