potthoff
Goto Top

PfSense EntertainTV

Schönen guten Abend zusammen,

betreibt einer erfolgreich eine PfSense mit EntertainTV? Ich habe da ganze mit dem IGMP Proxy eingerichtet nach der Anleitung Link.

Zu meinen Anschluss es ist ein Magenta M (BNG) Anschluss der Telekom

Mein Aufbau ist wie folgt:

FritzBox7490->PfSense als ExpostHost->EntertainReceiver 400

Aber trotz der einstellungen Ruckelt das Bild die ersten 15sek und dann bricht die verbindung ab, und weiß mir da grad nicht so recht weiter. Ich bin für jeden hinweiß dankbar!

Content-ID: 400039

Url: https://administrator.de/forum/pfsense-entertaintv-400039.html

Ausgedruckt am: 26.12.2024 um 23:12 Uhr

jenni
jenni 01.02.2019 aktualisiert um 09:26:41 Uhr
Goto Top
Moin,

welche PFSense-Version hast du und auf welchem Blech läuft das Teil?

Gruß
der jenni
Potthoff
Potthoff 01.02.2019 um 09:54:55 Uhr
Goto Top
Guten Morgen, also die PfSense läuft Virtualisiert auf einem ESXi 6.5 und dann ist es die PfSense Ver. 2.4.4

LG Dennis
jenni
jenni 01.02.2019 um 11:15:15 Uhr
Goto Top
Moin,

Womit wird virtualisiert? Eckdaten des Server mit NIC
Was sagt das Log?

Gruß
der jenni
wildy0815
wildy0815 01.02.2019 um 11:19:19 Uhr
Goto Top
Mahlzeit,

das Konstrukt ist wohl etwas schwierig. Wieso steckst du deine Receiver nicht einfach an die Fritte?
Du müsstest sonst die Sense dazu bekommen, sich für den Multicast Traffic zu Registrieren damit sie den weiterleiten könnte.

Ansonsten musst du die Fritte nur als Modem laufen lassen, dass die Sense die Einwahl macht. Dann bekommst du auf VLAN 8 das Entertain Zeugs. Jetzt mit BNG soll es wohl tatsächlich auf dem normalen VLAN 7 mitgesendet werden. Den IGMP Proxy dann darauf einstellen und gut.


Gruß
Marco
jenni
jenni 01.02.2019 aktualisiert um 11:36:30 Uhr
Goto Top
Und dazu eine nette APU wodrauf die Sense läuft

Nachtrag:
Falls der Anschluss über Koax geht
Beitrag von aqui Kabel-TV Modem

Sonst (meine Erfahrung)
Draytek Vigor 130 oder 165 je nach Bandbreite
Potthoff
Potthoff 01.02.2019 um 13:57:11 Uhr
Goto Top
Also die PfSense ist auf einem ESXi Host 6.5 Virtualisiert, die NIC ist eine 10Gtek® für Intel E1G42ET

Ich schau gleich noch mal Log wenn ich Zuhause bin.
aqui
aqui 01.02.2019 aktualisiert um 18:26:17 Uhr
Goto Top
Der Abbruch deutet daraufhin das die Multicast Konfiguration nicht korrekt ist !
Das ist auch nicht ganz trivial in einer Router Kaskade mit 2 NAT Routern so wie du sie betreibst.
Es ist in der Tat besser die pfSense direkt am Internet zu betreiben ohne doppeltes NAT.
Zu dem Risiko und Nachteilen einer virtualisierten Firewall muss man hier wohl nichts mehr kommentieren... face-sad
Potthoff
Potthoff 01.02.2019 um 19:05:54 Uhr
Goto Top
Ja danke für netten Infos ich werde das ganze doch wohl noch mal umstricken das doppel NAT macht auch bei eingen Spielen hier im Netz probleme trotz Port Forwarding das ist echt nicht praktisch. Die Fritte kann man soweit ich weiß nicht mehr als Moden benutzen darüber hatte ich auch schon nachgedacht.

Warum ist es denn so nachteilhaft die PfSense über einen ESXi laufen zu lassen? Ich mache gerade eine Umschulung zum Fachinformatiker daher liegt mir das grad nicht so auf der Hand.

LG Dennis
aqui
aqui 01.02.2019 um 19:15:43 Uhr
Goto Top
soweit ich weiß nicht mehr als Moden benutzen darüber hatte ich auch schon nachgedacht.
Dazu gibt es widersprüchliche Aussagen hier. Richtig ist das AVM diese Funktion seit längerem deaktiviert hat.
Es gab aber auch hie und da mal Stimmen die hier behaupten das es in neuesten Images bei einigen Modellen wieder geht.
In wie weit das stimmt müsste mal ein FB User hier bestätigen oder dementieren...
Warum ist es denn so nachteilhaft die PfSense über einen ESXi laufen zu lassen?
Na ja...denk mal bitte etwas nach !!
Bricht ein Angreifer aus der FW aus was nicht völlig auszuschliessen ist, dann liegt ihm die gesamte Hypervisor Infrastruktur zu Füßen. Fatal was dann die Sicherheit der VMs angeht.
Firewalls gehören deshalb immer auf eigenes Blech. Jednefalls für produktive Netzwerke. Solche simplen Security Basics sollte man aber auch als angehender FISI wissen ?!
Gerade im Hinblick auf die vergangenen Hacker Skandale die durch die Medien gegangen sind. Solche fatalen Fehleinschätzungen haben dann solche Folgen.
Wenn du das in einem FISI Test- un d Bastelumfeld machst ist das natürlich OK. Zum Spielen und Üben kann man das so machen..
Potthoff
Potthoff 01.02.2019 um 19:54:22 Uhr
Goto Top
Ich habe eine FritzBox 7490, das einzige was die noch unterstützt ist PPPoE für zweit Geräte aber um Sie selber dafür zu benutzen klappt leider nicht da sie zwingend selber immer den ersten Anschluss haben will face-sad

ESXi Maschine läuft auch nur die PfSense und ein PiHole auf Debian 9.7 und ein Unifi Controller auf Debian 9.7, also einen Windows Server oder etc würde ich da auch nicht drauf Installieren.

In unsere Firma ist das ganze auch wesentlich anders aufgebaut, aber für mich hier Zuhause eine super Übung das ganze mal zu Konfigurieren.

Nur wird wohl kein weg an einem Moden vorbei führen leider.
aqui
aqui 01.02.2019 um 20:02:48 Uhr
Goto Top
Nicht zwingend. Man bekommt sowas auch in einem Kaskade Design mit doppeltem NAT hin. Die pfSense supportet aber kein natives PIM Routing so das du immer mit der etwas hakeligen IGMP Proxy Funktion arbeiten musst.
Hilfreich wäre mal wenn du mit einem Wireshark mal das Multicast Verhalten beobachtest. Oder da du ein Test Umfeld hast kannst du das auch mal selber testen wenn du einen Film mal selber per Multicast in einem gerouteten Firewall Umfeld verteilst:
Fehlersuche im lokalem Netzwerk (RSTP, MRP, Multicast)
bzw. PIM mit Mikrotik just for Info..
UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch
orcape
orcape 01.02.2019 um 20:13:45 Uhr
Goto Top
Hi,
es stellt sich die Frage, ob die 7490 auch noch so nebenbei Deine Telefonanlage gewährleisten muss.
Ich habe mich noch nicht wirklich damit beschäftigt, aber bei AVM klingt das so....
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
...scheint eigentlich auch logisch, wenn die Fritte Ihre Funktion als Telefonanlage für VoIP erfüllen soll.
Im Zeitalter der schnellen Internetleitungen, sollte aber eine Routerkaskade nicht wirklich ein Problem darstellen.
Ich frage mich aber allen Ernstes, warum Du Deinen EntertainReceiver 400 nicht ins Netz der Fritte hängst, aus Sicherheitstechnischer Sicht, allemal die bessere Lösung.
Was @aqui über die Virtualisierung der pfSense gesagt hat, kann man getrost so stehen lassen, zu Übungs- und Testzwecken, Ok.
Gruß orcape
Potthoff
Potthoff 02.02.2019 um 12:28:07 Uhr
Goto Top
Ja also mehr als die drei dinge würde ich auf den ESXi auch nicht Virtualisieren, zumal dort auch nur für diesen zweck ein kleines ASROCK Board mit Intel SOC drin sitzt. Das macht Privat aber den Job doch recht gut auch der PiHole als Werbe DNS filter.

Warum ich die Receiver nicht an der Fritte lasse hat den Grund, das ich durch mein doppel NAT nur probleme habe, es betrifft einige Mulitiplayer Games sowie Spiele Konsolen und selber ein Port Forwarding bringt keine abhilfe. Ich hab mir aber auf ebay jetzt ein DrayTek Vigor130 ersteigert und werde nächste Woche erst mal das doppel NAT problem beheben.

Ich habe gestern mit Wireshark mal die Netzwerkpakete Analysiert, und der IGMP Proxy macht auf jeden fall seine Arbeit auf der PfSense, die Multicast Pakete müssel also irgendwo an der FiritzBox hängen bleiben, ich denke ja mal das auf der Fritz auch einer läuft und er derjenige der dabei die probleme macht.