Die Telekom stellt bei bei neuen Internetanschlüssen IPv4 und IPv6 im Dualstack-Betrieb bereit. Der Internet-Verkehr läuft komplett über VLAN 7. Entertain, der IPTV-Dienst der Telekom, wird hauptsächlich über VLAN 8 betrieben. Im folgenden Beispiel möchte ich die Konfiguration eines EdgeRouter lite mit IPv4 über PPPOE, IPv6 und IPTV beschreiben.
Meine Konfiguration für die nachfolgenden Beispiele am EdgeRouter:
- EdgeRouter lite Firmware Version 1.7.0
- eth0 ... interne Netzwerkschnittstelle (LAN)
- eth1 ... externe Netzwerkschnittstelle zum DSL-Modem (WAN)
Internetzugang über VLAN 7
Zuerst wird das PPPOE-Interface über eth1 mit der VLAN-ID 7 für den Internetzugang konfiguriert:
set interfaces ethernet eth1 vif 7 description 'Telekom Internet' set interfaces ethernet eth1 vif 7 mtu 1500 set interfaces ethernet eth1 vif 7 pppoe 0 default-route auto set interfaces ethernet eth1 vif 7 pppoe 0 mtu 1492 set interfaces ethernet eth1 vif 7 pppoe 0 name-server auto set interfaces ethernet eth1 vif 7 pppoe 0 password 99999999 set interfaces ethernet eth1 vif 7 pppoe 0 user-id '999999999999999999999999#0001@t-online.de'
Hinter password und user-id sind natürlich die eigenen Zugangsdaten einzutragen.
Anschließend wird NAT für IPv4 konfiguriert:
set service nat rule 5001 description 'Masquerade outgoing pppoe0' set service nat rule 5001 log disable set service nat rule 5001 outbound-interface pppoe0 set service nat rule 5001 protocol all set service nat rule 5001 type masquerade
Mit dieser Konfiguration sollte der Router nach einer Neueinwahl (connect interface pppoe0) bereits eine Internetverbindung aufbauen, eine IPv4-Adresse nebst Nameserver über PPPOE erhalten und der Internetzugang aus dem lokalen Netzwerk heraus sollte funktionieren. Das Dashboard des EdgeRouters zeigt die zugewiesene IPv4-Adresse beim Interface pppoe0 an.
IPTV über VLAN 8
Sofern Entertain gebucht worden ist, folgt im Anschluß die Konfiguration des VLANs mit der ID 8:
set interfaces ethernet eth1 vif 8 address dhcp set interfaces ethernet eth1 vif 8 description 'Telekom Entertain' set interfaces ethernet eth1 vif 8 mtu 1500
Die Schnittstelle eth1.8 sollte jetzt bereits eine IPv4-Adresse per DHCP aus dem Bereich 10.0.0.0/8 von der Telekom zugewiesen bekommen haben.
Damit die Multicast-Pakete vom VLAN 8 ins lokale Netzwerk weitergeleitet werden, kommt das Programm igmp-proxy zum Einsatz. igmp-proxy muss noch mitgeteilt werden, welche Schnittstellen es benutzen soll:
set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0 set protocols igmp-proxy interface eth0 role downstream set protocols igmp-proxy interface eth0 threshold 1 set protocols igmp-proxy interface eth0 whitelist 239.35.0.0/16 set protocols igmp-proxy interface eth1.8 alt-subnet 0.0.0.0/0 set protocols igmp-proxy interface eth1.8 role upstream set protocols igmp-proxy interface eth1.8 threshold 1
Nach diesen wenigen Konfigurationsschritten sollte bereits der Internetzugang über IPv4 und der IPTV-Empfang im lokalen Netzwerk möglich sein.
IPv6
Die Telekom stellt den Kunden ein /56er-IPv6 Subnetz mit wählbarem Präfix (was dann wieder ein /64er Subnetz ergibt) bereit. Mit folgender Konfiguration wird ein /56er-Präfix angefordert und eth0 eine spezielle IPv6-Adresse aus diesem /56er-Subnetz zugewiesen:
set interfaces ethernet eth0 ipv6 dup-addr-detect-transmits 1 set interfaces ethernet eth1 vif 7 pppoe 0 dhcpv6-pd pd 0 interface eth0 host-address '::dead:beef' set interfaces ethernet eth1 vif 7 pppoe 0 dhcpv6-pd pd 0 interface eth0 no-dns set interfaces ethernet eth1 vif 7 pppoe 0 dhcpv6-pd pd 0 interface eth0 prefix-id 42 set interfaces ethernet eth1 vif 7 pppoe 0 dhcpv6-pd pd 0 interface eth0 service slaac set interfaces ethernet eth1 vif 7 pppoe 0 dhcpv6-pd pd 0 prefix-length 56 set interfaces ethernet eth1 vif 7 pppoe 0 dhcpv6-pd prefix-only set interfaces ethernet eth1 vif 7 pppoe 0 dhcpv6-pd rapid-commit enable set interfaces ethernet eth1 vif 7 pppoe 0 ipv6 address autoconf set interfaces ethernet eth1 vif 7 pppoe 0 ipv6 dup-addr-detect-transmits 1 set interfaces ethernet eth1 vif 7 pppoe 0 ipv6 enable
In der obigen Konfiguration wurde der Präfix 42 angefordert und der internen Netzwerkschnittstelle aus diesem Subnetz eine IPv6-Adresse mit dem Suffix ::dead:beaf zugeordnet. Hier kann jeder selbst kreativ sein ;)
Nach einer Neueinwahl mit
disconnect interface pppoe0 connect interface pppoe0
sollte der internen Netzwerkschnittstelle eine entsprechende IPv6-Adresse zugeordnet worden sein. Überprüfen kann man das entweder im Dashboard der Weboberfläche oder in der Shell des Routers mit
$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 192.168.xxx.xxx/24 u/u Local
2003:xxxx:xxxx:xx42::dead:beef/64
...Zu erkennen ist hier der Netzwerkpräfix 42 und der eingestellte Suffix ::dead:beef.
