MANUAL: FTTH Movistar/Jazztel con router neutro Mikrotik

He eliminado las reglas estáticas de los demás descos y me esperé a que el contador del script se moviera...ha pasado un buen rato, y no veo como crea la regla estática nueva ni nada (y están operativos 2 descos)

La regla estática de NAT se crea cuando desde un desco, tu estás en la guía movistar y pides ver una película o pides ver un programa desde el inicio: en ese momento, si no da error Movistar, cuando se empieza a ver el programa, se crea la regla.
 
Otra cosa:

esta regla:

/interface bridge filter
add action=drop chain=output dst-address=239.0.0.0/8 ip-protocol=udp \
mac-protocol=ip out-interface=wlan1

Creo que es innecesaria. Lo que hace es impedir tráfico multicast (parte, no todo. Hay otras direcciones de multicast) por la wlan. Como tienes activado el IGMP-snooping, ya esta facilidad controla que no vaya multicast no solicitado por la WiFi. Puedes comprobarlo si ves que cuenta paquetes la regla o está a cero.

No creo que tenga incidencia en tu problema del VOD, de todas formas, pero por si acaso... yo la quitaría, a menos que haya algo que se me escape
 
Hola de nuevo Furny (y muchas gracias por perder el tiempo conmigo)
Hoy he montado el tunel EoIP con mis suegros, y el desco3 (el de mi casa) funciona perfectamente, a excepción del dichoso Reproducir desde inicio.
Vamos por partes:
1) El contador del script si que se mueve, va en aumento, cada 2 segundos, que es el timer que tiene en scheduler, pero no veo que cree la regla estática que debería, y por eso, yo mantengo al menos 1, para que mis suegros no se quejen...
2) Me había fijado en los comentarios del log dentro del script, pero no quise tocar nada. Pese a controlar de Mikrotik, no soy ningún experto (ojalá)
3) La regla de filtrado de multicast por la wifi, no recuerdo en qué página la vi, pero tienes razón, con el igmp snooping activo, no debería ser necesaria, aunque tampoco creo que vengan por ahí los problemas.

Voy a quitarla igualmente (o al menos, desactivarla) y ver qué diferencia hay.

Solo una pregunta tonta. El orden de las reglas NAT, afecta que las de VOD Script estén por debajo de los masquerade? O en este caso es indiferente? Se que el orden numérico de las reglas influye...pero no tengo claro aquí si le afectaría o no...
 
Como sospechaba, la regla de filtrado multicast en wifi, no ha hecho nada. Al ir a eliminarla, en paquetes y bytes, estaba a 0, es decir, no llegó a entrar en funcionamiento en ningún momento.
Proseguimos...
 
donde tengo 2 desco de Movistar UHD conectados (1 al router directamente) y otro al AP.
Me funciona todo perfectamente, excepto una "tontería". En el segundo deco (el que se conecta a través del AP) no me funciona la funcion de "volver al inicio" de un programa o película empezado
Buenos días.

Creo que empiezo a intuir el origen del problema. Pero antes, entender bien como está todo conectado. Dices que tienes dos descos al router, uno conectado directamente y otro a través de un switch?. Estos dos descos funcionan bien, tienen VOD y creo y eliminan la regla NAT, ¿no?.
El problema es SOLO del desco que está al AP, ¿no?

Antes lo tenías conectado el AP al router a través del puerto ether2 del router con un cable directo ¿no?, pero ahora está con un túnel EoIP y tampoco funciona ¿no?.

A ver, con el esquema inicial sería bueno que activaras la opción log en la regla de /ip firawall mangle:

add action=add-src-to-address-list address-list=vod-receiver \
address-list-timeout=1m chain=postrouting comment="RTSP - VOD Movistar" \
dst-port=554 out-interface=vlan2 protocol=tcp log=yes log-prefix="VOD marcado"

y vemos cuando conmutes de un desco a otro (pidiendo ver desde el inicio un programa) si funciona la regla para los tres descos o falla con alguno. Con eso analizamos y vemos después que pasa cuando enchufas por el túnel EoIp y hacemos otro log.

