• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

iPad mit Swisscom TV verbinden über zwei Subnetze

crazyx
Level 2
1 von 23

Guten Tag zusammen,

 

Dies ist mein erster Beitrag in dieser Community.

 

Ich habe da ein Problem, welches ich euch kurz erläutern möchte.

 

Ich habe seit ca. 3 Wochen nun Swisscom TV bei mir zu Hause mit folgendem Setup:

 

- Centro Grande (Pirelli) mit IP Weiterleitung auf meine Firewall

- Am Centro Grande habe ich meine Swisscom TV Box angeschlossen, da ich mit dem Multicast Problem noch konfrontiert bin und noch keine Lösung habe.

- Hinter der der Firewall hängen PC's, Drucker, WLAN Access Point etc...

 

Nun habe ich das Problem, dass wenn ich mit dem iPad via Wlan (hinter der Firewall) verbunden bin, mich mit der Swisscom TV Box nicht verbinden kann.

 

Schalte ich aber im CG das WLAN an, dann geht die Verbindung ohne Probleme.

 

Problem ist jedoch, dass ich den CG ziemlich weit entfernt von meinem Wohnbereich habe und so eine WLan Verbindung vom iPad zum CG nicht möglich ist.

 

Ich gehe davon aus, dass ich ein Routing Problem habe, aber ich weiss nicht, wie ich das angehen soll/muss. Den erweiterten Admin Modus habe ich auf dem CG schon mal eingerichtet, sofern dies nötig ist.

 

Danke für Tips und Tricks

crazyx

 

HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
crazyx
Level 2
23 von 23

Hallo TuxOne,

 

Ende gut, alles gut...Ich habe nun eine dedizierte Hardware mit pfsense hingestellt und siehe da, Swisscom TV läuft auf beiden Boxen in meinem LAN-Segment problemlos. Für mich heisst das, dass das Problem wirklich die virtuellen und shared Netzwerk Interfaces mit/von VMWare waren.

 

Danke für deine Unterstützung und deinen tollen Beitrag auf deiner Webseite bezüglich Konfiguration von pfsense.

 

Gruss crazyx

Editiert
22 Kommentare 22
WalterB
Super User
2 von 23

So wie es aussieht ist es Deine zusätzliche Firewall welche blockt, Du siehst ja wie Du selber erwähnst wenn das WLAN vom Router benützt wird das es dann geht und sobald das zusätzliche WLAN mit der Firewall verwendet wird, es nicht mehr funktioniert.

Leider kann ich Dir auch nicht sagen welches Port Du bei Deiner Firewall freigeben musst !

 

N.b. was ist der Grund das Du eine zusätzliche Firewall verwendest, normal genügt die Firewall vom Swisscom Router ohne Probleme und wenn es Mac und WIN PC sind haben die auch noch eine ?

Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
Alles was mit Elektrotechnik zu tun hat.
IT: Windows, macOS und Linux.
crazyx
Level 2
3 von 23

Ich bin mir eben noch nicht sicher, ob wirklich die Firewall das Problem ist. Wenn ich mich auf den CG verbinden will, dann geht das ja auch via Browser. Leider kann ich die Swisscom TV Box nicht mal pingen aus dem geschützen Netzwerksegment.

 

- Ist das Problem nun auf der Firewall zu suchen?

- Ist das Problem auf dem CG zu suchen?

 

Mir wäre eigentlich am liebsten, wenn ich die beiden Swissocm TV Boxen in den geschützten Bereich stellen könnte. Aber dies geht wegen der Multicast Problematik nicht.

 

Wieso ich eine "Extended Firewall" benutze. Ich betreibe nebenbei noch einen Webserver, habe meinen VPN Zugang konfiguriert, mache Content Filtering, Mailserver usw..

 

Also wenn jemand eine Idee hst, wo ich schrauben muss, dann bin ich sehr dankbar.

 

danke crazyx

Tux0ne
Level 9
4 von 23

Ich habe kein ipad und kenne die Koppelung mit SCTV nicht und kann sich auch nicht analysieren.

Grundsätzlich scheitern solche Sachen an den Broadcast-Domänen.

 

Interessanter finde ich den Wunsch die STB hinter die Firewall zu hängen.

Was für eine Firewall hast du?

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
crazyx
Level 2
5 von 23

Hallo TuxOne,

 

Von deinen Blogs habe ich schon einige gelesen auf deiner Homepage....Du scheinst richtig fit zu sein...Bravo!

