Juniper SRX 210, IPTV, glasvezel

[Mark Huizer]

Ja ja, na een paar jaar lekker makkelijk alleen Internet,
komt daar dan de vreselijke vraag...

Is er iemand die op een Juniper SRX210 (of vergelijkbare "low end" SRX)
een configuratie werkend heeft met IPTV op vlan 4 en PPPoE op vlan 6?

Ik weet dat Miquel hier jaren geleden al eens een configuratie heeft
bedacht op basis van zijn JunOS kennis, maar daar zitten wat dingen in
die niet gaan werken op een SRX. Die was gebaseerd op
flexible-vlan-tagging en family vlan-bridge commando's.

Ik heb zelf al dingen geprobeerd met family ethernet-switching op vlan4
en zo, maar zodra ik dingen aanpas aan mijn huidige configuratie, krijg
ik pppoe niet meer in de lucht.

Even snel dingen testen is er ook niet bij, het lijkt erop alsof ik dan
elke keer moet wachten tot de andere kant vindt dat de PPP verbinding
niet meer bestaat voor er een nieuwe opgebouwd kan worden, met elke keer
kwartier of zo geen link.

Ik zit te denken om er maar omheen te werken (WAN kant naar een switch,
vlan 4 doorzetten op interne netwerk en apart touwtje van switch naar
router). Dat zal op zich best wel werken.

Al zou ik dan nog liever vlan 6 doortrekken in de bestaande trunk
van switch naar Juniper. Nadeel daarvan: dan moet ik weer op 1 fysiek
interface zowel bridgen als een PPPoE interface termineren, en dat was
het oorspronkelijke probleem :)

Dus... is er iemand die met zekerheid kan stellen dat het niet gaat
werken op dat type Juniper? Of nog beter: iemand die het gewoon werkend
heeft en een stukje configuratie kan laten zien?

Groeten

Mark

[Mark Huizer]

The wise Mark Huizer enlightened me with:

> Ja ja, na een paar jaar lekker makkelijk alleen Internet,
> komt daar dan de vreselijke vraag...
>
> Is er iemand die op een Juniper SRX210 (of vergelijkbare "low end" SRX)
> een configuratie werkend heeft met IPTV op vlan 4 en PPPoE op vlan 6?
>

> Ik zit te denken om er maar omheen te werken (WAN kant naar een switch,
> vlan 4 doorzetten op interne netwerk en apart touwtje van switch naar
> router). Dat zal op zich best wel werken.

En dat heb ik nu gebouwd dan maar. In elk geval heb ik weer
PPPoE/IPv4/IPv6. Niet fraai, maar goed... die xs4all trunk naar mijn switch
vind ik niet vervelend. Dat extra touwtje van switch naar Juniper is
lelijk maar overkomelijk.

Een mooiere config zou fijn zijn, maar goed. Nu maar eens TV werkend
krijgen.

Zo maar eens kijken wat er niet helemaal werkt. Ik heb het nu via 2
switches naar buiten toe. Ik zie dat het apparaat via DHCP een adres
krijgt. Ik zie dat het wat multicast probeert te doen en dat een
10.60.141.126 ook een igmp query doet. Apparaat probeert op te starten
en te updaten. De indicator komt op 2/3e en dan krijg ik een "foutcode
14"

Klinkt goed. Ik ga eens even een touwtje afluisteren om te kijken wat er
gebeurt.

Mark

[Rob]

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
> The wise Mark Huizer enlightened me with:
>> Ja ja, na een paar jaar lekker makkelijk alleen Internet,
>> komt daar dan de vreselijke vraag...
>>
>> Is er iemand die op een Juniper SRX210 (of vergelijkbare "low end" SRX)
>> een configuratie werkend heeft met IPTV op vlan 4 en PPPoE op vlan 6?
>>
>> Ik zit te denken om er maar omheen te werken (WAN kant naar een switch,
>> vlan 4 doorzetten op interne netwerk en apart touwtje van switch naar
>> router). Dat zal op zich best wel werken.
>
> En dat heb ik nu gebouwd dan maar. In elk geval heb ik weer
> PPPoE/IPv4/IPv6. Niet fraai, maar goed... die xs4all trunk naar mijn switch
> vind ik niet vervelend. Dat extra touwtje van switch naar Juniper is
> lelijk maar overkomelijk.

Is zo'n SRX zo inflexibel dan? Kun je in een SRX geen bridge maken
van een VLAN op de WAN naar een VLAN op je LAN of een van de poorten?

