Toon posts:

KPN IPTV via tweede firewall?

Pagina: 1
Acties:

Onderwerpen

KPN Pfsense

Vraag

maandag 21 november 2022 13:22

Acties:
  • 0 Henk 'm!
  • TweakertDB
  • Registratie: Mei 2016
  • Laatst online: 28-08-2023

TweakertDB

Topicstarter
Ik ben voor een appartementencomplex bezig met de implementatie van een nieuwe netwerk. Ze hebben hier KPN Glasvezel en hebben naar internet ook IPTV behoefte.

Nou hebben ze hier een Watchguard Firebox M290, na veel gedoe achter gekomen dat deze geen DHCP options kan meesturen op een WAN interface. Kortom, ik kan geen adres krijgen van de KPN DHCP servers om IGMP werkend te krijgen.

Nou is deze Watchguard voorzien van een enorme berg configuratie die ook ik niet zomaar weer naar een pfSense box kan zetten. Ik probeer een oplossing te zoeken hoe ik de Watchguard kan behouden en toch IPTV kan realiseren.
Ik ben niet enorm thuis in classless ip addresering, IGMP etc, maar ik had het volgende idee:

Afbeeldingslocatie: https://tweakers.net/i/_YW6_c4-wHIkuHYzvlWEYmBL-so=/800x/filters:strip_exif()/f/image/wyd2zeOgtWaRvHe41foo6Ke9.png?f=fotoalbum_large

Is dit zo in te stellen dat de Watchguard het IPTV signaal via bijvoorbeeld een pfSense firewall kan ontvangen en doorgeven? Via een VLAN tagged LAN of WAN interface?

Ik kan dan op de Watchguard het IGMP / multicast verkeer via deze interface versturen.

Ik hoor graag of jullie hier ideeën bij hebben! bvd

Beste antwoord (via TweakertDB op 03-03-2023 14:54)

dinsdag 22 november 2022 11:54

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 11:27

MasterL

Moderator Internet & Netwerken
Persoonlijk heb ik geen ervaring met IPTV (via KPN) en/of Watchguard apparatuur maar het lijkt mij toch
redelijk basic als ik het volgende lees: (ervanuit gaande dat dit klopt)
https://netwerkje.com/routed-iptv

"option 60: IPTV_RG
Stuur je deze option niet mee, dan krijg je geen IP adres terug. De DHCP server van KPN blijft dan compleet stil. Ondersteunt je router dit niet, dan kun je dus geen gebruik maken van routed IPTV."

Als de Watchguard dit inderdaad niet ondersteund en bovenstaande klopt zou je toch andere apparatuur moeten gebruiken. Vandaar mijn advies om dit dan compleet te scheiden. Dit heeft dan ook gelijk geen impact op de (reeds) functionerende internet infra.

KPN geeft (schijnbaar) inderdaad maar 1 IP adres uit, daarom staat er in de config ook een SNAT config:

"# NAT -- Let op dat deze specifieke regels VOOR algemene regels voor bijvoorbeeld internet moeten staan
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.112.0/21 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4"

Verder snap ik bovenstaande config trouwens ook niet, ik zou vlan4 in een VRF plaatsen zorgen dat IPTV traffic in deze VRF zit en vervolgens een simpele masquerade rule maken maar dat terzijde.

Alle reacties

dinsdag 22 november 2022 09:53

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Dit klinkt wel heel erg of een appartementen complex achter een consumenten internet verbinding zit. Persoonlijk zou ik de hele use case bij KPN neerleggen.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 22 november 2022 10:21

Acties:
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 11:27

MasterL

Moderator Internet & Netwerken
Oef hoewel ik het zelf nooit zo op deze manier zou configureren zou ik (mocht ik het toch doen) het volgende doen:
- Plaats een (serieuze) managed switch waar alle clients etc. Op zitten.
- Sluit je KPN lijn aan op deze switch (tevens de twee routers)
- VLAN 4 (untagged) > Watchguard.
- VLAN 1 (untagged) > Watchguard LAN + clients.
- VLAN 6 (untagged) > Pfsense WAN o.i.d.
- VLAN 2 (voorbeeld) > Pfsense IPTV IF o.i.d.

Ik zou dan op de switch instellen met MAC-based VLAN dat de IPTV receivers in het IPTV vlan terecht komen.

dinsdag 22 november 2022 11:17

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 13:15

Ben(V)

Wat heeft dhcp met igmp te maken?

igmp snooping is een manier om er voor te zorgen dat het multicast iptv signaal alleen naar devices gestuurd worden die er wat mee kunnen.
Zonder igmp snooping wordt dat multicast signaal naar alle ipadressen in het subnet gestuurd.

