Cấu hình IPTV FPT Trên Pfsense | Hôm vừa rồi mình có chuyển router do nhà mạng cấp sang dùng converter và quay PPPoE trên MiniPC chạy Pfsense, sau khi setup xong internet có bình thường nhưng dịch vụ IPTV FPT không chạy được, mình có tìm hiểu thì dịch vụ IPTV FPT truyền tải đến người dùng cuối thông qua Multicast Server trên IGMP Protocol nên router phải có hỗ trợ IGMP Proxy mới dùng được, sau khi đọc tài liệu của Pfsense thì may quá Pfsense có hỗ trợ IGMP Proxy. Sau khi cấu hình thành công mình xin chia sẽ với mọi người guide cấu hình IPTV FPT trên Pfsense. Bên dưới là mô hình mạng của mình.

Tìm hiểu thêm : Multicast là gì, hoạt động như thế nào?

Mô Hình triển khai IPTV FPT trên Pfsense.

Thông tin Router Pfsense có 4 cổng Vtnet0 đến Vtent3. Trong đó:

• Interface Vtnet1 mình dùng làm WAN kết nối PPPoE đến nhà mạng FPT (cắm vào converter mode bridge).
• Interface Vtnet0 mình dùng làm LAN sữ dụng dãy IP : 192.168.72.0/26.
• Interface Vtnet2 mình dùng  cho Camera sữ dụng dãy IP : 192.168.1.0/24.
• Interface Vtnet3 mình dùng cho SETOP BOX và WIFI sữ dụng dãy IP : 192.168.20.0/26 (do mình hết cổng nên dùng chung IPTV và WIFI chung 1 interface).
• Ghi chú : do mô hình này mình cài đặt Pfsense trên Promox nên tên interface khác với trường hợp cài đặt Pfsense trực tiếp trên phần cứng MINI PC thì sẽ có tên như : igb0-igb3, hoặc igc0-igc3…).

Tham khảo thêm Mô hình OSI là gì để hiểu rõ hơn các giao thức chạy như thế nào.

Tạo Interface WAN cho dịch vụ IPTV FPT trên Pfsense.

Khi tạo kết nối PPPoE trên Pfsense, mặc định sẽ có 1 interface PPPoE được tạo ra trên cổng vật lý đó trường hợp của mình là Vtent1. IGMP không thể đi chung đường PPPoE, vì vậy cần tạo thêm 1 cổng WAN nữa trên interface Vtnet1 dành cho lưu lượng IGMP (multicast).

Trên thanh menu Pfsense, vào Interface => Assignment. Chọn cổng Vtnet1 từ danh sách Available Network Port và bấm Add. Sau khi bấm Add sẽ xuất hiện một interface mới có tên là OPTx ( x ở đây là số thứ tự do Pfsense tự tạo ra ) bấm vào tên interface mới đó để tiến hành thiết lập thông số cho interface, ở đây mình đặt tên là IPTV_WAN, thông số cài đặt cho interface xem hình bên dưới.

Đặt các thông số như sau:

• Description: IPTV_WAN.
• IPv4 Type: Static.
• IPv6 Type: None.
• IPv4 Address: 192.168.82.1/32 (lưu ý đặt IP interface này không trùng IP còn lại của interface khác trong mạng).
• IPv4 Gateway: None.

Tạo interface LAN cho dịch vụ IPTV FPT trên Pfsense.

Trên thanh menu của Pfsense, vào Interface => Assignment. Chọn cổng Vtnet3 từ danh sách Available Network Port và bấm Add. Sau khi bấm Add sẽ xuất hiện một interface mới có tên là OPTx ( x ở đây là số thứ tự do Pfsense tự tạo ra ) bấm vào tên interface mới đó để tiến hành thiết lập thông số cho interface, ở đây mình đặt tên là IPTV_LAN_WFI, thông số cài đặt cho interface xem hình bên dưới.

Đặt các thông số như sau:

• Description: IPTV_LAN_WFI.
• IPv4 Type: Static.
• IPv6 Type: None.
• IPv4 Address: 192.168.20.1/26. (tuỳ theo số lượng Host có trong Network mà chọn subnetmask cho phù hợp)
• IPv4 Gateway: None.

Sau khi cấu hình interface xong, tiếp theo vào Services => DHCP Server và chọn Interface IPTV_LAN_WFI để cấu hình DHCP Scope cho interface này.

Các thông số cấu hình như sau:

• Range: 192.168.20.10 -> 192.168.20.60.
• Gateway : 192.168.20.1 (ip của interface IPTV_LAN_WFI).
• DNS: (Cần dùng cặp DNS này, nếu không sẽ không phân giải được các tên miền nội bộ của IPTV).
  • Miền Nam: 210.245.31.220, 210.245.31.221.
  • Miền Bắc: 210.245.1.253, 210.245.1.254.
  • Lưu ý: trong trường hợp của mình do mình dùng cho WFI nữa nên mình để DNS public, còn các SETOP BOX thì mình gán IP bằng DHCP Static Mappings for this Interface, với trường hợp chỉ dùng cho mỗi IPTV thì đổi DNS lại như ở trên trong lúc cấu hình).