Por lo que decía un compañero hace unos días, en cuanto metías el túnel EoIp dejaba de funcionar el VOD en todos descos.

Ya me dices.

Saludos.
 
Solo una pregunta tonta. El orden de las reglas NAT, afecta que las de VOD Script estén por debajo de los masquerade? O en este caso es indiferente? Se que el orden numérico de las reglas influye...pero no tengo claro aquí si le afectaría o no...
Si, influye (en cuanto una regla se cumple para un paquete, se ejecuta y sale, a menos que haya un "passthrough", p.e.), pero no en tu caso, creo. La regla VOD se crea al final de la lista de regla.
 
Primero de todo, disculpa que no conteste antes... la vuelta al curro, es lo que tiene.
A ver...vamos por partes

Buenos días.

Creo que empiezo a intuir el origen del problema. Pero antes, entender bien como está todo conectado. Dices que tienes dos descos al router, uno conectado directamente y otro a través de un switch?. Estos dos descos funcionan bien, tienen VOD y creo y eliminan la regla NAT, ¿no?.
El problema es SOLO del desco que está al AP, ¿no?
Referente a este apartado: La instalación original era ont-router movistar -ap mikrotik y el único desco que había iba conectado directamente sobre el router movistar.
Yo lo que hice fué lo siguiente:
1) sustituir router movistar por router mikrotik (desco en mismo sitio)
2) compré 2 descos nuevos idénticos al actual (UHD)
3) 2º desco instalado en el salon2 (ont-router mikrotik - ap mikrotik )
4)3er desco instalado en mi casa (túnel EoIP)

Antes lo tenías conectado el AP al router a través del puerto ether2 del router con un cable directo ¿no?, pero ahora está con un túnel EoIP y tampoco funciona ¿no?.
No, el segundo desco siempre estuvo conectado a través del ap, con cable entre el ap y el router. Probé con el cable directo, pero hacía lo mismo.
El túnel EoIP lo he habilitado días después, para probar el 3er desco en mi casa y comprobar si también fallaba el VOD a través del túnel.


A ver, con el esquema inicial sería bueno que activaras la opción log en la regla de /ip firawall mangle:

add action=add-src-to-address-list address-list=vod-receiver \
address-list-timeout=1m chain=postrouting comment="RTSP - VOD Movistar" \
dst-port=554 out-interface=vlan2 protocol=tcp log=yes log-prefix="VOD marcado"

y vemos cuando conmutes de un desco a otro (pidiendo ver desde el inicio un programa) si funciona la regla para los tres descos o falla con alguno. Con eso analizamos y vemos después que pasa cuando enchufas por el túnel EoIp y hacemos otro log.

Por lo que decía un compañero hace unos días, en cuanto metías el túnel EoIp dejaba de funcionar el VOD en todos descos.

Ya me dices.

Saludos.

Mañana probaré lo de la regla del firewall y te digo, pero ya te digo, que el túnel EoIP no me le afecta al primer desco que ya funcionaba bien.
Supongo que porque como no me terminó de funcionar el script, y tengo la regla estática activa para el primer desco.

Bueno, lo dicho, mañana haré pruebas y actualizo información...

Un saludo y gracias por tu tiempo.
 
Primero de todo, disculpa que no conteste antes... la vuelta al curro, es lo que tiene.
A ver...vamos por partes


Referente a este apartado: La instalación original era ont-router movistar -ap mikrotik y el único desco que había iba conectado directamente sobre el router movistar.
Yo lo que hice fué lo siguiente:
1) sustituir router movistar por router mikrotik (desco en mismo sitio)
2) compré 2 descos nuevos idénticos al actual (UHD)
3) 2º desco instalado en el salon2 (ont-router mikrotik - ap mikrotik )
4)3er desco instalado en mi casa (túnel EoIP)


No, el segundo desco siempre estuvo conectado a través del ap, con cable entre el ap y el router. Probé con el cable directo, pero hacía lo mismo.
El túnel EoIP lo he habilitado días después, para probar el 3er desco en mi casa y comprobar si también fallaba el VOD a través del túnel.




