OPNsense & pfSense KPN/Telfort IPTV how-to

FireDrunk schreef op woensdag 22 december 2021 @ 11:41:
[...]

Harde reset zal ik zo doen.
Ik krijg steeds code 563 na boot.

[ Voor 5% gewijzigd door Vorkie op 22-12-2021 11:44 ]

Vorkie schreef op woensdag 22 december 2021 @ 11:43:
[...]

Hoe stond je NAT?

Of heb ik dat gemist?

[Afbeelding]

Je IPTV kastje moet helemaal bovenin staan. (waar mijn xbox staat)

FireDrunk schreef op woensdag 22 december 2021 @ 11:45:
[...]

[Afbeelding]

Vorkie schreef op woensdag 22 december 2021 @ 11:50:
[...]


Zorg dat dit op je IPTV WAN interface staat.
[Afbeelding]

In je Diagnostics zou er dan in routes deze moeten staan.

[Afbeelding]

Staat dat er ook?

[ Voor 35% gewijzigd door FireDrunk op 22-12-2021 13:11 ]

StaticZ schreef op maandag 20 december 2021 @ 20:55:
Die "Use IPv4 connectivity" optie is eigenlijk "Request the IPv6 information through the IPv4 PPP connectivity link.". Word eigenlijk niks met IPV4 bedoeld.

In je LAN interface kun je je IPv6 instellingen op "Track interface" zetten en je prefix ID kiezen.
Op deze manier word er via SLAAC een gateway aangeboden aan de clients.

StaticZ schreef op woensdag 22 december 2021 @ 21:17:
Probeer eens de standaard unbound configuratie, of Google dns. Deze moeten gewoon een aaaa record kunnen resolven.

[ Voor 15% gewijzigd door FireDrunk op 23-12-2021 21:59 ]

martinschilder schreef op vrijdag 7 januari 2022 @ 16:51:
Hi Mensen

Kan iemand de goldenconfig voor pfsense er opzetten?
Ik kan echt door de bomen het bos niet meer zien.


Als iemand zijn config in simpele plaatjes kan dumpen dan graag.

Mijn probleem momenteel is dat ik in vlan4 netjes igmp udp verkeer zie maar de proxy doet er niets mee

Alvst dank

[ Voor 17% gewijzigd door Videopac op 11-01-2022 23:38 ]

Videopac schreef op zaterdag 8 januari 2022 @ 14:51:
Aangezien de handleiding uit de OP te grote stappen voor mij neemt (ik heb voor 90% geen idee wat ik aan het doen ben) volg ik deze handleiding. Dat gaat goed totdat ik bij Gateway-single de IPTV regel aan moet passen: ik heb die regel niet.
[Afbeelding]
Dus ik loop hier vast.
Internet werkt nu prima, maar televisie nog niet.
Ik heb alles 3x bij langs gelopen maar heb volgens mij geen fouten gemaakt.
Iemand een idee hoe nu verder?

1

subnet-mask, routers, broadcast-address[, classless-routes

[ Voor 6% gewijzigd door Vorkie op 12-01-2022 19:10 ]

ik222 schreef op woensdag 12 januari 2022 @ 07:44:
[...]

Volgens mij staan hierboven nogmaals hele duidelijke screenshots van pfSense. Met OpnSense is het uiteraard niet anders alleen heeft dat een andere menu structuur.

Wat betreft je originele vraag over waarom je die gateway regel niet meer hebt, dat komt omdat KPN wat aangepast heeft. Dat hele stuk over de gateway kun je nu overslaan, in plaats daarvan moet je nu handmatig een outbound NAT regel toevoegen (is ook heel veel over geschreven en uitgelegd in dit topic).

Vorkie schreef op woensdag 12 januari 2022 @ 06:59:
@Conjurer Vroeger was het inderdaad 1492 voor PPPoE, maar tegenwoordig heeft KPN dat aangepast en hoef je dus geen MTU size mee te geven, dan gaat ie naar 1500, zonder issues. Geen idee meer waar ik dit had gelezen, maar had in het begin ook 1492.

