Multicast über Mikrotik WLAN - LAN Bridge reichen

Mitglied: Solero

Solero (Level 1) - Jetzt verbinden

04.05.2021, aktualisiert 06.05.2021, 366 Aufrufe, 6 Kommentare

Lösung: Ich hatte nur eine FW-Regel zu fest gezogen und damit jeglichen nicht-unicast traffic geblockt.
__________________________________

Hallo zusammen,

in meinem Setup versuche ich Multicast Traffic innerhalb desselben VLANs zwischen LAN und WLAN zu tauschen.

Ich habe seit mehreren Jahren ein Heimnetz auf Mikrotik-Basis mit einem Mikrotik Router und mehreren CAP, die ich per CAPsMAN steuere, der auf dem MT läuft. Das Netz ist in mehrere /24er VLANs segmentiert, die auf einer einzigen Bridge liegen. Mittels CatchAll Firewall-Regeln blocke ich alles und erlaube dann gezielt gewünschten Traffic zwischen den Netzen, bspw. vom User-VLAN in das NAS-VLAN.

Meine neue Yamaha Soundbar unterstützt Multicast für Multiroom über Kabel und WLAN. Aktuell habe ich als Gegenstück nur ein Handy zum Testen, ob Multicast Traffic wie gewünscht fließt. Ich möchte die Soundbar gerne per Kabel in das Heimnetz einbinden. Hierfür habe ich ein neues VLAN ID=41 geschaffen, das auf einem physischen untagged Port des MT liegt und auch ein eigenes WLAN im selben VLAN konfiguriert. Folgendes kann ich nun beobachten

  • Soundbar im WLAN des MT und Handy im WLAN des MT → Das Handy sieht die Soundbar → Multicast scheint zu klappen
  • Soundbar im LAN einer FritzBox und Handy im WLAN derselben FritzBox → Das Handy sieht die Soundbar → Multicast scheint zu klappen
  • Soundbar im LAN des MT und Handy im WLAN des MT → Das Handy sieht die Soundbar nicht, obwohl sie im selben Subnetz sind und ich die Soundbar anpingen kann.

Irgendwie scheint es das Multicast nicht über die Bridge zu schaffen. Auf der Bridge ist IGMP Snooping aktiviert. Multicast-Helper auf dem CAP Interface macht keinen Unterschied.

Kann mir jemand helfen, wo hier mein Denkfehler ist, bzw. was ich übersehe?

Viele Grüße
Solero
Mitglied: aqui
04.05.2021 um 09:25 Uhr
Ohne dein spezifisches MT Setup zu kennen ist natürlich alles Raten im freien Fall. Leider hast du hier keinerlei Angaben dazu gemacht was eine zielführende Hilfe nicht gerade einfach macht wie du dir sicher auch selber denken kannst.
Bist du ganz sicher das du ein Bridging machst zwischen den beiden Segmenten ? Das sieht eher nach Routing aus und ggf. einer Fehlkonfiguration des MT.
Interessant wäre mal zu wissen ob eine normale IP Kommunikation zw. MT Kupfer und WLAN Segment problemlos möglich ist ?
Ein schneller Multicast_Test mit VLC rennt übrigens vollkommen fehlerlos auf einem cAP hier in einem Bridging Setup mit der 6.48.2 Firmware.
Bitte warten ..
Mitglied: Solero
04.05.2021, aktualisiert um 18:46 Uhr
Danke für die super schnelle Rückmeldung. Ich hatte gedacht, dass evtl. jemand meinen Fehler schon kennt und direkt eine Antwort hat. Natürlich ist ein echtes Verständnis erst mit der Konfiguration möglich, die ich hier nachreiche.

