Auteur Sujet: IPTV sans BBox via Mikrotik RB5009 (Lu 1805 fois)

sleroux · « **le:** 01 décembre 2023 à 11:49:47 »

Bonjour,

Je "souffre" pour configurer la réception de chaînes en direct via IPTV. J'ai remplacé la BBox par un routeur Mikrotik RB5009. Schématiquement mon réseau ressemble á ça:

TV <--hdmi--> BBox 4K <--eth--> switch <--eth--> RB5009 <--eth--> ONT Hauwei <--fibre--> ((réseau Bouygues))

L'accès internet fonctionne sans problème. Par contre si je teste la TV en direct via le récepteur IPTV "BBox 4K", j'ai systématiquement l'erreur F3411

Je me suis inspiré de quelques sujets très similaires et relativement récents:
https://lafibre.info/remplacer-bbox/ftth-vlan-100-reglages-pfsense-net-tv/ (config pour pfSense qui devrait marcher)
https://lafibre.info/remplacer-bbox/bbox-remplacee-par-mikrotikrouteros-soucis-decodeur-bbox-4k-erreur-f3411/ (config pour RB4011, certaines chaînes fonctionnent)

Je pense que je suis moins avancé que ce que les utilisateurs on fait dans les posts cités ci-dessus car il me semble que je n'arrive même pas á établir un routage IGMP fiable. Dans les logs du routeur, il me semble que parfois ça passe (image 2), parfois ça ne passe pas (image 1). L'adresse de la BBox 4K est 10.129.36.23

Les compteurs de paquets pour le proxy IGMP restent á zero (image 3)

Je teste avec la chaîne "Gulli"

Le éléments correspondants de ma config (vlan100 est le VLAN 100 issu de l'ONT, bridge est mon interface LAN):

Code: [Sélectionner]

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment=IPTV ipv4-options=any protocol=igmp
add action=accept chain=forward comment=IPTV protocol=igmp
add action=accept chain=input comment=IPTV disabled=yes protocol=udp src-port=49152,5353
add action=accept chain=input comment=IPTV disabled=yes dst-port=8200,8202,49152,1234,5353 protocol=udp
add action=accept chain=forward comment=IPTV protocol=udp src-address=224.0.0.0/24
add action=accept chain=forward comment=IPTV dst-address=224.0.0.0/24 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid

/ip firewall mangle
add action=change-dscp chain=output comment=IPTV new-dscp=34 out-interface=vlan100 passthrough=yes protocol=igmp

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 comment=IPTV interface=vlan100 upstream=yes
add comment=IPTV interface=bridge

Y a-t-il quelauechose qui vous saute aux yeux et qui pourrait expliquer l'échec du routage IGMP? Ai-je oublié une étape?
J'ai peu d'expérience en multicast IPv4 et aucune en IPTV, donc tout commentaire serait le bienvenu!

- Sylvain

sleroux · « **Réponse #1 le:** 01 décembre 2023 à 12:24:59 »

En complément, si je log les paquets UDP:

Code: [Sélectionner]

/ip firewall filter
add action=log chain=forward comment="IPTV-TEST: log udp" protocol=udp

Je ne vois passer que du DNS. Ça semblerait confirmer que le BBox 4K n'arrive pas á joindre le groupe de multicast.

- Sylvain

sleroux · « **Réponse #2 le:** 03 décembre 2023 à 11:59:37 »

Pour référence, test fait avec IGMP proxy configuré:

Code: [Sélectionner]

/routing/igmp-proxy/export 
# dec/03/2023 11:57:32 by RouterOS 7.8
# software id = 42A4-BVBI
#
# model = RB5009UPr+S+
# serial number = HEM08W8518V
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 comment=IPTV interface=vlan100 upstream=yes
add comment=IPTV interface=bridge

Et voici une capture depuis le MikroTik RB5009 lorsque je tente de regarder la chaîne Gulli depuis la BBox 4K:

Code: [Sélectionner]

tshark -r capture3.pcapng ip.addr==224.0.0.0/4 or ip.addr==10.129.36.23
    6   3.000000 213.44.109.103 → 224.0.0.22   IGMPv3 103 Membership Report / Leave group 232.0.64.250
    7   3.000000 213.44.109.103 → 224.0.0.22   IGMPv3 107 Membership Report / Leave group 232.0.64.250
    8   3.000000 213.44.109.103 → 224.0.0.22   IGMPv3 103 Membership Report / Leave group 232.0.64.250
    9   3.000000 213.44.109.103 → 224.0.0.22   IGMPv3 107 Membership Report / Leave group 232.0.64.250
   13   4.000000 10.129.36.23 → 232.0.64.250 IGMPv2 109 Membership Report group 232.0.64.250
   14   4.000000 10.129.36.23 → 232.0.64.250 IGMPv2 109 Membership Report group 232.0.64.250
   15   4.000000 213.44.109.103 → 224.0.0.22   IGMPv3 103 Membership Report / Join group 232.0.64.250 for any sources
   16   4.000000 213.44.109.103 → 224.0.0.22   IGMPv3 107 Membership Report / Join group 232.0.64.250 for any sources
   18   5.000000 213.44.109.103 → 224.0.0.22   IGMPv3 103 Membership Report / Join group 232.0.64.250 for any sources
   19   5.000000 213.44.109.103 → 224.0.0.22   IGMPv3 107 Membership Report / Join group 232.0.64.250 for any sources
  477  10.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
  478  10.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
  535  11.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
  536  11.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
  595  12.000000 10.129.36.23 → 232.0.64.250 IGMPv2 109 Membership Report group 232.0.64.250
  596  12.000000 10.129.36.23 → 232.0.64.250 IGMPv2 109 Membership Report group 232.0.64.250
  601  12.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
  602  13.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
  619  13.000000 10.129.36.23 → 224.0.0.2    IGMPv2 109 Leave Group 232.0.64.250
  620  13.000000 10.129.36.23 → 224.0.0.2    IGMPv2 109 Leave Group 232.0.64.250
  621  13.000000 10.129.36.245 → 232.0.64.250 IGMPv2 91 Membership Query, specific for group 232.0.64.250
  622  13.000000 10.129.36.245 → 232.0.64.250 IGMPv2 91 Membership Query, specific for group 232.0.64.250
  668  13.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
  669  13.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1

=> La BBox abandonne après quelques secondes avec le message d'erreur F3411

Mon interprétation c'est que 10.129.36.23 rejoint le groupe de multicast 232.0.64.250 (frame 13), puis attend une dizaine de secondes et quitte le groupe (frame 619). Vraisemblablement elle n'a pas reçu ce qu'elle attendait. Quoi? Mystère...

Je ne comprends pas pourquoi pendant les 10 secondes d'attente, je ne vois arriver depuis l'extérieur aucun paquet á destination du groupe de multicast

sleroux · « **Réponse #3 le:** 03 décembre 2023 à 15:39:09 »

C'est beaucoup mieux quand je n'oublie pas de router les paquets IGMP venant du VLAN100:

Code: [Sélectionner]

/ip firewall filter
add action=accept chain=input comment=IPTV ipv4-options=any log=yes log-prefix=IPTV protocol=igmp

Code: [Sélectionner]

