Protokoll 2 (IGMP) weiterleiten?

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi Hi twister996
Habe mir gerade noch mal nen ETH-Trace angeschaut. Da sehe ich jetzt die 239.255.255.250 statt 224.0.0.0. Die gehört auch in den MC-Bereich, oder? Ich habe die Firewall und den Router schon mal testweise umkonfiguriert - vielleicht habe ich aber dabei was falsch gemacht.
Gibt es dabei etwas besonderes zu beachten?
das sind wohl die Multicasts, mit denen der Receiver den Server steuert...

Gruß
Backslash
Nach oben
twister996
Beiträge: 46
Registriert: 19 Jan 2008, 10:09

Beitrag von twister996 »

Hi Backslash,

VLAN: nein, nutze ich nicht.
Firewall: nein, kein Tönchen
Intranet-Ethernet-Schnittstelle aus der Bridgegruppe rausnehmen: keine Änderung

anbei Wireshark-Trace, einfach nach 192.168.11.218 filtern (die 169er IGMP ignorieren, die scheint mein HP-NB generiert zu haben...)

Gruß
twister996
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi twister996

danke für den Wireshark-Trace...

ich denke nun hab ichs... Im LAN selbst gibt es noch Multicastfilter, die erstmal deaktiviert werden müssen. Das geschieht nun, sobald eine Multicstroute eingetragen wird...

Was der Wireshark-Trace auch noch gezeigt hat, ist, daß die "abgehende" Multicastregel ebenso wie die einkommende sowohl für IGMP als auch UDP gelten muß, denn der Receiver steuert den Server (es ist wohl eher eine Serverfarm) auch über Multicasts (239.255.255.250)

ich schick euch erneut eine neue Firmware

Gruß
Backslash
Nach oben
twister996
Beiträge: 46
Registriert: 19 Jan 2008, 10:09

Beitrag von twister996 »

Hi Backslash,

da war ich natürlich gespannt!! Habe die Firmware vor ner Stunde installiert und es passiert jetzt auch jede Menge... aber das Bild bleibt nach wie vor nach 10 Sekunden stehen, also nach den Unicasts.
Habe jetzt mal die Standard-Sachen probiert, die ich in der letzten Zeit immer mal wieder getestet habe - allerdings ohne Erfolg.

Es sieht jetzt so aus: IGMPs kommen rein und gehen raus (alle paar Sekunden). Da ist jetzt meine 1. Verständnisfrage: die TV-Daten sind ja "jede Menge" - müsste da nicht VIEL mehr reinkommen, also zig pro Sekunde??? Kann ich das irgendwie prüfen?

In den Traces sehr ich jetzt erst mal nix spannendes, einzig auffällig ist das Wort "unknown" bei folgender Sequenz:

[IP-Router] 2008/01/25 19:02:57,420
IP-Router Rx (LAN-1, INTRANET, RtgTag: 1):
DstIP: 224.0.0.22, SrcIP: 192.168.11.218, Len: 40, DSCP: CS3 (24), ECT: 0, CE: 0
Prot.: IGMP (2), DstPort: ---, SrcPort: ---
Route: WAN Tx (INTERNET)

[IGMP] 2008/01/25 19:02:57,440
Received unknown for group 0.0.0.1 from 192.168.11.218 at LAN-1, INTRANET
=> Forward to router


[IP-Router] 2008/01/25 19:02:57,440
IP-Router Rx (LAN-1, INTRANET, RtgTag: 1):
DstIP: 224.0.0.22, SrcIP: 192.168.11.218, Len: 40, DSCP: CS3 (24), ECT: 0, CE: 0
Prot.: IGMP (2), DstPort: ---, SrcPort: ---
Route: WAN Tx (INTERNET)

Ist das "unknown" normal oder...??

Nach den ganzen Änderungen in der Firmware noch ne Frage: stimmen noch die vier Firwall-/Routing-Regeln, die Du auf Seite 2 beschrieben hast? Und wird die Sperroute auf Tag 2 von Seite 3 noch benötigt?

Die Firewall-Regeln IN und OUT habe ich jeweils auf Dienste "UDP und 2" konfiguriert, das meintest Du doch mit dem entspr. Hinweis Deines letzten Beitrags, oder?

Gruß
twister996
Nach oben
twister996
Beiträge: 46
Registriert: 19 Jan 2008, 10:09

Beitrag von twister996 »

...mal wieder ein Nachtrag: ich habe andere Geräte im LAN, die auch was mit IGMP machen (ich habe die Airport-Express von Apple für die iTunes-Anbindung in Verdacht). Bei der kommt dann als Antwort z.B.

