Wer einen eigenen Router einsetzt, muss diverse Stolpersteine bei der Konfiguration zum Empfang von IPTV überwinden. Im Folgenden wird beschrieben, wie ein Rouer mit pfSense mit der Version 2.1.5 für IPTV der Telekom (Entertain) konfiguriert werden kann.
Die Datenübertragung am Telekom-Internetanschluß wird getrennt in IPTV und andere Internetdaten (Surfen, E-Mail, usw.). Technisch geschieht dies durch die Verwendung unterschiedlicher VLANs. Zugang zu "normalem" Internetverkehr erfolgt mit der VLAN-ID 7 und die Übertragung der IPTV-Daten erfolgt über ein Netz mit der VLAN-ID 8.
Interfaces
In pfSense müssen also zuerst zwei VLANs angelegt werden. Unter Interfaces -> (assign) -> VLANs werden zwei neue Interfaces mit den entsprechenden VLAN-Kennungen angelegt.
Beim ALIX-Beispielrouter hier ist vr1 das externe Netzwerkinterface und vr0 das interne. Das Beispiel muss ggf. auf den eigenen Router angepasst werden.
Danach muss ein neues Interface erstellt und diesem das VLAN-Interface mit der ID 8 zugewiesen werden. Als IP Configuration Type wählt man DHCP.
Das VLAN-Interface mit der ID 7 weist man dem PPPOE-Interface zu. Die Übersicht aller Interfaces sollte anschließend wie folg aussehen:
Nach einer Neueinwahl sollten beide neu angelegte VLAN-Interfaces eine IP-Adresse erhalten haben (kontrollieren im Dashboard):
Firewall
Steuerinformationen für IPTV werden mit dem Protokoll IGMP übertragen, der Stream selbst per UDP. Als Erstes müssen am LAN-Interface Pakete mit sogenannten IP-Optionen zugelassen werden. pfSense würde diese Pakete sonst ohne Eintrag im Firewall-Log verwerfen. Am LAN-Interface editiert man dazu die Standardregel für IPv4 und erlaubt das Passieren von IP-Optionen:
Nach dem Speichern wird die ensprechende Regel mit einem kleinen blauen A gekennzeichnet.
Am VLAN-Interface mit der ID 8 erstellt man zwei Regeln, um IGMP-Steuernachrichten und den eigentlichen Stream passieren zu lassen. Bei der Regel für IGMP müssen ebenfalls IP-Optionen (wie im vorhergenden Schritt) erlaubt werden.
IGMP-Proxy
Das Routen der Multicast-Pakete ins lokale Netzwerk, also des IPTV-Streams, übernimmt ein Proxy-Programm auf dem Router. In pfSense ist ein IGMP-Proxy integriert. Unter Services -> IGMP Proxy wird festgelegt, Pakete von welchen Adressen weitergeleitet werden:
Die LAN-Adresse im obigen Bild muss auf das eigene LAN-Subnetz abgeändert werden.
Anschließend sollte ein Empfang von IPTV am PC (z.B. mit VLC) sofort möglich sein. Durch Anklicken der Adresse rtp://239.35.10.4:10000 und der Auswahl von VLC wird sofort der IPTV-Stream der ARD gestartet. Andere verfügbare Sender habe ich in einer Liste zusammengefasst.
Über Erfahrungsberichte in den Kommentaren würde ich mich freuen.
Danke für die Zusammenfassung die mir nach einer kürzlichen Umstellung der Telekom geholfen hat den Empfang wieder herzustellen. Ich hatte eine stärkere Einschränkung als Du vorgenommen, die durch die Änderung nicht mehr funktioniert hat und nach ca. 3 Minuten den Stream abgebrochen hat. Durch Deine Any-Einträge ist man da flexibler.
Was bei Deiner Lösung jedoch noch fehlt ist ein VLAN auf LAN-Seite über einen VLAN-fähigen Switch, um zu verhindern, dass die Multicast-Pakete das Netzwerk überfluten. Ich leite hierzu den Traffic von WAN-VLAN8 auf LAN-VLAN99 weiter und stelle dieses nur dem Entertain-Receiver zu Verfügung. Für die PC-Nutzung müsste man diesen auch noch entsprechend aufnehmen.
Hast Du eigentlich Probleme, wenn Du nach kurzer Zeit wieder auf den alten Sender zurückschaltest? Bei mir funktionieren dann nur die ersten 8 Sekunden, die per Unicast kommen. Dann steht das Bild. Wenn ich mit dem zurückschalten hingegen 30-40 Sekunden warte, funktioniert es. Ist jetzt nicht tragisch, da man das beim Bedienen berücksichtigen kann und ansonsten alles super (schnelle Schaltzeiten, keine Ruckler beim Übergang von Unicast auf Multicast) funktioniert, aber im Vergleich zum Speedport-Router der letzte noch verbleibende Mangel, den ich mit pfsense habe.
