medikopter
Goto Top

Fritzbox Gastnetz - exposed Host - zur Sophos IPTV

Hallo zusammen,

ich habe eine Frage bezüglich des Fritz box Gastzugangs an einer Sophos UTM Home.

An liebsten wäre mir ja die Sophos direkt hinter die Fritz box zu hängen, allerdings funktioniert dann das IPTV der Telekom nicht mehr. Leider habe ich keine Anleitung gefunden, wie ich es hinbekomme das die Sophos den Multicast weiterreicht.

Jetzt bin ich auf die Idee gekommen die Sophos an das Gast netz der Fritz box zu hängen.
Die Sophos hat 3 NIC´s, einen an dem Gast Netz, einer soll die DMZ darstellen und einer soll in mein Hausnetz.
Ist das so realisierbar? und vor allem Sicher?

Ich habe ein paar pi´s die sollen von außen erreichbar gemacht werden, daher wollte ich die Sophos davor schalten und dessen Firewall nutzten.
Den Port im Hausnetz würde ich dann zur Kommunikation in das DMZ nutzen.

Wie seht Ihr das? oder habt Ihr eine Idee wie ich den IPTV traffic geroutet bekomme?

Content-ID: 358437

Url: https://administrator.de/contentid/358437

Ausgedruckt am: 24.11.2024 um 17:11 Uhr

aqui
aqui 16.12.2017 aktualisiert um 18:01:40 Uhr
Goto Top
allerdings funktioniert dann das IPTV der Telekom nicht mehr.
Nur wenn man die UTM falsch oder gar nicht konfiguriert natürlich ! Vermutlich ist das bei dir der Fall ?! face-sad
Wenn die Firewall Multicast Routing mit PIM supportet (wie es eigentlich jede einigermaßen gute Firewall supportet) ist das kein Problem !
wie ich es hinbekomme das die Sophos den Multicast weiterreicht.
Einfach PIM Routing auf dem zum LAN Port der FB kaskadierten WAN Port der Sophos aktivieren und auch auf deren LAN Port natürlich.
Den Multicast Rendezvous Point auf die IP 62.155.243.102 einstellen und IGMP Version 3 aktivieren...
Fertig.
Siehe auch hier als Beispiel: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
oder am Beispiel eines Mikrotik:
UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch
Damit dann auch Multicast am WAN Port der Sophos durchkommt musst du eine entsprechende Firewall Regel definieren:
ALLOW Source: ANY, Desination: 224.0.0.0 /4
Das lässt dann alle Multicast Gruppen am WAN Port durch.
Welche das sind bei Entertain TV sagt dir diese Liste:
https://iptv.blog/artikel/multicastadressliste/
Obs dann klappt kannst du ganz einfach mit dem VLC Player testen und z.B. einen Netzwerkstream öffnen mit rtp://@239.35.10.5:10000 um z.B. dann das ZDF zu sehen.
Oder eben über die Playlist.
auf die Idee gekommen die Sophos an das Gast netz der Fritz box zu hängen.
Und dann ??? Ohne PIM Routing kein Multicast. Dürfte zu bezweifeln sein das die FB das IPTV ins Gastnetz routet. Kannst du mit VLC Player http://www.vlc.de ja sehr schnell und einfach testen....siehe oben.
oder habt Ihr eine Idee wie ich den IPTV traffic geroutet bekomme?
Siehe oben ! Wie PIM Routing auf der Sohos zu konfigurieren ist steht im Handbuch. Eine pfSense macht das mit links.
medikopter
medikopter 16.12.2017 um 17:10:26 Uhr
Goto Top
Zitat von @aqui:
Einfach PIM Routing auf dem zum LAN Port der FB kaskadierten WAN Port der Sophos aktivieren und auch auf deren LAN Port natürlich.
Den Multicast Rendezvous Point auf die IP 62.155.243.102 einstellen und IGMP Version 3 aktivieren...
Fertig.
Siehe auch hier als Beispiel: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
oder am Beispiel eines Mikrotik:
UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch
Damit dann auch Multicast am WAN Port der Sophos durchkommt musst du eine entsprechende Firewall Regel definieren:
ALLOW Source: ANY, Desination: 224.0.0.0/4
Das lässt dann alle Multicast Gruppen am WAN Port durch.
Welche das sind bei Entertain TV sagt dir diese Liste:
https://iptv.blog/artikel/multicastadressliste/
Obs dann klappt kannst du ganz einfach mit dem VLC Player testen und z.B. einen Netzwerkstream öffnen mit rtp://@239.35.10.5:10000 um z.B. dann das ZDF zu sehen.
Oder eben über die Playlist.

