DVB-C (Fritz!Box 6490 Cable) an Geräte hinter pfSense durchreichen

jahonix

@Bordi:

PS zu AP-only: Ubiquiti UniFi AP's  ;)

@JeGr:

Ist mir schon bewusst und bekannt, nur sind das wirklich noch (vom Preissegment her) die einzigen, die auch Consumer/Prosumer Sparte bedienen.

Die Einzigen? Dann kennst Du Xclaim Wireless wirklich nicht?
Die sind eine Tochter von Ruckus, und zu denen muss ich vermutlich nicht viel erzählen, oder?

magicteddy

Moin,

Xclaim Wireless mag technisch noch so gut sein aber "Die Konfiguration und Administration eines Xclaim-Access-Points erfolgt über eine Smartphone App." Löst bei mir Alarm aus https://www.youtube.com/watch?v=grDNpwigugY bestätigt das es sich um Produkte handelt die ich niemals einsetzen werde und mich frage wer tut sich soetwas in er heutigen Zeit freiwillig an … :'(
Beim gewerblichen Einsatz frage ich mich ernsthaft ob man es überhaupt einsetzen darf. :o

Unterm Strich erkauft man sich den Preisvorteil gegenüber den Ruckus Produkten doch mit einer Backdoor zum LAN.

-teddy

Bordi

@magicteddy:

Beim gewerblichen Einsatz frage ich mich ernsthaft ob man es überhaupt einsetzen darf. :o

Erst mal müssen sie es nach Europa schaffen, eine UK Manual ist dafür zuwenig. Die Produktauswahl beschränkt sich gerade mal auf den Hausgebrauch. Für Campingplätze, Hotels, und Bürogebäude völlig ungeeignet. Der Xo-1 sieht für den leihen zwar so aus als ob, bei den eben genannte verkaufen lässt sich das aber nicht. Handy ist ohnehin nicht. Ein no-go, geht gar-nicht. Wer den Pro sektor ansteuern will, braucht.. nein MUSS(!) die Steuersoftware im Minimum auch für Linux und BSD bereitstellen. Und ob ich Ruckus gut finden muss, ist wohl gleich zu setzen mit der Frage ob ich Cisco gut finden muss. Ich für meinen Teil stehe beiden eher skeptisch bis ablehnend gegenüber. Ab einem gewissen Level brauchst du einfach Hardware die mit dem funktioniert, was beim Kunden eingesetzt wird. Eigenentwicklungen mit-eingeschlossen. Unflexible Diktate seitens der Hersteller sind da eher ungern gesehene Argumente.

Wen ich mir so recht überlege tickt das genannte Segment eigentlich ganz ähnlich wie die geeks aus diesem und anderen OSS Foren. Unabhängigkeit und Freiheit werden ebenso groß geschrieben, wie es zum guten ton gehört ein freiwilliger aufrechter Gold Member zu sein. Vielleicht mit dem Unterschied & Anspruch das der Finanzielle part auch in Zahlen dem tatsächlichen Gegenwert entsprechen muss. Als Private hauen wir ja diesbezüglich auch gerne mal über die Stränge (ob nun mit Geiz, Rosa Brille oder grossem Spender Herz sei dahin gestellt).

jahonix

@magicteddy:

… Konfiguration und Administration ... über eine Smartphone App...

Dann hast Du nur die Hälfte Deiner Hausaufgaben gemacht, denn außer der App gibt es noch die Variante über den hauseigenen Cloud-Service ODER direkt per web-GUI auf dem AP (ganz ohne äußere Anbindung).

Da ich die APs meist in Control-Inseln einsetze, fallen Versionen außer der Konfiguration über die GUI eigentlich immer aus. VLAN IDs konnte man auch eine Zeit lang ausschließlich darüber konfigurieren (ob das inzwischen anders ist weiß ich nicht).

jahonix

@Bordi:

Erst mal müssen sie es nach Europa schaffen…

??? Also ich beziehe die zB über den Allnet Shop in D ganz problemlos.

