Privates IPFire Netzwerk und ‘Telekom Entertain’ IPTV mit VLANs separieren und per Powerline transportieren

Bricht man aus einem normalen Nutzungsszenario aus, wird’s mitunter haarig. So etwa bei den glücklichen Kunden der Deutschen Telekom AG mit dem zusätzlich zum Internetzugang angebotenen IPTV ‘Telekom Entertain’. Ohne Frage ein gutes Produkt und für viele eine Alternative zum Satelliten- oder Kabelfernsehen. So kommt’s zum normalen Nutzungsprofil, wenn man einfach das vom Anbieter gereichte DSL/VDSL Modem Speedport W 921V hernimmt und darüber den Haushalt mit den Computern und den IPTV-Endgeräten namens ‘Media Receiver’ ans Netz bringt.

Lecks mit Generalschlüssel und Fernwartungszugänge

Haarig wird’s jedoch dann, wenn man als Computerfreund irgendwelchen vom Internet Service Provider gebotenen Plasteroutern nicht trauen mag und eher auf eigene Technik für Routing und Firewall setzt. Es sind schon zwei Welten, wenn man die funktional minimalistische Konfigurationsoberfläche eines Speedport W 921V mit dem Funktionsreichtum, der Anpassbarkeit, der Erweiterbarkeit und der Transparenz eines IPFire vergleicht. Zusätzlich erinnere ich mich noch gut an das Sicherheitsdesaster vor knapp zwei Jahren mit genau diesem Speedport W 921V. Unabhängig von dem, was die Box einem damals in den Menüs anzeigte, war das Wi-Fi Protected Setup jederzeit übers WLAN mit einem im Internet kursierenden Generalschlüssel zugänglich. Bis zum Aufspielen der vom Anbieter nachgereichten Firmware half es seinerzeit nur, die Drahtlos-Funktion komplett zu deaktivieren.

Ist der Speedport W 921V Router vom Anbieter gemietet, so muss der Fernwartungszugang dieser Hardware aktiviert bleiben. Berücksichtigt man, dass dieser größte deutsche Zugangsanbieter knapp 12 Millionen DSL-Kunden hat, so kann das mitunter für viele technikferne Nutzer ein tolles Feature sein. Etliche Millionen dieser Kunden sind mit der Einrichtung vermutlich schnell überfordert und erwarten einfach, dass die Dinge ohne eigenes Zutun immer funktionieren. Da kann die Konfiguration und Wartung aus der Ferne die Sache anschubsen. Jedoch ist so ein vollumfänglicher Fernwartungszugang für die eher sensiblen Computerfreunde, zumal in der Post-Snowden-Ära, mitunter eine blanke Horrorvorstellung. Da bei der Gerätemiete dieses ‘Feature’ also nicht abgeschaltet werden darf, muss das vom Speedport abgegriffene Internet nochmals in ein eigenes sicheres LAN gebracht werden. Was wir standardmäßig ja ohnehin mittels IPFire machen wollen!

IPTV ‘Telekom Entertain’ durch IPFire möglich, aber …

Ja, man kann Entertain IPTV durch IPFire routen und zu den ‘Media Receiver’ Endgeräten bringen, doch ist dieser Pfad zum Glück mit vielen Fallgruben versehen. So taugt der Speedport W 921V nicht wirklich als reines Modem, welches sowohl das bis zum DSL/VDSL-Modem angelieferte PPPoE mit VLAN-ID7, als auch das Internetfernsehen in Form eines Multicast Datenstroms mit VLAN-ID8 an die Firewall durchzureichen imstande wäre.

Manche gehen dann den ganz konsequenten Schritt, werfen das Speedport Dingens in die Schublade und schaffen dann beispielsweise das exzellente Allnet VDSL2 Slave Modem an, was aber wiederum kostet. Mit solch einem Modem kann man dann IPFire die ‘Einwahl’ machen lassen und mittels des IPFire-Addons igmpproxy, Anlegen zusätzlicher MAC-Adressen in der GUI vom IPFire, Anpassungen diverser Konfigurationsdateien im Linux unterhalb der GUI von IPfire das IP-Fernsehen laufen lassen. Ganz oft aber klappt genau das individuell nicht. Für viele Nutzer von IPFire ist es außerdem ein klein wenig ärgerlich, wenn man außerhalb der GUI einer GUI-basierten Firewall-Distribution groß basteln muss.Weil es ein häufiger und zeitvernichtender Irrtum ist, hier nochmals die wichtige Info: Das von der Telekom in die Häuser gebrachte Multicast IPTV mit der VLAN-ID 8 gilt nur bis zum Speedport DS/VDSL Gerät. Ab den Ethernetbuchsen gibt es kein VLAN 8 mehr!

Eine Alternative mit (und ohne) VLAN-Switches

Persönlich bin ich kein allzu großer Freunde dieser Entertain-Endgeräte namens Media Receiver. Es wäre nämlich unglaublich viel einfacher, könnte man im jeweiligen Media Receiver echte Einstellungen machen, wie z.B. die VLAN-ID der integrierten Ethernetbuchse wählen oder vielleicht auch nur den DHCP-Server im lokalen Netz selbst bestimmen. Aber es ist nunmal nicht so.

Mit diesem kleinen Artikel zeige ich eine alternative Lösung auf, in welcher das ‘sichere’ IPFire Netz und das direkt vom Speedport abgegriffene Netz mitsamt IPTV das letzte Stück in die einzelnen Räume über ein Kabel bzw. eine Powerline-Strecke transportiert werden. Beide Netze werden über den Switch TP-LINK TL-SG3210 zusammengeführt.

In meinem Beispiel verwenden wir für Internet und IPTV vom Speedport die VLAN-ID 14, und vor dem Media Receiver verwenden wir dann einen günstigen VLAN-fähigen Switch, der beide Netze an verschiedenen Ports anbietet. Einmal das Netz von IPFire für Dinge wie HTPC, Arbeitsrechner und etwa Spielkonsolen, und an den anderen Ports das vom Speedport verwaltete Netz mit dem IP-Fernsehen. Passend an dieser Stelle mein prima lustiges Schaubild:

In diesem Setup führe ich ganz bewusst kein gesondertes VLAN-Tagging fürs Netz von IPFire kommend durch. Das hat den Vorteil, dass ab den Powerline-Adaptern in den Zielräumen Rechner unkompliziert ohne VLAN-Swich ganz normal ins Netz gebracht werden können. Und andere Versuche mit ‘richtigen Trunk-Port’ wollten mir mit dem NETGEAR nicht gelingen. Weiß der Kuckuck, warum nicht.

Billiger Switch, leider nur mit Windows einstellbar

Als ausgewiesene Mac/Linux/Unix-Freunde und nur des niedrigen Preises wegen, verwenden wir in diesem Komplex als ‘kleinen’ VLAN-fähigen Switch vor den Media Receivern jeweils einen Netgear GS108E-100PES ProSafe Plus Switch mit 8 Ports.

Dieses Ding lässt sich gegenwärtig leider nur mit der ‘Prosafe Plus-Konfigurationsprogramm’ genannten Windows-Software einstellen. Hierzu habe ich auf dem Mac VirtualBox mit einem virtualisierten Windows hergenommen. Es ist immer hart, auf dem Mac OS X Desktop diese Windows-Fenster sehen zu müssen. Doch auch das lässt sich ertragen, wenn man nur das Ziel nie aus den Augen verliert.

Wir konfigurieren den NETGEAR Switch derart, dass in den Zielräumen die Ports 1 bis 6 das vom IPFire kommende ‘sichere’ Netz zur Verfügung stellen. Port 7 und 8 bringen das Netz vom Speedport W 921V. In Anlehnung an unser lustiges Schaubild weiter oben, können den folgenden Bildern die notwendigen Einstellungen im GS108E entnommen werden. Ist in einem weiteren Raum ein zusätzlicher Media Receiver vorhanden, so braucht es dort natürlich ebenfalls einen GS108E mit den gleichen Einstellungen.

Das Setup des TP-LINK TL-SG3210

Der TP-LINK Switch ist uns da natürlich viel lieber. Das Setup rufen wir hier bequem im Browser auf.
Ziel ist es, das Ethernetkabel von IPFire kommen z.B. im Port 1 des TL-SG3210 zu stecken, das Kabel zu Powerline in Port 7 und jenes vom Speedport in Port 8. Folgende Bilder zeigen die Einstellungen:

Das man es so falsch nicht gemacht hat, zeigt einem der TL-SG310 mit einem selbständig angelegten und stimmigen Multicast IP Table:

Das war es. Geht etwas nicht, so kann ein kurzzeitiges Ziehen des Netzsteckers vom Speedport helfen. Selbiges gilt für die Media Receiver.

Bonus: Ohne Media Receiver mit VLC am Mac Fernsehen

Ist an einem Powerline Adapter ein Computer wie etwa ein iMac direkt angeschlossen, so ganz ohne NETGEAR Switch, dann schießt sich dieser Rechner automatisch auf das Netz vom IPFire ein. Allerdings ist da immer noch das verwobene VLAN 14 mit dem Entertain Fernsehen. Dieses lässt sich bequem im VLC betrachten, wenn man der Netzwerkkonfiguration seines Mac OS X einen ‘Virtuellen Anschluss hinzufügt’.

Systemeinstellungen > Netzwerk. Dort auf das lustige kleine Zahnrädchen unten links klicken und im Kontextmenü ‘Virtuelle Anschlüsse verwalten …’ auswählen.  Im Tochterfenster das Plus-Symbol klicken und ‘Neue VLAN …’ klicken. Namen vergeben (hier 14), im Feld ‘Markierung (Tag)’ 14 eingeben und Anschluss ‘Ethernet’ belassen. Nun den Standardanschluss ‘Ethernet’ deaktivieren, Anschluss 14 aktivieren und siehe da, der Mac hat eine IP im Bereich 192.168.8.x vom Speedport zugewiesen bekommen.

Nun den VLC öffnen, eine Playlist vom Entertain Change(b)log mit den Sendern laden und ins VLC reinziehen. Sender klicken, vorzugsweise in HD und … Fernsehen ohne Media Receiver.

Schönes Wochenende Euch da draußen!

Schaltfläche "Zurück zum Anfang"