Foro

Avatar de IgnacioHR
IgnacioHR
El WIFI me llevó al sofá
29-05-2022
Resuelto

Reiniciado el decodificador de IPTV y YA NO VA!

Hola,

 

Pues eso, esta tarde he reiniciado el decodificador y ya no funciona. Estaba funcionando perfectamente. Ahora dice que "intentando conectar a la red. Si pasados unos minutos ... Aceptar" y no hay manera de que pase de ahí.

 

He depurado con Wireshark lo que está pasando y esto es lo que veo "raro". Hay un mensaje de "Bad Certificate"!

 

  • Avatar de IgnacioHR
    IgnacioHR
    03-06-2022

    Ya está funcionando de nuevo!

     

    Lo dejo documentado por si a alguien más le pasa y se vuelve loco como yo.

     

    El problema era que igmpproxy no creaba las rutas de retorno desde la WAN a la LAN porque no reconocía el interfaz de la "LAN". Pero no era un problema de fácil detección porque no hay mensajes de error al respecto en el software de igmpproxy. Simplemente las rutas no se guardaban. Además, tampoco el firewall estaba bloqueando nada, y el kernel no dice nada de los paquetes que se reciben pero van directos a /dev/null... 

     

    Para colmo, la solución, y el "problema" no está en la configuración del igmpproxy, sino en el archivo de configuración del firewall /etc/config/firewall.

     

    El hardware tiene 2 tarjetas de red físicas: eth0 y eth1 eth0 es la pata que llamo "wan" (que no lo es realmente como dice Theliel) es la pata que tiene la ip 192.168.3.2 y que recibe los paquetes de IPTV y de VOIP junto con las rutas por RIP etc.. La eth1 es la que está definida como "LAN" o como "br-lan" en otros archivos de configuración. El tema es que no ayuda mucho que se añadan capas por encima de las tarjetas, como vamos a ver ahora.

     

    En el archivo /etc/config/firewall había esto:

     

    config zone
	option name 'lan'
	...
	list network 'lan eth1 br-lan'

config zone
	option name 'wan'
	...
	list network 'wan eth0 pppoe-ppp0 ppp0'

     

    y lo que tiene que haber es esto:

    config zone
	option name 'lan'
	...
	list network 'lan br-lan'

config zone
	option name 'wan'
	...
	list network 'wan pppoe-ppp0 ppp0'

     

     

    Por alguna razón, al añadir eth0 y eth1 en esa línea de las zonas el igmpproxy no es capaz de reconocer el interfaz por el que se hace la solicitud del join y no puede establecer la ruta de vuelta correctamente.

     

    Casi una semana! pero al final ha salido

     

    Gracias!

15 Respuestas

Las respuestas se han desactivado para esta discusión
Mostrar más
  • Avatar de IgnacioHR
    IgnacioHR
    El WIFI me llevó al sofá
    30-05-2022

    Hola Angela,

     

    Está conectado a un switch, el tcpdump se ha sacado desde el router que es un PC con OpenWRT. El router de movistar está en modo half-bridge. No obstante, eso no ha sido nunca un problema

  • Avatar de Técnico-Movistar
    Técnico-Movistar
    Responsable Técnico
    30-05-2022

    Hola IgnacioHR.

     

    ¿Podrías confirmarnos si el descodificador está conectado directamente al router o como indica Theliel, al que agradecemos su aportación, está conectado al un Switch, por favor? 

     

    Un saludo.

     

    Angela.

     

  • Avatar de IgnacioHR
    IgnacioHR
    El WIFI me llevó al sofá
    30-05-2022

    He entrado en la vista de configuración del deco, pulsando menú repetidas veces (no conocía ese menú) pensaba hacer un reset de fábrica, pero he tropezado con algo. En la ventana de otros pone que la fecha es 01-01-1970. Obviamente, los certificados del servidor no son válidos para esa fecha.

    En la red hay un servicio de NTP, pero no es broadcast ni se le está enviando al deco en la configuración del DHCP. También es posible que el deco tuviera una pila interna gastada. Eso no lo sé.

    Seguiré investigando

  • Avatar de IgnacioHR
    IgnacioHR
    El WIFI me llevó al sofá
    30-05-2022

    Hola Theliel,

     

    Y gracias por saltar a este hilo también. Ayer estaba viendo la F1 y luego quería ver la Indy500, el caso es que el canal 54 no aparecía en mi lista de canales y eso que yo contraté la opción "motor". No lo entiendo. Así que pensé que a lo mejor lo que pasaba es que algo no se había actualizado y reinicié el deco. Mi sorpresa fue que el deco dejó de funcionar después del reinicio. Lo cual me dejó mucho más confuso.

     

    He estado probando horas: esto es lo que sé:

    1. El DHCP sirve correctamente una IP interna al deco.

    2. Le pasa el DNS que requieren los decos 172.26.23.3

    3. Le pasa el option 240 

     

    Todo lo demás es normal, pero además, el DNS se renueva cada 24 horas por lo que si fuera problema del DNS o de la red no hubiera aparecido como consecuencia de un reinicio del deco.

     

    Cuando el DECO recibe configuración IP, hace una solicutid DNS a la IP 80.58.61.250 (nota que ese no es el DNS asignado ni el DNS de mi red así que asumo que lo tiene el deco hardcodeado) y pregunta por "main.acs.telefonica.net"

    Ese servidor DNS contesta con la IP: 80.58.63.218 y todo parece correcto.

     

    A continuación, mi DECO comienza una conexión TLSv1.2 con esa IP.

    La IP local del deco es 192.168.1.224

     

    Las cabeceras de los paquetes interesantes son:

     

    192.168.1.224 80.58.63.218 TLSv1.2 583 Client Hello

    80.58.63.218 192.168.1.224 TLSv1.2 1506 Server Hello

    80.58.63.218 192.168.1.224 TLSv1.2 1154 Certificate, Server Hello Done

    192.168.1.224 80.58.63.218 TLSv1.2 73 Alert (Level: Fatal, Description: Bad Certificate)

     

    Es decir, que mi DECO no se traga el certificado que le envía el servidor! A lo mejor me estoy aventurando pero podría ser que una actualización del software se "activase" al reiniciar el deco y que esa nueva actualización no aceptase los certificados que envía el servidor. Los certificados que envía el servidor son dos. El de la CA de telefónica y el del servidor asignado. Ambos parecen correctos en cuanto a las fechas de inicio y fin pero ya no puedo depurar más para saber porqué se produce el mensaje de Bad Certificate.

     

    Lo único que sé y que puede NO estar relacionado es que recientemente ha habido cambios en algunas librerías respecto de las políticas de aceptación de certificados que no son formados por CAs reconocidas. Yo tengo una CA para mi red y algunos de mis servidores tenían certificados emitidos por nosotros y hemos tenido que recudir los periodos de validez para que sean admitidos por Chrome. Incluso así. En la última versión de Chrome, tampoco se aceptan y aún no sé porqué exactamente. Voy a probar con otro deco que tengo en un armario (no es UHD) a ver si tiene el mismo problema.

     

    Saludos

    Ignacio

     

     

     

     

     

     

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    30-05-2022

    Buenas IgnacioHR 

     

    Las capturas no pueden verse porque tienen que habilitarse. En cualquier caso presupongo que la captura de WireShark se ha realizado sobre el propio deco con un Switch, por ejemplo.

     

    Si lo anterior es cierto... has probado a conectar directamente el Deco al Router de Movistar? O tienes alguna otra estructura de red con dispositivos propios o...