KPN Glasvezel IPv6 Cisco IOS-XE

zondag 19 februari 2023 23:36

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Nu heb ik sinds een week KPN Glasvezel en daar heb ik een Cisco IOS-XE router aan gekoppeld.
Nu heb ik alles netjes werkend inclusief IPTV.

Echter krijg ik IPv6 niet aan de praat, op het LAN wel, op de Dialer interface niet.
Heeft iemand dit wel werkend gekregen?

Als ik mijn KPN Experiabox terug aansluit heb ik meteen IPv6 connectie.
Ik heb netjes van KPN een /48 IPv6 range tot mijn beschikking.

Relevante config uit de router:

code:

Cisco IOS XE versie 17.10

ipv6 unicast-routing
ipv6 cef
!
ipv6 dhcp pool ipv6-dhcp
 address prefix XXXX:XXXX:XXXX::/48
 dns-server 2001:4860:4860::8888
 dns-server 2001:4860:4860::8844
!
interface Vlan1
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd managed-config-flag
 ipv6 nd other-config-flag
 ipv6 dhcp server ipv6-dhcp rapid-commit preference 1 allow-hint
!
interface Dialer1
 ipv6 unnumbered Vlan1
 ipv6 enable
 ipv6 nd autoconfig default-route
!
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer1
!

De groeten en alvast bedankt voor het meedenken.

[ Voor 5% gewijzigd door ExoRRSmits op 22-02-2023 11:35 . Reden: Privacy bescherming van eigen IPv6 adres ]

maandag 20 februari 2023 06:21

Acties:

0 Henk 'm!

jadjong

Prefix delegation?

https://networklessons.co...-dhcpv6-prefix-delegation

maandag 20 februari 2023 20:51

Acties:

+1 Henk 'm!

tvleeuwen

wat @jadjong zegt lijkt inderdaad nog te missen

code:

interface Vlan1
 ipv6 address kpn-ipv6 0:0:0:1::/64 eui-64
interface Dialer1
 no ipv6 unnumbered Vlan1
 ipv6 dhcp client pd kpn-ipv6 rapid-commit

dinsdag 21 februari 2023 11:00

Acties:

0 Henk 'm!

ExoRRSmits

Topicstarter

Bedankt voor het meedenken!

Ik zal vanavond eens e.e.a. aanpassen en testen.

woensdag 22 februari 2023 11:34

Acties:

+4 Henk 'm!

ExoRRSmits

Topicstarter

Bedankt!

Het werkt nu inderdaad.

Config die bij deze werkt:

code:

Cisco IOS XE versie 17.10

ipv6 unicast-routing
ipv6 cef
ipv6 dhcp pool ipv6-dhcp
 address prefix XXXX:XXXX:XXXX::/48
 dns-server 2001:4860:4860::8888
 dns-server 2001:4860:4860::8844
!
interface Vlan1
 ipv6 address kpn-ipv6 0:0:0:1::/64 eui-64
 ipv6 enable
 ipv6 nd managed-config-flag
 ipv6 nd other-config-flag
 ipv6 dhcp server ipv6-dhcp rapid-commit preference 1 allow-hint
!
interface Dialer1
 ipv6 dhcp client pd kpn-ipv6 rapid-commit
 ipv6 enable
 ipv6 nd autoconfig default-route
!
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer1

dinsdag 23 mei 2023 14:42

Acties:

0 Henk 'm!

w1mm13

ExoRRSmits schreef op zondag 19 februari 2023 @ 23:36:

Nu heb ik sinds een week KPN Glasvezel en daar heb ik een Cisco IOS-XE router aan gekoppeld.
Nu heb ik alles netjes werkend inclusief IPTV.

Kan je delen hoe je IPTV heb geconfigureerd, scheelt mij weer uitzoek werk :-)

woensdag 24 mei 2023 15:52

Acties:

0 Henk 'm!

ExoRRSmits

Topicstarter

Tuurlijk,

Volgensmij moet je met het volgende wel redelijk mee uit de voeten kunnen komen.
LETOP: dit betreft Cisco IOS-XE en is anders dan Cisco IOS standaard.
LETOP: dit is een voorbeeld config voor specifiek KPN IPTV, neem dit niet klakkeloos over!

code:

ip multicast-routing distributed
!
ip dhcp pool (bijvoorbeeld: VLAN1 of LAN)
 option 60 ascii IPTV_RG
 option 28 ip x.x.x.255
!
ip igmp snooping (VLAN LAN bijvoorbeeld: vlan 1) immediate-leave
!
interface (WAN subinterface bijvoorbeeld: GigabitEthernet0/0/0.4)
 description KPN-IPTV-VLAN
 encapsulation dot1Q 4
 no ip dhcp client request domain-name
 no ip dhcp client request dns-nameserver
 ip dhcp client request classless-static-route
 ip dhcp client class-id IPTV_RG
 ip dhcp client default-router distance 255
 ip address dhcp <-- als het goed is zal je een RFC1918 adres toegewezen krijgen op deze interface.
 ip pim sparse-mode
 ip igmp query-interval 125
 ip igmp proxy-service
!
interface (VLAN LAN bijvoorbeeld: vlan 1)
 ip igmp mroute-proxy (WAN subinterface bijvoorbeeld: GigabitEthernet0/0/0.4)
 ip igmp proxy-service
!
ip pim rp-address 213.75.119.1

Vergeet niet igmp aan te zetten op eventuele tussenliggende apparaten zoals switches.

Laat maar weten of het gelukt is.

[ Voor 7% gewijzigd door ExoRRSmits op 25-05-2023 11:45 ]

maandag 5 juni 2023 18:13

Acties:

0 Henk 'm!

w1mm13

bedankt ...

maandag 5 juni 2023 18:15

Acties:

0 Henk 'm!

ExoRRSmits

Topicstarter

w1mm13 schreef op maandag 5 juni 2023 @ 18:13:
bedankt ...

Werkt het?

dinsdag 6 juni 2023 13:55

Acties:

+1 Henk 'm!

w1mm13

ik ga een iptv kastje aan mijn abonnement toevoegen nu heb ik alleen kaal internet (oude xs4all) als ik GigabitEthernet0/0/0.4 opbreng dan krijg ik een ip address 10.15.200.xx met de interface up kan ik 213.75.119.1 pingen, met de interface down niet dus dat is bereikbaar.

GigabitEthernet0/0/0.4 UP
Tracing the route to 213-75-119-1.dc.kpn.net (213.75.119.1)
VRF info: (vrf in name/id, vrf out name/id)
1 195-190-228-120.fixed.kpn.net (195.190.228.120) 8 msec 4 msec 4 msec
2 195-121-74-3.dc.kpn.net (195.121.74.3) 4 msec 4 msec 4 msec
3 213-75-119-1.dc.kpn.net (213.75.119.1) 4 msec 4 msec 4 msec
4 * * *

GigabitEthernet0/0/0.4 DOWN
Tracing the route to 213-75-119-1.dc.kpn.net (213.75.119.1)
VRF info: (vrf in name/id, vrf out name/id)
1 195-190-228-120.fixed.kpn.net (195.190.228.120) 4 msec 4 msec 4 msec
2 * * *
3 * * *

Ik snap alleen niet dat de eerste hop gelijk is of GigabitEthernet0/0/0.4 UP of DOWN is ...
Verder heb ik achter de router een ASA hangen dus daar moet ik ook nog eea op doen.

woensdag 14 juni 2023 08:54

Acties:

+1 Henk 'm!

tvleeuwen

onder je WAN interface voor TV heb je staan:

code:

1	ip dhcp client request classless-static-route

Als de WAN interface voor TV UP is krijg je via het DHCP verzoek de statische route 213.75.112.0/21.

De trace naar 213.75.119.1 valt in de range van 213.75.112.0/21 en zal dan via die WAN interface verlopen.
is de WAN interface voor TV down dan vervalt ook de route en zal de router de default route pakken en over de WAN interface voor internet naar buiten gaan.

nu routeert de eerste hop van KPN het IP adres nog wel maar de twee niet meer (of reageert niet) en loopt dood.

vrijdag 28 juli 2023 23:25

Acties:

0 Henk 'm!

PiOn

M.b.t. IPTV: Gebruik je geen NAT vanuit je LAN VLAN richting WAN/GigabitEthernet0/0/0.4?

vrijdag 4 augustus 2023 19:49

Acties:

0 Henk 'm!

ExoRRSmits

Topicstarter

PiOn schreef op vrijdag 28 juli 2023 @ 23:25:
M.b.t. IPTV: Gebruik je geen NAT vanuit je LAN VLAN richting WAN/GigabitEthernet0/0/0.4?

Nee, uit mijn hoofd is het zonder NAT.
Je maakt conectie van een intern netwerk naar een intern netwerk van KPN.

Maar goed, dit is even snel uit mijn hoofd.

zondag 20 augustus 2023 23:39

Acties:

0 Henk 'm!

PiOn

Hallo ExoRRSmits,

ik krijg het om de een of andere reden niet aan de praat.

Ik heb alles met vrf's draaien. Internet en IPv6 werkt prima, maar IPTV krijg ik niet aan de praat. Ik heb een kale config aangemaakt, maar ook dat werkt niet.

Op basis van wat ik denk dat zou moeten, jouw config en andere die ik heb gevonden zou het toch moeten kloppen.

Zie jij kans mijn config te vergelijken met die van jou?

Ik zie een de igmp en pim debug geen aanknopingspunten. Er lijkt geen multicast verkeer van/naar LAN en KPN te gaan.

De routes lijken ook correct aanwezig te zijn (met sh ip route).

Alvast bedankt voor de moeite.

NB ik heb ook geprobeerd met onderstaand, maar dat heeft geen effect.

!
interface GigabitEthernet0/0/3.304
ip tcp adjust-mss 1452
ip igmp helper-address 213.75.119.1
!

code:

!
ip multicast-routing distributed
!
ip dhcp excluded-address 172.16.4.1 172.16.4.49
ip dhcp excluded-address 172.16.4.100 172.16.4.254
!
ip dhcp pool IPTV-STB
 import all
 network 172.16.4.0 255.255.255.0
 default-router 172.16.4.1 
 option 60 ascii IPTV_RG
 option 28 ip 172.16.4.255 
 dns-server 195.121.1.66 195.121.1.34 
 lease 2
!
interface GigabitEthernet0/0/1
 mtu 1508
 no ip address
 media-type rj45
 negotiation auto
 no cdp enable
 no mop enabled
 no lldp transmit
!
interface GigabitEthernet0/0/1.4
 description ;ISP-KPN-IPTV
 encapsulation dot1Q 4
 no ip dhcp client request domain-name
 no ip dhcp client request dns-nameserver
 ip dhcp client request classless-static-route
 ip dhcp client class-id IPTV_RG
 ip dhcp client default-router distance 255
 ip address dhcp
 ip pim sparse-mode
 ip nat outside
 ip igmp query-interval 125
 ip igmp proxy-service
 no cdp enable
!
interface GigabitEthernet0/0/1.6
 description ;KPN-PPPOE
 encapsulation dot1Q 6
 pppoe enable group global
 pppoe-client dial-pool-number 1
 pppoe-client ppp-max-payload 1500
!
interface GigabitEthernet0/0/3
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/3.304
 description ;IPTV-STB
 encapsulation dot1Q 304
 ip address 172.16.4.1 255.255.255.0
 no ip redirects
 ip pim sparse-mode
 ip nat inside
 ip igmp mroute-proxy GigabitEthernet0/0/1.4
 ip igmp proxy-service
!
interface Dialer1
 description ;KPN-PPPOE
 ip address negotiated
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username internet password 7 0945401D1C1719171F
 ppp ipcp dns request
 ppp ipcp mask request
 ppp ipcp route default
!
ip pim rp-address 213.75.119.1
ip nat inside source list NAT-DIALER interface Dialer1 overload
ip nat inside source list NAT-VLAN4 interface GigabitEthernet0/0/1.4 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended NAT-DIALER
 10 remark NAT-DIALER
 20 permit ip 172.16.4.0 0.0.0.255 any log-input
!
ip access-list extended NAT-VLAN4
 10 remark NAT-VLAN4
 20 permit ip 172.16.4.0 0.0.0.255 213.75.112.0 0.0.7.255 log-input
 30 permit ip 172.16.4.0 0.0.0.255 217.166.0.0 0.0.255.255 log-input
 40 permit ip 172.16.4.0 0.0.0.255 10.0.0.0 0.0.0.255 log-input
!

maandag 21 augustus 2023 02:59

Acties:

0 Henk 'm!

Aconitum

Ben ook wel benieuwd naar de volledige config, zelf heb ik KPN IPTV ook nog niet werkend gekregen op een C1111-8P

[ Voor 4% gewijzigd door Aconitum op 21-08-2023 04:46 ]

woensdag 23 augustus 2023 12:24

Acties:

0 Henk 'm!

ExoRRSmits

Topicstarter

@PiOn

Welke ios-xe versie draai je?
Ik zal einde van vanmiddag eens vergelijken.

