+ Responder ao Tópico



  1. #1

    Unhappy Oi Fibra + IPTV - Mikrotik como roteador

    Recentemente recebi um novo link de internet residencial da Oi, chamado Oi Fibra, que é um link FTTH normal, porém usa um modem próprio que roda sobre ele duas VLAN´s, uma para internet outra para IPTV. Mas não quero usar o modem da Oi como roteador principal, usei uma RB hAP Lite para testes como roteador principal e não consigo fazer com que os dispositivos IPTV funcionem sob o DHCP do Mikrotik. Usei o script básico da RB, à partir de um reset, liberei as entradas para IGPM e UDP na porta ether1 (WAN com dhcp-client ligado no modem Oi), removi todas as regras de firewall e nada ...


    Só consegui fazê-lo funcionar com uma bridge simples interligando todas as portas físicas e colocando o dhcp-client na bridge, como na imagem abaixo.
    Clique na imagem para uma versão maior

Nome:	         WhatsApp Image 2021-05-04 at 16.23.05.jpeg
Visualizações:	408
Tamanho: 	81,8 KB
ID:      	70396
    Queria porém, não utilizar o endereçamento IP do modem Oi, muito menos ele como roteador principal da minha rede.

  2. #2

    Padrão Re: Oi Fibra + IPTV - Mikrotik como roteador

    Pelo pouco que conheço o padrão ftth como um todo tem controle mais rígido com relação a alterações e liberações nos roteadores.
    Não tenho de ideia do padrão usado hoje na Oi fibra ,porém acredito que seja um pouco complicado de efetuar alterações no roteador sem de alguma forma prejudicar sua navegação.

  3. #3
    Avatar de Nilton Nakao
    Ingresso
    Sep 2013
    Localização
    Carlos Chagas, Minas Gerais
    Posts
    1.357

    Padrão Re: Oi Fibra + IPTV - Mikrotik como roteador

    Grandes provedores sempre fornecem seu modem próprio e muitas vezes sem acesso pelo usuário, por isso ao assinar o contrato o modem é gratuito.
    Pequenos e micro provedores já sofrem com isso, o cliente compra o modem o provedor libera autenticação mas o cliente assiste a um you tube e faz um reset e pronto sem internet de vez; migra para o médio ou grande e posteriormente cobrando por cada visita técnica.
    Aqui com planos a partir do plano controle da rede de celular( 1 MB ou 2 MB) ou R$ 55,00, é raro não ter uma casa sem internet e os que não tem acha vantajoso "roubar" do vizinho mesmo com sinal fraco e ainda paga. Nesta região ainda vai demorar para termos IPTV liberado 100%, assistimos sim mas baseado como capital e não como cidade em questão.

  4. #4

    Padrão

    Obrigado pela atenção, mas lendo meu texto novamente, vi que me expressei mal. O que eu gostaria e de "transpassar" o modem Oi pelo Mikrotik de maneira que eu use o Routerboard como roteador e não como switch.

    Clique na imagem para uma versão maior

Nome:	         oi_iptv.png
Visualizações:	331
Tamanho: 	44,0 KB
ID:      	70397
    Última edição por wilpeterson; 05-05-2021 às 13:09. Razão: acréscimo de imagem

  5. #5
    Avatar de andersonfire
    Ingresso
    Mar 2011
    Localização
    Rio Grande do Sul-Alvorada(cidade sem lei)
    Posts
    306

    Padrão

    Clique na imagem para uma versão maior

Nome:	         01.png
Visualizações:	291
Tamanho: 	91,3 KB
ID:      	70403

    Oi sabe qual a VLAN a Oi usa na sua regia para Voip?

  6. #6

  7. #7

    Padrão

    Bom dia, eu consegui fazer funcionar, de maneira muito satisfatória, dois pontos de IPTV da Oi usando o modem que me foi fornecido pela empresa Oi apenas como um roteador de entrada, usando o script de desbloqueio HTML fui nas configurações do modem Oi Fibra e desabilitei o IPV6 e as opções de Wi-FI, mas deixei o IP padrão desse modelo Nokia que é 192.168.1.254. Usei uma RB 750GL (Gigabit) para testes, abaixo o script das configurações, que estão basicamente no padrão de "reset" deste modelo.

