Proxy IGMP pfsense : TV-Box interrompt le flux en direct après quelques minutes

    • Valeurs CSC

    J’ai installé un pare-feu pfsense chez moi (FTTH, connecté directement au convertisseur de média).

    Le phénomène suivant se produit avec SCTV 2.0 : Si je regarde une diffusion en direct, la diffusion s’interrompt au bout de quelques minutes et un écran noir apparaît avec le message “Malheureusement, aucun signal n’est disponible sur cette station pour le moment”.

    Si vous allez au fond des choses, vous pouvez voir dans Wireshark que le TV-Box s’enregistre d’abord correctement auprès du groupe de multidiffusion correspondant (en conséquence, le flux s’exécute parfaitement via la multidiffusion). Cependant, lors de la « requête d’adhésion » ultérieure du proxy IGMP, le boîtier TV renvoie toujours un « groupe de sortie », ce qui entraîne bien sûr l’interruption du flux.

    Ce comportement est indépendant du fait que le boîtier TV soit connecté directement au pfsense ou via un commutateur (Netgear GS108E avec surveillance IGMP activée).

    La télévision en différé fonctionne sans problème car il ne s’agit pas de multidiffusion.

    Quelqu’un a-t-il eu une expérience avec cela, des idées ou des suggestions sur ce que nous pourrions essayer d’autre ? Je n’ai pas modifié la configuration du proxy IGMP, j’ai juste saisi les adresses correspondantes (en aval/en amont) dans l’interface graphique de configuration.

    Avec mes meilleures salutations

    iptables

    Afficher la langue d’origine (Allemand)

    Oui, j’ai également configuré les règles de pare-feu en conséquence. Wireshark affiche également un joli trafic multicast à TV-Box, jusqu’au point où la boîte envoie le message « quitter le groupe »…

    Afficher la langue d’origine (Allemand)

    Est-ce que ça a déjà fonctionné ? par exemple avec la version 2.2.6 et maintenant plus avec la 2.3 ?

    Comment as-tu configuré le WAN ? Le VLAN est-il étiqueté sur le pfsense ou sur le matériel du convertisseur ?

    Afficher la langue d’origine (Allemand)

    Quelle que soit la version, j’avais toujours des interruptions et je me contentais de regarder la télévision avec un décalage de 10 secondes. Le VLAN est balisé sur le pfsense.

    Maintenant, j’ai regardé à nouveau les règles du pare-feu (pour ce qui semblait être la 100ème fois) et j’ai vu que l’adresse WAN était entrée comme destination de la règle “PASS: IGMP” sur l’interface WAN. Après avoir changé la destination en any et redémarré, cela semble maintenant fonctionner 🙂

    C’est juste étrange que je ne l’ai pas remarqué plus tôt… Merci pour votre contribution.

    iptables

    Afficher la langue d’origine (Allemand)

    Ok, alors tout va bien à nouveau.

    Je pensais encore à un bug dans le proxy igmp de la version actuelle, qui n’utilise apparemment pas l’interface VLAN. Cela touche particulièrement les Allemands et aurait pu jouer un rôle dans cette affaire.

    https://redmine.pfsense.org/issues/6099

    Je ne peux pas tester ce genre de choses moi-même pour le moment car les services de mon bureau PME sont distincts d’Internet (si vous utilisez le relais PPPoE).

    Afficher la langue d’origine (Allemand)

    Heureusement, cela ne semble pas être lié à ce bug… c’est un gros sujet là-bas 😮

    Petit addendum aux règles FW : avec la règle PASS: IGMP vous pouvez la limiter à 224.0.0.0/4 si vous ne souhaitez utiliser ANY comme destination. Au moins, je n’ai remarqué aucun problème hier… cela devrait être correct, non ?

    Cordialement

    adresse IP

    Afficher la langue d’origine (Allemand)

    Oui, tu peux le faire comme ça.

    Finalement, ce n’est pas vraiment pertinent. Seul le trafic multicast autorisé par le fournisseur de réseau se trouve sur le réseau.

    Théoriquement, vous pourriez autoriser ou non spécifiquement les flux IPTV.

    Je ne pense pas que cela soit pertinent pour la sécurité et je ne l’ai jamais fait. Le véritable problème réside dans le fournisseur de réseau lui-même, qui ne peut pas limiter les flux à ses clients.

