OPNsense Forum
International Forums => German - Deutsch => Topic started by: donleonardo on March 03, 2022, 07:00:52 pm
-
Hallo zusammen, ich weiß, dass es viele Threads dazu gibt, ich kriege es aber einfach nicht hin.
Mein Szenario: Der SONOSboost sowie alle Lautsprechen sind im VLAN IoT. Die Handy/Controller z.T. auch in IoT, der Rest im VLAN Private.
Die Controller im gleichen VLAN funktionieren logischerweise, nicht aber die in Private.
Um dies zu ermöglichen habe ich folgende Rules im Interface IoT eingerichtet:
Abb. Sonos1.jpg
Aliase:
- SONOStcp (Ports): 80, 443, 445, 1400, 3400, 3401, 3445, 3500, 4070, 4444
- SONOSudp (Ports): 1900, 1901, 2869, 6969, 10243, 136:139, 10280:10284
VLAN Private ist das sichere LAN, daher folgende Regel:
Abb. Sonos2.jpg
Außerdem läuft der Service UDP Broadcast Relay.
Konfiguration:
Abb. Sonos3.jpg
Hat jmd. eine Idee, wo das Problem ist?
-
Hat keiner eine Idee, wo bei mir der Denkfehler ist,
-
Hm.. fehlt da nicht noch UDP 5353?
https://support.sonos.com/s/article/688?language=de
-
Die Regel für UDP Port 5353 muss von jeweils von IoT Netzwerk und Private Netzwerk als Quelle nach 224.0.0.0/8 als Ziel gehen, damit der UDP Broadcast Relay arbeiten kann. Jeweils auf dem entsprechenden Interface.
Alternativ eine Firewall-Gruppe mit den Interfaces IoT und Private anlegen und eine Regel dann mit dem Gruppen-Netzwerk als Quelle anlegen. Ziel wieder 224.0.0.0/8.
Gruß
KH
-
Vielen Dank für eure Antworten!
@ liceo
Vielen Dank, den UDP Port 5353 habe ich in den Alias "SONOSudp" mit reingenommen.
@ KHE
Oha, diese Regel hatte ich noch nicht.
Habe sie jetzt als Gruppe erstellt => Abb. Sonos4.png
Blöderweise komm ich mit einem Controller aus WLAN im Privat-VLAN immer noch nicht auf die Lautsprecher im VLAN IoT :(
P.S. Wie kriege ich Bilder direkt in den Post?
-
Hi,
die Regel sollte nur für IPv4 sein. Man kann den Quell-Port auch noch auf 5353 einschränken.
Eventuell must du für Sonos auch noch eine ähnliche Regel für UDP-Port 1900 erstellen, hier dann aber das Ziel anpassen, das die Broadcast-Adresse 239.255.255.250 mit drin ist.
KH
-
Vielen Dank auch für diesen Hinweis.
Die Regel für Port 5353 habe ich angepasst und die von dir vorgeschlagene angelegt
=> Abb. Sonos5.png
Leider komm ich immer noch nicht auf die Boxen :(
Noch eine zündende Idee?
-
Ich kann leider nicht testen, da ich kein SONOS habe.
Funktionieren andere Multicast-Protokolle, wie Chromecast, Apple AirPrint oder Apple AirPlay?
Manchmal kann einem ein Switch Ärger machen, wenn er z.B. kein IGMP Snooping unterstützt oder es nicht richtig unterstützt.
Es gibt da den folgenden Thread: https://forum.opnsense.org/index.php?topic=15721.0 (https://forum.opnsense.org/index.php?topic=15721.0), etliches zum Thema UDP Broadcast Relay.
Oh und zu der Rule mit dem Port 1900, bei dem scheinen die Quell-Ports nicht 1900 zu sein sondern 40000-60000.
Und hier ist noch ein Post zu Sonos: https://forum.opnsense.org/index.php?topic=16648.msg83334#msg83334 (https://forum.opnsense.org/index.php?topic=16648.msg83334#msg83334)
KH
-
Vielen Dank, die Rule habe ich angepasst (=> Sonos6.png) - ohne Erfolg :-\
Danke für die Links - schaust du mal, sie sind beide identisch, evtl. einmal zu wenig "Copy" gedrückt ;)
Ich suche auf alle Fälle mal weiter - andere sind ja scheinbar auch zum Erfolg gekommen :)
-
Und - hast du es hinbekommen?
Wollte nun auch mal mein Sonos über VLAN betreiben.
-
Seltsam, ich brauche da gar keinen Multicast Agent für. Sobald ein Smartphone mit App bspw. einmal im IoT Netz war und das System gefunden hat, kann es nach Wechsel ins andere VLAN trotzdem noch den vorherigen Controller aufrufen und problemlos steuern. Der erste Zugriff dauert nur länger.
-
an diesem Punkt enden alle threads zu diesem Thema. :-\
Habt ihr aufgegeben oder es gelöst?
Falls es jemand gelöst hat wäre super wenn hier mal alle FW Rules gezeigt würden. Macht ja keinen Sinn die Setups/Rules aus diesem Thread zu probieren, wenn sie nicht zum Erfolg führen. Wäre SEHR Dankbar dafür!
LG
EDIT 1:
Ich habs jetzt mal gelöst indem ich ganz einfach 2 Aliasse gebaut habe:
- alle Sonos Speaker (Hosts, -->feste IPs) im IoT Netzwerk
- alle Controller (Smartphones, Computer mit Controller App) im LAN Netzwerk
Regel auf dem IoT Netzwerk:
Pass TCP on IoT net from "alle sonos speaker" to "alle Controller"
Draufgekommen bin ich durch folgenden Post: https://forum.opnsense.org/index.php?topic=16769.msg76469#msg76469
Ist zwar nicht ganz sauber weil Sonos jetzt zuviel darf, aber besser krieg ichs aktuell nicht hin. Sobald ich ein schärferes "Rezept" finde das auch so effizient ist, werd ichs mir wieder ansehen,...
-
Kannst du mit der von dir beschriebenen Regeln die Sonos-App nutzen? Ist da nicht noch ein Broadcast oder ähnliches notwendig?
-
Moin,
ich mische mich mal verspätet ein. Ich hatte ein funktionierendes Setup, bis ich von Sonos OS1 zu OS2 gewechselt bin. Ich habe es auch etwas einfacher, meine Controller auf den SmartPhones sind im gleichen (W)LAN wie die Sonos Geräte. Ich brauchte nur eine Verbindung von der Controller App auf den PCs im "geschützen" LAN und die haben feste IP Adressen.
Das Problem sind die UDP Antworten auf den SSDP Broadcast. Der Ruf eines PC an Dst 239.255.255.250 UDP/1900 bekommt von den Sonos Geräten eine Antwort auf UDP von einem beliebigen Port an den Port, den der PC beim Senden des SSDP Packets benutzt hat.
Der UDP Broadcast Relay transportiert die Anfrage zwar aber die Firewall merkt sich den Trafic nicht. Ich erlaube jetzt aus dem Sonos Netz allen UDP Verkehr in das geschützte Netz zu den IP Adressen der PCs mit Sonos Controller. Damit klappt es.
Wenn jemand eine Idee hat, wie man der Opnsense beibringen kann, sich die Anfrage zu merken und die dazugehörige Antwort durchzulassen, würde das auch mit DHCP für die Controller funktionieren und auch SmartPhones könnten mitspielen.
Gruß Jan
-
Hallo,
ich wollte auch nochmal von meinem Teilerfolg berichten.
Folgende VLANs sind vorhanden:
Die Sonos Geräte befinden sich im IoT-VLAN und mein iPhone im Home-VLAN. Mit folgender Konfiguration kann ich ohne Probleme von meinem iPhone die Sonos-Speaker mit Hilfe der Sonos-App bedienen.
Für alle Sonos-Speaker und mein iPhone habe ich statische DHCP-Leases eingerichtet, damit sich die IP-Adresse nicht verändert.
Im Anschluss habe ich vier Aliases eingerichtet:
- SonosSpeaker - IPs aller Sonos-Speaker
- SonosController - IPs meines iPhones
- Sonos_TCP - 1400,3400,3401,3500,4070
- Sonos_UDP - 1900,1901,5353,6969
Mit diesen Aliasen habe ich zwei Firewall-Regeln für das IoT-VLAN gebaut.
Allow SonosSpeaker => Controller für TCP und UDP
Der mDNS Repeater wurde für LAN und IoT aktiviert.
Mit dieser Konfiguration kann ich nun, nachdem ich das iPhone einmal mit dem IoT-VLAN verbunden und dort die Sonos-App geöffnet hatte, die Sonos-Speaker aus meinem anderen VLAN steuern.
Was ich leider nicht hinbekommen habe, ist die Steuerung der Sonos-Speaker über meinem PC. Ich habe mal testweise die IP-Adresse meines PCs zum Alias SonosController hinzugefügt, leider kann trotzdem keine Verbindung hergestellt werden.
Eventuell habt ihr dazu eine Idee?
Grüße
AnthonyStark