KPN IPTV in de DMZ
Het proces om IPTV van KPN te laten functioneren via een eigen router is ondertussen best aardig gedocumenteerd. Als je toevallig een Ubiquiti Edgerouter gebruikt hoef je tegenwoordig al bijna niets meer zelf te bedenken.
Een van de aansluitingen onder mijn beheer betreft een KPN lijn met IPTV én een Ubiquiti Edgerouter. Omdat deze aansluiting echter wordt ondersteund door een 4G modem en ongedocumenteerde MPTCP-magie kan ik de Experiabox van KPN helaas niet vervangen door een eigen modem dat in bridge modus te zetten is. Om IPTV te kunnen gebruiken achter de Edgerouter is hierdoor een iets andere configuratie nodig.
Niet om de Experiabox heen kunnende is de beste optie die overblijft om de Edgerouter achter de Experiabox te plaatsen en deze in de DMZ te plaatsen. Hiervoor heb je het MAC-adres van je router, in mijn geval dus de Edgerouter, nodig om dit te kunnen instellen in de interface van de Experiabox.
Met de Edgerouter in de DMZ moeten we er nog wel voor zorgen dat het multicast-verkeer voor IPTV via de Edgerouter bij de STB1 terechtkomt. Hiervoor moet je gebruik maken van igmpproxy en niet vergeten het multicast-verkeer toe te laten in de firewall.
IGMP configureer je als volgt:
set protocols igmp-proxy interface eth0 alt-subnet 213.75.0.0/16
set protocols igmp-proxy interface eth0 alt-subnet 217.166.0.0/16
set protocols igmp-proxy interface eth0 role upstream
set protocols igmp-proxy interface eth0 threshold 1
set protocols igmp-proxy interface eth1.10 role downstream
set protocols igmp-proxy interface eth1.10 threshold 1
Hierbij is eth0
de poort die verbonden is met de Experiabox (en waarvan het MAC-adres ingesteld staat in de DMZ!) en eth1.10 de interface van het interne netwerk waar je STB mee verbonden is.
Bovenstaande zorgt dat het multicast verkeer wordt doorgestuurd van de Experiabox naar je interne netwerk, maar je moet er nog wel voor zorgen dat het überhaupt op je WAN interface wordt toegelaten! Hiervoor kun je de volgende firewallregels gebruiken:
set firewall name WAN_IN rule 21 action accept
set firewall name WAN_IN rule 21 description 'Allow KPN multicast'
set firewall name WAN_IN rule 21 destination address 224.0.0.0/4
set firewall name WAN_IN rule 21 source address 213.75.0.0/16
set firewall name WAN_IN rule 22 action accept
set firewall name WAN_IN rule 22 description 'Allow KPN multicast'
set firewall name WAN_IN rule 22 destination address 224.0.0.0/4
set firewall name WAN_IN rule 22 source address 217.166.0.0/16
Bovenstaande gaat uit van een regelset met de naam WAN_IN
als inkomende firewall voor eerdergenoemde eth0
.
Voor het gemak zijn dit twee losse regels, maar je zou ook een enkele regel kunnen maken en de source address
vervangen door een elders gedefiniëerde address-group
.
-
Set-top box: dat kastje dat je nodig hebt om TV te kunnen kijken. ↩︎