Aufbau LAN mit Telekom Entertain BNG über ein separates vlan7



  • Hallo liebes Forum,

    ich habe jetzt eine Woche damit verbracht, die pfSense einzurichten, um mit einem Telekom BNG Anschluss über
    die pfSense Entertain/Fernsehen zu schauen.

    Das Ergebnis ist leider sehr ernüchternd.

    Wichtig war mir, das alle IP Traffic wegen den Kiddies über einen Squid gehen. Daher musste das Entertain ja
    auch irgendwie über die pfSense funzen...

    Die pfSense in der Version 2.3.5 hatte einen IGMP Proxy in der Version 0.1_3,1. Abfagen kann man den
    mit # pkg info igmpproxy . Damit funzte gar nix. Dann Test mit der 2.4.3_R1. Die hat zumindest mal einen 0.1_5,1 IGMP Proxy.
    Aber damit ging es auch nicht. Dann der Test mit der Development Version 2.4.4a... IGMP Proxy 0.2.1,1.

    Aha, damit klappt mit den speziellen Freigaben und Einrichtungen von ho-service im IGMP Proxy
    und der Rules zumindest das anschauen über VLC am Client.

    Link zur Info: Entertain über VLC Videostreamen
    Link zur Beschreibung für die Settings in der pfSense von ho-service

    Über die beiden Telekomreceiver MR401 und MR201 gar keine Chance. Es sind drei Switche dazwischen ( GS116Ev2, GS108Ev3 und
    GS105Ev2 | ProSAFE Plus Switch ) Alle haben IGMP Snooping enable im default vlan1. Die Fritzbox 7490 wählt sich selber ein
    und stellt somit den Gateway und DNS für das gesamt LAN inkl. Entertain.

    Wenn ich in diesem Aufbau nur die Fritzbox dranhänge und im vlan1 bleibe, geht es in der Tat ohne Aussetzer mit dem Multicast,
    aber sobald ich die pfSense dazwischen hänge, ruckelt das Bild an den beiden Receivern nur noch... :-( und Fernsehen ist nicht Möglich...
    Es wurde ja bisher oft geschrieben, das es wohl Probleme mit Switchen gibt, die IGMP v3 machen und das die pfSense bisher nur IGMP v2 kann.

    Schlussendlich habe ich nun eine Lösung über zwei VLAN gewählt und über die 3 Switche ein getaggtes vlan7 gelegt
    und die Fritzbox mit einem 2. Bein direkt an den Port 1 (vlan7) des ersten Switches angelegt.

    Das IGMP Snooping hab ich auf das vlan7 gelegt. Nun funzt aller IP Traffic der Server und Client über das default vlan1 mit
    der pfSense/Squid und das Entertain ungestört und ohne ruckeln über das vlan7.

    Hier ein Bild zum besseren Verständnis, wo ich nun das zweite Beinchen der Fritzbox mit an den Switch im vlan7 angeklemmt habe:

    Aufbau LAN

    Konfig der 3 Switche für Entertain und Rest:
    Entertain: Fritz -> GS116Ev2 --> GS105Ev2 --> GS108Ev3 --> Receiver MR401,201
    Rest: Fritz -> pfSense --> GS116Ev2 --> GS105Ev2 --> GS108Ev3

    Aufbau für Telekom Entertain Netz 192.168.2.0:
    GS116Ev2 Fritzbox an Port 1 und Trunk Port 3 --> GS105Ev2 Port 4
    GS105Ev2 Nur durchleiten VLAN7 Port 4 und 5 --> GS108Ev3 Port 8
    GS108Ev3 Mediareceiver an Port 6 und 7

    1. GS116Ev2 ( Keller)
      VLAN 1: Port 2,4-16 (U=untagged) Port 3 TRUNK (T=tagged) | VLAN 7: Port 1 (U=untagged) Port 3 TRUNK (T=tagged)
      IGMP Snooping vlan7

    2. GS105Ev2 ( Erd.)
      VLAN 1: Port 1-3 (U=untagged) Port 4,5 TRUNK (T=tagged) | VLAN 7: Port 4,5 TRUNK (T=tagged)
      IGMP Snooping vlan7

