PfSense+VLAN vs IPTV



  • Moin,

    ich bin noch nicht ganz sicher, ob es überhaupt ein pfSense Problem ist, aber ggf. hta ja schon wer ähnliche Erfahrungen gemacht.

    Ich habe folgende Konfiguration:

         WAN / Internet
                :
                : Telekom VDSL
                :
          .-----+-----.
          |  Gateway  |  (Fritzbox)
          '-----+-----'
                |
            WAN | IP or Protocol
                |
          .-----+-----|
          |  pfSense |
          '-----+-----|
                |
            Trunc (VLAN 1 untagged (Management Netz), VLAN 2,3,4,... tagged, 802.1q)
                |
          .-----+------.
          |Switch      | (Verteilung der VLANs über untagged ports)
          '-----+------'
    
    

    Die Idee war und ist, die blöde entertain-box über die pfSense anzuschließen, wie es es vor Beschaffung des VLAN-fähigen Switches hatte (vorher ging es über getrennte physische Interfaces der pfSense),
    spring der Entertainreceiver hängt am Switch im VLAN 4 und hängt in einem Netz, welches der IGMP Proxy der pfSense versorgt - so weit, so einfach.

    hänge ich den Receiver an einen dedizierten Port der Firewall - läuft IPTV ohne Probleme,
    schleuse ich den Downstream spaßeshalber über VLAN1 untagged 1 und lasse den Switch das Tagging übernehmen - läuft IPTV ohne Probleme,

    ist das Downstream-Netzwerk aber VLAN (2,3,4,…) welche nur getagged auf dem Switch auflaufen und dann verteilt werden - funktioniert es eben nicht.

    Wenn ich die Pakete auf der pfSense mitschneide, dann sehe ich die requests vom Client ankommen - ich vermute also ein Problem in der Konstellation VLAN&IGMP Proxy.

    Hat jemand damit schonmal Erfahrungen gemacht?

    Als Switches habe ich übrigens zwei Modelle von Netgear und einen TP-Link getestest - alle managed und IGMP Snooping fähig - macht aber genau keinen Unterschied im Verhalten.



  • Hi,

    aktuelle nutzt du VLAN1 untagged an einem Interface, also alle Einstellungen sind auf dem Interface "LAN"der pfsense zu finden. Vergleiche nun Interface "Vlanx" mit den Einstellungen auf dem "LAN" Interface, also IP Bereich, Firewallrules, IGMP. Hier muß überall zumindest zu Anfang das gleiche drin stehen (natürlich anderer IP-Bereich). Auch im IGMP Proxy muß VLANx jetzt enthalten sein.

    Mangels IPTV und mangels Unterstützung von IGMPv3 (für Entertain an BNG Anschlüssen der Telekom), kann ich leider nicht viel mehr dazu beitragen.

    Gruß
    pfadmin



  • Hallo,

    ich habe genau das gleich Problem und bis jetzt keine Lösung gefunden.

    Meine Umgebung:

    PfSense: 2.3.2-RELEASE (amd64)
    Switch: HP 1810-24G, PL.1.9
    VSphere 6

    Von der FritzBox geht eine 1000Mbit Leitung zu meinem ESXI auf dem die PfSense VM läuft.
    Die Leitung nutzt ausschließlich der WAN Port der PfSense.

    Über einen weiteren Port geht eine weitere Leitung(1000Mbit)  an meinem Switch.
    Die Leitung ist sowohl am ESXI und Switch Tagged.

    Über diese laufen folgende Netze:

    VLAN 50 : Netzwerk
    VLAN 60 : GAST
    VLAN 70 : DMZ

    VLAN 90 : IPTV

    Ich habe nun drei MediaReciever die an jeweils 3 Ports(Untagged auf VLAN90) am Switch angeschlossen sind.