Sofern die Geräte im LAN auf IPv6-Autoconfig eingestellt sind, sollten sie nach kurzer Zeit ebenfalls eine IPv6-Adresse aus obigem Subnetz erhalten bzw. sich selbst zugewiesen haben.
Hinweis: die Weboberfläche des EdgeRouters stellt (zumindest in der Version 1.7.0) fast keine Informationen über IPv6 bereit, noch lassen sich weitere IPv6-Konfigurationsschritte darüber vornehmen. Man ist also auf die Shell angewiesen.
Jetzt hat das Netzwerk Internet über IPv4 und IPv6. Zudem läuft auch Fernsehen über IPTV. Was nun noch fehlt sind passende Paketfiltereinstellungen.
Firewall
Folgende Grundkonfiguration erhebt keinen Anspruch auf Vollständigkeit oder Korrektheit. Ich übernehme keinerlei Garantien in Bezug auf Einsatzzweck oder Sicherheit!
Folgende Einstellungen legen Regeln für IPv6 fest, nach denen nur ICMPv6 und DHCPv6 von aussen zugelassen wird. Aus dem internen Netzwerk aufgebaute Verbindungen werden ebenfalls zugelassen. Jeder andere IPv6-Netzwerkverkehr wird blockiert.
set firewall ipv6-name IPv6_WAN_IN default-action drop set firewall ipv6-name IPv6_WAN_IN description 'IPv6 packets from the Internet to LAN' set firewall ipv6-name IPv6_WAN_IN enable-default-log set firewall ipv6-name IPv6_WAN_IN rule 1 action accept set firewall ipv6-name IPv6_WAN_IN rule 1 description 'Allow established sessions' set firewall ipv6-name IPv6_WAN_IN rule 1 state established enable set firewall ipv6-name IPv6_WAN_IN rule 1 state related enable set firewall ipv6-name IPv6_WAN_IN rule 2 action drop set firewall ipv6-name IPv6_WAN_IN rule 2 state invalid enable set firewall ipv6-name IPv6_WAN_IN rule 5 action accept set firewall ipv6-name IPv6_WAN_IN rule 5 description 'Allow ICMPv6' set firewall ipv6-name IPv6_WAN_IN rule 5 log disable set firewall ipv6-name IPv6_WAN_IN rule 5 protocol icmpv6 set firewall ipv6-name IPv6_WAN_LOCAL default-action drop set firewall ipv6-name IPv6_WAN_LOCAL description 'IPv6 packets from the Internet to the router' set firewall ipv6-name IPv6_WAN_LOCAL enable-default-log set firewall ipv6-name IPv6_WAN_LOCAL rule 1 action accept set firewall ipv6-name IPv6_WAN_LOCAL rule 1 description 'Allow established sessions' set firewall ipv6-name IPv6_WAN_LOCAL rule 1 log disable set firewall ipv6-name IPv6_WAN_LOCAL rule 1 state established enable set firewall ipv6-name IPv6_WAN_LOCAL rule 1 state related enable set firewall ipv6-name IPv6_WAN_LOCAL rule 2 action drop set firewall ipv6-name IPv6_WAN_LOCAL rule 2 log disable set firewall ipv6-name IPv6_WAN_LOCAL rule 2 state invalid enable set firewall ipv6-name IPv6_WAN_LOCAL rule 5 action accept set firewall ipv6-name IPv6_WAN_LOCAL rule 5 description 'Allow ICMPv6' set firewall ipv6-name IPv6_WAN_LOCAL rule 5 log disable set firewall ipv6-name IPv6_WAN_LOCAL rule 5 protocol icmpv6 set firewall ipv6-name IPv6_WAN_LOCAL rule 110 action accept set firewall ipv6-name IPv6_WAN_LOCAL rule 110 description 'Allow DHCPv6 packets' set firewall ipv6-name IPv6_WAN_LOCAL rule 110 destination port 546 set firewall ipv6-name IPv6_WAN_LOCAL rule 110 protocol udp set firewall ipv6-name IPv6_WAN_LOCAL rule 110 source port 547 set firewall ipv6-receive-redirects disable set firewall ipv6-src-route disable
Anschließend werden Regeln für IPv4 festgelegt, welche hier nur ICMP, IGMP und IPTV von aussen zulassen:
set firewall name WAN_IN default-action drop set firewall name WAN_IN description 'WAN to internal' set firewall name WAN_IN enable-default-log set firewall name WAN_IN rule 1 action accept set firewall name WAN_IN rule 1 description 'Allow established/related' set firewall name WAN_IN rule 1 state established enable set firewall name WAN_IN rule 1 state related enable set firewall name WAN_IN rule 3 action drop set firewall name WAN_IN rule 3 description 'Drop invalid state' set firewall name WAN_IN rule 3 state invalid enable set firewall name WAN_IPTV default-action drop set firewall name WAN_IPTV description 'Telekom Entertain' set firewall name WAN_IPTV enable-default-log set firewall name WAN_IPTV rule 1 action accept set firewall name WAN_IPTV rule 1 description 'Allow IPTV Multicast UDP' set firewall name WAN_IPTV rule 1 destination address 224.0.0.0/4 set firewall name WAN_IPTV rule 1 log disable set firewall name WAN_IPTV rule 1 protocol udp set firewall name WAN_IPTV rule 1 source set firewall name WAN_IPTV rule 2 action accept set firewall name WAN_IPTV rule 2 description 'Allow IGMP' set firewall name WAN_IPTV rule 2 log disable set firewall name WAN_IPTV rule 2 protocol igmp set firewall name WAN_LOCAL default-action drop set firewall name WAN_LOCAL description 'WAN to router' set firewall name WAN_LOCAL enable-default-log set firewall name WAN_LOCAL rule 1 action accept set firewall name WAN_LOCAL rule 1 description 'Ping erlauben' set firewall name WAN_LOCAL rule 1 log disable set firewall name WAN_LOCAL rule 1 protocol icmp set firewall name WAN_LOCAL rule 2 action accept set firewall name WAN_LOCAL rule 2 description 'Allow Multicast' set firewall name WAN_LOCAL rule 2 destination address 224.0.0.0/4 set firewall name WAN_LOCAL rule 2 log disable set firewall name WAN_LOCAL rule 2 protocol all set firewall name WAN_LOCAL rule 7 action accept set firewall name WAN_LOCAL rule 7 description 'Allow established/related' set firewall name WAN_LOCAL rule 7 state established enable set firewall name WAN_LOCAL rule 7 state related enable set firewall name WAN_LOCAL rule 8 action drop set firewall name WAN_LOCAL rule 8 description 'Drop invalid state' set firewall name WAN_LOCAL rule 8 log enable set firewall name WAN_LOCAL rule 8 state invalid enable set firewall options set firewall receive-redirects disable set firewall send-redirects enable set firewall source-validation disable set firewall syn-cookies enable
Danach werden die gerade definierten Firewall-Regeln den einzelnen Interfaces zugeordnet:
set interfaces ethernet eth1 vif 7 pppoe 0 firewall in ipv6-name IPv6_WAN_IN set interfaces ethernet eth1 vif 7 pppoe 0 firewall in name WAN_IN set interfaces ethernet eth1 vif 7 pppoe 0 firewall local ipv6-name IPv6_WAN_LOCAL set interfaces ethernet eth1 vif 7 pppoe 0 firewall local name WAN_LOCAL set interfaces ethernet eth1 vif 8 firewall local name WAN_IPTV
Fazit
Für mich war es ein langer und mühsamer Weg, try-and-error sozusagen. Das Endergebnis ist jedoch kurz und übersichtlich und mit der exzellenten Shell-Oberfläche des EdgeRouters schnell zu konfigurieren. Ein Test der IPv6-Konnektivität bescheinigt den Erfolg (evtl. muss noch IPv6 im Firefox aktiviert werden).
EdgeRouter ist ein eingetragenes Markenzeichen der Firma Ubiquiti Networks, Inc.
Hi Jens,
vielen Dank für diesen super Beitrag.
Ich bin aktuell an der Umstellung von DSL auf VDSL interessiert. Ich nutze den ERl direkt mit einem Modem am DSL Anschluss.
Welches Modem nutzt Du bei Deinem VDSL Anschluss?
Vielen Dank für Deine Hilfe.
Beste Grüße
Markus
Hallo Markus,
im Moment benutze ich ein Allnet ALL126AS2. Hat immer klaglos seinen Dienst getan. Leider werde ich das austauschen müssen, wenn die Telekom Vectoring auf den Plan bringt. Der Nachfolger ALL126AS3 kann dann auch Vectoring. Allerdings liegt dieses Modem preislich fast schon jenseits von Gut und Böse. Der Markt an reinen DSL-Modems ist dünn und die Hersteller schöpfen aus dem Vollen... Ebenfalls Vectoring beherrscht das DrayTek Vigor 130 und ist dabei deutlich günstiger.
Vielen Dank für Deinen Kommentar und das Lob! Vielleicht drückst Du Deinen Gefallen ja mit einem Sternchen unter dem Beitrag aus? ;)
Hallo Jens,
Anleitung ist gut. Nur warum läuft Entertain bei dir?? Über DHCP am VLAN8 bekommt der Edgerouter keine classless static routes. Ohne die geht es nicht.
Was stehe bei folgenden Konfigurationseinträgen (eth1 evtl. mit dem externen Interface ersetzen)?
Die Einstellungen hier sehen wie folgt aus:
vif 7 { description "Telekom Internet" firewall { in { } local { } } mtu 1500 pppoe 0 { default-route auto dhcpv6-pd { pd 0 { interface eth0 { host-address ::dead:beef no-dns prefix-id 42 service slaac } prefix-length 56 } prefix-only rapid-commit enable } firewall { in { ipv6-name IPv6_WAN_IN name WAN_IN } local { ipv6-name IPv6_WAN_LOCAL name WAN_LOCAL } } ipv6 { address { autoconf } dup-addr-detect-transmits 1 enable { } } mtu 1492 name-server auto password 99999999 user-id 999999999999999999999999#0001@t-online.de } } vif 8 { address dhcp description "Telekom Entertain" firewall { in { } local { name WAN_IPTV } } mtu 1500 }Sieht bei mir gleich aus bis auf dass ich keine IPv6 aktiv habe (Absicht!!).
ethernet eth1 { duplex auto speed auto vif 7 { description "Telekom Internet" mtu 1500 pppoe 0 { default-route auto firewall { in { name WAN_IN } local { name WAN_LOCAL } } mtu 1492 name-server auto password xxxxxxxxxxxxxxxxxxx user-id xxxxxxxxxxxxxxxxxxx } } vif 8 { address dhcp description "Telekom Entertain" dhcp-options { client-option "routers, rfc3442-classless-static-routes;" default-route update default-route-distance 210 name-server update } firewall { local { name WAN_IPTV } } mtu 1500 } }Hab dann die Client-Options aktiviert, hat aber auch nichts gebracht.