Freut mich, dass Dir meine kleine Anleitung helfen konnte.
Leider habe ich zu Hause keinen VLAN-fähigen Switch. Im betreffenden Subnetz hängt jedoch nur der Medienreceiver, ein PC (an dem ich ab und zu fernsehe) und noch ein Drucker. Die Überflutung mit Multicast-Paketen hält sich also in Grenzen, der Drucker kommt damit klar ;) Deine Lösung mit einem extra VLAN ist natürlich perfekt, sofern die Geräte eben VLAN unterstützen.
Das Problem mit dem Hängenbleiben des Streams bei schnellem Zurückschalten auf den vorhergehenden Sender habe ich auch. Ich gehe davon aus, dass es am IGMP-Proxy liegt, da ich vorher einen anderen Router mit einem ausgereifterem IGMP-Proxy im Einsatz hatte, bei dem diese Probleme nicht auftraten. Es bleibt zu hoffen, dass sich hier noch etwas in der Entwicklung tut.
Vielen Dank für die tolle Anleitung! Ist es auch möglich, VLAN8 auf ein drittes Netzwerkinterface (OPT1) zu routen und damit die Multicast-Pakete aus dem übrigen Netz herauszuhalten? Welches DSL-Modem setzt du derzeit für VDSL bei der Telekom an der pfsense ein?
Das sollte kein Problem sein. Bein Einrichten einfach das OPT1 für das VLAN8-Interface einstellen und entsprechend im IGMP-Proxy als Downstream-Interface einstellen.
Welches Modem verwendest Du? Ich habe versucht meinen Speedport 723V Typ A im PPPoE Modus zu nutzen aber ohne Erfolg.
Gruesse
Mathias
Genau den 723V Typ A habe ich auch getestet. Leider ist der kein vollwertiges DSL-Modem. Im reinen Modem-Modus macht er das VLAN-Tagging kaputt, welches unbedingt für Entertain benötigt wird.
Jetzt setze ich ein Allnet ALL126S2 für VDSL ein. Die Konfigurationsoberfläche sieht dem früheren, leider nicht mehr hergestellten, DSL-Modem der Telekom, dem Speedport 300 HS, zum verwechseln ähnlich.
Hallo zusammen,
habt Ihr auch Erfahrungen mit VoIP sammeln können? Reines DSL-Modem (keine All-In-One-Glücklichbox) am All-IP-Anschluss (Magenta) und dahinter eine pfSense oder Whatever.
Grüße
Alex
Hallo Alex,
VoIP der Telekom läuft bei mir perfekt hinter Modem und Router mit pfSense. Mit pfSense 2.1 hatte ich noch siproxd in pfSense aktiviert. Der kümmerte sich automatisch um das richtige Portmapping auch wenn mehrere lokale VoIP-Telefone angeschlossen wurden. Seit Version 2.2 von pfSense und dem Ausfall des alten VoIP-Telefons verwende ich jetzt einfach das Handy mit CSipSimple. Das Handy bucht sich zu Hause automatisch ins WLAN ein und ich bin, ohne irgendwas spezielles in pfSense eingestellt haben zu müssen, per Telekom-VoIP erreichbar.
Gruß
Hallo und danke für die Info,
dann lass ich mich mal überraschen. ;)
Einige unserer kleinen Filialen haben noch den ganz normalen ISDN-Anschluss und am DSL hängt ein pfSense fürs VPN. Nach der Zwangsumstellung auf T-COM All-IP muss ja Telefonie, Fax usw. weiterlaufen.
Ich werde berichten, wenn es so weit ist.
Gruß
Alex
Hallo!
Ich weiss, es ist etwas off-topic, aber hast du ne Dokumentation, wie die VOIP Konfiguration der Telekom auszusehen hat, wenn man hinter einer pfSense dieses betreiben will?
Gruss
Hallo Frank, leider habe ich dazu keine weiteren Informationen mehr als das oben schon gesagte. Auch habe ich pfSense nicht mehr als Router im Einsatz, sondern gegen schnellere Hardware ausgetauscht. Dort funktioniert das Telefonieren mit CSipSimple mit einem einzigen Gerät über VoIP der Telekom ebenfalls problemlos und ohne weitere Einstellungen. Über das Kontaktformular kannst Du mir gerne eine E-Mail zukommen lassen, falls Du Dein Problem noch genauer beschreiben möchtest. Gruß
Hi,
sofern man schon im "neuen Netz" hängt, also an einem BNG anstelle eines BRAS, gibt es das VLAN 8 nicht mehr, auch Multicast läuft dann über VLAN 7. Erkennt man spätestens daran, dass im VLAN 8 beim besten Willen kein DHCP Lease zu bekommen ist.
Hi,
das ist auch gerade mein Problem. Komme zur Zeit nicht an den Multicast der jetzt mit über den VLAN 7 laufen soll heran ...
Hast du ein paar Tipps für mich ?
IGMP Proxy upstream aufs WAN-Interface, anstelle wie hier VLAN8. Downstream ins LAN, die IPs die hier angegeben sind bleiben.
Die 2 Firewallregeln, die hier auf WAN_VLAN8 im Bild angelegt wurden kommen dann aufs WAN-Interface in VLAN7.
WAN ist dann PPPoE auf VLAN7, wie eben hier auch und so funktioniert es bei mir.
Wie fragt man das einen 1st-Level-Telekom-Servicemitarbeiter? Schon mit Vectoring und IPv6 waren meine bisherigen Kontakte leider total überfordert. Das wird mit BNG und BRAS garantiert nicht anders sein. Gibt es von der Telekom da auch wieder so ein Kunstwort wie "Zielnetzarchitektur"?
Hatte schon rücksprache mit einem Techniker aus dem Backoffice der shon peil hatte. Der hat mir das erstmal erklärt das es VLAN 8 nicht mehr gibt. Was ich davor auch nicht wußte. Für mich ist jetzt die frage: wier klappt es ohne Speedport / DTAG Hardware .. Habe einen Vigor 130 als Modem in Einsatz. Wenn ich den IGM Proxy auf dem ppp0 laufen lassen klappt es nicht Trotz Firewall Regeln die den Entertain Adressraum zulassen nicht. Habe schon Beiträge gelesen die Kurzsagen. Ja Multicast läuft auf VLAN 7. Nutze ein DrayTek Vigor 130 und alles klappt. Aber keine schreib dabei wie die Lösung aussieht.
Vllt. liegt es jetz auch ein meiner Sophos UTM 9er Firewall. Aber eine Grundsätzliche Lösung mit pfsense / ipfire .. etc. wäre ja schonmal hilfreich dann könnte ich mich heran tasten.
Zur Verwendung von anderen Modems findet man hier auch eine gute Übersicht:
http://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall-eigenbau-fertigger%C3%A4t-149915.html
Auch was das Forwarding von VoIP bei All IP anbetrifft.
VoIP hab ich nach der Bauanleitung gemacht:
https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-telefonie-mit-anderen-clients
Ging richtig fluffig. Portfreigaben machen und fertig. Nur mit den W-irgendwassen ging es nicht, weil: Man muß auf einer "paßt für alle"-Kiste den SIP-ALG ausschalten (hab hinter so einem Ding noch eine selbst aufgesetzte Firewall hängen) und meinetwegen Linphone sagen, daß es keep alive Pakete senden soll. Sonst geht es raus, bimmelt aber nicht.
Was das Floiding beim IPTV angeht: Ich hab erstmal mit TVH 4.0.9 versucht, das zu umschiffen. Umstreamen und gut. Denkste! Diese Version fragt ums verrecken nicht die Multicast Kanäle ab. Ging trotz eigentlich passender Einrichtung nicht ein Paket raus. Beim "shake hands" über 224.0.0.22 war Schluß. Hat da jemand einen Tip?
Ich probiere das jetzt nochmal mit VLC. Vllt. klappt das.
Die Telekom stellt wieder mal um. Bei einigen Kunden wurde schon umgestellt, ich weiß selbst aber leider nicht, woran man die Umstellung sicher erkennt. Das neue Zauberwort heißt BNG: Broadband Network Gateway. Damit fällt VLAN 8 komplett weg. Lt. ersten Berichten soll dann auch der Multicast-Stream über VLAN 7 laufen. Leider kann ich es selbst erst testen, wenn auch mein Anschluss umgestellt ist.
@Thomas: bei Multicast müsst Ihr immer bedenken, dass der nicht geroutet wird. Es ist immer der Einsatz eines IGMP-Proxys auf dem Router notwendig. Der kümmert sich dann um Multicast-Join usw. und schickt den Stream ins interne Netz an das anfordernde Gerät weiter. Ein "shake hands" macht der IGMP-Proxy auf dem externen Interface.
Schon klar. Das Prob. hat sich auch schon geklärt. Ich hatte die 193.158... per Forward versucgt durch die Firewall zu pumpen. Gewohnheit wg. igmpproxy. Dumm nur, wenn TVH direkt auf dem Router installiert ist. Dann wird aus Forward Input.
Thomas, das stimmt sogar, dass das dann über VLAN7 kommt. Seit Umstellung auf VDSL bin ich am BNG, funktioniert sehr gut und mit der aktuellen pfsense sogar sehr stabil, vorher hatte der igmpproxy so seine Hängerchen im Stream. Einfach die Rules soweit anpassen, dass sie eben aufs VLAN7 gehen und nicht auf 8, dann lief das auf Anhieb bei mir.
