MIKRTOTIK – Orange FTTH – Konfiguracja z działającą TV

Jest na trzepaku taki fajny post, ale brakuje tam configa dla Mikrotika:
https://trzepak.pl/viewtopic.php?t=51177

Wklema mój config, powycinane ma rzeczy, ale zainteresowani znajdą tu co jak wygląda.
Port eth24 nie ma mastera, jest wpięty do bridge.

eth2 = gateway
tworzymy port PPPoE, tam zapinamy neostradę na VLAN 839
NAT muscie ustawić sami.

I najważniejsze na bridge filter, jak sygnał wraca, to musi być z priorytetem 5. Inaczej TV nie gra.

PRO TIP: Jak ustawiacie router, to nie trzeba restartować dekodera 😉
Obraz pojawi się jak dobrze ustawicie sieć.

——————-
CONFIG
——————-

# aug/26/2016 by RouterOS 6.35.4
# 
#
/interface bridge
add admin-mac=00:00:00:00:00:1F auto-mac=no name=bridge-local
/interface wireless
/interface ethernet
set [ find default-name=ether1 ] arp=disabled mac-address=00:00:00:00:00:DE name=WAN
set [ find default-name=ether2 ] name=eth2
set [ find default-name=ether3 ] master-port=eth2 name=eth3
set [ find default-name=ether4 ] master-port=eth2 name=eth4
set [ find default-name=ether5 ] master-port=eth2 name=eth5
set [ find default-name=ether6 ] master-port=eth2 name=eth6
set [ find default-name=ether7 ] master-port=eth2 name=eth7
set [ find default-name=ether8 ] master-port=eth2 name=eth8
set [ find default-name=ether9 ] master-port=eth2 name=eth9
set [ find default-name=ether10 ] master-port=eth2 name=eth10
set [ find default-name=ether11 ] master-port=eth2 name=eth11
set [ find default-name=ether12 ] master-port=eth2 name=eth12
set [ find default-name=ether13 ] master-port=eth2 name=eth13
set [ find default-name=ether14 ] master-port=eth2 name=eth14
set [ find default-name=ether15 ] master-port=eth2 name=eth15
set [ find default-name=ether16 ] master-port=eth2 name=eth16
set [ find default-name=ether17 ] master-port=eth2 name=eth17
set [ find default-name=ether18 ] master-port=eth2 name=eth18
set [ find default-name=ether19 ] master-port=eth2 name=eth19
set [ find default-name=ether20 ] master-port=eth2 name=eth20
set [ find default-name=ether21 ] master-port=eth2 name=eth21
set [ find default-name=ether22 ] master-port=eth2 name=eth22
set [ find default-name=ether23 ] master-port=eth2 name=eth23
set [ find default-name=ether24 ] comment="DEKODER ORANGE" name=eth24
set [ find default-name=sfp1 ] master-port=eth2 name=sfp1-gateway
/interface vlan
add interface=bridge-local name=vlan1 vlan-id=1
add arp=disabled interface=WAN mtu=1492 name=vlan35 vlan-id=35
add arp=disabled interface=WAN name=vlan839 vlan-id=839
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan35 max-mru=1492 max-mtu=1492 name=Orange-FTTH password=PASS user=bez_ochrony-XXXXXXXXX@neostrada.pl
/ip pool
add name=dhcp ranges=192.168.0.50-192.168.50.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=default
/queue tree
add name=out-queue parent=WAN queue=default
add name=in-queue parent=eth2 queue=default
add name=in-queue-iptv packet-mark=iptv parent=in-queue queue=default
add name=out-queue-iptv packet-mark=iptv parent=out-queue queue=default
/routing bgp instance
set default disabled=yes
/interface bridge filter
add action=drop chain=forward in-interface=wlan4
add action=drop chain=forward out-interface=wlan4
add action=mark-packet chain=forward comment="Mark packets IPTV" in-interface=eth24 new-packet-mark=iptv
add action=mark-packet chain=forward in-interface=vlan839 new-packet-mark=iptv
add action=set-priority chain=forward comment="Set priority" in-interface=eth24 new-priority=5 out-interface=vlan839 passthrough=no
add action=drop chain=forward comment="Drop not multicast" in-interface=eth24 out-interface=vlan839 packet-type=!multicast
add chain=forward comment="Allow to connection to eth24" in-interface=vlan839 out-interface=eth24
add action=drop chain=forward comment="Drop any port" in-interface=vlan839
/interface bridge port
add bridge=bridge-local interface=eth2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=wlan4
add bridge=bridge-local interface=vlan839
add bridge=bridge-local interface=eth24
/interface bridge settings
set allow-fast-path=no use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/interface ethernet switch port
set 0 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 1 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 2 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 3 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 4 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 5 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 6 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 7 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 8 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 9 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 10 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 11 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 12 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 13 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 14 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 15 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 16 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 17 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 18 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 19 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 20 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 21 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 22 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 23 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 24 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 25 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
/ip address
add address=192.168.0.100/22 comment=LAN interface=bridge-local network=192.168.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=WAN
/ip dhcp-server network
add address=192.168.0.0/22 boot-file-name=pxelinux.0 comment="default configuration" dns-server=192.168.0.100 gateway=192.168.0.100 netmask=22 next-server=\
    192.168.0.20 ntp-server=149.156.44.126 wins-server=0.0.0.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
/ip firewall address-list
/ip firewall filter
/ip firewall service-port
set irc disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh address=0.0.0.0/0

