Gebruik een eigen router i.p.v. de Experia Box

Multiedje schreef:

Kijk eens onder netwerk en LAN of je een vergelijkbaar overzicht hebt via je controller:

 

Ja is vergelijkbaar inderdaad

MarkV85 schreef:

Multiedje schreef:

Kijk eens onder netwerk en LAN of je een vergelijkbaar overzicht hebt via je controller:

 

Ja is vergelijkbaar inderdaad

Als je de Switch aansluit, heb je dan al de eerder genoemde devices ook al aangesloten of alleen de Switch zelf. Als het zich voordoet met een kale Switch dan hoef je niet verder te zoeken, als hier ook al apparatuur aan hangt dan zou ik deze per device gaan aansluiten.

Mijn ER 6p draait nu bijna 3 maanden als een zonnetje. Na de schone installatie met het script van @wjb heb ik steeds wat functionaliteit toegevoegd, gekeken of het werkt en dan een nieuwe backup van de config gemaakt. 

Deze week heb ik mijn VPN verbinding van mijn Synology vervangen en heb deze geconfigureerd op de ER. De VPN verbinding start zeer snel op en is ook erg snel. Er is me echter iets raars opgevallen, waar ik geen vinger achter kan krijgen. Na het initieel instellen van de VPN verbinding via CLI mis ik mijn ipv6. Ik ben diverse malen opnieuw begonnen. Dus laden vorig script (incl. ipv6), inregelen VPN en na een commit, save (incl. ipv6), maar als ik de ER een keer herstart, weg ipv6. Als ik dan het vorige script opnieuw inlaad is alles weer oké. Voor de duidelijkheid: ik maak in voorgaande situaties geen gebruik van een actieve  VPN verbinding . Dit is gewoon op het netwerk thuis.

Voor:

Na installatie VPN:

Dit zijn de VPN instellingen die ik heb gedraaid:

Naast het verwijderen van een aantal port-forwarding rules voor de Synology VPN, heb ik geen wijzigingen aangebracht. Heeft iemand hiervoor een verklaring? 

Multiedje schreef:

MarkV85 schreef:

Multiedje schreef:

Kijk eens onder netwerk en LAN of je een vergelijkbaar overzicht hebt via je controller:

 

Ja is vergelijkbaar inderdaad

Als je de Switch aansluit, heb je dan al de eerder genoemde devices ook al aangesloten of alleen de Switch zelf. Als het zich voordoet met een kale Switch dan hoef je niet verder te zoeken, als hier ook al apparatuur aan hangt dan zou ik deze per device gaan aansluiten.

Ja ik sluit dan de switch met alle randapparatuur aan. 
Ik kan ook eens alleen de switch aansluiten en 1 ap 

MarkV85 schreef:

Multiedje schreef:

MarkV85 schreef:

Multiedje schreef:

Kijk eens onder netwerk en LAN of je een vergelijkbaar overzicht hebt via je controller:

 

Ja is vergelijkbaar inderdaad

Als je de Switch aansluit, heb je dan al de eerder genoemde devices ook al aangesloten of alleen de Switch zelf. Als het zich voordoet met een kale Switch dan hoef je niet verder te zoeken, als hier ook al apparatuur aan hangt dan zou ik deze per device gaan aansluiten.

Ja ik sluit dan de switch met alle randapparatuur aan. 
Ik kan ook eens alleen de switch aansluiten en 1 ap 

Dat zou ik inderdaad eerst doen, dan per device aansluiten en kijken of je STB vastloopt. Nog devices die een statisch IP adres hebben?

@RobertLa,

Haal de regel "set vpn ipsec ipsec-interfaces interface pppoe0" eens weg.

Deze heb ik niet in mijn config terwijl ik zowel site-2-site IPSec als L2TP gebruik en "gewoon" IPv6 adressen heb.

Edit: Nee, dat is niet de oorzaak. Wat de oorzaak wel is ... I don't know. 

