Suche IGMPv3 fähige Firewall

[BigStrike]

Hallo zusammen

Mein problem ist folgendes, ich bin im Besitz einer Zywall 2+. Ich bin soweit sehr zufrieden mit ihr. Jedoch habe ich vor ein paar Monaten auf IPTV von der Swisscom umgestellt.
Swisscom TV benötigt zur vollen Funktion IGMPv3. Leider wird durch die Zywall nur IGMPv2 unterstützt. Leider habe ich so nach einigen Sekunden Streamabbrüche. Deshalb habe ich bis dato ein separates Kabel vom Router zur Settopbox gezogen. Da nun an dieser Leitung ein zusätzlicher PC drann soll möchte ich mir eine neue Firewall zulegen. Software Firewalls kommen für mich nicht in Frage. Auch das Bluewin Firewall Packet spricht mir nicht zu. Ich möchte einen kompletten Zugriff auf die gesamten Rules. Das gesamte Setup ist mir ein Dorn im Auge und ich möchte es nun definitiv ändern und alles hinter der Firewall haben.

Nun zur eigentlichen Frage. Ich habe verzweifelt nach einer IGMPv3 fähigen Hardware Firewall gesucht, leider finde ich in den Datenblättern und Manuals bei keiner Netgear, Zyxel, Sonic Wall oder Linksys Firewall irgendwelche infos über das unterstützen von Multicast.

Kennt möglicherweise irgendwer eine Firewall mit IGMPv3 Unterstützung?

Im voraus besten Dank und freundliche Grüsse

BigStrike

 

[Fusi]

Wie wärs mit einem alten PC als Router/Firewall?

 

[WulfmanGER]

Hi

die Swisscom wird ihr IPTV sicher auch nicht anders regeln als es die Telekom in DE mit ihrem IPTV macht. Dort geht Multicast nur bis zum ROUTER. Ab Router wird der Stream dann per BROADCAST ins LAN geschossen. Um hier eine Broadcastflut zu vermeiden, soll man hier entweder einen IGMPv3-Fähigen Switch einsetzen oder den Receiver direkt mit dem Router verbinden.

Somit könntest du dein problem doch schon mit einem IGMPv3-Fähigen Switch erledigen (gibbet so ab 120€). Wofür brauchste für IPTV ne Firewall? Reicht die nicht wenn die die die PCs soweit abschirmt?


Allerdings hab ich mit billigen Switchen im hause keine Streamabbrüche wenn ich den Receiver an nen Switch anschließe ... ich bekomme nur wg. dem Broadcast probleme mit meiner dbox2 - die kann bei aktiven IPTV dann nicht mehr streamen - das 10mbit-Interface ist dicht.

Gruß

 

[BigStrike]

Dies kann ich leider nicht so lösen, denn das Patch-Kabel dass zur Settopbox geht ist bereits an einem IGMP fähigen Switch, nur geht von diesem Switch noch ein Kabel ins Untergeschoss und genau dort soll ein Server und ein Arbeitsrechner hinkommen. Der Router und die Firewall sind im obersten Stock. Jedoch ist das Verlegerohr der Telefonleitung zu schmal für ein 2tes Patchkabel. Also müsste ich entweder den Elektriker holen oder die Firewall ersetzen.
Meiner Rechnung zunach kommt mir die Firewall also um einiges günstiger.

 

[WulfmanGER]

was für ne Rolle spielt die Firewall in dem Konstrukt? Broadcast kommt an und du setzt das in Unicast um zum IPTV-Receiver? Was spricht dagegen den Broadcast einfach dein Netz fluten zu lassen? nen IP-Streams sind vielleicht 3-10Mbit - das sollte deinen anderen Kisten im LAN ja nicht wirklich probleme bereiten. Ausser du hast Geräte im LAN die nur 10Mbit können

Habe momentan ein ähnliches Problem: Im Arbeitszimmer DSL, Arbeits-PC, Server - von dort gehts über EIN Kabel ins Wohnzimmer zu 3 Geräten (u.a. einer IPTV-Kiste) und von dort in ein anderes Arbeits-Zimmer mit einem PC. Da eines der Wohnzimmergeräte eine dbox2-neutrino ist und ich mit dieser zum Aufnehmen auf den Server streame, kann ich unkontrollierten Broadcast nicht gebrauchen - die dbox2 hat nur 10Mbit und die werden zugeknallt - schon erfolgreich getestet *G*.

Ich musste die IPTV-Kiste also seperat an den Router bringen - ohne zweites Kabel zu verlegen! Hab mir da so 2 Ethernet-Y-Kabel geholt. Die 8 Adern im CAT5e-Kabel teile ich hiermit in 2x4 auf. Nachteil: nur noch 100Mbit möglich - aber klappt. Nur jetzt muss ich erweitern - ins Wohnzimmer soll en HTPC hin - der bissel größeren LAN-Hunger hat - und da bin ich an dem Punkt wo du gerade bist - 1 Kabel, IPTV, 1Gbit-Endgerät, IPTV-Broadcast muss ich verhindern.

Die Lösung das Kabel zu teilen kommt bei dir wohl wg. dem Server nicht in Frage. Server mit 100mbit in die obere Etage ist natürlich nichts. Oder ist der Server nur für "unten" bzw. nur für sachen mit geringer Bitrates? (Medienserver; da reichen auch 100mbit - ausser es greifen zuviele Leute drauf zu *G*)

 

[frankpr]

Dort geht Multicast nur bis zum ROUTER. Ab Router wird der Stream dann per BROADCAST ins LAN geschossen.

Gibt es dafür eine Quelle?

Um hier eine Broadcastflut zu vermeiden, soll man hier entweder einen IGMPv3-Fähigen Switch einsetzen

IGMPv3 wird genutzt, da es hier die beiden Befehle LEAVE und FAST LEAVE gibt, die v2 nicht kennt. Ansonsten würde ein nicht mehr benötigter Multicast unnötige 2 Minuten mehr das Netz belasten, da die Multicast Replicatoren nach einem QUERY eine Minute auf die JOIN GROUP Antwort warten, bleibt die aus, warten sie eine weitere Minute, für den Fall, daß JOIN GROUP verloren gegangen ist (war im UDP mangels Kontrolle ja durchaus vorkommen kann), erst dann wird der Multicast Stream gekappt. Wird der Stream nicht mehr benötigt, sendet das Endgerät eben besagtes LEAVE und der Replicator weiß, daß er den Stream sofort beenden kann.
Da im Entertain Netz der Telekom der Router in den allermeisten Fällen der letzte Multicast Replicator ist, ist damit auch gleich die Broadcast Theorie besprochen. Es gibt keinen Broadcast, die Receiver bekommen Multicast Streams. So wird u.A. vermieden, daß ein Stream 2 Mal gesendet werden muß, weil 2 MRs am gleichen Anschluß den gleichen Sender empfangen. Zum Anderen wird eben eine unnötige Überlast im LAN verhindert. Die integrierten Switche der Speedports beherrschen IGMP Snooping, demzufolge wird der Multicast Stream zu allen LAN Ports gesendet, von denen ein JOIN GROUP für den entsprechenden Stream kam. Und nebenbei funktionieren genau deshalb, weil es eben keine Broadcasts sind, nur Switche, die IGMPv3 Snooping beherrschen.

@Topic: für Server und Workstations brauchst Du doch kein IGMP, oder? warum also nicht die Box an einen Port des Routers, die Firewall + folgendem Switch an einen 2., dann das Netzwerk für die Rechner verteilen, im Keller notfalls einen 08/15 Switch.

 

[WulfmanGER]

Hi

ah da hab ich was missinterpretiert: Broadcast stimmt schon - aber falsche stelle im Netz:

Befindet sich auf dem Weg zwischen Router und Media Receiver jedoch ein normaler, billiger Feld-, Wald- und Wiesenswitch wird aus dem Multicaststream ein Broadcaststream, der somit an alle (!) angeschlossenen Geräte weitergeleitet wird

sry für das missverständnis


Was ich auch gerade mal gefunden habe:

hatte genau das gleiche Problem, meine Lösung: habe zwei Switche von NETGEAR im Einsatz, GS108T: managbar, IGMP V2 können sie. Dem Speedport Router (im Moment noch W701V, wird aber nächtse Woche ein W721V) habe ich dann per Änderung in der Konfigurationsdatei beigebracht IGMP V2 zu nutzen und nicht mehr V3. Damit wird mein Netzwerk nicht mehr geflutet.

Quelle: http://foren.t-online.de/foren/read.php?552,3449854,fid=74cbfea
Ist das vielleicht eine Lösung für den TE? Router von V3 auf V2 umstellen - dann machts seine FW ja wieder mit?

Wenn ich deine Erklärung richtig verstehe unterscheidet sich v3 und v2 ja durch die befehle LEAVE / FAST LEAVE. Ok ich hätte einen 2min längeren Multicast-Stream - stört mich das?

Gruß

 

[frankpr]

Bei korrekt arbeitenden Geräten funktioniert Entertain dann gar nicht, die Protokollversion steht im Header des Paketes. Geräte, die das nicht beherrschen, ignorieren die Pakete einfach, wie es in Netzwerken generell üblich ist. Frei nach dem Motto "kenne ich nicht, interessiert mich nicht". Die MRs ignorieren auch IGMPv2 Pakete (sollten sie zumindest, alles Andere wäre ein Softwarefehler).

 

[el-mujo]

Hallo, ich beschäftige mich schon seit 3 Monaten mit dieser Geschichte. Wie es aussieht müssen Alle Geräte in der Kette IGMP V3 unterstützen. Also Router, und wenn nötig auch ein dahintergeschalteter Switch.
Folglich fallen 95% aller am Markt befindlichen Router weg, die eben kein IGMPv3 können.
Wenn man mal von den AVM Boxen und den Speedports (hier hat der interne Switch mitunter garkeine IGMPv3 Unterstüzung, was sich mit einer maximal definierten Anzahl an Boxen an genau definierten Ports äussert) absieht, ist der Markt sehr rar gesäht.
Ich hatte hiezu bereits im Planet3dNow Forum einen Post getätigt: -http://www.planet3dnow.de/vbulletin/showthread.php?t=353311

"Hallo,

Auch D-Link bietet UTM-Router an. Der DFL-260 (530€) und DFL-860 (~1000€) unterstützen laut Datenblatt auch IGMP v3. Ob jedoch auch VLAN-WAN seitig verfügbar ist, weiss ich nicht. Die Preise verstehen sich übrigens OHNE Signaturen. Leider ist der UTM Durchsatz bei DLink nicht sehr berauschend, und es werden in erster Linie nur FastEthernet unterstützt (der 860 hat 2 GBit).
Zum Thema IGMP v3 fähiger Switches sei Euch folgender Link ans Herz gelegt: http://www.schirmer-online.de/t-home/igmp-v3-switches/
Darüber hinaus gibt es noch den DGS-3200-10 (~250€) und 3200-24 von DLink mit IGMP v3 Unterstützung und 10/24 GIGABIT Ports!!! Ebenso ist der Edge-Core 3510MA IGMPv3 fähig und hat immerhin 2 GBit Ports. http://www.accton.com/ProdDtl.asp?sno=MPMVIS für 188€ über Avanis oder KTI zu beziehen. Da gibt es auch höherwertige L2/3-Switches jenseits der 1000€ Marke mit IGMPv3.
Leider geht da bei Zyxel nicht sonderlich viel. Gerade mal 1^Modell für den Home-User ist dabei. Der ES-2108. Ok der GS-2200-24/48 gehen auch, aber da sind wir wieder beim Preis-Problem >500€.
Wie man sieht, alles noch nicht so prickelnd, gerade was Router angeht.
Router mit WAN-seitigem VLan UND IGMP v3 gibt es momentan anscheinend nur von Cisco Funkwerk und Sonicwall.
Ich würde daher wirklich empfehlen, Druck auf die Hersteller zu machen zwecks VLAN und IGMPv3. Sehe es nicht ein, wegen eines kleinem feature ein ganz neues Gerät kaufen zu sollen.
Und bitte, verkneift euch Konnentare zu AVM (Speedport), sowas kommt mir nicht ins Haus; in anbetracht der derzeitigen Liefersituation der 7390 quasi in zweierlei Hinsicht.
CYA

PS: hat schon jemand Erfahrungen mit NGN-Dsl (kein echtes ISDN) und T.38-FAX? "

Da wäre noch die Funkwerk Bintec RS-Serie(5 Gigabit +MiniGBic-Slots; Lüfterlos und VPN Tauglich, UMTS, MIT IGMPv3. Und alle haben auch ADSLs+ Modems eingebaut, was ja dem Einsatz in VDSL mit entsprechend vorgeschaltetem Modem kein Problem sein sollte. (http://www.funkwerk-ec.com/prod_bintec_rs-series_de,101817,194.html)

Mein persönlicher Favorit ist ja eigentlich der Zyxel USG 300. Aber bis heute wird nur IGMP V2 unterstützt. Das Problem ist Zyxel mittlerweile auch bekannt. Es wird sicher irgendwann kommen. Die USG Serie hat nämlich hervorragende UTM Funktionen und dazu einen schnellen Prozessor mit zusätzlichem Cryptochip zur Steigerung der UTM Leistung (USG 300). Ferner verfügen alle über Teilweise frei konfighurierbare Gigabitports. Preise: USG100/200/300 - 400/550/1100€.
Aber wenn IGMPv3 wirklich kommt ist DAS MEIN Gerät!

So ich hoffe ich konnte wenigstens etwas mehr Vielfalt in die Diskussion bringen.