Broadcast wird von pfsense oder Switch eliminiert
Hallo zusammen,
nachdem ich jetzt dank Hilfe hier im Forum mein Netzwerk mit V-Lan's vernünftig zum Laufen gebracht habe, stehe ich vor dem nächsten Problem. Hier mal eine etwas überarbeitete Version des Aufbaus meines Netzwerks:
Nun wollte ich mein Audio-Equipment von Teufel wieder an den Start bringen. Insgesamt handelt es sich dabei um zwei W-Lan-Lautsprecher und zwei Raumfeld-Connectoren. Die Lautsprecher bleiben eigentlich via W-Lan, während ich beide Connectoren über Lan anschließen möchte. Zum Einen weil ich einen der beiden Connectoren für das Raumfeld-System als Host verwende und es da bei einer W-Lan-Anbindung regelmäßig Probleme mit dem Aufwachen auf dem StandBy gibt, zum Anderen weil der zweite Connector an seinem Standort keine stabile W-Lan-Verbindung mehr bekommt.
Der Host-Connector ist mit seinem Standort in der Übersicht als "Teufel-Host" bezeichnet, der zweite Connector hängt am GS1200-8HPv2.
Die Einrichtung des Systems erfolgt grds. über App, also von einem Endgerät aus, welches hinter einem der AP's befindet. Das Endgerät befindet sich im richtigen Subnetz, ebenso wie die beiden W-Lan-Lautsprecher, die logischer Weise auch hinter den AP's zu finden sind.
Die beiden Connectoren kann ich auch sofort in's W-Lan einbinden. Möchte ich sie allerdings über das Lan eingebunden haben, scheitert der Versuch und die Geräte werden nicht gefunden. Die Connectoren bekommen über den DHCP eine feste IP zugewiesen. Sobald ich den Connector anstecke taucht er auch im Netzwerk auf (ich finde ihn bei den DHCP-Leases, er steht auf aktiv, ich kann ihn anpingen). Er befindet sich auch im gleichen Subnetz wie das Endgerät über das ich ihn einbinden möchte. Grundsätzlich folgt die Konfiguration der Geräte folgendem Ablauf:
Es gibt in der App auch noch die Möglichkeit, dass die Connectoren ohne das lokale W-Lan gesucht werden. Da lauscht die App sofort nach dem Broadcast. Das klappt aber auch nicht.
Leider ist hier der Support etwas ratlos. Die sind ja auch keine Netzwerkgurus wie ihr, sondern auf ihr System ausgerichtet.
Meine Vermutung ist, dass der gesendete Broadcast nicht über die Switche oder über die pfsense gelangt.
Wenn du Tante Google nach diesem Problem bemühst, dann kommen nur Antworten in der Richtung wie ich es ursprünglich vor hatte: Wie überträgt man einen Broadcast von einem Subnetz in das Andere. Aber davon wurde mir plausibel abgeraten, deshalb habe ich jetzt für das ganze Client- und Mediengedöns ein eigenes Subnetz. Es werden auch alle Geräte um die es bei meinem Problem geht, dem richtigen Subnetz zugeordnet - nur um das nochmal zu erwähnen.
Wo und wie fange ich mit meiner Suche nach der Ursache an?
Vielen Dank
Stefan
nachdem ich jetzt dank Hilfe hier im Forum mein Netzwerk mit V-Lan's vernünftig zum Laufen gebracht habe, stehe ich vor dem nächsten Problem. Hier mal eine etwas überarbeitete Version des Aufbaus meines Netzwerks:
Nun wollte ich mein Audio-Equipment von Teufel wieder an den Start bringen. Insgesamt handelt es sich dabei um zwei W-Lan-Lautsprecher und zwei Raumfeld-Connectoren. Die Lautsprecher bleiben eigentlich via W-Lan, während ich beide Connectoren über Lan anschließen möchte. Zum Einen weil ich einen der beiden Connectoren für das Raumfeld-System als Host verwende und es da bei einer W-Lan-Anbindung regelmäßig Probleme mit dem Aufwachen auf dem StandBy gibt, zum Anderen weil der zweite Connector an seinem Standort keine stabile W-Lan-Verbindung mehr bekommt.
Der Host-Connector ist mit seinem Standort in der Übersicht als "Teufel-Host" bezeichnet, der zweite Connector hängt am GS1200-8HPv2.
Die Einrichtung des Systems erfolgt grds. über App, also von einem Endgerät aus, welches hinter einem der AP's befindet. Das Endgerät befindet sich im richtigen Subnetz, ebenso wie die beiden W-Lan-Lautsprecher, die logischer Weise auch hinter den AP's zu finden sind.
