Настройка iptv ростелеком mikrotik
Настраиваем IPTV через IGMP Proxy
Это самый сложный вариант и он, к счастью, встречается достаточно редко. Но всё же встречается. В этом случае мультикаст-поток транслируется в общем канале с Интернет-трафиком и чтобы его оттуда вычленить, нужно правильно настроить работу IGMP Proxy.
Начинаем с того, что необходимо обновить версию программного обеспечения роутера. На момент написания статьи самая последняя стабильная версия RouterOS 6.48.2. Открываем раздел меню «System» → «Packages» → «Check for updates» и в появившемся окне нажимаем кнопку «Download & Install». Устройство скачает прошивку, установит её и перезагрузится.
После этого нам надо будет расширить функционал роутера Микротик за счёт установки пакета с мультикастом. Для этого идём на официальный сайт и там для своей версии прошивки качаем расширенный набор — Extra packages.
Скачиваем файл с программным обеспечением и распаковываем архиватором. Нас интересует пакет multicast-****.npk . Чтобы установить его в наш Mikrotik, надо в Winbox’е открыть раздел меню Files и прямо мышкой перетащить туда пакет, как показано на скриншоте:
Перезагружаем маршрутизатор через раздел меню «System» → «Reboot». Пакет будет установлен в системе.
После перезагрузки открываем раздел меню Routing → IGMP Proxy.
Здесь на вкладке Interfaces надо добавить WAN-порт (который Ether1) как входящий интерфейс для IPTV. Нажимаем кнопку с плюсом.
Выбираем «Ether1» в поле «Interface».
В поле «Alternative Subnets» прописываем подсеть 0.0.0.0/0 и ставим галочку «Upstream».
Нажимаем на кнопку «ОК». В списке интерфейсов появится новая строчка:
После этого надо создать второе правило для Downstream. В поле «Interface» нужно выбрать «All». А галку «Upstream» не ставим.
Следующий шаг — это создание правил для фаервола. Открываем раздел IP → Firewall. и нажимаем на кнопку с плюсом:
Нам надо создать правило «Chain» → «Forward» для протокола UDP и входящего интерфейса Ether1 . Нажимаем на кнопку «ОК» и повторяем всё то же самое для протокола IGMP :
В списке правил появятся наши новые разрешающие с зелёными галочками. Их надо будет по очереди мышью перетащить выше запрещающих.
Следующим этапом мы закроем трансляцию мультикаста в беспроводную сеть, так как ТВ-приставка у нас подключается кабелем.
Открываем раздел Bridge и на вкладке Filters нажимаем на плюс:
В открывшемся окне на вкладке «General» надо в поле «Chain» поставить значение «output».
Ниже, в поле «Out.Interface» выбираем беспроводную сеть «wlan1».
Переходим на вкладку «Advanced»:
Здесь в списке Packet Type выбираем мультикаст и переходим на вкладку «Action».
Тут в поле «Action» ставим значение «drop» и нажимаем кнопку «ОК».
Чтобы настроить IPTV на Микротике для тех провайдеров, у которых для доступа в Интернет используется протокол PPPoE, необходимо добавить ещё один IP-интерфейс. Для этого идёт в раздел IP и нажимаем кнопку с плюсом.
Я рассматриваю настройку IPTV на Mikrotik для Ростелеком и потому буду использовать подсеть 1.0.0.1/30. Она рекомендуется техподдержкой. Для других операторов необходимо будет уточнить этот момент в техподдержке. Нажимаем на кнопку «OK».
В списке IP-интерфейсов появилась ещё одна строчка. Теперь можно подключать приставку и проверять работу цифрового интерактивного телевидения.
Запись опубликована 21 июня 2021 автором XasaH в рубрике Прочее с метками igmp proxy, IPTV, mikrotik, vlan.
Использование RoMON
Согласно условиям задачи мы имеем возможность подключения через Winbox к роутеру R3. Теперь, после того как настроили RoMON мы можем подключиться к сети управления нажав на кнопку Connect To RoMON и указав при этом параметры доступа к нужному роутеру.
После чего ниже появится полный список роутеров в сети управления и мы можем получить доступ к любому из них используя идентификатор, для доступа к роутерам следует использовать учетные данные существующих пользователей, секрет RoMON используется исключительно для взаимной аутентификации устройств и указывать его нигде не надо.
При этом вы всегда можете видеть текущую стоимость подключения, количество устройств в цепочке и их идентификаторы, а также краткие сведения об устройствах, включающие модель и версию RouterOS.
