PfSense - Firewall Rules für AVAHI und Airplay

Aah danke. Also nur bei TCP wird die Antwort durchgelassen.
Den Zugriff der betroffenen Geräte auf 224.0.0.251 UDP 5353 habe ich bereits erlaubt gehabt damit die Geräte ihre Adresse dorthin preisgeben können bzw. sehen können welche Adressen die anderen Geräte haben.

"Packet Capture" der pfSense - Hier nur UDP, da TCP ja eh als Rückantwort durchgelassen wird da statefull.
Kannst du mir sagen was der Zugriff auf die 192.168.30.255 bedeutet? Die Adresse ist doch außerhalb des IP Bereich für das Subnet 192.168.30.1 bis 192.168.30.254. Wer oder was ist 192.168.30.255?

Neue Regeldarstellung
Hier habe ich jetzt den Zugriff des Fernsehers per UDP auf den Anfrager (iPhone) erlaubt, da ja nicht statefull und somit die Rückantwort nicht automatisch durchgelassen wird. Auf einen bestimmten Port kann man das nicht beschränken oder? Ich habe mal gelesen und sehe auch in wiederholten Captures das sich der Port regelmäßig ändert.

Meinste so macht man das? Oder habe ich da irgendwelche Böcke drinn?

Ohha. Das Thema hatte ich mit aqui auch schon. LINK Aber ich glaube man redet aneinander vorbei.

UDP ist ein Protokoll was KEINE Antwort von der Gegenstelle erwartet. Also hier findet keine Überprüfung statt ob die Informationen stimmen. Der Status der Sendung ist also unbekannt und kann nicht überprüft werden.

Jetzt ist es jedoch so wie @145916 schreibt, auch wenn nicht bekannt ist ob das was gesendet werden sollte auch so ankam, kann doch die Firewall trotzdem hier die Antworten auf eine Anfrage durchlassen. Sa steht es bei besagt das auch.



Dann stellt sich ja jetzt die Frage warum wird die Rückverbindung (ich sag mal extra nicht Antwort) bei meiner Firewall dann geblockt und warum brauche ich derzeit extra eine statische Firewall Freigabe für den Fernseher hin zu meinem iPhone.
Hierfür werde ich mir mal die States tabelle und die State Timeouts nachher anschauen. So wie ich es verstehe müsste das ja ohne statische Zugriffsregel des Fernsehers auf das iPhone funktionieren. Ausser die pfSense kann diese UDP Pakete in kein Zusammenhang bringen und blockt das vom Fernseher deswegen weil sie sagt das es nicht zur Anfrage gehört. ???

Also ich bin mir sicher das ging vor ein paar Tagen bei mir auch noch so. Hatte mich ja deswegen gewundert warum das Telefon sich zwar "scheinbar" verbunden hatte, aber auf dem TV nichts angezeigt wurde. Die Anzeige vom Telefon ist sonst nach Anwahl des TV in weniger als einer Sekunde da.

States
1. System / Advanced / Firewall & NAT / State Timeouts
Ich habe die UDP Werte, auch mal einfach alle Werte auf 60 Sekunden gestellt.
Es kommt trotzdem keine Verbindung mit dem TV zu stande.

2. System / Advanced / Firewall & NAT / Firewall Optimization Options
Den Modus auf Conservative stellen bring keinen Erfolg

3. Diagnostics / States / States
a) Zugriff TV auf iPhone nicht explizit in den Rules erlaubt
Wenn der Zugriff vom Fernseher auf das Telefon nicht explizit in den Firewall Rules genehmigt ist, sehe ich lediglich folgende Einträge wo mein iPhone als Source und der TV als Destination gelistet ist. TV als Source ist nicht zu sehen. Und auch keine UDP Einträge

b) Zugriff TV auf iPhone explizit in den Rules erlaubt
Wenn der Zugriff vom TV auf das iPhone erlaubt ist sehe ch die folgenden Einträge

UDP ist lediglich von TV in Richtung des iPhones zu sehen. Wenn das so ist kann doch keine automatische Firewall Öffnung existieren die dem TV Zugriff auf das iPhone als Rückantwort gewehrt.
@145916 kannst du mal schauen wie das bei dir aussieht. Wenn du das gleiche machst dann müsstest du doch ähnliche Zugriffe haben.

Anbei mal meine EInstellungen von Firewall / NAT
Kann da irgendwas faul sein? Oder gibt es irgendwelche anderen Orte wo was schief sein kann?

Hallo Bahnfreak,

nein abschließend konnte ich es nicht lösen.

