• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

pfsense IGMP Proxy: TV-Box unterbricht Live-Stream nach ein paar Minuten

iptables
Level 1
1 von 16

Werte SCC

 

Habe mir zu Hause eine pfsense Firewall eingerichtet (FTTH, direkt mit media converter angeschlossen).

 

Bei SCTV 2.0 zeigt sich dabei folgendes Phänomen: Schaue ich einen live-stream, so unterbricht der Stream nach einigen Minuten und ein schwarzer Bildschirm mit der Meldung "Leider ist von diesem Sender zur Zeit kein Signal verfügbar".

 

Geht man der Sache weiter auf den Grund, so sieht man im Wireshark, dass die TV-Box sich erstmal korrekt bei der entsprechenden multicast Gruppe anmeldet (entsprechend läuft der Stream tadellos via multicast). Bei der darauffolgenden 'membership query' des IGMP Proxy sendet die TV Box jedoch jedesmal ein 'leave group' zurück, was natürlich zum Unterbruch des Streams führt.

Dieses Verhalten ist unabhängig davon, ob die TV Box direkt am pfsense hängt, oder via Switch (Netgear GS108E mit aktiviertem IGMP snooping) angeschlossen ist.

 

Zeitversetztes Fernsehen funktioniert Problemlos, dies ist ja auch nicht Multicast.

 

Hat jemand damit schon Erfahrungen gemacht, Ideen oder Anregungen, was man noch ausprobieren könnte? Die IGMP Proxy Konfiguration habe ich nicht abgeändert, lediglich die entsprechenden Adressen (Downstream/Upstream) im configuration GUI eingetragen.

 

Mit den besten Grüssen

iptables

HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
Tux0ne
Level 9
2 von 16

Hast du auch entsprechende Firewall Regeln erstellt?

http://www.tuxone.ch/2012/06/pfsense-21-mit-swisscom-access.html

 

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
15 Kommentare 15
Tux0ne
Level 9
2 von 16

Hast du auch entsprechende Firewall Regeln erstellt?

http://www.tuxone.ch/2012/06/pfsense-21-mit-swisscom-access.html

 

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
iptables
Level 1
3 von 16
Ja, die Firewallregeln hab ich auch entsprechend konfiguriert. Wireshark zeigt auch schön multicast traffic zur TV-Box,bis zu dem Zeitpunkt an dem die Box die 'leave group' message sendet...
Tux0ne
Level 9
4 von 16

Hat es überhaupt mal funktioniert? zB mit Version 2.2.6 und nun mit 2.3 nicht mehr?

 

Wie hast du das WAN konfiguriert? Wird das VLAN auf der pfsense tagged oder auf der Converter Hardware?

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
iptables
Level 1
5 von 16

Unabhängig von der Version hatte ich die Unterbrüche immer und gab mich damit zufrieden, halt 10s zeitversetzt fern zu sehen. Das VLAN wird auf der pfsense getagged.

 

Nun habe ich die Firewall Regeln nochmals angeschaut (zum gefühlten 100ten Mal) und habe doch tatsächlich gesehen, dass bei der "PASS: IGMP" Regel auf dem WAN interface als destination die WAN Adresse eingetragen war. Nach Änderung der destination zu any und nem reboot scheint es jetzt zu laufen 🙂

 

Komisch nur, dass ich das nicht schon früher bemerkt habe...Vielen Dank für deinen Input.

 

iptables

Tux0ne
Level 9
6 von 16

Ok dann ist ja alles wieder gut.

 

Ich dachte noch an ein Fehler des igmp Proxy in der aktuellen Version welcher scheinbar nicht das VLAN Interface nimmt. Dies betrifft ja vor allem die Deutschen und hätte in diesem Fall auch zum Tragen kommen können.

https://redmine.pfsense.org/issues/6099

 

Selber kann ich solche Dinge aktuell nicht selber testen, da bei my KMU Office die Services vom Internet getrennt sind (sofern man PPPoE Passthrough verwendet).

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
iptables
Level 1
7 von 16

Zum Glück scheint es nicht mit diesem Bug zusammenzuhängen...ist ja ein grosses Thema dort 😮

 

Kleiner Nachtrag zu den FW-Regeln: bei der PASS: IGMP Rule kann man wenn man nicht ANY als destination nehmen will, auf 224.0.0.0/4 einschränken. Zumindest hab ich damit gestern keine Probleme festgestellt...müsste von der Überlegung her stimmen, oder?

 

Beste Grüsse

ip

Tux0ne
Level 9
8 von 16

Ja du kannst das so machen.