Настройка IGMP Proxy
Однако предложенный выше способ может быть не всегда приемлем, вместо приставки могут использоваться иные, более функциональные устройства: SmartTV, TV BOX на Android и т.д. и т.п., которым нужно обеспечить доступ к ресурсам локальной сети. Также приставка может быть подключена не напрямую к роутеру, а через дополнительный коммутатор, либо вы еще по какой-либо причине не хотите выводить устройство за пределы домашней сети. В этом случае потребуется настройка IGMP Proxy, который обеспечит перенаправление мультикастового потока IPTV в локальную сеть и прохождение IGMP-пакетов для управления этим потоком.
В базовой поставке RouterOS необходимая функциональность отсутствует и нам потребуется установить дополнительный пакет multicast. Для этого на официальном сайте следует скачать набор Extra packages для своей версии прошивки и архитектуры. Если у вас более старая версия RouterOS, то обновите ее.
Затем откройте Winbox, перейдите в раздел Files и загрузите на устройство пакет multicast, это можно сделать простым перетаскиванием, затем перезагрузите роутер.
Если вы настраиваете IPTV от Ростелеком, то на внешнем интерфейсе, смотрящем в сторону провайдера, у вас не будет IP-адреса, так как протокол PPPoE, через который осуществляется доступ в интернет, работает на канальном уровне и не требует IP-адресов. Для работы IPTV внешнему интерфейсу необходимо будет присвоить адрес. Поддержка Ростелекома предписывает использовать адрес 1.0.0.1/30, на наш взгляд использование данного адреса не совсем корректно (он не является приватным) и, как показывает практика, вы можете присвоить интерфейсу любой адрес, но официальные рекомендации стоит иметь ввиду, особенно если больше ничего не помогает.
Если вы предпочитаете работу в консоли, то выполните:
Теперь перейдем в раздел Routing - IGMP Proxy и добавим внешний интерфейс, на который приходит IPTV. В поле Interface укажите внешний интерфейс, в нашем случае ether5, в поле Alternative Subnets - 0.0.0.0/0 и установите флажок Upstream.
Что касается Alternative Subnets, то данная настройка требует некоторых пояснений, в ней указывается подсеть, из которой осуществляется вещание, так как Ростелеком использует собственную изолированную сеть, то указание 0.0.0.0/0, т.е. принимать любые потоки, будет оправдано. Если же вы настраиваете IPTV на интерфейсе, смотрящем непосредственно в интернет, то желательно явно указать подсеть, уточнив ее в техподдержке провайдера.
После чего нажмите кнопку Settings и установите флажок Quick Leave для быстрого переключения между каналами.
Также можно быстро выполнить все приведенные выше настройки через терминал:
Теперь осталось настроить правила брандмауэра для прохождения IPTV-трафика. Для этого добавим следующие записи: Chain - input, Protocol - igmp, In. Interface - ether5, так как по умолчанию действие accept, то на закладку Action можно не переходить. Данное правило разрешить входящий IGMP-трафик на внешнем интерфейсе.
Второе правило разрешит транзитный IPTV-трафик: Chain - forward, Protocol - udp, Dst. Port - 5000, In. Interface - ether5. Отдельного пояснения требует номер порта, Ростелеком использует порт 5000, для других провайдеров следует уточнить это значение в поддержке.
Также не забудьте перетащить данные разрешающие правила выше запрещающих в каждой из цепочек.
В терминале эти же правила добавляются командами:
После выполнения данных настроек перезагрузите IPTV-приставку и, если вы не допустили ошибок, все должно заработать.
Настройка IPTV в роутерах Mikrotik на примере Ростелеком
IPTV в настоящее время стал стандартом де факто, практически полностью вытеснив "классическое" кабельное телевидение. Сегодня практически любой провайдер предлагает комплексные тарифные планы, включающие телевидение и интернет, предоставляет в аренду уже настроенное оборудование и вообще всякими способами стремится завлечь абонента в свои сети. И это хорошо, здоровая конкуренция снижает цены и повышает качество услуг. Но как быть, если вы предпочитаете настраивать свое сетевое оборудование самостоятельно? Сегодня мы как раз поговорим об этом.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
IPTV через Wi-Fi
Скажем сразу, использовать беспроводную сеть, особенно в диапазоне 2,4 ГГц, для доставки IPTV - не самая удачная идея. Следует понимать, что Wi-Fi является разделяемой средой и вы делите доступную пропускную способность не только с клиентами вашей сети, но и с устройствами соседних сетей, работающих в том же частотном диапазоне. Проще говоря, даже если ваши собственные устройства не занимают Wi-Fi, то за стеной может оказаться ноутбук соседа, которые на этом же самом канале качает торренты, поэтому прием IPTV, особенно с HD-качеством в таких условиях может оказаться затруднительным.
Но если вы все-таки решили транслировать IPTV через Wi-Fi, то выполните следующие настройки: перейдите в свойства беспроводного интерфейса на закладку Wireless и перейдите в режим Advanced Mode.
Затем установите значения опций: WMM Support - enabled и Multicast Helper - full.
