[Fortinet] KPN/Telfort routed IPTV - Netwerken

zaterdag 26 september 2020 12:37

Acties:

0 Henk 'm!

Topicstarter

Iemand ervaring met een Fortinet Firewall en KPN/Telfort routed IPTV?

Voorheen had Fortinet geen ondersteuning om option 60 IPTV_RG mee te sturen daar is met FortiOS vanaf 6.4 verandering in gekomen.

Zelf heb ik Telfort en is nu het volgende actief:

Onder de WAN1 interface

1 VLAN interface telfortWAN op VLAN 34, DHCP
Deze krijgt netjes mijn normale WAN IP en internet werkt zonder problemen.

1. EMAC VLAN interface IPTVWAN op VLAN4 DHCP
Gebruik een EMAC interface omdat bij telfort zowel de WAN als IPTV via DHCP gaan, Fortinet stuurt op beide interfaces dezelfde MAC uit waardoor KPN 1 van de beide verbindingen dropt wanneer hij opkomt. Dit is niet het geval op moment dat het mac adres van een van de interfaces gewijzigd wordt. Bij een normale interface kan je dit niet wijzigen bij een EMAC wel.

code:

# config sys int
# edit <interface>
# set macaddr <MAC address>
# end

Vervolgens netjes option 60 meesturen met het DHCP request:

code:

config system interface
    edit IPTVWAN
        config client-options
            edit 1
                set code 60
                set type string
                set value IPTV_RG
            next
        end

Hierna heb je zowel op de telfortWAN als IPTVWAN netjes via DHCP een IP gekregen. So far so good.

Na het zetten van de juiste policy's werkt het internet zonder problemen. Krijg alleen het IPTV gedeelte nog niet aan de praat.

Multicast functionaliteit aangezet en daarbij behorende policy's maar dit lijkt nog maar weinig te doen.

Iemand ervaring met Multicast op Fortinet?

zaterdag 26 september 2020 15:36

Acties:

0 Henk 'm!

fabje

hoe staat je routering? Je moet als het goed is bij: monitor ->routing monitor 2 default routes (0.0.0.0/0) hebben

je moet zoals op netwerkje.com vind, moet er wat richting die IPTVWAN interface specifiek gerouteerd worden...

zaterdag 26 september 2020 16:45

Acties:

0 Henk 'm!

KernelPanic

Topicstarter

Dat heb ik gezien inderdaad ik routeer:

213.75.112.0/21
217.166.0.0/16

Richting mijn IPTVWAN (vlan 4) interface, en dit wordt ook in mijn policies toegestaan.
Vanuit de logging zie ook dat dit toegestaand wordt en over de juiste interface naar buiten gaat.

Verder heb ik aan mijn normale dhcp server op mijn interne netwerk dan ook de option 60 IPTV_RG toegevoegd en broadcast adress (option 28)

De IPTV ontvanger start door tot 85% met een 561 foutmelding

[ Voor 28% gewijzigd door KernelPanic op 26-09-2020 16:50 ]

zaterdag 26 september 2020 20:23

Acties:

0 Henk 'm!

fabje

heb je op je interne LAN bij dhcp-server ook optie 60 IPTV_RG en optie 28 192.168.1.255 (broadcast-adress van je interne LAN) staan?
foutmelding 561 (volgens telfort) betekend " verkeerd IP-adres...

wat heb je ingevuld bij netwerk -> multicast?
probeer het eens met "Static Rendezvous Points" nieuwe entry van 213.75.119.1
En bij interface je interne LAN in "sparse" mode.

info van kpn forum

[ Voor 5% gewijzigd door fabje op 26-09-2020 20:29 . Reden: aanvulling... ]

zondag 27 september 2020 12:56

Acties:

0 Henk 'm!

KernelPanic

Topicstarter

Yes op mijn interne lan staan zowel de IPTV_RG als het broadcast adres.

