Auteur Sujet: Exigences TV (Lu 16905 fois)

bulle21 · « **Réponse #36 le:** 22 septembre 2020 à 17:42:54 »

sudo tcpdump -i eth1.52 -n igmp

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1.52, link-type EN10MB (Ethernet), capture size 262144 bytes
17:41:27.797728 IP 10.0.10.1 > 224.0.0.1: igmp query v2
17:41:29.500008 IP 10.0.10.52 > 239.255.3.22: igmp v2 report 239.255.3.22
17:41:29.899691 IP 10.0.10.52 > 239.255.255.250: igmp v2 report 239.255.255.250
17:41:33.537161 IP 10.0.10.1 > 233.89.188.1: igmp v2 report 233.89.188.1
17:41:35.457147 IP 10.0.10.1 > 224.0.0.2: igmp v2 report 224.0.0.2
17:41:38.017139 IP 10.0.10.1 > 224.0.0.22: igmp v2 report 224.0.0.22
^C
6 packets captured
6 packets received by filter
0 packets dropped by kernel

mirtouf · « **Réponse #37 le:** 22 septembre 2020 à 17:58:10 »

Je ne me souvenais plus que les règles étaient suffisantes pour avoir l'IGMP qui fonctionne.

bulle21 · « **Réponse #38 le:** 22 septembre 2020 à 18:12:23 »

L'IGMP c'est du multicast. Je ne dis pas c'est la bonne façon de faire.
sudo tcpdump -i eth0.100 -vv :

Code: [Sélectionner]

18:05:24.301520 IP (tos 0xe0, ttl 63, id 18215, offset 0, flags [none], proto UDP (17), length 73)
    176-144-x-y.abo.bbox.fr.49153 > nsabo1.bouyguesbox.fr.domain: [udp sum ok] 22826+ AAAA? time-a.timefreq.bld
18:05:24.301804 IP (tos 0xe0, ttl 63, id 58154, offset 0, flags [none], proto UDP (17), length 73)
    176-144-x-y.abo.bbox.fr.49153 > nsabo2.bouyguesbox.fr.domain: [udp sum ok] 22826+ AAAA? time-a.timefreq.bld
18:05:24.304727 IP (tos 0x80, ttl 250, id 18215, offset 0, flags [none], proto UDP (17), length 147)
    nsabo1.bouyguesbox.fr.domain > 176-144-x-y.abo.bbox.fr.49153: [udp sum ok] 22826 q: AAAA? time-a.timefreq.b
18:05:24.741020 IP (tos 0x0, ttl 64, id 10175, offset 0, flags [DF], proto UDP (17), length 73)
    176-144-x-y.abo.bbox.fr.57386 > nsabo1.bouyguesbox.fr.domain: [udp sum ok] 44375+ PTR? 22.124.144.176.in-ad
18:05:24.745689 IP (tos 0x80, ttl 59, id 11531, offset 0, flags [none], proto UDP (17), length 113)
    nsabo1.bouyguesbox.fr.domain > 176-144-x-y.abo.bbox.fr.57386: [udp sum ok] 44375 q: PTR? 22.124.144.176.in-
18:05:24.747107 IP (tos 0x0, ttl 64, id 10176, offset 0, flags [DF], proto UDP (17), length 73)
    176-144-x-y.abo.bbox.fr.55454 > nsabo1.bouyguesbox.fr.domain: [udp sum ok] 19980+ PTR? 10.122.158.194.in-ad
18:05:24.750805 IP (tos 0x80, ttl 250, id 10176, offset 0, flags [none], proto UDP (17), length 108)
    nsabo1.bouyguesbox.fr.domain > 176-144-x-y.abo.bbox.fr.55454: [udp sum ok] 19980 q: PTR? 10.122.158.194.in-
18:05:24.752067 IP (tos 0x0, ttl 64, id 10177, offset 0, flags [DF], proto UDP (17), length 73)
    176-144-x-y.abo.bbox.fr.41881 > nsabo1.bouyguesbox.fr.domain: [udp sum ok] 2766+ PTR? 15.122.158.194.in-add
18:05:24.755300 IP (tos 0x80, ttl 59, id 16779, offset 0, flags [none], proto UDP (17), length 108)
    nsabo1.bouyguesbox.fr.domain > 176-144-x-y.abo.bbox.fr.41881: [udp sum ok] 2766 q: PTR? 15.122.158.194.in-a
18:05:25.714798 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto TCP (6), length 107)
    176-144-x-y.abo.bbox.fr.51231 > 216.218.230.212.8002: Flags [P.], cksum 0xde4e (correct), seq 3379178099:33
18:05:25.779126 IP (tos 0x0, ttl 64, id 10217, offset 0, flags [DF], proto UDP (17), length 74)
    176-144-x-y.abo.bbox.fr.34928 > nsabo1.bouyguesbox.fr.domain: [udp sum ok] 12867+ PTR? 212.230.218.216.in-a
18:05:25.811980 IP (tos 0x80, ttl 59, id 11597, offset 0, flags [none], proto UDP (17), length 131)
- ll 1/289 0%

sudo tcpdump -i eth0.100 -n igmp

Code: [Sélectionner]

