Toon posts:

Mikrotik Hex S + IPTV Routing KPN

Pagina: 1
Acties:

Vraag

vrijdag 6 maart 2020 07:54

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Goedemorgen,

Sinds enige tijd geniet ik van het glasvezel abonnement met IPTV welke mij wordt aangeboden door KPN. De Experia modem heeft het niet lang gered en is vervangen destijds door een Draytek 2862. Middels de handleiding hier heb ik hem kunnen instellen zodat ik heerlijk kon genieten van IPTV.

Nu is het zo dat ik een Hex S van Mikrotik heb aangeschaft en deze wil gaan inzetten in plaats van de Draytek. Ik heb de basis configuratie erin zitten en ik heb netjes internet. Top dus.

Vervolgens heb ik deze handleiding gevolgd om IP TV werkend te krijgen:
https://netwerkje.com/routed-iptv

Ik heb ook de IGMP Proxy software pack geïnstalleerd en ik moet zeggen dat het er goed uitziet. Er is beeld en we kunnen de gemaakte opnames raadplegen evenals ook de EPG.

Het gaat echter mis als we (variërend van 5 tot 20 minuten) op een kanaal blijven hangen. Het beeld bevriest en er komt een melding in het scherm van de KPN Box die aangeeft dat de zender niet beschikbaar is en dat ik moet zappen naar een ander kanaal. Als ik dat doe dan loopt de televisie weer voor een idem periode. Ook direct terugzappen naar de zender resulteert in een hervatting van het beeld maar ook weer voor 5 à 20 minuten alvorens het probleem zich opnieuw voordoet.

Ik heb hierover Gegoogled en kwam uit bij o.a. https://blog.bram.co.nl/25445-2/ helaas staat hier geen config in dus ik heb hem gemaild en hij gaf aan dat de config op netwerkje.com niet helemaal juist was en dat hij later mij een config zou toezenden (hier wacht ik nu dus op, hopelijk krijg ik deze).

De KPN Box zit op Ether 4 en gaat direct naar de Box toe zonder toevoeging van switches.

Mijn config:


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111

# mar/06/2020 07:34:34 by RouterOS 6.45.8
# software id = XXXX
#
# model = RB760iGS
# serial number = A36A0B9D53AC
/interface bridge
add admin-mac=C4:AD:34:45:83:3F arp=proxy-arp auto-mac=no igmp-snooping=yes name=bridge-lan
add admin-mac=C4:AD:34:45:83:42 auto-mac=no name=bridge-wifi-guests
add admin-mac=C4:AD:34:45:83:48 auto-mac=no name=bridge-wifi-iot
/interface ethernet
set [ find default-name=ether1 ] name=ether1-kpn
set [ find default-name=ether5 ] name=ether5-wifi
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=ether1-kpn name=vlan4-iptv vlan-id=4
add interface=ether1-kpn name=vlan6-internet vlan-id=6
add interface=ether5-wifi name=vlan100-ether5 vlan-id=100
add interface=ether2 name=vlan100_ether2 vlan-id=100
add interface=ether2 name=vlan200-ether2 vlan-id=200
add interface=ether5-wifi name=vlan200-ether5 vlan-id=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=pppoe-out-kpn password=XXXX use-peer-dns=yes user=XXXX
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'10.13.13.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=vlan1 ranges=10.13.13.2-10.13.13.254
add name=vlan100-guests ranges=10.14.14.2-10.14.14.254
add name=vlan200-iot ranges=10.15.15.2-10.15.15.254
/ip dhcp-server
add address-pool=vlan1 disabled=no interface=bridge-lan name=vlan1-dhcp-server
add address-pool=vlan100-guests disabled=no interface=bridge-wifi-guests name=vlan100-guests-dhcp-server
add address-pool=vlan200-iot disabled=no interface=bridge-wifi-iot name=vlan200-iot-dhcp-server
/snmp community
add addresses=::/0 name=XXXX
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5-wifi
add bridge=bridge-wifi-guests interface=vlan100-ether5
add bridge=bridge-wifi-iot interface=vlan200-ether5
add bridge=bridge-wifi-iot interface=vlan200-ether2
add bridge=bridge-wifi-guests interface=vlan100_ether2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=bridge-lan list=LAN
add interface=ether1-kpn list=WAN
add interface=pppoe-out-kpn list=WAN
/ip address
add address=10.14.14.1/24 interface=bridge-wifi-guests network=10.14.14.0
add address=10.15.15.1/24 interface=bridge-wifi-iot network=10.15.15.0
add address=10.13.13.1/24 interface=bridge-lan network=10.13.13.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-kpn
add default-route-distance=210 dhcp-options=option60-vendorclass disabled=no interface=vlan4-iptv use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=10.13.13.6 comment=KPN_iTVBOX dhcp-option-set=IPTV mac-address=XXXX server=vlan1-dhcp-server
/ip dhcp-server network
add address=10.13.13.0/24 dns-server=8.8.8.8 gateway=10.13.13.1
add address=10.14.14.0/24 dns-server=8.8.8.8 gateway=10.14.14.1
add address=10.15.15.0/24 dns-server=8.8.8.8 gateway=10.15.15.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="KPN IPTV" dst-address=213.75.112.0/21 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="KPN IPTV" dst-address=217.166.0.0/16 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan4-iptv upstream=yes
add interface=bridge-lan
/snmp
set contact="Le Connaisseur" enabled=yes location="Far, far away!" trap-community=XXXX
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=XXXX
/system ntp client
set enabled=yes primary-ntp=185.255.55.20 secondary-ntp=174.138.107.7 server-dns-names=""
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Beste antwoord (via Verwijderd op 06-03-2020 16:31)