Dat is wat de Fritzbox ook doet. (althans deed, tegenwoordig is het
meestal routed mode en dat is wat ingewikkelder)

[Mark Huizer]

The wise Rob enlightened me with:

> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>>
>> En dat heb ik nu gebouwd dan maar. In elk geval heb ik weer
>> PPPoE/IPv4/IPv6. Niet fraai, maar goed... die xs4all trunk naar mijn switch
>> vind ik niet vervelend. Dat extra touwtje van switch naar Juniper is
>> lelijk maar overkomelijk.
>
> Is zo'n SRX zo inflexibel dan? Kun je in een SRX geen bridge maken
> van een VLAN op de WAN naar een VLAN op je LAN of een van de poorten?

Ik heb het in elk geval niet voor elkaar gekregen. En ik zag ook ergens
een forum topic wat uitkwam op die conclusie.

> Dat is wat de Fritzbox ook doet. (althans deed, tegenwoordig is het
> meestal routed mode en dat is wat ingewikkelder)

Nou ja, omdat ik die iptv box niet aan het starten kreeg, heb ik die met
wat touwtjes door de kamer en de gang er even tussen gehangen. Daarna de
boxen kunnen activeren en SRX teruggebouwd. Nadeel was dat ze daarna om
de 5 minuten klagen dat de zender niet meer beschikbaar is en dat ik
even channel up channel down moet doen.

IGMP Snooping uitzetten op switches lijkt dat ook opgelost te hebben.
Beetje jammer want ook niet helemaal gewenst. Klinkt als een timeout van
de bestaande IGMP membership. Maar heeft al weer even genoeg tijd gekost
en er moeten ook nog andere dingen gebeuren.

Groeten

Mark

[Maarten Carels]

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
[...]

> Nou ja, omdat ik die iptv box niet aan het starten kreeg, heb ik die met
> wat touwtjes door de kamer en de gang er even tussen gehangen. Daarna de
> boxen kunnen activeren en SRX teruggebouwd. Nadeel was dat ze daarna om
> de 5 minuten klagen dat de zender niet meer beschikbaar is en dat ik
> even channel up channel down moet doen.
>
> IGMP Snooping uitzetten op switches lijkt dat ook opgelost te hebben.
> Beetje jammer want ook niet helemaal gewenst. Klinkt als een timeout van
> de bestaande IGMP membership. Maar heeft al weer even genoeg tijd gekost
> en er moeten ook nog andere dingen gebeuren.

Het TV gebeuren werkt met multicast. In de situatie met fritzbox zorgt
die voor het igmp gedoe naar de DSLAM toe. Op je lokale net moet je
ofwel switches gebruiken die igmp en multicast ofwel perfect doen, ofwel
zo dom zijn dat ze het niet eens herkennen.

Nu jij de fritzbox vervangt door je eigen ding moet je zorgen dat die
igmp naar de upstream via vlan4 perfect doet, eb dat is dus inclusief de
membership query en reports.

Goed dat je het zo aan de gang hebt gekregen!

--maarten

[Mark Huizer]

The wise Maarten Carels enlightened me with:

> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
> [...]
>> Nou ja, omdat ik die iptv box niet aan het starten kreeg, heb ik die met
>> wat touwtjes door de kamer en de gang er even tussen gehangen. Daarna de
>> boxen kunnen activeren en SRX teruggebouwd. Nadeel was dat ze daarna om
>> de 5 minuten klagen dat de zender niet meer beschikbaar is en dat ik
>> even channel up channel down moet doen.
>>
>> IGMP Snooping uitzetten op switches lijkt dat ook opgelost te hebben.
>> Beetje jammer want ook niet helemaal gewenst. Klinkt als een timeout van
>> de bestaande IGMP membership. Maar heeft al weer even genoeg tijd gekost
>> en er moeten ook nog andere dingen gebeuren.
>
> Het TV gebeuren werkt met multicast. In de situatie met fritzbox zorgt
> die voor het igmp gedoe naar de DSLAM toe. Op je lokale net moet je
> ofwel switches gebruiken die igmp en multicast ofwel perfect doen, ofwel
> zo dom zijn dat ze het niet eens herkennen.

