Fortigate und Swisscom TV – zum zweiten

Leider scheint es doch nicht ganz so einfach zu sein, Swisscom TV durch eine Fortigate zu leiten, wie wir es in unserem ersten Artikel “FortiGate und Swisscom TV” vorgestellt hat. Wir haben verschiedentlich Feedback bekommen, dass das TV Signal trotz der angegebenen Settings nicht dauerhaft durchgekommen ist. In diesen Fällen funktionieren jedoch andere Konfigurationeinstellungen (getestet mit v5.0.3):

Das Multicast Routing darf nicht eingeschaltet werden.

config router multicast
  set multicast-routing disable
end

Dafür muss diese Einstellung noch mit rein.

config system settings
   set multicast-ttl-notchange enable
end

Jetzt noch die Multicast & Firewall Adressen – wie gehabt

config firewall multicast-address
  edit "Swisscom_Multicast1"
    set end-ip 224.255.255.255
    set start-ip 224.0.0.0
  next
  edit "Swisscom_Multicast2"
    set end-ip 239.255.255.255
    set start-ip 239.0.0.0
  next
end
config firewall address
  edit Swisscom_Box
    set address 192.168.1.11
  end
end

Und letztlich die Firewall Policies, wobei das NAT auf der ausgehenden Policy eingeschaltet werden muss:

config firewall multicast-policy
edit 0
  set srcintf wan1
  set dstintf internal
  set srcaddr all
  set dstaddr "Swisscom_Multicast1" "Swisscom_Multicast2"
next
edit 0
  set srcintf internal
  set dstintf wan1
  set srcaddr "Swisscom_Box"
  set dstaddr "Swisscom_Multicast1" "Swisscom_Multicast2"
  set snat enable
 end
end

Wir hoffen, dass diese Settings für diejenigen, die bis jetzt keinen Erfolg mit dem Swisscom TV haben, besser funktionieren.

Dank

Vielen Dank an Beat Rust, lobsi.com AG, der die neuen Einstellungen gefunden und uns mitgeteilt hat.

15 thoughts on “Fortigate und Swisscom TV – zum zweiten

  1. Elmiguel Reply

    Funktioniert bestens bei meinem Setup. Vor der FortiGate steht ein Swisscom Router. Das FortiGate WAN Interface hat also keine offizielle IP. Problematisch ist aber die Last die generiert wird auf der FortiGate 60C. Sobald SwisscomTV aktiv ist steigt die CPU und Memory Last auf 60-70%. Surfen wird spürbar langsamer bis praktisch unbrauchbar.

  2. elmiguel Reply

    Die hohe Last auf der FortiGate wurde durch den aktiven Software Switch generiert. Dabei war das LAN und Wireless Interface in einen Software Switch eingebunden. Eingesetzte FortiGate hat einen FortiAP connected. FortiOS unterstützt kein IGMP Snooping auf dem Software Switch wie auch auf den Switch Ports der Internal Ports der kleineren FortiGates. Das führt dann zu einem UDP Flooding welches sich vor allem in Wireless Netzwerken negativ auswirkt. Bei aktivem TV Streaming geht dann praktisch nichts mehr im Wireless Netzwerk. Sobald auf Pause gedrückt wird geht es dann wieder schnell.

  3. Roberto Varone Reply

    Hallo,
    leider bei mir noch ohne Erfolg. Habe Netopia 40C, ip adresse wird gefunden, aber kein Signal. Vielleicht könnt ihr mir weitere Info’s zu setting geben:
    a) Ist der Netopia Router 7000 auf “Briging Mode”?
    b) Netopia LAN auf DHCP?
    c) Ist auch die Policy des multicast nur über console ersichtlich?

    Danke,
    Roberto

    • elmiguel Reply

      Hallo Roberto

      a.) Router ist im Bridge Mode. In meinem Fall ist es ein Zyxel Modem. Der neuste Swisscom Router unterstützt kein Bridging mehr.
      b.) Swisscom TV Box ist am LAN Port einer FG-90D (Neue Hardware) angeschlossen mit aktivem DHCP auf dem Interface
      c.) Unter FortiOS 5 sind die Multicast Policies im GUI ersichtlich. Unter Umständen muss die GUI Option für Multicast enabled werden unter
      config system global
      set gui-multicast-policy enable
      end

      Mein Tip zum Thema: Wenn nicht unbedingt nötig die SwisscomTV Box direkt an einen Wireless Router verbinden welcher im Routing Modus laufen muss.
      Firewall dann hinter dem Router. SwisscomTV Box zu firewallen ist ja nicht zwingend nötig da darauf keine wichtigen Daten sind.

      Gruss

      Patrick Michel

  4. Volker Reply

    Hallo,

    mit grossem Interesse habe ich die beiden Artikel zum Einrichten gelesen.
    Ich habe selbst eine Fortigate Firewall und davor ein Zyxel Modem im Bridge Modus. Seit kurzem habe ich IPTV, allerdings von der deutschen Telekom. Leider bekomme ich es nach stundenlangem testen nicht zum laufen. Ich habe immer Bild und Ton für ein paar Sekunden, dann Standbild. Nach dem Umschalten wieder für ein paar Sekunden alles ok.

    Habe schon beide Artikel in meiner Fortigate konfiguriert, ohne erfolg.

    Hat noch jemand vielleicht einen Tip für mich?

    Bin für jeden Hinweis wirklich dankbar.

