---

@Losty@ ha scritto:

Ehi @user109 - grazie per il suggerimento!

In realtà, non appena installo il pacchetto, le voci del menu sono lì… sfortunatamente non c’è ancora la TV in diretta…

Le istruzioni Init-7 sono piuttosto buone. Resta però la questione di cosa debba essere adattato per quanto riguarda Swisscom. Giusto per questo stiamo parlando della stessa cosa qui:
- Upstream-IF per il proxy IGMP in questo caso non è SFP1, ma la VLAN Swisscom (10)

Risposta: Ok, esatto.

- Server DNS, suppongo dovresti poter utilizzare anche il Mikrotik stesso, che poi utilizza il server DNS Swisscom impostato tramite DHCP e dovrebbe essere OK, giusto?

Risposta:

Ho predisposto un bridge per avere 2 aree di rete TV/Internet.

- Lo snooping IGMP non è attivato secondo queste istruzioni - presumo che sia piuttosto opzionale e probabilmente semplicemente non disponibile nella versione RouterOS di Init-7.

Risposta:

Ho provato lo snooping IGMP utilizzando la pura funzione di commutazione (nessuna TV in diretta neanche lì)

-Forse il problema è un’impostazione del firewall con la Live TV.

- Sottoreti alternative: sono questi i dettagli che fluttuano ancora qui nel forum: 224.0.0.0/4, 213.3.72.0/24 e 195.186.0.0/16? Quanto è importante questo? 0.0.0.0/0 da Inits-7 mi sembra TUTTO, ma non ho idea di come capirlo…

Risposta:

Gli indirizzi sono importanti per i server multi/unicast e TV.

- Guarda il firewall quando guardi la riproduzione e richiami le funzioni TV, poi questi indirizzi appariranno nel firewall.

…probabilmente è questo che distingue Swisscom.

Le istruzioni Init 7 non dicono nulla sul PIM. Ma per me penso di sì
if=registra pim IGMPv2
…e…
if=vlan-swisscom pim IGMPv2
…attivato dinamicamente - possibilmente. a causa della configurazione del proxy IGMP.

…non dovrebbe essere presente anche sul protocollo IGMP e IGMPv3? È possibile creare nuovi PIM con IGMPv3 per gli IF, ma sfortunatamente non aiuta.

Altrimenti posso ancora trovare il Rendevous Point 1.1.1.1. L’ho inserito anche in PIM -> RP (Group “0.0.0.0/0”, corretto?) Purtroppo non c’è ancora la TV in diretta…

Risposta: Sì, è corretto Rendevous Point 1.1.1.1, Group “0.0.0.0/0” o Multicast?, IGMPv3 è corretto, ma recentemente è possibile raggiungere un servizio DNS nella rete pubblica a questo indirizzo, ma io non so come SC abbia risolto questo problema (conflitto di indirizzi).

[https://community.swisscom.ch/t5/Archiv-Internet/Swisscom-TV-Mikrotik-VLAN/m-p/429550#M52119](https://community.swisscom.ch/t5/Archiv-Internet /Swisscom-TV-Mikrotik-VLAN/m-p/429550#M52119)

Altre idee?

Risposta: tutto sulla MT qui:

https://www.youtube.com/watch?v=UHyTbfC6Pys&list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3

https://mikrotik-forum.de/index.php

Puoi trovare qualcosa di utile nelle altre schede per proxy IGMP e PIM?

In qualche modo ho ancora paura che il firewall stia bloccando questi pacchetti multicast. Ho eseguito la parte del firewall seguendo le istruzioni di Init 7, ma la documentazione non è particolarmente dettagliata. C’è un modo per verificare se i pacchi arrivano?

Risposta: Sì, puoi sicuramente farlo con gli strumenti MT, anche Fastpath è un’opzione.

Il firewall si basa su tabelle IP ulteriori informazioni:

https://www.youtube.com/watch?v=3NBtrZxctbA&index=4&list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3

,Video di MAMMA:

https://www.youtube.com/watch?v=V9OIHKhosds

Ecco un altro collegamento al multicast:

https://de.slideshare.net/faisalr3za/mikrotik-multicast-routing-wwwimxpertco

---

                                                                            **>>>>>> IMPORTANTE<<<<<<<<**

Per informazioni:

Assicurarsi di aggiornare il firmware sul CCR 1009 a causa di questo problema:

[https://www.heise.de/security/melde/Cisco-Talos-deckt-riesiges-Router-und-NAS-Botnetz-auf-4056997.html](https://www.heise.de/security/ messaggio/Cisco-Talos-exposes-huge-router-and-NAS-botnet-4056997.html)

[https://www.heise.de/security/melde/Router-und-NAS-Botnetz-VPNFilter-FBI-kapert-Controlserver-4057613.html](https://www.heise.de/security/melde/ Router-e-NAS-Botnet-VPNFilter-FBI-hijacked-control-server-4057613.html)

https://forum.mikrotik.com/viewtopic.php?f=21&t=134776

Saluti Utente109

@Losty Non ci sono riuscito a causa dei limiti di tempo. Ma credo che con molta ricerca e pazienza troverai una soluzione.