Shau mal deine Routen an, über VLAN8 habe ich leider keine bzw. sehe keine.
(Hab eine pfsense am laufen die geht. Dort ist nur der igmpproxy nicht so gut, vorallem wenn das neue Entertain kommt, dort wird SSM im IGMPv3 benötigt.)
Einwahl klappt. nur IPTV geht nicht.
BTW: kann man am Edgerouter andere dhcp-clients und igmpproxys installieren??
Gruß,
Klaus
Deine Einstellungen bei vif 8 können wohl so nicht funktionieren. Zwei Default-Routen funktionieren nicht. Ausserdem wird auf VLAN8 in der DHCP-Antwort kein Nameserver geliefert. Lösch doch Deine vif 8 Konfiguration einfach mal ("delete interfaces ethernet eth1 vif 8") und mach nur "set interfaces ethernet eth1 vif 8 address dhcp".
Sicher kann man andere dhcp-clients installieren, habe ich bisher aber nicht ausprobiert, da hier noch nicht erforderlich.
Ich bekomme auf vif 8 eine IP-Adresse und es wird auch ganz normal eine Route angelegt:
An der pfsense sieht das so aus:
New Classless Static Routes (re1_vlan8): 193.158.137.14/32 10.237.191.254 87.141.128.0/17 10.237.191.254 217.237.157.0/24 10.237.191.254 217.237.158.0/24 10.237.191.254 217.239.36.0/24 10.237.191.254
Was für ein DSL Modem setzt du ein??
Ich bin leider nur am DSL16000 mit einem D-Link 321, aber Annex-J!! :-)
Im Moment setze ich ein Allnet ALL126AS2 am VDSL50-Anschluss ein.
Hi, vielen Dank für die Anleitung. Ich bekomme über DHCP an VLAN8 ebenfalls keine IP (entsprechend resultieren die Aussetzer bei Entertain).
Ich poste auch gleich mal meine config und bin für jeden Tipp dankbar.
Internet läuft, IP wird dort zugewiesen. VG, Kilian
Hier meine Config:
... firewall { all-ping enable broadcast-ping disable ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action accept description "packets from Internet to LAN & WLAN" enable-default-log rule 1 { action accept description "allow established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } name WAN_LOCAL { default-action drop description "packets from Internet to the router" enable-default-log rule 1 { action accept description "allow established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { description WAN duplex auto firewall { in { } local { } } speed auto vif 7 { description Telekomeinwahl mtu 1500 pppoe 1 { default-route auto firewall { in { name WAN_IN } local { name WAN_LOCAL } } mtu 1492 name-server auto password XXXXXXXXX user-id XXXXXXXXXX#0001@t-online.de } } vif 8 { address dhcp description IPTV } } ethernet eth1 { address 172.16.0.1/24 description LAN duplex auto speed auto } ethernet eth2 { address 172.16.1.1/24 description WLAN duplex auto speed auto } loopback lo { } } protocols { igmp-proxy { interface eth0.8 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } interface eth1 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } } } service { dhcp-server { disabled false hostfile-update disable shared-network-name LAN-subnet { authoritative disable subnet 172.16.0.0/24 { default-router 172.16.0.1 dns-server 8.8.8.8 dns-server 8.8.4.4 lease 86400 start 172.16.0.10 { stop 172.16.0.254 } } } shared-network-name WLAN-subnet { authoritative disable subnet 172.16.1.0/24 { default-router 172.16.1.1 dns-server 8.8.8.8 dns-server 8.8.4.4 lease 86400 start 172.16.1.10 { stop 172.16.1.254 } static-mapping WLAN-CISCO { ip-address 172.16.1.10 mac-address 18:9C:5D:3E:49:80 } } } } dns { } gui { https-port 443 } nat { rule 5000 { description "masquerade for WAN" log disable outbound-interface pppoe1 protocol all type masquerade } } ssh { port 22 protocol-version v2 } } ...Irgendeine Idee?
Hallo Killian,
man kann das EdgeOS dazu bringen die Routen per DHCP zu erhalten:
vif 8 {
address dhcp
description "Telekom Entertain"
dhcp-options {
client-option "rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
ABER: die Routen werden leider nicht in den Routing-Table übernommen, da sie in einem ASCII Format ankommen. (Habe bisher nicht geschafft!!)
Habe die dann händisch als statische Routen eingetragen.
Defautl-route update sollte no sein!
Gruß,
Klaus
Hallo Klaus, was für eine FW-Version setzt Du ein? Ich setze hier die aktuelle 1.8.0 ein und habe unter vif 8 keine dhcp-options... Auch kann ich Dir nicht ganz zustimmen. Eine Routing-Tabelle im ASCII-Format gibt es bei DHCP nicht. Bei meinem VDSL-Anschluss bekomme ich mit nur
vif 8 { address dhcp description "Telekom Entertain" mtu 1500 }eine Adresse per DHCP zugewiesen und eine automatische Route wird gesetzt:
Ein manuelles Setzen der Routen sollte man vermeiden und ist bei funktionierendem DHCP auch nicht notwendig.
Meiner Meinung nach kann es auch nicht an den Firewall-Einstellungen liegen, denn in Kilians Config ist für vif 8 gar keine Regel gesetzt.
Ich werde mal schauen, wie man am besten den Netzwerkverkehr auf vif 8 mitschneidet um mal herauszubekommen, was da kommt.
Ich meine nicht die connected routes. Über dhcp bekommt das vif8 eine IP, aber das war es. Der dhcp Server der Telekom gibt aber nich ein paar router mit die im Routing Table landen sollten. Ohne die angegebene option erhält er keine. Die routen sieht man dann in der dhcp.conf, weiß aber gerade nicht in welcher, da im Moment meine pfsense wieder läuft.
Du musst ausserdem den kompletten Routing Table mit show ip route ansehen. Da fehlen dann die ganzen routen über vlan 8.
So, ich habe mal einen Trace gemacht, was da so per DHCP über VLAN8 rüber kommt und bin erstaunt:
IP-Adresse ist klar. Subnet auch, mit der daraus resultierenden einzelnen Route. Die anderen gelieferten Routen werden bei mir nicht übernommen, weil ich nicht die Optionen dazu angegeben habe. Allerdings konnte ich noch kein Fehlverhalten feststellen. Zum "normalen" Fernehen per Medienreceiver und auch per VLC am PC werden sie offenbar nicht gebraucht. Auch EPG funktioniert. Ich werde da mal weiter testen, wozu die benötigt werden.
Das hilft euch beiden jetzt leider nicht weiter, aber @kilian würde ich als erstes einmal empfehlen, auf die aktuelle Firmware upzudaten und dann nochmal zu schauen, ob der igmpproxy dann läuft.
Hi Klaus, vielen Dank für die Infos.
Die Settings habe ich eingetragen (@Jens: geht mindestens bei der 1.7 Version - per CLI oder direkt im Config Tree - da sind auch die Felder dafür). Ist die Client Option mit dem Semikolon korrekt?
Welche Routen muss ich jetzt noch eintragen. Mit den Einträgen oben hat sich leider noch nichts geändert.
Vielen Dank für eure Unterstützung und beste Grüße,
Kilian
Der Test für IGMP war auch negativ.
mit show ip multicast mfc
oder show ip multicast interfaces
bekomme ich keine infos - noch nicht einmal, dass überhaupt Interfaces da wären!? :-(
Läuft der igmpproxy überhaupt???
ein ps aux | grep igmp gibt mir nur die Anfrage aus, per -d und -vv gibts diese Infos:
sudo igmpproxy -d -vv
Using default configuration file "/etc/igmpproxy.conf"
17:39:44.251847 Searching for config file at '/etc/igmpproxy.conf'
17:39:44.253763 Config: Quick leave mode enabled.
17:39:44.254429 Config: Got a phyint token.
17:39:44.255309 Config: IF: Config for interface eth0.8.
17:39:44.256170 Config: IF: Got upstream token.
17:39:44.257020 Config: IF: Got ratelimit token '0'.
17:39:44.258075 Config: IF: Got threshold token '1'.
17:39:44.258761 Config: IF: Got altnet token 0.0.0.0/0.
17:39:44.259864 Config: IF: Altnet: Parsed altnet to default.
17:39:44.260635 IF name : eth0.8
17:39:44.261489 Next ptr : 0
17:39:44.262345 Ratelimit : 0
17:39:44.263208 Threshold : 1
17:39:44.264065 State : 1
17:39:44.264922 Allowednet ptr : 417f60
17:39:44.265774 Config: Got a phyint token.
17:39:44.266617 Config: IF: Config for interface eth1.
17:39:44.267475 Config: IF: Got downstream token.
17:39:44.268329 Config: IF: Got ratelimit token '0'.
17:39:44.269193 Config: IF: Got threshold token '1'.
17:39:44.270051 Config: IF: Got altnet token 0.0.0.0/0.
17:39:44.271001 Config: IF: Altnet: Parsed altnet to default.
17:39:44.271850 IF name : eth1
17:39:44.272710 Next ptr : 0
17:39:44.273557 Ratelimit : 0
17:39:44.274394 Threshold : 1
17:39:44.275243 State : 2
17:39:44.276093 Allowednet ptr : 417fa0
17:39:44.277458 buildIfVc: Interface lo Addr: 127.0.0.1, Flags: 0x0049, Network: 127/8
17:39:44.278199 buildIfVc: Interface eth1 Addr: 172.16.0.1, Flags: 0x1043, Network: 172.16.0/24
17:39:44.279102 buildIfVc: Interface eth2 Addr: 172.16.1.1, Flags: 0x1003, Network: 172.16.1/24
17:39:44.280010 buildIfVc: Interface pppoe1 Addr: 91.61.41.50, Flags: 0x10d1, Network: 91.61.41.50/32
17:39:44.281014 Found config for eth1
17:39:44.282120 adding VIF, Ix 0 Fl 0x0 IP 0xac100001 eth1, Threshold: 1, Ratelimit: 0
17:39:44.282821 Network for [eth1] : 172.16.0/24
17:39:44.283676 Network for [eth1] : default
17:39:44.284780 adding VIF, Ix 1 Fl 0x0 IP 0xac100101 eth2, Threshold: 1, Ratelimit: 0
17:39:44.285510 Network for [eth2] : 172.16.1/24
17:39:44.286424 adding VIF, Ix 2 Fl 0x0 IP 0x5b3d2932 pppoe1, Threshold: 1, Ratelimit: 0
17:39:44.287331 Network for [pppoe1] : 91.61.41.50/32
17:39:44.288222 There must be at least 2 Vif's where one is upstream.
irgendwie ist das seltsam...
unter /etc/init.d/ gibt es keine igmpproxy Datei
Allerdings bekomme ich nach configure -> delete protocols igmp-proxy -> commit -> load -> ..
schon die Ausgabe:
oading configuration from '/config/config.boot'...
Load complete. Use 'commit' to make changes active.
[edit]
ubnt@edgeRouter# commit
[ protocols igmp-proxy ]
Starting IGMP proxy
scheinbar wird der IGMP proxy nicht richtig gestartet:
sudo /sbin/igmpproxy -d /etc/igmpproxy.conf
18:22:05.500962 There must be at least 2 Vif's where one is upstream.
Woran kann das liegen?
Und noch eine Bitte an meine zwei fleißigen Kommentatoren: Sourcecode oder Programmausgaben bitte in <pre> Code </pre> einschließen. Dann ist der Kommentar schön leserlich. Danke!
Wenn du schon einen trace machst, dann schau mal von welcher IP deine Multicast Streams kommen und wo diese IP in deinem Routingtable steht.
@Klaus: Vielleicht sitzt Du da einem Irrtum auf: Multicast wird nicht geroutet! Die gesetzten Routen sind für Multicast vollkommen irrelevant. Genau deswegen benötigt man ja einen IGMP-Proxy, der das ankommende Multicast von außen ins interne Netz weiterleitet.
Bei mir kommt der Stream z.B. für die ARD (rtp://@239.35.10.4:10000) von 193.158.35.251 an die Multicast-Adresse 239.35.10.4:
Bei arbeitendem IGMP-Proxy sieht man die Weiterleitung hier auch sehr gut:
@Kilian: bekommst Du denn auf Deinem eth0.8 nun überhaupt eine IP-Adresse zugewiesen? Wenn nicht, welches Modem setzt Du ein? Wenn Du keine IP-Adresse bekommst, dann brauchen wir gar nicht erst beim IGMP-Proxy suchen.
Du hast recht, aber irgend einen Zweck müssen diese ja haben. Ich vermute die /32 Adresse (nicht die vom eth0.8) ist der sogenannte rendezvous point.
Neu sind bei mmir die 87.141.x.x/16 von denen das neue Entertain kommt.
Ebenfalls neu sind 217er Adressen.
Wie mache ich diesen trace?
Ich meinte da den Jens!!!
Ich habe jetzt mal ein Update auf 1.8 gemacht.
Unter Routing ist jetzt eine neue, automatisch-erzeugte Route beim Interface pppoe1 entstanden, mit der ich gerade nichts anfangen kann:
Bringt euch die zweite IP-Range Erkenntnisse?
Den igmp-proxy bekomme ich immer noch nicht (erfolgreich mit abfragbaren Ergebnissen) gestartet.... :-(
Ist die Konfig die du oben gepostet hast die welche aktiv ist??
Dort fehlen die Friewall Rules für int eth0.8 !!
Hier die neueste Config. vif8 hat natürlich mittlerweile FW Regeln:
firewall { all-ping enable broadcast-ping disable group { port-group VOIP { description "Portfreischaltungen ausgehend" port 5060 port 5004-5020 port 30000-31000 port 40000-41000 port 3478 port 3479 } port-group VOIP_IN { description "Portfreischaltungen eingehend" port 5070 port 5080 port 30000-31000 port 40000-41000 } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action accept description "packets from Internet to LAN & WLAN" enable-default-log rule 1 { action accept description "allow established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } rule 3 { action accept description "Allow VOIP" destination { address 172.16.0.12 group { port-group VOIP_IN } } log enable protocol all source { group { address-group ADDRv4_eth0 port-group VOIP_IN } } state { established enable invalid disable new enable related enable } } } name WAN_LOCAL { default-action drop description "packets from Internet to the router" enable-default-log rule 1 { action accept description "allow established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } } options { mss-clamp { interface-type all mss 1412 } } receive-redirects disable send-redirects enable source-validation disable syn-cookies enable } interfaces { ethernet eth0 { description WAN duplex auto firewall { in { } local { } } speed auto vif 7 { description Telekomeinwahl mtu 1500 pppoe 1 { default-route auto firewall { in { name WAN_IN } local { name WAN_LOCAL } } mtu 1492 name-server auto password %%%%%% user-id %%%%%#0001@t-online.de } } vif 8 { address dhcp description IPTV firewall { in { name WAN_IN } local { name WAN_IN } out { name WAN_IN } } } } ethernet eth1 { address 172.16.0.1/24 description LAN duplex auto speed auto } ethernet eth2 { address 172.16.1.1/24 description WLAN duplex auto speed auto } loopback lo { } } port-forward { auto-firewall enable hairpin-nat enable lan-interface eth1 rule 1 { description SIP forward-to { address 172.16.0.12 port 5060 } original-port 5060 protocol tcp_udp } rule 2 { description SIP2 forward-to { address 172.16.0.12 port 5004-5020 } original-port 5004-5020 protocol tcp_udp } wan-interface pppoe1 } protocols { igmp-proxy { interface eth0.8 { alt-subnet 0.0.0.0/0 role upstream threshold 1 } interface eth1 { alt-subnet 0.0.0.0/0 role downstream threshold 1 } } } service { dhcp-server { disabled false hostfile-update disable shared-network-name LAN-subnet { authoritative enable subnet 172.16.0.0/24 { default-router 172.16.0.1 dns-server 8.8.8.8 dns-server 8.8.4.4 lease 86400 start 172.16.0.10 { stop 172.16.0.254 } } } shared-network-name WLAN-subnet { authoritative disable subnet 172.16.1.0/24 { default-router 172.16.1.1 dns-server 8.8.8.8 dns-server 8.8.4.4 lease 86400 start 172.16.1.10 { stop 172.16.1.254 } } } } dns { } gui { https-port 443 } nat { rule 5000 { description "masquerade for WAN" log enable outbound-interface pppoe1 protocol all type masquerade } } ssh { port 22 protocol-version v2 } } system { conntrack { expect-table-size 4096 hash-size 4096 table-size 32768 tcp { half-open-connections 512 loose enable max-retrans 3 } } host-name edgeRouter login { user admin { authentication { encrypted-password %%%% plaintext-password "" } level admin } user ubnt { authentication { encrypted-password %%%%%. } level admin } } name-server 8.8.8.8 name-server 8.8.4.4 ntp { server 0.ubnt.pool.ntp.org { } server 1.ubnt.pool.ntp.org { } server 2.ubnt.pool.ntp.org { } server 3.ubnt.pool.ntp.org { } } offload { ipsec enable ipv4 { forwarding enable } ipv6 { forwarding disable } } package { repository squeeze { components "main contrib non-free" distribution squeeze password "" url http://http.us.debian.org/debian username "" } repository squeeze-security { components main distribution squeeze/updates password "" url http://security.debian.org username "" } repository wheezy { components "main contrib non-free" distribution wheezy password "" url http://http.us.debian.org/debian username "" } repository wheezy-security { components main distribution wheezy/updates password "" url http://security.debian.org username "" } } syslog { global { facility all { level notice } facility protocols { level debug } } } time-zone Europe/Berlin traffic-analysis { dpi enable export enable } } /* Warning: Do not remove the following line. */ /* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */ /* Release version: v1.8.0.4853089.160219.1607 */Nein, du hast immer noch nicht die richtigen Regeln für Vlan8!!!
Schau dir bitte genau die Regeln von Jens an (nicht IPv6 sondern die danach für IPv4)
Ah, ok. Habe versucht, meine Firewallregeln entsprechend anzupassen:
firewall { all-ping enable broadcast-ping disable group { port-group VOIP { description "Portfreischaltungen ausgehend" port 5060 port 5004-5020 port 30000-31000 port 40000-41000 port 3478 port 3479 } port-group VOIP_IN { description "Portfreischaltungen eingehend" port 5070 port 5080 port 30000-31000 port 40000-41000 } } ipv6-receive-redirects disable ipv6-src-route disable ip-src-route disable log-martians enable name WAN_IN { default-action accept description "packets from Internet to LAN & WLAN" enable-default-log rule 1 { action accept description "allow established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } rule 3 { action accept description "Allow VOIP" destination { address 172.16.0.12 group { port-group VOIP_IN } } log enable protocol all source { group { address-group ADDRv4_eth0 port-group VOIP_IN } } state { established enable invalid disable new enable related enable } } } name WAN_IPTV { default-action drop description "Telekom Entertain" enable-default-log rule 1 { action accept description "Allow IPTV Multicast UDP" destination { address 224.0.0.0/4 } log disable protocol udp } rule 2 { action accept description "Allow IGMP" log disable protocol igmp } } name WAN_LOCAL { default-action drop description "packets from Internet to the router" enable-default-log rule 1 { action accept description "allow established sessions" log disable protocol all state { established enable invalid disable new disable related enable } } rule 2 { action accept description "Allow Multicast" destination { address 224.0.0.0/4 } log disable protocol all } rule 3 { action drop description "drop invalid state" log disable protocol all state { established disable invalid enable new disable related disable } } }Eigentlich wollte ich es auch (richtig?) zur den Interfaces zuweisen.
Hat aber immer noch nicht zum Erfolg geführt... :-(
interfaces { ethernet eth0 { description WAN duplex auto firewall { in { } local { } } speed auto vif 7 { description Telekomeinwahl mtu 1500 pppoe 1 { default-route auto firewall { in { name WAN_IN } local { name WAN_LOCAL } } mtu 1492 name-server auto password %%%%% user-id %%%%%%%%#0001@t-online.de } } vif 8 { address dhcp description IPTV firewall { in { } local { name WAN_IPTV } out { name WAN_IN } } } } ethernet eth1 { address 172.16.0.1/24 description LAN duplex auto speed auto } ethernet eth2 { address 172.16.1.1/24 description WLAN duplex auto speed auto } loopback lo { } }hier mal meine Konfig vom vif 8:
vif 8 { address dhcp description "Telekom Entertain" dhcp-options { client-option "request subnet-mask, routers, rfc3442-classless-static-routes;" default-route no-update default-route-distance 254 name-server no-update } firewall { local { name WAN_IPTV } } mtu 1500 }Zu der Frage von oben, welches Modem ich nutze:
Habe ein Vigor 130 Modem in Betrieb.
@Klaus: probiere Deine Konfig gleich heute Abend mal aus! Danke schon mal dafür.
Ich hab nur ein pobeleiges DLink 321B annex-j fähig. Habe schon den Vigor 130 und jetzt den 120v2 ausprobiert. Der 130 ging nicht, der 120v2 geht, aber nur wenn ich ein Laptop mit Inter Netzwerkkarte anschliesse. Meine pfsense aud einem Jetway hat 4 Realtek Karten drin und damit ist keine Einwahl über das Vigor120 möglich. Werde heute mal den ERL testen. (Sch... Vigor).
Hab die nur genommen weil die angeblich so gute Werte haben. Aber der 120er hat schlechtere als mein DLink. Hab noch ein Speedport W723V der hat top DSL Werte.
Vergiss es, einen Speedport als reines DSL-Modem einsetzen zu wollen. Die Plastikdinger machen das VLAN-Tagging kaputt. Entertain geht dann auf keinen Fall mehr.
Ich hab es noch nicht ausprobiert. Den habe ich mir nur wegen Entertain 2.0 zugelegt, zum testen ob es wirklich geht. Mit meiner pfsense und dem ERL geht es wegen dem bescheidenen igmpproxy nicht.