    As modificações importantes para o funcionamento são a instalação do pacote "multicast", que é encontrado no repositório de pacotes do site https://www.mikrotik.com/downloads, que dever ser instalado de acordo com a versão do routerboard, na Bridge (ponte) habilitar a função de "Igmp snooping", no Firewall liberar o tráfego IGPM e UDP nas interfaces e configurar as rotas do IGPM Proxy, onde efetivamente ocorre a transição entre os pacotes da IPTV.

    Meu próximo desafio, assim que possível, é tentar habilitar estas funções de forma funcional num estrutura com Load Balance PCC.

    # may/13/2021 09:25:41 by RouterOS 6.48.2
    # software id =
    #
    # model = 750GL
    # serial number =
    /interface bridge
    add admin-mac=D4:CA:6D:90:50:0A auto-mac=no comment=defconf igmp-snooping=yes name=bridge
    /interface ethernet
    set [ find default-name=ether1 ] comment="Link Oi"
    set [ find default-name=ether2 ] comment="LAN | Rede Interna"
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /ip pool
    add name=default-dhcp ranges=192.168.88.10-192.168.88.254
    /ip dhcp-server
    add address-pool=default-dhcp disabled=no interface=bridge name=defconf
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=ether5
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=ether1 list=WAN
    /ip address
    add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
    /ip dhcp-client
    add add-default-route=yes use-peer-dns=yes use-peer-ntp=yes comment=defconf disabled=no interface=ether1
    /ip dhcp-server network
    add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
    /ip dns
    set allow-remote-requests=yes
    /ip dns static
    add address=192.168.88.1 comment=defconf name=router.lan
    /ip firewall filter
    add action=accept chain=forward protocol=udp
    add action=accept chain=input protocol=udp
    add action=accept chain=input protocol=igmp
    add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
    /ip firewall service-port
    set ftp disabled=yes
    set tftp disabled=yes
    set irc disabled=yes
    set h323 disabled=yes
    set pptp disabled=yes
    set udplite disabled=yes
    set dccp disabled=yes
    set sctp disabled=yes
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api port=8888
    set api-ssl disabled=yes
    /routing igmp-proxy
    set quick-leave=yes
    /routing igmp-proxy interface
    add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
    add interface=bridge
    /system clock
    set time-zone-name=America/São Paulo
    /system identity
    set name=MikroTik-IPTV
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN

  8. #8
    Avatar de andersonfire
    Ingresso
    Mar 2011
    Localização
    Rio Grande do Sul-Alvorada(cidade sem lei)
    Posts
    306

    Padrão Re: Oi Fibra + IPTV - Mikrotik como roteador

    Citação Postado originalmente por wilpeterson Ver Post
    Bom dia, eu consegui fazer funcionar, de maneira muito satisfatória, dois pontos de IPTV da Oi usando o modem que me foi fornecido pela empresa Oi apenas como um roteador de entrada, usando o script de desbloqueio HTML fui nas configurações do modem Oi Fibra e desabilitei o IPV6 e as opções de Wi-FI, mas deixei o IP padrão desse modelo Nokia que é 192.168.1.254. Usei uma RB 750GL (Gigabit) para testes, abaixo o script das configurações, que estão basicamente no padrão de "reset" deste modelo.

    As modificações importantes para o funcionamento são a instalação do pacote "multicast", que é encontrado no repositório de pacotes do site https://www.mikrotik.com/downloads, que dever ser instalado de acordo com a versão do routerboard, na Bridge (ponte) habilitar a função de "Igmp snooping", no Firewall liberar o tráfego IGPM e UDP nas interfaces e configurar as rotas do IGPM Proxy, onde efetivamente ocorre a transição entre os pacotes da IPTV.

    Meu próximo desafio, assim que possível, é tentar habilitar estas funções de forma funcional num estrutura com Load Balance PCC.

