OPNsense Forum
International Forums => German - Deutsch => Topic started by: mike69 on February 03, 2019, 07:43:51 pm
-
Hallo.
Bin dabei, unser Netzwerk mit VLAN sauber zu trennen (Gaming, Streaming, VoIP usw.). Der NAS sitzt im 192.168.2.0/24 Segment, die Streaminggeräte wie Smart TV oder AV-Receiver im 10.0.60.0/24. Als upnp Dienst looft minidlna auf dem NAS, welcher über Multicast 239.255.255.250:1900 lauscht. Leider nicht über die verschiedene Subnetze im VLAN.
Versuche mit dem IGMP Proxy schlugen fehl. Im Anhang ein Pic der Konfig:
(https://s15.directupload.net/images/190203/temp/5diihseu.png) (https://www.directupload.net/file/d/5352/5diihseu_png.htm)
Die Switchkaskade kann ich ausschliessen, nehme ich den VLAN-Tag raus und der TV bekommt eine Ip vom Subnet des NAS, erkennt der TV den Dienst.
Hat jemand einen Tip?
-
Hi,
Danke für die Frage, wäre auch daran interessiert.
lg
-
Habe deshalb mein Netz noch nicht in VLANs segmentiert, falls es da eine Lösung gibt könnte ich das endlich machen.
-
Hast du zusätzlich zum IGMP Proxy auch den mdns Repeater? Viele Geräte nutzen auch gern multicast dns für namensauflösung und servicediscovery.
-
Hast du zusätzlich zum IGMP Proxy auch den mdns Repeater? Viele Geräte nutzen auch gern multicast dns für namensauflösung und servicediscovery.
Nein, aber checke ich mal. Namensauflösung gibt es nicht, zeigt nur IPs an.
Habe mal nach dieser Anleitung die Sense konfiguriert: https://blog.tausys.de/2014/10/16/telekom-iptv-mit-pfsense/ (https://blog.tausys.de/2014/10/16/telekom-iptv-mit-pfsense/)
und entsprechend geändert. Mit Wireshark konnte ich die Pakete am TV ankommen sehen, aber der TV erkennt den Service nicht.
Die IP 10.0.60.11 ist übrigens das Smart TV.
Hier paar Bilder:
Die geänderte IGMP Proxy Einstellung:
https://www.directupload.net/file/d/5353/b4guoug7_png.htm (https://www.directupload.net/file/d/5353/b4guoug7_png.htm)
Die LAN Rules:
https://www.directupload.net/file/d/5353/99zww89b_png.htm (https://www.directupload.net/file/d/5353/99zww89b_png.htm)
Stream Rules:
https://www.directupload.net/file/d/5353/pux7646n_png.htm (https://www.directupload.net/file/d/5353/pux7646n_png.htm)
Ein Auszug von Wireshark:
https://s15.directupload.net/images/190205/ngzjdrnn.png (https://s15.directupload.net/images/190205/ngzjdrnn.png)
Edit,: Der MDNS Repeater brachte kein Erfolg. :(
-
So, Problem anders gelöst.
Habe auf der NAS einfach das passende VLAN konfiguriert und schon erkennen die Geräte im VLAN den DLNA-Server. Ohne irgendwelche Regeln oder zusätzliche Pakete. ;D
Den Port vom NAS taggen nicht vergessen. 8)
Manchmal ist die Antwort so nah.
-
Damit umgehst du die firewall und der Sicherheitsgewinn ist wieder futsch. ::)
-
Inwiefern?
Lasse die Clients von VLAN-X nur auf den Host von VLAN-Y zugreifen, der Rest ist geblockt.
-
Hi.
Da das NAS jetzt in beiden Netzen hängt und somit auch von beiden Netzen direkt erreichbar ist kannst du über die Sense den Traffic zum NAS nicht steuern.
Alle Hosts vom VLAN-X und VLAN-Y haben zumindest netzwerkseitig vollen Zugriff auf das NAS.
Lg
-
Hi.
Da das NAS jetzt in beiden Netzen hängt und somit auch von beiden Netzen direkt erreichbar ist kannst du über die Sense den Traffic zum NAS nicht steuern.