 

Ich verwende ClearOS (http://www.clearcenter.com). Da ich hatte mein Anliegen betreffend IPTV Box im geschützten LAN Bereich bereits platziert. Leider habe ich keine brauchbare Antwort erhalten, da dies ja auch kein Business Alltagsfall ist.


Meine Recherchen haben folgenden Blog gefunden: http://ik222.tweakblogs.net/. Nur weiss ich nicht genau, wie ich das auf meine Umgebung adaptieren kann, da ich ja nicht VLC nutzen will.

 

Gruss crazyx

crazyx
Level 2
6 von 23

so ich habe eine Lösung gefunden, bin mir aber nicht sicher, ob dies Security mässig auch gut ist.

 

Wie Walter richtig vermutet hatte, lag das Problem bei der Firewall. Ich habe mal direkt ein Ping auf der Firewall auf die Swisscom TV Box abgesetzt und keine Antwort erhalten.

 

Anschliessend kam mir die Idee, dass ich eine viruelle IP Adresse auf dem WAN-Port vergeben könnte, welche 19.168.1.2 lautet, also ausserhalb des DHCP Ranges vom CG. Und voila, ich kann mich mit dem iPad auf die Swisscom TV Box verbinden.

 

Ist das schlau, was ich da gemacht habe?

 

Gruss crazyx

 

 

micro
Level 7
7 von 23

Tux0ne schrieb:

Interessanter finde ich den Wunsch die STB hinter die Firewall zu hängen.

 


Das ist so nötig wie ein Kropf 🙂

Swisscom TV kommt zwar via IP, aber nicht über das Internet. Swisscom TV wird über ein eigenes Netz innerhalb des Swisscom Netzes geliefert. Es gibt zwar noch potentielle Gefahren innerhalb des Netzes, aber wenn du davor Angst hasst, dann darfst du auch nicht mobil oder via Festnetz telefonieren.

Tux0ne
Level 9
8 von 23

Zu deiner virtuellen IP kann ich nicht viel sagen.

Da bin ich nicht so fit. Aber ich meinte das diese alleine nicht reicht und du noch eine route machen musstest oder dies centos bereits erledigt?

 

Den udpxy aus dem Blog wirst du auch nicht brauchen können. Dazu müssten die Anfragen der Box ja quasi umgeschrieben werden.

Hingegen denke ich das man den igmpproxy installieren könnte und die entsprechenden Anpassungen in der igmpproxy.conf vornimmt. http://supportcommunity.swisscom.ch/t5/Diskussionen-zu-PC-Heimnetzwerk/Firewall-Eigenbau-IPFire-alix...

 

@micro Meist geht es gar nicht um Sicherheit. Du kannst es nennen wie du willst. Router, Firewall oder UTM. Der Wunsch ein kontrolliertes Netz zu haben, das ist der Punkt. Wer zB. kein Datamart hat, der sucht sich seinen Weg halt auf anderen Pfaden 🙂

 

 

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
crazyx
Level 2
9 von 23

Hallo TuxOne,

 

Bis jetzt funktioniert es mit der virtuellen IP ohne Probleme...Mal schauen, welche Nebeneffekte noch auftauchen werden.

 

Ich werde mich mal gelegentlich dem igmpproxy Theman annehmen...und mich wieder melden.

 

Danke mal für den Tip und die Info.

 

Guter Wochenstart

crazyx

 

 

crazyx
Level 2
10 von 23

Hallo Tuxone,

 

So ich mal mal einige Sachen mit igmpproxy getestet, aber für mich keine befriedigende Lösung gefunden

 

  • Zuerst habe ich ein zusätzliches ClearOS Testsystem auf einem ESXi aufgebaut und igmpproxy installiert. Leider habe ich das Baby hier nicht zum Schaukeln gebracht. Die Debug Logs von igmpproxy haben wir dabei nicht entsprechend weitergeholfen. Das Bild der SCTV stand nach einigen Sekunden immer wieder still.
  • Anschliessend habe ich mal IPFire installiert (auch auf dem ESXi). Da konnte ich das Baby zum Schaukeln bringen...Und ich hatte eine Riesenfreude....Es lief ganz nach meinen Vorstellungen. Ich hatte in der Zwischenzeit die DHCP Einstellungen so vorgenommen, sodass dass die Swisscom Box via MAC-Adresse vom DHCP Server den richtigen Gateway bekam ohne die bestehende Infrastruktur zu modifizieren. Also mit zwei Gateways. Ich musste dann auf einmal aber feststellen, dass meine beiden Airport Extreme via WLAN keine mobilen Geräte mehr aufs Netz liessen, solange die SCTV Box lief. D.h. mit der Lösung des einen Problems, hatte ich auf einmal wieder ein neues. Die SCTV hängt momentan wieder am LAN. Ich gehe mal davon aus, dass die Probleme mit den Airports mit dem Multicast zu tun haben....Aber wo suchen, wo schrauben?
  • Was ich noch versuchen könnte ist, dass ich die SCTV in einen DMZ-Subnetz installiere und die entsprechenden Anpassungen mache ?!?!?

 

Das mal ein kleiner Zwischenbericht....

 

Gruss crazyx

Tux0ne
Level 9
11 von 23

@crazyx schrieb:

Hallo Tuxone,

 

So ich mal mal einige Sachen mit igmpproxy getestet, aber für mich keine befriedigende Lösung gefunden

 

  • Zuerst habe ich ein zusätzliches ClearOS Testsystem auf einem ESXi aufgebaut und igmpproxy installiert. Leider habe ich das Baby hier nicht zum Schaukeln gebracht. Die Debug Logs von igmpproxy haben wir dabei nicht entsprechend weitergeholfen. Das Bild der SCTV stand nach einigen Sekunden immer wieder still.
  • Anschliessend habe ich mal IPFire installiert (auch auf dem ESXi). Da konnte ich das Baby zum Schaukeln bringen...Und ich hatte eine Riesenfreude....Es lief ganz nach meinen Vorstellungen. Ich hatte in der Zwischenzeit die DHCP Einstellungen so vorgenommen, sodass dass die Swisscom Box via MAC-Adresse vom DHCP Server den richtigen Gateway bekam ohne die bestehende Infrastruktur zu modifizieren. Also mit zwei Gateways. Ich musste dann auf einmal aber feststellen, dass meine beiden Airport Extreme via WLAN keine mobilen Geräte mehr aufs Netz liessen, solange die SCTV Box lief. D.h. mit der Lösung des einen Problems, hatte ich auf einmal wieder ein neues. Die SCTV hängt momentan wieder am LAN. Ich gehe mal davon aus, dass die Probleme mit den Airports mit dem Multicast zu tun haben....Aber wo suchen, wo schrauben?
  • Was ich noch versuchen könnte ist, dass ich die SCTV in einen DMZ-Subnetz installiere und die entsprechenden Anpassungen mache ?!?!?

 

Das mal ein kleiner Zwischenbericht....

 

Gruss crazyx


 

Hoi crazyx

 

Dieses Problem kannst du eigentlich einfach in den Griff bekommen. Ziemlich sicher unterstützt dein eingesetzer Switch kein igmp snooping und flutet den TV Traffic ins LAN, ergo auch deine Airports.

Dazu gibt es eine einfache Lösung. Sehr günstig gibts diesen Switch auch bei Swisscom und nennt sich dort

Netzwerk Verteiler Box. Auch empfehlen kann ich den Netgear GS108Tv2 .

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
crazyx
Level 2
12 von 23

Hallo TuxOne,

 

Ich habe mir gerade vor einigen Wochen einen HP Procurve 1810-24G Switch gekauft...grrr....der 1910-G24 unterstützt IGMP Snooping.... Mal schauen, wohin die Reise geht....!

 

Schönen Sonntag wünsche ich!

 

Gruss crazyx

Tux0ne
Level 9
13 von 23

Morgen crazyx.

 

Gemäss hier arbeitet der HP V1910-G24 korrekt.

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
crazyx
Level 2
14 von 23

Hallo TuxOne,

 

Danke für die Info...Mal schauen, wenn ich das Replacement des Swiches in Angriff nehme...

 

Icn melde mich wieder!

 

Gruss crazyx

crazyx
Level 2
15 von 23

Guten Morgen TuxOne,

 

So den Switch habe ich in der Zwischenzeit ersetzt. Nun das Problem ist insoweit behoben, sodass ich jetzt eine SCTV im LAN Segment problemlos betreiben kann.

 

Nun leider habe ich zwei solche SCTV. Sobald nun beide gleichzeitig laufen, geht es ca. 30 Sekunden und mein WAN-Segment bekommt irgendwie und irgendwo ein Problem, welches ich noch nicht zuordnen konnte. Internet Leitung ist down....Nach Abschaltung eines Gerätes erholt sich SCTV erst nach einigen Minuten.

 

Da spielt es auch keine Rolle, ob die eine Box im LAN und die andere im WAN Segment sitzt. Weiter habe ich eine zweite IPFire Installation erstellt und den Traffic jeweils einer SCTV zugeordnet. Leider hat sich das Verhalten nicht geändert.

 

Hast du irgend einen Tip, was ich da machen könnte, wo ich schrauben muss? Das WAN Segement hatte ich auch schon auf den 1910er mit IGMP-Snooping aktiviert drauf...Brachte leider nix....grrr...

 

Gruss crazyx

 

 

Tux0ne
Level 9
16 von 23

@crazyx schrieb:

Guten Morgen TuxOne,

 

So den Switch habe ich in der Zwischenzeit ersetzt. Nun das Problem ist insoweit behoben, sodass ich jetzt eine SCTV im LAN Segment problemlos betreiben kann.

 

Nun leider habe ich zwei solche SCTV. Sobald nun beide gleichzeitig laufen, geht es ca. 30 Sekunden und mein WAN-Segment bekommt irgendwie und irgendwo ein Problem, welches ich noch nicht zuordnen konnte. Internet Leitung ist down....Nach Abschaltung eines Gerätes erholt sich SCTV erst nach einigen Minuten.

 

Da spielt es auch keine Rolle, ob die eine Box im LAN und die andere im WAN Segment sitzt. Weiter habe ich eine zweite IPFire Installation erstellt und den Traffic jeweils einer SCTV zugeordnet. Leider hat sich das Verhalten nicht geändert.

 

Hast du irgend einen Tip, was ich da machen könnte, wo ich schrauben muss? Das WAN Segement hatte ich auch schon auf den 1910er mit IGMP-Snooping aktiviert drauf...Brachte leider nix....grrr...

 

Gruss crazyx

 

 


 

Kann es sein das mit deinem Setup IGMP leave nicht funktioniert und dir dadurch die Leitung dichtgemacht wird? Da ipfire an sich kein Problem mit mehrern TV Boxen hat, so ist das Problem am ehesten auf Switch Ebene zu suchen.

Wenn du dir jetzt den HP Switch zugelegt hast, so würde ich im anderen Thread mal fragen wie dieser konfiguriert ist.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
crazyx
Level 2
17 von 23

Hallo Tuxone,

 

Ich habe die beiden Boxen in der Zwischenzeit am Laufen über jeweils eine IPFire Installation.

 

Das Problem lag daran, dass ich im IGMPProxy.conf beim SCTV Master Box eintrag statt /32 einen Eintrag mit /30 hatte. Ich dachte mir, mit dieser Konfig könnte ich dann gleich zwei Fliegen mit einer Klappe erschlagen.

 

Der nächste Schritt wird nun sein, dass ich die IGMPProxy.conf so für beide Boxen mit einer IPFire hinkriege.

 

Mal schauen, ob dies mit zwei /32 Einträgen funktioniert.

 

Was ich dich noch fragen wollte...In deiner IGMPProxy.conf Konfig sehe ich, dass du zuerst den Port red0 konfigurierst. Wieso disablest du diesen Port am Schluss deiner Konfig. Die Logik verstehe ich nicht ganz.

 

Zuerst muss ich aber mein IP-Weiterleitungsproblem lösen, welches ich sei dem Firmware Upgrade auf 6.02.02 habe.

 

Das mal ein kleiner Zwischenstand.

 

Gruss crazyx

 

 

crazyx
Level 2
18 von 23

Hallo TuxOne,

 

Sorry, ich hatte deinen Eintrag gar nicht gesehen oder wir waren möglicherweise gleichzeitig dran. Soll ich einfach im igmpproxy.conf jede IP der SCTV-Box einzeln eintragen?

 

Am Einfachsten ist es wohl, wenn ich das kurzum mal so teste.... 🙂

 

Gruss crazyx

Tux0ne
Level 9
19 von 23

Du kannst beide IP's der Boxen eintragen oder dein ganzes Subnet.

Ich habe die IP's der Clients eingetragen.

 

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
crazyx
Level 2
20 von 23

Und du kannst beide gleichzeitig laufen lassen?

 

Gruss crazyx

Nach oben