Это включит Wi-Fi multimedia и позволит отправлять мультикаст-пакеты на mac-адреса беспроводных клиентов, но не забывайте, что вы делите полосу пропускания не только между своими устройствами, поэтому работа таких клиентов может не соответствовать ожиданиям, особенно в городских условиях.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Эту статью я cобирался написать более года, но всё как-то не доходили руки. Настройка IPTV на роутере Mikrotik — это отдельная тема, которую стоит рассмотреть подробно. Дело в том, в операционной системе RouterOS не так просто отделить порт для ТВ-приставки, как на большинстве обычных маршрутизаторов, просто поставив галочку. Не сказать, что здесь это имеет слишком сложную реализацию, но большинство новичков просто так настроить телевидение не сможет. Есть очень забавный факт — IT-специалисты делятся на две группы: первая — это те, кто отчаянно любит роутеры MikroTik и те, кто люто их ненавидит и не принимает ни в каком виде. Я не буду хвалить или ругать эти устройства, я просто покажу как с ними работать простому абоненту, который послушал своего друга-сисадмина, купил себе такое устройство и не знает что с ним теперь делать.
Так как у разных провайдеров, будь то Ростелеком, МТС, Билайн или иной оператор связи, сервисная модель предоставления услуги цифрового телевидения может отличаться даже в пределах одного Макрорегионального Филиала, в инструкции я покажу три основных способа настройки IPTV на Микротике:
- Просто выделяем порт для приставки
- Отделяем порт с отдельным идентификатором VLAN ID
- Используем IGMP-Proxy
Выполнять все действия я буду на маршрутизаторе MikroTik hap AC lite на RouterOS 6.48.2 через штатное приложение для настройки WinBox. Во всех трёх случаях предполагается использование STB-приёмника, который подключается в один из портов роутера. Сам по себе, роутер Mikrotik позволяет транслировать мультикаст и через беспроводную сеть Wi-Fi, но я такой вариант пока не рассматриваю.
Подключение к роутеру по MAC Telnet
Данная тема не относится напрямую к RoMON, но очень близко связана с ней. В процессе работы у вас может появиться удаленное новое устройство, которое либо нужно настроить для работы в удаленной сети, либо вообще после настройки передать далее. И хорошо если у вас есть возможность подключиться к одному из узлов удаленной сети, запустить там Winbox и выполнить необходимые настройки. А если нет?
Второй вариант - это настройка RoMON, как мы видели, для этого нужно получить доступ к каждому устройству, что тоже не всегда возможно. Что делать? Выезжать на точку? Не спешите, в большинстве случаев все можно сделать удаленно.
По умолчанию обнаружение и подключение через MAC Telnet доступны на всех портах, кроме "внешнего", таким в SOHO-устройствах обычно является ether1, поэтому достаточно подключить новое устройство в сеть любым портом, кроме первого. Затем переходим на контролируемое устройство, имеющее доступ в тот же широковещательный сегмент что и новый роутер и открываем IP - Neighbor где мы можем увидеть всех соседей в одноранговой сети. Все что нам понадобится отсюда - это MAC-адрес нужного устройства.
После чего открываем терминал и выполняем команду:
Где 01:12:34:56:78:90 - MAC-адрес требуемого устройства. Теперь мы можем полноценно работать с данным роутером в терминале, даже можем выполнить полный сброс, доступ через MAC Telnet будет активирован по умолчанию:
После чего достаточно активировать RoMON и получить полный доступ к устройству.
Как настроить порт Mikrotik для IPTV-приставки
Это самый распространённый способ настроить телевидение на Микротике. Алгоритм действий здесь следующий: мы отделяем один LAN-порт от группы других и привязываем его к специально созданному мосту Bridge, благодаря чему приставка смотрит напрямую в сеть провайдера так, как будто включена в неё напрямую. Такая схема используется в Билайне, МТС, Дом.ру и некоторой части филиалов Ростелеком. Именно этот способ Вы встретите в большинстве инструкций, которые встречаются на блогах и форумах.
Начинаем с того, что через WinBox подключаемся к устройству и открываем раздел Bridge и вкладку Ports.
Свою ТВ-приставку я подключаю в 4й LAN-порт. У микротиков порты считаются начиная с WAN и потому в списке 4й порт подписан как Ether5 . Кликаем на него мышкой и нажимаем на кнопку с красным минусом.
Следующим шагом создаём новое соединение типа «прозрачный мост» — раздел Bridge, вкладка Bridge и нажимаем на кнопку с плюсом:
Я дал название новое моста «IPTV-br0», чтобы сразу было понятно, что он относится к цифровому телевидению. Нажимаем кнопку «ОК».
