Umstellung von Heimnetzwerk auf pfsense (Anfänger, OpenVPN, VoIP, Entertain)
-
Ich hab aufgrund ähnlicher Gedanken mich damals hier angemeldet (weil ipFire anscheinend nur OPENVPN Server aber keine Clients hat)
Ich weiss jetzt nicht ob ich es falsch Verstanden hab oder andere es evtl. falsch Verstanden haben…
Ich lese das hier
192.168.100.10-19 -> Server in der Schweiz
192.168.100.20-29 -> Server in den Niederlanden
192.168.100.30-39 -> Server in den USAso:
Alle internen Geräte mit den letzten Oktett zwischen 10 und 19 (also der PC der Frau, das Notebook vom Nachwuchs etc..) werden über eine VPN Verbindung auf einen Server in der Schweiz geroutet, und gehen von da aus ins Internet eben auch auf z.B. die Youtubevideos die die GEMA in Deutschland gesperrt hat (z.B. russische Dashcam Crashvideos die ab und zu den Ton vom russischen Radio drauf haben)
Alle internen Geräte mit dem letzten Oktett zwischen 20 und 29 (also das NAS im Keller und bla bla…) werden über eine VPN Verbindung auf einen Server ...
Alle internen Geräte zwischen 30 und 39 (also der Fire-TV Box, der Roku für Hulu und Netflix) gehen über eine VPN Verbindung in die USA um den Kram zu glotzen den man trotz 8 Milliarden TV Gebühren in Deutschland nicht sehen kann.
so verstehe ich das, und deswegen hab ich pfSense gefunden weil ich nach "selektiven Routen" gesucht habe.
Dazu aber gleich an den TE, das ist (vor allem die Verschlüsselung für die Router/Firewall Hardware nicht ohne, das geht mit pfSense aber evtl. nicht mit der APU weil der Chip kein AES drauf hat.
http://www.retropixels.org/blog/use-pfsense-to-selectively-route-through-a-vpn
Gruss Auric
-
so verstehe ich das, und deswegen hab ich pfSense gefunden weil ich nach "selektiven Routen" gesucht habe.
Dazu aber gleich an den TE, das ist (vor allem die Verschlüsselung für die Router/Firewall Hardware nicht ohne, das geht mit pfSense aber evtl. nicht mit der APU weil der Chip kein AES drauf hat.
So war es gemeint, vielen Dank :)
Das mit dem fehlenden AES-Befehlssatz habe ich inzwischen auch schon gefunden. Daran habe ich leider noch gar nicht gedacht und stellt mich generell eh vor ein Problem, wie ich derzeit finde. Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.
Der AMD A4-5000 oder AMD E1-2100 hat AES, jedoch finde ich bislang kein Board mit Dual Gigabit LAN, wobei wir hier auch nicht mehr im Bereich eines SBCs sind. Beim Intel J1900 gibt es ein Board mit Dual Gigabit LAN jedoch hat der J1900, wenn ich es richtig sehe ebenfalls keinen AES Befehlssatz.
-
@please:
Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.
Der AMD A4-5000 oder AMD E1-2100 hat AES, jedoch finde ich bislang kein Board mit Dual Gigabit LAN, wobei wir hier auch nicht mehr im Bereich eines SBCs sind. Beim Intel J1900 gibt es ein Board mit Dual Gigabit LAN jedoch hat der J1900, wenn ich es richtig sehe ebenfalls keinen AES Befehlssatz.
Das Fitlet -i und -X http://www.golem.de/news/compulab-fitlet-und-mintbox-mini-passive-mini-pcs-mit-amds-mullins-chip-1501-111716.html haben wohl was wir wollen, wenn es nur um die Anzahl der NICs ginge wäre ein Gigabit-Ethernet Port den man als Router on a Stick über einen VLAN fähigen Switch anschliessen könnte ausreichend (das mit dem Router on a Stick schreib ich hier ganz leise, weil das natürlich bei Heavy-Traffic im Gigabit Bereich ein Flaschenhals wäre)
Gruss Auric
-
Danke für den Hinweis!
Ein Quad-Core mit AES sollte ausreichend Power haben. Lockt ziemlich das Gerät.
Was ist aus deinem "ähnlicher Gedanken" geworden weswegen du dich hier angemeldet hast? Problemlos geklappt?
Edith sagt: Wobei die Preise letztendlich auch nicht ohne sind :( http://www.fit-pc.com/web/purchasing/order-fitlet/
-
Und die notwendige Zeit mal gar nicht mitgerechnet. Es würde mich schon unter den Fingern jucken aber ich muss am Ende halt auch das Gefühl haben: Es muss sich gelohnt haben.
Ich hab das gemacht und habe das Gefühl, dass es sich gelohnt hat, denn jetzt habe ich Remote Management Möglichkeiten, denen ich vertrauen kann (SSH, OpenVPN sowie IPv6 und mehr).
Das mit dem fehlenden AES-Befehlssatz habe ich inzwischen auch schon gefunden. Daran habe ich leider noch gar nicht gedacht und stellt mich generell eh vor ein Problem, wie ich derzeit finde. Bislang mir keine SBCs bekannt, welche den AES Befehlssatz und Dual Gigabit haben.
Ich weiß nicht was ihr sucht oder wo ihr das Problem habt. Die APU kann sicher kein Gigabit VPN machen. Das muss sie aber auch gar nicht, denn du hast vorne raus nur 50MBit DSL. Und das sollte sie spielend schaffen. Wenn das zu wenig ist, kann man auch in die Ecke Rangeley Atom gehen, da gibt es die kleineren Kisten mit 4-5 NICs auch schon für 200-300€.
Verstehe gerade nicht genau was du da suchst :) aber wenn dus genauer beschreibst, kann ich dir ggf. was empfehlen.
Grüße
-
@please:
Was ist aus deinem "ähnlicher Gedanken" geworden weswegen du dich hier angemeldet hast? Problemlos geklappt?
Edith sagt: Wobei die Preise letztendlich auch nicht ohne sind :( http://www.fit-pc.com/web/purchasing/order-fitlet/
Ich hab das mal angegangen, mir eine APU besorgt, einige Wochen mit ihr gekämpft, ipFire rauf und wieder runter (siehe oben) an pfSense 2.15 verzweifelt und 2.2 RC problemlos zum laufen gebracht, und auf 2.2 Final upgedated.
Die APU ist jetzt hier in der Firma, weil wir da ganz schnell eine ordentliche VPN Verbindung gebraucht haben und macht hier ihre Sache mit 3 VLANs bisher absolut problemlos.
