PfSense als Ersatz für Speedport mit Telekom-IPTV?



  • Hallo Zusammen,

    ich habe vor einen Router / Firewall für mein Heim-Netz zu bauen. Ich würde ein Alix-Board (2D13) nehmen, die Installation soll auf eine Flash-Karte.

    Ich habe hier einen Telekom-ADSL-Anschluß (16.000) mit Telekom-Entertain und nutze bisher einen Speedport W921V als Router. Diesen will ich weiter als Modem nutzen.

    Gibt es hier jemanden, der pfSense als Router/Firewall mit funktionierendem IPTV von der Telekom betreibt? Das würde mir helfen die letzten Zweifel zu zerstreuen, daß mein Vorhaben eine gute Idee ist. :-) Leider finde ich keine vollständigen Infos zu einer solchen Konfiguration, nur Fragmente. Über gute Links dazu würde ich mich daher natürlich auch freuen.

    Noch eine Frage: Wie speichert pfSense eigentlich Logs? Auf der Flash-Karte? Anders ausgedrückt: Bleiben Logs bei Stromausfall erhalten? Und hat jemand einen Erfahrungswert, wieviel Speicher Logs benötigen (ich habe einige Macs und Mobiltelefone im LAN, vorausgesetzt die Logs sind auf ein vernünftiges Maß reduziert).

    Vielen Dank schon mal!

    -flo-



  • Soviel ich weiß ist das mit dem IPTV auf Umwegen möglich.

    Die Logs werden selbstverständlich auf deinem Flashspeicher gesichert und nicht auf dem RAM - da der RAM ein flüchtiger Speicher ist.
    Nach einem Stromausfall solltest du weiterhin deine Logfiles zur Verfügung haben.
    Die Größe der Logs kannst du selbst deklarieren, und an deinen Speicher anpassen.



  • Hallo Flo,

    ich betreibe eine pfSense Installation zusammen mit einem Modem der Telekom seit ca. 2 Jahren. Ich habe auch T-Entertain und schaue damit fern. Keine Probleme damit.
    Auch de Logs auf Deiner CF-Card stellen kein Problem da.

    Schau mal in den Foren, es gibt sehr wohl Anleitungen zur Konfiguration. Auch ich habe Screenshots mit den Einstellungen des IGMPProxys gepostet. Auch die Firewall Rules sind bekannt…

    Gruß
    Matthias



  • Hallo Matthias,

    das ist ermutigend! HW ist so gut wie bestellt.

    Die Informationen dazu hier im Forum habe ich alle gelesen (und ich denke auch verstanden). Ich habe eine ganz gute Vorstellung, wie es laufen müßte. Es ist aber immer besser, wenn man bei Hindernissen jemanden fragen kann.

    -flo-



  • Kein Problem. Wir bekommen Deine HW schon zum Flitzen! ;-)



  • @power_matz:

    ich betreibe eine pfSense Installation zusammen mit einem Modem der Telekom seit ca. 2 Jahren.

    Was hat Du denn für ein Modem?

    Mit dem Speedport W921V wird es vermutlich problematisch. Aktuell scheint es so, daß das W921V im reinen Modem-Betrieb die VLAN-Tags von der WAN-Seite verschluckt und den Multicast-Traffic gar nicht durchläßt.  :o Kann das hier jemand bestätigen oder widerlegen?

    Mein Alix läuft derweilen. Ich habe eine aktuelle Firmware eingespielt. Das Teil kam mit einer Firmware, die die Einstellungen nicht in das Board-Flash speichern konnte.  ::) pfSense ist installiert, online war ich damit aber noch nicht. Wenn es mit dem W921V nicht klappt, muß ich wohl weitere HW beschaffen.

    -flo-



  • Ich bin jetzt einen Schritt weiter: Modem installiert, Internet geht.

    Jetzt die Frage zum Fernsehen / IPTV:

    Der Fernseher zeigt erstmal ein Bild und ich kann einige Minuten fernsehen, dann frieren Bild und Ton ein. Nach einigen Minuten geht es plötzlich wieder, dann friert es erneut nach einigen Minuten wieder ein und so weiter.

