MDNS über mehrere VLANs CISCO und pfsense

Hello : )

Ich habe ne pfSense 2.5.2 mit mehreren VLANs', einen CISCO SG300 (L3 Mode).

Würde gerne von meinem iPhone in HOMEKIT = WLAN (VLAN200), auf mein Server (Proxmox:VM:ioBroker/YAHKA) in IOT (VLAN40) zugreifen.

Ich habe jetzt Avahi Konfiguriert, und mal auf beiden Netzen eine Allow All Scheunentor Regel erstellt... = Funktioniert nicht
Am Switch hab ich jetzt sachen angeklickt die ich nichtmal ansatzweise verstehe. Nicht das Gelbe vom EI :/ = Funktioniert nicht, verwirrt (ich)

Muss man am SG300 etwas einstellen oder reicht es aus Avahi zu installieren und die Regeln zu erstellen?

Anm. Ich habe mit einem iOS APP den Bonjour Service mal Scannen lassen.... Da findet er die Homekit-Bridge.

Content-Key: 1382857583

Url: https://administrator.de/contentid/1382857583

Ausgedruckt am: 26.10.2021 um 18:10 Uhr

Mitglied: aqui
aqui 13.10.2021 aktualisiert um 11:58:41 Uhr
Goto Top
Am Switch hab ich jetzt sachen angeklickt die ich nichtmal ansatzweise verstehe.
Welche denn ?? Mit solch oberflächlichen Angaben ist eine zielführende Hilfe nicht oder nur schwer möglich wie du dir sicher auch selber denken kannst. :-( face-sad

Die grundsätzliche Frage ist WIE kommuniziert die Homekit App mit dem Server ?? Dazu machst du leider keinerlei Aussagen welche aber essentiell wichtig für das Regelwerk der Firewall sind.
Gut, wenn es mDNS/Bonjour ist um sich überhaupt erstmal zu finden benötigst du im Client VLAN (iPhone) einen mDNS/Bonjour Proxy.
Grund dafür ist das mDNS/Bonjour Protokoll eine Link Local Mutlicast Adresse 224.0.0.251 benutzt wird, welche Prinzip bedingt fest einen TTL von 1 hat, also somit nicht routebar sind. (Deshalb ja auch "Link LOCAL Multicast"). Siehe dazu auch: https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Du musst den Server also mit einem Proxy im Client Netz mit einem AVAHI Proxy announcen weil eben die mDNS Frames des Servers dort aus den o.a. Gründen nicht ankommen können.
Die Kardinalsfrage die sich jetzt stellt ist WAS ist genau gemeint wenn du sagst: "Ich habe jetzt Avahi Konfiguriert" ??
WIE und WO hast du das konfiguriert ??
Normal ist dafür ein Proxy notwendig wie z.B. das AVAHI Package der pfSense: https://docs.netgate.com/pfsense/en/latest/packages/avahi.html oder ein externer Proxy mit einem Raspberry Pi.
https://administrator.de/tutorial/netzwerk-management-server-mit-raspber ...
Hier können wir jetzt nur im freien Fall raten oder die Kristallkugel nehmen WAS du WIE umgesetzt hast ?? Dazu reichen die wenigen Angaben deiner recht einfachen Beschreibung nicht.
Vermutlich hast du dort einen Konfig oder Setup Fehler gemacht. Aber auch das kann man ohne weitere Infos nur raten oder mutmaßen. :-( face-sad
Mitglied: hell.wien
hell.wien 14.10.2021 um 00:42:45 Uhr
Goto Top
Bilder sagen mehr als Tausend Worte
ioBroker ist eine "Mittleware" wo ein Adapter läuft der YAHKA heißt.

firefox_onyxgyvjgq
firefox_c9gl0ugqsv
firefox_fr8pu14m0t
bltaxgqs4y
firefox_mx4ggbzvpi
firefox_kayowawfs5
firefox_g5nsswlqmm
firefox_1pj6jt6iy8
Mitglied: aqui
aqui 14.10.2021 aktualisiert um 09:29:30 Uhr
Goto Top
Deine IGMP Snooping Konfig ist fehlerhaft bzw. unvollständig !
Sinnvoll ist IGMP Snooping global für alle VLANs zu aktivieren. Es macht doch wenig Sinn das in einem VLAN zu aktivieren und in allen anderen nicht und dort dummes Fluten auf alle Ports laufen zu lassen.
Vielleicht solltest du besser noch einmal nachlesen was IGMP Snooping ist und was es macht:
https://en.wikipedia.org/wiki/IGMP_snooping
Es dient zur intelligenten Steuerung von Multicast in einem Layer 2 Switching Netz. Es sorgt dafür das Multicast nur an solche Ports geforwardet wird wo es auch genutzt wird. Es spart also Performance auf einem Switch da er nicht mehr MC Frames an alle Ports zwangsfluten muss weil das häufig in Software über die CPU passiert.
IGMP Snooping hat aber rein gar nichts mit Multicast Routing zu tun. Das macht PIM: https://de.wikipedia.org/wiki/Protocol_Independent_Multicast
In sofern ist IGMP Snooping für dich primär irrelevant, denn eigentlich musst du ja Multicast routen in andere IP Netze.
Wie oben schon mehrfach ausgeführt scheitert das aber mit mDNS/Bonjour weil die eine NICHT routebare Multicast Adresse nutzen mit einem TTL von 1. Also auch wenn man routen könnte oder würde können die mDNS Frames technisch niemals andere IP Netze erreichen.
https://www.omnisecu.com/tcpip/ipv4-link-local-multicast-addresses.php

Da hilft dann logischerweise IGMP Snooping und auch die richtigen Firewall Regeln kein bisschen. Hier liegt vermutlich dein fataler Denkfehler ?!
Wenn du einmal einen Wireshark oder nur die Packet Sniffing Funktion auf der FW genutzt hättest, hättest du es auch selber sehen können.

Um mDNS/Bonjour also in einem anderen IP Segment laufen zu lassen benötigst du dort einen Proxy also ein Gerät was quasi die Server mDNS Frames in diesem Segment aussendet wo eben der Server nicht ist und seine mDNS Frames eben auch wegen der obigen Bedingungen nicht hinkommen können. Es gilt also dann dortigen Endgeräten vorzugaukeln das dort der Server ist. In dessen MC mDNS Frame steht ja seine wirkliche, physische IP Adresse und die ist relevant für die Clients um ihn zu erreichen aus fremden IP Netzen.
Sprich du musst also nur schlicht und einfach dafür sorgen das die "Fake" Server mDNS Multicasts auch in deinem Client Segment ausgesendet werden.
Genau das machst du mit dem AVAHI Server Packet indem du das on Top über die Packetverwaltung der pfSense installierst und entsprechend customized.
Alternativ mit einem Raspberry Pi usw. der das im Client Segment übernimmt mit seinem AVAHI Server und entsprechender Konfig. Siehe Link zum Raspberry Tutorial oben. Eigentlich doch ganz einfache Logik ! ;-) face-wink
Nur so wird ein Schuh draus !
Mitglied: hell.wien
hell.wien 14.10.2021 um 15:21:42 Uhr
Goto Top
Ok also IGMP kann ich wieder deaktivieren.
Und was sagst du zur Avahi Config (oben?)
Mitglied: aqui
aqui 14.10.2021 um 18:24:09 Uhr
Goto Top
Ok also IGMP kann ich wieder deaktivieren.
Solltest du nicht tun, denn es verbessert generell die Multicast Performance im Netz. Es macht nur wenig Sinn es nur für ein einziges Netz zu aktivieren. Sinnvoll ist logischerweise es fü ALLE Netze/VLANs zu aktivieren ! Erklärung siehe oben... ;-) face-wink
Mitglied: hell.wien
hell.wien 14.10.2021 aktualisiert um 23:54:13 Uhr
Goto Top
OK werd mich mal einlesen wie ich das am SG300 richtig einstelle :) face-smile
BTW: AVAHI so wie oben Konfiguriert.
WLAN= ALLOW ANY TO ANY
SMARTHOME= ALLOW ANY TO ANY
und geht nicht.

Wenn ich Avahi mit der Config von oben Starte, finde ich mit einer ios Netzwerk App (HE.net) den Server...
Wenn Avahi = OFF, finde ich in der "Scan App" nicht mehr. (logisch eigentlich?!)
Aber mit der Apple iOS "Home" App finde ich den Server nicht.
Also sollte eigentlich die Home App einen fehler haben? Fragen über fragen :/

pfTop: 192.168.40.0 (SMARTHOME) 192.168.200.0 (WLAN)
firefox_h6zglqjufu
Anmerkung: Hab eine NUKI Bridge im WLAN Netz. Die findet er sofort.
image0.
firefox_xwl1our1d8


ohne Avahi:
image2.
mit Avahi:
image1.
Mitglied: aqui
aqui 15.10.2021 um 09:19:32 Uhr
Goto Top
und geht nicht.
Du müsstest dir mit dem Wireshark oder der Pakte Capture Funktion auf der FW einmal genau ansehen WAS der Server announced. Dort sind bestimmte Dienstemerkmale und andere Parameter im mDNS Frame zu sehen.
Zu 98% fehlt da was in deinem AVAHI Setup so das dort zwar ein Multicast kommt, der Inhalt aber fehlerhaft oder unvollständig ist so das der Client den Dienst nicht erkennt.
Ein Wireshark Trace einmal des originalen Multicasts des Servers und einmal dem den der AVAHI sendet sollte da sofort Klarheit schaffen !
Mitglied: hell.wien
hell.wien 15.10.2021 um 13:27:08 Uhr
Goto Top
Ich weiß halt nicht was es bringen soll, die Einstellmöglichkeiten von Avahi auf der pfSense sind sehr bescheiden?

Und mit Wireshark kann ich leider nicht umgehen 😞

Ich werde mal ein WLAN in dem VLAN erstellen, um es einzugrenzen.
Mitglied: hell.wien
hell.wien 16.10.2021 um 01:12:11 Uhr
Goto Top
Hab jetzt alles probiert... DIE LÖSUNG!!! xD
Ich habe die MAC Adresse in den Adapter(YAHKA) Optionen geändert.. Und war in der Sekunde da
Mitglied: aqui
aqui 16.10.2021 um 11:03:02 Uhr
Goto Top
Und mit Wireshark kann ich leider nicht umgehen
Na komm... Einschalten, mitlesen, fertisch. Mehr ist doch nicht zu tun. Daran wirds doch bei dir sicher nicht scheitern, oder ? ;-) face-wink
Die "Mac Adress Lösung" klingt verwunderlich aber egal...wenns damit klappt ist ja alles perfekt ! 👏

Dann bleibt ja nur noch den Case als gelöst zu markieren !!
https://administrator.de/faq/32
Mitglied: hell.wien
hell.wien 21.10.2021 um 19:53:02 Uhr
Goto Top
Zitat von @aqui:

Und mit Wireshark kann ich leider nicht umgehen
Na komm... Einschalten, mitlesen, fertisch. Mehr ist doch nicht zu tun. Daran wirds doch bei dir sicher nicht scheitern, oder ? ;-) face-wink
Das ist kein Problem, nur das ganze verstehen :D
Die "Mac Adress Lösung" klingt verwunderlich aber egal...wenns damit klappt ist ja alles perfekt ! 👏

Dachte ich mir auch, dürfte aber ein Bug in diesem Adapter sein (Zufällig im Internet gelesen)
Dann bleibt ja nur noch den Case als gelöst zu markieren !!
https://administrator.de/faq/32

Endlich läuft das richtig :) face-smile Danke nochmal!

re: Ich versuche gerade das ganze mit meinem WireGuard Interface zu Verbinden. So das ich von unterwegs auf mittels mDNS auf mein Server komme. (Homekit) Geht das Prinzipiell?
Mitglied: aqui
aqui 21.10.2021 um 20:14:30 Uhr
Goto Top
Das ist kein Problem, nur das ganze verstehen
Mmmhhh...Absender IP Adresse lesen um zu verstehen WOHER es kommt, Zieladresse lesen WOHIN es geht, Port lesen WAS es ist....
3 banale Dinge die einen doch nicht groß intellektuell überfordern sollten, oder ?! 😉
dürfte aber ein Bug in diesem Adapter sein
Manchmal muss man auch einfach mal Glück haben...
Endlich läuft das richtig
👍
Geht das Prinzipiell?
Ja, vollkommen problemos. Guckst du hier: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...
Aber auch das hier beachten: https://administrator.de/knowledge/pfsense-2-5-2-wireguard-package-und-d ...
Mitglied: hell.wien
hell.wien 21.10.2021 um 21:31:49 Uhr
Goto Top
Zitat von @aqui:

Das ist kein Problem, nur das ganze verstehen
Mmmhhh...Absender IP Adresse lesen um zu verstehen WOHER es kommt, Zieladresse lesen WOHIN es geht, Port lesen WAS es ist....
3 banale Dinge die einen doch nicht groß intellektuell überfordern sollten, oder ?! 😉
das geht noch nur das rundherum xD
dürfte aber ein Bug in diesem Adapter sein
Manchmal muss man auch einfach mal Glück haben...
nach 4 Nächten Suchen , verdient! :D
Endlich läuft das richtig
👍
Geht das Prinzipiell?
Ja, vollkommen problemos. Guckst du hier: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...
Aber auch das hier beachten: https://administrator.de/knowledge/pfsense-2-5-2-wireguard-package-und-d ...

Wenn also mein Wireguard Interface (GW) 10.10.10.1ist....
firefox_tqhke84ulm
Muss ich dort als Destination mein Netz angeben wo mein HomekitServer steht?
Obwohl ich es jetzt schon Pingen kann?
Mitglied: aqui
aqui 22.10.2021 um 09:48:32 Uhr
Goto Top
Obwohl ich es jetzt schon Pingen kann?
Nein, wenn du alles pingen kannst dann natürlich nicht, das wäre doppelt gemoppelter Unsinn. Wenn du IP Connectivity hast musst du natürlich nix mehr machen !
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server10 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Speicherkarten (SD) im Netzwerk verfügbar machen (NAS) gelöst mathuVor 1 TagFrageSpeicherkarten7 Kommentare

Guten Morgen liebe Gemeinde :-) Ich habe eine Frage zu NAS Speichersystemen mit Speicherkartenkunktion. Bisher haben wir die folgenden Geräte von Synology (EDS14) genutzt. Diese ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...