DVB-C (Fritz!Box 6490 Cable) an Geräte hinter pfSense durchreichen
-
@micneu Natürlich erwarte ich nicht das andere meine Probleme lösen, sollte das so rübergekommen sein will ich mich dafür entschuldigen.
Persönlich fand ich die Gerätediskussion halt etwas komisch, weil man halt außerhalb von Deutschland durchaus noch an Geräte gebunden ist.
Ich habe für mich eine Lösung gefunden, mit der ich noch nicht 100%ig glücklich bin, aber die soweit gut funktioniert. Ich bin mir auch nicht sicher ob jeder dieser Schritte wirklich nötig ist.
-
Unter System / Advanced / Firewall & NAT die Option NAT "Reflection mode for port forwards" auf PureNAT gestellt und "Enable automatic outbound NAT for Reflection" aktiviert.
-
Unter Firewall / NAT / Outbound die Option "Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)" aktiviert, die passende Regel ( in meinem Fall "Auto created rule - LAN to WAN" ) ausgewählt und in dieser im Bereich "Translation" im Bereich "Port or Range" den Punkt "Static" ausgewählt.
Inwiefern das jetzt die Sicherheit negativ beeinflusst, trau ich mich nicht zu beurteilen, aber dann gings selbst ohne korrespondierender WAN Regel für den UDP / IGMP Traffic von der Fritzbox als auch ohne IGMP-Proxy. Statisches Portmapping sollte jetzt eigentlich nicht das Ende aller Dinge sein.
Die Fritzbox - TV App findet den TV Tuner der Fritzbox dann immer noch nicht, aber das ist für mich persönlich kein Problem, da ich diese noch nie benutzt habe als auch nie benutzen werde
-
-
MDNS war drauf aktiviert, inwiefern das aber aber zum funktionieren auf der USG beigetragen hat kann ich nicht beurteilen. Von mir wurden nur per Bash der IGMP - Proxy auf der USG aktiviert und ich glaube eine Firewall Regel in WAN_LOCAL war dann noch nötig
-
@mthx said in DVB-C (Fritz!Box 6490 Cable) an Geräte hinter pfSense durchreichen:
@micneu Natürlich erwarte ich nicht das andere meine Probleme lösen, sollte das so rübergekommen sein will ich mich dafür entschuldigen.
Persönlich fand ich die Gerätediskussion halt etwas komisch, weil man halt außerhalb von Deutschland durchaus noch an Geräte gebunden ist.
Ich habe für mich eine Lösung gefunden, mit der ich noch nicht 100%ig glücklich bin, aber die soweit gut funktioniert. Ich bin mir auch nicht sicher ob jeder dieser Schritte wirklich nötig ist.
-
Unter System / Advanced / Firewall & NAT die Option NAT "Reflection mode for port forwards" auf PureNAT gestellt und "Enable automatic outbound NAT for Reflection" aktiviert.
-
Unter Firewall / NAT / Outbound die Option "Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)" aktiviert, die passende Regel ( in meinem Fall "Auto created rule - LAN to WAN" ) ausgewählt und in dieser im Bereich "Translation" im Bereich "Port or Range" den Punkt "Static" ausgewählt.
Inwiefern das jetzt die Sicherheit negativ beeinflusst, trau ich mich nicht zu beurteilen, aber dann gings selbst ohne korrespondierender WAN Regel für den UDP / IGMP Traffic von der Fritzbox als auch ohne IGMP-Proxy. Statisches Portmapping sollte jetzt eigentlich nicht das Ende aller Dinge sein.
Die Fritzbox - TV App findet den TV Tuner der Fritzbox dann immer noch nicht, aber das ist für mich persönlich kein Problem, da ich diese noch nie benutzt habe als auch nie benutzen werde
EDIT 1 // Ich habe zusätzlich noch Port 554 (RTSP) als auch 1900 und 5000 ( UPNP // Alle 3 mit TCP/UPD ) zur Fritzbox freigegeben. Online liest man das UPNP auf Port 5000 nur auf TCP hört, hab aber nach einer Weile bemerkt das die Fritzbox über Port 5000/UDP streamed
-
-
Hallo zusammen,
ich würde immer versuchen, die AVM FB xxxx am WAN
anzubringen bzw. zu installieren und dann dahinter die
pfSense! An der AVM FB kann man die ganze IoT Geräte
wie Magenta TV Box und SMart TV anbinden und dahinter
dann die AVM FB xxxx damit das LAN sicher ist. So hat
man halt auch keine Probleme und hat sich dem Routerzwang unterworfen, ist aber auch sicher
im LAN.Dobby_
-
@mthx Ganz generell gefragt:
-
Was spricht dagegen, die Geräte die unbedingt Kabel-TV brauchen direkt an die Fritte zu hängen?
-
Geht Kabel-TV bei euch nur über den Weg bzw. ist das halt einfach mit dabei und du magst es nutzen oder gibts nicht noch andere Wege? Inzwischen gibts zumindest in DE ja auch Anbieter, die Fernsehprogramme auch via IP Stream o.ä. anbieten und selbst die Sky-Mützen nutzen für ihren Kram inzwischen ja großteils IP Apps/Verbindungen, die nicht über irgendwelche RTP/Multicast Kramchannel laufen müssen und sich dann mit Firewalls kabbeln müssen.
Soll keine Geräte- oder "Machs-Anders"-diskussion sein, mich interessiert nur der Anwendungsfall/-zweck und obs keine sinnvollen Alternativen gibt?
Cheers
\jens -
-
Zu 1.) Ein Stückweit Faulheit als auch der Faktor Freundin. Sich jedes mal hin oder her logen zu müssen denk ich mir wird nicht funktionieren, zumal ich auf meiner PFSense PFBlocker, Suricata usw laufen habe und ich extrem ungern dann wieder Geräte außerhalb des internen Netzwerks Verbunden haben will.
Zu. 2.) Ich kann nicht für Österreich im generell sprechen, aber in der Gegend in der ich hier lebe gibts zwar in jeder Wohnung ne Telefonbuchse, aber in meinem Fall bekomme ich da 20Mbit raus, im Gegensatz zu 450 über das Kabel und dadurch das ich sowieso Kabelfernsehen habe. Und Mobiles Internet kommt für mich nicht in Frage wegen Latenz und auch das ist hier teilweise nicht nicht nennenswert schnell.
Das einzige was für mich relativ Attraktiv wäre ist Sky, aber für Sky schau ich fast zu wenig fern. Mit den Paketen die man haben will und den Zusatzoptionen wie Multiscreen und UltraHD zahlst da ja auch nicht zu wenig.Ich muss ganz ehrlich sagen für mich funktioniert es jetzt aber soweit auch so. Es war zwar am Anfang eine kleine Spielerei, aber jetzt funktoniert es. Zwar nicht mit App ( die wollte ich jedoch eh von Anfang an nicht nutzen, ich finde die Fritzbox TV App nicht besonders ) aber über VLC. Ich werde zukünftig noch versuchen die Fritbox in einer TV - Headened Installation einzubinden und dann die lokalen Clients mit TV-Headened sprechen zu lassen, sollte das jedoch nicht zufriedenstellend Funktionieren ist Sky auf jeden Fall etwas, über das ich nachdenken werde.
-
Ich habe mir einen Work-Around gebaut, der mit einem VLC als Client funktioniert.
Hintergrund: An die Fritz wird über rstp (554) der Steuerkanal geöffnet. Damit wird der Rückkanal ausgehandelt (client-port). Da die pfSense dieses Protokoll nicht berücksichtigt wird keine FW-Regel für den Rückkanal (TV Stream) erstellt. Man könnte nun ein paar tausend Ports von der Fritz zurück zum LAN öffnen/natten (Quelle Fritz, Quellports: 5000/5001, 5002/5003, 5004/5005, 5006/5007 (paarweise pro Client bzw Tuner), Zielports 10000-...) was aber *** ist und max. für einen Client klappt.