    Ich schließe daraus, daß der Multicast Traffic irgendwie funktioniert. Bevor ich jetzt tonnenweise Logs poste:

    Kennt jemand das Phänomen (und hat vielleicht eine Lösung)?

    Hat jemand einen Tipp, wonach in im Log suchen sollte?

    Herzlichen Dank!

    -flo-

    ![Bildschirmfoto 2014-02-26 um 22.34.19.png](/public/imported_attachments/1/Bildschirmfoto 2014-02-26 um 22.34.19.png)
    ![Bildschirmfoto 2014-02-26 um 22.34.19.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2014-02-26 um 22.34.19.png_thumb)



  • @power_matz:

    Schau mal in den Foren, es gibt sehr wohl Anleitungen zur Konfiguration. Auch ich habe Screenshots mit den Einstellungen des IGMPProxys gepostet. Auch die Firewall Rules sind bekannt…

    So, das habe ich mir angeschaut (Dein Post: https://forum.pfsense.org/index.php/topic,68543.msg376290.html#msg376290) und entsprechend abgeschrieben. Soweit scheint das zu funktionieren.

    Jetzt interessieren mich die Details. Der IGMP-Proxy soll die folgenden Netzwerke eingetragen haben:

    193.158.137.14/32
    87.140.255.0/25
    87.141.128.0/17
    212.184.168.0/24
    217.6.167.160/27
    217.245.0.0/18
    193.158.35.0/24
    

    Wenn ich das richtig verstanden habe, dann sind das die Source-Netze, aus denen der IGMP-Proxy IGMP-Traffic akzeptiert (altnet Parameter, siehe igmpproxy.conf.5). Ich versuche zu verstehen was da warum eingetragen sein muß.

    Beispiel: Das Netz 193.158.35.0/24 aus der o.a. Liste ist Teil des Netzwerkes 193.158.0.0./15. Das heißt "TOIAG-USINGEN-IPTV-01" (Quelle https://apps.db.ripe.net/search/lookup.html?source=ripe&key=193.158.34.0%20-%20193.158.35.255&type=inetnum) und ist dem Namen nach vermutlich ein Netzwerk der Telekom für IPTV. Der Addressbereich ist 193.158.34.0 bis 193.158.35.255. Müßte nicht das gesamte Netzwerk im IGMP-Proxy eingetragen sein? Oder wie kommt der Eintrag 193.158.35.0/24 zustande?

    Kann da jemand mal Licht drauf werfen?

    -flo-


  • Rebel Alliance Moderator

    Ahoi Flo,

    nur weil der gesamte Adressbereich bei der RIPE so getaggt ist, muss nicht alles verwendet werden, bzw. es können dabei auch einige Subnetze sein, die keine Rolle für die Übertragung zum Endkunden spielen. Es könnte auch durchaus sein, dass der Bereich später noch ergänzt werden muss, weil neue Netze dazu kommen.

    Allerdings muss man immer festhalten (ohne polemisch sein zu wollen), dass es hier um die Telekom geht. Das sind auch die Jungs, die Mail-Versand per TLS "zwischen Mailservern" jetzt als sicheres Mail-in-Germany und Co. feiern und sich loben lassen wollen, nachdem das der Rest der Welt schon seit ewigen Zeiten macht. Das sind auch die Jungs, die POP, IMAP und SMTP Authentification so aushebeln, dass es völlig egal ist/war, was deine Credentials sind, wenn du dich über den DSL Account einwählst, weil dein Account als Login verwendet wird. Etc. etc.
    Die Telekom ist wirklich Meister darin, Standards und Services so zu verbiegen, dass es in ihr verschrobenes "Bundespost - wir sind wichtig" Weltbild passt. Und nein, das ist wirklich keine Polemik, sondern leidliche Erfahrung mit den Technike(r)n. Was auch gerne Leute bestätigen, die schonmal für die DTAG oder Sub-Firmen davon gearbeitet haben. Die leben wirklich in Ihrer eigenen Magenta-Welt. ;)

    Grüße



  • Ok, also wie die Netze bei RIPE strukturiert sind, ist nicht ausschlaggebend. Ich fände es trotzdem spannend zu wissen, wie die Einträge denn nun zustandekommen? Ich will halt immer auch wissen, warum etwas geht …

