Umstellung von Heimnetzwerk auf pfsense (Anfänger, OpenVPN, VoIP, Entertain)
-
Du bringst da tatsächlich mehrere Sachen durcheinander.
Am besten malst Du mal ein Bild, welche Verkabelung bei Dir möglich / vorhanden / gewünscht ist. Ich meine verstanden zu haben:
pfSense - Switch Arbeitszimmer - Powerline-Adapter (Arbeitszimmer) - Powerline-Adapter (Wohnzimmer) - Switch Wohnzimmer - Receiver.
Stimmt das? Wenn ja, was soll alles jeweils noch an welchen Switch?
Zum Thema VLANs und IGMP-Snooping: Du brauchst keine VLANs um IGMP-Snooping nutzen zu können. Bei IGMP-Snooping untersucht der Switch die Frames, die bei ihm ankommen. Wenn die Frames IGMP-Pakete enthalten, liest der Switch diese aus und lernt dabei, hinter welchen Ports sich Hosts bestimmten Multicast-Gruppen anschließen oder diese wieder verlassen. Damit weiß er jederzeit, hinter welchen seiner Ports gerade Empfänger welcher Multicast-Gruppen sind. Wenn er Frames empfängt, die Multicast-Traffic beinhalten, leitet er diese nur an diejenigen Ports weiter, wo auch Empfänger sind. Das ist vor allem wichtig, wenn ein WLAN-AP im Netz integriert ist: Ein WLAN wird von Multicast-Traffic schnell bis zur Sättigung geflutet.
Bzgl. VLAN8 und VLAN7: Das wird nur auf der WAN-Seite genutzt und trennt auf der Telekom-Seite auf einer DSL-Leistung logisch das TV-Signal vom Rest des Internet-Traffic. Auf der LAN-Seite sind diese VLAN-Markierungen nicht mehr vorhanden. Sofern gewünscht kannst Du mit pfSense wieder eigene VLANs erzeugen, die Nummern sind dabei unabhängig von der 7 oder 8.
Was Du schon probieren kannst: Schließ mal Deine Powerline-Adapter erstmal ohne den Switch an die pfSense an und den Receiver an die Powerline-Adapter. Es ist nämlich keineswegs sicher, daß das funktioniert.
Ob IGMP-Snooping im Switch funktioniert, kann man recht einfach prüfen: Switch an die pfSense anschließen, Receiver und einen weiteren Rechner an den Switch. Mit dem Receiver Fernsehen. Jetzt blinken die LEDs an den Switch-Ports fleißig. Wenn IGMP-Snooping funktioniert, dann blinken nur die Ports, wo pfSense und der Receiver dranhängen.
Wenn das geht (und o.a. Netzwerkaufbau stimmt), wäre folgendes Setup am einfachsten: In pfSense nur ein internes Interface einrichten, nicht zwei. Alles auf einem Subnetz laufen lassen. Keine VLANs verwenden. IGMP-Snooping in den Switches aktivieren. Sollte dann gehen.
-flo-
-
Danke für deine Antwort und sorry für das Chaos ;)
Deine aufgezeigte Infrastruktur ist soweit korrekt. Du kannst dir gerne meine damalige Skizze im Startpost ansehen, ignoriere dort nur das TAE-Telefon, ebenso der WLAN-AP an der pfsense.
Wenn du diese beiden Elemente streichst, dann ist das Schaubild relativ aktuell. Einzig an den Switch im Arbeitszimmer kommt dann noch eine alte Fritzbox fürs Telefon, welche dann auch hier einen WLAN-AP stellen wird.
Auf lokale VLANs würde ich erst einmal verzichten wollen, möchte erst einmal die Komplexität gering halten (zumindest für mich ist dies alles noch zu komplex). Die Idee mit den Powerline-Adaptern ist gut, werde ich einmal testen. Dort sehe ich aber kein Problem, da diese extra von der Telekom sind und auch für Entertain "zugelassen" sind. Wenn diese dann nicht rund laufen, falle ich vom Glauben ab ;)
Dann werde ich mir IGMP-Snooping im Switch noch einmal genauer ansehen. Ich hatte dies schon auf Enable gestellt, jedoch ist, sobald der Receiver dann am Switch hing, das Bild nach 2-3 Sekunden gestoppt. Irgendwo scheint es dann dort noch zu hängen.
Leider kann ich dies nun in der Woche nur sehr bedingt testen, da ich sonst mecker von Freundin kriege, wenn Abends kein TV bereit steht oder keine Aufnahmen laufen. Daher muss ich hier immer auf ruhige Momente warten und meine Antworten werden sich wohl was zeitlich verlangsamen. Verfolge das Thema aber definitiv so schnell wie möglich.
