[aht0]

Mõtlesin et võiks kirjutada juhendi kuidas saada Telia IPTV tööle läbi pfSense/OPNSense tulemüüride. Tööle peaks hakkama kõik teenused, niipalju kui ma olen neid proovinud.

Kasutajaliidese poolest on need kaks praktiliselt identsed, vähemalt funktsionaalselt vajalikes kohtades. OPNSense on pfSense fork.

Esmalt, seadista endale ise elementaarne internetiühendus (WAN/LAN), selle jätan siin vahele. Pole üldse keeruline.

seadmenimede tähistus siin:
EM0 - üksik Inteli gigabit võrgukas [Intel Pro1000GT]).Selle seadistame allpool ka IPTV väljundiks. Siia pessa torkan digiboksiga ühendatud võrgukaabli.
EM1 (WAN) ja EM2 (LAN) - Inteli kahepesaline võrgukaart [Intel Pro1000MT])

Sissejuhatus sellega läbi.

1)Seadistame IPTV jaoks vajalikud interface'id. Kõige mugavam esimesel korral seadmetele läheneda kasutades Interfaces->(assign) menüüvalikut. Sealt
EM0 kandis esmalt nime OPT1, nimetan selle ümber IPTV_OUT. pfSense'il on kombeks anda selgelt arusaadavad nimed WAN/LAN ainult kahele võrguseadmele, ülejäänud saavad automaatselt OPT1,OPT2,OPT3 jne

Seadme lisamiseks klikkan sümbolil (edaspidi kutsun seda "pluss-ikooniks"). Vajutan linnukese "Enable interface" ja salvestan. Peale refreshi nõuab admin liides veel Apply changes nupu vajutamist. Edaspidi ei hakka neid kahte sammu mainima. Vähem kirjutamist.

ja paaritan selle kaardiga EM0 ning vajutan Save. Seejärel klikkan uuel vastloodud interface nimetusel (see on otselink) ja avaneb järgmine pilt

NB! IP aadressi EI määra. Lihtsalt kirjutan uueks nimeks IPTV_OUT ja salvestan. Seadete jõustamiseks pean veel korra klikkima nupul Apply changes. Edaspidi neid liigutusi samuti eraldi enam ei maini.

Järgmise sammuna liigun tagasi Interface-(assign),VLANs tab ja jälle klikin uue seadme lisamiseks pluss-ikoonil.
EM1 on rippmenüüs valitud võrgukaardiks, sest see on selles konkreetses masinas WAN-kaart. Vajutame Save ja näeme


Järgmine samm on "teha" sellest VLAN4'st võrgukaart. Valin Interface assignments tab'i, klikin jälle pluss-ikoonil, paaritan vastloodud OPT2 interface paremal menüüs oleva vlan4 on em1 valikuga ja klikkan vastloodud OPT seadme nimel. Selle nimetan ümber seadmeks IPTV_IN

NB! IP aadress jääb jälle määramata.

Nüüd, sildan need kaks eelnevalt loodud interface'i omavahel.
Peamenüüst valin Interface->(assign), valin tabi Bridges, klikin pluss-ikoonil uue interface lisamiseks ning hoides all CTRL klahvi, valin seadmed IPTV_IN ja IPTV_OUT

Mingeid muid seadistusi siin teha ei ole vaja, kuigi kui on soov siis võite (show advanced options'i klikkides avanevad prioriteedid jms). Mina vajutan Save ja saan

Siit edasi liigun vana rada mööda Interface assignments, klikin pluss-ikoonil, loon uue OPT interface, klikin sellel ja nimetan asja ümber IPTV_BRIDGE

NB! Siin pead määrama IPv4 Configuration Type valikuga DHCP. Salvestan.

Kontrollin kas IPTV_BRIDGE sai võrgust endale IP aadressi kätte. Selleks peab teleka digiboksi sisse lülitama. Kindluse mõttes panen käima ka teleka enda. Siis on eksimise tõenäosus väiksem.
Võrguseadmete/interface kõige kergemaks kiikamise võimaluseks on pfSense menüüst valida Status -> Dashboard. Avanenud lehel on Interfaces appletis näha seadmete põhiparameetrid. Mind huvitab kas IPTV_BRIDGE ip aadress, mis nagu näha on ilusti võrgust kätte saadud.