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0.100, link-type EN10MB (Ethernet), capture size 262144 bytes
18:35:47.998797 IP 176.144.x-y > 224.0.0.2: igmp leave 232.0.64.206   
18:35:48.027114 IP 176.144.x-y > 232.0.64.206: igmp v2 report 232.0.64.206   
18:35:55.617146 IP 176.144.x-y > 232.0.64.206: igmp v2 report 232.0.64.206   
18:36:05.217166 IP 176.144.x-y > 232.0.64.206: igmp v2 report 232.0.64.206   
18:36:15.723767 IP 0.0.0.0 > 224.0.0.1: igmp query v2
18:36:16.357129 IP 176.144.x-y > 239.255.250.250: igmp v2 report 239.255.250.250   
18:36:18.817128 IP 176.144.x-y > 233.89.188.1: igmp v2 report 233.89.188.1   
18:36:20.177140 IP 176.144.x-y > 239.255.255.250: igmp v2 report 239.255.255.250   
18:36:21.857131 IP 176.144.x-y > 239.255.3.22: igmp v2 report 239.255.3.22   
18:36:24.417127 IP 176.144.x-y > 239.255.255.246: igmp v2 report 239.255.255.246   
18:36:24.417271 IP 176.144.x-y > 232.0.64.206: igmp v2 report 232.0.64.206   
^C
11 packets captured
11 packets received by filter
0 packets dropped by kernel

glok · « **Réponse #39 le:** 29 décembre 2020 à 20:43:45 »

Bonjour,

De mon côté, rien à faire.
J'arrive a diffuser quelques chaines mais pas toutes.
De plus même en ayant fait le marquage COS3 avec mon cisco SG250 le flux se coupe au bout de 5min.

J'ai pourtant bien suivi les *Exigences* mais ca veut pas

Voici ma conf :

Cisco SG250

Code: [Sélectionner]

config-file-header
cisco
v2.5.5.47 / RTESLA2.5.5_930_364_286
CLI v1.0
file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end cb0.............
!
!
unit-type-control-start
unit-type unit 1 network gi uplink none
unit-type-control-end
!
bridge multicast filtering
vlan database
vlan 100
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
bonjour interface range vlan 1
qos advanced
qos advanced-mode trust cos
mac access-list extended "vlan100"
permit any any vlan 100 ace-priority 1
exit
ip access-list extended IGMP
permit igmp any any ace-priority 1
exit
class-map TV
match access-group IGMP
match access-group "vlan100"
exit
policy-map bbox
class TV
set cos 3
exit
exit
hostname cisco
username blabla password encrypted blabla privilege 15
ip ssh server
ip ssh password-auth
ip ssh-client username admin
encrypted ip ssh-client password blabla
ip ssh-client server authentication
clock timezone J 1
clock source browser
!
interface vlan 1
 ip address 192.168.1.8 255.255.255.0
 no ip address dhcp
!
interface vlan 100
 name Internet
!
interface GigabitEthernet1
 description interco
!
interface GigabitEthernet2
 description router-eth1
!
interface GigabitEthernet3
 description router-eth5
 switchport mode trunk
 switchport access vlan none
 switchport trunk native vlan none
 switchport trunk allowed vlan 100
 switchport customer vlan 100
!
interface GigabitEthernet4
 description ONT
 service-policy output bbox default-action permit-any
 switchport mode trunk
 switchport access vlan none
 switchport general pvid 100
 switchport trunk native vlan none
 switchport trunk allowed vlan 100
!
interface GigabitEthernet5
 switchport mode trunk
 switchport access vlan none
 switchport general pvid 100
 switchport trunk native vlan none
 switchport trunk allowed vlan 100
!
interface GigabitEthernet8
 description Borne-wifi-room
!
exit
ip igmp snooping
ip igmp snooping vlan 1
ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 1 querier