Cấu hình IGMP Proxy.

Sau khi cấu hình Interface và DHCP Server xong, tiếp theo là cấu hình IGMP Proxy.

Trên thanh menu Pfsense vào  Services => IGMP Proxy và chọn Enable IGMP => Save => Apply.

Sau khi Enable dịch vụ IGMP Proxy xong tiếp theo tiến hành tạo Upstream Interface và Downstream Interface.

Tạo Upstream Interface với thông tin sau: 

• Interface: IPTV_WAN (Port IPTV WAN tạo ở phía trên )
• Type: Upstream Interface.
• Networks : 224.0.0.0/4.
• Lưu ý: Tuỳ theo khu vực FPT có thể sẽ dùng IP Server Multicast khác nhau có thể liên hệ kỹ thuật FPT để hỏi.

Tạo Downstream Interface với thông tin sau: 

• Interface: IPTV_LAN_WFI (Port IPTV LAN tạo ở phía trên).
• Type: DownstreamInterface.
• Networks: 192.168.20.2/32,192.168.20.3/32,192.168.20.4/32.
• Lưu ý: trong trường hợp của mình thì mình gán Networks là các IP của SETOP BOX, nếu không dùng interface này cho thiết bị khác thì đổi lại option Networks thành:  192.168.20.0/26.

Cấu hình rule firewall Interface IPTV_LAN_WFI.

Trên menu Pfsense vào Firewall => Rules và cấu hình các Rule như sau:

Rule 1: Bấm Add và cấu hình như sau (các lựa chọn khác để mặc định):

• Action: Pass.
• Interface: IPTV_LAN_WFI.
• Protocol: Any.
• Source: Any.
• Destination: Any.
• Bấm Display Advanced và đánh dấu chọn Allow packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.

Rule 2: Bấm Add và cấu hình như sau (các lựa chọn khác để mặc định):

• Action: Block.
• Interface: IPTV_LAN_WFI.
• Protocol: Any.
• Source: IPTV_LAN_WFI net.
• Destination: LAN net.

Mục đích của Rule này là để chặn không cho traffic multicast của IPTV đi qua LAN gây nghẽn, bổ sung thêm các Rule tương tự và đổi Destination thành interface nào muốn ngăn traffic multicast của IPTV đi qua.

Rule 3: nếu các bạn không triển khai như mình thì bỏ qua phần này.

• Trong trường hợp của mình thì mình có viết thêm 1 Rule nữa để lọc traffic không phải từ Source là IP của SETOP BOX thì Allow Multicast. Để thực hiện rule này thì cần làm 3 bước
• 1 là gán IP STATIC cho SETOP BOX thông qua DHCP Static Mappings for this Interface.
• 2 là tạo 1 Aliases chứa các IP SETOP BOX đã gán.

Tạo Rule với các thông tin sau:

• Action: Pass.
• Interface: IPTV_LAN_WFI.
• Protocol: Any.
• Source: chọn Single host or Aliases => gõ tên Aliases đẫ tạo ở trên vào. tích chọn vào option : Invert match ( mục đích là để lọc ngững Source IP nào không phải là IP của SETOP BOX thì áp dụng Rule này.

Kiểm tra lại thứ tự các Rule đã Add.

Cấu hình rule firewall interface IPTV_WAN.

Tương tự như interface IPTV_LAN_WFI, trên Interface IPTV_WAN cấu hình các rule với thông tin như sau:

Rule 1: Bấm Add và cấu hình như sau (các lựa chọn khác để mặc định):

• Action: Pass.
• Interface: IPTV_WAN.
• Protocol: UDP.
• Source: any.
• Destination: Network 224.0.0.0/4
• Bấm Display Advanced và đánh dấu chọn Allow packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.

Rule 2: Bấm Add và cấu hình như sau (các lựa chọn khác để mặc định):

• • Action: Pass.
  • Interface: IPTV_WAN.
  • Protocol: IGMP.
  • Source: any.
  • Destination: Network 224.0.0.0/4.
  • Bấm Display Advanced và đánh dấu chọn Allow packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.

Kiểm tra lại thứ tự Rule.

Cấu hình Bridge.

Sau khi cấu hình xong các rule trong phần Firewall, trên menu Pfsense vào Interface => Assignment => Bridges và bấm Add. Để thêm Bridge cho interface IPTV_LAN_WFI Và IPTV_WAN.

Ở trên là các bước thực hiện cấu hình IPTV FPT trên Pfsensen mình đã triển khai trên mô hình mạng nhà mình.

 

Nguồn tham khảo :

1. Services — IGMP Proxy | Pfsense Documentation (netgate.com)

2. Cấu hình truyền hình IPTV FPT với tường lửa Pfsense – HungTNT.Dev Blog