tshark -r capture5.pcapng ip.addr==224.0.0.0/4 or ip.addr==10.129.36.23
  150   1.000000 10.129.36.23 → 232.0.64.250 IGMPv2 109 Membership Report group 232.0.64.250
  151   1.000000 10.129.36.23 → 232.0.64.250 IGMPv2 109 Membership Report group 232.0.64.250
  152   1.000000 213.44.109.103 → 224.0.0.22   IGMPv3 103 Membership Report / Join group 232.0.64.250 for any sources
  153   1.000000 213.44.109.103 → 224.0.0.22   IGMPv3 107 Membership Report / Join group 232.0.64.250 for any sources
  161   2.000000 213.44.109.103 → 224.0.0.22   IGMPv3 103 Membership Report / Join group 232.0.64.250 for any sources
  162   2.000000 213.44.109.103 → 224.0.0.22   IGMPv3 107 Membership Report / Join group 232.0.64.250 for any sources
  854   6.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
  855   6.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
  856   6.000000 10.129.36.23 → 142.250.110.188 TLSv1.2 142 Application Data
  857   6.000000 10.129.36.23 → 142.250.110.188 TCP 142 [TCP Retransmission] 42938 → 5228 [PSH, ACK] Seq=1 Ack=1 Win=65523 Len=27 TSval=52246810 TSecr=631629681
  866   6.000000 142.250.110.188 → 10.129.36.23 TCP 115 5228 → 42938 [ACK] Seq=1 Ack=28 Win=65535 Len=0 TSval=631689714 TSecr=52246810
  867   6.000000 142.250.110.188 → 10.129.36.23 TCP 115 [TCP Dup ACK 866#1] 5228 → 42938 [ACK] Seq=1 Ack=28 Win=65535 Len=0 TSval=631689714 TSecr=52246810
  870   6.000000 142.250.110.188 → 10.129.36.23 TLSv1.2 142 Application Data
  871   6.000000 142.250.110.188 → 10.129.36.23 TCP 142 [TCP Retransmission] 5228 → 42938 [PSH, ACK] Seq=1 Ack=28 Win=65535 Len=27 TSval=631689718 TSecr=52246810
  872   6.000000 10.129.36.23 → 142.250.110.188 TLSv1.2 152 Application Data
  873   6.000000 10.129.36.23 → 142.250.110.188 TCP 152 [TCP Retransmission] 42938 → 5228 [PSH, ACK] Seq=28 Ack=28 Win=65523 Len=37 TSval=52246812 TSecr=631689718
  886   7.000000 142.250.110.188 → 10.129.36.23 TCP 115 5228 → 42938 [ACK] Seq=28 Ack=65 Win=65535 Len=0 TSval=631689741 TSecr=52246812
  887   7.000000 142.250.110.188 → 10.129.36.23 TCP 115 [TCP Dup ACK 886#1] 5228 → 42938 [ACK] Seq=28 Ack=65 Win=65535 Len=0 TSval=631689741 TSecr=52246812
 1013   7.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
 1014   7.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
 1015   7.000000 10.129.36.23 → 232.0.64.250 IGMPv2 109 Membership Report group 232.0.64.250
 1016   7.000000 10.129.36.23 → 232.0.64.250 IGMPv2 109 Membership Report group 232.0.64.250
 1104   8.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
 1105   8.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
 1278   9.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
 1279   9.000000 10.129.36.44 → 239.255.255.250 SSDP 259 M-SEARCH * HTTP/1.1 
 1308  10.000000 10.129.36.23 → 224.0.0.2    IGMPv2 109 Leave Group 232.0.64.250
 1309  10.000000 10.129.36.23 → 224.0.0.2    IGMPv2 109 Leave Group 232.0.64.250
 1310  10.000000 10.129.36.245 → 232.0.64.250 IGMPv2 91 Membership Query, specific for group 232.0.64.250
 1311  10.000000 10.129.36.245 → 232.0.64.250 IGMPv2 91 Membership Query, specific for group 232.0.64.250

A priori, la BBox 4K @ 10.129.36.23 rejoint bien le groupe de multicast puis fait une requête à 142.250.110.188. Mais comme précédemment, la box abandonne et quitte le groupe de multicast après quelques secondes (frame 1308). Entre-temps, je n'ai vu passer aucun paquet UDP en rapport.

Mackila · « **Réponse #4 le:** 20 décembre 2023 à 21:58:52 »

Je ne sais pas ce qui ce déroule entre le boitier BBox 4k et la box lors du premier démarrage, mais mon expérience c'est ça :

- Suivre les différents guides et informations disponibles ici pour avoir le service TV avec son propre routeur (mikrotik + leox ethernet).
- Pas de TV.
- Vérifier plusieurs fois.
- Toujours pas de TV.
- Brancher la box à la place du routeur.
- TV qui fonctionne (certes...).
- Remettre le mikrotik + leox à la place de la box SANS RIEN MODIFIER DE LA CONFIGURATION !
- TV qui fonctionne.

Depuis, la TV fonctionne très bien sans que je n'ai eu à y revenir, même après des arrêts/redémarrage de la BBox 4k, ou de n'importe quoi d'autre.

sleroux · « **Réponse #5 le:** 21 décembre 2023 à 14:51:55 »

Salut Mackila,

Et merci pour ta réponse. J'avoue que j'avais un peu laissé ce problème de côté. J'avais cru comprendre que sans possibilité de forcer ICMPProxy à utiliser le progocol v2, c'était mort.

Mais visiblement ça fonctionne chez toi avec RouterOS.

Est-ce que tu accepterait de m'envoyer (éventuellement en MP) la config de ton Microtik? Je pourrai la reprendre et tester ta manip chez moi.

A+,
– Sylvain

Mackila · « **Réponse #6 le:** 21 décembre 2023 à 15:45:00 »

Il y a la dedans plein de bordel qui traine de ma config orange... Bon courage pour faire le tri...

A savoir aussi, le mikrotik n'est pas mon serveur DHCP, c'est un Windows 2022. Il a une règle spécifique pour la MAC du boitier TV, pour lui filer les serveurs DNS bouygue nécessaires au fonctionnement.

Code: [Sélectionner]

# 2023-12-21 15:32:19 by RouterOS 7.12.1
# software id = 2GX6-31PR
#
# model = CCR2004-16G-2S+
# serial number = [....]
/interface bridge
add disabled=yes igmp-snooping=yes name=TV-BRIDGE
add disabled=yes fast-forward=no name=WAN-BRIDGE
/interface ethernet
set [ find default-name=ether1 ] disabled=yes name=ether1-TV
set [ find default-name=ether2 ] disabled=yes name=ether2-LIVEBOX
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether10 ] disabled=yes
set [ find default-name=ether11 ] disabled=yes
set [ find default-name=ether12 ] disabled=yes
set [ find default-name=ether13 ] disabled=yes
set [ find default-name=ether14 ] disabled=yes
set [ find default-name=ether15 ] name=ether15-ADMIN
set [ find default-name=ether16 ] disabled=yes
set [ find default-name=sfp-sfpplus1 ] mac-address=F4:05:95:09:C8:A0 name=\
    sfp1-WAN rx-flow-control=on tx-flow-control=on
set [ find default-name=sfp-sfpplus2 ] name=sfp2-LAN
/interface vlan
add interface=sfp1-WAN name="VLAN100 - WAN" vlan-id=100
add disabled=yes interface=ether2-LIVEBOX name="VLAN832 - LIVEBOX" vlan-id=\
    832
add disabled=yes interface=sfp1-WAN name="VLAN832 - WAN" vlan-id=832
add disabled=yes interface=ether2-LIVEBOX name="VLAN840 - LIVEBOX" vlan-id=\
    840
add disabled=yes interface=sfp1-WAN name="VLAN840 - TV" vlan-id=840
/interface list
add name=LAN
add name=WAN
add name=orange_tv
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name="Vendor class identifier" value="'sagem'"
add code=77 name="User Class Information" value=\
    "0x2b'FSVDSL_livebox.Internet.softathome.Livebox4'"
add code=90 name=Authentication value="0x00000000000000000000001a[....]"
add code=77 name=vod_userclass value=\
    "'+FSVDSL_livebox.MLTV.softathome.Livebox4'"
add code=61 name=clienId_livebox value=0xe8d2ff3bcabc
add code=60 name=VendorID_Bouygues value="'BYGTELIAD'"
/ip dhcp-server option
add code=90 name=Authentification value=\
    0x000000000000000000[....]
add code=120 name="SIP Server" value="0x0006[....]"
add code=125 name="Vendor Specific" value=\
    0x0000[....]
/ip dhcp-server option sets
add name=setLivebox options="Authentification,SIP Server,Vendor Specific"
/ip pool
add name=pool-tv ranges=192.168.42.10-192.168.42.19
/ip dhcp-server
add address-pool=pool-tv dhcp-option-set=setLivebox interface=\
    "VLAN832 - LIVEBOX" lease-time=1w1d name="WAN LIVEBOX"
/ipv6 dhcp-client option
add code=60 name=VendorID_Bouygues value="'BYGTELIAD'"
/port
set 0 name=serial0
set 1 name=serial1
/queue interface
set sfp1-WAN queue=ethernet-default
set sfp2-LAN queue=ethernet-default
/interface bridge filter
# VLAN832 - WAN not ready
# in/out-bridge-port matcher not possible when interface (VLAN832 - WAN) is not slave
add action=set-priority chain=output dst-port=67 ip-protocol=udp log=yes \
    log-prefix="Set CoS 6 on DHCP requests" mac-protocol=ip new-priority=6 \
    out-interface="VLAN832 - WAN" passthrough=yes
/interface bridge port
add bridge=WAN-BRIDGE ingress-filtering=no interface="VLAN832 - WAN"
add bridge=TV-BRIDGE interface="VLAN840 - TV" pvid=840
add bridge=TV-BRIDGE interface="VLAN840 - LIVEBOX" pvid=840
/interface bridge settings
set allow-fast-path=no use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set protocol=cdp,lldp
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set accept-redirects=no accept-router-advertisements=no disable-ipv6=yes \
