Entertain mit Ubiquiti Security Gateway

Hast du einen Changelog oder so dazu bekommen? Würde mich mal interessieren was da alles geändert ist.

Hallo Reismann,
außer einen Sack voll unterschiedlicher Firmware ist da noch keine sinnvolle Info zu bekommen.
Für DE soll es die m7 sein. Wofür die NBN ist, konnte oder wollte der DrayTec Support nicht sagen. Ein User berichtet, dass er Entertain nur mit der NBN hell bekommt. Bei mir funktioniert keine Version. Ich bekomme mit dem V130 Entertain nicht zum Laufen. Werde heute Nachmittag noch mal einen Versuch starten.
Langsam bin ich echt genervt.

Gruß

Ich glaube ich warte einfach mit einem weitren Versuch, bis Ubiquiti den IGMP Proxi in die UI eingebaut hat. Das steht ja inzwischen auf der "Feature Roadmap for the near Feature" und soll wohl noch in der ersten Jahreshälfte kommen.

Dann sollte sich das mit dem Config File erübrigen und es sollte über die UI konfigurierbar sein.

Jup, so mache ich es auch.

Habe erstmal die Fritte aktiviert, liefert ein Netz nur für Entertain via WLAN Bridge und Unifi erledigt den Rest.

Nabend,

habs fast vergessen, hier der Link, wie die Einstellungen für den Vigor sind. Funktioniert bei mir am BNG Anschluss.

Entertain mit Vigor 130

Allerdings läuft der Vigor dann als Router und hinter dem USG bleibt es dunkel.

Güße

Hi Shadowcat,

das ist schön, dass sich da etwas tut. Vielen Dank für den Link. Leider ist das dann aktuell auch nur eine Notlösung.

Mein Vigor130 liegt aktuell in der Ecke und wartet auf den offiziellen IGMP Proxy Support von Ubiquiti. Bis das soweit ist muss die Fritzbox noch ihren Dienst verrichten.

evtl. hilft das hier https://community.ubnt.com/t5/UniFi-Routing-Switching/Disable-IGMP-Header-Validation-on-US-8-60W/m-p... .

müsste eigentlich auch mit einem usg klappen.

Gute Neuigkeiten:

IGMP Full Support -Status changed to: Accepted

Demnach können wir mit einem baldigen Update rechnen...

Hi m15u,

den Thread habe ich auch verfolgt. Habe den Fragesteller mal angeschrieben und nach mehr Details zu seinem Setup gefragt. Scheint so als hätte er das nur im Switch deaktiviert....

Denke das funktioniert so nicht unbedingt wenn man zusätzlich ein USG verwendet und die Internetverbindung über das USG herstellt.

Aber spätestens wenn der Support für IGMP implementiert ist sollte das ganze über die UI ohne problem konfigurierbar sein.

Moin,

also ich verwende momentan nur den den Unifi Switch. Das Routing macht momentan noch meine Fritzbox. Wenn dann mal IGMP und IPv6 über die GUI konfigurierbar sind, werde ich sie wohl ablösen.

Es geht hier nur um das IGMP-Snooping im Netz, also das der Multicast-Traffic nicht auf allen Ports hinausgeblasen wird.

Im Controller aktivierst du IGMP-Snooping in den Netzwerkeinstellungen. (Settings -> Network -> "Enable IGMP Snooping")

Danach Startest über den Controller das Debug-Terminal

> telnet 127.0.0.1 2222 <Enter>

> en <Enter>

> config <Enter>

> no set igmp header-validation

 Das war es für den Switch, natürlich aber nur bis zum reboot.

Zum Thema USG kann ich halt bisher nix sagen.

evtl. geht der weg. selber nicht getestet

https://community.ubnt.com/t5/UniFi-Routing-Switching/UBNT-USG-Unifi-Security-Gateway-and-Google-Fib...

