×
We are experiencing an outage of our ReadyCloud service and are working to resolve the issue..
×
Auf Grunde der gegenwärtigen Situation mit dem COVID-19 Coronavirus erwarten wir ein ungewohnt hohes Anrufaufkommen and aus diesem Grund erhöhte Warte- und Antwortzeiten. Wir bitten um Ihr Verständnis während wir durch diesen Prozess arbeiten
×
Geplante Wartung des Community-Systems, Mitte Juli - Beiträge / Antworten werden deaktiviert. Erfahren Sie mehr.
Das Thema wurde als gelöst markiert und wegen der Inaktivität geschlossen. Wir hoffen, Du wirst Dich die Community anschließen, indem Du einen neuen Beitrag in einem geöffnet Post hinzufügen bzw. einen neuen Post erstellen wirst.
GC110 / Wie kann ich alle IGMP-Pakete an einem Port ausfilitern / blockieren ?
Hallo Leute,
ich habe bei einem Bekannten einen "o2 Satellite Home" Access Point installiert, weil man dieses Gerät derzeit für einen sehr günstigen Preis kaufen kann. Obwohl der Router eine Fritz!Box 7590 und keine o2 Homebox ist, funktioniert der o2 Satellite Home als AP ausgesprochen gut. Jedoch gibt es ein Problem bezüglich der Nutzung von Magenta TV, weil dieser AP sich unverständlicherweise als "IGMP Router v2" anbietet und somit die Fritz!Box 7590 als "IGMP Router v3" verdrängt. Infolge dessen funkioniert Magenta TV nicht mehr, sobald dieser AP eingeschaltet wird. Auf der Weboberfläche des APs gibt es keine Möglichkeit, die IGMP-Funktionalität zu deaktivieren. Das Gerät hat zwar einen SSH-Zugang, dessen Zugangsdaten ich aber nicht kenne, so daß auch per Shell keine Änderung an der Konfiguration möglich ist. Der o2 Satellite Home ist in Wirklichkeit übrigens ein Askey RG3110W, falls die weiter helfen sollte.
Nun besitzt mein Bekannter unter anderem auch einen GC110 von Netgear. Daher kam die folgende Idee auf: Könnte man nicht auf dem GC110 einen der Ports so konfigurieren, daß sämtliche IGMP-Pakete ausgefiltert werden, so daß die störenden Advertisments als "IGMP Router v2" des o2 Satellite gar nicht in das LAN gelangen können ? Wenn ja, welche Einstellungen müßte ich am GC110 dafür vornehmen ?
Sofern dies funktioniert, könnte ich dann nämlich den AP an diesen Port hängen, so daß TCP, UDP und ICMP Pakete durchgeleitet, alle Arten von IGMP-Meldungen aber blockiert werden.
Re: GC110 / Wie kann ich alle IGMP-Pakete an einem Port ausfilitern / blockieren ?
So, hier die versprochene Rückmeldung:
Ich habe zuerst eine ACL-ID erstellt, welche ich "Block-IGMP" genannt habe.
Dann habe ich unter dieser ACL-ID bei "IP-Erweiterte Regeln" eine Filterregel mit Sequenznummer 1 erstellt, welche alle IGMP-Pakete mit der Quell-IP des o2 Accesspoint blockiert ( siehe oben); diese hat die Sequenznummer 1. Danach habe dann ich unter der gleichen ACL-ID eine zweite Filterregel mit Sequenznummer 2 erstellt, welche alle Pakete, die nicht von der ersten Regel erfasst wurden, durchlässt ( Match every = wahr ). Diese zweite Regel ist zwingend erforderlich, weil der Switch sonst alle Pakete, auf die keine der Filterregeln zutrifft, per default blockieren würde.
Anschliessend habe ich diese ACL-ID an den physischen Port gebunden, an dem der o2 AP angesteckt ist, und es funktioniert wie es soll:
Die IGMPv2 Membership querys, welche der o2 AP obskurer Weise sendet, gelangen nicht mehr in den Rest des LANs, so daß Magenta TV nicht gestört wird. Gleichzeitig funktioniert der AP völlig problemlos.
Re: GC110 / Wie kann ich alle IGMP-Pakete an einem Port ausfilitern / blockieren ?
Hallo @Picobot,
willkommen in der NETGEAR Community!
Man kann auf dem GC110 das IGMP Snooping für einzelne Ports deaktivieren. Eine Anleitung dafür findest Du hier.
Wenn ich Dich richtg verstanden habe, möchtest Du den GC110 zwischen den 02 AP und Magenta TV stellen, damit alle IGMP-Pakete für den TV blockiert werden können, stimmt das? Oder sollte der GC110 zwischen dem Router und dem AP angeschlossen werden?
Funktioniert der Magenta TV richtig, wenn er direkt mit der FritzBox7590 verbunden ist?
Re: GC110 / Wie kann ich alle IGMP-Pakete an einem Port ausfilitern / blockieren ?
Hi DamianM,
Der GC110 soll zwischen dem Hauptrouter ( FB7590 ) und den o2 AP geschaltet werden und verhindern, daß sich der o2 AP im LAN als
IGMPv2 fähiger Router "anbietet". Deshalb möchte ich jeglichen IGMP-Traffic zwischen dem o2 AP und dem Rest des LANs unterbinden. Natürlich soll der Switch in dem Raum, wo der o2 Accesspoint genutzt werden soll, auch das LAN per Kabel an verschiedene Geräte in diesem Raum verteilen.
Die Situation ist im Moment die folgende: Sobald der o2 AP eingeschaltet wird, erscheint nach einem kurzen Moment im Ereignislog der Fritz!Box die Meldung "IGMPv2 multicast router [IP-Adresse des o2 AP] active". Hierdurch wird, sofern ich die Specs zu IGMP richtig verstanden habe, das gesamte LAN, also auch die anderen Switches, welche an sich IMGPv3 snooping beherrschen, auf IGMPv2 "heruntergestuft". Sobald ich den o2 AP abschalte, erscheint auf der FB7590 nach kurzer Zeit die Meldung "IGMPv3 multicast router [IP-Adresse der Fritz!Box] active" und Magenta TV geht wieder.
Ich habe mir mal die Anleitung des GC110 angesehen und vermute, daß ich durch eine ACL Regel erreichen kann, daß der o2 AP sich nicht per als IGMP fähiger Router "anbietet". Dabei scheidet eine MAC-basierende Regel offenbar aus, da ich bei diesen Regeln nicht festlegen kann, daß nur IGMP-Pakete gefiltert werden sollen. Ich habe daher jetzt zum Test mal eine erweiterte IPv4-basierende Regel erstellt, in welcher ich jeglichen IGMP-Traffic von der IP-Adresse des o2 APs verbiete und binde diese Regel ( bisher ) nur an den physischen Port 8, an dem der O2 AP angeschlossen werden soll.
Kurze Zusammenfassung: Die Regel heißt "Block-IGMP" und sieht so aus:
Sequenznummer 1
Action verbieten
Keine Portspiegelung oder Umleitung
Match every = falsch
Protokolltyp = IGMP
Quell-IP = 192.160.0.250 ( der o2 AP ) / Maske 255.255.255.255
Ziel-IP = leer
die restlichen Einstellungen stehen auf den Default-Werten.
Diese Regel gilt für nur für den Physischen Port 8, an den der o2 angeschlossen werden soll und die Richtung steht auf "Eingehend", was ich so interpretiere, daß alle Pakete die in den Switch am Port 8 hineingehen, gemäß der Regel blockiert werden ?
Ob dies den gewünschten Erfolg haben wird kann ich noch nicht sagen, weil sich der o2 AP bei einem Bekannten befindet. Der muß jetzt erstmal den o2 AP, welcher im Moment nicht angeschlossen ist, an den Port 8 des GC110 anstecken und mit Strom versorgen. Daher kann ich erst später berichten, ob die vermutete Einstellung hilft.
Re: GC110 / Wie kann ich alle IGMP-Pakete an einem Port ausfilitern / blockieren ?
So, hier die versprochene Rückmeldung:
Ich habe zuerst eine ACL-ID erstellt, welche ich "Block-IGMP" genannt habe.
Dann habe ich unter dieser ACL-ID bei "IP-Erweiterte Regeln" eine Filterregel mit Sequenznummer 1 erstellt, welche alle IGMP-Pakete mit der Quell-IP des o2 Accesspoint blockiert ( siehe oben); diese hat die Sequenznummer 1. Danach habe dann ich unter der gleichen ACL-ID eine zweite Filterregel mit Sequenznummer 2 erstellt, welche alle Pakete, die nicht von der ersten Regel erfasst wurden, durchlässt ( Match every = wahr ). Diese zweite Regel ist zwingend erforderlich, weil der Switch sonst alle Pakete, auf die keine der Filterregeln zutrifft, per default blockieren würde.
Anschliessend habe ich diese ACL-ID an den physischen Port gebunden, an dem der o2 AP angesteckt ist, und es funktioniert wie es soll:
Die IGMPv2 Membership querys, welche der o2 AP obskurer Weise sendet, gelangen nicht mehr in den Rest des LANs, so daß Magenta TV nicht gestört wird. Gleichzeitig funktioniert der AP völlig problemlos.