@Bordi:

Für Campingplätze, Hotels, und Bürogebäude völlig ungeeignet. Der Xo-1 sieht für den leihen zwar so aus als ob…

Was für eine Brille hast Du denn auf? …

@Bordi:

… Pro Sektor ... MUSS(!) die Steuersoftware ... Linux und BSD bereitstellen...

Steuersoftware? Zur Konfig reicht ein Browser. Für jeden der von mir eingesetzten Xclaim oder Ruckus APs.
Gut, es gibt noch die Möglichkeit, mehrere APs über einen Controller zu steuern (ZoneDirector), das muss jedoch nicht sein. Zuhause habe ich so ein Ding rumstehen aber noch nicht im Einsatz.
Ach ja, eine CLI gibt es natürlich auch wenn Du willst. Sowohl für die APs als auch für den Controller.

Zu Cisco APs kann ich nichts sagen, die kenne ich nicht. Da sie auch in Konzernen eingesetzt werden kann es wohl nicht so schlimm sein.

@Bordi:

Ab einem gewissen Level brauchst du einfach Hardware die mit dem funktioniert, was beim Kunden eingesetzt wird. Eigenentwicklungen mit-eingeschlossen. Unflexible Diktate seitens der Hersteller sind da eher ungern gesehene Argumente.

Sorry, ich kann Dir jetzt gar nicht mehr folgen. In welchen Unsinn hast Du Dich da verrannt?
Niemand schreibt Dir vor, was für einen Client Du mit einem AP verbindest oder mit welchem Browser/ssh-client Du den konfigurierst. Wo siehst Du da ein "unflexibles Diktat" eines Herstellers?

magicteddy

@jahonix:

Dann hast Du nur die Hälfte Deiner Hausaufgaben gemacht, denn außer der App gibt es noch die Variante über den hauseigenen Cloud-Service ODER direkt per web-GUI auf dem AP (ganz ohne äußere Anbindung).

Wenn Du meinst …
Für mich hat eher Xclaim gepennt und nicht klar herausgestellt das es ohne Cloud geht, ich habe es eher so verstanden das das Cloud Management den Kostenvorteil realisiert. Aber egal, da ich z.Z. nichts kaufen will lese ich auch nicht das komplette Handbuch.

-teddy

Bordi

Mir sagt dies schon einiges, der rest kann man sich aus dem Forum oder den Produktilustrationen saugen. Desktopvariante oder Löcher bohren, die enge Auswahl ist nicht für jeden. Die App verträgt auch nicht mehr als 10ap's. Business is hier eindeutig nicht, und Big musst du komplett streichen.

jahonix

@Bordi:

Mir sagt dies schon einiges … Desktopvariante oder Löcher bohren ...

Mir nicht, Du sprichst in Rätseln.
Nochmal langsam zum Nachlesen: Du kannst jeden und alle Ruckus/Xclaim AccessPoints über eine web-GUI administrieren, mindestens bei Ruckus zusätzlich auch via CLI über Telnet/ssh. Dazu ist keine App oder Cloud notwendig.
Und Löcher musst Du nicht einmal zur Montage in die Decke bohren, da sie in einer Deckenkonstruktion einklicken können.  ;)

Sicherlich sind die Xclaim nicht für größere Installationen gedacht, sondern die verschraubt man in kleineren Installationen mit 1, 2 oder drei APs wie Büros oder im privaten Umfeld. Aufwärts davon kommt dann Ruckus ins Spiel.

Bordi

@jahonix:

..da sie in einer Deckenkonstruktion einklicken können.  ;)

Meine rede, ohne Loch kein ein-klicken. Davon abgesehen sollte dieses Loch bzw die Dekenkonstruktion auch die richtige tiefe haben, ansonsten lässt es sich nicht ein-klicken. Im wesentlichen reden wir hier also von einer Decke auf Porenbeton- oder KMF bzw Mineralfaserplatten. Wer eine Konstruktion hat, ok. Für alle anderen findet sich in den MOUNTING INSTRUCTIONS ein Wort ganz besonders häufig. "Screw" , was bei dem Modell XO-1 Aufputz besonders hässlich aussieht. ..und dann wäre da noch der Preis. Für 2 XO-1 oder 1 ZoneFlex R600, gibt es bereits ein 5er Pack UniFi AP AC Pro.

@jahonix:

Sicherlich sind die Xclaim nicht für größere Installationen gedacht, sondern die verschraubt man in kleineren Installationen mit 1, 2 oder drei APs wie Büros oder im privaten Umfeld.

Na also geht doch.

jahonix

Es ging darum, die Consumer/Prosumer Sparte zu bedienen. Da wies ich auf Xclaim hin. Von größeren Installationen war nie die Rede.
Steht aber alles oben, könntest Du bei Interesse ja nachlesen.

@Bordi:

Na also geht doch.

Ich wüsste nicht, mit welcher Rechtfertigung ich mir das von Dir bieten lassen muss. Ich bin hier raus.

mthx

Ich weis dass der Thread ein ganz ein Alter ist, aber das Thema ist immer noch aktuell. Ich stehe aktuell vor genau dem selben Problem.

Ihr mögt mit euer Aussage schon recht haben, aber man hat halt nicht immer die Möglichkeit. In Österreich gibts einen Routerzwang und im Zweifelsfall musst das nehmen was du bekommst und das ist hier 20 Mbit DSL oder bis 1Gbit Kabelinternet, Standartmässig mit Technicolor Kabelmodem, das Ding hat jedoch so viele Probleme gemacht das ich nach langem betteln eine Fritzbox 6490 Cable außerhalb vom CCN bekommen habe. Mag auch nicht das Non-Plus-Ultra sein, aber besser als das was ich sonst hätte und viel besser wirds nicht. Es ist schön wenn ihr die Möglichkeit habt solche Router einzusetzen, nicht jeder ist in der Situation

Ich hatte vorher eine USG hinter der Fritzbox und das war genauso ein graus zum Einrichten mit dem IGMP - Proxy, aber irgendwann gings, die selbe Konfiguration geht nicht mit meiner jetzigen PFsense. Wenn es mit einer schrottigen USG geht die jetzt eh schon nicht so viel kann, sollte es eigentlich mit pfSense auch gehen und ich sehe bei den WAN Regeln auch wie der stream fliest, nur halt nicht dorthin, wo er hin soll. Er wird vom WAN entgegen genommen und dann ist Sense.

Zur Not werd ich einen Raspberry Pi mit TVHeadened an die Fritzbox hängen und mir von dort den Stream holen, weil TVHeadened kann das. Sollte der Stream auch nicht durch die Pfsense gehen bin ich doch sehr geneigt dazu den Fehler eher bei PFsense zu suchen, weil das es funktioniert sehe ich ja an der USG.

micneu

@mthx ok, vieleicht liegt es an der sense.

1. du kannst nicht erwarten das wir deine probleme lösen
2. wenn einer ne lösung hätte die gut funktioniert hätter die person sich bestimmt gemeldet
3. ich sehe es so das ist ein so unwichtiger anwendungszweck das ich damit nicht meine zeit verschwende.
4. wenn du eine lösung hast darfst du sie gerne posten.

NOCling

Hast da Avahi drauf gepackt oder wie hast du das Multicast Routing umgesetzt?

mthx

@micneu Natürlich erwarte ich nicht das andere meine Probleme lösen, sollte das so rübergekommen sein will ich mich dafür entschuldigen.

Persönlich fand ich die Gerätediskussion halt etwas komisch, weil man halt außerhalb von Deutschland durchaus noch an Geräte gebunden ist.

---

Ich habe für mich eine Lösung gefunden, mit der ich noch nicht 100%ig glücklich bin, aber die soweit gut funktioniert. Ich bin mir auch nicht sicher ob jeder dieser Schritte wirklich nötig ist.

• Unter System / Advanced / Firewall & NAT die Option NAT "Reflection mode for port forwards" auf PureNAT gestellt und "Enable automatic outbound NAT for Reflection" aktiviert.

• Unter Firewall / NAT / Outbound die Option "Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)" aktiviert, die passende Regel ( in meinem Fall "Auto created rule - LAN to WAN" ) ausgewählt und in dieser im Bereich "Translation" im Bereich "Port or Range" den Punkt "Static" ausgewählt.

Inwiefern das jetzt die Sicherheit negativ beeinflusst, trau ich mich nicht zu beurteilen, aber dann gings selbst ohne korrespondierender WAN Regel für den UDP / IGMP Traffic von der Fritzbox als auch ohne IGMP-Proxy. Statisches Portmapping sollte jetzt eigentlich nicht das Ende aller Dinge sein.

Die Fritzbox - TV App findet den TV Tuner der Fritzbox dann immer noch nicht, aber das ist für mich persönlich kein Problem, da ich diese noch nie benutzt habe als auch nie benutzen werde

mthx

MDNS war drauf aktiviert, inwiefern das aber aber zum funktionieren auf der USG beigetragen hat kann ich nicht beurteilen. Von mir wurden nur per Bash der IGMP - Proxy auf der USG aktiviert und ich glaube eine Firewall Regel in WAN_LOCAL war dann noch nötig

mthx

@mthx said in DVB-C (Fritz!Box 6490 Cable) an Geräte hinter pfSense durchreichen:

@micneu Natürlich erwarte ich nicht das andere meine Probleme lösen, sollte das so rübergekommen sein will ich mich dafür entschuldigen.

Persönlich fand ich die Gerätediskussion halt etwas komisch, weil man halt außerhalb von Deutschland durchaus noch an Geräte gebunden ist.

---

Ich habe für mich eine Lösung gefunden, mit der ich noch nicht 100%ig glücklich bin, aber die soweit gut funktioniert. Ich bin mir auch nicht sicher ob jeder dieser Schritte wirklich nötig ist.

• Unter System / Advanced / Firewall & NAT die Option NAT "Reflection mode for port forwards" auf PureNAT gestellt und "Enable automatic outbound NAT for Reflection" aktiviert.

• Unter Firewall / NAT / Outbound die Option "Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)" aktiviert, die passende Regel ( in meinem Fall "Auto created rule - LAN to WAN" ) ausgewählt und in dieser im Bereich "Translation" im Bereich "Port or Range" den Punkt "Static" ausgewählt.

Inwiefern das jetzt die Sicherheit negativ beeinflusst, trau ich mich nicht zu beurteilen, aber dann gings selbst ohne korrespondierender WAN Regel für den UDP / IGMP Traffic von der Fritzbox als auch ohne IGMP-Proxy. Statisches Portmapping sollte jetzt eigentlich nicht das Ende aller Dinge sein.

Die Fritzbox - TV App findet den TV Tuner der Fritzbox dann immer noch nicht, aber das ist für mich persönlich kein Problem, da ich diese noch nie benutzt habe als auch nie benutzen werde

EDIT 1 // Ich habe zusätzlich noch Port 554 (RTSP) als auch 1900 und 5000 ( UPNP // Alle 3 mit TCP/UPD ) zur Fritzbox freigegeben. Online liest man das UPNP auf Port 5000 nur auf TCP hört, hab aber nach einer Weile bemerkt das die Fritzbox über Port 5000/UDP streamed

A Former User

Hallo zusammen,

ich würde immer versuchen, die AVM FB xxxx am WAN
anzubringen bzw. zu installieren und dann dahinter die
pfSense! An der AVM FB kann man die ganze IoT Geräte
wie Magenta TV Box und SMart TV anbinden und dahinter
dann die AVM FB xxxx damit das LAN sicher ist. So hat
man halt auch keine Probleme und hat sich dem Routerzwang unterworfen, ist aber auch sicher
im LAN.

Dobby_

JeGr

@mthx Ganz generell gefragt:

1. Was spricht dagegen, die Geräte die unbedingt Kabel-TV brauchen direkt an die Fritte zu hängen?

2. Geht Kabel-TV bei euch nur über den Weg bzw. ist das halt einfach mit dabei und du magst es nutzen oder gibts nicht noch andere Wege? Inzwischen gibts zumindest in DE ja auch Anbieter, die Fernsehprogramme auch via IP Stream o.ä. anbieten und selbst die Sky-Mützen nutzen für ihren Kram inzwischen ja großteils IP Apps/Verbindungen, die nicht über irgendwelche RTP/Multicast Kramchannel laufen müssen und sich dann mit Firewalls kabbeln müssen.

Soll keine Geräte- oder "Machs-Anders"-diskussion sein, mich interessiert nur der Anwendungsfall/-zweck und obs keine sinnvollen Alternativen gibt?

Cheers
\jens

mthx

@jegr

Zu 1.) Ein Stückweit Faulheit als auch der Faktor Freundin. Sich jedes mal hin oder her logen zu müssen denk ich mir wird nicht funktionieren, zumal ich auf meiner PFSense PFBlocker, Suricata usw laufen habe und ich extrem ungern dann wieder Geräte außerhalb des internen Netzwerks Verbunden haben will.

Zu. 2.) Ich kann nicht für Österreich im generell sprechen, aber in der Gegend in der ich hier lebe gibts zwar in jeder Wohnung ne Telefonbuchse, aber in meinem Fall bekomme ich da 20Mbit raus, im Gegensatz zu 450 über das Kabel und dadurch das ich sowieso Kabelfernsehen habe. Und Mobiles Internet kommt für mich nicht in Frage wegen Latenz und auch das ist hier teilweise nicht nicht nennenswert schnell.
Das einzige was für mich relativ Attraktiv wäre ist Sky, aber für Sky schau ich fast zu wenig fern. Mit den Paketen die man haben will und den Zusatzoptionen wie Multiscreen und UltraHD zahlst da ja auch nicht zu wenig.

Ich muss ganz ehrlich sagen für mich funktioniert es jetzt aber soweit auch so. Es war zwar am Anfang eine kleine Spielerei, aber jetzt funktoniert es. Zwar nicht mit App ( die wollte ich jedoch eh von Anfang an nicht nutzen, ich finde die Fritzbox TV App nicht besonders ) aber über VLC. Ich werde zukünftig noch versuchen die Fritbox in einer TV - Headened Installation einzubinden und dann die lokalen Clients mit TV-Headened sprechen zu lassen, sollte das jedoch nicht zufriedenstellend Funktionieren ist Sky auf jeden Fall etwas, über das ich nachdenken werde.

Elv

Ich habe mir einen Work-Around gebaut, der mit einem VLC als Client funktioniert.

Hintergrund: An die Fritz wird über rstp (554) der Steuerkanal geöffnet. Damit wird der Rückkanal ausgehandelt (client-port). Da die pfSense dieses Protokoll nicht berücksichtigt wird keine FW-Regel für den Rückkanal (TV Stream) erstellt. Man könnte nun ein paar tausend Ports von der Fritz zurück zum LAN öffnen/natten (Quelle Fritz, Quellports: 5000/5001, 5002/5003, 5004/5005, 5006/5007 (paarweise pro Client bzw Tuner), Zielports 10000-...) was aber *** ist und max. für einen Client klappt.

s. Web-based multicast live and unicast VoD streaming:
The Internet Engineering Task Force (IETF) recommends RTP over UDP or TCP transports with setup and control using RTSP over TCP
(https://en.wikipedia.org/w/index.php?title=Internet_Protocol_television&oldid=1014946651#Protocols)

Ich habe stattdessen im VLC (macOS, Windows, Linux; keine APP! für Mobile, dort gibt es die Einstellungen meines Wissens nicht) in "Einstellungen", "Eingang/Codecs", "Demuxer", "RTP/RSTP" den Zielport festgelegt: RTP über RTSP (TCP) benutzen: (EIN) / Client-Port: CPx (zb: 10300). Für jeden Client mit VLC einen eigenen Port festlegen.

Jetzt in der pfSense für jeden VLC-Client im NAT - Port-Forwarding einen Eintrag vornehmen: Interface WAN, UDP / Source: Fritz:5000-5007 / Dest: Fritz:CPx-CPx+1 / NATIP: IPdesRechnersMitVLC: CPx-CPx+1 (zB: 10300-10301)

Die m3u-Liste von der Fritz im VLC laden und TV gucken.

Sicherlich gibt es eine eleganter Möglichkeit, von der ich gerne hören würde, die dann vielleicht auch mit anderen Clients arbeitet.