Tagged VLAN und IGMP-Proxy (Entertain)


  • Hallo,

    ich habe das Interface in Richtung des Media Receivers auf Tagged-VLAN umgestellt, um evtl. noch mehr Netze auf das IF packen zu können.

    Sprich, das Interface von pfsense in Richtung Switch ist tagged (vr1_vlan200). Der Media-Receiver hängt an einem Access-Port des Switches (gleiches VLAN).

    Jetzt friert alle ~ 5 min. das Bild ein, nach einiger Zeit fängt es aber von selbst wieder an zu laufen, aber leider auch wieder nur für ~ 5 min.

    Wenn ich das Tagged-VLAN entferne und das Netz nur mit Access-Ports betreibe, habe ich diese Problem nicht…

    Jemand eine Idee?

    Danke, fürs Lesen!  ;)


  • Was hast Du für einen Switch? Verwendest Du VLANs nach 802.1q? Erhält der Receiver getaggte Pakete? Was hast Du noch am Switch / welche anderen VLANs gibt es?

    -flo-


  • also die 5 Sek. sind das typische Anzeichen dafür das der Switch von Unicast auf Multicast nicht funktioniert! Das bedeutet dein IGMP-Proxy dürte nicht richtig konfiguriert sein!


  • @-flo-:

    Was hast Du für einen Switch? Verwendest Du VLANs nach 802.1q? Erhält der Receiver getaggte Pakete? Was hast Du noch am Switch / welche anderen VLANs gibt es?

    -flo-

    Ist ein Linksys  Managed Gigabit Switch (SRW2008, glaub ich). VLANs werden nach 802.1q verwendet. (Mehr kann der Switch eh nicht). Prinzipell funktionieren VLANs. Hab schon mehrere eingerichtet. (z.B. VLAN 300 & 999, alle auch getaggt). Bei den VLANs macht die pfsense und der Switch das was sie sollen.
    Der Receiver hängt an einem reinem Access Port in dem VLAN, also nicht getaggt. Nur der Port zu der pfsense ist ein Trunk Port.

    @Oliver_:

    also die 5 Sek. sind das typische Anzeichen dafür das der Switch von Unicast auf Multicast nicht funktioniert! Das bedeutet dein IGMP-Proxy dürte nicht richtig konfiguriert sein!

    Es geht um 5 Minuten und nicht Sekunden.  ;) Sprich, nach ~ 5 min friert das Bild für einige Zeit ein und fängt nach ~1 min wieder an zu laufen. Kann natürlich sein, das der Proxy ein Problem mit VLANs hat. Aber in der Config-File vom IGMP Proxy steht schon vr1_vlan200 drin…

    Und wie gesagt, wenn ich das vlan auf der pfsense entferne und am switch alles durch Access Port realisiere funktioniert es auch...

    Ganz evtl. noch interessant: Hardware technisch läuft pfsense auf dem alix2d13.

    Danke!  :)


  • Interessant.

    Also die pfSense sendet an den MediaReceiver im VLAN 200 über den Switch. Die frames von der pfSense sind getagged mit VLAN 200. Der Switch leitet den Traffic über den Access Port an den MediaReceiver weiter. Dabei entfernt er die VLAN-Tags und die Frames erreichen den MediaReceiver untagged.

    Der MediaReceiver sendet seine Frames an die pfSense durch den AccessPort, dabei werden die Pakete mit VLAN 200 getagged und über den trunk Port an die pfSense weitergegeben.

    Stimmt das wirklich so?

    Was hängt noch am Switch / im LAN? Tritt das Problem auch auf, wenn außer dem Switch, der pfSense und dem MediaReceiver nichts angeschlossen ist? Was steht im system.log, wenn der MediaReceiver hängt?

    -flo-


  • @-flo-:

    Stimmt das wirklich so?

    So wie ich das sehe, ja! Bei den anderen VLANs funktioniert es ja auch so, zumindest habe ich da keine Probleme.  Ist dort auch der gleiche Aufbau: In Richtung pfsense getaggt, und die Geräte hängen untagged und im gleichen VLAN am Access Port.

    @-flo-:

    Was hängt noch am Switch / im LAN? Tritt das Problem auch auf, wenn außer dem Switch, der pfSense und dem MediaReceiver nichts angeschlossen ist? Was steht im system.log, wenn der MediaReceiver hängt?

    -flo-

    Alle Geräte in dem gleichen VLAN habe ich schon mal ausgeschaltet, allerdings ohne Erfolg.

    Die Logs sind leider dieses mal auch keine Hilfe, zumindest sehe keinen hilfreichen Logs… Bzw. Zu den Zeitpunkt an dem das Bild stehen bleibt, kommt meist auch kein neuer Eintrag.


  • @Beerman:

    Alle Geräte in dem gleichen VLAN habe ich schon mal ausgeschaltet, allerdings ohne Erfolg.

    Ich würde vorschlagen mal alles andere vom Switch wirklich abzuziehen (egal an welchen VLAN) und das nochmal zu testen. Du weißt aktuell noch nicht, ob es eine Wechselwirkung mit anderen Geräten gibt.

    Dann gibt es einen Traffic Graph auf dem Dashboard der pfSense. Was zeigt der an, wenn das Bild wegbleibt? IPTV verursacht einen konstant hohen Datenstrom, den man da sehr gut erkennen kann. Wenn der Traffic auf der pfSense aufhört, dann bleibt er nicht im Switch hängen, sondern vorher.

    -flo-


  • @-flo-:

    @Beerman:

    Alle Geräte in dem gleichen VLAN habe ich schon mal ausgeschaltet, allerdings ohne Erfolg.

    Ich würde vorschlagen mal alles andere vom Switch wirklich abzuziehen (egal an welchen VLAN) und das nochmal zu testen. Du weißt aktuell noch nicht, ob es eine Wechselwirkung mit anderen Geräten gibt.

    Dann gibt es einen Traffic Graph auf dem Dashboard der pfSense. Was zeigt der an, wenn das Bild wegbleibt? IPTV verursacht einen konstant hohen Datenstrom, den man da sehr gut erkennen kann. Wenn der Traffic auf der pfSense aufhört, dann bleibt er nicht im Switch hängen, sondern vorher.

    -flo-

    So, hab Deinen Rat mal befolgt. Alles abgestöpselt bzw. den betreffenden Port gesperrt. Leider ohne Erfolg. Gleiches Problem…  :(

    Anbei noch Graphen.

    IPTV - Ist der Port in Richtung Provider (Telekom)
    Media_DMZ ist in Richtung Receiver

    untagged.png - Media_DMZ Port auf der pfsense ist untagged, switchport auf access

    tagged.png - Media_DMZ Port auf der pfsense ist tagged, switchport auf trunk

    Man sieht hier deutlich, dass das Bild bei beim tagged Port 2 Mal eingefroren ist. Komisch ist auch der IN und OUT Traffic auf dem Media_DMZ Port.

    Ideen? Vorschläge?

    Danke!  :)





  • Äußert interessant.

    Warum auf dem Media_DMZ-Interface überhaupt ein In-Traffic ist, erschließt sich mir nicht. Meinem Verständnis nach sollte da nur Out-Traffic erscheinen. Allerdings ist das in beiden Fällen gleich und bei mir sieht es übrigens ganz genauso aus. Das können wir denke ich abhaken.

    Warum aber der Out-Traffic verdoppelt wird, ist die Frage.

    Evtl. willst Du mal Deine ganzen Configs (IGMP-Proxy, Interfaces) hier posten. Vielleicht fällt mir was auf.

    Dann kannst Du noch den IGMP-Traffic zwischen MediaReceiver und pfSense untersuchen (Wireshark). Wenn der IGMP-Proxy nach der Group Membership fragt (macht er periodisch), dann meldet er die Ergebnisse nach "oben" weiter. Wenn die Antworten auf diese Anfragen vom MediaReceiver ausbleiben, könnte das immerhin mal erklären, warum der Datenstrom abreißt. (Allerdings nicht, warum die Antworten auf eine Membership Query überhaupt ausbleibt.)


  • Eventuell hilft es, IGMP Snooping auf dem VLAN abzustellen? Ggf. ist die Implementation ein wenig buggy und schlägt nach 5 Minuten dazwischen.


  • "Versuch macht kluch." Ich würde das auch ausprobieren. Das müßte aber schon ein Fehler in der Implementierung sein, der nur bei VLANs zuschlägt, denn das IGMP-Snooping dürfte ja auch aktiv sein, wenn keine VLANs genutzt werden. Möglich ist es aber.

    Außerdem ist das IGMP-Snooping ohnehin verzichtbar, wenn der IPTV-Traffic schon in sein eigenes VLAN isoliert wird.

    -flo-


  • Jetzt zitiere ich mich schon selbst:

    @-flo-:

    Warum aber der Out-Traffic verdoppelt wird, ist die Frage.