Danke für die Info, das hört sich ja gut an! Gibt es irgenwo etwas verlässliches (Kundencenter o.ä., ausser Ausprobieren ob auf VLAN 8 nichts mehr kommt) woran man sehen kann, dass man am BGE hängt?
Nur am ACNAME im PPP Log, das fällt mir so auf Anhieb ein...
Bei mir: "PPPoE: rec'd ACNAME "BHEJ01""
BNG sind immer 3 Buchstaben Standort BNG, ein J, laufende Nummer am Standort
Ok. Hier AC-Name: NBGR77-..., also noch nichts von BGE zu sehen. Danke für den Tipp!
Ups, meine Jens, sorry
Hallo Leute,
ich habe gestern meinen neuen Magenta M Anschluss bekommen, den neuen Entertain 400 media receiver an meinen asus ac68u angeschlossen, Fernseher eingeschaltet, das Bild gesehen.. und nach 20-30 Sekunden die Fehlermeldung bekommen, die Verbindung waere schlecht/nicht gut genug. Das Bild kam ins Stottern und ging dann aus. Nach drei Stunden Recherche bin ich auf diesen Eintrag gestossen. Ausserdem habe ich diesen Beitrag durchgelesen
http://www.computerhilfen.de/hilfen-22-389919-0.html
Leider kann ich die Anweisungen nicht eins zu eins auf meinen Router uebertragen, denn ich benutzte Original UI-Oberflaeche von Asus. Daher wollte ich euch fragen, ob mir jemand die Anweisungen in Form von iptables Kommands runterschreiben kann? Es scheint mir so, dass es VLAN8 von dem Media Receiver gar nicht benutzt wird, weil es ganz normale IP Adresse zugewiesen bekommt (192.168.1.110).
Ausserdem moechte ich euch bitten, wie ich konkret die Multicast/IGMP Problematik auf dem Router (mit tcpdump??) debuggen kann / vorauf ich bei der Ausgabe achten soll.
Ich wuerde ungern den Receiver zurueckschicken / meinen Tarif downgraden muessen, ich denke dass man dieses technische Problem loesen kann!
Vielen Dank fuer eure Hilfe im Voraus
Hallo Nikolai, Danke für deinen langen Kommentar, allerdings glaube ich, dass du hier nicht die Leute erreichen wirst, die dir helfen können. In diesem Artikel geht es um pfSense, welches eine auf FreeBSD basierende Software ist, auch kein iptables hat, und so gar nichts mit deinem Asus-Gerät gemeinsam haben dürfte.
Nur als kleiner Hinweis: es ist normal, dass der Mediareceiver eine IP-Adresse aus dem Bereich 192.168.x.x zugewiesen bekommt. Dieses sind private Adressen, welche jeder in seinem eigenen Netzwerk verwenden kann. Das VLAN-Tagging ist etwas ganz anderes, das erfolgt durch den Router auf der externen Schnittstelle, das interne Netz sieht davon nichts.
Vor kurzem hat die Telekom eine neue Architektur eingeführt: Broadband Network Gateway, oder kurz BNG. Bei dieser Architektur gibt es kein VLAN 8 mehr, auch IPTV läuft dann über VLAN 7. Es gilt also erst einmal herauszufinden, ob dein Anschluss noch die "alte" Architektur (Zielnetz) oder die neue (BNG) verwendet, bevor man irgendwelche Konfigurationsprobleme angeht.
Sorry, mehr kann ich dazu leider nicht sagen.
Hallo Leute,
ich habe seit gestern auch Entertain Plus, noch auf der alten Welt, also nicht BNG, jedoch bekomme ich auch auf dem neuen Receiver die Meldung, die Netzwerkqualität wäre nicht ausreichend.
Bei Umstellung auf SD Qualität läuft das programm ca. 5 sec und fängt dann an zu ruckeln.
Der alte Receiver läuft ohne Probleme.
Die neue Firmware kann ebenfalls nicht heruntergeladen werden, dies funktioniert erst, wenn ich einen Telekom Router anstecke.
Weiß von Euch jemand, welche Ports oder IP Adressen zusätzlich in der pfsense aktiviert werden müssen, damit es funktioniert?
Vielen Dank schon einmal für die Antworten
Zuerst einmal einen großen Dank an die Verfasser der vielen Kommentare unter diesem Beitrag! Vielleicht mag der eine oder andere im ganz frischen Forum weiter diskutieren und sein Problem behandelt wissen. Der Übersichtlichkeit würde es sehr gut tun denke ich. Danke nochmal!