    # may/13/2021 09:25:41 by RouterOS 6.48.2
    # software id =
    #
    # model = 750GL
    # serial number =
    /interface bridge
    add admin-mac=D4:CA:6D:90:50:0A auto-mac=no comment=defconf igmp-snooping=yes name=bridge
    /interface ethernet
    set [ find default-name=ether1 ] comment="Link Oi"
    set [ find default-name=ether2 ] comment="LAN | Rede Interna"
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /ip pool
    add name=default-dhcp ranges=192.168.88.10-192.168.88.254
    /ip dhcp-server
    add address-pool=default-dhcp disabled=no interface=bridge name=defconf
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=ether5
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=ether1 list=WAN
    /ip address
    add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
    /ip dhcp-client
    add add-default-route=yes use-peer-dns=yes use-peer-ntp=yes comment=defconf disabled=no interface=ether1
    /ip dhcp-server network
    add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
    /ip dns
    set allow-remote-requests=yes
    /ip dns static
    add address=192.168.88.1 comment=defconf name=router.lan
    /ip firewall filter
    add action=accept chain=forward protocol=udp
    add action=accept chain=input protocol=udp
    add action=accept chain=input protocol=igmp
    add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
    /ip firewall service-port
    set ftp disabled=yes
    set tftp disabled=yes
    set irc disabled=yes
    set h323 disabled=yes
    set pptp disabled=yes
    set udplite disabled=yes
    set dccp disabled=yes
    set sctp disabled=yes
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes
    set ssh disabled=yes
    set api port=8888
    set api-ssl disabled=yes
    /routing igmp-proxy
    set quick-leave=yes
    /routing igmp-proxy interface
    add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
    add interface=bridge
    /system clock
    set time-zone-name=America/São Paulo
    /system identity
    set name=MikroTik-IPTV
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN


    Opa amigão

    Vc sabe como faz para colocar a ONU G-240W-C em modo bridge ou como faz para ela repassar o bloco de ipv6 para a rb?

  9. #9

    Padrão

    Opa, eu vi este vídeo à uns dias atrás, pelo que entendi tem como colocar sim em modo Bridge:

  10. #10

    Padrão

    Citação Postado originalmente por wilpeterson Ver Post
    Opa, eu vi este vídeo à uns dias atrás, pelo que entendi tem como colocar sim em modo Bridge:
    Opa, boa tarde!

    Não funciona no Nokia G-240-H, já tentei...rsrsrs
    Tenho o mesmo problema com ONU OI e uma RB750Gr3!
    Em relação ao IPv6, na GPON você recebe ::/56 e quando chega na RB ::/64... estou tentando de tudo que é jeito e nada.

    Então, me deparei com este problema na rede da OI (anexo), observe a saida e os ips.
    Sim, a GPON responde tanto no 192.168.1.254 como 192.168.2.2! Olha a M na configuração de saída no CGNAT, tudo nas coxas!
    Já peguei tráfego desconhecido na rede e não sei nem por onde passou.
    Quebrando a cabeça aqui...
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         OI.jpg
Visualizações:	199
Tamanho: 	323,7 KB
ID:      	70474  

  11. #11

    Padrão

    Realmente eu me deparei com esses erros de endereçamento de IP nos modens Oi Fibra, quando estão na faixa 192.168.0.0/24 ... no padrão deles que é 192.168.1.254 já vi aparecerem, constantemente, os IPs 192.168.1.150 e 192.168.1.5 na rota sem ter ninguém usando esses endereços, isso comigo e em alguns clientes o que me deixou bastante preocupado, mesmo mudando para, por exemplo 192.168.0.254, surgia tráfego em IPs 192.168.0.150 e 192.168.0.5 ... (testei com 2.254 até 10.254, mudei para /8 ou /12 e deu no mesmo).

    Quando parti para mudar o IP do modem Oi Fibra, descobri que não posso usar 10.0.0.0/qualquer coisa ... o VOIP cai! Embora, no meu caso, o IP da VLAN do VOIP seja um /29 se eu colocar o modem com /12 por exemplo ou /8 o VOIP para de funcionar do mesmo jeito.

    Por incrível que pareça, depois de muito quebrar a cabeça, a faixa de IP´s que melhor funcionou comigo foi 172.16.0.0/12, os "endereços IP fantasmas" sumiram e consegui até uma leve melhoria no link ... ficou mais estável, como tentei demonstrar nos anexos.

