Deutsche Telekom Entertain mit dem Ubiquiti UniFi Security Gateway

(Stand 03.09.2018)

Es gibt mittlerweile eine immer größer werdende Anzahl an Leuten, dir ihr Netzwerk immer weiter auf UniFi-Produkte umstellen. Auch ich will meine Fritzbox ablösen und sie durch einen Draytek Vigor 130 DSL-Modem, sowie das UniFi Security Gateway  ablösen. Bisher hielt mich das Entertain Problem davon ab und eben noch die Thematik mit IPv6.

Diese Anleitung soll dabei helfen, Entertain (V1 und V2) mittels UniFi Hardware an einem BNG-Anschluss zu ermögliche. Die Anleitung funktioniert nicht an einem nicht BNG-Anschluss, da hier neben dem VLAN 7 noch das VLAN 8 benötigt wird. Da alle Anschlüsse, im laufe des Jahres,  umgestellt werden, wird dieses Thema hier auch nicht weiter behandelt.
Es wird davon ausgegangen, dass der USG die PPPoE Einwahl übernimmt und ein DSL-Modem, wie der Draytek Vigor 130, vorgeschaltet ist.
Entertain V1 verwendet die Mediareceiver MR300 und MR303. Entertain V2 verwendet den Mediareceiver MR400 oder MR401.
Die Erkenntnisse stammen dabei aus dem Thread Entertain mit Ubiquitit Security Gateway

 

Ein Dank geht dabei an Ex0, Alanin, Shadowcat und dermetzefür die Hilfestellungen und Tests. Hoffentlich habe ich niemanden vergessen.

1. Test auf BNG

Über diesen Link könnt seht ihr wie ihr testen könnt, ob ihr bereits auf BNG migriert wurdet:
Solltet dieses nicht der Fall sein, könnte euch dieser Beitrag evtl. helfen. Die dort gemachten Einstellungen beziehen sich alle auf Entertain V1.

2. Konfiguration des Draytek 130 (Danke an Ex0)

Der Draytek übernimmt hier die reine Modem Funktion. Folgende Bilder von Ex0 zeigen die Einstellungen am Draytek. Laut Webseite von Draytek werden neu ausgelieferte 130er direkt als Modem konfiguriert und benötigen keine Anpassung, ihr solltet also direkt starten können. Die VLAN Konfiguration wird am USG durchgeführt.
Internet Access >> General Setup

Internet Access >> PPPoE / PPPoA

Internet Access >> MPoA

3. Internetzugang einrichten (Danke an Ex0)

Devices >> USG >> Configuration >> WAN
Der Username setzt sich aus den T-Online Zugangsdaten zusammen:
AAAAAAAAAAATTTTTTTTTT#MMMM@t-online.de

wobei:

A= 12-stellige Anschlusskennung
T= T-Online-Nummer
# nur verwenden wenn die T-Online Nummer weniger als 12 Stellen hat.
M= vierstelliger Mitbenutzerzusatz
Als DNS-Server könnt ihr die Server von
·         T-Online
o   217.237.151.205
o   217.237.148.70
·         Google
o   8.8.8.8
o   8.8.4.4
oder z.B. OpenDNS
eintragen.

4. Firewallregeln anpassen (Danke an Alanin)

Hier müsst ihr unterscheiden ob ihr das alte oder neue Entertain nutzt. Das neue Entertain V2 verwendet den MR400 und das Alte V1 den MR300/MR303.
IPTV-Source:
V1
V2
193.158.35.251
87.141.215.251
IPTV-Destination:
V1
V2
239.35.0.0/16
232.0.0.0/16
Die Adresse 224.0.0.0/4 ist bei beiden gleich, ebenso der Port.
Die Regeln der Firewall folgen als Screenshots. Die IPs müsst ihr entsprechend eurer Entertain-Variante anpassen. Die Screenshots zeigen die Einstellungen für V1.
Die Bilder stammen von Alanin.
FIREWALL >> Groups
Jetzt die Firewall Regeln an sich. Achte bitte auf die richtige Zuordnung (WAN IN, bzw. WAN LOCAL).
FIREWALL >> Rules >> WAN IN
FIREWALL >> Rules >> WAN LOCAL