Schlussendlich ist es aber nicht wirklich relevant. Auf dem Netz ist nur vom Netzanbieter zugelassener Multicast Verkehr.

Theoretisch könnte man gezielt IPTV Streams zulassen oder auch nicht.

Halte dies nicht für Sicherheitsrelevant und habe dies auch nie gemacht. Das eigentliche Problem liegt beim Netzanbieter selber, welcher die Streams nicht auf seine Kunden beschränken kann.

Ich denke man ist dort also auch sehr faul und macht es aus Bequemlichkeit nicht, da dies auch ein zusätzlicher Aufwand wäre.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
tohil
Level 4
9 von 16

@Tux0ne

@iptables

 

Hallo Zusammen,

 

Ich habe das gleiche Problem, dass der IGMP Proxy auf der pfsense nicht wirklich stabil läuft (Als Hardware nutze ich ein APU2 Board von pcengines.ch).

Seit der Version 2.3.x ist es sogar schlimmer wie mit 2.2.x

 

Die Swisscom Standard Internet Box habe ich im DMZ Mode, welche auf das WAN Interface der  PFSense zeigt.

 

IGMP Proxy ist wie folgt konfiguriert

 

Interface LAN, Type Downstream 192.168.151.0/24

Interface WAN, Type upstream 224.0.0.0/4, 195.186.0.0/16, 213.3.72.0/24

 

Dazu habe ich einen Network Alias grp_SwisscomTV_Infrastructure gemacht, welcher folgende Adressen beinhaltet:

 

195.186.0.0/16 Swisscom TV

213.3.72.0/21 Swisscom TV 2.0

224.0.0.0/4 Multicast

239.186.0.0/16 Inbound Stream

 

Firewall Rules auf dem WAN Interface:

 

IPv4 IGMP Any:Any Any:Any

IPv4 UDP grp_SwisscomTV_Infrastructure:any grp_SwisscomTV_Infrastructure:any

 

Firewall Rules auf dem LAN Interface:

IPv4:ANY LAN net:any grp_SwisscomTV_Infrastructure:any

 

 

Was ging bei mir vergessen :-)?

Tux0ne
Level 9
10 von 16

So auf den ersten Blick fehlt mir die Advanced Option mit allow Packets with IP Options.

 

Aber evtl. kann ishan @dicBoHift mehr sagen. Ich glaube er hat so ein Setup noch in Betrieb.

Ich nicht. Swisscom Services sind ausserhalb meines IP Netzwerkes welches ich für meine Dinge brauche.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
tohil
Level 4
11 von 16

@Tux0ne

 

hi Tuxone,

 

"Allow IP options" habe ich auf der IGMP Rule auf dem WAN Interface gesetzt.

Habe jetzt auf dem LAN Interface noch folgendes eingerichtet, weiss aber nicht ob dies nötig ist. in deinem Blog Eintrag, hast du hier einfach Any offen...

 

IPv4:Any grp_SwisscomTV_Infrastructure:Any grp_SwisscomTV_Infrastructure:Any 

 

Glaube aber nicht, dass die Swisscom TV Box Pakete mit SRC aus dem Multicast Range nutzt...

 

 

Aktuell habe ich Swisscom TV ebenfalls in einem seperaten VLAN und schleusse dies um meine anderen Subnetze und Pfsense vorbei...

iptables
Level 1
12 von 16

Sali @tohil

 

War die letzten Woche mit Umziehen beschäftigt, konnte mir deinen Beitrag erst jetzt genauer ansehen. Ich habe pfSense 2.3.2 auf einem pcengines APU1d4 am laufen, allerdings direkt via Mediaconverter ans Glas angeschlossen. Bei mir lief es seit der Anpassung meiner FW-Regel (siehe weiter oben) einwandfrei.

 

Ob es eventuell einen Zusammenhang mit dem DMZ-Mode hat weiss ich nicht, die Internet Box ist ja eher eine Black Box...keine Ahnung was darin vorgeht im besagten Modus...da wird vermutlich das eine oder andere nicht auf die IP des pfSense WAN if abgebildet 😕

 

Einzige Sache was mir noch aufgefallen ist bei deinen FW-Regeln - wobei vermutlich eher ein Schönheitsfehler - ist bei deinem Alias grp_SwisscomTV_infrastructure.

 

224.0.0.0/4 ist ja 224.0.0.0 - 239.255.255.255, somit ist 239.186.0.0/16 bereits darin enthalten und müsste nicht noch separat erwähnt werden.

 

Beste Grüsse

ip

tohil
Level 4
13 von 16

@iptables

Danke für den Hinweis, habe den Alias angepasst und 239.186.0.0/16 entfernt!

Auch wenn nur Kosmetik, vereinfacht es ja die FW Regeln im System.

 

Ja die leide Internet Box könnt ich echt in die Tonne schmeissen. Verstehe wirklcih nicht, warum man nicht einen Bridge Mode aktivieren kann und dabei zustimmt, dass Swisscom keinen Support für mehr sicherstellen kann.

 

Es unterbricht beim Live-Stream alle Minuten unterschiedlich lang, oder es kommt zu Fragmenten im Bild.

Zudem ist auch das Rückwärtsspulen teils nicht möglich und es erscheint eine Fehlermeldung...

 

Gruss 

iptables
Level 1
14 von 16

@tohil

 

Das klingt echt etwas komisch...bin mir nicht sicher, ob der Wurm wirklich beim IGMP-Proxy liegt. Die Tatsache, dass das Rückwärtsspulen teilweise nicht funktioniert macht mich etwas stutzig. Die zeitversetzten Streams sind nämlich ganz normale TCP Streams, welche von der TV-Box aus initiiert werden.

 

Mir war damals Wireshark eine sehr grosse Hilfe, damit konnte ich sehen was auf dem Netz für traffic läuft und somit hatte ich ein besseres Verständnis für die Fehleranalyse.

 

Diese kleine Zusammenfassung ist vielleicht bereits hilfreich (meine Erkenntnisse aus den Wiresharkaufzeichnungen vom gespiegelten TV-Box Port):

TV-Box ist 192.168.1.33

pfSense ist 192.168.1.1

 

Stelle ich auf einen neuen Sender um, so sind die ersten 10s ein unicast udp Stream (213.3.76.5 -> 192.168.1.33).

10s danach geschieht folgendes: 192.168.1.33 sendet ein IGMP membership report an die Multicastadresse des entsprechenden Senders (z.B. 239.186.68.1 für SRF1) um den Stream zu joinen. Daraufhin beginnt der multicast udp Stream zu fliessen (213.3.72.5 -> 239.186.68.1)

Wechsle ich zu einem anderen Sender, so schickt die Box per IGMP ein leave group '239.186.68.1' an die Zieladresse 224.0.0.2 (all routers on this subnet). Und das Spiel beginnt von vorne.

Zeitversetztes Fernsehen ist wie gesagt ein unicast tcp stream also z.B. 213.3.74.22 -> 192.168.1.33.

 

Hoffe das bringt ein bisschen Licht ins Dunkle...ich könnte mich natürlich auch noch damit amüsieren, die Internetbox aus dem Keller auszugraben und zu testen ob ich ähnliche Probleme mit dem DMZ Modus hätte...davor graut mir aber, man soll ja bekanntlich keine schlafenden Hunde wecken ^^

 

Kommt bei deinen Unterbrüchen des Livestreams auch gelegentlich der Schwarze Bildschirm "Leider ist von diesem TV-Sender momentan kein Signal verfügbar"?

Was sagt die Fehlermeldung beim Rückwärtsspulen?

 

Cheers

 

P.S. Hab nochmals einen kleinen Kosmetikfehler entdeckt: SCTV2.0 ist 213.3.72.0/24 und nicht 213.3.72.0/21 😉

tohil
Level 4
15 von 16

@iptables

 

Guten Morgen,

 

Ja, zeitversetzt ist kein Problem, aus bekanntem technischem Grund 🙂

 

Spulen funktioniert teilweise einfach nicht... das System reagiert nicht und irgendwann erscheint die MEldung "Die Auswahl kann nicht wiedergegeben werden"

 

den schwarzen Bildschirm mit "kein Signal von diesem Sender" hatte ich schon länger nicht mehr.

 

 

Ich glaube auch, dass es im Zusammenhang mit dem DMZ Mode der Internet Standard Box hängt. Evtl terminiere ich das Swisscom TV VLAN wieder direkt auf dem Router, anstelle hinter dem pfSense Interface...

 

 

Gruss

tohil
Level 4
16 von 16

@iptables

@Tux0ne

 

Hoi iptables,

 

also das Netzwerk 213.3.72.0/21 war glaub schon richtig. musste es zumindest wieder anpassen, da gewisse Sender nicht mehr gingen und diese waren gemäss Log im 213.3.75.x Netz.

 

Einen Wireshark habe ich bis jetzt noch nicht laufen gelassen... sehe aber im FW Log wärhrend dem Stocken

 

224.0.x.0 auf pfSense WAN Interface 192.168.199.2 drop IGMP

 

Obwohl IGMP für ANY offen ist... eventuell ein Problem mit abgelaufenen States?

 

 

Nach oben