Für mich nehme ich nun einmal folgenden Punkteplan mit:
-
Powerline Adapter einmal direkt am funktionierenden igb2 anschließen und Switch übergehen für Test von Receiver im Wohnzimmer
-
Checken wieso der Switch (oder Receiver?) trotz aktiviertem Snooping zickt
-
Lobgesänge auf -flo- üben
-
Intensiver in die Materie einarbeiten
Bauchschmerzen macht mir dann noch der (geplante, noch nicht vorhandene) WLAN-AP im Wohnzimmer. Derzeit habe ich dort nur einen billigen CISCO-Switch, welcher die Pakete dann wohl an alle Ports verteilen wird. Somit auch an den WLAN-AP. Hier muss ich dann noch einplanen den Switch gegen einen besseren auszutauschen (dieser oder dieser).
-
-
Kleines Feedback: Powerline direkt an pfsense und im Wohnzimmer dann den Receiver dran klappt soweit fast problemlos.
Ich kann das Bild jedoch zum einfrieren bringen wenn ich häufig schnell zwischen mehreren Sendern herumschalte und dann auf einem von denen stehen bleibe. Dann läuft das Bild noch einige Sekunden, stoppt dann aber.
Zugegeben: Ein ziemlich provozierter Fall.
-
Naja, das Problem mit dem Umschalten ist bekannt. Da gibt es wohl ein Problem mit dem IGMP-Proxy. Schade, aber vermutlich nicht zu ändern.
Als nächsten Schritt kannst Du jetzt den Gigabit-Switch testen (wie schon beschrieben: welche Ports "blinken"), danach Powerline am Gigabit-Switch. Bin schon gespannt. :-)
-flo-
-
Ich auch :)
Leider werde ich vor Mittwoch vermutlich nicht dazu kommen. Als Folgeprojekt ist heute auch eine gebrauchte Fritzbox gekommen, welche ich dann für das TAE-Telefon als IP Client ins Netz bringen möchte.
Es bleibt spannend.
-
So, hab/hatte gerade mal wieder eine Stunde Zeit:
- pfsense an Switch, Port 1
- mein Laptop hier, Port 2
- Receiver, Port 6
Receiver bekommt von DHCP eine IP, kann sich Datum, etc. aus dem Netz ziehen.
Wähle ich einen Kanal habe ich ca. 1-2 Sekunden Bild, danach ist Ende. Die Übertragung friert ein. Umschaltung von Uni- auf Multicast scheint wohl nicht zu klappen.
Dann im Switch IGMP Snooping aktiviert. Dort war dann auch die Information zu finden, dass ich zusätzlich zur "Snooping Config" noch die "VLAN Config" und "Port Config" treffen müsste.
Also gesagt, getan. Was habe ich nun getan (siehe auch Screenshots).
Ich habe Port 1 und Port 6 in ein VLAN mit ID 1 gepackt, per Default sind alle Ports auch im VLAN 1 (dies ist jedoch im Reiter VLAN zu finden und nicht wie hier im Reiter Multicast).
Dann habe ich erst für Port 6 alleine, danach für Port 1 und Port 6 IGMP Snooping aktiviert.
Ergebnis: Keine Veränderung.
In den Packet Statistics kann ich sehen, dass während den 1-2 Sekunden Bild wohl IGMP-Pakete unterwegs sind. Das Endet jedoch sobald das Bild einfriert.
Zur Frage mit den blinkenden LEDs: Während dem Bild arbeitet nur Port 1 und 6, friert das Bild ist stille. Hin und wieder (ca. alle 5-8 Sekunden) blinkt kurz Port 1 und 6 wieder, am Bild ändert sich nichts.
Ich kämpfe mich gerade noch durch die Anleitung und schaue, ob ich hier noch irgendwie eine IP-Range oder ähnliches angeben muss.
-
@please:
Dann im Switch IGMP Snooping aktiviert.
Hast Du auch einen IGMP Querier aktiviert?
Davon brauchst Du genau einen im Netzwerk. Der ist sozusagen der Dirigent.@please:
Ich habe Port 1 und Port 6 in ein VLAN mit ID 1 gepackt, per Default sind alle Ports auch im VLAN 1 (dies ist jedoch im Reiter VLAN zu finden und nicht wie hier im Reiter Multicast).
VLAN ID 1 sollte man nie für die angelegten VLANs verwenden, da diese bei diverser Hardware bereits intern verwendet wird. Das gibt ein heilloses Durcheinander.
Nutze nur VLAN ID 2-4096 (oder was immer die Obergrenze Deines Switches ist).Was macht es für einen Sinn, alle Geräte/Ports in das gleiche VLAN zu legen?
Erstelle ein eigenes VLAN für Multicast, so ist es zumindest gedacht. -
@please:
Dann im Switch IGMP Snooping aktiviert.
Hast Du auch einen IGMP Querier aktiviert?
Davon brauchst Du genau einen im Netzwerk. Der ist sozusagen der Dirigent.Da ich dies nun zum ersten Mal höre vermute ich nicht. pfsense ist der IGMP Proxy und mehr habe ich dazu aktiv nicht getroffen. Im Switch finde ich zum Begriff Quierer auch nur etwas im Bereich. Meinem ärmlichen Wissen nach sollte das Multicast Listener Discovery für diesen Anwendungsfall jedoch nicht notwendig sein oder?