Jetzt muss ich mir für daheim halt wieder eine neue Hardware suchen…
Ja die Preise sind natürlich prohibitiv, mein Wissensstand waren die 130 $ laut Golem, + Aufpreis für die bessere Hardware. Das der Aufpreis 90% beträgt wusste ich nicht, hätte ich es gewusst hätte ich das Ding nicht verlinkt.
@Jens: Die Frage nach AES-NI kam auf weil das selektive Routing theoretisch auch mit einem ASUS Router möglich ist, der ist aber oft selbst für langsamere Verbindungen schlicht zu schwach, kommt evtl. daher das gewisse VPN Anbieter solche Verschlüsselungen Version:
OpenVPN-2.3.6
TLS+Cipher: TLSv1.2 + AES-256-CBC
HMAC-Auth: SHA-512
RSA-Keys: 4096 bitanbieten und dazu ist eine AES Hardware evtl. von Nöten (was ich nicht beurteilen kann, ich hab nur so einiges gelesen....) :-[
-
OpenVPN-2.3.6
TLS+Cipher: TLSv1.2 + AES-256-CBC
HMAC-Auth: SHA-512
RSA-Keys: 4096 bitWürde auf genau meinen Anbieter zutreffen.
Nicht sicher, ob du das nicht sogar von deren Seite hast ;)
-
Ich hab mich ein wenig in die Zotac Zbox PA330 http://techreleasedate.com/zotac-zbox-ci321-nano-en860-pa330-review/verguggt, leider hab ich für die noch keinen Preis oder Lieferdatum gefunden.
-
@Auric: Dat Dingens hat aber nur eine Gigabit Schnittstelle soweit ich sehe? Fiele damit bei mir komplett durch :) Zumal der SOC ja auch ein APU ist (obwohl ein anderer) und beim WLAN nicht klar ist welches Modul, wüsste ich nicht ob das überhaupt sauber mit pfSense läuft.
-
Die Eckwerte kenne ich ;)
Mir gefällt die APU die im Gegensatz zu PC-Engines APU auch AES kann, die Gigabit Ethernet Schnittstelle der Formfaktor und hoffentlich der Preis
Der einzelne Netzwerkport stört erst einmal nicht, als Router on a Stick am VLAN fähigem Switch im Keller brauche ich nicht mehr.
Gruss Auric
-
OT: Okay wenn du das mit VLAN machst und damit auf Gigabit verzichten kannst, ist das natürlich was anderes. Mir persönlich wäre es zu beschränkt :) Da würde ich eher zu einem Rangeley Atom 2-Kerner tendieren, der liegt nicht ganz so teuer wie der 8-Kerner und hat trotzdem ordentlich Schub. ;)
-
OT: Okay wenn du das mit VLAN machst und damit auf Gigabit verzichten kannst, ist das natürlich was anderes. Mir persönlich wäre es zu beschränkt :) Da würde ich eher zu einem Rangeley Atom 2-Kerner tendieren, der liegt nicht ganz so teuer wie der 8-Kerner und hat trotzdem ordentlich Schub. ;)
OT: so eine GE Schnittstelle macht das ja im Duplex, da kann man ganz ordentliche Datenmengen gleichzeitig rein und raus schaufeln sofern die innen Verarbeitet werden können, es müssen ja "nur" die Datenmengen eines VDSL Anschlusses durch, ich will damit keine Bürogebäude miteinander koppeln.
On Topic: hast du ein Link zu so einem Rangeley 2 Kerner? ist natürlich interessant.
Gruss Auric
-
Jup, ein Link zu Rangeley 2-Kerner, coming right up!
http://j.mp/rangeley2
Gibbet in Ausführung mit 4 oder 6 NICs. Liegen dafür aber etwa beim Doppelten von einer APU also im Preissegment ~350-400€, allerdings damit günstiger als die C2758er Angebote, die da schon im Segment 450-550€ rumschwirren.
Grüße
Jens -
Danke :D
Ach ja und die Intel Version von der kleinen Zotac Box die Zotac pico PI330 hat die gleichen Schnittstellen (ausser AC-WLAN) und einen Intel Z3775 drin der wie alle Prozessoren der Z Serie AES-NI kann ;) die Box ist also auch denkbar und sicher im gleichen Leistungsbereich.
-
Hab da ein nettes Mainboard gefunden, leider noch nicht verfügbar aber anscheinend schon für 200 bis 230$ gelistet..
http://www.jetwaycomputer.com/NF3A.html
mit dem E3827 bestens ausgestattet, einzig die beiden Realtek RTL8111G Gigabit LAN Ports sind anscheinend nicht ideal
Gruss Auric
Edit: nur damit ich es nicht vergesse, von Shuttle den DS57U
http://www.shuttle.eu/de/produkte/slim/ds57u/uebersicht/gibt es demnächst einen lüfterlosen Slim-PC der sowohl einen brandneuen Broadwell Intel Celeron 3205U (mit AES-NI)
http://ark.intel.com/de/products/84809/Intel-Celeron-Processor-3205U-2M-Cache-1_50-GHzund zwei Gigabit Ethernet Ports von Intel
Dual Gigabit Netzwerk
Mit zwei RJ45 Netzwerkanschlüssen
Verwendete Netzwerkchips:- Intel i211 Ethernet Controller mit MAC, PHY und PCIe-Schnittstelle
- Intel i218LM PHY verbunden mit dem MAC des Prozessors
Unterstützt 10 / 100 / 1.000 MBit/s Datentransferrate
Unterstützt WAKE ON LAN (WOL)
Unterstützt das Booten vom Netzwork via Preboot eXecution Environment (PXE)
-
Verstehe gerade nicht genau was du da suchst :) aber wenn dus genauer beschreibst, kann ich dir ggf. was empfehlen.
Einen wunderschönen. Leider musste ich das Thema etwas parken, derzeit beruflich viel um die Ohren und daher nicht so viel Zeit mich mit dem Thema zu beschäftigen.
Was suche ich? Ganz ehrlich: Die perfekte Lösung, die es vermutlich nicht geben wird ;)
Daher noch einmal kurz zusammengefasst was ich erreichen möchte:
- Betrieb von VDSL50 (später 100) mit deutscher Telekom
- VoIP derzeit noch mit altem Telefon (kein VoIP-Gerät)
- Telekom Entertain
- OpenVPN Client von pfsense nutzen, so dass ich je nach eingestellter IP-Adresse der lokalen PCs direkt ins Netz gehe oder über einen VPN-Tunnel
–> siehe dazu: Use PFSense to selectively route through a VPN
–> Telekom Entertain, VoIP, PC 1 und 2 z.B. nicht über VPN, PC 3 bis X über VPN - Gedanklich spiele ich noch mit einem Virenfilter auf pfsense, wobei ich dann bei SSL-Verbindungen ja mit einem eigenem Zertifikat rumspielen muss was mich etwas stört
Ich hoffe in diesem Zusammenhang, dass VPN, VLAN für Telekon Entertain, etc. alles so glatt gehen wird.
Da ich im "schlimmsten" Fall bis zu 50 Mbit (später 100 Mbit) über VPN jage (Anbieter schafft so viel, auch wenn ich das natürlich nicht permanent am Stück auslaste sondern eher als Spitze ansehe) und dabei TLS+Cipher TLSv1.2 + AES-256-CBC, HMAC-Auth: SHA-512, RSA-Keys: 4096 bit nutzen möchte, denke ich, dass eine CPU mit AES-Befehlssatz einfach sinnvoll wäre.
Für mich steht also derzeit als Planung auf dem Zettel:
- DSL-Modem DrayTek Vigor130 (oder ggf. ein gebrauchtes Speedport 300HS, eben hier das erste mal gesehen, muss ich mal recherchieren)
- TP-Link TL-SG3210 JetStream Gigabit L2 Lite Managed Switch (8-Port, inkl. 2 SFP Slots, lüfterloses Passivkühlkonzept) (Die von jahonix genannten Cisco-Hobel sind mir etwas teuer oder lohnt sich das?)
- Dazwischen Firewall mit pfsense
Wenn man mir nun aber definitiv klar sagen kann, dass ich auf AES als CPU-Befehlssatz verzichten kann, dann sieht die Sache easy aus. Ansonsten tendiere ich langsam jedoch schon fast zu einem selbstgebautem PC mit einer AMD CPU (AMD Athlon 5150 oder AMD A4-5000). Dazu eine gebrauchte zusätzliche Gigabit-Netzwerk-Karte und "fertig".
Mit zusätzlicher Hardware bzw. vorhandenen Komponenten liege ich dann bei ca. 200-300 Euro, also ähnlich den fertigen Lösungen. Nur flexibler, dafür natürlich auch größer.
Für mich hängt das nun praktisch an zwei Dingen:
1. Klappt das mit dem Modem und Switch so wie ich es mir vorgestellt habe?
2. Welche CPU benötige ich wirklich?Edith sagt: Ach ja, für den Betrieb des Telefons würde ich dann noch ne olle billige Fitzbox für VoIP bei ebay schießen
-
Hallo,
ich habe hier eine Lösung laufen, die in etwa in Deine Richtung geht.
Eckdaten:
-
pfSense auf ZBOX ID89 mit 2x LAN (nicht optimal was den Stromverbrauch angeht, hatte ich aber noch übrig - aktuell würde ich wohl eher zum Shuttle DS57U greifen)
-
T-Entertain über eigenes VLAN
-
VDSL50
-
eigener VPS-Server in USA zu dem ich einen dauerhaften OpenVPN Tunnel stehen habe und so bei Bedarf bestimmten Geräten (über die IP) einen US-Standort verpassen kann
Was ich zunächst wollte war eine Lösung mit "selective Routing", so dass ich die IP-Adressen der Clients nicht ändern muss. Das scheitert aber daran dass gerade die großen Anbieter wie Netflix, Amazon Prime Video, Youtube, Maxdome, usw. nicht so einfach über eine IP-Adresse oder ein Subnet zu erfassen sind. Wenn mir die richtigen Daten vorliegen würden, müsste ich diese nur eintragen - denn vom Setup ist alles so vorbereitet und mit einfacheren Gegenstellen (wieistmeineip, etc.) erfolgreich gestestet.
Daher schicke ich jetzt einfach komplette Geräte (selektiert über deren eigene IP Adresse) durch den OpenVPN-Tunnel. Mein Fire-TV läuft so z.B. problemlos mit US-Netflix, ohne dass ich dafür irgendwas machen muss. Auch die 24stündige Zwangstrennung übersteht die Lösung ohne manuelle Eingriffe.
Am PC habe ich mir das Tool NetSetMan installiert, mit dem man mit 2-3 Clicks IP-Konfigurationen wechseln kann. Dadurch kann ich am PC innerhalb weniger Sekunden zwischen deutscher und US-IP wechseln, einfach indem ich die IP-Adresse des PCs umschalte.
T-Entertain läuft auch problemlos und stabil (war aber viel Arbeit und erfordert einen VLAN-fähigen Switch oder ein pfsense-Gerät mit mehr als 2 LAN-Anschlüssen). Einziges Problem ist, dass ich nicht direkt auf den vorherigen Sender zurückschalten kann, da dann der Stream beim Übergang auf Multicasting abbricht. Wenn ich aber mit dem Zurückschalten 30-40 Sekunden warte, dann geht es. Damit kann ich leben.
Alles was Du willst ist also mit pfsense umsetzbar, sofern Du ein Gerät mit mind. 2 LAN-Anschlüssen + VLAN-fähigem Switch oder ein Gerät mit 3 LAN-Anschlüssen (dann kannst Du den T-Entertain Receiver auf einem eigenen Anschluss laufen lassen) hast. Außerdem brauchst Du ein VDSL Modem (z.B. DrayTek Vigor130 - angeblich auch für VDSL100 geeignet) - die Telekom Geräte lassen keinen reinen Modembetrieb zu!
-
-
@please:
- TP-Link TL-SG3210 JetStream Gigabit L2 Lite Managed Switch (8-Port, inkl. 2 SFP Slots, lüfterloses Passivkühlkonzept)
(Die von jahonix genannten Cisco-Hobel sind mir etwas teuer oder lohnt sich das?)
Der ist auch völlig iO, davon werkeln bei mir 3 oder 4 daheim. Kann halt kein L3, brauche ich zuhause aber auch nicht.
Die CLI ist zu der von Cisco nur ähnlich, daher tue ich mich mit dem hin- und herswitchen immer wieder schwer und werde langfristig wohl komplett auf die Ciscos setzen. Denn beruflich verwende ich die viel öfter. - TP-Link TL-SG3210 JetStream Gigabit L2 Lite Managed Switch (8-Port, inkl. 2 SFP Slots, lüfterloses Passivkühlkonzept)
-
Hallo,
ich habe hier eine Lösung laufen, die in etwa in Deine Richtung geht.
Danke für die Info. Deckt sich recht gut mit meinen Anforderungen. Das mit diesem 30-40 Sekunden-Delay beim Umschalten find ich schade, switche gerne immer mal wieder hin und her wenn ich Werbung überbrücken will und nicht den Anfang verpassen möchte.
Umgeht man das Problem damit, wenn ich von Sender 1 auf 2 und anstatt von 2 zu 1 dann erst du 3 und dann zu 1 springe? Vermutlich nicht oder?