[IGMP] 2008/01/25 19:22:25,890
Received v2 report for group 224.0.0.251 from 192.168.11.248 at LAN-1, INTRANET
=> Forward to router

Kann es sein, dass die IPTV-Mediabox auf den "v2 query", der vom Internet kommt, auf eine Art und Weise antwortet, die die Lancom noch nicht versteht? Die "received unknown" kommen nämlich immer nach dem "v2 query"....

Gruß
twister 996
Nach oben
backslash
Moderator
Moderator
Beiträge: 7129
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi twister996
Es sieht jetzt so aus: IGMPs kommen rein und gehen raus (alle paar Sekunden). Da ist jetzt meine 1. Verständnisfrage: die TV-Daten sind ja "jede Menge" - müsste da nicht VIEL mehr reinkommen, also zig pro Sekunde??? Kann ich das irgendwie prüfen?
das sind dann aber keine IGMP-Pakete mehr. Das sind einfach irgendwelche UDP-Pakete, die an eine Multicastadresse geschickt werden.
Kann ich das irgendwie prüfen?
nun ja, du könntest einen Ethernet-Trace starten um zu sehen, was auf der WAN-Seite passeirt - noch besser wäre, wenn du den WAN-Seitigen Traffic mal mit Wireshark mitschneiden könntest.
In den Traces sehr ich jetzt erst mal nix spannendes, einzig auffällig ist das Wort "unknown" bei folgender Sequenz:

(...)

Ist das "unknown" normal oder...??
"unknown" heißt erstmal nur, daß das IGMP-Modul des LANCOMs nichts damit anfangen kann. Es leitet das Paket ansonsten unangetastet weiter.

Du kannst aber parallel zum IGMP-Trace auch einen Paket-Trace aktivieren, dann wird das Paket ausgedumpt, dann kann man ja mal reinschauen, was drin steht...
stimmen noch die vier Firwall-/Routing-Regeln, die Du auf Seite 2 beschrieben hast?
ja, bis auf den Punkt, daß in beiden(!) Regeln als Dienste UDP und IGMP konfiguriert sein müssen.
Und wird die Sperroute auf Tag 2 von Seite 3 noch benötigt?
nein, die wird nicht mehr benötigt - das LANCOm erkennt diese Situation nun selbständig.
Die Firewall-Regeln IN und OUT habe ich jeweils auf Dienste "UDP und 2" konfiguriert, das meintest Du doch mit dem entspr. Hinweis Deines letzten Beitrags, oder?
genau...


...mal wieder ein Nachtrag: ich habe andere Geräte im LAN, die auch was mit IGMP machen (ich habe die Airport-Express von Apple für die iTunes-Anbindung in Verdacht). Bei der kommt dann als Antwort z.B.

[IGMP] 2008/01/25 19:22:25,890
Received v2 report for group 224.0.0.251 from 192.168.11.248 at LAN-1, INTRANET
=> Forward to router
Um hier Probleme ausschließen zu können, solltest du in der abgehenden Regel als Quelle nicht das lokalen Netz, sondern nun die IP-Adresse des IPTV-Receivers eintragen.

Desweiteren solltest du auch die im Auslieferungszustand vorhandene Sperr-Route für Multicasts dringends wieder aufnehmen:

Code: Alles auswählen

IP-Adresse 224.0.0.0
Netzmaske  224.0.0.0
Rtg-Tag    0
Router     0.0.0.0
Kann es sein, dass die IPTV-Mediabox auf den "v2 query", der vom Internet kommt, auf eine Art und Weise antwortet, die die Lancom noch nicht versteht? Die "received unknown" kommen nämlich immer nach dem "v2 query"....
wie schon gesagt: ja, das LANCOM versteht das Paket nicht, leitet es aber unverändert an den Router weiter

Gruß
Backslash
Nach oben
twister996
Beiträge: 46
Registriert: 19 Jan 2008, 10:09

Beitrag von twister996 »

Hi Backslash,

obwohl es so gut aussah, komme ich jetzt irgendwie nicht weiter :-(

Noch mal Google gefragt und da habe ich was gelesen, dass da wohl Ports umgemappt werden müssen, siehe http://www.onlinekosten.de/forum/showth ... 47&page=18

Ich gehe mal davon aus, dass der Lancom-Router das nicht automatisch macht...? Kannst Du mir ein wenig helfen, wie das konfiguriert werden muss? Ist das die Portwarding-Tabelle??

Danke und Gruß
twister996
Nach oben
twister996
Beiträge: 46
Registriert: 19 Jan 2008, 10:09

Beitrag von twister996 »

...das Thema hat mich süchtig gemacht, ich kann einfach nicht aufhören...

Das mit den Ports aus dem vorigen Beitrag war glaube ich ne Finte, die Pakete enthalten m.E. schon die richtigen Source- und Destination-Ports.

Den gesamten Datenverkehr kann ich leider nicht mit Wireshark mitschneiden, da mein 1823 nur 2 ETH-Schnittstellen hat - an einem hängt das VDSL-Modem und an das andere muss ja dann das Intranet, wo u.a. der Mediareceiver angeschlossen ist. Somit fehlt mir der Monitoring-Port - ich kann also immer nur einen Teil mitschneiden.

Testweise habe ich die IPTV-OUT-Routingregel mal auf 192.168.11.1 anstatt auf INTERNET geroutet, um zu schauen, ob ich da im Wireshark was sinnvolles erkennen kann.

Dabei ist mir aufgefallen, dass die entsprechenden Pakete mit TAG 1 markiert werden, was ja auch richtig ist. Aber: Die UDP-Pakete werden trotz geänderter Routing-Regel gen INTERNET geroutet. Ist das richtig? oder könnte hier was noch nicht richtig sein? siehe Trace:

[IP-Router] 2008/01/26 12:49:39,000
IP-Router Rx (LAN-1, INTRANET, RtgTag: 1):
DstIP: 239.255.255.250, SrcIP: 192.168.11.218, Len: 1156, DSCP/TOS: 0x60
Prot.: UDP (17), DstPort: 8082, SrcPort: 1041
Route: WAN Tx (INTERNET)

[IP-Router] 2008/01/26 12:49:39,280
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 87.141.145.9, SrcIP: 192.168.11.218, Len: 162, DSCP/TOS: 0x60
Prot.: UDP (17), DstPort: 47806, SrcPort: 1124
Route: WAN Tx (INTERNET)

[IP-Router] 2008/01/26 12:49:39,300
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 87.141.145.9, SrcIP: 192.168.11.218, Len: 162, DSCP/TOS: 0x60
Prot.: UDP (17), DstPort: 47806, SrcPort: 1124
Route: WAN Tx (INTERNET)

[IP-Router] 2008/01/26 12:49:39,300
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.11.218, SrcIP: 87.141.145.9, Len: 93, DSCP/TOS: 0x60
Prot.: UDP (17), DstPort: 1124, SrcPort: 47806
Route: LAN-1 Tx (INTRANET):

[IP-Router] 2008/01/26 12:49:39,300
IP-Router Rx (INTERNET, RtgTag: 0):
DstIP: 192.168.11.218, SrcIP: 87.141.145.9, Len: 93, DSCP/TOS: 0x60
Prot.: UDP (17), DstPort: 1124, SrcPort: 47806
Route: LAN-1 Tx (INTRANET):

[IGMP] 2008/01/26 12:49:39,490
Received v2 query for group 0.0.0.0 from 217.0.119.87 at WAN, INTERNET
=> Forward to router


[Firewall] 2008/01/26 12:49:39,490
Packet matched rule IPTVIN
DstIP: 224.0.0.1, SrcIP: 217.0.119.87, Len: 36, DSCP/TOS: 0xc0
Prot.: IGMP (2), DstPort: ---, SrcPort: ---

send syslog message
send SNMP trap
packet accepted

[IP-Router] 2008/01/26 12:49:39,490
IP-Router Rx (INTERNET, RtgTag: 2):
DstIP: 224.0.0.1, SrcIP: 217.0.119.87, Len: 36, DSCP/TOS: 0xc0
Prot.: IGMP (2), DstPort: ---, SrcPort: ---
Route: 192.168.11.1, LAN Tx (INTRANET):

[IP-Router] 2008/01/26 12:49:40,250
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 87.141.145.9, SrcIP: 192.168.11.218, Len: 162, DSCP/TOS: 0x60
Prot.: UDP (17), DstPort: 47806, SrcPort: 1066
Route: WAN Tx (INTERNET)

[IP-Router] 2008/01/26 12:49:40,250
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 87.141.145.9, SrcIP: 192.168.11.218, Len: 162, DSCP/TOS: 0x60
Prot.: UDP (17), DstPort: 47806, SrcPort: 1066
Route: WAN Tx (INTERNET)

