justas
Goto Top

PfSense - AV-Receiver wird im VLAN nicht gefunden

Der Receiver wird seit einiger Zeit von der Spotify-Android-App nicht mehr gefunden.
spotify-real-setup

Sonst:
- Der AV-Receiver wird von den Marantz-Apps gefunden und kann gesteuert werden, Internet-Radio kann gestreamt werden.
- Das Fire-TV Stick wird von der Spotify-App auch gefunden, obwohl es im anderen VLAN hängt und es keine FW-Regel dafür gibt
- Ich möchte die Musik über den Receiver streamen, damit der Fernseher ausgeschaltet bleibt.
- Im Test Setup, direkt über die Fritte wird der Receiver von der Spotify-App sofort gefunden. D.h. das Problem liegt sicher an meinem pfSense-Setup
spotify-test-setup


Das hat früher gut funktioniert. Ich habe vermutlich etwas an pfSense geändert oder upgedatet, was zum aktuellen Problem führt. Der Receiver sollte im gleichen VLAN wie Fire-TV Stick und Fernseher sein, nur dafür muss das Streaming funktionieren, zuerst im gleichen VLAN wie das Smartphone.

P.S. Ich nehme an, aus dem gleichen Grund wird der HP-Drucker nicht von der HP-App im gleichen VLAN gefunden.

Habt Ihr Ideen woran das liegen kann?

Content-ID: 846199801

Url: https://administrator.de/forum/pfsense-av-receiver-wird-im-vlan-nicht-gefunden-846199801.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

radiogugu
radiogugu 29.06.2021 um 07:48:49 Uhr
Goto Top
Zitat von @justas:
spotify-real-setup

Der Receiver sollte im gleichen VLAN wie Fire-TV Stick und Fernseher sein, nur dafür muss das Streaming funktionieren, zuerst im gleichen VLAN wie das Smartphone.

Moin.

Also das Bild und dein Satz bezüglich der VLANs widersprechen sich.

Welche VLANs sind auf der PFSense konfiguriert? Welche sind auf dem Switch eingerichtet?

Bist du die Kette einmal durchgelaufen? Eventuell hast du eine Konfiguration am Switch vorgenommen, sodass die VLANs nicht mehr ordnungsgemäß da sind.

Welche IPs bekommen denn die Geräte? Das kannst du entweder am Gerät selbst oder in der PFSense sehen, was dich dann der Lösung näher bringen wird.

Gruß
Marc
aqui
aqui 29.06.2021 um 08:51:42 Uhr
Goto Top
Ohne das FW Regelwerk zu kennen und auch zu wissen WIE (Protokoll) sich Drucker bzw. AV App sich mit den Endgeräten unterhalten bleibt es auch ein Raten im freien Fall.
Innerhalb eines VLANs ist die Firewall so oder so in Traffic überhaupt nicht involviert sondern nur die Endgeräte selber. Die FW spielt einzig nur im VLAN übergreifenden (gerouteten) Traffic überhaupt eine Rolle.
justas
justas 29.06.2021 um 08:53:34 Uhr
Goto Top
Mir ist leider nicht klar, was sich widerspricht.

Es sind gleiche VLAN auf dem Switch, der pfSense und allen AP's konfiguriert.
DHCP Server für die VLAN's sind auf pfSense konfiguriert.

Die Geräte bekommen IP's von den VLAN, denen sie zugeordnet sind. Das Smartphone und der Receiver sind im gleichen VLAN, nur der Receiver wird nicht gesehen.

Gruß
justas
aqui
aqui 29.06.2021 aktualisiert um 08:59:07 Uhr
Goto Top
Das Smartphone und der Receiver sind im gleichen VLAN
Dann ist die Firewall ja eh komplett raus, denn innerhalb eines VLANs (L2 Broadcast Domain) kommunizieren die Endgeräte doch immer im L2 direkt ohne irgendwie über die Firewall zu gehen !! Logisch !
Wireshark ist hier dein bester Freund !
radiogugu
radiogugu 29.06.2021 aktualisiert um 10:55:36 Uhr
Goto Top
Zitat von @justas:

Mir ist leider nicht klar, was sich widerspricht.

Es sind gleiche VLAN auf dem Switch, der pfSense und allen AP's konfiguriert.
DHCP Server für die VLAN's sind auf pfSense konfiguriert.

Die Geräte bekommen IP's von den VLAN, denen sie zugeordnet sind. Das Smartphone und der Receiver sind im gleichen VLAN, nur der Receiver wird nicht gesehen.

In deinem oberen Bild sind dein TV und FireTV Stick im VLAN 30. Der Receiver und das Android Phone in VLAN 20. Wenn das so konfiguriert ist, musst du zumindest eine Regel erstellen, die den "Verkehr" zwischen den Netzwerksegmenten erlaubt wird.

Was bedeutet das? Der FireTV Stick hat ja kein eigenen Netzwerkanschluss und kann maximal via WLAN mit dem Netzwerk verbunden werden.

Welche VLANs sind denn konfiguriert auf PFSense und auf dem Switch?

Gruß
Marc
justas
justas 29.06.2021 um 11:56:19 Uhr
Goto Top
In deinem oberen Bild sind dein TV und FireTV Stick im VLAN 30. Der Receiver und das Android Phone in VLAN 20. Wenn das so konfiguriert ist, musst du zumindest eine Regel erstellen, die den "Verkehr" zwischen den Netzwerksegmenten erlaubt wird.
Was bedeutet das? Der FireTV Stick hat ja kein eigenen Netzwerkanschluss und kann maximal via WLAN mit dem Netzwerk verbunden werden.
Welche VLANs sind denn konfiguriert auf PFSense und auf dem Switch?

Ok. Jetzt ist mir klar, was Du meinst. Ich wollte das Bild nicht unnötig komplizierter machen und habe einige Details nicht dargestellt. VLANS sind auf allen Geräten konfiguriert: pfSense, Switch, APs. Das Fire TV Stick hat sowohl WLAN als auch über einen Adapter LAN. Jetzt ist WLAN deaktiviert und nur LAN aktiviert. Über WLAN würde es auch einfach gehen: auf jedem VLAN ist ein WLAN mit eigener SSID konfiguriert. Access Points taggen alle Clients von einem WLAN mit dem jeweiligen VLAN Tag. D.h. das Fire TV Stick ist im VLAN 30 unabhängig davon, ob per LAN oder WLAN.

Es gibt keine Regel zwischen VLAN20 und VLAN30 und trotzdem kann das Handy das Fire TV Stick sehen. Ich weiß nicht, warum.
Der Receiver ist im gleichen Segment wie das Handy, trotzdem wird es nicht entdeckt.
justas
justas 29.06.2021 aktualisiert um 12:10:05 Uhr
Goto Top
Zitat von @aqui:

Das Smartphone und der Receiver sind im gleichen VLAN
Dann ist die Firewall ja eh komplett raus, denn innerhalb eines VLANs (L2 Broadcast Domain) kommunizieren die Endgeräte doch immer im L2 direkt ohne irgendwie über die Firewall zu gehen !! Logisch !
Wireshark ist hier dein bester Freund !

Ich habe es versucht, bin leider nicht schlauer geworden. Ich habe auf der pfSense Pakete vom Receiver und Fire TV Stick captured und in WireShark geöffnet. Nichts entdeckt was mich weiter bringt. Das dump vom Fire TV Stick war nach einer Stunde leer. Vom Receiver gingen irgendwelche Pakete zu AWS und Multicast zu 224.0.0.251:5353. Die Mutlicast-Regel habe ich erst gestern konfiguriert, hat leider nichts gebracht.

Ich bin kein Profi in Wireshark. Gibt es evtl. eine Anleitung, wie man es in dem Setup richtig macht? Ich hätte ein Windows-Client mit Wireshark im gleichen VLAN20.

Gruß
justas
radiogugu
radiogugu 29.06.2021 um 12:25:29 Uhr
Goto Top
Bitte nenne doch mal die IPs, welche die Geräte bekommen und welche IPs die VLANs haben. Dann lässt sich vielleicht ableiten, wer sich wo gerade befindet und warum was nicht gehen könnte.

Wie sehen denn die Regeln in PFSense aus? Kannst du da mal Screenshots von hochladen?

Waren mal alle Geräte im selben VLAN bzw. Subnetz und haben eventuell noch statische IPs konfiguriert?

Ist denn DHCP auf den Schnittstellen in der PFSense aktiviert?

Gruß
Marc
aqui
Lösung aqui 29.06.2021 aktualisiert um 12:40:41 Uhr
Goto Top
Das Fire TV Stick hat sowohl WLAN als auch über einen Adapter LAN
Hoffentlich dann nicht parallel so das LAN und WLAN Interface gleichzeitig aktiv sind ?! Das geht dann so nicht.
Es darf immer nur ein Interface aktiv sein. Oder, wenn beide, dann müssen sie in unterschiedlichen IP Netzen liegen und du musst sicherstellen das nur ein Interface ein Default Gateway bekommt, ansonsten ist Routing dann Lotterie.
Es gibt keine Regel zwischen VLAN20 und VLAN30
Keine Regel bedeutet bei einer Firewall immer: ALLES ist geblockt und keine Kommunikation möglich ! Weisst du ja auch selber als alter Netzwerk Hase.
trotzdem kann das Handy das Fire TV Stick sehen. Ich weiß nicht, warum.
Zeigt dann das der Stick doch in BEIDEN IP Netzen aktiv ist. Keine besonders intelligente Idee, da auch so die Gefahr eines Backdoor Routings droht sofern auf dem Stick IPv4 Forwarding aktiv ist. face-sad
Der Receiver ist im gleichen Segment wie das Handy, trotzdem wird es nicht entdeckt.
Da hat die Firewall dann rein gar nichts mit zu tun und ist somit raus. Wie oben bereits mehrfach gesagt hat die mit lokalem Traffic NICHTS zu tun.
Da ist der Knackpunkt evtl. der AP. Ggf. ist hier eine Mac Filterliste aktiv oder die Multicast Unicast Konvertierung ist deaktiviert bzw. funktioniert nicht so das Multicasting geblockt wird. Sofern die App denn Multicast nutzt was sie aber nach deiner Angabe mit 224.0.0.251:5353 ja tut !
Kannst du auch immer sehen wenn du Multicast Frames von der Smartphone App siehst (Absender Mac und IP !) die im LAN landen.
Wie du als Profi Netzwerker ja selber weisst ist das eine Link Local Multicast Adresse die zum mDNS Protokoll (Bonjour) gehört:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Lesen und verstehen !
Link Local Multicast haben Prinzip bedingt eine feste TTL von 1 sind also unroutebar bzw. nur über einen Proxy routebar. Siehe dazu auch HIER.
Vom Receiver gingen irgendwelche Pakete zu AWS
Der telefoniert nach Hause und erzählt Amazon alles über deine persönlichen TV Gewohnheiten und Geschmäcker.

Nochmals: Mit der Kommunikation innerhalb eines Layer 2 Netzes hat die Firewall nicht das Geringste zu tun. Logisch, denn das geht ja gar nicht über sie, folglich kann sie diesen Traffic auch physisch niemals "sehen" geschweige denn irgendwelche Regelwerke anwenden.
Der böse Buhmann kann also nur Switch und/oder AP sein. IGMP Snooping vergessen zu aktivieren und und und... Für eine tiefere Troubleshooting Analyse haben wir zuwenig Infos.
justas
justas 29.06.2021 aktualisiert um 13:42:34 Uhr
Goto Top
Zitat von @aqui:

Das Fire TV Stick hat sowohl WLAN als auch über einen Adapter LAN
Hoffentlich dann nicht parallel so das LAN und WLAN Interface gleichzeitig aktiv sind ?! Das geht dann so nicht.
Es darf immer nur ein Interface aktiv sein. Oder, wenn beide, dann müssen sie in unterschiedlichen IP Netzen liegen und du musst sicherstellen das nur ein Interface ein Default Gateway bekommt, ansonsten ist Routing dann Lotterie.
Nur LAN-Verbindung ist aktiv. Ich glaube, beides gleichzeitig würde nicht mal das Fire TV Stick akzeptieren.

Es gibt keine Regel zwischen VLAN20 und VLAN30
Keine Regel bedeutet bei einer Firewall immer: ALLES ist geblockt und keine Kommunikation möglich ! Weisst du ja auch selber als alter Netzwerk Hase.
trotzdem kann das Handy das Fire TV Stick sehen. Ich weiß nicht, warum.
Zeigt dann das der Stick doch in BEIDEN IP Netzen aktiv ist. Keine besonders intelligente Idee, da auch so die Gefahr eines Backdoor Routings droht sofern auf dem Stick IPv4 Forwarding aktiv ist. face-sad

Sorry, bei der Aussage muss ich zurückrudern. Habe gerade die FW-Regel entdeckt, das Handy auf das Media-VLAN zugreifen kann. Jetzt ist klar, warum das Fire TV Stick gefunden wird.

Der Receiver ist im gleichen Segment wie das Handy, trotzdem wird es nicht entdeckt.
Da hat die Firewall dann rein gar nichts mit zu tun und ist somit raus. Wie oben bereits mehrfach gesagt hat die mit lokalem Traffic NICHTS zu tun.
Da ist der Knackpunkt evtl. der AP. Ggf. ist hier eine Mac Filterliste aktiv oder die Multicast Unicast Konvertierung ist deaktiviert bzw. funktioniert nicht so das Multicasting geblockt wird. Sofern die App denn Multicast nutzt was sie aber nach deiner Angabe mit 224.0.0.251:5353 ja tut !
Kannst du auch immer sehen wenn du Multicast Frames von der Smartphone App siehst (Absender Mac und IP !) die im LAN landen.
Wie du als Profi Netzwerker ja selber weisst ist das eine Link Local Multicast Adresse die zum mDNS Protokoll (Bonjour) gehört:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Lesen und verstehen !
Link Local Multicast haben Prinzip bedingt eine feste TTL von 1 sind also unroutebar bzw. nur über einen Proxy routebar. Siehe dazu auch HIER.

Ich habe gestern auch das AVAHI-Paket auf der pfSense installiert. Brauche ich noch das Paket und die Multicast-Regel, wenn ich kein Bonjour benutze? Früher hat es ohne das Paket und die Regel funktioniert.

Vom Receiver gingen irgendwelche Pakete zu AWS
Der telefoniert nach Hause und erzählt Amazon alles über deine persönlichen TV Gewohnheiten und Geschmäcker.

Nochmals: Mit der Kommunikation innerhalb eines Layer 2 Netzes hat die Firewall nicht das Geringste zu tun. Logisch, denn das geht ja gar nicht über sie, folglich kann sie diesen Traffic auch physisch niemals "sehen" geschweige denn irgendwelche Regelwerke anwenden.
Der böse Buhmann kann also nur Switch und/oder AP sein. IGMP Snooping vergessen zu aktivieren und und und... Für eine tiefere Troubleshooting Analyse haben wir zuwenig Infos.

Danke für den Tipp! Dann schließe ich pfSense aus und suche den Fehler beidem Switch und AP's. Zum Glück ist beides von einem Hersteller und über einen Controller konfigurierbar.

Falls Ihr Euch mit Ubiquiti-Settings auskennt, jeder Support ist willkommen!
justas
Lösung justas 29.06.2021 aktualisiert um 15:15:28 Uhr
Goto Top
Problem gelöst!

spotify-wlan-settings

Vermutlich selbst schuld.

Danke nochmal für den Tipp.

P.S. Der HP-Drucker wird jetzt auch von der HP-App gefunden.
radiogugu
radiogugu 29.06.2021 aktualisiert um 14:39:04 Uhr
Goto Top
@@---Dann noch das Thema auf "gelöst" setzen.


EDIT: Da war ich eine zehntel Sekunde zu spät mit dem Hinweis face-smile

Gruß
Marc