12
OPNsense + Cisco SG250 + IGMP Proxy für Magenta TV nur IGMPv2
Hallo,
ich bekomme MagentaTV mit der OPNsense und Cisco Switches nicht zum Laufen. Die Switches zeigen mir mit nachfolgender Konfiguration alle Multicast-Ports im IGMP Compatibility Mode v2 an und der Magenta Receiver meckert nach kurzer Diagnose rum, dass ein altes Multicast-Protokoll verwendet wird. Klassisches Symptom ist das Freeze des Bildes nach ein paar Sekunden.
Ich bekomme zwar diese Woche die neue Magenta TV One Box, welche auf Android basiert und Magenta TV nur als App ausführt (damit sollte die Multicast Problematik vom Tisch sein), aber das Problem würde ich trotzdem gerne lösen.
Das Netzwerk habe ich am Wochenende mit komplett neuen Geräten ausgestattet und alles Alte herausgeworfen. Sieht so aus:
Modem: Zyxel VMG1312-B30 (nur 100/40 Leitung, daher kein 35b fähiges Gerät)
Firewall: OPNsense 21.7.6 (IP: 10.1.1.1)
Switch 1: Cisco SG250-18 (IP: 10.1.1.254, OPNsense hängt an Port 2 des Switches)
Switch 2: Cisco SG250-08HP (IP: 10.1.1.253, SG250-18 hängt an Port 1 des SG250-08HP)
WiFi AP: Zyxel NWA210AX (IP: 10.1.1.240)
Alternativ habe ich noch eine Digitalisierungsbox Smart 2 da. Dort könnte ich die OPNsense als Exposed Host eintragen und den Receiver direkt anschließen. Von solchen Lösungen halte ich aber eher weniger wegen doppeltem NAT usw.
Verkabelung wie folgt:
Modem - OPNsense - Switch 1 - Switch 2 (an Switch 2 hängt der WiFi AP und ein Telekom MR401)
Ich habe bisher nur eine minimale Grundkonfiguration der Geräte vorgenommen, weil mir noch Zeit gefehlt hat. Es gibt derzeit nur das VLAN1 mit dem geheimnisvollen Namen ManagementVLAN (10.1.1.0/24).
Im IGMP Proxy der OPNsense habe ich Folgendes eingetragen:
Die Firewall-Regeln sehen so aus:
WANVDSL:
ManagementVLAN:
Auf den beiden Cisco SGs ist jeweils Bridge Multicast Filtering Status auf Enable gesetzt sowie IGMP Snooping Status und IGMPv3 Querier Status aktiviert (Bilder für SG250-08HP, für den SG250-18 ähnlich, mit anderer Querier-IP):
Bei Aufnahme der Screenshots steht bei Querier IP Address die IP des jeweiligen Switches, weil ich den igmpproxy auf der OPNsense gerade deinstalliert habe. Ist der igmpproxy auf der OPNsense aktiviert, dann lautet die Querier IP Address auf beiden Switches fein 10.1.1.1 und die MRouter Ports werden auch korrekt erkannt (Port 2 beim SG250-18 und Port 1 beim SG250-08HP).
Entferne ich nun den IGMP Proxy auf der OPNsense und spiele noch etwas mit manuellen Router Ports auf den Switches herum und diese schalten die Querier-IP wieder auf sich selbst, dann werden mir die Multicast-Ports plötzlich im v3 Compatibility Mode angezeigt:
Hier mal der Screenshot vom SG250-18:
Also, sobald der IGMP Proxy auf der OPNsense mit obiger Konfiguration aktiv ist, werden mir Multicast Pakete in v2 durch das Netzwerk geworfen. Ich habe mal gelesen, dass das IGMP Proxy Plugin im Downstream nur v2 kann, der Upstream macht v3. Allerdings haben es schon Leute mit der OPNsense hinbekommen. Das wundert mich etwas...
Ich hätte auch kein Problem die OPNsense durch eine pfSense zu ersetzen, wenn es dann mit IGMPv3 Multicast klappt.
Kann mir jemand helfen?
ich bekomme MagentaTV mit der OPNsense und Cisco Switches nicht zum Laufen. Die Switches zeigen mir mit nachfolgender Konfiguration alle Multicast-Ports im IGMP Compatibility Mode v2 an und der Magenta Receiver meckert nach kurzer Diagnose rum, dass ein altes Multicast-Protokoll verwendet wird. Klassisches Symptom ist das Freeze des Bildes nach ein paar Sekunden.