Routeur ubnt ER6

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable

    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 20 {
            action accept
            description IPTV
            destination {
                address 224.0.0.0/4
                group {
                }
            }
            log disable
            protocol all
        }
        rule 30 {
            action accept
            description "Allow Multicast UDP"
            destination {
                address 224.0.0.0/4
            }
            log disable
            protocol udp
            state {
                established disable
                invalid disable
                new enable
                related disable
            }
        }
        rule 40 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 50 {
            action drop
            description "Drop invalid state"
            log enable
            state {
                invalid enable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        enable-default-log
        rule 20 {
            action accept
            description IPTV
            destination {
                address 224.0.0.0/4
                group {
                }
            }
            log disable
            protocol all
        }
        rule 30 {
            action accept
            description BBOX
            log disable
            protocol all
            source {
                address 192.168.2.123
            }
        }
        rule 40 {
            action accept
            description BBOX2
            destination {
                address 192.168.2.123
            }
            log disable
            protocol all
        }
        rule 50 {
            action accept
            description VPN-XYZ
            log disable
            protocol all
            source {
                address 192.168.42.0/24
            }
        }
        rule 60 {
            action accept
            description OPENVPN
            destination {
                port 1194
            }
            log disable
            protocol udp
            source {
            }
        }
        rule 70 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 80 {
            action drop
            description "Drop invalid state"
            log enable
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        duplex auto
        speed auto
    }
    ethernet eth1 {
        address 192.168.1.1/24
        description Local
        duplex auto
        speed auto
    }
    ethernet eth2 {
        address 192.168.2.1/24
        description IPTV
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        duplex auto
        speed auto
    }
    ethernet eth4 {
        duplex auto
        speed auto
    }
    ethernet eth5 {
        address dhcp
        description Internet
        duplex full
        speed 1000
        vif 100 {
            address dhcp
            description INTERNET
            dhcp-options {
                client-option "send vendor-class-identifier &quot;BYGTELIAD&quot;;"
                default-route update
                default-route-distance 210
                name-server update
            }
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            mtu 1500
        }
    }
    loopback lo {
    }
    openvpn vtun0 {
        mode server
        server {
            name-server 192.168.1.1
            push-route 192.168.1.0/24
            push-route 192.168.42.0/24
            subnet 10.255.2.0/24
        }
        tls {
            ca-cert-file /config/auth/cacert.pem
            cert-file /config/auth/server2.pem
            dh-file /config/auth/dh.pem
            key-file /config/auth/server2.key
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth1
    lan-interface eth2
    rule 1 {
        description "xxx http"
        forward-to {
            address 192.168.1.254
            port 9988
        }
        original-port 9988
        protocol tcp_udp
    }
    rule 2 {
        description "xxx https"
        forward-to {
            address 192.168.1.254
            port 9989
        }
        original-port 9989
        protocol tcp_udp
    }
    rule 3 {
        description Bbox4k_1
        forward-to {
            address 192.168.2.123
            port 1234
        }
        original-port 1234
        protocol udp
    }
    rule 4 {
        description Bbox4k_2
        forward-to {
            address 192.168.2.123
            port 8002
        }
        original-port 8002
        protocol udp
    }
    rule 5 {
        description Bbox4k_3
        forward-to {
            address 192.168.2.123
            port 8000
        }
        original-port 8000
        protocol udp
    }
    rule 6 {
        description Bbox4K_4
        forward-to {
            address 192.168.2.123
            port 20000-30000
        }
        original-port 20000-30000
        protocol udp
    }
    wan-interface eth5.100
}
protocols {
    igmp-proxy {
        interface eth1 {
            role disabled
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
        interface eth5.100 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
    }
    static {
        route 192.168.11.0/24 {
            next-hop 192.168.42.1 {
                description OPENVPN
                distance 1
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 194.158.122.10
                dns-server 194.158.122.15
                domain-name xyz.lan
                lease 86400
                start 192.168.1.90 {
                    stop 192.168.1.150
                }
            }
        }
        shared-network-name LAN2 {
            authoritative disable
            description TV
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 194.158.122.10
                dns-server 194.158.122.15
                lease 86400
                start 192.168.2.100 {
                    stop 192.168.2.149
                }
                static-mapping Bouygtel4K-1234567890 {
                    ip-address 192.168.2.123
                    mac-address blabla
                }
            }
        }
        static-arp disable
        use-dnsmasq enable
    }
    dns {
        forwarding {
            cache-size 4000
            listen-on eth1
            listen-on eth2
            name-server 208.67.222.222
            name-server 208.67.220.220
            name-server 208.67.222.220
            options dhcp-vendorclass=set:bbox,stb_bytel
            options dhcp-option=tag:bbox,42,194.158.119.97
            options dhcp-option=tag:bbox,15,lan
            options dhcp-option=tag:bbox,58,150
            options dhcp-option=tag:bbox,59,262
            options dhcp-option=tag:bbox,125,00:00:00....
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "masquerade for WAN"
            log disable
            outbound-interface eth5.100
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    unms {
        connection wss://192.168.1.11:443+.....
    }
}
system {
    analytics-handler {
        send-analytics-report false
    }
    crash-handler {
        send-crash-report false
    }
    domain-name xyz.lan
    flow-accounting {
        disable-memory-table
        ingress-capture post-dnat
        interface eth1
        netflow {
            enable-egress {
                engine-id 1
            }
            engine-id 0
            mode daemon
            server 192.168.1.11 {
                port 2055
            }
            timeout {
                expiry-interval 60
                flow-generic 60
                icmp 60
                max-active-life 60
                tcp-fin 10
                tcp-generic 60
                tcp-rst 10
                udp 60
            }
            version 9
        }
        syslog-facility daemon
    }
    host-name Router
    login {
        banner {
            post-login "Now You are logged on Edge-MAX router !\n"
            pre-login "*************************************************************\n*                                                           
			.........................
			*\n*************************************************************\n"
        }
        user admin {
            authentication {
                encrypted-password ****************
            }
            level admin
        }
    }
    name-server 127.0.0.1
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            vlan enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
        host 192.168.1.11:5514 {
            facility all {
                level info
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi enable
        export enable
    }
}
vpn {
    ipsec {
        allow-access-to-local-interface disable
        auto-firewall-nat-exclude enable
        esp-group FOO0 {
            compression disable
            lifetime 3600
            mode tunnel
            pfs enable
            proposal 1 {
                encryption aes128
                hash sha1
            }
        }
        ike-group FOO0 {
            ikev2-reauth no
            key-exchange ikev1
            lifetime 28800
            proposal 1 {
                dh-group 14
                encryption aes128
                hash sha1
            }
        }
        site-to-site {
            peer abcd.com {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret ****************
                }
                connection-type initiate
                description VPN
                ike-group FOO0
                ikev2-reauth inherit
                local-address any
                tunnel 1 {
                    allow-nat-networks disable
                    allow-public-networks disable
                    esp-group FOO0
                    local {
                        prefix 192.168.1.0/24
                    }
                    remote {
                        prefix 192.168.42.0/24
                    }
                }
                tunnel 2 {
                    allow-nat-networks disable
                    allow-public-networks disable
                    esp-group FOO0
                    local {
                        prefix 192.168.1.0/24
                    }
                    remote {
                        prefix 192.168.11.0/24
                    }
                }
            }
        }
    }
}

