PfSense und Multicast im lokalen Netzwerk
Hallo,
das ist mein erster Beitrag in diesem Netzwerk, und hoffe, dass mir als Anfänger hin und wieder geholfen werden kann.
Vorgeschichte
Die Meldungen in diesem Jahr über Zwischenfälle, wie das Erbeuten von E-Mail-Konten-Daten (inkl. Kennwort) und das aktive Ausnutzen der Sicherheitslücke der Fritzbox, gaben mir den Anlass eines Versuchs, mein Netzwerk etwas sicherer zu machen.
Auf der Suche nach einer Alternative bin ich aufgrund der folgenden Beiträge des Benutzers @aqui (Danke dafür) fündig geworden:
Netzwerk-Übersicht
Da ich nicht zuviel über mein Netzwerk preisgeben möchte, ist hier eine grobe Übersicht meines Heimnetzwerkes:
## darkblue|LAN ##
## darkgreen|OPT1 ##
Frage/Thema
Bisher bin ich eigentlich ganz zufrieden, wie es bisher läuft, nur ein paar Kleinigkeiten stören noch, und mir fehlt das Hintergrund-Wissen,
wie ich diese Dinge handhaben soll.
Problem:
In den Firewall-Protokollen tauchen geblockte Multicast-Adressen (IPv4 und IPv6), wie eine kurze Recherche im Internet zum Vorschein gebracht hatte, aufseiten der ## darkblue|LAN##-Schnittstelle auf.
Innerhalb des lokalen Netzwerks (LAN) gibt es nämlich einen Server, der verschiedene Dienste (Beispiel: Media-Streaming) für Clients zur Verfügung stellt.
Der Wikipedia-Artikel (Wikipedia (DE): Multicast) brachte ein ganz klein wenig Licht ins Dunkel.
So wie ich Teile dieses Artikel interpretiert habe, gibt es einen Sender, der Daten nur einmal an eine Multicast-Adresse verschickt, und die Empfänger erhalten dann diese Informationen genau über diese eine Adresse.
Mehr habe ich leider nicht im Detail verstanden.
z.B. wo werden die Daten des Senders zwischengespeichert oder werden die Daten immer gesendet bis einer abhebt?
Fragen:
Was soll ich in der pfSense-Firewall einstellen, dass Multicast 'nur' im lokalen Netzwerk (LAN) funktioniert?
Ist es sinnvoll, diese Multicast-Adressen
Meine Bitte auf eine mögliche Antwort ist, mit einfachen Worten ohne zu viele Fachbegriffe, die einem Anfänger wie mir nur noch mehr verwirren, zu erläutern.
Gruß, Markus.
das ist mein erster Beitrag in diesem Netzwerk, und hoffe, dass mir als Anfänger hin und wieder geholfen werden kann.
Vorgeschichte
Die Meldungen in diesem Jahr über Zwischenfälle, wie das Erbeuten von E-Mail-Konten-Daten (inkl. Kennwort) und das aktive Ausnutzen der Sicherheitslücke der Fritzbox, gaben mir den Anlass eines Versuchs, mein Netzwerk etwas sicherer zu machen.
Auf der Suche nach einer Alternative bin ich aufgrund der folgenden Beiträge des Benutzers @aqui (Danke dafür) fündig geworden:
- Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
- OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Netzwerk-Übersicht
Da ich nicht zuviel über mein Netzwerk preisgeben möchte, ist hier eine grobe Übersicht meines Heimnetzwerkes:
Modem -> pfSense -> LAN -> Switch (ohne Konfigurationsmöglichkeiten) -> Geräte
-> OPT1- hier dürfen Geräte nur ausgewählte IP-Adressen aufrufen
- z.B. Definitionsupdates für Antivirus, Betriebssystemaktualisierungen, etc.
## darkgreen|OPT1 ##
- hier dürfen die Geräte ins Internet
Frage/Thema
Bisher bin ich eigentlich ganz zufrieden, wie es bisher läuft, nur ein paar Kleinigkeiten stören noch, und mir fehlt das Hintergrund-Wissen,
wie ich diese Dinge handhaben soll.
Problem:
In den Firewall-Protokollen tauchen geblockte Multicast-Adressen (IPv4 und IPv6), wie eine kurze Recherche im Internet zum Vorschein gebracht hatte, aufseiten der ## darkblue|LAN##-Schnittstelle auf.
Innerhalb des lokalen Netzwerks (LAN) gibt es nämlich einen Server, der verschiedene Dienste (Beispiel: Media-Streaming) für Clients zur Verfügung stellt.
Der Wikipedia-Artikel (Wikipedia (DE): Multicast) brachte ein ganz klein wenig Licht ins Dunkel.
So wie ich Teile dieses Artikel interpretiert habe, gibt es einen Sender, der Daten nur einmal an eine Multicast-Adresse verschickt, und die Empfänger erhalten dann diese Informationen genau über diese eine Adresse.
Mehr habe ich leider nicht im Detail verstanden.
z.B. wo werden die Daten des Senders zwischengespeichert oder werden die Daten immer gesendet bis einer abhebt?
Fragen:
Was soll ich in der pfSense-Firewall einstellen, dass Multicast 'nur' im lokalen Netzwerk (LAN) funktioniert?
Ist es sinnvoll, diese Multicast-Adressen
- ## brown|IPv4##: ## blue|224.0.0.0/4## (von 224.0.0.0 bis 239.255.255.255)
- ## brown|IPv6##: ## blue|ff02::1/64## (von ff02::1 bis ff02::ffff:ffff:ffff:ffff)
Meine Bitte auf eine mögliche Antwort ist, mit einfachen Worten ohne zu viele Fachbegriffe, die einem Anfänger wie mir nur noch mehr verwirren, zu erläutern.
Gruß, Markus.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 241734
Url: https://administrator.de/forum/pfsense-und-multicast-im-lokalen-netzwerk-241734.html
Ausgedruckt am: 24.04.2025 um 04:04 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
Multicast für IPv6 benötigst du nur wenn du auch IPv6 im lokalen Netz verwendest ansonsten würde ich IPv6 komplett deaktivieren...
Wenn du Multicast nur im lokalen Netz brauchst, musst du auf der pfsense gar nichts machen, die pfsense arbeitet wie jede gute Firewall nach dem Modus, was nicht explizit erlaubt ist, ist verboten.
Brammer
Multicast für IPv6 benötigst du nur wenn du auch IPv6 im lokalen Netz verwendest ansonsten würde ich IPv6 komplett deaktivieren...
Wenn du Multicast nur im lokalen Netz brauchst, musst du auf der pfsense gar nichts machen, die pfsense arbeitet wie jede gute Firewall nach dem Modus, was nicht explizit erlaubt ist, ist verboten.
Brammer
Hallo Markus,
wie @brammer schon scheibt musst du für Multicast im LAN nichts konfigurieren. Da die Announcements ja an alle Multicastfähigen Devices im LAN gehen, also auch zur PFSense, werden diese dort geloggt und geblockt - das ist ja auch in Ordnung denn der Router benötigt ja selber den Multicast-Traffic nicht (ist selber kein Empfänger).
Damit die Übersichtlichkeit des Routerlogs nicht ganz so stark unter dem geblockten IGMP Traffic leidet siehe diese Seite: https://forum.pfsense.org/index.php?topic=57705.0
Wie das genau funktioniert kannst du hier nochmal detaillierter nachlesen:
http://www.tldp.org/HOWTO/Multicast-HOWTO-2.html
Grüße Uwe
wie @brammer schon scheibt musst du für Multicast im LAN nichts konfigurieren. Da die Announcements ja an alle Multicastfähigen Devices im LAN gehen, also auch zur PFSense, werden diese dort geloggt und geblockt - das ist ja auch in Ordnung denn der Router benötigt ja selber den Multicast-Traffic nicht (ist selber kein Empfänger).
Damit die Übersichtlichkeit des Routerlogs nicht ganz so stark unter dem geblockten IGMP Traffic leidet siehe diese Seite: https://forum.pfsense.org/index.php?topic=57705.0
wo werden die Daten des Senders zwischengespeichert oder werden die Daten immer gesendet bis einer abhebt?
Die werden nirgendwo zwischengespeichert. Ein möglicher Empfänger muss den Stream durch eine Nachricht abonnieren, erst dann erhält er die Daten an seine MAC-Adresse.Wie das genau funktioniert kannst du hier nochmal detaillierter nachlesen:
http://www.tldp.org/HOWTO/Multicast-HOWTO-2.html
Grüße Uwe
Hallo,
danke für die Antworten. Diese haben mir sehr geholfen.
Bezüglich IPv6
Im lokalen Netzwerk können fast alle Geräte IPv6 und die pfSense-Firewall stellt einen DHCPv6-Server bereit.
Bisher sind keine Probleme deswegen aufgetreten.
Dringend notwendig wäre es nicht, und alle Dienste des Servers unterstützen das auch nicht, aber da es sowieso irgendwann Standard ist,
man IPv4 und IPv6 parallel betreiben kann, wollte ich mich jetzt schon ein wenig damit befassen.
Gruß, Markus.
danke für die Antworten. Diese haben mir sehr geholfen.
Bezüglich IPv6
Im lokalen Netzwerk können fast alle Geräte IPv6 und die pfSense-Firewall stellt einen DHCPv6-Server bereit.
Bisher sind keine Probleme deswegen aufgetreten.
Dringend notwendig wäre es nicht, und alle Dienste des Servers unterstützen das auch nicht, aber da es sowieso irgendwann Standard ist,
man IPv4 und IPv6 parallel betreiben kann, wollte ich mich jetzt schon ein wenig damit befassen.
Gruß, Markus.
