[SOLUCIONADO] PfSense e Imagenio

paffendorf

Buenas chicos,

Podéis echarme una mano?. Tengo instalado pfsense 2.4.3 en un Watchguard y no soy capaz de que levante el IGMPProxy por culpa de la interfaz pppoe. Vosotros como lo estáis resolviendo? La versión del proxy que estoy usando es la embebida dentro del pfsense 0.2.1

Muchas gracias

paffendorf

Buenas,

agrego nuevas mejoras para actualizar la guía.

He mejorado el tema de DHCP para que dependiendo de si es un deco de imagenio, ponga las IPs correspondientes con la configuración correspondiente única para los decodificadores.

Para ello:

• Creamos un fichero en /var/dhcpd/etc/dhcpd.conf.override . En el incorporamos la siguiente confiuración

option custom-opt1-0-0 code 240 = string;

class "imagenio" {
match if (substring (option vendor-class-identifier,0,5) = "[IAL]");
}

class "other" {
match if not (substring (option vendor-class-identifier,0,5) = "[IAL]");
}

subnet <vuestra-red> netmask 255.255.255.0 {
        pool {
                allow members of "other";
                <config del pool vuestra>
                range <rango ip de clientes normales>;
        }

        pool {
                allow members of "imagenio";
                option domain-name-servers 172.26.23.3;
                option custom-opt1-0-0 ":::::239.0.2.30:22222";
                range <rango ip para los decodificadores>;
        }

        option routers <gateway por defecto>;

}

• Para que cuando se reinicie el equipo coja la configuración que hemos creado el servidor dhcp, debemos crear el siguiente script en /usr/local/etc/rc.d/dhcpdoverride.sh

#/bin/bash
killall -3 dhcpd
cp /var/dhcpd/etc/dhcpd.conf.override /var/dhcpd/etc/dhcpd.conf
/usr/local/sbin/dhcpd -user dhcpd -group _dhcp -chroot /var/dhcpd -cf /etc/dhcpd.conf -pf /var/run/dhcpd.pid lagg0 fxp0 <-- comprobad vuestras interfaces

Darle permisos de ejecución al fichero. Éste se ejecutará cada vez que se arranque el servidor y sobreescribirá la configuración por defecto (Que por cierto es bien pobre) del servidor dhcp de pfsense.

Un saludo,

donizt

@paffendorf Genial aportacion, pero con MAC address control en menu de new poll en el menu del pfsense no puedes hacer lo mismo?

paffendorf

@donizt si claro, pero tienes que ponerte a meter mac. Con esto enchufas el deco y ya lo configura con el option 240 y con el DNS de Imagenio ya que el vendor id de los DECOS es siempre el mismo. Para mí insertar la Mac es equivalente a meter la IP fija por deco

donizt

@paffendorf Pero en esa opcion puede poner mac parciales, por lo que con poner el vendor-class te vale. La verdad es que e suna opcion que no he probado, pero mañana hago una prueba con los portatiles de hp

mwave

Yo estoy teniendo problemas con 2.4.4 (snapshot), nada mas habilitar la interfaz IMAGENIO (configurada con la mascara de red y direccion IP correctas), pierdo la WAN por la VLAN 6. El problema es que mi LAN usa direcciones 10.1.x.x y la mascara de la interfaz de IPTV esta dentro de ese rango... no deberia ser un problema por estar en una VLAN distinta, pero no se que otra razon pudiera estar en juego para que pase eso.

Esta es mi configuracion:

Ninguna de las VLAN esta en conflicto. LAN en VLAN 1 no esta en uso, GENERAL_LAN es la real.

