TV-Headend mit Sophos UTM und Fritzbox 6490 Cable

Hallo in die Runde,

ich möchte in meinem Netzwerk einen TV-Headend-Server (virtuell) betreiben. Die Einrichtung des Servers an sich war kein Problem.

Die Fritzbox stellt die Internetverbindung über Kabel her und ruft auch die Sender ohne Probleme ab. Ich bekomme es leider nicht hin das der TV-Headend die Fritzbox als Adapter findet wenn die Sophos UTM dazwischen hängt. (Wenn diese sich im gleichen IP Netz 192.168.2.x befinden funktioniert es aber). Nun möchte ich ungern die bestehende Verkabelung etc. komplett neu auflegen. Gibt es eine Möglichkeit in der Sophos eine Einstellung zu machen das auch bei aktueller Installation die Fritzbox vom TV-Headend erkannt wird? Zur besseren Übersicht habe ich mal eine kleine Visio-Zeichnung beigefügt.

Vielen Dank für eure Tipps vorab
cccc7175-5f72-48e1-9f16-0f830c6ba1bb.

Content-Key: 748463469

Url: https://administrator.de/contentid/748463469

Ausgedruckt am: 27.07.2021 um 13:07 Uhr

Mitglied: Fabezz
Fabezz 19.06.2021 um 16:53:12 Uhr
Goto Top
Hi,
bin mir nicht sicher aber das wird das gleiche Thema wie mit Magenda TV sein.
Läuft über Multicast (IGMPv3) was bei dir nicht geroutet wird.
Leider habe ich keine Anleitung zur UTM gefunden. Vielleicht hilft dir sie XG.
https://support.sophos.com/support/s/article/KB-000035710?language=en_US

Gruß
Mitglied: Welly92
Welly92 19.06.2021 um 18:37:47 Uhr
Goto Top
Vielen Dank für den Link. Werde ich morgen gleich mal ausprobieren, ob es sich mit der UTM ähnlich bewerkstelligen lässt. Ich hoffe das es an dem Multicast hängt. Ich bin nämlich fast schon am verzweifel. Möchte aber natürlich auch nicht meine ganze Kabelinstallation etc. ändern müssen :-) face-smile
Mitglied: Welly92
Welly92 19.06.2021 um 19:05:15 Uhr
Goto Top
Edit: Was mich ebenfalls stutzig macht ist: Ich kann die Fritzbox unter 192.168.178.1 erreichen und mir von der Weboberfläche bei DVB-C die Senderliste runterladen und auf meinem PC im Netz 192.168.2.x z. B. mit VLC öffnen ohne eine Firewall-Regel zu erstellen. Wieso findet der TVH nicht diese Adapter der Fritzbox. Weil vorhanden sind sie ja und funktionieren auf o. g. Weise 🤔
Mitglied: aqui
aqui 20.06.2021 aktualisiert um 12:11:44 Uhr
Goto Top
Wieso findet der TVH nicht diese Adapter der Fritzbox.
Denk doch mal selber etwas nach warum das so ist wenn du eine "Firewall" betreibst...! Wenn du nur einmal einen Wireshark angeklemmt hättest hättest du das auch sofort gesehen und selber erkannt !
Der WAN Port der UTM ist für sie das "böse" Internet. Folglich gelten dort strikte Firewall Regeln und zudem ist dort NAT (IP Adress Translation) aktiv. Dienste die also im Koppelnetz zw. FB und UTM liegen, liegen aus Sicht der UTM im bösen Internet und werden entsprechend strikt und zu recht durch das stringente FW Regelwerk und NAT geschützt. Die UTM kann ja nicht wissen das da noch eine Kaskade zwischen ist mit einer weiteren Firewall und NAT (FritzBox).
Es ist also unmöglich das Dienste auf der FritzBox ins lokale LAN "durchgereicht" werden OHNE entsprechende Löc her die man in dei UTM Firewall bohrt.
Die DVB-C Sender in der FritzBox werden über Sat oder IP Technik gestreamt von der FritzBox https://de.wikipedia.org/wiki/Sat-over-IP-Technik
Ob die FritzBox nun Unicast oder Multicast dafür nutzt ist erstmal egal. Entscheidend ist das man diesen Dienst per Port Forwarding in der UTM freigeben muss damit er im lokalen LAN "sichtbar" ist.
Grundlagen zum Port Forwarding in Router Kaskaden findest du hier:
https://administrator.de/tutorial/ipsec-vpn-fuer-mobile-benutzer-auf-der ...
Lesen und verstehen...! ;-) face-wink
Mitglied: em-pie
em-pie 20.06.2021 aktualisiert um 16:44:26 Uhr
Goto Top
Moin,

Zitat von @Welly92:
Ich bekomme es leider nicht hin das der TV-Headend die Fritzbox als Adapter findet wenn die Sophos UTM dazwischen hängt. (Wenn diese sich im gleichen IP Netz 192.168.2.x befinden funktioniert es aber).

schaue dir in der UTM mal Multicast Routing (PIM) an
https://support.sophos.com/support/s/article/KB-000034284?language=en_US

Das müsste das sein, was du suchst - wobei es ja scheinbar grundsätzlich zwischen VLC und der Fritte klappt - kann aber sein, dass da ein anderer Mechanismus greift - so tief stecke ich im IPTV/ Multicast/ Unicast-"Dschungel" nicht drin ;-) face-wink

Gruß
em-pie

Edit: Zitat ergänzt, damit der Kontext klarer ist
Mitglied: aqui
aqui 20.06.2021 um 16:36:51 Uhr
Goto Top
Auf der FritzBox selber kann man die Kanalliste als M3U-Playlist abrufen bzw. downloaden. Diese Liste enthält dann die RTSP-Links, über die Abspielsoftware wie VLC oder auch der KODI bzw. der o.a. Server usw. die Programm-Streams abrufen kann. Anhand der Streamadressen ist dann schon klar ob die FB Unicast oder Multicast dafür verwendet und was auf der UTM einzustellen ist im Regelwerk.
Mitglied: em-pie
em-pie 20.06.2021 aktualisiert um 16:55:31 Uhr
Goto Top
@aqui
Danke der Ergänzung.