Yep, dat was al mijn theorie, en wat ik met sniffing ook al ongeveer
gezien had. En inmiddels heb ik igmp snooping op de switches uitgezet en
lijkt het goed te werken.
Binnenkort eens experimenteren op welke switches het goed genoeg werkt
en welke niet (een collectie van netgear gs108's maar niet allemaal
zelfde type). Op zich niet extreem spannend maar ik wil 1 box aansluiten
via powerline, en als ik die poort in vlan 4 zet, wil ik liever niet dat
er 2 streams over moeten als 1 genoeg is.

> Nu jij de fritzbox vervangt door je eigen ding moet je zorgen dat die
> igmp naar de upstream via vlan4 perfect doet, eb dat is dus inclusief de
> membership query en reports.
>
> Goed dat je het zo aan de gang hebt gekregen!

Mjah... maar ik moet zeggen dat die Juniper (de SRX dus) me dan wel
beetje tegenvalt. Dingen die ik op een FreeBSD vermoedelijk zo in elkaar
draai, en dat is niet echt een router te noemen.

Terwijl dit soort praktijken (vlans, verschillende afhandeling per vlan
en zo) ook weer niet heel erg uniek is.

Mark

[Maarten Carels]

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
[...]

> Yep, dat was al mijn theorie, en wat ik met sniffing ook al ongeveer
> gezien had. En inmiddels heb ik igmp snooping op de switches uitgezet en
> lijkt het goed te werken.
> Binnenkort eens experimenteren op welke switches het goed genoeg werkt
> en welke niet (een collectie van netgear gs108's maar niet allemaal
> zelfde type). Op zich niet extreem spannend maar ik wil 1 box aansluiten
> via powerline, en als ik die poort in vlan 4 zet, wil ik liever niet dat
> er 2 streams over moeten als 1 genoeg is.

De meeste powerline spullen (devolo en avm in ieder geval) doen igmp
snooping.

--maarten

[Mark Huizer]

The wise Maarten Carels enlightened me with:

De eerste test gaat worden of het vlans snapt :) ook leuk.

[Rob]

Bij link spullen zijn VLAN's meestal geen issue, hooguit zou je een
4-byte MTU issue kunnen hebben maar dat valt tegenwoordig wel mee.

[bj...@bjurrun.com]

Mark, ik ben sindskort in het bezit van een SRX320 en wil IPTV via glasvezel graag werkend krijgen maar krijg dit niet voor elkaar. Voorheen had ik een Ubiquiti Edgemax en werkte het prima doormiddel van wat NAT werk, route en een IGMP proxy. Dat laatste lijkt junos niet te ondersteunen en ben dus opzoek naar een oplossing die wel werkt. Zou je je config willen delen of wat tips kunnen geven hoe dit op te lossen?

Bjorn

[Mark Huizer]

The wise bj...@bjurrun.com enlightened me with:

> Mark, ik ben sindskort in het bezit van een SRX320 en wil IPTV via glasvezel graag werkend krijgen maar krijg dit niet voor elkaar. Voorheen had ik een Ubiquiti Edgemax en werkte het prima doormiddel van wat NAT werk, route en een IGMP proxy. Dat laatste lijkt junos niet te ondersteunen en ben dus opzoek naar een oplossing die wel werkt. Zou je je config willen delen of wat tips kunnen geven hoe dit op te lossen?

Ik heb inmiddels mijn SRX vervangen door een Edgerouter :) Ik moet nog
eens verder kijken want ik heb nog ruzie met igmp aanzetten op mijn
switches, dus vooralsnog maak ik me maar even niet druk over die paar
Mbps voor de tv's.

Maar je gebruikt dus NAT (en een aparte zone/virtual instance/whatever
ipv vlan 6 gewoon door te laten? Dat heb ik in elk geval nooit
gedaan, ik laat vlan 6 gewoon door. Misschien ga ik daar wel eens
mee experimenteren

Mark

[Rob]

Mark Huizer <xaa+news_xs...@dohd.org> wrote:
> Maar je gebruikt dus NAT (en een aparte zone/virtual instance/whatever
> ipv vlan 6 gewoon door te laten? Dat heb ik in elk geval nooit
> gedaan, ik laat vlan 6 gewoon door. Misschien ga ik daar wel eens
> mee experimenteren

Er is nog een verschil tussen "TV werkend krijgen" in de zin dat de
normale TV programma's het doen, en het volledig werkend krijgen van
de functionaliteit zoals die door de KPN Experiabox en de XS4ALL Fritzbox
wordt aangebouden. De zgn "routed mode" waarbij de TV box zowel bij
het aparte VLAN kan (waar de programma's in multicast op zitten) als
bij de normale internet verbinding (voor on-demand diensten enzo).