Super danke, soweit funktioniert der Stream auf dem Pc face-smile allerdings mault der Receiver das er sich zwar mit dem Netzwerk verbinden kann aber er keine IP-Adresse bekommt. Warum auch immer, der DHCP läuft einwandfrei. Habe es mit dem Kabel im Receiver getestet.

Und dann ??? Ohne PIM Routing kein Multicast. Dürfte zu bezweifeln sein das die FB das IPTV ins Gastnetz routet.

Ne das war dann so auch nicht der Plan. Es sollte eher so sein das nur die Sophos im Gast Netz der Fritze hängt und dort die PI´s angeschlossen sind. Ist ziemliches Wirwar aber würde ich so aktzeptieren. Besser ist jedoch die erste möglichkeit face-smile

Danke dir aufjedenfall schon einmal
aqui
aqui 16.12.2017 aktualisiert um 17:52:57 Uhr
Goto Top
allerdings mault der Receiver das er sich zwar mit dem Netzwerk verbinden kann aber er keine IP-Adresse bekommt.
Dann ist ja noch was an deinem DHCP Server dort faul !! Wireshark ist hier wie immer dein bester Freund face-wink
Appropos Pi. Nutzt du Libreelec bzw. Kodi um das IPTV auf dem Pi zu sehen ? Das funktioniert fehlerfrei mit dem RasPi / Kodi Tandem und dem Simple IPTV PVR Client als Addon.

P.S.: Du musst nicht immer den ganzen Antwortsthread zitieren. Wir raffen das auch so hier und es spart Platz face-wink
medikopter
medikopter 16.12.2017 aktualisiert um 18:53:08 Uhr
Goto Top
2017:12:16-18:31:41 sophos dhcpd: DHCPOFFER on 192.168.1.201 to ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:31:53 sophos dhcpd: DHCPDISCOVER from ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:31:53 sophos dhcpd: DHCPOFFER on 192.168.1.201 to ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:31:57 sophos dhcpd: DHCPDISCOVER from ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:31:57 sophos dhcpd: DHCPOFFER on 192.168.1.201 to ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:32:06 sophos dhcpd: DHCPDISCOVER from ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:32:06 sophos dhcpd: DHCPOFFER on 192.168.1.201 to ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:32:13 sophos dhcpd: DHCPDISCOVER from ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:32:13 sophos dhcpd: DHCPOFFER on 192.168.1.201 to ac:6f:bb:0d:d0:f2 via eth2

Erst hatte ich in dem Sophos Live log der Firewall stehen, dass ICMP blockiert wurde, habe dann ICMP vermutlich freigegeben. Auf jeden Fall ist es aus dem Log raus. Dafür bezieht das Drecksding keine IP mehr im DHCP log.

Ich habe hier mehrere Telekom Receiver.

Bevor ich am ICMP rumgespielt habe, hat er wenigstens im DHCP Log augenscheinlich eine IP bekommen. Hat aber dennoch auf dem Fernseher angezeigt das es nicht möglich ist eine IP zu beziehen.

Edit:
wir kommen der Sache schon näher, nach einen 3 maligen Reset des MR installiert er die Firmeware neu
2017:12:16-18:47:58 sophos dhcpd: DHCPDISCOVER from ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:47:59 sophos dhcpd: DHCPOFFER on 192.168.1.201 to ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:48:00 sophos dhcpd: DHCPREQUEST for 192.168.1.201 (192.168.1.10) from ac:6f:bb:0d:d0:f2 via eth2
2017:12:16-18:48:00 sophos dhcpd: DHCPACK on 192.168.1.201 to ac:6f:bb:0d:d0:f2 via eth2

zwar immer noch kein Bild aber dafür eine IP
aqui
aqui 16.12.2017 aktualisiert um 18:56:52 Uhr
Goto Top
Mmmmhhh, da hat das Endgerät ac:6f:bb:0d:d0:f2 irgendwie ein Problem oder....die Firewall blockt den DHCP Requestdes Clients.
Der DHCP Discover des Clients kommt ja noch an mit UDP-Quellport 68 und dem UDP-Zielport 67. Dann der Offer von der UTM.
Daraufhin sollte der ac:6f:bb:0d:d0:f2 Client ein DHCP Request schicken und die IP aus dem Offer annehmen. Daraufhin antwortet der Server dann mit einer DHCP-ACK-Nachricht (DHCP-Acknowledged) und bestätigt die IP-Adresse und ggf. weitere Optionen.
Leider kann man das (Request und ACK) aber im obigen Log nicht sehen. face-sad
Das lässt jetzt 2 Vermutungen zu:
  • Der DHCP Request des ac:6f:bb:0d:d0:f2 Client kommt nicht am Server an (Firewall blockt usw.)
  • Der ac:6f:bb:0d:d0:f2 Client versteht den DHCP Offer irgendwie nicht richtig.
Dazu müsste man aber mal den Kabelhai bemühen um Genaueres zu erfahren.
Frage dazu:
  • Wie verhält sich ein PC oder einer der RasPi's ? Bekommen die eine IP in dem Segment von der UTM ?
  • Wenn nein, hast du mal mit sudo apt-get install tcpdump den RasPi Einfach Sniffer installiert und dir mal mit tcpdump -v die DHCP Kommunikation angesehen ?
  • Falls PC und/oder RasPi eine IP beziehen ist der Receiver selber der böse Buhmann
  • Kannst du ggf. mal den UTM Port vollkommen freigeben (Scheunentor Regel) und dann checken ?
medikopter
medikopter 16.12.2017 aktualisiert um 19:32:07 Uhr
Goto Top
Habe mal any any any gemacht, geht trotzdem nicht.

Sobald ich den DHCP ausschalte und von der Fritze wieder aktiviere geht es ohne Probleme.
Wenn ich dem Media Receiver wenigstens eine Statische IP geben könnte (am Gerät) , dann könnte ich ihm ein anderes Gateway geben und gut ist. Aber das funktioniert ja auch nicht -.-

Ja, ich bekomme an allen Geräten eine IP von der UTM, nur nicht am Drecks Media Receiver. Der will irgendwohin Telefonieren aber der Firewall log zeichnet nichts auf.

Vielen dank schonmal für deine Hilfe

Wie ich oben Editiert habe, habe ich durch kompletten reset des MR wenigstens eine IP an ihm, nur halt ohne Bild.
medikopter
medikopter 17.12.2017 aktualisiert um 10:08:15 Uhr
Goto Top
Also wenn ich den DHCP der Fritzbox einschalte und danach die IP der Fritze änder und die Sophos auf drauf schalte dann funktioniert es.

Also
fritzbox 1.1 + DHCP -> danach Sophos auf die IP des Internal auf 1.1
fritzbox 1.12 -> Sophos WAN auf 1.11 mit Gateway auf 1.12 setzte bekomme ich laufende Bilder

Das Problem ist nur das, wenn ich von anfang an die Sophos als Gateway einsetzte, der Media Receiver keine IP bekommt. Warum auch immer -.-

Hoffe du blickst durch wie ich das meine
aqui
aqui 18.12.2017 aktualisiert um 09:55:11 Uhr
Goto Top
Möglich das der Receiver irgendwie etwas cached. Setze den mal auf die Factory Defaults mit Reset Knopf oder Menü usw. das der dann vollkommen jungfräulich ist. Am besten in einem Segment OHNE DHCP das du sicher gehen kannst das er sich nicht wieder irgendwas "merkt".
Dann das Szeanrio so aufbauen wie gehabt und den Receiver wieder rein und checken.

Was passiert denn mit einem "normalen" PC und anderen Endgeräten in diesem Setup ? Bekommen die denn fehlerlos von der UTM eine IP per DHCP ?? Das hattest du noch nicht beantwortet ?
Wenn ja, dann musst du in der Tat mal den Wireshark nehmen und dir die DHCP Aushandlung zw. Receiver und UTM dir genau ansehen !
UTM hast du auf die aktuellste Firmware geflasht ?