Die beiden Connectoren kann ich auch sofort in's W-Lan einbinden. Möchte ich sie allerdings über das Lan eingebunden haben, scheitert der Versuch und die Geräte werden nicht gefunden. Die Connectoren bekommen über den DHCP eine feste IP zugewiesen. Sobald ich den Connector anstecke taucht er auch im Netzwerk auf (ich finde ihn bei den DHCP-Leases, er steht auf aktiv, ich kann ihn anpingen). Er befindet sich auch im gleichen Subnetz wie das Endgerät über das ich ihn einbinden möchte. Grundsätzlich folgt die Konfiguration der Geräte folgendem Ablauf:
- Connector in den Setup-Modus versetzen; dadurch erzeugt er ein lokales W-Lan
- Mit dem Endgerät in dieses W-Lan eintreten
- Die App findet das Gerät und frägt nach, wo es hin soll (Kabelgebunden oder W-Lan, letzteres natürlich mit Angabe der SSID und des Keys)
- Die App überträgt die Daten an den Connector und dieser schaltet das lokale W-Lan ab. Dafür propagiert er anschließend in dem vorgegebenen Netz einen Broadcast.
- Das Endgerät wechselt wieder zurück in das W-Lan, sucht diesen Broadcast und registriert das Gerät in der App.
Es gibt in der App auch noch die Möglichkeit, dass die Connectoren ohne das lokale W-Lan gesucht werden. Da lauscht die App sofort nach dem Broadcast. Das klappt aber auch nicht.
Leider ist hier der Support etwas ratlos. Die sind ja auch keine Netzwerkgurus wie ihr, sondern auf ihr System ausgerichtet.
Meine Vermutung ist, dass der gesendete Broadcast nicht über die Switche oder über die pfsense gelangt.
Wenn du Tante Google nach diesem Problem bemühst, dann kommen nur Antworten in der Richtung wie ich es ursprünglich vor hatte: Wie überträgt man einen Broadcast von einem Subnetz in das Andere. Aber davon wurde mir plausibel abgeraten, deshalb habe ich jetzt für das ganze Client- und Mediengedöns ein eigenes Subnetz. Es werden auch alle Geräte um die es bei meinem Problem geht, dem richtigen Subnetz zugeordnet - nur um das nochmal zu erwähnen.
Wo und wie fange ich mit meiner Suche nach der Ursache an?
Vielen Dank
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7683797637
Url: https://administrator.de/forum/broadcast-wird-von-pfsense-oder-switch-eliminiert-7683797637.html
Ausgedruckt am: 27.12.2024 um 08:12 Uhr
23 Kommentare
Neuester Kommentar
Broadcast hat immer die letzte Adresse im Subnetz --> Filter
Aber warum sollen 2 Geräte, die eine IP-Adresse haben, mittels Broadcast -Paketen kommunizieren. Das macht doch keinen Sinn!
Unicast --> 1 Sender, 1 Empfänger
Multicast --> 1 Sender, mehrere Empfänger
Broadcast --> 1 Sender, Empfänger sind alle im Subnetz (Broadcast-Domäne)
Also warum soll jemand etwas an alle senden, wenn er den einen Empfänger kennt? (IP von Sender und Empfänger sind jeweils bekannt)
Jürgen
Aber warum sollen 2 Geräte, die eine IP-Adresse haben, mittels Broadcast -Paketen kommunizieren. Das macht doch keinen Sinn!
Unicast --> 1 Sender, 1 Empfänger
Multicast --> 1 Sender, mehrere Empfänger
Broadcast --> 1 Sender, Empfänger sind alle im Subnetz (Broadcast-Domäne)
Also warum soll jemand etwas an alle senden, wenn er den einen Empfänger kennt? (IP von Sender und Empfänger sind jeweils bekannt)
Jürgen
Brauche ich das auch wenn die Geräte im gleichen Subnetz / V-Lan sind?
Du solltest vorher einmal generell etwas über Broad- und Multicast Forwarding im Layer 2 und Layer 3 lesen und vor allem verstehen. Die Fragestellung lässt da leider ziemliche Wissenslücken erahnen. Nur so viel...
- Bei Broadcasts gibt es sog "All net broadcasts" da ist die Destination IP 255.255.255.255 z.B. bei DHCP usw.
- Das andere sind Netzwerk spezifische Broadcasts die die Netzwerk Broadcast Adresse nutzen. Z.B. in einen Netzwerk 10.1.1.0 /24 dann die 10.1.1.255. UPnP usw.