@please:
- TP-Link TL-SG3210 JetStream Gigabit L2 Lite Managed Switch (8-Port, inkl. 2 SFP Slots, lüfterloses Passivkühlkonzept)
(Die von jahonix genannten Cisco-Hobel sind mir etwas teuer oder lohnt sich das?)
Der ist auch völlig iO, davon werkeln bei mir 3 oder 4 daheim. Kann halt kein L3, brauche ich zuhause aber auch nicht.
Die CLI ist zu der von Cisco nur ähnlich, daher tue ich mich mit dem hin- und herswitchen immer wieder schwer und werde langfristig wohl komplett auf die Ciscos setzen. Denn beruflich verwende ich die viel öfter.Wegen dem Namen würde ich eigentlich auch gerne zu Cisco tendieren (hab hier schon so nen billigen SD2005 Switch von denen und der rennt seit Jahren problemlos) aber die Dinger sind leider echt nicht billig.
- TP-Link TL-SG3210 JetStream Gigabit L2 Lite Managed Switch (8-Port, inkl. 2 SFP Slots, lüfterloses Passivkühlkonzept)
-
Naja, also die SG300-er Serie ist inzwischen in einem wirklich bezahlbaren Bereich angekommen.
Schau Dir mal den Preis für einen SG300-10 ohne PoE an. Kostet bei A-Z 177,- Euro, in der Bucht so 120-140 gebraucht. Für einen voll gemanagten 10-Port L2/L3 Switch ist das ein Brüller! -
Naja, also die SG300-er Serie ist inzwischen in einem wirklich bezahlbaren Bereich angekommen.
Schau Dir mal den Preis für einen SG300-10 ohne PoE an. Kostet bei A-Z 177,- Euro, in der Bucht so 120-140 gebraucht. Für einen voll gemanagten 10-Port L2/L3 Switch ist das ein Brüller!Persönlich kenne ich nicht den Vorzug eines L3-Switches muss ich zugeben. Ich kann mir derzeit auch noch keinen wirklichen Nutzen für mich ausrechnen, hier bin ich noch zu neu in der Materie.
Routing wäre in meinen Augen teil von pfsense. Einziger Vorteil wäre hier (bitte korrigiere mich) bei einem L3-Switch vermutlich die Entlastung von pfsense und Trennung dieser beiden Einheiten oder?
-
Routing wäre in meinen Augen teil von pfsense. Einziger Vorteil wäre hier (bitte korrigiere mich) bei einem L3-Switch vermutlich die Entlastung von pfsense und Trennung dieser beiden Einheiten oder?
Und VLAN… und Trunking... und Portchannel... OK das kann ein guter L2 managed auch, aber der kostet auch nicht nur 20€ ;)
-
Hallo,
ich habe hier eine Lösung laufen, die in etwa in Deine Richtung geht.
Eckdaten:
-
pfSense auf ZBOX ID89 mit 2x LAN (nicht optimal was den Stromverbrauch angeht, hatte ich aber noch übrig - aktuell würde ich wohl eher zum Shuttle DS57U greifen)
-
T-Entertain über eigenes VLAN
-
VDSL50
-
eigener VPS-Server in USA zu dem ich einen dauerhaften OpenVPN Tunnel stehen habe und so bei Bedarf bestimmten Geräten (über die IP) einen US-Standort verpassen kann
Was ich zunächst wollte war eine Lösung mit "selective Routing", so dass ich die IP-Adressen der Clients nicht ändern muss. Das scheitert aber daran dass gerade die großen Anbieter wie Netflix, Amazon Prime Video, Youtube, Maxdome, usw. nicht so einfach über eine IP-Adresse oder ein Subnet zu erfassen sind. Wenn mir die richtigen Daten vorliegen würden, müsste ich diese nur eintragen - denn vom Setup ist alles so vorbereitet und mit einfacheren Gegenstellen (wieistmeineip, etc.) erfolgreich gestestet.
Daher schicke ich jetzt einfach komplette Geräte (selektiert über deren eigene IP Adresse) durch den OpenVPN-Tunnel. Mein Fire-TV läuft so z.B. problemlos mit US-Netflix, ohne dass ich dafür irgendwas machen muss. Auch die 24stündige Zwangstrennung übersteht die Lösung ohne manuelle Eingriffe.
Am PC habe ich mir das Tool NetSetMan installiert, mit dem man mit 2-3 Clicks IP-Konfigurationen wechseln kann. Dadurch kann ich am PC innerhalb weniger Sekunden zwischen deutscher und US-IP wechseln, einfach indem ich die IP-Adresse des PCs umschalte.
T-Entertain läuft auch problemlos und stabil (war aber viel Arbeit und erfordert einen VLAN-fähigen Switch oder ein pfsense-Gerät mit mehr als 2 LAN-Anschlüssen). Einziges Problem ist, dass ich nicht direkt auf den vorherigen Sender zurückschalten kann, da dann der Stream beim Übergang auf Multicasting abbricht. Wenn ich aber mit dem Zurückschalten 30-40 Sekunden warte, dann geht es. Damit kann ich leben.
Alles was Du willst ist also mit pfsense umsetzbar, sofern Du ein Gerät mit mind. 2 LAN-Anschlüssen + VLAN-fähigem Switch oder ein Gerät mit 3 LAN-Anschlüssen (dann kannst Du den T-Entertain Receiver auf einem eigenen Anschluss laufen lassen) hast. Außerdem brauchst Du ein VDSL Modem (z.B. DrayTek Vigor130 - angeblich auch für VDSL100 geeignet) - die Telekom Geräte lassen keinen reinen Modembetrieb zu!
Sorry für die Full-Quote, aber genau diese Funktionalität ist der Grund warum ich auf pfSense gestossen bin und so wie ich gesehen hab ist genau das selektive Routing auch das was andere hier schon machen wollten.
Wenn du deine Konfiguration (in einen extra Thread) etwas genauer beschreiben könntest, evtl. mit Screenshots wären dir viele Newbees sicher ewig dankbar ;)Gruss Auric
Gruss Auric
-
-
Routing wäre in meinen Augen teil von pfsense. Einziger Vorteil wäre hier (bitte korrigiere mich) bei einem L3-Switch vermutlich die Entlastung von pfsense und Trennung dieser beiden Einheiten oder?
Und VLAN… und Trunking... und Portchannel... OK das kann ein guter L2 managed auch, aber der kostet auch nicht nur 20€ ;)
Schon wahr. Dennoch kriegt man so einen Switch inzwischen für 80 Euro, ein Cisco Switch für das doppelte der 80 ;)
-
@please:
Danke für die Info. Deckt sich recht gut mit meinen Anforderungen. Das mit diesem 30-40 Sekunden-Delay beim Umschalten find ich schade, switche gerne immer mal wieder hin und her wenn ich Werbung überbrücken will und nicht den Anfang verpassen möchte.
