ArtIT Wiki

Op veel forums is te lezen dat het moeilijk dan wel onmogelijk is om een PfSense Box aan te sluiten op een glasvezelnetwerk. Velen zijn ervan overtuigt de het gewoonweg niet mogelijk is om alles via een PfSense oplossing te laten verlopen.

Wat je wil is je modem van je provider uit de kast halen en het volle spectrum aan mogelijkheden gebruiken die PfSense heeft te bieden. Laat ik je vertellen dat, zolang er modems bestaan in de configuraties zoals deze door de providers zijn opgezet, er ook een weg is om PfSense hierop in te richten.

Dus hoe doe je dat dan als iedereen hier maar tussenoplossingen heeft. Nou je moet wel eerst weten hoe je provider werkt. Het belangrijkste wat je te weten wil komen is wat voor VLan’s gebruikt je provider eigenlijk.

In Nederland gebruiken bijna alle glasvezelaanbieders dezelfde glasvezel die bij jou aan huis wordt afgeleverd. Elke provider heeft daarom zijn eigen LAN op het glas en dat is ingedeeld in VLan’s. Er zitten dus alle providers op dezelfde glasvezel met een eigen VLan. Daarom heeft elke provider een andere instelling en deze moet je te weten komen.

Opmerking: Het is natuurlijk niet zo zwart/wit, maar globaal komt het hier wel op neer.

Voor wat ik nu weet hebben de volgende aanbieders de volgende instellingen:

• Telfort: VLan 34 voor internet en 4 voor IPTV
• T-Mobile: VLan 300 voor internet en 640 voor IPTV
• Solcon: Vlan 6 voor internet en 4 voor IPTV
• KPN: Vlan 6 voor internet, 4 voor IPTV en 7 voor telefonie
• Tele2: VLan 32 voor internet, 33 voor telefonie en 34 voor IPTV
• XS4ALL: VLan 4 voor televisie, 6 voor internet en 7 voor telefonie

De monteur komt altijd langs als je van provider wisselt omdat een aanpassing uitgevoerd moet worden op het Genexis kastje waarop je glasvezeltoegang op wordt afgeleverd. Het deel dat de monteur vervangt als je van provider wisselt is het NTU gedeelte, dus het deel waar de settings voor je nieuwe provider op worden afgeleverd, de VLAN’s.

Vanaf dat moment heb je glasvezel in huis, maar daar kun je nog niets mee omdat op de poort waar je het RJ45 UTP kabeltje insteekt ingesteld is op minimaal 2 VLan’s. De meeste providers gebruiken 1 VLan voor het internet en 1 VLan voor de televisie. Sommige leveren telefonie ook op een apart VLan op. Maar de meeste providers zullen Internet en TV op 2 VLan’s afleveren. IP Telefonie kan immers over Internet en daarom zal hier meestal geen extra VLan zijn.

Nu je weet waar het allemaal mee begint, zullen wij ons nu moeten richten naar het RJ45 poortje van je Genexis die meestal met RJ45 met je meegeleverde modem van je provider geconnect moet gaan worden.

Note: Het is mogelijk dat je een provider hebt die een directe glasvezelverbinding met je modem maakt. T-Mobile is her een provider van. In dit geval is de opzet hetzelfde echter zal je eerst een RJ45 poort moeten maken vanuit je Genexis om verder te kunnen. Dat doe je middels een media converter van glas naar koper. Meestal is de TP-Link MC220L een goede optie om dit te realiseren.

Eenmal je modem verbonden, gaat je kasje (het meegeleverde modem van je provider) zijn werk doen. Eerst zal het Internet VLan worden gesplitst van het IPTV lan en internet tot stand worden gebracht op je Lan porten. Dan gaat het modem het IPTV VLan omzetten naar je LAN porten en tot slot zal via je internetverbinding de IP-Telefonie tot leven worden gebracht. Dat is eigenlijk alles. Het moeilijke is dus uit te zoeken hoe het modem dat nu doet! Maar, nu dat je weet hoe het werkt kun je met een beetje kennis en kunde deze instellingen op je PfSense inregelen.

De grootste uitdaging is meestal de telefonie om dat je provider niet de instellingen wil prijsgeven. Hier zal je dus wat meer moeten doen om achter je instellingen te komen. Maar daar kom ik later wel op terug.