RobertLa schreef:

Mijn ER 6p draait nu bijna 3 maanden als een zonnetje. Na de schone installatie met het script van @wjb heb ik steeds wat functionaliteit toegevoegd, gekeken of het werkt en dan een nieuwe backup van de config gemaakt. 

Deze week heb ik mijn VPN verbinding van mijn Synology vervangen en heb deze geconfigureerd op de ER. De VPN verbinding start zeer snel op en is ook erg snel. Er is me echter iets raars opgevallen, waar ik geen vinger achter kan krijgen. Na het initieel instellen van de VPN verbinding via CLI mis ik mijn ipv6. Ik ben diverse malen opnieuw begonnen. Dus laden vorig script (incl. ipv6), inregelen VPN en na een commit, save (incl. ipv6), maar als ik de ER een keer herstart, weg ipv6. Als ik dan het vorige script opnieuw inlaad is alles weer oké. Voor de duidelijkheid: ik maak in voorgaande situaties geen gebruik van een actieve  VPN verbinding . Dit is gewoon op het netwerk thuis.

Voor:

Na installatie VPN:

 

Dit zijn de VPN instellingen die ik heb gedraaid:

Naast het verwijderen van een aantal port-forwarding rules voor de Synology VPN, heb ik geen wijzigingen aangebracht. Heeft iemand hiervoor een verklaring? 

Heb je misschien per ongeluk eerdere firewall rules overschreven en wat gebeurt er als je tijdelijke ipv6 uit zet.

Multiedje schreef:

MarkV85 schreef:

Multiedje schreef:

MarkV85 schreef:

Multiedje schreef:

Kijk eens onder netwerk en LAN of je een vergelijkbaar overzicht hebt via je controller:

 

Ja is vergelijkbaar inderdaad

Als je de Switch aansluit, heb je dan al de eerder genoemde devices ook al aangesloten of alleen de Switch zelf. Als het zich voordoet met een kale Switch dan hoef je niet verder te zoeken, als hier ook al apparatuur aan hangt dan zou ik deze per device gaan aansluiten.

Ja ik sluit dan de switch met alle randapparatuur aan. 
Ik kan ook eens alleen de switch aansluiten en 1 ap 

Dat zou ik inderdaad eerst doen, dan per device aansluiten en kijken of je STB vastloopt. Nog devices die een statisch IP adres hebben?

Ik zal eens kijken of ik vandaag wat onderhoud kan doen thuis 😜 ik zal de boel dan wel resetten naar factory defaults

Multiedje schreef:

RobertLa schreef:

Mijn ER 6p draait nu bijna 3 maanden als een zonnetje. Na de schone installatie met het script van @wjb heb ik steeds wat functionaliteit toegevoegd, gekeken of het werkt en dan een nieuwe backup van de config gemaakt. 

Deze week heb ik mijn VPN verbinding van mijn Synology vervangen en heb deze geconfigureerd op de ER. De VPN verbinding start zeer snel op en is ook erg snel. Er is me echter iets raars opgevallen, waar ik geen vinger achter kan krijgen. Na het initieel instellen van de VPN verbinding via CLI mis ik mijn ipv6. Ik ben diverse malen opnieuw begonnen. Dus laden vorig script (incl. ipv6), inregelen VPN en na een commit, save (incl. ipv6), maar als ik de ER een keer herstart, weg ipv6. Als ik dan het vorige script opnieuw inlaad is alles weer oké. Voor de duidelijkheid: ik maak in voorgaande situaties geen gebruik van een actieve  VPN verbinding . Dit is gewoon op het netwerk thuis.

Voor:

Na installatie VPN:

 

Dit zijn de VPN instellingen die ik heb gedraaid:

Naast het verwijderen van een aantal port-forwarding rules voor de Synology VPN, heb ik geen wijzigingen aangebracht. Heeft iemand hiervoor een verklaring? 

Heb je misschien per ongeluk eerdere firewall rules overschreven en wat gebeurt er als je tijdelijke ipv6 uit zet.

Dat helpt helaas ook niet. Ik heb nu in stukken de configuratie doorgevoerd en daarna opnieuw opgestart. Ik ben begonnen met het inrichten van VPN (dus nog geen firewall rules toegevoegd etc.):

Hierna ben ik mijn ipv6 kwijt. Ik heb de 0.0.0.0 (for dynamic dns) vervangen voor mijn IP-adres, maar dat mocht ook niet baten. Dus één van deze regels (behalve de laatste) helpt het ipv6 om zeep….

RobertLa schreef:

Dat helpt helaas ook niet. Ik heb nu in stukken de configuratie doorgevoerd en daarna opnieuw opgestart. Ik ben begonnen met het inrichten van VPN (dus nog geen firewall rules toegevoegd etc.):

Hierna ben ik mijn ipv6 kwijt. Ik heb de 0.0.0.0 (for dynamic dns) vervangen voor mijn IP-adres, maar dat mocht ook niet baten. Dus één van deze regels (behalve de laatste) helpt het ipv6 om zeep….

Ik heb de l2tp outside-address op mijn publieke IP adres staan.

Zo daar ben ik weer met een update. Vanmiddag heb ik alles uit mijn Unifi Controller gehaald dus ook factory reset en de controller uit mijn Docker container verwijderd. Hierna de Edgerouter aangesloten via eth1 op de Unifi Switch en op de switch mijn Synology met Docker voor Unifi Controller. Ook laptop via kabel verbonden. Hierna ben ik vanaf nul begonnen, dus eerst de switch adopten en het LAN aanmaken met IGPM snooping. TV aangesloten eerst geen beeld moest IGMP op de router even herstarten. Daarna wel beeld. TV stond meer dan 2uur aan zonder problemen. Hierna mijn 2 AP aangesloten en ook adopt in het netwerk. Volgende stap heb ik de rest aangesloten en op eth2 Gigaset NA300 aangesloten voor VOIP.

Ik heb wel 1x zender niet beschikbaar gehad maar ik zie dat nu even als een incident omdat het verder nu goed draait.

Ik denk dat in mijn oude controller een fout zat oid en dit te samen met de rest. Ik heb hiervoor ook een USG3 gehad en mogelijk heeft dit sporen achtergelaten icm vorige provider. Ik ga mooi dit weekend even testen.

Wellicht dat men hier kan helpen, hoewel ik geen standaard situatie heb.

PPPoE is gelukt, een address binnen krijgen via dhcp op eth0.4 aka vlan4 ook. Maar IPTV, dat niet.

Dit is mijn netwerk. De Ubuntu box heeft twee fysieke netwerkkaarten, eentje zit de UTP uit de mediaconverter op, de andere steekt in het lan. De switches zijn smart.

Ik heb twee DSG-1100 switches, als ik die direct op de Experia box prik dan werkt IPTV. Als ik mijn eigen Ubuntu doos gebruik dan niet. Ik dat ergens de IGMP settings of de iptables niet goed staan. Maar ik kom er niet uit. 

Dit is mijn IGMP config;

quickleave

phyint vlan4 upstream  ratelimit 0  threshold 1
        altnet 192.168.40.0/24
        altnet 213.75.0.0/16
        altnet 217.166.0.0/16

Dit zijn mijn IP tables;

# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.84.86.0/24        anywhere
MASQUERADE  all  --  anywhere             anywhere

De default policies overall zijn accept in dit voorbeeld. Normaal internet werkt overal in het LAN, IPTV niet.

Iemand die een idee heeft om me op de goede weg te helpen?

Hoe zorg je er voor dat uitgaande communicatie naar het subnet 213.75.112.0/21 via vlan 4 (eth0.4) gestuurd wordt?

Is dat eerste stukje onder quickleave voldoende?

Moet daar overigens ook niet phyint eth0.4 upstream gebruikt worden?

Op een EdgeRouter wordt naast de definitie binnen de IGMP proxy server van vlan 4 als upstream vlan ook nog een kernel route m.b.v. rfc3442 classless-static-routes aangemaakt.

wjb schreef:

RobertLa schreef:

Dat helpt helaas ook niet. Ik heb nu in stukken de configuratie doorgevoerd en daarna opnieuw opgestart. Ik ben begonnen met het inrichten van VPN (dus nog geen firewall rules toegevoegd etc.):

Hierna ben ik mijn ipv6 kwijt. Ik heb de 0.0.0.0 (for dynamic dns) vervangen voor mijn IP-adres, maar dat mocht ook niet baten. Dus één van deze regels (behalve de laatste) helpt het ipv6 om zeep….

Ik heb de l2tp outside-address op mijn publieke IP adres staan.

 

Heb deze settings ook geprobeerd incl publieke ip. Zelfde euvel. Dan maar weer terug naar de Synology vpn. 

 quickleave

phyint vlan4 upstream  ratelimit 0  threshold 1
        altnet 192.168.40.0/24
        altnet 213.75.0.0/16
        altnet 217.166.0.0/16

 # iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  10.84.86.0/24        anywhere
MASQUERADE  all  --  anywhere             anywhere

Klopt het dat 192.168.40.0/24 je LAN is?

Zoja dan lijken upstream en downstream voor IGMP geregeld.

Wat ik niet kan volgen is je masquerade met die 10.84.876.0/24. Als ‘source’ zou ik hier het/de ip-adres(sen) van de TV ontvangers verwachten met als destination 213.75.112.0/21.

Vervolgens moet er in de route tabel een destination zijn voor 213.75.112.0/21 naar de gateway verkregen op vlan4.

Bedankt voor de antwoorden.

Ja. 192.168.40.0/24 is het LAN

Dit is de huidige route tabel

 route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
10.0.3.0        0.0.0.0         255.255.255.0   U     0      0        0 lxcbr0
10.128.252.0    0.0.0.0         255.255.252.0   U     0      0        0 vlan4
192.168.40.0    0.0.0.0         255.255.255.0   U     0      0        0 enp5s0
195.190.228.6   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
213.75.112.0    10.128.252.1    255.255.248.0   UG    0      0        0 vlan4

Op een EdgeRouter wordt naast de definitie binnen de IGMP proxy server van vlan 4 als upstream vlan ook nog een kernel route m.b.v. rfc3442 classless-static-routes aangemaakt.

Als ik kijk voor vlan4:

ip route | grep vlan4
10.128.252.0/22 dev vlan4 proto kernel scope link src 10.128.254.46
213.75.112.0/21 via 10.128.252.1 dev vlan4

Is daar dan nog extra iptable routering nodig? 

Wat ik niet kan volgen is je masquerade met die 10.84.876.0/24. Als ‘source’ zou ik hier het/de ip-adres(sen) van de TV ontvangers verwachten met als destination 213.75.112.0/21

Ik heb niet perse de IP addressen van die STB, maar die 213.75.112.0/21 is dat niet het subnet waar de STB automagisch een IP verkrijgt, hij heeft er toch 2? Eentje voor normaal internet en eentje voor IPTV?

Nee, dat is het subnet voor de server farm van KPN t.b.v. iTV. Een STB krijgt alleen een IP adres uit het LAN (in jouw geval 162.168.40.0/24).

Overigens zien die routes er goed uit.

@EloqueAls je uit gaat van routed iptv zoals tegenwoordig standaard is, maken je STB's onderdeel uit van je lokale LAN. Ik zie bij jou schema geen voorzieningen om dat anders geregeld te hebben, vandaar de aanname routed iptv.

In het geval van routed iptv krijgen je STB's dus een ip adres in je lokale LAN. De STB krijgt geen adres van het iptv platform.

In dat geval moet je toestaan dat verkeer van vlan4 je lokale LAN op mag gaan. Om te voorkomen dat je STB verkeerd richting het iptv platform de verkeerde kant opgaat. Het meeste verkeer komt weliswaar van het iptv platform, maar (en dat neem ik aan) gaan er wel besturingscommando's die kant op.

De IGMP upstream/downstream configuratie is voor je multicast verkeer, maar dat had je waarschijnlijk al door.

Op mijn Mikrotik router heb ik geen extra firewall rules voor iptv behalve die srcnat masquerade van de STB's naar het iptv platform.

Je hebt gelijk dat je de STB's niet expliciet als source hoeft aan te geven, alleen het bestemmingsverkeerd dat aan de mask voldoet zat natuurlijk die rule volgen. k

Als het om Linux firewalls gaat ben ik zelf meer liefhebber van ‘shorewall’ dan direct gebruik te maken van ‘iptables’. Shorewall geeft dezelfde mogelijkheden en maakt uiteindelijk ook gebruik van de iptables functionaliteit, maar (naar mijn bescheiden mening) is Shorewall gemakkelijker te configuren.

Thanks. Ja ik ga uit van routed. Die STB heeft dus gewoon target IPs die ik correct moet wegrouteren naar vlan4.

Bottom line; ik moet nog iets regelen om verkeer van VLAN4 naar het LAN toe te laten? Maar mijn regels staan toch al alles toe? Moet ik specifiek nog een rule toevoegen? Mijn masquarade rule heb ik nu aangepast;

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere             ctstate NEW
MASQUERADE  all  --  anywhere             213.75.112.0/21

Als het om Linux firewalls gaat ben ik zelf meer liefhebber van ‘shorewall’ dan direct gebruik te maken van ‘iptables’. Shorewall geeft dezelfde mogelijkheden en maakt uiteindelijk ook gebruik van de iptables functionaliteit, maar (naar mijn bescheiden mening) is Shorewall gemakkelijker te configuren.

Ik gebruik in de praktijk Firehol om te configureren, geen iptables direct. Maar daar is wat moeilijker assistentie voor te vragen.

Ik heb inbound geen firewall rule voor iptv voor zover ik zie , de masquerade richting het iptv platform moet prioriteit hebben boven de algemene.

Dat je de stb's expliciet specificeert heb ik reeds teruggenomen. Ik heb dat gedaan omdat ik er niet echt over heb nagedacht en dat het geen kwaad kan. Echter, de prioriteit en de destination mask maken het verschil.

Dan moet ik dus de prioriteit aanpassen. Moet ik even voor gaan zoeken, ik zou niet weten hoe ik dat doe. Tx.

Prioriteit is misschien meer een term voor routes, je zou het ook volgorde kunnen noemen. Ik ben niet bekend genoeg met iptables/Firehol om in jouw geval een exact antwoord te kunnen geven.

Ik heb gisteren even door de handleiding van FireHOL gebladerd en begrijp daar uit dat de volgorde van definiëren van de regels gelijk staat aan de volgorde waarin ze uiteindelijk worden toegepast.

Okay, bedankt voor de hulp. Die volgorde heb ik aangepast. Maar, in beter nieuws; ik heb beeld.

Echter het hapert. Er is 1 of 2 seconden beeld, dan stopt tie, nog 1 seconde beeld en geeft aan dat de zender niet gevonden is. Zappen naar een ander zender en dan gebeurd hetzelfde.

Ik heb beeld met zowel de igmpproxy aan als uit. Ik vermoedde dat tie niet gebruikt werd, dus ik probeer dat nu goed te krijgen. Dit is mijn igmpproxy.conf nu

quickleave

phyint enp5s0 downstream ratelimit 0 threshold 1

phyint vlan4 upstream  ratelimit 0  threshold 1
    altnet 192.168.40.0/24
    altnet 213.75.0.0/16
    altnet 217.166.0.0/16