Mikrotik

[Alex68]

Alex68, У меня после Микротика ещё будет стоять микротиковский свитч, а в нём приставка.
Как лучше приставку в локалке обгородить вланами или пофигу?
Я имею в виду настройку igmp proxy, где я указываю сеть провайдера и свою сеть.
Можно указать сбриджеванные внутренние порты, в одном из которых свитч, а можно повесить на порт со свичем влан, на котором будет висеть приставка и указать интерфейс влана.

А не все равно? Я бы через влан сделал, наверное :)

[TheBest]

Alex68, Не сильно знаком с igmp.
Он мне сетку не засрёт? :) Вот отсюда и мысли про влан.

[Alex68]

Alex68, Не сильно знаком с igmp.
Он мне сетку не засрёт? :) Вот отсюда и мысли про влан.

Я особо в этом направлении не смотрел. Но вроде как гугл говорит о том, что IGMP Snooping микротик не поддерживает, т.е. таки да, засрет сетку :) Поэтому лучше на отдельный vlan
P.S. могу ошибаться
Но я бы сначала настроил без вланов и тупо посмотел сниффером на других машинках трафик, засирается ли он

[TheBest]

Alex68, ТВ вроде бы допилил.
Приедет кошерный свитч - точно приставку в влан сошлю.

[TheBest]

Опять мучаю техподдержку и интернет:
ТВ работает, но есть непонятки.
Routing - igmp proxy.
add interface=ether3 - моя приставка
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
Сначала в alternative-subnets прописал конкретные сети, которые сказал провайдер, но мне тактично намекнули, что сети могут меняться. Исправил на 0.0.0.0/0
Т.е. на интерфейс провайдера будет отправляться весь сгенерированный приставкой трафик.
ip моего роутера в сети провайдера будет являться источников всех igmp пакетов от моей локалки.

Добавляю правила в файрвол фильтр.
chain=input action=accept protocol=igmp - тут сначала тоже указал src-address-list, но похоже придётся отломать.
И chain=input action=accept protocol=udp dst-port=...

Два вопроса, всё ли правильно?
И второй, видел в инетах документации где chain=forward action=accept protocol=udp dst-port=...
Кто может подсказать, как правильнее? Имхо, если мой роутер igmp proxy, то логичнее chain=input, как и igmp трафик.

[healer]

TheBest, я тоже долго мычался с настройка igmp proxy и на Ситикоме и на Ростелекоме и безрезультатно.
В конечном итоге поднял IGMP Proxy на ONT терминале от Ростелекома и успокоился.

[TheBest]

healer, В том-то и дело, что у меня всё заработало. Просто есть некоторые косметические моменты.

[Den_S]

У меня так:
/routing igmp-proxy interface
add alternative-subnets=10.0.0.0/8,172.16.0.0/12 interface=WAN1 upstream=yes
add interface=bridge1

add chain=input connection-state=established,related,new dst-address=224.0.0.0/4 dst-port=5510,1234 in-interface=WAN1 protocol=\
udp src-address=172.16.0.0/12
add chain=forward connection-state=established,related,new dst-address=224.0.0.0/4 dst-port=5510,1234 in-interface=WAN1 protocol=\
udp src-address=172.16.0.0/12
add chain=input in-interface=WAN1 protocol=igmp

[TheBest]

Den_S,

[healer]

У меня так:
/routing igmp-proxy interface
add alternative-subnets=10.0.0.0/8,172.16.0.0/12 interface=WAN1 upstream=yes
add interface=bridge1

add chain=input connection-state=established,related,new dst-address=224.0.0.0/4 dst-port=5510,1234 in-interface=WAN1 protocol=\
udp src-address=172.16.0.0/12
add chain=forward connection-state=established,related,new dst-address=224.0.0.0/4 dst-port=5510,1234 in-interface=WAN1 protocol=\
udp src-address=172.16.0.0/12
add chain=input in-interface=WAN1 protocol=igmp

Хотя бы написал для какого провайдера.
Хотя догадываюсь.

[Den_S]

healer, Ситиком

[TheBest]

Я только одно не понимаю, смысл ограничивать сети провайдера? Если бы знать точные адреса серверов, то да, а так имхо смысла нет.

И вот это немного непонятно dst-address=224.0.0.0/4. Из этой сети Ситиком назначил адрес роутеру? Я не ограничивал dst-address. Посчитал, что провайдерское железо может конкретно мне мой трафик отправить.

[Den_S]

TheBest, 224.0.0.0/4 это мультикаст сеть. Таким образом ты разрешаешь входящие upd только мультикастовые, а не все возможные входящие upd соединения

[TheBest]

Мне провайдер выдал текущие подсети, но сразу сказал, что они могут меняться.
Я и решил гайки не закручивать.

[Den_S]

224.0.0.0/4 это зарезервированная мультикастовая подсеть. Она никуда не денется и не поменяется

[TheBest]

224.0.0.0/4 это зарезервированная мультикастовая подсеть. Она никуда не денется и не поменяется

Т.е. любой провайдер для мультикаста будет задействовать только эту сеть?

[TheBest]

Den_S, И зачем udp и forward и input?
Ведь роутер настроен как igmp proxy и я думал, что только input. Во всяком случае, у меня сейчас так.

[healer]

224.0.0.0/4 это зарезервированная мультикастовая подсеть. Она никуда не денется и не поменяется

Я бы не был столь категоричным.

[TheBest]

Если я получил от провайдера сети мультикаста и сети источников (я так понимаю, что сетей, откуда идёт вещание), то как мне правильно настроить роутер?
igmp наружу на все эти сети, на вход igmp от всех сетей, udp от мультикаста?

[Den_S]

Т.е. любой провайдер для мультикаста будет задействовать только эту сеть?

да

И зачем udp и forward и input?

в моем случае без forward не работало

Если я получил от провайдера сети мультикаста и сети источников (я так понимаю, что сетей, откуда идёт вещание), то как мне правильно настроить роутер?
igmp наружу на все эти сети, на вход igmp от всех сетей, udp от мультикаста?

входящий IGMP со стороны физического интерфейса прова разрешить
входящий udp (порт(ы) назначения можно указать) со стороны физ.инт., где адрес источника (сети вещания, или вообще не указывать, тк может меняться), адрес назначения 224.0.0.0/4

правило forward я писал, потому что без него не работало. Правило такое же как и для входящих UDP.
по мне так чуток безопаснее, чем input-udp-accept

[TheBest]

Den_S, В том-то и дело, что хочется ограничить трафик и принимать только трафик с ТВ сетей провайдера.
Вот и думаю, разный трафик идёт с разных сетей или тупо разрешить со всех и не париться.

[Den_S]

TheBest, а кто у тебя провайдер?

[TheBest]

Den_S, Ростелеком.
А какая принципиальная разница? Только сети другими будут.

[Den_S]

Сделай ты так и не парься, только src-address-сеть вещания ростелеком, dst-port-соответственно, in-interface - интерфейс, смотрящий в сеть првайдера

add chain=input connection-state=established,related,new dst-address=224.0.0.0/4 dst-port=5510,1234 in-interface=WAN1 protocol=\
udp src-address=172.16.0.0/12
add chain=forward connection-state=established,related,new dst-address=224.0.0.0/4 dst-port=5510,1234 in-interface=WAN1 protocol=\
udp src-address=172.16.0.0/12
add chain=input in-interface=WAN1 protocol=igmp

[Den_S]

неплохо работает)

[pinkmouse]

Den_S, 8-[] когда обновлял?!

[Den_S]

pinkmouse, В смысле? Как привезли железу в контору, обновили до 6.27, настроили так она и работает по сей день)

[TheBest]

Наткнулся на интересную штуку.
Есть роутер RB951G-2HnD. Цепляюсь мобилой на его wifi, запускаю спидтест и вижу скорость около 10М.
Как так? :) Скорость провайдера явно выше.
Проверял на двух разных мобилах.

[pinkmouse]

TheBest, ну, я разок в настройке B\G поставил

[TheBest]

pinkmouse, Тоже об этом думал и проверил. :)
бгн