De installatie die ik hier ga beschrijven is voor een T-Mobile Glasvezel aansluiting. In veel gevallen kun je deze handleiding prima gebruiken om ook de andere aanbieders in te richten. Ik heb al diverse providers mogen proberen en PFSense heb ik altijd kunnen gebruiken.

Ik ga ervan uit dat je een PfSense installatie hebt op een eigen machine. Ik wil je afraden om een geritualiseerde machine te gebruiken zoals VMWare of HyperV. Het is wel mogelijk en als je gelukt hebt werkt het ook wel, maar de factoren dat hier een issue in is met betrekking tot je hardware en de virtualisatie met VLans is erg groot.

Uit ervaring weet ik dat als je issues hebt met je TV, het meestal aan de virtualisatie ligt. Ga je over naar een oude PC en richt je daar PfSense met 3 netwerkkaarten in, dan is het probleem 99% van de gevallen opgelost. De PfSense installatie die ik voor dit voorbeeld gebruik is versie 2.4.3 van Netgate, dus de niet commerciële versie. De laatste versie of de versie 2.4.3 van Netgate/PfSense kun je via https://www.pfsense.org/download/ downloaden.

Zorg ervoor dat je minimaal 2 netwerkkaarten hebt als je alleen Internet wilt hebben. De eerste is voor de aansluiting die van je Genexis komt en de andere gebruik je voor je interne netwerk. Een 3de kart is nodig om je IPTV te splitsen. Dit heeft in veel gevallen heel veel voordelen omdat het verkeer niet direct je LAN vervuilt en je data tussen IPTV en Internet keurig gescheiden blijft.

Ik zou je aan bevelen om 1000Mbit karten te gebruiken. Een 100Mbit en een 1000Mbit doen het ook in de meeste gevallen. Gebruik dan de 100Mbit voor je WAN en de 1000Mbit voor je LAN. Mocht je sneller internet hebben dan 100Mbps, dan zal je voor alle twee karten 1000Mbit moeten gaan gebruiken. De 3e maakt niet zoveel uit omdat je TV niet gouw 100Mbit zal trekken. Elke TV met een kasje zal rond de 8 to 10Mbit gebruiken. Je zou dus rond 10 TV kasjes hierop aan kunnen sluiten.

Om je netwerk te verbinden moet je ook een switch hebben. Let op dat je een switch hebt en geen hub, omdat je wellicht ook meer moet/wil instellen. Zo kan het zijn dat je snooping wil hebben om een overbelasting van je Wifi met multicast te voorkomen. Of je werkt intern met VLan’s dan zul je ook een switch moeten gebruiken. In deze handleiding maken wij geen gebruik van Switching voor IPTV, en dus is een Multicast niet van toepassing. T-Mobile maakt namelijk gebruik van Bridging op zijn TV netwerk.

Hieronder vind je een schematische opstelling van de opzet die wij gaan maken:

Het is mogelijk dat je in de verbinding tussen je Genexis en de PfSense box een converter nodig hebt, maar het principe is hetzelfde. Als je een converter gebruikt ziet het geheel zou uit:

Ok, tijd om je installatie uit te voeren van PfSense. Tijdens de installatie zal gevraagd worden om het wan/lan adres te configureren en of er VLans toegewezen dienen te worden. Configureer alleen je LAN. Deze heb je nodig om verder op het interface van PfSense te komen. Werk dan vanaf dat moment vanuit je laptop of PC om PfSense verder in te richten. Het opgegeven adres van je LAN kun je dan gebruiken om alles verder te configureren.

Meld je nu aan op je PfSense URL (admin/pfsense) en configureer de initiële Wizard af.

Volg de Wizard en click NEXT

Vul een naam voor je PFSense onder Hostname in (wat je wil) en vul eventueel je Domainnaam in. Daarna geef je de exteren DNS servers op als je naar het internet wilt. De Google DNS’e zijn hier prima.

Je kunt dan nog een Tijd Server opgeven en je tijdzone installen.

Nu naar je WAN kart configuratie. Die kan van Provider tot Provider verschillend zijn. Je provider zal op Glasvezel meestal DHCP gebruiken. Stel deze in op DHCP en ga naar de MAC Address instellingen. Het is hier in de meeste gevallen aan te raden om je MAC-Adres van het modem van je provider onder MAC Address in te vullen.