Теперь в том же разделе открываем вкладку Ports и здесь нажимаем кнопочку с плюсом, чтобы добавить порт к мостовому соединению:
В поле «Interface» выбираем Ether5 , в который мы будем включать STB-ресивер. В списке «Bridge» надо выбрать мост, который я создал для ТВ — IPTV-br0 . Нажимаем на кнопку «ОК».
Повторяем тот же самый шаг, только теперь добавляем в мост ещё и WAN-порт, который в списке числится как Ether1 .
После этого Вам надо будет перезагрузить свой роутер, выбрав раздел меню «System» → «Reboot». Перезагрузка занимает пару минут, после чего снова коннектимся к Микротику и открываем раздел Interfaces.
Обратите внимание, что сейчас устройство не может подключиться к Интернету и соответствующий интерфейс будет отмечен в списке красным цветом.
Вам надо зайти в его настройки, кликнув дважды мышкой и на первой же вкладке в поле Interfaces выбрать в списке созданный ранее мост IPTV-br0 вместо WAN-порта Ether1. Нажимаем на «ОК». Интернет должен снова появиться. Теперь можно подключать ТВ-приёмник и проверять работу.
Кстати, если Вы откроете раздел Bridge, то там увидите два своих мостовых соединения:
Трафик, который идёт на приставку будет отображаться в статистике моста для IPTV. Удобно таким образом мониторить битрейт каналов.
Смена секрета RoMON
В процессе эксплуатации сети RoMON может возникнуть потребность изменить секрет, либо установить его, если вы ранее не использовали аутентификацию, очень важно сделать это так, чтобы не потерять в процессе смены секрета доступ к управляемым устройствам. К счастью, сделать это несложно, нужно лишь строго соблюдать необходимую последовательность действий.
RoMON позволяет указать несколько секретов, как глобальных, так и для порта. При этом сам узел будет использовать первый в списке секрет, но сможет принимать пакеты с хешами сформированными при помощи любых других секретов, перечисленных в списке. Эту возможность мы и будем использовать.
Откроем список секретов и добавим в него новый секрет, при этом первым в списке располагаем старый секрет (выделен желтым), а ниже новый секрет (выделено зеленым).
Данный шаг следует выполнить на всех управляемых устройствах. После чего каждое из них будет продолжать использовать старый секрет, но сможет принимать пакеты с хешем сформированным при помощи нового секрета.
Выполнив указанное действие переходим к следующему: для каждого из устройств в списке паролей ставим первым новый секрет, а вторым старый. Также повторяем это действие на всех управляемых устройствах. Теперь роутеры для связи друг с другом будут использовать новые секреты, но смогут принимать пакеты со старым хешем.
После того, как на всех роутерах первым в списке установлен новый секрет, и вы убедились в наличии связи с каждым из них - можно перейти к заключительному этапу - удалить из списков старый секрет.
На первый взгляд процедура может показаться немного сложной и избыточной, но именно такой порядок действий гарантирует что вы не потеряете связь ни с одним устройством в процессе изменения секретов на них. Также учтите, что пустой секрет тоже является секретом и, если вы до этого не использовали аутентификацию в качестве старого секрета следует оставлять пустое поле, а в терминале использовать пустое значение, состоящее из двух, идущих подряд, кавычек.
Как видим, RouterOS предоставляет администратору достаточно широкий круг простых и удобных инструментов управления и RoMON - один из них. Он не претендует на универсальность и его нельзя однозначно рекомендовать к употреблению везде где-только можно, но в ряде сценариев он может оказаться незаменимым, обеспечивая привычный уровень удобства администрирования даже при отсутствии прямого доступа к устройству.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
В свое время когда я купил роутер MikroTik, передо мной кроме базовой настройки инета встала задача обеспечить работу IPTV, до того момента у меня был установленный Ростелекомом D-link. Сама базовая настройка инета на микротике заняла у меня примерно 10 минут, а вот с IPTV пришлось повозиться. Все мануалы прочитанные мной тогда не учитывали многих моментов, до которых я дошел расковыряв настройки многострадального D-link-а и без которых работать в данной схеме ТВ нормально не будет. В этой статье я хочу обозначить полученную мной универсальную инструкцию в данной ситуации.
В первую очередь обновим прошивку до последней. Подключаемся к нашему роутеру через Winbox, идем в [System]->[Packages] -> [Check for updates]. Если вышла более новая версия Routeros чем установлена у вас на девайсе, жмем Download & Install после чего новая версия будет скачана и маршрутизатор уйдет в перезагрузку.
После выполнения данных действий идем сюда и выбираем пакеты которые нужно загрузить для вашего устройства, в моем случае это haP series и выбираю я extra packages для текущей версии (6.43.4 на момент написания статьи).
Будет скачан архив из которого нужно будет распаковать файл multicast, открыть в winbox пункт files и перетащить распакованный нами файл прямо туда. После чего необходимо перезагрузить наш маршрутизатор ( идем в [System]->[Reboot]).
