Messages

HI Lumpy,

MagentaTV ist nicht so einfach - braucht IGMPv3 zwischen Router und Receiver und das wurde wohl erst vor wenigen Wochen implementiert.
Hier gibts ein paar hintergründe:
https://forum.opnsense.org/index.php?topic=12780.msg60031#msg60031


Gruß BlaCKJaCK

Hi Christian,

hast du anschließend die Firewallregeln neu geladen? Mehr war bei mir nicht notwendig.

Allerdings haben die Aussetzer bei deinem Receiver wahrscheinlich nichts mit dem TFTP Proxy zu tun. Den braucht man (meines Erachtens nach) nur um einen "Jungfräulichen" Receiver (ohne Firmware, nur mit Bootloader) mit einer neuen Firmware zu beglücken. Wenn deiner Bootet solltest du keine Probleme haben.

Die Aussetzer (wenige Sekunden nach dem Senderwechsel?!) würde ich mal auf die IGMP Problemchen mit opnsense und dem nicht ganz aktuellen IGMPProxy zurückführen. Mit dem aktuell verfügbaren igmp-proxy Plugin werden nach innen keine IGMPv3 Nachrichten verschickt was der Receiver nicht witzig findet.

Anscheinend steht hier im letzten commit (https://github.com/pali/igmpproxy) eine gefixte Version zu verfügung - aber ich habe keine Ahnung, wie man sie kompiliert und für einen Test in die Firewall rein bringt (und schon garnicht, wie ich jemand dazu bringen könnte das Plugin zu aktualisieren).
Möge derjenige Vortreten, der das igmpproxy Problem lösen kann.

Gruß BlaCKJaCK

Hi SenseHH

Ich habe mittlerweile vom Snom die M700 und das Telefon M70 direkt an der Opnsense angeschlossen.

Bei eingehenden Anrufen kann ich Stundenlang telefonieren, nur bei ausgehenden Anrufen wird das Gespräch nach ca. 30Sek. abgebrochen.

Ich vermute, dass deine Telefone andere Ports (sowohl für SIP als auch für RTP/RTCP) verwenden als die FritzBox. Vermutlich schickt dein Anbieter nach 30sec unaufgefordert ein SIP (update/reinvite) Paket oder dein Telefon erwartet RTCP Pakete, die nicht durch die Firewall kommen. Lies mal bei SNOM nach, welche Ports die erwarten und passe die Firewall entsprechend an. Eventuell kannst du auch in den Logs des Telefons nachlesen, warum die Calls abgebrochen wurden.

Gruß BlaCKJaCK

Arg schnelle zusammenfassung:

Es braucht zwei NAT Regeln:
Eine Portforwarding Regel vom Provider zur FBF (Inbound) und eine speziele Outbound Regel (damit die Ports ausgehend nicht geändert/randomisiert werden).

Die Regeln habe ich angehängt, hier seien noch die verwendeten Aliase erwähnt:

hostg_VoIP enthält unter anderem (habe da noch mehr drin für weitere SIP Provider):
217.0.0.0/13
(Habe mich nicht getraut das Netz kleiner zu machen. Leider verrät die Telekom nicht, welche IPs/Subnetze deren VoIP Server haben.)

host_fbf7412 enthält:
die IP meiner FritzBox im internen LAN

svc_FritzBox_VoIP enthält:
7078:7110
5060
3478

Die beiden Regeln habe ich als Bilder angehängt. Ach ja, für die "outbound Sonderregel" müsst ihr "Hybrid outbound NAT rule generation" aktivieren.

EDIT: Das funktioniert nur, wenn ihr der FritzBox vollen internetzugriff erlaubt. In der Regel sollte das über die standard Regel "Default allow LAN to any rule " der Fall sein.

Hoffe das hilft euch.

Hi hbc.

Wenn du innen wie außen mit Public IPs arbeitest und garnicht NATen musst, verstehe ich nicht, warum du nicht einfach (auch wenn es nicht super sicher ist) einfach UDP zwischen dem Telekom TFTP Server und deinem receiver freischaltest. Dann hättest du das "stateful" problem ja umgangen.

Ich habe noch einen globalen Haken gesetzt (eigentlich aus einem anderen Grund) der vielleicht eine auswirkung haben könnte - aber einen logischen zusammenhang sehe ich zu deinem Problem auf die Schnelle nicht:

Firewall: Settings: Advanced
--> Disable reply-to: aktiviert

Good news: Ich habe es hinbekommen:


1.:/usr/local/etc/inc/plugins.inc.d/tftpproxy.inc mit diesem inhalt anlegen:

Code Select Expand

<?php	function tftpproxy_enabled(){    return true;}	function tftpproxy_firewall($fw){    if (!tftpproxy_enabled()) {        return;    }	$fw->registerAnchor('tftp-proxy/*', 'nat');    $fw->registerAnchor('tftp-proxy/*', 'rdr');    $fw->registerAnchor('tftp-proxy/*', 'fw');}

2.: Firewallregeln neu laden
3.: Prüfen ob die "anchors" nun der Firewall bekannt sind

Code Select Expand


root@OPNsense01:~ # pfctl -sr | grep anchor
anchor "tftp-proxy/*" all
root@OPNsense01:~ # pfctl -sn | grep anchor
nat-anchor "tftp-proxy/*" all
rdr-anchor "tftp-proxy/*" all

4.: /etc/inetd.conf um diese Zeile ergänzen:

Code Select Expand

acmsoda dgram   udp     wait    root    /usr/libexec/tftp-proxy tftp-proxy -v
5.:Tftp-proxy von hand starten (habe mich noch nicht mit dem automatischen start beschäftigt):

Code Select Expand

/etc/rc.d/inetd onestart[/li][/list]
6.: anschließend Prüfen, ob Port 6969 vom inetd tftp-proxyverwendet wird:

Code Select Expand


root@OPNsense01:~ # sockstat -4
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
root     inetd      90139 5  udp4   *:6969                *:*

6.: Die "Port Forward" NAT Regel "Rule1" (siehe Bild) erstellen
7.: Die "Outbound" NAT Regel "Rule2" (siehe Bild) ganz oben in der Liste erstellen (die Reihenfolge ist wichtig!!!)


Ich hoffe, ich habe nichts vergessen (und, dass das nächste Update nicht wieder alles zerstört...)

Sorry für die katastrophale formatierung - wenn ich lust habe, erstelle ich noch eine schönere Anleitung.

Viel Erfolg,

BlaCKJaCK

Short Update - found here:
https://github.com/opnsense/core/issues/2254

Use the 8x14 font, worked for me.

Hi All.
Same problem here, but additionally the workaround does not work for me. Installer GUI freezes while switching back font.
Cheers,
BlaCKJaCK