Auteur Sujet: configuration routeur - firewall pour les flux IPTV (Lu 5078 fois)

solero · « **le:** 27 décembre 2019 à 17:30:19 »

hello,

j'ai beau avoir chercher sur le forum mais je n'ai pas trouvé.

voici mon installation:

jai ma box orange en acces Internet (vdsl) lan 192.168.1.0/24 (box en .1)
j'ai derrière un routeur/firewall fortigate a jour avec le dernier firmware en (.199)
et mon LAN complet derrière sur une autres plage ip (192.168.30.0/24) .1 pour le fortigate
l’accès a internet et fonctionnel règle de routage et firewall ok.

ce que j'aimerais c'est mettre dans mon lan le décodeur TV, explicitement dans mon lan, je ne veux pas le mettre en direct sur la box (pas dans le lan de la box).
en effet le décodeur est sur un petit switch non ménageable sur le quel sont placés d'autres équipements (raspberry ...) et je ne veux pas que ceux-ci soient sur le lan de la box.

bref voici mes prerequis.

avis aux connaisseurs (expert

quels sont les règles de firewall à mettre pour que tous les services passent ?
- multicast ?
- routage ou nat pour le décodeur ?

merci à vous.

oui je vous assure j'ai cherché (je n'ai pas dis que ce n’était pas déjà abordé ^^).
mais impossible de trouvé toutes les informations nécessaires pour faire fonctionner le truc ^^

zoc · « **Réponse #1 le:** 27 décembre 2019 à 17:33:10 »

Proxy IGMP obligatoire sur le fortigate pour commencer. Si pas supporté pas la peine de chercher plus loin, ce ne sera pas possible.

Après clairement personne ne fait ce genre de config généralement ici (on remplace la box, on ne la met pas devant un autre routeur), donc pas garanti qu’on puisse t’aider.

solero · « **Réponse #2 le:** 27 décembre 2019 à 19:59:52 »

Hey bien deja tu me donne des infos , et ça c’est top !
Ensuite les défis ça me vas ^^
Donc je vais continuer à chercher et si une personne a une idée je prend

Et si une personne peut m’expliquer les échanges de flux entre la box et le décodeur ça serait top

Nh3xus · « **Réponse #3 le:** 28 décembre 2019 à 00:33:14 »

Salut,

Sur le Fortigate :

- Activer le routage multicast
- Activer IGMPv2 sur ton uplink et downlink
- Déclarer l'IP de l'interface d'uplink (vers l'ONT) comme Point de Rendez-vous (RP) statique
- Créer une règle multicast qui autorise le LAN de ton downlink à s'abonner à la plage multicast 224.0.0.0/4 avec le protocole ANY.
- Propager les DNS d'Orange dans le lease DHCP que tu envoies au décodeur ( il y a des infos sur le forum à ce sujet )

J'ai réalisé un truc à peu près similaire en entreprise il y a 2 mois.

Note : Sur les Fortigate, il y a plein de rubriques de configuration qui sont masquées par défaut.
Il faut les ajouter à l'interface via les options avancées.

J'en ai chié avec mes Forti qui sont pilotés via FortiManager.... ( même problématique pour faire apparaître les options )

Bonne chance

solero · « **Réponse #4 le:** 28 décembre 2019 à 14:38:14 »

super Nh3xus !
que de bonnes infos, surtout si tu as des fortis on vas pouvoir échanger sur le sujet.
je n'ai pas de fortimanager celui-ci est isolé (c'est un ancien de mon travail, j'ai changé tous les fortis ,et j'en ai recuperé un pour moi).

pour revenir au forti,
dans mon cas :
port1 lan box en 192.168.1.199
port2 lan maison : 192.168.30.1

donc pour le routage multicast, tu fais une conf spécifique ou te l'active simplement ?
dans Network/multicast :
- j'active le multicast routing
- dans les statics RP je mets l'ip de l'interface du forti dans le lan de la box (192.168.1.99)
- dans les interfaces je mets les 2 interfaces (le port 1 et 2) en mode "sparse" ou "dense" ? je penses sparse car on spécifie un RP, mais je me trompes surement.
d'ailleurs tu mets active le RP cadidate pour les deux interfaces?
et le RP priority sur les 2 interfaces, je le fixe à 1 car on s'en fou il y a un seul décodeur, si je comprends bien.

cf conf en pj

pour la "policy multicast", tu ne fais pas de snat on est d'accord?

et c'est ok pour le DNS orange

c'est top de t'etre penché sur mon cas

merci d'avance pour tes réponses

dailleurs pas besoin de mettre l'ip dans la DMZ de la livebox?

Nh3xus · « **Réponse #5 le:** 28 décembre 2019 à 22:21:44 »

Hello,

Pour la partie PIM tu as vu juste : il faut utiliser sparse mode lorsque l'on utilise un ou plusieurs RP et que l'on veut éviter de flooder les flux, pour les pruner ensuite.

Par contre, désactive les RP candidates sur les interfaces.

Cela sert uniquement à paramétrer le protocole BSR dont tu n'as pas du tout besoin dans ce genre de cas de figure.

Au début de ta capture, tu as renseigné un RP statique, donc BSR va rentrer en conflit si tu laisse les RP candidate actifs.

Pour les champs DR priority, c'est OK de mon point de vue.

solero · « **Réponse #6 le:** 29 décembre 2019 à 09:37:09 »

Merci pour le retour je vais faire ça !
Bon la maintenant je suis pas chez moi je rentre d’ici 8 jours , je te redirais ça.
En tous cas je pense que ça devrais fonctionner car au vu des logs que j’avais et de ce qu’affichait le décodeur (le menu du décodeur sans le contenu des chaînes , donc le décodeur ne s abonnais pas aux chaînes demandais, mais avais quand même accès aux dns d orangee)
Ok pour les rp candidates ! Et pour le forti dans la dmz de la box?

Nh3xus · « **Réponse #7 le:** 29 décembre 2019 à 14:09:09 »

Citer

Ok pour les rp candidates ! Et pour le forti dans la dmz de la box?

Aucune idée.

Tu peux tester.

M'enfin si tu mets juste une règle unicast en ANY ANY Allow pour l'IP du décodeur dans les règles Fortigate, ça devrait fonctionner.

solero · « **Réponse #8 le:** 31 décembre 2019 à 13:53:42 »

Merci pour tout,

des que je rentre je fais les tests, en esperant que ca fonctionne.

solero · « **Réponse #9 le:** 05 janvier 2020 à 16:40:00 »

bon ca ne fonctionne toujours pas snif.

quelques questions pour bien comprendre :
- dans les policies IPV4 tu fais du nat sur la regle qui autorise les flux du decodeurs vers la livebox?
- pour les policies multicast meme question snat ou pas?

solero · « **Réponse #10 le:** 24 janvier 2020 à 10:12:31 »

un petit UP Nh3xus si tu me lis