PF-Sense
Globales Layout
Aktuelle Konfigurationsübersicht
-Schnittstellen
| Interface | Link | omschrijving |
|---|---|---|
| WAN | LAGG0 | Internet verbinding |
| L1601 | VLAN 1601 / LAGG1 | LAN / Unrestricted |
| K1602 | VLAN 1602 / LAGG1 | Kinderen / Protected |
| G1603 | VLAN 1603 / LAGG1 | Gasten / Restricted |
| I1604 | VLAN 1604 / LAGG1 | IoT / Restricted |
| INFRA | LAGG2 | Infra backend |
| T1605 | VLAN 1605 / LAGG1 | IP-TV |
Vlans
| VLAN | Description | Interfaces |
|---|---|---|
| 1601 | LAN / Unrestricted | LAGG1 |
| 1602 | Kinderen / Protected | LAGG1 |
| 1603 | Gasten / Restricted | LAGG1 |
| 1604 | IoT / Restricted | LAGG1 |
| 1605 | IP-TV | LAGG1 |
Körperlich
| LAGG | Description | Interfaces |
|---|---|---|
| LAGG0 | WAN | igb0,igb1 |
| LAGG1 | LAN | igb2,igb3 |
| LAGG2 | INFRA | igb4,igb5 |
Regeln
Plugins
Hardware
-Konfiguration von T-Mobile
Um das Modem Ihres Anbieters durch Ihre eigene Hardware (pfSense) zu ersetzen, sind einige spezifische Einstellungen erforderlich. Nachfolgend finden Sie die Konfiguration für die 2 möglichen Varianten bei T-Mobile.
- ODF (Optical Distribution Frame) = Aktiver Betreiber T-Mobile (eigene Ausrüstung)
- WBA (Wholesale Broadband Access) = Aktiver Betreiber KPN (Shared Equipment)
Ich habe einmal mit einer WBA-Konfiguration angefangen, bin aber mittlerweile auf ODF umgestiegen. Die WBA-Konfiguration ist unten als Referenz aufgeführt, da es noch jede Menge Verbindungen gibt, die über WBA laufen und die Konfiguration mit einigen Anpassungen auch mit KPN-Glasfaser genutzt werden kann.
Mittlerweile wurde auch die Ausstattung angepasst, das aktuellste Design und die neueste Hardware sind bei ODF verfügbar.
ODF
Telefonieren ist (noch) nicht möglich.
Die VLAN-Daten von T-Mobile: !!!Hinweis „Internet / Verbundene VLAN-ID = 300“
Wenn Sie über eine ODF-Verbindung verfügen, ist die Einrichtung etwas einfacher, das IP-TV-Gerät verfügt nicht mehr über ein eigenes zugewiesenes VLAN, Sie müssen also nur VLAN 300 auf der WAN-Schnittstelle konfigurieren.
Es ist auch kein Medienkonverter mehr erforderlich, diese funktionieren nicht mit den GPON-Geräten von T-Mobile, sodass Sie von T-Mobile ein ONT in Ihrem Zählerschrank erhalten und die Firewall direkt daran angeschlossen werden kann, da ich auf ODF umgestiegen bin Für meine Verbindung steht mir auch noch andere Hardware zur Verfügung:
- Von Netgear GS324T(P) verwaltete Switches
- [HUNSN-Firewall](https://www.amazon.nl/gp/product/B095PCRMCT/ref=ppx_yo_dt_b_asin_title_o03_s00?ie=UTF8
WBA
Telefonieren ist (noch) nicht möglich.
Die VLAN-Daten von T-Mobile: !!!Hinweis „Internet / Verbundene VLAN-ID = 300“ !!!Hinweis „IP-TV VLAN ID = 640“
Ich habe folgende Komponenten verwendet:
- TP-Link MC220L Medienkonverter
- PFsense-Firewall
- Von Netgear verwaltete Switches (GS108E / GS105E)
Mein Netzwerk sieht so aus, die Switches im Zählerschrank und im Wohnzimmer sind verwaltet und unterstützen VLANS.