После перезагрузки в разделе Routing должен появиться пункт IGMP Proxy, если этого не произошло проверяем прошлые шаги — нужный ли пакет мы ставили ( для того ли девайса скачали, версии прошивки). В случае успеха идем дальше.
В IGMP Proxy на первой вкладке щелкаем знак [+] для создания так называемого Upstream. В пункте interface выбираем порт куда у нас вставлен шнур от провайдера, даже в случае если вы у вас используется PPPoE соединение выбираем именно физический порт, это очень важный момент. Помечаем галочку Upstream и в Alternative Subnets выставляем 0.0.0.0/0 и жмем Ок. Создаем второе правило для Downstream. В interface выбираем All, галочку upstream не ставим, больше никаких действий тут не требуется, просто жмем ок и все.
Следующим шагом будет настройка файрвола. Идем в [IP]->[Firewall] и [+], cоздаем новое правило Chain->forward, protocol->udp, In interface-> ether1 (порт, в который подключен кабель провайдера). Action->accept.
Создаем второе правило для IGMP. Цепочка также остается forward, protocol-> igmp, In interface-> ether1, Action->accept. Перетаскиваем созданные правила выше запрещающих.
Далее нужно блокировать прохождение мультикаст — траффика в беспроводную сеть. Идем в [Bridge] ->вкладка Filters -> [+]. Выбираем цепочку Output, out. Interface -> wlan1 то есть нашу нужную беспроводную сеть. На вкладке Advanced в packet type выбираем multicast а на вкладке Action назначаем действие drop, то есть запрет. Не забываем нажать ок чтобы сохранить настройки.
И тут пожалуй настает самый важный момент, если у вас интернет подключение идет через PPPoE, то необходимо на физический интерфейс куда подключен кабель от провайдера добавить айпишник 1.0.0.1 с маской 30 бит. В этом кстати, и заключалась проблема когда я первый раз настраивал микротик, без этого айпишника ничего не работало, а то что именно его нужно вбить я выяснил открыв настройки D-link-а. Идем в [IP]->[Adresses] и [+] и добавляем следующие настройки. В случае если используется прямое подключение без поднятия каких-либо тоннелей ( называют — IPoE), то предыдущих действий будет достаточно и данный пункт пропускаем.
Обращаю внимание на очень важный момент, после всех проделанных действий необходимо перезагрузить приставку если она была у вас включена и уже потом проверять результат настроек. В случае возникновения проблем в первую очередь советую проверить правила в файрволе.
У оператора может также быть задействована схема с использованием VLAN, в таком случае нужно на порту в который у вас подключен шнур от провайдера создать саб-интерфейс с vlan-ом передающим iptv, выяснить его номер можно попробовать через техподдержку. Идем в [interfaces]->[VLAN] и нажимаем [+] для создания нового, указываем его имя, оно не принципиально и нужно нам для удобства администрирования, VLAN ID же нужно указывать тот который дает провайдер, к примеру возьмем 234 и в interface порт в который подключен кабель провайдера. Жмем ОК.
Затем создаем новый бридж и добавляем туда созданный VLAN и порт в который подключена ваша приставка, предварительно этот порт нужно удалить из другого бриджа если он в каком либо задействован.
В свойствах самого бриджа рекомендую выставить STP в none при возникновении проблем.
В принципе я описал достаточно подробную инструкцию по данной теме. На этом все. Если есть какие либо вопросы и замечания пишите в комменты, готов ответить.
В свое время когда я купил роутер MikroTik, передо мной кроме базовой настройки инета встала задача обеспечить работу IPTV, до того момента у меня был установленный Ростелекомом D-link. Сама базовая настройка инета на микротике заняла у меня примерно 10 минут, а вот с IPTV пришлось повозиться. Все мануалы прочитанные мной тогда не учитывали многих моментов, до которых я дошел расковыряв настройки многострадального D-link-а и без которых работать в данной схеме ТВ нормально не будет. В этой статье я хочу обозначить полученную мной универсальную инструкцию в данной ситуации.
В первую очередь обновим прошивку до последней. Подключаемся к нашему роутеру через Winbox, идем в [System]->[Packages] -> [Check for updates]. Если вышла более новая версия Routeros чем установлена у вас на девайсе, жмем Download & Install после чего новая версия будет скачана и маршрутизатор уйдет в перезагрузку.
После выполнения данных действий идем сюда и выбираем пакеты которые нужно загрузить для вашего устройства, в моем случае это haP series и выбираю я extra packages для текущей версии (6.43.4 на момент написания статьи).
Будет скачан архив из которого нужно будет распаковать файл multicast, открыть в winbox пункт files и перетащить распакованный нами файл прямо туда. После чего необходимо перезагрузить наш маршрутизатор ( идем в [System]->[Reboot]).