Mañana probaré lo de la regla del firewall y te digo, pero ya te digo, que el túnel EoIP no me le afecta al primer desco que ya funcionaba bien.
Supongo que porque como no me terminó de funcionar el script, y tengo la regla estática activa para el primer desco.

Bueno, lo dicho, mañana haré pruebas y actualizo información...

Un saludo y gracias por tu tiempo.

Buenas,

Prueba a desactivar el IGMP-Snooping en el AP Mikrotik, en algún lado he leido que estando ya activo en el router, puede llegar a dar problemas, por descartar que no sea eso.

Por otro lado, a ver si puedes darme más información de cómo creas el tunel EOIP en los 2 extremos, ya que yo en cuanto añado el tunel EOIP al bridge del router en el extremo donde están contratados todos los servicios, me deja de funcionar la Guia, Menús y VoD.
 
Buenas,

Prueba a desactivar el IGMP-Snooping en el AP Mikrotik, en algún lado he leido que estando ya activo en el router, puede llegar a dar problemas, por descartar que no sea eso.

Por otro lado, a ver si puedes darme más información de cómo creas el tunel EOIP en los 2 extremos, ya que yo en cuanto añado el tunel EOIP al bridge del router en el extremo donde están contratados todos los servicios, me deja de funcionar la Guia, Menús y VoD.
Buenos días JosePC.

Eso mismo había pensado en su día, y no afecta en nada. Más bien, todo lo contrario. El IGMP-Snooping, si lo puedes tener conectado en todos tus dispositivos de red (routers,switchs) mejor. Conseguirás una descongestión en la red interna y menor consumo de rendimiento de dichos equipos.

Respecto al túnel EoIP, he realizado la configuración que aparece en este otro hilo (Gracias @pocoyo) Y me funcionó todo perfectamente y a la primera (evidentemente, lo adapté a mi red en concreto). No he sufrido el problema de que, al tener el túnel levantado, deje de funcionar el VOD en el desco que ya funcionaba.
Si tienes alguna duda más, me dices. O pasa por aquí tu export hide-sensitive (de ambos routers) y entre todos, le echamos un vistado.

Un saludo, y suerte.
 
Actualizo mi situación.
Antes de probar y empezar a toquetear en los firewall de ambos routers (el origen de mis suegros, y el mio en mi casa) tal y como me comentó furny en este punto , se me dio por probar una cosa. Monté un RB850Gx2 como un switch en mi salón y a él, se conecta tanto el Desco de Movistar como mi SmartTV LG (ambos reciben dhcp)
El Desco, funciona todo, como hasta ahora, pero no funciona la parte de recuperar desde inicio. Sin embargo, la App de Movistar que uso en el LG, funciona perfectamente (recuperaciones desde inicio, etc) Lo que busco, es simular que mis dispositivos se conecten en la misma "red" de mis suegros y que así no me cuenten como dispositivos fuera de casa (que ahí, solo permite uno de cada vez...)

Supongo que tendrá que ver en el modo en que funcionan internamente app y desco, pero como experimento...me hace pensar en si realmente es un problema de configuración de los mikrotiks, o realmente se debe a que movistar controle nuestros accesos de algún modo con los multi-deco.

Si..ya se..no me hagáis mucho caso. Reflexiones de mañana sin dormir mucho esta semana...
 
Con el túnel EoIP, si el equipo de tu casa lo configuras como router “tonto” que depende del primero (sin firewall ni nada más que un bridge con las interfaces que quieres puentear), debería funcionarte tan bien o tan mal como te funcione en el primer domicilio, puesto que estás haciendo el enlace en capa 2, como si unieras un switch por cable.