    3. GS108Ev3 (Wohnz.)
      VLAN 1: Port 1-5 (U=untagged) Port 8 TRUNK (T=tagged) | VLAN 7: Port 6,7 (U=untagged) Port 8 TRUNK (T=tagged)
      IGMP Snooping vlan7

    Und ein example für den Switch (IGMP für das vlan7)
    IGMP Snooping

    Und hier für vlan7 (Port 1 (untagged) das Bein zur Fritzbox, nur im vlan7 und PVID7 und der Port 3 als TRUNK(getagged) zum zweiten Switch):
    vlan7

    Und hier für vlan1 (Port 2 das Bein zur pfSense, von dort zur Fritzbox, nur im vlan1 und wiederum der Port 3 als TRUNK zum zweiten Switch):
    vlan7

    Auf der pfSense habe ich zumindest über das VLC Videostream

    1. Regel für IGMP anlegen:
    • Action: Pass
    • Interface: WAN
    • Address Family: IPv4
    • Protocoll: IGMP
    • Source: Any
    • Destination: Network ? 224.0.0.0 / 4
    • Description: z.B. IPTV
    • Advanced Options: Allow IP Options muss aktiviert sein.
    1. Regel für UDP anlegen:
    • Action: Pass
    • Interface: WAN
    • Address Family: IPv4
    • Protocol: UDP
    • Source: Any
    • Destination: Network ? 224.0.0.0 / 4
    • Description: z.B. IPTV
    1. Im Menü Services?IGMP Proxy auswählen.
    2. Mittels Add ein Upstream-Netz hinzufügen.
      2.1. Als Interface WAN auswählen.
      2.2. Beschreibung erhält eine eindeutige Beschreibung zur Identifikation, z.B. "Entertain Upstream".
      2.3. Als Type wird Upstream Interface gewählt.
      2.4. Treshold bleibt leer.
      2.5. Nun die Netzwerk hinzufügen:
    • 87.141.0.0 / 15
    • 224.0.0.0 / 4
    • 193.158.0.0 / 15
      2.6. Zuordnung speichern.
    1. Nun mittels Add ein Downstream-Netz hinzufügen:
      3.1. Als Interface LAN wählen.
      3.2. Eine Beschreibung eintragen, z.B. "Lokales Netz".
      3.3. Als Type wird Downstream Interface gewählt.
      3.4. Treshold bleibt leer.
      3.5. Nun ein Netzwerk hinzufügen:
    • Es wird die IP-Adresse des LAN-Interfaces eingetragen, also z.B. "10.10.10.0 / 24".
      3.6. Zuordnung speichern.

    pfsense-1
    pfsense-2

    Ich hoffe, das bald mal eine Version herauskommt, die auch mit der Telekom Entertain sauber funktioniert..

    Gruss Micele



  • @micele

    also ich benutze den IGMP aus demFreeBSD repo, Meldungen kommen danach sauber und ordentlich

    PFsense patchen aus Freebsd repo, fuer IGMP v3
    pkg add -f https://pkg.freebsd.org/freebsd:11:x86:64/release_2/All/igmpproxy-0.2.1,1.txz

    das installiert die IGMP Version ueber die veraltete der PFSense

    Die Firewall rules habe ich anders:
    a) folgende Aliase habe ich angelegt
    IPTV-Source:
    193.158.35.251
    87.141.215.251

    IPTV-Destination:
    239.35.0.0/16
    232.0.0.0/16
    224.0.0.0/4

    IPTV Port:
    10000

    b) rules sind es nur ZWEI auf dem WAN interface

    1.Regel für IGMP anlegen: ?Action: Pass
    ?Interface: WAN
    ?Address Family: IPv4
    ?Protocoll: IGMP
    ?Source: Any
    ?Destination: Network ? -> Alias Destination siehe Oben
    ?Description: z.B. IPTV
    ?Advanced Options: Allow IP Options muss aktiviert sein.