Aun no me he metido con la parte de IGMP, porque si esto no funciona, no tiene sentido irse a eso.

donizt

@mwave said in [SOLUCIONADO] PfSense e Imagenio:
Si tienes la lan en mismo rango que la de imagenio, el pfsense se hace un lio para enrutar, tendras que poner rutas a mano

mwave

@donizt said in [SOLUCIONADO] PfSense e Imagenio:

@mwave said in [SOLUCIONADO] PfSense e Imagenio:
Si tienes la lan en mismo rango que la de imagenio, el pfsense se hace un lio para enrutar, tendras que poner rutas a mano

Tienes algun ejemplo de por donde empezar? Probe con un ASUS AC68U que tenia por ahi y al menos esa parte la llevaba sin problemas, no se si es por llevar un preset de la config de Movistar de fabrica (esta en la lista) o alguna otra razon. (misma subnet, solo por probar)

Movistar lo que tiene que hacer es no cometer errores galopantes como es meter una mascara de red de 9 bits. Le falta un bit para cubrir todo el rango de IPs internas segun RFC en 10.0.0.0/8.... Hay que ser cafre, o chapuzas.... O lo hicieron asi por comodidad de no tener que segmentar nada ni enviar configuraciones individuales (que esta dentro de sus capacidades), o por no tener ni idea del problema que representa.

paffendorf

@mwave
Hombre yo por no meterme en lios intentaría cambiar toda la red interna a una 192.168 que no suele ser muy utilizada. Claro está si no te impacta mucho porque por los screenshots debes tener muchas VLAN creadas para separar trafico interno.

mwave

@paffendorf said in [SOLUCIONADO] PfSense e Imagenio:

@mwave
Hombre yo por no meterme en lios intentaría cambiar toda la red interna a una 192.168 que no suele ser muy utilizada. Claro está si no te impacta mucho porque por los screenshots debes tener muchas VLAN creadas para separar trafico interno.

Imposible... supone cambiar la configuracion de bastantes cosas, desde servidores internos en VMs, configuraciones de otros switches, etc. Tengo demasiada segmentacion en esta red como para cambiar eso.

192.168 da problemas en entornos empresariales, de SOHO, etc; precisamente porque la usa todo el mundo, y tiene menos espacio. La configuracion en 10.0.0.0/8 la tengo porque asi no he tenido problemas nunca al conectarme desde una red via VPN o similar con un rango de direcciones en 192.168 o 172.16.

Tiene que haber alguna manera de aislar la interfaz.

paffendorf

@mwave said in [SOLUCIONADO] PfSense e Imagenio:

@paffendorf said in [SOLUCIONADO] PfSense e Imagenio:

@mwave
Hombre yo por no meterme en lios intentaría cambiar toda la red interna a una 192.168 que no suele ser muy utilizada. Claro está si no te impacta mucho porque por los screenshots debes tener muchas VLAN creadas para separar trafico interno.

Imposible... supone cambiar la configuracion de bastantes cosas, desde servidores internos en VMs, configuraciones de otros switches, etc. Tengo demasiada segmentacion en esta red como para cambiar eso.

192.168 da problemas en entornos empresariales, de SOHO, etc; precisamente porque la usa todo el mundo, y tiene menos espacio. La configuracion en 10.0.0.0/8 la tengo porque asi no he tenido problemas nunca al conectarme desde una red via VPN o similar con un rango de direcciones en 192.168 o 172.16.

Tiene que haber alguna manera de aislar la interfaz.

Yo creo que aquí tienes el mismo problema. Movistar nos trata como una mega-red interna y utiliza casi todo el rango de la 10.0.0.0 para sus propositos. Lo suyo es que como bien dices redujese el rango o lo segmentase. Pero me parece que eso va a ser pedir peras al olmo.
Sinceramente tienes complicado el asunto...

donizt

@mwave La verdad es que me pilla descolocado tu configuracion, no se me ocurre como arreglarla. Se me ocurre que crees una maquina virtual con 2 interfaces y la mandes la VLAN 2 y la red donde mandes el imagenio y en esa maquina montas el IGMProxy entre las dos redes. No se si me he explcado

mwave

@donizt No es mala idea, puedo hacer una VM en Proxmox con VyOS, asignarle una NIC con el tag de la VLAN de imagenio, y otra NIC asignada la red general. Creo que deberia ser posible hacerlo desde pfsense pero mi experiencia con la plataforma no es la mejor, estoy recien llegado como quien dice. En cli me manejo.