    Je pense que les gens sont très paresseux là-bas et ne le font pas par commodité car cela représenterait aussi un effort supplémentaire.

    Afficher la langue d’origine (Allemand)
    5 mois plus tard

    @Tux0ne

    @iptables

    Bonjour à tous,

    J’ai le même problème : le proxy IGMP sur pfsense ne fonctionne pas vraiment de manière stable (j’utilise une carte APU2 de pcengines.ch comme matériel).

    Depuis la version 2.3.x c’est encore pire qu’avec la 2.2.x

    J’ai la Swisscom Standard Internet Box en mode DMZ, qui pointe vers l’interface WAN du PFSense.

    Le proxy IGMP est configuré comme suit

    Interface LAN, type en aval 192.168.151.0/24

    Interface WAN, tapez en amont 224.0.0.0/4, 195.186.0.0/16, 213.3.72.0/24

    Pour ce faire, j’ai créé un alias réseau grp_SwisscomTV_Infrastructure, qui contient les adresses suivantes :

    195.186.0.0/16 Swisscom TV

    213.3.72.0/21 Swisscom TV 2.0

    224.0.0.0/4 Multidiffusion

    239.186.0.0/16 Flux entrant

    Règles de pare-feu sur l’interface WAN :

    IPv4 IGMP Tout:Tout Tout:Tout

    IPv4 UDP groupe_SwisscomTV_Infrastructure:tout groupe_SwisscomTV_Infrastructure:tout

    Règles de pare-feu sur l’interface LAN :

    IPv4 : TOUT Réseau LAN : tout groupe_SwisscomTV_Infrastructure : tout

    Qu’est-ce que j’ai oublié :-)?

    Afficher la langue d’origine (Allemand)

    À première vue, il me manque l’option avancée permettant d’autoriser les paquets avec options IP.

    Mais peut-être qu’Ishan @dicBoHift pourra en dire plus. Je pense qu’il utilise toujours une configuration comme celle-là.

    Pas moi. Les services Swisscom se trouvent en dehors de mon réseau IP dont j’ai besoin pour mes affaires.

    Afficher la langue d’origine (Allemand)

    @Tux0ne

    salut Tuxone,

    J’ai défini « Autoriser les options IP » sur la règle IGMP de l’interface WAN.

    J’ai maintenant configuré les éléments suivants sur l’interface LAN, mais je ne sais pas si cela est nécessaire. dans votre entrée de blog, vous avez simplement Any ouvert ici…

    IPv4 : Tout groupe_SwisscomTV_Infrastructure : Tout groupe_SwisscomTV_Infrastructure : Toute

    Mais je ne pense pas que le Swisscom TV Box utilise des paquets avec SRC de la plage multicast…

    J’ai actuellement Swisscom TV dans un VLAN séparé et je l’achemine autour de mes autres sous-réseaux et de Pfsense…

    Afficher la langue d’origine (Allemand)
    un mois plus tard

    Sali @tohil

    J’étais occupé à déménager la semaine dernière et je n’ai pu examiner votre message de plus près que maintenant. J’ai pfSense 2.3.2 fonctionnant sur un pcengines APU1d4, mais connecté directement au verre via un convertisseur de média. Les choses fonctionnent parfaitement pour moi depuis que j’ai ajusté ma règle FW (voir ci-dessus).

    Je ne sais pas si elle a une connexion avec le mode DMZ, la box Internet est plutôt une boîte noire… Je n’ai aucune idée de ce qui se passe dedans dans ledit mode… une chose ou une autre ne l’est probablement pas aller à l’IP du pfSense WAN si sur la photo 😕

    La seule chose que j’ai remarquée dans vos règles FW - qui est probablement plutôt un défaut esthétique - se trouve dans votre alias grp_SwisscomTV_infrastructure.

    224.0.0.0/4 est 224.0.0.0 - 239.255.255.255, donc 239.186.0.0/16 est déjà inclus et n’a pas besoin d’être mentionné séparément.

    Cordialement

    adresse IP

    Afficher la langue d’origine (Allemand)

    @iptables

    Merci pour le conseil, j’ai ajusté l’alias et supprimé 239.186.0.0/16 !

    Même si ce n’est que cosmétique, cela simplifie les règles FW du système.

    Oui, je pourrais bien jeter la désolée box Internet à la poubelle. Je ne comprends vraiment pas pourquoi vous ne pouvez pas activer un mode pont et je suis d’accord sur le fait que Swisscom ne peut garantir aucune assistance pour autre chose.

    Pendant la diffusion en direct, il y a des interruptions de durée différente chaque minute, ou il y a des fragments dans l’image.

    De plus, le rembobinage n’est parfois pas possible et un message d’erreur apparaît…

    Salutation

    Afficher la langue d’origine (Allemand)

    @tohil

    Cela semble vraiment un peu étrange… Je ne suis pas sûr que le ver soit réellement dans le proxy IGMP. Le fait que le rembobinage ne fonctionne parfois pas me rend un peu méfiant. Les flux décalés dans le temps sont des flux TCP tout à fait normaux, qui sont initiés à partir du TV-Box.

    Wireshark m’a été d’une grande aide à l’époque, car il m’a permis de voir quel trafic circulait sur le réseau et m’a ainsi permis de mieux comprendre l’analyse des erreurs.

    Ce petit résumé pourrait déjà être utile (mes découvertes des enregistrements Wireshark du port TV-Box en miroir) :

    TV-Box est 192.168.1.33

    pfSense est 192.168.1.1

    Si je passe à une nouvelle chaîne, les 10 premières sont un flux UDP unicast (213.3.76.5 -> 192.168.1.33).

    10 secondes plus tard, ce qui suit se produit : 192.168.1.33 envoie un rapport d’adhésion IGMP à l’adresse de multidiffusion de l’émetteur correspondant (par exemple 239.186.68.1 pour SRF1) pour rejoindre le flux. Le flux udp multicast commence alors à circuler (213.3.72.5 -> 239.186.68.1)

    Si je passe à une autre station, la box envoie un groupe de congé ‘239.186.68.1’ via IGMP à l’adresse de destination 224.0.0.2 (tous les routeurs de ce sous-réseau). Et le jeu recommence.

    Comme je l’ai dit, la télévision en différé est un flux TCP unicast, par exemple 213.3.74.22 -> 192.168.1.33.

    J’espère que cela vous éclairera un peu… Je pourrais bien sûr aussi m’amuser à sortir la box Internet de la cave et tester si j’aurais des problèmes similaires avec le mode DMZ… mais je redoute ça, car nous savons tous qu’il ne faut pas réveiller les chiens endormis ^^

    Recevez-vous occasionnellement l’écran noir « Malheureusement, aucun signal n’est disponible sur cette chaîne de télévision pour le moment » lorsque vous interrompez la diffusion en direct ?

    Que dit le message d’erreur lors du rembobinage ?

    Acclamations

    P.S. J’ai découvert une autre petite erreur cosmétique : SCTV2.0 est 213.3.72.0/24 et non 213.3.72.0/21 😉

    Afficher la langue d’origine (Allemand)

    @iptables

    Bonjour,

    Oui, un retard n’est pas un problème, pour une raison technique connue 🙂

    Parfois, le remontage ne fonctionne tout simplement pas… le système ne répond pas et à un moment donné le message “La sélection ne peut pas être lue” apparaît.

    Je n’ai pas eu d’écran noir avec “aucun signal de cette station” depuis un moment.

    Je pense aussi que cela a à voir avec le mode DMZ de l’Internet Standard Box. Peut-être que je mettrai à nouveau fin au VLAN Swisscom TV directement sur le routeur, au lieu de derrière l’interface pfSense…

    Salutation

    Afficher la langue d’origine (Allemand)

    @iptables

    @Tux0ne

    Bonjour iptables,

    Je pense que le réseau 213.3.72.0/21 était correct. Au moins j’ai dû le régler à nouveau car certains canaux ne fonctionnaient plus et d’après le log ils étaient dans le réseau 213.3.75.x.

    Je n’ai pas encore exécuté de Wireshark… mais je peux le voir dans le journal FW pendant le décrochage

    224.0.x.0 sur l’interface WAN pfSense 192.168.199.2 supprime IGMP

    Bien qu’IGMP soit ouvert à TOUS… peut-être un problème avec les états expirés ?

    Afficher la langue d’origine (Allemand)