    Ich habe gerade zufällig gesehen, daß auch bei mir der Out-Traffic mit dem doppelten Volumen angezeigt wird. Ich bin einigermaßen sicher, daß ich das anfangs nicht so hatte. Als IPTV funktioniert hat, habe ich dann auf VLANs umgestellt. Es sieht also so aus, als ob diese Verdoppelung mit dem VLAN zusammenhängt. Das kann aber nicht das Problem für die Unterbrechungen sein. Bei mir habe ich solche Unterbrechungen nicht.

    Verdoppelung hin oder her: Es ist klar, daß der Traffic bereits von außen ausbleibt, das dürfte am IGMP-Proxy liegen. Daher meine Frage nach dem Protokoll des IGMP-Traffic. (Der Switch kann m.W. den Verkehr an einem Port auf einen anderen Port spiegeln, dann kann man das mit Wireshark recht einfach untersuchen.)

    Evtl. kann mal jemand erklären, was der Traffic Monitor genau mißt und anzeigt.

    -flo-


  • @-flo-:

    @-flo-:

    Warum aber der Out-Traffic verdoppelt wird, ist die Frage.

    […] Es sieht also so aus, als ob diese Verdoppelung mit dem VLAN zusammenhängt.

    Das Problem mit dem verdoppelten Traffic ist ein bekannter Fehler im Zusammenhang mit VLANs, siehe hier:

    https://redmine.pfsense.org/issues/3314

    -flo-


  • OK, dank Dir! Dann ist das ja geklärt…  ;)

    War am WE nicht zuhaus, kann erst heute Abend wieder was testen. Habe jetzt mal einen neuen Switch besorgt. Mal schauen, ob es mit dem richtig funkt.

    Ist zwar nur ein Netgear, aber mal schauen.

    Denn irgendwie geht auch die Datenrate beim W-LAN AP in den Keller, wenn ich Fern schaue. Obwohl anderes VLAN...

    Mal schaun, evtl. bringt der andere Switch ja was...  ;)


  • @Beerman:

    Denn irgendwie geht auch die Datenrate beim W-LAN AP in den Keller, wenn ich Fern schaue. Obwohl anderes VLAN…

    Mal schaun, evtl. bringt der andere Switch ja was...  ;)

    Ich hab bei Switchen ohne IGMP Snooping immer einfach für Entertain mit ebtables auf meinen DD-WRT APs den UDP Port 10000 auf der LAN Bridge geblockt. Dann lief das WLAN wieder perfekt.


  • Also wenn das WLAN beim Fernsehen langsam wird, dann läuft der Multicast-Traffic offenbar auch über das WLAN. Das ist ein klarer Hinweis, daß dem Switch weder die Trennung des Multicast-Traffic in ein eigenes VLAN noch das IGMP-Snooping gelingen.

    Von wegen "nur ein Netgear": Ich verwende hier zwei Netgear Switches (Prosafe GS108E und GS 105E) für genau solch ein Setup ohne jedes Problem.


  • Erst einmal die guten Nachrichten:

    Mit dem Switch (Netgear JGS524E) funktioniert es. Sprich keine Unterbrechungen mehr, bei getaggten Interface.

    2 Probleme habe ich aber noch:

    • Wenn ich IGMP Snooping für das VLAN in dem der Receiver steht aktiviere, ist der gleiche Fehler wieder da.  :(
      (Siehe, die IGMP Konfiguration im Anhang).

    • Ich würde gerne das Modem auch an den Switch anschließen, sprich die VLANs der Telekom (7 u. 8) auch über den Switch. So kann ich das Interface der pfsense noch für andere VLANs "missbrauchen" ;-) Funktioniert auch so weit ganz gut, bis auf IGMP snooping. Dann friert das Bild nach ~10 sek. ein. (Gleiche IGMP snooping Konfig, wie im Anhang) Ohne IGMP snooping funktioniert alles einwandfrei.

    Hab natürlich auch schon andere IGMP Konfigurationen getestet. Leider immer das gleiche Ergebnis.

    Jemand eine Idee, für die beiden "Probleme"?

    Wie sieht es mit QoS aus? Erfahrungen? Man die Pakete ja in pfsense entsprechend taggen. Bringt das was?

    Danke!  :)



  • Auf den VLANs der Telekom (7 PPPoE und 8 IPTV) solltest Du kein IGMP Snooping anstellen, den Traffic sollest Du 1:1 an die pfSense durchreichen.  Und wenn in VLAN 200 eh nur der Receiver und die pfSense hängen, kannst Du dort auf IGMP Snooping eigentlich verzichten.


  • @athurdent:

    Auf den VLANs der Telekom (7 PPPoE und 8 IPTV) solltest Du kein IGMP Snooping anstellen, den Traffic sollest Du 1:1 an die pfSense durchreichen.

    Deswegen habe ich in der IGMP snooping Konfiguration ja auch explizit das VLAN 200 konfiguriert und nicht 8. (Siehe die Konfig, in meinem letzen Post)  ;)

    @athurdent:

    Und wenn in VLAN 200 eh nur der Receiver und die pfSense hängen, kannst Du dort auf IGMP Snooping eigentlich verzichten.

    Tja, leider hängen in dem VLAN 200 noch andere Geräte, da dort an einer Stelle ein "dummer" Switch hängt. Ging leider nicht anders. Oder ich muss den "dummen" durch einen kleinen "intelligenten" Switch ersetzen und dann den Receiver komplett in ein eigenes VLAN packen. Wäre auch eine Lösung.

    Auch wenn so erst einmal zu funktionieren scheint, würde aber trotzdem gerne wissen warum das mit dem IGMP snooping nicht funzt…

    Ideen?

    Danke!  :)


  • @Beerman:

    Tja, leider hängen in dem VLAN 200 noch andere Geräte, da dort an einer Stelle ein "dummer" Switch hängt. Ging leider nicht anders. Oder ich muss den "dummen" durch einen kleinen "intelligenten" Switch ersetzen und dann den Receiver komplett in ein eigenes VLAN packen. Wäre auch eine Lösung.

    Auch wenn so erst einmal zu funktionieren scheint, würde aber trotzdem gerne wissen warum das mit dem IGMP snooping nicht funzt…

    Mit einem GS108T und Cisco SG300 hat es bei mir immer problemlos mit IGMP Snooping funktioniert. Hast Du mal probiert, ausschliesslich den Receiver über den Switch mit der pfSense zu verbinden und sonst nichts weiteres?
    Wenn das Bild nach 10 sec einfriert, kommt i.d.R. gar kein Multicast Traffic durch, bei Entertain wird ja zuerst Unicast gestreamt und dann nach ein paar Sekunden auf Multicast gewechselt.

    Du könntest mal den IGMP Traffic auf VLAN200 mitschneiden und schauen, ob zur pfSense überhaupt IGMP Join Pakete vom Receiver Richtung Telekom durchkommen.


  • @athurdent:

    Mit einem GS108T und Cisco SG300 hat es bei mir immer problemlos mit IGMP Snooping funktioniert. Hast Du mal probiert, ausschliesslich den Receiver über den Switch mit der pfSense zu verbinden und sonst nichts weiteres?
    Wenn das Bild nach 10 sec einfriert, kommt i.d.R. gar kein Multicast Traffic durch, bei Entertain wird ja zuerst Unicast gestreamt und dann nach ein paar Sekunden auf Multicast gewechselt.

    Du könntest mal den IGMP Traffic auf VLAN200 mitschneiden und schauen, ob zur pfSense überhaupt IGMP Join Pakete vom Receiver Richtung Telekom durchkommen.

    Es friert nur nach 10 sek. ein, wenn ich das DSL-Modem direkt am Switch anschliesse und das IGMP-snooping einschalte. (Mit der oben angehängten Konfig., also für das VLAN vom Receiver).

    Wenn ich das Modem allerdings direkt an der pfsense anschliesse und IGMP-snooping einschalte, habe ich den ursprünglichen Fehler. Also "kurzes" Einfrieren nach jeweils ~ 5min.

    Nur mit abgeschalteten IGMP-snooping läuft das Bild durch, egal ob das Modem am Switch oder an der pfsense angeschlossen ist.


  • Also, die Ursache für den 5 Minuten Fehler wirst Du wahrscheinlich nur mit einem Trafficmittschnitt rausfinden, ggf. stört ein Gerät im LAN mit IGMP Traffic, der das Entertain oder den pfSense IGMP Proxy durcheinanderbringt.
    Ich weiss jetzt nicht, was Du für ein Modem hast, aber bei meinem alten VDSL Modem von der Telekom musste man den Port an dem es steckte VLAN7/8 tagged konfigurieren und wenn man noch auf das Modem (Web GUI) direkt wollte ein untagged VLAN benutzen. Bist Du sicher, dass Du die Switchports korrekt konfiguriert hast, also zumindest tagged VLAN 7 und 8?


  • @athurdent:

    Also, die Ursache für den 5 Minuten Fehler wirst Du wahrscheinlich nur mit einem Trafficmittschnitt rausfinden, ggf. stört ein Gerät im LAN mit IGMP Traffic, der das Entertain oder den pfSense IGMP Proxy durcheinanderbringt.

    Gute Gedanke, allerdings hatte ich ja schon alles Andere ausgeschaltet bzw. abgeklemmt. Leider ohne Erfolg…  :( Ein Trafficmitschnitt ist auf dem Alix-Board mit CF-Karte eher schlecht umsetzbar. Aber bald kommt ja das neue Alix-Board mit einer SSD, dann werde ich das mal in Angriff nehmen.

    @athurdent:

    Ich weiss jetzt nicht, was Du für ein Modem hast, aber bei meinem alten VDSL Modem von der Telekom musste man den Port an dem es steckte VLAN7/8 tagged konfigurieren und wenn man noch auf das Modem (Web GUI) direkt wollte ein untagged VLAN benutzen. Bist Du sicher, dass Du die Switchports korrekt konfiguriert hast, also zumindest tagged VLAN 7 und 8?

    Ist ein reines Modem, ohne Web-GUI o.Ä. (Speedport 300HS).

    @athurdent:

    Bist Du sicher, dass Du die Switchports korrekt konfiguriert hast, also zumindest tagged VLAN 7 und 8?

    Ich denke schon, sonst könnte ich hier nicht schreiben und gleichzeitig TV schauen… Wahrscheinlich würde dann gar nichts gehen.  ;)

    Gibt es sonst noch Vorschläge, Ideen oder gar Lösungen?  :D

    Danke!!  :)


  • @Beerman:

    @athurdent:

    Also, die Ursache für den 5 Minuten Fehler wirst Du wahrscheinlich nur mit einem Trafficmittschnitt rausfinden, […]

    […] Ein Trafficmitschnitt ist auf dem Alix-Board mit CF-Karte eher schlecht umsetzbar. […]

    Den Traffic kannst Du einfach außerhalb abgreifen.

    • Entweder Du konfigurierst den Switch so, daß er den kompletten Traffic an einem Port spiegelt und schließt hier Deinen Rechner an.

    • Oder Du traust dem Switch nicht, dann schließt Du zwischen Switch und pfSense einen weiteren (vertrauenswürdigen) Switch an, läßt diesen den Traffic an einem Port zusätzlich ausgeben und schließt hier Deinen Rechner an.

    • wenn Du noch einen alten Hub herumfahren hast, müßte der es eigentlich auch tun. Allerdings kann das mit dem Durchsatz eingeschränkt sein …

    Dann natürlich Wireshark auf dem Rechner. Du kannst gleich filtern auf IGMP, das wäre mal der erste Versuch.


  • Hallo,

    ich habe auch gelegentlich das Problem, dass nach einigen Minuten das Bild auf einem Kanal stehen bleibt. Schalte ich auf einen anderen Kanal um, geht es wieder.
    Auch ich habe einen Switch mit IGMP Snooping. Bei mir blinken beim Fernsehen dann auch nur die LEDs für die betroffenen Ports. Also scheint es zu gehen.

    Hat denn jemand die Lösung hier gefunden?
    Mein Problem ist nicht immer vorhanden, gestern konnte ich 2 Stunden am Stück schauen.

    Matthias


  • Ist das bei Dir wie bei Beerman?

    Nur mit abgeschalteten IGMP-snooping läuft das Bild durch

    Da mußte ja das IGMP-Snooping des Switch irgendeinen Einfluß auf die Unterbrechungen haben: Da der Multicast-Traffic nicht im Switch, sondern schon in der pfSense unterbrochen war (siehe weiter oben im thread), war meine Vermutung, daß Teile des IGMP-Traffic (Antworten des Media Receiver auf membership queries o.ä.) vom Switch verschusselt werden. Daher war der Vorschlag zuletzt den IGMP-Traffic aufzuzeichnen. Damit hätte man das erhärten können.

    Wenn das IGMP-Snooping problematisch ist, dann kann man darauf verzichten, wenn man hilfsweise den Multicast-Traffic für das IPTV in ein eigenes VLAN legt.

    Bleibt auch bei Dir bei einer Unterbrechung des Empfangs der IPTV-Traffic schon in der pfSense aus? Das sieht man ganz einfach im Traffic Graph auf dem Dashboard.