Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit Bonjour (mDNS) im VPN

Mitglied: sharbich

sharbich (Level 1) - Jetzt verbinden

10.01.2020, aktualisiert 20:29 Uhr, 322 Aufrufe, 3 Kommentare

Hallo Ihr Lieben,

wenn ich mich mit meinen Samsung Smartphone im VPN Netz befinde bekomme ich nicht mein Netzwerkdrucker angezeigt. Im WLAN schon. Wie sieht mein netz aus?

2020_01_03_netztopologie - Klicke auf das Bild, um es zu vergrößern

Mein OpenVPN Server läuft auf ein Debian Buster Server. Der Dienst wird an der IP-Adresse 192.168.190.2, VLAN 110 bereitgestellt. Alle OpenVPN Verbidungen werden über TAP hergestellt. Über TUN habe ich es noch nicht hinbekommen, weil ich die IP-Adressen zentral vergeben möchte und Unicast / Multicast ins VPN sende um IPTV zu sehen.
Folgende Dienste werden mir im VPN Netz auf dem Debian Server angezeigt. Unter anderem mein Netzwerkdrucker den ich gerne für alle meine benutzten Endgeräte (IOS, Android, WIN10, Linux) verfügbar haben möchte:
Die Route auf dem Debian Server:
Und noch die Interface Informationen meines Debian Server
Auf meinen zentralen Router habe ich folgendes Programm installiert um Drucker in verschiedenen Netzsegemente bekannt zu machen:
Meine avahi-daemon.conf ist wie folgt konfiguriert:
Ein avahi-brows -at zeigt mir folgende Ergebnisse:
Auf der OpenWRT Firewall habe ich für die Zone OpenVPN folgendes eingestellt:
Mein VPN Client Pro App auf mein Samsung Phone hat folgende Netzwerk Informationen:
Leider sehe ich auf mein Samsung Phone keine Netzwerkdrucker. Stimmt was am Regelwerk der Firewall nicht, oder an der avahi-daemon.conf? Findet Ihr den Fehler? Ein tcpdump kann ich Euch leider nicht zur Verfügung stellen, weil im aktuellen Build ich das Programm nicht gebildet bekomme. Da scheint es ein Bug zu geben.

Lieben Gruß von Stefan Harbich
2020_01_03_netztopologie - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
10.01.2020, aktualisiert um 14:45 Uhr
Tolle Netzwerk Skizze ! Womit ist das gemacht ?
Alle OpenVPN Verbidungen werden über TAP hergestellt. Über TUN habe ich es noch nicht hinbekommen
Nicht dein Ernst, oder ?? Du machst Layer 2 Bridging im OpenVPN Tunnel ?? Wie gruselig !
Selbst OpenVPN rät in seinen Design Empfehlungen dringenst davon ab, denn es transportiert den gesamten Broad- und Multicast Traffic aller per TAP angeschlossenen Tunnel was die VPN Performance natürlich auf Grasnarben Niveau bringt.
TUN ist der millionenfache Standard. Wieso du das nicht hinbekommst ist völlig unverständlich. Ein simpler Klassiker wie du hier an einer einfachen Raspberry Pi Konfig sehen kannst:
https://administrator.de/content/detail.php?id=359367&token=695#comm ...
Sehr wahrscheinlich hast du den typischen Anfängerfehler begangen und das Routing der VPN Netze vergessen oder falsch gemacht bei einem OVPN Server im internen Netz ?!
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
(2tes und 3tes Bild)
Aber auch hier:
https://administrator.de/content/detail.php?id=481363&token=144
https://administrator.de/content/detail.php?id=494146#comment-1391482
Obwohl man das bei dem semiprofessionellen Design deines Netzes fast nicht glauben kann.
Das solltest du auf Dauer aber dringend fixen und auf Routing umstellen wenn dein Netzwerk und VPN performant und skalierbar bleiben soll !
und Unicast / Multicast ins VPN sende um IPTV zu sehen.
Deshalb das TAP Interface. OK, letztlich aber auch falsch, denn IPTV Multicast kannst du über PIM auch immer über ein geroutetes IP Netz problemlos übertragen. IGMP Snooping ist dann ebenso Pflicht im Netz...
Aber mal zurück zur eigentlichen Thread Thematik:

