Tweak Glasvezel internet & Canal Digitaal TV met Pfsense

Apparatuur
1

Hallo,

Na vele uurtjes Trail&Error (ik ben geen IT specialist :wink: ) is het me gelukt om de standard fritzbox te vervangen door een Pfsense router. Zowel internet als ook TV draait stabiel en snel. (met name applicaties met grote hoeveelheid connecties is geen probleem meer met de PFsense router)

Zie onder de gehele configuratie. Het doel hiervan is anderen te helpen die soortgelijke configuratie willen opzetten. (Via google is niet veel te vinden voor PFsense, specifiek met Tweak glasvezel en Canal Digitaal) Ik ga ervan uit dat enige basiskennis aanwezig is mbt Layer3 switch configureren en Pfsense basis installatie op b.v. een PC/miniPC. (in mijn geval een Qotom minipc)

Zie hieronder het netwerk diagram:

tweak-pfsense-topo
tweak-pfsense-topo1020×1000 100 KB

Hieronder de stappen om dit te configureren:

  1. Media converter installeren tussen de fiber kabel en UTP. Media converter: TPLink MC220L. SFP module: TPLink TL-SM321B. (heb ook een oude Genexis van KPN/XS4all geprobeerd maar deze werkt niet met Tweak)
  2. Layer3 switch aansluiten en ingaande poort VLAN 4 & 34 tagged instellen. Op 1 uitgaande poort VLAN4 tagged instellen en op een andere uitgaande poort VLAN34 untagged.

WAN-Switch_PVID
WAN-Switch_PVID1438×884 69.5 KB

WAN-Switch_VLAN-membership4
WAN-Switch_VLAN-membership42062×1004 154 KB

WAN-Switch_VLAN-membership34
WAN-Switch_VLAN-membership341964×970 80.7 KB

WAN-Switch_VLAN-summary
WAN-Switch_VLAN-summary1966×934 89.9 KB

  1. PFsense installeren en 3 poorten aansluiten/instellen. WAN (DHCP): aansluiten op switch poort met VLAN34, LAN (static IP): aansluiten op je PC/lan, IPTV (DHCP) aansluiten op switch poort met VLAN4.
  2. VLANs instellen: VLAN4 op ingaande poort IPTV en VLAN4 instellen op LAN poort.

VLANS
VLANS2538×916 146 KB

  1. Interfaces aanmaken/aanpassen zodat WAN en LAN alleen op hun fysieke poort zijn toegewezen en IPTV aan de binnenkomende kant van de PFsense bij stap 4 ingestelde, VLAN4.

interface-assignments
interface-assignments2450×1234 248 KB

  1. Interfaces in detail configureren: Op WAN DHCP client aanzetten. Op IPTV DHCP client aanzetten. Op LAN staat een statisch IP ingesteld (wat je al hebt gedaan bij stap 3 anders was je niet zover gekomen). Maak een nieuwe extra interface aan (in dit voorbeeld OPT2) en wijs port VLAN4 toe voor de lan kant welke je bij stap 4 hebt aangemaakt. Stel op OPT2 een statisch IP in welke in een andere range zit dan je LAN interface.

IPTV-config
IPTV-config2350×1674 338 KB

LAN-config
LAN-config2410×1654 334 KB

OPT_TVLAN-config
OPT_TVLAN-config2364×1638 331 KB

WAN-config
WAN-config2386×1620 332 KB

  1. (wellicht moet je voor deze stap een reboot van de pfsense router doen voor je volgende stap volledig kunt uitvoeren. Dit was bij mij het geval) Stel een DHCP server in op je LAN interface met een range die past bij het statische IP van LAN. Stel een DHCP server in op je OPT2 interface met een range die past bij het statische IP van OPT2.

DHCP_server_LAN
DHCP_server_LAN2356×1428 268 KB

DHCP_server_OPT-TVLAN
DHCP_server_OPT-TVLAN2392×1430 271 KB

  1. Check pfsense dashboard. Alle interfaces (WAN, LAN, IPTV, OPT2) zouden “UP” moeten zijn en een IP moeten hebben. Het internet zou moeten werken. (indien er geen “Block all” rule in de firewall staat ingesteld) TV werkt nu nog niet.

dashboard_cencored
dashboard_cencored1910×1292 686 KB

  1. Check de routing->gateway instellingen. De WAN interface moeten als default ingesteld staan.

routing_gateways
routing_gateways2402×1296 235 KB

  1. Stel de 2 static routes in voor IPTV. 185.24.175.0/24 & 185.41.48.0/24 via IPTV gateway.

static_routes
static_routes2386×892 153 KB

  1. Services->IGMP proxy: maak een uptream aan op IPTV interface met de netwerken 217.166.0.0/8 & 213.75.167.0/24. Maak een downstream aan op OPT2 interface maar definieer geen netwerken.

IGMP_proxy
IGMP_proxy2378×976 151 KB

  1. (Volgende instellingen van firewall dient men per situatie en persoonlijke wens aan te passen en heeft invloed op de beveiliging van je netwerk. In dit voorbeeld heb ik geprobeerd te laten zien hoe je in ieder geval onbeperkt van LAN het internet opkomt en geen enkele beperking op IPTV verkeer echter verkeer vanaf WAN/internet komt niet onbeperkt binnen) Zorg dat er een firewall rule op LAN, OPT2 en IPTV ingesteld staat om al het verkeer toe te staan. (je kunt er zelf voor kiezen om toch voorzichtiger te werk te gaan. b.v. op te tv interface alleen specifiek IGMP en UPD verkeer toe te staan). Let er op dat in ieder geval bij de rules voor OPT2 en IPTV, de volgende advanced option aanstaat: “Allow packets with IP options to pass.”

firewall_IPTV
firewall_IPTV2380×788 78.2 KB

firewall_LAN
firewall_LAN2394×944 200 KB

firewall_OPT-TVLAN
firewall_OPT-TVLAN2362×774 77.2 KB

firewall_allow-packets-ip-options
firewall_allow-packets-ip-options2372×1324 253 KB

13: Zorg dat op de lan switch, bij VLANs, de uplink poort VLAN4 getagged (VLAN1 untagged) is en op de poorten waar de TV tuners aanhangen, VLAN4 untagged staat ingesteld.

Als alles goed werkt nu zowel internet als ook TV. (reboot de TV tuners met power off->on)

Ik hoop dat bovenstaand iemand helpt. Ik heb zelf geen IT achtergrond dus vergeef me als ik sommige dingen niet correct heb gedaan of onjuist heb benoemd. (Ik hoor graag in de reacties tips hoe het beter kan)

Opmerkingen/FAQ:

  • V: Waarom voor de pfsense router, de VLANs voor TV en Internet uit elkaar halen? A: Normaal zouden beide VLANs op 1 poort binnen moeten komen op de WAN poort van de router, echter heeft pfsense een beperking zodat in dergelijke situatie, zowel de WAN interface als de IPTV interface altijd het zelfde MAC adres gebruiken. Hiermee kan de Tweak infrastructuur niet omgaan en zal constant dan wel LAN of IPTV interface down gaan.
  • V: Waarom aan LAN kan een aparte VLAN voor TV? A: Omdat anders het multicast verkeer van alle apparaten (naast de TV tuners) thuis op de IGMP proxy staat te communiceren. Hierdoor had ik last van bevriezend beeld op TV. Meestal na 300 seconden wanneer uiterlijk een multicast membership query aan moet komen bij de multicast source. Wellicht komt hiervoor in de toekomst een oplossing middels update voor IGMP proxy of mogelijk kun je dit werkend krijgen met een alternatief voor IGMP proxy. (B.v. met PIMD)
  • V: Waarom op de switch aan de lan kant, aparte poorten voor VLAN van TV en internet instellen? A: Zomaar. Ik weet op welke poort de tuners hangen en welke niet. Wil je op alle switch poorten zowel een tuner als een bv. PC kunnen hangen. Stel op de switch dan VLAN4 en VLAN1 in op alle downlink poorten.
  • V: Waarom heb je niet meer beperkingen in de firewall ingesteld op het verkeer op IPTV & OPT2? A: Ik ga er (misschien naïef) vanuit dat de TV tuners, Tweak en Canal digitaal het verkeer beperken tot hun eigen noodzakelijke verkeer en geen gekke dingen uithalen.
5 likes
12

Je timing is geweldig. Komende week word ik aangesloten. Ik liep nl tegen hetzelfde probleem aan dat ik weinig info kon vinden. Ik heb echter pfsense op een apu2e4 board en een ubiquiti switch. Ik ga je voorbeeld zeker gebruiken en kijken hoever ik kom. :+1:

1 like
13

Mooi overzicht voor degene die met een pfsense aan de slag gaan!

Misschien niet helemaal duidelijk; let op dat vlan 4 onder de pfsense een ander vlan is dan vlan 4 boven de pfsense.

De pfsense firewall routeerd, dus deze vlans zitten niet in hetzelfde broadcast domain. (vlan 4 had onder de pfsense ook prima vlan 6 kunnen zijn en nog steeds kunnen werken)

1 like
14

Normaal gesproken klopt het wat je zegt. En omdat er gerouteerd wordt, moet voor het multicast verkeer de igmp proxy worden ingezet. Echter, de TV tuners van canal digitaal die ik gebruik, zijn volgend mij hard op VLAN4 ingesteld. Tenminste, al je onder menu naar “apparaat info” gaat, staat dit bij de kenmerken. Aan de andere kant, het lukte mij ook met de tuners om tv te kijken op VLAN1 echter liep het beeld toen altijd vast na 300 Sec…
In elk geval interessant om bij gelegenheid eens te testen. Bedankt.

15

ziet er goed uit maar wil het toch gaan proberen zonder die switch maar direct in de router zelf
en dan ook met opnsense
kijken of dit gaat lukken

16

Als het met opnsense mogelijk is om WAN en IPTV interface een verschillende MAC adres te geven, zou het moeten werken. Ben zelf erg benieuwd omdat ik ook niet blij ben met een switch voor de router. Laat svp even weten wat het resultaat is.

17

Ok, maar het is toch belachelijk dat je zelf een router moet zoeken en kopen, dat hoort toch bij het pakket van Tweak in te zitten?

18

Zit er ook bij (behalve met de internet only abonnementen)
Dit is gewoon een thread van mensen die graag hun eigen router bouwen en werkend krijgen op het tweak netwerk.

19

Het zijn hier allemaal hobbyisten die proberen een mooiere oplossing te krijgen dan met de FritzBox die standaard bijgeleverd wordt (behalve bij Internet Only). En dat valt niet mee … :sweat_smile:

20

haha dat valt idd tegen heb wel een fritzbox maar niet die van Tweak
en die doet het perfect.
en die opensense bak is meer voor de test voorals het 10 GB er komt en dan heb ik die vreemde routes niet meer nodig.
dan heb je waarschijnlijk meeerdere IP tot je beschikking en werkt de geleverde microtik als de bovengeschreven switch.

21

Helaas, ik krijg niet alles aan de praat. Alles komt netjes op. Ik krijg IP adressen in de ranges die ik verwacht. De stb krijgt de EPG te zien maar ik krijg geen TV ivm foutmelding S004.
Ik zie nogal wat geblokkeerd worden in de firewall. Dat wél.
Internet doet het, maar niet snel. 200 up en 200 down Iemand nog een tip om te onderzoeken?

22

Heb je de igmp proxy aan staan? Zo ja, krijg je meldingen in het log?

Mbt snelheid, welke hardware gebruik je als router?

23

image
image1398×718 31.7 KB

Ja zeker, igmp proxy staat aan.
Verder zie ik in de verschillende logs verschillende meldingen die ik apart vind.
en genoeg firewall blocks in WAn en LAN op de default deny rules
image
image2519×375 48.2 KB

Verder heb ik een apu2e4 board die het qua snelheid zou moeten trekken.

24

Zitten beide interfaces (WAN & IPTV) op dezelfde fysieke poort van de pfsense met zelfde mac? Dit probleem had ik ook. Daarom een switch voor de pfsense om de vlans uit elkaar te peuteren en beide op verschillende fysieke poorten te zetten de pfsense in.

25

Heb ik gedaan. Ik heb ook de netgear gs108 . Ik denk , is een slechte aanname maar toch, dat ik jou stappen heb gevolgd. Ik heb wel wat zaken anders.
bij de lockout rules heb ik poort 443 er niet bij staan. Ik heb geen idee hoe ik die er tussen krijg.
Ik heb geen igb 5

26

Verder laat het al het verkeer via de trunkport mijn unifi switch in komen en de vlan4 untagged via deze eigenschap op de juiste poort er weer uitkomen.

image
image1411×492 34.2 KB

Volgens mij klopt dit. Ik weet alleen niet hoe ik dit moet testen.

27

Aangezien de EPG werkt, lijkt me dat vlans en routering goed werkt. Dan zou het een probleem moeten zijn mbt het multicast verkeer. Heb je igmp snooping aan staan op alle switches? Heb je al geprobeerd om de tuner direct op de pfsense aan te sluiten zonder switch ertussen?

28

Heb je al geprobeerd om de tuner direct op de pfsense aan te sluiten zonder switch ertusssen<
Ik heb 3 netwerk aansluitingen op de pf sense . 1 voor wan in en de 2de voor iptv in, en vervolgens een 3rde voor wan/iptv uit. Dan kan weet niet hoe ik apart iptv door moet zetten .
Verder. Moet IGMP snooping op de netgear switch ook aan? Daar heb je niets over beschreven.

29

image
image1256×349 22.9 KB

Hoe heb je deze instellingen staan op je netgear gs108Ev3?

30

Maar vervolgens toch weer foutmeldingen met igmp proxy

Mar 8 20:06:20
igmpproxy
97576
The source address 217.166.XXX.XXX for group 224.0.XXX.XXX, is not in any valid net for upstream VIF[0].

Eerder , was de logging rondom igmp proxy stil