Hier die Konfiguration des Routers:


Hier die Konfiguration des APs:

Nach meinem Verständnis habe ich wirklich alles gebridged. Ich habe keine Routen händisch angelegt und alles auf der von mir bLAN getauften Bridge liegen. Da es viel inter-VLAN Traffic gibt (und mir die Konfiguration etwas einfacher erscheint) habe ich dieses Setup gewählt. Das User-VLAN greift bspw. auf das service-VLAN mit dem NAS und die Oberfläche mit der Heimautomatisierung zu. Der Druckscanner im printer-VLAN darf dediziert auf einen Port einer IP im service-VLAN zugreifen, um Scans dort abzulegen, etc.
Die im CAPsMAN sichtbaren SSIDs des APs habe ich auf dieselbe Bridge gelegt, weswegen ich davon ausgehe, dass es sich wirklich um Bridging handelt.
Normaler unicast Traffic fliegt wie gewünscht durch das Netz. So kann ich bspw. vom Handy im audio-WLAN, dass im audio-VLAN liegt die Soundbar, die per Ethernet auch im audio-VLAN liegt zugreifen. Ich komme auch auf den Webserver der Soundbar vom Handy aus. Nur die Yamaha App, die auf den Multicast Traffic angewiesen ist, findet sie nicht.

Momentan bin ich leider an einer Stelle angekommen, an der ich nicht so richtig weiter weiß.
Bitte warten ..
Mitglied: aqui
04.05.2021, aktualisiert um 19:35 Uhr
Hier die Konfiguration des APs:
Wieso Konfig der APs wenn du mit CapsMan arbeitest. Da haben die APs keinerlei Konfig und ziehen alles vom CapsMan Manager. Die APs werden alle im Caps Mode gebootet !! Ggf. ist das der grundsätzliche Fehler den du machst ?! Siehe dazu auch hier.
Die Bridge ist nur bedingt Bridge im Sinne einer L2 Bridge sondern ein VLAN Switch. Dein Router agiert ja als VLAN Router.
Befürchtung ist also das die beiden WLAN Clients in unterschiedlichen IP Netzen liegen. Gut, das kannst du ja aber kinderleicht checken wenn die in der gleichen SSID eingebucht sind und auch IP Adressen aus dem gleichen IP Netz bekommen haben.
Dann sind sie auch wirklich Layer 2 technisch in der gleichen Broadcast Domain und sollten auch problemlos mit Multicast kommunizieren können.

Wie bereits gesagt. Zum Test wurde hier ein klassisches CapsMan WLAN verwendet identisch zu dieser Konfig:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-fuer-wlan-u- ...
Der o.a. Multicast Test über 15 Minuten gefahren ohne jegliche Aussetzer und auch mit schnellem Roaming.
Es liegt also de facto nicht an der Hardware an sich sondern sehr wahrscheinlich an einem Fehler in deinem Setup.
Grundlagen zum VLAN Setup auch hier:
https://administrator.de/tutorial/mikrotik-vlan-konfiguration-ab-routero ...
Bitte warten ..
Mitglied: Solero
04.05.2021 um 22:04 Uhr
Ich bin der Sache ein deutliches Stück näher gekommen. Ich kann jetzt den Multicast Traffic zulassen, aber damit erlaube ich mehr als mir lieb ist und deshalb wieder eine Frage.

Hintergrund
Ich habe alle VLAN und CAP Interfaces auf einer einzigen Bridge bLAN auf dem Router. Die Bridge hat alle Firewalls aktiviert (IP, IP for VLAN, IP for PPPOE (ja, unnötig, ich weiß)) und Allow Fast Path). In der Firewall gibt es nun zwei Catch all Regeln reject input und reject forward. Damit lege ich alles tot und erlaube dann selektiv wieder Traffic. Das klappt auch problemlos für inter-vlan Traffic und sieht als FW-Regel bspw. so aus:
Das ganz klappt jedoch nicht für Traffic, der zwar durch den Router läuft, aber innerhalb desselben VLANS bleibt. In diesem Fall ist sowohl In als auch Out Interface meine Bridge. Im Log sieht das so aus:
ethernet7 ist hierbei ein physischer Port am Router in dem die Soundbar steckt und ap1_audioSSID das CAP Interface in dem mein Handy eingebucht ist.