Alle Hosts vom VLAN-X und VLAN-Y haben zumindest netzwerkseitig vollen Zugriff auf das NAS.
Lg
Ja, das stimmt. Hatten die Clients vorher auch, sehen aber den Rest nicht, nur die NAS. Irgendwie müssen die Kodiboxen ja auf SQL und die Freigaben zugreifen.
Aber soooo toll war die Idee nicht. :)
Die Kodiboxen spielen "verrückt", der DLNA-Client blockiert das System, das Bild am TV blieb schwarz. Nachdem das VLAN auf dem NAS deaktiviert und der DLNA-Server nicht erreichbar war, kam zwar ein Bild, aber die NFS-Freigaben waren futsch:(
Obwohl die IP-Cams es geschissen kriegen, ihre Vids per NFS in ein anderes Subnet zu schieben, Kodi schafft es irgendwie nicht. Werde mal im Kodiforum nachhaken.
-
Ich hab das mit dem Streaming so gelöst dass im VLAN mit den Smart TVs ein Raspberry hängt der sich per SMB einen Ordner vom NAS mounted wo die Videos liegen.
Am Raspberry läuft minidlna als Streaming Server.
Es gibt daher nur eine Verbindung zum NAS und die ist SMB. Zugriff ist mit Passwort gesichert und read only.
Funktioniert tadellos.
Lg
-
Hat nichts mit Kodi zu tun sondern asymmetrischem routing: du hast wahrscheinlich noch immer die NAS IP im anderen VLAN konfiguriert, die retourpackets gehen aber direkt da das NAS im Netz der source IP (Kodi) directly connected ist.
-
Hat nichts mit Kodi zu tun sondern asymmetrischem routing: du hast wahrscheinlich noch immer die NAS IP im anderen VLAN konfiguriert, die retourpackets gehen aber direkt da das NAS im Netz der source IP (Kodi) directly connected ist.
OK. Der Host hat nur ein phy. NIC, welcher die normale IP im Subnet hat und die VLAN IP. Zugriff auf die SQL und SMB funktioniert mit verschiedenen. Subnetzen, NFS nicht.
Alle anderen Clients haben keine Probleme, nutzen auch nur das DLNA. Und Kodi nutzt für SQL und Freigaben das Subnet der NAS, DLNA über die Virtuelle IP, und das bringt es durcheinander?
Nur um das zu verstehen.
-
Dein NAS hängt in zwei Netzen, ob die packets mit VLAN header getagged oder ohne ankommen macht auf Layer 3 (IP) keinen Unterschied.
Dein Kodi host hängt im VLAN B, du hast aber die IP von VLAN A eingetragen. Die packets von Kodi zu NAS gehen also über die Firewall, von dort zum NAS.
Das NAS schickt die packets aber direkt vom interface im VLAN B zum Kodi host da es directly connected ist und diese route immer die beste Metrik hat.
-
Moinsen.
Okidoki, soweit doch richtig verstanden. :)
Um das entgegenzuwirken hatte ich schon mal auf das getaggte VLAN komplett umgestellt, was den Erfolg brachte, dass KODI komplett bootete. Zugriff auf die SQL-DB und SMB-Freigaben sind da, auf die NFS-Freigaben nicht. Also nicht ganz überzeugend.
Wie schon geschrieben, die IP-Cams schieben per NFS Subnet übergreifend ihre Daten auf das Host, warum kann KODI nicht auf seine Freigaben zugreifen.
Suche weiter nach einer Lösung, erstmal Danke für die Hilfe.
-
NFS hat keine authentication sondern nur eine authorization per IP, du wirst vergessen haben die IPs des neuen Netzes zu berechtigen.
-
NFS hat keine authentication sondern nur eine authorization per IP, du wirst vergessen haben die IPs des neuen Netzes zu berechtigen.
Nein, da kann jeder ran:
*(ro,subtree_check,insecure)
-
Dann mit z.B. wireshark sniffen und schauen woran es liegt.
-
Ja, aber nicht demnächst. Hier haben sich erstmal andere Baustellen angekündigt. Danke nochmal.