    Schöne Grüsse
    Volker

    • elmiguel Reply

      Hallo Volker

      Ich denke das liegt an der Multicast Konfiguration. Genau so verhaltet es sich mit SwisscomTV wenn die Multicast Konfiguration fehlt oder eine Einstellung nicht passt. Ich würde mal prüfen ob du wirklich alle Multicast Policies richtig konfiguriert hast. Dann würde ich mal mit den Multicast CLI Optionen rumspielen und schauen ob das ein Effekt hat.

  5. Dean Reply

    Hallo zusammen

    Seit einigen Wochen habe ich Probleme mit Replay sowie dem abspielen von aufgenommenen Sendungen. Live-TV sowie on demand Filme funktionieren jedoch ohne Probleme. Wenn ich die Swisscom TV 2.0 Box direkt am Swisscom Router anschliesse (sprich ohne Fortigate FW) dazwischen funktioniert alles. Wie es ausschat hat die Swisscom auf die TV boxen eine neue SW Version gespielt, weiss jedoch nicht ob dies im Zusammenhang mit dem Problem steht.

    Hat jemand von euch ebenfalls dieses Problem?

    Beste Grüsse

  6. Bruno Reply

    Die Einstellungen funktioniern auch bei Wingo (Swisscom) 🙂
    Musste aber noch zusätzlich in den systen settings den Multicast fowarder aktivieren:

    config system settings
    set multicast-forward enable
    end

    Musste dies bei der Firmware 6.0.1 aktivieren

    Beste Grüsse

  7. Simon Reply

    Hallo zusammen

    Super, danke für die Anleitung. Funktioniert übrigens auch so mit Init7, nur müssen da die Multicast-IP Adressen angepasst werden. Diese können auf der Homepage von fiber7 heruntergeladen werden.

    Habe bei mir eine DMZ erstellt um da die TV-Box zu platzieren. So ist sie komplett vom internen LAN/WLAN getrennt.

    Beste Grüsse

  8. Frei Christian Reply

    Hallo Zusammen

    Besten dank für die Anleitung.

    Ich habe das Problem. Ich bekomme keine Live Tv Bild sonder nur die Meldung “leider ist zur zeit von diesem Sender kein Live tv zusehen” Was muss ich noch anderst Configuren?
    Die Forti ist mit v6.0.5 build0268 (GA) Im betrieb.

  9. der Reply

    Hallo Christian

    Wir haben bisher noch keinen Hinweis erhalten, dass sich hier etwas geändert hat. Somit dürfte es mit der Anleitung und den Hinweisen in den Kommentaren funktionieren.

    Falls du Unterstützung bei der Konfiguration benötigst, wende dich bitte an deinen Fortinet-Partner.

    Gruss Dario

  10. GopherCH Reply

    Ich kann bestätigen, dass es genau mit dieser Anleitung (inkl. Ergänzung von Bruno) auf einer aktuellen Swisscom TV Box mit neuster Firmware funktioniert. FortiOS 6.0.5.

    Achtung, Beispiel-Scripts haben Tippfehler drin (config firewalll und fehlender blank bei set end-ip). Also nicht nur copy-pasten sondern kurz studieren 😉

    • vla Reply

      Hallo Gopher
      Besten Dank für dein Feedback. Die Beispiel-Scripts habe ich korrigiert. Deinen Rat “Also nicht nur copy-pasten sondern kurz studieren 😉” kann ich jedoch nur bestätigen.
      Vielen Dank für das lesen unseres Blogs und e gueti Zit.

  11. Michael Brändli Reply

    Hallo Zusammen

    Ich habe eine Fortinet 61F und Swisscom TV. Ich habe die Firewall-Regeln wie in dieser Anleitung konfiguriert. Soweit so gut. Mein Problem ist nun, dass das Bild und der Ton nach ca. 3-4 Minuten stehen bleiben. Wenn ich kurz den Sender wechsle und wieder zurückwechsle funktioniert es wieder für ca. 3-4 Minuten. Hat hier jemand eine Idee?
    v6.0.8 build6575 (GA) ist meine FortiOS Version.

    Besten Dank im Voraus

    • vla Reply

      Guten Tag Michael
      Besten Dank für Deinen Kommentar in unserem Blog.
      Wir bieten über unseren Blog keinen Support für technische Probleme. In diesem Konkreten Fall kommt erschwerend hinzu, dass eine allgemeine Aussage ohne Einblick in die Konfiguration leider nicht möglich ist.
      Ich kann Dir nur soweit Auskunft geben, dass uns bisher unter FortiOS 6.0.8 zwei Multicast Bugs bekannt sind: In FortiOS 6.0.9 wurden diese beiden Bugs auch behoben:
      “594577 Out of order packets for an offloaded multicast stream”
      “603194 NP multicast session remains after the kernel session is deleted.”
      Dies ist in den Release Notes auch so vermerkt: https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/2411c897-319c-11ea-9384-00505692583a/fortios-v6.0.9-release-notes.pdf
      Auch wenn diese Bugs nicht eins zu eins Deiner Problembeschreibung entsprechen, besteht eine Reelle Chance, dass einer davon mit Deinem Problem zusammenhängt. Ich empfehle Dir daher ein Update auf FortiOS 6.0.9. Wenn Du dies durchgeführt hast und das Setup noch immer nicht funktioniert, steht Dir Dein zuständiger Support (Für Endkunden der Reseller; Für Reseller der Distributor; Und für alle auch der Fortinet Support direkt) sicher unterstützend zur Seite.
      Für Updates empfehlen wir, nach der Anleitung unter https://blog.boll.ch/fortios-aktualisieren-tipps-tricks/ zu verfahren.
      Freundliche Grüsse
      Das Tech-Team der Boll

Leave a Reply

Your email address will not be published. Required fields are marked *