Mein Setup sieht wie folgt aus:

Speedport W724V > USG > TP-Link Managed Switch

Eins noch vorweg: ich habe einen BNG Anschluss. Muss ich da trotzdem was mit den VLAN machen? Klar VLAN 8 fällt weg, aber muss ich was wegen VLAN 7 machen?

Da ja das Problem mit Multicast besteht habe ich aktuell den Receiver vor dem USG im Speedport stecken, somit funktioniert es aktuell halbwegs.

Schön wäre es aber, wenn ich den Receiver hinter dem USG in den Switch stecken könnte.

Was ich bisher hinbekommen habe ist folgendes.

Auf dem USG

configure
set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth1 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth1 role downstream
set protocols igmp-proxy interface eth0 role upstream
set protocols igmp-proxy interface eth0 threshold 1
set protocols igmp-proxy interface eth1 threshold 1
set protocols igmp-proxy interface eth0 whitelist 239.35.0.0/16
set protocols igmp-proxy interface eth0 whitelist 232.0.0.0/16
commit;save;exit

Dazu noch in der Firewall im WAN IN UDP Verbindungen von den Entertain IP Adressen erlaubt und in WAN LOCAL IGMP erlaubt.

Auf dem USG wieder (das Routing von extern nach intern klappt also. Zudem kann ich auch reproduzierbar den Traffic nach oben treiben. Ich muss nur mit VLC auf iOS einen Stream starten)

alaninster@ubnt:/$ show ip multicast interfaces
Intf             BytesIn        PktsIn      BytesOut       PktsOut            Local
eth0            901.95KB           681         0.00b             0    192.168.2.101
eth1               0.00b             0      901.95KB           681      192.168.1.1

Wenn ich nun mit VLC auf iOS einen Stream (Das Erste HD) starte sehe ich nun folgendes

Group Origin In Out Pkts Bytes Wrong
239.35.10.5 193.158.35.251 eth0 eth1 7676 9.92MB 0
239.255.255.250 192.168.1.50 eth0 eth1 10 4.79KB 10
239.35.10.4 193.158.35.251 eth0 eth1 234897 303.58MB 0
239.255.255.250 192.168.1.100 eth0 eth1 6 939.00b 6
239.255.255.250 192.168.1.10 eth0 eth1 28 8.22KB 28

Schauen wir den fett markierten Teil an

- Group ist also die IP, die ich angefragt habe

- Origin (ich hab absolut keinen Plan was das ist und warum das keine interne Adresse von mir ist)

Der unterstrichene Teil ist ein zweites iOS Gerät, welches einen anderen Stream "zeigt", oder zumindest Daten bekommt, aber nur ein schwarzes Bild anzeigt.

Der Rest sind irgendwelche anderen Geräte bei mir im Netzwerk, Drucker, NAS, Computer

Und die komische Adresse bei Origin ist auch das, was ich mir aktuell nicht erklären kann.

In VLC auf dem iPhone bleibt das Bild schwarz und ich kann auf der USG sehen, wie der Traffic nach oben steigt. Irgendwas wird also übertragen, nur nichts angezeigt?!

Hab ich irgendeinen Denkfehler?

So, jetzt hab ich es nach einigem Durchprobieren endlich geschafft. Bisher gibt es leider noch keine Möglichkeit das Ganze direkt über die GUI einzustellen, aber das Issue ist von Ubiquiti angenommen und wird wohl im Frühjahr released werden.

//edit: Gerade gesehen, dass zumindest über WLAN am iPhone die Verbindung nach ein paar Minuten abbricht. Ich muss mir das heute Abend mal direkt am Receiver anschauen.

Im Anhang befindet sich meine config.gateway.json

Hier noch meine Anweisungen, die ich auf dem USG ausführe, damit ich am BNG Entertain schauen kann.

configure

set firewall name WAN_LOCAL rule 1 action accept
set firewall name WAN_LOCAL rule 1 description IPTV
set firewall name WAN_LOCAL rule 1 destination address 239.35.0.0/16
set firewall name WAN_LOCAL rule 1 destination port 10000
set firewall name WAN_LOCAL rule 1 log disable
set firewall name WAN_LOCAL rule 1 protocol udp
set firewall name WAN_LOCAL rule 1 source address 193.158.35.251

set firewall name WAN_IN rule 1 action accept
set firewall name WAN_IN rule 1 description IPTV
set firewall name WAN_IN rule 1 destination address 239.35.0.0/16
set firewall name WAN_IN rule 1 destination port 10000
set firewall name WAN_IN rule 1 log disable
set firewall name WAN_IN rule 1 protocol udp
set firewall name WAN_IN rule 1 source address 193.158.35.251

set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0 role upstream
set protocols igmp-proxy interface eth0 threshold 1
set protocols igmp-proxy interface eth1 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth1 role downstream
set protocols igmp-proxy interface eth1 threshold 1

set protocols igmp-proxy interface eth1 whitelist 239.35.0.0/16
set protocols igmp-proxy interface eth1 whitelist 232.0.0.0/16

commit;save;exit 

mal eine kurze frage, bleibt das ganze auch nach einem softwareupdate erhalten oder muss man es immer wieder neu einrichten?

Hallo,

wenn ich es nur auf der Konsole per SSH auf der USG ausführe, dann sind die Einstellungen nach einem Provisioning wieder weg. Deshalb habe ich die angehängte config.gateway.json in meinem Controller abgelegt. (Weiter vorn im Thread ist beschrieben wo die Datei genau hin muss.) Nach einem Provisioning werden die Einstellungen vom Controller also wieder auf das USG geschrieben.

Bei einem normalen Update sollten die Einstellungen also auch wieder übernommen werden, sofern die config.gateway.json weiterhin im Controller liegt.

Allerdings stockt das Fernsehbild auf dem Receiver, wie auch auf allen weiteren Geräten nach ein paar Minuten. (Gemeint sind nicht die paar Sekunden nachdem von Unicast auf Multicast gewechselt wird.) Beim Receiver läuft das Bild nach ein paar Minuten weiter, bei VLC auf iOS bleibt das Bild komplett stehen und mein NAS, welches Fernsehsendungen für mich aufnimmt macht im Prinzip für jede Sendung um die 50MB große Stückchen.

Muss mir also noch genauer anschauen was passiert. Mein erster Versuch wird wahrscheinlich sein, dass ich mit VLANs rumprobiere um auszuschließen, dass die Multicastpakete zu stark das Netzwerk belasten. Allerdings schließe ich das eigentlich aus, da eigentlich alle Geräte IGMP Snooping mitmachen. Zudem war das eigentlich nicht mein Ziel das Ganze so stringent zu trennen, da ja mein NAS für mich Sendungen aufnehmen soll.

Ok, nun habe ich die Firewall nochmals angepasst der Stream läuft seit fast 30 Minuten auf meinem iPhone - ohne Unterbrechnung.

Ich werde das ganze noch eine Weile beobachten und dann schreibe ich es in meine config.gateway.json - ich lade sie dann hier auch hoch.

configure

set firewall name WAN_LOCAL rule 1 action accept
set firewall name WAN_LOCAL rule 1 description IPTV
set firewall name WAN_LOCAL rule 1 destination address 239.35.0.0/16
set firewall name WAN_LOCAL rule 1 destination port 10000
set firewall name WAN_LOCAL rule 1 log disable
set firewall name WAN_LOCAL rule 1 protocol udp
set firewall name WAN_LOCAL rule 1 source address 193.158.35.251

set firewall name WAN_LOCAL rule 2 action accept
set firewall name WAN_LOCAL rule 2 description "igmp-proxy"
set firewall name WAN_LOCAL rule 2 destination address 224.0.0.0/4
set firewall name WAN_LOCAL rule 2 log enable
set firewall name WAN_LOCAL rule 2 protocol all

set firewall name WAN_IN rule 1 action accept
set firewall name WAN_IN rule 1 description IPTV
set firewall name WAN_IN rule 1 destination address 239.35.0.0/16
set firewall name WAN_IN rule 1 destination port 10000
set firewall name WAN_IN rule 1 log disable
set firewall name WAN_IN rule 1 protocol udp
set firewall name WAN_IN rule 1 source address 193.158.35.251

set firewall name WAN_IN rule 2 action accept
set firewall name WAN_IN rule 2 description 'Allow IGMP to LAN'
set firewall name WAN_IN rule 2 destination address 224.0.0.0/4
set firewall name WAN_IN rule 2 log disable
set firewall name WAN_IN rule 2 protocol udp

set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0 role upstream
set protocols igmp-proxy interface eth0 threshold 1
set protocols igmp-proxy interface eth1 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth1 role downstream
set protocols igmp-proxy interface eth1 threshold 1

set protocols igmp-proxy interface eth1 whitelist 239.35.0.0/16
set protocols igmp-proxy interface eth1 whitelist 232.0.0.0/16

commit;save;exit

Was mir aber aufgefallen ist, aktuell sind die Statistiken über Multicast auf dem USG unbrauchbar... Die sehen nämlich nacher 30 Minuten Stream schauen so aus. Der Traffic ist meiner Meinung nach für die eigentlich erforderliche Menge an Daten sehr sehr gering...

alaninster@USG:~$ show ip multicast mfc 
Group           Origin           In          Out                Pkts         Bytes  Wrong
239.35.10.4     193.158.35.251   eth0        eth1                149      197.39KB      0
239.35.20.33    193.158.35.251   eth0        eth1                 24       31.80KB      0
alaninster@USG:~$ show ip multicast interfaces
Intf             BytesIn        PktsIn      BytesOut       PktsOut            Local
eth0             10.91MB          8431         0.00b             0    192.168.2.101
eth1               0.00b             0        5.53MB          4282      192.168.1.1
eth1.5             0.00b             0         0.00b             0      192.168.5.1  

Kann man Entertain nun hinter dem Unifi Gateway / Unifi Switch mit der aktuelle Firmware 3.7.47.6194 betreiben?

Kurz und knapp: Nein!

oder wie schon beschrieben, über umständliche Umwege.

Ich habe ein USG-3 Ports und ein Vigor 130.
Ich habe alles vor ein Jahr konfiguriert, das heißt habe ich jetzt alle Details nicht mehr im Kopf, aber Vigor ist als rein Modem konfiguriert und USG macht PPPoE.

Was ich nicht verstehe ist:

- ich erreiche den Vigor nicht mehr unten den IP Adresse die ich konfiguriert habe (192.168.1.254)
- Wenn ich VLAN 7 in USG konfiguriere, dann funktioniert die ganze Netzwerk nicht mehr.

Ich möchte ein Telekom EntertainTV bestellen

Gruß
Marco

Vielleicht hast du ja einen BNG (sind die neueren Anschlüsse), dann werden Entertain und der Rest nicht mehr durch die VLANs getrennt. Soweit ich weiß, wird der normale Netzwerktraffic auch nicht mehr mit VLAN7 getaggt.

VLAN7 braucht man auch am BNG Anschluss.

Danke für die info. Dabei fällt mir ein, dass ich ja noch meine Config posten wollte, sobald ich diese final habe.

Die Config ist an sich jetzt wieder recht klein geworden. Denn alles was über das GUI zu konfigurieren geht, habe ich auch über das GUI gemacht.

Die config.gateway.json ist angehängt. 

Die Regeln der Firewall folgen als Screenshots. Als erstes die Konfiguration der Firewall Groups

IPTV-PortIPTV-SourceIPTV-Destination

Jetzt die Firewall Regeln an sich

WAN INWAN IN

WAN LOCALWAN LOCAL

Und was bedeutet es wenn ich ein BNG Anschluss habe? Kein VLAN ist mehr notig?

Also ich hab bei mir kein VLAN eingestellt und es funktioniert ohne Probleme.

Bei BNG wird Entertain nicht mehr in VLAN 8 übertragen, sondern einfach mit in VLAN 7.