Il doit manquer un truc quelque part...

Pour infos, je n'utilise pas le port eth0 du routeur mais le port eth5 avec un module Ubnt RJ45 1G pour la connection avec l'ONT.
Surtout parce que je l'avait en stock chez moi

glok · « **Réponse #40 le:** 29 décembre 2020 à 21:08:25 »

Pour ceux qui utilise un SG250/350 il n'y avait que la priorité et le protocol à selectionner dans l'ACL ipv4 ?

Je tiens à préciser que j'ai suivi le tuto de Pinomat concernant la COS sur Cisco.
Merci dailleurs a Mirtouf, bulle et tous les autres pour leur super boulot sur le sujet.

tvial · « **Réponse #41 le:** 13 février 2025 à 17:39:59 »

Bonjour à tous, je déterre ce sujet après avoir poncé les forums ces derniers mois.
Grâce aux infos fournies par Mirtouf, Pinomat et d'autres, j'a pu avoir internet avec mes routeurs Mikrotik (Hex-S, puis RB5009) sans aucun souci. Merci les gars !

C'est pas la même histoire pour l'IPTV (et je vois dans différents threads que d'autres bloquent aussi sur le sujet).
Pour info, ma Miami 4K est branchée sur un switch et configurée pour le vlan30-iot, avec DNS de Bouygues forcés par DHCP.

Pour apporter quelques infos sur ce que j'ai pu noter :

A - Routeur Mikrotik et WAN qui utilise la BBox blanche+ONT, aucun souci avec la TV, je vois la BBOX (192.168.1.254) apparaitre dans igmp-proxy.
B - Si dans la foulée je supprime BBox+ONT et que je branche ma fibre sur mon routeur, là non plus pas de souci. J'ai bien la TV qui fonctionne. Côté igmp-proxy, l'IP est désormais celle de mon WAN (IP publique)
C - Si dans la foulée je débranche l'alim de la Miami 4K et que je rebranche, là encore, pas de souci, la TV continue à fonctionner sans la BBOX.
D - EN REVANCHE, le lendemain, après une nuit en veille, impossible de retrouver la TV dans cette config sans BBox+ONT. Et là, rien dans igmp-proxy.

