Amazon.tv kann kein VLAN - WTF?

[Shihatsu]

Heya, ich bin gerade etwas verzweifelt. Bzw verwirrt. Mein Amazon prime Video funktioniert nicht mehr im dafür vorgesehenen VLAN.
Mein Aufbau ist wie folgt:
DSL -> Fritzbox -> opnsense -> Mikrotik Switch -> Omada AP -> Nvidia Shield -> Amazon Prime Video App
Auf der opnsense sind mehrere VLANs auf die "trunk ports" gelegt, diese sind dann entsprechen im Switch getaggt, der AP verteilt diese auch munter weiter und alles funktioniert soweit - bis auf eben prime video.
Ich schaue selten prime, deshalb weiß ich nicht seit wann es nicht mehr funktioniert, aber wenn ich prime starte und ein beliebiges Video schauen will, laufe ich beim Start des Videos in ein timout mit einer absolut nichtssagenden Fehlermeldung. Also hab ich jetzt mal Fehlerdiagnose gestartet.
WLAN an Fritzbox angemacht -> läuft. Prinzipiell geht es, Fehlerquelle muss also qoanders liegen.
Adblockerlisten in opnsense ausgemacht -> läuft nicht, das ist es also nicht.
Shield in ein WLAN am AP OHNE VLAN tag gehängt -> läuft.
Uff, was des? Alles andere auf der Shield (netflix, Disney+, Youtube, whatever) läuft, nur prime TV nicht. Die Firewallregeln hab ich auch geprüft, erscheinen mir sauber. Idee was ich noch tun kann um das einzugrenzen?

 

[sch4kal]

Ich mag falsch liegen, aber deine SSIDs bzw die Verbindung Shield - AP ist doch untagged ? Inwiefern sollten da VLANs als Fehlerquelle in Betracht kommen ?

 

[Shihatsu]

Der Switch hat einen Trunkport zum AP, der AP setzt für die entsprechende SSID den Tag.

 

[Supaman]

Wenn alle anderen Zugriffe/Appikationen über das WLAN funktionieren, und nur Prime nicht - dann würde ich das vLAN ausschliessen und lieber woanders suchen:
Verwendest Du ein VPN als Exit Node?
Benötigt Prime einen bestimmten DNS / wird der DNS zu hart gefiltert?
Gibt es Filterregeln in der OPNsense ?
Oder mal die MTU Size auf 1400 setzen.

 

[niklasschaefer]

Servus,

An VLAN kann es nicht liegen. Nutze hier auch eine Opnsense in Kombination mit einem L3 Switch und Ubiquity APs. Kann hier sowohl per LAN als auch WLAN in mehreren Netzen hin und her switchen. Hast du Deep Packet Inspection an?

Beste Grüße
Niklas

 

[p4n0]

Nutze ebenfalls ein aehnliches Setup wie du. Keine Probleme mit nem AppleTV und netflix/prime app.
Das Ding haengt bei mir auch an nem Switch der das Client-Netz native auf den AppleTV legt.
Das Gerät hinter dem Switch bekommt von dem VLAN Gedoens doch gar nix mit.

 

[Eye-Q]

Soweit ich das richtig verstehe, wird im Omada-AP Netzwerkverkehr, wo sich das Gerät im WLAN x angemeldet hat, mit VLAN x getaggt, und wo sich das Gerät im WLAN y angemeldet, mit VLAN y, richtig? Falls dem so ist, dann bekommt weder das NVidia Shield noch die darauf laufende Amazon Prime-App mit, dass im Hintergrund irgendwo VLANs eingerichtet sind, da die VLAN-Tags nur zwischen Omada-AP und opnsense an den Netzwerkpaketen hängen, nicht im WLAN.

Somit habe ich eher die Konfiguration der opnsense in Verdacht, auch wenn Du meinst, das ausgeschlossen zu haben. Wird das "WLAN am AP ohne VLAN" irgendwie anders behandelt als das WLAN, in dem die Shield normalerweise angemeldet ist? Es gibt ja nicht nur Adblockerlisten, sondern auch allgemeine Firewallregeln, die ggf. für die VLANs/Subnetze unterschiedlich eingerichtet sind.

 

[andrer250282]

Zeigt die Live Ansicht der Opnsense mit src = IP des Prime Video clients irgendwelche blockierten Pakete an? Ggf. Protokollierung der Regeln mal aktivieren, das man mehr sieht

 

[Shihatsu]

Zu erst mal: Danke für eure Hilfe, sehr lieb von euch!
Da viele die Firewall vermuten als erstes Mal meine zu letzt aktiven Regeln, problematische Fälle schon temporär deaktiviert, das erste ist LAN, damit gehts, das zweite ist mein TV VLAN, damit geht es nicht:

LAN:

VLAN_80_TV

Nun zu euren Fragen bzw. Hilfestellungen direkt:

Wenn alle anderen Zugriffe/Appikationen über das WLAN funktionieren, und nur Prime nicht - dann würde ich das vLAN ausschliessen und lieber woanders suchen:
Verwendest Du ein VPN als Exit Node?
Benötigt Prime einen bestimmten DNS / wird der DNS zu hart gefiltert?
Gibt es Filterregeln in der OPNsense ?
Oder mal die MTU Size auf 1400 setzen.

Kein VPN.
DNS ist hart umgeleitet auf die OPNsense selber (Unbound mit Filterregeln als DNS-basierter Adblocker, diese sind zur Zeit wegen Fehlersuche deaktiviert) - das ist in beiden Netzen so, also sollte das als Fehlerquelöle nicht in Betracht kommen mMn, oder?
Filterregeln wie gesagt atm deaktiviert.
Die MTU Size ist ja auch in beiden NEtzen gleich, meinst du das kann einen Unterschied machen zwischen VLAN und non VLAN?

Servus,

An VLAN kann es nicht liegen. Nutze hier auch eine Opnsense in Kombination mit einem L3 Switch und Ubiquity APs. Kann hier sowohl per LAN als auch WLAN in mehreren Netzen hin und her switchen. Hast du Deep Packet Inspection an?

Beste Grüße
Niklas

Keine DPI an

Nutze ebenfalls ein aehnliches Setup wie du. Keine Probleme mit nem AppleTV und netflix/prime app.
Das Ding haengt bei mir auch an nem Switch der das Client-Netz native auf den AppleTV legt.
Das Gerät hinter dem Switch bekommt von dem VLAN Gedoens doch gar nix mit.

Das war auch meine ursprüngliche Meinung, aber ich finde keinen anderen Unterschied - aber gut das sich das grundsätzlich mit meinem Empfinden (daher auch das "WTF" im threadtitel) deckt.

Soweit ich das richtig verstehe, wird im Omada-AP Netzwerkverkehr, wo sich das Gerät im WLAN x angemeldet hat, mit VLAN x getaggt, und wo sich das Gerät im WLAN y angemeldet, mit VLAN y, richtig? Falls dem so ist, dann bekommt weder das NVidia Shield noch die darauf laufende Amazon Prime-App mit, dass im Hintergrund irgendwo VLANs eingerichtet sind, da die VLAN-Tags nur zwischen Omada-AP und opnsense an den Netzwerkpaketen hängen, nicht im WLAN.

Somit habe ich eher die Konfiguration der opnsense in Verdacht, auch wenn Du meinst, das ausgeschlossen zu haben. Wird das "WLAN am AP ohne VLAN" irgendwie anders behandelt als das WLAN, in dem die Shield normalerweise angemeldet ist? Es gibt ja nicht nur Adblockerlisten, sondern auch allgemeine Firewallregeln, die ggf. für die VLANs/Subnetze unterschiedlich eingerichtet sind.

Genau, so ists gedacht und funktionierte auch früher mit prime, nu aber nicht mehr - Rest geht noch.
Firewallregeln siehe oben, es gibt Unterschiede, die mMn aber irrelevant sein sollten?

Zeigt die Live Ansicht der Opnsense mit src = IP des Prime Video clients irgendwelche blockierten Pakete an? Ggf. Protokollierung der Regeln mal aktivieren, das man mehr sieht

Öhm wo sehe ich das denn? Bzw wie aktivier ich das? So tief ins troubleshooting bei Regeln musste ich bisher nie runter


Ich muss dazu sagen das mein ursprüngliches Regelset sowohl das "access via default gw" als auch den MDNS-Teil für dieses (und alle anderen) VLAN nicht enthielt. Und ich will natürlich "Block all internal networks" und den DNS-Adblocker wieder aktivieren...

Danke euch schonmal!

 

[p4n0]

Ich sehe dass du mehrere WAN GWs an deiner FW hast. Magst testweise eins deaktivieren? Ich verspuere dort etwas Fehlerpotential

 

[Supaman]

Poste mal bitte vollständigen screenshot von der vorletzten regel VLAN_80_TV.
(Default allow VLAN 80 tv to any)

 

[andrer250282]

Ich sehe dass du mehrere WAN GWs an deiner FW hast. Magst testweise eins deaktivieren? Ich verspuere dort etwas Fehlerpotential

Genau, ich tippe auf asymmetrisches Routing

 

[Shihatsu]

Danke für eure Ideen, ich werde das heute Abend überprüfen. Aber ein Routingproblem auf App-Ebene? Da müsste doch eigentlich das ganze Gerät dieses Netzwerkproblem bekommen, und nicht eine einzelne App, die ja auch teilweise funktioniert - nur streamen will ja nicht. Ich will es bestimmt nicht ausschließen, aber das klingt erst einmal falsch für m,ich. Werde heute Abend berichten.

 

[p4n0]

Naja ich kann mir schon vorstellen dass ne App beispielsweise mehrere http/tcp streams oeffnet und dann kann das schon zu komischem Verhalten fuehren bei mehreren GW‘s. Aber Netzwerke sind wild und ich aeußere hier nur eine Vermutung