geforce28
Goto Top

Lancom Inter-VLAN-Routing (Absendeadresse)

Hallo Leute,

ich habe ein kleines Problem und weiß gar nicht wo ich anfangen soll...
Ich hoffe hier gibt es ein paar Lancom-Experten, die mir weiterhelfen können.


Kurz zur Vorgeschichte...
Ich habe verschiedene VLAN's, u.a. ein Multimedia VLAN, in dem diverse Bose Soundtouch Lautsprecher, Logitech Harmony und sonstige Multimedia Geräte hängen...
Ich greife über ein anderes Netz (VLAN) dann auf das Multimedia VLAN zu.

Das Routing / Firewall von einem Netz in das andere ist mit dem LANCOM über eine simple Firewall-Regel gelöst die besagt:
Netz A darf auf Netz B zugreifen.

Das hat auch alles bis vor ein paar Tagen hervorragend geklappt, bis Bose auf die Idee kam eine neue Firmware herauszubringen, die u.a. unterbindet von einem anderen Subnetz auf die Lautsprecher zuzugreifen. Zugriff nur noch vom gleichen Subnet möglich...
(s. auch: "https://community.bose.com/t5/SoundTouch-Speakers/SoundTouch-300-app-connection-issue-after-update-to-19-x/td-p/127886")


Um das "Problem" zu lösen dachte ich an NAT oder IP-Masquerading, da der Router ja dann einfach seine IP-Adresse in dem jeweiligen Netz als Absende-IP nutzen kann.

Hat jemand eine Ahnung, wie ich das ganze auf dem Lancom Gerät einrichte ?...
Installiert ist LCOS 10.12 RU6.


Viele Grüße & schon mal vielen Dank im Voraus für eure Mühe und Hilfe !

Content-ID: 378980

Url: https://administrator.de/forum/lancom-inter-vlan-routing-absendeadresse-378980.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

aqui
aqui 03.07.2018 um 19:52:36 Uhr
Goto Top
die u.a. unterbindet von einem anderen Subnetz auf die Lautsprecher zuzugreifen. Zugriff nur noch vom gleichen Subnet möglich...
Nein, das ist vermutlich deinem technischen Unwissen geschuldet. Natürlich wird das nicht technisch unterbunden, das ist ja gar nicht möglich.
Bose nutzt vermutlich wie Sonos mDNS um die Boxen im lokalen Subnetz bekannt zu machen:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
mDNS nutzt, wie jeder Netzwerker weiss, einen Link Local Multicast Gruppenadresse. Link Local bedeutet das deren TTL fest auf 1 gesetzt ist und diese Pakete damit nicht routebar sind.
So kommt es das mDNS (Bonjour) Anouncements im Netz immer nur im lokalen Subnetz zu sehen sind.
NAT usw. ist deshalb auch Unsinn zur Problemlösung wie du ja selber schon gesehen hast. Statt denken mal "nachdenken" face-wink
Wenn du dir nur mal die geringe Mühe gemacht hättest und dir das mit einem Wireshark Paket Sniffer angesehen hättest, dann hättest du dir diese (falsche) Aussage vermutlich sparen können. face-sad

Die Lösung ist aber kinderleicht. Viele Router supporten einen sog. Bonjour Proxy mit dem man dann die mDNS Resourcen auch in anderen Subnetzen anouncen kann und schon funltioniert wieder alles.
Ob der Lancom das auch kann sagt dir sein Datenblatt.
Wenn er das nicht kann hilft dir immer noch ein Raspberry Pi Zero für 10 Euro den du auch als Bonjour Proxy nutzen kannst:
Netzwerk Management Server mit Raspberry Pi
Fazit:
Einfach mal mit dem Kabelhai nachsehen was so los ist im Netz und dann die Lösung angehen face-wink
Das Tool ist kostenlos !
geforce28
geforce28 03.07.2018 aktualisiert um 20:07:28 Uhr
Goto Top
Hallo aqui,

wie gesagt lief es bis vor dem Update der Bose Lautsprecher und es geht nichtmal mehr ein ping durch auf die Bose Lautsprecher von dem anderen Netz.
(Die Firewall Regeln funktionieren, bitte keine weiteren Floskeln über ein möglicherweise technisches Unwissen)

Ich habe bereits ein MDNS/Bonjour Proxy laufen... Damit funktioniert auch Harmony, Apple AirPlay usw..
(Und vor dem Update der Bose Firmware auf den Boxen auch die Bose Boxen)...