    -flo-

    P.S. Jetzt oute ich mich mal: Ich bin bei der Telekom. Aber hoffentlich kriege ich hier jetzt nicht zukünftig alle Missetaten meiner Kollegen vor den Latz geknallt :-). Gegen die Kritik kann ich gar nichts einwenden, dafür kenne ich mich nicht genug aus. Nur eines: Vermutlich sind wir nicht das einzige große Unternehmen, in dem wichtige technische Entscheidungen teilweise von Nicht-Fachleuten getroffen werden. Netzwerke sind übrigens ohnehin nicht mein Fachgebiet. Mein Metier ist die Software-Entwicklung (T-Systems Systems Integration / Unternehmenskundensparte).


  • Rebel Alliance Moderator

    Keine Sorge, für die Missetaten sind andere verantwortlich, die es lange vor dir gegeben hat ;) Und natürlich gibts auch andere große Unternehmen, die Entscheidungen von nicht-Technikern fällen lassen, bei denen sich jeder Techniker im Nachhinein am Liebsten die Kugel geben würde.
    Schlimm finde ich persönlich bei Tante Telekom eher, dass sich diese Entscheidungen trotz dass sie inzwischen unnötig und obsolet sind und einfach mal weg könnten, stur beibehalten werden. Und man an vielen Ecken häufig noch den Hauch des Staatsunternehmens wahr nehmen kann, dass da definiert: So wirds gemacht, wir geben die Marschrichtung vor, alle anderen kommen hinterher oder bleiben uns gestohlen. Ob das Sinn macht, gut ist, die Standards verbogen werden (aufs Übelste) oder es einfach nicht mehr aufgeht, ist egal. Allein Peering am DE-CIX ist so eine Sache… aber genug abgeschweift ;)

    Vielleicht kann ja noch jemand erhellen, wo die IP Ranges definiert waren. Vielleicht gabs da ja eine FAQ der Telekom oder jemand hat einen Speedport ausgelesen?



  • Hallo Zusammen,

    ich habe nochmal selbst nachgeforscht und einige Erkenntnisse. In der zusammengefaßten Form habe ich es im Forum nicht gefunden. Ich schreib's mal auf, falls sich jemand außer mir dafür interessiert. :-)

    Also ich habe jetzt folgende Netzwerke im Upstream des IGMP-Proxy drin:

    193.158.137.14/32
    87.140.255.0/25
    87.141.128.0/17
    212.184.168.0/24
    217.6.167.160/27
    217.252.0.0./18
    193.158.35.0/24

    Das setzt sich folgendermaßen zusammen:

    1. Das Netz für die eigene IP des Interface muß enthalten sein. Im dhcp.log habe ich folgenden Eintrag:

    Feb 26 20:36:15 pfSense dhclient: ifconfig vr1_vlan8 inet 217.252.19.10 netmask 255.255.192.0 broadcast 217.252.63.255
    

    Die zugewiesene IP ist in meinem Fall: 217.252.19.10, die Netzmaske 255.255.192.0. Das entspricht dem Netzwerk: 217.252.0.0./18.

    2. Dann habe ich dem dhcp.log weiterhin folgendes entnommen:

    Feb 26 20:36:15 pfSense dhclient: New Classless Static Routes (vr1_vlan8):  193.158.137.14/32 217.252.63.254 87.140.255.0/25 217.252.63.254 87.141.128.0/17 217.252.63.254 217.6.167.160/27 217.252.63.254 212.184.168.0/24 217.252.63.254
    

    Daraus habe ich die folgenden Netze entnommen:

    193.158.137.14/32
    87.140.255.0/25
    87.141.128.0/17
    212.184.168.0/24
    217.6.167.160/27

    3. Damit hat es noch nicht funktioniert. Aus dem system.log habe ich noch folgenden Angabe:

    Feb 27 12:52:34 pfSense igmpproxy: Note: Adding MFC: 193.158.35.180 -> 239.35.100.13, InpVIf: 1
    

    Daraus habe ich das Netzwerk 193.158.35.0/24 abgelesen (könnte auch eine andere Maske haben). (Das 239.35.100.13 ist eine Multicast-Adresse. Darüber kommt zwar traffic an, das dürfte aber kein IGMP-traffic sein.)

