а вообще я вспомнил . как то давно у меня у родителей стоял сервачек не большой и там в сети провайдера вещал IPTV так мне было завидно что у них есть телек а у меня нет . и я на этом серваке поднял 2003 и VPN . пробросил до сервака 1723 порт на 804HV . и бывало что даже получалось посмотреть телек , но правда ОООООООООООООООООООООчччччччччччень редко ...... может кому нибудь поможет эта инфа .....

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Так все таки..... что делать с "only_routes_set_up_by_server_iface_allowed"???
Как я понял, на внешний интерфейс начинают идти мультикаст-пакеты, которые я пытаюсь MultiSAT-ить в PPTP-сервер. Получается эта ошибка. Что я только в MultiSAT-правиле не писал. Все равно продолжает писать "only_routes_set_up_by_server_iface_allowed"!!!

Дело не в правиле, а в настройках сервера. Там есть поле Allowed Networks, поставьте all-nets.
Но туннелировать не поможет. Уже 10 раз проверены все варианты. В туннель уходят только IGMP запросы, мультикаст ни-ни.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Да так и стоит!!! Значит всетаки как ни крути заставить ходить мультикаст через PPTP не получится?

Не получится.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Попробовал с L2TP - такая же ерунда.
Выход один - GRE. Но тут несколько минусов. Первый (незначительный) - Windows его не поддерживает. А второй - он без шифрования.
Короче все настроил, все работает. Прокинул мультикаст с одного фаервола на другой через GRE, который в свою очередь завернул в IPSec. Хоть тут не оказалось подводных камней!

Круто! И чо, реально мультикаст ходит по IGMP запросам, а не тупо поток пустить?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

РЕСПЕКТ И УВАЖУХА!!!!!!
Гниальная работа !

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

а можно поподробней как это сделать???

_________________
di-804hv х2, dfl-210 х4, dsl-2300u х3, DVA-G3672B,DWL-G700AP х3, DWL-2100AP, DCS-910, DVG-7111S х2

Все как положено. Откуда пришел IGMP - туда и мультикаст пошел.
Да все как по книжке. Сначала делаешь IPSec-тунель между фаерволами (проверяешь что он правилно настроен и работает). Но одного IPSec недостаточно - он не пропускает мультикаст. Значит теперь внутри него устанавливаешь GRE-тунель (и его проверить тоже). В результате между двумя фаерволами получается соединение, которое безпроблем пропускает любой трафик (в том числе и мультикаст). Теперь можно играться и с IGMP-правилами.

Striker1e, спасибо.
А вот еще такой вопрос - если за одним из DFL юзер начал смотреть IPTV, не возникает ли проблема, что этот же мультикаст кроме юзера в LAN отправляется еще и в GRE туннель к другому DFL? Ну вдруг такой косяк тоже есть. Не проверяли подобное?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

1.IPsec работает только с юникастовыми протоколами (by design). Поэтому мультикаст не пройдет.
2.При подобной схеме лучше поднимать IPSec тоннель не так, а слегка иначе. При настройки IPSec, использовать режим transport а не tunnel, и конечные точки будут совпадать с remote network, это снизит проблемы с оверхедом.
3.GRE после этого как не настраивай всегда пойдет по IPsec каналу.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Нет не пойдет, для того, чтоб пошел его надо сначала запросить. Просто настраивает разные правила для IGMP для тоннеля и для lan и все.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Sergey Vasiliev, а кроме мультикаста, какой еще тип трафика можно отправить в GRE? В мануале ничего не сказано, опытным путем, как видите, узнали про мультикаст. Как насчет броадкаста?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Это теория или личный опыт? Как оно в теории, я и сам знаю

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)