Je moet die watchguard wel instellen dat hij dhcp doorgeeft.
zie:
https://www.watchguard.co.../network_config_dhcp.html
zie:

En je moet die watchguard instellen dat hij multicast doorgeeft.
zie:
https://www.watchguard.co...tup/multicast_config.html

En verder gaat deze configuratie nooit werken.
Je krijgt van KPN maar een ipadres en dat moet je aansluiten op een router en dus nooit rechtstreeks op die watchguard.

[ Voor 11% gewijzigd door Ben(V) op 22-11-2022 11:24 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

dinsdag 22 november 2022 11:54

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 11:27

MasterL

Moderator Internet & Netwerken
Persoonlijk heb ik geen ervaring met IPTV (via KPN) en/of Watchguard apparatuur maar het lijkt mij toch
redelijk basic als ik het volgende lees: (ervanuit gaande dat dit klopt)
https://netwerkje.com/routed-iptv

"option 60: IPTV_RG
Stuur je deze option niet mee, dan krijg je geen IP adres terug. De DHCP server van KPN blijft dan compleet stil. Ondersteunt je router dit niet, dan kun je dus geen gebruik maken van routed IPTV."

Als de Watchguard dit inderdaad niet ondersteund en bovenstaande klopt zou je toch andere apparatuur moeten gebruiken. Vandaar mijn advies om dit dan compleet te scheiden. Dit heeft dan ook gelijk geen impact op de (reeds) functionerende internet infra.

KPN geeft (schijnbaar) inderdaad maar 1 IP adres uit, daarom staat er in de config ook een SNAT config:

"# NAT -- Let op dat deze specifieke regels VOOR algemene regels voor bijvoorbeeld internet moeten staan
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.112.0/21 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4"

Verder snap ik bovenstaande config trouwens ook niet, ik zou vlan4 in een VRF plaatsen zorgen dat IPTV traffic in deze VRF zit en vervolgens een simpele masquerade rule maken maar dat terzijde.

dinsdag 22 november 2022 15:07

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 13:15

Ben(V)

Je kunt die watchguard gewoon rechtstreeks aan het internet hangen en daarachter die pfsense die dan NAT, routering en dhcp service verzorgt.

Verder heb je niets nodig.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

vrijdag 3 maart 2023 14:56

Acties:
  • 0 Henk 'm!
  • TweakertDB
  • Registratie: Mei 2016
  • Laatst online: 28-08-2023

TweakertDB

Topicstarter
MasterL schreef op dinsdag 22 november 2022 @ 11:54:
Persoonlijk heb ik geen ervaring met IPTV (via KPN) en/of Watchguard apparatuur maar het lijkt mij toch
redelijk basic als ik het volgende lees: (ervanuit gaande dat dit klopt)
https://netwerkje.com/routed-iptv

"option 60: IPTV_RG
Stuur je deze option niet mee, dan krijg je geen IP adres terug. De DHCP server van KPN blijft dan compleet stil. Ondersteunt je router dit niet, dan kun je dus geen gebruik maken van routed IPTV."

Als de Watchguard dit inderdaad niet ondersteund en bovenstaande klopt zou je toch andere apparatuur moeten gebruiken. Vandaar mijn advies om dit dan compleet te scheiden. Dit heeft dan ook gelijk geen impact op de (reeds) functionerende internet infra.

KPN geeft (schijnbaar) inderdaad maar 1 IP adres uit, daarom staat er in de config ook een SNAT config:

"# NAT -- Let op dat deze specifieke regels VOOR algemene regels voor bijvoorbeeld internet moeten staan
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=213.75.112.0/21 out-interface=vlan1.4
add action=masquerade chain=srcnat comment="Needed for IPTV" dst-address=217.166.0.0/16 out-interface=vlan1.4"

Verder snap ik bovenstaande config trouwens ook niet, ik zou vlan4 in een VRF plaatsen zorgen dat IPTV traffic in deze VRF zit en vervolgens een simpele masquerade rule maken maar dat terzijde.
Excuses voor mijn zeer late reactie. Ik ben een slechte forum gebruiker. :X
Ik wou alsnog even mededelen dat je eerste reply enorm geholpen heeft en het probleem is verholpen door inderdaad een tweede router aan te sluiten op een managed switch in weer een apart vlan. Ik heb nooit geweten dat je zomaar een tweede router op een zelfde switch kon hangen.

Het loopt allemaal erg netjes en vlot. Wederom mijn dank :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq