Pfsense og T-We fra Telenor

[Empty]

Jeg har i helgen gått over til Telenor fiber og fått det meste til å fungere med min Pfsense boks.

For å få T-We tjenestene til å virke så måtte jeg åpne endel portet osv. men fortsatt så fungerer ikke Ukesarkiv og Start Forfra. Går ut ifra at det må åpner et par porter til, men har enda ikke funnet ut hvilke. Tok kontakt med Telenor for høre om de hadde noe å bidra med, men det hadde de ikke.

Fulgte denne guiden for å få T-We til fungere:
https://forum.netgate.com/topic/110654/pfsense-med-fiber-fra-telenor-og-t-we-fra-canal-digital-iptv

Er det noen som kan hjelpe meg med å få Ukesarkiv og Start Forfra til å virke?

[NULL]

Letteste vil være å aktivere UPnP i Pfsense, slik at T-We-boksen åpner opp portene den trenger selv.

[Empty]

Det er helt klart, men dette utgjør en risiko og det ønsker jeg ikke.

[Empty]

Prøvde å åpne UPnP bare for å teste, men det virket dessverre ikke.

[NULL]

1 hour ago, Empty said:

Prøvde å åpne UPnP bare for å teste, men det virket dessverre ikke.

Kjenner lite til pfsense, men i praksis skal det bare være at man trenger å ha UPnP aktivert for at dette skal fungere hvis man ser på guidene som er for en del typer andre rutere (Ubiquti SG, Mikrotik o.l. som har litt mer avansert oppsett). Vet ikke om det evt. er satt noen restriksjoner på trafikktype her. Det må være tillatt for UDP-trafikk på porten som UPnP åpner mot dekoderen.

Vet ikke heller her om pfsense skiller mellom UPnP-IGD og intern UPnP-trafikk/andre UPnP-tjenester på ruteren. Siden multicast ellers fungerer for deg, skulle SSDP ellers fungere for UPnP (multicast-basert).

[Rim]

Du kjører på kabel/coax regner jeg med? Kjører med pfSense og T-We (den første boksen, ikke android TV) selv, men da over fiber og trenger ikke åpne for noe som helst men når jeg tenker meg om så har jeg enablet både Enable UPnP & NAT-PMP og Allow UPnP Port Mapping.

Sikkerhetsrisikoen er ikke enorm. Dersom du har malicious sw som kan enable upnp porter så kan de like enkelt kjøre en utgående xmpp, mqtt e.l. connection og da står døra di åpen uansett.

[NULL]

4 hours ago, Rim said:

Du kjører på kabel/coax regner jeg med? Kjører med pfSense og T-We (den første boksen, ikke android TV) selv, men da over fiber og trenger ikke åpne for noe som helst men når jeg tenker meg om så har jeg enablet både Enable UPnP & NAT-PMP og Allow UPnP Port Mapping.

Sikkerhetsrisikoen er ikke enorm. Dersom du har malicious sw som kan enable upnp porter så kan de like enkelt kjøre en utgående xmpp, mqtt e.l. connection og da står døra di åpen uansett.

Med tanke på linken, er det snakk om IPTV. Da er man avhengig av UPnP for at Ukesarkiv og Start Forfra skal fungere..

[Rim]

Ja, nå glemte jeg også at vi har coax her, så vi har sikkert en head-end i kjellern så hele oppsettet vårt er vel ganske spesielt. Dvs. Internett på fiber, TV på coax og STB trenger begge deler da den får krypto-nøkler over internett så vidt jeg forstår. Kan også være at det går ucast over internett-linja. 

[NULL]

8 hours ago, Rim said:

Ja, nå glemte jeg også at vi har coax her, så vi har sikkert en head-end i kjellern så hele oppsettet vårt er vel ganske spesielt. Dvs. Internett på fiber, TV på coax og STB trenger begge deler da den får krypto-nøkler over internett så vidt jeg forstår. Kan også være at det går ucast over internett-linja. 

I praksis er det vel at RF-signalet sendes på fiberen på en annen bølgelengde. Ikke så spesielt. Gjerne referert til som RF-Overlay. Telenor har noen fiberkunder med den løsningen, mens andre har IPTV via multicast.

Strengt tatt klarer STB-en seg med bare rf-signalet for lineær, men er en del tjenester man da mister - som du sier, det som går på unicast, samt apper for tredjepartstjenester.

