На небольшом офисе сменили оборудование mikrotik 2011 на FortiWiFi 30E. Настроил PPРoE подключение , политики файервола, NAT - интернет заработал на устройствах в локальной сети. А вот настроить IPTV, которое раздает мультикастом местный провайдер , оказалось задачей не из простых , в интернете по настройке IGMP proxy для FortiGate мало информации . На рисунке ниже показана упрощенная схема подключения FortiWiFi 30E и к ней IPTV приставки MAG255.

Упрощенная схема подключения
Упрощенная схема подключения

Исходные данные:

  • интерфейс WAN (port1) подключен кабелем к провайдеру и получает по DHCP ip адрес класса А от него. На этот же интерфейс приходит трафик IPTV (IGMP) от провайдера;

  • интерфейс Wildpark по протоколу PPPoE авторизируемся у провайдера и получаем доступ в интернет;

  • интерфейс Lan (port2) , с ip адресом 192.168.42.1/24 смотрит в локальную сеть с пару компами и IPTV приставкой , на нем работает DHCP сервер и раздает хостам ip адреса подсети 192.168.42.0/24;

Настроенные сетевые интерфейсы
Настроенные сетевые интерфейсы

Для настройки IGMP proxy нам необходимо включить Multicast Policy , заходим System->Feature Visibility->Multicast Policy enable и жмем Apply. И включить настройку в командной строке FortiGate multicast-ttl-notchange, для того что бы не изменялся TTL у мультикаста проходящего через роутер.

Добавление Multicast Policy
Добавление Multicast Policy
fortinet# config system settings

fortinet(settings)# set gui-multicast-policy enable

fortinet(settings)#set multicast-ttl-notchange enable

fortinet(settings)#end 

Следующим шагом отключаем multicast-routing если он включен:

fortinet# config router multicast

fortinet(multicast)#  set multicast-routing disable    

fortinet(multicast)# end

Теперь что бы побежал мультикаст на IPTV приставку , а с нее запросы на получения группы с определенным IP адресом класса D, необходимо настроить два правила Multicast Policy ,которые находятся в GUI Policy & Object->Multicast Policy.

Multicast Policy
Multicast Policy

В первом правиле разрешаем мультикаст трафик с WAN интерфейса в локальную сеть Lan , где Source Address 0.0.0.0/0 , а Destination Address 224.0.0.0-239.255.255.255.

Первое правило Multicast Policy
Первое правило Multicast Policy

в командной строке:

fortinet# config firewall multicast-policy 

fortinet(multicast-policy)# edit 1 

fortinet(1)# set srcintf "wan" 

fortinet(1)# set dstintf "lan" 

fortinet(1)# set srcaddr "all" 

fortinet(1)# set dstaddr "all" 

fortinet(1)# next 

fortinet(multicast-policy)# end

Во втором правиле разрешаем запрос на группу мультикаста от IPTV приставки с Lan на WAN , где Source Address 0.0.0.0/0 и Destination Address 224.0.0.0-239.255.255.255.

Второе правило Multicast Policy
Второе правило Multicast Policy

В CLI :

fortinet# config firewall multicast-policy  

fortinet(multicast-policy)# edit 2 

fortinet(1)# set srcintf "lan" 

fortinet(1)# set dstintf "wan" 

fortinet(1)# set srcaddr "all" 

fortinet(1)# set dstaddr "all" 

fortinet(1)# next

fortinet(multicast-policy)# end  

И можно наслаждаться просмотром телеканалов на IPTV приставке. Прошу строго не судить, проба пера. Очень хороший цикл статей и видео по мультикасту, который помог мне разобраться с этой технологией, спасибо автору.