Je me dis donc qu'il me manque pas grand chose, mais j'y suis pas encore (et certains d'entre vous doivent subir comme moi les remarques de madame qui ne peut pas regarder son émission préférée pendant qu'on débug l'IPTV 😅)

Je vous joins ma config de firewall, inspirée des différents messages du forum et des packet sniffing que j'ai pu faire sur le réseau. Dans les scénario A, B et C, ces règles voient bien passer du gros trafic. Dans le scénario D rien sur les 2 règles "Accept connections from IPTV prefix".

Code: [Sélectionner]

/ip firewall filter
add action=accept chain=input comment="Accept IGMP (input)" dst-address=224.0.0.0/4 protocol=igmp src-address-list=iptv-local-prefix
add action=accept chain=input comment="Accept Multicast DNS for IPTV (input)" dst-port=5353 log=yes protocol=udp src-address-list=iptv-local-prefix
add action=accept chain=input comment="Accept connections from IPTV prefix" dst-address=224.0.0.0/4 in-interface-list=WAN protocol=udp src-address-list=iptv-prefix
add action=accept chain=forward comment="Accept connections from IPTV prefix" dst-address=224.0.0.0/4 in-interface-list=WAN protocol=udp src-address-list=iptv-prefix
add action=accept chain=forward comment="Bridge to WAN (also Bouygues subscription on port 123)" in-interface=bridge out-interface-list=WAN

J'ai supprimé les restrictions de port liées à UDP 1234,8200,8282 car les IP sources sont whitelistées (qui peut le plus peut le moins à ce stade, on verra pour raffiner quand ça fonctionnera)

Les prefix :

Code: [Sélectionner]

add address=192.168.0.0/16 disabled=no dynamic=no list=iptv-local-prefix
add address=176.xxx.xxx.xxx disabled=no dynamic=no list=iptv-local-prefix # (mon ip publique)
add address=0.0.0.0/8 disabled=no dynamic=no list=iptv-local-prefix

Code: [Sélectionner]

add address=89.86.96.0/24 disabled=no dynamic=no list=iptv-prefix
add address=89.86.97.0/24 disabled=no dynamic=no list=iptv-prefix
add address=193.251.97.0/24 disabled=no dynamic=no list=iptv-prefix

Côté mangle, je n'arrive pas à régler simplement la CoS à P3 ou P5 (j'ai pu lire les 2 dans les forums).
Pour y arriver il me faut plusieurs règles.

Code: [Sélectionner]

/ip firewall mangle
add action=change-dscp chain=output comment="IGMP DSCP CS5" log=yes log-prefix=MANGLE-TOS new-dscp=24 protocol=igmp
add action=set-priority chain=output comment="IGMP CoS" log=yes log-prefix=MANGLE-COS new-priority=3 protocol=igmp
add action=change-ttl chain=output comment="Fix TTL IGMP" log=yes log-prefix=MANGLE-TTL new-ttl=set:64 protocol=igmp

C'est la seule manière pour voir dans les logs un "prio 0->3"

Code: [Sélectionner]

2025-02-13 22:26:30 firewall,info MANGLE-TOS output: in:(unknown 0) out:vlan30-iot, connection-state:new proto 2, 192.168.30.1->224.0.0.1, len 28
2025-02-13 22:26:30 firewall,info MANGLE-COS output: in:(unknown 0) out:vlan30-iot, connection-state:new proto 2, 192.168.30.1->224.0.0.1, len 28
2025-02-13 22:26:30 firewall,info MANGLE-TTL output: in:(unknown 0) out:vlan30-iot, connection-state:new proto 2, 192.168.30.1->224.0.0.1, prio 0->3, len 28

Avec moins de 3 règles, la prio passe de 0 à 7.

Aussi, j'ai UPnP et mDNS activés.
Dans la partie diagnostic de la Miami, rien de rouge, tout semble bon niveau auth et compagnie.
Mais je finis toujours avec l'erreur F3411-1010.