После перезагрузки в разделе Routing должен появиться пункт IGMP Proxy, если этого не произошло проверяем прошлые шаги — нужный ли пакет мы ставили ( для того ли девайса скачали, версии прошивки). В случае успеха идем дальше.
В IGMP Proxy на первой вкладке щелкаем знак [+] для создания так называемого Upstream. В пункте interface выбираем порт куда у нас вставлен шнур от провайдера, даже в случае если вы у вас используется PPPoE соединение выбираем именно физический порт, это очень важный момент. Помечаем галочку Upstream и в Alternative Subnets выставляем 0.0.0.0/0 и жмем Ок. Создаем второе правило для Downstream. В interface выбираем All, галочку upstream не ставим, больше никаких действий тут не требуется, просто жмем ок и все.
Следующим шагом будет настройка файрвола. Идем в [IP]->[Firewall] и [+], cоздаем новое правило Chain->forward, protocol->udp, In interface-> ether1 (порт, в который подключен кабель провайдера). Action->accept.
Создаем второе правило для IGMP. Цепочка также остается forward, protocol-> igmp, In interface-> ether1, Action->accept. Перетаскиваем созданные правила выше запрещающих.
Далее нужно блокировать прохождение мультикаст — траффика в беспроводную сеть. Идем в [Bridge] ->вкладка Filters -> [+]. Выбираем цепочку Output, out. Interface -> wlan1 то есть нашу нужную беспроводную сеть. На вкладке Advanced в packet type выбираем multicast а на вкладке Action назначаем действие drop, то есть запрет. Не забываем нажать ок чтобы сохранить настройки.
И тут пожалуй настает самый важный момент, если у вас интернет подключение идет через PPPoE, то необходимо на физический интерфейс куда подключен кабель от провайдера добавить айпишник 1.0.0.1 с маской 30 бит. В этом кстати, и заключалась проблема когда я первый раз настраивал микротик, без этого айпишника ничего не работало, а то что именно его нужно вбить я выяснил открыв настройки D-link-а. Идем в [IP]->[Adresses] и [+] и добавляем следующие настройки. В случае если используется прямое подключение без поднятия каких-либо тоннелей ( называют — IPoE), то предыдущих действий будет достаточно и данный пункт пропускаем.
Обращаю внимание на очень важный момент, после всех проделанных действий необходимо перезагрузить приставку если она была у вас включена и уже потом проверять результат настроек. В случае возникновения проблем в первую очередь советую проверить правила в файрволе.
У оператора может также быть задействована схема с использованием VLAN, в таком случае нужно на порту в который у вас подключен шнур от провайдера создать саб-интерфейс с vlan-ом передающим iptv, выяснить его номер можно попробовать через техподдержку. Идем в [interfaces]->[VLAN] и нажимаем [+] для создания нового, указываем его имя, оно не принципиально и нужно нам для удобства администрирования, VLAN ID же нужно указывать тот который дает провайдер, к примеру возьмем 234 и в interface порт в который подключен кабель провайдера. Жмем ОК.
Затем создаем новый бридж и добавляем туда созданный VLAN и порт в который подключена ваша приставка, предварительно этот порт нужно удалить из другого бриджа если он в каком либо задействован.
В свойствах самого бриджа рекомендую выставить STP в none при возникновении проблем.
В принципе я описал достаточно подробную инструкцию по данной теме. На этом все. Если есть какие либо вопросы и замечания пишите в комменты, готов ответить.
Что такое RoMON?
RoMON (Router Management Overlay Network) - специальная технология компании Mikrotik предназначенная для обнаружения одноранговых устройств с Router OS и построения сети управления между ними. Для этого используется давно известная всем администраторам Mikrotik возможность подключения к устройству по MAC-адресу. RoMON позволяет обнаруживать устройства в общем широковещательном сегменте L2 и устанавливать связи между ними, при этом работа не ограничена только одним широковещательным сегментом, мы можем соединять роутеры как гирлянды и управлять ими с любого доступного нам устройства.
Рассмотрим следующую схему:
У нас имеется условная цепочка из роутеров R1 - R2 - R3, при этом возможность каким-либо образом подключиться извне мы имеем только к последнему. Задача - настроить удаленный доступ к управлению всеми устройствами. Мы специально не стали обозначать каких-либо сетей или адресов роутеров, потому что это не имеет никакого значения, единственное условие - любые два роутера должны видеть друг друга по L2 и иметь возможность соединиться через MAC-Telnet. При этом роутер R3 может ничего не знать о существовании R1, но для построения RoMON сети вполне достаточно, что он имеет соединение с роутером R2, который в свою очередь соединяется с R1.
Таким образом можно строить достаточно длинные цепочки между роутерами не снижая уровень безопасности и не создавая подключений извне туда, где это будет нежелательно, да и защитить одно устройство, с которого будет осуществляться доступ к остальному сетевому оборудованию проще, чем поддерживать безопасность множества узлов.
Настраиваем RoMON для удаленного управления роутерами Mikrotik
Оборудование Mikrotik предоставляет администраторам богатые возможности по управлению и администрированию, включая инструменты удаленного доступа. Вы можете без проблем настраивать роутер, находящийся за многие километры от вашего рабочего места и никого этим сегодня не удивить. Тем не менее бывают задачи, когда нужно получить управление оборудованием, к которому не имеется прямого доступа, в этом случае нам на помощь придет специальная технология от Mikrotik - RoMON.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Помогло? Посоветуйте друзьям!
Настройка RoMON
Настройка RoMON проста, для этого откроем Winbox на целевом роутере и перейдем в Tools - RoMON, в открывшемся окне установите флаг Enabled и укажите в поле Secrets секретную фразу для взаимной аутентификации роутеров. Внутри RoMON сети устройства определяются при помощи идентификаторов, в качестве которых используется один из MAC-адресов устройства, это может быть неудобно, поэтому можно задать собственные идентификаторы, для этого откорректируйте поле ID.
Те же действия в терминале:
На этом настройку можно бы было и закончить, но в этом случае RoMON будет работать на всех интерфейсах, что нежелательно по соображениям безопасности. Поэтому выполним ряд дополнительных настроек. В предыдущем окне нажмем кнопку Ports и прежде всего запретим подключаться с любого интерфейса. Откроем единственную имеющуюся запись с указанием в поле Interface - all и установим для нее флаг Forbid.
Теперь настроим отдельные правила для портов, как правило нет никаких проблем определить какой именно порт роутера смотрит в сторону другого устройства, в нашем случае это будут порты ether1 и ether5, при этом будем считать, что ether1 находится по схеме слева от роутера, а ether5 - справа. Т.е. для R1 задействован только ether1, для R3 - ether5, а для R2 - оба указанных порта.
Для добавления правила нажмем плюс и в открывшемся окне укажем желаемый порт и секрет для него. Обращаем ваше внимание, что RoMON использует вначале секрет, указанный для порта, а в его отсутствии глобальный секрет, который мы указали при включении RoMON.
Также отметим еще один доступный параметр - Cost - это "стоимость" подключения, может оказаться полезен, если к одному роутеру могут вести несколько цепочек и вы хотите явно отдать приоритет одной из них. Чем меньше суммарная стоимость маршрута - тем выше его приоритет.
Теперь вариант команд для терминала, здесь мы приведем пример для роутера R2 и настроим сразу два интерфейса:
Аналогичные настройки следует выполнить на каждом роутере входящем в цепочку. Никаких особых сложностей они не представляют.
Некоторые важные уточнения: RoMON не использует шифрование, защита передаваемых данных полностью лежит на прикладном приложении, вы можете использовать Winbox или SSH. Секрет используется только для взаимной аутентификации роутеров и должен быть одинаков у всех устройств входящих в сеть управления. Мы рекомендуем задавать как локальный секрет для порта, так и глобальный, что повысит уровень безопасности даже при неверных настройках RoMON (открыт доступ со всех портов).
Подключение IPTV-приставки непосредственно в сеть провайдера
Самый простой и нетребовательный к ресурсам способ смотреть IPTV, полностью оправдан, если ваша приставка не имеет никаких иных функции, которые требуют доступа к ресурсам локальной сети. Если вспомнить былые времена, то многие провайдеры при подключении IPTV ставили перед роутером простой свитч, куда включали IPTV-приставку, фактически мы повторим эту схему, но с использованием возможностей Mikrotik.
Прежде всего определим порт, в который будет подключена приставка и выведем его из моста локальной сети (если он туда включен), в нашем случае это будет порт ether4. Для этого перейдем в Bridge - Ports и удалим запись для нужного порта.
Затем создадим новый мост и введем в него порт приставки и внешний порт, смотрящий в сторону провайдера:
Чтобы избежать возможных конфликтов с активным оборудованием провайдера отключим в свойствах моста протокол RSTP:
Если вы используете для подключения к интернету коммутируемое подключение, то в его свойствах вместо внешнего интерфейса (ether5 в нашем примере) следует указать интерфейс моста bridge2. В данном случае это будет PPPoE подключение провайдера Ростелеком.
При использовании иных методов доступа в интернет не забудьте изменить порт внешнего подключения с ether5 на bridge2, а также внести аналогичные изменения в правила файрволла, при коммутируемом подключении (PPPoE) делать этого не надо.
После чего достаточно перезагрузить приставку, и она самостоятельно "разберется" с настройками, после чего вы сможете полноценно пользоваться услугой IPTV вашего провайдера.
Настройка IPTV на Mikrotik для Ростелеком, Билайн, МТС, Дом.ру : 11 комментариев
>>Настройка IPTV на роутере Mikrotik — это отдельная тема, которую стоит рассмотреть подробно.
Как и весь Mikrotik в целом🤣
Ну тут я свою позицию обозначил — Микроты это не для рядового домашнего пользователя ни разу.
Почему бы не создать небольшую статью о пробросе портов на роутерах Mikrotik? Довольно много его покупают для домашних качалок и обжигаются на том, что порт они пробрасывают неправильно.
Сделаем. Просто со временем сейчас туго очень.
Как настроить порт Mikrotik для IPTV-приставки — вот этот вариант заработал. Спасибо.
Пытался настроить IGMP-Proxy, но что-то не взлетело. Я его десятью разными способами настраивал, и так и не помогло.
Я потому инструкцию и сделал. Тоже изначально перепробывал всё, что есть в Интернете и методом проб и ошибок из нескольких вариантов получилось сделать один рабочий.
Добрый день.
Дома настроено IPTV от Ростелекома с использованием отдельного VLAN. Всё работает.
Возникла потребность в комнате, в которой стоит телевизор (и приставка, соответственно), подключить дополнительно несколько устройств (игровую приставку, стационарный ПК). Протянуть ещё кабели от Микротика в эту комнату возможности нет. Установил промежуточный неуправляемый 5-портовый свитч, в него подключил STB-приставку, она работает. А вот другие устройства — нет. Оно и понятно, порт на Микротике, в который была подключена приставка, а сейчас промежуточный свитч, — принадлежит другому бриджу. Можете подсказать правильную конфигурацию Микротика, чтобы заработала подобная схема?
Здравствуйте. Единственный вариант решения, как мне видится — это поставить туда управляемый свитч с поддержкой вланов (длинк ДИР-100 например с авито) и на него сделать клон ван-порта на Микротике. А уже на свитче настроить порты под ТВ и под другие устройства.
Добрый день. Не могли бы вы подсказать конфигурацию Dir-100 и Микротика? Dir-100 приобрёл, перепрошил его в switch конфигурацию.
На микротике делаете полный бридж (клон ван-порта) на порт, в который будет включен ДИР-100. На дир 100 соответственно настраиваете порты для ТВ и Интернет. Раз для ТВ используется отдельный VLAN, значит на дир-100 делаете порт на приставку антагом с вланом ТВ. Вот как-то так.
Помог только третий способ — Настраиваем IPTV через IGMP Proxy, пропущено одно правило — с хабра — (IGMP Proxy) Создаем второе правило для Downstream. В interface выбираем All, галочку upstream не ставим, больше никаких действий тут не требуется, просто жмем ок и все. После этого всё пошло. За статью большое спасибо.
Настройка IPTV на Микротике через отдельный VLAN ID
Этот вариант практикуется в некоторых филиалах Ростелеком, Таттелеком и ТТК. Смысл его в том, что мультикаст до абонента доставляется в отдельной виртуальной сети VLAN в тегированном виде и на оконечном устройстве тег снимается. В нашем филиале Ростелеком, например, используется именно этот вариант для подключения STB-приёмника.
Настройка IPTV на Mikrotik с использованием отдельного VLAN начинается с того, что в главном меню открываем раздел Interfaces и вкладку VLAN,
Нажимаем на кнопку с плюсом и создаём новый виртуальный интерфейс. Я обзову его «VLAN-TV» чтобы явно обозначить смысл. Ниже, в поле VLAN ID я указываю идентификатор виртуальной сети. Этот номер надо узнать предварительно в технической поддержке своего провайдера. В списке Interface надо выбрать WAN-порт — это Ether1 . Нажимаем кнопку «ОК».
Теперь надо создать соединение типа «Прозрачный мост». Открываем раздел Bridge, вкладку Bridge и нажимаем кнопку с плюсом.
Указываем название нового бриджа «IPTV-br0» и нажимаем на «ОК».
Следующим шагом открываем вкладку Ports и на ней сначала удаляем порт Ether5 и общего списка:
Затем там же нажимаем кнопку с плюсом и добавляем этот же порт к телевизионному бриджу «IPTV-br0»:
Нажимаем на кнопку «ОК» и повторяем всё то же самое, только теперь привязываем к прозрачному мосту «IPTV-br0» ещё и виртуальный интерфейс «VLAN-TV».
Ничего более не меняем и нажимаем на кнопку «ОК». Теперь желательно перезагрузить роутер. Настройка IPTV на Mikrotik завершена и можно подключать к нему ТВ-приставку.
Примечание: Как Вы видите, настройка IPTV с VLAN ID на Микротике несколько отличается от настройки без виртуальной сети. В частности не надо у Интернет-подключения менять аплинк-интерфейс.
Читайте также: