pfSense: Telekom-Anschluss BNG und EntertainTV

Jürgen Mainka
19.11.2017 10:21

Die Telekom stellen zurzeit nach und nach sämtliche VDSL-Anschlüsse auf BNG (Broadband Network Gateway). Wird als Router eine pfSense-Firewall benutzt, kann es bei der Nutzung von EntertainTV zu Problemen kommen.

Bei einem BNG-Anschluss haben sich im Vergleich zum herkömmlichen VDSL-Anschluss einige Änderungen ergeben:

  • Wegfall des VLAN 8 für Entertain.
  • EasyLogin zur anschlussbasierten Anmeldung.
  • pfSense 2.3.x ist nicht mehr geeignet für den Betrieb mit Entertain.

Zur Netzumschaltung für den eigenen Anschluss hält die Telekom einige Informationen bereit. Zudem kann der Umschalttermin online abgefragt werden.

Voraussetzungen

Damit die pfSense vollständig mit dem BNG-Anschluss kooperiert, sollte sie auf mindestens Version 2.4.0 aktualisiert oder neu installiert werden. Erst diese Version bringt ein kompatibles igmpproxy-Modul mit, welches für einen Betrieb mit EntertainTV (ursprünglich Entertain) notwendig ist.

Einrichtung der pfSense

Im Folgenden wird die Einrichtung der pfSense an einem BNG-Anschluss erläutert.

VLANs

 Obwohl bei BNG das VLAN 8 für den Entertain-Bereich entfernt wurde, wird noch immer das VLAN-Tagging für den Internetzugang benötigt, also das altbekannte VLAN 7:

  1. Dazu in der pfSense Interfaces→Assignments→VLANs aufrufen.
  2. Neues VLAN erstellen:
    1. Als Interface jenes angeben, an welchem das VDSL-Modem hängt.
    2. VLAN-Tag erhält 7.
    3. Als Beschreibung z.B. "Telekom VLAN 7 Internet" eintragen.
    4. Rest bleibt standardmäßig.
  3. Ist bereits ein VLAN 8 vorhanden, so kann dieses entfernt werden, da bei BNG dieses nicht mehr genutzt wird.

 PPPoE einrichten

  1. Menüpunkt Interfaces→Assignments→PPPs wählen.
  2. Neues pppoe0-Interface erstellen:
    1. Link Type auf PPPoE stellen.
    2. Bei Link Interface(s) das soeben erstellte VLAN 7 wählen.
    3. Bei Username nun den Telekom-Benutzernamen eintragen. Er ist wie folgt aufgebaut:
      AAAAAAAAAAAATTTTTTTTTTT#MMMM@t-online.de
      (A = 12-stellige Anschlusskennung, T = T-Online-Nummer, M = Mitbenutzernummer)
      Ist die Anschlusskennung und/oder die T-Online-Nummer kürzer als jeweils 12 Stellen, so muss vor der Mitbenutzernummer eine Raute eingetragen werden. Ist die Anschlusskennung inkl. T-Online-Nummer 24 Stellen lang, so kann die Raute entfallen.
    4. Bei Password wird das persönliche Kundenkennwort eingetragen.
    5. In das Feld Service name kann irgendetwas eingetragen werden, z.B. "Telekom_Entertain".

Prüfen der Interfaces

  1. Menüpunkt Interfaces→Assignments wählen.
  2. Dem Interface WAN muss das PPPOE0-Interface zugewiesen sein.
  3. Dem Interface LAN die Schnittstelle, an dem das LAN-Kabel für das lokale Netzwerk angeschlossen ist.

IGMP-Proxy einrichten

Bei der Konfiguration des IGMP-Proxy hat sich etwas im Gegensatz zu den vorherigen Versionen. Zudem sind auch einige IP-Adressen für den Multicast anders.

  1. Im Menü Services→IGMP Proxy auswählen.
  2. Mittels Add ein Upstream-Netz hinzufügen.
    1. Als Interface WAN auswählen.
    2. Beschreibung erhält eine eindeutige Beschreibung zur Identifikation, z.B. "Entertain Upstream".
    3. Als Type wird Upstream Interface gewählt.
    4. Treshold bleibt leer.
    5. Nun die Netzwerk hinzufügen:
      • 87.141.0.0 / 15
      • 224.0.0.0 / 4
      • 193.158.0.0 / 15
    6. Zuordnung speichern.
  3. Nun mittels Add ein Downstream-Netz hinzufügen:
    1. Als Interface LAN wählen.
    2. Eine Beschreibung eintragen, z.B. "Lokales Netz".
    3. Als Type wird Downstream Interface gewählt.
    4. Treshold bleibt leer.
    5. Nun ein Netzwerk hinzufügen:
      • Es wird die IP-Adresse des LAN-Interfaces eingetragen, also z.B. "192.168.1.1 / 24".
    6. Zuordnung speichern.

 Firewall-Regeln

Im Vergleich zu früheren Konfigurationen müssen hier explizit Firewall-Regeln für den Multicast-Datenverkehr angelegt werden.

  1. Regel für IGMP anlegen:
    • Action: Pass
    • Interface: WAN
    • Address Family: IPv4
    • Protocoll: IGMP
    • Source: Any
    • Destination: Network → 224.0.0.0 / 4
    • Description: z.B. IPTV
    • Advanced Options: Allow IP Options muss aktiviert sein.
  2. Regel für UDP anlegen:
    • Action: Pass
    • Interface: WAN
    • Address Family: IPv4
    • Protocol: UDP
    • Source: Any
    • Destination: Network → 224.0.0.0 / 4
    • Description: z.B. IPTV

Nun dürfte der Internetzugang inklusive EntertainTV wie erwartet funktionieren. 

Durchschnittliche Bewertung: 3.3 (10 Abstimmungen)

Kommentieren nicht möglich