Si quelqu'un a une idée, je suis preneur. Merci !

mirtouf · « **Réponse #42 le:** 14 février 2025 à 00:01:58 »

Bonsoir,
pour sûr, ByTel a passé la priorité de p3 à p5 il y a quelques temps de cela, il faut donc maintenant forcer les paquets IGMP à p5.
Pour le reste, j'avais constaté le même comportement avec pfSense où après un temps certain, cela ne fonctionnait plus. J'avais un script Q&D qui lançait pimd, le tuait, puis relançait igmpproxy. C'était sale et j'ai finalement fait le choix d'OpenWRT où je n'ai plus ce problème.

tvial · « **Réponse #43 le:** 01 mars 2025 à 22:10:09 »

Bonsoir tout le monde, je suis toujours en galère pour avoir la TV avec mon Mikrotik RB5009, fibre sur port SFP (port sfp-bouygues et vlan100-bouygues), port 4 (ether4-trunk-sw-theater) relié à un switch transportant plusieurs vlans dont le 50 que j'ai choisi pour l'IPTV où se situe ma Miami 4K, IP fixe en 192.168.50.50 avec DNS Bouygues forcés par DHCP. Je vous joins un schéma de l'archi.

Côté IGMP, la priorité des paquets est bien à 5.

Code: [Sélectionner]

[admin@mikrotik-rb5009] > /tool/sniffer/quick interface=vlan50-iptv,vlan100-bouygues,sfp-bouygues  ip-protocol=igmp
Columns: INTERFACE, TIME, NUM, DIR, SRC-MAC, DST-MAC, VLAN, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, SIZE, CPU
INTERFACE         TIME    NUM  DIR  SRC-MAC            DST-MAC            VLAN   SRC-ADDRESS    DST-ADDRESS  PROTOCOL  SIZE  CPU
vlan50-iptv       3.462     1  <-   D0:05:2A:xx:xx:xx  01:00:5E:00:40:24         192.168.50.50  232.0.64.36  ip:igmp     60    3
vlan100-bouygues  3.487     3  ->   D4:B1:10:xx:xx:xx  01:00:5E:00:00:16         176.xxx.xx.x   224.0.0.22   ip:igmp     54    3
sfp-bouygues      3.487     2  ->   D4:B1:10:xx:xx:xx  01:00:5E:00:00:16  100:5  176.xxx.xx.x   224.0.0.22   ip:igmp     58    3
vlan100-bouygues  4.417     5  ->   D4:B1:10:xx:xx:xx  01:00:5E:00:00:16         176.xxx.xx.x   224.0.0.22   ip:igmp     54    3
sfp-bouygues      4.417     4  ->   D4:B1:10:xx:xx:xx  01:00:5E:00:00:16  100:5  176.xxx.xx.x   224.0.0.22   ip:igmp     58    3
vlan50-iptv       12.514    6  <-   D0:05:2A:xx:xx:xx  01:00:5E:00:00:02         192.168.50.50  224.0.0.2    ip:igmp     60    2
vlan50-iptv       12.514    7  ->   D4:01:C3:xx:xx:xx  01:00:5E:00:40:24         192.168.50.1   232.0.64.36  ip:igmp     42    2
vlan50-iptv       13.516    8  ->   D4:01:C3:xx:xx:xx  01:00:5E:00:40:24         192.168.50.1   232.0.64.36  ip:igmp     42    2
vlan100-bouygues  14.547   10  ->   D4:B1:10:xx:xx:xx  01:00:5E:00:00:16         176.xxx.xx.x   224.0.0.22   ip:igmp     54    3
sfp-bouygues      14.547    9  ->   D4:B1:10:xx:xx:xx  01:00:5E:00:00:16  100:5  176.xxx.xx.x   224.0.0.22   ip:igmp     58    3
vlan100-bouygues  14.747   12  ->   D4:B1:10:xx:xx:xx  01:00:5E:00:00:16         176.xxx.xx.x   224.0.0.22   ip:igmp     54    3
sfp-bouygues      14.747   11  ->   D4:B1:10:xx:xx:xx  01:00:5E:00:00:16  100:5  176.xxx.xx.x   224.0.0.22   ip:igmp     58    3

Côté igmp-proxy, les requêtes semblent être envoyées :

Code: [Sélectionner]

2025-03-01 21:59:05 igmp-proxy,debug RECV IGMPv2 membership report from 192.168.50.50 to 232.0.64.36 on vlan50-iptv
2025-03-01 21:59:05 igmp-proxy,debug vlan50-iptv Received v2 membership report from 192.168.50.50
2025-03-01 21:59:05 igmp-proxy,debug vlan50-iptv Change IS EXCLUDE for 232.0.64.36 with sources { }
2025-03-01 21:59:05 igmp-proxy,debug joining multicast group 232.0.64.36 on vlan100-bouygues
2025-03-01 21:59:14 igmp-proxy,debug RECV IGMP leave message from 192.168.50.50 to 224.0.0.2 on vlan50-iptv
2025-03-01 21:59:14 igmp-proxy,debug vlan50-iptv Received leave from 192.168.50.50
2025-03-01 21:59:14 igmp-proxy,debug vlan50-iptv Change TO INCLUDE for 232.0.64.36 with sources { }
2025-03-01 21:59:14 igmp-proxy,debug vlan50-iptv Sending group specific query for 232.0.64.36
2025-03-01 21:59:15 igmp-proxy,debug vlan50-iptv Sending group specific query for 232.0.64.36
2025-03-01 21:59:16 igmp-proxy,debug leaving multicast group 232.0.64.36 on vlan100-bouygues

Mais toujours pas de flux TV.