    Mas ainda não fiz nenhum teste com IPv6, uma coisa que preciso arrumar um tempo para estudar e aprender ...
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         Captura de tela 2021-07-29 081822.png
Visualizações:	134
Tamanho: 	552,6 KB
ID:      	70475   Clique na imagem para uma versão maior

Nome:	         Captura de tela 2021-07-29 083820.png
Visualizações:	132
Tamanho: 	113,2 KB
ID:      	70476  


  12. #12

    Padrão

    Então, encontrei este buraco na rede quando não consegui acessar um dos meus servidores via ssh e pensei logo no pior, "hacked!".
    Espetei o teclado e monitor e aparentemente tudo certo, logs e blah blah blah!
    Meu lab é um /22 (CentOS, Oracle, BSD, DD-WRT) e pelo que percebi estamos ilhados no cercadinho /24 e esbarrando de tudo que é lado.
    Eu não adotei o 10.0.0.0/8 por imaginar que daria alguma M com VOIP e aí comprei a RB visando mais no isolamento da minha rede! Minha smartTV reiniciando com DLNA
    e o Blu-ray (ipv4/6) o tempo todo engasgando o na Netflix ou Youtube! Queda nos frames, pixels borrados e fragmentados.

    Sim, o 172.16.0.0/12 eu planejava em alocar para o TOR no Linux e espetar a saída para a RB e redirecionar para algum acesso específico.
    Vou inverter agora só de raiva e redirecionar o TOR NA 192.168.!....rsrs

    Firewall desta G140W-H é uma peneira, faça o teste de contagem de pacotes ICMP para você ver. Timeout? Só na tua screen!
    Se você adicionar as regras básicas de ICMP elas abrem contagem na tabela do firewall.
    Obs: Firewall(Security Level Advanced, Level Advance Level_1 , Attack Protection) HABILITADO, DMZ desabilitada, Port Forwarding e Triggering sem regras, UPnP/DLNA desabilitados
    Resumindo: o Firewall da GPON classifica ICMP como convidado VIP e o Mikrotik que se ferre!

    Anexo manual original da GPON.

    Estamos sem broadcast?

    Tenho 200/60mb só pra mim e em tempo integral. 50Mb é suficiente para mim.
    Sou analista de sistemas/adm redes e devido a uma doença neuromuscular (polineuropatia periférica e esclerose multipla), estou afastado da área de redes e T.I.
    Fico em casa 24 horas em cima da cama entre Netflix, alguns jogos, livros e tentando manter minha cabeça focada na área que sempre atuei.
    Dificuldade de lembrar de redes, regras...
    Estou pensando em criar regras para marcar todas as conexões e pacotes e registrar este tráfego no MySQL, Oracle ou um arquivo de log no servidor por medidas de segurança.
    Dei uma olhada superficial no CALEA https://wiki.mikrotik.com/wiki/CALEA e ainda estou sem saber o que fazer.

    Já entrei em contato com a OI, já relatei o problema e não existe um setor ou célula espécífica que trate deste tipo de assunto.
    Tentarei via ouvidoria e Anatel ou até mesmo em algum juizado espcial ou via Procon!





    Citação Postado originalmente por wilpeterson Ver Post
    Realmente eu me deparei com esses erros de endereçamento de IP nos modens Oi Fibra, quando estão na faixa 192.168.0.0/24 ... no padrão deles que é 192.168.1.254 já vi aparecerem, constantemente, os IPs 192.168.1.150 e 192.168.1.5 na rota sem ter ninguém usando esses endereços, isso comigo e em alguns clientes o que me deixou bastante preocupado, mesmo mudando para, por exemplo 192.168.0.254, surgia tráfego em IPs 192.168.0.150 e 192.168.0.5 ... (testei com 2.254 até 10.254, mudei para /8 ou /12 e deu no mesmo).

    Quando parti para mudar o IP do modem Oi Fibra, descobri que não posso usar 10.0.0.0/qualquer coisa ... o VOIP cai! Embora, no meu caso, o IP da VLAN do VOIP seja um /29 se eu colocar o modem com /12 por exemplo ou /8 o VOIP para de funcionar do mesmo jeito.

    Por incrível que pareça, depois de muito quebrar a cabeça, a faixa de IP´s que melhor funcionou comigo foi 172.16.0.0/12, os "endereços IP fantasmas" sumiram e consegui até uma leve melhoria no link ... ficou mais estável, como tentei demonstrar nos anexos.

    Mas ainda não fiz nenhum teste com IPv6, uma coisa que preciso arrumar um tempo para estudar e aprender ...
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         Server1.png
Visualizações:	192
Tamanho: 	113,2 KB
ID:      	70477  
    Arquivos Anexos Arquivos Anexos