OPNsense & pfSense KPN/Telfort IPTV how-to

Hugo! schreef op maandag 7 februari 2022 @ 16:54:
[...]


Twijfel om die optie firewall optimization alsnog aan te zetten. Wat zijn de nadelen van deze optie op "Conservative" zetten?

quote: https://docs.opnsense.org...tml#firewall-optimization

Firewall Optimization

Firewall state table optimization to use, influences the number of active states in the system, only to be changed in specfic implementation scenarios.

[normal] (default)As the name says, it is the normal optimization algorithm
[high-latency] Used for high latency links, such as satellite links. Expires idle connections later than default
[aggressive] Expires idle connections quicker. More efficient use of CPU and memory but can drop legitimate idle connections
[conservative] Tries to avoid dropping any legitimate idle connections at the expense of increased memory usage and CPU utilization.

Hugo! schreef op maandag 7 februari 2022 @ 19:17:
Ja had het gelezen, ging me eigenlijk meer om de tekst "Tries to avoid dropping any legitimate idle connections". Tekst vind ik beetje vaag omdat ik verwacht dat me firewall sws connecties al dropt als ze niet vertrouwd zijn..

[ Voor 24% gewijzigd door supayoshi op 08-02-2022 15:19 ]

WAN_KPN die de PPPoE sessie opzet met MTU 1500 ingesteld nu, als ik die op 1508 zet, dan lopen verbindingen traag...

Echnon schreef op woensdag 9 februari 2022 @ 12:35:
[...]


Hangt heel erg van je hardware (netwerkkaart) af en of er nog een virtualisatie laag tussen zit wil je goed met hogere MTU iets kunnen doen, in o.a. het kpn glasvezel topic staan hier hele verhandelingen over.

supayoshi schreef op woensdag 9 februari 2022 @ 22:20:
[...]


Ja ik heb een Intel kaart dus moet goed gaan denk ik, maar hele verhalen heb ik niet zoveel aan dit is toch het KPN / Telfort IPTV OPNsense how to topic, dan moet dit er ook in staan vind ik

[ Voor 20% gewijzigd door Echnon op 09-02-2022 23:54 ]

[ Voor 24% gewijzigd door Gijs007 op 10-02-2022 00:31 ]

ik222 schreef op donderdag 10 februari 2022 @ 08:23:
[...]

Vooral die laatste hoor je niet te zien, hoe zien je firewall regels eruit?

[ Voor 64% gewijzigd door Gijs007 op 11-02-2022 13:02 ]

Fonz55 schreef op woensdag 9 februari 2022 @ 16:52:
Na een eerste (semi)succesvolle implementatie op Proxmox had ik een behoorlijke lag bij het zappen tussen zenders en het laden van webpagina's langzaam. Omdat ik ook nog eens in het hele VLAN gebeuren wilde duiken om de boel te scheiden heb ik nu een opzet met een apart VLAN(25). Het internet deel werkt goed (meer testen wel nodig), maar het pingen van 213.75.112.1 (VLAN4) binnen het VLAN25 lukt me niet. Waarschijnlijk zit het ergens qua NAT niet lekker maar heb inmiddels zoveel gewijzigd dat er misschien al meer aangepast moet worden. Zouden jullie eens mijn opzet willen langslopen en aangeven waar iets aangepast moet worden? Alle schermen heb ik maar eens netjes op Github gezet zodat ik terug kan vinden welke wijzigingen ik heb doorgevoerd.

https://github.com/fonz55...ation/blob/main/README.md

[ Voor 22% gewijzigd door Gijs007 op 11-02-2022 13:30 ]

ik222 schreef op vrijdag 11 februari 2022 @ 13:37:
[...]

@Gijs007 Nee er gaat niets bij KPN mis, wat er fout gaat is dat OpnSense geen NAT toepast op het uitgaande verkeer over de IPTV_WAN interface. En dat is ook logisch want je beperkt je uitgaande NAT regel tot verkeer vanuit 172.30.0.0/20 en je pingt nu met 172.16.25.12, dat adres ligt niet binnen 172.30.0.0/20.

Dus dat het bij jou nu niet werkt is logisch, je moet je NAT regel aanpassen en kunt eigenlijk gewoon dat hele source subnet weghalen. Alles wat via IPTV_WAN naar buiten gaat mag gewoon geNAT worden

/edit: Ik zie wel dat je ook nog een NAT regel met any hebt maar hoe dan ook werkt dat dus niet nu. Ik zou enkel de regel om alles over IPTV_WAN te NAT'en laten staan en dan daarna ook je machine even rebooten.

[ Voor 19% gewijzigd door Gijs007 op 11-02-2022 15:14 ]

ik222 schreef op vrijdag 11 februari 2022 @ 15:22:
Je hebt nu ook de verkeerde regel uitgeschakeld zo te zien, 172.16.25.12 valt niet binnen 172.30.0.0/20 dus die hele regel kan weg. Je moet juist de any regel laten staan.

[ Voor 30% gewijzigd door Gijs007 op 14-02-2022 23:50 ]

[ Voor 14% gewijzigd door MikeP. op 24-02-2022 21:29 ]

MikeP. schreef op donderdag 24 februari 2022 @ 21:29:
Ik heb gister na het lezen van deze post over een kwetsbaarheid in pfsense, besloten om pfsense van 2.5.2 naar 2.6.0 te updaten:
https://www.shielder.it/a...remote-command-execution/

Helaas hapert nu het geluid/beeld regelmatig, heeft iemand anders daar ook last van?
Er zijn geen firewall rules of iets dergelijks aangepast.

MikeP. schreef op donderdag 24 februari 2022 @ 21:29:
Ik heb gister na het lezen van deze post over een kwetsbaarheid in pfsense, besloten om pfsense van 2.5.2 naar 2.6.0 te updaten:
https://www.shielder.it/a...remote-command-execution/

Helaas hapert nu het geluid/beeld regelmatig, heeft iemand anders daar ook last van?
Er zijn geen firewall rules of iets dergelijks aangepast.

Fonz55 schreef op zondag 6 maart 2022 @ 22:54:
Ik heb het nu twee weken werkend.
Wat werkt er?

TV kijken ✅
TV gids ✅
TV pauzeren ✅
Programma's terugkijken ✅

Met een steile leercurve ben ik mijn netwerk kennis bij de tijd aan het brengen. Super leuk! Nu zat ik vanmiddag weer eens de live logs te bekijken en kwam onderstaand verkeer tegen. Allereerst verbaas ik me over dat dit verkeer op mijn LAN wordt geblokkeerd. Ik zou eerder verwachten dat dit op WAN_IPTV te zien zou zijn. Inkomend op het aparte STB Vlan had ik ook nog gesnapt maar op mijn LAN interface totaal niet. Of heeft dit niets met IPTV te maken gezien de destination port van 443? Kan iemand aangeven of ik nog een routering moet aanpassen of een FW regel aanpassen?

[Afbeelding]

[ Voor 52% gewijzigd door Beammo op 17-03-2022 11:02 . Reden: pfsense setup ]

Beammo schreef op woensdag 9 maart 2022 @ 19:13:
Voor geïnteresseerden een handleiding voor Opnsense op een mini PC voor een XS4all/KPN verbinding

[ Voor 16% gewijzigd door Beammo op 13-03-2022 13:11 ]

[ Voor 9% gewijzigd door misteriks op 13-03-2022 18:53 ]

[ Voor 26% gewijzigd door Fonz55 op 13-03-2022 21:14 ]

Koepert schreef op maandag 14 maart 2022 @ 17:17:
Ik heb de meest kneuzige vraag die ik me kan bedenken. Ik probeer dit ook op te zetten zonder direct m’n Fritzbox buitenspel te zetten. Beter voor de WAF. Maar dat betekent dat ik de config in n bestaand netwerk doe. Dus. Stroom erop, scherm er aan en usb erin.. betreft een oudere Sophos utm 110/120 qua hardware.. maar ik krijg de webGUI niet in beeld. Ik DACHT het goed gedaan te hebben door voor nu de WAN via dhcp n adres te laten krijgen EN aan te sluiten (via switch op bestaande netwerk dus) en de LAN eerst niet aan te sluiten maar wel static op 192.168.1.1 te zetten. Ik doe iets fout maar wat? T zit vast in de combi UTP + poort + IP… maar hoe dan?

synoniem schreef op maandag 14 maart 2022 @ 17:25:
[...]

Je probeert de WAN kant vanaf je netwerk te benaderen? Lijkt me logischer iets aan te sluiten op de LAN kant en daarmee naar de webGUI te gaan.

Beammo schreef op maandag 14 maart 2022 @ 20:12:
@Koepert als ik het goed berijp wil je die Sophos aansluiten op een lanpoort van de fritz box en via dhcp een adress krijgen op de Sophos wan poort. nat achter nat
Dat kan wel, maar dan moet je eerst de dhcp op de Sophos aanzetten.
Beste te doen zonder dat ie is aangesloten op de fritz box.
Afhankelijk van je FB lan settings, standaart dacht ik 192.168.1.1/24, krijgt die Sophos dan een ip in die range.
Als je die Sophos dhcp aanzet, moeten de lan aansluitingenvan die Sophos, niet in die range vallen.
Dus bv 192.168.10.1/24 Als je nu die Sophos aansluit op de FB vie de Sophos wanpoort op een FB lanpoort,krijgt je Sophos wan een ip in de range van 192.168.1.1/24
Dat kun je opzoeken in de FB netwerk overzicht (standaard 192.168.178.1)

[ Voor 7% gewijzigd door Beammo op 17-03-2022 11:04 ]

ik222 schreef op maandag 14 maart 2022 @ 21:47:
[...]

Meestal mis je dan een firewall regel die IGMP vanaf de IPTV WAN interface toestaat. Daardoor worden dan Group Specific Queries gedropt wat resulteert in streams die na een paar minuten stoppen.

[ Voor 9% gewijzigd door Beammo op 17-03-2022 11:05 ]

Beammo schreef op maandag 14 maart 2022 @ 23:43:
heb je uberhaubt gekeken in de handleiding die ik linkte?

Beammo schreef op maandag 14 maart 2022 @ 22:31:
Hier staat een complete bijgewerkte handleiding voor Opnsense en pfsense met duidelijke scrrenshots van alle instellingen voor IPTV zonder gebruik te maken van virtualisatie

Beammo schreef op woensdag 16 maart 2022 @ 13:12:
@misteriks een laatste poging om je duidelijker te maken waar je in de fout gaat
[Afbeelding]

Je moet de igmp proxy opzetten tussen de lan poort waarop je het IPTV kastje hebt aangesloten en vlan4.
voor zover ik het nu kan zien heb jij je proxy werkend op de vlan6

De blauwe lijn moet dus je proxy worden

Beammo schreef op woensdag 9 maart 2022 @ 19:13:
Voor geïntresseerden een handleiding voor opnsense en pfsense op een mini PC voor een XS4all/KPN verbinding.

Ben even wezen stoeien met pfsense voor deze mini pc, je kan deze handleiding daar ook voor gebruiken, met uitzondering voor de firewall rules lan2 en firewall rules wan_iptv!!! de bi directionele setup hoeft niet in pfsense, dus alleen regel 1 en 3 gebruiken voor beide..

[ Voor 78% gewijzigd door Beammo op 21-03-2022 08:15 ]

Beammo schreef op maandag 21 maart 2022 @ 08:04:
Je hebt je iptv interface (vlan) op een lan poort staan, die moet op de wan poort.

Alle lanpoorten zijn standaard dhcp actieve poorten Beammo in "OPNsense & pfSense KPN/Telfort IPTV how-..."

splitsen gaat op de wan poort, dus alle vlan's asignen aan igb0

[Afbeelding]

stormfly schreef op maandag 21 maart 2022 @ 09:49:
[...]


LAN IPTV gateway 192.168.1.1 IGMP proxy configratie 192.168.4.0/24

Kan je wel het adres pingen vanuit de openingspost?

stormfly schreef op maandag 21 maart 2022 @ 11:13:
[...]


Dan zou ik focussen op de ping, even checken op NAT en de route die geladen moet worden via dhcp.

stormfly schreef op maandag 21 maart 2022 @ 12:31:
[...]


het is de route, en de nat waar je kunt kijken.

1
2
3
4
5
6
7
8
9
10

Tracing route to 213-75-212-1.dc.kpn.net [213.75.212.1]
over a maximum of 30 hops:

  1     1 ms     3 ms    39 ms  192.168.1.1
  2    22 ms     3 ms     3 ms  195-190-228-35.fixed.kpn.net [195.190.228.35]
  3     *        *        *     Request timed out.
  4     *        *        *     Request timed out.
  5  Transmit error: code 1231.

Trace complete.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

# /usr/sbin/traceroute -w 2 -n  -m '18'  '213.75.112.1'
traceroute to 213.75.112.1 (213.75.112.1), 18 hops max, 40 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *

Er moeten static routes worden gezet naar 10.10.0.33/32, 185.24.175.0/24 en 185.41.48.0/24 over het op VLAN 4 verkregen gateway IP. Deze routes worden ook via DHCP optie 121 doorgegeven.

Beammo schreef op maandag 14 maart 2022 @ 22:31:
Hier staat een complete bijgewerkte handleiding voor Opnsense en pfsense met duidelijke scrrenshots van alle instellingen voor IPTV zonder gebruik te maken van virtualisatie

Beammo schreef op dinsdag 22 maart 2022 @ 19:15:
Settings lijken goed te zijn, start modem opnieuw op na een save, start iptv kastje opnieuw op en kijk op status pagina of de igmp proxy wel opstart, zoniet ff op play klikken bij die igmp proxy.

[Afbeelding]

Videopac schreef op dinsdag 22 maart 2022 @ 21:18:
Weet iemand hoe ik het versienummer van IGMP proxy (os-igmp-proxy?) kan achterhalen in pfSense en OPNsense? In OPNsense staat v1.5.2, maar of dat ook het versienummer van de onderliggende IGMPproxy is.

Ik vraag dit omdat het me opvalt dat met 2 verschillende apparaten het me niet lukt om met OPNsense KPN tv werkend te krijgen.

MikeP. schreef op woensdag 23 maart 2022 @ 20:29:
[...]

Je kan het versienummer van igmpproxy achterhalen door het commando igmpproxy -h uit te voeren. Hieronder een afbeelding met de igmpproxy versie 0.3 in pfsense 2.6.0.

[Afbeelding]

[ Voor 6% gewijzigd door Videopac op 23-03-2022 22:45 ]

[ Voor 42% gewijzigd door supayoshi op 31-03-2022 21:41 ]

Conjurer schreef op zaterdag 2 april 2022 @ 19:21:
Sinds dat ik naar pfSense versie 2.6 ben overgegaan ervaar ik stotteren van beeld en geluid om de x aantal minuten. Bij de eerdere versie 2.5.2 had ik deze problemen niet. Ik weet dat dit al eerder genoemd is, maar heeft iemand hier een oplossing voor gevonden?

MikeP. schreef op donderdag 7 april 2022 @ 21:17:
[...]


Uiteindelijk heb ik de oplossing gevonden, waarschijnlijk is dit alleen wel de oplossing voor mijn specifieke qotom box. Ik kwam namelijk erachter dat de watchdog service de smart card daemon elke minuut aan het herstarten was, ook heeft dit ervoor gezorgd dat mijn ipsec service elke minuut herstartte. Hier ben ik achter gekomen toen ik de system log door ben gaan spitten. Toen ik de smart card daemon uit de watchdog had verwijderd, waren de problemen verdwenen.

Ik hoop dat met mijn kleine tip, je probleem opgelost zal zijn!

MikeP. schreef op donderdag 7 april 2022 @ 21:17:
[...]


Uiteindelijk heb ik de oplossing gevonden, waarschijnlijk is dit alleen wel de oplossing voor mijn specifieke qotom box. Ik kwam namelijk erachter dat de watchdog service de smart card daemon elke minuut aan het herstarten was, ook heeft dit ervoor gezorgd dat mijn ipsec service elke minuut herstartte. Hier ben ik achter gekomen toen ik de system log door ben gaan spitten. Toen ik de smart card daemon uit de watchdog had verwijderd, waren de problemen verdwenen.

Ik hoop dat met mijn kleine tip, je probleem opgelost zal zijn!

[ Voor 8% gewijzigd door Videopac op 18-04-2022 23:05 ]

Ik ga weer verder klooien maar als iemand de oplossing heeft hoor ik het graag

Hoi, ik ben nu voor de tweede dag aan het klooien om iptv aan de praat te krijgen via KPN/glasvezel. Ik draai pfsense 2.6.0 op een zotac boxje. Ding draait al jaren en ik ben op zich goed bekend met pfsense.

Ik heb meerdere keren door alle stappen gelopen in de startpost, eerlijk gezegd vind ik het wel een klein beetje verwarrend dat opnsense en pfsense screenshots door elkaar heen staan lijkt het, en volgens mij worden er her en der wisselende ip ranges gebruikt voor ipvt lan zijde.

Ik weet niet of/wat het uitmaakt, maar ik heb nu voor iptv vlan 4 172.16.25.1 als interface adres ingesteld op pfsense, de dhcp range op 172.16.25.10 - 120, zoals in een van de screenshots. IGMP proxy idem geconfigureerd. Ik heb managed switches van Ubiquiti en vlan 4 aangemaakt als profiel en 2 poortjes op vlan 4 gezet en igmp snooping toegestaan. Mijn laptop en de stb. Mijn laptop krijgt netjes een ip uit 172.16 reeks en kan ook naar buiten.

Middels firewall logging zie ik eigenlijk alles toegestaan, ik zie ook igmp verkeer toegestaan.

Ik blijf echter fout 563 krijgen. Volgens mijn info betekent dit dat de stb een verkeerd ip adres krijgt. Wat gaat er nu verkeerd, iemand een idee?

Ik heb outbound NAT rules aangemaakt voor iptv_wan. Ik vermoed dat hier ergens iets niet goed gaat maar ja. Ik hoor het graag!

Tx!

[ Voor 16% gewijzigd door InflatableMouse op 27-04-2022 20:34 ]

Sjek13 schreef op zondag 5 juni 2022 @ 01:49:
Ik ben bezig om iptv werkend te krijgen met pfsense maar het wil nog niet lukken.

Ik kan nog niet pingen op 213.75.112.1

als ik Packet capture doe op de IPTV_WAN zie ik dit:
[Afbeelding]

hij stuurt het dus naar buiten met mijn iptv_wan ip adres wat ik van kpn heb gekregen, dan zou de firewall en NAT goed moeten zijn toch?

heeft iemand een idee waar ik dit nog in kan zoeken?

Kabouterplop01 schreef op zondag 5 juni 2022 @ 11:34:
[...]


Je ping requests doen het, alleen lijkt het erop dat de host geen replies geeft, ik krijg ook geen antwoord met ping.
Heb je over diezelfde verbinding je post gedaan? Dan lijkt het erop dat je nat ok is.

Sjek13 schreef op zondag 5 juni 2022 @ 13:49:
[...]


Bedankt voor je antwoord, ik ben intussen iets verder.
Ik heb pfsense opnieuw geinstalleerd en opnieuw begonnen (draai ze als vm dus heb even een nieuwe vm opgestart), toen ik alles had ingesteld kon ik nog steeds niet pingen vanaf pc, maar de tv werkte nu wel.

op mijn eerste installatie heb ik ook een vpn verbinding met nordvpn (die ik met opnieuw installeren dus weg heb gelaten), dus ik denk dat daar iets mis gaat, maar ik ben er nog niet helemaal uit waar.

Koepert schreef op maandag 29 augustus 2022 @ 11:59:
Hoi

Aangezien dit topic er WEL is en ik een courant iets omtrent FreshTomato icm KPN niet kan vinden..

Zou ik de settings hier genoemd ook kunnen gebruiken als ik een Nighthawk R7000 heb met Freshtomato? In de basis is het toch universeel als het gaat om VLANs, IGMP, etc?

Hugo! schreef op maandag 24 oktober 2022 @ 17:33:
Zijn er meer mensen die iets soortgelijks in hun logs voorbij zien komen:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

2022-10-24T12:36:14 Error opnsense /usr/local/etc/rc.newwanipv6: The command '/usr/local/sbin/radvd -p /var/run/radvd.pid -C /var/etc/radvd.conf -m syslog' returned exit code '255', the output was '' 2022-10-24T12:36:14 Error opnsense /usr/local/etc/rc.newwanipv6: The command '/usr/sbin/daemon -f -p '/var/run/dhcpleases6.pid' '/usr/local/opnsense/scripts/dhcp/prefixes.sh'' returned exit code '3', the output was 'daemon: process already running, pid: 10495' 2022-10-24T12:36:08 Error opnsense /usr/local/etc/rc.newwanipv6: On (IP address: <verborgen>) (interface: WAN_Internet[wan]) (real interface: pppoe0). 2022-10-24T12:36:08 Error opnsense /usr/local/etc/rc.newwanipv6: IPv6 renewal is starting on 'pppoe0' 2022-10-24T12:36:07 Error php /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface WAN_Internet. 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: The WAN_INTERNET_PPPOE monitor address is empty, skipping. 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: The WAN_INTERNET_DHCP6 monitor address is empty, skipping. 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: creating /tmp/pppoe0_defaultgwv6 using '<verborgen>%pppoe0' 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: removing /tmp/pppoe0_defaultgwv6 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: setting IPv6 default route to <verborgen> 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: IPv6 default gateway set to wan 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: keeping current default gateway '195.190.228.90' 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: setting IPv4 default route to 195.190.228.90 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: IPv4 default gateway set to wan 2022-10-24T12:36:06 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: entering configure using 'wan' 2022-10-24T12:36:05 Error opnsense /usr/local/etc/rc.newwanip: On (IP address: <verborgen>) (interface: WAN_Internet[wan]) (real interface: pppoe0). 2022-10-24T12:36:05 Error opnsense /usr/local/etc/rc.newwanip: IPv4 renewal is starting on 'pppoe0' 2022-10-24T12:36:02 Error opnsense /usr/local/etc/rc.newwanipv6: On (IP address: <verborgen>) (interface: WAN_Internet[wan]) (real interface: pppoe0). 2022-10-24T12:36:02 Error opnsense /usr/local/etc/rc.newwanipv6: IPv6 renewal is starting on 'pppoe0'

Soms valt hier thuis ineens het internet weg. Ik zie dan dat dhcpv6 en unbound niet gestart zijn. In de logs zie ik dus bovenstaande. Weet iemand hier ik dit kan oplossen? Ik vermoed dat dit elke 12 tot 24 uur gebeurd.

synoniem schreef op maandag 24 oktober 2022 @ 18:42:
[...]


Ik had hetzelfde met pfSense op een machientje met Realtek netwerkpoorten. Deze heb ik vervangen en heb nu al weer geruime tijd geen disconnects meer. Schijnt te zitten in de manier waarop PPPOE werkt (of niet werkt).

Hugo! schreef op maandag 24 oktober 2022 @ 18:46:
[...]


Hmm gek, mijn kastje heeft echter ook geen Realtek poorten maar Intel I211.

[ Voor 4% gewijzigd door MisteRMeesteR op 16-12-2022 10:30 . Reden: Deel je config even hier, dan kunnen we er ook *hier* over discussieren.:) ]

edit: eind van de ochtend na half uur tv kijken viel het beeld toch weer stil... verder zoeken

[ Voor 6% gewijzigd door thehog op 03-01-2023 16:58 ]