T-HOME über VPN

[Fux]

Hallo,
EIne kurze grundlegende Frage: Muss es ein Brücken-Tunnel sein (tap) (siehe Beitrag von Fox) oder tuts auch ein "normaler" Tunnel (tun)?
Gruß

Hi ChriZ,

entscheidend ist, daß sowohl die Unicast- als auch die Multicast-Pakete durch jene Box geleitet werden, welche am T-Home-Anschluß hängt.
Für Unicast müssen die Routen (Bzw. Rules) entsprechend gesetzt sein. Ich hab es bei mir so gelöst, daß ich alles, was von der IP des Media-Receivers kommt, zu der Box am T-Home-Anschluß leite. Etwa so:

ip route replace default via $IP_DER_ENTFERNTEN_BOX table 200
ip rule add from $IP_DES_MEDIA_RECEIVERS table 200

Für Multicast braucht man igmpproxy oder eine andere Form der Unicast-Weiterleitung, da diese sonst am ersten Router hängen bleiben.

Grüße
Fux

 

[-ChriZ]

Hallo,

danke für die Hinweise...

Die letzten zwei Abende habe ich versucht ein Freetz-Image für meine 7170 zu basteln, dass folgende Packete hat:
OpenVPN
igmpproxy
iptables

Jedoch muss ich das Freetz-Image über freetz-trunk bauen, da in der freetz1.1.3 das package igmpproxy (und ich glaube auch iptables) fehlt...
Sobald ich das Image in die FritzBox geschrieben habe passieren seltsame Dinge, die FritzBox läuft instabil, ist auf einmal nicht mehr im Netzwerk zu finden usw... Liegt vielleicht auch daran, dass das Image gerade so unter 8mb hat und das RAM zu 97% belegt ist...
Außerdem möchte ich nicht remote auf der (200km-)entfernten FritzBox herumbasteln (diese hat den T-Home anschluss) und damit riskieren, dass ich da irgendwas zerschieße. (Das ist nämlich die FritzBox meines Vaters und da läuft mitlerweile alles über die FritzBox (also Tel, TV und auch die Heizung und die automatischen Rollläden im Wohnzimmer )

Könnte das Ganze auch über die "normale" AVM-VPN-Verbindung laufen (also Fritz!Fernzugang zwischen zwei Fritzboxen und dann mit igmpproxy und iptables den traffic routen)? Weil dann könnte ich mir schonmal OpenVPN auf meiner FritzBox sparen...

Gruß

 

[-ChriZ]

Update:
Sodele... habe es jetzt geschafft Freetz mit OpenVPN, igmpproxy und IPTables auf meiner 7170 zum laufen zu bekommen. Ich habe dafür OpenVPN auf einen USB-Stick ausgelagert und jetzt tuts und zwar auch stabil...
Der OpenVPN-Tunnel (tun0) steht und ich kann auf die entfernte FritzBox zugreifen...
Die Client-IgmpProxy.conf sieht so aus:

quickleave
phyint tun0 upstream ratelimit 0 threshold 1
altnet 217.0.119.194/24
altnet 193.158.35.0/24
phyint lan downstream ratelimit 0 threshold 1

(Bei mir heißen die Interfaces nicht eth0 und tap0 sondern lan und tun0)

Die IgmpProxy.conf auf dem Server sieht entsprechend so aus:

quickleave
phyint lan upstream ratelimit 0 threshold 1
altnet 217.0.119.194/24
altnet 193.158.35.0/24
phyint tun0 downstream ratelimit 0 threshold 1

Sollte doch okay sein, oder?

Kann mir jemand sagen, wie die IPTabels-Rules auf beiden Seiten auszusehen haben? Kenne mich leider mit Routen usw nur ganz wenig aus :???:
Die Server-Fritz-Box mit dem T-Home-Anschluss ist 192.168.110.1
Die Client-FritzBox ist 192.168.123.1
Der Client-Receiver werde ich dann mal fest auf 192.168.123.100 legen

Danke

 

[-ChriZ]

@Fux
Benutzt Du noch T-Thome über VPN? Kann es sein, dass die beiden Serveradressen 217.0.119.194 und 193.158.35.0 nicht mehr aktuell sind?
Ich habe hier http://www.ip-phone-forum.de/showthread.php?t=229778&p=1667028#post1667028 ein neues Threat geöffnet... Bei mir hängt es jetzt nur noch am igmpproxy, den ich nicht zum laufen bekomme....
Gruß

 

[Gompf]

Ich habe das auch probiert, im November und auch nicht hinbekommen, Unicast ging aber Multicast ist irgentwie nicht losgerannt

 

[-ChriZ]

Welche IPs hast Du in Deiner igmpproxy.conf gehabt? Die gleichen wie Fox in seiner config? Weil die 193.158.35.0 lässt sich schon garnicht mehr anpingen. Man müsste doch mit Wireshark schonmal herausfinden können, welche Server überhaupt für den Multicast zuständig sind... Ich weiß nur leider nicht, wie solche Pakete aussehen müssen und wonach ich im Wireshark filtern muss...

 

[Gompf]

Ich denke nicht, dass multicast adressen unbedingt pingbar sein muessen. Die Adressen sind ja eher ein hilfsmittel und nicht mit normalen IP Adressen vergleichbar. Sonst wuerde ja ein normaler routing Eintrag auch funktionieren. /24 gibt ein ganzes Netz (Class C) an, es handelt sich also nicht um eine IP sonderm um 256. Allerdings wie gesagt ich habe es mit diesem Eintrag auch nicht geschafft, und keine Zeit mehr fuer wireshark gehabt. Kann das erst wieder im April weiter verfolgen bis ich wieder bei meinem Remote T-Home Receiver in asien bin.

/Gompf

 

[zero°|K3nnY]

Hallo -ChriZ & Gompf!

Das Zielsubnetz 193.158.35.0/24,. zu dem ihr versucht zu routen, findet sich in der Routing Table meines Routers auf dem VLAN 8 Interface nicht wieder. Die Routen sehen wie folgt aus:

2: name mstv
2: connected    vcc 0/0/RBE/18/UBR/0/0/dsl stay online 1 vlan 8
2: connected since 2011-02-09 17:03:51 (setup time 0 secs)
2: ip aa.bbb.ccc.ddd mask 255.255.224.0 gw 0.0.0.0 dhcp mtu 1500
2: dns 0.0.0.0/0.0.0.0 
[COLOR="magenta"]2: route 93.215.192.0/19 protocol iface
2: route 193.158.137.14/32 via aa.bbb.ccc.254 protocol dhcp
2: route 217.6.167.160/27 via aa.bbb.ccc.254 protocol dhcp
2: route 87.140.255.0/25 via aa.bbb.ccc.254 protocol dhcp
2: route 212.184.168.0/24 via aa.bbb.ccc.254 protocol dhcp
2: route 193.158.34.0/23 via aa.bbb.ccc.254 protocol dhcp
2: route 87.141.128.0/17 via aa.bbb.ccc.254 protocol dhcp[/COLOR]
2: mc from wan aa.bbb.ccc.254
2: mc to wan 239.35.29.200

 

[-ChriZ]

Hallo zero°|K3nnY,
danke für die Info. Das hilft mir schonmal ein gutes Stück weiter...
Du hast Deinen Router aber direkt an nem T-Online-Anschluss laufen und versuchst nicht den Multicast durch eine VPN-Verbindung zu tunneln, oder?

 

[zero°|K3nnY]

So ist es! Das Thema ist aber für mich und einem Arbeitskollegen interessant, es mangelte aber bisher zum Testen an erforderlicher Zeit und Hardware.

 

[-ChriZ]

Alles klar, ich werde die Server aus deinem Post mal in die config von igmpproxy eintragen und schauen, ob sich was tut...
Momentan ist nur schlecht, weil mein Vater mit seinem T-Home offensichtlich grade Fußball schaut
(TOOOOR! )
Aber ich werde berichten
Schönen Abend noch
P.s. Woher hast Du die Server? Hast Du dir die irgendwie selbst gelogt?