[Afbeelding]

Bij je WAN DHCP options zie ik dat je 1 optie niet gebruikt ; geen idee waarom niet, maar het viel op.

code:

1	subnet-mask, routers, broadcast-address[, classless-routes

Videopac schreef op woensdag 12 januari 2022 @ 08:19:
[...]

Dank voor je reactie. Ik heb gisteren uren lopen puzzelen om uit te zoeken wat er hiermee precies bedoeld wordt. Het was voor mij niet duidelijk dat die gateway er niet meer hoort te komen. Dank voor dit inzicht. M.b.t. die NAT regel: die heb ik gisteravond toegevoegd. Maar zonder resultaat, helaas. Ik begrijp dat ik nogal dom overkom maar als je niet zoveel netwerkkennis hebt als jij/jullie is het erg moeilijk te doorgronden.

De pfSense screenshots hierboven zien er totaal anders uit dan de screenshots uit de handleiding die ik gevolgd heb: ik moet dus alles wat ik had weghalen / geheel aanpassen? En moet ik apart iets instellen voor de poort waarom de settopbox is aangesloten? Het is me niet duidelijk hoe dat in het pfSense voorbeeld hierboven zit. Ik zie 2 netwerkpoorten: igb0 en igb2, waarbij de settopbox direkt op igb2 is aangesloten? Ik heb zelf een Odroid H2 met 2 netwerkpoorten, de LAN poort gaat naar mijn switch (Zyxel GS1900) waar ik de rest van mijn spullen op aangesloten heb, inclusief de settopbox. IGMP aan en uitzetten op de switch maakt trouwens geen enkel verschil.

Voor mij voelt het nog erg als een puzzel met >1000 stukjes waarvan ik misschien 2x 2 stukjes gelegd heb.

[ Voor 140% gewijzigd door hansdegit op 12-01-2022 15:14 ]

ik222 schreef op woensdag 12 januari 2022 @ 15:42:
[...]

Dat gaat niet, streams zijn voorzien van Verimatrix encryptie.

martinschilder schreef op woensdag 12 januari 2022 @ 16:12:
[...]


allemaal?

[ Voor 7% gewijzigd door supayoshi op 12-01-2022 16:40 ]

martinschilder schreef op woensdag 12 januari 2022 @ 16:12:
allemaal?

[ Voor 3% gewijzigd door Thralas op 12-01-2022 17:07 ]

Videopac schreef op woensdag 12 januari 2022 @ 17:08:
Dat lijkt redelijk te werken. Alleen laden sommige sites zeer slecht / niet, waaronder Tweakers. Ik heb het vermoeden dat dit het geval is bij IPv6 sites waar hij geen goed gebruikt maakt van de DNS servers.

Thralas schreef op woensdag 12 januari 2022 @ 17:43:
[...]


Ik zie de link met DNS niet, en dat heeft er alle schijn van dat je MTU ergens niet goed staat.

Controleer of je PPPoE-verbinding een MTU van 1500 negotiate.

Videopac schreef op woensdag 12 januari 2022 @ 18:21:
Ik heb nu niets ingevuld bij MTU en zie in het overzicht 1492 staan.
Niets ingevuld n.a.v. dit bericht van Vorkie.

Videopac schreef op woensdag 12 januari 2022 @ 18:21:
Ik heb nu niets ingevuld bij MTU en zie in het overzicht 1492 staan.
Niets ingevuld n.a.v. dit bericht van Vorkie.

Thralas schreef op woensdag 12 januari 2022 @ 19:05:
[...]


Dat klopt dan niet en is de oorzaak van hangende verbindingen.

Sowieso klopt het bericht waar je naar linkt niet helemaal, KPN ondersteunt al jáááren 1500 (aan hun ligt het niet) en de meeste clients vragen inderdaad standaard om 1492 of zelfs minder.

StaticZ schreef op woensdag 12 januari 2022 @ 19:20:
In Opnsense de WAN op 1508 staan.
Zowel ipv6 als ipv4 geen enkel probleem.

StaticZ schreef op woensdag 12 januari 2022 @ 19:20:
In Opnsense de WAN op 1508 staan.
Zowel ipv6 als ipv4 geen enkel probleem.

[ Voor 28% gewijzigd door StaticZ op 12-01-2022 20:02 . Reden: Speedtest en speedguide toegevoegd ]

Vorkie schreef op woensdag 12 januari 2022 @ 18:51:
[...]

Probeer eens 1500 in te vullen ipv leeg?

Thralas schreef op woensdag 12 januari 2022 @ 20:11:
Dan klopt de MTU van de onderliggende interfaces waarschijnlijk niet. Zie de post boven je, specifiek de forumlink.

De vlan interface en de fysieke interface moeten mtu 1508 hebben om PPPoE met 1500 te kunnen dragen. Als je nog apparaten tussen je OPNsense en de NTU hebt hangen: die ook.

Videopac schreef op donderdag 13 januari 2022 @ 10:11:
Als ik 1508 invul zie ik wel 1500 verschijnen maar is internet extreem traag.
Ik verdenk de Realtek(drek?) RTL8111G NIC/drivers momenteel.

1

ping 8.8.8.8 -f -l 1472

[ Voor 10% gewijzigd door Tom Paris op 13-01-2022 13:18 ]

Thralas schreef op woensdag 12 januari 2022 @ 17:06:
[...]


Nee. NPO 1/2/3 niet.

grotegok schreef op vrijdag 14 januari 2022 @ 13:10:
Cool, welke multicast adressen zijn dit?

1
2
3
4
5
6
7
8
9
10
11

NPO1    rtp://224.0.251.1:8002
NPO2    rtp://224.0.251.2:8004
NPO3    rtp://224.0.251.3:8006

NPO1HD  rtp://224.0.252.126:7252
NPO2HD  rtp://224.0.252.127:7254
NPO3HD  rtp://224.0.252.128:7256

NPO1HDG rtp://224.0.251.124:8248
NPO2HDG rtp://224.0.251.125:8250
NPO3HDG rtp://224.0.251.126:8252

Thralas schreef op vrijdag 14 januari 2022 @ 13:57:
[...]

code:

1 2 3 4 5 6 7 8 9 10 11

NPO1 rtp://224.0.251.1:8002 NPO2 rtp://224.0.251.2:8004 NPO3 rtp://224.0.251.3:8006 NPO1HD rtp://224.0.252.126:7252 NPO2HD rtp://224.0.252.127:7254 NPO3HD rtp://224.0.252.128:7256 NPO1HDG rtp://224.0.251.124:8248 NPO2HDG rtp://224.0.251.125:8250 NPO3HDG rtp://224.0.251.126:8252

jk-5 schreef op vrijdag 14 januari 2022 @ 21:26:
Zijn dit de enige unencrypted streams? Misschien nog wat radiozenders? Ik heb NPO Radio 1 geprobeerd en die doet het niet in VLC, dus die is vast wel encrypted.

1
2
3
4
5

NPO Radio 1 rtp://224.0.251.161:8322
NPO Radio 2 rtp://224.0.251.162:8324
NPO 3FM     rtp://224.0.251.163:8326
NPO Radio 4 rtp://224.0.251.164:8328
NPO Radio 5 rtp://224.0.251.165:8330

ik222 schreef op woensdag 12 januari 2022 @ 08:27:
[...]

Ik zou zeggen configureer alles volgens de door jou gevonden handleiding en kijk dan of het werkt. Zo niet dan post hier maar screenshots van je configuratie, dan kunnen we kijken of we ergens een fout zien.

ik222 schreef op zondag 16 januari 2022 @ 15:40:
[...]

Ik zie de routes wel hoor in zijn screenshots, dat hij naar dat 213 adres kan pingen zegt ook dat de routes en de NAT regels goed zijn.

@Videopac Ik mis de screenshots van je firewall regels op de IPTV_WAN en je LAN interface. Wat je nu gepost hebt ziet er goed uit.

[ Voor 5% gewijzigd door M2M op 16-01-2022 23:05 ]

ik222 schreef op zondag 16 januari 2022 @ 21:10:
Oké, heb je ook “allow IP options” aan staan op de IGMP regels? En welke error geeft je settopbox nu precies?

[ Voor 110% gewijzigd door PerlinNoise op 17-01-2022 13:59 ]

Arno- schreef op woensdag 21 juli 2021 @ 19:18:
OPNsense:
De igmp proxy server stopt (soms?) bij het opstarten van de STB. Geen idee waarom.

Na handmatig herstarten in webinterface gaat het downloaden verder of is de stream te zien/horen.

r-jansen schreef op maandag 17 januari 2022 @ 17:40:
[...]


Ik had hetzelfde toen ik mijn IPtv kastje rechtstreeks had aangesloten op mijn OPNsense router (DEC840). Bij het herstarten (of firmware update) van het IPtv kastje, werd de verbinding naar de router even verbroken. In OPNsense stopt daardoor (soms) de IGMP proxy. Ik heb dit opgelost door mijn IPtv kastje niet rechtsreeks op mijn router aan te sluiten, maar via een switch (op eigen untagged VLAN). Daardoor blijft de verbinding intact voor mijn OPNsense router, en stopt deze de IGMP proxy niet.

Videopac schreef op maandag 17 januari 2022 @ 18:05:
[...]

Ik had inmiddels op het OPNsense forum gelezen dat de IGMPproxy service soms niet start, tenminste: dat een enkeling dit meldt. Wat bedoel je precies met via een switch (op een eigen untagged VLAN)?

[ Voor 8% gewijzigd door r-jansen op 17-01-2022 18:43 . Reden: Toevoeging info ]

[ Voor 13% gewijzigd door Videopac op 18-01-2022 09:20 ]

Videopac schreef op dinsdag 18 januari 2022 @ 09:17:
Weet iemand of pfSense inmiddels fatsoenlijke Realtek ondersteuning heeft? Ik heb destijds voor OPNsense gekozen omdat pfSense gebruik bleef maken van een stokoude, slecht werkende driver, maar ben natuurlijk niet getrouwd met OPNsense.

1

pkg install realtek-re-kmod

Videopac schreef op dinsdag 18 januari 2022 @ 09:17:
Weet iemand of pfSense inmiddels fatsoenlijke Realtek ondersteuning heeft? Ik heb destijds voor OPNsense gekozen omdat pfSense gebruik bleef maken van een stokoude, slecht werkende driver, maar ben natuurlijk niet getrouwd met OPNsense.

1
2
3
4
5
6
7
8
9
10
11
12

ping 8.8.8.8

Pinging 8.8.8.8 with 32 bytes of data:
Reply from 8.8.8.8: bytes=32 time=2749ms TTL=60
Request timed out.
Reply from 8.8.8.8: bytes=32 time=12ms TTL=60
Reply from 8.8.8.8: bytes=32 time=11ms TTL=60

Ping statistics for 8.8.8.8:
    Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
    Minimum = 11ms, Maximum = 2749ms, Average = 924ms

[ Voor 11% gewijzigd door Videopac op 22-01-2022 09:51 ]

Videopac schreef op zaterdag 22 januari 2022 @ 09:50:
Hmm: internet is met vlagen erg traag. Net tijdens zo'n traagheid een ping kunnen doen:

code:

1 2 3 4 5 6 7 8 9 10 11 12

ping 8.8.8.8 Pinging 8.8.8.8 with 32 bytes of data: Reply from 8.8.8.8: bytes=32 time=2749ms TTL=60 Request timed out. Reply from 8.8.8.8: bytes=32 time=12ms TTL=60 Reply from 8.8.8.8: bytes=32 time=11ms TTL=60 Ping statistics for 8.8.8.8: Packets: Sent = 4, Received = 3, Lost = 1 (25% loss), Approximate round trip times in milli-seconds: Minimum = 11ms, Maximum = 2749ms, Average = 924ms

Enorme spreiding in reactietijden!
Ik weet niet of dit iets voor hier is of dat ik naar het zelfbouw router topic toe moet.

toon volledige bericht

PerlinNoise schreef op zaterdag 22 januari 2022 @ 09:55:
[...]


Dat is dan denk ik je Realtek nic.

Videopac schreef op zaterdag 22 januari 2022 @ 10:00:
[...]

Kun je dat ook onderbouwen?
Op OPNsense werkte mijn Realtek NICs jarenlang probleemloos.
De vraag is waar het hem dan precies in zit.

1

pkg install realtek-re-kmod

[ Voor 11% gewijzigd door PerlinNoise op 22-01-2022 10:21 ]

PerlinNoise schreef op zaterdag 22 januari 2022 @ 10:20:
[...]


Die drivers op Pfsense zijn stukje ouder als die in OPNsense.

Als ik zo op aantal fora zie wordt toch realtek-re-kmod aangeraden voor Realtek nics. Maak een backup van je Pfsense en mocht het geen uitkomst bieden, kun je snel terug naar clean install en restore backup.

code:

1	pkg install realtek-re-kmod

[ Voor 11% gewijzigd door Videopac op 22-01-2022 10:43 ]

Videopac schreef op vrijdag 21 januari 2022 @ 17:51:
Iets later dan beloofd, maar hierbij de instellingen die bij mijn (apparaat met 1 WAN poort en 1 LAN poort) werken:

Wat werkt er?
(slag om de arm, heb de pfSense router met IPTV nu 2 dagen in gebruik):

TV kijken	✅
TV gids	✅
TV pauzeren	✅
Programma's terugkijken	✅
Apps (bv Youtube)	✅

Algemene info
Provider: KPN.
TV ontvanger: Arris ...
Router software: pfSense 2.5.2-RELEASE (amd64).
Router hardware: Odroid H2.

Aansluiting
KPN glasvezel modem ----> (re1) pfSense router.
pfSense router (re0) ----> LAN switch (en daarop KPN TV ontvanger e.a.).

Verklarende woordenlijst
WAN = KPN internet
WAN_IPTV = KPN IPTV
LAN = LAN, waaronder KPN TV ontvanger / STB / Arris

Screenshots
1. Interfaces -> Assignments -> VLANs
[Afbeelding]

2. Interfaces -> Assignments -> PPPs
[Afbeelding]

3. Interfaces -> Assignments -> PPPs -> pppoe0
[Afbeelding]

4. Interfaces -> Assignments -> Interface Assignments
[Afbeelding]

5. Interfaces -> Assignments -> Interface Assignments -> 01_WAN
[Afbeelding]

6. Interfaces -> Assignments -> Interface Assignments -> 01_WAN_IPTV
[Afbeelding]

7. Interfaces -> Assignments -> Interface Assignments -> 03_IPTV_WOONKAMER
[Afbeelding]

8. Services -> DHCP Server -> 03_IPTV_WOONKAMER
[Afbeelding]

9. Services -> IGMP Proxy
[Afbeelding]

10. Firewall -> NAT -> Outbound
[Afbeelding]

11. Firewall -> Rules -> 01_WAN_IPTV
[Afbeelding]

12. Firewall -> Rules -> 03_IPTV_WOONKAMER
[Afbeelding]

NB: een aantal instellingen zijn anders dan in het eerder genoemde voorbeeld, waaronder MTU. Ik heb die wel op 1500 proberen te zetten maar dat leverde veel problemen op.

Mocht iemand iets zien dat beter zou kunnen: laat het dan even weten.

toon volledige bericht

ik222 schreef op dinsdag 25 januari 2022 @ 21:12:
@Pimmetje651 Hoe zijn je netwerkinstellingen in ESXi? Want de post die je quote gaat er vanuit dat pfSense de boel nog tagged binnen krijgt, echter als je in ESXi aparte interfaces voor WAN VLAN 4 en WAN VLAN 6 aangemaakt hebt zijn dat dan binnen pfSense gewoon losse untagged interfaces.

ik222 schreef op dinsdag 25 januari 2022 @ 22:31:
@Pimmetje651 VLAN ID 0 op WAN is niet goed, dat betekent namelijk dat je de Port Group op untagged verkeer zet. Je moet hem juist op 4095 zetten als je VLAN’s binnen pfSense wilt afhandelen.

ik222 schreef op woensdag 26 januari 2022 @ 07:53:
Als je de VLAN’s binnen pfSense wilt configureren zoals volgens de handleiding die hij quote moet je hem echt op 4095 zetten in VMWare.

Wat ik zelf echter doe (ik draai mijn pfSense ook op ESXi) zijn een aparte port groups WAN en WAN_IPTV definiëren in ESXi met respectievelijk VLAN 6 en 4. In mijn pfSense zit dan voor beide een aparte virtuele NIC. Ik vind dat ook handiger dan VLAN’s in pfSense afhandelen. Dit is ook wat @stormfly bedoelt.

Echter met de handleiding die @Pimmetje651 volgt moet hij in ESXi dus echt op 4095 zodat de VLAN’s tagged doorgezet worden naar de pfSense VM

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

...
Jan 26 01:57:56 php-fpm 72044   /rc.linkup: Hotplug event detected for 03_IPTV_WOONKAMER(opt2) static IP (172.16.32.1 )
Jan 26 01:57:55 kernel      igb2: link state changed to DOWN
Jan 26 01:57:55 check_reload_status 416 Linkup starting igb2
Jan 26 01:57:54 check_reload_status 416 Reloading filter
Jan 26 01:57:54 php-fpm 96489   /rc.newwanip: rc.newwanip: on (IP address: 172.16.32.1) (interface: 03_IPTV_WOONKAMER[opt2]) (real interface: igb2).
Jan 26 01:57:54 php-fpm 96489   /rc.newwanip: rc.newwanip: Info: starting on igb2.
Jan 26 01:57:53 check_reload_status 416 Reloading filter
Jan 26 01:57:53 check_reload_status 416 rc.newwanip starting igb2
Jan 26 01:57:53 php-fpm 96489   /rc.linkup: Hotplug event detected for 03_IPTV_WOONKAMER(opt2) static IP (172.16.32.1 )
Jan 26 01:57:52 kernel      igb2: link state changed to UP
Jan 26 01:57:52 check_reload_status 416 Linkup starting igb2
Jan 26 01:57:50 check_reload_status 416 Reloading filter
Jan 26 01:57:50 php-fpm 96489   /rc.linkup: Hotplug event detected for 03_IPTV_WOONKAMER(opt2) static IP (172.16.32.1 )
Jan 26 01:57:49 kernel      igb2: link state changed to DOWN
Jan 26 01:57:49 check_reload_status 416 Linkup starting igb2
Jan 26 01:30:09 php 47728   [pfBlockerNG] No changes to Firewall rules, skipping Filter Reload
...

1
2
3
4
5
6
7

... hierna is de igmpproxy kaput ... (eerste logregel begint weer op Jan 26 18:08.04 wanneer ik TV wil gaan kijken)
Jan 26 01:57:51 igmpproxy   395 Sender VIF was down.; Errno(50): Network is down
Jan 26 01:57:45 igmpproxy   395 RECV Membership query from 172.16.32.1 to 224.0.0.1
Jan 26 01:57:36 igmpproxy   395 RECV Leave message from 172.16.32.5 to 224.0.0.2
Jan 26 01:57:35 igmpproxy   395 The IGMP message was from myself. Ignoring.
Jan 26 01:57:35 igmpproxy   395 RECV V2 member report from 172.16.32.1 to 224.0.0.22
...

• installeren van Watchdog service (System -> Package Manager -> Available Packages -> "Service_Watchdog") en daar de igmpproxy service aanvinken. Met de gedachte dat als de igmpproxy spontaan uit gaat, de Watchdog 'm weer terug aanzet.
• hopen dat gevonden bug-issue #12609 e.e.a. oplost. Zie alleen dat de target version op CE-Next staat. Dus of het nou ook in de volgende pfSense versie 2.6.0 wordt opgelost?

Videopac schreef op donderdag 27 januari 2022 @ 13:10:
Klopt het dat pfSense maar 1 processorkern gebruikt bij PPPoE verbindingen?

[ Voor 22% gewijzigd door sunib op 06-02-2022 21:28 ]

ik222 schreef op zondag 6 februari 2022 @ 19:39:
[...]

Heb die post destijds denk ik gemist.

Binnen pfSense kun je dat issue namelijk simpel oplossen door bij System -> Advanced -> Firewall & NAT de optie Firewall Optimization Options op “Conservative” te zetten. Dat probleem komt namelijk omdat de standaard pfSense instelling NAT sessies te snel sluit. OpnSense heeft denk ik een vergelijkbare setting.

Als static ports aanzetten het ook oplost zou dat waarschijnlijk betekenen dat met static ports aan pfSense en OpnSense dat soort sessies standaard minder agressief sluiten.