    forward=no max-neighbor-entries=8192
/interface list member
add interface=sfp1-WAN list=WAN
add interface=sfp2-LAN list=LAN
add interface="VLAN840 - LIVEBOX" list=orange_tv
add interface="VLAN840 - TV" list=orange_tv
add interface="VLAN832 - LIVEBOX" list=orange_tv
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.88.1/24 comment="Configuration sur port 15" interface=\
    ether15-ADMIN network=192.168.88.0
add address=192.168.0.3/24 interface=sfp2-LAN network=192.168.0.0
add address=192.168.100.2/24 comment="Sert \E0 acc\E9der \E0 l'ONU" \
    interface=sfp1-WAN network=192.168.100.0
add address=192.168.42.254/24 comment="\"WAN\" LIVEBOX" disabled=yes \
    interface="VLAN832 - LIVEBOX" network=192.168.42.0
/ip cloud
set update-time=no
/ip dhcp-client
add dhcp-options=\
    "Vendor class identifier,clientid,User Class Information,Authentication" \
    disabled=yes interface=WAN-BRIDGE
add dhcp-options=hostname,clientid,VendorID_Bouygues interface=\
    "VLAN100 - WAN"
/ip dhcp-server network
add address=192.168.42.0/24 dns-server=81.253.149.2,80.10.246.132 gateway=\
    192.168.42.254 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=192.168.0.0/24 list=support
add address=192.168.88.0/24 list=support
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" disabled=yes \
    list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" disabled=yes \
    list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" disabled=yes \
    list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\
    bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
add address=orange.mackila.com list=WAN-IP
add address=212.195.48.0/24 comment="VOD Bouygues" list=VODReplay
add address=212.195.244.0/24 list=VODReplay
add address=62.34.201.0/24 list=VODReplay
add address=194.158.119.0/24 list=VODReplay
add address=195.36.152.0/24 list=VODReplay
add address=193.254.97.0/24 comment="TV Bouygues" list=TV
add address=89.86.97.0/24 list=TV
add address=176.165.8.0/24 list=TV
add address=89.86.96.0/24 list=TV
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment=\
    "Accepte tout concernant le d\E9codeur TV" disabled=yes \
    in-interface-list=orange_tv
add action=accept chain=forward comment=\
    "Accepte tout concernant le d\E9codeur TV" disabled=yes \
    in-interface-list=orange_tv
add action=accept chain=input comment="Allow multicast TV Orange" disabled=\
    yes dst-port=8200,8202 in-interface=TV-BRIDGE protocol=udp
add action=accept chain=input comment="Service Orange TV" disabled=yes \
    dst-port=5678 in-interface-list=orange_tv protocol=udp
add action=accept chain=input comment="Allow IGMP for TV" in-interface=\
    "VLAN100 - WAN" protocol=igmp
add action=accept chain=input comment="Accept IP flow for IGMP Proxy" \
    dst-port=8200,8202 in-interface="VLAN100 - WAN" protocol=udp \
    src-address-list=TV
add action=accept chain=forward comment="Accept IP flow for IGMP Proxy" \
    dst-port=8200,8202 protocol=udp src-address-list=TV
add action=accept chain=forward comment="Accept IP flow for VOD" dst-port=\
    20000-30000 in-interface="VLAN100 - WAN" protocol=udp src-address-list=\
    VODReplay
add action=accept chain=forward comment="DNS/NTP pour le decodeur TV Orange" \
    disabled=yes dst-port=53,123 in-interface="VLAN832 - LIVEBOX" \
    out-interface=WAN-BRIDGE protocol=udp
add action=accept chain=forward comment="HTTP/S pour le decodeur TV Orange" \
    disabled=yes dst-port=80,443 in-interface="VLAN832 - LIVEBOX" \
    out-interface=WAN-BRIDGE protocol=tcp
add action=accept chain=forward comment="TV Orange" disabled=yes dst-port=\
    8200,8202 in-interface=TV-BRIDGE protocol=udp
add action=add-src-to-address-list address-list=Syn_Flooder \
    address-list-timeout=30m chain=input comment=\
    "Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" \
    src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner \
    address-list-timeout=1w chain=input comment="Port Scanner Detect" \
    protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" \
    src-address-list=Port_Scanner
add action=drop chain=input comment="Drop incoming UDP DNS requests" \
    dst-port=53 in-interface-list=WAN protocol=udp tcp-flags=""
add action=drop chain=forward comment=\
    "Drop packets from GUESTS to LAN adresses" dst-address=192.168.0.0/24 \
    src-address=192.168.20.0/24
add action=drop chain=forward comment="Drop packets from WAN to LAN adresses" \
    connection-state=new dst-address=192.168.0.0/24 in-interface-list=WAN
add action=drop chain=forward comment="Drop packets from WAN to LAN adresses" \
    connection-state=new dst-address=192.168.88.0/24 dst-address-list="" \
    in-interface-list=WAN
add action=jump chain=input comment="Jump for icmp input flow" jump-target=\
    ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except t\
    o support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUP\
    PORT ADDRESS LIST" dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" \
    jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\
    bogons
add action=add-src-to-address-list address-list=spammers \
    address-list-timeout=3h chain=forward comment=\
    "Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\
    25,587 limit=30/1m,0:packet protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" protocol=tcp \
    src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp \
    src-address-list=support
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp \
    src-address-list=support
add action=accept chain=input comment="Accept to established connections" \
    connection-state=established
add action=accept chain=input comment="Accept to related connections" \
    connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" \
    src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS \
    RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \
    icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\
    3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \
    protocol=icmp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist
/ip firewall nat
add action=masquerade chain=srcnat out-interface="VLAN100 - WAN"
add action=dst-nat chain=dstnat dst-address-list=WAN-IP dst-port=80 protocol=\
    tcp to-addresses=192.168.0.2 to-ports=80
add action=dst-nat chain=dstnat dst-address-list=WAN-IP dst-port=443 \
    protocol=tcp to-addresses=192.168.0.2 to-ports=443
[....]
add action=dst-nat chain=dstnat comment="Redirection flux TV VOD" dst-port=\
    20000-30000 in-interface="VLAN100 - WAN" protocol=udp src-address-list=\
    VODReplay to-addresses=192.168.0.120
/ip hotspot service-port
set ftp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.88.0/24,192.168.0.0/24
set api-ssl disabled=yes
/ipv6 dhcp-client
add add-default-route=yes disabled=yes interface="VLAN100 - WAN" pool-name=\
    pool_bouygues pool-prefix-length=60 request=prefix use-interface-duid=yes
/ipv6 firewall filter
add action=drop chain=input
add action=drop chain=forward
add action=drop chain=output
add action=accept chain=input disabled=yes
add action=accept chain=forward disabled=yes
add action=accept chain=output disabled=yes
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface="VLAN100 - WAN" upstream=yes
add alternative-subnets=0.0.0.0/0 interface=sfp2-LAN
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=CCR2004
/system logging
add topics=dhcp
/system note
set show-at-login=no
/tool bandwidth-server
set enabled=no
/tool graphing interface
add
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool mac-server ping
set enabled=no
/tool sniffer
set file-limit=10000KiB file-name=capture832livebox filter-interface=\
    "VLAN832 - LIVEBOX"

sleroux · « **Réponse #7 le:** 21 décembre 2023 à 16:56:57 »

Merci,

Je regarde ça sans doute entre les fêtes et je te dis si j'arrive à faire fonctionner la TV en direct chez moi.

- Sylvain