Setzte ich nun eine FW-Regel auf wie
so kommt der Multicast durch, gleichzeitig hätte ich aber auch den gesamten intra-vlan Traffic der durch den Router läuft erlaubt, was ich nicht möchte.

Gibt es hier nun eine Möglichkeit, wie ich selektiv Bridge Traffic nur innerhalb eines VLANS erlauben kann?

Bitte warten ..
Mitglied: aqui
LÖSUNG 05.05.2021 um 11:19 Uhr
Die Bridge IST doch das VLAN ! In sofern ist deine Frage etwas verwirrend. Innerhalb einer Layer 2 Boradcast Domain, sprich also eines VLANs, gibt es doch keinerlei Traffic Beschränkungen oder Filter. Die Kommunikation basiert dort immer rein auf Mac Adress Basis ohne irgendwelche Limits.
Die o.a. Frage ist also leider etwas irreführend. WAS genau meinst du damit ?
Bitte warten ..
Mitglied: Solero
06.05.2021 um 21:25 Uhr
Der Gedanke war es eine Art small-mans-port-isolation aka private vlan einzurichten. Das wäre aber wohl ein separater Thread.

Ich bin jetzt gerade froh, dass der Multicast Traffic wie gewünscht läuft und es nur an einer unüberlegten Firewall-Regel lag.
Danke für das Hinterfragen meiner Gedanken.

Solero
Bitte warten ..
Heiß diskutierte Inhalte
Hyper-V
Spricht was gegen die Virtualisierung mit Hyper-V?
bauinformatikerVor 1 TagFrageHyper-V32 Kommentare

Seit 10 Jahren betreiben mein Kollege und ich 2 Hosts mit ESXi. Nun sollen die neu beschafft und neu installiert werden. Bis auf einen ...

Grafikkarten & Monitore
Großeinkauf für Ultrawide Monitore - USB-C - RJ45 - Dockingstation Ersatz
GoldfuchsVor 1 TagFrageGrafikkarten & Monitore12 Kommentare

Grüße an die Community lang nicht mehr gehört ;) Ich bin auf der Suche nach Ultrawide Monitoren mit einer Mindestgröße von 34" und Maximalgröße ...

Off Topic
Vom IT-Systemelektroniker zurück zur "IT"
xsheynVor 1 TagFrageOff Topic8 Kommentare

Schönen guten Abend, vor einigen Wochen hatte ich schonmal einen Thread erstellt, dass ich IT-Systemelektroniker bin aber kaum Erfahrung in der "Typischen IT" habe. ...

Entwicklung
Plattformübergreifende Programmierung mit Visual Studio
gelöst nagitaVor 1 TagAllgemeinEntwicklung11 Kommentare

Hallo ich habe mir vor einiger Zeit die aktuellste Version von Visual Studio installiert und bin eigentlich auch recht zufrieden damit. Ich habe vor, ...

Datenbanken
Liste als PDF ausdrucken
jensgebkenVor 1 TagFrageDatenbanken6 Kommentare

Hallo Gemeinschaft, Ich habe eine Access Datenbank und darin eine Abfrage in der Kunden Adressen und Kosten angezeigt werden pro Kunde. Nun möchte ich, ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 21 StundenFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Video & Streaming
Netzwerkspeicher IPTV
uridium69Vor 1 TagFrageVideo & Streaming6 Kommentare

Hallo Ich möchte gerne meine beiden Android IPTV Receiver das NAS als Netzwerkspeicher und als Aufnahmemedium hinzufügen, ich habe unter den Optionen "Netzwerkspeicher hinzufügen" ...

Outlook & Mail
Outlook export to PST schlägt fehl - Alternativen?
gelöst StefanKittelVor 1 TagFrageOutlook & Mail3 Kommentare

Hallo, ich versuche gerade ca. 20 Postfächer von einem Hosted Exchange-Anbieter in PST-Dateien zu sichern/archivieren. Bei 3 Postfächer schläft dies mit "unbekannter Fehler" fehl. ...