    Mit diesen Netzen hat das Ganze funktioniert, hurra!  Aussetzer (siehe oben, hatte ich am Anfang) gibt es keine mehr. Der Mediareceiver meldet beim Systemtest "grün". (Eigentlich ist es eher magenta. :-))

    -flo-



  • Leider bekomme ich es irrgendwie nicht hin…
    Ich habe schon mal eine Pfsense als IGMP-proxy für Entertain eingerichtet, das ist aber schon Ewigkeiten her.

    Leider habe ich noch keinen Reciever zum testen und nutze zur Zeit die Playlist von http://grinch.itg-em.de/entertain/faq/allgemein/multicastadressliste/ zusammen mit VLC.
    Ich bekomme irrgendwie gar kein Bild! ;)
    Was mich wundert das IPTV irrgendwie nicht mit einem Gateway angezeigt wird. muss das so?
    Sind die routen richtig eingerichtet? oder muss man noch eigene statische routen hinzufürgen?
    Beim IGMP hab ich denke ich alles eingetragen....

    Bei dem System handelt es sich um ein ESXI 5.5 mit PFsense 2.1.4.

    Mfg Oli

    ![iptv kein gateway.JPG](/public/imported_attachments/1/iptv kein gateway.JPG)
    ![iptv kein gateway.JPG_thumb](/public/imported_attachments/1/iptv kein gateway.JPG_thumb)
    ![iptv kein gateway1.JPG](/public/imported_attachments/1/iptv kein gateway1.JPG)
    ![iptv kein gateway1.JPG_thumb](/public/imported_attachments/1/iptv kein gateway1.JPG_thumb)
    ![iptv kein gateway2.JPG](/public/imported_attachments/1/iptv kein gateway2.JPG)
    ![iptv kein gateway2.JPG_thumb](/public/imported_attachments/1/iptv kein gateway2.JPG_thumb)
    ![iptv kein gateway3.JPG](/public/imported_attachments/1/iptv kein gateway3.JPG)
    ![iptv kein gateway3.JPG_thumb](/public/imported_attachments/1/iptv kein gateway3.JPG_thumb)



  • Zeig mal, wie Deine Interfaces konfiguriert sind. Hast Du VLANs 7 und 8 eingerichtet? Ist das IPTV-Interface mit DHCP konfiguriert?

    Was mich wundert das IPTV irgendwie nicht mit einem Gateway angezeigt wird. muss das so?

    Steht bei mir dabei: "WAN_IPTV_DHCP", wobei das Interface "WAN_IPTV" heißt.

    Ich habe keine statischen Routen eingetragen. Das sollte nicht nötig sein.

    Ob Du einen MediaReceiver von der Telekom einsetzt oder nicht, sollte eigentlich egal sein. Ich habe das aber noch nicht anders ausprobiert, also kann ich da nicht viel dazu sagen.



  • Danke erstmal für deine schnelle reaktion!

    natürlich sind VLAN 7 & VLAN 8 konfiguriert, und das IPTV-Interface mit DHCP konfiguriert! Und als Gateway steht bei mir auch "IPTV_DHCP" nur halt keine GatewayIP!
    sonst noch eine Idee?






  • Ich habe auf den Seiten Status: Gateways und System: Gateways auch keine IP-Adresse stehen. Bei mir steht in der Spalte jeweils "dynamic". Kannst Du auf der Seite Status: Gateways sehen, ob das Gateway "online" ist? (Vermutlich, das Interface hat ja offenbar eine IP-Adresse bekommen.)

    Also ich würde tippen, daß das Gateway funktioniert. Der Name läßt sich bearbeiten. Evtl. bildet die aktuelle pfSense-Version den Namen des Gateway-Objektes anders. Das kann aber m.E. auf die Funktion keinen Einfluß haben.

    Nächster Schritt: Ausschließen, daß IGMP- und Multicast-Traffic auf der Firewall hängen bleibt. Dazu ausgehenden Traffic vom VLC erlauben und Multicast-Traffic komplett aufmachen (alle Interfaces, Protokolle IPv4 UDP und IPv4 IGMP, destination 224.0.0.0/4, allowopts).