Na een software reset op de IPTV ontvanger krijg ik nu een 301 foutmelding dat hij de software niet kan ophalen.

Vreemd is dat ik de logging alleen een DNS request zie van de IPTV ontvanger en verder komt niets voorbij (logging voor alles staat aan).

RP staat op : 213.75.119.1

[ Voor 4% gewijzigd door KernelPanic op 27-09-2020 13:04 ]

zondag 27 september 2020 16:49

Acties:

0 Henk 'm!

fabje

En behalve multicast policies, heb je ook standaard fw regels gemaakt richting je IPTVWAN. En staat daar NAT aan? En hoe staat je fw regel ingesteld? Meen dat je vanaf 6.2.x ergens op de fw-regel kan kiezen tussen flow of proxy mode?
(Excusses voor de lay-out. Zit op telefoon)

zondag 27 september 2020 21:49

Acties:

0 Henk 'm!

kosz

Ik zou je graag helpen, maar ik kan het hier niet reproduceren door gebrek aan iptv (heb ziggo)
Om in de juiste richting te zoeken zou ik de suggestie van @fabje aanhouden : https://kpn.gebruikers.eu/forum/viewthread.php?thread_id=3899

Ik mis in je verhaal hoe je gebruik maakt van PIM-SP, verwijst naar het rendezvouzpoint (RP) en IGMP

https://docs2.fortinet.co...uration-using-a-static-rp

dinsdag 29 september 2020 11:07

Acties:

0 Henk 'm!

KernelPanic

Topicstarter

Ja ik heb Multicast policies staan, daarnaast ook standaard fw regels die deze traffic toestaan.
En routering die het over de juiste interface naar buiten stuurt.

Nat staat aan.

Wel had ik in eerste instantie mijn dns op cloudflare staan, dit lijkt niet te werken ivm update van de IPTV box.
https://forum.kpn.com/int...t-eigen-dns-server-501339

Dit aangepast richting KPN DNS dit maakte tot nu geen verschil.

Verder zie ik dat men overal een classless-static-route request doet op het IPTV vlan. Dit lijkt aan mijn kant nog niet te werken, via DHCP request krijg ik een default GW, maar verder dan dat krijg ik geen routes aangeboden. Het kan daardoor zijn dat het verkeer naar een verkeerd adres gerouteerd wordt?

Voor het PIM-SP verhaal heb ik inmiddels al zoveel geprobeerd, dat ik de boel even wegpoets en op basis van het voorbeeld nog eens een poging doe.

dinsdag 29 september 2020 12:00

Acties:

+1 Henk 'm!

Ascension

Heb dit sinds kort werkend op mijn Fortigate icm XS4ALL (IPTV is hetzelfde als bij Telfort/KPN vermoed ik).

- VLAN4 aangemaakt met IPTV_RG DHCP-optie, dit heb je al gedaan zie ik. Receive default gateway aangezet maar met een hoge administrative distance zodat deze niet actief wordt.

- Statische route aangemaakt naar 213.75.112.0/21 via VLAN4-interface met dynamic gateway optie (daarom receive default gw aangezet zodat ie automatisch de next-hop kan "leren").

- Multicast firewall policy met allow all van intern naar IPTV-VLAN4 met SNAT (allow all)
- Multicast firewall policy van IPTV-VLAN4 naar intern (allow all)

- Normale firewall rule voor intern naar IPTV-VLAN4 met SNAT (allow all)

- Multicast routing moet nadrukkelijk uitstaan, de Fortigate moet namelijk geen PIM e.d. doen maar alleen IGMP requests forwarden en de multicast streams doorzetten naar je interne VLAN

- Heb nog de optie:
config system settings
set multicast-ttl-notchange enable

Aangezet. Eigenlijk niet getest of deze ook echt nodig is.

Succes! Werkt bij mij perfect hier.

dinsdag 29 september 2020 12:16

Acties:

0 Henk 'm!

KernelPanic

Topicstarter

Ascension schreef op dinsdag 29 september 2020 @ 12:00:
- Multicast routing moet nadrukkelijk uitstaan, de Fortigate moet namelijk geen PIM e.d. doen maar alleen IGMP requests forwarden en de multicast streams doorzetten naar je interne VLAN

Top, deze heeft bij mij eigenlijk vrijwel altijd aangestaan, de rest is vrijwel gelijk als bij mij.
XS4all is vrijwel gelijk als telfort doet alleen DHCP ipv PPPoe.

Vanavond maar even proberen

dinsdag 29 september 2020 14:22

Acties:

0 Henk 'm!

KernelPanic

Topicstarter

Nu exact hetzelfde staan als Ascension:

-VLAN4 aangemaakt met IPTV_RG DHCP-optie, dit heb je al gedaan zie ik. Receive default gateway aangezet maar met een hoge administrative distance zodat deze niet actief wordt.

Check

- Statische route aangemaakt naar 213.75.112.0/21 via VLAN4-interface met dynamic gateway optie (daarom receive default gw aangezet zodat ie automatisch de next-hop kan "leren").

Check

- Multicast firewall policy met allow all van intern naar IPTV-VLAN4 met SNAT (allow all)
- Multicast firewall policy van IPTV-VLAN4 naar intern (allow all)

Check

- Normale firewall rule voor intern naar IPTV-VLAN4 met SNAT (allow all)

Check

- Multicast routing moet nadrukkelijk uitstaan, de Fortigate moet namelijk geen PIM e.d. doen maar alleen IGMP requests forwarden en de multicast streams doorzetten naar je interne VLAN

Check, dit maakte verschil aangezien ik nu wel netjes broadcast verkeer voorbij zie komen in mijn logs. Voorheen was dit niet het geval.

In de Multicast logs zie ik nu dat hij verkeer uitstuurt, ook over de juiste interface en de firewall staat het toe. Er komt echter nog geen verkeer terug.

dinsdag 29 september 2020 16:00

Acties:

0 Henk 'm!

Ascension

In mijn multicast logs zie ik ook niks van het IPTV verkeer terug, terwijl het wel gewoon werkt. Start je receiver nu wel normaal op?

dinsdag 29 september 2020 18:46

Acties:

0 Henk 'm!

KernelPanic

Topicstarter

Nee bij starten stopt hij na 85% na het succesvol activeren van de configuratie.

Indien ik hem opstart terwijl hij aan de experia zit en hem daarna wissel richting fortigate. Dan krijg ik wel beeld.

Dat je het in de logging ziet heeft waarschijnlijk te maken dat je multicast/broadcast logging expliciet aan moet zetten onder je log settings.

dinsdag 1 december 2020 20:15

Acties:

0 Henk 'm!

P88K

Heeft iemand het nog voor elkaar gekregen?

Ik heb nu de stappen gevolgd zoals beschreven door Ascension maar krijg helaas nu alleen beeld bij NL 1,2 en 3.
De overige zenders leveren zwart beeld en geen foutmelding. Ik zie het multicast verkeer wel netjes terug in de Multicast log in de FortiGate
Ook gespeeld met IGMP snooping op de internal interface en VLAN maar helaas blijft het resultaat hetzelfde.

dinsdag 1 december 2020 20:27

Acties:

0 Henk 'm!

KernelPanic

Topicstarter

Ben er zelf nog niet mee verder gegaan, op het kpn forum hier

Staat als het goed is ook een werkende config gepost met nog wat meer informatie. Nog niet getest.

woensdag 2 december 2020 12:35

Acties:

0 Henk 'm!

P88K

Ik heb dezelfde config als in die post (ik had het KPN forum ook al gezien:))
Alleen zie ik niet wat er aan de interne kant geconfigureerd is.
Wellicht iets met IGMP snooping?