pfSense 2.4.4 + T-Mobile VLAN IPTV aansluiten

Sinds 2 dagen heb ik T-mobile met een Zyxel modem / router, maar daar ben ik niet van gecharmeerd. Ik wil graag mijn eigen pfSense setup met mesh WiFi netwerk blijven gebruiken. Nu ben ik er van overtuigd dat dit geen enkel issue moet zijn aangezien er legio mensen zijn die dit al draaiende hebben, alleen krijg ik er grijze haren van (en zoveel heb ik er al niet meer).

Wat is het issue?

T-Mobile heeft het onderverdeeld in 3 VLAN's:

- 300 Internet (Die had ik binnen 3 minuten draaien)
- 640 IPTV (Het issue)
- 35 (?) VOIP (Ga ik niet gebruiken).

Aangezien ik redelijke ervaring in pfSense heb, dacht ik dat dit wel vrij snel zou werken maar ik loop tegen het issue aan dat ik de IPTV gewoonweg niet aan de praat krijg. Het onderstaande is wat ik tot nu toe heb ingesteld:

Ik heb 4 VLAN's gemaakt:



en deze koppel ik aan de betreffende interfaces:



Vervolgens maak ik een bridge van de WAN en de LAN 640 IPTV VLAN's



Daarna maak ik firewall rules aan om mijn IPTV verkeer te blokkeren richting mijn LAN en om het multicast verkeer toe te staan:



Verder heb ik op de Netgear GS108E een VLAN config aangemaakt voor VLAN 640 (op poort 2 hangt de Amino):



Overige settings:

Om alleen te filteren op de bridge interface:
- net.link.bridge.pfil_member=0
- net.link.bridge.pfil_bridge=1

- MTU van de bridge staat op 1594
- IGMP Snooping staat uit op de 108E

Symptomen

Het Amino TV kastje van TMobile lijkt gewoon totaal niet te kunnen communiceren met de server. Het beeld blijft na doorstarten zwart en geeft geen enkel beeld meer. Hang ik deze aan de Zyxel, dan werkt het gewoon dus het apparaat zelf is prima.

Wie heeft er enig idee waar ik dit in moet zoeken of heeft hier ervaring mee?

EDIT: De oplossing staat hieronder. Sinds we de Zyxel hebben moet de VLAN640 poort naar de Amino box UNTAGGED ipv TAGGED zijn. Dat is dus het grote verschil met de Huawei setup en waarom het in eerste instantie niet werkte. Hier zijn we achter gekomen dankzij @htn02 die hieronder de uitleg geeft.

[ Voor 6% gewijzigd door ZFLaSH op 06-06-2019 09:15 ]

Dank voor je antwoord echter is dit een oplossing die er voor zorgt dat ik NAT achter NAT heb. Die Zyxel zit zo dichtgetimmerd als wat en heeft geen bridgemode. Ik ben net toevallig op een site terechtgekomen van iemand die bijna exact hetzelfde heeft gedaan als ik (op wat details na) en ook dezelfde setup heeft. Mijn gedachten gang was nog zo gek nog niet, alleen bij hem werkt het dus gewoon.

T-Mobile met pfSense

ik begrijp even niet wat ik verkeerd doe. Deze setting heb ik inmiddels ook aangezet:

Allow packets with IP options to pass. Otherwise they are blocked by default. This is usually only seen with multicast traffic.

No cigar. Wel een goede tip om te kijken wat voor een IP er uit dat VLAN komt, want vanuit de pfSense logging komt helaas niets.

Het kan misschien inderdaad een alternatieve manier zijn, maar ik heb liever geen apparatuur voor mijn firewall. Daarnaast brandt het aan me dat Willem het werkend heeft en ik niet. Ik denk dat menig Tweaker dat gevoel wel herkend .

htn02 schreef op woensdag 5 juni 2019 @ 18:27:
Dit is de manier zoals je het in grote bedrijven ziet. Zolang jij geen ip geeft aan de switch op vlan 300 of 640, is het perfect veilig. Ik heb het zelf neergezet bij oa een veiligheidsregio

En dat Willem het werkend heeft is leuk, maar eigenlijk is dat niet hoe je een router wil gebruiken. Als hij net een andere firmware op dat ding heeft als jij, kan dat het verschil al maken tussen wel en niet werken. Daar zou ik mij niet druk over maken, ondanks dat ik een netwerkman ben

Zover ik kan zien heeft hij dezelfde versie. Zijn handleiding is van vrij recent. Ik zal zeker jouw oplossing in mijn achterhoofd houden als dit echt niet blijkt te werken.

Seaborz schreef op woensdag 5 juni 2019 @ 18:29:
Hangt je vlan 640 wel tagged op poort 2 van je switch? Dat kan ik namelijk niet uit je plaatje opmaken.

Ja, die is tagged op P2.

Vorkie schreef op woensdag 5 juni 2019 @ 18:35:
[...]

Niet tagged, maar PVID moet op 640 (native VLAN) bedoel je dan?

PVID heb ik ook op 640 voor poort 2. Het is de enige poort die in VLAN 640 hangt.

Seaborz schreef op woensdag 5 juni 2019 @ 18:43:
[...]

Hoe ziet de uplink naar je firewall er dan uit? Is dat een trunk? Anders moet je daar ook vlan 640 taggen.

Op dit moment ziet er zo uit binnen de Netgear app:

htn02 schreef op woensdag 5 juni 2019 @ 18:59:
[...]

ik neem aan dat poort 8 je kabel naar je pfsense is?

haal wel even vlan 1 van poort 2 af, die hoeft daar niet te zijn

had je al geprobeerd er even een laptop aan te hangen? dan weten we namelijk een stuk meer, en kan ik je wat gerichter advies geven

Klopt. Dat is de pfSense firewall.

Ik heb net wat testjes gedaan:

- DHCP op de WAN_640 interface: IP van het IPTV segment
- DHCP op de Bridge: Ook een IPTV IP.
- Mac aan de Poort 2 van de switch. Geen IP.

Edit: vlan 1 weghaald poort 2.

htn02 schreef op woensdag 5 juni 2019 @ 19:11:
[...]


en als je direct op de pfsense aansluit, en vlan 640 tagged op je laptop?

dan weten we of we het in de switch of de router moeten zoeken

https://www.aquantia.com/...-adapter-card-in-windows/

(niet vergeten er weer af te halen na afloop!)

Goed idee! Zal ik doen zodra de dames naar bed zijn (Sesamstraat). Zal even kijken hoe ik dat op een Mac moet doen.

[ Voor 4% gewijzigd door ZFLaSH op 05-06-2019 19:12 ]

htn02 schreef op woensdag 5 juni 2019 @ 19:13:
[...]


dat moet ook gebeuren inderdaad :-)

voor de mac: https://ogris.de/howtos/macosx-tagged-vlans.html

Geniaal idee! Daar kreeg ik meteen op het VLAN een IPTV IP terug. Het zit dus in de switch, alleen wat moet ik dan daarin veranderen is de vraag.

Edit: Kabel in de switch, switch aan de laptop en het VLAN dat ik op de mac heb ingesteld krijgt ook gewoon IPTV IP. Hangt de TV box eraan: Geen beeld.

[ Voor 17% gewijzigd door ZFLaSH op 05-06-2019 19:28 ]

htn02 schreef op woensdag 5 juni 2019 @ 19:33:
[...]


Kan je ergens in de switch een native vlan instellen voor de poort? als dat kan moet die ook op 640 komen te staan.

op dit moment geeft jou switch dus vlan 640 "tagged" door, maar hij moet dat "untagged" doen. helaas werk ik nooit met netgear, dus weet ik niet uit mijn hoofd hoe je dat instelt


EDIT: ik roep dit wel heel leuk, maar maak een kleine denkfout: kan je, als je de zyxel gebruikt, de IP tv in elke lan poort stoppen, of alleen in 1 specifieke?

Nou je het zegt. In 2 specifieke. Zouden ze daar iets mee gedaan hebben, want ik ben blijkbaar 1 van de eerste op het TMobile netwerk met deze router.

htn02 schreef op woensdag 5 juni 2019 @ 19:56:
[...]

ja, uit die 2 poorten komt dus untagged het vlan 640. maak ik gelukkig geen denkfout :-)

staat er nog ergens in de switch iets over untagged of native vlan's?

Native heb ik niet kunnen vinden. Het gaat om de Netgear GS108E:

https://www.netgear.com/support/product/GS108Ev2.aspx#docs

htn02 schreef op woensdag 5 juni 2019 @ 20:07:
https://kb.netgear.com/00...ow-about-setting-up-VLANs

heeft het ook alleen maar over untagged. dat staat dus nergens? jou screenshots zien er wat anders uit dan de guides die ik kan vinden. een PVID is bij de meeste switches die ik ken namelijk maar de helft van de setting. ergens anders kan je hem op tagged of untagged zetten.

Dit is alles wat ik kan instellen op deze switch:

htn02 schreef op woensdag 5 juni 2019 @ 20:12:
onder vlan memberhip moet die T een U zijn. (bij poort 2)

die U is dus Untag(ged)

Alleen poort 2 of ook poort 8?

htn02 schreef op woensdag 5 juni 2019 @ 20:14:
alleen poort 2, poort 8 staat hij al goed

Mag ik jou een pot bier aanbieden voor al je hulp!! Het werkt! Echt Enorm bedankt om mij hiermee te helpen!