Er zijn providers die je afschermen en alleen het MAC-Adres van het geleverde modem toe te laten. Eveneens kan het goed uitkomen het modem MAC-Adres te gebruiken. Zo krijg je bijvoorbeeld weer het oude IP-Adres terug en hoef je eventuele bestaande DNS settings niet aan te passen. Zet onderaan nog beide vinkjes voor privat en bogon networks aan. De rest kun je zo laten en ga je door naar het volgende scherm.

Tip voor ADSL Gebruikers: Als je ADSL gebruik moet je de instelling van je ADSL router overnemen en hier invullen. Zet dan je ADSL router in Bridge-Mode en ga dan verder.

In de LAN configuratie maak je het interne netwerk gereed. Als PFSense je netwerk master wordt (dus doet DHCP en DNS) dan zijn deze instellingen erg belangrijk. Geef dus je gewenste IP aders op dat later voor alle devices in je netwerk als gateway gaat dienen. De meesten zullen hier iets zoals 192.168.1.1 gaan instellen of 192.168.1.254. Je subnet zal in de meeste gevallen gewoon 256 adressen lang zijn. Meer dan genoeg voor een thuisnetwerk. Dus hier een 24 subnet opgeven.

Voor nu is het voldoende om alles standard te laten op je WAN (dus DHCP aan en de rest zo laten).

Geef nu je nieuwe wachtwoord op om later weer op je PFSense in te kunnen loggen als Administrator (admin), en ga door naar het volgende scherm.

Je hebt nu de wizard doorlopen en kunt beginnen met het verder inrichten van je PFSense.

Nu is het tijd om je VLan’s in te gaan richten op je WAN interface. Ga hiervoor naar INTERFACES  ASSIGN en dan naar VLANs.

Click op ADD. Selecteer je WAN interface geef het VLAN op van je provider voor Internet met eventueel een priority (deze is kun je vaak via Google achterhalen, maar is niet echt noodzakelijk) en geef een beschrijving aan je interface zoals Vlan voor Internet.

Let op: Het voorbeeld hier zijn de VLans voor Telfort. Voor T-Mobile gebruik je 2 VLans. VLan 300 voor de WAN zijde (het internet) en VLan 640 voor TV op de WAN zijde.

Let erop dat je Parent Interface je WAN netwerkkaart is! Geef dan je VLan op en een omschrijving (voorbeeld voor Telfort)

(dit voorbeeld is voor T-Mobile)

Deze setting is voor Telfort

Herhaal deze stap voor al je VLan’s op je WAN. Als je er 3 hebt voor telefonie en internet en voor IPTV dan moet je deze stap 3 keer uitvoeren voor elk VLan op je WAN interface. Uiteindelijk zie je lijst er dan zo uit:

Ga nu terug naar je Interface Assignments en voer je nieuwe VLan’s toe aan de Interface lijst.

Hier ook voor het voorbeeld voor T-Mobile

Click nu op OPT1 en set het vinkje voor Enable Interface. Als je wil kun je de OPT1 nog hernomen, dat maakt het in veel gevallen duidelijker wat precies je VLan is. Verander de descriptie van OPT1 in een voor jou herkenbare omschrijving. Let wel op dat je dit in een word moet zetten dus geen spaties. OPT1 in ons geval is VLan 34 voor Internet, dus OPT1 is hier het Internet (of Inet34 of wat je wil).

In de meeste gevallen heb je een DHCP als instelling voor je WAN. Is dat niet zo dan gebruik je PPPoE met de bijbehorende gegevens van je provider.

Als je provider met een MAC adres afscherming werkt dien je hier ook je MAC-adres van je modem op te geven. Hiermee is je MAC richting je provider dan gekloond (het lijkt er dan op alsof je met je modem op het WAN bent aangesloten). Als je het MAC adres zoals eerder beschreven hebt ingevoerd, dan staat deze hier al goed. De rest is standaard.

Als het goed is heb je nu al internet en kun je dat zien als je naar je Dashboard gaat. Je Lan zal een groen pijltje vertonen met het IP adres wat je hebt opgegeven. Ook het Internet zal hier een groen pijltje laten zien met het aders wat je van je provider hebt ontvangen. Heb je dat niet dan is iets niet goed in je opzet. Loop dan de handleiding nogmaals stap voor stap door tot dat je Internet hebt.

Het volgende wat wij gaan configureren is IPTV. In dit voorbeeld ga ik ervan uit dat je de WAN VLan naar je interne netwerk omzet via een 2 Lan kaart. Dit bekend je kan op al je porten TV aansluiten en kijken.

