Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Tstadz on November 12, 2024, 01:52:27 PM

Title: [SOLVED] init7 10G: Multicast funktioniert nicht - Setup Interfaces, IGMP Proxy
Post by: Tstadz on November 12, 2024, 01:52:27 PM
Hallo an alle.

Nach dem Setup funktioniert zwar das meiste, aber nicht alles, wie z.B. Multicast TV-Stream.

Ein Problem ist, dass meine Logfiles geflutet werden (>500MB/Tag).

Alle Einträge betreffen das WAN.
Die meisten durch block (Default deny / state violation rule), aber auch pass (Siehe code weiter unten).

Aber warum geblockt wird, ist mir bis jetzt nicht klar.
So wie ich das einschätze, vor allem durch Multicast traffic und irgendwelche falsche Adressen.

Oder liege ich da schon komplett falsch?

Jetzt komme ich bei der Fehlersuche nicht weiter, und habe immer mehr Fragen.

Sind die WAN/LAN Interfaces richtig konfiguriert?
Warum funktioniert Multicast nicht? Doch durch falsche Adressen?


Kann jemand helfen?


Meine Installation:

init7 10G Gigabit-Ethernet
IPv4-Adresse über DHCP
Statisches /48 IPv6-Netz
Adressierung über DHCPv6-PD Prefix-Delegation
IPTV per Multicast

Dec 740 mit OPNsense 24.7.7

Laptop direkt am LAN Interface


Setup:

WAN:
IPv4 Configuration Type: DHCP
IPv6 Configuration Type: DHCP6
DHCPv6 Prefix Delegation size: 48
Request prefix only: nicht gewählt
Optional prefix ID: leer

LAN:
IPv4 Configuration Type: Static IPv4
IPv6 Configuration Type: Track Interface
IPv4 address: 192.168.1.1
Parent interface: WAN
Assign prefix ID: [0x] 7777   (Hatte am Anfang: [0x] 0)

Zudem:
IGMP-Proxy installiert

Regeln:
WAN:
Automatically generated rules
Floating rules: in IPv4 IGMP WAN address * 224.0.0.0/4 * * * init7: Multicast MAC address -> Multicast IP address
in IPv4 IGMP * * 224.0.0.0/4 * * * IGMP Multicast Traffic erlauben
in IPv4 PIM WAN net * 224.0.0.0/4 * * * PIM Traffic erlauben
in IPv4 UDP 77.109.129.0/25 * 239.0.0.0/8 5000 * * init7: Multicast Traffic erlauben

LAN:
Automatically generated rules
in IPv4 * LAN net * * * * * Default allow LAN to any rule
in IPv6 * LAN net * * * * * Default allow LAN IPv6 to any rule

Multicast Ping
ping -6 ff02::1 funktionert nicht
ping 224.0.0.18  funktionert nicht

Hier noch kleiner Ausschnitt Firewall Liveansicht (Alle in):
Code Select

WAN Option: Blockiere Bogon-Netze

WAN :: ff02::16 icmp Block bogon IPv6 networks from WAN
WAN fe80::5aef:68ff:fe7f:eab3 ff02::1 ip Block bogon IPv6 networks from WAN
WAN 212.51.128.177:5678 255.255.255.255:5678 udp Default deny / state violation rule
WAN  [fe80::2f0:cbff:fefe:c311]:546 [ff02::1:2]:547 udp Default deny / state violation rule

WAN Option: Blockiere Bogon-Netze nicht ausgewählt

WAN  [fe80::2f0:cbff:fefe:c311]:546 [ff02::1:2]:547 udp Default deny / state violation rule
WAN  :: ff02::16 icmp Default deny / state violation rule
WAN  fe80::5aef:68ff:fe7f:eab3 ff02::1 ip Default deny / state violation rule
WAN  fe80::5aef:68ff:fe7f:eab3 ff02::1 ip Default deny / state violation rule
pass WAN  fe80::76ac:b9ff:fe58:3bd8 ff02::1:ff2f:20da ipv6-icmp IPv6 RFC4890 requirements (ICMP)
WAN  212.51.128.117:60671 224.0.0.251:5353 udp Default deny / state violation rule
Title: Re: init7 10G: Multicast funktioniert nicht - Setup Interfaces, IGMP Proxy, etc.
Post by: Tstadz on November 13, 2024, 09:01:32 AM
Habe inzwischen die Firewall-Protokollierung für Default block, Default pass, Bogon networks und Private networks abgeschaltet. Outbound NAT var schon abgeschaltet.
Title: Re: init7 10G: Multicast funktioniert nicht - Setup Interfaces, IGMP Proxy, etc.
Post by: sbuckmann on November 13, 2024, 10:13:45 AM
Eine Anleitung dazu findet sich in https://forum.opnsense.org/index.php?topic=17853.0.
UDP Port 5678 = MikroTik Neighbor Discovery protocol.
Title: Re: init7 10G: Multicast funktioniert nicht - Setup Interfaces, IGMP Proxy, etc.
Post by: Tstadz on November 13, 2024, 12:16:45 PM
Hallo sbuckmann.

Danke für dein Feedback.

Die Anleitung habe ich gesehen. Aber dort sehe ich keine Angaben zum Router oder Konfiguration der Interfaces.
Muss ev. mal nachfragen.

Der UDP Port 5678 MikroTik ist vom router bei init7. Oder?
Das müsste ja Multicast traffic sein > ICMP NDP DHCP.
Die IP 212.51.128.177 ist Init7. 255.255.255.255 ist ein limited broadcast und wird nicht weitergeleitet.

Ich denke, die Adressen müssten ja irgendwo übersetzt werden,
resp. bei meinen Schnittstellen stimmt etwas nicht.
Oder ich muss weitere Regeln setzen.
Title: Re: init7 10G: Multicast funktioniert nicht - Setup Interfaces, IGMP Proxy, etc.
Post by: Patrick M. Hausen on November 13, 2024, 12:26:25 PM
Warum solltest du Regeln setzen? Wenn dein ISP einen Router von Mikrotik benutzt, dann bläst der einfach "Mikrotik Neighbor Discovery Protocol" zu allen am Router angeschlossenen Interfaces raus. Also auch zum WAN deiner OPNsense. Der sucht 24x7 nach anderen Mikrotik Geräten.

Die OPNsense blockt das natürlich.

Einfach das Logging für die Default-Deny Regel ausschalten, gibt wenig Anlass, sich das anzugucken. Auf jedes im Internet hängende Gerät, auch auf eine Fritzbox, prasseln pro Stunde tausende von Paketen am externen Anschluss ein. Das ist nichts, worum man sich kümmern müsste oder das man ändern könnte.
Title: Re: init7 10G: Multicast funktioniert nicht - Setup Interfaces, IGMP Proxy, etc.
Post by: Tstadz on November 13, 2024, 01:00:36 PM
Hallo Patrick

Nein, will ich gar nicht. Ich weiss, dass es ohne Regeln gehen muss.

Aber schön zu hören, warum diese Flut besteht.
Mein Provider setzt auf freie Router Wahl, aber empfielt ein u. a. Mikrotik-Modell.
  "Der sucht 24x7 nach anderen Mikrotik Geräten."
Vielleicht muss das ja so sein, um Multicast direkt zu verarbeiten.

Das Logging ist vorübergehend abgeschaltet, weil Filter-Log > 500MB / Tag (einmal 1GB) und immer das gleiche drinsteht.
Anschauen tu ich es trotzdem. Komme aber noch nicht weiter.
Aber ist das mit der LogFile Grösse bei allen so?

Wenn mein Multicast funktioniert ist es ev. besser.

Hast du eine Ahnung, warum Multicast nicht funktioniert?


Title: Re: init7 10G: Multicast funktioniert nicht - Setup Interfaces, IGMP Proxy, etc.
Post by: Patrick M. Hausen on November 13, 2024, 01:24:10 PM
Quote from: Tstadz on November 13, 2024, 01:00:36 PM
Mein Provider setzt auf freie Router Wahl, aber empfielt ein u. a. Mikrotik-Modell.
  "Der sucht 24x7 nach anderen Mikrotik Geräten."
Vielleicht muss das ja so sein, um Multicast direkt zu verarbeiten.

Der Multicast-Kram, den du auf WAN siehst mit Port 5678 - das ist das "Mikrotik-Geräte suchen". Das machen Cisco Geräte mit "Cisco Discovery Protocol" und Mikrotik Geräte mit "Mikrotik Discovery Protocol", damit man, wenn man nicht einen sondern hundert Router hat, jeder Router einem erzählen kann, "ich hab da diese 3 weiteren Router an Interface X, Y und Z angeschlossen und bei denen sind das jeweils Port U, V und W".

Damit dein Multicast-TV funktioniert, muss man natürlich noch Dinge konfigurieren. Das ist aber eine völlig andere Fragestellung.

Müsstest mal die Suche hier im Forum bemühen oder vielleicht einen neuen Thread starten, der etwas fokussierter ist und nicht so viele Themen mischt.

Also für hier nochmal: was da "draussen" alles rumtrommelt ist völlig normal, einfach ignorieren.
Title: Re: init7 10G: Multicast funktioniert nicht - Setup Interfaces, IGMP Proxy, etc.
Post by: Tstadz on November 13, 2024, 04:48:49 PM
Problem gelöst!

Falsche IP in WAN udp Regel

Quotein IPv4 UDP 77.109.129.0/25 * 239.0.0.0/8 5000 * * init7: Multicast Traffic erlauben

in IPv4 UDP 77.109.129.0/25 * 233.0.0.0/8 5000 * * ...


Text only | Text with Images