T-Home Entertain / IPTV

Hi,

ich habe heute T-Home Entertain erhalten. Jetzt habe ich ein kleines Problem, das Fernsehen funktioniert soweit, allerdings bleibt der Stream nach ein paar Sekunden hängen. Umschalten auf den nächsten Sender und ich habe wieder ein paar Sekunden. Man könnte das Power Zapping nennen! Wink Die Hotline sagt ist ein unsupportetes Gerät, Auskünfte über Ports können leider nicht weitergegeben werden, nicht für Endkunden bestimmt.

Das Streaming läuft ja über UDP Ports. Hat das jemand am laufen? Ich setze die aktuelle Beta ein mit Kernel Mode pppoe.

Bin über jeden Tipp dankbar und werde mich mal weiter ans Debugging machen...

Danke!

MfG, Mario
  • Hallo zusammen,

    kann mir jemand mal einen aktuellen Sachstand geben bitte?

    Geht es mit der UTM 9.5x mittlerweile die T-Entertain (alt) Streams zu empfangen? Mit dem PIM-SM komme ich da irgendwie nicht weiter...

    Danke!

  • In reply to tetris:

    Kurz gesagt "Nein". Ich habe es bei mir mit 3 MR und dem internen Netz so geregelt, das ich an der FB einen kleinen gemanagten Switch dran habe für die MR und und an einem anderen LAN Port der FB die UTM und danach der große Switch fürs LAN. Läuft alles ohne Probleme. WLAN von der FB ist aus und läuft über einen Unifi, somit befinden sich die WLAN Geräte im selben Netz wie die LAN Geräte.

     

  • In reply to MichaelDittrich:

    Hmm.. ok. Aber das ist ja irgendwie auch nicht Sinn der Sache, dass man quasi exposed hosts vor einer UTM hat, damit man IPTV schauen kann.

     

    Ich habe diesen Artikel gefunden: https://community.sophos.com/kb/en-us/123135 

     

    Hat das mal jemand ausprobiert?

     

    Ansonsten bin ich schon so weit, dass ich einen VMG1312-B30A als Modem lassen möchte und an LAN 1 die UTM -> dahinter eine FB für DECT und WLAN AP.

    An LAN 2 des Modems würde ich eine zweite kleine Fritzbox hängen, damit ich den IPTV Stream durchschleusen kann.


    Kann man sich denn bei der Telekom zweimal einwählen bei einem VDSL?

  • In reply to tetris:

    Hi

    Den exposed Host sehe ich auch nicht als Lösung.
    Mit dem PIM-SIM IGMP hab ich eine Weile rum-experimentiert. Allerdings lässt mich der Provider (natürlich) nicht in ihr Netz joinen und verweist darauf, einen Proxy zu verwenden. So wird es wohl uns allen gehen. (Ich habe noch ein Ticket bei Provider offen, bin aber nicht sehr zuversichtlich).

    Beim Proxy wiederum ist das Problem, dass ich zwei Public IPs brauche (einmal für den Proxy Server, einmal für die Sophos). Das hab ich natürlich nicht und ist das gleiche Problem wie das "zweimal Einwählen": geht eher nicht.

    Könnte mir/ uns jemand eine aktuelle Version des IGMP proxy Binarys für die Sophos UTM 9x anhängen oder zum Download anbieten?

    Grüsse

    n3

  • In reply to tetris:

    apropos. Ich habe eine funktionierende Lösung mit UDPXY hinbekommen. Hier ist beschrieben wie: https://community.sophos.com/products/unified-threat-management/f/general-discussion/22180/udpxy-package

    Die Lösung hat aber das Problem, dass ich den Proxy im Channel angeben muss. Wäre also noch immer glücklich über das binary vom IGMPProxy..

    Grüsse

    n3

  • In reply to noviceiii:

    OK, habs auch mit IGMPROXY hinbekommen. Die Binary war auf der 8. Seite.

  • In reply to noviceiii:

    Hi Noviceiii,

    kannst Du mal deine Version von IGMP Proxy posten / bereitstellen und evtl. eine kleine Anleitung schreiben. Danke!

     

     

     

  • In reply to ChrisTrobman:

    'türlich.

    Folgender Fall ist hier dokumentiert:

    • Sophos UTM 9.x
    • -> Internet FTH -> Switch A VLAN1 -> UTM -> Switch B VLAN2 > LAN
      Das Prinzip wird grundsätzlich auch mit zwei Switches, direktem Internet an die UTM oder mit einem DSL Anschluss (ohne Routing/ mit öffentlicher IP am WAN Port) funktionieren,
    • Init7.ch als Provider
    • Multicast IPTV vom WAN ins LAN

    Das ist mal mein erster Wurf. Verwendung auf eigene Verantwortung. Ich doch sehr misstrauisch eine RPM auf der Sophos zu installieren und rate auch davon ab.

    Feedback ist sehr(!!) willkommen.

     

    Grüsse

    N3

     

    Installation igmpproxy

    • Login auf shell der UTM
    • Das igmpproxy.rpm auf die UTM tun. Entweder mit wget oder scp. Ich mach das in der Sophos Shell mit wget: wget igmpproxy.rpm (Dateiname natürlich anpassen).
      Das RPM hab ich hier gefunden: https://community.sophos.com/products/unified-threat-management/f/german-forum/58737/t-home-entertain-iptv#pi2353=8 
    • installieren des rpms: sudo rpm -i igmpproxy.rpm. Das rpm kann man dann löschen. der imgproxy ist nun in /sbin/
    • anlegen einer Config: sudo vi /etc/igmpproxy.conf
    • Nachfolgende Config anpassen und den Text in die igmpproxy.conf kopieren. ACHTUNG: Zeilenumbrüche nicht vernudeln.

    ##------------------------------------------------------
    ## Enable Quickleave mode (Sends Leave instantly)
    ##------------------------------------------------------
    quickleave

    ##------------------------------------------------------
    ## Configuration for Upstream Interface
    ##------------------------------------------------------

    # hier gibt man die öffentliche Netzwerkkarte an (WAN Port).
    # falls noch ein VLAN dazu muss, sieht das so aus: adapter.vlanID. z.B eth1.123

    phyint eth1 upstream ratelimit 0 threshold 1

    # Das sind die Netzwerke meines Providers (keine Ahnung was das 77er macht, ging aber nicht ohne..)
    altnet 239.0.0.0/16
    altnet 233.0.0.0/8
    altnet 224.0.0.0/4
    altnet 77.109.129.0/24

    # Das ist mein Heimnetzwerk
    # Ersetze die Adresse nach eigenem Bedarf
    altnet 192.168.1.0/24

    ##------------------------------------------------------
    ## Configuration for Downstream Interface
    ##------------------------------------------------------

    # Das ist in der Regel wohl der LAN Port, hier eth0. Auch hier kann man die VLANID angeben. z.b eth0.345
    phyint eth0 downstream ratelimit 0 threshold 1

     

    ##------------------------------------------------------
    ## Configuration for Disabled Interfaces
    ##------------------------------------------------------
    ##
    ## Hier muss man noch jedes weitere Interface angeben, welches NICHT im Multicast Verbund sein soll.
    phyint wlan0 disabled

     

     

    • mit sudo /sbin/igmpproxy -d -vv /etc/igmpproxy.conf startet man das Ding.
      -d macht, dass die Logs in der Shell angezeigt werden, -vv setzt das Loglevel auf very verbose. -v geht auch. Oder ohne.
      Es wird noch nicht alles funktionieren da wir noch die UTM einstellen müssen.

     

     

    Sophos UTM Anpassen

    Hier wäre ich durchaus um einen Review froh. Was kann man verbessern? Was ist falsch?

    Definitions & User -> NETWORK definition -> NEU 1

    • Name: INIT7 Multicast
    • Type: Multicast Group
    • IP v4: 239.0.0.0
    • Netmask: /16

    Definitions & User -> NETWORK definition -> NEU 2

    • Name: IPv4 Multicast
    • Type: Multicast Group
    • IP v4: 224.0.0.0
    • Netmask: /3

    Definitions & User -> SERVICE definitions -> NEU

    Passe das auf Deinen Bedarf an. Den Destination Port findest Du in der Regel in der Playlist oder Channellist Deines Providers. Das sieht irgendwie so aus udp://@239.10.0.45:5000

    • Name: Init7 Streaming Port
    • Type of definition: UDP
    • Destination Port: 5000 
    • Source Port: 1:65535

    Type fo definition ist wichtig. TCP/UDP geht nicht. Das Firewall Log zeigt einen Default block, und einen allow auf die Rule gleichzeitig. Zusätzlich noch einen Default Block auf MPEG Streaming. Ja, sieht dann aus wie ein rot grüner Regenbogen. 