Preneur de vos feedbacks, je vous joins une config.

Code: [Sélectionner]

# 2025-03-01 17:20:11 by RouterOS 7.17.1
# software id = E916-AXTU
#
# model = RB5009UG+S+
/interface bridge
add admin-mac=D4:01:C3:91:DE:52 auto-mac=no comment=defconf igmp-snooping=yes name=bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether2 ] name=ether2-ap-homelab-prx
set [ find default-name=ether3 ] name=ether3-trunk-sw-wifi
set [ find default-name=ether4 ] name=ether4-trunk-sw-theater
set [ find default-name=ether5 ] name=ether5-ap-tahoma
set [ find default-name=ether6 ] name=ether6-ap-tradfri
set [ find default-name=ether7 ] name=ether7-ap-hue
set [ find default-name=ether8 ] name=ether8-ap-imac
set [ find default-name=sfp-sfpplus1 ] mac-address=D4:B1:xx:xx:xx:xx name=sfp-bouygues
/interface wireguard
add listen-port=25311 mtu=1420 name=wireguard
/interface vlan
add interface=bridge name=vlan10-homelab vlan-id=10
add interface=bridge name=vlan20-private vlan-id=20
add interface=bridge name=vlan30-iot vlan-id=30
add interface=bridge name=vlan40-guest vlan-id=40
add interface=bridge name=vlan50-iptv vlan-id=50
add interface=sfp-bouygues name=vlan100-bouygues vlan-id=100
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip dhcp-client option
add code=60 name=vendorid_bbox value="'BYGTELIAD'"
/ip dhcp-server
add interface=vlan50-iptv name=dhcp-vlan50
/ip dhcp-server option
add code=6 name=dns-bboxtv value="'194.158.122.10''194.158.122.15'"
/ip pool
add name=dhcp ranges=192.168.1.200-192.168.1.230
add name=pool-vlan10 ranges=192.168.10.200-192.168.10.230
add name=pool-vlan20 ranges=192.168.20.200-192.168.20.230
add name=pool-vlan30 ranges=192.168.30.200-192.168.30.230
add name=pool-vlan40 ranges=192.168.40.200-192.168.40.230
/ip dhcp-server
add address-pool=dhcp interface=bridge name=dhcp
add address-pool=pool-vlan10 interface=vlan10-homelab name=dhcp-vlan10
add address-pool=pool-vlan20 interface=vlan20-private name=dhcp-vlan20
add address-pool=pool-vlan30 interface=vlan30-iot name=dhcp-vlan30
add address-pool=pool-vlan40 interface=vlan40-guest name=dhcp-vlan40
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-ap-homelab-prx pvid=10
add bridge=bridge comment=defconf interface=ether3-trunk-sw-wifi
add bridge=bridge comment=defconf interface=ether4-trunk-sw-theater
add bridge=bridge comment=defconf interface=ether5-ap-tahoma pvid=30
add bridge=bridge comment=defconf interface=ether6-ap-tradfri pvid=30
add bridge=bridge comment=defconf interface=ether7-ap-hue pvid=30
add bridge=bridge comment=defconf interface=ether8-ap-imac pvid=20
add bridge=bridge interface=ether1
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=bridge tagged=bridge untagged=ether2-ap-homelab-prx vlan-ids=10
add bridge=bridge tagged=ether3-trunk-sw-wifi,bridge untagged=ether8-ap-imac vlan-ids=20
add bridge=bridge tagged=ether3-trunk-sw-wifi,ether4-trunk-sw-theater,bridge untagged=ether5-ap-tahoma,ether6-ap-tradfri,ether7-ap-hue vlan-ids=30
add bridge=bridge tagged=ether3-trunk-sw-wifi,bridge vlan-ids=40
add bridge=bridge untagged=ether1,ether2-ap-homelab-prx,ether5-ap-tahoma,ether6-ap-tradfri,ether7-ap-hue,ether3-trunk-sw-wifi,ether4-trunk-sw-theater,ether8-ap-imac,bridge vlan-ids=1
add bridge=bridge tagged=bridge,ether4-trunk-sw-theater vlan-ids=50
/interface list member
add interface=bridge list=LAN
add interface=sfp-bouygues list=WAN
add interface=vlan100-bouygues list=WAN
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.10.1/24 interface=vlan10-homelab network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20-private network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30-iot network=192.168.30.0
add address=192.168.40.1/24 interface=vlan40-guest network=192.168.40.0
add address=192.168.50.1/24 interface=vlan50-iptv network=192.168.50.0
/ip dhcp-client
add comment="Bouygues VLAN" dhcp-options=hostname,clientid,vendorid_bbox interface=vlan100-bouygues
add comment="SFP Interface (macaddr overriden in Quick Set tab)" interface=sfp-bouygues
/ip dhcp-server lease
add address=192.168.50.50 comment="BBox Miami 4k" dhcp-option=dns-bboxtv mac-address=D0:05:xx:xx:xx:xx server=dhcp-vlan50
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=192.168.40.1 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=192.168.50.1 gateway=192.168.50.1
/ip dns
set allow-remote-requests=yes mdns-repeat-ifaces=bridge
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan type=A
/ip firewall address-list
add address=192.168.0.0/16 comment=lan list=whitelist
add address=176.a.b.c list=wan-interface-ip
/ip firewall filter
add action=drop chain=input comment="Block DNS queries from WAN" dst-port=53 in-interface-list=WAN protocol=udp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=input comment="ICMP (input)" protocol=icmp
add action=accept chain=forward comment="ICMP (forward)" protocol=icmp
add action=accept chain=input comment="IPTV - Accept IGMP (input)" protocol=igmp
add action=accept chain=input comment="IPTV (input)" dst-port=1234,8200,8202 in-interface-list=WAN protocol=udp
add action=accept chain=forward comment="IPTV (foward)" dst-port=1234,8200,8202 in-interface-list=WAN protocol=udp
add action=accept chain=input comment="Accept DNS & DHCP on LAN" dst-port=53,67,68,5353 in-interface-list=LAN log=yes log-prefix=DHCP protocol=udp
add action=accept chain=forward comment="Accept DNS & DHCP on LAN" dst-port=53,67,68,5353 in-interface-list=LAN protocol=udp
add action=accept chain=input in-interface=bridge
add action=accept chain=forward in-interface=bridge
add action=accept chain=forward comment="Internet - Homelab can reach WAN" in-interface=vlan10-homelab out-interface-list=WAN
add action=accept chain=forward comment="Internet - Private can reach WAN" in-interface=vlan20-private out-interface-list=WAN
add action=accept chain=forward comment="Internet - IoT can reach WAN" in-interface=vlan30-iot out-interface-list=WAN
add action=accept chain=forward comment="Internet - Guests can reach WAN" in-interface=vlan40-guest out-interface-list=WAN
add action=accept chain=forward comment="Internet - IPTV can reach WAN" in-interface=vlan50-iptv out-interface-list=WAN
add action=accept chain=forward comment="ACL - Homelab can reach IoT" in-interface=vlan10-homelab out-interface=vlan30-iot
add action=accept chain=forward comment="ACL - Private can reach everything" in-interface=vlan20-private out-interface=all-vlan
add action=accept chain=forward comment="ACL - WAN can reach IPTV" in-interface-list=WAN out-interface=vlan50-iptv
add action=drop chain=input comment="Drop everything else received from WAN" in-interface-list=WAN
/ip firewall mangle
add action=set-priority chain=output new-priority=5 out-interface-list=WAN protocol=igmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat comment="Access to ONU GPON module" dst-address=192.168.1.10 src-address=192.168.20.0/24
add action=masquerade chain=srcnat comment="Hairpin NAT for LAN" dst-address=192.168.0.0/16 src-address=192.168.0.0/16
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=vlan100-bouygues type=external
/routing igmp-proxy
set query-interval=1m
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan100-bouygues upstream=yes
add interface=vlan50-iptv
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=mikrotik-rb5009
/system logging
add topics=igmp-proxy
/system note
set show-at-login=no
/system ntp client servers
add address=time.apple.com
/tool graphing interface
add
/tool graphing resource
add
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

tvial · « **Réponse #44 le:** 04 mars 2025 à 20:08:28 »

Petit update, vu que ma femme ne pouvait pas regarder ses émissions préférées, j'ai dû débrancher la fibre de mon port SFP pour le remettre sur l'ONT externe, et ai branché la bbox blanche en port ether1.
Même configuration de firewall/vlans, avec bbox en vlan50 et tout fonctionne.
Je vais essayer de spoofer un peu plus pour voir le détail qui peut me manquer dans la config sans bbox/ont.
Preneur de vos feedbacks/idées ! :-)

A+