    Soweit laufen in allen Netzen folgende Dienste erfolgreich:

    • DHCP
    • DNS
    • AD Umgebung
    • WWW

    Ich habe die PfSense so Konfiguriert wie auf https://blog.tausys.de/2014/10/16/telekom-iptv-mit-pfsense/.
    Der Unterschied bei mir ist das die PfSense hinter einer FritzBox hängt und das Zielnetz hinter der PfSense ein VLAN(VLAN90) ist.

    Nun ist es so dass die Reciever eine IP und auch ca 10sec mir ein Stream bringen.
    Dann bricht die Verbindung aber ab, bis ich auf einen anderen Sender schalte und es wieder nach 10sec nicht mehr geht.

    Ich bin so langsam mit meinem Latein am ende und bräuchte dringen einen neuen Schubser in die richtige Richtung.

    Hat jemand eine Idee bzw. das gleiche Problem schonmal gehabt?

    Hoffe auf Rückmeldung,
    Basti



  • Moin,

    multicast funktioniert bei dir nicht. nach 10Sec wird von Uni- auf Multicast geschalten. IGMP Proxy?

    Gruß
    pfadmin



  • Hey,

    danke für deine Rückmeldung!

    Ich habe den IGMP Proxy nun folgendermaßen eingerichtet:

    Upstream: FritzBox Netz(192.168.60.0)
    Downstream: VLAN_IPTV(192.168.90.0)

    funktioniert leider weiterhin nicht!

    Muss ich noch weitere Netze freigen? Falls ja, wo kann ich nachlesen welche das wären?

    Gruß
    Basti

    @pfadmin:

    Moin,

    multicast funktioniert bei dir nicht. nach 10Sec wird von Uni- auf Multicast geschalten. IGMP Proxy?

    Gruß
    pfadmin

    ![IGMP Proxy.png](/public/imported_attachments/1/IGMP Proxy.png)
    ![IGMP Proxy.png_thumb](/public/imported_attachments/1/IGMP Proxy.png_thumb)



  • Der Unterschied zum OP ist bei dir der, dass du nirgends IPTV am laufen hast. Es könnte also auf das Thema IGMPv3 und neu Entertainplattform hinauslaufen.

    Und dann schau mal noch hier, teste das ggf. und gib bitte Rückinfo.
    https://www.administrator.de/frage/igmp-snooping-problem-311944.html#comment-1122727

    Gruß
    pfadmin



  • IGMP Proxy does not work with VLAN interfaces, and possibly other edge cases. Bug 6099. This is a little-used component. If you’re not sure what it is, you’re not using it. This has been fixed on our 2.4 development branch.



  • Es gibt auf Redmine eine lange Geschichte dazu, auch einen selbst einzuspielenden Patch.
    Schau selbst: https://redmine.pfsense.org/issues/6099

    Dass vom Team alle T-Entertain User als "edge cases" eingestuft werden finde ich … bedenklich.
    Eines der Probleme mag sein, dass dieses Thema meist im deutschsprachigen Teil des Forums auftaucht und damit ist es für die Jungs quasi unsichtbar.



  • Hallo zusammen,

    ich habe jetzt länger keine Zeit mehr gehabt mich weiter mit dem Thema zu beschäftigen.
    Ich habe das Problem aber nun gelöst bekommen.

    Folgendes hat mir weiter geholfen:

    1. Ich habe meine pfSense nun nicht mehr in einer VM sondern auf einem Mini Board laufen.
        Dieses hat 4 Intel NICs weshalb ich den WAN, LAN und IPTV Port auf jeweils eine Separate NIC gesetzt habe.

    2. Ich habe nach langem suchen herausgefunden, dass anscheinend viele Benutzer sich beklagen das der IGMP Proxy einen Bug bei VLAN´s hat und deshalb empfohlen
        wird das Interface auf einen separate NIC zu legen. - So habe ich es nun auch im laufenden Betrieb

    3. Ich habe vergessen in der Firewall den Punkt IP Options zu aktivieren!!!(s. Screenshot)

    Trotzdem habe ich vor, nochmal eine pfSense in einer VM aufsetzen und  zu versuchen IPTV doch noch mit diesem Konstrukt zum laufen zu bringen.

    Gruß
    Basti

    PS: Wenn ich die Zeit finde, werde ich nochmal eine detailliertere Anleitung schreiben.

    @bastid:

    Hallo,

    ich habe genau das gleich Problem und bis jetzt keine Lösung gefunden.

    Meine Umgebung:

    PfSense: 2.3.2-RELEASE (amd64)
    Switch: HP 1810-24G, PL.1.9
    VSphere 6

    Von der FritzBox geht eine 1000Mbit Leitung zu meinem ESXI auf dem die PfSense VM läuft.
    Die Leitung nutzt ausschließlich der WAN Port der PfSense.

    Über einen weiteren Port geht eine weitere Leitung(1000Mbit)  an meinem Switch.
    Die Leitung ist sowohl am ESXI und Switch Tagged.

    Über diese laufen folgende Netze:

    VLAN 50 : Netzwerk
    VLAN 60 : GAST
    VLAN 70 : DMZ

    VLAN 90 : IPTV

    Ich habe nun drei MediaReciever die an jeweils 3 Ports(Untagged auf VLAN90) am Switch angeschlossen sind.

    Soweit laufen in allen Netzen folgende Dienste erfolgreich:

    • DHCP
    • DNS
    • AD Umgebung
    • WWW

    Ich habe die PfSense so Konfiguriert wie auf https://blog.tausys.de/2014/10/16/telekom-iptv-mit-pfsense/.
    Der Unterschied bei mir ist das die PfSense hinter einer FritzBox hängt und das Zielnetz hinter der PfSense ein VLAN(VLAN90) ist.

    Nun ist es so dass die Reciever eine IP und auch ca 10sec mir ein Stream bringen.
    Dann bricht die Verbindung aber ab, bis ich auf einen anderen Sender schalte und es wieder nach 10sec nicht mehr geht.

    Ich bin so langsam mit meinem Latein am ende und bräuchte dringen einen neuen Schubser in die richtige Richtung.

    Hat jemand eine Idee bzw. das gleiche Problem schonmal gehabt?

    Hoffe auf Rückmeldung,
    Basti

    ![Firewall_ Rules_ Edit.png](/public/imported_attachments/1/Firewall_ Rules_ Edit.png)
    ![Firewall_ Rules_ Edit.png_thumb](/public/imported_attachments/1/Firewall_ Rules_ Edit.png_thumb)



  • Hallo zusammen
    Ist dieser Bug immer noch vorhanden.
    Bei mir wollte ich den IGMP Proxy auf das MulticastTV Interface legen welches auf VLAN 102 liegt.
    Nun das Downstream Interface configuriert auf MulticastTV Interface. Network 172.18.5.0/24.
    Es läuft alles soweit. Die Geräte bekommen IP, kann ins Internet usw.
    Nun sobald ich mit einem Gerät in diesem Vlan einen Multicast Stream joinen will meldet der IGMP-Proxy unter den Systemlogs NO Interface found for 172.18.5.100

    Ist es also so das ich aufhören kann da weiter zu suchen und es immer noch nicht funktioniert den IGMP-Proxy auf ein Vlan zu legen?
    Kann ich aber den IGMP-Proxy auf ein Interface ohne Vlan legen, auf dessen NIC aber noch VLAN Interface liegen?

    Danke für Antworten

    Grüsse Luegenbaron



  • Hey,

    schau mal hier:
    https://forum.netgate.com/topic/137653/entertain-tv-hinter-pfsense-stockt/6

    wkn hat hier eine Konfig bei der der MR (also auch Entertain) über VLAN 10 läuft...

    VG



  • Hallo und danke dir
    Ich werde das nochmals testen.
    Habe mich jedoch entschieden einfach nochmals 1 Quad Port Karte zu kaufen.
    Und das IPTV einen einzelnen Nic zur verfügung zu stellen.

    Gruss und melde mich nach dem Test.