5. IGMP-Proxy mittel config.gateway.json aktivieren (Danke an Ex0,Alanin und Shadowcat)

Zuerst müsst ihr euch per SSH mit eurem USG verbinden. Die Anmeldedaten sind die gleichen wie vom Controller. Mittels dem Befehl show interfaces, könnt ihr euch die Interfaces des USG anzeigen lassen. Wichtig ist dabei das Interface pppoe. Diesen Eintrag merkt ihr euch.
Ihr erstell eine Datei Namens config.gateway.json und passt den rot markierten Eintrag an euren obigen Wert an.

Config.gateway.json:

 {  
      "firewall":{
           "source-validation":"disable"
      },
      "protocols": {  
           "igmp-proxy": {  
                "interface": {  
                     "pppoe0": {  
                          "alt-subnet": [  
                               "0.0.0.0/0"  
                          ],  
                          "role": "upstream",  
                          "threshold": "1"  
                     },  
                     "eth1": {  
                          "alt-subnet": [  
                               "0.0.0.0/0"  
                          ],  
                          "role": "downstream",  
                          "threshold": "1",  
                          "whitelist": [  
                               "239.35.0.0/16",  
                               "232.0.0.0/16"  
                          ]  
                     }  
                }  
           }  
      }  
 }  
Mittels der SeiteJSONLint, könnt ihr noch teste ob das JSON Format korrekt ist.

Die editierte Konfig Datei ladet ihr in folgendes Verzeichnis auf dem Unifi Controler Server hoch: [UniFi base Ordner]/data/sites/[site]

[site] ist dabei die Site ID eures controllers. Falls ihr nur eine habt sollte diese default lauten.

Jetzt müsste ihr über den Unifi Controler noch ein Re-Provisioning anstoßen (z.B eine neue Portfreigabe machen oder Configuration >> Manage Device >> Force Provision).

Der [UniFi base Ordner] ist folgender:
 
  • macOS:  /Applications/UniFi.app/Contents/Resources
  • Windows:  „%userprofile%/Ubiquiti Unifi“
  • UniFi Cloud Key & Debian/Ubuntu Linux:  /usr/lib/unifi
Sobald der USG neu provisioniert wurde und ihr Fernsehen schaut, könnt ihr mit dem Befehl show ip multicast interfaces, den Traffic auf dem pppoe und eth Interface sehen.

6. Ggf. Anpassung eines UniFi-Switches

Solltet ihr noch einen UniFi-Switch nutzen, dann geht es hier weiter.

7. Automatischer Neustart des IGMP Proxy

Der IGMP Proxy stellt gelegentlich seine Dienste ein. Damit ihr den Dienst nicht händisch neu starten müsst, könnt ihr ein Script anlegen. Beschrieben ist dieses im Ubiquiti Forum.

 

8. IPv6 aktivieren

Um IPv6 zu nutzen, schaut einfach in dieser Anleitung nach, dort sind alle nötigen Schritte beschrieben.

23 Gedanken zu “Deutsche Telekom Entertain mit dem Ubiquiti UniFi Security Gateway”

  1. Hallo Björn.

    Lieben Dank für die Arbeit und den tollen Beitrag. Nach zwei Tagen rumprobiererei habe ich festgestellt, dass ich mit meinem nicht-BNG-Anschluss (da Glasfaser), hier leider raus bin. Kannst Du mir vielleicht einen Hinweis geben, wie ich hier weiter nach Lösung suchen sollte?

    Mein Setup:
    MagentaL/EntertainTV an Glasfaser -> Telekom LWL-Modem -> USG -> Div. Unifi-Switche & AP’s

    Wäre echt dankbar, ich tappe vollkommen im dunklen.

    Liebe Grüße,
    Kai

    • Hallo Kai,

      schau mal hier, dort hat der User Argentcom eine lauffähige config.gateway.json angehängt. Er scheint die gleiche Konstellation wie bei dir am Laufen zu haben.

      Grüße,
      Björn.

  2. Vielen Dank für deinen hilfreichen Roundup des ellenlangen Telekom Hilft Threads. Deine Anleitung stimmt mit der „offiziellen“ Anleitung der Telekom zwar größtenteils überein, die spannenden Details hast du aber glücklicherweise nicht vergessen (Pfade zur config.gateway.json und wie man da hinkommt).
    Leider habe ich deinen Beitrag erst nach Studium des entsprechenden UBNT Threads gefunden 🙁

    Nun muss das Ganze nur noch funktionieren , was ich dann wohl an diesem Wochenende feststellen werde. Übrigens mit FTTH am BNG.

    Beste Grüße
    John

  3. kannst du mir helfen bekomme es einfach nicht hin. Fritz 7590 – usg – unifi switch – mR400, ohne usg läuft es aber mit bekomm ich es einfach nicht hin.

    • Hi,

      deine Aufbau ist mehr als unglücklich. Du hast die 7590 als Router und dahinter den USG als weiteren Router. Damit passen auch die Firewallregeln nicht mehr. Ich kann von diesem Scenario nur abraten. Ein Ausweg wäre es den MR400 direkt an der FritzBox anzuschließen.

  4. Leider bleibt mir keine andere Wahl da nur ein Netzwerkkabel ins EG auf ein unifi switch geht von dort weiter den 1.og auf ein unifi switch. Die 7590 möchte ich eigentlich behalten da ich Anfang August svdsl geschalten bekomme. Ohne usg gehts ja super aber ich hätte das usg schon gerne dran. kannst mir da nicht helfen?

  5. Hallo Björn,

    habe die Anleitung jetzt Schritt für Schritt abgearbeitet. Folgender Sachverhalt bereitet mir noch ein Problem:

    Der IGMP Proxy stellt gelegentlich seine Dienste ein. Damit ihr den Dienst nicht händisch neu starten müsst, könnt ihr ein Script anlegen.

    Create a file called /config/igmpcheck.sh >>> Schrägstriche??? Muss diese Datei nicht eigentlich config.igmpcheck.sh heißen???

    In welchem Verzeichnis muss die Datei abschließend im USG abgelegt werden? Habe dazu leider nichts zielführendes gefunden. 🙁

    Vorab schon einmal Besten Dank für Deine Bemühungen

    Gruß Jörg

  6. Hallo Björn,

    Du hast vollkommen Recht, dass der Dank auch an die Mitglieder aus dem Telekom-Forum gerichtet ist. Tolle Arbeit von allen Beteiligten!!!

    Habe heute mein erstes Eishockeyspiel über Entertain ohne Ruckler etc. genießen können. HAPPY! :):):)

  7. Hi Björn,

    ich habe mal eine ganz andere Frage.

    Ich habe meinen Entertain Receiver derzeit direkt am Telekom Speedport Router angeschlossen, führe ihn also quasi am USG vorbei.

    Den Speedport habe ich noch, da ich dort meine beiden Festnetztelefone (privat, Büro) angeschlossen habe (über die Hausverkabelung, da der Router im Keller steht).

    Wie geht ihr denn mit den Telefonen um, wenn ihr keinen Speedport Router mehr habt? Ich nutze wie gesagt ganz klassische Telefone mit RJ12 Steckern, die ich über Adapter über die Hausverkabelung zum Speedport Router führe.

    Danke und Gruß,
    Tobias

    • Hallo Tobis,

      das ist eine Sache um die man sich vorher Gedanken machen sollte. Ich habe meine FritzBox zu einem reinen IP Client umkonfiguriert, welcher nur noch für die Telefonie zuständig ist. Od der Speedport dieses ermöglicht, kann ich leider nicht sagen. Von analogen Telefonen sollte man eh Abstand nehmen, da diese kaum Leistungen bieten. Eine Mögluichkeit wäre z.B. die Gigaset Go Box für schnurlose Telefone.