Umgeht man das Problem damit, wenn ich von Sender 1 auf 2 und anstatt von 2 zu 1 dann erst du 3 und dann zu 1 springe? Vermutlich nicht oder?
Leider nicht. Nur Abwarten hilft. Irgendwie scheint der alte Stream beim Umschalten nicht sauber getrennt zu werden und wenn man dann zurück schaltet kommt er mit dem Umschalten von UDP auf Multicast nicht klar, da dieser Stream noch irgendwo von vorher "offen" ist. Geht aber wie gesagt nur um das Zurückschalten auf den alten Sender - auf neue Sender (die man in der letzten Minute nicht geschaut hat) kann man beliebig schnell umschalten.
Evtl. lässt sich das auch noch irgendwie lösen - ich habe aber leider keine Lösung gefunden. Meine Regeln sind schon durchgehend auf "any"-Basis (da ich durch das verwendete VLAN nicht wirklich genau filtern muss), so dass weitere Regeln vermutlich nichts bringen. Möglicherweise kann man irgendwo Timeout-Werte für die Multicast-Pakete anpassen und das Problem so reduzieren.
Ein Trick für die Werbung ist sich über die kleine Vorschau über den Stand zu informieren und zu prüfen ob die Werbung schon vorbei ist. Das Vorschau-Fenster wird anscheinend nicht als Multicast sondern per UDP übertragen und zählt somit nicht als Umschaltvorgang. Wenn es dann tatsächlich soweit ist, sind die 30-40 Sekunden vorbei (da Werbung ja meist mehrere Minuten dauert) und man kann wieder problemlos zurückschalten.
-
@please:
Schon wahr. Dennoch kriegt man so einen Switch inzwischen für 80 Euro, ein Cisco Switch für das doppelte der 80 ;)
Ich benutze hier einen ZyXEL GS1900-24E - nicht gerade das HighEnd-Gerät aber für private Zwecke reicht er. 24 Ports, VLAN-Support und passiv gekühlt für 100 Euro - da kann man nicht klagen.
IGMP Proxy und Snooping ist auch vorhanden, hat aber bei mir nie sauber funktioniert. Da das Gerät aber auch VLAN kann ist das für die Zwecke aus diesem Thread kein Problem. Ich habe einfach ein eigenes VLAN für den T-Entertain Receiver eingerichtet und kann so den TV-Traffic vom restlichen Netz trennen.
-
Irgendwie scheint der alte Stream beim Umschalten nicht sauber getrennt zu werden
Was für einen Switch nutzt Du denn?
Wenn der gemanaged ist, dann kannst Du sicherlich auch IGMP und Snooping beeinflussen. Oder zuerst einmal konfigurieren, wer weiß ;-)
Bei IGMP gibt es dann noch die Option "Immediate Leave" mit der man herumspielen kann.Multicast ist sicherlich auch noch ein Punkt für einen besseren managed Switch.
Bei Cisco weiß ich dass es geht und TP-Link TL-SG5412F nutze ich in einer größeren IP-TV Installation zusammen mit Cisco Catalyst 2960-ern problemlos. Geht also auch.Nachtrag:
Wenn Dir die Cisco SG300 Serie zu teuer ist (und Du kein L3 brauchst), dann schau halt zu den TP-Link L2-Managed.
Die sind denen aus San Fran schon von der Bezeichnung her ziemlich ähnlich, und das sicherlich nicht nur zufällig. Aber: rein L2. -
T-Entertain läuft auch problemlos und stabil (war aber viel Arbeit und erfordert einen VLAN-fähigen Switch oder ein pfsense-Gerät mit mehr als 2 LAN-Anschlüssen). Einziges Problem ist, dass ich nicht direkt auf den vorherigen Sender zurückschalten kann, da dann der Stream beim Übergang auf Multicasting abbricht. Wenn ich aber mit dem Zurückschalten 30-40 Sekunden warte, dann geht es. Damit kann ich leben.
Das gleiche Problem habe ich leider auch… :(
Leider noch keine Lösung gefunden. Als Switche ist aktuell ein Netgear im Einsatz. Davor ein Linksys. Hat bei diesem Problem aber kein Unterschied gemacht. (Hatte wegen Anzahl der Ports gewechselt)
IGMP Snooping habe ich nicht im Einsatz, nur ein dediziertes VLAN für den Receiver. Aber ich denke, das Snooping eigentlich ja nur dazu da ist, unbeteiligte Ports zu schützen. Allerdings ist das mit dem dedizierten VLAN auch gegeben.
Jetzt ist nur die Frage: Woran liegts? Bzw. Woran könnte es noch liegen?
Danke!
-
T-Entertain läuft auch problemlos und stabil (war aber viel Arbeit und erfordert einen VLAN-fähigen Switch oder ein pfsense-Gerät mit mehr als 2 LAN-Anschlüssen). Einziges Problem ist, dass ich nicht direkt auf den vorherigen Sender zurückschalten kann, da dann der Stream beim Übergang auf Multicasting abbricht. Wenn ich aber mit dem Zurückschalten 30-40 Sekunden warte, dann geht es. Damit kann ich leben.
Das gleiche Problem habe ich leider auch… :(
Leider noch keine Lösung gefunden. Als Switche ist aktuell ein Netgear im Einsatz. Davor ein Linksys. Hat bei diesem Problem aber kein Unterschied gemacht. (Hatte wegen Anzahl der Ports gewechselt)
IGMP Snooping habe ich nicht im Einsatz, nur ein dediziertes VLAN für den Receiver. Aber ich denke, das Snooping eigentlich ja nur dazu da ist, unbeteiligte Ports zu schützen. Allerdings ist das mit dem dedizierten VLAN auch gegeben.
Bei mir sind am Switch auch alle IGMP Features deaktiviert, da das nie 100% stabil war und nach einigen Minuten immer die Verbindung abbrach. Deshalb habe ich auch auf die Lösung mit eigenem VLAN gewechselt die alle Probleme beseitigt hat - nur das mit dem Umschalten ist weiterhin der Fall.
Switch ist bei mir ein ZyXEL GS1900-24E. Somit hätten wir dann mit Deinem Netgear und Linksys schon drei Modelle und Hersteller, die dieses Verhalten zeigen. Ich denke daher das liegt irgendwo am IGMP Proxy in pfsense, da sonst eigentlich nichts Einfluss auf die Pakete nimmt. Es kommt bei mir über VLAN8 rein und geht dann über VLAN99 raus, welches nur vom T-Entertain-Receiver genutzt wird.