vrijdag 6 maart 2020 08:02

  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

Zo te zien mis je een firewall regel die IGMP verkeer richting 224.0.0.0/4 op de input chain toestaat vanaf vlan4-iptv.

Wat je dan krijgt is dat alle IGMP queries gedropt worden in plaats van beantwoord op je IPTV WAN interface, en dat zorgt voor het gedrag wat jij beschrijft, namelijk dat de stream na een aantal minuten telkens stopt.

Alle reacties

vrijdag 6 maart 2020 08:02

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

Zo te zien mis je een firewall regel die IGMP verkeer richting 224.0.0.0/4 op de input chain toestaat vanaf vlan4-iptv.

Wat je dan krijgt is dat alle IGMP queries gedropt worden in plaats van beantwoord op je IPTV WAN interface, en dat zorgt voor het gedrag wat jij beschrijft, namelijk dat de stream na een aantal minuten telkens stopt.

vrijdag 6 maart 2020 09:03

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
ik222 schreef op vrijdag 6 maart 2020 @ 08:02:
Zo te zien mis je een firewall regel die IGMP verkeer richting 224.0.0.0/4 op de input chain toestaat vanaf vlan4-iptv.

Wat je dan krijgt is dat alle IGMP queries gedropt worden in plaats van beantwoord op je IPTV WAN interface, en dat zorgt voor het gedrag wat jij beschrijft, namelijk dat de stream na een aantal minuten telkens stopt.
Ok top, dan is dit nu mijn firewall. Klopt het zo?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

/ip firewall address-list
add address=145.131.238.225 list=Remote_Management
add address=136.144.139.174 list=SNMP_Monitoring
/ip firewall filter
add action=accept chain=input in-interface=vlan4-iptv protocol=udp src-address=\
    224.0.0.0/8
add action=accept chain=forward in-interface=vlan4-iptv protocol=udp \
    src-address=224.0.0.0/8
add action=accept chain=input in-interface=vlan4-iptv protocol=igmp \
    src-address=224.0.0.0/8
add action=accept chain=input comment="Remote Management" src-address-list=\
    Remote_Management
add action=accept chain=input comment=SNMP dst-port=161 protocol=udp \
    src-address-list=SNMP_Monitoring src-port=""
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="KPN IPTV" dst-address=\
    213.75.112.0/21 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="KPN IPTV" dst-address=\
    217.166.0.0/16 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN

vrijdag 6 maart 2020 09:09

Acties:
  • +1 Henk 'm!
  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

Niet helemaal, 224.0.0.0/4 is het destination address en niet het source address.

offtopic:
De onoverzichtelijkheid als wat meer firewall regels hebt blijft voor mij eigenlijk het enige nadeel van die Mikrotik apparatuur :X Verder is het heel mooi spul

vrijdag 6 maart 2020 09:12

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
ik222 schreef op vrijdag 6 maart 2020 @ 09:09:
Niet helemaal, 224.0.0.0/4 is het destination address en niet het source address.

