Privatkunden
Geschäftskunden
Entertain mit Ubiquiti Security Gateway
Hallo Telekom hilft Community. Ich habe den USG mit IPTV heute an meinem VDSL Anschluss zum laufen bekommen.
Dabei sieht mein Setup wie folgt aus:
TAE-->Draytek Vigor130 (Modem)-->Unifi Security Gateway (USG)
Die PPPoE Verbindung wird vom USG aufgebaut, der Draytek Router wird hier als reines VDSL Modem benutzt . Falls ihr einen einen Router vor eurem USG habt der selber eine PPPoE Verbindung aufbaut, müsst ihr die config ggf. etwas abändern.
Da der aktulle Unifi Controler (bei mir v.5.3.8) nicht alle Einstellmöglichkeiten über die GUI bereitstellt, muss hier mit der CLI bzw. einer extra config Datei gearbeitet werden. Die von mir erstellte und angehängte config muss in einem Texteditor in Zeile 74&75 noch mit euren Telekom Zugangsdaten erweitert werden (sofern der USG eure PPPoe einwahl vornimmt). Der Benutzername setzt sich hier wie folg zusammen:
AAAAAAAAAAATTTTTTTTTT#MMMM@t-online.de
wobei:
A= 12-stellige Anschlusskennung
T= T-Online-Nummer
M= vierstelliger Mitbenutzerzusatz
Die editierte config datei laded ihr in folgendes Verzeichnis auf dem Unifi Controler Server hoch: [UniFi base Ordner]/data/sites/[site]
[site] ist dabei die Site ID eures controllers. Falls ihr nur eine habt sollte diese default lauten.
Jetzt müsste ihr über den Unifi Controler noch ein Re-Provisioning anstoßen (z.B eine neue Portfreigabe machen).
Wenn der USG wieder in den Status connected springt, kann man sich per ssh darauf einloggen (username&password wie die vom Unifi controller).
Mit dem Befehl show interfaces sollte sich dann folgendes Bild ergeben:
ggf. muss man an dieser Stelle nochmal den USG rebooten.
Wenn alles glatt gelaufen ist, sollte jetzt Entertain/EntertainTV und Internet Problemlos laufen.
Frohes neues euch allen
PS: Im Anhang noch zwei VLC Playlist für Entertain, welche ausschließlich über Multicast laufen. Wenn man diese Files abspielen kann, geht Entertain
PSPS: Anscheinend sind die Dateiendungen .json und .xspf nicht gestattet also config.gateway.json.txt in config.gateway.json umbennen, den anderen beiden Files die letzte DAteiendung .txt wegnehmen
--Ex0
Infos zur Modem Konfiguration und VLAN tagging kann ich natürlich auch noch gerne geben:
Das Modem ist bei mir wirklich NUR Modem. Es übernimmt weder Einwahl noch VLAN tagging. Das macht alles das USG, der Draytek stellt hier nur die WAN schnitstelle zur verfügung.
Es folgen ein paar Bilder der Modem Konfiguration (Firmware 3.7.9.1_m7):
Mit dieser "Basis Konfiguration" läuft aktuell mein Draytek Modem. Da es quasi vor dem Router hängt, kann ich dieses natürlich nicht aus dem LAN erreichen (weshalb auch der DHCP Server deaktiviert wird). Jetzt möchte ich mich etwas mit dem Config File und dem VLAN tagging des USGs befassen:
Im Unifi Controller besteht die möglichkeit EIN VLAN zu taggen.
Falls man KEIN Entertain gebucht hat, hätte es sich somit erledigt. Da aber der Entertain Multicast auf einem zusätzlichen VLAN reinkommt (VLAN 😎 muss hier eine konfigurationsdatei eingesetzt werden. In dieser Config werden verschieden Dinge konfiguriert, welche sich nicht nicht über den Controller konfigurieren lassen. Ich fange oben an.
Es folgen Auschnitte aus der Config aus meinem vorherigen Post:
Firewall:
-------------------------
{
"firewall": {
"name": {
"WAN_IPTV": {
"default-action": "drop",
"rule": {
"1": {
"action": "accept",
"description": "Allow IPTV Multicast UDP",
"destination": {
"address": "224.0.0.0/4"
},
"log": "disable",
"protocol": "udp",
"source": "''"
},
"2": {
"action": "accept",
"description": "Allow IGMP",
"log": "disable",
"protocol": "igmp"
}
}
},Hier werden 2 Firewall Regeln unter dem namen "WAN_IPTV" angelegt. Regel 1 erlaubt den IP bereich der Multicast Adressen (224.0.0.0/4), Regel 2 erlaubt das IGMP Protokoll.
"WAN_LOCAL": {
"default-action": "drop",
"description": "packets from internet to gateway",
"rule": {
"1": {
"action": "accept",
"description": "Ping erlauben",
"log": "disable",
"protocol": "icmp"
},
"2": {
"action": "accept",
"destination": {
"address": "224.0.0.0/4"
},
"log": "disable",
"protocol": "all"
}
}
}
}
}, Hier wird die bereits bestehende Gruppe WAN_LOCAL um zwei regeln erweitert. Wichtig hierbei sind die Nummern der Regeln (hier 1&2). Sollte man Nummern verwenden welche bereits in benutzung sind, werden diese überschrieben!
Interfaces:
-----------------------------
"interfaces": {
"ethernet": {
"eth0": {In dieser Sektion werden die Interface und ihre VLANs eingerichtet.
eth0 bildet die WAN Schnitstelle, eth1 die LAN Schnitstelle und eth2 den VOIP Port (welcher aktuell von Werk aus deaktiviert ist)
"vif": {
"7": {
"firewall": {
"in": {
"name": "WAN_IN"
},
"local": {
"name": "WAN_LOCAL"
}
},
"pppoe": {
"2": {
"default-route": "none",
"firewall": {
"in": {
"name": "WAN_IN"
},
"local": {
"name": "WAN_LOCAL"
}
},
"name-server": "none",
"password": "xxxxxxx",
"user-id": "xxxxxxxxxxxxx"
}
}
},
"8": {
"address": [
"dhcp"
],
"firewall": {
"local": {
"name": "WAN_IPTV"
}
},
"mtu": "1500"
}
}
},
Auf eth0 werden jetzt sogenannte "vif"s eingerichtet (VLAN interface).
Einmal vif 7: Hier werden die Firewall regeln zugeordnet und in dem VLAN ein PPPoE Interface angelegt. Hier müssen eure Telekom Zugangsdaten rein. Über dieses VLAN auf Port eth0 wird eure PPPoE Session aufgebaut werden
vif 8: Hier richten wir das VLAN8 für Entertain ein. Die IP Adresse holen wir uns von dem Telekom DHCP Servern. Auf diesem vif wird auch die Firewall Regel WAN_IPTV aktiviert, welche im ersten Teil definiert wurde.
port-forward:
------------------------
"port-forward": {
"wan-interface": "pppoe2"
},Hier wird dem PortForwarding das WAN Interface mitgeteilt. Default steht hier eth0 für den WAN Port drinnen. Dies wird entsprechend unserem PPPoE Interface auf VLAN7 angepasst.