Hat hier tatsächlich jemand T-Entertain mit pfsense laufen und dieses Problem nicht? Also Kanal 1 für 1 Minute schauen, auf Kanal 2 schalten und nach 10-15 Sekunden wieder zurück auf Kanal 1 wechseln. Laufen dann bei Euch mehr als die ersten 8 Sekunden die per UDP kommen? Wenn ja, wäre ich sehr an Konfigurations-Tipps interessiert.
-
T-Entertain läuft auch problemlos und stabil (war aber viel Arbeit und erfordert einen VLAN-fähigen Switch oder ein pfsense-Gerät mit mehr als 2 LAN-Anschlüssen). Einziges Problem ist, dass ich nicht direkt auf den vorherigen Sender zurückschalten kann, da dann der Stream beim Übergang auf Multicasting abbricht. Wenn ich aber mit dem Zurückschalten 30-40 Sekunden warte, dann geht es. Damit kann ich leben.
Das gleiche Problem habe ich leider auch… :(
Leider noch keine Lösung gefunden. Als Switche ist aktuell ein Netgear im Einsatz. Davor ein Linksys. Hat bei diesem Problem aber kein Unterschied gemacht. (Hatte wegen Anzahl der Ports gewechselt)
IGMP Snooping habe ich nicht im Einsatz, nur ein dediziertes VLAN für den Receiver. Aber ich denke, das Snooping eigentlich ja nur dazu da ist, unbeteiligte Ports zu schützen. Allerdings ist das mit dem dedizierten VLAN auch gegeben.
Hat keiner eine Idee / Lösung für dieses Problem? Oder hat sonst noch wer dieses Problem?
Wäre perfekt, wenn man es lösen könnten. Man kann zwar damit durchaus leben, aber schöner ist ohne… :P
Vielen Dank! :D
-
Moin moin,
wollte mal ein kleines Status-Update abgeben. Habe nun mir tatsächlich entsprechende Hardware gegönnt und könnte heute auch schon erfolgreich Internet per PPPoE einrichten - ein Erfolg schon einmal ;)
Derzeit macht mir Entertain jedoch noch etwas zu schaffen. VLAN8 bekommt per DHCP von außen schon eine Adresse, der Media-Receiver bekommt ebenfalls eine IP vom lokalen DHCP-Server von pfsense. Bild stockt jedoch nach wenigen Sekunden, ergo: IGMP muss ich noch konfigurieren, jedoch muss ich nun erst einmal aufhören.
Firewall-Regeln von VLAN 8 für IGMP und UDP sind schon eingerichtet, IGMP-Proxy muss ich mich wohl erst noch einlesen, da dieser wohl notwendig ist.
Als Switch habe ich mir nun einen TP-Link TL-SG3216 gegönnt, wo ich IGMP snooping auch schon aktiviert habe. Hier muss ich dann aber noch schauen, ob und was ich konfigurieren muss bzgl. des VLANs.
Gerade weil der Media-Receiver ja nicht direkt mit dem Switch (Arbeitszimmer) verbunden ist sondern im Wohnzimmer steht und dazwischen erst noch Powerline und ein anderer Switch für Konsolen, etc. ist, wo der Receiver auch dran hängt.
VLAN auf Port-Basis wird da wohl nicht gehen, werde ggf. daher die MAC-Adresse vom Receiver dem VLAN 8 zuweisen müssen. Aber das ist bislang noch alles nicht recherchiertes Gedankengut.
Aber okay, so viel erstmal zum derzeitigen Status :)
-
So, der erste Frust-Abend nun hinter mir.
Ich habe nun noch etwas mit dem System gespielt und zur Reduktion der Komplexität mir den Receiver direkt an den dritten NIC der pfsense gehangen. Nun kriege ich einige Minuten Bild, danach friert das Bild ein, fängt sich jedoch nach einiger Zeit wird. Konnte dazu im Forum auch schon etwas finden, jedoch wurde dort ein Switch als Übeltäter vermutet, welchen ich derzeit nicht dazwischen geschaltet habe.
Ich habe mal einige Bilder der Konfiguration beigefügt, ggf. hat ja jemand einen schlauen Tipp. igb0 ist dabei die WAN-Schnittstelle, an igb1 hängt der Switch und an igb2 hängt nun direkt der Receiver. Später soll der Receiver jedoch wieder hinter den Switch.
Gehe nun erst einmal gefrustet ins Bett :'(
![Rules VLAN8.png](/public/imported_attachments/1/Rules VLAN8.png)
![Rules VLAN8.png_thumb](/public/imported_attachments/1/Rules VLAN8.png_thumb)
![Rules NIC3.png](/public/imported_attachments/1/Rules NIC3.png)
![Rules NIC3.png_thumb](/public/imported_attachments/1/Rules NIC3.png_thumb)
-
Ein paar Gedanken dazu:
Wenn es ein paar Minuten funktioniert (nicht nur ein paar Sekunden), dann funktioniert grundsätzlich der Multicast. Ich hatte zu Beginn meiner "pfSense-Entertain-Karriere" denselben Effekt: Die Übertragung ist alle paar Minuten abgebrochen, war für einige Minuten weg, ging dann von alleine wieder und so weiter. Ich habe nie herausgefunden, was die Ursache war.
Das einzige, was mir auf den ersten Blick auffällt: Du solltest das IGMP (Internet Group Management Protocol) auf der Firewall freigeben. Ich habe das als Floating-Regel, nicht auf einem konkreten Interface. Bei Dir steht "ICMP", das ist etwas anderes!
Sonst sieht es auf den ersten Blick ganz vernünftig aus.
-flo-
-
Ach ja, "please what": Du hast 10.0.2.200 als Adresse des Interface OPT2 angegeben. Ich würde als default Gateway immer die .1 verwenden, also 10.0.2.1. Funktionieren sollte es aber auch so.
Da Du Dein LAN-Netzwerk überpinselt hast, kann ich nicht sehen, ob es da eine Überdeckung gibt. Ich hoffe Du hast dort ein Netzwerk anders als 10.0.2.0/24, also vielleicht 10.0.1.0/24?
Übrigens ist es völlig unnötig interne Netzwerke zu verschleiern. Das trägt zur Privacy nichts bei. Die öffentliche WAN-Adresse ist da etwas anderes, die willst Du nicht in einem Forum posten.
-flo-
P.S. Ich habe ein paar andere Adressen im IGMP-Proxy drin, evtl. willst Du da herumprobieren. Da Du aber grundsätzlich Empfang hast, sehe ich da keine Lösung für Dein Problem.
193.158.137.14/32, 87.140.255.0/25, 87.141.128.0/17, 212.184.168.0/24, 217.6.167.160/27, 217.245.0.0/18, 193.158.35.0/24, 217.0.0.0/8, 217.252.0.0/18, 10.0.0.0/8
Ich habe vor längerer Zeit mal hier im Forum gepostet, wie ich die ermittelt habe.
-
@-flo-:
Das einzige, was mir auf den ersten Blick auffällt: Du solltest das IGMP (Internet Group Management Protocol) auf der Firewall freigeben. Ich habe das als Floating-Regel, nicht auf einem konkreten Interface. Bei Dir steht "ICMP", das ist etwas anderes!
Oh mein Gott, ich könnte kotzen. Gestern den Wald vor lauter Bäumen nicht mehr gesehen und dann wohl im einem dummen Zeichen verguckt. Kurzum: Es läuft von stabil. Herzlichen Dank! Haben die Floating Rules irgendeinen Vorteil außer das sie halt nicht für ein spezielles Interface gelten sondern für alle? Weil bislang dachte ich, dass man bei einer FW möglichst restriktiv arbeiten sollte damit es etwas bringt (daher möchte ich diese any-any Regeln auf kurz oder lang auch ersetzen).
@-flo-:
Ach ja, "please what": Du hast 10.0.2.200 als Adresse des Interface OPT2 angegeben. Ich würde als default Gateway immer die .1 verwenden, also 10.0.2.1. Funktionieren sollte es aber auch so.
Hat es irgendwelche technischen Gründe bzw. Vorteile? Ich organisiere ab 200 aufsteigend alles was zur Netzwerkstruktur gehört (Switch, Firewall, Modem, WLAN-AP, etc.), persönlich gefällt es mir so besser.
@-flo-:
Da Du Dein LAN-Netzwerk überpinselt hast, kann ich nicht sehen, ob es da eine Überdeckung gibt. Ich hoffe Du hast dort ein Netzwerk anders als 10.0.2.0/24, also vielleicht 10.0.1.0/24?
Das ist korrekt. Mein eigentliches Netz ist 10.0.1.0/24, ich habe das 10.0.2.0/24 gestern nur "erschaffen" damit ich den Receiver direkt an pfsense anschließen konnte. Das mit dem schwärzen
-flo-
@-flo-:
P.S. Ich habe ein paar andere Adressen im IGMP-Proxy drin, evtl. willst Du da herumprobieren. Da Du aber grundsätzlich Empfang hast, sehe ich da keine Lösung für Dein Problem.
193.158.137.14/32, 87.140.255.0/25, 87.141.128.0/17, 212.184.168.0/24, 217.6.167.160/27, 217.245.0.0/18, 193.158.35.0/24, 217.0.0.0/8, 217.252.0.0/18, 10.0.0.0/8
Ich habe vor längerer Zeit mal hier im Forum gepostet, wie ich die ermittelt habe.
Ich glaube, dass ich den Beitrag gestern schon gefunden hatte. Daher habe ich mir auch den vorderen Teil der Adressen genommen, da ich gestern nicht motiviert war nachzuvollziehen wie du das ermittelt hast. Sollte mir aber definitiv noch nachholen.
Nun gut, nun steht für mich an, dass ich mich in den TP-Switch einarbeite und dort die VLANs richtig konfiguriere etc.
Ich hatte mit dem Gedanken gespielt dem Receiver eine feste IP-Adresse zu geben um dann im IGMP-Proxy nur diese IP-Adresse einzutragen und nicht mein komplettes Netz. Macht dies Sinn?
-
Schön, daß es funktioniert!
@please:
Haben die Floating Rules irgendeinen Vorteil außer das sie halt nicht für ein spezielles Interface gelten sondern für alle?
Das ist eine Frage der Organisation. Manche Sachen lassen sich nur damit geschickt abbilden. Aber nötig ist das so nicht, es läuft ja jetzt offenbar bei Dir.
@please:
@-flo-:
[…] Ich würde als default Gateway immer die .1 verwenden, also 10.0.2.1.
Hat es irgendwelche technischen Gründe bzw. Vorteile? Ich organisiere ab 200 aufsteigend alles was zur Netzwerkstruktur gehört (Switch, Firewall, Modem, WLAN-AP, etc.), persönlich gefällt es mir so besser.
Das ist nur eine Konvention, also gehen sollte es auch so. Hauptsache Du kommst damit klar.
@please:
Ich hatte mit dem Gedanken gespielt dem Receiver eine feste IP-Adresse zu geben um dann im IGMP-Proxy nur diese IP-Adresse einzutragen und nicht mein komplettes Netz. Macht dies Sinn?
Eine feste IP-Adresse macht Sinn, das geht in pfSense einfach über den DHCP-Server.
Der IGPM-Proxy arbeitet aber nur mit Subnetzen. Der Multicast wird technisch als Broadcast in den Subnetzen abgebildet. (Es gibt auf der physischen Ebene bei Ethernet keinen Multicast. Dieser wird implementiert als Broadcast, also empfangen alle Hosts die Frames und entschieden, ob sie den Traffic empfangen wollen oder nicht.)
-flo-
-
@-flo-:
Der IGPM-Proxy arbeitet aber nur mit Subnetzen. Der Multicast wird technisch als Broadcast in den Subnetzen abgebildet. (Es gibt auf der physischen Ebene bei Ethernet keinen Multicast. Dieser wird implementiert als Broadcast, also empfangen alle Hosts die Frames und entschieden, ob sie den Traffic empfangen wollen oder nicht.)
Vielleicht kannst du mir hier noch etwas unter die Arme greifen (Achtung, aufgrund ziemlicher Unsicherheit nun vermutlich großes Chaos):
Ich habe nun ja über die WAN-Schnittstelle ein virtuelles Interface mit VLAN 8 geschaffen, womit ich die entsprechenden Daten von außen einfangen kann. Diese sollen nun über igb1 (neben "regulärem Internet, VoIP, etc.) aus pfsense raus in Port 1 des TP Switches. Dort möchte ich dann an Port 8 den Powerline-Adapter anschließen, so dass ich den Receiver im Wohnzimmer, neben WLAN AP, Amazon Fire TV, usw., mit dem Entertain-Signal versorgen kann.
Schließe ich derzeit den Receiver direkt an Port 8 an, dann ist dies das übliche Ergebnis: Bild läuft 2-3 Sekunden, danach bleibt es stehen. Nun muss ich vermutlich Multicast und IGMP auf Port 8 durchreichen. Wenn ich alles nun richtig verstanden habe, dann kommt derzeit auf igb1 jedoch kein mit VLAN 8 getaggtes Signal, da ich dies ja nur auf VLAN 8 vom WAN entnehme oder?
Mein Problem ist nun, dass ich nicht weiß, wie ich das Signal nun korrekt über Port 8 bewege, so dass dahinter letztendlich normales Internet sowie die Entertain-Daten bereitstehen. Durch die Recherche weiß ich soweit nun, dass IGMP Snooping hier wohl mein Freund ist damit ich nicht das komplette Netzwerk überflute. Dafür wird offenbar ein VLAN benötigt, was ja bedeuten würde, dass an igb1 sehr wohl VLAN8 auch bereitstehen müsste, damit ich dieses dann an Port 8 IGMP Snooping aktivieren kann.
Naja, denke mein Problem wird klar. Ich lese mich zwar schon durch diverse Dinge aber mir fällt es derzeit schwer die ganzen Informationen in eine korrekte Reihenfolge zu bringen. Was wird tatsächlich benötigt, wie kann man sich das Leben auch einfacher machen, etc. :(
-
Du bringst da tatsächlich mehrere Sachen durcheinander.
Am besten malst Du mal ein Bild, welche Verkabelung bei Dir möglich / vorhanden / gewünscht ist. Ich meine verstanden zu haben:
pfSense - Switch Arbeitszimmer - Powerline-Adapter (Arbeitszimmer) - Powerline-Adapter (Wohnzimmer) - Switch Wohnzimmer - Receiver.
Stimmt das? Wenn ja, was soll alles jeweils noch an welchen Switch?
Zum Thema VLANs und IGMP-Snooping: Du brauchst keine VLANs um IGMP-Snooping nutzen zu können. Bei IGMP-Snooping untersucht der Switch die Frames, die bei ihm ankommen. Wenn die Frames IGMP-Pakete enthalten, liest der Switch diese aus und lernt dabei, hinter welchen Ports sich Hosts bestimmten Multicast-Gruppen anschließen oder diese wieder verlassen. Damit weiß er jederzeit, hinter welchen seiner Ports gerade Empfänger welcher Multicast-Gruppen sind. Wenn er Frames empfängt, die Multicast-Traffic beinhalten, leitet er diese nur an diejenigen Ports weiter, wo auch Empfänger sind. Das ist vor allem wichtig, wenn ein WLAN-AP im Netz integriert ist: Ein WLAN wird von Multicast-Traffic schnell bis zur Sättigung geflutet.
Bzgl. VLAN8 und VLAN7: Das wird nur auf der WAN-Seite genutzt und trennt auf der Telekom-Seite auf einer DSL-Leistung logisch das TV-Signal vom Rest des Internet-Traffic. Auf der LAN-Seite sind diese VLAN-Markierungen nicht mehr vorhanden. Sofern gewünscht kannst Du mit pfSense wieder eigene VLANs erzeugen, die Nummern sind dabei unabhängig von der 7 oder 8.
Was Du schon probieren kannst: Schließ mal Deine Powerline-Adapter erstmal ohne den Switch an die pfSense an und den Receiver an die Powerline-Adapter. Es ist nämlich keineswegs sicher, daß das funktioniert.
Ob IGMP-Snooping im Switch funktioniert, kann man recht einfach prüfen: Switch an die pfSense anschließen, Receiver und einen weiteren Rechner an den Switch. Mit dem Receiver Fernsehen. Jetzt blinken die LEDs an den Switch-Ports fleißig. Wenn IGMP-Snooping funktioniert, dann blinken nur die Ports, wo pfSense und der Receiver dranhängen.
Wenn das geht (und o.a. Netzwerkaufbau stimmt), wäre folgendes Setup am einfachsten: In pfSense nur ein internes Interface einrichten, nicht zwei. Alles auf einem Subnetz laufen lassen. Keine VLANs verwenden. IGMP-Snooping in den Switches aktivieren. Sollte dann gehen.
-flo-
-
Danke für deine Antwort und sorry für das Chaos ;)
Deine aufgezeigte Infrastruktur ist soweit korrekt. Du kannst dir gerne meine damalige Skizze im Startpost ansehen, ignoriere dort nur das TAE-Telefon, ebenso der WLAN-AP an der pfsense.
Wenn du diese beiden Elemente streichst, dann ist das Schaubild relativ aktuell. Einzig an den Switch im Arbeitszimmer kommt dann noch eine alte Fritzbox fürs Telefon, welche dann auch hier einen WLAN-AP stellen wird.
Auf lokale VLANs würde ich erst einmal verzichten wollen, möchte erst einmal die Komplexität gering halten (zumindest für mich ist dies alles noch zu komplex). Die Idee mit den Powerline-Adaptern ist gut, werde ich einmal testen. Dort sehe ich aber kein Problem, da diese extra von der Telekom sind und auch für Entertain "zugelassen" sind. Wenn diese dann nicht rund laufen, falle ich vom Glauben ab ;)
Dann werde ich mir IGMP-Snooping im Switch noch einmal genauer ansehen. Ich hatte dies schon auf Enable gestellt, jedoch ist, sobald der Receiver dann am Switch hing, das Bild nach 2-3 Sekunden gestoppt. Irgendwo scheint es dann dort noch zu hängen.
Leider kann ich dies nun in der Woche nur sehr bedingt testen, da ich sonst mecker von Freundin kriege, wenn Abends kein TV bereit steht oder keine Aufnahmen laufen. Daher muss ich hier immer auf ruhige Momente warten und meine Antworten werden sich wohl was zeitlich verlangsamen. Verfolge das Thema aber definitiv so schnell wie möglich.
Für mich nehme ich nun einmal folgenden Punkteplan mit:
-
Powerline Adapter einmal direkt am funktionierenden igb2 anschließen und Switch übergehen für Test von Receiver im Wohnzimmer
-
Checken wieso der Switch (oder Receiver?) trotz aktiviertem Snooping zickt
-
Lobgesänge auf -flo- üben
-
Intensiver in die Materie einarbeiten
Bauchschmerzen macht mir dann noch der (geplante, noch nicht vorhandene) WLAN-AP im Wohnzimmer. Derzeit habe ich dort nur einen billigen CISCO-Switch, welcher die Pakete dann wohl an alle Ports verteilen wird. Somit auch an den WLAN-AP. Hier muss ich dann noch einplanen den Switch gegen einen besseren auszutauschen (dieser oder dieser).
-
-
Kleines Feedback: Powerline direkt an pfsense und im Wohnzimmer dann den Receiver dran klappt soweit fast problemlos.
Ich kann das Bild jedoch zum einfrieren bringen wenn ich häufig schnell zwischen mehreren Sendern herumschalte und dann auf einem von denen stehen bleibe. Dann läuft das Bild noch einige Sekunden, stoppt dann aber.
Zugegeben: Ein ziemlich provozierter Fall.