[SOLUCIONADO] PfSense e Imagenio

donizt

Moderador 21-jul-2014 10:02 CEST (UTC+2)
Ir directamente a Tutorial (Solución), https://forum.pfsense.org/index.php?topic=79208.msg433934#msg433934

Buenas

Tengo un pfsense conectado directamente a la ONT de telefonica configuradas las VLAN para la VOIP y ppoe y todo me funciona correctamente.

Pero ayer me trajeron el imagenio y no consigo hacerlo trabajar con el pfsense v2.1.4.

He sigo algunos manuales de tratando de adaptarlos al pfsense:

http://www.adslzone.net/postt311611.html
http://www.adslzone.net/postt350338-15.html

Pero no lo consigo, el imagenio sigue sin verse si sustituyo el router de telefonica por el pfsense

Basicamente lo que he hecho es lo siguiente:

Configurar una vlan2 en em0 con ip statica 10.116.40.107/10 GTW10.64.0.1 (datos sacados del router de telefonica)
En el servidor de dhcp asignar una ip statica al deco de imagenio que fuerce la dns 172.26.23.3 al deco (dato sacado del router)
En nat->Outbound: interface vlan2 ,Source lan, source port * ,destination *, nat addres vlan2 . nat port *, static port yes
EN nat->Rules: permitir el trafico entre vlan2 y lan

Segun el manual del Mikrotik faltan cosas pero no se como implementarlas en pfsense

NO se como implementar la opcion 240 en el servidor de dhcp

/ip dhcp-server optionadd code=240 name=option_para_deco value="':::::239.0.2.10:22222:v6.0:239.0.2.30:22222'"

( he puesto en el pfsense en additional BOOTP Number: 240 type: text Value ':::::239.0.2.10:22222:v6.0:239.0.2.30:22222' pero desconozco si funciona o estara bien puesto ( ¿qué es la opcion 240 del dhcp y qué hace? ) http://www.networksorcery.com/enp/protocol/bootp/options.htm

-tengo dudas de como implementar las reglas de del ebtables del mikrotik en el pfsense

insmod ebtables
insmod ebtable_filter
insmod ebt_ip.o
ebtables -A FORWARD -p IPv4 –ip-protocol udp --ip-dst 239.0.0.0/8 -j DROP

Alguna idea/ayudita??

donizt

ni la mas minima idea?? :-( :'( :'(

bellera

La única forma que veo de solucionar el tema es tener el equipo y comprender bien qué hacen en los tutoriales que encontraste.

Ahí va ebtables, por ejemplo: http://ebtables.sourceforge.net/examples/basic.html#all

insmod ebtables
insmod ebtable_filter
insmod ebt_ip.o
ebtables -A FORWARD -p IPv4 --ip-protocol udp --ip-dst 239.0.0.0/8 -j DROP

Parece que esto sólo sirve para bloquear el tráfico UDP hacia 239.0.0.0/8

Sobre DHCP 240…

http://www.freebsd.org/cgi/man.cgi?query=dhcp-options

Creo que lo que has puesto tiene que estar bien. Simplemente el descodificador le pide la opción 240 al servidor DHCP. Está en el rango de opciones privadas. Por tanto, es 240 como podría ser otra en el rango 224-254.

http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml

La duda que me queda es si tiene que ir con las 'comillas' o sin las comillas. A probar.

El fichero de configuración se escribe en /var/dhcpd/etc/dhcpd.conf

bellera

El configurador web se encarga de poner "comillas dobles" en el archivo de configuración.

$ cat /var/dhcpd/etc/dhcpd.conf

option domain-name "localdomain";
option ldap-server code 95 = text;
option domain-search-list code 119 = text;
option custom-lan-0 code 240 = text;

default-lease-time 7200;
max-lease-time 86400;
log-facility local7;
one-lease-per-client true;
deny duplicates;
ping-check true;
authoritative;

subnet 192.168.1.0 netmask 255.255.255.0 {
	pool {
		range 192.168.1.10 192.168.1.245;
	}

	option routers 192.168.1.1;
	option domain-name-servers 192.168.1.1;

	option custom-lan-0 ":::::239.0.2.10:22222:v6.0:239.0.2.30:22222";

Con 'comillas'…

	option custom-lan-0 "':::::239.0.2.10:22222:v6.0:239.0.2.30:22222'";

Como dije, estas opciones privadas sirven para comunicar cosas al cliente. Ejemplo en http://www.mattfischer.com/blog/?p=132

donizt

He avanzado un monton desde la primera vez que escribi el post. Ahora tengo el problemilla del multicast pero espero solucionarlo pronto

En cuanto lo tenga 100% funcional preparare un tutorial.

un saludo y os ire comentando como evoluciona el tema

donizt

Lo consegui ¡¡¡¡ trodas las funciones de la fibra de movistatr implementadas en pfsense VOIP,PPOE y imageno sobre sus correspondientes VLANs

Ahora solo falta el tema del videoclub en el imagenio y configurar el udpxy para poder verlo correctamente en moviles y en las conexiones vpn y openvpn

donizt

Bellera,

Tengo listo un manual para la configuración del pfSense e Imagenio.

Me gustaría que le echaras un vistazo por si le ves algo que se pueda mejorar.

Si me das una dirección de correo te lo mando.

Un saludo.

bellera

Tutorial publicado en http://www.bellera.cat/josep/pfsense2/manual_pfsense_imagenio_2014-07-21.pdf

¡Buen trabajo, @donizt!

virusbcn

Muy buen manual, pero aún no me funciona, creo que es porque no calculo bien la dirección multicast de mi red en el adaptador imagenio, en el manual pone como ejemplo Imagenio -> 172.26.0.0/16 ; 172.26.0.0/24 y mi red es la 192.168.11.0/24 ¿cuál sería mi dirección multicast???
He probado la 192.168.11.0/16 pero no funciona

Perdón, tenía antes un OpenWRT funcionando y comparando he visto que la ip multicast que tenía era la 172.26.0.16, me había despistado !!! :-) de todas formas lo he puesto con la 172.26.0.0/16 y sigue sin funcionar, incluso he instalado y arrancado el udpxy y no hay manera que funcione el imagenio, está con ip fija, la 192.168.11.200 y dns la 172.26.23.3

virusbcn

Donizt puedes revisar las reglas NAT ??? creo que faltan cosas en el manual, a ver si lo podemos acabar ;-)

donizt

Buenas, por lo que estuve leyendo cuando busque informacion la direccion 172.26.0.16 se usaba antes, pensaba que ya habrian cambiado todo a la 172.26.0.0/16.

Hay un problema en el igmproxy que no permite poner 0.0.0.0/0 meidante la configuracion web (poniendo eso se soluciona el problema), pero si editas el fichero a mano si te lo permite /tmp/igmpproxy.conf
El problema esta en que despues de cada reinicio te genera de nuevo el archivo.
Hay algo de informacion sobre el tema en google por lo que vi lo iban a solucionar

donizt

Si me das mas informacion de como lo tienes lo miro a ver si encotnramos donde esta el problema, te he mandado un mail para que me la puedas pasar

uns aludo

bellera

@donizt:

Hay un problema en el igmproxy que no permite poner 0.0.0.0/0 mediante la configuracion web (poniendo eso se soluciona el problema), pero si editas el fichero a mano si te lo permite /tmp/igmpproxy.conf

Igual sería más efectivo variar a mano config.xml para que se genere el /tmp/igmpproxy.conf deseado.

donizt

Buena y simple idea, voy a probarlo :-)

donizt

no funciona :-( se lo traga pero el igmproxy no funciona con esa direccion.
Por lo visto lo de 0.0.0.0/0 funciona en el igmpproxy de linux, en el que esta en pfsense es una version anterior. Cuando actualizo el igmproxy de pfsense a la ultima version no funciona, creo que es por que el fichero de configuracion ha cambiado ligeramente :-(
Me imaginoq ue en la nueva version de pfsense al actualizar la version de freebsd ya estara compilado para el ultimo igmproxy.

En cualquier caso el problema de virusbnc parece que esta en otro lado tampoco le funciona la conexion de voip, y eso no tiene "ninguna" complicacion.

De todas formas tengo que actualizar el manual para que funcione el VOD Lo que he realizazo es una nueva red entre el pfsense y el deco para que trafico de multicast este restringido a esa red. La opcion de IGMP Snooping de los switches no me convence nada. Y esta red la dejo como DMZ de esta manera el VOD funciona perfectamente en el deco y el udproxy se encarga de ofrecer el imagenio en unicast dentro de la LAN

pulpito

Hola , estupenda tu aportacion al foro.
Tengo fibra de movistar y me estoy planteando contratar fusion con TV.
Mi router actual es un pfense que funciona perfecto, y tambien hice una configuracion un poco diferente con un switch gestionable.
Con tu aportacion y la muy recomendable lectura de este link que pongo abajo (me parece importante), estoy seguro que "si se puede"

http://blog.luispa.com/index.php?controller=post&action=view&id_post=22

a mi me costara tiempo contratar y cambiar la red de mi casa , pero si tengo alhuna aportacion adicional os la hago saber

muchas gracias

donizt

me aha parecido muy intereasnte la parte del "netfilter rtsp" Yo en el pfsense lo solucione creando otra "red" y haciendo NAT 1:1 entre la interface de imagenio y la ip del deco.

