Kurz gesagt "Nein". Ich habe es bei mir mit 3 MR und dem internen Netz so geregelt, das ich an der FB einen kleinen gemanagten Switch dran habe für die MR und und an einem anderen LAN Port der FB die UTM und danach der große Switch fürs LAN. Läuft alles ohne Probleme. WLAN von der FB ist aus und läuft über einen Unifi, somit befinden sich die WLAN Geräte im selben Netz wie die LAN Geräte.
Hmm.. ok. Aber das ist ja irgendwie auch nicht Sinn der Sache, dass man quasi exposed hosts vor einer UTM hat, damit man IPTV schauen kann.
Ich habe diesen Artikel gefunden: https://community.sophos.com/kb/en-us/123135
Hat das mal jemand ausprobiert?
Ansonsten bin ich schon so weit, dass ich einen VMG1312-B30A als Modem lassen möchte und an LAN 1 die UTM -> dahinter eine FB für DECT und WLAN AP.
An LAN 2 des Modems würde ich eine zweite kleine Fritzbox hängen, damit ich den IPTV Stream durchschleusen kann.
Kann man sich denn bei der Telekom zweimal einwählen bei einem VDSL?
Hi
Den exposed Host sehe ich auch nicht als Lösung.
Mit dem PIM-SIM IGMP hab ich eine Weile rum-experimentiert. Allerdings lässt mich der Provider (natürlich) nicht in ihr Netz joinen und verweist darauf, einen Proxy zu verwenden. So wird es wohl uns allen gehen. (Ich habe noch ein Ticket bei Provider offen, bin aber nicht sehr zuversichtlich).
Beim Proxy wiederum ist das Problem, dass ich zwei Public IPs brauche (einmal für den Proxy Server, einmal für die Sophos). Das hab ich natürlich nicht und ist das gleiche Problem wie das "zweimal Einwählen": geht eher nicht.
Könnte mir/ uns jemand eine aktuelle Version des IGMP proxy Binarys für die Sophos UTM 9x anhängen oder zum Download anbieten?
Grüsse
n3
apropos. Ich habe eine funktionierende Lösung mit UDPXY hinbekommen. Hier ist beschrieben wie: https://community.sophos.com/products/unified-threat-management/f/general-discussion/22180/udpxy-package
Die Lösung hat aber das Problem, dass ich den Proxy im Channel angeben muss. Wäre also noch immer glücklich über das binary vom IGMPProxy..
Grüsse
n3
'türlich.
Folgender Fall ist hier dokumentiert:
Das ist mal mein erster Wurf. Verwendung auf eigene Verantwortung. Ich doch sehr misstrauisch eine RPM auf der Sophos zu installieren und rate auch davon ab.
Feedback ist sehr(!!) willkommen.
Grüsse
N3
wget igmpproxy.rpm
(Dateiname natürlich anpassen).sudo rpm -i igmpproxy.rpm.
Das rpm kann man dann löschen. der imgproxy ist nun in /sbin/sudo vi /etc/igmpproxy.conf
igmpproxy.conf
kopieren. ACHTUNG: Zeilenumbrüche nicht vernudeln.##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave
##------------------------------------------------------
## Configuration for Upstream Interface
##------------------------------------------------------
# hier gibt man die öffentliche Netzwerkkarte an (WAN Port).
# falls noch ein VLAN dazu muss, sieht das so aus: adapter.vlanID. z.B eth1.123
phyint eth1 upstream ratelimit 0 threshold 1
# Das sind die Netzwerke meines Providers (keine Ahnung was das 77er macht, ging aber nicht ohne..)
altnet 239.0.0.0/16
altnet 233.0.0.0/8
altnet 224.0.0.0/4
altnet 77.109.129.0/24
# Das ist mein Heimnetzwerk
# Ersetze die Adresse nach eigenem Bedarf
altnet 192.168.1.0/24
##------------------------------------------------------
## Configuration for Downstream Interface
##------------------------------------------------------
# Das ist in der Regel wohl der LAN Port, hier eth0. Auch hier kann man die VLANID angeben. z.b eth0.345
phyint eth0 downstream ratelimit 0 threshold 1
##------------------------------------------------------
## Configuration for Disabled Interfaces
##------------------------------------------------------
##
## Hier muss man noch jedes weitere Interface angeben, welches NICHT im Multicast Verbund sein soll.
phyint wlan0 disabled
sudo /sbin/igmpproxy -d -vv /etc/igmpproxy.conf
startet man das Ding.
Hier wäre ich durchaus um einen Review froh. Was kann man verbessern? Was ist falsch?
Passe das auf Deinen Bedarf an. Den Destination Port findest Du in der Regel in der Playlist oder Channellist Deines Providers. Das sieht irgendwie so aus udp://@239.10.0.45:5000
Type fo definition ist wichtig. TCP/UDP geht nicht. Das Firewall Log zeigt einen Default block, und einen allow auf die Rule gleichzeitig. Zusätzlich noch einen Default Block auf MPEG Streaming. Ja, sieht dann aus wie ein rot grüner Regenbogen.
(Da wäre ich auch noch froh um Feedback.)
noviceiii said:(Da wäre ich auch noch froh um Feedback.)
Funktioniert einwandfrei, vielen Dank für die Mühe! Einige Anpassung sind für T-Entertain IPTV am BNG-Anschluss notwendig:
phyint ppp0 upstream ratelimit 0 threshold 1
Das upstream interface ist ppp0, da der igmpproxy nur startet, wenn alle interfaces eine zugewiesene IP haben. Das ist der Grund, warum es mit eth0 oder eth0.7 nicht funktioniert.
altnet 87.141.215.0/24
altnet 193.158.34.0/23
altnet 232.0.0.0/8
altnet 239.35.0.0/16
altnet 224.0.0.0/4
Das sind die entsprechenden altnets für Telekom Entertain IPTV. Die beiden ersten Netze müssen mitangegeben werden, da der proxy sonst nicht funktioniert.
Entsprechend muss man dann auch die Definitions für die Firewall-Rules anpassen:
Zu guter Letzt musste ich noch eine Rule ergänzen:
Alles andere bleibt so wie oben beschrieben. Hier ist noch ein angepasstes igmprtd-Skript für ein leichteres Handling des Proxys: https://pastebin.com/Hw3B3svG
Dieses einfach in den Ordner /etc/init.d/ laden und mit chmod +x ausführbar machen. Nun sollte der Proxy automatisch starten und sich über die Befehle start | stop | status kontrollieren lassen.
Hi,
habe deine Einstellung kopiert. Leider bekomme ich folgende Fehlermeldung.
sendto to 224.0.0.1 on 192.168.180.100; Errno(1): Operation not permitted
SENT Membership query from 192.168.180.100 to 224.0.0.1
Sent membership query from 192.168.180.100 to 224.0.0.1. Delay: 10
sendto to 224.0.0.1 on 172.16.28.1; Errno(1): Operation not permitted
SENT Membership query from 172.16.28.1 to 224.0.0.1
Sent membership query from 172.16.28.1 to 224.0.0.1. Delay: 10
sendto to 224.0.0.1 on 10.242.2.1; Errno(1): Operation not permitted
SENT Membership query from 10.242.2.1 to 224.0.0.1
Ich habe vor meiner UTM ein Vigor Router. In der UTM mache ich das VLAN Tagging. Ich hoffe die Einstellung ist bei dir auch so.
Da scheint noch eine Firewall-Rule zu fehlen. Sorry hatte vergessen, dass ich die auch noch ergänzt hatte:
Hallo danke für die klasse umsetzung.
Bei mir läuft eine sophos auf einem esx, ich habe alle einstellungen so übernommen wie es inden beiden post steht.
Leider bricht der Stream nach ca. 1 bis 2 Minuten ab.
Auch die umschaltzeit zwischen den einzelnen sendern dauert gefühl doppelt wenn nicht sogar das 3 fache der zeit.
Die Auslastung der CPU bzw des Ram der sophos ist nicht merglich höher im Fernsehbetrieb als sonnst auch.
Hat jemand eine Idee? Welche logs muss ich liefern.
Danke schon mal Christian
Hallo
das klingt seht interessant. Ich habe meine UTM 120 wieder abgeabaut, da sie eben kein Mulitcast kann.
Da ich u.a. Homekit verwende und das iPad im WLAN ist kann ich mit Homebridge keine Daten mehr empfangen.
Das IGMP Proxy Paket scheint eine Lösung zu sein um zwischen LAN und WLAN zu routen.
Stimmt meine Annahme? Es geht mir wie gesagt nicht um IPTV (zum Glück) aber eben um Homekit, Airplay usw.
Würde das ebenfalls funktionieren und leider sind die Downloadlinks tot. Würde es sonst einfach mal ausprobieren und die Sophos wieder in Betrieb nehmen, was ich sehr gerne machen würde.
Danke für Hinweise.
Sebastian
ok
da ich sie jetzt nicht angeschlossen habe und alles mir bekannte versucht habe .. deine Antwort mir gefällt, dass es dann doch keine Probleme gibt.
Kannst du mir sagen wo der Knackpunkt sein könnte? RP Router ist dann nicht meine Baustelle vermutlich ..
Hab hier nichts gefunden was auf Homekit etc. eingeht .. oder es nicht gesehen dass es mein Thema ist ..
VG
Sebastian
Ich hatte damals meine FB vor der Sophos und das GästeWLAN benutzt für WLAN und intern über die Sophos geregelt.
Da gibts eine Anleitung dafür hier, was bei mir funktioniert hat, bis auf Homekit und co.
leider nie hinbekommen, und bei den ganzen Spaßvögeln die hier in diesen post antworten bin ich auch nicht weiter gekommen.