 

[zero°|K3nnY]

Vorsicht! Bei meinen Angaben handelt es sich nicht um irgendwelche Server Adressen, sondern lediglich um Routing Einträge meines Routers zu bestimmten Subnetzen und zu den IP Adressen 217.6.167.160/27 und 193.158.137.14/32 die übers VLAN 8 Interface realisiert werden. Ermittelt habe ich die Einträge über die "Support-Daten erstellen" Funktion von AVM (Die Einträge werden im Support File hinterlegt). Alternativ dazu kann auch via Telnet die Routing Table für den Router aufgerufen werden.

Welche Netzadressen in die config vom igmpproxy eingetragen werden müssen, kann ich dir atm nicht beantworten. Ich wollte dazu ein mal ein Netzwerktrace anlegen, allerdings ist die Paketmitschnitt-Seite meiner aktuellen FW Konstellation für meinen Router verbuggt. Ich erstelle soeben eine alternative FW...

 

[Gompf]

da hab ich :

2: connected    vcc 0/0/RBE/18/UBR/0/0/dsl stay online 1 vlan 8
2: connected since 2011-02-08 19:59:36 (setup time 19 secs)
2: ip aaa.bbb.ccc.ddd mask 255.255.224.0 gw 0.0.0.0 dhcp mtu 1500
2: dns 0.0.0.0/0.0.0.0 
2: route aaa.bbb.ccc.0/19 protocol iface 
2: route 193.158.137.14/32 via aaa.bbb.ccc.254 protocol dhcp
2: route 217.6.167.160/27 via aaa.bbb.ccc.254 protocol dhcp
2: route 87.140.255.0/25 via aaa.bbb.ccc.254 protocol dhcp
2: route 212.184.168.0/24 via aaa.bbb.ccc.254 protocol dhcp
2: route 193.158.34.0/23 via aaa.bbb.ccc.254 protocol dhcp
2: route 87.141.128.0/17 via aaa.bbb.ccc.254 protocol dhcp

Das ganze ist sicher ein lead, indeed mit dem man mal spielen kann !

/Gompf

 

[Gompf]

Uebrigens :

Ist :

2: ip aa.bbb.ccc[COLOR="red"].ddd[/COLOR] mask 255.255.224.0 gw 0.0.0.0 dhcp mtu 1500
2: dns 0.0.0.0/0.0.0.0 
2: route 93.215.192.0/19 protocol iface
2: route 193.158.137.14/32 via aa.bbb.ccc.[COLOR="red"]ddd [/COLOR]protocol dhcp

wirklich der Fall Bei Dir oder war das ein Mistake beim ausXXen ? Bei mir ist naemlich die IP des Interfaces nicht gleich der IP zu der geroutet wird.

/Gompf

 

[zero°|K3nnY]

Das war in der Tat ein Fehler beim ausXXen. Danke für den Hinweis, habe meinen Beitrag editiert.

 

[Gompf]

Cool, dann laesst sich hier indeed ein Pattern herausleiten, aber ich denke es handelt sich hier troztdem um die unicast adressen, damit der Receiver tut (was auch viel wert ist). Denn eigentlich muessten Multicast addressen (wenn es nach den Standarts geht) eigentlich mit 224 (232+) anfangen (http://www.iana.org/assignments/multicast-addresses/multicast-addresses.xml). Es sei denn die Telekom baut Ihr eigenes SUeppchen, da muesste aber dann jeder Router hersteller davon was wissen.

Zumindesten von den OER Sendern (http://www.ard-digital.de/Empfang--Technik/IPTV/Multicast-Adressen/Multicast-Adressen) wissen wir ja die Adressen, was auch in das IANA Schema passt. Ich habe glaube ich mal auch einen Teil der nicht OER Sender gefunden und ich denke das war auch im fraglichen bereich. Theoretisch muesste hier also eine KOnfig des igmpproxy mit 239.0.0.0/8 zumindestens mal die ARD (und alle anderen OER) zum laufen bringen.

Alles Theorie, wie gesagt ich kann im Moment nicht probieren, was eindeutig ueber studieren geht.

/Gompf

 

[Gompf]

Vielleicht kann ChrisZ ja mal probieren. Also die Routing table oben sollte die Statische unicast routen auf der VPN remote (Via tun0) sein, und 239.0.0.0/8 via igmpproxy. Wer sicher gehen will kann ja die gesammten multicast bloecke nehmen (aus obrigen IANA link ersichtlich), wobei dann auch anderes Internet multicast gebridged wird, sprich eventuell frei verfuegbare multicast streams.

/Gompf

 

[Gompf]

Eben noch mal gegoogled :

Auch die Privaten liegen im 239er:

1;ARD;239.35.129.11:10000
2;ZDF;239.35.86.11:10000
3;RTL;239.35.143.11:10000
4;SAT.1;239.35.141.11:10000
5;Pro7;239.35.203.11:10000
6;RTL II;239.35.208.11:10000
7;Kabel eins;239.35.133.11:10000
8;Vox;239.35.20.11:10000
9;Super RTL;239.35.16.11:10000
10;3sat;239.35.140.11:10000
11;Das Vierte;239.35.3.12:10000
20;BR Bayerischer Rundfunk;239.35.194.11:10000
21;HR Hessischer Rundfunk;239.35.70.11:10000
22;MDR Mitteldeutscher Rundfunk;239.35.73.11:10000
23;NDR Norddeutscher Rundfunk;239.35.11.11:10000
24;Radio Bremen TV;239.35.76.11:10000
25;rbb Berlin;239.35.204.11:10000
26;SR Fernsehen Südwest;239.35.145.11:10000
27;SWR BW;239.35.207.11:10000
28;SWR RPF;239.35.20.13:10000
29;WDR;239.35.84.11:10000
35;DSF;239.35.80.11:10000
36;Eurosport;239.35.69.11:10000
41;Comedy Central;239.35.211.11:10000
42;GIGA TV;239.35.205.11:10000
43;Ki.Ka;239.35.205.12:10000
44;Nick;239.35.75.11:10000
45;Arte;239.35.4.11:10000
46;EinsFestival;239.35.193.11:10000
47;Phoenix;239.35.139.11:10000
48;ZDF Theaterkanal;239.35.5.11:10000
50;bibel.TV;239.35.137.11:10000
51;Bloomberg;239.35.130.11:10000
52;BR-alpha;239.35.202.11:10000
53;Deutsche Welle TV;239.35.131.11:10000
54;DMAX;239.35.76.12:10000
55;EinsExtra;239.35.68.11:10000
56;EinsPlus;239.35.132.11:10000
57;EuroNews D;239.35.196.11:10000
58;K TV;239.35.72.11:10000
59;N24;239.35.138.11:10000
60;n-tv;239.35.79.11:10000
61;ZDF dokukanal;239.35.150.11:10000
62;ZDF Infokanal;239.35.214.11:10000
70;Deluxe Music;239.35.67.11:10000
71;MTV;239.35.77.12:10000
72;VIVA;239.35.147.11:10000
81;9Live;239.35.17.11:10000
84;HSE 24;239.35.134.11:10000
85;Job TV 24;239.35.74.12:10000
86;QVC;239.35.12.11:10000
101;CNN;239.35.3.11:10000
102;EuroNews GB;239.35.8.11:10000
105;TV5;239.35.18.11:10000
110;Anixe HD;239.35.15.51:10000
111;Pro7 HD;239.35.6.51:10000
112;Sat.1 HD;239.35.197.51:10000
120;MDR Sachsen;239.35.20.17:10000
121;MDR Sachsen-Anhalt;239.35.20.18:10000
122;MDR Thüringen;239.35.20.19:10000
123;NDR Hamburg;239.35.20.14:10000
124;NDR Mecklenburg-Vorpommern;239.35.195.11:10000
125;NDR Schleswig-Holstein;239.35.130.12:10000
126;rbb Brandenburg;239.35.20.15:10000
127;WDR Aachen;239.35.20.28:10000
128;WDR Bielefeld;239.35.20.29:10000
130;WDR Dortmund;239.35.70.12:10000
132;WDR Düsseldorf;239.35.20.16:10000
133;WDR Essen;239.35.11.12:10000
134;WDR Münster;239.35.20.30:10000
135;WDR Siegen;239.35.20.31:10000
136;WDR Wuppertal;239.35.140.12:10000
150;13th Street;239.35.1.12:10000
151;AXN;239.35.2.12:10000
152;E! Entertainment;239.35.133.12:10000
153;Fashion TV;239.35.8.12:10000
154;ehemals Game TV;
156;Kabel eins Classics;239.35.138.12:10000
157;Passion;239.35.20.20:10000
158;RTL Crime;239.35.20.21:10000
159;RTL Living;239.35.20.22:10000
160;Sat.1 Comedy;239.35.211.12:10000
161;Sci-Fi Ch;239.35.20.12:10000
162;TCM;239.35.20.23:10000
170;ESPN Classic Sport;239.35.80.13:10000
171;Eurosport News;239.35.144.13:10000
172;Extreme Sports;239.35.65.11:10000
173;Motors TV;239.35.13.12:10000
174;NASN;239.35.80.12:10000
175;Sailing Channel;239.35.147.12:10000
180;Boomerang;239.35.66.12:10000
181;Cartoon Network;239.35.20.27:10000
190;Focus Gesundheit on demand;239.35.72.12:10000
191;National Geographic;239.35.208.13:10000
192;Planet TV;239.35.208.12:10000
193;Spiegel TV digital;239.35.4.12:10000
194;The Biography Channel;239.35.13.11:10000
195;The History Channel;239.35.132.12:10000
196;TV Gusto Premium;239.35.73.12:10000
197;Wetter TV;239.35.81.11:10000
198;Wein TV;239.35.139.12:10000
210;Mezzo TV;239.35.12.12:10000
211;MTV Music;239.35.143.12:10000
212;Trace TV;239.35.5.12:10000
300;Bundesliga Info;239.35.84.12:10000
301;Bundesliga Konferenz;239.35.86.12:10000
302;Bundesliga 1;239.35.1.13:10000
303;Bundesliga 2;239.35.129.13:10000
304;Bundesliga 3;239.35.193.13:10000
305;Bundesliga 4;239.35.2.13:10000
306;Bundesliga 5;239.35.66.13:10000
307;Bundesliga 6;239.35.130.13:10000
308;Bundesliga 7;239.35.3.13:10000
309;Bundesliga HD;239.35.83.51:10000
310;Bundesliga Highlights;239.35.67.13:10000
311;Bundesliga Daten;239.35.131.13:10000
312;Bundesliga 8;239.35.195.13:10000
313;Bundesliga 9;239.35.196.13:10000
314;Bundesliga Plus;239.35.133.13:10000
370;Premiere Sport Portal;239.35.138.13:10000
409;Premiere Thema Portal;239.35.202.13:10000

Die Privaten sind aber verschluesslt aber das weis ja jeder, man kann sie NUR mit dem T-Home receiver empfangen. In dieser liste fehlen noch die HD Sender, aber die sind wohl auch im 239 Block.

/Gompf

 

[-ChriZ]

Stelle mich gerne als Tester bereit... Bin wie gesagt eher Amateur wenn es um Netzwerke geht, aber sehr experimentierfreudig
Habe mal die beiden configs für Igmpproxy geschrieben, ich habe heute Abend leider keine Zeit mehr ums zu testen, aber morgen nach Feierabend werde ich es mal testen:
Server:

quickleave
phyint dsl upstream ratelimit 0 threshold 1
    altnet 239.0.0.0/8
phyint tun0 downstream ratelimit 0 threshold 1

Client:

quickleave
phyint tun0 upstream ratelimit 0 threshold 1
   altnet 239.0.0.0/8
phyint lan downstream ratelimit 0 threshold 1

Macht das Sinn so?

 

[Gompf]

Denke schon, ich wurde das nachher aber auf 239.35.0.0/16 einschrenken wenn es tut und wieder testen. Allerdings bin ich eben was den igmpproxy betrifft auch kein experte und die google suchen dafuer sind nicht besonders ergiebig... Aber ich wuerde es probieren. Versauen kannst du nichts, wichtig is das du solange es nicht laeuft den igmpproxy nicht automatisch startest, und vorallem Multid vorher beendest, sonst gehts nicht.

/Gompf