Die WAN-Verbindung wird mittels VLAN-Tagging in Internet und IP-TV aufgeteilt: Konfigurieren Sie diese VLANs auf pfsense:
Schnittstellen>Zuweisungen>VLANs
In meinem Setup ist die EM2-Schnittstelle die WAN-Schnittstelle, an die der MC220l angeschlossen ist. Es ist wichtig, das VLAN-TAG und die übergeordnete Schnittstelle richtig einzustellen.
Wenn VLANs auf pfsense erstellt werden, müssen diese mit den richtigen Schnittstellen verknüpft werden, die WAN-Schnittstelle ist standardmäßig bereits zusammen mit der LAN-Schnittstelle vorhanden.
VLAN 300 mit der WAN-Schnittstelle verbinden:
Schnittstellen>Zuweisungen
Erstellen Sie dann eine WAN-Schnittstelle für VLAN640 und wählen Sie unter den verfügbaren Netzwerkports VLAN 640 auf EM2 aus. Es erscheint eine neue Schnittstelle namens OPTx (x kann je nach Ihrer eigenen Konfiguration eine beliebige Zahl ab 1 sein).
Klicken Sie auf die OPTx-Schnittstelle und benennen Sie diese ggf. um und aktivieren Sie die Schnittstelle:
Auf der LAN-Seite muss außerdem ein VLAN für IP-Fernsehen erstellt werden, hierfür können Sie eine beliebige Nummer verwenden. Die Schritte sind die gleichen wie für die WAN-VLANs, mit Ausnahme der übergeordneten Schnittstelle, bei der es sich um die LAN-Schnittstelle handeln muss. In meinem Setup habe ich intern auch VLAN 640 verwendet.
Nachdem alle Schnittstellen erstellt und aktiviert wurden, erstellen Sie eine Bridge:
Schnittstellen>Zuweisungen>Brücken
Fügen Sie sowohl die WAN- als auch die LAN-Schnittstelle mit VLAN 640 hinzu und geben Sie der Bridge einen logischen Namen:
Um nur den Datenverkehr auf der Bridge-Schnittstelle zu filtern und keine Firewall-Regeln pro Schnittstelle zu erstellen, müssen zwei Systemeinstellungen in pfsense angepasst werden:
system>Erweitert>System Tunables
Fügen Sie die erstellte Bridge zu den Schnittstellen hinzu:
Schnittstellen>Zuweisungen
über verfügbare Netzwerkports.
Aktivieren Sie die Schnittstelle, geben Sie ihr einen Namen und ändern Sie die MTU auf 1594.
Gehen Sie dann zu den Firewall-Regeln:
Firewall>Regeln
Wählen Sie hier die Bridge-Schnittstelle aus und erstellen Sie eine neue Regel. In meinem Fall blockiere ich den gesamten Datenverkehr vom IP-TV-Netzwerk zu meinem LAN und erlaube den gesamten Datenverkehr im IPTV-Netzwerk.
Um Multicast-Verkehr über die Bridge zuzulassen, muss in der Firewall-Regel folgende Einstellung vorgenommen werden [IP-Optionen zulassen]. Diese Einstellung finden Sie in der Regel unter den erweiterten Optionen:
Nach diesen Einstellungen muss PFsense Ihr Internet sauber an Ihre WAN-Schnittstelle und IP-TV an Ihre Bridge liefern und dieses intern an das VLAN Ihrer Wahl weiterleiten. Es empfiehlt sich, den PFsense einmal neu zu starten, damit auch tatsächlich alle Einstellungen aktiv sind. Stellen Sie nun sicher, dass sich die LAN-Schnittstelle an einem TRUNK-Port Ihres Switches befindet und darauf das VLAN für IP-Fernsehen markiert ist. Wenn Sie dann einen Port des Switches in diesem VLAN platzieren, kann ein T-Mobile-Medienempfänger angeschlossen werden.