[IGMP] 2008/01/26 12:49:40,270
Received unknown for group 0.0.0.1 from 192.168.11.218 at LAN-1, INTRANET
=> Forward to router

[IP-Router] 2008/01/26 12:49:40,270
IP-Router Rx (LAN-1, INTRANET, RtgTag: 1):
DstIP: 224.0.0.22, SrcIP: 192.168.11.218, Len: 40, DSCP/TOS: 0x60
Prot.: IGMP (2), DstPort: ---, SrcPort: ---
Route: 192.168.11.1, LAN Tx (INTRANET):

Übrigens: wenn der Speedport W701V als Router angeschlossen ist (und IPTV somit funktioniert), kommt der IGMP-Query vom Router selber und nicht von der externen Adresse wie beim Lancom. Ich vermute, dass der Speedport hier als IGMP-Proxy fungiert - das sollte aber für´s Ergebnis doch irrelevant sein, oder?

Oder verschluckt sich der Lancom vielleicht doch noch an IGMP-V3?

Verzweifelte Grüsse
twister996
Nach oben
twister996
Beiträge: 46
Registriert: 19 Jan 2008, 10:09

Beitrag von twister996 »

vielleicht ist es ja nur Kosmetik, aber: im Lancom-Trace kommen die IGMP-Anfragen vom Internet als V2-Anfrage an:

[IGMP] 2008/01/26 13:37:16,490
Received v2 query for group 0.0.0.0 from 217.0.119.87 at WAN, INTERNET
=> Forward to router

Entsprechende Antworten vom Mediareceiver werden unknown dargestellt:

[IGMP] 2008/01/26 13:37:21,190
Received unknown for group 0.0.0.3 from 192.168.11.218 at LAN-1, INTRANET
=> Forward to router

Im Wireshark werden sowohl Anfragen als auch Antworten als IGMP-V3 entschlüsselt.

Backslash: ich weiss, Du hast geschrieben, dass die Pakete trotz "unknown" unverändert weitergegeben werden. Aber ist da vielleicht doch noch was im Argen? (Du wolltest mir das mit PPPoE ja zuerst auch nicht glauben ;-) )

Gruß
twister996
Nach oben
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5052
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Beitrag von LoUiS »

Hi twister,
Den gesamten Datenverkehr kann ich leider nicht mit Wireshark mitschneiden, da mein 1823 nur 2 ETH-Schnittstellen hat - an einem hängt das VDSL-Modem und an das andere muss ja dann das Intranet, wo u.a. der Mediareceiver angeschlossen ist. Somit fehlt mir der Monitoring-Port - ich kann also immer nur einen Teil mitschneiden.
hast Du noch einen alten Hub, haeng den doch zwischen LANCOM und VDSL Modem und zusaetzlich an einen Port nen Rechner zum sniffen. Sollte gehen, oder?


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Nach oben
twister996
Beiträge: 46
Registriert: 19 Jan 2008, 10:09

Beitrag von twister996 »

Hi LoUiS,

hatte ich schon überlegt, aber habe leiden keinen Hub mehr :-( - hätte auch nie geglaubt, dass ich sowas noch mal benötigen würde ;-)

Trotzdem vielen Dank für die Idee!

gruß
twister
Nach oben
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5052
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Beitrag von LoUiS »

Hi,

aktuelle manage bare Switche bieten die Moeglichkeit mehrere Ports in den Monitor-Mode zu schalten. Evtl. hast Du solch einen Switch ja im Haus ;), damit wuerde es dann auch klappen. (Ja ich weiss, sowas gibts nicht unbedingt in jedem Haushalt. :) War auch nur ein Versuch.)


Ciao
LouiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Nach oben
twister996
Beiträge: 46
Registriert: 19 Jan 2008, 10:09

Beitrag von twister996 »

Moin zusammen,

so, vorläufiger Abschlussbericht: Der Lancom scheint sich mit der neusten Firmware IGMP-mässig nun weitestgehend konform zu verhalten, dennoch fkt. IPTV mit Anschuss am VDSL-Modem nicht. Es funktioniert aber dann, wenn der Media-Receiver am Lancom angeschlossen und der Lancom wiederum per Plain-Ethernet am Speedport W701V ist. Das ging vorher (mit alter Firmware nicht).

Das bedeutet m.E.:

1. entweder macht der Speedport auf der WAN-Seite noch "irgendwas" proprietäres, was wir alle nicht wissen. Das halte ich aber für eher unwahrscheinlich, da es ja genug Berichte gibt, in denen Anwender berichten, dass sie IPTV mit einem anderen Router (Linux, Windows, Bintec u.a.) zum Laufen bekommen haben. Oder

2. der Lancom verhält sich auf der WAN-Seite (PPPoE) noch nicht 100%ig richtig. Ich habe hier die UDP-Verarbeitung im Verdacht, da man in Traces, Wireshark etc. bei der PPPoE-Anbindung nichts diesbzgl. "sieht", sehr wohl aber bei der Plain-Ethernet-Anbindung (ich hatte aus den jeweils 2 Regeln für Firewall und Routing 4 gemacht, für jede Richtung getrennt in IGMP und UDP, die entsprechenden UDP-Regeln greifen bei der PPPoE-Anbindug aber nicht).
Es kann sein, dass dies nur bei abgehenden Paketen der Fall ist. Wenn diese nämlich nicht richtig rausgehen, fängt der Media-Server bei der Telekom m.E. erst gar nicht an, die Daten zu "pumpen".

Was mich aber "traurig" gemacht hat: wenn der Lancom beim Plain-Ethernet-Anschluss an den Speedport-Router dann die IPTV-Daten verarbeitet und streamt, wird er SOOO langsam, dass er praktisch nichts anderes mehr macht - LANCONFIG kann nicht einmal mehr die Konfig-Daten lesen, in einer Telnet-Session braucht er für jede Eingabe mehrere Sekunden, die VPN-Verbindung bricht ab und wird dann irgendwann wieder aufgebaut.... Und das, obwohl ich schon alle Traces, Syslog-Meldungen etc. ausgeschaltet hatte. Wenn das wirklich der Endzustand wäre, brauchen wir uns alle keine weiteren Mühen bzgl. IPTV zu machen, da es in diesem Zustand defacto nicht zu gebrauchen wäre.

Ich habe das Thema für mich jetzt erst einmal abgeschlossen und werde die bittere Pille schlucken, den Speedport-Router verwenden zu müssen. Schade!

Natürlich würde ich mich freuen, wenn es doch noch eine Lösung gäbe - vielleicht habe ich die Konfig ja "suboptimal" gemacht und die Performance-Probleme kommen daher....

Übrigens kann man das ganze m.E. auch ohne Media-Receiver und ohne VDSL nachvollziehen. Das Problem tritt nämlich auch auf, wenn man einen Sender mit dem VLC-Mediaplayer auf dem PC schauen will, siehe http://www.ard-digital.de/14026_1 .
Im VLC-Player "Datei", "Netzwerkstream öffnen" und hier bei UDP/RTP Multicast z.B. 239.35.129.11 und Port 10000 für ARD eingeben. Der VLC-Player macht dann bzgl. IGMP etc. sinngemäß das gleiche wie der Mediareceiver.

Gruß und schönen Sonntag noch
Twister96
Nach oben
dk5ras
Beiträge: 70
Registriert: 21 Sep 2007, 08:22
Wohnort: Fürth
Kontaktdaten:
Kontaktdaten von dk5ras

Beitrag von dk5ras »

Moin,

ist das auch der Fall, wenn Du die Regeln nicht auf das gesamte INTRANET, sonder rein auf die IP-Adresse des IPTV-receivers legst? Vielleicht kommt der Einbruch in der performance rein daher, daß alle interfaces mit den Daten "zugemüllt" werden?! Das hatte ich bei anderen Geräten auch schon, die ich für IGMP zweckentfremden wollte...
Ralph.

--

LC 1823 OS 7.26 VDSL 50/10 MBit/sec
Nach oben
twister996
Beiträge: 46
Registriert: 19 Jan 2008, 10:09

Beitrag von twister996 »

Hi dk5ras,

bei rausgehenden Paketen ist INTERNET die Gegenstelle, da kann man ja wohl nichts dran ändern. Und bei reinkommenden habe ich den Lancom sebst (bei mir 192.168.11.1) eingetragen, so war es ja auch im Bsp. von Backslash.

Habe jetzt mal versucht, als Ziel die IP-Adr. des Mediacenters einzutragen, dann fkt. es nicht und im Routing-Protokoll kommt ein sinngemäßer Fehler "backroute error - discard frame" - ginge das auch besser?

Gruß
twister996
Nach oben
Antworten

Zurück zu „Fragen zum Thema Firewall“