Heeft iemand dat op een andere router werkend?
Ik begreep dat het support voor speciale DHCP opties vereist en wellicht
wat slimme afhandeling van de DNS resolvers die de interne resolver van
de box gebruikt.

[Mark Huizer]

The wise Rob enlightened me with:

Dat zou op zich nog te vinden moeten zijn in het netwerk verkeer.
Misschien eens kijken binnenkort of ik keer zin heb om even met
wireshark te spelen (op de bridged versie dan).

Mark

[bj...@bjurrun.com]

Wat ik heb gedaan is op de WAN interface op VLAN 6 de PPPOE verbinding opetten en op VLAN 4 een ip laten verkrijgen middels DHCP. Hierbij moet je wel optie 60 op IPTV_RG zetten anders krijg je geen IP van de DHCP server. Via de classless static routes (option 121) krijg je de gateway door welke je gebruikt als gateway voor het IPTV netwerk. In mijn geval 10.86.112.1. Wat je vervolgens doet is een static route aanmaken naar het IPTV netwerk van KPN/XS4all etc. 213.75.112.0/21 via gateway die je van de DHCP kreeg.
Verder NAT je naast je PPPOE verbinding ook je VLAN 4. Nu zou je STB verbinding moet kunnen maken met het IPTV netwerk en gewoon door de provisioning moeten komen. Als de STB gestart is zal de EPG ook werken. Verder gebruik je een IGMP Proxy om de streams je netwerk in te krijgen. Op de Ubiquiti krijg je dus de onderstaande config.
Heb inmiddels een Juniper switch, maar heb voorheen een Cisco sg200 gehad welke ook wat IGMP problemen had. Door te spelen met de querier interval kreeg ik het opgelost. Wellicht werkt dit ook voor jouw switch.

Voor mijn Juniper, welke zover ik kan zien geen IGMP proxy doet, wilde ik het met PIM-SM oplossen. Ik heb iemand gevonden die dit op een Cisco werkend heeft gekregen, maar probeer een zelfde implementatie te doen op de Juniper, maar krijg het niet werkend. Zover ik kan zien komt het doordat ik NAT op VLAN 4. Het is mijn eerste ervaring met Juniper, dus moet nog wel wat thuis raken met alles. Weet jij nog hoe je het destijds werkend hebt gekregen met je Juniper?

protocols {
igmp-proxy {
interface eth6 {
alt-subnet 10.10.0.0/24
role downstream
threshold 1
}
interface eth7.4 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
}
static {
route 213.75.112.0/21 {
next-hop 10.86.112.1 {
}
}
}
}

ethernet eth7 {
description WAN
duplex auto
mtu 1508
speed auto
vif 4 {
address dhcp
description "WAN IPTV VLAN"
dhcp-options {
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
client-option "send vendor-class-identifier &quot;IPTV_RG&quot;;"
default-route no-update
default-route-distance 210
name-server update
}
}
vif 6 {
description "WAN Internet VLAN"
egress-qos "0:3 1:3 2:3 3:3 4:3 5:3 6:3 7:3"
mtu 1508
pppoe 0 {
default-route auto
description XS4ALL
dhcpv6-pd {
pd 0 {
interface eth6 {
host-address ::1
no-dns
prefix-id :0
service slaac
}
prefix-length 48
}
prefix-only
rapid-commit enable
}
firewall {
in {
ipv6-name IPV6_WAN_IN
name WAN_IN
}
local {
ipv6-name IPV6_WAN_LOCAL
name WAN_LOCAL
}
out {
ipv6-name IPV6_WAN_OUT
}
}
idle-timeout 180
ipv6 {
dup-addr-detect-transmits 1
enable {
}
}
mtu 1500
name-server auto
password ****************
user-id xs4all
}
}
}

service {
nat {
rule 1 {
description "Masquerade for WAN"
log disable
outbound-interface pppoe0
protocol all
type masquerade
}
rule 2 {
description "IPTV servers"
destination {
address 213.75.112.0/21
}
log disable
outbound-interface eth7.4
protocol all
type masquerade
}
}
}

[bj...@bjurrun.com]

Dit is de link van de Cisco config met PIM-SM
https://kpn.gebruikers.eu/forum/viewthread.php?thread_id=3899#post_19080

[OnnoO]

Op donderdag 20 juli 2017 22:03:02 UTC+2 schreef Rob:

> Er is nog een verschil tussen "TV werkend krijgen" in de zin dat de
> normale TV programma's het doen, en het volledig werkend krijgen van
> de functionaliteit zoals die door de KPN Experiabox en de XS4ALL Fritzbox
> wordt aangebouden. De zgn "routed mode" waarbij de TV box zowel bij
> het aparte VLAN kan (waar de programma's in multicast op zitten) als
> bij de normale internet verbinding (voor on-demand diensten enzo).
>
> Heeft iemand dat op een andere router werkend?
> Ik begreep dat het support voor speciale DHCP opties vereist en wellicht
> wat slimme afhandeling van de DNS resolvers die de interne resolver van
> de box gebruikt.

Ik heb een tijdje geleden een poging gewaagd om dit aan de praat te krijgen op mijn SRX300. Het is me nog niet gelukt in ieder geval.
Ik had het plan om een aparte routing instance aan te maken voor Routed IPTV.
Je zegt dat de IPTV doos toegang tot het normale internet moet hebben voor de extra diensten. Houdt dat in dat ik de default route uit mijn global instance moet lekken naar de IPTV instance? Ik krijg van KPN/XS4ALL al een default route in VLAN 4 namelijk..

[bj...@bjurrun.com]

Ik heb het zover werkend dat ik 2 seconden tv kan kijken en dat EPG en provisioning van de STB werkt. Ik heb in feite gedaan wat ik ook in bovenstaande config van mijn edgemax heb gedaan zonder de IGMP proxy. Om routed IPTV werkend te krijgen moet je de 213.75.112.0/21 reeks via VLAN 4 benaderen.

Ik kan vermoedelijk niet verder kijken dan die 2 seconden omdat, zover ik kan zien, het IGMP verkeer niet op mijn LAN krijg en dus de join van niet kan uitvoeren.

Ik had dus van de week het idee om te kijken naar een oplossing waarbij ik een loopback interface aanmaak en die static nat op de het IP van VLAN 4. Hierbij dan een PIM in sparse mode opgezet en op irb.1 (LAN) ook. Helaas werkte dit ook niet.

[Rob]

OnnoO <onno.oss...@gmail.com> wrote:
> Je zegt dat de IPTV doos toegang tot het normale internet moet hebben voor de extra diensten. Houdt dat in dat ik de default route uit mijn global instance moet lekken naar de IPTV instance? Ik krijg van KPN/XS4ALL al een default route in VLAN 4 namelijk..

Ja daar moet je speciale dingen voor doen, ik zie al een andere posting
met meer detail. Als die IPTV doos naar internet wil moet dat via je
eigen interet (VLAN 6) lopen en niet via VLAN 4. Daar moet alleen het
verkeer richting de IPTV service naar toe (en komt het TV beeld vandaan
voor de lineaire zenders).

[Gerrit van der Bij]

> Ik heb een tijdje geleden een poging gewaagd om dit aan de praat te krijgen op mijn SRX300. Het is me nog niet gelukt in ieder geval.
> Ik had het plan om een aparte routing instance aan te maken voor Routed IPTV.
> Je zegt dat de IPTV doos toegang tot het normale internet moet hebben voor de extra diensten. Houdt dat in dat ik de default route uit mijn global instance moet lekken naar de IPTV instance? Ik krijg van KPN/XS4ALL al een default route in VLAN 4 namelijk..

Deze conversatie is inmiddels drie jaar oud en dus zullen mensen doorgegaan zijn met hun leven. Ik heb thuis een SRX300 en in voorbereiding op toekomstig glas heb (had) ik de fritzbox via een aangepaste config in "full_bridge_mode" gezet. Alle informatie die ik kon vinden, onder andere deze discussie en -heel nuttig- de link naar de cisco config heeft me aardig geholpen. Op mijn SRX draait junos 18.3 - op vlan6 is er PPPoE encapsulation, en internet werkt. TV werkt ook - in routed mode. Maar niet zonder problemen. Livestreams gaan prima, en ik kan naar hartelust heen en weer zappen tussen kanalen, en schakelen gaat binnen 1 seconde. Wat niet goed werkt, is de EPG, netflix, video on demand en terugkijken.

Om dit werkend te krijgen moest ik op VLAN4 dhcp aanzetten, maar Juniper staat niet zo heel veel toe qua client configuratie. Gelukkig wel voor optie 60 (vendor class ID). Aangezien KPN/XS4ALL mijn client IPs niet kent, heb ik source -NAT geconfigureerd voor alle verkeer dat via VLAN4 naar buiten gaat. Daarnaast heb ik ter compensatie DHCP option 121 statische routes gedefinieerd naar de default gateway die ik wèl krijg. Voor internet is ook een statische default route dus die heeft prioriteit over de default die via DHCP binnenkomt. Ik heb ook het e.e.a. aan IGMP, PIM en een "PIM-to-IGMP-proxy" geconfigureerd.
Verder moesten er de nodige security policies worden aangepast.

