DLNA / UPnP von einem ARF-Netz/VLAN ins andere erlauben

[fildercom]

Hallo zusammen,

folgendes Ausgangs-Szenario:
Auf einem Router existieren mehrere ARF-Netze und VLANs. Im ARF-Netz/VLAN 4 befinden sich zwei DLNA-Server (QNAP/Twonky und Synology). Im ARF-Netz/VLAN 2 befinden sich einige mobile Devices. Nun sollen entsprechende Firewall-Regeln angelegt werden, die es den mobilen Devices in VLAN 2 erlauben, die DLNA-Server in VLAN 4 zu finden und Inhalte von diesen abzuspielen.

Eine erste Recherche ergab, dass Port 1900 (UDP) für den UPnP-Broadcast (SSDP) zuständig ist. Die Ports für die Wiedergabe unterschieden sich je nach DLNA-Server.
Synology verwendet wohl TCP 50001 und TCP 50002: https://forum.synology.com/enu/viewtopic.php?t=18810
Das Twonky-Web-Interface dagegen nutzt TCP 9000 sowie UDP 40000 für DTCP-IP: https://ludwig.im/en/projects/twonkyserver-upnp-dlna (wobei es noch eine Reihe anderer Ports gibt).

Wie müssen die Firewall-Regeln aussehen, damit das Vorhaben klappt?

Viele Grüße und vielen Dank
fildercom.

PS: Natürlich wäre es "einfacher", beiden Netzen denselben Routing-Tag zu geben, aber dann wäre ein Vollzugriff in beide Richtungen möglich, was nicht erwünscht ist.

[ua]

Hi Fildercom,

so einfach wird es leider nicht werden.
UPnP nutzt auch Multicast, wenn Du Dir UPnP auf 'nem Sniffer anschaust, bekommst Du Würfelhusten.
Das ganze Prozedere in Firewallregeln zu pressen ist arg, Du kannst auch nicht in den UPnP Verkehr reinschauen, Sicherheitsfunktionen gibt es leider gar keine.
Eine Möglichkeit wäre es den Multicast in das zusätzliche Netz zu virtualisieren (über einen Proxy) oder die Geräte mit einen zusätzlichen Beinchen (VLAN oder phys.) in das entsprechende Netz zu hängen, auf dem Interface dann nur den Twonky o.Ä. zulassen.

VG aus OBC

Udo

[Bernie137]

Hi fildercom,

wie wäre es einfach gänzlich allen Traffic nur auf die IP's der beiden NAS von und zu jedem Client aus VLAN2 zu zulassen?

Gruß Bernie

[fildercom]

Hallo Udo,

die beiden NAS physisch in das VLAN 2 zu "stecken" wäre eine Idee, allerdings scheitert es daran, dass schon alle LAN-Buchsen anderweitig in Verwendung sind.

Hallo Bernie,

das wäre eine gute Idee. Wird es dann mit dem Multicast auch klappen? Wie müsste die Regel dafür aussehen, damit die NAS auch von den mobilen Devices gefunden werden?

Viele Grüße und danke
fildercom.

[ua]

Hi,

die beiden NAS physisch in das VLAN 2 zu "stecken" wäre eine Idee, allerdings scheitert es daran, dass schon alle LAN-Buchsen anderweitig in Verwendung sind.

... daher mein Hint auf VLAN/Trunk, Synology kann es zumindest.

VG

Udo

[fildercom]

@ Udo:
Das wäre dann ein virtueller Switch auf dem NAS. Klappt aber leider auch nicht mit jedem Gerät so richtig. Hatte mal versucht, es auf dem Gerät zu aktivieren, ist mir aber leider nicht gelungen. Zudem kann der Synlogy-Medienserver leider nur auf einem LAN-Interface aktiviert werden. Twonky dagegen ist standardmäßig auf allen LAN-Interfaces aktiv, sofern man das nicht in der ini-Datei einschränkt.

Daher wäre die Idee, die IPs der beiden NAS komplett für das VLAN 2 freizugeben, gar nicht schlecht. Dienste, die dann nicht bedient werden sollen, lassen sich über die Firewall-Regel in den NAS wieder unterbinden.

[Bernie137]

Hallo Fildercom,

zum Multicast kann ich leider nichts sagen, damit kenne ich mich nicht aus. Die Firewall Regeln (meiner Meinung nach 2) sollten ungefähr so aussehen, in der Hoffnung dass ich jetzt nicht die Tags durcheinander gehauen habe:

Name: ALLOW_VLAN2
Quell-Tag: 2
Routing-Tag: 4
Aktion: ACCEPT
Quelle: VLAN2-Netz
Ziel: NAS1,NAS2
Dienste: Alle

Name: ALLOW_NAS
Quell-Tag: 4
Routing-Tag: 2
Aktion: ACCEPT
Quelle: NAS1, NAS2
Ziel: VLAN2-Netz
Dienste: Alle

Gruß Bernie

[fildercom]

@ Bernie:
Danke, werde ich testen, sobald es meine Zeit erlaubt. Ich berichte dann, ob und wie es läuft.