Salut les moules,
 
étant en train de faire un bypass de ma bbox, j'aimerais comprendre pourquoi je ne reçois pas les routes multicast pour récupérer mes flux.
J'ai essayé divers OS dont notamment pfsense et Debian (igmpproxy 2.1) mais rien à faire, les routes ne sont pas mises à jour. J'ai constaté que certaines annonces (de la part de l'OLT ?) ne me parviennent pas quand j'utilise mon routeur perso.
 
Setup igmpproxy pour pfsense:

 
Un exemple de capture fait en utilisant un bridge entre la bbox et l'ONT qui est manquant quand j'utilise mon routeur:
https://forum.netgate.com/assets/up [...] gmp.pcapng
 
Le debug d'IGMP proxy:
https://pastebin.com/PqVpgicQ
 
N'étant pas absolument familier de ce protcole, j'aimerais savoir de quel côté m'orienter dans mes recherches:
- niveau fw, j'autorise tout le trafic IGMP en entrée ainsi que tout les flux UDP ayant pour destination 224.0.0.0/4 sans filtre sur les IP sources
- j'utilise uniquement igmpproxy, j'avais fait un test avec mcproxy et le même comportement était apparu, les routes ne sont pas mises à jour
- une restriction côté FAI qui limite la diffusion des annonces (par quel mécanisme ?)
 
Si une bonne âme familière de l'IGMP et de la diffusion des trames multicast pouvait éclairer ma lanterne.
 
Merci !

bon moi je fais du cisco mais je vais essayer de t'aider quand même
 
Soit ta box est en fait un routeur multicast, c'est à dire que ton poste cause IGMP avec elle et ensuite ta box fais du PIM (ou autre chose) avec le routeur "au dessus" dans l'infra de l'opérateur.
 
Soit ta box est "transparente" au niveau IGMP et ne fais que transmettre tes propres updates. Le seul moyen de le savoir serait de voir ce qui se passe sous le capot
 
Tu peux essayer d'ouvrir un ticket chez ton provider et demander une escalade à l'expertise, il te répondront peut-être !

En fait, je connais 2 cas de figure où la box est transparente:
https://lafibre.info/remplacer-bbox [...] e-sur-erx/
https://lafibre.info/remplacer-bbox [...] #msg596080
 
J'ai effectivement pensé à PIM mais niveau reverse engineering c'est plus compliqué et surtout PIM et igmpproxy ne cohabitent pas bien.
 
Je ne sais pas si cela peut influer mais la première IP en sortie en traceroute est 10.108.238.2 avec :

nan en fait on ne peut pas savoir à l'aveugle. Souvent les admins réseaux configurent PIM (avec éventuellement une authent pour éviter que n'importe qui ne monte un neighbor) et IGMP.
 
Il faudrait que tu sniffes sur l'interface WAN de ta box mais ça veut dire installer les outils de tshoot adéquats dessus et se connecter en admin.
 
Plutôt que de te prendre la tête moi je demanderai carrément au support s'ils peuvent te fournir les infos.

J'ai des captures entre le port WAN de la bbox et l'ONT mais je ne vois passer que de l'IGMP.
https://cloud.mirtouf.fr/lufi/r/p0e [...] XvPzVQDx8=
 
Je n'ai aucune certification Cisco. Si tu as des noms d'outils, je suis preneur.
 
Quant à demander au support, j'ai déjà eu affaire au support niveau 1 et c'est catastrophique. Le filtrage est trop violent, le seul contact de potable que j'avais chez Bouygues est parti.

L'authentification peut se faire via les options dhcp ?

non.  
 
je vois que c'est du 802.1q, tu es sûr que la box taggue bien le trafic multicast en vlan 100 quand elle est en bridge ?
 
ce qu'il faudrait c'est que tu refasses un sniff quand ta box est en bridge juste en filtrant les query
 
y a un truc qui m'étonne c'est que les igmp query en 224.0.0.1 sont sourcés par 0.0.0.0 dans ta première trace

C'est ça qui m'interpelle aussi. Je n'ai trouvé aucune trace de ce comportement dans la littérature.
J'ai mis un bridge entre la bbox et l'ONT. La bbox reste en routeur.
 
Il reste éventuellement la piste du marquage cos, j'avoue que je n'ai pas encore cherché de ce côté.
 
Un exemple:
https://cloud.mirtouf.fr/lufi/r/QXl [...] EecBUzclk=

Même en forçant la prio à 3 ça ne fonctionne pas.
Y'a moyen de désactiver complètement IGMPv3 sur *BSD ?

En fait, je voudrais essayer de vérifier que l'envoi d'un message sur 224.0.0.22 est voué à l'échec.

dans la trace que tu as mis dans ton premier post c'est de l'igmp v2. En fait côté poste tu ne peux pas choisir, tu es contraint par la version d'igmp qui tourne sur le routeur en face

Pourquoi je vois des annonces v3 vers 224.0.0.22 quand j'essaye de mon côté avec igmpproxy sur pfsense alors que la bbox envoie des annonces v2 sur 224.0.0.2 ?
Un patch sur le proxy ?
Je suis noob sur igmp et il y doit y avoir des choses que je comprends mal.

exemple: https://cloud.mirtouf.fr/lufi/r/kEi [...] viAUKZ18E=

ha sur ta première capture dans le premier post c'était du V2

Et si j'ai bien compris, les bonnes pratiques de routage impose qu'une demande IGMPv3 soit quand même traitée par le routeur qui répondra en IGMPv2.

en fait tout est "backward compatible" comme on dit. IGMPv3 ça sert juste pour PIM SSM parce que le poste veut sélectionner sa source (source specific multicast); sinon ça sert à rien et on bascule en v2. C'est pour ça qu'IGMP v3 doit être configuré explicitement sur les routeurs et que v2 tourne par défaut.

Et du coup pour parler directement sur 224.0.0.2, c'est possible ?

en igmpv2 ? bien sûr

Le truc c'est que igmpproxy envoie toujours sur 224.0.0.22 en IGMPv3, je vais essayer mcproxy qui permet a priori de choisir entre IGMPv3 et v2.

t'es bien courageux. Le multicast c'est tellement chiant que moi j'aurai abandonné depuis longtemps

Si seulement les FAI français donnaient les exigences techniques nécessaires pour ne pas utiliser leurs boxes, je m'éviterais bien des contorsions car passé le port forwarding et 2 ou 3 autres trucs, on est vite bridé.
Par ailleurs, la bbox est tout sauf neutre:
- elle colle un p6 sur les requêtes DNS vers les DNS ByTel et uniquement ceux-là
- certaines requêtes HTTP sont également p6

héhéhé c'est fait exprès pour avoir un truc hyper standard et que tu ne mettes pas ton propre routeur (linux, cisco ou que sais-je) à la place

Salut
 
Ca m'interesse mais je ne comprend pas trop ce que tu essaye de faire.
Tu souhaite virer ta box en fait ?

Tout à fait.
Certains ont réussi sur lafibre.info mais visiblement la configuration des équipements réseaux n'est pas totalement homogène.

Au fait, les méthodes d'authentification pour IGMP sont décrites quelque part ?

Et par ailleurs, est-il possible de faire cohabiter MLD v2 sur un vlan (id 10) et IGMP v2 sur un autre vlan (id 100) ?

ça sans problème, si vlans différents alors tout est isolé.

Est-ce que pimd pourrait remplacer igmp proxy (avec une configuration équivalente à celle du premier post) ?

nope, je pense pas. PIM c'est vraiment quand tu as un routeur de transit. Donc il faut que ton neighbor fasse du PIM avec toi aussi.

Je posais la question car certains ont a priori réussi avec Orange et que certaines options de pimd se rapportent à igmp.

faut se farcir toute la doc dans ce cas

Et niveau authentification, ça marche comment ?

Un truc marrant, je lance pimd (pas bien configuré a priori), je le tue, je lance igmpproxy ça fonctionne.
Une idée du pourquoi de ce comportement ?

aucune

ça pourrait être lié à une méthode d'authentification ?

non je ne pense pas.

Au bout d'un certain temps sans envoi de messages IGMP, je suis obligé de recommencer ma bidouille (pimd, kill, igmpproxy) pour recevoir mes flux multicast, est-ce lié à un paramétrage type "timeout" ?

en fait le routeur doit effectivement expirer les entrées parce qu'il ne reçoit plus d'IGMP membership report.
 
Le routeur en face est sensé t'envoyer en permanence des IGMP query.

Censé c'est le mot, j'ai coupé pendant 2h ma Miami et pendant 2h rien côté WAN.
Je me demande si ce n'est pas le mode igmp on-demand de Huawei:
https://support.huawei.com/enterpri [...] -on-demand