Ich habe bei Bose nachgefragt und es ist technisch explizit so gelöst worden, dass nur noch auf die Lautsprecher aus dem selben Subnetz zugegriffen werden kann. (Den Sinn oder Unsinn dahinter lassen wir jetzt einfach mal unkommentiert)

Daher bitte ich, doch bitte auf meine Frage einzugehen, wie ich das am besten lösen kann, dass der Lancom Router das ganze so routet, dass er als Absendeadresse an das Multimedia Netz seine IP-Adresse nutzt.


Und ja in diesem Bereich (IP-Masq. / NAT) habe ich nicht so viel Wissen, weshalb ich meine Frage ja hier stelle, welch' Schande ;)
Vielleicht könnt ihr mir ja doch noch helfen...

Vielen Dank im Voraus schon mal.
Pjordorf
Pjordorf 03.07.2018 um 21:36:41 Uhr
Goto Top
Hallo aqui,

Zitat von @aqui:
Bose nutzt vermutlich wie Sonos mDNS um die Boxen im lokalen Subnetz bekannt zu machen:
Darüber schweigt sich Bose aber aus. Und diesen Antwort vom Bose Moderator sagt einiges aus, je nach wie man es liest und Interpretiert.
I've heard back from the software team.  There are no rules available to make inter-VLAN communication work, as this is not an intended function of SoundTouch.  This was fixed with the latest 19.X update.
Einfach mal mit dem Kabelhai nachsehen was so los ist im Netz und dann die Lösung angehen face-wink
Ist wohl das Beste face-smile

Gruß,
Peter
geforce28
geforce28 03.07.2018 aktualisiert um 21:43:08 Uhr
Goto Top
Ich ärgere mich gerade darüber die Story mit den Bose Soundtouch Lautsprechern überhaupt erwähnt zu haben...

Könnt ihr mir nicht bitte helfen den Lancom so zu konfigurieren, wie oben geschildert ?... face-sad

Kabelhai wird nicht viel nutzen.
Wie gesagt der Bose Speaker ist nicht mal per ping erreichbar aus einem anderen Netz, was vor dem Firmware Update ohne Probleme funktionierte.

Die Lösung kann nur über den o.g. Weg funktionieren oder man packt die Bose + den Client in ein Netz, was ich aber vermeiden möchte!
em-pie
em-pie 03.07.2018 um 22:07:59 Uhr
Goto Top
Zitat von @geforce28:

Ich ärgere mich gerade darüber die Story mit den Bose Soundtouch Lautsprechern überhaupt erwähnt zu haben...
Nee, nicht drüber ärgern. Das ist ja per se keine unwichtige Info, die man mit verwerten kann/ muss für einen etwaigen Workaround.

Könnt ihr mir nicht bitte helfen den Lancom so zu konfigurieren, wie oben geschildert ?... face-sad
Setzt ja voraus, dass man das mit dem Lancom kann.


Kabelhai wird nicht viel nutzen.
Wie gesagt der Bose Speaker ist nicht mal per ping erreichbar aus einem anderen Netz, was vor dem Firmware Update ohne Probleme funktionierte.
Klingt wie eine integrierte Firewall....
per se eine gute Idee, im erweiterten Heimumfeld aber eher hinderlich, wie man sieht.

Die Lösung kann nur über den o.g. Weg funktionieren oder man packt die Bose + den Client in ein Netz, was ich aber vermeiden möchte!
Willst du deinen Proxy (was anderes suchst du ja nicht) denn zwingend mit den Lancom realisieren, oder täte es auch eine dritte Komponente (RPi) die das übernimmt?

Gruß
em-pie
geforce28
geforce28 04.07.2018 um 08:51:02 Uhr
Goto Top
Moin ;) !

Also da der Lancom IP-Masquerading + NAT kann, gehe ich davon aus, dass das irgendwie möglich ist, nur wüsste ich gern, wie.. .!?

Eine dritte Komponente wäre klar eine Option, allerdings möchte ich nicht das Gateway bei den Clients verändern oder einen Proxy eintragen...
Daher wäre, meiner Ansicht nach, die Lösung schon per Lancom zu entwickeln.. .!

Haben wir denn hier keine Lancom Spezi's, die das mal eben "aus der Hüfte raus" erklären können, wie das bei Lancom funktionieren kann ?
Pjordorf
Pjordorf 04.07.2018 um 11:39:04 Uhr
Goto Top
Hallo,

Zitat von @geforce28:
Ich ärgere mich gerade darüber die Story mit den Bose Soundtouch Lautsprechern überhaupt erwähnt zu haben...
Das ist aber nicht unwichtig und schon korrekt. Nur, die wenigsten hier nutzen auch Bose Lautschprecher und haben VLANs.

Könnt ihr mir nicht bitte helfen den Lancom so zu konfigurieren, wie oben geschildert ?... face-sad
Nun, wie ist denn deine jetzige Konfiguration deines Lancoms? Modell? usw. usw.

Kabelhai wird nicht viel nutzen.
Er soll nicht dein Problem lösen sondern dir aufzeigen wo es hängt.

Wie gesagt der Bose Speaker ist nicht mal per ping erreichbar aus einem anderen Netz
Kommt denn eine ICMP Anfrage an den Bose Lautsprechern an? Wohin geht die Antwort - wenn der überhaupt antwortet?

was vor dem Firmware Update ohne Probleme funktionierte.
Aber jetzt eben nicht mehr geht...

Die Lösung kann nur über den o.g. Weg funktionieren oder man packt die Bose + den Client in ein Netz, was ich aber vermeiden möchte!
Und was hat Bose sich gedacht wie es in dein Szenario gehandthabt werden soll? Oder besteht Bose darauf das du nur ein Netz nutzt? Und dann noch die Einwände/Anleitungen von aqui wie mDNS usw. Nutzt Bose diese? Also ein Wireshark sagt es dir...

Gruß,
Peter
geforce28
geforce28 04.07.2018 aktualisiert um 14:03:11 Uhr
Goto Top
Leute !!! face-sad

Wieso kann nicht einfach mal auf meine Frage geantwortet werden... ?
Wieso immer diese Abschweifungen, die wirklich zu überhaupt nichts führen und echt nur Zeit kosten.
Ich habe meine Frage doch ganz klar definiert oder ?:
Wie ist es möglich, dass ich mit dem Lancom per NAT / IP Masq. oder sonstwie die IP-Pakete vom Client so verändere, dass die Absendeadresse die Adresse des Routers (Lancom) ist.. ? (Und die "Antworten" von der Bose dann auch wieder durch den Router (Lancom) an den richtigen Client gesendet werden, der ja in einem anderen Netz hängt.. )

Ich habe das alles schon durchanalysiert, auch mit Wireshark.
Bose macht genau wie Sonos auch MDNS.

Bose scheint nur, wie @em-pie schon gesagt hat, eine Art Firewall in deren neue Software eingebaut zu haben, die nur Anfragen aus dem selben Netz zulässt.
Bose sagt dazu: "Wir supporten keine unterschiedlichen Netze und können (wollen) deshalb auch nicht helfen."
Über den o.g. Umweg der Modifikation des Absende-IP wäre das Problem aber gelöst.

Lancom Gerät ist ein 7100+ mit LCOS 10.12 RU6.

Gruß
geforce28

EDIT:
Man müsste quasi das einzelne VLAN als eine Gegenstelle im Lancom abgebildet bekommen.
Dann könnte man in der Routing Tabelle ja das IP-Masquerading aktivieren...
aqui
aqui 04.07.2018 um 19:03:23 Uhr
Goto Top
Dann kommst du um einen AVAHI Proxy nicht drum rum.
Die MDNS Pakete lassen sich per se nicht routen. Ob mit oder ohne NAT spielt dann da keinerlei Rolle da NAT ja nur rein die Absender IP ändert, was ja dein Problem nicht löst...
Mit Anfragen aus demselben Netz und Firewall Vermutungen ist technischer Unsinn und Raterei wie oben schon gesagt.
Die Multicast Gruppe die mDNS verwendet ist eine Link Local Gruppe, geht also immer nur in dem Netz.
Du musst mit dem Proxy einfach den Dienst in den anderen IP Subnetzen auch per mDNS announcen mit der IP wo die Geräte liegen.
Damit kennen dann die Clients in den anderen netzen die Ziel IP, kontaktieren diese via Router und Tatdaaa schon tönt die Musik.
geforce28
geforce28 04.07.2018 aktualisiert um 19:25:10 Uhr
Goto Top
Hallo @aqui,

also ich habe bereits ein AVAHI Proxy, hatte ich vorher auch schon und bis vor dem Firmware Update hat auch alles funktioniert, bis Bose dieses unsinnige Sicherheitsfeature eingebaut hat... !!
(Debian VM, die in beiden Netzen hängt mit "avahi-daemon, avahi-discover, libnss-mdns")
in der Config: "/etc/avahi/avahi-daemon.conf":
enable-reflector=yes


Und es sind hier keine Vermutungen, wie oft soll ich das noch sagen:
1) Ich habe bei Bose nachgefragt und diese Aussage offiziell bekommen !
2) Es geht ein Ping auf die IP von der Bose nur wenn ich im selben (Sub)Netz hänge.

Dass der AVAHI Proxy zusätzlich zu meinem NAT Vorhaben benötigt wird, ist mir klar, das NAT brauche ich eben nur um die Box überhaupt von einem anderen Netz aus zu erreichen und da geht es nicht um Multicast Pakete !

Also, ich weiß nicht, wie oft ich noch meine Frage wiederholen muss...
Wie ist es möglich, dass ich mit dem Lancom per NAT / IP Masq. oder sonstwie die IP-Pakete vom Client so verändere, dass die Absendeadresse die Adresse des Routers (Lancom) ist.. ? (Und die "Antworten" von der Bose dann auch wieder durch den Router (Lancom) an den richtigen Client gesendet werden, der ja in einem anderen Netz hängt.. )
geforce28
geforce28 11.07.2018 um 13:05:55 Uhr
Goto Top
Bin leider immer noch nicht weiter, aber hier die Offizielle Info von Bose zu diesem "Feature Update":
Bose schreibt in den Update Release Notes:
Restrictions on cross-subnet control of SoundTouch devices

Quelle:
https://community.bose.com/t5/SoundTouch-Speakers/Updated-6-27-SoundTouc ...
aqui
aqui 11.07.2018 aktualisiert um 19:37:05 Uhr
Goto Top
Steht aber irgendwie albsolut nix drin was uns hier weiterbringen würde. Das ist nur Marketing Bla.
Zu deiner wiederholten Frage:
Um die Absenderadresse als die des Lancom zu faken, machst du natürlich simples NAT auf dem Port der nach draußen geht.
Damit wird ja die Absender IP durch die des Lancom ersetzt.
Letztlich genau das gleiche Prinzip was man am WAN Port ins Internet macht.
geforce28
geforce28 25.11.2018 aktualisiert um 15:08:16 Uhr
Goto Top
So lange ists her, aber ich habe es nun gelöst.

Also für alle, die es interessiert hier ein paar Details.
Es ist genau so, wie ich vermutet habe, nämlich dass die Bose Geräte nur Anfragen annehmen von Geräten aus dem selben Netz.
Eine Maskierung (NAT) über meinen Lancom Router hat also zum Erfolg geführt.

Zusätzlich dazu ist natürlich noch ein Bonjour Proxy erforderlich, damit die MDNS Pakete vom Netz der Bose Geräte auch in das andere VLAN transportiert werden. (Dies ist nur für die Discovery notwendig)


Zur Einrichtung des NAT ist es bei Lancom aktuell leider etwas kompliziert zu lösen, da Lancom es aktuell nicht unterstützt per Lan Interface in ein anderes VLAN zu maskieren.
Dies geht nur mittels WAN Interface.
Ich habe also eine weitere ETH-Schnittstelle des Lancom Routers mit dem VLAN der Bose Geräte untagged belegt und dies per IPOE (also WAN) Schnittstelle im Lancom abgebildet.

Route eingetragen, und Maskierung aktiviert, Firewall regel erstellt und es läuft face-smile !
aqui
aqui 26.11.2018 aktualisiert um 14:29:41 Uhr
Goto Top
Glückwunsch ! face-smile

Bitte dann auch:
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !