DVB-C Live-TV einer FRITZ!Box 6591 Cable hinter OPNsense per VLC nutzen?

[Marcel_75]

Hallo zusammen,

direkt an der Fritzbox angestöpselt funktioniert das schon wunderbar (u.a. per VLC-Player oder auch mit den AVM Apps auf dem Mobiltelefon).

Da ich die Fritzbox aber nur für Festnetz-Telefonie und "als Modem" nutzen möchte, ist mein Ziel, dass das auch hinter meiner "Double-NAT"-Konstruktion klappt.

Aktuell funktioniert das in meinem "richtigen Netz" (also hinter meiner OPNsense) nämlich noch nicht …

Ich kann da zwar schon die Senderliste doppelklicken im VLC (diese wurde als tvsd.m3u sowie tvhd.m3u aus der Fritzbox exportiert) und sehe auch (in der Fritzbox), dass der jeweils gewählte Sender tatsächlich auch abgespielt/gestreamt wird.

Allerdings kommt weder Bild noch Ton und nach 1-2 Minuten wird automatisch auf den nächsten Sender gewechselt.

Soweit ich das verstehe, ist das ganze Thema recht komplex?

Denn zum einen muss ich wohl die Ports 10000-10500 "erlauben" und dazu ist dann auch noch IGMPv3 (inkl. 'cascading') wichtig?

Ich habe mir den "IGMP Proxy" auch schon installiert, finde für dessen Einrichtung aber leider keine richtige Anleitung …

Diese hier https://docs.opnsense.org/manual/how-tos/orange_fr_tvf.html bezieht sich ja eher auf Leute, die das ganze direkt in der OPNsense "anzapfen" wollen, also ohne Fritzbox.

Bei mir ist das IPTV-Signal dank der Fritzbox ja eigentlich schon da – ich weiß nur leider nicht, was genau ich einstellen muss, damit das dann z.B. auch auf einem Rechner hinter meiner OPNsense ankommt?

Danke vielmals für Hilfe!

PS: Und noch als Ergänzung – "Multicast" ist wohl ebenfalls wichtig, sonst klappt es nicht, siehe:

https://avm.de/service/fritzbox/fritzbox-7530/wissensdatenbank/publication/show/1422_Live-TV-Wiedergabe-startet-nicht/

[esserda]

Hast du den OPNsense als Exposed Host auf der FritzBox freigegeben?

Denn die FritzBox ristriktiert ja auch schon. Würde den OPNsense als Exposed Host setzen und dann alle nötigen Firewall Einstellungen auf dem OPNsense vornehmen.

[esserda]

Oder noch besser, lasse die FritzBox im Bridge Mode laufen und hol dir für die Telefonie eine entsprechende Basisstation oder direkt neue VoIP-Telefone

[Marcel_75]

Hallo,

sowohl der Bridge Mode als auch Exposed Host sind leider keine Option, ich möchte das ganze schon weiterhin als Double-NAT betreiben (also vorn die Fritzbox Cable mit Ihrem 10.89.89.0/24 Netz, dahinter meine OPNsense mit dem 10.5.5.0/24 Netz).

Dieser heise-Artikel hier führte mich schon mal grundsätzlich auf die richtige Spur:

https://www.heise.de/ct/artikel/MagentaTV-auf-pfSense-Co-4698826.html

Nur habe ich es hier bei mir ja nicht mit einem Telekom-Anschluss und Magenta TV zu tun, sondern es ist ein Kabel-Anschluss von PYUR und die Fritzbox empfängt ja schon erfolgreich die DVB-C Signale und die aus der Fritzbox exportierte Programmliste lässt sich im 10.89.89.0/24 Netz auch absolut problemlos per VLC ansehen.

Vllt. als Beispiel mal ARD HD aus der .m3u Liste, da steht folgendes:

#EXTINF:0,Das Erste HD
#EXTVLCOPT:network-caching=1000
rtsp://10.89.89.1:554/?avm=1&freq=314&bw=8&msys=dvbc&mtype=256qam&sr=6900&specinv=1&pids=0,16,17,18,20,5100,5101,1170,1176,2171,5102,5103,5104,5105,5106,5108,5172

Im Gegensatz dazu wird bei Magenta TV ja immer von so etwas hier geredet:

rtp://87.141.215.251@232.0.20.85:10000

Vllt. liege ich damit ja auch völlig falsch, aber könnte es nicht sein, dass ich bei mir eigentlich nur den rtsp Stream auf Port 554 der Fritzbox (IP 10.89.89.1) an OPNsense-WAN (IP 10.89.89.2) und dann OPNsense-LAN (IP 10.5.5.1) "durchschleifen" muss?

Aber wahrscheinlich sind auch diese Frequenzangaben etc. wichtig? (siehe oben im Beispiel von Das Erste HD)?

Oder aber sind gar die "externen IPs" wichtig, die ich dank der heise-Anleitung zwar von Magenta TV der Telekom kenne, aber leider nicht von PYUR (ehemals Tele Columbus)?

PS: Und wie ich gerade mitbekomme, kommt dann später auch noch eine zusätzliche Herausforderung auf mich zu, nämlich die Konfiguration meiner Unifi-Switche, die aber hier sehr gut erklärt ist (wenn auch leider wieder nur für Magenta TV): https://die25stestunde.de/telekom-magenta-tv-mit-unifi-hardware/#3-3-igmp-proxy-mittels-config-gateway-json-aktivieren

[Layer8]

sowohl der Bridge Mode als auch Exposed Host sind leider keine Option, ich möchte das ganze schon weiterhin als Double-NAT betreiben (also vorn die Fritzbox Cable mit Ihrem 10.89.89.0/24 Netz, dahinter meine OPNsense mit dem 10.5.5.0/24 Netz).

Warum ist Exposed Host keine Option?

- Die Fritzbox behält dabei alle ihre Funktionen.
- Die Clients im 10.89....er Netz können weiterhin alles machen was sie bisher auch können und wenn nötig kann man auch Filterregeln oder Routingeinstellungen sowie Portforwardings auf der Fritzbox weiterhin nutzen und auf einzelne Clients im 10.98.er Netz weiterleiten. Diese Ports stehen dann an der sense natürlich nicht mehr zur Verfügung, aber das wäre ja genauso wie wenn man einzelne Ports weiterleitet.... Exposed Host ist quasi nix weiter wie die Portweiterleitung allen Traffics an die entsprechende Exposed Host IP.
- Du behälst dadurch den vollen Schutz des NATs von der Fritzbox, hast dabei auch noch das NAT in der sense und kannst zudem alle Ports die nicht auf der Fritzbox genutzt werden direkt in der sense nutzen

Jaaa ich weiß, ich kanns selbst nicht leiden wenn man in Foren sagt was man wie nicht haben will und die Leute dich dann umstimmen wollen bzw. ihre eigene Philosophier aufbinden wollen. Aber in dem Fall seh ich keine wirklichen Nachteile oder Änderungen, außer dass alles was aus dem Internet auf deine Internet-IP verbindet und nicht von der Fritzbox durch einen Dienst verarbeitet (oder eben an einen Client in dem 10.98.er Netz portforwarded wird) am WAN-Interface der sense aufschlägt. Und das prallt dann einfach an der Sense ab.

[Cutknife]

Hallo zusammen,
Gibt’s für das Problem schon eine Lösung? Versuche des auch zum laufen zu bekommen

[KHE]

Hallo zusammen,

bei mir läuft das im Bridged Mode. Ob wie sich das mit Doulbe-NAT oder Exposed Host umsetzen lässt, keine Ahnung, ich glaube aber leider nicht.

Meine Konfiguration:
Fritzbox: 10.0.0.1 / 24
OPNsense WAN: DHCP (hängt an Bridged Port LAN 2 der Fritzbox, IP vom Provider)
OPNsense intern: 10.0.1.1 / 24
OPNsense zu Fritzbox: 10.0.0.254 / 24 (eigenes LAN zu LAN 1 der Fritzbox)

In der Fritzbox muss dann noch in den Netzwerkeinstellungen eine IP4 Route eingetragen werden, um die Pakete ins Netzwerk 10.0.1.0/24 über das Gateway 10.0.0.254 an die OPNsense zu schicken.

Es sind dann noch Firewall-Regeln notwendig, dass der Traffic von dem Fritzbox-Netz auch in das Interne Netz kommt und umgekehrt. Im Moment habe ich da noch zuviele Ports und Protokolle offen. Wenn ich etwas mehr Zeit habe, werde ich da noch weitere Einschränkungen vornehmen.

Mit dieser Einstellung kann ich dann die Fritzbox auch aus dem Internen Netzwerk der OPNsense administrieren.

Weitere Info:
Zum Start des Streams verbindet sich der Client via TCP-Port 554 zur Fritzbox und gleich danach werden noch zwei UDP-Verbindungen vom Client aus geöffnet aus dem Portbereich 5000+
Weitere Verbindungen habe ich im Firewall-Log nicht gesehen.
Durch NAT klappte es jedenfalls nicht. Ich hatte Anstatt der IP4 Routen in der Fritzbox ein Outgoing NAT auf dem Netzwerk zur Fritzbox aktiv und habe es damit nicht zum laufen gebracht.

[sturm]

Hallo zusammen,

würde es gerne genauso machen wollen wie Marcel_75 vorschlägt.... Gibt´s tatsächlich keine Möglichkeit das so umzusetzten ? das müsste doch gehen...

würde mich über jeden Vorschlag feuen...

[KHE]

Hallo,

ich kann noch folgende Informationen beisteuern, wie man das dann in eine Konfiguration umwandelt müssen diejenigen tun, die ein Doppel-NAT verwenden.

Die Fritz!Box verwendet für das IPTV kein IGMP. D.h. der IGMP Proxy bringt nichts und ist nicht notwendig. Ich habe bei mir den IGMP Proxy nicht am laufen. Wenn ich mir den englischen Wikipedia-Artikel zu IPTV ansehe, dann ist die dritte Variante unter den aufgeführten Protokollen die vordere Fritz!Box verwendete:

• Web-based multicast live and unicast VoD streaming:
• The Internet Engineering Task Force (IETF) recommends RTP over UDP or TCP transports with setup and control using RTSP over TCP

Dies entspricht genau dem was ich bei mir beim Einrichten gesehen habe.

• Es wird ein Steuerkanal über RSTP over TCP auf Port 554 aufgemacht
• Die Daten werden dann über RTP over UTP auf den Ports 5000 & 5001 geschickt.

Die Fritz!Box macht also ein Unicast Streaming.
Weitere Clients bekommen übrigens paarweise die Ports 5002 & 5003, 5004 & 5005 und 5006 & 5007 zugewiesen.

Hoffe das hilft beim Einrichten. Falls es jemand mit dem Doppel-NAT zum laufen bekommt, bitte hier Posten.
Bei mir läuft es ja wie oben erwähnt in einer anderen Konfiguration.

Gruß KH

[stsnake]

Hallo,

ich hatte das gleich Problem und kam durch die Anmerkungen von KHE (Ports) heute zur Lösung und wollte dies hier auch noch teilen.
Das Problem bei mir das "Ausgehende NAT" das ich aktiviert hatte. Sobald ich das deaktiviert habe war das DVB-C Streaming aus dem Netz möglich.

Zu beachten ist, dass die Netzwerk(e) der OPNsende als Routen auf der FritzBox bekannt gemacht werden.

Viele Grüße

[User123]

Hallo KHE,

Ich versuche gerade ein identisches Setup wie bei dir zum Laufen zu bekommen.
OPNsense WAN hängt an der FritzBox Bridge Port und jetzt zusätzlich ein Interface der OPNsense im LAN der Fritzbox.
Statische Routen sind vorhanden, ich kann auch aus dem LAN der OPNsense aufs Webinterface der Box zugreifen.
Was jetzt noch nicht klappt, ist der DVBC Stream. Es scheint wohl an den Firewall Regeln zu liegen, denn wenn ich an der OPNsense die Firewall (Paketfilter) deaktiviere, funktioniert auch der Stream.
Habe schon testweise am Interface im LAN der Fritzbox eine Regel angelegt, die den Zugriff auf alles erlaubt, der Stream will aber immer noch nicht.
Welche Regeln hast Du hier angelegt, dass bei dir der Stream klappt?

Schöne Grüße

Hallo zusammen,

bei mir läuft das im Bridged Mode. Ob wie sich das mit Doulbe-NAT oder Exposed Host umsetzen lässt, keine Ahnung, ich glaube aber leider nicht.

Meine Konfiguration:
Fritzbox: 10.0.0.1 / 24
OPNsense WAN: DHCP (hängt an Bridged Port LAN 2 der Fritzbox, IP vom Provider)
OPNsense intern: 10.0.1.1 / 24
OPNsense zu Fritzbox: 10.0.0.254 / 24 (eigenes LAN zu LAN 1 der Fritzbox)

In der Fritzbox muss dann noch in den Netzwerkeinstellungen eine IP4 Route eingetragen werden, um die Pakete ins Netzwerk 10.0.1.0/24 über das Gateway 10.0.0.254 an die OPNsense zu schicken.

Es sind dann noch Firewall-Regeln notwendig, dass der Traffic von dem Fritzbox-Netz auch in das Interne Netz kommt und umgekehrt. Im Moment habe ich da noch zuviele Ports und Protokolle offen. Wenn ich etwas mehr Zeit habe, werde ich da noch weitere Einschränkungen vornehmen.

Mit dieser Einstellung kann ich dann die Fritzbox auch aus dem Internen Netzwerk der OPNsense administrieren.

Weitere Info:
Zum Start des Streams verbindet sich der Client via TCP-Port 554 zur Fritzbox und gleich danach werden noch zwei UDP-Verbindungen vom Client aus geöffnet aus dem Portbereich 5000+
Weitere Verbindungen habe ich im Firewall-Log nicht gesehen.
Durch NAT klappte es jedenfalls nicht. Ich hatte Anstatt der IP4 Routen in der Fritzbox ein Outgoing NAT auf dem Netzwerk zur Fritzbox aktiv und habe es damit nicht zum laufen gebracht.

[FraLem]

Hallo,

Hast du   in der Firewall-Einstellung, bei der Regeln der WAN & LAN ports „Allow IP options“ aktiviert?

Grüss

[User123]

Hallo,

nein, das werde ich später noch probieren.
Das Problem scheint aber wie bei stsnake Outbound NAT bzw. die automatisch erstelle Regel zum Interface im FB-Netz zu sein.
Nach dem Ändern auf manuelle Regeln ging das DVB-C Streaming, jetzt habe ich aber dadurch scheinbar andere Probleme, da teilweise Portfreigaben fürs Smarthome nicht mehr funktionieren zu scheinen. Hier muss ich mal die Einstellungen zu den Outbound-NAT Regeln durchgehen, habe gestern Abend nur noch schnell eine Regel mit den Standardeinstellungen erstellt, damit der Zugriff aufs Internet wieder läuft.
Kann man eventuell die automatisch erstellten Outbound-NAT Regeln irgendwo einsehen, welche Einstellungen da gesetzt sind, oder im Hybrid-Modus die automatischen Regeln fürs FB-Lan Interface deaktivieren? Bzw. muss für dieses Interface zwingend ein Gateway vorhanden sein? Falls es auch ohne Gateway über static routes geht, wär das meiner Meinung nach die einfachere Lösung. Hatte auch gestern mal den Fall, dass der Internetverkehr der Lan-Clients teilweise über die WAN IP der Fritzbox statt übers WAN der OPNsense geroutet wurde. Ich habe dann noch die Gatewayeinstellungen angepasst (WAN als Upstream markiert und Prioritäten geändert), seither ist es mir nicht mehr aufgefallen.

Schöne Grüße

[KHE]

Hi User123,

wichtig ist, dass du kein Outbound NAT mehr unter Firewall: NAT: Outbound in das Netz der FB aktiv hast. Das war bei mir tagelang aktiv und hat die Streams durcheinander gebracht.

Ok, Bridge Modus in der FB ist aktiv und die OPNsense hat eine eigene IP des Providers. Soweit so gut.

Ich gehe davon aus, dass du für die FB ein eigens LAN hast mit einem eigenen IP-Bereich hast. Falls dann die Statischen Routen in der FB eingerichtet und das Outbound NAT in der OPNsense ausgeschaltet ist, sollte es gehen.

Es wird keine aktive Verbindung aus dem FB Netz aufgebaut werden daher braucht man im FB-Netz auch keine einzige Regel.

Aus dem Netz des Clients muss für VLC nur der TCP-Port 554 und die UDP-Ports 5000-5007 zugelassen werden. Für den die Fritz!TV App zusätzlich der TCP-Port 49000. Für den Webzugriff dann noch die Ports 80 & 443. Als Destination kann man dann die IP der FB angeben. Wenn man in diesem Netz aber eine Allow any Regel hat, dann sollte es eigentlich sofort gehen.

Gruß KH

[User123]

Hallo zusammen,

vielen Dank für Eure Tipp's. Ich hatte heute wieder etwas Zeit mich mit dem Thema zu beschäftigen und es läuft jetzt auch einwandfrei.
Für den Fall, dass noch jemand die selben Probleme hat, hier meine Lösung:
Wie schon von KHE geschrieben, muss das Outbound-NAT an der LAN-Schnittstelle im FB-Netz deaktiviert sein. Hierfür muss man die Regeln auf manuell stellen und die benötigten Regeln selbst anlegen.
Die für mich einfachere Lösung war dann aber, einfach das beim Anlegen der Schnittstelle automatisch erstellte Gateway unter System: Gateways zu deaktivieren. Somit wird dann auch kein NAT mehr zwischen dem FB-LAN und dem Opnsense-LAN mehr gemacht sondern direkt geroutet.

Schöne Grüße