• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

Swisscom TV an Mikrotik / Multicast Problem?

Losty
Level 1
1 von 20

Hoi zäme

Ich habe (schon länger) einen Mikrotik CCR1009 mit neuestem Router OS V6.42.1 (stable).

Seit neuestem läuft dieser an einem Swisscom Glasfaser-Anschluss (1GB/s inOne L, falls das relevant ist). Das Einrichten auf dem Mikrotik war noch etwas speziell. Dank dem Forum hier habe ich das
- VLAN ID 10 konfiguriert
- DHCP Option 60 gesetzt
- swisscom.ch/access gefunden.

...dass das mitgelieferte SFP-Module der Internet-Box 2 (oder was auch immer) kein Auto-Negotiation unterstützt habe ich selbst heraus gefunden. Fix auf 1GB Full Duplex und schon tut Internet...

Mit der Swisscom TV Box (auch Version 2 *glaub*) hiess es dann "Welcome to the next Level!". Die Box funktioniert an sich: Replay tut, Aufnahmen laufen, sogar Netflix funktioniert. Nur (Live-)TV kann ich nicht schauen. Hier erscheint normal die Meldung "Leider ist von dem Sender zurzeit kein TV Signal verfügbar" (...von allen Sendern). Mitunter lief es auch für ein paar Sekunden, ist aber dann (ohne Meldung) stehen geblieben.

Mit Anschluss via Swisscom Internet Box funktioniert auch Live-TV tadellos, weswegen es ich auf den Mikrotik tippe...

Das Swisscom TV hängt (mittlerweile mit langem Kabel) direkt am Mikrotik um irgendwelche (nicht IGMP fähigen) Switches o.ä. als Fehlerquellen ausschliessen zu können.

Auf dem Mikrotik habe ich IGMP Snooping aktiviert. Im Internet wie auch hier im Forum finden sich viele Verweise auf "IGMP Proxy" und "PIM" - beides scheint es seit RouterOS V6.41 aber nicht mehr zu geben. Neue Doku von Mikrotik ist wohl diese hier: https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#IGMP_Snooping . Mehr als "aktiv" schalten ist hier nicht mehr. Eine Helper IP o.ä. kann ich nicht mehr angeben. Ich glaube aber nicht, dass IGMP das Problem ist, da das nur ein zusätzliches Feature sein sollte um mein Netzwerk zu schonen.

Ich vermute eher, dass hier noch etwas grundlegenderes falsch läuft. Muss ich für Multicast noch irgendwie eine spezielle Firewall-Regel o.ä. anlegen? Eigentlich ist masquerade ohne Protokoll-Einschränkung aktiv:

 

(10.41.42.0 ist mein Lokales Netz und 10.41.42.1 der Mikrotik selber)

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface-list=external log=no log-prefix=""

1 chain=dstnat action=dst-nat to-addresses=10.41.42.20 protocol=tcp in-interface-list=external dst-port=80 log=no log-prefix=""

2 chain=dstnat action=dst-nat to-addresses=10.41.42.20 protocol=tcp in-interface-list=external dst-port=443 log=no log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=10.41.42.11 protocol=tcp in-interface-list=external dst-port=21 log=no log-prefix=""

4 chain=dstnat action=dst-nat to-addresses=10.41.42.11 protocol=tcp in-interface-list=external dst-port=55536-55567 log=no log-prefix=""

5 ;;; NTP
chain=srcnat action=src-nat to-addresses=10.41.42.1 protocol=udp src-port=123

 

Ein separates VLAN für die TV-Box sollte ebenfalls optional sein, richtig?


...oder gibt es gar noch irgendeinen Geheim-cheat ala. swisscom.ch/access-tv?

Schonmal merci vielmol & Viele Grüsse
Jochen

 

HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
lostcarrier
Level 1
8 von 20

OK - habs GELÖST!

 

@user109 so dramatisch forschungs-lastig wars am Ende gar nicht.