Nu verwacht ik dat mijn strijd met de EPG en programma's terugkijken komt uit het feit dat ik optie 121 niet kan krijgen, en dus niet weet welke reeksen er nog meer via VLAN4 gerouteerd moeten worden behalve die op netwerkje.com staan. Daarnaast denk ik dat ik een firewall screen moet verwijderen om programma terugkijken mogelijk te maken: ik zie dat er een RTSP stream wordt opgevraagd, maar ik heb zwart beeld. Kan ook zijn omdat ik geen sleutels krijg..

Maar ik hou me warm aanbevolen voor tips en trucs, en voor wat er tegenwoordig in optie-121 zit..

[Mark Huizer]

The wise Gerrit van der Bij enlightened me with:

>
>
> Om dit werkend te krijgen moest ik op VLAN4 dhcp aanzetten, maar Juniper staat niet zo heel veel toe qua client configuratie. Gelukkig wel voor optie 60 (vendor class ID). Aangezien KPN/XS4ALL mijn client IPs niet kent, heb ik source -NAT geconfigureerd voor alle verkeer dat via VLAN4 naar buiten gaat. Daarnaast heb ik ter compensatie DHCP option 121 statische routes gedefinieerd naar de default gateway die ik wèl krijg. Voor internet is ook een statische default route dus die heeft prioriteit over de default die via DHCP binnenkomt. Ik heb ook het e.e.a. aan IGMP, PIM en een "PIM-to-IGMP-proxy" geconfigureerd.
> Verder moesten er de nodige security policies worden aangepast.
>
>

> Maar ik hou me warm aanbevolen voor tips en trucs, en voor wat er tegenwoordig in optie-121 zit..

Ik heb inmiddels mijn SRX vervangen door een Ubiquiti EdgeRouter, maar
daar mis ik wel virtual routers/VRF, en daar wilde ik dit eigenlijk ook
eens mee uitproberen.
Dus vandaar de opmerking ;)

Heb je het al eens geprobeerd met een virtual router instance om het
IPTV stuk te laten regelen, zodat je de netwerken qua routering en zo
makkelijker los kan trekken.
En dan heeft je Internet hoe dan ook geen last.
Dan kan je een logical tunnel maken tussen die 2 instances (lt device)

Maar goed, verder:

admin@gw-er4:~$ show ip route | match eth0.4
C *> 10.59.88.0/21 is directly connected, eth0.4
K *> 213.75.112.0/21 [0/0] via 10.59.88.1, eth0.4

Dat is het enige dat ik nu heb staan.

En voor waar het naartoepraat, als ik in mijn logging kijk:

root@flax:/var/log # bzgrep iptvlan-wan infra.log.0.bz2 | cut -d" "
-f10,17,19 | sort | uniq -c
11 DST=104.73.45.41 PROTO=TCP DPT=443
51 DST=145.128.83.13 PROTO=TCP DPT=2499
3 DST=18.196.2.141 PROTO=TCP DPT=443
131 DST=192.168.3.120 PROTO=TCP DPT=80
1079 DST=195.121.79.16 PROTO=UDP DPT=8050
1 DST=195.121.79.16 SPT=44351 LEN=1537
52 DST=195.121.79.19 PROTO=TCP DPT=443
237 DST=195.121.79.22 PROTO=TCP DPT=443

Als je evt nog meer wilt weten of brainstormen, altijd interessant

Mark

[Maarten Carels]

Kleine aanvulling nog:

* live kijken is multicast
* gids en zo is multicast

* On demand, begin gemist, uitzending gemist, dat soort dingen die
speciaal voor jou zijn is unicast

Multicast gaat via IGMP, de STB vraagt een stream door een IGMP Join,
die moet je router netjes sturen naar vlan 4.
Ook de periodieke membership queries moet ie netjes afhandelen.

En, multicast komt van vlan4, IGMP antwoorden moet je naar vlan4 sturen,
en unicast streams komen ook vanaf vlan4 (en comminucatie daarover stuur
je ook naar vlan4. Dat valt allemaal netjes in die static route

--maarten

[Maarten Carels]

Heb je hier gekeken?
<https://www.xs4all.nl/service/installeren/internet/instellingen-andere-modems/>

Daar staat alles wat je op een eigen modem moet doen (I know, I wrote
it).