Vere si puedo esta semana probar.

@paffendorf said in [SOLUCIONADO] PfSense e Imagenio:

Yo creo que aquí tienes el mismo problema. Movistar nos trata como una mega-red interna y utiliza casi todo el rango de la 10.0.0.0 para sus propositos. Lo suyo es que como bien dices redujese el rango o lo segmentase. Pero me parece que eso va a ser pedir peras al olmo.
Sinceramente tienes complicado el asunto...

Luego cuando les peten algo diran que tenian todo bien atado...

naseito

@donizt Gracias por el tutorial, la verdad es que sin el no hubiera sabido ni por donde empezar.

He conectado a Internet pero sigo sin poder ver Imagenio en el deco... a ver si me puedes echar un cable por favor :)

Estoy usando un minipc intel con cuatro puertos GB. En em0 está conectado el cable que va al ONT, en el em1 tengo el cable que va a un router de Asus y switch que utilizo para la LAN y en em2 tengo conectado el cable al deco.

He creado una VLAN para imagenio con los datos del manual. Después he creado un interfaz asociado al puerto de dicha VLAN poniendo la IP estática y gateway que saqué del router de movistar para imagenio.

Después he creado un interfaz con nombre Decodificadorimagenio que está asociado al puerto físico em2 con IP 192.168.2.1 (mi red de internet es 192.168.1.0/24) y sin gateway.

He hecho un nat 1:1 con los siguientes datos:

• Interface: Imagenio (es el interfaz asociado a la vlan de imagenio).
• External subnet IP: He puesto la IP que obtuve de la configuración del router de movistar para imagenio.
• Internal IP: Single host: 192.168.2.2 --> IP que he puesto manualmente en la.
• Destination: any

Y por último activado el IGMP proxy entre el interfaz imagenio (upstream con todos los rangos de IPs que comentabas unos posts más arriba) y decodificadorimagenio (downstream a 192.168.2.0/24).

Aún así no consigo que funcione y honestamente con el tema de redes algo ando perdido. Quizás haya puesto algo que no deba.

¿Podéis ayudarme?

naseito

PS: Se me olvidó comentar que no tengo interés en poder ver Imagenio en PCs o en otro deco, sólo quiero que funcione en el principal.

PS2: Corrijo una frase que no había puesto bien:

Internal IP: Single host: 192.168.2.2 --> IP que he puesto manualmente en el deco.

gofret84

Buenas tardes.

Ando probando un cacharro que pedí por Amazon que viene con pfsense, pongo foto, es un HUNSN con cuatro puertos y WiFi

La cosa es que después de alguna que otra vuelta, he conseguido que funcione internet (eso fue fácil) y también he conseguido que funcione la IPTV en el deco, pero algunas veces tiene cortes o se queda un poco pillado, aparte que todavía no he visto la fórmula para la vídeo demanda ¿Sabéis donde podría tocar o de donde puede venir esos pequeños parones de vez en cuando o que se quede parado unas décimas de segundo?

Por cierto, de la voz ip he pasado directamente, no la uso y en este caso va directo de la ONT al teléfono, pero no lo uso y me da igual.

Un saludo y gracias.

mwave

Alguien puede echarme un cable con la configuracion para VoIP? No consigo hacer ping/tener conexion con la IP 10.31.255.134? Consigue la interfaz de la VLAN de VoIP una IP del rango 10.22.71.x/18, pero nada mas.

guerrerotook

¿Alguien puede enviar un resumen de la configuración para las reglas de NAT?

En las ultimas versiones de pfSense, el paquete de RIP tienes que instalarlo a parte y ahora ya me muestra todas las rutas de la VLAN2, pero no consigo hacer funcionar el video desde el VLC ya el deco ni lo intento. Pero lo único que no he conseguido configurar con las reglas de NAT.

