Multicast über VLAN

[Pauli]

Hallo,

ich teile gerade mein LAN in diverse VLAN's auf um z.B. IOT etc. zu separieren.

Nun gibt es natürlich auch Verkehr über die VLAN Grenzen hinweg, was ich über Firewall Regeln erfolgreich umgesetzt habe. Eine Geräte benötigen aber ein funktionierendes Mulicast Routing um zum Beispiel vom VLAN 1 (Intrante) ein Gerät im VLAN 40 (IOT) erkennen zu können.

IGMP Snooping habe ich aktivert, aber das ist offensichtlich noch nicht ausreichend. Was muss ich tun damit das Multicast von einem VLAN im anderen landet?

Danke, Pauli

[backslash]

Hi Pauli,

Was muss ich tun damit das Multicast von einem VLAN im anderen landet?

das gleiche, was du auch bei IPTV tun müßtest... ist richtig eklig, weil das LANCOM keinen Multicast-Router hat...

Aber das ist vermutlich gar nicht nötig, denn ich gehe mal davon aus, daß die IoT-Geräte gar nicht per Multicast angesprochen werden, sondern daß sie sich nur per Bonjour (AKA Multicast-DNS) bekannt machen. Dafür gibt es im LANCOM den Bonjour-Proxy unter IP-Router -> Bonjour... In der Netzwerk-Liste kannst du einstellen, wer welche Geräte sehen darf: Das Netz in dem die IoT-Geräte stehen ist das Server-Interface, alle Netze, die auf die Geräte zugreifen sollen, werden als Client-Interface eingetragen. Dann mußt du nur noch die Dienste definieren, die von den IoT-Geräten angeboten werden...

Gruß
Backslash

[Pauli]

Hi Backslash,

erstmal wie immer vielen Dank für Deinen Beitrag. Die Bonjour Geschichte werde ich mir mal anschauen.

Im ersten Fall, den ich gerade versuche umzusetzen geht es um Siemens / Bosch Home Connect.

Da steht in den Anforderungen nur lapidar:

- Ports 443, 8080 and 123 müssen offen sein.
- Die Multicast-Routing-Option muss im Router freigegeben sein, um eine Verbindung zu Home Connect Geräten herstellen zu können.

Ich habe mal in den diversen Firewall Logs geschaut und was während dem Zugriffsversuch auffällig war sind diese geblockten IPv6 Pakete:

03:56: DENY-ALL (inbound) - UDP-Paket von [fe80::acb1:6ffc:d778:b1ed]:546 nach [ff02::1:2]:547 - Paket zurückgewiesen

Kannst Du damit was anfangen - bei IPv6 tue ich mir etwas schwer? IPv4 sehe ich zumindest aktuell nix was noch geblockt wird ...

Gruß und schönen Feiertag, Pauli

[cpuprofi]

Hallo Backslash,

Was muss ich tun damit das Multicast von einem VLAN im anderen landet?

das gleiche, was du auch bei IPTV tun müßtest... ist richtig eklig, weil das LANCOM keinen Multicast-Router hat...

wäre es nicht vielleicht mal an der Zeit den Multicast-Router im LCOS zu implementieren?

Grüße
Cpuprofi

[Pauli]

Also, nix zu machen ... habe viel probiert alles ohne Erfolg.

Welche Möglichkeiten habe ich denn einen Multicast Router, PIM oder IGMP Proxy im Netzwerk dafür bereitzustellen? Hat da jemand schon mal was erfolgreich im Home Lab aufgebaut?

Ich habe noch eine Sophos UTM im Einsatz, aber mit der Multicast Konfiguration komme ich auch nicht weiter bzw. man findet kaum Artikel über die Einrichtung?

Danke, Pauli

[backslash]

Hi Pauli,

03:56: DENY-ALL (inbound) - UDP-Paket von [fe80::acb1:6ffc:d778:b1ed]:546 nach [ff02::1:2]:547 - Paket zurückgewiesen

Das ist ein DHCPv6-Anfrage. Die sollte nicht in die Deny-All-Regel laufen, sondern in der Regel ALLOW-DHCP-SERVER aufschlagen und vom LANCOM beantwortet werden... Hast du ggf. die (Inbound-)Firewallregeln geändert?

Gruß
Backslash

[Pauli]

Servus Backslash,

nein bewusst habe ich keine geändert. Wie kann ich den eigentlich die Standard IPv6 Regeln wieder herstellen (IPv4 sollte dabei nicht zurückgesetzt werden)?