    Wie sind denn Deine Firewall-Regeln?

    Was hast Du zwischen der pfSense und der Telekom installiert? Ist da außer einem Modem noch was anderes?

    Du kannst dann als nächstes den IGMP-Traffic monitoren. Dann siehst Du, ob Dein VLC überhaupt Anfragen schickt, ob die auf der WAN-Seite rausgehen, sowie was an IGMP-Traffic von der WAN-Seite kommt.



  • Hallo Oliver_,

    hat Das mittlerweile geklappt mit Deinem VLC?



  • erstmal danke für die nachfrage! Aber ich komme gerade nicht dazu weiter zu testen!

    Um Auszuschließen das es an der Leitung oder VLC liegt, habe ich es mal mit eine Fritzbox getestet und hier geht es ohne Probleme.

    D.h. entweder geht das Zyxel-Modem nicht mit Multicast (aber ich hab ja eine IPS auf VLAN8), der ESXi pfuscht irrgendwie dazwischen oder ich bin zu blöd zum Konfigurieren! ;)

    Ich denke mal es liegt an drittem….

    Mfg Oli



  • so heute Zeit gehabt!
    Einfach nochmal neu programmiert, und dann reduziert bis es immer noch läuft! Anbei die Screens. Danke für die Anteilnahme und Hilfe!

    Also ich denke es lag an einem Konfig-Fehler.

    Mfg Oli






  • @-flo-:

    Hallo Zusammen,

    ich habe nochmal selbst nachgeforscht und einige Erkenntnisse. In der zusammengefaßten Form habe ich es im Forum nicht gefunden. Ich schreib's mal auf, falls sich jemand außer mir dafür interessiert. :-)

    Also ich habe jetzt folgende Netzwerke im Upstream des IGMP-Proxy drin:

    193.158.137.14/32
    87.140.255.0/25
    87.141.128.0/17
    212.184.168.0/24
    217.6.167.160/27
    217.252.0.0./18
    193.158.35.0/24

    Hallo Flo,

    ich habe Deine Config auch so drin. Ab und zu habe ich Aussetzer. Manche Tage gehen ohne Probleme, dann wieder nach 2 -3 Stunden in einem Programm hängt das Bild. Schaltet man um, geht es auf dem anderen Kanal. Nur der erste Sender mit dem Hänger der geht nicht gleich. Da muss man ein paar Minuten warten.
    Kennst Du das? Hast Du eine Idee, was das sein könnte?

    Gruß
    Matthias



  • Hi Matthias,

    sorry, ich war jetzt länger weg (Urlaub und danach erstmal gar keine Zeit …). Besteht das Problem noch?

    Ich kenne das Problem so nicht. Allerdings ist es bei mir mittlerweile auch nicht mehr ganz reibungsfrei. Am Anfang hat alles perfekt funktioniert, inzwischen bekomme ich gelegentlich Hänger beim Umschalten: Wenn ich von einem Kanal auf einen anderen umschalte, dauert es manchmal ziemlich lange, bis da ein Bild kommt. Abhilfe: Receiver neu einschalten. Da ich beim Fernsehen nicht zappe, hat mich das bisher nicht ausreichend gestört, um Zeit in die Fehlersuche zu investieren.

    Hänger innerhalb eines Programms habe ich noch nie gehabt.

    Beide Probleme sehe ich aber nicht in der Konfiguration des IGMP-Proxy. Grund: Wenn da ein Netz fehlen sollte, dann dürften bestimmte Kanäle gar nicht funktionieren. Es ist vorstellbar, daß IGMP-Nachrichten sporadisch ausfallen, ich wüßte aber nicht, woher das kommen sollte.

    Du könntest mal ein trace der IGMP-Pakete mitlaufen lassen und schauen, was vor einem Ausfall passiert ist. Bei einem Hänger also sofort auf die Ur schauen, damit man das nachher zuordnen kann. Das Volumen eines solchen trace ist auch über einen längeren Zeitraum überschaubar, wenn man vernünftig filtert.

    -flo-


Log in to reply