Ora la cosa diventa interessante 🍿Perché è praticamente la prima cosa che mi sono chiesto riguardo ai server DNS di Cloudflare. L’RP non può più essere 1.1.1.1 e non verrà più dirottato nella rete Swisscom…

A proposito: consiglierei di NON seguire la guida Init-7. Viene fatto un grande sforzo per separare l’interfaccia con Swisscom TV dalle altre. Puoi certamente farlo e le istruzioni potrebbero anche essere di grande aiuto se vuoi bandire Swisscom TV nella sua VLAN, ma non è necessario semplicemente far funzionare Swisscom TV, quindi: mantienilo semplice, stupido!

La configurazione essenzialmente richiesta è in realtà molto semplice:

- presupponendo che Swisscom Internet funzioni e che sia installato il pacchetto Mikrotik Multicast/PIM!

- una regola firewall per consentire il passaggio dei pacchetti IGMP provenienti da Swisscom e dalla rete interna al router. Tutto il resto (traffico UDP,…) è ovviamente gestito correttamente dal consueto mascheramento NAT.

[admin@MikroTik] /ip firewall> filtra stampa
Flag: X - disabled, I - invalid, D - dinamico
[…]
4 chain=azione di input=accetta protocollo=igmp in-interface=bridg1 log=no
5 chain=azione di input=accetta protocollo=igmp in-interface=vlan-swisscom log=no
[…]

- un proxy IGMP (avviato;-)). Ho configurato le interfacce downstream come “tutte” - “bridge1” è stato quindi configurato automaticamente (Mikrotik dice “dinamico”). Questo è semplicemente il mio normale bridge al quale sono attaccati più o meno tutti i dispositivi…

[admin@MikroTik] /ip firewall> /routing dettaglio stampa interfaccia igmp-proxy
Flag: X - disabled, I - inattivo, D - dinamico, U - a monte
0 Interfaccia U=soglia vlan-swisscom=1 sottoreti-alternative=224.0.0.0/4.213.3.72.0/24.195.186.0.0/16 upstream=sì

1 interfaccia=tutte le soglie=1 alternative-subnets="" upstream=no

2 D interfaccia=bridge1 soglia=1 alternative-subnets="" upstream=no

Per me è sufficiente affinché il Swisscom TV inclusa la TV in diretta (multicast) funzioni su qualsiasi porta del bridge.

Ora puoi/dovresti attivare lo snooping IGMP sul bridge in modo che il traffico non venga distribuito su tutte le porte del bridge. Ciò ovviamente disabilita l’offload dell’hardware del bridge (…che dovrebbe avere un impatto minimo o nullo almeno su un CCR 1009…).

Non posso affermare di capire esattamente cosa sta succedendo fino all’ultimo dettaglio, ma questo è ciò che fa per me il multicast.

\=> Suggerimenti/commenti sono benvenuti!!!

Grazie per i tuoi consigli!

PS: Per migliorare la mia conoscenza del multicast e dell’IGMP ho dato una bella occhiata a questo canale YouTube: [https://www.youtube.com/channel/UC2xDUkd\_PuxDvhl4zQz67Aw/featured](https://www .youtube .com/channel/UC2xDUkd_PuxDvhl4zQz67Aw/featured). Quindi… se hai tempo… l’ho trovato molto ben preparato e piuttosto emozionante…

@lostcarrier Grazie per il feedback, lo configurerò in questo modo.

Sophos avrebbe bisogno di un proxy igmp. Qualcosa che viene sempre richiesto ma che non sembra essere implementato. Non puoi davvero arrivare da nessuna parte con la modalità PIM sparsa o densa.

[https://ideas.sophos.com/forums/17359-sg-utm/suggestions/185033-networking-add-igmp-proxy](https://ideas.sophos.com/forums/17359-sg-utm/ suggerimenti/185033-networking-add-igmp-proxy)

Anni fa ho visto un thread in cui qualcuno creava un igmpproxy per Astaro.