      Grüße,
      Björn

    • Hallo Björn,

      vielen Dank für Dein Feedback von Anfang Oktober.

      Gigaset Box ist tatsächlich eine Alternative. Diese hatte ich mir auch schon angeschaut. Allerdings hatte ich die beiden schnurlosen Telefone für den Privatanschluss erst kürzlich gekauft. Nun ja, wenn ich den Speedport loswerden möchte, muss ich wohl in den sauren Apfel beißen.

      Ich habe jetzt aber erst mal damit begonnen, das USG umzustellen. Dazu den Receiver in den Switch gestöpselt und nach Anleitung die Einstellungen vorgenommen.

      Gibt es auch eine IGMP Proxy Datei Version, die meinen Aufbau berücksichtigt, also vorübergehend noch den Telekom Router vor dem USG. Der Eintrag in der .json mit „PPPoE2“ stimmt bei mir nicht. Dieses Interface ist bei mir ja nicht aktiv. Oder verhagelt es damit auch die ganzen FW Regeln?

      Nach meinem Verständnis kann der Speedport Router nicht mehr als Modem verwendet werden.

      DANKE

      Gruß,
      Tobias

      • Sorry, aber ich glaube das hat noch keiner gebaut. Durch das Natting des Speedports, verhält sich danach auch alles ganz anders.
        Ich kann nicht mal sagen ob es überhaupt möglich ist.

        • Hallo Björn,

          vielen Dank. Ich hatte mal versucht die .json Datei etwas anzupassen, aber es funktioniert in der Tat nicht. Vermutlich gibt es auch technische Gründe, weshalb das so ist.

          Danke auf jeden Fall für Deine Antwort.

          Gruß,
          Tobias

  8. Hallo Björn. Danke für den Artikel, und das Zusammentragen der Informationen.
    Ich habe meine Komponenten alle aktualisiert. Seit ich beim Controller auf 5.9.29 und mein UGS auf Firmware 4.4.29.5124210 habe stürzt der IGMP Proxy immer mal wieder ab.
    Leider scheint das Script aus dem Unifi Forum nicht mehr richtig zu funktionieren.
    Hast Du dazu eine Idee?

  9. Hallo zusammen,

    spielt es eigentlich eine Rolle, ob der UniFi Controller in einem Docker Container betrieben wird?

    Ich habe am Wochenende meinen Controller von einem Raspberry Pi auf meine Synology Diskstation umgezogen. Dort läuft er in einem Docker Container.

    Hat zufällig jemand einen ähnlichen Aufbau?

    Danke.

    Gruß,
    Tobias

  10. Vielen Dank für die tolle Zusammenstellung der einzelnen Anleitungsschritte hat mir wirklich sehr geholfen!
    Eine Sache habe ich aber bisher nicht gelöst.
    Es geht um eine DSL Zwangstrennung, die die Telekom bei mir Nachts durchführt. Ich habe die Erfahrung gemacht, dass ich nach der Zwangstrennung den IGMP Proxy ebenfalls manuell neu starten muss. Das wird aktuell durch das Script zum Automatischer Neustart des IGMP Proxy nicht abgedeckt.
    Hat jemand von euch ähnliche Erfahrungen gemacht und event. das Neustart-Script so angepasst, dass der Befehl „restart igmp-proxy“ ebenfalls nach einer Zwangstrennung (z.B. Detektiert durch einen Wechsel der externen IP-Adresse) aufgerufen wird? Das wäre dann echt perfekt!

    Vielen Dank und Gruß,
    Bernd

    • Hallo Bernd,

      eine Zwangstrennung wird mittlerweile eigentlich nur alle 180 Tage durchgeführt, jedenfalls bei Anschlüssen mit Voice over IP.
      Sicher das nicht dein Modem die Trennung durchführt?

Schreibe einen Kommentar