Gruß, Pauli

[backslash]

Hi Pauli

Wie kann ich den eigentlich die Standard IPv6 Regeln wieder herstellen (IPv4 sollte dabei nicht zurückgesetzt werden)?

indem du im CLI (Telnet/SSH) in das jeweilige Verzeichnis wechselst (hier also cd /Setup/IPv6/Firewall/Inbound-Rules) und dort default eingibst...

Gruß
Backslash

[Pauli]

Danke, nun sind die Regeln wieder auf Standard und es kommt nun auch keine FW Meldung mehr. Allerdings funktioniert der direkte Zugriff via VLAN immer noch nicht.

Folgende Regel habe ich erstellt, aber auch die wird nie gemeldet:

EINGEHEND_VLAN-IOT-HC_INTRA ANY IOT-HC %BINTRANET LOCAL-INTRANET
ACCEPT-LOG No 19 Yes No Yes 0 0

Wahrscheinlich muss ich mich wirklich nach einer alternative für das Multicast Routing umschauen ...

Gruß, Pauli

[backslash]

Hi Pauli

was einst du mit

EINGEHEND_VLAN-IOT-HC_INTRA ANY IOT-HC %BINTRANET LOCAL-INTRANET
ACCEPT-LOG No 19 Yes No Yes 0 0

soll das eine IPv4 Firewall-Regel sein? Ohne die Spaltenüberschriften ist da nichts zuzuordnen...

Du braucht erstmal eine Firewall-Regel,m die die Multuicast-Anfragen aus deinem Intranet mit einem Routing-Tag versieht:

Code: Alles auswählen

Name:        ALLOW-IOT-QUERY

Routing-Tag: 42
Aktion:      Übertagen
Quelle:      alle Stationen im lokalen Netz "INTRANET" (oder IPs der Clients, die IOT-Dienste nutzen wollen)
Ziel:        Ein ganzes Netz: Adresse: 224.0.0.0 Netmaske 224.0.0.0   - oder nur die eine Multicast-Adresse, unter der das IOT-Gerät angesprochen  wird
Dienste:     alle Dienste - oder der UDP-Ports, die angesprochen werden sollen

Und dann brauchst du eine Route (mit dem Tag), die (indirekt) angibt, auf welches Netz der Multicast weitergeleitet werden soll:

Code: Alles auswählen

IP-Address       IP-Netmask       Rtg-tag  Peer-or-IP        Distance  Masquerade  Active   Comment
===========================================------------------------------------------------------------------
224.0.0.0        224.0.0.0        42       10.0.1.99         0         No          Yes      iot-mcst

Dabnei ist die 10.0.1.99 die IP-Adresse, die das LANCOM in dem, Netz hat, in dem du die IOT-Geräte versammeln willst:

Code: Alles auswählen

Network-name      IP-Address       IP-Netmask       VLAN-ID  Interface           Src-check      Type      Rtg-tag  Comment                                                 
==================--------------------------------------------------------------------------------------------------------------------------
INTRANET          192.168.1.1      255.255.255.0    1        LAN-1               loose          Intranet  1        
IOT-NET           10.0.1.99        255.255.255.0    2        LAN-1               loose          Intranet  2        

Damit sollten die Mulitcast-Anfragen beim IOT-Gerät ankommen.

Das wird auch antworten woilen. Dazu mußt du ggf. weitere Firewall-Regeln erstellen, die Antworten des IOT-Gerät umtaggen, ao daß sie auch im INTRANET ankommen,

Code: Alles auswählen

Name:        ALLOW-IOT-RESPONSE

Routing-Tag: 1
Aktion:      Übertagen
Quelle:      alle Stationen im lokalen Netz "IOT-NET" 
Ziel:        alle Stationen im lokalen Netz "INTRANET" 
Dienste:     alle Dienste

Oder halt passend eingeschränkt, denn wenn die Regel so aussieht wie oben, dann hat das IOT-Gerät doch wieder vollen Zugriff auf dein Netz.

Gruß
Backslash

[Pauli]

OK, werde ich mal so probieren und dann Rückmeldung geben ...

Mit der Regel wollte ich den Verkehr sehen und dann später weiter einschränken. Die Regel sieht so aus, bringt mir nach Deiner Beschreibung aber nichts da ich ja nicht auf eine Route umbiege:

Quelle: Die IP's der IoT Geräte im VLAN 40
Ziel: Broadcast ins lokale Netzwerk INTRANET, Netz INTRANET (VLAN 1)
Dienste: alle
Aktion: Accept-Log

Gruß, Pauli

[obi]

Moin,

das Thema ist nun schon ein halbes Jahr alt und leider hat Pauli nicht mehr berichtet ob er Erfolg gehabt hat. Ich habe in etwa das gleiche Setup, auch bei mir gibt es getrennte VLANs in denen sich die IOT-Geräte (Tag 1000) getrennt von meinem Heimnetz (Tag 1) tummeln sollen.

Mein Smart-TV hängt im IOT VLAN (192.168.16.0/24), auf diesen möchte ich mit der entsprechenden App vom Smartphone aus dem Intranet (10.0.0.0/8) zugreifen. Die Verwendung von Airplay über den MDNS Proxy hat bereits geklappt, allerdings verwendet die App des Smart-TVs nicht MDNS für die discovery sondern SSDP. Auch dazu gab es einen ähnlichen Foreneintrag (fragen-zum-thema-firewall-f15/dlna-upnp ... 16387.html) ohne Lösung. Für die Tests habe ich keine Firewall zwischen den Netzen eingerichtet, die Geräte können also durch den Router miteinander reden.

SSDP ist ja nun auch nur eine Multicastgruppe auf 239.255.255.250 und unterhält sich über UDP port 1900.
Der Fernseher registriert sich mit diversen UPnP Diensten in der Gruppe, die App versucht diese dann zu suchen.

Bisher habe ich es nicht hinbekommen die jeweiligen Multicastpakete auch im jeweils anderen Netzwerk zu empfangen. Ich habe auch das neue LCOS 10.40 mit PIM und dem IGMP-Proxy probiert (wobei ich mangels Dokumentation dazu nicht sicher bin alles korrekt konfiguriert zu haben). Das oben angesprochene Routing mit dem Routing Tag habe ich ebenfalls probiert, leider auch hier ohne Erfolg. Die Pakete von der App haben auch TTL=1, sodass sie vermutlich beim Routen gedroppt werden, die Pakete vom Fernseher haben TTL=4, sollten also im anderen VLAN gesehen werden, leider sehe ich sie nicht.

Kann mir jemand erklären ob – und wie – ich PIM oder den IGMP-Proxy beim LANCOM-Router dafür verwenden kann?

Viele Grüße
obi

[Pauli]

Hi,

ich habe nicht berichtet, da ich den manuellen Weg bisher gar nicht umgesetzt habe - war mir dann einfach doch zu umständlich und aufwendig.

Ich hoffe auch auf die 10.40 und habe mit der RC1 auch bisher ohne Erfolg rum gespielt. Allerdings gibt es wie es aussieht in der RC1 noch ein paar Bugs und ich warte auf die neue Version bis ich nochmal intensiver an das Thema gehe. Ich werde gerne hier wieder posten wenn es von meiner Seite neue Erkenntnisse gibt.

Gruß, Pauli

[cpuprofi]

Hallo an Alle,

es wäre doch mal super toll, wenn Lancom auch mal genauere Angaben oder eine Anleitung zu dem neuen "Multicast Proxy" in der 10.40 geben würde.

Ich kann seit der Umstellung von 10.32 auf 10.40 keinen Multicast (per udpxy) mehr über VPN empfangen und weiß nicht genau wie ich dieses ändern könnte, da kaum Informationen zum "Multicast Proxy" vorhanden sind...

Grüße
Cpuprofi

[hagicgn]

Hallo zusammen,

ich krame diesen älteren Thread nochmal raus.
Seit kurzem habe ich auch ein paar Siemens Home Connect Haushaltsgeräte im Heimnetz, in einem separatem VLAN.

Ich bin dabei, mich durch das Multicastkonzept zu kämpfen. Ich weiß allerdings noch nicht, was ich auf welcher Netzwerkkomponente aktivieren/einrichten muss, damit ich direkt vom Ipad auf die Haushaltsgeräte zugreifen kann.
Vorab: Mit dem Bonjour-Proxy geht's nicht, der funktioniert gut für Chromcast, Airplay /Airprint usw.

Meine Konfiguration:
Haushaltsgeräte im VLAN (5), Ipad im VLAN (1) am AP (LN-1700). Der AP hängt an einem Cisco SG350 Switch, der wiederrum am Router 1781-VA.
IGMP-Snooping ist auf dem Switch und den anderen Netzwerkkomponenten aktiviert.

1. Wo muss ich den IGMP-Proxy einrichten? An allen beteiligten Netzwerkgeräten?
2. Oder konfiguriere ich direkt den PIM am 1781-VA?

Über Vorschläge /Ideen würde ich mich freuen.

VG
Dirk