@Tux0ne

Se il router RP fosse noto per PIM-SM (una volta era 1.1.1.1), sarebbe possibile utilizzare immediatamente PIM-SM? Non capisco davvero questo protocollo. Altrimenti richiederei Wingo, consentono esplicitamente router di terze parti 😉

Ciò che funziona sul mio Sophos XG è attivare l’inoltro multicast e quindi definire gli inoltri statici:

Origine: 213.3.72.4

Ora legale: 239.186.x.x

Ma per fare questo devo impostare un inoltro statico per ciascun trasmettitore. Questo potrebbe essere fatto rapidamente con un programma tramite API, ma dovrebbe essere questa la soluzione?

Sì, chiedi Wingo. Una volta che si saranno veramente riscaldati, potranno rispondere alla mia domanda sulla MTU al 6° posto.

La risposta è stata che non possono fornire ulteriore supporto per router di terze parti rispetto a quello presente nella loro pagina di aiuto.

Tuttavia finora nemmeno Swisscom ha risposto alla richiesta riguardante MTU 😁

È sempre utile cercare Entertain TV. E se non c’è nemmeno una configurazione funzionante descritta da nessuna parte riguardo a Sophos e Multicast, allora le cose sembrano un po’ desolate.

Anche se in pratica sarebbe così facile con un sistema Linux. Tutto ciò di cui hai bisogno è il pacchetto igmpproxy esistente.

---

@Tux0ne ha scritto:

Sì, richiedi Wingo. Una volta che si saranno veramente riscaldati, potranno rispondere alla mia domanda sulla MTU al 6° posto.

La risposta è stata che non possono fornire ulteriore supporto per router di terze parti rispetto a quello riportato nella loro pagina di aiuto.

Anche se finora nemmeno Swisscom ha risposto alla richiesta riguardante MTU 😁

---

L’MTU non è 1480?

https://www.wingo.ch/de/help/article/view/30051

Ti ricontatterò non appena avrò una risposta

Sì, mi sono chiesto se fosse davvero così. Teoricamente non dovrebbero esserci problemi con PMTU. Apparentemente ci sono utenti Fritzbox che hanno, ad esempio, un MTU di 1480. www.ffs.ch non è accessibile, ma con 1472 sì. Da Swisscom è così. E Martin Gysi ha anche delle diapositive in cui imposta l’MTU su 1472, ovvero una raccomandazione sullo swinog.

Ma adesso tutti preferiscono fare lo struzzo piuttosto che semplicemente darsene una ragione.

I problemi che avevo ora sono stati risolti.

Ora utilizzo Zisa G100 come modem bridge ed eseguo pfSense sul mio dispositivo hardware Sophos. Ciò ha risolto anche il problema con PIM-SM perché posso utilizzare il proxy ipmg.

@Tux0ne

Ho testato con diversi MTU oggi. Purtroppo, come te, ho notevoli problemi con alcuni siti web a 1480, ma anche a valori più bassi.

Ora ho impostato l’MSS su 1460 e non ho toccato l’MTU. Quindi tutto sta andando molto bene. Ma onestamente, non sono sicuro di quali siano le conseguenze del cambiamento dell’MSS rispetto all’MTU.

Nessun problema, disponi di una connessione IPv6 nativa.

Il fatto di dover ridurre l’MSS indica un problema ICMP.

Che tipo di client ha un problema su quali pagine? Ciò influisce sia sull’IP legacy che sull’IP?

Bloccate anche l’ICMP in entrata o in uscita?

Per lo più ho testato solo con MacOS e poi con Chrome, Safari e Curl. Dovrei verificare se lo stack di rete di Windows si comporterebbe diversamente.

Con MTU standard 1480 o 1460 molte pagine (ipv6-test.com, sbb.ch, microsoft.com, post.ch,…) non sono accessibili e terminano con un timeout. Altri come google.com, microsoft.com,… ma funzionano.

Ho anche pensato che le pagine IPv4 non si caricassero correttamente (completamente). Se ricordo bene, spesso ci sono immagini, pubblicità,… Senza aver esaminato attentamente, può darsi che proprio queste cose si siano risolte dopo la v6 e quindi non abbiano funzionato.

ICMP è consentito solo LAN -> WAN (regola predefinita). ICMPv6 è completamente aperto in entrambe le direzioni (tutti i tipi).

Farò di nuovo il test oggi e guarderò i registri per vedere se qualcosa è bloccato.