Formeel mag je niet weten wat precies in die option-121 zit, het kan
veranderen namelijk. Enige dat officieel is, is dat het er niet veel
zijn (minder dan 10).

Ik zie in mijn Fritz er op dit moment maar 1:

route 213.75.112.0/21

Verder moet je (staat ook op die webpagina) in het DHCP circus die
string meegeven (IPTV_RG).

Maar lees in ieder geval die pagina, daar staat alles.

--maarten

[Mark Huizer]

The wise Mark Huizer enlightened me with:

> 131 DST=192.168.3.120 PROTO=TCP DPT=80

Snapt iemand waarmo die IPTV apparaten dit proberen te doen?
192.168.3.120 staat niet in de routering die van DHCP komt, maar die
apparaten proberen wel het te bereiken.

Ik zit te overwegen om daar eens iets met een luisterend oor neer te
zetten om te zien wat daar opgevraagd wordt.

Mark

[Maarten Carels]

Geen idee waar die vandaankomt. Ik zie bij mij (Fritz):
vlan4 ben ik 10.200.153.214/22, router is 10.200.152.1
static route voor 213.75.112.0/21 naar 10.200.152.1 (komt uit dhcp)

Overige ip's gaan via het 'gewone' internet (vlan6, default route)

192.168.3.120 is dan niet routeerbaar.

Heb je hier gekeken, als ik al eerder schreef:
<https://www.xs4all.nl/service/installeren/internet/instellingen-andere-modems/>
Vooral dit:

Via DHCP wordt een ip adres (alleen v4) opgehaald. In het DHCP request
moeten de volgende opties staan:
• 55 (parameter-rquest-list), bevat minstens 1, 3, 28 en 121
• 60 (Vendor Class Identifier), bevat de string IPTV_RG

Het DHCP antwoord bevat (in optie 121, zie RFC3442) een of meer
statische routes, daarmee wordt dynamisch aangegeven welk verkeer niet
via de PPP verbinding maar via de iTV verbinding gerouteerd moet worden.
In optie 121 worden niet meer dan enkele routes doorgegeven, maximaal
16.
Let op, in dat DHCP antwoord zit ook nog een nameserver, die moet
genegeerd worden.

De STB wordt (via DHCP op het LAN) voorzien van een normaal ip op het
LAN, daar zit verder niets speciaals in.

Een van mijn collega's heeft met een anderssoortige router (mikrotik als
ik het goed onthouden heb) met deze beschrijving TV aan de gang
gekregen.
Die twee opties in het dhcp-request zijn belangrijk, net als het
aanpakken van de static routes in optie 121.

--maarten

[robert]

Mark Huizer <xaa+news_xs...@dohd.org>:

> The wise Mark Huizer enlightened me with:
>
>> 131 DST=192.168.3.120 PROTO=TCP DPT=80
>
> Snapt iemand waarmo die IPTV apparaten dit proberen te doen?
> 192.168.3.120 staat niet in de routering die van DHCP komt, maar die
> apparaten proberen wel het te bereiken.

Je bent niet de enige die dat probeert uit te vinden:
https://forum.telfort.nl/tv-338/waarom-zoekt-de-tv-ontvanger-arcadyan-hmb2260-verbinding-met-een-random-computer-in-het-thuisnetwerk-lan-zijde-79516

De hele thread is alleen een beetje tenenkrommend en bloedt uiteindelijk
dood omdat "de experts" maar niet willen begrijpen wat de topicstarter
probeert uit te vinden.

--
robert

[Mark Huizer]

The wise robert enlightened me with:

Die had ik gezien ja, en ook met verbazing door zitten lezen. Nou ja,
middagje vrij genomen, dus ik ga maar eens iets bouwen dat luistert op
dat IP en die port. Nieuwsgierig zijn is niet altijd een zegen :)

Mark

[Mark Huizer]

The wise Maarten Carels enlightened me with:

> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>
>> The wise Mark Huizer enlightened me with:
>>
>> > 131 DST=192.168.3.120 PROTO=TCP DPT=80
>>
>> Snapt iemand waarmo die IPTV apparaten dit proberen te doen?
>> 192.168.3.120 staat niet in de routering die van DHCP komt, maar die
>> apparaten proberen wel het te bereiken.
>>
>> Ik zit te overwegen om daar eens iets met een luisterend oor neer te
>> zetten om te zien wat daar opgevraagd wordt.
>
> Geen idee waar die vandaankomt. Ik zie bij mij (Fritz):
> vlan4 ben ik 10.200.153.214/22, router is 10.200.152.1
> static route voor 213.75.112.0/21 naar 10.200.152.1 (komt uit dhcp)
>
> Overige ip's gaan via het 'gewone' internet (vlan6, default route)
>
> 192.168.3.120 is dan niet routeerbaar.