Die DSL Werte sind halt um einiges besser als von den alternativ DSL-Modems.
Wenn der ganze Kram am Vigor liegen sollte, reiß ich ihn aus dem Schrank und verbrenne ihn.... *graue Haare krieg*... ;-)
Welches Modem empfehlt ihr - das o.g. von Allnet?
Die Konfig-Änderung hat (natürlich...) nichts gebracht... :-((
Ich wollte mir eigentlich irgendwann einen Vigor 130 zulegen... Das Allnet von oben kann kein Vectoring, welches wohl irgendwann hier für VDSL kommen wird. Wer das nicht braucht, ist mit dem Allnet eigentlich gut beraten. Tat immer zuverlässig seinen Dienst hier. Wie gesagt: am VDSL-Anschluss!
Um dem Problem endlich mal auf die Schliche zu kommen würde ich folgende Vorgehensweise vorschlagen:
tcpdump -i eth0.8 -w test.pcaperstellt werden. Danach weist man in einem zweiten Terminal den Router mitrelease dhcp interface eth0.8an, die alte Adresse freizugeben und sich mitrenew dhcp interface eth0.8eine neue zu holen. Ein paar Sekunden später kann man den tcpdump abbrechen und das File test.pcap zur weiteren Analyse auf den eigenen Rechner übertragen. Analysiert wird das PCAP-File mit WireShark.pgrep igmpproxysollte etwas ausgeben. Wenn der IGMP-Proxy nicht läuft, ihn noch einmal wie bereits oben geschehen per Hand starten und die Logmeldungen analysieren. Wenn das immer noch nicht hilft, dann bitte einmal die /etc/igmpproxy.conf hier posten.Meine /etc/igmpproxy.conf sieht folgendermaßen aus (für Dich @Kilian muss natürlich eth0 und eth1 vertauscht werden):
Anschließend könnte man wieder einen Trace mit tcpdump auf eth0.8 machen um zu sehen, ob dort überhaupt IGMP-Nachrichten ankommen und abgesendet werden. Wenn nicht, sollte das Logging des Paketfilters für abgelehnte Paket eingeschaltet werden. Das Log findet sich dann in /var/log/messages.
Aber das ALLNET ALL-BM100VDSL2 / VDSL2 kann Vectoring.
Hallo und vielen Dank für die ausführliche Beschreibung.
Nein, der IGMP-Proxy läuft nicht (und eine IP wird damit natürlich auch nicht zugewiesen).
Meine IGMP-Config sieht so aus:
und der ausführlich kommentierte Startversuch weiterhin wie oben:
Bin mittlerweile total frustriert.
Wenn das ALLNET ALL126AS3 das Problem lösen würde (da VDSL2 fähig) würde ich evtl. darauf umschwenken. Meinen Vigor 130 kannst Du dann gerne haben... ;-)
So lange eth0.8 keine IP-Adresse per DHCP bekommt, brauchen wir nicht beim IGMP-Proxy weiter suchen. Die zugewiesene IP ist Vorraussetzung für alles nachfolgende. Ich würde jetzt wirklich mal den Test wie aus dem ersten Punkt von oben machen und schauen, ob auf die DHCP-Request auch eine DHCP-Antwort kommt. Einen Screenshot, wie ein korrektes DHCP-ACK aussehen sollte habe ich oben ja schon reingestellt.
Jetzt stellt sich dann die Frage, ob der VLAN-Tag 8 nicht korrekt durch den Vigor geleitet wird. Das würde erklären, warum Dein eth0.8 keine IP-Adresse bekommt. Aus anderen Foren weiß ich, dass der Vigor da keine Probleme machen soll und auch mit Entertain gut funktioniert. Er soll ja nur alles durchreichen. Vielleicht kannst Du den mal auf die Werkseinstellungen zurücksetzen oder schauen, dass der auch wirklich alles durchläßt im Modem-Betrieb.
Mein Vigor 120v2 zickt in der Hinsicht, dass er nur von einem Laptop mit Intel LAN-Karte eine Verbindung zulässt. Bei allen anderen getesteten keine Kommunikation und somit keine Einwahl. Muss noch den ERL testen.
Bei der pfsense ist es auch so, das der igmpproxy ohne IP Adresse im Upstream Interface nicht läuft.
Ach, ist das alles eine Plage... Habe jetzt mal beim Draytek Support angerufen. Die meinten, dass derzeit die Telekom teilweise das VLAN-Tag 8 abschafft und nur noch über 7 sendet. Kunden dafür und/oder Regionen sind nicht nachzuvollziehen und zufällig.
Daraufhin habe ich den Telekom-Support angerufen. Bis zu dem Entertain Support Team komme ich aber nie durch, da ich dann immer aus der Leitung geworfen werde... (spätestens die sollten ja wissen, was hier bei mir aus der Dose kommt).
Einen tcpdump kann ich mit dem Edge Router nicht machen, da das Paket nicht installiert ist. traceroute würde gehen, bringt aber nicht genug Infos. Sehe gerade nicht, wo ich noch weitersuchen könnte, um das Thema voranzubringen bzw. abzuschließen... :-((
Merkwürdig, ich brauchte tcpdump nicht extra installieren. Paketquellen sind bei mir leer, ich habe noch kein einziges externes Paket installiert. Anyway, falls IPTV jetzt über VLAN 7 kommen sollte, dann kannst du ja testweise einfach dein eth0.8 wegwerfen und eth0.7 als Upstream im igmpproxy einstellen. Was passiert?
Jens hat recht, probier es mal über vlan7. Solltest du schon auf BNG migriert sein geht alles über vlan7.