 

Die Meldung...

mikrotik: failed to start IGMP proxy, you probably some PIM interfaces configured

...bedeutet wohl tatsächlich, dass sich der IGMP Proxy daran stört, dass auf einem der Interfaces bereits PIM aktiv ist (-> entweder PIM ODER Proxy!).

 

Ich hatte tatsächlich zwei (angeblich "dynamisch") konfigurierte Interfaces im PIM aktiv. Diese waren aber wohl KEINE Artifakte eines IGMP Proxys (wie ich ursprünglich vermutet hatte) sondern irgendwelche Relikte meiner Konfigurations-Versuche. Vmtl. hat irgendein Bug im RouterOS irgendwann verhindert, dass die Interfaces tatsächlich rausgelöscht wurden - seither blieben sie als "dynamisch" konfiguriert. Des Rätsels Lösung: "jeder Boot tut gut", gilt jetzt wohl leider auch für Mikrotik! Ärgerlich, was mich das an Zeit gekostet hat, aber nach dem Reboot waren die Interfaces aus dem PIM verschwunden und der IGMP Proxy konnte dann gestartet werden...

 

19 Kommentare 19
user109
Super User
2 von 20

@Losty man muss ein zusatz Paket (extra package) auf den CCR1009 installieren. https://mikrotik.com/download.

Um PIM & co. nutzen zukönnen.

 

Deine Fehlermeldungen kommen definitiv vom Multicast. Ich habe RB2011UiAS-RM und hAP ac zu Hause.

Weiter wie Du bin ich auch noch nicht gekommen.

Vielleicht hilft dir das weiter :https://www.init7.net/de/support/routerinfos/mikrotik_tv7_d.pdf

das musst Du dan auf das SC-TV anpassen.

Einstellungen:

https://community.swisscom.ch/t5/Swisscom-TV/pfsense-gt-zyxel-gt-linksys-gt-TV/m-p/534164#M36045

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Losty
Level 1
3 von 20

Hey @user109 - vielen Dank für den Tipp!

 

Tatsächlich, kaum installier ich das Paket, sind die Menüpunkte da... leider bisher noch kein Live-TV...

 

Die Init-7-Anleitung ist ziemlich gut. Was hier Swisscom-mässig adaptiert werden muss, bleibt allerdings die Frage. Nur mal, damit wir hier vom gleichen reden:
- Upstream-IF für den IGMP-Proxy ist in diesem Fall nicht SFP1, sondern das Swisscom-VLAN (10)
- DNS Server sollte man auch den Mikrotik selber nehmen können nehme ich an, der dann wiederrum auf die via DHCP gesetzten Swisscom DNS Server zurück greift und das sollte OK sein, oder?
- IGMP Snooping wird laut dieser Anleitung nicht aktiviert - ich nehme mal an das ist eher optional und in der RouterOS Version von Init-7 wohl einfach noch nicht vorhanden.
- Alternative Subnets - sind das die Angaben, die hier im Forum noch so rum schwirren: 224.0.0.0/4, 213.3.72.0/24 und 195.186.0.0/16 ? In wie weit ist das wichtig? 0.0.0.0/0 von Inits-7 klingt für mich nach pauschal ALLES - aber keine Ahnung wie das zu verstehen ist...

 

...das dürfte es dann aber auch schon sein, was bei der Swisscom abweicht.

 

Die Init-7-Anleitung sagt nichts zum Thema PIM. Bei mir finde ich aber
if=register pim IGMPv2
...und...
if=vlan-swisscom pim IGMPv2
...dynamisch aktiviert - vmtl. wegen der IGMP-Proxy Konfiguration.

 

...sollte das nicht auch auf Protocol IGMP und IGMPv3 stehen? Neue PIMs mit IGMPv3 für die IFs anzulegen ist möglich, hilft leider auch nichts.

 

Ansonsten finde ich noch den Rendevous Point 1.1.1.1. Hab diesen ebefalls unter PIM -> RP eingetragen (Group "0.0.0.0/0", korrekt?) leider auch damit noch kein Live-TV...

 

Weitere Ideen?

 

Kann man in den weiteren Tabs von IGMP-Proxy und PIM irgendetwas hilfreiches ablesen?

 

Ich befürchte irgendwie immernoch, dass die Firewall mit diese Multicast-Pakete wegblockt. Den Firewall-Teil aus der Init-7-Anleitung habe ich gemacht, aber sonderlich ausführlich ist die Doku an der stelle auch nicht. Kann man das irgendwie prüfen, ob die Pakete soweit durchkommen?

user109
Super User
4 von 20

@Losty@  schrieb:

Hey @user109 - vielen Dank für den Tipp!

 

Tatsächlich, kaum installier ich das Paket, sind die Menüpunkte da... leider bisher noch kein Live-TV...

 

Die Init-7-Anleitung ist ziemlich gut. Was hier Swisscom-mässig adaptiert werden muss, bleibt allerdings die Frage. Nur mal, damit wir hier vom gleichen reden:
- Upstream-IF für den IGMP-Proxy ist in diesem Fall nicht SFP1, sondern das Swisscom-VLAN (10)

 Antwort: Okay das ist richtig.


- DNS Server sollte man auch den Mikrotik selber nehmen können nehme ich an, der dann wiederrum auf die via DHCP gesetzten Swisscom DNS Server zurück greift und das sollte OK sein, oder?

 Antwort:

Ich habe eine Bridge eingerichtet um 2 Netzbereiche zu haben TV / Internet.


- IGMP Snooping wird laut dieser Anleitung nicht aktiviert - ich nehme mal an das ist eher optional und in der RouterOS Version von Init-7 wohl einfach noch nicht vorhanden.

 Antwort:

IGMP Snooping habe ich mal über die reine Switchfunktion ausprobiert (auch dort kein live TV)

-Vielleicht ist das Problem eine Firewall Einstellung mit dem Live TV.


- Alternative Subnets - sind das die Angaben, die hier im Forum noch so rum schwirren: 224.0.0.0/4, 213.3.72.0/24 und 195.186.0.0/16 ? In wie weit ist das wichtig? 0.0.0.0/0 von Inits-7 klingt für mich nach pauschal ALLES - aber keine Ahnung wie das zu verstehen ist...

 Antwort:

Die Adressen sind wichtig für die Multi-/Unicast und TV-Server.

- Beobachte mal die Firewall wenn Du Replay schaust und TV funktionen aufrufst, dann tauchen diese Adressen in der Firewall auf.

 

...das dürfte es dann aber auch schon sein, was bei der Swisscom abweicht.

 

Die Init-7-Anleitung sagt nichts zum Thema PIM. Bei mir finde ich aber
if=register pim IGMPv2
...und...
if=vlan-swisscom pim IGMPv2
...dynamisch aktiviert - vmtl. wegen der IGMP-Proxy Konfiguration.

 

...sollte das nicht auch auf Protocol IGMP und IGMPv3 stehen? Neue PIMs mit IGMPv3 für die IFs anzulegen ist möglich, hilft leider auch nichts.

 

Ansonsten finde ich noch den Rendevous Point 1.1.1.1. Hab diesen ebefalls unter PIM -> RP eingetragen (Group "0.0.0.0/0", korrekt?) leider auch damit noch kein Live-TV...

 Antwort: Ja das ist korrekt Rendevous Point 1.1.1.1, Group "0.0.0.0/0" oder  Multicast ?, IGMPv3  ist richtig, letztens ist aber unter dieser Adresse ein DNS-Service im öffentlichen Netz erreichbar, weiss aber nicht wie SC das gelöst hat (Adresskonflikt).

https://community.swisscom.ch/t5/Archiv-Internet/Swisscom-TV-Mikrotik-VLAN/m-p/429550#M52119

 

Weitere Ideen?

 Antwort: Alles über MT hier:

 https://www.youtube.com/watch?v=UHyTbfC6Pys&list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3

https://mikrotik-forum.de/index.php

 

Kann man in den weiteren Tabs von IGMP-Proxy und PIM irgendetwas hilfreiches ablesen?

 

Ich befürchte irgendwie immernoch, dass die Firewall mit diese Multicast-Pakete wegblockt. Den Firewall-Teil aus der Init-7-Anleitung habe ich gemacht, aber sonderlich ausführlich ist die Doku an der stelle auch nicht. Kann man das irgendwie prüfen, ob die Pakete soweit durchkommen?

 

Antwort: Ja das kann man bestimmt mit den MT-Tools machen, Fastpath ist auch noch eine Option.

 

Firewall basiert auf IP-Tables mehr Infos:

https://www.youtube.com/watch?v=3NBtrZxctbA&index=4&list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3

,MUM-Videos:

https://www.youtube.com/watch?v=V9OIHKhosds

 

 

Hier noch ein Link zu Multicast:

 

https://de.slideshare.net/faisalr3za/mikrotik-multicast-routing-wwwimxpertco

 


                                                                                >>>>>> WICHTIG<<<<<<<<

 

Zur Info:

Bitte Firmware update auf dem CCR 1009 unbedingt ausführen, wegen der Sache hier:

https://www.heise.de/security/meldung/Cisco-Talos-deckt-riesiges-Router-und-NAS-Botnetz-auf-4056997....

https://www.heise.de/security/meldung/Router-und-NAS-Botnetz-VPNFilter-FBI-kapert-Kontrollserver-405...

https://forum.mikrotik.com/viewtopic.php?f=21&t=134776

 

Gruss User109

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Editiert
Losty
Level 1
5 von 20

Danke für die Tipps.

 

RouterOS bin ich auf dem neuestem Stand - damit hoffentlich safe...

 

Ich habe mich gerade mal auf die Logs gestürzt. Ein wenig Sorgen macht mir die folgende Meldung:

May 25 10:22:01  mikrotik: starting IGMP proxy forwarding
May 25 10:22:01  mikrotik: failed to start IGMP proxy, you probably some PIM interfaces configured

Fragt sich, ob sie meinen "you probably HAVE some" or "probably NEED some PIM interfaces configured". Ich hab im PIM-Teil mal alles raus gelöscht - hilft nicht. Habe PIM noch gutdünken konfiguriert - gleiche Meldung. Google hilft hier leider auch nicht weiter...

 

...ausserdem finde ich noch Zeug wie...

May 25 10:28:11  mikrotik: RX IGMP_MEMBERSHIP_QUERY from 1.1.1.1 to 224.0.0.1 on vif vlan-swisscom: source must be directly connected
May 25 10:31:43 mikrotik: JoinDesired(*,G) = true: upstream neighbor for RP 1.1.1.1 for group 239.255.255.250: not found
May 25 10:31:46 mikrotik: JoinDesired(*,G) = true: upstream neighbor for RP 1.1.1.1 for group 239.192.1.1: not found

...was wohl mit und ohne (manuelle) RP=1.1.1.1 config erscheint.

 

Die IGMP-Pakete von Swisscom TV sowie von Swisscom Upstream habe ich mir jetzt ebenfalls ins Log schreiben lassen - es kommt etwas an (Firewall = OK?) ich kann mir aktuell aber noch keinen Reim drauf machen, ob das so soll oder nicht...

user109
Super User
6 von 20

@Losty eben daran bin ich auch aus Zeitgründen gescheitert. Ich glaube aber mit viel Forschungsdrang und Geduld wirst Du eine Lösung finden.

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Tux0ne
Level 9
7 von 20

Jetzt wird es interessant 🍿Weil das habe ich mich mit den Cloudflare DNS Server so ziemlich als erstes gefragt. Der RP kann gar nicht mehr 1.1.1.1 sein und wird auch nicht mehr ins Swisscom Netz entführt...

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
lostcarrier
Level 1
8 von 20

OK - habs GELÖST!

 

@user109 so dramatisch forschungs-lastig wars am Ende gar nicht.

 

Die Meldung...

mikrotik: failed to start IGMP proxy, you probably some PIM interfaces configured

...bedeutet wohl tatsächlich, dass sich der IGMP Proxy daran stört, dass auf einem der Interfaces bereits PIM aktiv ist (-> entweder PIM ODER Proxy!).

 

Ich hatte tatsächlich zwei (angeblich "dynamisch") konfigurierte Interfaces im PIM aktiv. Diese waren aber wohl KEINE Artifakte eines IGMP Proxys (wie ich ursprünglich vermutet hatte) sondern irgendwelche Relikte meiner Konfigurations-Versuche. Vmtl. hat irgendein Bug im RouterOS irgendwann verhindert, dass die Interfaces tatsächlich rausgelöscht wurden - seither blieben sie als "dynamisch" konfiguriert. Des Rätsels Lösung: "jeder Boot tut gut", gilt jetzt wohl leider auch für Mikrotik! Ärgerlich, was mich das an Zeit gekostet hat, aber nach dem Reboot waren die Interfaces aus dem PIM verschwunden und der IGMP Proxy konnte dann gestartet werden...

 

lostcarrier
Level 1
9 von 20

BTW: Ich würde empfehlen, die Init-7-Anleitung NICHT zu befolgen. Hier wird viel Aufwand darauf verwendet das Interface mit dem Swisscom TV von den anderen zu trennen. Das kann man sicherlich machen und die Anleitung ist evtl. auch eine gute Hilfe, wenn man das Swisscom TV in ein eigenes VLAN zu verbannen will, aber um das Swisscom TV einfach nur zum Laufen zu bekommen, ist es erstmal nicht nötig, daher: Keep it simple, stupid!

 

Die im wesentlichen benötigte Konfig ist eigentlich sehr einfach:

 

- mal vorausgesetzt das Swisscom Internet tut und das Mikrotik Multicast/PIM Paket ist installiert!

 

- eine Firewall-Regel um die IGMP Pakete von der Swisscom und vom internen Netz zum Router durch zu lassen. Alles Weitere (UDP-Traffic, ...) wird offensichtlich vom üblichen NAT Masquerading ordnungsgemäss gehandelt. 

[admin@MikroTik] /ip firewall> filter print
Flags: X - disabled, I - invalid, D - dynamic
[...]
4 chain=input action=accept protocol=igmp in-interface=bridg1 log=no
5 chain=input action=accept protocol=igmp in-interface=vlan-swisscom log=no
[...]

- einen (gestarteten ;-)) IGMP Proxy. Downstream-interfaces habe ich "all" konfiguriert - "bridge1" wurde damit automatisch (Mikrotik Sprech "dynamisch") konfigriert. Das ist einfach meine normale Bridge an der mehr oder weniger alle Devices hängen...

[admin@MikroTik] /ip firewall> /routing igmp-proxy interface print detail
Flags: X - disabled, I - inactive, D - dynamic, U - upstream
 0 U interface=vlan-swisscom threshold=1 alternative-subnets=224.0.0.0/4,213.3.72.0/24,195.186.0.0/16 upstream=yes
 
 1 interface=all threshold=1 alternative-subnets="" upstream=no
 
 2 D interface=bridge1 threshold=1 alternative-subnets="" upstream=no

 

Das reicht bei mir auch schon aus, damit das Swisscom TV inkl. Live-TV (Multicast) an einem beliebigen Port der Bridge funktioniert.

 

Nun kann/sollte man noch das IGMP-Snooping auf der Bridge aktivieren, damit der Traffic nicht auf allen Ports der Bridge verteilt wird. Dies deaktiviert offensichtlich das Hardware-Offloading der Bridge (...was zumindest einen CCR 1009 wenig bis gar nicht beeindrucken dürfte...).

 

Ich kann nicht behaupten, dass ich bis ins letzte Detail raffe was genau passiert, aber damit tut Multicast bei mir.

 

=> Hinweise / Anmerkungen willkommen!!!

 

Vielen Dank für eure Tipps!

lostcarrier
Level 1
10 von 20

PS: Um mein Wissen über Multicast und IGMP etwas aufzubessern, hab mir übrigens diesen Youtube-Channel ein gutes Stück weit reingezogen: https://www.youtube.com/channel/UC2xDUkd_PuxDvhl4zQz67Aw/featured . Also... wer Zeit hat... ich fand das sehr gut aufbereitet und noch recht spannend...

user109
Super User
11 von 20

@lostcarrier danke für die Rückmeldung, werde es mal so konfigurieren.

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Editiert
dannyyy
Level 2
12 von 20

Ich versuche IPTV von Wingo (eigentlich Swisscom) via meiner Sophos UTM 10 zum laufen zu bringen. Habe aber keine Ahnung was ich wo eintragen muss beim PIM-SM. Habe verschiedenste Kombinationen ausprobiert, die für mich logisch wären, aber es funktioniert nicht. Der Zielcomputer hängt direkt an der LAN Schnittstelle der Sophos um keine Switch-Problematiken zusätzlich einzuführen.

 

Sämtliche IP Angaben im internen Netz sind abgeändert, damit nicht gleich alles im Internet offenbart wird:

Wingo Router: NAT -> 192.168.0.0/24 (IP: 192.168.0.254)

Sophos: NAT -> 172.16.1.0/24 (WAN: 192.168.0.253, LAN: 172.16.1.254)

Computer mit VLC: 172.16.1.1

 

Folgendes müsste ich auf der Sophos konfigurieren, vielleicht kann mir jemand einen Tipp geben, wo das hin muss:

Muss das externe angebundene Interface ein spezielles VLAN aufweisen?

 25-12-_2018_15-14-55.png25-12-_2018_15-15-22.png

Tux0ne
Level 9
13 von 20

Sophos bräuchte einen igmpproxy. Was immer wieder mal gefordert wird, aber scheinbar nicht implementiert wird. Mit PIM sparse oder dense mode kommst du da nicht wirklich weiter.

https://ideas.sophos.com/forums/17359-sg-utm/suggestions/185033-networking-add-igmp-proxy

Vor Jahren habe ich mal einen Thread gesehen wo jemand einen igmpproxy für Astaro gebaut hat.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
dannyyy
Level 2
14 von 20

@Tux0ne

 

Wenn der RP Router bekannt wäre füf PIM-SM (war ja mal 1.1.1.1), wäre es dann sofort möglich PIM-SM zu nutzen? Verstehe dieses Protokoll nicht so ganz. Sonst würde ich mal Wingo anfragen, die erlauben ja explizit 3rd Party Router 😉

 

Was funktioniert auf meiner Sophos XG ist Multicast Forwarding zu aktivieren und danach statische Forwards zu definieren:

Src: 213.3.72.4

Dst: 239.186.x.x

 

Dafür muss ich aber für jeden Sender eine statischen Forward einrichten. Über API ginge das schnell mit einem Programm, aber soll dass die Lösung sein? 

Editiert
Tux0ne
Level 9
15 von 20

Ja bitte frage Wingo an. Wenn sie dann so richtig warm laufen, können sie auch gleich meine Anfrage bezüglich der MTU bei 6rd beantworten.

Die Antwort war, für Fremdrouter können sie nicht mehr Support geben als was auf ihrer Hilfeseite steht.

Wobei, nicht mal Swisscom beantwortete bisher die Anfrage bezüglich der MTU 😁

 

Hilfreich ist ja immer, wenn man nach Entertain TV schaut. Und wenn da nichtmal irgendwo bezüglich Sophos und Multicast ein funktionierendes Setup beschrieben wird, dann sieht es halt etwas düster aus.

 

Wobei es bei einem Linux System grundsätzlich so easy wäre. Es braucht dazu nur das fertig existierende igmpproxy Packet.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
dannyyy
Level 2
16 von 20

@Tux0ne  schrieb:

Ja bitte frage Wingo an. Wenn sie dann so richtig warm laufen, können sie auch gleich meine Anfrage bezüglich der MTU bei 6rd beantworten.

Die Antwort war, für Fremdrouter können sie nicht mehr Support geben als was auf ihrer Hilfeseite steht.

Wobei, nicht mal Swisscom beantwortete bisher die Anfrage bezüglich der MTU 😁


Ist die MTU nicht 1480?

https://www.wingo.ch/de/help/article/view/30051

 

Werde mich wieder melden, sobald ich eine Antwort habe :grin_smile::joy_face:

Tux0ne
Level 9
17 von 20

Ja das habe ich in Frage gestellt ob das wirklich so ist. Theoretisch sollte es mit PMTU eigentlich kein Problem geben. Scheinbar gibt es aber Fritzbox User welche mit einer MTU von 1480 zB. www.sbb.ch nicht aufrufen können, mit 1472 aber schon. Also so ist es bei Swisscom. Und auch Martin Gysi hat Slides wo er die MTU auf 1472 gestellt hat, bzw. eine Empfehlung auf swinog.

Nun aber machen alle lieber den Vogelstraus als einfach mal eine Begründung zu liefern.

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
dannyyy
Level 2
18 von 20

Meine Probleme die ich hatte sind mittlerweile behoben. 

 

Nutze nun das Zisa G100 als Bridge Modem und lasse pfSense auf meiner Sophos Hardware Appliance laufen. So hat sich auch das Problem mit PIM-SM erledigt, da ich den ipmg proxy nutzen kann.

 

@Tux0ne

Habe heute noch mit verschiedenen MTUs getestet. Leider habe ich wie du bei 1480, aber auch bei leit tieferen Werten erhebliche Probleme mit gewissen Webseiten.

 

Habe nun die MSS auf 1460 gesetzt und die MTU nicht angefasst. Damit läuft alles sehr gut. Aber ehrlich gesagt, bin ich mir nicht sicher was die Konsequenzen beim Ändern der MSS ist gegenüber der MTU. 

Tux0ne
Level 9
19 von 20

Habe kein Problem, habe eine native IPv6 Verbindung. 

 

Dass du die MSS reduzieren musstest, deutet auf ein ICMP Problem hin.

Was für für ein Client hat auf welche Seiten ein Problem? Betrifft dies legacy IP wie auch IP?

Blockierst du eingehend oder ausgehend zusätzlich ICMP?

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
dannyyy
Level 2
20 von 20

Habe mehrheitlich nur mit MacOS getestet und dort mit Chrome, Safari und curl. Ob sich der Netzwerkstack von Windows andersverhalten würde müsste ich testen. 

 

Mit standard MTU, 1480 oder 1460 sind ganz viele Seiten (ipv6-test.com, sbb.ch, microsoft.com, post.ch,...) nicht abrufbar und enden in einem Timeout. Wieder andere wie google.com, microsoft.com,... funktionieren aber.

 

Ich war sogar der Meinung, dass IPv4 Seiten nicht korrekt (vollständig) geladen werden. Wenn ich mich genau erinnere oft Bilder, Werbung, ... Ohne es genau untersucht zu haben, könnte es sein das genau diese Dinge nach v6 aufgelöst haben und daher nicht funktionierte.

 

ICMP ist nur LAN - > WAN (default rule) erlaubt. ICMPv6 ist in beiden richtungen komplett offen (alle Typen).

 

Werde heute nochmals testen und die Logs beobachten, ob doch was geblockt wird. 

Nach oben