Ich bekomme zwar diese Woche die neue Magenta TV One Box, welche auf Android basiert und Magenta TV nur als App ausführt (damit sollte die Multicast Problematik vom Tisch sein), aber das Problem würde ich trotzdem gerne lösen.
Das Netzwerk habe ich am Wochenende mit komplett neuen Geräten ausgestattet und alles Alte herausgeworfen. Sieht so aus:
Modem: Zyxel VMG1312-B30 (nur 100/40 Leitung, daher kein 35b fähiges Gerät)
Firewall: OPNsense 21.7.6 (IP: 10.1.1.1)
Switch 1: Cisco SG250-18 (IP: 10.1.1.254, OPNsense hängt an Port 2 des Switches)
Switch 2: Cisco SG250-08HP (IP: 10.1.1.253, SG250-18 hängt an Port 1 des SG250-08HP)
WiFi AP: Zyxel NWA210AX (IP: 10.1.1.240)
Alternativ habe ich noch eine Digitalisierungsbox Smart 2 da. Dort könnte ich die OPNsense als Exposed Host eintragen und den Receiver direkt anschließen. Von solchen Lösungen halte ich aber eher weniger wegen doppeltem NAT usw.
Verkabelung wie folgt:
Modem - OPNsense - Switch 1 - Switch 2 (an Switch 2 hängt der WiFi AP und ein Telekom MR401)
Ich habe bisher nur eine minimale Grundkonfiguration der Geräte vorgenommen, weil mir noch Zeit gefehlt hat. Es gibt derzeit nur das VLAN1 mit dem geheimnisvollen Namen ManagementVLAN (10.1.1.0/24).
Im IGMP Proxy der OPNsense habe ich Folgendes eingetragen:
Die Firewall-Regeln sehen so aus:
WANVDSL:
ManagementVLAN:
Auf den beiden Cisco SGs ist jeweils Bridge Multicast Filtering Status auf Enable gesetzt sowie IGMP Snooping Status und IGMPv3 Querier Status aktiviert (Bilder für SG250-08HP, für den SG250-18 ähnlich, mit anderer Querier-IP):
Bei Aufnahme der Screenshots steht bei Querier IP Address die IP des jeweiligen Switches, weil ich den igmpproxy auf der OPNsense gerade deinstalliert habe. Ist der igmpproxy auf der OPNsense aktiviert, dann lautet die Querier IP Address auf beiden Switches fein 10.1.1.1 und die MRouter Ports werden auch korrekt erkannt (Port 2 beim SG250-18 und Port 1 beim SG250-08HP).
Entferne ich nun den IGMP Proxy auf der OPNsense und spiele noch etwas mit manuellen Router Ports auf den Switches herum und diese schalten die Querier-IP wieder auf sich selbst, dann werden mir die Multicast-Ports plötzlich im v3 Compatibility Mode angezeigt:
Hier mal der Screenshot vom SG250-18:
Also, sobald der IGMP Proxy auf der OPNsense mit obiger Konfiguration aktiv ist, werden mir Multicast Pakete in v2 durch das Netzwerk geworfen. Ich habe mal gelesen, dass das IGMP Proxy Plugin im Downstream nur v2 kann, der Upstream macht v3. Allerdings haben es schon Leute mit der OPNsense hinbekommen. Das wundert mich etwas...
Ich hätte auch kein Problem die OPNsense durch eine pfSense zu ersetzen, wenn es dann mit IGMPv3 Multicast klappt.
Kann mir jemand helfen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1594940138
Url: https://administrator.de/contentid/1594940138
Printed on: April 26, 2024 at 20:04 o'clock
12 Comments
Latest comment
Moin,
ich habe das Konstrukt fast genauso, allerdings mit pfSense laufen und es rennt einwandfrei…
VG
ich habe das Konstrukt fast genauso, allerdings mit pfSense laufen und es rennt einwandfrei…
VG
im IGMP Compatibility Mode v2 an
Das ist falsch, denn Magenta TV erzwingt IGMPv3 !!Wie Kollege @biryb oben schon sagt rennt es zumindestens mit der pfSense so absolut fehlerfrei.
So sollten die IPv4 Multicast Settings im Switch aussehen:
Globales Setup
IGMP Snooping Setup
Im Zweifel belässt du beide als Querrier, den dann gewinnt der mit der niedrigsten mac Adresse.
IGMPv3 ist aber zwingend nötig. Ohne v3 kein Magenta TV !
Zum Check installiere dir den Klassiker VLC und damit kannst du dir dann Magenta mit allen Geräten im lokalen Netz ansehen. Auch zum Troubleshooting hilft das sehr weil man so mit dem Wireshark genau sehen kann was passiert.
