PfSense+VLAN vs IPTV

greaman

Moin,

ich bin noch nicht ganz sicher, ob es überhaupt ein pfSense Problem ist, aber ggf. hta ja schon wer ähnliche Erfahrungen gemacht.

Ich habe folgende Konfiguration:

     WAN / Internet
            :
            : Telekom VDSL
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+-----|
      |  pfSense |
      '-----+-----|
            |
        Trunc (VLAN 1 untagged (Management Netz), VLAN 2,3,4,... tagged, 802.1q)
            |
      .-----+------.
      |Switch      | (Verteilung der VLANs über untagged ports)
      '-----+------'

Die Idee war und ist, die blöde entertain-box über die pfSense anzuschließen, wie es es vor Beschaffung des VLAN-fähigen Switches hatte (vorher ging es über getrennte physische Interfaces der pfSense),
spring der Entertainreceiver hängt am Switch im VLAN 4 und hängt in einem Netz, welches der IGMP Proxy der pfSense versorgt - so weit, so einfach.

hänge ich den Receiver an einen dedizierten Port der Firewall - läuft IPTV ohne Probleme,
schleuse ich den Downstream spaßeshalber über VLAN1 untagged 1 und lasse den Switch das Tagging übernehmen - läuft IPTV ohne Probleme,

ist das Downstream-Netzwerk aber VLAN (2,3,4,…) welche nur getagged auf dem Switch auflaufen und dann verteilt werden - funktioniert es eben nicht.

Wenn ich die Pakete auf der pfSense mitschneide, dann sehe ich die requests vom Client ankommen - ich vermute also ein Problem in der Konstellation VLAN&IGMP Proxy.

Hat jemand damit schonmal Erfahrungen gemacht?

Als Switches habe ich übrigens zwei Modelle von Netgear und einen TP-Link getestest - alle managed und IGMP Snooping fähig - macht aber genau keinen Unterschied im Verhalten.

pfadmin

Hi,

aktuelle nutzt du VLAN1 untagged an einem Interface, also alle Einstellungen sind auf dem Interface "LAN"der pfsense zu finden. Vergleiche nun Interface "Vlanx" mit den Einstellungen auf dem "LAN" Interface, also IP Bereich, Firewallrules, IGMP. Hier muß überall zumindest zu Anfang das gleiche drin stehen (natürlich anderer IP-Bereich). Auch im IGMP Proxy muß VLANx jetzt enthalten sein.

Mangels IPTV und mangels Unterstützung von IGMPv3 (für Entertain an BNG Anschlüssen der Telekom), kann ich leider nicht viel mehr dazu beitragen.

Gruß
pfadmin

bastid

Hallo,

ich habe genau das gleich Problem und bis jetzt keine Lösung gefunden.

Meine Umgebung:

PfSense: 2.3.2-RELEASE (amd64)
Switch: HP 1810-24G, PL.1.9
VSphere 6

Von der FritzBox geht eine 1000Mbit Leitung zu meinem ESXI auf dem die PfSense VM läuft.
Die Leitung nutzt ausschließlich der WAN Port der PfSense.

Über einen weiteren Port geht eine weitere Leitung(1000Mbit)  an meinem Switch.
Die Leitung ist sowohl am ESXI und Switch Tagged.

Über diese laufen folgende Netze:

VLAN 50 : Netzwerk
VLAN 60 : GAST
VLAN 70 : DMZ
…
VLAN 90 : IPTV

Ich habe nun drei MediaReciever die an jeweils 3 Ports(Untagged auf VLAN90) am Switch angeschlossen sind.

Soweit laufen in allen Netzen folgende Dienste erfolgreich:

• DHCP
• DNS
• AD Umgebung
• WWW

Ich habe die PfSense so Konfiguriert wie auf https://blog.tausys.de/2014/10/16/telekom-iptv-mit-pfsense/.
Der Unterschied bei mir ist das die PfSense hinter einer FritzBox hängt und das Zielnetz hinter der PfSense ein VLAN(VLAN90) ist.

Nun ist es so dass die Reciever eine IP und auch ca 10sec mir ein Stream bringen.
Dann bricht die Verbindung aber ab, bis ich auf einen anderen Sender schalte und es wieder nach 10sec nicht mehr geht.

Ich bin so langsam mit meinem Latein am ende und bräuchte dringen einen neuen Schubser in die richtige Richtung.

Hat jemand eine Idee bzw. das gleiche Problem schonmal gehabt?

Hoffe auf Rückmeldung,
Basti

pfadmin

Moin,

multicast funktioniert bei dir nicht. nach 10Sec wird von Uni- auf Multicast geschalten. IGMP Proxy?

Gruß
pfadmin

bastid

Hey,

danke für deine Rückmeldung!

Ich habe den IGMP Proxy nun folgendermaßen eingerichtet:

Upstream: FritzBox Netz(192.168.60.0)
Downstream: VLAN_IPTV(192.168.90.0)

funktioniert leider weiterhin nicht!

Muss ich noch weitere Netze freigen? Falls ja, wo kann ich nachlesen welche das wären?

Gruß
Basti

@pfadmin:

Moin,

multicast funktioniert bei dir nicht. nach 10Sec wird von Uni- auf Multicast geschalten. IGMP Proxy?

Gruß
pfadmin


pfadmin

Der Unterschied zum OP ist bei dir der, dass du nirgends IPTV am laufen hast. Es könnte also auf das Thema IGMPv3 und neu Entertainplattform hinauslaufen.

