pfsense IGMP Proxy: TV-Box interrompe il live streaming dopo alcuni minuti

iptables · 3 giu 2016

pfsense IGMP Proxy: TV-Box interrompe il live streaming dopo alcuni minuti

Valori SCC

Ho configurato un firewall pfsense a casa (FTTH, collegato direttamente al convertitore multimediale).

Con SCTV 2.0 si verifica il seguente fenomeno: Se guardo uno streaming live, lo streaming si interrompe dopo alcuni minuti e appare una schermata nera con il messaggio “Purtroppo al momento non è disponibile alcun segnale da questa stazione”.

Se approfondisci ulteriormente la questione, puoi vedere in Wireshark che TV-Box prima si registra correttamente con il gruppo multicast corrispondente (di conseguenza, lo stream funziona perfettamente tramite multicast). Tuttavia, alla successiva “richiesta di adesione” del proxy IGMP, il TV-Box restituisce sempre un “gruppo di uscita”, che ovviamente porta all’interruzione dello streaming.

Questo comportamento è indipendente dal fatto che il TV-Box sia collegato direttamente al pfsense o tramite uno switch (Netgear GS108E con snooping IGMP attivato).

La televisione differita funziona senza problemi poiché non è multicast.

Qualcuno ha avuto qualche esperienza in merito, qualche idea o suggerimento su cos’altro potremmo provare? Non ho modificato la configurazione del proxy IGMP, ho semplicemente inserito gli indirizzi corrispondenti (downstream/upstream) nella GUI di configurazione.

Distinti saluti

iptables

Tux0ne · 3 giu 2016

Hai creato anche regole firewall adeguate?

[http://www.tuxone.ch/2012/06/pfsense-21-mit-swisscom-access.html](http://www.tuxone.ch/2012/06/pfsense-21-mit-swisscom- accesso.html)

iptables · 3 giu 2016

Sì, ho configurato di conseguenza anche le regole del firewall. Wireshark mostra bene anche il traffico multicast a TV-Box, fino al punto in cui la casella invia il messaggio “lascia gruppo”…

Tux0ne · 4 giu 2016

Ha mai funzionato? ad es. con la versione 2.2.6 e ora non più con la 2.3?

Come hai configurato la WAN? La VLAN è contrassegnata sul pfsense o sull’hardware del convertitore?

iptables · 5 giu 2016

Indipendentemente dalla versione, avevo sempre delle interruzioni e mi accontentavo di guardare la TV con un ritardo di 10 secondi. La VLAN è contrassegnata su pfsense.

Ora ho esaminato di nuovo le regole del firewall (per quella che sembrava la centesima volta) e in realtà ho visto che l’indirizzo WAN era stato inserito come destinazione per la regola “PASS: IGMP” sull’interfaccia WAN. Dopo aver cambiato la destinazione in any e riavviato, ora sembra funzionare 🙂

È strano che non l’abbia notato prima… Grazie per il tuo contributo.

iptables

Tux0ne · 6 giu 2016

Ok, allora è di nuovo tutto a posto.

Stavo ancora pensando a un bug nel proxy igmp della versione attuale, che a quanto pare non utilizza l’interfaccia VLAN. Ciò colpisce soprattutto i tedeschi e avrebbe potuto entrare in gioco in questo caso.

https://redmine.pfsense.org/issues/6099

Al momento non posso testare personalmente cose del genere perché i servizi del mio ufficio PMI sono separati da Internet (se si utilizza il passthrough PPPoE).

iptables · 6 giu 2016

Fortunatamente non sembra essere correlato a questo bug… è un argomento molto importante lì 😮

Piccola aggiunta alle regole FW: con la regola PASS: IGMP puoi limitarlo a 224.0.0.0/4 se non vuoi usare ANY come destinazione. Almeno ieri non ho notato alcun problema… dovrebbe essere corretto, giusto?

Distinti saluti

ip

Tux0ne · 6 giu 2016

Sì, puoi farlo così.

Alla fine, non è davvero rilevante. Sulla rete è presente solo il traffico multicast consentito dal provider di rete.