Die Multicast Adressen von Magenta findest du hier:
https://iptv.blog/artikel/multicastadressliste/
Magenta Infos zum Pendant pfSense findest du hier:
https://www.heise.de/ct/artikel/MagentaTV-auf-pfSense-Co-4698826.html
Magenta TV hinter pfSense und Cisco c3560cx
IPv6 für bestimmte Domain od. Gerät umgehen
1
Danke für eure Antworten! Wieder etwas gelernt über Multicasting.
Habe jetzt die Einstellungen für Multicast an den Ciscos so eingestellt wie von aqui geschrieben. Die Switche beide als Querrier, der kleine SG08-HP hat gewonnen.
Das igmpproxy Plugin noch einmal aktiviert und konfiguriert. Danach beide Switches und OPNsense neu gestartet. Anschließend MR401 eingeschaltet. Gleiches Spiel wieder mit dem Freeze.
Dann habe ich mal den MR401 direkt mit dem 1. LAN Port der OPNsense verbunden. MR401 neu gestartet. Kurz Bild über Unicast und dann Freeze, weil das Multicast nicht geht.
Liegt wohl also am igmpproxy Plugin der OPNsense. Wird wohl nur ein Wechsel auf die pfSense helfen.
Weiß schon jemand wann netgate die Plus Installation für eigene Hardware veröffentlicht? Oder sind die netgate eigenen Appliances zu empfehlen? Bei der CE Version soll ja die Entwicklung nicht mehr richtig vorangehen habe ich gelesen.
Habe jetzt die Einstellungen für Multicast an den Ciscos so eingestellt wie von aqui geschrieben. Die Switche beide als Querrier, der kleine SG08-HP hat gewonnen.
Das igmpproxy Plugin noch einmal aktiviert und konfiguriert. Danach beide Switches und OPNsense neu gestartet. Anschließend MR401 eingeschaltet. Gleiches Spiel wieder mit dem Freeze.
Dann habe ich mal den MR401 direkt mit dem 1. LAN Port der OPNsense verbunden. MR401 neu gestartet. Kurz Bild über Unicast und dann Freeze, weil das Multicast nicht geht.
Liegt wohl also am igmpproxy Plugin der OPNsense. Wird wohl nur ein Wechsel auf die pfSense helfen.
Weiß schon jemand wann netgate die Plus Installation für eigene Hardware veröffentlicht? Oder sind die netgate eigenen Appliances zu empfehlen? Bei der CE Version soll ja die Entwicklung nicht mehr richtig vorangehen habe ich gelesen.
Gleiches Spiel wieder mit dem Freeze.
Das zeigt das die Umschaltung zu Multicast nicht rennt. Die ersten Sekunden läuft das Streaming in Unicast und schaltet dann auf Multicast um. Kannst du auch mit dem Wireshark sehen.Irgendwas ist also noch mit deinem igmpproxy Plugin oder auf dem Regelwerk im Argen. Beachte das die funktionalen Multicast Gruppenadressen im Regelwerk freigeschaltet sind !
Wieder etwas gelernt über Multicasting.
Wenn du selber mal etwas damit spielen willst: 😉Fehlersuche im lokalem Netzwerk (RSTP, MRP, Multicast)
Bzw. für die Protokoll Grundlagen sind die die Stormwind_Videos in allen Folgen unbedingt sehenswert !
Danke für deine Antwort. Die Stormwind Videos sind wirklich gut erklärt.
Das Regelwerk sollte eigentlich passen, da ich das nach den Anleitungen gemacht habe und mir der Firewall-Log auch keine Blocks mehr für IGMP und UDP ausgibt. Wird wohl doch am igmpproxy Plugin liegen.
Naja sei's drum, morgen kommt die Magenta TV One Box und das Problem hat sich von selbst gelöst
Den SG250-18 kann ich diese Woche gleich mal zurückschicken, der kann nämlich kein Inter VLAN Routing, wie ich gestern Abend gesehen habe. Und den kompletten Traffic über die OPNsense jagen möchte ich jetzt nicht unbedingt (Backup Traffic etc.).
Hab mir jetzt für nen schmalen Taler noch einen gebrauchten SG300-28 bestellt, damit sollte das gehen.
Das Regelwerk sollte eigentlich passen, da ich das nach den Anleitungen gemacht habe und mir der Firewall-Log auch keine Blocks mehr für IGMP und UDP ausgibt. Wird wohl doch am igmpproxy Plugin liegen.
