Buenas JGeek00 !
Pues en tu caso entiendo que estás recibiendo la vlan de datos y la iptv desde la ONT (serían 2 interfaces WAN) y después tienes tu interfaz LAN (192.168.1.0/24) que es donde tienes conectado el DECO, por lo que también deberías tener configurado el DHCP de tu LAN con las options que tiene el HGU para la IPTV. Viendo las capturas que me mandas, a primera vista veo todo correcto, pero necesitaría más información para poder localizar el problema.
Viendo que a nivel de flujos de tráfico, IGMP proxy y direccionamientos privados, pienso que el problema puede ser uno de los siguientes:
NAT de salida: (Que no se esté nateando correctamente la salida de la LAN, entiendo que no porque no tendrías ni internet si quiera en tu LAN. Podría ser también que las redes de IPTV necesiten NAT de salida también, aunque creo que no, por lo que dejaría esto concretamente para probar en último lugar.)
Proxy DNS y DNS de Movistar: Me da que va a ser esto casi seguro. ¿Cual es tu configuración de DNS en OPNSENSE? ¿Usas el servidor local unbound (Por ejemplo, si conectas un PC por DHCP a tu FW, sale como servidor DNS la 192.168.1.1 o salen DNS públicos?) o rediriges las consultas directamente a DNS externos? A parte de esto, ¿utilizas los DNS de Movistar o en caso contrario usas otros (google, cloudfare, etc)?
A falta de más información, esto es lo que te podría contar en estos momentos.
Si consigues alguna captura o decirme cómo tienes el tema DNS podríamos seguir averiguando cual es el problema.
Un saludo!!!!
Hola Thrangs gracias por responder.
En el ordenador como servidor DNS me aparece la IP del router. Normalmente yo uso como servidor DNS un AdGuard Home que tengo montado en mi servidor de casa (configurado como servidor DNS en el DHCP). La TV de Movistar nunca me ha dado problemas con ese servidor DNS y el router Asus. Ahora acabo de eliminar todos los DNS configurados en el DHCP y en el ordenador me aparece que el servidor DNS es el router, y si hago nslookup desde el router me sale el DNS de Movistar.
Normalmente, como he comentado, uso como DNS en el DHCP mi AdGuard Home, y luego este AdGuard Home tiene como upstream los DNS de CloudFlare. Para el router también suelo configurar como servidor DNS los de CloudFlare. Pero como he comentado ahora mismo no tengo DNS configurado en el servidor DHCP ni en el router, por lo que coge los de Movistar, y el problema persiste.
Acabo a probar a desactivar el Unbound DNS (y efectivamente, en el PC me salía como dirección DNS directamente la IP de DNS de Movistar) pero el problema persiste.
También comentar que si entro en el panel oculto de configuración del deco el DNS que viene ahí es el 172.26.23.3, y el option 240 también está correctamente configurado porque ahí también aparece.
Buenas de nuevo JGeek00 !
Vale perfecto, pues no es tema DNS.
Yo en tu caso intentaría entonces primero capturar tráfico en el FW en la interfaz LAN, y revisa la IP del deco, a ver qué está haciendo cuando en el deco intentas acceder a contenido de internet. Una vez revisado eso, revisa a nivel de logs del firewall qué está ocurriendo con esas IPs destino que viste que intenta alcanzar el deco (por lo que he visto en las capturas, no tienes los logs del FW activados, actívalos aunque sea para hacer el troubleshooting y ya los vuelves a desactivar).
Haciendo ese seguimiento podríamos saber más sobre lo que ocurre, en la captura debes fijarte en:
- Tráfico DNS (si estás usando DNS en la LAN (TCP-53), en la captura de tráfico podrás ver qué URLs está intentando alcanzar el deco, para así después confirmar que por ejemplo no las estés bloqueando con algúna lista de DNS o similar, si es que las tienes.
- IPs destino del deco cuando intentas acceder a contenido de internet, así sabiendo que por ejemplo: "cuando le doy a la app de youtube, en la captura se ve que el deco manda un paquete con destino 80.234.76.75(IP inventada), por lo que me guardo esa IP y me voy a los logs del FW, veo si para empezar llega como origen con la IP LAN del deco, veo si en el log de la WAN, se ve cómo se natea la IP LAN del deco con la WAN de tu casa, y a su vez la WAN con la IP destino que vimos".
Para ello tienes que tener activado en tu OPNSense el log de reglas de NAT también:
Yo la tengo desactivada porque genera muchos logs, actívala y después si quieres desactívala.
Tras ello, deberías ver en el log lo siguiente:
El flujo de tráfico tendría que ser ese, primero ver la IP del deco en la LAN intentando alcanzar la pública, después la regla de NAT (color azul) para natear la salida, y por último, la regla en la WAN con origen tu IP pública y destino la IP que deseas alcanzar.
Si ves eso correcto, nos estamos quedando sin opciones, habría que revisar routing también y alguna cosa más, pero yo comenzaría por ahí, captura de tráfico en el FW, revisas con whireshark si cuando intentas alcanzar INET, sale como ORIGEN la IP del deco (192.168.1.x) y te guardas la IP publica destino (youtube, google, netflix, etc.). Revisas logs y confirmas que todo sigue su camino correcto.
Espero no haberte liado mucho, me vas contando, un saludo!!!
Esto es un extracto de lo que me he encuentro en el registro. Yo no tengo en el registro ninguna entrada con la flecha hacia la derecha como tienes tu. Y la mayoría de entradas son solicitudes DNS porque acaban con el puerto 53. Tampoco veo ninguna entrada azul de WAN o LAN, todas son de IPTV
Este es un ejemplo al darle al boton de ver desde el principio en el mando cuando estoy viendo un canal en directo. Todo lo que tiene que ir por IPTV perfecto, pero lo que tiene que ir por LAN o WAN nada.
El único tráfico relacionado con la TV que veo por la WAN son peticiones al servidor DNS. En este caso han sido al comprobar conexión en Netflix.
Las reglas que tengo en IPTV
Las reglas que tengo en LAN
La configuración que tengo es:
Por el puerto eth0 entra el cable ethernet desde la ONT, y la LAN sale por el eth1. Después hay un switch, y detrás otro switch, y a ese segundo switch está conectado el deco. Ambos switch soportan IGMP Snooping. El deco ha estado funcionando perfectamente con esta configuración con el router Asus.
Las imágenes no se ven.
Vale nada, me he vuelto loco pensando que era alguna config de mi cuenta o algo, pero parece ser que tiene que revisar las imagenes un moderador antes de que se puedan visualizar, por eso no las ves, lo comentan en este post que acabo de ver:
Esperemos a que las permitan y ya me cuentas, un saludo!