offtopic:
De onoverzichtelijkheid als wat meer firewall regels hebt blijft voor mij eigenlijk het enige nadeel van die Mikrotik apparatuur :X Verder is het heel mooi spul
Ik zag ook dat ik het verkeerde subnet had. Like this?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

/ip firewall address-list
add address=145.131.238.225 list=Remote_Management
add address=136.144.139.174 list=SNMP_Monitoring
/ip firewall filter
add action=accept chain=input dst-address=224.0.0.0/4 in-interface=vlan4-iptv protocol=udp
add action=accept chain=input dst-address=224.0.0.0/4 in-interface=vlan4-iptv protocol=udp
add action=accept chain=input dst-address=224.0.0.0/4 in-interface=vlan4-iptv protocol=igmp
add action=accept chain=input comment="Remote Management" src-address-list=Remote_Management
add action=accept chain=input comment=SNMP dst-port=161 protocol=udp src-address-list=SNMP_Monitoring src-port=""
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=\
    new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="KPN IPTV" dst-address=213.75.112.0/21 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="KPN IPTV" dst-address=217.166.0.0/16 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

vrijdag 6 maart 2020 09:37

Acties:
  • 0 Henk 'm!
  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

Ja dat zou moeten werken zo te zien, overigens is dat UDP verkeer naar 224.0.0.0/4 gewoon forward verkeer (wat je sowieso al nergens blokkeert) dus die regels op de input chain zullen verder niets doen. Alleen IGMP wordt echt gedaan naar het IP adres van je firewall dus dat hoort op de input chain.

vrijdag 6 maart 2020 09:40

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
ik222 schreef op vrijdag 6 maart 2020 @ 09:37:
Ja dat zou moeten werken zo te zien, overigens is dat UDP verkeer naar 224.0.0.0/4 gewoon forward verkeer (wat je sowieso al nergens blokkeert) dus die regels op de input chain zullen verder niets doen. Alleen IGMP wordt echt gedaan naar het IP adres van je firewall dus dat hoort op de input chain.
Ja denk je?

UDP traffic met destination 224.0.0.0/4 wordt namelijk wel gehit op de firewall ( en aardig ook ).
De tweede regel lijkt me nutteloos want die is gelijk aan de eerste, kan eruit dus, toch?
Derde is de IGMP, wordt ook gehit.

Afbeeldingslocatie: https://tweakers.net/i/4kg1RS-IkDzN1I-Ca6VeTqbokhk=/800x/f/image/5PzWJpGyVHIH5S7zKwotWkLf.png?f=fotoalbum_large

vrijdag 6 maart 2020 10:08

Acties:
  • 0 Henk 'm!
  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

Twee identieke regels heeft sowieso geen zin.

En je hebt gelijk, het wordt wel gezien als input verkeer maar waarschijnlijk werd dit eerder door een andere regel opgepakt want anders had je helemaal geen beeld gehad.

Als het goed is moet het zo in elk geval werken.

vrijdag 6 maart 2020 10:39

Acties:
  • 0 Henk 'm!
  • DaLass
  • Registratie: Oktober 2001
  • Laatst online: 00:13

DaLass

Ik lees even mee, aangezien ik tegen hetzelfde probleem aanloop, alleen dan met een EdgeRouter X. Ik heb hierin wel gemerkt dat zodra ik mijn Unify access-point lostrek van mijn netwerk, het probleem niet meer bestaat. Zodra ik deze weer opneem in het netwerk, valt hij ook weer weg na een x aantal minuten, precies zoals jij beschrijft.

Heb je niet toevallig ook een Unify access-point?

Mijn advertenties op V&A

vrijdag 6 maart 2020 10:41

Acties:
  • +1 Henk 'm!

Verwijderd

Topicstarter
DaLass schreef op vrijdag 6 maart 2020 @ 10:39:
Ik lees even mee, aangezien ik tegen hetzelfde probleem aanloop, alleen dan met een EdgeRouter X. Ik heb hierin wel gemerkt dat zodra ik mijn Unify access-point lostrek van mijn netwerk, het probleem niet meer bestaat. Zodra ik deze weer opneem in het netwerk, valt hij ook weer weg na een x aantal minuten, precies zoals jij beschrijft.