Dat is hier ook zo, maar ik heb firewall rules staan tussen mijn iptv
netwerk en mijn lan netwerken, dus vandaar dat ik de logging zie.

Overigens heb ik dat specifieke IP adres in meer vragen over IPTV
gezien, zonder antwoorden, al ging het daar ook over mensen die
daadwerkelijk 192.168.3.0/24 als lokaal netwerk hadden.

Mark

[Maarten Carels]

Mark Huizer <xaa+news_xs...@dohd.org> wrote:

> Die had ik gezien ja, en ook met verbazing door zitten lezen. Nou ja,
> middagje vrij genomen, dus ik ga maar eens iets bouwen dat luistert op
> dat IP en die port. Nieuwsgierig zijn is niet altijd een zegen :)

Als je zo vage dingen ziet in logfiles is er eigenlijk maar een manier
om te uit te vinden wat er precies gebeurt, captures maken.
Wireshark/tcpdump dus. Da's de enige manier om dingen echt te zien.

--maarten

[Mark Huizer]

10.0.44.128 - - [20/Aug/2020:17:16:47 +0200] "GET /utc-skins/skinPackagesDefinition.xml HTTP/1.1" 404 196

Hmm... wat gaan we daar mee kunnen...

Mark

[Rob]

Kennelijk is dat in sommige andere omgevingen (of was het vroeger op
het KPN netwerk) een soort configuratieserver waar de box config updates
vandaan haalt, zoals skins.

[Mark Huizer]

The wise Rob enlightened me with:

> Mark Huizer <xaa+news_xs...@dohd.org> wrote:
>> The wise Mark Huizer enlightened me with:
>>>

>>> Die had ik gezien ja, en ook met verbazing door zitten lezen. Nou ja,
>>> middagje vrij genomen, dus ik ga maar eens iets bouwen dat luistert op
>>> dat IP en die port. Nieuwsgierig zijn is niet altijd een zegen :)
>>
>> 10.0.44.128 - - [20/Aug/2020:17:16:47 +0200] "GET /utc-skins/skinPackagesDefinition.xml HTTP/1.1" 404 196
>>
>> Hmm... wat gaan we daar mee kunnen...
>
> Kennelijk is dat in sommige andere omgevingen (of was het vroeger op
> het KPN netwerk) een soort configuratieserver waar de box config updates
> vandaan haalt, zoals skins.

Dat was inderdaad ook mijn idee, en ik had al gekeken of ik ergens
(google, github of zo) iets kon met die naam, maar helaas. Nog niets
gevonden.

En ik heb nog geen zin gehad om een keer tcpdump mee te laten draaien
als ik zo'n kastje software laat (her)installeren. Maar wie weet.

Mark

[Mark Huizer]

The wise Maarten Carels enlightened me with:

Mwah, verschil in logging als er niks luistert is niet zo groot: verder
dan een SYN komt het niet. Maar goed, met een luisterend IP kom je al
verder. Dadelijk eens kijken of ik user agents zie of zo die de moeite
zijn. Ik ben niet helemaal clueless op netwerkgebied, dus dat komt wel
goed.

Mark

[Coen]

On 20-8-2020 17:38, Mark Huizer wrote:

> 10.0.44.128 - - [20/Aug/2020:17:16:47 +0200] "GET /utc-skins/skinPackagesDefinition.xml HTTP/1.1" 404 196
>
> Hmm... wat gaan we daar mee kunnen...

Het kan nooit goed zijn voor de responsiveness/performance van zo'n
doosje als je als maar op tcp timeouts moet wachten.

Misschien is het wel een default ip-adres van de fabrikant wat nooit
aangepast is of zo...

[Rob]

Ik zou eerst checken of dit adres wellicht ook voorkomt in een van
de opties van de DHCP reply. Maar het kan uiteraard ook goed zijn
dat het met een ander mechanisme daar gekomen is, bijvoorbeeld iets
wat lijkt op TR-069.