- mDNS nutzt Multicast mit der Destination IP 224.0.0.251 oder IPv6 ff02::fb und dem UDP Port 5363 und der TLD .local. Die mDNS Multicast Adresse ist eine sog. Link Local Multicast Adresse mit einem TTL (Time To Live) von 1, sprich ist also prinzipbedingt nicht routebar. Hier musst du einen mDNS Reflector genutzen auf der pfSense. Siehe dazu auch hier!
Da du ja eher wild rumrätst und nicht wirklich weisst welche Verfahren die Kisten zur Erkennung denn nun wirklich nutzen gibst du in den Wireshark als Filter am besten die Hardware Mac Adresse dieser Geräte in den Wireshark Capture Filter ein um rein nur diesen Traffic zu sehen.
Das geht mit ether host 00:0C:CC:76:4E:07 was du als Filter Kriterium einträgst. Dann wird dir lediglich der Traffic von und zu dieser Mac Adresse angezeigt.
Leider ist hier der Support etwas ratlos.
Muss man sicher nicht weiter kommentieren. Traurig wenn nicht einmal der Hersteller selber seine Produkte kennt. Du bist aber sicher an einen einfachen Level 1 Supporter gelangt der lediglich erklären kann welche Knöpfe man wie drücken muss. Wenn man nach einem Level 2 Supporter fragt bekommt man auch deutlich bessere Antworten.Es wäre recht naiv zu glauben der Entwickler des Herstellers kennt sein Produkt nicht. Er wird logischerweise sehr wohl wissen was er implementiert hat und wie seine Technik in segmentierten IP Netzen funktioniert!!
Du schreibst, dass beide Geräte eine IP aus dem gleichen Subnetz zugewiesen bekommen haben.
Warum soll denn dann die Kommunikation über Broadcast laufen?
Broadcast oder mDNS usw. dient doch eigentlich nur dazu, bevor man die IP kennt, ein Gerät (zur Erstkonfiguration) oder einen Dienst zu finden.
Wenn man dann die IPs kennt, braucht man kein Broadcast mehr.
Jürgen
Warum soll denn dann die Kommunikation über Broadcast laufen?
Broadcast oder mDNS usw. dient doch eigentlich nur dazu, bevor man die IP kennt, ein Gerät (zur Erstkonfiguration) oder einen Dienst zu finden.
Wenn man dann die IPs kennt, braucht man kein Broadcast mehr.
Jürgen
Auf meine Frage:
hast du geantwortet:
Also: Haben die Geräte nun die von dir zugewiesenen IPs oder nicht??
Wenn nicht, bist du beim Konfigurations-Modus und dann bei Broadcast. Wann JA kennt die App nach der Konfiguration die IP und macht Unicast.
Das ist ja OK. Aber wenn die Geräte "eingefangen" sind, braucht es kein permanentes Broadcast mehr. Dass in gewissen Zeitabständen nach neuen Geräten gescannt wird, mag ja auch noch angehen.
So lange alle Geräte im selben Subnetz (VLAN) sind, ist das ja auch kein Problem: Alle finden sich.
Wenn sie sich NICHT finden, hast du ein Problem. Dann musst du mit Wireshark schauen, wer was "redet" und wer was "hört". Denn dann scheint jemand nicht richtig zu "hören" oder/und zu "reden".
Wenn dann alles "gut" ist, kommt der 2. Schritt: Geräte nicht im gleichen Subnetz (VLAN). Dann kommen die von @aqui beschriebenen Techniken zum Einsatz.
Jürgen
Die Geräte haben alle eine IP aus dem richtigen Subnetz und können angepingt werden?
hast du geantwortet:
Ja, haben sie.
Also: Haben die Geräte nun die von dir zugewiesenen IPs oder nicht??
Wenn nicht, bist du beim Konfigurations-Modus und dann bei Broadcast. Wann JA kennt die App nach der Konfiguration die IP und macht Unicast.
Wenn die App das Gerät gefunden hat, dann zeigt sie dir das Gerät schon mit der IP an, ist diese allerdings nicht
fest zugewiesen, dann bedarf es einem der Geräte die Zuweisung als Host, der dann angeblich (lt. LV2-Support)
permanent broadcastet wo er ist um die App bei einer geänderten IP wieder "einzufangen". Hat er die App
eingefangen, dann broadcastet er nach den anderen Geräten welche IP diese jetzt nun haben. Wie gesagt, so die
Aussage des Supports.
fest zugewiesen, dann bedarf es einem der Geräte die Zuweisung als Host, der dann angeblich (lt. LV2-Support)
permanent broadcastet wo er ist um die App bei einer geänderten IP wieder "einzufangen". Hat er die App
eingefangen, dann broadcastet er nach den anderen Geräten welche IP diese jetzt nun haben. Wie gesagt, so die
Aussage des Supports.
Das ist ja OK. Aber wenn die Geräte "eingefangen" sind, braucht es kein permanentes Broadcast mehr. Dass in gewissen Zeitabständen nach neuen Geräten gescannt wird, mag ja auch noch angehen.
So lange alle Geräte im selben Subnetz (VLAN) sind, ist das ja auch kein Problem: Alle finden sich.
Wenn sie sich NICHT finden, hast du ein Problem. Dann musst du mit Wireshark schauen, wer was "redet" und wer was "hört". Denn dann scheint jemand nicht richtig zu "hören" oder/und zu "reden".
Wenn dann alles "gut" ist, kommt der 2. Schritt: Geräte nicht im gleichen Subnetz (VLAN). Dann kommen die von @aqui beschriebenen Techniken zum Einsatz.
Jürgen
Es ist leider nicht eindeutig zu sehen ob es hier um UDP Broadcasts oder mDNS (AVAHI) oder um SSDP geht, denn der Trace zeigt von allem etwas.
Nach Letzterem zu urteilen geht es vornehmlich um SSDP.
Wenn es also wirklich mDNS ist wäre AVAHI der Schlüssel zum Erfolg. Wenn es SSDP ist nicht, andere Baustelle.
Gretchenfrage hier ist nur ob es wirklich Broadcast oder Multicast ist was verwendet wird? Leider zeigt der Trace ja von jedem etwas an aber das Gros ist nun mal SSDP.
Das kann man letzlich nur an den Mac Adressen der Endgeräte erkennen die wir in dem o.a. Trace ja leider nicht sehen können um in der Lage zu sein das eindeutig zuzuordnen. Ebenso fehlt eine Erklärung welches Gerät zu welcher IP Adresse gehört.
Die 239.255.255.250 aus deinem Trace ist ja keine Broadcast Adresse wie du als guter Netzwerk Admin ja auch selber weisst.
Sie gehört zu SSDP und ist aus dem Block der Administrative Scoped Multicast Adressen die im RFC 2365 definiert sind.
Kapitel 6.1 ordnet dort die SSDP Multicast Adresse dem sog. "Local Scope" zu wo zu befürchten ist das per Design hier die TTL mit 1 festgelegt ist.
Generell sind diese Multicast Adressen aber laut RFC routebar (TTL>1, siehe zur Thematik auch HIER) wie es ja oben für den "Organizational Block" beschrieben ist die per PIM Routing auch über Segmentgrenzen geroutet werden können oder mit dem Multicast Proxy Package Plugin der pfSense in andere Segmente übertragen werden können.
Leider hast du es versäumt eins der SSDP Pakete für diese Multicast Adresse einmal im detailed View des Wireshark aufzuklappen um im UDP Header des SSDP Paketes einmal das TTL Setting zu sehen.
Nach Letzterem zu urteilen geht es vornehmlich um SSDP.
Man route keinen Broadcast von einem Subnetz in ein Anderes
So pauschal wurde das nie gesagt oder du hast das missverstanden. In den meisten segmentierten IP Netzen muss das z.B. zwingend sein mit z.B. DHCP Forwarding wenn sinnvollerweise ein zentraler DHCP Server betrieben wird. Es gibt noch weitere sinnvolle Broadcast Forwarding Gründe wie UDP 9 (WoL) usw...Wenn es also wirklich mDNS ist wäre AVAHI der Schlüssel zum Erfolg. Wenn es SSDP ist nicht, andere Baustelle.
Gretchenfrage hier ist nur ob es wirklich Broadcast oder Multicast ist was verwendet wird? Leider zeigt der Trace ja von jedem etwas an aber das Gros ist nun mal SSDP.
Das kann man letzlich nur an den Mac Adressen der Endgeräte erkennen die wir in dem o.a. Trace ja leider nicht sehen können um in der Lage zu sein das eindeutig zuzuordnen. Ebenso fehlt eine Erklärung welches Gerät zu welcher IP Adresse gehört.
Die 239.255.255.250 aus deinem Trace ist ja keine Broadcast Adresse wie du als guter Netzwerk Admin ja auch selber weisst.
Sie gehört zu SSDP und ist aus dem Block der Administrative Scoped Multicast Adressen die im RFC 2365 definiert sind.
Kapitel 6.1 ordnet dort die SSDP Multicast Adresse dem sog. "Local Scope" zu wo zu befürchten ist das per Design hier die TTL mit 1 festgelegt ist.