Naja sei's drum, morgen kommt die Magenta TV One Box und das Problem hat sich von selbst gelöst
Den SG250-18 kann ich diese Woche gleich mal zurückschicken, der kann nämlich kein Inter VLAN Routing, wie ich gestern Abend gesehen habe. Und den kompletten Traffic über die OPNsense jagen möchte ich jetzt nicht unbedingt (Backup Traffic etc.).
Hab mir jetzt für nen schmalen Taler noch einen gebrauchten SG300-28 bestellt, damit sollte das gehen.
Hast du recht! Da hab ich wohl in der Hektik das IPv4 Routing Kontrollkästchen nicht gesehen... Na zum Glück konnte ich den SG300 stornieren.
Geht jeden Falls alles mit dem Inter VLAN Routing. SG250-18 ist Gateway, SG250-08HP läuft nur als Layer2 Switch. DHCP auf den VLAN Interfaces auf der OPNsense vergibt auch schön seine Adressen.
Hab da auch so eine latente Kaufsucht für Technik... erst einmal einkaufen, dann überlegen
Geht jeden Falls alles mit dem Inter VLAN Routing. SG250-18 ist Gateway, SG250-08HP läuft nur als Layer2 Switch. DHCP auf den VLAN Interfaces auf der OPNsense vergibt auch schön seine Adressen.
Hab da auch so eine latente Kaufsucht für Technik... erst einmal einkaufen, dann überlegen
So mal schauen ob das Telekrumm Zeug funktioniert
Nachtrag: Da werden sich Frau und Kind aber freuen. Nach kurzem Testen kann ich sagen, dass das Teil richtig gut läuft (und alles schön über Unicast). Erheblich schneller als der eingerostete MR401 und man kann Apps aus dem Google Playstore nachinstallieren. Ist zwar im Moment noch Beta, aber mal schauen wie sich das Ding bewährt. Werde gleich noch eine für den Keller bestellen und den MR201 in Rente schicken, falls die Anzahl pro User im Beta-Test nicht limitiert ist.
Nachtrag 2: Seit gestern ist die Beta beendet und zum normalen Tarif ohne 3 Monate kostenlose Testphase buchbar.
Nachtrag: Da werden sich Frau und Kind aber freuen. Nach kurzem Testen kann ich sagen, dass das Teil richtig gut läuft (und alles schön über Unicast). Erheblich schneller als der eingerostete MR401 und man kann Apps aus dem Google Playstore nachinstallieren. Ist zwar im Moment noch Beta, aber mal schauen wie sich das Ding bewährt. Werde gleich noch eine für den Keller bestellen und den MR201 in Rente schicken, falls die Anzahl pro User im Beta-Test nicht limitiert ist.
Nachtrag 2: Seit gestern ist die Beta beendet und zum normalen Tarif ohne 3 Monate kostenlose Testphase buchbar.
erst einmal einkaufen, dann überlegen
Bzw. lesen sollte man. Das wird alles explizit im hiesigen Layer3_VLAN_Tutorial erklärt. 
Zitat von @aqui:
Beim Snooping ist es essentiell wichtig zu zu wissen ob die Firewall als PIM Router (Multicast Router) oder nur als Multicast Proxy rennt ?
Beim Snooping ist es essentiell wichtig zu zu wissen ob die Firewall als PIM Router (Multicast Router) oder nur als Multicast Proxy rennt ?
Genau auf diese Frage suche ich eine Antwort: Ist die OPNSense Firewall ein PIM Router wenn man den IGMP-Proxy installiert ?
LG Klaus
Nein! Proxying hat ja rein gar nichts mit Routing zu tun!
Guckst du auch hier: UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch
Hilfreich zum Verständnis sind auch die Multicast PIM Routing Trainigs von Stormwind auf YouTube:
https://www.youtube.com/watch?v=OMRByA64xuA&list=PLz4XrsZ1BOyhs8ojK1 ...
Alle 6 Teile sind sehenswert.
OPNsense supportet in der Standardversion ohne Package kein PIM Routing nur Proxying.
Guckst du auch hier: UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch
Hilfreich zum Verständnis sind auch die Multicast PIM Routing Trainigs von Stormwind auf YouTube:
https://www.youtube.com/watch?v=OMRByA64xuA&list=PLz4XrsZ1BOyhs8ojK1 ...
Alle 6 Teile sind sehenswert.
OPNsense supportet in der Standardversion ohne Package kein PIM Routing nur Proxying.
Wenn es das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen!