Umstellung von Heimnetzwerk auf pfsense (Anfänger, OpenVPN, VoIP, Entertain)
-
Ein paar Gedanken dazu:
Wenn es ein paar Minuten funktioniert (nicht nur ein paar Sekunden), dann funktioniert grundsätzlich der Multicast. Ich hatte zu Beginn meiner "pfSense-Entertain-Karriere" denselben Effekt: Die Übertragung ist alle paar Minuten abgebrochen, war für einige Minuten weg, ging dann von alleine wieder und so weiter. Ich habe nie herausgefunden, was die Ursache war.
Das einzige, was mir auf den ersten Blick auffällt: Du solltest das IGMP (Internet Group Management Protocol) auf der Firewall freigeben. Ich habe das als Floating-Regel, nicht auf einem konkreten Interface. Bei Dir steht "ICMP", das ist etwas anderes!
Sonst sieht es auf den ersten Blick ganz vernünftig aus.
-flo-
-
Ach ja, "please what": Du hast 10.0.2.200 als Adresse des Interface OPT2 angegeben. Ich würde als default Gateway immer die .1 verwenden, also 10.0.2.1. Funktionieren sollte es aber auch so.
Da Du Dein LAN-Netzwerk überpinselt hast, kann ich nicht sehen, ob es da eine Überdeckung gibt. Ich hoffe Du hast dort ein Netzwerk anders als 10.0.2.0/24, also vielleicht 10.0.1.0/24?
Übrigens ist es völlig unnötig interne Netzwerke zu verschleiern. Das trägt zur Privacy nichts bei. Die öffentliche WAN-Adresse ist da etwas anderes, die willst Du nicht in einem Forum posten.
-flo-
P.S. Ich habe ein paar andere Adressen im IGMP-Proxy drin, evtl. willst Du da herumprobieren. Da Du aber grundsätzlich Empfang hast, sehe ich da keine Lösung für Dein Problem.
193.158.137.14/32, 87.140.255.0/25, 87.141.128.0/17, 212.184.168.0/24, 217.6.167.160/27, 217.245.0.0/18, 193.158.35.0/24, 217.0.0.0/8, 217.252.0.0/18, 10.0.0.0/8
Ich habe vor längerer Zeit mal hier im Forum gepostet, wie ich die ermittelt habe.
-
Das einzige, was mir auf den ersten Blick auffällt: Du solltest das IGMP (Internet Group Management Protocol) auf der Firewall freigeben. Ich habe das als Floating-Regel, nicht auf einem konkreten Interface. Bei Dir steht "ICMP", das ist etwas anderes!
Oh mein Gott, ich könnte kotzen. Gestern den Wald vor lauter Bäumen nicht mehr gesehen und dann wohl im einem dummen Zeichen verguckt. Kurzum: Es läuft von stabil. Herzlichen Dank! Haben die Floating Rules irgendeinen Vorteil außer das sie halt nicht für ein spezielles Interface gelten sondern für alle? Weil bislang dachte ich, dass man bei einer FW möglichst restriktiv arbeiten sollte damit es etwas bringt (daher möchte ich diese any-any Regeln auf kurz oder lang auch ersetzen).
Ach ja, "please what": Du hast 10.0.2.200 als Adresse des Interface OPT2 angegeben. Ich würde als default Gateway immer die .1 verwenden, also 10.0.2.1. Funktionieren sollte es aber auch so.
Hat es irgendwelche technischen Gründe bzw. Vorteile? Ich organisiere ab 200 aufsteigend alles was zur Netzwerkstruktur gehört (Switch, Firewall, Modem, WLAN-AP, etc.), persönlich gefällt es mir so besser.
Da Du Dein LAN-Netzwerk überpinselt hast, kann ich nicht sehen, ob es da eine Überdeckung gibt. Ich hoffe Du hast dort ein Netzwerk anders als 10.0.2.0/24, also vielleicht 10.0.1.0/24?
Das ist korrekt. Mein eigentliches Netz ist 10.0.1.0/24, ich habe das 10.0.2.0/24 gestern nur "erschaffen" damit ich den Receiver direkt an pfsense anschließen konnte. Das mit dem schwärzen
-flo-
P.S. Ich habe ein paar andere Adressen im IGMP-Proxy drin, evtl. willst Du da herumprobieren. Da Du aber grundsätzlich Empfang hast, sehe ich da keine Lösung für Dein Problem.
193.158.137.14/32, 87.140.255.0/25, 87.141.128.0/17, 212.184.168.0/24, 217.6.167.160/27, 217.245.0.0/18, 193.158.35.0/24, 217.0.0.0/8, 217.252.0.0/18, 10.0.0.0/8
Ich habe vor längerer Zeit mal hier im Forum gepostet, wie ich die ermittelt habe.
Ich glaube, dass ich den Beitrag gestern schon gefunden hatte. Daher habe ich mir auch den vorderen Teil der Adressen genommen, da ich gestern nicht motiviert war nachzuvollziehen wie du das ermittelt hast. Sollte mir aber definitiv noch nachholen.
Nun gut, nun steht für mich an, dass ich mich in den TP-Switch einarbeite und dort die VLANs richtig konfiguriere etc.
Ich hatte mit dem Gedanken gespielt dem Receiver eine feste IP-Adresse zu geben um dann im IGMP-Proxy nur diese IP-Adresse einzutragen und nicht mein komplettes Netz. Macht dies Sinn?
-
Schön, daß es funktioniert!
@please:
Haben die Floating Rules irgendeinen Vorteil außer das sie halt nicht für ein spezielles Interface gelten sondern für alle?
Das ist eine Frage der Organisation. Manche Sachen lassen sich nur damit geschickt abbilden. Aber nötig ist das so nicht, es läuft ja jetzt offenbar bei Dir.
@please:
[…] Ich würde als default Gateway immer die .1 verwenden, also 10.0.2.1.
Hat es irgendwelche technischen Gründe bzw. Vorteile? Ich organisiere ab 200 aufsteigend alles was zur Netzwerkstruktur gehört (Switch, Firewall, Modem, WLAN-AP, etc.), persönlich gefällt es mir so besser.
Das ist nur eine Konvention, also gehen sollte es auch so. Hauptsache Du kommst damit klar.
@please:
Ich hatte mit dem Gedanken gespielt dem Receiver eine feste IP-Adresse zu geben um dann im IGMP-Proxy nur diese IP-Adresse einzutragen und nicht mein komplettes Netz. Macht dies Sinn?
Eine feste IP-Adresse macht Sinn, das geht in pfSense einfach über den DHCP-Server.
Der IGPM-Proxy arbeitet aber nur mit Subnetzen. Der Multicast wird technisch als Broadcast in den Subnetzen abgebildet. (Es gibt auf der physischen Ebene bei Ethernet keinen Multicast. Dieser wird implementiert als Broadcast, also empfangen alle Hosts die Frames und entschieden, ob sie den Traffic empfangen wollen oder nicht.)
-flo-
-
Der IGPM-Proxy arbeitet aber nur mit Subnetzen. Der Multicast wird technisch als Broadcast in den Subnetzen abgebildet. (Es gibt auf der physischen Ebene bei Ethernet keinen Multicast. Dieser wird implementiert als Broadcast, also empfangen alle Hosts die Frames und entschieden, ob sie den Traffic empfangen wollen oder nicht.)
Vielleicht kannst du mir hier noch etwas unter die Arme greifen (Achtung, aufgrund ziemlicher Unsicherheit nun vermutlich großes Chaos):
Ich habe nun ja über die WAN-Schnittstelle ein virtuelles Interface mit VLAN 8 geschaffen, womit ich die entsprechenden Daten von außen einfangen kann. Diese sollen nun über igb1 (neben "regulärem Internet, VoIP, etc.) aus pfsense raus in Port 1 des TP Switches. Dort möchte ich dann an Port 8 den Powerline-Adapter anschließen, so dass ich den Receiver im Wohnzimmer, neben WLAN AP, Amazon Fire TV, usw., mit dem Entertain-Signal versorgen kann.
Schließe ich derzeit den Receiver direkt an Port 8 an, dann ist dies das übliche Ergebnis: Bild läuft 2-3 Sekunden, danach bleibt es stehen. Nun muss ich vermutlich Multicast und IGMP auf Port 8 durchreichen. Wenn ich alles nun richtig verstanden habe, dann kommt derzeit auf igb1 jedoch kein mit VLAN 8 getaggtes Signal, da ich dies ja nur auf VLAN 8 vom WAN entnehme oder?
Mein Problem ist nun, dass ich nicht weiß, wie ich das Signal nun korrekt über Port 8 bewege, so dass dahinter letztendlich normales Internet sowie die Entertain-Daten bereitstehen. Durch die Recherche weiß ich soweit nun, dass IGMP Snooping hier wohl mein Freund ist damit ich nicht das komplette Netzwerk überflute. Dafür wird offenbar ein VLAN benötigt, was ja bedeuten würde, dass an igb1 sehr wohl VLAN8 auch bereitstehen müsste, damit ich dieses dann an Port 8 IGMP Snooping aktivieren kann.
Naja, denke mein Problem wird klar. Ich lese mich zwar schon durch diverse Dinge aber mir fällt es derzeit schwer die ganzen Informationen in eine korrekte Reihenfolge zu bringen. Was wird tatsächlich benötigt, wie kann man sich das Leben auch einfacher machen, etc. :(
-
Du bringst da tatsächlich mehrere Sachen durcheinander.
Am besten malst Du mal ein Bild, welche Verkabelung bei Dir möglich / vorhanden / gewünscht ist. Ich meine verstanden zu haben:
pfSense - Switch Arbeitszimmer - Powerline-Adapter (Arbeitszimmer) - Powerline-Adapter (Wohnzimmer) - Switch Wohnzimmer - Receiver.
Stimmt das? Wenn ja, was soll alles jeweils noch an welchen Switch?
Zum Thema VLANs und IGMP-Snooping: Du brauchst keine VLANs um IGMP-Snooping nutzen zu können. Bei IGMP-Snooping untersucht der Switch die Frames, die bei ihm ankommen. Wenn die Frames IGMP-Pakete enthalten, liest der Switch diese aus und lernt dabei, hinter welchen Ports sich Hosts bestimmten Multicast-Gruppen anschließen oder diese wieder verlassen. Damit weiß er jederzeit, hinter welchen seiner Ports gerade Empfänger welcher Multicast-Gruppen sind. Wenn er Frames empfängt, die Multicast-Traffic beinhalten, leitet er diese nur an diejenigen Ports weiter, wo auch Empfänger sind. Das ist vor allem wichtig, wenn ein WLAN-AP im Netz integriert ist: Ein WLAN wird von Multicast-Traffic schnell bis zur Sättigung geflutet.
Bzgl. VLAN8 und VLAN7: Das wird nur auf der WAN-Seite genutzt und trennt auf der Telekom-Seite auf einer DSL-Leistung logisch das TV-Signal vom Rest des Internet-Traffic. Auf der LAN-Seite sind diese VLAN-Markierungen nicht mehr vorhanden. Sofern gewünscht kannst Du mit pfSense wieder eigene VLANs erzeugen, die Nummern sind dabei unabhängig von der 7 oder 8.
Was Du schon probieren kannst: Schließ mal Deine Powerline-Adapter erstmal ohne den Switch an die pfSense an und den Receiver an die Powerline-Adapter. Es ist nämlich keineswegs sicher, daß das funktioniert.
Ob IGMP-Snooping im Switch funktioniert, kann man recht einfach prüfen: Switch an die pfSense anschließen, Receiver und einen weiteren Rechner an den Switch. Mit dem Receiver Fernsehen. Jetzt blinken die LEDs an den Switch-Ports fleißig. Wenn IGMP-Snooping funktioniert, dann blinken nur die Ports, wo pfSense und der Receiver dranhängen.
Wenn das geht (und o.a. Netzwerkaufbau stimmt), wäre folgendes Setup am einfachsten: In pfSense nur ein internes Interface einrichten, nicht zwei. Alles auf einem Subnetz laufen lassen. Keine VLANs verwenden. IGMP-Snooping in den Switches aktivieren. Sollte dann gehen.
-flo-
-
Danke für deine Antwort und sorry für das Chaos ;)
Deine aufgezeigte Infrastruktur ist soweit korrekt. Du kannst dir gerne meine damalige Skizze im Startpost ansehen, ignoriere dort nur das TAE-Telefon, ebenso der WLAN-AP an der pfsense.
Wenn du diese beiden Elemente streichst, dann ist das Schaubild relativ aktuell. Einzig an den Switch im Arbeitszimmer kommt dann noch eine alte Fritzbox fürs Telefon, welche dann auch hier einen WLAN-AP stellen wird.
Auf lokale VLANs würde ich erst einmal verzichten wollen, möchte erst einmal die Komplexität gering halten (zumindest für mich ist dies alles noch zu komplex). Die Idee mit den Powerline-Adaptern ist gut, werde ich einmal testen. Dort sehe ich aber kein Problem, da diese extra von der Telekom sind und auch für Entertain "zugelassen" sind. Wenn diese dann nicht rund laufen, falle ich vom Glauben ab ;)
Dann werde ich mir IGMP-Snooping im Switch noch einmal genauer ansehen. Ich hatte dies schon auf Enable gestellt, jedoch ist, sobald der Receiver dann am Switch hing, das Bild nach 2-3 Sekunden gestoppt. Irgendwo scheint es dann dort noch zu hängen.
Leider kann ich dies nun in der Woche nur sehr bedingt testen, da ich sonst mecker von Freundin kriege, wenn Abends kein TV bereit steht oder keine Aufnahmen laufen. Daher muss ich hier immer auf ruhige Momente warten und meine Antworten werden sich wohl was zeitlich verlangsamen. Verfolge das Thema aber definitiv so schnell wie möglich.
Für mich nehme ich nun einmal folgenden Punkteplan mit:
-
Powerline Adapter einmal direkt am funktionierenden igb2 anschließen und Switch übergehen für Test von Receiver im Wohnzimmer
-
Checken wieso der Switch (oder Receiver?) trotz aktiviertem Snooping zickt
-
Lobgesänge auf -flo- üben
-
Intensiver in die Materie einarbeiten
Bauchschmerzen macht mir dann noch der (geplante, noch nicht vorhandene) WLAN-AP im Wohnzimmer. Derzeit habe ich dort nur einen billigen CISCO-Switch, welcher die Pakete dann wohl an alle Ports verteilen wird. Somit auch an den WLAN-AP. Hier muss ich dann noch einplanen den Switch gegen einen besseren auszutauschen (dieser oder dieser).
-
-
Kleines Feedback: Powerline direkt an pfsense und im Wohnzimmer dann den Receiver dran klappt soweit fast problemlos.
Ich kann das Bild jedoch zum einfrieren bringen wenn ich häufig schnell zwischen mehreren Sendern herumschalte und dann auf einem von denen stehen bleibe. Dann läuft das Bild noch einige Sekunden, stoppt dann aber.
Zugegeben: Ein ziemlich provozierter Fall.
-
Naja, das Problem mit dem Umschalten ist bekannt. Da gibt es wohl ein Problem mit dem IGMP-Proxy. Schade, aber vermutlich nicht zu ändern.
Als nächsten Schritt kannst Du jetzt den Gigabit-Switch testen (wie schon beschrieben: welche Ports "blinken"), danach Powerline am Gigabit-Switch. Bin schon gespannt. :-)
-flo-
-
Ich auch :)
Leider werde ich vor Mittwoch vermutlich nicht dazu kommen. Als Folgeprojekt ist heute auch eine gebrauchte Fritzbox gekommen, welche ich dann für das TAE-Telefon als IP Client ins Netz bringen möchte.
Es bleibt spannend.
-
So, hab/hatte gerade mal wieder eine Stunde Zeit:
- pfsense an Switch, Port 1
- mein Laptop hier, Port 2
- Receiver, Port 6
Receiver bekommt von DHCP eine IP, kann sich Datum, etc. aus dem Netz ziehen.
Wähle ich einen Kanal habe ich ca. 1-2 Sekunden Bild, danach ist Ende. Die Übertragung friert ein. Umschaltung von Uni- auf Multicast scheint wohl nicht zu klappen.
Dann im Switch IGMP Snooping aktiviert. Dort war dann auch die Information zu finden, dass ich zusätzlich zur "Snooping Config" noch die "VLAN Config" und "Port Config" treffen müsste.
Also gesagt, getan. Was habe ich nun getan (siehe auch Screenshots).
Ich habe Port 1 und Port 6 in ein VLAN mit ID 1 gepackt, per Default sind alle Ports auch im VLAN 1 (dies ist jedoch im Reiter VLAN zu finden und nicht wie hier im Reiter Multicast).
Dann habe ich erst für Port 6 alleine, danach für Port 1 und Port 6 IGMP Snooping aktiviert.
Ergebnis: Keine Veränderung.
In den Packet Statistics kann ich sehen, dass während den 1-2 Sekunden Bild wohl IGMP-Pakete unterwegs sind. Das Endet jedoch sobald das Bild einfriert.
Zur Frage mit den blinkenden LEDs: Während dem Bild arbeitet nur Port 1 und 6, friert das Bild ist stille. Hin und wieder (ca. alle 5-8 Sekunden) blinkt kurz Port 1 und 6 wieder, am Bild ändert sich nichts.
Ich kämpfe mich gerade noch durch die Anleitung und schaue, ob ich hier noch irgendwie eine IP-Range oder ähnliches angeben muss.
![Receiver an switch.png](/public/imported_attachments/1/Receiver an switch.png)
![Receiver an switch.png_thumb](/public/imported_attachments/1/Receiver an switch.png_thumb)
![igmp zu beginn.png](/public/imported_attachments/1/igmp zu beginn.png)
![igmp zu beginn.png_thumb](/public/imported_attachments/1/igmp zu beginn.png_thumb)
![VLAN Config.png](/public/imported_attachments/1/VLAN Config.png)
![VLAN Config.png_thumb](/public/imported_attachments/1/VLAN Config.png_thumb)
![Port Config.png](/public/imported_attachments/1/Port Config.png)
![Port Config.png_thumb](/public/imported_attachments/1/Port Config.png_thumb)
![igmp zum ende hin.png](/public/imported_attachments/1/igmp zum ende hin.png)
![igmp zum ende hin.png_thumb](/public/imported_attachments/1/igmp zum ende hin.png_thumb)
-
@please:
Dann im Switch IGMP Snooping aktiviert.
Hast Du auch einen IGMP Querier aktiviert?
Davon brauchst Du genau einen im Netzwerk. Der ist sozusagen der Dirigent.@please:
Ich habe Port 1 und Port 6 in ein VLAN mit ID 1 gepackt, per Default sind alle Ports auch im VLAN 1 (dies ist jedoch im Reiter VLAN zu finden und nicht wie hier im Reiter Multicast).
VLAN ID 1 sollte man nie für die angelegten VLANs verwenden, da diese bei diverser Hardware bereits intern verwendet wird. Das gibt ein heilloses Durcheinander.
Nutze nur VLAN ID 2-4096 (oder was immer die Obergrenze Deines Switches ist).Was macht es für einen Sinn, alle Geräte/Ports in das gleiche VLAN zu legen?
Erstelle ein eigenes VLAN für Multicast, so ist es zumindest gedacht. -
@please:
Dann im Switch IGMP Snooping aktiviert.
Hast Du auch einen IGMP Querier aktiviert?
Davon brauchst Du genau einen im Netzwerk. Der ist sozusagen der Dirigent.Da ich dies nun zum ersten Mal höre vermute ich nicht. pfsense ist der IGMP Proxy und mehr habe ich dazu aktiv nicht getroffen. Im Switch finde ich zum Begriff Quierer auch nur etwas im Bereich. Meinem ärmlichen Wissen nach sollte das Multicast Listener Discovery für diesen Anwendungsfall jedoch nicht notwendig sein oder?
@please:
Ich habe Port 1 und Port 6 in ein VLAN mit ID 1 gepackt, per Default sind alle Ports auch im VLAN 1 (dies ist jedoch im Reiter VLAN zu finden und nicht wie hier im Reiter Multicast).
VLAN ID 1 sollte man nie für die angelegten VLANs verwenden, da diese bei diverser Hardware bereits intern verwendet wird. Das gibt ein heilloses Durcheinander.
Nutze nur VLAN ID 2-4096 (oder was immer die Obergrenze Deines Switches ist).Was macht es für einen Sinn, alle Geräte/Ports in das gleiche VLAN zu legen?
Erstelle ein eigenes VLAN für Multicast, so ist es zumindest gedacht.Zum Verständnis: IGMP Snooping hat ja den Sinn bzw. Zweck, dass mein Netzwerk nicht geflooded wird. Der Switch soll selbstständig erkennen, wo der Cast hin soll und andere Ports auslassen. Wieso nun ein eigentliches VLAN dafür? Ich könnte ein Multicast VLAN wie im Screenshot gezeigt einstellen (Port 1 pfsense, Port 8 Powerline ins Wohnzimmer). Wäre dies so korrekt im Sinne des Erfinders?
![Multicast VLAN.png](/public/imported_attachments/1/Multicast VLAN.png)
![Multicast VLAN.png_thumb](/public/imported_attachments/1/Multicast VLAN.png_thumb) -
@please:
Hast Du auch einen IGMP Querier aktiviert? […]
Da ich dies nun zum ersten Mal höre vermute ich nicht. pfsense ist der IGMP Proxy und mehr habe ich dazu aktiv nicht getroffen. Im Switch finde ich zum Begriff Quierer auch nur etwas im Bereich. Meinem ärmlichen Wissen nach sollte das Multicast Listener Discovery für diesen Anwendungsfall jedoch nicht notwendig sein oder?
Der IGMP Proxy agiert m.W. als Querier. Jedenfalls kommen from IGMP-Proxy regelmäßige membership queries.
Was das "Multicast Listener Discovery" ist, weiß ich nicht. Ein Handbuch zu dem Switch dürfte weiterhelfen.
@please:
@please:
Ich habe Port 1 und Port 6 in ein VLAN mit ID 1 gepackt, per Default sind alle Ports auch im VLAN 1 (dies ist jedoch im Reiter VLAN zu finden und nicht wie hier im Reiter Multicast).
VLAN ID 1 sollte man nie für die angelegten VLANs verwenden, da diese bei diverser Hardware bereits intern verwendet wird. Das gibt ein heilloses Durcheinander.
Nutze nur VLAN ID 2-4096 (oder was immer die Obergrenze Deines Switches ist).Was macht es für einen Sinn, alle Geräte/Ports in das gleiche VLAN zu legen?
Erstelle ein eigenes VLAN für Multicast, so ist es zumindest gedacht.Zum Verständnis: IGMP Snooping hat ja den Sinn bzw. Zweck, dass mein Netzwerk nicht geflooded wird. Der Switch soll selbstständig erkennen, wo der Cast hin soll und andere Ports auslassen. Wieso nun ein eigentliches VLAN dafür? Ich könnte ein Multicast VLAN wie im Screenshot gezeigt einstellen (Port 1 pfsense, Port 8 Powerline ins Wohnzimmer). Wäre dies so korrekt im Sinne des Erfinders?
Das ist schon richtig. Man braucht kein eigenständiges VLAN für den Multicast Traffic. Wenn man das hätte, dann wäre wiederum IGMP Snooping nicht erforderlich. Das ist dennoch eine Möglichkeit: Die Variante mit einem separaten VLAN für Multicast erfordert aber, daß diese bereits auf der pfSense angelegt sind. Der Uplink-Port (1) muß dann die bereits mit VLAN markierten Frames entgegennehmen und Mitglied mehrerer VLANs sein.
Ich denke der Switch kann Multicast nur in einem (im Gegensatz zu mehreren) VLAN bearbeiten. Dann muß eben alles in ein VLAN, auch wenn man eigentlich keine VLANs benötigen würde.
Zur konkreten Konfiguration bin ich überfragt. Da ist sicher Studium des Handbuchs gefragt und etwas Experimentieren.
-flo-
-
Moin moin,
leider hatte es wieder etwas gedauert. Problem war nicht der Switch sondern Dummheit von mir. Ich habe zwar nach Umstellung von meinem Test am separatem Port der Firewall den IGMP-Proxy auf das richtige Subnetz geändert, jedoch habe das Interface vergessen umzustellen :o
Dieser kleine Fehler hat mich so viel unnötige Zeit gekostet >:(
Aber hey, nun geht es inzwischen. VoIP habe ich auch eingerichtet und es funktioniert. Nun versuche ich mich daran unterschiedliche interne Subnetze über unterschiedliche OpenVPN-Clients zu schicken: http://www.retropixels.org/blog/use-pfsense-to-selectively-route-through-a-vpn
Mit einem OpenVPN-Client in der Firewall klappt das auch super, richtige ich einen zweiten ein, bekommt dieser jedoch die gleiche IP vom Anbieter zugewiesen. Hier muss ich mal schauen, ob das überhaupt so geht wie ich das wollte.