    Network Protection -> INTRUSION Prevention -> Exceptions -> NEU 

    • Name: Init7 IPTV
    • Check: Intrusion prevention, TCP SYN FLOOD, UDP Flood, TCP Flood
    • For all requests: using these services
    • Services: Init7 Streaming Port

    Network Protection -> FIREWALL -> diverse Neu und natürlich einschalten:

    (Da wäre ich auch noch froh um Feedback.)

    • Sources: LAN (Address) 
    • Services: any
    • Destinations: IPv4 Multicast
    • Sources: LAN (Network) 
    • Services: any
    • Destinations: IPv4 Multicast
    • Sources: External (Address) 
    • Services: any
    • Destinations: IPv4 Multicast
    • Sources: Any IPv4
    • Services: Init7 Streaming Port
    • Destinations: Any IPv4
    • Sources: Internal (LAN) (Network)
    • Services: any
    • Destinations:Internal (LAN) (Address)
  • In reply to noviceiii:

    noviceiii
    (Da wäre ich auch noch froh um Feedback.)

    Funktioniert einwandfrei, vielen Dank für die Mühe! Einige Anpassung sind für T-Entertain IPTV am BNG-Anschluss notwendig:

    phyint ppp0 upstream ratelimit 0 threshold 1

    Das upstream interface ist ppp0, da der igmpproxy nur startet, wenn alle interfaces eine zugewiesene IP haben. Das ist der Grund, warum es mit eth0 oder eth0.7 nicht funktioniert.


    altnet 87.141.215.0/24
    altnet 193.158.34.0/23

    altnet 232.0.0.0/8
    altnet 239.35.0.0/16
    altnet 224.0.0.0/4

    Das sind die entsprechenden altnets für Telekom Entertain IPTV. Die beiden ersten Netze müssen mitangegeben werden, da der proxy sonst nicht funktioniert.

    Entsprechend muss man dann auch die Definitions für die Firewall-Rules anpassen:

    Definitions & User -> NETWORK definition -> NEU

    • Name: IPv4 Multicast
    • Type: Multicast Group
    • IP v4: 224.0.0.0
    • Netmask: /4

    Definitions & User -> SERVICE definitions -> NEU

    • Name: IPTV Port
    • Type of definition: UDP
    • Destination Port: 10000 
    • Source Port: 1:65535

     

    Zu guter Letzt musste ich noch eine Rule ergänzen:

    Network Protection -> FIREWALL -> NEU

    • Sources: Any IPv4 (Address) 
    • Services: any
    • Destinations: IPv4 Multicast

     

    Alles andere bleibt so wie oben beschrieben. Hier ist noch ein angepasstes igmprtd-Skript für ein leichteres Handling des Proxys: https://pastebin.com/Hw3B3svG

    Dieses einfach in den Ordner /etc/init.d/ laden und mit chmod +x ausführbar machen. Nun sollte der Proxy automatisch starten und sich über die Befehle start | stop | status kontrollieren lassen.

     

     

  • In reply to Mathias Grünewald:

    Hi,

     

    habe deine Einstellung kopiert. Leider bekomme ich folgende Fehlermeldung.

     

    sendto to 224.0.0.1 on 192.168.180.100; Errno(1): Operation not permitted
    SENT Membership query from 192.168.180.100 to 224.0.0.1
    Sent membership query from 192.168.180.100 to 224.0.0.1. Delay: 10
    sendto to 224.0.0.1 on 172.16.28.1; Errno(1): Operation not permitted
    SENT Membership query from 172.16.28.1 to 224.0.0.1
    Sent membership query from 172.16.28.1 to 224.0.0.1. Delay: 10
    sendto to 224.0.0.1 on 10.242.2.1; Errno(1): Operation not permitted
    SENT Membership query from 10.242.2.1 to 224.0.0.1

     

    Ich habe vor meiner UTM ein Vigor Router. In der UTM mache ich das VLAN Tagging. Ich hoffe die Einstellung ist bei dir auch so.

  • In reply to ChrisTrobman:

    Da scheint noch eine Firewall-Rule zu fehlen. Sorry hatte vergessen, dass ich die auch noch ergänzt hatte:

    Network Protection -> FIREWALL -> NEU:

    • Sources: Any IPv4 (Address) 
    • Services: any
    • Destinations: IPv4 Multicast