Pero me gusta la solucion del netfilter rtsp por que en princpio permitiria acceder desde cualquier pc al video bajo demanda.

Tengo que actualizar el manual por que he realizado algunas mejoras aprovechando la combinacion con un switch gestionable

Para el tema de VOIP tengo otra maquina virtual con elastix (http://www.elastix.org/index.php/es/), en el mismo host que tengo el pfsense y es una combinacion muy flexible y recomendable. Pero eso ya seria para un manual bastante mas completo

pulpito

Hola Donizt
Al final me he puesto el movistar Tv , y estoy en la fase de lucha para conseguir que esto funcione.
La version que tengo de freenas es la 2.1.5-RELEASE (amd64) built on Mon Aug 25 07:44:45 EDT 2014
FreeBSD 8.3-RELEASE-p16
Mi objetivo es solo poder ver una Tv (en este caso samsung) a la que este conectado el deco de movistar, no estoy interesado en ver la Tv en los ordenadores(de momento)
Tengo si no te importa algunas preguntas sobre el tema.
Internet funciona sin problemas ,tengo un pequeño servidor conectado a internet con otra tarjeta de red de forma DMZ,sin problemas.
VOIP no lo he intentado pero lo descarto de momento.
Los datos de la Vlan 2 con ip , los he obtenido del router de telefonica, este interface lo he llamado "WLANTV"
ip 10.XX.YY.ZZ /9 gateway 10.128.X.Y dns 172.26.x.Y
El icono en el status del freenas aparace en "verde" referente al "WLANTV"
He creado una tarjeta de red dedicada especial para la television y le he puesto una Ip fija 10.128.X.Y y he puesto un dhcpserver en este interfase
con la opcion 240 lo He llamado interface "SAMSUNGTV"
El deco de movistar coge una ip de esta red y he definido un nat 1:1 entre WLANTV y SAMSUNGTV.
He tomado este rango de red porque dice en el pfsense cuando configuras en nat 1:1 que toma el netmask del lado "LAN"

Tengo varias preguntas a ver si me puedes ayudar,
Has tenido que poner el paquete Rip activado (no viene por defecto en esta version) se utiliza rip 1 o rip2?

Las reglas que pusiste en tu tutorial referente a la LAN (yo le llamo SAMSUNGTV) y imagenio (yo le llamo WANTV) siguen siendo validas con el nat 1:1?

Estoy un poco verde con el Nat 1:1 y entiendo que no harian falta esas reglas no?
Puedes hacer un ping al DNS 172.26.x.x desde el shell del pfsense?
El Nat reflection elegido es el default , enable disable?
Muchas gracias por tu ayuda

donizt

Buenas, la configuracionq ue quieres hacer es bastante parecida a la que tengo yo actualmente.

1 interface de red directo para el deco para hacer nat 1:1 y que funcione los servicios de VOD del deco.

Lo ideal seria hacer esto: http://blog.luispa.com/index.php?controller=post&action=view&id_post=23
Pero no se como implementarlo en el pfsense

En nat 1:1 tengo puesta en external IP la direccion ip que me dio el dhcp de la vlan 2 y en internal IP la ip que le he dado al deco de imagenio resto de valores por defecto

2 El paquete rip los instale y lo tengo activado en el interface de la vlan2 la version RIP 2

3 las reglas siguen sindo validas pero claro ahora modificando el interface

El ping al dns no lo puedo hacer ahora pero me parece recordar que no respondia

4 Logicamente el igmproxy hay que modificarlo para que envie el multicast a la interface del deco

cualquier cosa me comentas

un saludo

virusbcn

Perdonar, pero sigue sin funcionarme, consigo ver todos los canales mediante VLC pero el deco se queda en negro completamente cuando arranco, he hecho un reset y todo y nada, lo tengo conectado por PLC pero con el router de Timofonica se veia sin problemas, se os ocurre por donde puedo mirar ??? no entiendo que tiene de diferente el VLC al deco para que uno funcione y el otro no, a mí me da igual lo del VOD, es simplemente para ver canales de tele, ya que ahora desde que han cambiado los amplis me cuesta mucho "pillar" Antena3 y la Sexta que es casi lo que más veo :-\