Das mit dem IGMP-Proxy, meinem o.g. PIM dürfte ggf. "Quatsch" sein, wie sich hier zeigt.
Zwar ist der Thread auf pfSense gemünzt, aber im letzten Post gab es entscheidene Hilfe(n):

Dies entspricht genau dem was ich bei mir beim Einrichten gesehen habe.
  • Es wird ein Steuerkanal über RSTP over TCP auf Port 554 aufgemacht
  • Die Daten werden dann über RTP over UTP auf den Ports 5000 & 5001 geschickt.

in der UTM also einmal entsprechende Regeln anlegen und somit das tun, was @aqui schon die ganze Zeit "predigt" ;-) face-wink
Mitglied: Welly92
Welly92 20.06.2021 um 17:10:52 Uhr
Goto Top
Vielen Dank für deine Antwort. Ich habe den verlinkten Beitrag mit der psense auch vorhin gefunden. Ich werde mich nunmal an dem Lösungsweg von aqui versuchen und schauen ob ich es zum Laufen bekomme.
Mitglied: Welly92
Welly92 20.06.2021 um 17:14:21 Uhr
Goto Top
Vielen Dank für deinen Beitrag. Ich habe mich mit Wireshark auch schon probiert, leider nur oberflächlich und bin nicht wirklich weit gekommen. Ich werde dann später nochmal einen Versuch starten das zum Laufen zu bewegen, natürlich nachdem ich mich durch die verlinkten Beiträge belesen habe 😎
Mitglied: Welly92
Welly92 22.06.2021 um 18:38:51 Uhr
Goto Top
Hallo aqui,

ich habe mich nun nochmal etwas damit beschäftigt und auch mit einigen Einstellungen in der Firewall rumprobiert. Wäre es eventuell hilfreich die Subnetzmaske der TVH NICs auf 255.255.0.0 umzustellen oder auf 255.255.254.0

Sorry, aber ich drehe mich irgendwie immer im Kreis 😩
Mitglied: aqui
aqui 22.06.2021 aktualisiert um 18:52:05 Uhr
Goto Top
Du meinst das 192.168.2.0er Segment, richtig ?
Was wäre denn deiner Meinung nach damit gewonnen ?? Ob das nun einen 24er, 22er oder 16er Prefix hat ist doch völlig irrelevant. Was einzig und allein zählt ist das Regelwerk auf der Firewall.
Die Streaming Dienste der FritzBox werden von ihr ja im .178.0er Netz irgendwie bekanntgegeben mit Multicast, Broadcast oder was auch immer.
Der dort gekoppelte WAN Port der Firewall hat aber ein sehr stringentes Regelwerk und...es rennt zudem auch noch NAT so das solcherlei Pakete ohne bestimmte FW Regeln niemals diesen Port überwinden können. Einleuchtend, denn das würde ja auch der Firewall Funktion sonst komplett wiedersprechen.
Hier musst du also ansetzen.
Du solltest strategisch vorgehen und erstmal mit einem Wireshark Trace bestimmen WELCHES Transportprotokoll der Stream Client und damit auch der TV-Headend aktiv nutzt.
Diese Protokolle musst du dann mit einem entsprechenden regelwerk am WAN Port freigeben und sofern du mit der Sophos NAT am WAN Port machst auch noch per Port Forwarding weiterleiten.
Siehe dazu auch die Port Forwarding Grundlagen in einem Kaskaden_Design.
NAT sollte man in so einem Kaskaden Setup eigentlich zwingend deaktivieren auf der Firewall. Es reicht ja wenn die FritzBox NAT macht. 2mal ist überflüssig. Würde jetzt aber ein Umbau des Setups bedeuten.
Also erstmal bestimmen WIE die Stream Kommunikation abläuft, dann Regelwerk und Port Forwarding bestimmen. Die Subnetzmaske im lokalen LAN hat damit nicht das Geringste zu tun.
Mitglied: Welly92
Welly92 22.06.2021 um 19:06:33 Uhr
Goto Top
Wenn ich dich also richtig verstehe wäre das die folgende Vorgehensweise:

1. fritzbox ins lokale Netz hängen so dass diese als Adapter im TVH erkannt wird, dann konfigurieren und mit Wireshark prüfen welche Ports hier angesprochen werden

2. die ermittelten Ports in der Sophos durch Portforwarding freigeben, NAT deaktivieren und dann läufts?

Sorry für die Fragerei aber ich bin mit meinem Latein da irgendwie grad bissl am Ende 🙈
Mitglied: aqui
aqui 22.06.2021 um 22:52:33 Uhr
Goto Top
Alles richtig verstanden ! ;-) face-wink
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 22 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 21 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 15 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...