Heb je niet toevallig ook een Unify access-point?
Ik heb de firewall rules aangepast zoals je hierboven kunt zien en mijn vrouw geïnstrueerd bij de eerste hik zich te melden.... ze heeft zich al anderhalf uur niet gemeld. Wordt vervolgd met een werkende config na afloop _/-\o_

vrijdag 6 maart 2020 10:42

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Heb je niet toevallig ook een Unify access-point?
Zeker, 2 x AP AC PRO

vrijdag 6 maart 2020 10:43

Acties:
  • 0 Henk 'm!
  • DaLass
  • Registratie: Oktober 2001
  • Laatst online: 00:13

DaLass

Verwijderd schreef op vrijdag 6 maart 2020 @ 10:41:
[...]


Ik heb de firewall rules aangepast zoals je hierboven kunt zien en mijn vrouw geïnstrueerd bij de eerste hik zich te melden.... ze heeft zich al anderhalf uur niet gemeld. Wordt vervolgd met een werkende config na afloop _/-\o_
Kijk, dat klinkt goed. Als de problemen inderdaad weg zijn bij je ben ik zeker benieuwd naar de config, dan kan ik eens kijken of ik die kan vertalen naar een EdgeRouter compatible versie.

Mijn advertenties op V&A

vrijdag 6 maart 2020 11:24

Acties:
  • 0 Henk 'm!
  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 21-08 15:56

webfreakz.nl

el-nul-zet-é-er

Ik zat even mee te lurken hier, gaaf om te lezen dat dit kan met een betrekkelijk goedkoop en klein Miktrotik routertje! :)

Werkt dit met IGMPv2 of IGMPv3? Ik denk dat het volgende alleen met IGMPv3 kan, maar mogelijk zou je nog een extra 224.0.0.0/24 rule aan kunnen maken *boven* je 224.0.0.0/4 rule zodat je apart control vs data traffic statistieken kan bijhouden?

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

vrijdag 6 maart 2020 11:44

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
webfreakz.nl schreef op vrijdag 6 maart 2020 @ 11:24:
Ik zat even mee te lurken hier, gaaf om te lezen dat dit kan met een betrekkelijk goedkoop en klein Miktrotik routertje! :)

Werkt dit met IGMPv2 of IGMPv3? Ik denk dat het volgende alleen met IGMPv3 kan, maar mogelijk zou je nog een extra 224.0.0.0/24 rule aan kunnen maken *boven* je 224.0.0.0/4 rule zodat je apart control vs data traffic statistieken kan bijhouden?
Als je me kan vertellen waar ik dit kan zien dan laat ik het je wel weten.

vrijdag 6 maart 2020 11:53

Acties:
  • 0 Henk 'm!
  • ik222
  • Registratie: Maart 2007
  • Niet online

ik222

webfreakz.nl schreef op vrijdag 6 maart 2020 @ 11:24:
Ik zat even mee te lurken hier, gaaf om te lezen dat dit kan met een betrekkelijk goedkoop en klein Miktrotik routertje! :)

Werkt dit met IGMPv2 of IGMPv3? Ik denk dat het volgende alleen met IGMPv3 kan, maar mogelijk zou je nog een extra 224.0.0.0/24 rule aan kunnen maken *boven* je 224.0.0.0/4 rule zodat je apart control vs data traffic statistieken kan bijhouden?
Het enige wat je daarvoor hoeft te doen is de IGMP regel boven je UDP regel te zetten. Control verkeer is namelijk IGMP verkeer en de datastream op zich is gewoon een UDP datastroom.

vrijdag 6 maart 2020 11:59

Acties:
  • 0 Henk 'm!
  • webfreakz.nl
  • Registratie: November 2003
  • Laatst online: 21-08 15:56

webfreakz.nl

el-nul-zet-é-er

ik222 schreef op vrijdag 6 maart 2020 @ 11:53:
[...]

Het enige wat je daarvoor hoeft te doen is de IGMP regel boven je UDP regel te zetten. Control verkeer is namelijk IGMP verkeer en de datastream op zich is gewoon een UDP datastroom.
Ah inderdaad. Dan wordt dat eigenlijk al gedaan, is ook zichtbaar in het screenshot. Mea culpa :+

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

vrijdag 6 maart 2020 13:23

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 22:44

Thralas

ik222 schreef op vrijdag 6 maart 2020 @ 10:08:
En je hebt gelijk, het wordt wel gezien als input verkeer maar waarschijnlijk werd dit eerder door een andere regel opgepakt want anders had je helemaal geen beeld gehad.
Niet helemaal. De (expliciete) default policy op de verschillende chains verschilt.

Voor INPUT:
code:
1

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN


Voor FORWARD:
code:
1

add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


De crux is dat de default FORWARD policy alléén expliciet WAN-verkeer dropt. En dus al het andere toelaat, effectief heb je op de IPTV-interface dus géén firewall.

In de praktijk niet zo rampzalig, maar veel netter zou zijn om vlan4-iptv in de WAN interface list te zetten. Dan heb je inderdaad wél een extra rule nodig voor de UDP multicast streams.

Bonus: dan kun je meteen die wanstaltige MASQUERADE rules weggooien (MASQUERADE met dst-address slaat nergens op).

vrijdag 6 maart 2020 16:30

Acties:
  • +1 Henk 'm!

Verwijderd

Topicstarter
Okay, vrouwlief meldt dat er geen uitval meer is geweest door de firewall regel, dus dat lijkt te werken allemaal. *O*

Hierbij mijn config, sommige irrelevante dingen (vpn, snmp), zijn weggelaten maar hiermee moet het werken:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111

# mar/06/2020 16:17:39 by RouterOS 6.45.8
# software id = XXXX
#
# model = RB760iGS
# serial number = XXXXX
/interface bridge
add admin-mac=C4:AD:34:45:83:3F arp=proxy-arp auto-mac=no igmp-snooping=yes name=bridge-lan
add admin-mac=C4:AD:34:45:83:42 auto-mac=no name=bridge-wifi-guests
add admin-mac=C4:AD:34:45:83:48 auto-mac=no name=bridge-wifi-iot
/interface ethernet
set [ find default-name=ether1 ] name=ether1-kpn
set [ find default-name=ether5 ] name=ether5-wifi
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=ether1-kpn name=vlan4-iptv vlan-id=4
add interface=ether1-kpn name=vlan6-internet vlan-id=6
add interface=ether5-wifi name=vlan100-ether5 vlan-id=100
add interface=ether2 name=vlan100_ether2 vlan-id=100
add interface=ether2 name=vlan200-ether2 vlan-id=200
add interface=ether5-wifi name=vlan200-ether5 vlan-id=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6-internet name=pppoe-out-kpn password=XXXX use-peer-dns=yes user=XXXX
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'10.13.13.255'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=vlan1 ranges=10.13.13.2-10.13.13.254
add name=vlan100-guests ranges=10.14.14.2-10.14.14.254
add name=vlan200-iot ranges=10.15.15.2-10.15.15.254
/ip dhcp-server
add address-pool=vlan1 disabled=no interface=bridge-lan name=vlan1-dhcp-server
add address-pool=vlan100-guests disabled=no interface=bridge-wifi-guests name=vlan100-guests-dhcp-server
add address-pool=vlan200-iot disabled=no interface=bridge-wifi-iot name=vlan200-iot-dhcp-server
/snmp community
add addresses=::/0 name=XXX
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5-wifi
add bridge=bridge-wifi-guests interface=vlan100-ether5
add bridge=bridge-wifi-iot interface=vlan200-ether5
add bridge=bridge-wifi-iot interface=vlan200-ether2
add bridge=bridge-wifi-guests interface=vlan100_ether2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=bridge-lan list=LAN
add interface=ether1-kpn list=WAN
add interface=pppoe-out-kpn list=WAN
/ip address
add address=10.14.14.1/24 interface=bridge-wifi-guests network=10.14.14.0
add address=10.15.15.1/24 interface=bridge-wifi-iot network=10.15.15.0
add address=10.13.13.1/24 interface=bridge-lan network=10.13.13.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-kpn
add default-route-distance=210 dhcp-options=option60-vendorclass disabled=no interface=vlan4-iptv use-peer-dns=no use-peer-ntp=no
/ip dhcp-server lease
add address=10.13.13.6 comment=KPN_iTVBOX dhcp-option-set=IPTV mac-address=00:02:9B:F7:99:3E server=vlan1-dhcp-server
/ip dhcp-server network
add address=10.13.13.0/24 dns-server=8.8.8.8 gateway=10.13.13.1
add address=10.14.14.0/24 dns-server=8.8.8.8 gateway=10.14.14.1
add address=10.15.15.0/24 dns-server=8.8.8.8 gateway=10.15.15.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input dst-address=224.0.0.0/4 in-interface=vlan4-iptv protocol=udp
add action=accept chain=input dst-address=224.0.0.0/4 in-interface=vlan4-iptv protocol=igmp
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="KPN IPTV" dst-address=213.75.112.0/21 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="KPN IPTV" dst-address=217.166.0.0/16 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=vlan4-iptv upstream=yes
add interface=bridge-lan
/snmp
set contact="XXXX" enabled=yes location="Far, far away!" trap-community=snmp
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=MT_TWEAKERS
/system ntp client
set enabled=yes primary-ntp=185.255.55.20 secondary-ntp=174.138.107.7 server-dns-names=""
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Vanavond ga ik proberen om de NTU eruit te laten en direct via SFP te connecten.

Succes en dank voor jullie hulp!

Edit: Je moet dus wel de IGMP Proxy Pack inladen in je Mikrotik natuurlijk.

[ Voor 0% gewijzigd door Verwijderd op 07-06-2020 19:19 . Reden: Kleine aanpassing. ]

zaterdag 7 maart 2020 10:35

Acties:
  • 0 Henk 'm!
  • DaLass
  • Registratie: Oktober 2001
  • Laatst online: 00:13

DaLass

Verwijderd schreef op vrijdag 6 maart 2020 @ 16:30:
Okay, vrouwlief meldt dat er geen uitval meer is geweest door de firewall regel, dus dat lijkt te werken allemaal. *O*

Hierbij mijn config, sommige irrelevante dingen (vpn, snmp), zijn weggelaten maar hiermee moet het werken:

.....

Vanavond ga ik proberen om de NTU eruit te laten en direct via SFP te connecten.

Succes en dank voor jullie hulp!

Edit: Je moet dus wel de IGMP Proxy Pack inladen in je Mikrotik natuurlijk.
Thanks, ik ga deze eens doornemen om te kijken hoe ik dit kan vertalen naar de EdgeRouter. 1 ding wat mij al direct opvalt is dat jij een apart VLAN voor je WiFi hebt. Daar moet ik denk ik maar eerst eens beginnen, aangezien TV het bij mij wel goed doet als ik mijn AP los haal.

Mijn advertenties op V&A

zaterdag 7 maart 2020 10:40

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Klopt, niet bewust daarom hoor, ik wil gewoon niet dat gasten overal bij kunnen. Idem met alle IoT apparaten.

zaterdag 7 maart 2020 10:49

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 22:44

Thralas

Je hebt echter geen enkele vorm van firewalling tussen die subnets geïmplementeerd.

zaterdag 7 maart 2020 13:34

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Thralas schreef op zaterdag 7 maart 2020 @ 10:49:
Je hebt echter geen enkele vorm van firewalling tussen die subnets geïmplementeerd.
Zie hier:
Hierbij mijn config, sommige irrelevante dingen (vpn, snmp), zijn weggelaten maar hiermee moet het werken:
Heb ze er wel in staan maar niet in de bovenste inderdaad. Thanks for the heads up in ieder geval.

zondag 7 juni 2020 19:01

Acties:
  • 0 Henk 'm!
  • rrsmaling
  • Registratie: Februari 2014
  • Laatst online: 12-09 19:06

rrsmaling

Config werkt perfect via spft :)

Echter nog een vraag? Hoe ipv6 activeren of aanzetten?

Weet iemand daar de gegevens van? 8)7

zondag 7 juni 2020 19:20

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Nope, maar dat zal je provider eerst moeten activeren lijkt me...

zondag 7 juni 2020 20:23

Acties:
  • 0 Henk 'm!
  • rrsmaling
  • Registratie: Februari 2014
  • Laatst online: 12-09 19:06

rrsmaling

hmmm jammer. kan er ook helemaal niks over vinden:(
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq