alve89
Goto Top

Bonjour an Subnetz weiterleiten

Liebe Community,

nachdem ich hier schon Beiträge gefunden habe, die mein Problem zwar ebenfalls behandeln, aber nicht bis zum Ende bringen, hoffe ich, ihr könnt mir hier weiterhelfen.

Mein derzeitiges Netzwerk-Setup ist wie folgt:

Internet
- Fritz!Box 1 ("DMZ", 192.168.1.1)
-- RPi mit Home Assistant
-- Zahlreiche IoT-Geräte
- Fritzbox 2 ("sicherer Bereich", 192.168.2.1)
-- Meine privaten WLAN-Geräte (Laptop, etc.)

Ich habe also eine Art DMZ für meine IoT-Geräte und mein privates Netzwerk hinter einer zweiten Firewall. Soweit so gut, klappt auch alles prima.

Außer: HomeKit / Bonjour / mDNS

Ich möchte gerne meine IoT-Geräte per HomeKit steuern (HomeBridge läuft auf dem Home Assistant), was nicht mehr funktioniert, wenn ich mit meinen privaten Geräten im privaten Netzwerk bin.
Nun habe ich bereits mehrfach, zuletzt hier gelesen, dass Bonjour nicht über mehrere Subnetze hinweg funktioniert.

Ich habe daraufhin einen weiteren RPi eingebunden, nachdem ich dieser Anleitung gefolgt bin. Der RPi hängt nun hinter Fritzbox 2 und hat die statische IP-Adresse 192.168.2.2. Avahi habe ich installiert.

In
/etc/avahi/hosts
habe ich eines der IoT-Geräte hinzugefügt und den RPi neu gestartet:
192.168.1.35 d1-mini-01.local

Ab hier komme ich nun nicht mehr weiter, ich kann noch immer nicht per Home-App auf die Geräte zugreifen.

Ich habe nun weiter folgendes versucht:
  • Hinzufügen eines weiteren DNS-Servers in den WLAN-Einstellungen am iPhone (192.168.2.2 = RPi)
  • avahi-browse -at
    gibt mir nur die IPv4- und die IPv6-Adressen meines MacBooks, mit dem ich per SSH auf dem RPi agiere, sonst aber gar nichts (auch nicht die Fritzbox 2):
    +   eth0 IPv6 Stefan-MacBook_Air                            _companion-link._tcp local
    +   eth0 IPv4 Stefan-MacBook_Air                            _companion-link._tcp local


Die einzige Idee, die ich hatte, dass ich allen Privat-Geräten die IoT-Geräte bekannt machen könnte, wäre der DNS-Server gewesen.

Meine Frage ist nun also: Wie kann ich allen Geräten hinter Fritzbox 2 die IoT-Geräte der DMZ bekannt machen, sodass ich sie wieder per HomeKit steuern kann?


Vielen Dank im Voraus und viele Grüße
Stefan

Content-Key: 1676461965

Url: https://administrator.de/contentid/1676461965

Printed on: September 30, 2023 at 21:09 o'clock

Mitglied: 149569
Solution 149569 Dec 31, 2021 updated at 21:41:56 (UTC)
Goto Top
Ich habe daraufhin einen weiteren RPi eingebunden, nachdem ich dieser Anleitung gefolgt bin. Der RPi hängt nun hinter Fritzbox 2 und hat die statische IP-Adresse 192.168.2.2. Avahi habe ich installiert.
Das reicht nicht! Damit die mDNS Multicast-Pakete Subnetzübergreifend transportiert werden können muss der Raspi in beiden Netzen jeweils ein Interface haben, bei einem Raspi und der Frittenhölle dir du da betreibst also entweder mit einem weiteren LAN Adapter per USB oder per WLAN, oder alternativ auch per multicastfähigem VPN/Tunnel in das andere Netz verbunden. Ist das erledigt, muss im Avahi der sogenannte Reflector-Mode in der Config aktiviert werden und die beiden Interfaces freigeschaltet werden
allow-interfaces=eth0,wlan0
enable-reflector=yes
damit dieser alle Multicast-Pakete die er aus dem einen Netz empfängt auch in das andere Netz "dupliziert" broadcastet (vice versa). Nur so können sich mDNS Sender und Empfänger gegenseitig sehen.
Member: alve89
alve89 Jan 01, 2022 at 09:40:03 (UTC)
Goto Top
Das habe ich so nun umgesetzt. Funktioniert wie gewünscht - danke dafür!

Da ich nicht wusste, dass ich beide Netzwerke verbinden muss (ich hatte es so verstanden, dass ich über die hosts-Datei einfach statisch alle Geräte hinterlegen kann), gibt es ja nun eine direkte Verbindung von DMZ ins private Netzwerk hinein (über den RPi). Wenn nun Firewall 1 (= Fritzbox 1) überwunden werden sollte (z. B. weil eines der IoT-Geräte Sicherheitsprobleme hat), wäre dann nicht auch ein Zugriff über den RPi ins private Netzwerk möglich? Kann ich - auf dem RPi - noch irgendwie sicherstellen, dass dahingehend nichts passiert? Oder denke ich sowieso falsch und es kann gar nichts passieren?
Mitglied: 149569
149569 Jan 01, 2022 updated at 09:54:54 (UTC)
Goto Top
Zitat von @alve89:

Wenn nun Firewall 1 (= Fritzbox 1) überwunden werden sollte (z. B. weil eines der IoT-Geräte Sicherheitsprobleme hat), wäre dann nicht auch ein Zugriff über den RPi ins private Netzwerk möglich? Kann ich - auf dem RPi - noch irgendwie sicherstellen, dass dahingehend nichts passiert?
In der Firewall am PI eben nur die nötigen Ports öffnen (5353/udp) und den Rest dicht machen.
Aber für einen Hacker der die erste Fritte überwindet für den sollte es auch kein Problem sein dann die zweite Fritte oder ein anderes Device zu kapern, mach dir da keine Illusionen ­čśë.
Member: alve89
alve89 Jan 01, 2022 at 09:58:00 (UTC)
Goto Top
Wenn ich danach nun google, finde ich nur Lösungen, wie ich aus dem RPi eine Firewall mache - hat er denn standardmäßig etwas integriert oder muss ich dazu tatsächlich etwas zusätzlich installieren?

Über einen (oder mehrere) Denkanstöße in die richtige Richtung wäre ich dir sehr dankbar, da ich sowohl in der RPi- als auch in der Netzwerkwelt eher Neuling bin.
Mitglied: 149569
149569 Jan 01, 2022 updated at 10:04:56 (UTC)
Goto Top
Zitat von @alve89:

Wenn ich danach nun google, finde ich nur Lösungen, wie ich aus dem RPi eine Firewall mache - hat er denn standardmäßig etwas integriert oder muss ich dazu tatsächlich etwas zusätzlich installieren?
Ne Firewall ist immer mit an Bord, nennt sich iptables.
Und wenn du keine Ahnung von Firewalls hast dann bringt dir auch eine DMZ ehrlich gesagt nicht wirklich viel.
Da ist dann wohl erst mal ein grundlegendes Studium zu Firewalls von Nöten.
https://www.englert.one/iptables-tutorial
Viel Erfolg. Bitte den Beitrag dann auch schließen.
Member: alve89
alve89 Jan 01, 2022 at 10:08:30 (UTC)
Goto Top
Werde ich mir zu Gemüte führen. Danke für die Hilfe bzgl. Bonjour!
Mitglied: 148523
148523 Jan 01, 2022 at 12:57:28 (UTC)
Goto Top
Da ich nicht wusste, dass ich beide Netzwerke verbinden muss
Das liegt daran das mDNS/Bonjour ein Link Local Multcast ist, also eine Multicast Gruppenadresse mit einem TTL von 1 die somit NICHT routebar ist !
Netzwerk Management Server mit Raspberry Pi
Member: alve89
alve89 Jan 03, 2022 at 18:00:53 (UTC)
Goto Top
Das hatte ich gesehen, aber technisch wusste ich nicht, dass der RPi dazwischen zu klemmen ist. Wieder was gelernt, danke aber für den Querverweis!