Generell sind diese Multicast Adressen aber laut RFC routebar (TTL>1, siehe zur Thematik auch HIER) wie es ja oben für den "Organizational Block" beschrieben ist die per PIM Routing auch über Segmentgrenzen geroutet werden können oder mit dem Multicast Proxy Package Plugin der pfSense in andere Segmente übertragen werden können.
Leider hast du es versäumt eins der SSDP Pakete für diese Multicast Adresse einmal im detailed View des Wireshark aufzuklappen um im UDP Header des SSDP Paketes einmal das TTL Setting zu sehen.
Sieht gut aus! Time to Live = 4 und damit routebar! 👍 😉
Wenn du die Zeile 6 im ersten Screenshot meinst ist das ein ganz stinknormales ARP Paket weil der Adapter die Mac Adresse seines Gegenüber zur IP Adresse herausbekommen muss um überhaupt mit ihm kommunizieren zu können. Kommunikation von Endgeräten im L2 Ethernet basiert bekanntlich nur auf Mac Adressen.
https://de.wikipedia.org/wiki/Address_Resolution_Protocol
Wie kommst du jetzt auf ein Factory Reset??
ist die Anfrage nach dem FactoryReset in der Zeile 6.
Du sprichst in Rätseln? 🤔Wenn du die Zeile 6 im ersten Screenshot meinst ist das ein ganz stinknormales ARP Paket weil der Adapter die Mac Adresse seines Gegenüber zur IP Adresse herausbekommen muss um überhaupt mit ihm kommunizieren zu können. Kommunikation von Endgeräten im L2 Ethernet basiert bekanntlich nur auf Mac Adressen.
https://de.wikipedia.org/wiki/Address_Resolution_Protocol
Wie kommst du jetzt auf ein Factory Reset??
Die kann das Gerät nach dem Reset gar nicht kennen.
Muss sie aber irgendwie. Denn wie sollte sie sonst ein ARP für diese IP losschicken können?!
Hallo @aqui,
meinst du mit
Dann wird DHCP-Broadcast aber nicht geroutet sondern als Unicast an den DHCP-Server weitergeleitet.
Jürgen
meinst du mit
DHCP Forwarding
ein DHCP-Relay im Router bzw. L3-Switch?Dann wird DHCP-Broadcast aber nicht geroutet sondern als Unicast an den DHCP-Server weitergeleitet.
Jürgen
meinst du mit DHCP Forwarding ein DHCP-Relay im Router bzw. L3-Switch?
Du hast natürlich Recht. Der Vergleich hinkt technisch etwas aber letztlich bringt er diesen relevanten Traffic so in andere IP Segmente.Also ein anderes Gerät zu dem der Connector jetzt noch gar keinen Kontakt haben kann
Das mag sein aber wenn der Connector oder auch die Geräte mDNS oder SSDP Multicasts versenden (im gleichen Segment) dann machen sie sich ja IPtechnisch automatisch bekannt.Das wird dann nur unterbunden wenn man sie segmentiert und die Multicasts dann nicht greifen.
Zählt beim V-Lan der Schritt über einen Switch als Routing im Sinne vom TTL
Oha, die Frage zeugt eher von gravierenden Wissenlücken im Layer 2 und Layer 3.VLAN ist immer ausschliesslich Layer 2, weiss also nichts von IP Adressen, TCP/UDP und TTL usw. WO hast du den TTL Counter im Wireshark oben gefunden?? Richtig im UDP Header! Und...UDP ist welcher Layer?
Du kannst deine Frage nun ganz sicher selber beantworten, oder?! 😉
Der sagt wiederum aus, dass Layer 2 bis zu 1024
Was für ein Blödsinn doch so im Internet steht wenn der Tag lang ist...Sieht dir besser mal die offizielle 802.1q Spezifikation an:
https://de.wikipedia.org/wiki/IEEE_802.1Q
Man achte auch darauf in welchem Header das .1q Feld steht! 😉
Die VLAN ID im .1q Header hat qua definitionem 12 Bit = 2 hoch 12 = 4096 mögliche VLANs.
L3 VLANs sind immer ein Subset in einem L2 VLAN.
Fazit:
Halte dich an die offizellen RFC's und nicht den Unsinn von Computer Blöd oder Woche.
weiß was das OSI-Modell darstellt
Ist nur leider so, dass der TCP/IP-Protokollstack nicht nach OSI strukturiert ist.
Lies das mal:
https://de.wikipedia.org/wiki/Datenframe
Besonders IEEE802.1Q-Tag
Jürgen