Üks etapp on läbitud. Järgmine on tulemüüris vajalikud "augud" luua. Ma ei viitsi kõikide alamvõrkude piiramisega asja segasemaks ajama hakata ja seega annan kõigele IPTV_IN/IPTV_BRIDGE/IPTV_OUT peal liikuvale lihtsalt rohelise tule. Hiljem, kui teler on töös, on lihtsam alamvõrke üksteisest isoleerida.
Liigun Firewall -> Rules, valin vastavad tabid ja seadistan need esmalt lubama läbi kõike.
Esmalt IPTV_OUT

Siin on aga üks lisaseadistus, mis vajab tegemist. Kerides lehte allapoole on seal mitmed "advanced" valikuvõimalused. Mind huvitab konkreetselt

Ja täpselt samade seadistustega teed ka IPTV_IN ja IPTV_BRIDGE tulemüüri reeglid.
Ülevaatlikult




Viimane asi mida teen on Outbound NATi redigeerimine. Valin manuaalse režiimi ja kustutan automaatselt genereeritud ja ebavajaliku.


Nüüd peaks olema pilt telekas ja ka kõik IPTV teenused töötama. Alamvõrkude isoleerimiseks ja tulemüüri reeglite täpsemaks seadistamiseks soovitan telekas käimas hoida. Mõned IPTV jaoks vajalikud IP aadressid ei kuulu 10.0.0.0/8 alamvõrku. Kui piirad vale asja, kustub telekas pilt vms Tartu kandis on oluline lasta läbi näiteks 84.50.255.47

EDIT:Interface assignment leht ise:
Mainisin palju kordi kuid takkajärgi vaadates ühtki scriini ei näidanud.

[indrpo]

See oli see teema mida mõned kasutajad ootasid. Juhend peaks aitama ka teist sorti ruuteritega teenust käima ajada.

[aht0]

paraku ainult juhul kui on x86 riistvara ja kasutada neid kahte softi.ARM tugi peaks tulema siis kui FreeBSD muudab ARM arhitektuuri Tier1'ks (plaanitud kuuldavasti)

Linuxiga minu teada päris nii ei saa. IGMP proxy jääb paratamatuseks. Võin ka eksida.

[1200rist]

Töötab nii nagu kirjas aga kas on võimalik ka seda läbi LANi tööle saada?

[aht0]

[poocman]

Pole kindel mida 1200rist mõtles, aga äkki et Telia ruuterist kaabel välja ja selle otsas analoogne lahendus. Endal oleks sellist lahendust vaja.

[aht0]

[1200rist]

[indrpo]

Märgin ära, tuttaval oli selle kohta abi vaja ja nüüd saab katsetada.

[aht0]

[1200rist]

[aht0]

mitme VLANi määramine ühele füüsilisele interface'le peaks AFAIK olema võimalik. Mul endal switchi pole ja on mitme pesaga serveri võrgukaart (paar kümpsi eBays), nii et pole olnud sellist vajadust leiutada.

pfSense foorum väidab sama.
EDIT: https://forum.pfsense.org/index.php?topic=135799.0

[1200rist]

[Etz]

1200rist, switchi konfi võiksid kah panna, siis oskaks ehk midagi öelda.

[1200rist]

[Etz]

[the001]

Suur tänu abiks juhendi eest! Selle järgi talitades tundub Telia ja pfSense koostöö seadistamine väga lihtne ning TV ja Järelvaatamine toimivad. Lihtne siis kuni ise midagi nuputama peab....

Kui nüüd saaks pisikese viite ka selle kohta, et kuidas IPTV_OUT asuv (Samsungi soft-digibox) telekas ka internetti saaks (näiteks YouTube'i) oleks nagu päris. Thomsoni digibox seda justkui oskas ja hetkel see ei toimi. Lihtsalt "ei connecti"
Hetkel on kogu liiklus kõikjalt ja kõikjale lubatud (nagu eelmine juhend lõpetas) kuid ilmselt ei oska internetipaketid telekasse tagasi minna, vms?

Konkreetsemaks minnes:
Telku MAC: 84:a4:66:a1:09:a0
IP: 10.251.131.115
Mask: 255.255.192.0
GW: 10.251.128.1
DNS: 84.50.87.133

IPTV_BRIDGE (DHCP-st): 10.251.155.179

Aga loodetavasti saab seda confida ka veidi dünaamilisemalt kui konkreetsete väärtuste peale.

Suur tänu ette teadjatele.
the.

[keevitus]

Oskab keegi öelda milles asi?
Mul pfSense ruuter. IPTV toimib kenasti. Lisaks on paar masinat kus on mitu võrgukaarti sees. Ühte jookseb net ja teise vlan4 kaudu iptv.
Ainuke probleem on, et mingi aja tagant w10 masin nagu unustaks midagi ära ja vlc (vms player) ei suuda iptv stream´i käima tõmmata.
Kui kõik teised interface´id disabled´da (lan, bluetooth, vpn) siis saab ühenduse kohe kätte ja pärast esmast ühenduse kätte saamist
töötab kõik korralikult. Lihtsalt esmane striimi alustamine ei toimi kui teised võrguseadmed masinas on aktiivsed.

edit: Ise küsin, ise vastan.
Windowsi konf tuleb seadistada nii, et esmalt pöördutakse iptv interface poole, siis vlc (jms) pleierid saavad hakkama.

[hinrek]

Tänud, et õigele teele suunasid
Sain ise tööle nii, et ei kasutada eraldi porti pfsense ruuteril vaid tark switch passib vlan4 edasi telia digiboksile. Suuresti põhjus sellest, et ruuteril on ainult kaks füüsilist porti.

Sisuliselt siis nii:
iptv_vlan_in 4 (wan) -> interface iptv_in
iptv_vlan_out 4 (lan) -> interface iptv_out
iptv_bridge ( iptv_in, iptv_in) -> interface iptv_bridge dhcp
firewallist sinu juhiste järgi hetkel kõik avatud ja outbound nat jätsin default "Automatic outbound NAT rule generation" peale.
unifi switch passib vlan4 porti 7 edasi digipoksile ja magic

[ufo56]

Keegi pfsense pannud nii ka tööle, et iptv ja nett ühte kaablit pidi ?

[ThedEviL]

ufo56, nii igmp proxy kui udpxy on mõlemad olemas pf pakettides. Seega peaks olema ainult konfimise vaev.
igmp proxy paneb live tv tööle ja udpxy paneb järelvaatamise tööle.

[Tarts5]

Kuna nüüdseks on pildid kaduma läinud, kas keegi vajalikest tulemüüri reeglitest viitsib pildid teha või kirjutada mida vaja?

[aht0]

Pildid alles ju?

[ccplazza]

Tänud asjaliku õpetuse eest! Tegin 2.5.0 versiooni peal, väikesed erisused olid, kuid lihtsasti ületatavad, kui natukene asjast aru saab

[Tarts5]

[ccplazza]

[Tarts5]

ei olnud minul midagi vaja confida seoses DigiTV-ga. Telia digiboksi kaabel kuskile LANi pessa ja asi toimib. Digiboks saab ka interneti ühenduse. Hakkasin asja üldse uurima kui selgus, et kui teha asi antud juhendi järgi (VLAN4 jne), siis Arris digiboks ju ka teises VLANis ja seega ei saa Arrise Youtube-i äppi enam telefoniga "Castida". "originaalis" Inteno seadmega seda teha sai, järelikult kas on Intenos mingi äge routing (mida ma ei näinud küll) või olid kõik seadmed juba Intenos nö samas vlanis ja seega pole see eraldi VLAN4 enam vajalik. Testisin, toimis.
Turvalisuse osa ei oska kommenteerida, aga minu arusaama järgi seade minu LANis nagu iga teine. OPNsense by default juba üsna kinni ja nii ma ta ka jätsin.

[ccplazza]

[Tarts5]

[ccplazza]

Sellest üsna laialt juttu olnud erinevates Telia ja Mikrotik teemades. Kui VLAN4 digiboksi ei jõua, siis digiboks flashib ennast OTT režiimile ja näitab üle interneti Telia TV teenust. Maksimum on 720p pilt. Samaväärne kui vaadata arvuti brauserist teliatv.ee pealt.

[Tarts5]

Saan ma õigesti aru, et kui teha lahendus avalehel oleva juhendi järgi siis puudusteks on see, et Digiboks ei saa internetti ja on teises VLANis ehk ma ei näe sisevõrgust Digiboksi ja ei saa tema Youtube-i äppi castida (teleka Youtube äpp on viletsam ) ? Ja salvestamine ei toimi? Või said sa omal asja toimima nii, et neid puudusi ei ole? Sel juhul suurima hea meelega kuulaks kuidas tegid, teeks omal ümber ja vaataks kas on pildi kvaliteedi vahe.

[ccplazza]

Telia toob sinu ruuterini ühest kaablist interneti ja IPTV. See töötab kuna seal kaablist liigub VLAN tag 4 (IPTV) ja untagged VLAN (internet). Järgides õpetust siin teemas esimeses postituses (Bridge lahendus), siis põhimõtteliselt seadistad sa ruuteri saatma VLAN tag 4 ühenduse digiboksi, ehk digiboks saab õige IPTV signaali. Tehes IGMP proxy lahenduse, siis mingit bridget sa ei tee, vaid ruuter on nende IGMP packetite vahendaja Telia ja digiboksi vahel. IGMP kaudu liigub see IPTV signaal.

Ilma konfita - OTT režiim 720p max, salvestus töötab, internet töötab
Bridge lahendus - Full HD pilt, salvestus töötab, interneti pole
IGMP proxy - Full HD pilt, salvestus ei tööta, interneti pole
IGMP proxy ja NAT - Full HD pilt, salvestus töötab, internet töötab

Pildi vahet tahad proovida, siis võid esimest postitust järgida. Ega ma ise ka väga pädev antud teemas ei ole, suht kogemata sain tööle selle.
Castimine ei tööta jah minu lahenduse puhul, aga Pfsense eraldi NICidega pole by default ka switch nagu enamus poest ostetavad ruuterid on. Äkki saab selle digiboksi samasse LANi kui kasutada IGMP snoopinguga switchi ja kõik sinna switchi ühendada (ehk Pfsense -> switch -> tv, arvuti, wifiap...)

[Tarts5]

Tänud, jälle natuke targem (ja jälle väike projekt juures ) Võtan mingi hetk kätte ja üritan kogu kupatuse FHD peal tööle saada.

[ThedEviL]

[aht0]

Eks ma uuendan avaposti kui Telia TV kunagi uuesti kasutusele võtan. Hetkel pole lihtsalt vaja ja on välja lülitet.

[ccplazza]

Salvestuse all ma mõtlesin järelvaatamist, minu paha. Salvestamist ma pole proovinud, kas töötas.

[ThedEviL]

ccplazza, salvestamine ja järelvaatamine on telial ju üks ja see sama asi

[ccplazza]

Hetkel mul IGMP proxy + NAT lahendusega töötavad Full HD IPTV, järelvaatamine, internet. Äkki RTSP helperit pole vaja?

[ThedEviL]

[ccplazza]

[VeixES]

Panen jälje maha. Kuna VLAN tugedega switcid majas siis piisab 2 pordiga pfsense karbist. Loodetavasti on piisav 500/500 ühendusega jaoks, aliexpress Hystou Firewall PC NUC J3160 (80eur).

[keevitus]

Ma ei saa aru, miks mul ei toimi Go3?


Mis interface peaks saama igmp proxy? Mul on "TELIA" siis WAN kust net tuleb sisse. IPTV_OUT ja IPTV_LAN küljes istuvad digiboxid. Mõlemast töötab kõik peale Go3.
Mis peaks olema Outbound NAT konf?

[ThedEviL]

ccplazza, jaga konfi.
Täpsemalt, mis moodi sa pfsense'iga said dhcp client classlessroute?

[ccplazza]

classlessroute on mul nii konfitud.

Spoiler

IGMP proxy

Spoiler

Outbound NAT

Spoiler

Outbound NATis need viimanes neli reeglit siis. Arvan, et järjekord ka oluline kuna enamus asju PFSenses käivad vist ülevalt alla. Ehk siis 192.168.2.0/24 subnetist tulenev tcp/udp liiklus suunata WANi ja seejärel on reegel, samast subnetist any liiklus (IGMP ja muu siis?) VLAN4 võrku.

Tulemüüris on hetkel IPTV in ja IPTV out mõlemad konfitud any reeglitega + lubatud advanced optionsi all "Allow IP options"

[keevitus]

IPTV_OUT on static ip conf 192.168.2.0?

[ccplazza]

[Tarts5]

Kas ma saan õigesti aru, et võrreldes avalehe postitusega, tuleks lisaks:
- IPTV_OUT static IPv4, vabalt valitud subnetiga?
- IPTV_IN DHCP IPv4 + classlessroute säte
(IPTV_BRIDGE jääb nii nagu on?)
- NAT reeglid nii nagu "ccplazza" postitas
- IGMP proxy
kõik?
Küsin, sest proovisin OPNsense (latest) peal järgi ja ise sain küll digiboksi bootima "õigesse", mitte OTT reziimi (HD/SD mummud on näha), kuid reaalajas pilti ei näita, kõik kanalid pimedad, aga Telia kanalite menüü on ilusti olemas. Kanal2 ja Kanal12 pealt saab saateid järgi ka vaadata, YouTube-l internet on. Kus ma vea võisin teha?

[ccplazza]

IPTV_BRIDGE ei kasuta, see disable ära.

[ThedEviL]

ccplazza, võin mürki võtta, et mu konf oli analoogne, aga tänud. proovin veel korra üle. Kui ikka midagi, palun confi exporti.
Rtsp helperi ma sain korra tööle ilma igmp proxyta, mis jäi kuhugi tulemüüri otsa nii lollakalt kinni, et ma ei suutnud enam tuvastada kuhu ta kinni jääb.
Ehk phmtlslt kanaleid lives ei näinud aga järelvaadata sain... geniaalne funktsionaalsus....

AAaaaa. ma peaks vähem mürki võtma. .... mul oli ju digiboxi ja pfsense vahel 2 igmp soopingu võimelist seadet (mikrotik ja tp'link switch).. Ma unustasin need välja lülitada.

[ccplazza]