Saludos!
 
Si, correcto. Eso es lo que he hecho, y funciona perfectamente todo.
Pero como en casa de mis suegros, ya el segundo desco que tienen no le funciona bien el tema de recuperar desde inicio una programacion (VOD) a mi, en mi casa, con el desco que uso tampoco me funciona, pero con la app del SmartTV si.

Por eso puse la aclaración aquí, porque si fuera un problema de configuración del mikrotik en casa de mis suegros (reglas firewall,etc), entiendo que el SmartTV no debería funcionar tampoco...no?
O eso, o que no controlan las funciones de las apps del mismo modo que controlan los descos...
 
La app de la tele es OTT y lo del desco es IPTV; son dos sistemas totalmente distintos. La app de la TV solo necesita que tengas conexión a internet, no necesita más.

Saludos!
 
/ip firewall layer7-protocol add comment=VOD2Descos name=rtsp regexp="SETUP rtsp.*"
Regla 1) de VOD dos descos.

Lo debes poner antes de cualquier regla de firewall. Sin eso no funciona el script.
Buenas tardes, @DFrostxj .

Ya estoy de nuevo contigo, perdona la tardanza, pero he estado liado por ahí, pero en cuanto he podido he vuelto para analizar tu problema y pensar sobre él y el de otros compañeros.

Lo primero: disculpas, pero me desdigo de este punto: esta regla (1) de análisis del protocolo nivel 7 RTSP NO es necesaria para el funcionamiento del script de dos descos de @toniros, si se usa la regla:
3)
/ip firewall mangle
add action=add-src-to-address-list address-list=vod-receiver \
address-list-timeout=1m chain=postrouting comment="RTSP - VOD Movistar" \
dst-port=554 out-interface=vlan2 protocol=tcp

Antes, en vez de esta regla (3), se usaba la (1) esta otra (2) , que marcaba los paquetes de RTSP, pero cargaba la CPU y era peor, con esta SI era necesario la de arranque del análisis:

2)
/ip firewall mangle add action=add-src-to-address-listaddress-list=vod-receiver\
address-list-timeout=1m chain=postrouting\
comment="RTSP - Real Time Streaming Protocol" layer7-protocol=rtsp\
out-interface=vlan2

Me lié y no caí en cuenta de la nueva regla (3). Con la versión de arriba solo analizamos la conexión TCP por el puerto RTSP.

Os explico como funciona esto: Movistar usa para IPTV la vlan2. El tráfico para los canales normales es en multicast y para el enrutamiento usa RIP y el IGMP-proxy sirve a nuestro bridge (nivel 2) desde vlan2 cada canal de tv en una dirección de multicast. Para VOD (ver un canal en diferido, desde el principio, las series, películas y tal) usa RTSP (Real Time Streaming Protocol). Este es un protocolo que funciona como un reproductor de VHS (de hecho, se usa para las cámaras de vídeo). El canal de control del protocolo (RTCP) se transporta por TCP puerto 554. Y los comandos son los típicos de un reproductor: inicia, para adelante, para atrás rápido, para adelante rápido, para, etc. Los datos (RTP) se transportan por UDP puerto 554. Lo que hacían originalmente las dos reglas primitivas de @toniros era, primero, fijarse en RTSP el comando de arranque (SETUP), y después la regla de mangle se fijaba en la dirección de origen (desco) que había iniciado dicho arranque. La nueva regla única de mangle lo que hace es fijarse en la dirección (desco) que inicia una conexión TCP por ese puerto (que, lógicamente, transporta con seguridad la orden de SETUP).

Es por ello, que te decía hace unos días que te fijaras si la regla 3) chutaba o no con el desco conectado al AP PERO viendo si se iniciaba una conexión TCP en el router principal. Para ello, te sugería añadir a la regla un log para ver que pasaba por allí:

4) regla 3 con log

add action=add-src-to-address-list address-list=vod-receiver \
address-list-timeout=1m chain=postrouting comment="RTSP - VOD Movistar" \
dst-port=554 out-interface=vlan2 protocol=tcp log=yes log-prefix="VOD marcado"

No sé si has tenido ocasión de probar esto y podemos echar un vistazo, para saber que ocurre. Es que me está dando, como te decía, la impresión de que el AP no se comporta como un switch puro. Me explico:

Yo tengo dos descos conectados a mi MK: uno con un cable directo al router. Otro, está conectado a un switch tonto al que se le enchufa también una TV (me da lo mismo que este switch no tenga IGMP-snooping, pues como es la tele o el desco, cuando no uso este y veo cosas de internet por la tele, el MK no me envía paquetes del deco y no me lo satura). El caso es que tanto el desco directo, como el conectado a través del switch me funcionan perfectamente, y los dos me hacen VOD a la vez y todo (esto es posible porque el MK, una vez creada la regla NAT con la conexión inicial RECUERDA tanto esa conexión de control RTCP, como las RTP por UDP "related conexión", y podemos cambiar la regla NAT al arranque del nuevo desco cuando se produzca. Todo esto funciona si el router tiene visibilidad de esa nueva conexión TCP por el canal 554 y puede hacer connection tracking, y poner la regla NAT, tal y cual. Si entre medias del MK y el desco pones un switch o un AP wifi con su switch "vulgaris", funciona.

PERO, lo que no sé es si un MK como punto de acceso wifi es un switch "puro de nivel 2" o se pasa de listo y lleva cosas a nivel 3 y el router principal deja de enterarse de esa nueva conexión de arranque, clave de este tema. Quizás sea esto lo que está pasando. Como yo no tengo un AP de MK, no lo he podido probar. ¿puedes aclararnos este punto, @pokoyo, por favor?

Otra cosa que podemos hacer es DESACTIVAR (temporalmente, de pruebas) el IGMP-snooping tanto en el router como en el AP, otra vez, por si alguno se lía y hace lo que no debe.

Ya me decís, a ver si desatascamos esto.

Suerte y Saludos!!
 
Última edición:
La app de la tele es OTT y lo del desco es IPTV; son dos sistemas totalmente distintos. La app de la TV solo necesita que tengas conexión a internet, no necesita más.

Saludos!
Exactamente, es como dice @pokoyo. Movistar+ (que antes era YOMVI) es OTT puro y duro. De hecho va por vlan6, por la pppoe.
Es mas, yo tengo Netflix contratado con el paquete fusión de Movistar, y en los descos nuevos UHD se accede desde el menu/guia de Movistar-Imagenio a Netflix. Pero, una vez que inicias Netflix, ¿adivináis por donde lo envía Movistar? ¿Por vlan2? NO, lo envía por vlan6, por la internet OTT.
 
Con el túnel EoIP, si el equipo de tu casa lo configuras como router “tonto” que depende del primero (sin firewall ni nada más que un bridge con las interfaces que quieres puentear), debería funcionarte tan bien o tan mal como te funcione en el primer domicilio, puesto que estás haciendo el enlace en capa 2, como si unieras un switch por cable.

Saludos!
Cierto. Teóricamente. Por eso mi parrafada anterior, pues es lo que yo suponía. Pero si @DFrostxj tiene esos problemas, ya me hace dudar...

Otro tema es el de los canales por multicast. Eso es más peliagudo, aún. ¿Eres capaz de ver "La 1" en directo desde todos los descos por Movistar/imagenio (NO Movistar+/Yomvi)?. En teoría, si EoIp es un switch nivel 2, deberías poder. Ardo en deseos de conocer la respuesta!!!

P.D. (Yo uso una VPN con IkeV2 Ipsec. Con IPsec es "prácticamente imposible" llevar los canales de TV de multicast por el túnel, pues el IGMP-proxy se lía, al tener definido el upstream con vlan2 y el downstream el bridge, que es una interfaz de nivel 2. Como Ipsec no tiene interfaces, y va a nivel 3, no hay manera de ponerlo junto con el bridge. Intenté hacerlo con L2TP/Ipsec, y, aunque integré la interfaz dinámica en el bridge, tampoco funcionó (por eso ahora uso Movistar+/Yomvi para ver la tele estando fuera de casa). Lo que no he probado es con un túnel EoIp, pues yo lo quería para conectar Road Warriors, no dos sedes. Por eso me queda la duda de EoIP, que es nivel 2 sobre nivel 3. Si no, quizás podría haber otras soluciones para conectar dos sedes, pero habría que configurar un enrutamiento entre ellas de multicast... y eso es para otro hilo...)
 
Última edición:
Si tenéis dudas, resetear el equipo sin configuración. Creas el bridge principal y le metes los puertos que quieras meter en el bridge. Activas el IP -> Cloud, creas el túnel y listo y metes la nueva interfaz en el bridge; no te hace falta más. Así tiene que ser un túnel en capa 2 sin nada más que lo impida funcionar.

Saludos!
 
Cierto. Teóricamente. Por eso mi parrafada anterior, pues es lo que yo suponía. Pero si @DFrostxj tiene esos problemas, ya me hace dudar...

Otro tema es el de los canales por multicast. Eso es más peliagudo, aún. ¿Eres capaz de ver "La 1" en directo desde todos los descos por Movistar/imagenio (NO Movistar+/Yomvi)?. En teoría, si EoIp es un switch nivel 2, deberías poder. Ardo en deseos de conocer la respuesta!!!

P.D. (Yo uso una VPN con IkeV2 Ipsec. Con IPsec es "prácticamente imposible" llevar los canales de TV de multicast por el túnel, pues el IGMP-proxy se lía, al tener definido el upstream con vlan2 y el downstream el bridge, que es una interfaz de nivel 2. Como Ipsec no tiene interfaces, y va a nivel 3, no hay manera de ponerlo junto con el bridge. Intenté hacerlo con L2TP/Ipsec, y, aunque integré la interfaz dinámica en el bridge, tampoco funcionó (por eso ahora uso Movistar+/Yomvi para ver la tele estando fuera de casa). Lo que no he probado es con un túnel EoIp, pues yo lo quería para conectar Road Warriors, no dos sedes. Por eso me queda la duda de EoIP, que es nivel 2 sobre nivel 3. Si no, quizás podría haber otras soluciones para conectar dos sedes, pero habría que configurar un enrutamiento entre ellas de multicast... y eso es para otro hilo...)

Perdonad la demora:

Con EoIP puedo ver todo en todos los descos (el de mis suegros principal directo al router, el de mis suegros a través del AP y el mío en mi casa tunel EoIP)

El único problema que tengo con todo operativo, es el tema de VOD, es decir, en desco remoto de mi casa, y el segundo de mis suegros que pasa por el AP.
 
Actualizo pruebas:
Si la regla:
/ip firewall nat
add action=dst-nat chain=dstnat comment="VOD Script" dst-address-type=local in-interface=vlan2 to-addresses=192.168.1.201

Le cambio la IP manualmente a cualquiera de los otros descos (192.168.1.202 o 192.168.1.203)
funcionan correctamente (pero solo uno de cada vez.

Así que entiendo que ni afecta el túnel EoIP desde mi casa a casa de mis suegros, ni afecta la configuración del AP (RB951) donde está el deco2 de mis suegros.

Y si pongo las 3 reglas consecutivas (cada uno con una IP) solo funciona el primero...
Creo recordar que me habíais comentado en un mensaje anterior, que esta regla, no debería crearla manualmente, sino dejar que el script la crease sola. Pero revisando el script, lo que debería hacer es que si detecta una regla creada con ese comentario, la debería haber borrado, y sobre-escribirla con la nueva regla IP...

No se...hay algo que no termino de ver...y fijo que es una gilipollez.

Ya me diréis...

Gracias por todo, igualmente.
 
Arriba