@please:
Ich habe Port 1 und Port 6 in ein VLAN mit ID 1 gepackt, per Default sind alle Ports auch im VLAN 1 (dies ist jedoch im Reiter VLAN zu finden und nicht wie hier im Reiter Multicast).
VLAN ID 1 sollte man nie für die angelegten VLANs verwenden, da diese bei diverser Hardware bereits intern verwendet wird. Das gibt ein heilloses Durcheinander.
Nutze nur VLAN ID 2-4096 (oder was immer die Obergrenze Deines Switches ist).Was macht es für einen Sinn, alle Geräte/Ports in das gleiche VLAN zu legen?
Erstelle ein eigenes VLAN für Multicast, so ist es zumindest gedacht.Zum Verständnis: IGMP Snooping hat ja den Sinn bzw. Zweck, dass mein Netzwerk nicht geflooded wird. Der Switch soll selbstständig erkennen, wo der Cast hin soll und andere Ports auslassen. Wieso nun ein eigentliches VLAN dafür? Ich könnte ein Multicast VLAN wie im Screenshot gezeigt einstellen (Port 1 pfsense, Port 8 Powerline ins Wohnzimmer). Wäre dies so korrekt im Sinne des Erfinders?
 -
@please:
Hast Du auch einen IGMP Querier aktiviert? […]
Da ich dies nun zum ersten Mal höre vermute ich nicht. pfsense ist der IGMP Proxy und mehr habe ich dazu aktiv nicht getroffen. Im Switch finde ich zum Begriff Quierer auch nur etwas im Bereich. Meinem ärmlichen Wissen nach sollte das Multicast Listener Discovery für diesen Anwendungsfall jedoch nicht notwendig sein oder?
Der IGMP Proxy agiert m.W. als Querier. Jedenfalls kommen from IGMP-Proxy regelmäßige membership queries.
Was das "Multicast Listener Discovery" ist, weiß ich nicht. Ein Handbuch zu dem Switch dürfte weiterhelfen.
@please:
@please:
Ich habe Port 1 und Port 6 in ein VLAN mit ID 1 gepackt, per Default sind alle Ports auch im VLAN 1 (dies ist jedoch im Reiter VLAN zu finden und nicht wie hier im Reiter Multicast).
VLAN ID 1 sollte man nie für die angelegten VLANs verwenden, da diese bei diverser Hardware bereits intern verwendet wird. Das gibt ein heilloses Durcheinander.
Nutze nur VLAN ID 2-4096 (oder was immer die Obergrenze Deines Switches ist).Was macht es für einen Sinn, alle Geräte/Ports in das gleiche VLAN zu legen?
Erstelle ein eigenes VLAN für Multicast, so ist es zumindest gedacht.Zum Verständnis: IGMP Snooping hat ja den Sinn bzw. Zweck, dass mein Netzwerk nicht geflooded wird. Der Switch soll selbstständig erkennen, wo der Cast hin soll und andere Ports auslassen. Wieso nun ein eigentliches VLAN dafür? Ich könnte ein Multicast VLAN wie im Screenshot gezeigt einstellen (Port 1 pfsense, Port 8 Powerline ins Wohnzimmer). Wäre dies so korrekt im Sinne des Erfinders?
Das ist schon richtig. Man braucht kein eigenständiges VLAN für den Multicast Traffic. Wenn man das hätte, dann wäre wiederum IGMP Snooping nicht erforderlich. Das ist dennoch eine Möglichkeit: Die Variante mit einem separaten VLAN für Multicast erfordert aber, daß diese bereits auf der pfSense angelegt sind. Der Uplink-Port (1) muß dann die bereits mit VLAN markierten Frames entgegennehmen und Mitglied mehrerer VLANs sein.
Ich denke der Switch kann Multicast nur in einem (im Gegensatz zu mehreren) VLAN bearbeiten. Dann muß eben alles in ein VLAN, auch wenn man eigentlich keine VLANs benötigen würde.
Zur konkreten Konfiguration bin ich überfragt. Da ist sicher Studium des Handbuchs gefragt und etwas Experimentieren.
-flo-
-
Moin moin,
leider hatte es wieder etwas gedauert. Problem war nicht der Switch sondern Dummheit von mir. Ich habe zwar nach Umstellung von meinem Test am separatem Port der Firewall den IGMP-Proxy auf das richtige Subnetz geändert, jedoch habe das Interface vergessen umzustellen :o
Dieser kleine Fehler hat mich so viel unnötige Zeit gekostet >:(
Aber hey, nun geht es inzwischen. VoIP habe ich auch eingerichtet und es funktioniert. Nun versuche ich mich daran unterschiedliche interne Subnetze über unterschiedliche OpenVPN-Clients zu schicken: http://www.retropixels.org/blog/use-pfsense-to-selectively-route-through-a-vpn
Mit einem OpenVPN-Client in der Firewall klappt das auch super, richtige ich einen zweiten ein, bekommt dieser jedoch die gleiche IP vom Anbieter zugewiesen. Hier muss ich mal schauen, ob das überhaupt so geht wie ich das wollte.
