Full Ack. VLAN ist empfehlenswert.

MDT IP Router zeigt in dem Fall wohl die Symptome aufgrund fehlerhaftes Netzwerk(-management). Evtl. konnte MDT IP Router mit der Masse von Multicast nicht umgehen (übelastet auf Grund sog. Broadcast Sturm?). Für ein Nicht-ITler ist das natürlich ärgerlich und wohl "besser" wenn die Endprodukte solche Fehlern verschleiern bzw. damit umgehen können; das löst jedoch das Problem nicht.

Kommunikation zw. Edomi und IP Router soll sowieso in einem separaten VLAN und abgesichert sein (Port, UDP, ...). Die Kommunikation zw. Endgeräte (z.B. Visu, Handy) und Edomi soll auch dementsprechend abgesichert sein (Port, URL, ...). IPTV-Box soll das Netzwerk nicht vollmüllen -> ab ins separates VLAN. Das gilt nicht nur für Edomi, sondern auch für andere Blackboxes wie z.B. Fernseher, Mähroboter, Waschmaschine, Photovoltaikanlage, ...

Falls dein IPTV-Box aus irgendwelchen Gründen im Heimnetzwerk erreichbar sein muss, dann setze bitte entsprechende Weiterleitungsregeln auf (bevorzuge Whitelist) um das Risiko/Spam zu minimieren.


p.s. Aus Sicht der Endbenutzer ist das eigene Netzwerk immer "stabil" und "sicher" solange keine Probleme auftreten. Ein gefährlicher Trugschluss

UDT ist halt generell schon nicht sehr verbindlich in der Kommunikation und einige "billigen" IPTV-Geräte sorgen da doch schon fast zuverlässig für Ärger, oder? Ich hab das vermutlich mit dem Sky-Receiver auch, bin aber noch nicht ganz sicher, ob der wirklich das Problem ist.

Eine Frage an die Experten hier, da ich das mit VLAN irgendwie nicht ganz kapiere: Wenn ich jetzt für Edomi und KNX-Router ein eigenes VLAN einrichte (ich glaube das bekomme ich hin), wie stelle ich dann sicher, dass ich in dieses Netzwerk mit den Visu-Endgeräten und der ETS vom Laptop aus zuverlässig reinkomme? Ich verstehe VLAN so, dass sich das wie ein Subnetz verhält, oder liege ich da falsch? An Hardware habe ich Unifi-WLAN, Unifi Security Gateway (hier würde ich das VLAN einrichten) und einen Full-Managed Switch von Zyxel, hier müsste man die Kommunikation noch nachziehen vermutlich? Hilfe

Ich bin ganz bei Euch, VLANs sind der way-to-go. Aber VLAN-Setups werden immer komplexer in Zeiten von IOT, das kann kaum noch jemand selbst managen.

- Sonos ins IOT-Vlan, Controller im normalen VLAN - viel Spaß
- Telekom Entertain in eigenes VLAN - IGMP-Proxy aufsetzen
- Airplay über VLANs? Entweder Multicast forwarden oder DNS-SD aufsetzen

Vermutlich gibt es nur wenige Switche, die das innerhalb ihrer Layer3-Fähigkeit unterstützen. Dann bist Du also noch bei einer ordentlichen Firewall, etc...

Ich arbeite zwar in der IT und habe entsprechende Netzwerk-Kenntnisse, aber ich bin kein Netzwerk-Profi, deshalb mal eine Frage an die Spezialisten:

Multicast.png

Oben eine vereinfachte Darstellung meines Netzwerks. Zurzeit kommt der Multicast-Stream über den VDSL-Router ins Netz und wird dann offenbar an alle Multicast-Clients verteilt. Somit leider auch der MDT IP Router (warum auch immer).

Wenn ich jetzt am Hauptswitch ein VLAN erstelle mit den beiden Ports für die IPTV-Box und der Uplink vom VDSL-Router, dann müsste dieser Traffic vom restlichen Netz abgeschottet sein (rote Linien). Soweit so gut.
Aber ich brauche ja dann dennoch noch einen zweiten Uplink vom VDSL-Router in mein LAN, damit meine restlichen Geräte ans Internet kommen.
Aber kommt dann nicht auf dem zweiten Uplink wieder der Multicast-Stream ins Netz?

Dieselbe Frage stelle ich mir, wenn ich z.B. direkt vom VDSL-Router zusätzlich einen Link zur IPTV-Box ziehe (blaue Linie). Dann könnte ich mir das VLAN am Switch ersparen. Aber auch hier würde doch zusätzlich der Multicast-Traffic ins Netz kommen?

Grundsätzlich müsste das eigentlich gehen, da offenbar im VDSL-Router "IGMP Snooping" standardmässig (nicht änderbar) konfiguriert ist. Aber ich habe das ja jetzt schon auf dem Switch aktiviert und mein MDT Router bekommt den Multicast-Traffic trotzdem ab. Deshalb gehe ich mal davon aus, dass auch der VDSL-Router den MDT-Router als weiteres Multicast-Device erkennt und somit ihm den Traffic auch schickt.

Ich werds heute Abend sicher mal testen, somit werde ichs ja dann sehen. Aber liege ich mit meinen Gedanken da falsch?

Also, das Konstrukt ist relativ kompliziert. Unterstützt Dein VDSL-Router selbst VLANs? Das würde einiges erleichtern.
Im Prinzip benötigst Du 3 VLANs.
VLAN 1: untagged, beinhaltet nur den Router. Hier kann der Router flooden, wie er lustig ist.
VLAN 10: alle Geräte, außer der IPTV Box.
VLAN 20: die IPTV-Box.

Was Du jetzt noch tun musst, ist das Routing richtig konfigurieren. VLAN10 muss über den Router in VLAN1 auf das Internet zugreifen können. Von VLAN1 muss der Multicast-Traffic zu VLAN20 weitergeleitet werden.

Zu deinen IGMP-Snooping-Problemen: Es wäre vermutlich hilfreich, wenn Du genau die Modelle des VDSL-Modems, Switches und auch Art des IPTV benennst. Und natürlich ob Du irgendwo noch weitere, unmanaged Switches betreibst.
IGMP ist ein relativ komplexes Thema und ggf. gibt es da alleine Probleme, weil die Versionen unterschiedlich sind (v1 vs. v2 vs. v3).

Wenn ich nicht was übersehen habe, hier:

2018-06-26_17-19-27.png


So ähnlich habe ich es bei mir aufgesetzt (ich habe kein IPTV). Für IoT habe ich ein eigenes VLAN (Photovoltaik, Mähroboter, Waschmaschine, ...). Auf Access Point habe ich 3 SSIDs konfiguriert: Gast, Privat und Geräte


p.s. statt "Router" hätte dort "Access Point" stehen sollen (bin zu faul das Bild zu korrigieren :-D )

Habt ihr keine Sorgen, dass der Router mit den ganzen VLANS überfordert ist? Schließlich wird dann der gesamte Traffic von einem vlan ins andere geroutet und läuft somit über einen Flaschenhals?

Nein, vermutlich nicht. Bestenfalls sind ja eh Layer-3-Switche im Einsatz, die das Inter-VLAN-Routing übernehmen. Die sind in dem Bereich auf jeden Fall ausreichend dimensioniert.

Danke s01iD und pitschr für eure Infos. Doch noch Profis hier (Ist nicht abwertend für die anderen Poster gemeint)

Glücklicherweise muss ich mich aber nun doch nicht so tief mit dem Thema VLAN und IGMP/Multicast befassen, da meine erste (und einfachste) Variante schon zum Erfolg führte. (In meinem Schema oben die gestrichelte, blaue Linie)

Habe nun die IPTV-Box direkt mit einem der 4 Ports des VDSL-Routers verbunden. Der 2. Port vom VDSL-Router geht wie bis anhin als Uplink zu meinem Hauptswitch.
Und siehe da, ohne VLAN oder sonstiges zu konfigurieren ist nun der MDT IP Router auch während des Einsatz der IPTV-Box völlig normal zu erreichen. ETS sieht ihn, PING-Zeiten sind normal (<1ms) und Edomi zeigt auch keine Fehler.

Obwohl man die Option nirgends sieht und auch nicht dokumentiert ist, stimmt offenbar das Gerücht, dass dieser VDSL-Router das "IGMP Snooping" schon standardmässig aktiviert hat und jetzt in meinem Fall auch korrekt anwendet. (Also den MDT IP Router nicht als Multicast-Device sieht oder zumindest erkennt, dass der Multicast-Traffic nur für die IPTV-Box bestimmt ist.)

Beim VDSL-Router ("Internetbox 2") und bei der IPTV-Box ("Swisscom TV 2.0") handelt es sich um proprietäre Geräte vom grössten Schweizer Telecom Provider Swisscom. Die Geräte sind natürlich aufeinander abgestimmt und deshalb funktioniert es wohl direkt am VDSL-Router besser als über einen dazwischengehängten Switch (bezogen auf die Multicast-Probleme mit dem MDT IP-Router, sonst hatte ich ja keine Probleme im Netz).
Ich habe die Modelle nicht genannt, weil sie wohl in Deutschland niemand kennt und sie sowieso nur eingeschränkt zu konfigurieren sind.

Bin mal happy, dass es mit dieser Konfiguration zurzeit funktioniert.

Aber das Problem hat mich immerhin dazu motiviert, in Zukunft wohl mein Netz mit VLANs zu optimieren. (Wenn ich dann mal die Zeit dazu finde...)

P.S.: Mein Hauptswitch ist ein HPE 1920-48G Switch JG927A. Ansonsten habe ich noch einen Unifi 16-Port PoE Switch und 3 Unifi AP...

Wenn IGMP Snooping nicht funktioniert, dann liegt es in den allermeisten Faellen nicht an der Switch sondern am Router.
Ich hatte hier mal versucht das (sehr knapp und oberflaechlich) zu erklaeren.

Besitzt der Switch in dem VLAN 1 eine IP-Adresse und ist IGMP Querier aktiviert oder deaktiviert?

Wenn es funktioniert sobald Du die IPTV Box direkt an den Router anschließt und trotzdem eine Verbindung vom Router zum Switch hast, würde ich behaupten, dass der Router IGMP Snooping einwadnfrei beherrscht und der Port des Routers zum Switch nun kein IGMP-Memberport (für eine oder mehrere Multicast-Gruppen) mehr ist.
Wenn Du die IPTV Box an den Switch anschließt wird der Port des Routers zum Switch ein IGMP-Memberport, da der Router in dem Fall ein IGMP Membership-Report von der IPTV Box empfängt und somit alle Multicast-Frames in Richtung Switch schickt.
Da dann in dieser Konstellation scheinbar auch der MDT IP Router die Frames empfängt muss es so sein, dass der Switch kein IGMP Snooping macht und alle Multicast-Frames an alle Ports schickt.
Das könntest Du an Deinem PC mit Wireshark prüfen oder Du hängst nochmal ein Hub zwischen den MDT Router und den Switch und schließt Deinen PC oder Notebook mit an das Hub an damit Du mit Wireshark prüfen kannst welche Frames in Richtung des MDT-Routers geschickt werden oder Du konfigurierst einen Monitoring-Port...
Leider alles mit etwas Aufwand verbunden.
Laut Spezifikation beherrscht der MDT IP Router Multicast und somit wird er sich auch im Netz als Multicast-Member melden, dies sollte er allerdings auch nur für eine bestimmte Multicast-Gruppe (laut Doku 224.0.23.12) machen. Die Standard-Einstellung ist laut Doku allerdings auf 239.0.0.0 gesetzt!
Wenn nun IPTV oder ein anderer Dienst Daten an die 239.0.0.0 schickt und der Switch behandelt Multicast korrekt, würde der MDT Router ebenfalls mit den Frames beschickt.
Sofern ETS läuft wird sich Dein PC auch als Multicast-Member für die Gruppe 224.0.23.12 melden, was zeigt, dass die Doku nicht falsch ist.
Dies würde allerdings nicht erklären warum es funktioniert, wenn die IPTV Box direkt am Router hängt, daher vermute ich, dass der Switch aktuell Multicast-Frames noch nicht korrekt behandelt.

Ich würde nun auf dem MDT Router die Multicast-Gruppe (Multicast-IP-Adresse) prüfen und ggfls. korrigieren.
IP Adresse und IGMP-Snooping auf dem HP Switch prüfen (ggfls. für Tests die anderen Switches mal abklemmen)
Auf dem Switch prüfen welche Multicast-Gruppen der Switch sieht.

Sorry, der Teil mit Daten an 239.0.0.0 ist Quatsch, hab zu schnell über die Doku gelesen und mir die Applikation gerade in der ETS angesehen.

Man kann bei dem MDT SCN-IP100.01 die Multicast-Gruppe verändern, diese sollte auf 224.0.23.12 stehen.
Bei MDT SCN-IP100.02 kann man diese auch verändern aber nur innerhalb des Bereiches, welcher für manuell vergebene Multicast-Adressen reserviert ist.
Somit sollte diese Einstellung auf "System Multicast benutzen" stehen.

Glotzkowski
Ich verstehe noch nicht alle Zusammenhänge mit IGMP/Multicast (vorallem die Sache mit dem Querier und den Multicast Gruppen), aber da ich seit 2 Tagen fast jede freie Minute über das Thema lese, wirds ständig ein bisschen besser.
Da ich jetzt eine Lösung habe, die funktioniert (und die ich eigentlich auch so belassen kann), wäre es nur noch für die Neugier und dem besseren Verständnis, WARUM es vorhin noch nicht geklappt hat. Aber ich habe schon Lust, es nochmals am Switch zu testen und mittels Port Mirroring und Wireshark mal paar Ports anzuschauen. (Vorallem der Port mit dem MDT IP-Router und ein anderer, "normaler" Port) Sehe ich den Multicast-Traffic auf beiden Ports, dann zieht das IGMP Snooping aus irgendeinem Grund nicht. Sehe ich den Multicast-Traffic nur zum MDT IP-Router, dann weiss ich, dass es zwar aktiv ist, aber offenbar mit der Multicast-Gruppe noch Probleme gibt. (Mir ist z.B. aufgefallen, dass mein HP Switch auf allen Ports stark flackert, obwohl IGMP Snooping aktiviert war, was ja eher ein schlechtes Zeichen ist. Die Ports flackern aber ALLE auch, wenn die IPTV-Box ausgeschaltet ist. Zwar weniger, aber trotzdem noch sehr synchron. Könnte von der Grundlast der IP-Kameras sein, aber die sollten ja eigentlich nur auf das NAS schreiben und nicht broadcasten.)

Zudem bin ich jetzt etwas angefixt wegen den Vorschlägen zur LAN-Segmentierung (VLAN für verschiedene Zwecke) und möchte da gerne am Ball bleiben. Aber auch wenn ich das VLAN-Konzept verstehe, so gibt es schon noch einige offene Fragen. (Möchte gerne nur ein DHCP/DNS-Server für alle VLANs verwenden. Und manche Geräte können nicht komplett nur in ein VLAN abgeschottet werden. Hier ist sicher ein Inter VLAN Routing nötig. Aber dann dediziert. Ob das mit statischem Routing alleine klappen würde, muss ich noch lernen.)

Oder zusammengefasst: Ich werde mich mal um ein neues Netzwerk-Konzept kümmern und danach die technische Umsetzung planen/realisieren, soweit ich dazu in der Lage bin. (Wenn möglich mit meiner bestehenden Infrastruktur)

Vielleicht ist mein Netzwerk nicht gerade eine Referenz, aber bei mir ist's total einfach:

DSL-Router -> oller passiv-Switch -> sämtliche LAN-Geräte (auch KNX-Router, EDOMI-Server, AppleTVs, WLAN-APs, etc.)

Zusätzlich hängt am o.g. Switch noch ein weiterer, nämlich ein PoE-Switch für die Kameras.

Das alles auch noch in 100Mbit-Technologie

Achja: Die WLAN-APs (2 Stück) hängen auch am Switch, das WLAN des DSL-Routers ist deaktiviert.

Alles total unmanaged und antiquiert - aber es funktioniert reibungslos, sogar das WLAN-"Roaming" funzt wunderbar. Und alle IPs sind statisch, bis auf einen kleinen Bereich für Gäste.

Was mache ich "falsch"?!

Dass alle Ports flackern würde ich nun nicht unbedingt als schlechtes Zeichen werten, das "Broadcast-Rauschen" ist schon normal, sofern sich Endgeräte am Netzwerk befinden, welche Dienste publizieren.
Meine Doorbird Klingelstation z.B. meldet sich alle 7 Sekunden per Broadcast im Netz und macht sich so z.B. bei anderen Geräten oder Applikationen des Herstellers bekannt, PCs mit Windows-Diensten sind auch ganz schön geschwätzig.
Ich möchte wetten, dass Du von den Kameras gar nichts per Broadcast sehen würdest.

In Deinem Fall würde ich das genauso handhaben, wenn es erstmal läuft muss man es nicht sofort von grundauf analysieren.
Um eine Segmentierung des Netzes durchzuführen und damit u.A. IoT-Komponenten zu isolieren, hatte ich vor wenigen Monaten MikroTik-L3-Switches erworben.
Fertig ist das bis jetzt aber auch noch nicht, da es ganz schön Aufwand ist entsprechende Firewall-Regeln in die jeweiligen Richtungen zu erstellen und manche Geräte lassen sich auch nicht mehr so gut bedienen, eben weil sie auf Broadcast und/oder Multicast angewiesen.