mDNS nutzt bekanntlich eine Multicast Link Local Adresse 224.0.0.251 (https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS)
Diese Adressen sind intern festgenagelt auf einen TTL von 1 sind also in segmentierten IP Netzen, wie deinen, generell nicht routebar. Auch nicht mit PIM Multicast Routing, da sie durch die festgenagelte TTL eben keine Router Hops überwinden können. Sie funktionieren also rein nur in einem flachen Layer 2 Netz.
Die Kardinalsfrage ist nun also welches des lokalen LAN oder VLAN Segmente du über das TAP Interface im OVPN zusammen bridgest ?? Denn nur dort kann mDNS (Bonjour) funktionieren. Nicht aber in den gerouteten anderen VLANs.
Hast du das auf dem Radar ?
Wenn Drucker und (Samsung) Client also in separaten und damit gerouteten IP Netzen sind dann brauchst du im Client Netz einen separaten AVAHI Daemon der dort die Ziel IP des Druckers im Client Segment per Multicast verteilt.
https://administrator.de/wissen/netzwerk-management-server-raspberry-pi- ...
Stimmt was am Regelwerk der Firewall nicht
Vermutlich nicht, denn auf den rein internen Interfaces die nur lokale interne Netze verbinden macht man ja niemals weder NAT noch Firewalling. In sofern kann es das normal nicht sein.
Ein tcpdump kann ich Euch leider nicht zur Verfügung stellen, weil im aktuellen Build ich das Programm nicht gebildet bekomme.
Muss auch nicht sein denn ein apt install tcpdump installiert dir das bequem aus dem Repository.
Wäre hilfreich zu sehen ob die mDNS Multicasts am anderen Ende des gebridgten Netzes auch ankommen. Wie gesagt es funktioniert ohne separaten AVAHI Daemon rein nur in gebridgten Umgebungen wegen der Link Local MC Adresse.
Bitte warten ..
Mitglied: sharbich
10.01.2020 um 17:06 Uhr
Tolle Netzwerk Skizze ! Womit ist das gemacht ?
Mit Libre Office Draw
Alle OpenVPN Verbidungen werden über TAP hergestellt. Über TUN habe ich es noch nicht hinbekommen
Ich hatte es am Anfang über TUN am laufen. Das Routing hab ich auch hinbekommen. Ich bin immer an zwei Themen gescheitert.
1. Der OpenVPN Client (z.B. mein Android Smartphone) konnte per VLC kein IPTV schauen
2. Die IP Adresse Vergabe auf der OpenVPN Client Seite sollte auch über meinen zentralen DNS Server erfolgen.
Das konnte ich nur mit TAP realisieren.
Ich wäre aber gerne bereit das nochmal zu versuchen.
mDNS nutzt bekanntlich eine Multicast Link Local Adresse 224.0.0.251 (https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS)
Diese Adressen sind intern festgenagelt auf einen TTL von 1 sind also in segmentierten IP Netzen, wie deinen, generell nicht routebar. Auch nicht mit PIM Multicast Routing, da sie durch die festgenagelte TTL eben keine Router Hops überwinden können. Sie funktionieren also rein nur in einem flachen Layer 2 Netz.
Ist mit vollkommen klar. Deshalb läuft auf dem zentralen Router ja auch avahi-daemon. Die Konfiguration hatte ich ja mit gesendet.
Die Kardinalsfrage ist nun also welches des lokalen LAN oder VLAN Segmente du über das TAP Interface im OVPN zusammen bridgest??
Die Bridge besteht aus tap0 und eth0.10
Denn nur dort kann mDNS (Bonjour) funktionieren. Nicht aber in den gerouteten anderen VLANs.
Hast du das auf dem Radar?
Ja, deshalb habe ich ja auf den zentralen Router ein avahi-daemon am rennen um in jeden Netz die Dienste bekannt zu machen.
Wenn Drucker und (Samsung) Client also in separaten und damit gerouteten IP Netzen sind dann brauchst du im Client Netz einen separaten AVAHI Daemon der dort die Ziel IP des Druckers im Client Segment per Multicast verteilt.
Siehe oben, dort habe ich angeführt das ich einen solchen Daemon in Betrieb habe.
Stimmt was am Regelwerk der Firewall nicht
Vermutlich nicht, denn auf den rein internen Interfaces die nur lokale interne Netze verbinden macht man ja niemals weder NAT noch Firewalling.
Oben hatte ich geschrieben das ich auf dem OpenVPN Interface das Regelwerk angepasst habe Eingang = Zurückweisen, Weitergeleitet = Zurückweisen
In sofern kann es das normal nicht sein.
Glaube ich auch nicht. Aber könntest Du mal über das Regelwerk schauen?
Ein tcpdump kann ich Euch leider nicht zur Verfügung stellen, weil im aktuellen Build ich das Programm nicht gebildet bekomme.
Muss auch nicht sein denn ein apt install tcpdump installiert dir das bequem aus dem Repository.
Wäre hilfreich zu sehen ob die mDNS Multicasts am anderen Ende des gebridgten Netzes auch ankommen. Wie gesagt es funktioniert ohne separaten AVAHI Daemon rein nur in gebridgten Umgebungen wegen der Link Local MC Adresse.
Natürlich habe ich versucht tcpdump via:
zu installieren. Das funktioniert auch. Allerdings wenn ich dann tcpdump aufrufe bekomme ich folgende Fehlermeldung:
Sehr komisch, obwohl tcpdump im Verzeichnis /usr/sbin installiert wurde. Warum auch immer??? Also hatte ich es im Build versucht mit folgender Fehlermeldung:
Aber das ist ein Thema beim OpenWRT Forum. Leider gibt es dazu noch keine Aussage.
Bitte warten ..
Mitglied: aqui
11.01.2020, aktualisiert um 20:58 Uhr
Der OpenVPN Client (z.B. mein Android Smartphone) konnte per VLC kein IPTV schauen
Hier steht wie man das selber testen kann mit PIM Routing:
https://www.administrator.de/content/detail.php?id=362413&token=462# ...
bzw. hier am Beispiel eines MT Routers:
https://www.administrator.de/content/detail.php?id=352942&token=836# ...
Sehr komisch, obwohl tcpdump im Verzeichnis /usr/sbin installiert wurde. Warum auch immer???
Ruf es mal mit dem kompletten Pfad /usr/sbin/tcpdump -i eth2 auf dann sollte es ganz sicher laufen ! Dir fehlt vermutlich /usr/sbin im Suchpfad ?!
Bitte warten ..
Ähnliche Inhalte
Router & Routing
MikroTik - Bonjour routing
gelöst Frage von Alex29Router & Routing5 Kommentare

Hallo zusammen! ich habe mal wieder eine Frage für mein Heimnetz. In dem Netz werkelt ein MikroTik RB3011 als ...

Windows Server

Probl. b. Programminst. nach Netzlaufwerksbuchst.: invalid directory name specified or the removable media is not properly inserted

gelöst Frage von departure69Windows Server4 Kommentare

Hallo. Situation: - SBS 2008 AD-Domäne - versch. Memberserver, teils phys. teils virtuell, alle im selben Netz - Clients ...

Router & Routing

Tunnel VPN to VPN

Frage von itschloeglRouter & Routing8 Kommentare

Guten Abend. Folgende Problemstellung: Ich habe ein Firmennetzwerk, welches mehrere Standorte umfasst. Alle Standorte sind via VPN an den ...

Windows Netzwerk

Einrichtung VPN Client Always ON VPN

Frage von DevilsKitchnWindows Netzwerk4 Kommentare

Hallo miteinander, Ich bin Praktikant und stehe vor einem Problem. Ich habe den Auftrag die Einrichtung nach diesem Whitepaper ...

Neue Wissensbeiträge
Virtualisierung

VEEAM Instant VM Recovery Datenverlust möglich

Information von sabines vor 1 StundeVirtualisierung

Wer instant VM Recovery unter Veeam nutzt, sollte seine Installation überprüfen. In manchen Fällen könnte es zu Datenverlust kommen, ...

Administrator.de Feedback
Hinweise auf Dienstleister oder auf Suchmaschinen
Information von Frank vor 3 TagenAdministrator.de Feedback71 Kommentare

Lieber User, Admins und Moderatoren, aus gegebenen Anlass möchte ich zwei Dinge endgültig klarstellen und für die Nachwelt festhalten: ...

Router & Routing

PfSense 2.4 IPSec VPN mobile Clients Phase 2 wird plötzlich nicht mehr aufgebaut - So einfach war die Lösung

Tipp von the-buccaneer vor 4 TagenRouter & Routing9 Kommentare

Moinsen! Nachdem ich mir hierbei nen Wolf gesucht habe, möchte ich doch die Welt an dieser simplen Lösung teilhaben ...

Humor (lol)
Wählscheiben Telefon
Information von brammer vor 4 TagenHumor (lol)4 Kommentare

Hallo, Mal wirkliche eine nette Spielerei brammer

Heiß diskutierte Inhalte
Backup
VMware ESXi Cluster Backup
Frage von ADRNEXBackup23 Kommentare

Hallo zusammen, Ich habe eine vmware esxi cluster Umgebung mit ca. 20TB Daten, die auf einem SAN liegen. Es ...

Netzwerkmanagement
Softwareverteilung für kleines Unternehmen mit sehr gemixter Hardware
gelöst Frage von BavarianSysadNetzwerkmanagement20 Kommentare

Hallo zusammen^^, ich stehe vor dem Problem das wir im Unternehmen eine Softwareverteilung einführen soll, leider ist dies wie ...

Windows 10
Dell Optiplex 790 Installation Windows 10
Frage von Ghost108Windows 1014 Kommentare

Guten morgen zusammen, möchte gerne auf meinem Optiplex 790 Windows 10 installieren (Clean Install). Habe das BIOS von Legacy ...

Sicherheit
Windows 10 zusperren (Ähnlich Kiosk-Modus)
Frage von SignumV6Sicherheit12 Kommentare

Hallo werte Wissende, ich suche eine Möglichkeit (Software) Windows 10 so zuzudrehen das nur ein Programm + einen PDF-Reader ...