Volgensmij heb ik alles in 1 vrf uit mijn hoofd.
Kan je anders je volledige config (exclusief wachtwoorden naar mij prive sturen?)

En dan niet met "show run" maar met "more system:running-config" maak van de usernames en wachtwoorden maar even XXXXXX van.

[ Voor 22% gewijzigd door ExoRRSmits op 23-08-2023 12:26 ]

woensdag 23 augustus 2023 21:47

Acties:

0 Henk 'm!

PiOn

@ExoRRSmits

Ik heb getest met de volgende versie:

17.9.3a / 17.9.4 / 17.12.1a

De huidige router (Cisco 4451) heeftbasic config, alles in default vrf.

Rest via PM verstuurd.

Hopelijk zie je een verschil/aanknopingspunt met jouw config.

donderdag 24 augustus 2023 08:44

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

Waarom gebruik je niet de standaard mtu: 1500
conf t
interface GigabitEthernet0/0/1
mtu 1500
exit
wr

Je hebt best kans dat je daardoor ellende hebt.

Je zou op je Interface waar je iets niet werkend krijgt een extended acl in en een extended acl out kunnen maken.
Daarin zet je deny any any log (het werkt toch niet) en die zet je bovenaan de acl!!
Daarna doe je een debug access-list <naam acl> en kun je zien wat voor requests er door je interface komen.
zodoende weet je al wat meer

vergeet niet een undebug te geven na het troubleshooten.

[ Voor 56% gewijzigd door Kabouterplop01 op 24-08-2023 08:51 ]

vrijdag 25 augustus 2023 04:39

Acties:

+2 Henk 'm!

PiOn

@ExoRRSmits

Bedankt voor je info. Het werkt

.

@ExoRRSmits & @Aconitum

Bovenstaande config werkt. Met 1 aanpassing:
verwijder de regel:

code:

1	ip nat inside source list NAT-VLAN4 interface GigabitEthernet0/0/1.4 overload

ACL NAT-VLAN4 is dan uiteraard ook niet meer nodig.

Ik snap eerlijk gezegd niet waarom. Alles wat ik kan vinden, maakt melding dat NAT nodig is naar VLAN4. Maar blijkbaar is NAT naar VLAN6/dialer1 voldoende.

Let wel: ik gebruik 172.16.x.x/16 voor intern. Anderen, o.a. ExoRRSmits, maken gebruik van 10.x.x.x/8. Blijkbaar werkt het voor alle RFC1918 netwerken.

Vervang tevens onderstaande ACL:

code:

!
ip access-list standard NAT-DIALER
 10 remark NAT-DIALER
 20 permit 172.16.4.0 0.0.0.255
!

Was blijven hangen in mijn test config. NAT ACLs met log entries gaan niet goed. Tevens is een extended ACL niet nodig (maar kan wel).

@Aconitum
Mijn achterliggende swich (Cisco), waar de STB is aangesloten, heeft het volgende commando geconfigureerd:

code:

1	ip igmp snooping vlan 304 immediate-leave

Heb je je STB rechtstreeks op je router aangesloten met een switch module, e.g. 1100, en VLAN, i.e. SVI ipv routed interface, dan moet dat op je router worden geconfigureerd.

code:

!
interface Vlan304
 description ;IPTV-STB
 encapsulation dot1Q 304
 ip address 172.16.4.1 255.255.255.0
 no ip redirects
 ip pim sparse-mode
 ip nat inside
 ip igmp mroute-proxy GigabitEthernet0/0/1.4
 ip igmp proxy-service
!

@Kabouterplop01

Op zich heb je gelijk. Ik heb deze al lang zonder issues draaien, met KPN, en XS4ALL. Beide ondersteunen RFC4638, dus het zou geen issues op meoeten leveren, en heeft als bijkomstigheid een betere performance.

Op basis van mijn config en die van ExoRRSmits is het geen issue.

Uitgaande van de standaarden (pppoe overhead: 8, VLAN overhead: 4) en de config van ExoRRSmits werkt bovenstaande config met de volgende aanpassingen ook prima:

code:

!
interface GigabitEthernet0/0/1
 mtu 1512
!
interface GigabitEthernet0/0/1.6
 ip mtu 1508
!

geen ip tcp adjust-mss achtige commando's gebruikt.

Ik ga van het weekend nog even wat meer checken, maar vooralsnog werkt het met bovenstaande config en genoemd aanpassing.

[ Voor 42% gewijzigd door PiOn op 25-08-2023 05:25 ]

vrijdag 25 augustus 2023 08:38

Acties:

+1 Henk 'm!

Aconitum

PiOn schreef op vrijdag 25 augustus 2023 @ 04:39:
@ExoRRSmits

Bedankt voor je info. Het werkt .

@ExoRRSmits & @Aconitum

Bovenstaande config werkt. Met 1 aanpassing:
verwijder de regel:
code:
1
ip nat inside source list NAT-VLAN4 interface GigabitEthernet0/0/1.4 overload
ACL NAT-VLAN4 is dan uiteraard ook niet meer nodig.

Ik snap eerlijk gezegd niet waarom. Alles wat ik kan vinden, maakt melding dat NAT nodig is naar VLAN4. Maar blijkbaar is NAT naar VLAN6/dialer1 voldoende.

Let wel: ik gebruik 172.16.x.x/16 voor intern. Anderen, o.a. ExoRRSmits, maken gebruik van 10.x.x.x/8. Blijkbaar werkt het voor alle RFC1918 netwerken.

Vervang tevens onderstaande ACL:
code:
1
2
3
4
5
!
ip access-list standard NAT-DIALER
 10 remark NAT-DIALER
 20 permit 172.16.4.0 0.0.0.255
!
Was blijven hangen in mijn test config. NAT ACLs met log entries gaan niet goed. Tevens is een extended ACL niet nodig (maar kan wel).

@Aconitum
Mijn achterliggende swich (Cisco), waar de STB is aangesloten, heeft het volgende commando geconfigureerd:
code:
1
ip igmp snooping vlan 304 immediate-leave
Heb je je STB rechtstreeks op je router aangesloten met een switch module, e.g. 1100, en VLAN, i.e. SVI ipv routed interface, dan moet dat op je router worden geconfigureerd.
code:
1
2
3
4
5
6
7
8
9
10
11
!
interface Vlan304
 description ;IPTV-STB
 encapsulation dot1Q 304
 ip address 172.16.4.1 255.255.255.0
 no ip redirects
 ip pim sparse-mode
 ip nat inside
 ip igmp mroute-proxy GigabitEthernet0/0/1.4
 ip igmp proxy-service
!

Thanks voor het delen ! Ik heb het sinds gisteren middag ook werkend

gisteren een paar uurtjes mee gespeeld en was ook tot de conclusie gekomen dat NAT juist NIET nodig is. Ook is mijn geval maakte NAT een hoop kapot.

Ik liep ook tegen IGMP snooping aan wat ervoor zorgde dat mijn multicast streams in VLAN 4 niet aankwamen mij mijn router (zitten 2 switches tussen demarc en router). Uiteindelijk heb ik dit op kunnen lossen door de IGMP querier functie aan te zetten op een van de switches.

Mijn conclusie is dat er een hoop verkeerde informatie is te vinden en wordt gedeeld (niet in deze post) want in bijna alle gevallen heeft men NAT aan staan op IPTV interface

vrijdag 25 augustus 2023 21:42

Acties:

0 Henk 'm!

ExoRRSmits

Topicstarter

Mooi dat het voor jullie beide nu werkt!

Zo zie je maar weer dat je soms gewoon even een paar extra ogen nodig hebt om het te kunnen zien!

Het is inderdaad intern verkeer wat naar intern netwerk van KPN loopt, geen NAT dus.

Waarom dat elders wordt gesuggereerd is mij ook niet duidelijk.

Zelf maak ik gebruik van KPN iTV android box, deze kan je instellen op multicast en unicast.

Met Unicast merk ik dat ie net wat sneller/soepeler schakeld tussen zenders. Bij multicast blijft het beeld nog 1 a 2 seconden zwart na het schakelen tussen zenders.

Hoe is jullie ervaring nu met IPTV?

zondag 27 augustus 2023 20:35

Acties:

0 Henk 'm!

ExoRRSmits

Topicstarter

Ik heb vandaag nog even wat gespeeld met mijn setup.

Een apart VLAN voor enkel mijn KPN iTV STB.
Eerst zonder NAT, zoals zou moeten. Echter werkt dit helemaal niet, omdat de android box met de KPN iTV app toch echt internet voor vereist is. Met name voor de kanalenlijst, gids etc.

Het signaal/beeld zelf is wel intern multicast verkeer.

De vorige generatie KPN stb boxen zullen wel werken zonder NAT. Volgens @PiOn & @Aconitum werkt het enkel zonder NAT.

maandag 28 augustus 2023 09:35

Acties:

+1 Henk 'm!

ChaserBoZ_

ExoRRSmits schreef op vrijdag 25 augustus 2023 @ 21:42:
Mooi dat het voor jullie beide nu werkt!

Zo zie je maar weer dat je soms gewoon even een paar extra ogen nodig hebt om het te kunnen zien!

Het is inderdaad intern verkeer wat naar intern netwerk van KPN loopt, geen NAT dus.

Waarom dat elders wordt gesuggereerd is mij ook niet duidelijk.

Zelf maak ik gebruik van KPN iTV android box, deze kan je instellen op multicast en unicast.

Met Unicast merk ik dat ie net wat sneller/soepeler schakeld tussen zenders. Bij multicast blijft het beeld nog 1 a 2 seconden zwart na het schakelen tussen zenders.

Hoe is jullie ervaring nu met IPTV?

Dat is multicast eigen; bij het zappen moet ie steeds één kanaal verlaten ('opzeggen') en een ander kanaal 'aboneren'.

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 28 augustus 2023 16:09

Acties:

0 Henk 'm!

Aconitum

ExoRRSmits schreef op vrijdag 25 augustus 2023 @ 21:42:
Mooi dat het voor jullie beide nu werkt!

Zo zie je maar weer dat je soms gewoon even een paar extra ogen nodig hebt om het te kunnen zien!

Het is inderdaad intern verkeer wat naar intern netwerk van KPN loopt, geen NAT dus.

Waarom dat elders wordt gesuggereerd is mij ook niet duidelijk.

Zelf maak ik gebruik van KPN iTV android box, deze kan je instellen op multicast en unicast.

Met Unicast merk ik dat ie net wat sneller/soepeler schakeld tussen zenders. Bij multicast blijft het beeld nog 1 a 2 seconden zwart na het schakelen tussen zenders.

Hoe is jullie ervaring nu met IPTV?

Ik heb eigenlijk maar heel kort de STB met een Experiabox gebruikt bij het betrekken van de nieuwbouw woning. Al vrij snel heb ik een eigen netwerk gebouwd en ben toen KPN ITV gaan gebruiken via een Android box omdat ik de STB niet werkend kreeg.

Ik heb wel altijd wel de indruk gehad dat de beeld kwalieteit via de STB/Multicast een stuk beter is dan de Unicast via een Andriod box.

Het verschil in zappen zal voornamelijk zitten in het opzetten van de multicast tree, IGMP joins *,G and S,G
routes.

maandag 28 augustus 2023 16:15

Acties:

0 Henk 'm!

Aconitum

ExoRRSmits schreef op zondag 27 augustus 2023 @ 20:35:
Ik heb vandaag nog even wat gespeeld met mijn setup.

Een apart VLAN voor enkel mijn KPN iTV STB.
Eerst zonder NAT, zoals zou moeten. Echter werkt dit helemaal niet, omdat de android box met de KPN iTV app toch echt internet voor vereist is. Met name voor de kanalenlijst, gids etc.

Het signaal/beeld zelf is wel intern multicast verkeer.

De vorige generatie KPN stb boxen zullen wel werken zonder NAT. Volgens @PiOn & @Aconitum werkt het enkel zonder NAT.

Ik moet eerlijk bekennen dat na een complete power down van de STB IPTV niet meer werkt. Ik heb een Arris VIP5202

Initieel bleef de STB hangen op 85% met NAT enabled, NAT outside van de IPTV WAN interface verwijderd en de STB liep gelijk door. Waarna ik werkende TV setup had, ook vanuit standby kon ik gewoon weer TV kijken.

STB van de stroom gehad en het werkt niet meer.. Wellicht toch een beperkte NAT config nodig...
Ik zal komend weekend eens kijken of ik er tijd voor heb

Je heb overigens wel NAT vanaf je stb via je Dailer interface nodig voor DNS, NTP etc etc..

[ Voor 4% gewijzigd door Aconitum op 28-08-2023 17:54 ]

maandag 28 augustus 2023 23:31

Acties:

0 Henk 'm!

PiOn

Ik dacht dat ik gek geworden was. Had ook alles uitgezet en dag later weer aangezet. Kaput.

Heb nog wel wat aanknopingspunten. Ook met de NAT naar VLAN4 interface weg lijkt er volgens de logs toch nog NAT plaats te vinden die kant op.

Ga er nog wel mee verder, alleen tijd ontbreekt me deze week/weekend.

maandag 5 februari 2024 02:37

Acties:

0 Henk 'm!

bsomeone

ExoRRSmits schreef op zondag 19 februari 2023 @ 23:36:
Hallo,

Nu heb ik sinds een week KPN Glasvezel en daar heb ik een Cisco IOS-XE router aan gekoppeld.
Nu heb ik alles netjes werkend inclusief IPTV.

Echter krijg ik IPv6 niet aan de praat, op het LAN wel, op de Dialer interface niet.
Heeft iemand dit wel werkend gekregen?

Als ik mijn KPN Experiabox terug aansluit heb ik meteen IPv6 connectie.
Ik heb netjes van KPN een /48 IPv6 range tot mijn beschikking.

Relevante config uit de router:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Cisco IOS XE versie 17.10

ipv6 unicast-routing
ipv6 cef
!
ipv6 dhcp pool ipv6-dhcp
 address prefix XXXX:XXXX:XXXX::/48
 dns-server 2001:4860:4860::8888
 dns-server 2001:4860:4860::8844
!
interface Vlan1
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd managed-config-flag
 ipv6 nd other-config-flag
 ipv6 dhcp server ipv6-dhcp rapid-commit preference 1 allow-hint
!
interface Dialer1
 ipv6 unnumbered Vlan1
 ipv6 enable
 ipv6 nd autoconfig default-route
!
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer1
!
De groeten en alvast bedankt voor het meedenken.

Als eerste moet je in mijn.kpn.com inloggen en kijken wat je IPv6 'blok' is. Dus je /48 of /56 netwerk. Want die moet je als HINT meegeven in je dialer: vervang 2A02:AXXX:XXXX door wat jij in je kpn.com login ziet bij IP adressen

code:

interface Dialer1
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 no cdp enable
 ipv6 address 2A02:A4XXX:XXXX:0:b19:ba11:c001:b00b/64
 ipv6 enable
 ipv6 nd ra interval 30
 ipv6 verify unicast reverse-path
 ipv6 dhcp client pd hint 2A02:AXXX:XXXX::/48
 ipv6 dhcp client pd mijn-kpn-prefix rapid-commit
 ipv6 mld query-interval 60
 ipv6 virtual-reassembly in
 ppp authentication pap callin
 ppp pap sent-username kpn password 7 07043142
 ppp ipcp dns request
 no shut

vrijdag 28 juni 2024 14:53

Acties:

0 Henk 'm!

Tozz

PiOn schreef op vrijdag 25 augustus 2023 @ 04:39:
@ExoRRSmits

Bedankt voor je info. Het werkt .

Zou je je hele config eens willen posten? Bij mij werkt 't helaas nog niet.

Ik begrijp ook jouw VLAN 304 niet. Heb jij je IPTV doosjes een eigen VLAN toegewezen? Of is dat gewoon je reguliere client VLAN? Ik wil de STBs idealier gewoon in het reguliere VLAN1 hebben.

STB hangt op code 561 of 563

Mijn config is als volgt:

code:

ip dhcp pool Vlan4
 option 60 ascii IPTV_RG
 option 28 ip x.x.x.255
!
!
!
ip igmp snooping vlan 4 immediate-leave
login on-success log
ipv6 unicast-routing
!
interface GigabitEthernet0/0/0
 mtu 1512
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 negotiation auto
!
interface GigabitEthernet0/0/0.4
 description KPN-IPTV-VLAN
 encapsulation dot1Q 4
 no ip dhcp client request domain-name
 no ip dhcp client request dns-nameserver
 ip dhcp client request classless-static-route
 ip dhcp client class-id IPTV_RG
 ip dhcp client default-router distance 255
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim sparse-mode
 ip nat outside
 ip igmp query-interval 125
 ip igmp proxy-service
!
interface GigabitEthernet0/0/0.6
 description WAN
 encapsulation dot1Q 6
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 pppoe enable group global
 pppoe-client dial-pool-number 1
 pppoe-client ppp-max-payload 1500
!
interface GigabitEthernet0/0/3
 ip address 192.168.178.1 255.255.255.0
 ip nat inside
 ip igmp mroute-proxy GigabitEthernet0/0/0.4
 ip igmp proxy-service
 negotiation auto
!
interface Dialer1
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username kpn password 7 07043142
 ppp ipcp dns request
 ip virtual-reassembly
!
no ip http server
ip http authentication local
ip http secure-server
ip http tls-version TLSv1.2 
ip forward-protocol nd
ip pim rp-address 213.75.119.1
ip nat inside source list 1 interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
!         
!
!# Deze is niet meer in use, maar geprobeerd of dit 't wel laat werken.. maar helaas
ip access-list extended NAT-VLAN4
 10 remark NAT-VLAN4
 20 permit ip 192.168.178.0 0.0.0.255 213.75.112.0 0.0.7.255 log-input
 30 permit ip 192.168.178.0 0.0.0.255 217.166.0.0 0.0.255.255 log-input
 40 permit ip 192.168.178.0 0.0.0.255 10.0.0.0 0.0.0.255 log-input
!
ip access-list standard 1
 10 permit 192.168.178.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipv6 permit
!
!

[ Voor 4% gewijzigd door Tozz op 28-06-2024 21:13 ]

dinsdag 9 juli 2024 21:26

Acties:

0 Henk 'm!

Tozz

Mocht 't iemand ooit helpen.. Op een Cisco C1117-4P heb ik het nu als volgt aan de praat (IPv4, IPv6 en Multicast). Hou er rekening mee dat deze Cisco standaard IPv6 naar 'interne' hosts niet afsluit, dus alle IPv6 poorten staan wereldwijd default open.

code:

no logging console
ip multicast-routing distributed
!
ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 4 immediate-leave
login on-success log
ipv6 unicast-routing
!
subscriber templating
vtp mode transparent
!
!
vlan internal allocation policy ascending
!
no cdp run
lldp run
!
interface GigabitEthernet0/0/0
 mtu 1512
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 negotiation auto
 no lldp transmit
!
interface GigabitEthernet0/0/0.4
 description KPN-IPTV-VLAN
 encapsulation dot1Q 4
 no ip dhcp client request domain-name
 no ip dhcp client request dns-nameserver
 ip dhcp client request classless-static-route
 ip dhcp client class-id IPTV_RG
 ip dhcp client default-router distance 255
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim sparse-mode
 ip nat outside
 ip igmp query-interval 125
 ip igmp proxy-service
 no cdp enable
!
interface GigabitEthernet0/0/0.6
 description WAN
 encapsulation dot1Q 6
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 pppoe enable group global
 pppoe-client dial-pool-number 1
 pppoe-client ppp-max-payload 1500
!
interface Vlan1
 ip address 192.168.178.1 255.255.255.0
 no ip redirects
 ip pim sparse-mode
 ip nat inside
 ip igmp helper-address 213.75.119.1
 ip igmp mroute-proxy GigabitEthernet0/0/0.4
 ip igmp proxy-service
 ipv6 address 2A02:XXXX:XXXX:1:1::/64
 ipv6 address kpn-ipv6 0:0:0:1::/64 eui-64
 ip virtual-reassembly
!
interface Dialer1
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer idle-timeout 0
 dialer-group 1
 no cdp enable
 ipv6 address 2A02:XXXX:XXXX::1/64
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 nd ra interval 30
 ipv6 mld query-interval 60
 ipv6 dhcp client pd hint 2A02:XXXX:XXXX::/48
 ipv6 dhcp client pd kpn-ipv6 rapid-commit
 ipv6 verify unicast reverse-path
 ipv6 virtual-reassembly in
 ppp authentication pap callin
 ppp pap sent-username kpn password 7 07043142
 ppp ipcp dns request
 ip virtual-reassembly
!
ip pim rp-address 213.75.119.1
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list standard 1
 10 permit 192.168.178.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipv6 permit
ipv6 route ::/0 Dialer1
!
ip nat inside source list 1 interface Dialer1 overload
!
ntp peer nl.pool.ntp.org

dinsdag 16 juli 2024 13:02

Acties:

0 Henk 'm!

Tozz

Tip:

Voeg een filter toe op UDP/123, anders begint KPN te muiten dat ze je gaan afsluiten:

code:

ip access-list extended IN_NTP
 10 remark NTP Inbound
 10 deny udp any any log
ntp access-group peer IN_NTP

[ Voor 3% gewijzigd door Tozz op 16-07-2024 13:02 ]

zaterdag 8 februari 2025 22:35

Acties:

0 Henk 'm!

Tozz

Het lijkt er op dat KPN ook is gaan proben op UDP/123 op 't IPv6 adres van de router.
Die dien je dus ook te filteren.

zaterdag 8 februari 2025 22:52

Acties:

0 Henk 'm!

Out.of.Control

Huh, kun je dat toelichten? Ik draai een aantal NTP servers die onderdeel zijn van de NTP-pool, zowel op IPv4 als IPv6. Moet ik me nu zorgen maken?
En hoe zou KPN kunnen weten wat het adres is van mijn router? Ik heb er genoeg om uit te kunnen kiezen.

zondag 9 februari 2025 10:19

Acties:

0 Henk 'm!

ExoRRSmits

Topicstarter

Ik denk dat ie bedoeld, dat je udp/123 dicht zet op zowel ipv4 als ipv6.

Omdat UDP misbruikt kan worden voor aanvallen, scant KPN erop en krijg je een mailtje van KPN.
Als jij valide NTP servers host, kan je dat terug mailen.

Het is meer als je het vergeet en dus eigenlijk geen ntp server wil hosten. (Wat in 99% van de gevallen zo is)
Als je dat wel doet, kan je beter een acl maken voor wie erbij moet kunnen.

Ik heb ook 1 NTP server voor de binnenkant van mijn netwerk, omdat ik de tijd 1x binnen wil halen en dan hoeven mijn clients niet allemaal de tijd zelf apart buiten op te halen.

Dan hoef ik dus niet NTP open te hebben staan op mijn outside interface.

Dus heb je echt NTP nodig buiten je eigen netwerk?

[ Voor 7% gewijzigd door ExoRRSmits op 09-02-2025 10:22 ]

zondag 9 februari 2025 14:30

Acties:

0 Henk 'm!

Out.of.Control

Tja, wat is 'nodig'? Als onderdeel van de NTP pool is het nodig dat mijn NTP servers voor iedereen bereikbaar zijn. Een ACL gaat dus ook niet werken.
Als ik ervoor zou kiezen om mijn servers uit de pool te halen, dan is het uiteraard niet nodig. Maar als iedereen dat doet, blijft er van het NTP pool project weinig over. Dus dat ben ik niet van plan.

Overigens doe ik dit al lang. Nog nooit een mail gezien, terwijl ik gemiddeld zo'n 2000 NTP queries per seconde voorbij zie komen.
Uiteraard zijn mijn servers niet te gebruiken ook een amplification attack.
Nou ja, ik zie het mailtje wel komen. Of niet.

zondag 16 februari 2025 14:46

Acties:

0 Henk 'm!

firewizz

Ik heb een soortgelijk probleem C1121-8P IOS-XE

Internet werkt zonder problemen. KPN IPTV Niet, wel kastje even online gehad maar na een paar uur werkte alleen ned1,2,3 en de rest niet. Dit komt omdat het kastje een ip kreeg van mij en naar buiten werd gerouteerd, wel internet geen iptv via gi0/0/0.4

Ziet iemand wat er aan de config niet goed is?

code:

Building configuration...

Current configuration : 13857 bytes
!
! Last configuration change at 12:51:26 UTC Sun Feb 16 2025 by firewizz
!
version 17.9
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
service call-home
platform qfp utilization monitor load 80
platform punt-keepalive disable-kernel-core
platform hardware throughput crypto 50000
!
hostname FW-ROUTER
!
boot-start-marker
boot system flash bootflash:/c1100-universalk9.17.09.05a.SPA.bin
boot-end-marker
!
!
logging buffered 16384
logging persistent size 200000 filesize 10000
no logging console
no logging monitor
no aaa new-model
!
ip multicast-routing distributed
!
!
!
!
!
!
ip name-server 1.1.1.1 8.8.8.8

ip dhcp relay information option
ip dhcp relay information trust-all
ip dhcp snooping vlan 10,20,99
ip dhcp snooping
ip dhcp excluded-address 10.0.99.1 10.0.99.99
ip dhcp excluded-address 10.0.0.1 10.0.1.0
ip dhcp excluded-address 192.168.1.1 192.168.1.9
ip dhcp excluded-address 192.168.178.1
!
ip dhcp pool MANAGEMENT
 network 10.99.99.0 255.255.255.0
 default-router 10.99.99.1
 dns-server 8.8.8.8 1.1.1.1
!
ip dhcp pool FIREWIZZ_DHCP
 network 10.0.0.0 255.255.0.0
 default-router 10.0.0.1
 dns-server 10.0.0.1 1.1.1.1 8.8.8.8
 option 28 ip 10.0.0.255
 option 60 ascii IPTV_RG
 address 10.0.1.201 hardware-address 58f3.8704.4547
 address 10.0.1.46 hardware-address ec2e.986c.adb4
!
ip dhcp pool GUEST_DHCP
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 1.1.1.1 8.8.8.8
!
ip dhcp pool IPTV
 network 192.168.178.0 255.255.255.0
 dns-server 192.168.178.1 1.1.1.1 8.8.8.8
 default-router 192.168.178.1
 class IPTV_CLASS
!
ip dhcp pool IPTV-TV
 option 60 ascii IPTV_RG
 option 28 ip 192.168.178.255
!
!
ip dhcp class IPTV_CLASS
 option 60 ascii IPTV_RG
!
!
ip igmp snooping querier
no ip igmp snooping
ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 4 immediate-leave
ip igmp snooping vlan 10 immediate-leave
login on-success log
!
!
!
!
!
!
!
subscriber templating
vtp version 1
multilink bundle-name authenticated
!
!
!
!
!
license udi pid C1121-8P sn FCZ2852R0Z4
memory free low-watermark processor 65995
!
!
!
!
!
object-group network FIREWIZZ_NVR
 description NVR For CCTV
 host 10.0.0.10
!
object-group service HASS_MANAGE
 tcp eq 8123
 udp eq 8123
!
object-group network HOME_ASSISTANT
 host 10.0.0.11
!
object-group service HTTP
 tcp eq www
 udp eq 80
!
object-group service NAT_NVR_MANAGEMENT
 udp eq 8080
 tcp eq 8080
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
!
!
redundancy
 mode none
!
!
vlan internal allocation policy ascending
!
!
class-map match-any CLASS_VLAN20
 match access-group name ACL_VLAN20
class-map match-any IGMP-UPSTREAM
 match access-group name IGMP-UPSTREAM-ACL
!
policy-map POLICY_VLAN20_LIMIT
 class CLASS_VLAN20
  police 25000000 625000 conform-action transmit  exceed-action drop
!
!
!
!
!
!
interface GigabitEthernet0/0/0
 description MAIN_WAN_CONNECTION_KPN
 mtu 1512
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 negotiation auto
!
interface GigabitEthernet0/0/0.4
 description KPN-IPTV-VLAN
 encapsulation dot1Q 4
 no ip dhcp client request domain-name
 no ip dhcp client request dns-nameserver
 ip dhcp client request classless-static-route
 ip dhcp client class-id IPTV_RG
 ip dhcp client default-router distance 255
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim sparse-mode
 ip igmp query-interval 125
 ip igmp proxy-service
 no cdp enable
!
interface GigabitEthernet0/0/0.6
 description KPN_INTERNET
 encapsulation dot1Q 6
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 pppoe enable group global
 pppoe-client dial-pool-number 1
 pppoe-client ppp-max-payload 1500
!
interface GigabitEthernet0/0/0.7
 description KPN_VOIP_WAN
 encapsulation dot1Q 7
 ip address dhcp
 ip nat outside
 shutdown
!
interface GigabitEthernet0/0/1
 no ip address
 negotiation auto
!
interface GigabitEthernet0/1/0
 description FW-SWITCH-OFFICE
 switchport trunk native vlan 10
 switchport trunk allowed vlan 4,7,10,20
 switchport mode trunk
 ip dhcp snooping trust
!
interface GigabitEthernet0/1/1
 description FW-SWITCH-HOUSE
 switchport trunk native vlan 10
 switchport trunk allowed vlan 4,7,10,20
 switchport mode trunk
 ip dhcp snooping trust
!
interface GigabitEthernet0/1/2
 description NVR-CCTV-SYSTEM
 switchport trunk native vlan 10
 switchport trunk allowed vlan 4,7,10,20
 switchport mode trunk
 ip dhcp snooping trust
!
interface GigabitEthernet0/1/3
 description WIFI-OFFICE
 switchport trunk native vlan 10
 switchport trunk allowed vlan 4,7,10,20
 switchport mode trunk
 ip dhcp snooping trust
!
interface GigabitEthernet0/1/4
 description HOME-ASSISTANT
 switchport trunk native vlan 10
 switchport trunk allowed vlan 4,7,10,20
 switchport mode trunk
 ip dhcp snooping trust
!
interface GigabitEthernet0/1/5
 description FIREWIZZ-GENERAL-NETWORK
 switchport access vlan 4
 switchport mode access
!
interface GigabitEthernet0/1/6
 description FIREWIZZ-GUEST-ONLY
 switchport access vlan 20
 switchport mode access
!
interface GigabitEthernet0/1/7
 description MANAGEMENT
 switchport access vlan 99
 switchport mode access
!
interface Vlan1
 no ip address
!
interface Vlan4
 description KPN_IPTV
 ip dhcp relay information trusted
 ip address 192.168.178.1 255.255.255.0
 ip helper-address 213.75.119.1
 ip pim sparse-mode
 ip nat inside
 ip igmp helper-address 213.75.119.1
 ip igmp mroute-proxy GigabitEthernet0/0/0.4
 ip igmp proxy-service
!
interface Vlan10
 description Firewizz-Network
 ip dhcp relay information trusted
 ip address 10.0.0.1 255.255.0.0
 ip helper-address 213.75.119.1
 ip pim sparse-dense-mode
 ip nat inside
 ip access-group ACL_FIREWIZZ_NETWORK_IN in
 ip igmp join-group 239.255.255.250
 ip igmp join-group 239.192.0.0
 ip igmp join-group 224.0.1.40
 ip igmp mroute-proxy GigabitEthernet0/0/0.4
 ip igmp proxy-service
!
interface Vlan20
 description GUEST_NETWORK
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip access-group ACL_GUEST_NETWORK_IN in
 service-policy output POLICY_VLAN20_LIMIT
!
interface Vlan99
 ip address 10.99.99.1 255.255.255.0
!
interface Dialer1
 ip ddns update hostname home.firewizz.dev
 ip ddns update DYNDNS
 ip address negotiated
 ip nat outside
 ip access-group ACL_WAN_IN in
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 ppp chap hostname kpn
 ppp chap password 7 000F0308
!
no ip http server
ip http authentication local
ip http secure-server
ip forward-protocol nd
ip pim rp-address 213.75.119.1
ip mroute 213.75.119.1 255.255.255.255 10.138.122.1
ip mroute 213.75.0.0 255.255.0.0 10.138.122.1
ip dns server
ip nat inside source list 1 interface Dialer1 overload

ip route 0.0.0.0 0.0.0.0 Dialer1
ip ssh version 2
ip ssh pubkey-chain
  username firewizz
   key-hash ssh-rsa DF8EF3141B8C775913FF4CD03D4B757D firewizz
!
!
ip access-list extended ACL_FIREWIZZ_NETWORK_IN
 5 permit udp any any eq domain
 9 permit ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
 10 permit ip 10.0.0.0 0.0.255.255 any
 15 permit igmp any any
 16 permit udp any any range 1024 65535
 17 permit pim any any
 20 permit tcp any any established
 30 permit ip any 10.0.0.0 0.255.255.255
 40 permit icmp any any echo
 50 permit tcp any host 10.0.0.11 eq 8123
 100 deny ip any any log
ip access-list extended ACL_GUEST_NETWORK_IN
 5 permit udp any any eq domain
 10 permit ip 192.168.1.0 0.0.0.255 any
 20 permit tcp any any established
 30 deny ip any 10.0.0.0 0.0.255.255 log
 40 deny ip any 10.99.99.0 0.0.0.255 log
 100 deny ip any any log
ip access-list extended ACL_VLAN20
 10 permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended ACL_WAN_IN
 10 permit tcp any any established
 11 permit icmp any any echo-reply
 12 permit icmp any any time-exceeded
 13 permit icmp any any unreachable
 15 permit tcp any any eq 22
 20 permit tcp any host 10.0.0.10 eq www
 21 permit udp any host 10.0.0.10 eq 80
 23 permit tcp any host 10.0.0.11 eq 8123
 30 permit udp any host 10.0.0.10 eq 8080
 31 permit tcp any host 10.0.0.10 eq 8080
 32 permit udp any any eq 8080
 33 permit tcp any any eq 8080
 34 permit tcp any any eq 8123
 50 permit ip any any
 100 deny ip any any log
ip access-list extended IGMP-UPSTREAM-ACL
 10 permit igmp any any
!
ip access-list standard 1
 5 deny   10.138.120.88
 10 permit 10.0.0.0 0.0.255.255
 20 permit 192.0.0.0 0.255.255.255
 30 permit 213.75.119.0 0.0.0.255
 40 permit 224.0.0.0 15.255.255.255
 50 permit 10.4.4.0 0.0.0.255
 60 permit 192.168.178.0 0.0.0.255
!
!
!
control-plane

!
!
!
!
!
end

Heb nog flink wat zitten spelen dus zal hier en daar wel wat niet kloppen..

Krijg het met dhcp pool niet werkend maar met alleen relay ook niet

Alle eer voor de successvolle hulp

[ Voor 0% gewijzigd door firewizz op 16-02-2025 14:47 . Reden: codeblok ]

zondag 16 februari 2025 14:52

Acties:

0 Henk 'm!

jadjong

ip multicast-routing?

[ Voor 4% gewijzigd door jadjong op 16-02-2025 14:52 ]

maandag 17 februari 2025 22:16

Acties:

0 Henk 'm!

Tozz

firewizz schreef op zondag 16 februari 2025 @ 14:46:
Ik heb een soortgelijk probleem C1121-8P IOS-XE

Internet werkt zonder problemen. KPN IPTV Niet, wel kastje even online gehad maar na een paar uur werkte alleen ned1,2,3 en de rest niet. Dit komt omdat het kastje een ip kreeg van mij en naar buiten werd gerouteerd, wel internet geen iptv via gi0/0/0.4

Ziet iemand wat er aan de config niet goed is?
Heb nog flink wat zitten spelen dus zal hier en daar wel wat niet kloppen..

Krijg het met dhcp pool niet werkend maar met alleen relay ook niet
Alle eer voor de successvolle hulp

Ik zie wel wat verschil met mijn werkende config. Maar lastig aan te geven wat er precies mis is zonder dat jij precies aangeeft wat er niet werkt.

Ik zie in ieder geval verschil met IGMP Snooping. Jij hebt 'no igmp snooping', dus op geen enkel VLAN. Ik heb IGMP snooping wel aan

Verder valt mij op dat jij een Vlan4 interface hebt voor je IPTV, terwijl ik met mijn werkende config niet heb. Dat kon ook wel eens botsen met je 0/0/0.4 interface waarin je dot1q 4 opgeeft.

En ik zou je 'ip http secure-server' uitzetten ivm. security bugs in IOS-XE op de webserver.

woensdag 19 februari 2025 20:33

Acties:

0 Henk 'm!

Tozz

Out.of.Control schreef op zaterdag 8 februari 2025 @ 22:52:
Huh, kun je dat toelichten? Ik draai een aantal NTP servers die onderdeel zijn van de NTP-pool, zowel op IPv4 als IPv6. Moet ik me nu zorgen maken?
En hoe zou KPN kunnen weten wat het adres is van mijn router? Ik heb er genoeg om uit te kunnen kiezen.

KPN is erg vaag in hun bewoording. Je krijgt een mail met "Je Internet verbinding wordt misbruikt. Reset je router!". Je moet dan eerst terugmailen met "Joh, wat is er loos?". Dan krijg je een mail met je hebt UDP/123 open.

Nu draai ik geen NTP server, dus ik heb de poort gewoon geblocked in de firewall. Maar als je niet reageert sluiten ze je na 5 dagen af. Dan heb je geen Internet en geen TV meer.

Ik weet niet of je ze discussie met ze aan kunt gaan mbt. het open houden van NTP poort

donderdag 20 februari 2025 22:59

Acties:

0 Henk 'm!

firewizz

Tozz, dank voor je reactie.

Intussen ben ik iets verder...
Er is ook het een en ander aangepast.

Ik heb nu wel beeld op ned 1, ned 2, ned 3
maar niet op de betaalde kanalen.

ook als ik via menu naar info ga krijg iik een ip maar niet een ip voor IPTV.

Heb je dit misschien ook meegemaakt of een idee waar dit zou kunnen zitten?

Ik vind het ook raar dat jouw config op de gi0/0/0.4 ip nat outside staat, dan stopt het bij mij helemaal.
Ook moet ik ip helper-address 213.75.119.1 toevoegen op mijn vlan10 anders stopt het.

mijn huidige config

code:

Building configuration...

Current configuration : 15253 bytes
!
! Last configuration change at 21:49:47 UTC Thu Feb 20 2025 by firewizz
!
version 17.9
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
service call-home
platform qfp utilization monitor load 80
platform punt-keepalive disable-kernel-core
platform hardware throughput crypto 50000
!
hostname FW-ROUTER
!
boot-start-marker
boot system flash bootflash:/c1100-universalk9.17.09.05a.SPA.bin
boot-end-marker
!
!
logging buffered 16384
logging persistent size 200000 filesize 10000
no logging console
no logging monitor
aaa new-model
!

!
!
aaa session-id common
!
ip multicast-routing distributed
!
!
!
!
!
!
ip host homeassistant.firewizz.dev 10.0.0.11
ip name-server 1.1.1.1 8.8.8.8
ip domain name firewizz.dev

ip dhcp relay information option
ip dhcp relay information trust-all
ip dhcp snooping vlan 10,20,99
ip dhcp snooping
ip dhcp excluded-address 10.0.99.1 10.0.99.99
ip dhcp excluded-address 10.0.0.1 10.0.1.0
ip dhcp excluded-address 192.168.1.1 192.168.1.9
ip dhcp excluded-address 192.168.178.1
!
ip dhcp pool MANAGEMENT
 network 10.99.99.0 255.255.255.0
 default-router 10.99.99.1
 dns-server 8.8.8.8 1.1.1.1
!
ip dhcp pool FIREWIZZ_DHCP
 import all
 network 10.0.0.0 255.255.0.0
 default-router 10.0.0.1
 dns-server 10.0.0.1 1.1.1.1 8.8.8.8
 option 60 ascii IPTV_RG
 option 28 ip 10.0.255.255
 address 10.0.1.201 hardware-address 58f3.8704.4547
 address 10.0.1.46 hardware-address ec2e.986c.adb4
!
ip dhcp pool GUEST_DHCP
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 1.1.1.1 8.8.8.8
!
!
ip dhcp class IPTV_CLASS
 option 60 ascii IPTV_RG
!
!
ip igmp snooping querier
ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 10 immediate-leave
login on-success log
ipv6 unicast-routing
!
!
!
!
!
!
!
subscriber templating
!
!
!
!
vtp version 1
!
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-706696029
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-706696029
 revocation-check none
 rsakeypair TP-self-signed-706696029
!
crypto pki trustpoint SLA-TrustPoint
 enrollment pkcs12
 revocation-check crl
!
!
crypto pki certificate chain TP-self-signed-706696029
 certificate self-signed 01
 xx
        quit
!
!
no license feature hseck9
license udi pid C1121-8P sn FCZ2852R0Z4
license boot level securityk9
memory free low-watermark processor 65995
!
!
!
!
!
!
interface GigabitEthernet0/0/0
 description MAIN_WAN_CONNECTION_KPN
 mtu 1512
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 negotiation auto
!
interface GigabitEthernet0/0/0.4
 description KPN-IPTV-VLAN
 encapsulation dot1Q 4
 no ip dhcp client request domain-name
 no ip dhcp client request dns-nameserver
 ip dhcp client request classless-static-route
 ip dhcp client class-id IPTV_RG
 ip dhcp client default-router distance 255
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim sparse-mode
 ip igmp query-interval 125
 ip igmp proxy-service
 no cdp enable
!
interface GigabitEthernet0/0/0.6
 description KPN_INTERNET
 encapsulation dot1Q 6
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 pppoe enable group global
 pppoe-client dial-pool-number 1
 pppoe-client ppp-max-payload 1500
!
interface GigabitEthernet0/0/0.7
 description KPN_VOIP_WAN
 encapsulation dot1Q 7
 ip address dhcp
 ip nat outside
 shutdown
!
interface GigabitEthernet0/0/1
 no ip address
 negotiation auto
!
!
interface GigabitEthernet0/1/5
 description IPTV_KPN_STB
 switchport access vlan 10
 switchport mode access
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 description Firewizz-Network
 ip dhcp relay information trusted
 ip address 10.0.0.1 255.255.0.0
 ip helper-address 213.75.119.1
 no ip redirects
 ip pim sparse-mode
 ip nat inside
 ip access-group ACL_FIREWIZZ_NETWORK_IN in
 ip igmp helper-address 213.75.119.1
 ip igmp mroute-proxy GigabitEthernet0/0/0.4
 ip igmp proxy-service
!
interface Vlan20
 description GUEST_NETWORK
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip access-group ACL_GUEST_NETWORK_IN in
 service-policy output POLICY_VLAN20_LIMIT
!
interface Vlan99
 ip address 10.99.99.1 255.255.255.0
!
interface Dialer1
 ip ddns update hostname home.firewizz.dev
 ip ddns update DYNDNS
 ip address negotiated
 ip nat outside
 ip access-group ACL_WAN_IN in
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 ppp chap hostname kpn
 ppp chap password 7 000F0308
!
ip local pool VPN-POOL 10.0.99.1 10.0.99.254
no ip http server
ip http authentication local
no ip http secure-server
ip forward-protocol nd
ip pim rp-address 213.75.119.1
ip dns server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 10.0.0.10 80 interface Dialer1 8080
ip nat inside source static udp 10.0.0.10 80 interface Dialer1 8080
ip nat inside source static tcp 10.0.0.11 8123 interface Dialer1 8123
ip route 0.0.0.0 0.0.0.0 Dialer1
ip ssh version 2
ip ssh pubkey-chain
  username firewizz
   key-hash ssh-rsa DF8EF3141B8C775913FF4CD03D4B757D firewizz
!
!
ip access-list extended ACL_FIREWIZZ_NETWORK_IN
 5 permit udp any any eq domain
 9 permit ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
 10 permit ip 10.0.0.0 0.0.255.255 any
 11 permit ip any host 224.0.0.18
 12 permit ip any host 224.0.0.1
 13 permit ip any host 224.0.0.251
 15 permit igmp any any
 16 permit udp any any range 1024 65535
 17 permit pim any any
 20 permit tcp any any established
 30 permit ip any 10.0.0.0 0.255.255.255
 40 permit icmp any any echo
 50 permit tcp any host 10.0.0.11 eq 8123
 100 deny ip any any log
ip access-list extended ACL_GUEST_NETWORK_IN
 5 permit udp any any eq domain
 10 permit ip 192.168.1.0 0.0.0.255 any
 20 permit tcp any any established
 30 deny ip any 10.0.0.0 0.0.255.255 log
 40 deny ip any 10.99.99.0 0.0.0.255 log
 100 deny ip any any log
ip access-list extended ACL_IPTV_NAT
 10 permit ip 10.0.0.0 0.0.255.255 213.75.112.0 0.0.7.255
 20 permit ip 10.0.0.0 0.0.255.255 217.166.0.0 0.0.255.255
 30 permit ip 10.0.0.0 0.0.255.255 10.59.184.0 0.0.7.255
ip access-list extended ACL_VLAN20
 10 permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended ACL_WAN_IN
 10 permit tcp any any established
 11 permit icmp any any echo-reply
 12 permit icmp any any time-exceeded
 13 permit icmp any any unreachable
 15 permit tcp any any eq 22
 20 permit tcp any host 10.0.0.10 eq www
 21 permit udp any host 10.0.0.10 eq 80
 23 permit tcp any host 10.0.0.11 eq 8123
 30 permit udp any host 10.0.0.10 eq 8080
 31 permit tcp any host 10.0.0.10 eq 8080
 32 permit udp any any eq 8080
 33 permit tcp any any eq 8080
 34 permit tcp any any eq 8123
 50 permit ip any any
 90 permit udp any any eq isakmp
 91 permit udp any any eq non500-isakmp
 92 permit esp any any
 100 deny ip any any log
ip access-list extended IGMP-UPSTREAM-ACL
 10 permit igmp any any
!
ip access-list standard 1
 10 permit 10.0.0.0 0.0.255.255
 20 permit 192.0.0.0 0.255.255.255
 30 permit 213.75.119.0 0.0.0.255
 40 permit 224.0.0.0 15.255.255.255
 50 permit 10.4.4.0 0.0.0.255
 60 permit 192.168.178.0 0.0.0.255
ip access-list extended 150
 10 permit ip any host 213.75.119.1
ipv6 route ::/0 Dialer1
!
!
!
!
!
ipv6 access-list BLOCK-IPV6
 sequence 10 deny ipv6 any any log
!
control-plane
!
!
line con 0
 privilege level 15
 stopbits 1
line vty 0 4
 authorization exec SSH-AUTH
 login authentication SSH-AUTH
 transport input ssh
line vty 5 14
 transport input ssh
!
call-home
 ! If contact email address in call-home is configured as sch-smart-licensing@cisco.com
 ! the email address configured in Cisco Smart License Portal will be used as contact email address to send SCH notifications.
 contact-email-addr sch-smart-licensing@cisco.com
 profile "CiscoTAC-1"
  active
  destination transport-method http
!
!
!
!
!
!
end

Heb je misschien nog mac moeten spoofen?

edit:

Zou het te maken kunnen hebben dat kpn iptv addressen uitdeelt in 10.0.0.0/8 en mijn vlan 10 in 10.0.0.0/16 zit?

[ Voor 0% gewijzigd door firewizz op 21-02-2025 09:19 . Reden: toevoeging ]

zaterdag 22 februari 2025 15:25

Acties:

0 Henk 'm!

tvleeuwen

Heb de setup hier thuis weer aangesloten (gebruiken normaal de KPN Smart TV app).

Voorelkaar gekregen om ook alleen de publieke zenders en radio zenders te hebben maar niet de andere zenders.

Zit in de NAT die ik niet terug zie ik je config.

zou je onderstaande er in willen plakken en testen?

code:

configure terminal
 ip access-list standard 1
 no 30 
 no 40 
 exit
!
interface GigabitEthernet0/0/0.4
 ip nat outside
 exit
!
ip access-list extended NAT-ITV
 permit ip 10.0.0.0 0.0.255.255 213.75.112.0 0.0.7.255
 permit ip 10.0.0.0 0.0.255.255 217.166.0.0 0.0.255.255
 exit
!
ip nat inside source list NAT-ITV interface GigabitEthernet0/0/0.4 overload

Mogelijk staan er nog NAT's actief via de Dailer1, deze moeten gaan lopen via GigabitEthernet0/0/0.4

code:

1	clear ip nat translation *

zondag 23 februari 2025 13:54

Acties:

0 Henk 'm!

firewizz

@Tozz
Vraagje, in je werkende setup zie ik geen dhcp pool, welke config gebruik je voor je vlan 1 pool?

zondag 23 februari 2025 14:03

Acties:

0 Henk 'm!

firewizz

Thanks voor het meedenken, ondertussen op aanraen diverse aanpassingen gemaakt dus hier mijn huidige config. Helaas nog hetzelfde resultaat. alleen de free kanalen en geen betaalde.

Als jullie andere output willen zien dan laat maar weten dan post ik die ook. thanks alvast.

code:

version 17.9
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
service call-home
platform qfp utilization monitor load 80
platform punt-keepalive disable-kernel-core
platform hardware throughput crypto 50000
!
hostname FW-ROUTER
!
boot-start-marker
boot system flash bootflash:/c1100-universalk9.17.09.05a.SPA.bin
boot-end-marker
!
!
logging buffered 16384
logging persistent size 200000 filesize 10000
no logging console
no logging monitor
aaa new-model
!
!
aaa authentication login VPN-AUTH local
aaa authentication login SSH-AUTH local
aaa authorization exec SSH-AUTH local
aaa authorization network VPN-AUTH local
!
!
aaa session-id common
!
ip multicast-routing distributed
!
!
!
!
!
!
ip name-server 1.1.1.1 8.8.8.8
ip dhcp relay information option
ip dhcp relay information trust-all
ip dhcp snooping vlan 10,20,99
ip dhcp snooping
ip dhcp excluded-address 192.168.1.1 192.168.1.9
ip dhcp excluded-address 192.168.178.1
ip dhcp excluded-address 10.0.0.1 10.0.0.254
ip dhcp excluded-address 10.0.2.1 10.0.254.254
!
ip dhcp pool MANAGEMENT
 network 10.99.99.0 255.255.255.0
 default-router 10.99.99.1
 dns-server 8.8.8.8 1.1.1.1
!
ip dhcp pool FIREWIZZ_DHCP
 import all
 network 10.0.0.0 255.255.0.0
 default-router 10.0.0.1
 dns-server 10.0.0.1 1.1.1.1 8.8.8.8
 option 60 ascii IPTV_RG
 option 28 ip 10.0.255.255
 address 10.0.1.201 hardware-address 58f3.8704.4547
 address 10.0.1.46 hardware-address ec2e.986c.adb4
!
ip dhcp pool GUEST_DHCP
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 1.1.1.1 8.8.8.8
!
!
!
ip igmp snooping querier
ip igmp snooping vlan 10 immediate-leave
login on-success log
ipv6 unicast-routing
!
!
!
!
!
!
!
subscriber templating
!
!
!
!
vtp version 1
!
multilink bundle-name authenticated
!
!
!
!
no license feature hseck9
license udi pid C1121-8P sn FCZ2852R0Z4
license boot level securityk9
memory free low-watermark processor 65995
!
!
!
!
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
!
!
!
redundancy
 mode none
!
!
!
vlan internal allocation policy ascending
!
!
class-map match-any CLASS_VLAN20
 match access-group name ACL_VLAN20
class-map match-any IGMP-UPSTREAM
 match access-group name IGMP-UPSTREAM-ACL
!
policy-map POLICY_VLAN20_LIMIT
 class CLASS_VLAN20
  police 25000000 625000 conform-action transmit  exceed-action drop
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0/0
 description MAIN_WAN_CONNECTION_KPN
 mtu 1512
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 negotiation auto
!
interface GigabitEthernet0/0/0.4
 description KPN-IPTV-VLAN
 encapsulation dot1Q 4
 no ip dhcp client request domain-name
 no ip dhcp client request dns-nameserver
 ip dhcp client request classless-static-route
 ip dhcp client class-id IPTV_RG
 ip dhcp client default-router distance 255
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim sparse-mode
 ip nat outside
 ip igmp query-interval 125
 ip igmp proxy-service
 no cdp enable
!
interface GigabitEthernet0/0/0.6
 description KPN_INTERNET
 encapsulation dot1Q 6
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 pppoe enable group global
 pppoe-client dial-pool-number 1
 pppoe-client ppp-max-payload 1500
!
interface GigabitEthernet0/0/0.7
 description KPN_VOIP_WAN
 encapsulation dot1Q 7
 ip address dhcp
 ip nat outside
 shutdown
!
interface GigabitEthernet0/0/1
 no ip address
 negotiation auto
!
interface GigabitEthernet0/1/5
 description IPTV_KPN_STB
 switchport access vlan 10
 switchport mode access
!
!
interface Vlan1
 ip address 192.168.2.1 255.255.255.0
 shutdown
!
interface Vlan10
 description Firewizz-Network
 ip dhcp relay information trusted
 ip address 10.0.0.1 255.255.0.0
 no ip redirects
 ip pim sparse-mode
 ip nat inside
 ip access-group ACL_FIREWIZZ_NETWORK_IN in
 ip igmp helper-address 213.75.119.1
 ip igmp mroute-proxy GigabitEthernet0/0/0.4
 ip igmp proxy-service
!
interface Vlan20
 description GUEST_NETWORK
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip access-group ACL_GUEST_NETWORK_IN in
 service-policy output POLICY_VLAN20_LIMIT
!
interface Vlan99
 ip address 10.99.99.1 255.255.255.0
!
interface Dialer1
 ip ddns update hostname home.firewizz.dev
 ip ddns update DYNDNS
 ip address negotiated
 ip nat outside
 ip access-group ACL_WAN_IN in
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 ppp chap hostname kpn
 ppp chap password 7 000F0308
!
ip local pool VPN-POOL 10.0.99.1 10.0.99.254
no ip http server
ip http authentication local
no ip http secure-server
ip forward-protocol nd
ip pim rp-address 213.75.119.1
ip dns server
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 10.0.0.10 80 interface Dialer1 8080
ip nat inside source static udp 10.0.0.10 80 interface Dialer1 8080
ip nat inside source static tcp 10.0.0.11 8123 interface Dialer1 8123
ip nat inside source list ACL_IPTV_NAT interface GigabitEthernet0/0/0.4 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 213.75.112.0 255.255.248.0 GigabitEthernet0/0/0.4 dhcp
ip ssh version 2
!
!
ip access-list extended ACL_FIREWIZZ_NETWORK_IN
 5 permit udp any any eq domain
 9 permit ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
 10 permit ip 10.0.0.0 0.0.255.255 any
 11 permit ip any host 224.0.0.18
 12 permit ip any host 224.0.0.1
 13 permit ip any host 224.0.0.251
 15 permit igmp any any
 16 permit udp any any range 1024 65535
 17 permit pim any any
 20 permit tcp any any established
 30 permit ip any 10.0.0.0 0.255.255.255
 40 permit icmp any any echo
 50 permit tcp any host 10.0.0.11 eq 8123
 100 deny ip any any log
ip access-list extended ACL_GUEST_NETWORK_IN
 5 permit udp any any eq domain
 10 permit ip 192.168.1.0 0.0.0.255 any
 20 permit tcp any any established
 30 deny ip any 10.0.0.0 0.0.255.255 log
 40 deny ip any 10.99.99.0 0.0.0.255 log
 100 deny ip any any log
ip access-list extended ACL_IPTV_NAT
 10 permit ip 10.0.0.0 0.0.255.255 213.75.112.0 0.0.7.255
 20 permit ip 10.0.0.0 0.0.255.255 217.166.0.0 0.0.255.255
 30 permit ip 10.0.0.0 0.0.255.255 10.59.184.0 0.0.7.255
ip access-list extended ACL_VLAN20
 10 permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended ACL_WAN_IN
 10 permit tcp any any established
 11 permit icmp any any echo-reply
 12 permit icmp any any time-exceeded
 13 permit icmp any any unreachable
 15 permit tcp any any eq 22
 20 permit tcp any host 10.0.0.10 eq www
 21 permit udp any host 10.0.0.10 eq 80
 23 permit tcp any host 10.0.0.11 eq 8123
 30 permit udp any host 10.0.0.10 eq 8080
 31 permit tcp any host 10.0.0.10 eq 8080
 32 permit udp any any eq 8080
 33 permit tcp any any eq 8080
 34 permit tcp any any eq 8123
 50 permit ip any any
 90 permit udp any any eq isakmp
 91 permit udp any any eq non500-isakmp
 92 permit esp any any
 100 deny ip any any log
ip access-list extended IGMP-UPSTREAM-ACL
 10 permit igmp any any
!
ip access-list standard 1
 10 permit 10.0.0.0 0.0.255.255
ip access-list extended 150
 10 permit ip any host 213.75.119.1
ipv6 route ::/0 Dialer1
!
!
!
!
!
ipv6 access-list BLOCK-IPV6
 sequence 10 deny ipv6 any any log
!
control-plane
!

zondag 23 februari 2025 14:14

Acties:

0 Henk 'm!

firewizz

Hier wat output:

code:

10.0.1.5        0002.9bf4.6339          Feb 24 2025 01:09 PM    Automatic  Active     Vlan10


FW-ROUTER#sh ip nat tra | in 10.0.1.5:
tcp  86.81.214.105:5074    10.0.1.5:43100        18.239.94.48:443      18.239.94.48:443
tcp  86.81.214.105:5135    10.0.1.5:35666        82.136.224.109:443    82.136.224.109:443
tcp  86.81.214.105:5081    10.0.1.5:53586        18.130.219.227:443    18.130.219.227:443
tcp  86.81.214.105:5193    10.0.1.5:48208        145.7.224.169:7547    145.7.224.169:7547
tcp  86.81.214.105:5128    10.0.1.5:40264        45.57.41.1:443        45.57.41.1:443
tcp  86.81.214.105:5172    10.0.1.5:43104        18.239.94.48:443      18.239.94.48:443
tcp  86.81.214.105:5182    10.0.1.5:35758        18.170.30.53:443      18.170.30.53:443
tcp  86.81.214.105:5185    10.0.1.5:35662        82.136.224.109:443    82.136.224.109:443
tcp  86.81.214.105:5125    10.0.1.5:45764        45.57.40.1:443        45.57.40.1:443
tcp  86.81.214.105:5120    10.0.1.5:37404        195.121.87.94:5223    195.121.87.94:5223
tcp  86.81.214.105:5190    10.0.1.5:40128        54.73.99.78:443       54.73.99.78:443
tcp  86.81.214.105:5178    10.0.1.5:56128        18.200.100.87:443     18.200.100.87:443
tcp  86.81.214.105:5076    10.0.1.5:37548        192.168.3.120:80      192.168.3.120:80
tcp  86.81.214.105:5120    10.0.1.5:37404        34.253.247.31:443     34.253.247.31:443
tcp  86.81.214.105:5180    10.0.1.5:56132        18.200.100.87:443     18.200.100.87:443
tcp  86.81.214.105:5168    10.0.1.5:49980        213.75.116.138:8443   213.75.116.138:8443
tcp  86.81.214.105:5191    10.0.1.5:53576        176.34.214.23:443     176.34.214.23:443
tcp  86.81.214.105:5068    10.0.1.5:43096        18.239.94.48:443      18.239.94.48:443
tcp  86.81.214.105:5189    10.0.1.5:54950        213.75.116.132:12687  213.75.116.132:12687
tcp  86.81.214.105:5157    10.0.1.5:37626        192.168.3.120:80      192.168.3.120:80
tcp  86.81.214.105:5063    10.0.1.5:43094        18.239.94.48:443      18.239.94.48:443
tcp  86.81.214.105:5186    10.0.1.5:37594        192.168.3.120:80      192.168.3.120:80
tcp  86.81.214.105:5192    10.0.1.5:48206        145.7.224.169:7547    145.7.224.169:7547
tcp  86.81.214.105:5165    10.0.1.5:49978        213.75.116.138:8443   213.75.116.138:8443
tcp  86.81.214.105:5179    10.0.1.5:56130        18.200.100.87:443     18.200.100.87:443
tcp  86.81.214.105:5124    10.0.1.5:55310        54.170.39.204:443     54.170.39.204:443
tcp  86.81.214.105:5129    10.0.1.5:35660        82.136.224.109:443    82.136.224.109:443
tcp  86.81.214.105:5197    10.0.1.5:54752        195.121.75.18:443     195.121.75.18:443
tcp  86.81.214.105:5080    10.0.1.5:32850        18.239.83.49:443      18.239.83.49:443
tcp  86.81.214.105:5078    10.0.1.5:39288        18.239.50.24:443      18.239.50.24:443
tcp  86.81.214.105:5133    10.0.1.5:37628        192.168.3.120:80      192.168.3.120:80
udp  86.81.214.105:8058    10.0.1.5:43596        213.75.85.245:123     213.75.85.245:123
tcp  86.81.214.105:5195    10.0.1.5:37618        192.168.3.120:80      192.168.3.120:80
tcp  86.81.214.105:5171    10.0.1.5:43102        18.239.94.48:443      18.239.94.48:443
tcp  86.81.214.105:5134    10.0.1.5:45878        54.195.14.93:443      54.195.14.93:443
tcp  86.81.214.105:5087    10.0.1.5:58132        3.69.240.64:443       3.69.240.64:443
tcp  86.81.214.105:5123    10.0.1.5:37622        192.168.3.120:80      192.168.3.120:80
tcp  86.81.214.105:5183    10.0.1.5:40438        54.217.127.99:80      54.217.127.99:80
tcp  86.81.214.105:5073    10.0.1.5:43098        18.239.94.48:443      18.239.94.48:443
tcp  86.81.214.105:5184    10.0.1.5:39772        52.17.194.35:12686    52.17.194.35:12686
udp  86.81.214.105:8059    10.0.1.5:58623        213.75.85.245:123     213.75.85.245:123
tcp  86.81.214.105:5174    10.0.1.5:56072        18.200.100.87:443     18.200.100.87:443
tcp  86.81.214.105:5084    10.0.1.5:32856        18.239.83.49:443      18.239.83.49:443
tcp  86.81.214.105:5121    10.0.1.5:53344        18.171.236.157:443    18.171.236.157:443
tcp  86.81.214.105:5181    10.0.1.5:56134        18.200.100.87:443     18.200.100.87:443
tcp  86.81.214.105:5187    10.0.1.5:40274        45.57.41.1:443        45.57.41.1:443
tcp  86.81.214.105:5188    10.0.1.5:60742        54.246.58.140:443     54.246.58.140:443
tcp  86.81.214.105:5196    10.0.1.5:54968        213.75.116.132:12687  213.75.116.132:12687

Lijkt er op dat al het nat verkeer over mijn dialer gaat...

FW-ROUTER#sh ip mroute
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
       L - Local, P - Pruned, R - RP-bit set, F - Register flag,
       T - SPT-bit set, J - Join SPT, M - MSDP created entry, E - Extranet,
       X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
       U - URD, I - Received Source Specific Host Report,
       Z - Multicast Tunnel, z - MDT-data group sender,
       Y - Joined MDT-data group, y - Sending to MDT-data group,
       G - Received BGP C-Mroute, g - Sent BGP C-Mroute,
       N - Received BGP Shared-Tree Prune, n - BGP C-Mroute suppressed,
       Q - Received BGP S-A Route, q - Sent BGP S-A Route,
       V - RD & Vector, v - Vector, p - PIM Joins on route,
       x - VxLAN group, c - PFP-SA cache created entry,
       * - determined by Assert, # - iif-starg configured on rpf intf,
       e - encap-helper tunnel flag, l - LISP decap ref count contributor
Outgoing interface flags: H - Hardware switched, A - Assert winner, p - PIM Join
                          t - LISP transit group
 Timers: Uptime/Expires
 Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 239.255.255.250), 00:06:42/stopped, RP 213.75.119.1, flags: SJCF
  Incoming interface: GigabitEthernet0/0/0.4, RPF nbr 10.233.220.1
  Outgoing interface list:
    Vlan10, Forward/Sparse, 00:06:42/00:02:41, flags:

(10.0.1.5, 239.255.255.250), 00:02:34/00:00:24, flags: PFT
  Incoming interface: Vlan10, RPF nbr 0.0.0.0, Registering
  Outgoing interface list: Null

(10.0.1.9, 239.255.255.250), 00:05:42/00:01:20, flags: PFT
  Incoming interface: Vlan10, RPF nbr 0.0.0.0, Registering
  Outgoing interface list: Null

(10.0.0.255, 239.255.255.250), 00:06:11/00:00:41, flags: PFT
  Incoming interface: Vlan10, RPF nbr 0.0.0.0, Registering
  Outgoing interface list: Null

(10.0.1.1, 239.255.255.250), 00:06:20/00:01:30, flags: PFT
  Incoming interface: Vlan10, RPF nbr 0.0.0.0, Registering
  Outgoing interface list: Null

(10.0.0.11, 239.255.255.250), 00:06:27/00:00:38, flags: PFT
  Incoming interface: Vlan10, RPF nbr 0.0.0.0, Registering
  Outgoing interface list: Null

(10.0.1.10, 239.255.255.250), 00:06:36/00:02:38, flags: PFT
  Incoming interface: Vlan10, RPF nbr 0.0.0.0, Registering
  Outgoing interface list: Null

(*, 224.0.250.64), 00:06:41/stopped, RP 213.75.119.1, flags: SJC
  Incoming interface: GigabitEthernet0/0/0.4, RPF nbr 10.233.220.1
  Outgoing interface list:
    Vlan10, Forward/Sparse, 00:06:41/00:02:17, flags:

(195.121.94.212, 224.0.250.64), 00:02:37/00:00:22, flags: J
  Incoming interface: Null, RPF nbr 0.0.0.0
  Outgoing interface list:
    Vlan10, Forward/Sparse, 00:02:37/00:02:17, flags:

(*, 224.0.252.136), 00:06:35/00:02:45, RP 213.75.119.1, flags: SP
  Incoming interface: GigabitEthernet0/0/0.4, RPF nbr 10.233.220.1
  Outgoing interface list: Null

(*, 224.0.252.137), 00:05:40/00:00:19, RP 213.75.119.1, flags: SJPC
  Incoming interface: GigabitEthernet0/0/0.4, RPF nbr 10.233.220.1
  Outgoing interface list: Null

(*, 224.0.252.138), 00:03:19/stopped, RP 213.75.119.1, flags: SJC
  Incoming interface: GigabitEthernet0/0/0.4, RPF nbr 10.233.220.1
  Outgoing interface list:
    Vlan10, Forward/Sparse, 00:02:22/00:02:25, flags:

(217.166.226.138, 224.0.252.138), 00:00:19/00:02:40, flags: J
  Incoming interface: Null, RPF nbr 0.0.0.0
  Outgoing interface list:
    GigabitEthernet0/0/0.4, Forward/Sparse, 00:00:19/00:02:40, flags:
    Vlan10, Forward/Sparse, 00:00:19/00:02:40, flags:

(*, 224.0.252.135), 00:03:20/00:02:39, RP 213.75.119.1, flags: SJPC
  Incoming interface: GigabitEthernet0/0/0.4, RPF nbr 10.233.220.1
  Outgoing interface list: Null

(*, 224.0.1.40), 00:06:42/00:02:18, RP 213.75.119.1, flags: SJCL
  Incoming interface: GigabitEthernet0/0/0.4, RPF nbr 10.233.220.1
  Outgoing interface list:
    Vlan10, Forward/Sparse, 00:06:42/00:02:18, flags:

(*, 224.0.1.187), 00:05:39/00:02:17, RP 213.75.119.1, flags: SJC
  Incoming interface: GigabitEthernet0/0/0.4, RPF nbr 10.233.220.1
  Outgoing interface list:
    Vlan10, Forward/Sparse, 00:05:39/00:02:17, flags:

zondag 23 februari 2025 14:43

Acties:

0 Henk 'm!

firewizz

Ok mensen, het is gelukt..

Probleem was de order van NAT, ik kon dit niet aanpassen, uiteindelijk de internet nat een extended list gemaakt en de kpn adressenreeks uitgesloten.

nu de volgende config. Hij werkt, maar nog suggesties?

code:

version 17.9
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
service call-home
platform qfp utilization monitor load 80
platform punt-keepalive disable-kernel-core
platform hardware throughput crypto 50000
!
hostname FW-ROUTER
!
boot-start-marker
boot system flash bootflash:/c1100-universalk9.17.09.05a.SPA.bin
boot-end-marker
!
!
logging buffered 16384
logging persistent size 200000 filesize 10000
no logging console
no logging monitor
aaa new-model
!
!
aaa authentication login VPN-AUTH local
aaa authentication login SSH-AUTH local
aaa authorization exec SSH-AUTH local
aaa authorization network VPN-AUTH local
!
!
aaa session-id common
!
ip multicast-routing distributed
!
!
!
!
!
!
ip name-server 1.1.1.1 8.8.8.8
ip dhcp relay information option
ip dhcp relay information trust-all
ip dhcp snooping vlan 10,20,99
ip dhcp snooping
ip dhcp excluded-address 192.168.1.1 192.168.1.9
ip dhcp excluded-address 192.168.178.1
ip dhcp excluded-address 10.0.0.1 10.0.0.254
ip dhcp excluded-address 10.0.2.1 10.0.254.254
!
ip dhcp pool MANAGEMENT
 network 10.99.99.0 255.255.255.0
 default-router 10.99.99.1
 dns-server 8.8.8.8 1.1.1.1
!
ip dhcp pool FIREWIZZ_DHCP
 import all
 network 10.0.0.0 255.255.0.0
 default-router 10.0.0.1
 dns-server 10.0.0.1 1.1.1.1 8.8.8.8
 option 60 ascii IPTV_RG
 option 28 ip 10.0.255.255
 address 10.0.1.201 hardware-address 58f3.8704.4547
 address 10.0.1.46 hardware-address ec2e.986c.adb4
!
ip dhcp pool GUEST_DHCP
 network 192.168.1.0 255.255.255.0
 default-router 192.168.1.1
 dns-server 1.1.1.1 8.8.8.8
!
!
!
ip igmp snooping querier
ip igmp snooping vlan 10 immediate-leave
login on-success log
ipv6 unicast-routing
!
!
!
!
!
!
!
subscriber templating
!
!
!
!
vtp version 1
!
multilink bundle-name authenticated
!
!
!
!
no license feature hseck9
license udi pid C1121-8P sn FCZ2852R0Z4
license boot level securityk9
memory free low-watermark processor 65995
!
!
!
!
!
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
!
!
!
redundancy
 mode none
!
!
!
vlan internal allocation policy ascending
!
!
class-map match-any CLASS_VLAN20
 match access-group name ACL_VLAN20
class-map match-any IGMP-UPSTREAM
 match access-group name IGMP-UPSTREAM-ACL
!
policy-map POLICY_VLAN20_LIMIT
 class CLASS_VLAN20
  police 25000000 625000 conform-action transmit  exceed-action drop
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0/0
 description MAIN_WAN_CONNECTION_KPN
 mtu 1512
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 negotiation auto
!
interface GigabitEthernet0/0/0.4
 description KPN-IPTV-VLAN
 encapsulation dot1Q 4
 no ip dhcp client request domain-name
 no ip dhcp client request dns-nameserver
 ip dhcp client request classless-static-route
 ip dhcp client class-id IPTV_RG
 ip dhcp client default-router distance 255
 ip address dhcp
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim sparse-mode
 ip nat outside
 ip igmp query-interval 125
 ip igmp proxy-service
 no cdp enable
!
interface GigabitEthernet0/0/0.6
 description KPN_INTERNET
 encapsulation dot1Q 6
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 pppoe enable group global
 pppoe-client dial-pool-number 1
 pppoe-client ppp-max-payload 1500
!
interface GigabitEthernet0/0/0.7
 description KPN_VOIP_WAN
 encapsulation dot1Q 7
 ip address dhcp
 ip nat outside
 shutdown
!
interface GigabitEthernet0/0/1
 no ip address
 negotiation auto
!
interface GigabitEthernet0/1/5
 description IPTV_KPN_STB
 switchport access vlan 10
 switchport mode access
!
!
interface Vlan1
 ip address 192.168.2.1 255.255.255.0
 shutdown
!
interface Vlan10
 description Firewizz-Network
 ip dhcp relay information trusted
 ip address 10.0.0.1 255.255.0.0
 no ip redirects
 ip pim sparse-mode
 ip nat inside
 ip access-group ACL_FIREWIZZ_NETWORK_IN in
 ip igmp helper-address 213.75.119.1
 ip igmp mroute-proxy GigabitEthernet0/0/0.4
 ip igmp proxy-service
!
interface Vlan20
 description GUEST_NETWORK
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip access-group ACL_GUEST_NETWORK_IN in
 service-policy output POLICY_VLAN20_LIMIT
!
interface Vlan99
 ip address 10.99.99.1 255.255.255.0
!
interface Dialer1
 ip ddns update hostname home.firewizz.dev
 ip ddns update DYNDNS
 ip address negotiated
 ip nat outside
 ip access-group ACL_WAN_IN in
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 ppp chap hostname kpn
 ppp chap password 7 000F0308
!
ip local pool VPN-POOL 10.0.99.1 10.0.99.254
no ip http server
ip http authentication local
no ip http secure-server
ip forward-protocol nd
ip pim rp-address 213.75.119.1
ip dns server
ip nat inside source static tcp 10.0.0.10 80 interface Dialer1 8080
ip nat inside source static udp 10.0.0.10 80 interface Dialer1 8080
ip nat inside source static tcp 10.0.0.11 8123 interface Dialer1 8123
ip nat inside source list ACL_IPTV_NAT interface GigabitEthernet0/0/0.4 overload
ip nat inside source list WAN-INTERNET-OUT-ACL interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 213.75.112.0 255.255.248.0 GigabitEthernet0/0/0.4 dhcp
ip ssh version 2
!
!
ip access-list extended ACL_FIREWIZZ_NETWORK_IN
 5 permit udp any any eq domain
 9 permit ip 10.0.0.0 0.0.255.255 10.0.0.0 0.0.255.255
 10 permit ip 10.0.0.0 0.0.255.255 any
 11 permit ip any host 224.0.0.18
 12 permit ip any host 224.0.0.1
 13 permit ip any host 224.0.0.251
 15 permit igmp any any
 16 permit udp any any range 1024 65535
 17 permit pim any any
 20 permit tcp any any established
 30 permit ip any 10.0.0.0 0.255.255.255
 40 permit icmp any any echo
 50 permit tcp any host 10.0.0.11 eq 8123
 100 deny ip any any log
ip access-list extended ACL_GUEST_NETWORK_IN
 5 permit udp any any eq domain
 10 permit ip 192.168.1.0 0.0.0.255 any
 20 permit tcp any any established
 30 deny ip any 10.0.0.0 0.0.255.255 log
 40 deny ip any 10.99.99.0 0.0.0.255 log
 100 deny ip any any log
ip access-list extended ACL_IPTV_NAT
 10 permit ip 10.0.0.0 0.0.255.255 213.75.112.0 0.0.7.255
 20 permit ip 10.0.0.0 0.0.255.255 217.166.0.0 0.0.255.255
 30 permit ip 10.0.0.0 0.0.255.255 10.59.184.0 0.0.7.255
ip access-list extended ACL_VLAN20
 10 permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended ACL_WAN_IN
 10 permit tcp any any established
 11 permit icmp any any echo-reply
 12 permit icmp any any time-exceeded
 13 permit icmp any any unreachable
 15 permit tcp any any eq 22
 20 permit tcp any host 10.0.0.10 eq www
 21 permit udp any host 10.0.0.10 eq 80
 23 permit tcp any host 10.0.0.11 eq 8123
 30 permit udp any host 10.0.0.10 eq 8080
 31 permit tcp any host 10.0.0.10 eq 8080
 32 permit udp any any eq 8080
 33 permit tcp any any eq 8080
 34 permit tcp any any eq 8123
 50 permit ip any any
 90 permit udp any any eq isakmp
 91 permit udp any any eq non500-isakmp
 92 permit esp any any
 100 deny ip any any log
ip access-list extended IGMP-UPSTREAM-ACL
 10 permit igmp any any
!
ip access-list extended WAN-INTERNET-OUT-ACL
 10 permit ip 10.0.0.0 0.0.255.255 any
 20 deny ip 10.0.0.0 0.0.255.255 213.75.112.0 0.0.7.255
 30 deny ip 10.0.0.0 0.0.255.255 217.166.0.0 0.0.255.255
 40 deny ip 10.0.0.0 0.0.255.255 10.59.184.0 0.0.7.255
 !
ip access-list standard 1
 10 permit 10.0.0.0 0.0.255.255
ip access-list extended 150
 10 permit ip any host 213.75.119.1
ipv6 route ::/0 Dialer1
!
!
!
!
!
ipv6 access-list BLOCK-IPV6
 sequence 10 deny ipv6 any any log
!
control-plane
!

zondag 23 februari 2025 15:22

Acties:

0 Henk 'm!

Tozz

firewizz schreef op zondag 23 februari 2025 @ 13:54:
@Tozz
Vraagje, in je werkende setup zie ik geen dhcp pool, welke config gebruik je voor je vlan 1 pool?

Voor mijn interne netwerk is een Linux doos mijn DHCP server. De Cisco doet dus geen DHCPd.

zondag 23 februari 2025 15:24

Acties:

0 Henk 'm!

Tozz

Helaas nog hetzelfde resultaat. alleen de free kanalen en geen betaalde.

Ik denk niet dat dat aan je Cisco config ligt. Multicast is multicast. Als je de vrije kanalen wel kan benaderen dan is je multicast setup in orde. Het enige verschil tussen de zenders is een ander multicast adres.

Als je een KPN ITV+ kastje hebt (gebaseerd op Android) dan moet 't zelfs zonder multicast werken (je ziet dan 'Live' ipv 'LIVE' bij de zender staan. Zonder hoofdletters is unicast met lagere bitrate)

Lijkt me dan eerder iets mis met je abonnement?

zondag 23 februari 2025 15:38

Acties:

0 Henk 'm!

firewizz

Mijn kastje is not niet de andoid versie. dit is nog de arris vip 5202.

Maar ik heb wel iets te vroeg gejuigt denk ik. Tv werkt, krijgt nu ook beide tv's maar;
- Stream stop soms willekeurig. +- 5 tot 7 minuten na openen kanaal;
- Terugkijken en opgenomen dingen terugkijken werkt niet.
Is dit een andere kpn reeks?

zondag 23 februari 2025 18:27

Acties:

0 Henk 'm!

firewizz

Dus multicast lijkt wel te werken maar unicast niet

Ook blijft zo nu en dan de stram even vastlopen.

Ik heb wel een berg NAT translations:

code:

FW-ROUTER#sh ip nat tra | in 10.0.1.0:
udp  10.233.223.250:5062   10.0.1.0:40096        213.75.117.138:50275  213.75.117.138:50275
icmp 10.233.223.250:1      10.0.1.0:0            213.75.113.74:0       213.75.113.74:1
tcp  86.81.214.105:5107    10.0.1.0:50004        34.251.71.161:8883    34.251.71.161:8883
tcp  10.233.223.250:5065   10.0.1.0:50706        213.75.113.74:554     213.75.113.74:554
udp  10.233.223.250:5064   10.0.1.0:46583        213.75.117.138:7277   213.75.117.138:7277
tcp  10.233.223.250:5062   10.0.1.0:33802        213.75.113.10:554     213.75.113.10:554
udp  10.233.223.250:5067   10.0.1.0:3561         213.75.113.74:10002   213.75.113.74:10002
udp  10.233.223.250:5063   10.0.1.0:40349        213.75.117.138:50274  213.75.117.138:50274
tcp  86.81.214.105:5156    10.0.1.0:35334        18.200.100.87:443     18.200.100.87:443
tcp  10.233.223.250:5064   10.0.1.0:50704        213.75.113.74:554     213.75.113.74:554
udp  10.233.223.250:5069   10.0.1.0:5065         213.75.113.74:10000   213.75.113.74:10000
udp  86.81.214.105:6034    10.0.1.0:39012        213.75.60.246:123     213.75.60.246:123
tcp  86.81.214.105:5157    10.0.1.0:35336        18.200.100.87:443     18.200.100.87:443
udp  10.233.223.250:5070   10.0.1.0:5067         213.75.113.74:10002   213.75.113.74:10002
udp  10.233.223.250:5068   10.0.1.0:3562         213.75.113.74:10003   213.75.113.74:10003
udp  10.233.223.250:5065   10.0.1.0:3559         213.75.113.74:10000   213.75.113.74:10000
tcp  10.233.223.250:5063   10.0.1.0:53476        213.75.116.140:80     213.75.116.140:80
udp  10.233.223.250:5066   10.0.1.0:3560         213.75.113.74:10001   213.75.113.74:10001
FW-ROUTER#

maandag 24 februari 2025 09:25

Acties:

0 Henk 'm!

firewizz

@Tozz

Nog een vraagje, wat heb jij betreffende NAT en routing moeten toevoegen?

Ik zie namelijk in jou voorbeeldconfig alleen:
ip nat inside source list 1 interface Dialer1 overload

Maar ik moest ook
ip nat inside source list ACL_IPTV_NAT interface GigabitEthernet0/0/0.4 overload

ip access-list extended ACL_IPTV_NAT
10 permit ip 10.0.0.0 0.0.255.255 213.75.112.0 0.0.7.255

Om iig de multicast werkend te krijgen. (betaalde kanalen).

En heb jij nog de oude (niet android) STB's?

maandag 24 februari 2025 20:23

Acties:

0 Henk 'm!

tvleeuwen

Heb het draaien op een Arcadyan HMB2280, alle opties werken tot nu toe.
IPTV IP adres van 10.0.13.6, deze valt in de zelfde range als jouw lokale netwerk 10.0.0.0/16.

maar daar valt de gene die jij hebt weer niet in, 10.233.223.250.

kan je testen als je een apart vlan aanmaakt voor IPTV in de 192.168.x.x/24 range, om overlap uit te sluiten?

dinsdag 25 februari 2025 13:24

Acties:

0 Henk 'm!

Tozz

Scherp opgemerkt ! Firewizz lijkt inderdaad duplicate IP subnets te hebben.

dinsdag 25 februari 2025 13:27

Acties:

0 Henk 'm!

firewizz

Goed gezien, ik zal dat nog eens nakijken.

Echter heb ik ook mijn abo verlengt en krijg ik vandaag nieuwe STB kastjes, deze zijn dan de nieuwe android.
Ik verwacht dat dat makkelijker gaat.

Ik houd jullie op de hoogte

maandag 10 maart 2025 14:48

Acties:

0 Henk 'm!

firewizz

Nou, ik heb het dus nu werkend. Uiteindelijk was de toevoeging van 'extended' op de NAT regel nodig.

code:

1	ip nat inside source list NAT-IPTV-KPN interface GigabitEthernet0/0/0.4 overload extended

maandag 9 juni 2025 13:15

Acties:

+1 Henk 'm!

SilTelsa

Het commando "ip tcp adjust-mss 1452" onder de dialer is niet perse meer nodig.

Zo werkt het nu op een 892. 1500 MTU op de dialer interface

code:

interface GigabitEthernet8
 mtu 1512
...


interface GigabitEthernet8.6
 ip mtu 1508
 pppoe-client ppp-max-payload 1500
...


interface Dialer0
mtu 1500 (default)
no ip tcp adjust-mss 1452 (als je die erop had staan)
...

dinsdag 10 juni 2025 12:01

Acties:

0 Henk 'm!

ExoRRSmits

Topicstarter

Dat klopt inderdaad

Voor de gene die zich afvragen, hierbij de rekensom:
1512 - 4 (voor het VLAN) = 1508 - 8 (voor PPP) blijf er 1500 over.

Ik de Cisco IOS-XE inmiddels alweer vervangen
(mocht iemand geïnteresseerd zijn, sta altijd open voor een leuk overname prijsje)
Het is een Cisco C1111-8PLTE (Dual SIM mogelijkheid) incl 19" rack en 1G SFP om gelijk GOF verbinding thuis op de router aan te sluiten.

Pagina: 1

Reageer

Onderwerpen