OPNsense Forum
International Forums => German - Deutsch => Topic started by: Marcel_75 on January 07, 2021, 06:59:07 pm
-
Hallo zusammen,
direkt an der Fritzbox angestöpselt funktioniert das schon wunderbar (u.a. per VLC-Player oder auch mit den AVM Apps auf dem Mobiltelefon).
Da ich die Fritzbox aber nur für Festnetz-Telefonie und "als Modem" nutzen möchte, ist mein Ziel, dass das auch hinter meiner "Double-NAT"-Konstruktion klappt.
Aktuell funktioniert das in meinem "richtigen Netz" (also hinter meiner OPNsense) nämlich noch nicht …
Ich kann da zwar schon die Senderliste doppelklicken im VLC (diese wurde als tvsd.m3u sowie tvhd.m3u aus der Fritzbox exportiert) und sehe auch (in der Fritzbox), dass der jeweils gewählte Sender tatsächlich auch abgespielt/gestreamt wird.
Allerdings kommt weder Bild noch Ton und nach 1-2 Minuten wird automatisch auf den nächsten Sender gewechselt.
Soweit ich das verstehe, ist das ganze Thema recht komplex?
Denn zum einen muss ich wohl die Ports 10000-10500 "erlauben" und dazu ist dann auch noch IGMPv3 (inkl. 'cascading') wichtig?
Ich habe mir den "IGMP Proxy" auch schon installiert, finde für dessen Einrichtung aber leider keine richtige Anleitung …
Diese hier https://docs.opnsense.org/manual/how-tos/orange_fr_tvf.html bezieht sich ja eher auf Leute, die das ganze direkt in der OPNsense "anzapfen" wollen, also ohne Fritzbox.
Bei mir ist das IPTV-Signal dank der Fritzbox ja eigentlich schon da – ich weiß nur leider nicht, was genau ich einstellen muss, damit das dann z.B. auch auf einem Rechner hinter meiner OPNsense ankommt?
Danke vielmals für Hilfe!
PS: Und noch als Ergänzung – "Multicast" ist wohl ebenfalls wichtig, sonst klappt es nicht, siehe:
https://avm.de/service/fritzbox/fritzbox-7530/wissensdatenbank/publication/show/1422_Live-TV-Wiedergabe-startet-nicht/
-
Hast du den OPNsense als Exposed Host auf der FritzBox freigegeben?
Denn die FritzBox ristriktiert ja auch schon. Würde den OPNsense als Exposed Host setzen und dann alle nötigen Firewall Einstellungen auf dem OPNsense vornehmen.
-
Oder noch besser, lasse die FritzBox im Bridge Mode laufen und hol dir für die Telefonie eine entsprechende Basisstation oder direkt neue VoIP-Telefone
-
Hallo,
sowohl der Bridge Mode als auch Exposed Host sind leider keine Option, ich möchte das ganze schon weiterhin als Double-NAT betreiben (also vorn die Fritzbox Cable mit Ihrem 10.89.89.0/24 Netz, dahinter meine OPNsense mit dem 10.5.5.0/24 Netz).
Dieser heise-Artikel hier führte mich schon mal grundsätzlich auf die richtige Spur:
https://www.heise.de/ct/artikel/MagentaTV-auf-pfSense-Co-4698826.html
Nur habe ich es hier bei mir ja nicht mit einem Telekom-Anschluss und Magenta TV zu tun, sondern es ist ein Kabel-Anschluss von PYUR und die Fritzbox empfängt ja schon erfolgreich die DVB-C Signale und die aus der Fritzbox exportierte Programmliste lässt sich im 10.89.89.0/24 Netz auch absolut problemlos per VLC ansehen.
Vllt. als Beispiel mal ARD HD aus der .m3u Liste, da steht folgendes:
#EXTINF:0,Das Erste HD
#EXTVLCOPT:network-caching=1000
rtsp://10.89.89.1:554/?avm=1&freq=314&bw=8&msys=dvbc&mtype=256qam&sr=6900&specinv=1&pids=0,16,17,18,20,5100,5101,1170,1176,2171,5102,5103,5104,5105,5106,5108,5172
Im Gegensatz dazu wird bei Magenta TV ja immer von so etwas hier geredet:
rtp://87.141.215.251@232.0.20.85:10000
Vllt. liege ich damit ja auch völlig falsch, aber könnte es nicht sein, dass ich bei mir eigentlich nur den rtsp Stream auf Port 554 der Fritzbox (IP 10.89.89.1) an OPNsense-WAN (IP 10.89.89.2) und dann OPNsense-LAN (IP 10.5.5.1) "durchschleifen" muss?
Aber wahrscheinlich sind auch diese Frequenzangaben etc. wichtig? (siehe oben im Beispiel von Das Erste HD)?
Oder aber sind gar die "externen IPs" wichtig, die ich dank der heise-Anleitung zwar von Magenta TV der Telekom kenne, aber leider nicht von PYUR (ehemals Tele Columbus)?
PS: Und wie ich gerade mitbekomme, kommt dann später auch noch eine zusätzliche Herausforderung auf mich zu, nämlich die Konfiguration meiner Unifi-Switche, die aber hier sehr gut erklärt ist (wenn auch leider wieder nur für Magenta TV): https://die25stestunde.de/telekom-magenta-tv-mit-unifi-hardware/#3-3-igmp-proxy-mittels-config-gateway-json-aktivieren
-
sowohl der Bridge Mode als auch Exposed Host sind leider keine Option, ich möchte das ganze schon weiterhin als Double-NAT betreiben (also vorn die Fritzbox Cable mit Ihrem 10.89.89.0/24 Netz, dahinter meine OPNsense mit dem 10.5.5.0/24 Netz).
Warum ist Exposed Host keine Option?
- Die Fritzbox behält dabei alle ihre Funktionen.
- Die Clients im 10.89....er Netz können weiterhin alles machen was sie bisher auch können und wenn nötig kann man auch Filterregeln oder Routingeinstellungen sowie Portforwardings auf der Fritzbox weiterhin nutzen und auf einzelne Clients im 10.98.er Netz weiterleiten. Diese Ports stehen dann an der sense natürlich nicht mehr zur Verfügung, aber das wäre ja genauso wie wenn man einzelne Ports weiterleitet.... Exposed Host ist quasi nix weiter wie die Portweiterleitung allen Traffics an die entsprechende Exposed Host IP.
- Du behälst dadurch den vollen Schutz des NATs von der Fritzbox, hast dabei auch noch das NAT in der sense und kannst zudem alle Ports die nicht auf der Fritzbox genutzt werden direkt in der sense nutzen
Jaaa ich weiß, ich kanns selbst nicht leiden wenn man in Foren sagt was man wie nicht haben will und die Leute dich dann umstimmen wollen bzw. ihre eigene Philosophier aufbinden wollen. Aber in dem Fall seh ich keine wirklichen Nachteile oder Änderungen, außer dass alles was aus dem Internet auf deine Internet-IP verbindet und nicht von der Fritzbox durch einen Dienst verarbeitet (oder eben an einen Client in dem 10.98.er Netz portforwarded wird) am WAN-Interface der sense aufschlägt. Und das prallt dann einfach an der Sense ab.
-
Hallo zusammen,
Gibt’s für das Problem schon eine Lösung? Versuche des auch zum laufen zu bekommen
-
Hallo zusammen,
bei mir läuft das im Bridged Mode. Ob wie sich das mit Doulbe-NAT oder Exposed Host umsetzen lässt, keine Ahnung, ich glaube aber leider nicht.
Meine Konfiguration:
Fritzbox: 10.0.0.1 / 24
OPNsense WAN: DHCP (hängt an Bridged Port LAN 2 der Fritzbox, IP vom Provider)
OPNsense intern: 10.0.1.1 / 24
OPNsense zu Fritzbox: 10.0.0.254 / 24 (eigenes LAN zu LAN 1 der Fritzbox)
In der Fritzbox muss dann noch in den Netzwerkeinstellungen eine IP4 Route eingetragen werden, um die Pakete ins Netzwerk 10.0.1.0/24 über das Gateway 10.0.0.254 an die OPNsense zu schicken.
Es sind dann noch Firewall-Regeln notwendig, dass der Traffic von dem Fritzbox-Netz auch in das Interne Netz kommt und umgekehrt. Im Moment habe ich da noch zuviele Ports und Protokolle offen. Wenn ich etwas mehr Zeit habe, werde ich da noch weitere Einschränkungen vornehmen.
Mit dieser Einstellung kann ich dann die Fritzbox auch aus dem Internen Netzwerk der OPNsense administrieren.
Weitere Info:
Zum Start des Streams verbindet sich der Client via TCP-Port 554 zur Fritzbox und gleich danach werden noch zwei UDP-Verbindungen vom Client aus geöffnet aus dem Portbereich 5000+
Weitere Verbindungen habe ich im Firewall-Log nicht gesehen.
Durch NAT klappte es jedenfalls nicht. Ich hatte Anstatt der IP4 Routen in der Fritzbox ein Outgoing NAT auf dem Netzwerk zur Fritzbox aktiv und habe es damit nicht zum laufen gebracht.
-
Hallo zusammen,
würde es gerne genauso machen wollen wie Marcel_75 vorschlägt.... Gibt´s tatsächlich keine Möglichkeit das so umzusetzten ? das müsste doch gehen...
würde mich über jeden Vorschlag feuen... :)
-
Hallo,
ich kann noch folgende Informationen beisteuern, wie man das dann in eine Konfiguration umwandelt müssen diejenigen tun, die ein Doppel-NAT verwenden.
Die Fritz!Box verwendet für das IPTV kein IGMP. D.h. der IGMP Proxy bringt nichts und ist nicht notwendig. Ich habe bei mir den IGMP Proxy nicht am laufen. Wenn ich mir den englischen Wikipedia-Artikel zu IPTV (https://en.wikipedia.org/w/index.php?title=Internet_Protocol_television&oldid=1014946651#Protocols) ansehe, dann ist die dritte Variante unter den aufgeführten Protokollen die vordere Fritz!Box verwendete:
- Web-based multicast live and unicast VoD streaming:
- The Internet Engineering Task Force (https://en.wikipedia.org/wiki/Internet_Engineering_Task_Force) (IETF) recommends RTP over UDP or TCP (https://en.wikipedia.org/wiki/Transmission_Control_Protocol) transports with setup and control using RTSP (https://en.wikipedia.org/wiki/Real_Time_Streaming_Protocol) over TCP
Dies entspricht genau dem was ich bei mir beim Einrichten gesehen habe.
- Es wird ein Steuerkanal über RSTP over TCP auf Port 554 aufgemacht
- Die Daten werden dann über RTP over UTP auf den Ports 5000 & 5001 geschickt.
Die Fritz!Box macht also ein Unicast Streaming.
Weitere Clients bekommen übrigens paarweise die Ports 5002 & 5003, 5004 & 5005 und 5006 & 5007 zugewiesen.
Hoffe das hilft beim Einrichten. Falls es jemand mit dem Doppel-NAT zum laufen bekommt, bitte hier Posten.
Bei mir läuft es ja wie oben erwähnt in einer anderen Konfiguration.
Gruß KH
-
Hallo,
ich hatte das gleich Problem und kam durch die Anmerkungen von KHE (Ports) heute zur Lösung und wollte dies hier auch noch teilen.
Das Problem bei mir das "Ausgehende NAT" das ich aktiviert hatte. Sobald ich das deaktiviert habe war das DVB-C Streaming aus dem Netz möglich.
Zu beachten ist, dass die Netzwerk(e) der OPNsende als Routen auf der FritzBox bekannt gemacht werden.
Viele Grüße
-
Hallo KHE,
Ich versuche gerade ein identisches Setup wie bei dir zum Laufen zu bekommen.
OPNsense WAN hängt an der FritzBox Bridge Port und jetzt zusätzlich ein Interface der OPNsense im LAN der Fritzbox.
Statische Routen sind vorhanden, ich kann auch aus dem LAN der OPNsense aufs Webinterface der Box zugreifen.
Was jetzt noch nicht klappt, ist der DVBC Stream. Es scheint wohl an den Firewall Regeln zu liegen, denn wenn ich an der OPNsense die Firewall (Paketfilter) deaktiviere, funktioniert auch der Stream.
Habe schon testweise am Interface im LAN der Fritzbox eine Regel angelegt, die den Zugriff auf alles erlaubt, der Stream will aber immer noch nicht.
Welche Regeln hast Du hier angelegt, dass bei dir der Stream klappt?
Schöne Grüße
Hallo zusammen,
bei mir läuft das im Bridged Mode. Ob wie sich das mit Doulbe-NAT oder Exposed Host umsetzen lässt, keine Ahnung, ich glaube aber leider nicht.
Meine Konfiguration:
Fritzbox: 10.0.0.1 / 24
OPNsense WAN: DHCP (hängt an Bridged Port LAN 2 der Fritzbox, IP vom Provider)
OPNsense intern: 10.0.1.1 / 24
OPNsense zu Fritzbox: 10.0.0.254 / 24 (eigenes LAN zu LAN 1 der Fritzbox)
In der Fritzbox muss dann noch in den Netzwerkeinstellungen eine IP4 Route eingetragen werden, um die Pakete ins Netzwerk 10.0.1.0/24 über das Gateway 10.0.0.254 an die OPNsense zu schicken.
Es sind dann noch Firewall-Regeln notwendig, dass der Traffic von dem Fritzbox-Netz auch in das Interne Netz kommt und umgekehrt. Im Moment habe ich da noch zuviele Ports und Protokolle offen. Wenn ich etwas mehr Zeit habe, werde ich da noch weitere Einschränkungen vornehmen.
Mit dieser Einstellung kann ich dann die Fritzbox auch aus dem Internen Netzwerk der OPNsense administrieren.
Weitere Info:
Zum Start des Streams verbindet sich der Client via TCP-Port 554 zur Fritzbox und gleich danach werden noch zwei UDP-Verbindungen vom Client aus geöffnet aus dem Portbereich 5000+
Weitere Verbindungen habe ich im Firewall-Log nicht gesehen.
Durch NAT klappte es jedenfalls nicht. Ich hatte Anstatt der IP4 Routen in der Fritzbox ein Outgoing NAT auf dem Netzwerk zur Fritzbox aktiv und habe es damit nicht zum laufen gebracht.
-
Hallo,
Hast du in der Firewall-Einstellung, bei der Regeln der WAN & LAN ports „Allow IP options“ aktiviert?
Grüss
-
Hallo,
nein, das werde ich später noch probieren.
Das Problem scheint aber wie bei stsnake Outbound NAT bzw. die automatisch erstelle Regel zum Interface im FB-Netz zu sein.
Nach dem Ändern auf manuelle Regeln ging das DVB-C Streaming, jetzt habe ich aber dadurch scheinbar andere Probleme, da teilweise Portfreigaben fürs Smarthome nicht mehr funktionieren zu scheinen. Hier muss ich mal die Einstellungen zu den Outbound-NAT Regeln durchgehen, habe gestern Abend nur noch schnell eine Regel mit den Standardeinstellungen erstellt, damit der Zugriff aufs Internet wieder läuft.
Kann man eventuell die automatisch erstellten Outbound-NAT Regeln irgendwo einsehen, welche Einstellungen da gesetzt sind, oder im Hybrid-Modus die automatischen Regeln fürs FB-Lan Interface deaktivieren? Bzw. muss für dieses Interface zwingend ein Gateway vorhanden sein? Falls es auch ohne Gateway über static routes geht, wär das meiner Meinung nach die einfachere Lösung. Hatte auch gestern mal den Fall, dass der Internetverkehr der Lan-Clients teilweise über die WAN IP der Fritzbox statt übers WAN der OPNsense geroutet wurde. Ich habe dann noch die Gatewayeinstellungen angepasst (WAN als Upstream markiert und Prioritäten geändert), seither ist es mir nicht mehr aufgefallen.
Schöne Grüße
-
Hi User123,
wichtig ist, dass du kein Outbound NAT mehr unter Firewall: NAT: Outbound in das Netz der FB aktiv hast. Das war bei mir tagelang aktiv und hat die Streams durcheinander gebracht.
Ok, Bridge Modus in der FB ist aktiv und die OPNsense hat eine eigene IP des Providers. Soweit so gut.
Ich gehe davon aus, dass du für die FB ein eigens LAN hast mit einem eigenen IP-Bereich hast. Falls dann die Statischen Routen in der FB eingerichtet und das Outbound NAT in der OPNsense ausgeschaltet ist, sollte es gehen.
Es wird keine aktive Verbindung aus dem FB Netz aufgebaut werden daher braucht man im FB-Netz auch keine einzige Regel.
Aus dem Netz des Clients muss für VLC nur der TCP-Port 554 und die UDP-Ports 5000-5007 zugelassen werden. Für den die Fritz!TV App zusätzlich der TCP-Port 49000. Für den Webzugriff dann noch die Ports 80 & 443. Als Destination kann man dann die IP der FB angeben. Wenn man in diesem Netz aber eine Allow any Regel hat, dann sollte es eigentlich sofort gehen.
Gruß KH
-
Hallo zusammen,
vielen Dank für Eure Tipp's. Ich hatte heute wieder etwas Zeit mich mit dem Thema zu beschäftigen und es läuft jetzt auch einwandfrei.
Für den Fall, dass noch jemand die selben Probleme hat, hier meine Lösung:
Wie schon von KHE geschrieben, muss das Outbound-NAT an der LAN-Schnittstelle im FB-Netz deaktiviert sein. Hierfür muss man die Regeln auf manuell stellen und die benötigten Regeln selbst anlegen.
Die für mich einfachere Lösung war dann aber, einfach das beim Anlegen der Schnittstelle automatisch erstellte Gateway unter System: Gateways zu deaktivieren. Somit wird dann auch kein NAT mehr zwischen dem FB-LAN und dem Opnsense-LAN mehr gemacht sondern direkt geroutet.
Schöne Grüße
-
Hallo,
sorry, dass ich diesen Thread nochmal aufgreife. Ich hab einfach das Problem, dass ich das irgendwie nicht verstehe.
Ich habe eine Fritzbox.Cable mit einem DVB-C Tuner und dahinter OPNSense.
Die Fritzbox hat die übliche Adresse 192.168.178.1,
der OPNSense-Router auf WAN 192.168.178.23 auf LAN 192.168.0.10 (/20), der ist in der Fritz!Box als Exposed Host eingetragen.
Ich nat'e dem entsprechend. Das kann ich aus verschiedenen Gründen auch nicht ändern, das ist dem Aufbau und Umfang des Netzwerks geschuldet.
Nun komme ich von IPFire, das konnte ich aus verschiedenen Gründen nicht mehr nutzen, u.a. deshalb weil nicht nachvollziehbarerweise der Proxy immer abgeschmiert ist und alle Versuche, diesen dauerhaft aktiviert zu lassen, scheiterten. Ein Problem, mit dem ich nicht allein dastand. Egal.
Unter IPFire aber war es kein Problem, den DVB-C Empfänger zu nutzen und das Fernsehen auf andere Rechner zu streamen. Kann doch also unter OPNSense nicht sooo schwer sein, das wieder zu aktivieren, zumal es sich doch auch nur um einen Stream handelt?
Ich habe verschiedene Anleitungen gelesen, auch diese, kriege es aber trotzdem nicht hin und finde meinen Denkfehler nicht.
* Ich habe, wie beschrieben, den OPNSense-Server auf "Exposed Host" in der Fritz!Box gesetzt
* In OPNSense ist die Automatisch ausgehende NAT Regelgenerierung aktiviert
* In Firewall / Regeln sind festgelegt wie in den Attachments gezeigt.
- jeweils der Port 554 TCP und testweise die Ports UDP 5000 und 5001, mehr noch nicht, denn wie ich las, werden weitere nur für die restlichen drei Dekoder der FritzBox gebraucht.
- Ferner ist die Portweiterleitung aktiv auf 22,80 und 444 als "Anti-Aussperrregel"
Den IGMP Proxy habe/hatte ich installiert, aber auf einer anderen Webseite gelesen, dass die Fritzbox das Protokoll garnicht nutzt. So habe ich ihn wieder deaktiviert.
Kurzum: ich hoffe, jemand kann mir mal helfen mein Denkchaos aufzuräumen und mir zu helfen, das Fernsehen wieder verfügbar zu machen.
Vielen Dank.
Denise
-
Hallo leute,
ich hab mir den Thread hier genau durchgelesen, komme aber leider nicht zum Ziel.
Mein Setup ist wie folgt:
WAN
Cable - FB 6660 - Bride LAN 2 -- OPNSense - ibg02
FB-LAN
OPNSense - ibg04 -- FB 6660 - LAN 4 (FB = DHCP 192.168.0.1/24)
LAN
OPNSense - ibg01 -- Netzwerkswitch (Sense = DHCP 192.168.178.1/24)
Im FW-Log sehe ich keine Blocks, alle Ports werden durchgelassen. Ich sehe auch wie hier beschrieben die Porst 554, 5000 und 5001
Auch habe ich die Sense auf der FB als Exposed Host hinterlegt.
Auf der Sense habe ich daher zwei Gateways, 1x WAN (Bridge) und 1x FB-LAN. Das FB-LAN Gateway benötige ich um auf die FB zugreifen zu können. Wenn ich NAT abstelle, Gateway ausschalte usw, komme ich nicht mehr auf die FB, da dies die einzige Verbindung ist.
Dennoch baut sich der Stream im LAN-Netzwerk nicht auf. Interessant ist aber, dass auf der FB angezeigt wird, dass die Sense (als Client) einen DVB-C Stream gestartet hat.
Aber auf der Sense an Port ibg02 sehe ich keinen Traffic (also schon nicht eingehend in die Sence, daher vermutlich auch nicht ausgehend aus der FB.
Was kann ich noch versuchen?
-
Hallo leute,
ich hab mir den Thread hier genau durchgelesen, komme aber leider nicht zum Ziel.
Mein Setup ist wie folgt:
WAN
Cable - FB 6660 - Bride LAN 2 -- OPNSense - ibg02
FB-LAN
OPNSense - ibg04 -- FB 6660 - LAN 4 (FB = DHCP 192.168.0.1/24)
LAN
OPNSense - ibg01 -- Netzwerkswitch (Sense = DHCP 192.168.178.1/24)
Im FW-Log sehe ich keine Blocks, alle Ports werden durchgelassen. Ich sehe auch wie hier beschrieben die Porst 554, 5000 und 5001
Auch habe ich die Sense auf der FB als Exposed Host hinterlegt.
Da ist schon mal der erste Fehler. Wenn du die Fritz!Box in den Bridge-Mode setzt, dann ist die OPNsense direkt im Internet und sollte entweder eine öffentliche IPv4 Adresse oder eine Carrier Grade NAT IPv4 (100.64.0.0/10) bekommen. Dann sollte das LAN schon ins Internet kommen.
Die OPNsense dann als Exposed Host auf der Fritz!Box zu hinterlegen ist dann unnötig. Das macht man nur, wenn man der Bridge-Mode nicht möglich ist oder man ihn nicht verwenden mag. Entweder oder, aber nicht beides geleichzeitig.
Mit dem Exposed Host hast du hast damit eigentlich ein MultiWAN aufgebaut, was aber nichts bringt, da alles über die Fritz!Box läuft und wenn da kein Internet ist, kommst du weder mit Exposed Host noch im Bridge-Mode ins Internet.
Schalte das ab.
Auf der Sense habe ich daher zwei Gateways, 1x WAN (Bridge) und 1x FB-LAN. Das FB-LAN Gateway benötige ich um auf die FB zugreifen zu können. Wenn ich NAT abstelle, Gateway ausschalte usw, komme ich nicht mehr auf die FB, da dies die einzige Verbindung ist.
Dennoch baut sich der Stream im LAN-Netzwerk nicht auf. Interessant ist aber, dass auf der FB angezeigt wird, dass die Sense (als Client) einen DVB-C Stream gestartet hat.
Aber auf der Sense an Port ibg02 sehe ich keinen Traffic (also schon nicht eingehend in die Sence, daher vermutlich auch nicht ausgehend aus der FB.
Was kann ich noch versuchen?
- In der FB den Exposed Host löschen.
- OPNsense auf FB-LAN statische IP aus FB-LAN vergeben. Z.B. 192.168.0.254.
- FB-LAN Gateway löschen.
- FB-LAN auf Outbound NAT stellen. Dann kommst du auch auf die FB.
- DHCP in der FB ausschalten, sofern da keine anderen Geräte sind.
- In der FB unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4-Routen eine Route einrichten:
- IPv4-Netzwerk: 192.168.178.0 (Dein LAN)
- Subnetzmaske: 255.255.255.0
- Gateway: 192.168.0.254 (Die IP der OPNsense in FB-LAN)
- Das Outbound NAT auf FB-LAN wieder ausschalten.
Jetzt solltest du vom LAN auf die FB kommen und auch das Steamen sollte jetzt gehen, da die FB jetzt weiß wo sie die Daten hinschicken soll.
Gruß
KH
-
Hi KH,
ich hatte keine Internetprobleme, da ich die Gateways anders Priorisiert habe.
Der Exposed host war dazu da, um ggf. irgendwelche Firewallpunkte der Fritzbox zu verhindern.
Hab ihn jetzt abgeschalten, keine Veränderung.
Ich habe jetzt das FB-Gateway abgeschalten und eine Outbound NAT auf das FB-Netzwerk eingerichtet.
Die Fritzbox erreiche ich wieder, der Stream baut sich dennoch nicht auf.
In dem Moment wo ich die Outbound NAT abschalte wird kein Stream mehr auf der FritzBox angefordert.
Wenn Outbound NAT an ist, wird der Stream auf der FB angefordert, er Traffic ist auf der Sense Schnittstelle zu sehen (5 - 7 MBit für SD) aber auf der LAN-Seite wird nichts ausgegeben.
Die Routen auf der FB und der Sense sind in beide Richtungen angelegt.
-
Ich habe jetzt das FB-Gateway abgeschalten und eine Outbound NAT auf das FB-Netzwerk eingerichtet.
Die Fritzbox erreiche ich wieder, der Stream baut sich dennoch nicht auf.
In dem Moment wo ich die Outbound NAT abschalte wird kein Stream mehr auf der FritzBox angefordert.
Kommst du mit ausgeschaltetem Outbound NAT auf die Weboberfläche der Fritz!Box?
Wenn Outbound NAT an ist, wird der Stream auf der FB angefordert, er Traffic ist auf der Sense Schnittstelle zu sehen (5 - 7 MBit für SD) aber auf der LAN-Seite wird nichts ausgegeben.
Die Routen auf der FB und der Sense sind in beide Richtungen angelegt.
Hast du die Route in der OPNsense manuell angelegt? Die OPNsense legt die automatisch an.
Gruß
KH
-
Hallo,
vielleicht hilft es wie bei mir die Konfiguration ist als Denkanstoss:
- FritzBox im BridgeModus -> LAN2 -> OPNSense mit öffentlicher IP
- FritzBox LAN1 mit fester IP in einem VLAN-Netz, darüber greife ich auf die FritzBo Oberfläsche zu und nutze es für VoIP-Telefone, damit diese sich zur FB verbinden können.
- Route in der FritzBox auf das Gateway der OPNSense aus dem VLAN für das komplette 10.0.0.0/16 Netz ( Nutze 10er Netz bei mir intern )
- das VLAN hängt bei mir an einem Switch mit dem entsprechenden VLAN-Tag und in der OPNSense ist der Zugriff auf die WebGUI per Firewall-Regel in das VLAN erlaubt.
Ich nutze kein DVB-C über die FritzBox ( ist abgeschaltet ) somit kann ich nicht testen ob es gehen würde ), aber ich könnte mir vorstellen, da man dies über das VLAN bei mir auch einrichten kann, da im BridgeModus nur der Zugriff auf die Fritzbox über LAN1 möglich ist, wird vermuttlich auch DVB-C Streams darüber gehen.
-
Hallo TuxTom,
vielen Dank für Deine Antwort. Ich habe eine Fritzbox Cable 6590, die kann kein BridgedMode. Dafür habe ich sie aber einen ExposedHost deklariert:
Diese FRITZ!Box
fritz.box | Kabel , ↓ 212 Mbit/s, ↑ 26,5 Mbit/s | 192.168.178.2 | WLAN aus
Aktive Verbindungen
Minen-von-Moria-BS | LAN 1 mit 1 Gbit/s | 192.168.176.23 | Exposed Host
Echtzeitpriorisiert
Ich habe auch schon die Firewalllogs echtzeitverfolgt und Freigaben dort gemacht, wo es gesperrt war, um zunächst erst einmal zu einem Ergebnis zu kommen. Wahrscheinlich bin ich auch zu dämlich zu erkennen, wo genau es hakt. :-(
Wenn über IPFire es möglich war, warum dann nicht über OPNSense... ?! *kopfkratz* Kann doch eigentlich nur ein Firewallproblem sein.
Ich analysiere mal:
Irgendein interner Client ---> ROUTER (192.168.0.10) NAT / PRTFWD ---> Fritzbox (192.168.178.1)
FRITZBOX (Stream) ---> ROUTER NAT / PRTFWD ---> Client
"Mehr" ist es doch nicht, oder?
Gruß Denise
-
vielen Dank für Deine Antwort. Ich habe eine Fritzbox Cable 6590, die kann kein BridgedMode. Dafür habe ich sie aber einen ExposedHost deklariert:
Das ist ein Config-Thema, Vodafone blockt das mittlerweile - ich hab noch Glück, im Ex-Unitymedia Land NRW wohne und dort geht BridgeModus mit der Fritzbox 6591 von Vodafone. Aber überall anders ist nur noch ExposedHost möglich.
Und soweit ich das bisher sehen konnte unterscheiden sich das Verhalten der FritzBox da, ich kenne mehrer Leute die nämlich damit unterschiedliche Probleme haben.
Hast du in der Fritzbox eine Route auf dein internes Netz eingetragen ?
Ich musste das wegen der VLAN über LAN-Port 1, aber vorsichtig damit, wenn man Pech hat, kommt man nicht mehr an den Fritzbox-WebGUI, da hilft dann nur noch Werksreset ( spreche aus Erfahrung )
EDIT: ich habe gerade mal bei mir DVB-C auf der FritzBox aktiviert, m3u-File per VLC gestartet und läuft aber wie gesagt, ich gehe über ein VLAN vom internen Netzwerk direkt auf die FritzBox LAN-1:
rtsp://10.0.50.5:554 = VLAN 50 bei mir, eigentlich für Telefonie.
Das ist dann kein NAT usw. zwischen.
-
Kommst du mit ausgeschaltetem Outbound NAT auf die Weboberfläche der Fritz!Box?
Ja das geht weiterhin.
Hast du die Route in der OPNsense manuell angelegt? Die OPNsense legt die automatisch an.
Gruß
KH
Ja hab ich um in beide Richtungen zu kommen. Schaden sollte es nicht, auch wenn es eigentlich Automatisch geschehen sollte.
Ich komme irgendwie nicht weiter.... Komischer BUG.
-
Kommst du mit ausgeschaltetem Outbound NAT auf die Weboberfläche der Fritz!Box?
Ja das geht weiterhin.
Dann sollte das mit dem Streamen auch klappen. Genau so habe ich das auch am laufen.
Lassen die Regeln im LAN den Zugriff für TCP 554 und UDP 5000-5007 ins FB-LAN zu?
Hast du die Route in der OPNsense manuell angelegt? Die OPNsense legt die automatisch an.
Gruß
KH
Ja hab ich um in beide Richtungen zu kommen. Schaden sollte es nicht, auch wenn es eigentlich Automatisch geschehen sollte.
Ich komme irgendwie nicht weiter.... Komischer BUG.
Die Route in der Fritz!Box ist notwendig, ohne die geht es nicht. Die in der OPNsense sollte nicht notwendig sein.
Gruß
KH
-
So, ich war länger nicht aktiv, und habe es auch immer noch nicht zum laufen bekommen.
Ich habe jetzt aber folgendes Festgestellt:
Anfrage PC (LAN-Netz) geht direkt an FritzBox Port 554 --> PASS
Antwort von FritzBox an OPnSense Port 5001 --> PASS
OpnSense an PC Port xxxx (Random) --> PASS
Ich sehe auch, dass am Eingang der OpnSense Traffic aus dem FirtzBoxNetzwerk eingeht. ABER: es gibt keinen Ausgehenden Traffic aus der OpnSense in das LAN-Netzwerk wo es eigentlich hin geroutet werden müsste.
VLC Player gibt die Fehlermeldung, dass er "rtsp://fitzbox:554" nicht öffnen kann.
Kann es sein, dass das Routing das Problem ist, da der PC nicht die Ports 554/5001/5000 usw. verwendet, und daher die OpnSence nicht weißt, wohin sie die eingehenden Pakete versenden soll?
Da ich keine DROPs im Logfile habe, wird es nicht am Ruleset sondern am Routing liegen. ABer woran, fällt mir schwer zu erkennen.
-
OpnSense an PC Port xxxx (Random) --> PASS
Absolut kein Experte, aber vielleicht sollte das Umscheiben des Ports auf "random" verhindert werden? Gibt da eine Standardrule im Default NAT -> Outbound für ISAKMP (Static Port -> yes) als Vorlage. Vielleicht einen Versuch wert?
-
So, ich war länger nicht aktiv
Und hast Du irgendwas davon gemacht, was dein Vorredner schrieb?
-
ja ich hab die Route in der Fritzbox gesetzt (hatte ich auch schon vorher).
Wie gesagt, der Stream wird auch Angefordert aber geht am am Input der OpnSence verloren und wird nicht ins LAN-Netzwerk geroutet (kein Output)