s. Web-based multicast live and unicast VoD streaming:
The Internet Engineering Task Force (IETF) recommends RTP over UDP or TCP transports with setup and control using RTSP over TCP
(https://en.wikipedia.org/w/index.php?title=Internet_Protocol_television&oldid=1014946651#Protocols)Ich habe stattdessen im VLC (macOS, Windows, Linux; keine APP! für Mobile, dort gibt es die Einstellungen meines Wissens nicht) in "Einstellungen", "Eingang/Codecs", "Demuxer", "RTP/RSTP" den Zielport festgelegt: RTP über RTSP (TCP) benutzen: (EIN) / Client-Port: CPx (zb: 10300). Für jeden Client mit VLC einen eigenen Port festlegen.
Jetzt in der pfSense für jeden VLC-Client im NAT - Port-Forwarding einen Eintrag vornehmen: Interface WAN, UDP / Source: Fritz:5000-5007 / Dest: Fritz:CPx-CPx+1 / NATIP: IPdesRechnersMitVLC: CPx-CPx+1 (zB: 10300-10301)
Die m3u-Liste von der Fritz im VLC laden und TV gucken.
Sicherlich gibt es eine eleganter Möglichkeit, von der ich gerne hören würde, die dann vielleicht auch mit anderen Clients arbeitet.
-
@elv Nachteil: Nur ein Tuner wird genutzt, nur ein Client funktioniert. Parallel gucken geht nicht. Aktuell reicht es für mich!
-
@mthx Geht auch nur mit einem Client, weil bei der Fritz immer die IP der pfSense aufschlägt und dann immer der entsprechende Tuner genutzt wird. Der zweite Client "blockiert" den ersten, der dass wegen ausbleibenden Daten einen Sender weiter schaltet und den ersten Client "blockiert", der dann wieder weiter schaltet (Control-Channel) und so weiter. Es musste die IP des eigentlichen Clients bei der Fritz aufschlagen, statt die IP der pfSense.
Jemand eine Idee, wie man das bewerkstelligt.
-
@elv Für deine Clients hast du ja sowieso schon eine Reservierung oder eine feste IP für das DNAT.
Mache doch eine SNAT Regel und arbeite mit IP Aliasen im Transfernetz zwischen pfSense und Fritzbox.
Sodass Client2 dann von einer anderen IP aus an der Box landet.Edit:
Oder lasse das NAT für diese Zwecke weg (keine Maskierung) und setze eine Route auf der Fritzbox, dann spart man sich das ganze DNAT kannst aber weiterhin Firewallregeln etc. nutzen
-
@bouven Herzlichen Dank. Habe für Rechner(-gruppen) eine AliasIP und damit eigene Tuner laufen.
Habe auf die Variante von mthx gewechselt und meine Portforwardings entfernt und die VLC Konfiguration auf Default bei den RTP/RSTP zurück gesetzt. So klappt es auch mit den "dummen" mobilen APPs.
Outbound NAT: Interface=WAN Source=LANdevicegrp/30 Port=* Destination=Fritze/32 Port=SatIP(554,5000-5007) NAT Address=AliasIP1 NAT Port=* Static Port=ON
Freigaben: TCP auf 554 zur Fritze und UDP für 5000-5007 zur FritzeDie Alternative mit der Route guck ich mir mal an.
-
This post is deleted! -
@bouven Die Fritz ist auch mein Default-GW.
Wie soll das mit der Route gehen? -
Die Route wird auf der Fritzbox eingetragen mit dem Ziel deines LAN Netzes hinter der pfsense.
Also bspw.:
FB
|.1
(192.168.178.0/24)
|.2
pfSense
|.1
(192.168.1.0/24)Hier bekommt die Fritzbox eine Route die ihr eben mitteilt, dass man das Netz 192.168.1.0/24 über die IP der Sense (192.168.178.2) erreicht.
Firewallregeln auf dem WAn Interface der Sense kannst du entsprechend lassen bzw. anpassen. An der Fritzbox melden sich dann DVB Clients mit der IP aus dem 192.168.1.0/24 Netz (gleiches Analog auch für ein Client in einem anderen Subnetz falls du ein eigenes Netz hast für deine WiFi Clients.