@Losty vous devez installer un package supplémentaire sur le CCR1009. https://microtik.com/download.

À PIM & co. pour pouvoir utiliser.

Vos messages d’erreur proviennent certainement de la multidiffusion. J’ai RB2011UiAS-RM et hAP ac à la maison.

Je ne suis pas encore allé plus loin que toi.

Peut-être que cela vous aidera :[https://www.init7.net/de/support/routerinfos/microtik\_tv7\_d.pdf](https://www.init7.net/de/support/routerinfos/microtik_tv7_d. pdf)

Il faut ensuite adapter cela au SC-TV.

Paramètres:

[https://community.swisscom.ch/t5/Swisscom-TV/pfsense-gt-zyxel-gt-linksys-gt-TV/m-p/534164#M36045] (https://community.swisscom.ch/t5/Swisscom-TV/pfsense-gt-zyxel-gt-linksys-gt-TV/m-p/534164#M36045)

---

@Losty@ a écrit :

Hé @user109 - merci pour le conseil !

En fait, dès que j’installe le package, les éléments du menu sont là… malheureusement pas encore de live TV…

Les instructions Init-7 sont plutôt bonnes. Reste toutefois la question de savoir ce qui doit être adapté du côté de Swisscom. Juste pour ça, nous parlons de la même chose ici :
- Upstream-IF pour le proxy IGMP n’est pas ici SFP1, mais le Swisscom VLAN (10)

Réponse : D’accord, c’est vrai.

- Serveur DNS, vous devriez également pouvoir utiliser le Mikrotik lui-même, je suppose, qui utilise ensuite le serveur DNS Swisscom défini via DHCP et cela devrait être OK, n’est-ce pas ?

Réponse :

J’ai mis en place un pont pour avoir 2 zones réseau TV/Internet.

- La surveillance IGMP n’est pas activée conformément à ces instructions - je suppose que cela est plutôt facultatif et probablement tout simplement non disponible dans la version RouterOS d’Init-7.

Réponse :

J’ai essayé la surveillance IGMP en utilisant la fonction pure switch (pas de télévision en direct là-bas non plus)

-Le problème vient peut-être d’un paramètre de pare-feu avec Live TV.

- Sous-réseaux alternatifs - sont-ce les détails qui flottent encore ici dans le forum : 224.0.0.0/4, 213.3.72.0/24 et 195.186.0.0/16 ? Dans quelle mesure est-ce important ? 0.0.0.0/0 d’Inits-7 me semble TOUT - mais je ne sais pas comment comprendre cela…

Réponse :

Les adresses sont importantes pour les serveurs multi/unicast et TV.

- Surveillez le pare-feu lorsque vous regardez des replays et appelez les fonctions TV, ces adresses apparaissent alors dans le pare-feu.

…c’est probablement ce qui est différent chez Swisscom.

Les instructions Init 7 ne disent rien sur PIM. Mais pour moi je le pense
if=enregistrer pim IGMPv2
…et…
if=vlan-swisscom pim IGMPv2
… activé dynamiquement - éventuellement. en raison de la configuration du proxy IGMP.

… cela ne devrait-il pas également être sur les protocoles IGMP et IGMPv3 ? Créer de nouveaux PIM avec IGMPv3 pour les IF est possible, mais malheureusement cela n’aide pas.

Sinon je trouve toujours le Point Rendevous 1.1.1.1. Je l’ai également saisi sous PIM -> RP (Group “0.0.0.0/0”, n’est-ce pas ?) Malheureusement, il n’y a toujours pas de télévision en direct…

Réponse : Oui, c’est correct Rendevous Point 1.1.1.1, Group “0.0.0.0/0” ou Multicast ?, IGMPv3 est correct, mais depuis peu, un service DNS du réseau public est accessible à cette adresse, mais je Je ne sais pas comment SC a résolu ce problème (régler le conflit).

[https://community.swisscom.ch/t5/Archiv-Internet/Swisscom-TV-Mikrotik-VLAN/m-p/429550#M52119](https://community.swisscom.ch/t5/Archiv-Internet /Swisscom-TV-Mikrotik-VLAN/m-p/429550#M52119)

Plus d’idées ?

Réponse : Tout sur MT ici :

https://www.youtube.com/watch?v=UHyTbfC6Pys&list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3

https://mikrotik-forum.de/index.php

Pouvez-vous trouver quelque chose d’utile dans les autres onglets pour le proxy IGMP et le PIM ?

J’ai toujours peur que le pare-feu bloque ces paquets multicast. J’ai fait la partie pare-feu à partir des instructions d’Init 7, mais la documentation n’est pas particulièrement détaillée. Existe-t-il un moyen de vérifier si les colis transitent ?

Réponse : Oui, vous pouvez certainement le faire avec les outils MT, Fastpath est également une option.