—————— PONIŻEJ, BACKUP, JAK COŚ: ——————

Oferta światłowodowa Orange FTTH Triple Play składa się z usług: internet, iptv (tv+vod), voip. Aktualnie świadczone są z wykorzystaniem routerów Funbox2 lub Livebox3, w topologii pokazanej poniżej:

Obrazek

Opis instalacji sprzętowej można znaleźć na blogu Micrology:

http://www.micrology.pl/2015/04/04/swiatlowod-od-orange-ftth
http://www.micrology.pl/2015/04/06/oran … funbox-2-0

Istnieje możliwość rezygnacji z dostarczonego przez Orange routera, przy zachowaniu dostępu do wszystkich, lub prawie wszystkich usług.

WARIANT I

  1. switch inteligentny z możliwością filtracji ruchu na porcie ingress oraz definiowania polityki dla VLAN na porcie egress
  2. router z obsługa PPPoE oraz VLAN
  3. dowolny klient SIP
Obrazek

Konfiguracja odzwierciedla oryginalne ustawienia dla firmware Funbox2:

– SG10_sip-pl-5.9.13.17SoftAtHome
– FunBox2 step5.2

TELEWIZJA

Usługi IPTV składają się z:

– streaming tv + channel zapping: VLAN ID=839, multicast
– streaming vod, program tv, zegar na wyświetlaczu STB: VLAN ID=838, unicast

Ruch między ONT a swichem jest w całości tagowany vlan. Ruch między Switchem a STB jest w całości nietagowany. Ramki wychodzące z STB w stronę ONT będą na switchu tagowane vlan id wraz z priorytetem 802.1p, tj:

– dla vlan838: 802.1p=4
– dla vlan839: 802.1p=5

Przełączanie kanałów tv odbywa się w oparciu o dołączanie do i opuszczanie grup multicastowych. Szczegółowa konfiguracja zaprezentowana w oparciu o smart switch Zyxel GS1920

1. Przypisujemy porty do vlanów i podpinamy kable do urządzeń, wg wzoru:

port20 –> ONT: vlan838 tagging, vlan839 tagging, vlan35 tagging
port21 –> STB: vlan838 untagged, vlan839 untagged
port22 –> router: vlan35 tagging

Obrazek
Obrazek
Obrazek

2. Cały ruch ingress na porcie 21 (do CPU switcha) będzie tagowany PVID=100 (dowolne ID inne niż domyślny management PVID=1)

Obrazek

3. Definiujemy specyficzne kryteria filtrowania ruchu ingress na porcie 21 tzw. klasyfikatory

– ramki multicast igmp zostaną sklasyfikowane: protokół igmp, waga 11 (wyższy priorytet), pod nazwą „v839igmp”
– ramki unicast (tj. wszystkie inne niż wyżej wskazane multicast) zostaną sklasyfikowane: waga 10 (niższy priorytet), pod nazwą „v838all”

Obrazek

4. Priorytety klasyfikatorów za pomocą wag (wyższa waga = większy priorytet) będą ustalane manualnie

Obrazek

5. Definiujemy politykę dla klasyfikatora „v838all”: ustaw vlan id 838 oraz priorytet 802.1p=4
Wskazane ramki będą opuszczać switch portem nr 20 w stronę ONT

Obrazek

6. Definiujemy politykę dla klasyfikatora „v839igmp”: ustaw vlan id 839 oraz priorytet 802.1p=5
Wskazane ramki będą opuszczać switch portem nr 20 w stronę ONT

Obrazek

INTERNET

1. Internet dostarczany jest na VLAN ID=35
2. Autoryzacja PPPoE odbywa się w oparciu o:

login: *******@neostrada.pl/ipv6
hasło: *******
MTU: 1492 (patrz także komentarze poniżej)

Istnieje możliwość zastosowania alternatywnego loginu w postaci:

*******@neostrada.pl – protokół ipv4, zablokowane porty: 25, 135, 137, 138, 139, 445
podstawowy-*******@neostrada.pl – protokół ipv4, zablokowane porty: 135, 137, 138, 139, 445
bez_ochrony-*******@neostrada.pl – protokół ipv4, odblokowane wszystkie porty poza przeznaczonymi na provisioning

Dostawienie sufiksu /ipv6 do loginu powoduje przełączenie na protokół ipv6.

W przypadku konieczności odzyskania hasła i dostępu do konta Orange:
login: rejestracja@neostrada.pl
hasło: rejestracja

Zgodnie z zaproponowanym powyżej przykładem skonfigurowany port WAN routera łączymy z portem 22 na switchu.

VOIP

Istnieje możliwość dokonania jednoczesnej rejestracji do 5 klientów SIP (softphone, bramka voip etc) na łączu dowolnego operatora. Rozmowa przychodząca będzie zestawiana z klientem, który jako pierwszy odbierze połączenie.

Wprawdzie Orange ruch VOIP wychodzący z Funbox taguje vlan35 oraz priorytetem 802.1p=5 (a zatem dba o jakość połączenia nawet przy dużym ruchu internetowym), to konfigurację na własnych klientach SIP i dostawcach internetu wystarczy zrobić w oparciu o parametry:

login (numer telefonu): 48*********
hasło: ********
auth userid: 48*********@neofon.tp.pl
domena/proxy: neofon.tp.pl

Przykład konfiguracji Linphone (android):

Obrazek

Przykład konfiguracji bramki SIP Fritzbox W701V:

Obrazek

WARIANT II

  1. router z obsługą:- PPPoE oraz VLAN z opcją znakowania ramek priorytetem 802.1p na wirtualnym porcie WAN
    – mostu między wirtualnym portem WAN (tagowany vlan), a portem LAN (nietagowany) wydzielonym na potrzeby tv lub vod
  2. dowolny klient SIP
Obrazek

Powyższy schemat prezentuje transmisję tv (vlan 839). Konfiguracja zaprezentowana w oparciu o router Draytek Vigor 3900: firmware 121_Beta_r6132 (lub nowszy) oraz tutorial udostępniony przez producenta.

Ustawienie dostępu do internetu oraz telefonii internetowej należy wykonać wg instrukcji podanych dla wariantu I. Dostęp do telewizji będzie ograniczony do jednego, wybranego strumienia iptv (tv lub vod) ze względu na możliwości sprzętowe tego konkretnego routera tj. na pojedynczym porcie LAN tylko jeden vlan może być nietagowany.

Obrazek

Ustanowienie interfejsu bridge (transmisja multicast) jak w przykładzie powyżej nie powoduje istotnego obciążenia CPU routera.

WARIANT III

Ten wariant zakłada:

– dostęp do wszystkich usług (w odróżnieniu od wariantu II, gdzie serwowana jest zamiennie tv lub vod)
– pierwszym urządzeniem za ONT będzie router (w odróżnieniu od wariantu I, gdzie w tym miejscu znalazł się smart switch)

  1. router z obsługą:- PPPoE oraz VLAN z opcją znakowania ramek priorytetem 802.1p na wirtualnym porcie WAN
    – mostu między wirtualnym portem WAN (oba vlany iptv tagowane), a portem LAN (oba vlany iptv tagowane)
  2. switch inteligentny z możliwością filtracji ruchu na porcie ingress oraz definiowania polityki dla VLAN na porcie egress
  3. dowolny klient SIP
Obrazek

Konfiguracja zaprezentowana w oparciu o router Draytek Vigor 3900, smart switch Zyxel GS1920 oraz informacje zawarte w wariancie I oraz II. Router tym razem pełni rolę mostu dla obu vlan`ów iptv (838, 839) i przesyła ruch tagowany dalej do smart switcha.

Problem: brak transmisji tv (multicast), vod (unicast) działa
–> na routerze i/lub switchu wyłączyć opcje „multicast storm defense” lub ustawić odpowiedni próg dla transmisji danych multicast.

Problem: porty router – switch, na których przesyłany jest ruch iptv dezaktywują się
–> ponieważ router ze switchem połączony jest podwójnie (dwa kable dla: ruch internet, ruch iptv), switch może wykryć pętlę i dokonać dezaktywacji wybranego portu. Na switchu należy wyłączyć opcję „loop guard”.

Problem: usługa voip nie działa, brak głosu lub transmisja audio jednokierunkowa
–> na routerze wyłączyć opcję SIP ALG, która nierzadko jest niepoprawnie implementowana przez producentów w firmware routera.

WYDAJNOŚĆ

Wszystkie testy przeprowadzone dla konfiguracji przedstawionej w wariancie III. Vigor 3900 bazuje na Linux OS, nie miał problemów z wysyceniem łącza (ustawienia domyślne firewall, włączona ochrona DDoS).

SPEEDTEST.NET

Obrazek

PANEL SAMKNOWS

Obrazek
Obrazek
Obrazek

WARIANT IV

Dostęp do wszystkich usług można również uzyskać konfigurując własny serwer Linux:

http://www.micrology.pl/2015/04/17/iptv-od-orange-ftth-na-wlasnym-routerze-zamiast-funbox-lub-livebox
http://www.micrology.pl/2016/07/17/orange-ftth-wlasny-sprzet-pelna-predkosc

FUNBOX: BŁĘDY KOMUNIKACJI

Patrz komentarze poniżej.