Hallo
Ich möchte gern die mDNS Pakete zwischen zwei Netzen per VPN weiterleiten. Gibt es dazu mittlerweile eine Möglichkeit? Irgendwo in einem alten Thread von 2006 war da die Aussage, dass das (noch) nicht geht...
In beiden Netze stehen Apple Rechner, die mittels zwei LC1821er über VPN verbunden sind.
Gruß
Christian
Multicast(DNS) zwischen zwei Netzen
Moderator: Lancom-Systems Moderatoren
Hi cmos
solange du nur eine VPN-Strecke hast, ist das machbar - mit etwas Handarbeit...
Als erstes erstellst du auf der Seite, auf der die Multicats gesendet werden, eine Firewallregel, die die mDNS-Pakete mit einem Routing-Tag versieht:
Danach erstellst du in der Routing-Taebelle eine passend getaggte Multicast-Route, die auf den VPN-Tunnel zeigt:
auf der anderen Seite erstellst du in der Firewall eine VPN-Regel, die die Multicasts akzeptiert:
und eine Firewallregel, die die Multicasts, die von der VPN-Gegenstelle kommen mit einem Routing-Tag versieht:
Als letztes brauchst du noch eine Multicastroute, die dem LANCOM sagt, daß es die empfangenen Multicasts auf das LAN leiten soll. Diese muß mit dem in obiger Firewallregel gesetzten Routing-Tag versehen sein:
Wenn Multicasts in beide Richtungen laufen sollen, dann mußt du obigen Regel- und Routensatz letztendlich nochmal "spiegelverkehrt" in die Geräte eintragen.
Aber wie gesagt: Das funktioniert mit maximal einer Multicast-Strecke.
Gruß
Backslash
solange du nur eine VPN-Strecke hast, ist das machbar - mit etwas Handarbeit...
Als erstes erstellst du auf der Seite, auf der die Multicats gesendet werden, eine Firewallregel, die die mDNS-Pakete mit einem Routing-Tag versieht:
Code: Alles auswählen
[x] Diese Regel ist für die Firewall aktiv
[ ] Weitere Regeln beachten, nachdem diese Regel zutrifft
[ ] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Routing-Tag: 1
Aktion: übertragen
Quelle: lolales Netz
Ziel: Netzwerk 224.0.0.0/224.0.0.0
Dienste: UDP, Zielport 5353Danach erstellst du in der Routing-Taebelle eine passend getaggte Multicast-Route, die auf den VPN-Tunnel zeigt:
Code: Alles auswählen
IP-Adressse: 224.0.0.0
Netzmaske: 224.0.0.0
Routing-Tag: 1
Router: VPN-Gegenstelle
(*) IP-Maskierung abgeschaltetauf der anderen Seite erstellst du in der Firewall eine VPN-Regel, die die Multicasts akzeptiert:
Code: Alles auswählen
[ ] Diese Regel ist für die Firewall aktiv
[ ] Weitere Regeln beachten, nachdem diese Regel zutrifft
[x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Routing-Tag: 0
Aktion: übertragen
Quelle: Netzwerk 224.0.0.0/224.0.0.0
Ziel: VPN-Gegenstelle
Dienste: alle Code: Alles auswählen
[x] Diese Regel ist für die Firewall aktiv
[ ] Weitere Regeln beachten, nachdem diese Regel zutrifft
[ ] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen
Routing-Tag: 2
Aktion: übertragen
Quelle: VPN-Gegenstelle
Ziel: Netzwerk 224.0.0.0/224.0.0.0
Dienste: DNSAls letztes brauchst du noch eine Multicastroute, die dem LANCOM sagt, daß es die empfangenen Multicasts auf das LAN leiten soll. Diese muß mit dem in obiger Firewallregel gesetzten Routing-Tag versehen sein:
Code: Alles auswählen
IP-Adressse: 224.0.0.0
Netzmaske: 224.0.0.0
Routing-Tag: 2
Router: IP des LANCOMs auf dem Port, auf dem die Multicast rausgehen sollen
(*) IP-Maskierung abgeschaltet
Wenn Multicasts in beide Richtungen laufen sollen, dann mußt du obigen Regel- und Routensatz letztendlich nochmal "spiegelverkehrt" in die Geräte eintragen.
Aber wie gesagt: Das funktioniert mit maximal einer Multicast-Strecke.
Gruß
Backslash
Hallo Backslash
Sehr cool - der geht! Danke.
Noch eine Frage zu den Routing-Tags: Warum muss ich die überhaupt verwenden? Auf der Quell-MC Seite müsste das doch auch ohne gehen, oder? Der würde dann doch alles was MC ist durch den VPN schieben und nicht nur die mDNS !?
Auf der Ziel Seite müsste doch ein fehlendes R-Tag eher zu Problemen führen, wenn dort auch MCs ausgesendet werden, oder?
Gruß
Christian
Sehr cool - der geht! Danke.
Noch eine Frage zu den Routing-Tags: Warum muss ich die überhaupt verwenden? Auf der Quell-MC Seite müsste das doch auch ohne gehen, oder? Der würde dann doch alles was MC ist durch den VPN schieben und nicht nur die mDNS !?
Auf der Ziel Seite müsste doch ein fehlendes R-Tag eher zu Problemen führen, wenn dort auch MCs ausgesendet werden, oder?
Gruß
Christian
Hi cmos
So kannst du ganz einfach über die Firewall entscheiden, welche Multicasts du durchlassen willst - und denen verpaßt du dann das Tag...
Die in der Werkseinstellung vorhandenen Sperr-Routen haben schon ihren Sinn und sollten tunlichst nicht gelöscht werden
Gruß
Backslash
genau das ist das Problem... Normalerweise willst du nicht alle Multicasts übertragen, sondern nur die, die du explizit auswählst. Daher fügst du auch die getaggten Multicast-Routen hinzu - zusätzlich zu der schon im Gerät vorhandenen Sperr-Route für Multicasts (zumindest ist sie in der Default-Config vorhanden)...Noch eine Frage zu den Routing-Tags: Warum muss ich die überhaupt verwenden? Auf der Quell-MC Seite müsste das doch auch ohne gehen, oder? Der würde dann doch alles was MC ist durch den VPN schieben und nicht nur die mDNS !?
So kannst du ganz einfach über die Firewall entscheiden, welche Multicasts du durchlassen willst - und denen verpaßt du dann das Tag...
ja, denn prinzipiell würden sie wieder "zurückgeroutet"... Das LANCOM erkennt so ein Backrouting aber und macht es daher nicht. Dennoch solltest du auch dort die Sperr-Route für Multicasts stehen haben.Auf der Ziel Seite müsste doch ein fehlendes R-Tag eher zu Problemen führen, wenn dort auch MCs ausgesendet werden, oder?
Die in der Werkseinstellung vorhandenen Sperr-Routen haben schon ihren Sinn und sollten tunlichst nicht gelöscht werden
Gruß
Backslash