• Ohne die besagte extra Freigabe für die "Rückantwort" geht es nicht. Das Bild auf dem Fernseher bleibt schwarz.
• Dazu habe ich Probleme mit VLANs die kein Allow Any haben, dass sie mal die Airplay Geräte bei mir angezeigt bekommen und mal nicht. Mal bekommen sie diese auch nur angezeigt, wenn sie mit einem bestimmten Accesspoint von meinen zwei Verbunden sind. Wechsele ich zu dem anderen, finden sie kein Airplay Gerät. Ich denke, das hängt irgendwie mit dem Announcement zusammen. Die verschiedensten Geräte im Netzwerk speichern ja die Airplay (Bonjour) Geräte zwischen. So kann mir z.B. auch das Radio mitteilen das es einen Fernseher mit Airplay Funktion gibt. Jeder Teilnehmer im Netzwerk führt eine eigene Liste mit Geräten und kann diese auch anderen mitteilen. Das habe ich mal im Netz gefunden. Da steht das sicher noch genauer. Das merkt man auch das manchmal der Fernseher noch als Airplay angezeigt wird obwohl er längst ausgeschaltet ist. Ich habe bisher aber nie herausgefunden, welche Firewallrules ein Gerät hier wirklich benötigt um immer die Bonjour Announcings mitzubekommen. So ist es momentan mit den Geräten in dem betreffenden VLAN Glückssache ob es geht.
• aquis "Bypass Firewall Rules on the same intrfaces" hat bei mir keine EInfluss auf die Airplay Funktionalität. Nach Recherche dieser Funktion dürfte die damit auch nicht in Zusammenhang stehen. Da mag es eventuell Ausnahmen geben.

Es wäre schön wenn es so einfach funktionieren würde. Tut es aber leider reproduzierbar nicht.

Diese habe ich bei sämtliche VLANs freigegeben. Reicht aber alleine nicht.
Mein iTunes Remote funktioniert ohne das mein Mac Rechner Zugriff auf mein iPhone hat.
Airplay vom iPhone auf den Samsung TV funktioniert nur wenn der Fernseher auch Zugriff auf das iPhone hat. Schalte ich diesen Zugriff aus, zeigt das iPhone zwar einen Haken beim Samsung Fernseher an als ob es verbunden ist, der Samsung zeigt aber kein Spiegelbild vom iPhone an.
Das ist reproduzierbar.

Ich habe die Literatur so verstanden, dass grundsätzlich jeder Client auf Anfragen von anderen Clienten antworten könnte wenn er die Antwort kennt und seine TTL noch länger ist als die des Anfragenden. Es muss nicht immer der antworten der auch den Dienst anbietet bzw. der, der der gesuchte ist.
So hatte ich das Kapitel "Vermeidung redundanten Netzwerkverkehrs" verstanden. Kann mich aber auch täuschen. Ich sehe hier in zwei iPhones jedenfalls folgendes. Dabei ist zu beachten das der TV-Wohnzimmer schon seit über 4 Stunden aus ist. Und nur das iPhone im AllowAny VLAN listet beide TVs auf.

Ja das kenne ich auch. Nur ist bei mir der TV seit 4 Stunden aus und wird immer noch angezeigt.

Wie gesagt, das habe ich in den VLANs freigegeben. Eventuell funktioniert das bei AVAHI aber über die Subnetzgrenzen hinweg dann doch anders. Wie gesagt funktioniert das mit dem iPhone im VLAN mit Allow Any tadellos egal mit welchem Accespoint es verbunden ist.
Mit dem iPhone im anderen Netz (siehe Firewall Rules am Ende) funktioniert das machmal, egal mit welchem Accespoint es verbunden ist und manchmal zeigt es mir mein Airplay (iTunes Remote) auf dem Mac mini nicht an. Dann gehe ich mit dem iPhone zum anderen Accespoint und iTunes Remote wird angezeigt. Zurück zum anderen Accespoint und es ist wieder weg.

Ja grundsätzlich haste da recht. Deswegen habe ich mir versucht das Problem so herzuleiten das es eventuell daran liegt das ein anderer Client diesem iPhone iTunes Remote Dienst mitteilt und wenn dieser es mal selber nicht weis weil er aus ist, dann sieht das iPhone ihn halt nicht. Ich kann es mir nicht erklären warum es nur sporadisch geht. Setze ich dann übrigens die Rule für das VLAN auf Allow Any sind sofort alle Probleme weg. Schlagartig. Bzw. zur gleichen Zeit findet das andere iPhone den iTunes Remote Dienst.

Ich bezahle gerne dafür, dass mir jemand das Problem hier ausfindig macht und sagen kann was los ist. Aber ich habe mit Seitenweise lesen noch keine Lösung gefunden.