Vet ikke hva OP her kjører pfsense på eller hva mulighetene i pfsense er. Teori her kunne vært at man segmenterte nettet sitt, og hadde upnp-igd tilgjengelig for nettet som dekoderen står på.

[Empty]

Tok rett og slett og installerte Pfsense på en fysisk maskin for i går, satte opp de samme reglene og enablet UPnP og nå funker det!

Tror nok jeg heller oppretter et VLAN for dekoderen og enabler UPnP der istedet.

Det store problemet nå er at jeg til tider får pixelering i bilde. Ser ut som om det er verst med en gang jeg starter dekoderen, men fortsatt veldig irriterende!

Endret 10. februar 2020 av Empty

[NULL]

16 hours ago, Empty said:

Tok rett og slett og installerte Pfsense på en fysisk maskin for i går, satte opp de samme reglene og enablet UPnP og nå funker det!

Tror nok jeg heller oppretter et VLAN for dekoderen og enabler UPnP der istedet.

Det store problemet nå er at jeg til tider får pixelering i bilde. Ser ut som om det er verst med en gang jeg starter dekoderen, men fortsatt veldig irriterende!

Bør kanskje også sjekke hva som skjer hvis du kjører noen opptak sammen med live-tv. Er det ellers noen svitsjer inne i bildet her?

 

[Empty]

NULL skrev (13 minutter siden):

Bør kanskje også sjekke hva som skjer hvis du kjører noen opptak sammen med live-tv. Er det ellers noen svitsjer inne i bildet her?

 

Kjører ingen opptak. Har en Zyxel GS1900 hvor IGMP snooping er skrudd på. 

[NULL]

Just now, Empty said:

Kjører ingen opptak. Har en Zyxel GS1900 hvor IGMP snooping er skrudd på. 

Tenkte at det fort kunne bli enda mer pakketap med opptak, ettersom det vil være mer multicast-trafikk.

[xExodusx]

Tenkte jeg ville dele informasjonen med andre som kanskje sliter med samme problem

Jeg fikk enkelt bilde opp, samt tv guide og ukesarkiv/start forfra til å virke, men bildet stoppet hvert 4minutt etter å ha fulgt guiden over

limte inn hva jeg skrev i en annen post på pfsense forumet etter å ha fulgt guiden over:

Hei, jeg hadde akkurat det samme problemet når jeg testet pfsense på gammel hw som brukte en blanding av realtek og marvel nettverkskort, da stoppet bildet hvert 4 minutt grunnen til det var at tv tuneren aldri fikk svart på pakken fra Telenor som sier "skal du fortsette å se på denne kanalen"

min løsning var å aktivere "promiscous mode" så virket det knirkefritt, har forklart det bedre i denne forumtråden

https://forum.netgate.com/topic/154048/problem-with-iptv-from-telenor/

[minim]

NULL skrev (På 4.2.2020 den 12.49):

Letteste vil være å aktivere UPnP i Pfsense, slik at T-We-boksen åpner opp portene den trenger selv.

Jeg forsøkte dette i går, men jeg fikk den kun til å legge til port 5500 en gang via UPnP.  Forsøkte å slette alle regler, starte pfsense på nytt og ta strømmen til boksen helt, men den assignet aldri UPnP porter igjen etterr denne første gangen. Endte med å åpne portene som var nevnt på netgate forumet og da virker det fint, men jeg er litt usikker på om alt trengs åpent for det er ikke noe trafikk på en del av portene. Jeg kunne tenkt meg å kjøre tv i et eget Vlan med UPnP for å slippe trøbbel ved fremtidige endringer hos telenor. Vet mange er kritiske til UPnP i brannmur sammenheng, men det er litt digg i et hjemmenett å slippe å plages med at telenor bytter rundt på noen porter ifbm oppdateringer f.eks. 

 

Legger ved skjermdump av oppsettet mitt om noen skulle trenge det. La merke til at FW blokkerte port 822 som også har mye trafikk så jeg la til den også for å få det til å virke, men den var ikke nevnt i netgate forum tråden. 

 

 

[NULL]

11 hours ago, minim said:

Jeg forsøkte dette i går, men jeg fikk den kun til å legge til port 5500 en gang via UPnP.  Forsøkte å slette alle regler, starte pfsense på nytt og ta strømmen til boksen helt, men den assignet aldri UPnP porter igjen etterr denne første gangen. Endte med å åpne portene som var nevnt på netgate forumet og da virker det fint, men jeg er litt usikker på om alt trengs åpent for det er ikke noe trafikk på en del av portene. Jeg kunne tenkt meg å kjøre tv i et eget Vlan med UPnP for å slippe trøbbel ved fremtidige endringer hos telenor. Vet mange er kritiske til UPnP i brannmur sammenheng, men det er litt digg i et hjemmenett å slippe å plages med at telenor bytter rundt på noen porter ifbm oppdateringer f.eks. 

 

Legger ved skjermdump av oppsettet mitt om noen skulle trenge det. La merke til at FW blokkerte port 822 som også har mye trafikk så jeg la til den også for å få det til å virke, men den var ikke nevnt i netgate forum tråden. 

Port 5500 (og 8000 så vidt jeg husker) brukes til multicast. Det er ikke her UPnP trengs. For portene som brukes til multicast, trenger man egentlig dem overhode når det er satt opp igmp-proxy her?

Ser du har 1900, 5353 og en del andre porter som er åpnet her. Skulle vel ikke være nødvendig. 822 her er jeg ikke helt sikker på hva brukes til. Du sier du har mye trafikk på denne - hvor kommer trafikken fra?

Hvis UPnP er aktivert, skulle man vel ikke trenge å åpne 5004 manuelt - UPnP vil åpne denne, eller en annen port i "området" hvis 5004 regnes som opptatt. Men det er mer enn bare åpning av port som UPnP-IGD ser ut til å brukes til, selv om man åpner noen porter manuelt, 

Ulempe med å sette dekoderen isolert i nettet vil være at T-We-appene ikke ser dekoderen, og man får beskjed i appen om at man ikke er hjemme på de kanalene o.l. som krever det.

[minim]

Port 5500 har 48Gb trafikk siden jeg satte dette opp i går så det går noe her. Jeg har satt opp igmp-proxy, men den brukes tydeligvis likevel. Det er nada dokumentasjon på T-we så jeg vet igrunnen ikke mer enn å åpne det som andre har funnet ut av samt se hva som blokkeres i brannmuren og må åpnes for å få det til å virke. 

Ser ikke nødvendig ut nei, men de var åpnet av de som hadde skrevet den tråden på netgate forumet så jeg åpnet dem bare og tenkte det kanskje var noe ifbm opptak eller appen deres. 822 har jeg mye trafikk på ja. 50.3Gb her siden i går. Det er noe UDP trafikk og det er generert av T-we boksen. IPene ser ut til å være relatert/i nærheten av de satt opp i igmp proxy også. 

Det jeg gjorde var å slette UPnP oppføringen, slette alle regler og starte både pfsense og boksen på nytt (flere ganger), men den førte ikke opp noen nye UPnP regler i det hele tatt. Det har ikke lagt seg noen nye UPnP oppføringer etter dette og jeg har nå åpnet det over for å få tven funksjonibel. 

Det tror jeg ikke gjør noe. Ingen av oss bruker app. Bruker aldri linær-TV lenger selv så har det for unga/samboer enn så lenge. Ryker nok ut så fort vi er ferdig med å få det med på kjøpet fra telenor i fiberpakka. 

 

[minim]

Du har nok rett ang. port 5500 når jeg ser mer på hvor trafikken går. Ligger jevnlig å går på 15-20Mbit/s som multicast på lokalnettet. Trafikken går ikke ut på WAN. Dette selv når t-we boksen står i standby modus. Sikkert noe med det app greiene å gjøre da ^^

[NULL]

1 minute ago, minim said:

Du har nok rett ang. port 5500 når jeg ser mer på hvor trafikken går. Ligger jevnlig å går på 15-20Mbit/s som multicast på lokalnettet. Trafikken går ikke ut på WAN. Dette selv når t-we boksen står i standby modus. Sikkert noe med det app greiene å gjøre da ^^

Men hvis du har mye trafikk på 822, ville jeg prøvd å identifisere hva det er - trafikktype, hvor det kommer fra, hvor det går....

[minim]

NULL skrev (58 minutter siden):

Men hvis du har mye trafikk på 822, ville jeg prøvd å identifisere hva det er - trafikktype, hvor det kommer fra, hvor det går....

Det er T-wee greier det også. Går til 93.91.111.2 og multicast på 233.184.48.94 og .49 . Til den 93 ipen går også en del trafikk til port 8000. Typen er RTP/Media 

Endret 2. september 2020 av minim