На небольшом офисе сменили оборудование mikrotik 2011 на FortiWiFi 30E. Настроил PPРoE подключение , политики файервола, NAT - интернет заработал на устройствах в локальной сети. А вот настроить IPTV, которое раздает мультикастом местный провайдер , оказалось задачей не из простых , в интернете по настройке IGMP proxy для FortiGate мало информации . На рисунке ниже показана упрощенная схема подключения FortiWiFi 30E и к ней IPTV приставки MAG255.
Исходные данные:
интерфейс WAN (port1) подключен кабелем к провайдеру и получает по DHCP ip адрес класса А от него. На этот же интерфейс приходит трафик IPTV (IGMP) от провайдера;
интерфейс Wildpark по протоколу PPPoE авторизируемся у провайдера и получаем доступ в интернет;
интерфейс Lan (port2) , с ip адресом 192.168.42.1/24 смотрит в локальную сеть с пару компами и IPTV приставкой , на нем работает DHCP сервер и раздает хостам ip адреса подсети 192.168.42.0/24;
Для настройки IGMP proxy нам необходимо включить Multicast Policy , заходим System->Feature Visibility->Multicast Policy enable и жмем Apply. И включить настройку в командной строке FortiGate multicast-ttl-notchange, для того что бы не изменялся TTL у мультикаста проходящего через роутер.
fortinet# config system settings
fortinet(settings)# set gui-multicast-policy enable
fortinet(settings)#set multicast-ttl-notchange enable
fortinet(settings)#end Следующим шагом отключаем multicast-routing если он включен:
fortinet# config router multicast
fortinet(multicast)# set multicast-routing disable
fortinet(multicast)# endТеперь что бы побежал мультикаст на IPTV приставку , а с нее запросы на получения группы с определенным IP адресом класса D, необходимо настроить два правила Multicast Policy ,которые находятся в GUI Policy & Object->Multicast Policy.
В первом правиле разрешаем мультикаст трафик с WAN интерфейса в локальную сеть Lan , где Source Address 0.0.0.0/0 , а Destination Address 224.0.0.0-239.255.255.255.
в командной строке:
fortinet# config firewall multicast-policy
fortinet(multicast-policy)# edit 1
fortinet(1)# set srcintf "wan"
fortinet(1)# set dstintf "lan"
fortinet(1)# set srcaddr "all"
fortinet(1)# set dstaddr "all"
fortinet(1)# next
fortinet(multicast-policy)# endВо втором правиле разрешаем запрос на группу мультикаста от IPTV приставки с Lan на WAN , где Source Address 0.0.0.0/0 и Destination Address 224.0.0.0-239.255.255.255.
В CLI :
fortinet# config firewall multicast-policy
fortinet(multicast-policy)# edit 2
fortinet(1)# set srcintf "lan"
fortinet(1)# set dstintf "wan"
fortinet(1)# set srcaddr "all"
fortinet(1)# set dstaddr "all"
fortinet(1)# next
fortinet(multicast-policy)# end И можно наслаждаться просмотром телеканалов на IPTV приставке. Прошу строго не судить, проба пера. Очень хороший цикл статей и видео по мультикасту, который помог мне разобраться с этой технологией, спасибо автору.