protocols:
------------------------
"protocols": {
"igmp-proxy": {
"interface": {
"eth0.8": {
"alt-subnet": [
"0.0.0.0/0"
],
"role": "upstream",
"threshold": "1"
},
"eth1": {
"alt-subnet": [
"0.0.0.0/0"
],
"role": "downstream",
"threshold": "1",
"whitelist": [
"239.35.0.0/16",
"232.0.0.0/16"
]
}
}
},Hier wird der IGMP Proxy für Multicast aktiviert. Den Interfaces wird eine Rolle zugeordnet (downstream/upstream). eth0.8 ist VLAN8 auf eth0. eth1 ist hier wieder unsere LAN Schnitstelle. auf der LAN seite werden noch die IP bereiche des Telekom Entertain ge-whitelisted (239.35.0.0/16 für das alte Entertain, 232.0.0.0/16 für Entertain TV)
service/NAT:
-------------------------
"service": {
"nat": {
"rule": {
"6001": {
"description": "MASQ corporate_network to WAN",
"log": "disable",
"outbound-interface": "pppoe2",
"protocol": "all",
"source": {
"group": {
"network-group": "corporate_network"
}
},
"type": "masquerade"
},
"6002": {
"description": "MASQ voip_network to WAN",
"log": "disable",
"outbound-interface": "pppoe2",
"protocol": "all",
"source": {
"group": {
"network-group": "voip_network"
}
},
"type": "masquerade"
},
"6003": {
"description": "MASQ remote_user_vpn_network to WAN",
"log": "disable",
"outbound-interface": "pppoe2",
"protocol": "all",
"source": {
"group": {
"network-group": "remote_user_vpn_network"
}
},
"type": "masquerade"
},
"6004": {
"description": "MASQ guest_network to WAN",
"log": "disable",
"outbound-interface": "pppoe2",
"protocol": "all",
"source": {
"group": {
"network-group": "guest_network"
}
},
"type": "masquerade"
}
}
}
}
}Hier werden die NAT Regeln für das outbound Interface festgelegt. Im Unifi Controller kann man ja, wenn man ein neues Netzwerk in den Settings anlegt auswählen was für ein Netz man haben möchte.
Die Regeln Setzen für diese Netzwerktypen das Outbound Interface auf das PPPoE Interface in VLAN7.
------------------
Mann könnte jetzt meinen: "Ist ja super. Dann müsste ich ja theoretisch nur das VLAN8 in die Config packen und fertig. Warum ist das VLAN7 auch mit in der Config drin, wenn es doch über den Controller konfiguriert werden kann?".
-----------------------
Wichtig zu wissen bei dieser Config ist folgendes: Die Sektionen werden werden NICHT aus Controller und Konfig File ZUSAMMEN GEFÜHRT!
Erst werden erst die Einstellungen vom Controller auf das USG draufgespielt, danach die Einstellungen vom Config File. Die Sektion Interfaces-->Ethernet-->eth0--> vif würden dann von der Config wieder überschrieben werden und somit nur ein vif 8 beinhalten.
Ich hoffe dieser Lange Beitrag ist halbwegs verständlich. Sollte es noch Fragen geben, stehe ich natürlich gerne zur Verfügung
--Ex0
Das müsste ich dazu selber mal ausprobieren.
- Wie sieht den aktuell dein Setup aus?
- Hängen nur die Entertain Receiver an der Fritzbox und der rest des Netzwerks am LAN Port des USGs?
- Wie hast du den Internetzugang auf der Fritz!Box eingerichtet?
Ich habe eben mal versucht das ganze nach zu stellen ,allerdings lief danach bei mir garnix mehr 
Wenn du mir das alles mal detailiert beschreiben könntest, würde ich bei Gelegenheit morgen mal danach schauen.
Gruß
Ex0
Mahlzeit, ich bins nochmal.
Habe heute etwas mit deinem Setup rumgespielt Reismann. Leider muss ich sagen das ich keine Lösung für dein Problem gefunden habe 
Mein Problem ist: Ich weiß nicht wie die Fritzbox die VLANs behandelt oder eben auch weitergibt. Eigentlich müssten sie ja ins Interne Netz (also über LAN1) mit weiter an den USG gegeben werden, womit das VLAN 8 auf eth0.8 ankommen solte. Ich habe dann mal etwas an den Firewall Rules gedreht und den DHCP client vom VLAN 8 genommen, allerdings ohne Erfolg.
Tut mir leid. Falls ich noch irgendwie anders behilflich sein kann, einfach schreiben. Ich werden dann mein bestes versuchen 
--Ex0
Kaufberatung anfragen
Zum Kontaktformular
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Zu den TV-Angeboten
Informieren Sie sich über unsere aktuellen TV-Angebote.