Muchas gracias.

jorgelahoz

Hola,

Estoy intentando configurar pfSense como router en una línea Movistar Fusión: Tengo ya funcionando la VLANs de Internet y Voz, pero pasa algo bastante raro con Imagenio.

Resulta que puedo ver canales de TV desde VLC solo a través de udpxy. Es decir, cuando quiero ver, por ejemplo, el canal de publicidad de Movistar, puedo verlo únicamente desde http://iprouter:4000/udp/239.0.0.77:8208, y no desde rtp://@239.0.5.185:8208. Imagino que será cosa del IGMP proxy, pero no consigo encontrar el fallo... Por supuesto, tampoco funciona desde el decodificador.

IGMPproxy está funcionando y habilitado supuestamente: he probado a iniciarlo manualmente con igmpproxy -vv /var/etc/igmpproxy.conf y no suelta ningún error. Dejo captura de pantalla de la configuración del proxy, pero la he mirado 32758934566 veces y me parece que está todo bien.

Gracias de antemano.
Un saludo.

EDIT: Parece ser que el error está relacionado con el Firewall, todo me funciona sin problemas si deshabilito packet filtering desde "Advanced>Firewall & NAT>Disable all packet filtering". Sin embargo, no consigo encontrar qué regla está bloqueando el tráfico IGMP, he deshabilitado reglas una por una y creado otras permitiendo tráfico "any" y no hay forma de que funcione. También he revisado muchas veces si las reglas que indica el pdf están bien metidas y creo que está todo bien.

EDIT 2: Al final, el problema era que pfBlockerNG estaba bloqueando conexiones de forma aleatoria. Al desactivar y volver a activar (no he cambiado ninguna configuración), funciona perfectamente...

mwave

Al final me decidi a depurar el problema con la vlan 3, aun sin resolver:

12:56:58.026890 IP (tos 0xc0, ttl 1, id 14588, offset 0, flags [none], proto UDP (17), length 52)
    10.22.64.1.router > rip2-routers.mcast.net.router: [udp sum ok] 
	RIPv2, Response, length: 24, routes: 1 or less
	  AFI IPv4,   10.31.255.128/27, tag 0x0000, metric: 3, next-hop: self
	0x0000:  0202 0000 0002 0000 0a1f ff80 ffff ffe0
	0x0010:  0000 0000 0000 0003
12:57:24.016204 IP (tos 0xc0, ttl 1, id 15120, offset 0, flags [none], proto UDP (17), length 52)
    10.22.64.1.router > rip2-routers.mcast.net.router: [udp sum ok] 
	RIPv2, Response, length: 24, routes: 1 or less
	  AFI IPv4,   10.31.255.128/27, tag 0x0000, metric: 3, next-hop: self
	0x0000:  0202 0000 0002 0000 0a1f ff80 ffff ffe0
	0x0010:  0000 0000 0000 0003
12:57:55.121594 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 328)
    0.0.0.0.bootpc > 255.255.255.255.bootps: [udp sum ok] BOOTP/DHCP, Request from e0:41:36:c8:de:30 (oui Unknown), length 300, xid 0xb05ae449, Flags [none] (0x0000)
	  Client-Ethernet-Address e0:41:36:c8:de:30 (oui Unknown)
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: Request
	    Requested-IP Option 50, length 4: 10.22.71.3
	    Client-ID Option 61, length 7: ether e0:41:36:c8:de:30
	    Hostname Option 12, length 7: "bla"
	    Parameter-Request Option 55, length 10: 
	      Subnet-Mask, BR, Time-Zone, Classless-Static-Route
	      Default-Gateway, Domain-Name, Domain-Name-Server, Hostname
	      Option 119, MTU
	    END Option 255, length 0
	    PAD Option 0, length 0, occurs 20
12:57:55.134309 IP (tos 0x0, ttl 255, id 16483, offset 0, flags [none], proto UDP (17), length 377)
    10.22.64.1.bootps > 10.22.71.3.bootpc: [udp sum ok] BOOTP/DHCP, Reply, length 349, hops 1, xid 0xb05ae449, Flags [none] (0x0000)
	  Your-IP 10.22.71.3
	  Server-IP 192.168.116.169
	  Gateway-IP 10.31.105.3
	  Client-Ethernet-Address e0:41:36:c8:de:30 (oui Unknown)
	  Vendor-rfc1048 Extensions
	    Magic Cookie 0x63825363
	    DHCP-Message Option 53, length 1: ACK
	    Server-ID Option 54, length 4: 192.168.116.169
	    Lease-Time Option 51, length 4: 7200
	    Subnet-Mask Option 1, length 4: 255.255.192.0
	    Default-Gateway Option 3, length 4: 10.22.64.1
	    Domain-Name Option 15, length 14: "telefonica.net"
	    POSIX-TZ Option 100, length 38: "CET-1CEST-2,M3.5.0/02:00,M10.5.0/03:00"
	    RN Option 58, length 4: 3600
	    T120 Option 120, length 5: 1.10.31.255.134
	    RB Option 59, length 4: 6300
	    NTP Option 42, length 4: 10.22.64.1
	    END Option 255, length 0
12:57:55.159373 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 10.22.71.3 tell 10.22.71.3, length 28
12:57:57.035959 IP (tos 0xc0, ttl 1, id 16520, offset 0, flags [none], proto UDP (17), length 52)
    10.22.64.1.router > rip2-routers.mcast.net.router: [udp sum ok] 
	RIPv2, Response, length: 24, routes: 1 or less
	  AFI IPv4,   10.31.255.128/27, tag 0x0000, metric: 3, next-hop: self
	0x0000:  0202 0000 0002 0000 0a1f ff80 ffff

DHCP funciona, recibe una GW e IP asignada pero las rutas no parecen normales:

10.22.64.0/18      link#15            U         ix0.3
10.31.255.128/27   10.22.64.1         UGS       ix0.3

La ruta a 10.31.255.128/27 es estatica en mi caso, he replicado lo que RIPv2 envia por broadcast desde Movistar (pero igualmente he probado con routed y no hay cambios, salvo el hecho de que routed en pfsense manda un broadcast de todas tus rutas de vuelta a telefonica... algo que no me gusta un pelo asi que manualmente me arreglo con rutas estaticas y tcpdump sacando los broadcasts de RIPv2).

No hay salida de trafico:

: ping -vvv -c 3 -t 3 -S 10.22.71.3 10.31.255.128
PING 10.31.255.128 (10.31.255.128) from 10.22.71.3: 56 data bytes

--- 10.31.255.128 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

La interfaz esta asi:

WAN_VOIP Interface (opt1, ix0.3)
Status
up
DHCP
up     Relinquish Lease
MAC Address
e0:41:36:c8:de:30 - MitraStar Technology
IPv4 Address
10.22.71.3
Subnet mask IPv4
255.255.192.0
Gateway IPv4
10.22.64.1
IPv6 Link Local
fe80::ae1f:6bff:fe46:ca5c%ix0.3
MTU
1500
Media
1000baseT <full-duplex,rxpause,txpause>
In/out packets
173/82547 (35 KiB/2.27 MiB)
In/out packets (pass)
173/82547 (35 KiB/2.27 MiB)
In/out packets (block)
47/0 (3 KiB/0 B)
In/out errors
0/1
Collisions
0

(Con la MAC del Mitrastar clonada). MTU en 1500 de facto.

Empiezo a pensar que hay algo que no estamos documentando bien, el caso es que no veo por donde arreglar el problema. A diferencia de Imagenio, las subnets de VOIP no son un circo (nada de mascaras de /8 y locuras varias, Imagenio se asigna el espacio entero de clase A... es una chapuza al mas puro estilo Telefonica). No tengo conflictos entre VLANs ni hay signos obvios de mala configuracion en otros puntos.

Alguien vivo por aqui o el foro esta muerto?