    2.Regel für UDP anlegen: ?Action: Pass
    ?Interface: WAN
    ?Address Family: IPv4
    ?Protocol: UDP
    ?Source: Any ->Alias Source siehe oben
    ?Destination: Network ? -> Alias Destination siehe Oben
    Dest Port ->Alias siehe Oben
    ?Description: z.B. IPTV

    Und auf der IGMP Proxy config Seite downstream auf PORT LAN!!!! und als Value die PORTADRESSE mit subnet
    also bspw 192.168.99.99/24

    funktioniert bei mir eins a mit EntertainTV, sollte auch mit dem alten Entertain laufen, da die aliase beide Werte beinhalten



  • @ulfmerbold said in Aufbau LAN mit Telekom Entertain BNG über ein separates vlan7:

    also ich benutze den IGMP aus demFreeBSD repo, Meldungen kommen danach sauber und ordentlich

    Gut zu wissen, daß man mit pfSense auch Entertain 2.0 nutzen kann. Möglicherweise,
    ich nutze Entertain nicht, verlangt mal jemand nach einer Installation und kann
    zufriedengestellt werden.

    LG



  • @ulfmerbold said in Aufbau LAN mit Telekom Entertain BNG über ein separates vlan7:

    also ich benutze den IGMP aus demFreeBSD repo, Meldungen kommen danach sauber und ordentlich <

    Hallo Ulf, ich hatte den IGMP Proxy 0.2.1,1 von Franco in der Development Version 2.4.4a getestet.
    Auch da hatte ich leider ruckler und aussetzer.. aber ich hatte nicht alle Deine Settings umgesetzt...

    Ich lasse es jetzt erstmal so, damit die Traffic von den Receivern 401 und 201 (Entertain 2.0) autark von
    der Restlichen ist.

    Trotzdem danke für Deine Info.. ich werde es mal wenn ich wieder Zeit habe testen...

    Bild 1

    Bild 1



  • 0_1533298314208_FW_rules_TComEntertainTV.jpg

    Das ist mein WLAN Rules setup...bei beiden die IP Option gesetzt, just in case.
    Port kann man setzten, muss man nicht. Geht mit und ohne in der WLAN Rule. -->Ich hab den Port testweise weggelassen und bin dabei geblieben.

    Nur die Any Regel habe ich auf die TCom Server beschraenkt, das war mir sonst etwas zu "offen" sag ich mal. :)

    Traffic shaping hab ich an, und die Streams schoen in die Multimedia queue gepackt.
    Achso, im LAN segment die IPv4 "allow all" rule MUSS die IPOption bekommen, die ist serienmaessig nicht aktiv!
    Und ich hab den TFTP Proxy auf dem LAN Port aktiviert, die Mediareceiver updaten sich ja gern mal per TFTP.

    Ueber die firewall geht der gesamte Traffic, ohne VLAN tagging(das setz ich next zum Netzabschlusspunkt der Tcom, also im Modem) umgeht moegliche Fehlerquellen in der Signalstecke.

    VoIP, IPTV, nebenher zocken und Telearbeit, alles kein Thema und parallel nutzbar.

    Einzig gute Switches brauchts, managed und sauber durchkonfiguriert..also in dem Falle IGMP snooping und QOS.
    Die VLAN segmentierung hab ich mir geschenkt, kein drop auch unter maximaler auslastung.

    Ich hab in der Hausverkabelung 4 Switches in der laengsten Strecke, trotzdem keine Floodingprobleme oder Ruckeln.



  • @ulfmerbold said in Aufbau LAN mit Telekom Entertain BNG über ein separates vlan7:

    Achso, im LAN segment die IPv4 "allow all" rule MUSS die IPOption bekommen, die ist serienmaessig nicht aktiv!

    Aha... damit geht auch VLC Stream wieder.. :-)
    Und die Separatoren dazwischen gefällt mir.. Schön aufgeteilt...

    Danke Dir..



  • Gern doch :) Weiss ja selber wie es ist was zu haben und dann zickt das Zeug.