Live-TV Verbindungsunterbrüche mit PFSense (IGMP aver aktiv)

Neliommiosch84

Guten Tag Liebe Community

Wie in diesem Beitrag ausführlich besprochen habe ich nun endlich mein neues Netz mit einer pfsense umgesetzt.
https://community.swisscom.ch/t5/Sicherheit-im-Internet/DMZ-Firewall-und-WLAN/td-p/791751

So ca. sieht mein Netzwerklayout aus.
IGMP wurde auf dem Switch aktiviert:

IGMP wurde in der pfsense aktiviert:

Und die Firewall regeln (hier vermutlich nichtmal notwendig, da aller ipv4 erlaubt wird, da pfsense ja nur zwischen router von swisscom) (Anleitung von hier: https://www.tuxone.ch/2012/06/pfsense-21-mit-swisscom-access.html😞

WAN:

LAN:

Hoffe ihr habt noch irgendwelche Ideen was hier das Problem sein könnte,
Besten Dank!

PS: Ich erlaube mir mal @Tux0ne zu taggen, da die Anleitung ja von Dir ist.

TomatoTec

Neliommiosch84

Für was hast du die WAN Rule any:any?

Die lässt ja alles vom WAN her hinein und ist dann ja gerade kontraproduktiv für eine Firewall.

Ich habe auch eine pfSense in Einsatz, jedoch mit einem Zyxel Modem im Bridge Mode also ohne die Swisscom IB.

Bei der UDP Rule vom WAN her solltest du zusätzlich den Multicast Bereich und den Bereich für SC TV 2.0 hinzufügen.

Ich hab dies mit Hilfe einer Alias mit einer Rule gelöst.

Des weiteren habe ich dem Swisscom TV ein eigenes VLAN erstellt, da es bei Speedtests im gleichen LAN bei mir zu Bildstörungen kam. Nun ist das IPTV Netz bei mir nur für das SC TV in Verwendung und läuft herforragend.

Noch so einen Hinweis am Rande. Die aktuelle pfSense Version 2.7.1 und 2.7.2 haben im Kernel einen Bug mit dem IGMP Proxy, welcher die Streams nicht beendet und somit zu hoher Downloadbelastung führt. Des Weiteren ist immer ein Sender für eine gewisse Zeit nicht verfügbar (wechselt sich immer wieder).

Dazu hatte ich ein Ticket bei Netgate eröffnet und es wurde behoben. Das heisst in der nächsten Version sollte es wieder funktionieren.

In der Zwischenzeit gibt es einen Kernelfix von Netgate, welcher installiert werden kann siehe meinen Beitrag im Netgate Forum: https://forum.netgate.com/topic/184360/igmp-proxy-no-longer-works-reliably-after-2-7-1-update

r00t

Hi @Neliommiosch84

Du hast dich vermutlich verklickt und in der Firewallregel ICMP (Internet Control Message Protocol) anstelle von IGMP (Internet Group Management Protocol) erlaubt.

r00t

Werner

@r00t

Gutes Auge!

Hätte ich jetzt auf Anhieb selbst nicht sofort gesehen.

Manchmal ist es halt schon so, auch ein scheinbar kompliziertes Problem, kann durch die Korrektur eines ganz simplen Tippfehlers bereits behoben werden. 🙂

r00t

Hallo zusammen

@Werner Danke, danke - dieses Auge habe ich mir mit viel Schweiss, Blut und Frust erarbeitet 😉

@TomatoTec Merci für die Ergänzungen - hoffe meine Netgate 3100 bekommt diesen Patch noch, bevor sie EOL geht, aber für 23.9.1 hat es auf jeden Fall noch gereicht. 😅 OT, aber: welche HW nutzt du eig. für deine Sense?

r00t

TomatoTec

@r00t

Ich nutze momentan für meine pfSense CE 2.7.2 einen Supermicro Server, welcher viel zu viel Leistung hat 😅.

Hardware:

Mainboard: Supermicro X10DRI

CPU: Xeon E5 2640 v3 @ 2.60GHz 8Cores

RAM: 16GB DDR4 ECC

SSD: SanDisk 250GB

Nic: 2x Intel X520 SFP+ und 2x Intel I350

Zuvor hatte ich die pfSense virtuell auf einem Dell PowerEdge R730 mit VMware vSphere ESXi 8.0 und zuvor noch auf Proxmox VE 8. Jedoch immer mir gewissen Performance Problemen, weshalb ich nun seit rund einem Monat den Supermicro Server verwende. Ziel ist es diesen Durch einen Mini PC abzulösen. Eventuell so etwas von Aliexpress: Topton mini PC

TomatoTec

@r00t @Neliommiosch84

Falls jemand die pfSense Kernels mit dem Fix für CE und Plus braucht sind sie hier verfügbar:

https://cloud.tomatotec.ch/index.php/s/9fLQyz46HHqdqPf

Zum installieren am besten den Kernel mit WinSCP auf die pfSense in den /tmp Ordner kopieren und danach entweder über die Shell am Bildschirm oder über SSH den Kernel installieren. Danach einen reboot des Systems durchführen.

# pfSense CE
pkg install -U /tmp/pfSense-kernel-pfSense-2.7.2.r.20231212.1754.pkg

# pfSense Plus
pkg install -U /tmp/pfSense-kernel-pfSense-23.09.1.r.20231212.1855.pkg

Bei mir läuft dies nun ohne Probleme 😀.

millernet

Schön zu sehen, dass es unter den Swisscom Kunden noch echte Connaisseur gibt, welche auf pfSense setzen😉. Als Hardware empfehle ich Netgate Appliances, insbesondere die Netgate 6100 oder 4100 resp. deren Nachfolgeprodukt Netgate 4200. Die Netgate 4100 hat ihren End of Sales erreicht.

Erhältlich sind die Produkte über entsprechende Händler in der Schweiz: https://www.netgate.com/partner-locator#switzerland

Meine Netgate 6100 habe ich von der Contria AG bezogen.

Neliommiosch84

Oh man!
Besten dank, da wär ich jetzt aber auch nie draufgekommen.
Vielen Dank!
Das wars wohl….

Neliommiosch84

Die any:any Rule war temporär da, da ja die IBox von Swisscom immernoch vornedran mit der Firewall läuft. Und ohne diese Rule hätt ich vom Swisscom Subnet nicht ins pfsense subnet connecten können. Kommt aber bald weg, spätestens wenn die DMZ aktiviert wird.

Wow, vielen dank für die Info. Dann werd ich demfall noch der Kernel updaten 🙂

Neliommiosch84

Läuft aktuell auf einem Lenovo M900 Tiny mit USB-LAN Adapter, echter DIY zum Start…. 😁

Tux0ne

Fast perfekt. Ich wünsche euch allen einen baldigen P2P Ausbau und dann eine gute Migration zu einem richtigen Access. In dem Sinne, bis bald 🙂

TomatoTec

@Tux0ne Danke, hoffe auch auf eine baldigen P2P Ausbau. Wird wahrscheinlich aber noch länger dauern, da ich in einem kleineren ländlichen Dorf lebe.

Was hast du dann für ein Setup im Einsatz? Schätze mal Fiber7

Tux0ne

Ja das Glas kommt direkt in die Netgate 6100