Telia IPTV + pfSense

Det verkar ganska omständligt att dra IPTV-strömmen genom en brandvägg och sedan tagga av trafiken. Även om det går att få pfsense att läcka igenom multicasttrafiken utan att routa den så känns det som en konstig lösning. Om jag förstår dig rätt så är du ute efter en liknande lösning jag hade tidigare. Jag satte en switch "på utsidan" av brandväggen, direkt ansluten i uttaget mot ISP. Taggade av IPTV på en av switchportarna där.

Konfigurerade pfsense att ha WAN på ett VLAN (otaggad trafik i mitt fall) och sedan insidan på t.ex. VLAN 10. Använde bara en fysisk port i brandväggen. Därmed kan övriga portar i samma switch vara i VLAN 10 och ändå endast få trafik som passerat brandväggen, och det kräver inte extra kablar.

Snabbt förklarat och en del förenklat... men kanske är en lösning?

Starta om tjänsten. Det finns en inställning någonstans i boxen som bootar om hela systemet. Jag behövde göra detta

@andersarbast: Ingen aning, jag hade en äldre svart modell med exakt samma symptom som du beskrev och jag körde pfsense med bryggat vlan 845, det var det enda som hjälpte. Jag gissar på att koppla ur/i strömmen borde fungera

Gammal tråd men för in en lösning här:
Har precis fått igång detta hos mig.
Netgate 1100 som då kör pfsense.
Har WAN, LAN, OPT som fysiska uttag.

Lösning:
Gå till inställningar för Switch.
Välj flik VLAN.
Skapa ditt VLAN (845 exempelvis).
Lägg till medlemmar för OPT/LAN (vilken du nu väljer) och WAN och båda taggade. I mitt fall OPT och WAN vilket är 1 och 3.

Klart.

Sedan behöver du en switch på ditt OPT/LAN-uttag som kan ställas in att skjuta ut VLAN på den aktuella porten du är ute efter. Jag kör med Unifi 8-portars. Enkelt att bara skapa nät, välja VLAN, nummer 845, IGMP, spara, välja port, välja nätet du skapat. Klart.

Det bara... funkar.
Har du fler boxar så i switchen styr du bara ut VLANet på fler portar.

Du är medveten om att jag skrev vilken utrustning jag har medan ts inte nämner det?

Precis som @Petterk påpekar är det bäst att undvika bryggade portar på routrar. Även om det teoritiskt (och i vissa fall även praktiskt) sätt går att switcha mellan två portar utan en switching ASIC så är prestandan riktigt kass!
Ett mycket bättre L3 alternativ är att konfigurera IGMP proxy/PIM - men blir ganska hastigt komplicerat. Då sätter du din IPTV WAN interface till upstream källa och ditt lokala IPTV VLAN till downstream. På så sätt använder du L3 funktioner för att slussa multicasten från WAN till LAN (typ IGMP snooping på L3). Du får också möjlighet att styra och övervaka vilka multicast strömmar som IGMP proxyn släpper igenom, vilket är händigt.
Viktigt att tänka på här är fyra saker:
1) Du kommer behöva köra NAT overload (även kallat PAT eller NAT masquerade) ur IPTV WAN länken så att du kan komma åt IPTV WANet. Från kommunikations- och tjänsteleverantörens sida ser det ut som att du har en enda STB ansluten mot CPE switchen, men i själva verket är det din router som "låtsas" vara en STB.
2) Fler och fler kommunikationsoperatörer går från statiska VLAN på CPE switchen till 802.1X port autentisering (sk. free-seating), vilket gör att det kan bli något klurigare att komma åt IPTV WAN:et. De flesta stadsnät använder Option 60 (i DHCP Discovery paketet) för att avgöra vilket VLAN en CE enhet ska ut på, men vissa stadsnät använder även MAC OUI (eller rent av hela MAC-adressen). iTux låter ex. TL välja om de vill köra Option 60, MAC OUI eller MAC per kund, medan ex. Zitius enbart kör Option 60.
3) Eftersom vi routar mellan två nätverk nu så är det viktigt att hålla tungan rätt i munnen ang. routingen av internet traffik kontra IPTV trafik. Vanlig internettrafik behöver gå mot en ISP GW och sedan ut på internet, medan IPTV trafiken behöver gå mot en IPTV GW. Här kan man antingen sätta upp VRF:er (vilket är den snyggaste lösningen), eller köra PBR för att routa all trafik från IPTV VLAN:et mot IPTV GW:en, medan all övrig trafik kör på Default Routing Table.
4) Du kommer behöva köra en DHCP server för ditt lokala IPTV VLAN. Se då till att ditt lokala IPTV VLAN inte kör samma subnät som IPTV WAN:et. Det är ganska vanligt att IPTV WAN använder privata IP adresser eftersom det är billigare och IPTV-boxarna ändå inte behöver internet access. Beroende på vilka TL du har kan du behöva ge boxen lite DHCP options, men oftast slipper du detta. Gör en packetcapture på DHCP DORA paketen med Wireshark om du är osäker.

Det ska dock nämnas att i en produktions deployment av IGMP proxy så ska man alltid köra specifika brandväggsregler för trafiken både in och ut på både IPTV WAN interfaces och IPTV VLAN interfacet. Verkar som att du redan kör IGMP snooping på dina switchar, vilket är en viktig detalj dels för signalens integritet, men också för att minska lasten på övriga delar av nätverket.

En viktig L2 konfiguration är att låsa alla switchportarna till antingen access eller trunk. När man switchar "ifrågasättbar" trafik (som ex. DMZ- eller IPTV trafik) så vill vi säkerställa att spill mellan VLAN är så osannolikt som möjligt.

Gör ju att köra en VPWS över MPLS, eller annan L2VPN, om man vill uppnå kraftigare separation men då behövs minst två routrar och känns dessutom lite overkill för hemmanätverket.

Finns alltid många sätt att stycka grisen, men detta är det alternativ jag tycker är billigast och bäst.