Le pare-feu est basé sur des tables IP plus d’informations :

https://www.youtube.com/watch?v=3NBtrZxctbA&index=4&list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3

, MAMAN Vidéos :

https://www.youtube.com/watch?v=V9OIHKhosds

Voici un autre lien vers la multidiffusion :

https://de.slideshare.net/faisalr3za/mikrotik-multicast-routing-wwwimxpertco

---

                                                                            **>>>>>> IMPORTANT<<<<<<<<**

Pour info :

Veuillez vous assurer de mettre à jour le micrologiciel du CCR 1009 pour cette raison :

[https://www.heise.de/security/melde/Cisco-Talos-deckt-riesiges-Router-und-NAS-Botnetz-auf-4056997.html](https://www.heise.de/security/ message/Cisco-Talos-expose-un-énorme-routeur-et-un-botnet-NAS-4056997.html)

[https://www.heise.de/security/melde/Router-und-NAS-Botnetz-VPNFilter-FBI-kapert-Controlserver-4057613.html](https://www.heise.de/security/melde/ Routeur-et-NAS-Botnet-VPNFilter-FBI-piraté-control-server-4057613.html)

https://forum.mikrotik.com/viewtopic.php?f=21&t=134776

Salutations utilisateur109

@Losty J’ai échoué à cause de contraintes de temps. Mais je pense qu’avec beaucoup de recherche et de patience, vous trouverez une solution.

Maintenant, ça devient intéressant 🍿Parce que c’est à peu près la première chose que je me suis posée à propos des serveurs DNS Cloudflare. Le RP ne peut plus être 1.1.1.1 et ne sera plus détourné dans le réseau Swisscom…

BTW : je recommanderais de NE PAS suivre le guide Init-7. Beaucoup d’efforts sont déployés pour séparer l’interface avec le Swisscom TV des autres. Vous pouvez certainement le faire et les instructions peuvent également être d’une grande aide si vous souhaitez bannir le Swisscom TV sur son propre VLAN, mais il n’est pas nécessaire de simplement faire fonctionner le Swisscom TV, donc : restez simple, stupide !

La configuration essentiellement requise est en fait très simple :

- si Swisscom Internet fonctionne et que le package Mikrotik Multicast/PIM est installé !

- une règle de pare-feu pour permettre aux paquets IGMP de Swisscom et du réseau interne de passer jusqu’au routeur. Tout le reste (trafic UDP,…) est évidemment géré correctement par le masquage NAT habituel.

[admin@MikroTik] /ip pare-feu> filtre d’impression
Indicateurs : X - disabled, I - invalid, D - dynamique
[…]
4 chaîne = entrée action = accepter protocole = igmp in-interface = bridg1 log = non
5 chaîne = entrée action = accepter protocole = igmp in-interface = vlan-swisscom log = non
[…]

- un proxy IGMP (démarré ;-)). J’ai configuré les interfaces en aval comme “toutes” - “bridge1” a donc été configuré automatiquement (Mikrotik dit “dynamique”). C’est simplement mon pont normal auquel plus ou moins tous les appareils sont connectés…

[admin@MikroTik] /ip pare-feu> /routage détail d’impression de l’interface igmp-proxy
Indicateurs : X - disabled, I - inactif, D - dynamique, U - en amont
0 U interface = seuil vlan-swisscom = 1 sous-réseaux alternatifs = 224.0.0.0/4,213.3.72.0/24,195.186.0.0/16 en amont = oui

1 interface=tous seuil=1 alternative-subnets="" amont=non

interface 2D=bridge1 seuil=1 alternative-subnets="" amont=non

Pour moi, cela suffit pour que le Swisscom TV, y compris la télévision en direct (multidiffusion), fonctionne sur n’importe quel port du pont.

Vous pouvez/devez désormais activer la surveillance IGMP sur le pont afin que le trafic ne soit pas distribué sur tous les ports du pont. Cela désactive évidemment le déchargement matériel du pont (… ce qui devrait avoir peu ou pas d’impact sur au moins un CCR 1009…).

Je ne peux pas prétendre comprendre exactement ce qui se passe dans les moindres détails, mais c’est ce que le multicast fait pour moi.

\=> Conseils/commentaires bienvenus !!!

Merci pour vos conseils !

PS : Afin d’améliorer mes connaissances en multicast et IGMP, j’ai bien regardé cette chaîne YouTube : [https://www.youtube.com/channel/UC2xDUkd\_PuxDvhl4zQz67Aw/featured](https://www .youtube .com/channel/UC2xDUkd_PuxDvhl4zQz67Aw/featured). Alors… si vous avez le temps… J’ai trouvé ça très bien préparé et assez excitant…

@lostcarrier Merci pour vos commentaires, je vais le configurer de cette façon.

Sophos aurait besoin d’un proxy igmp. Quelque chose qui est toujours demandé mais qui ne semble pas être mis en œuvre. Vous ne pouvez pas vraiment aller nulle part avec le mode clairsemé ou dense PIM.

[https://ideas.sophos.com/forums/17359-sg-utm/suggestions/185033-networking-add-igmp-proxy](https://ideas.sophos.com/forums/17359-sg-utm/ suggestions/185033-networking-add-igmp-proxy)

Il y a des années, j’ai vu un fil de discussion dans lequel quelqu’un avait créé un proxy igmp pour Astaro.

@Tux0ne

Si le routeur RP était connu pour PIM-SM (c’était autrefois 1.1.1.1), serait-il alors possible d’utiliser PIM-SM immédiatement ? Je ne comprends pas vraiment ce protocole. Sinon, je demanderais Wingo, ils autorisent explicitement les routeurs tiers 😉

Ce qui fonctionne sur mon Sophos XG, c’est d’activer le transfert multicast, puis de définir des transferts statiques :

Src : 213.3.72.4

Heure d’heure : 239.186.x.x

Mais pour ce faire, je dois configurer un transfert statique pour chaque émetteur. Cela pourrait être fait rapidement avec un programme via API, mais est-ce que cela devrait être la solution ?

Oui, veuillez demander Wingo. Une fois qu’ils se seront vraiment échauffés, ils pourront répondre à ma demande sur MTU en 6ème.

La réponse était qu’ils ne peuvent pas fournir plus de support pour les routeurs tiers que ce qui est indiqué sur leur page d’aide.

Mais même Swisscom n’a pas encore répondu à la demande concernant le MTU 😁

Il est toujours utile de rechercher Entertain TV. Et s’il n’y a même pas de configuration fonctionnelle décrite quelque part concernant Sophos et Multicast, alors les choses semblent un peu sombres.

Même si ce serait fondamentalement si simple avec un système Linux. Tout ce dont vous avez besoin est le package igmpproxy existant.

---

@Tux0ne a écrit :

Oui, veuillez demander Wingo. Une fois qu’ils se seront vraiment échauffés, ils pourront répondre à ma demande sur MTU en 6ème.

La réponse était qu’ils ne peuvent pas fournir plus de support pour les routeurs tiers que ce qui est indiqué sur leur page d’aide.

Mais même Swisscom n’a pas encore répondu à la demande concernant le MTU 😁

---

Le MTU n’est-il pas 1480 ?

https://www.wingo.ch/de/help/article/view/30051

Je vous répondrai dès que j’aurai une réponse

Oui, je me demandais si c’était vraiment le cas. Théoriquement, il ne devrait pas y avoir de problème avec PMTU. Apparemment, certains utilisateurs de Fritzbox ont par exemple un MTU de 1480. www.sbb.ch n’est pas accessible, mais avec le 1472, vous le pouvez. C’est ainsi chez Swisscom. Et Martin Gysi a aussi des diapositives où il a fixé le MTU à 1472, ou une recommandation sur swinog.

Mais maintenant, tout le monde préfère faire l’autruche plutôt que de simplement donner une raison.

Les problèmes que j’avais sont maintenant résolus.

Maintenant, j’utilise le Zisa G100 comme modem pont et j’exécute pfSense sur mon appliance matérielle Sophos. Cela a également résolu le problème avec PIM-SM car je peux utiliser le proxy ipmg.

@Tux0ne

J’ai testé avec différents MTU aujourd’hui. Malheureusement, comme vous, j’ai des problèmes importants avec certains sites à 1480, mais aussi à des valeurs plus basses.

J’ai maintenant réglé le MSS sur 1460 et je n’ai pas touché au MTU. Donc tout se passe très bien. Mais honnêtement, je ne suis pas sûr des conséquences du changement du MSS par rapport au MTU.

Pas de problème, disposez d’une connexion IPv6 native.

Le fait que vous ayez dû réduire le MSS indique un problème ICMP.

Quel type de client a un problème sur quelles pages ? Cela affecte-t-il l’ancienne IP ainsi que l’IP ?

Bloquez-vous également ICMP entrant ou sortant ?

J’ai principalement testé uniquement avec MacOS et là avec Chrome, Safari et curl. Je devrais tester si la pile réseau Windows se comporterait différemment.

Avec le MTU standard, 1480 ou 1460, de nombreuses pages (ipv6-test.com, sbb.ch, microsoft.com, post.ch,…) ne sont pas accessibles et se terminent par un timeout. D’autres comme google.com, microsoft.com,… mais fonctionnent.

Je pensais même que les pages IPv4 ne se chargeaient pas correctement (complètement). Si je me souviens bien, il y a souvent des images, des publicités,… Sans l’avoir examiné de près, il se pourrait que justement ces choses se soient résolues après la v6 et n’aient donc pas fonctionné.

ICMP n’est autorisé que LAN -> WAN (règle par défaut). ICMPv6 est complètement ouvert dans les deux sens (tous les types).

Je vais tester à nouveau aujourd’hui et regarder les journaux pour voir si quelque chose est bloqué.