In teoria, potresti consentire specificatamente gli streaming IPTV o meno.

Non penso che questo sia rilevante per la sicurezza e non l’ho mai fatto. Il vero problema risiede nello stesso operatore di rete, che non può limitare lo streaming ai propri clienti.

Penso che lì la gente sia molto pigra e non lo faccia per comodità perché anche questo sarebbe uno sforzo aggiuntivo.

tohil · 28 ott 2016

@Tux0ne

@iptables

Ciao a tutti,

Ho lo stesso problema che il proxy IGMP su pfsense non funziona in modo stabile (utilizzo una scheda APU2 di pcengines.ch come hardware).

Dalla versione 2.3.x è ancora peggio che con la 2.2.x

Ho lo Swisscom Standard Internet Box in modalità DMZ, che punta all’interfaccia WAN del PFSense.

Il proxy IGMP è configurato come segue

Interfaccia LAN, tipo downstream 192.168.151.0/24

Interfaccia WAN, tipo upstream 224.0.0.0/4, 195.186.0.0/16, 213.3.72.0/24

Per fare questo ho creato un alias di rete grp_SwisscomTV_Infrastructure, che contiene i seguenti indirizzi:

195.186.0.0/16 Swisscom TV

213.3.72.0/21 Swisscom TV 2.0

224.0.0.0/4 Multicast

239.186.0.0/16 Flusso in entrata

Regole del firewall sull’interfaccia WAN:

IPv4 IGMP Qualsiasi:Qualsiasi Qualunque:Qualsiasi

IPv4 UDP grp_SwisscomTV_Infrastruttura:qualsiasi grp_SwisscomTV_Infrastruttura:qualsiasi

Regole firewall sull’interfaccia LAN:

IPv4:QUALSIASI Rete LAN:qualsiasi grp_SwisscomTV_Infrastruttura:qualsiasi

Cosa ho dimenticato :-)?

Tux0ne · 28 ott 2016

A prima vista, mi manca l’opzione avanzata con autorizzazione pacchetti con opzioni IP.

Ma forse ishan @dicBoHift può dire di più. Penso che abbia ancora una configurazione del genere in uso.

Non io. I servizi Swisscom sono al di fuori della mia rete IP e mi servono per le mie cose.

tohil · 28 ott 2016

@Tux0ne

ciao Tuxone,

Ho impostato “Consenti opzioni IP” nella regola IGMP sull’interfaccia WAN.

Ora ho impostato quanto segue sull’interfaccia LAN, ma non so se sia necessario. nel tuo post sul blog, hai semplicemente Any aperto qui…

IPv4:Qualsiasi grp_SwisscomTV_Infrastruttura:Qualsiasi grp_SwisscomTV_Infrastruttura:Qualsiasi

Ma non penso che Swisscom TV Box utilizzi pacchetti con SRC dell’intervallo multicast…

Al momento ho Swisscom TV in una VLAN separata e lo instrada attorno alle mie altre sottoreti e Pfsense…

iptables · 12 dic 2016

Sali @tohil

La scorsa settimana ero impegnato in un trasloco e solo ora ho potuto dare un’occhiata più da vicino al tuo post. Ho pfSense 2.3.2 in esecuzione su un APU1d4 di PCengines, ma collegato direttamente al vetro tramite un convertitore multimediale. Le cose hanno funzionato perfettamente per me da quando ho modificato la mia regola FW (vedi sopra).

Non so se ha una connessione con la modalità DMZ, la scatola Internet è più una scatola nera… non ho idea di cosa succeda in questa modalità… una cosa o l’altra probabilmente non lo è andando all’IP della WAN pfSense se raffigurato 😕

L’unica cosa che ho notato nelle tue regole FW - che probabilmente è più un difetto estetico - è nel tuo alias grp_SwisscomTV_infrastructure.

224.0.0.0/4 è 224.0.0.0 - 239.255.255.255, quindi 239.186.0.0/16 è già incluso e non è necessario menzionarlo separatamente.

Distinti saluti

ip

tohil · 13 dic 2016

@iptables

Grazie per il suggerimento, ho modificato l’alias e rimosso 239.186.0.0/16!

Anche se è solo estetico, semplifica le regole FW nel sistema.

Sì, potrei davvero gettare la misera scatola di Internet nella spazzatura. Davvero non capisco perché non si possa attivare una modalità bridge e convenire che Swisscom non possa garantire il supporto per altro.

Durante lo streaming live si verificano interruzioni di durata diversa ogni minuto oppure sono presenti frammenti nell’immagine.

Inoltre, a volte il riavvolgimento non è possibile e viene visualizzato un messaggio di errore…

Saluto

iptables · 14 dic 2016

@tohil

Sembra davvero un po’ strano… Non sono sicuro che il worm sia davvero nel proxy IGMP. Il fatto che il riavvolgimento a volte non funzioni mi rende un po’ sospettoso. I flussi spostati nel tempo sono flussi TCP del tutto normali, che vengono avviati da TV-Box.

Wireshark mi è stato di grande aiuto all’epoca, poiché mi ha permesso di vedere quale traffico era in esecuzione sulla rete e quindi mi ha dato una migliore comprensione dell’analisi degli errori.

Questo piccolo riepilogo potrebbe già essere utile (i miei risultati dalle registrazioni di Wireshark dalla porta TV-Box con mirroring):

TV-Box è 192.168.1.33

pfSense è 192.168.1.1

Se passo a un nuovo canale, i primi 10 sono un flusso udp unicast (213.3.76.5 -> 192.168.1.33).

Dopo 10 secondi accade quanto segue: 192.168.1.33 invia un rapporto di adesione IGMP all’indirizzo multicast del trasmettitore corrispondente (ad esempio 239.186.68.1 per SRF1) per unirsi allo stream. Il flusso udp multicast inizia quindi a fluire (213.3.72.5 -> 239.186.68.1)

Se passo a un’altra stazione, il box invia un gruppo di uscita ‘239.186.68.1’ tramite IGMP all’indirizzo di destinazione 224.0.0.2 (tutti i router su questa sottorete). E il gioco ricomincia.

Come ho detto, la televisione in differita è un flusso TCP unicast, ad esempio 213.3.74.22 -> 192.168.1.33.

Spero che questo faccia un po’ di luce sulla questione… ovviamente potrei anche divertirmi a tirare fuori la scatola Internet dal seminterrato e testare se avrei problemi simili con la modalità DMZ… ma temo che, poiché sappiamo tutti che non svegliare i cani che dormono ^^

Ti capita di tanto in tanto di visualizzare la schermata nera “Purtroppo al momento non c’è segnale disponibile da questo canale TV” quando interrompi lo streaming live?

Cosa dice il messaggio di errore durante il riavvolgimento?

Saluti

PS Ho scoperto un altro piccolo errore estetico: SCTV2.0 è 213.3.72.0/24 e non 213.3.72.0/21 😉

tohil · 15 dic 2016

@iptables

Buongiorno,

Sì, un ritardo non è un problema, per un noto motivo tecnico 🙂

La ricarica a volte semplicemente non funziona… il sistema non risponde e ad un certo punto appare il messaggio “La selezione non può essere riprodotta”.

È da un po’ che non vedo lo schermo nero con la scritta “nessun segnale da questa stazione”.

Credo anche che abbia a che fare con la modalità DMZ dell’Internet Standard Box. Forse terminerò di nuovo la VLAN Swisscom TV direttamente sul router, invece che dietro l’interfaccia pfSense…

Saluto

tohil · 18 dic 2016

@iptables

@Tux0ne

Ciao iptables,

Penso che la rete 213.3.72.0/21 fosse corretta. Almeno ho dovuto modificarlo di nuovo perché alcuni canali non funzionavano più e secondo il log erano nella rete 213.3.75.x.

Non ho ancora eseguito un Wireshark… ma posso vederlo nel registro FW durante lo stallo

224.0.x.0 sull’interfaccia WAN pfSense 192.168.199.2 rilascia IGMP

Sebbene l’IGMP sia aperto a QUALSIASI… forse un problema con gli stati scaduti?