In dit voorbeeld gaan wij IPTV van het wan naar je 2e interne netwerk opzetten. Ik heb in het verleden ook gebruik gemaakt van alleen het LAN, maar hier loop je vooral in de problemen van Multicasting, DHCP problemen en andere zaken. Het is dus zeer aan te raden om een 2e LAN kaart te hebben om hier je IPTV op uit te laten komen. Als je deze later dan weer in je netwerk wil laten stormen via VLans, dan is dit zeker mogelijk. Let dan wel op dat je met het multicasting protocol te maken krijgt. Dit moet je dan ook inrichten op je PfSense en je routers.

Het externe VLan door te zetten naar het interen is in de meeste gevallen niet mogelijk om dat je een extra DHCP server nodig hebt als je in bridge mode werkt (hier dus voor T-Mobile). Gebruik je de DHCP van je Lan dan kan het zijn dat ander devices op je netwerk het niet meer doen. Het zal zeker werken (had ik zelf al gezien) maar levert uiteindelijk te veel problemen binnen je netwerk op.

Ok, wij richten dus nu IPTV in en hiervoor zullen wij je IPTV Extern bridgen met je IPTV netwerkkaart intern.

Ga naar Interfaces en click OPT2 (als dat je TV VLAN is), enable het interface en geef je OPT2 een beschrijving in de Descritpion Box zoals IPTV. Zet IP4 configuratie type op DHCP. Het is mogelijk dat je hier ook je MAC adres moet gaan klonen wil je een DHCP adres hebben. Scrol naar beneden naar DHCP Client Configuration en zet het vinkje Advanced Configuration onder Options aan. Scrol verder naar beneden en vul de volgende gegevens onder Lease Requirements and Requests in: Onder Send options vul je dhcp-class-identifier “IPTV_RG” in en onder Request options vul je subnet-mask, routers, classless-routes in.

De rest hoef je niet aan te passen. SAVE je settings en als het goed is heb je nu ook een adres voor je IPTV van je provider ontvangen.

Het volgende is om een DHCP server voor je interne netwerk op te zetten. Ga hiervoor naar Services en DHCP Server. Zet het vinkje om DHCP te gebruiken op je LAN interface en definieer een DHCP reeks. Geef verder je WINS server op (als je deze hebt) en je interne DNS server. In de meeste gevallen zal je PFSense als DNS server gebruiken en hoef je deze gegevens niet in te vullen.

Ga naar Additional BOOT/DHCP Options en vul het volgende in

Optie 60 in de eerste regel is ervoor om te zorgen dat je van je provider een IP adres ontvangt. Vul de regel met optie 60 / Tekst en / IPTV_RG in. Optie 28 is noodzakelijk om aan te geven wat je broadcast adres intern op je netwerk is. In mijn geval is het interne netwerkt 192.168.10.0 dus adressen van 192.168.10.1 tot 192.168.10.255. Het Broadcast adres is altijd het laatste adres in je netwerk dus 255. Mijn Broadcast adres voor het 192.168.10.0 netwerk is dus 192.168.10.255. Vul dit onder met optie 28 en IP adres of host in de volgende regel.

Nu is het tijd om je IGMP Proxy in te stellen. Deze zorgt ervoor dat je netwerkverkeer voor het streamen van films en media in goede banen verloopt zonder dat je netwerk ervan last krijgt. Als je dit niet doet dan zal je netwerk zeer snel overbelast raken om dat op alle porten wordt gestreamd terwijl je maar naar 1 port hoeft te gaan. De IGMP proxy zorgt er dus voor dat je verkeer minder wordt op je netwerk. Hiervoor moet je dan ook alle routers (geen hubs) instellen op het IGMP netwerkverkeer.

• Ge hiervoor naar SERVICE –> IGMP Proxy en stel het als volgt in:

Zet het vinkje Enable IGMP Proxy en maak 2 nieuwe regels aan. De eerste regels is voor TV type upstream met het adres 0.0.0.0/1 en de tweede regel is voor je LAN en de downstream met je netwerk adres 192.168.10.0/24. Zoals eerder al aangegeven is mijn netwerk 192.168.10.0 met een 255.255.255.0 subnet. Dit resulteert in het 192.168.10.0/24 netwerk.

Dit is eigenlijk alles. Je hebt nu als het goed is TV en Internet via je Pfsens lopen.

Enjoy,

Your ArtIT Team

BACK