Und dann schau mal noch hier, teste das ggf. und gib bitte Rückinfo.
https://www.administrator.de/frage/igmp-snooping-problem-311944.html#comment-1122727

Gruß
pfadmin

pfadmin

IGMP Proxy does not work with VLAN interfaces, and possibly other edge cases. Bug 6099. This is a little-used component. If you’re not sure what it is, you’re not using it. This has been fixed on our 2.4 development branch.

jahonix

Es gibt auf Redmine eine lange Geschichte dazu, auch einen selbst einzuspielenden Patch.
Schau selbst: https://redmine.pfsense.org/issues/6099

Dass vom Team alle T-Entertain User als "edge cases" eingestuft werden finde ich … bedenklich.
Eines der Probleme mag sein, dass dieses Thema meist im deutschsprachigen Teil des Forums auftaucht und damit ist es für die Jungs quasi unsichtbar.

bastid

Hallo zusammen,

ich habe jetzt länger keine Zeit mehr gehabt mich weiter mit dem Thema zu beschäftigen.
Ich habe das Problem aber nun gelöst bekommen.

Folgendes hat mir weiter geholfen:

1. Ich habe meine pfSense nun nicht mehr in einer VM sondern auf einem Mini Board laufen.
    Dieses hat 4 Intel NICs weshalb ich den WAN, LAN und IPTV Port auf jeweils eine Separate NIC gesetzt habe.

2. Ich habe nach langem suchen herausgefunden, dass anscheinend viele Benutzer sich beklagen das der IGMP Proxy einen Bug bei VLAN´s hat und deshalb empfohlen
    wird das Interface auf einen separate NIC zu legen. - So habe ich es nun auch im laufenden Betrieb

3. Ich habe vergessen in der Firewall den Punkt IP Options zu aktivieren!!!(s. Screenshot)

Trotzdem habe ich vor, nochmal eine pfSense in einer VM aufsetzen und  zu versuchen IPTV doch noch mit diesem Konstrukt zum laufen zu bringen.

Gruß
Basti

PS: Wenn ich die Zeit finde, werde ich nochmal eine detailliertere Anleitung schreiben.

@bastid:

Hallo,

ich habe genau das gleich Problem und bis jetzt keine Lösung gefunden.

Meine Umgebung:

PfSense: 2.3.2-RELEASE (amd64)
Switch: HP 1810-24G, PL.1.9
VSphere 6

Von der FritzBox geht eine 1000Mbit Leitung zu meinem ESXI auf dem die PfSense VM läuft.
Die Leitung nutzt ausschließlich der WAN Port der PfSense.

Über einen weiteren Port geht eine weitere Leitung(1000Mbit)  an meinem Switch.
Die Leitung ist sowohl am ESXI und Switch Tagged.

Über diese laufen folgende Netze:

VLAN 50 : Netzwerk
VLAN 60 : GAST
VLAN 70 : DMZ
…
VLAN 90 : IPTV

Ich habe nun drei MediaReciever die an jeweils 3 Ports(Untagged auf VLAN90) am Switch angeschlossen sind.

Soweit laufen in allen Netzen folgende Dienste erfolgreich:

• DHCP
• DNS
• AD Umgebung
• WWW

Ich habe die PfSense so Konfiguriert wie auf https://blog.tausys.de/2014/10/16/telekom-iptv-mit-pfsense/.
Der Unterschied bei mir ist das die PfSense hinter einer FritzBox hängt und das Zielnetz hinter der PfSense ein VLAN(VLAN90) ist.

Nun ist es so dass die Reciever eine IP und auch ca 10sec mir ein Stream bringen.
Dann bricht die Verbindung aber ab, bis ich auf einen anderen Sender schalte und es wieder nach 10sec nicht mehr geht.

Ich bin so langsam mit meinem Latein am ende und bräuchte dringen einen neuen Schubser in die richtige Richtung.

Hat jemand eine Idee bzw. das gleiche Problem schonmal gehabt?

Hoffe auf Rückmeldung,
Basti


Luegenbaron

Hallo zusammen
Ist dieser Bug immer noch vorhanden.
Bei mir wollte ich den IGMP Proxy auf das MulticastTV Interface legen welches auf VLAN 102 liegt.
Nun das Downstream Interface configuriert auf MulticastTV Interface. Network 172.18.5.0/24.
Es läuft alles soweit. Die Geräte bekommen IP, kann ins Internet usw.
Nun sobald ich mit einem Gerät in diesem Vlan einen Multicast Stream joinen will meldet der IGMP-Proxy unter den Systemlogs NO Interface found for 172.18.5.100

Ist es also so das ich aufhören kann da weiter zu suchen und es immer noch nicht funktioniert den IGMP-Proxy auf ein Vlan zu legen?
Kann ich aber den IGMP-Proxy auf ein Interface ohne Vlan legen, auf dessen NIC aber noch VLAN Interface liegen?

Danke für Antworten

Grüsse Luegenbaron

mansior

Hey,

schau mal hier:
https://forum.netgate.com/topic/137653/entertain-tv-hinter-pfsense-stockt/6

wkn hat hier eine Konfig bei der der MR (also auch Entertain) über VLAN 10 läuft...

VG

Luegenbaron

Hallo und danke dir
Ich werde das nochmals testen.
Habe mich jedoch entschieden einfach nochmals 1 Quad Port Karte zu kaufen.
Und das IPTV einen einzelnen Nic zur verfügung zu stellen.

Gruss und melde mich nach dem Test.