alve89
Goto Top

Problem mit AirPlay aus Subnetz

Guten Morgen zusammen,

ich stehe vor einem Problem, das ich nicht so ganz verstehe.

Folgende Konfiguration ist derzeit vorhanden:

1. Netzwerk
  • Hauptnetz 192.168.1.0/24 für IoT-Geräte
  • Subnetz 192.168.2.0/24 für private Geräte (inkl. iDevices)
  • Beide werden durch Fritzboxen verwaltet
  • Raspberry mit Avahi als mDNS-Reflector mit Schnittstellen Ethernet und WiFi zwischen den beiden Netzen

2. Weitere Geräte
  • Denon AVR S660H, Airplay 2 fähig (im Hauptnetz)
  • U. a. RPi mit Homeassistant, für den der RPi mit Avahi genutzt wird (als Schnittstelle HA im Hauptnetz <> iPhones mit HomeKit im Subnetz, funktioniert seit Langem anstandslos)
  • Verschiedene iDevices (in Subnetz)

Seit gestern bin ich stolzer Besitzer des AVRs und wollte sogleich mit Airplay Musik darauf streamen. Folgendes passiert nach Auswahl des Denon als Lautsprecher auf dem iPhone:
1. Die Verbindung zwischen iPhone und Denon wird hergestellt
2. Der Lautstärkeregler am iPhone wird auf die Lautstärke des Denon eingestellt
3. Lautstärkeänderungen am iPhone führen zu Lautstärkeänderungen auf dem Display des Denon
4. Der Denon zeigt mir auf dem TV den aktuellen Titel, den er über Airplay empfängt
5. Es wird kein Ton auf dem Denon wiedergegeben
6. Nach zehn Sekunden bricht die Verbindung zwischen iPhone und Denon ab, jedoch nur, wenn die Musik wirklich abgespielt wird (wenn sie pausiert ist, bleibt die Verbindung bestehen)

Die Soundwiedergabe selbst läuft auf dem Denon problemlos, z. B. auch über Bluetooth vom iPhone aus. Nun dachte ich zuerst an ein mDNS-Problem.

1. Lösung: Wechseln mit iPhone von Subnetz in Hauptnetz
  • Konsequenz => Musik wird ordnungsgemäß auf dem Denon wiedergegeben
2. Lösung:
iptables
auf dem Avahi-RPi anpassen.
  • Ich habe INPUT, FORWARD und OUTPUT global auf ACCEPT geändert
  • => Konsequenz (mit iPhone und iPad wieder im Subnetz): Identische Problembeschreibung wiederholt sich bzw. bleibt bestehen


Es liegt also scheinbar an der Schnittstelle Hauptnetz <> Subnetz, aber nicht am mDNS.

Kann mir hierzu evtl. jemand helfen, auch aus dem Subnetz heraus Ton über den Denon wiederzugeben?

Danke und Grüße!

Content-ID: 2554522360

Url: https://administrator.de/contentid/2554522360

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

Looser27
Looser27 21.04.2022 um 08:44:15 Uhr
Goto Top
Moin,

Vielleicht hilft Dir das hier:

Apple AirPrint über VLANs

Gruß Looser
aqui
aqui 21.04.2022 aktualisiert um 08:47:43 Uhr
Goto Top
Nur mal doof nachgefragt weil du wenig bis gar nichts zur Netzwerk Kopplung zw. Hauptnetz und Subnetz sagst und das leider unklar ist: Der Raspberry agiert hier auch als Router so wie es HIER beschrieben ist ?
Oder wie muss man sich dein Netzwerk vorstellen ? Die FB kann hardwaretechnisch ja bekanntlich nicht zw. 2 lokalen Segmenten routen weil sie keine Schnittstellen dafür hat.
Wie du mit mDNS auf einem Proxy richtig umgehst hast du ja schon in einem früheren Thread umfassend geklärt. face-wink
alve89
alve89 21.04.2022 aktualisiert um 09:06:36 Uhr
Goto Top
Zitat von @Looser27:

Moin,

Vielleicht hilft Dir das hier:

Apple AirPrint über VLANs

Gruß Looser

Da ich die Firewall komplett deaktiviert habe, sollte das erst im Nachgang relevant werden.


Zitat von @aqui:

Der Raspberry agiert hier auch als Router so wie es HIER beschrieben ist ?
Oder wie muss man sich dein Netzwerk vorstellen ? Die FB kann hardwaretechnisch ja bekanntlich nicht zw. 2 lokalen Segmenten routen weil sie keine Schnittstellen dafür hat.

Die Fritzboxen sind ja nicht sehr einstellungsreich, daher habe ich sie gemäß dieses Links konfiguriert. FB 2 hängt also an LAN1 von FB1.
Du meinst sicher den Raspberry mit Avahi? Den habe ich ausschließlich mit Avahi versehen und dort als mDNS-Reflector konfiguriert, mehr nicht. Nur die Fritzboxen arbeiten (bisher) also als Router.

Wie du mit mDNS auf einem Proxy richtig umgehst hast du ja schon in einem früheren Thread umfassend geklärt. 😉

mDNS läuft dank eurer Hilfe mittlerweile auch wie gewünscht (siehe Homeassistant <> HomeKit) 😊
Looser27
Looser27 21.04.2022 um 09:29:31 Uhr
Goto Top
Dann hast Du mit den 2 Fritzboxen eine Routerkaskade mit doppeltem NAT gebaut...
Hast Du mal versucht mit Portfreigaben zu arbeiten?
aqui
aqui 21.04.2022 aktualisiert um 09:40:33 Uhr
Goto Top
daher habe ich sie gemäß dieses Links konfiguriert. FB 2 hängt also an LAN1 von FB1.
Das ist dann klar das das scheitern muss !
Das NAT (IP Adress Translation) ist bei der FritzBox bekanntlich nicht abschaltbar ! Die FB supportet das im Gegensatz zu anderen Routern nicht.
Dadurch bekommst du eine Routing Einbahnstrasse, denn die NAT Firewall wird alle Verbindungen FB1 zu FB2 deswegen blocken.
Das o.a. zitierte Tutorial beschreibt diese NAT Problematik bei typischen Router Kaskaden im Detail. (Siehe "Weg eines Paketes.." !) Zeigt leider das du das Tutorial nicht wirklich gelesen hast. face-sad
Viele Laien übersehen leider immer wieder diese Problematik nicht abschaltbaren NATs bei Router Kaskaden. (Siehe dazu auch hier)
Fazit:
Vergiss die Routerkaskade mit den beiden FBs und stecke einen preiswerten USB Ethernet Adapter in deinen Raspberry und route deine beiden IP Netze über den. Da gibts keinerlei NAT und dann klappt das auch sofort und... erspart dir eine überflüssige FritzBox. face-wink
Looser27
Looser27 21.04.2022 um 09:44:52 Uhr
Goto Top
oder beide Fritzboxen raus und eine pfSense. Fürs Telefon lann man eine Fritzbox dann weiter nutzen.
alve89
alve89 21.04.2022 aktualisiert um 14:11:14 Uhr
Goto Top
Danke euch beiden für die Hinweise.

Zitat von Looser27:
Hast Du mal versucht mit Portfreigaben zu arbeiten?

Damit würde ich meine Firewall perforieren, was ich ja eigentlich explizit nicht will. Insbesondere durch das DHCP auf FB2 wird das schwierig, da sich die IP-Adressen der einzelnen Geräte ändern können.

Zitat von @aqui:
Zeigt leider das du das Tutorial nicht wirklich gelesen hast. face-sad
Das Tutorial habe ich tatsächlich nur überflogen, weil es für mich ja bisher nicht zutreffend war (ich betreibe noch keinen eigenen Router, sondern überlasse diese Aufgabe den beiden Fritzboxen).

stecke einen preiswerten USB Ethernet Adapter in deinen Raspberry und route deine beiden IP Netze über den. Da gibts keinerlei NAT und dann klappt das auch sofort und... erspart dir eine überflüssige FritzBox. face-wink

Der Sinn der Routerkaskade war ja die Trennung zwischen "unsicherem" IoT-Netz und sicherem Privatnetz, quasi als DMZ-Variante.
Ich verstehe es nun so:
- Nur FB2 wird durch den Raspberry ersetzt, Standardgateway hierfür wäre dann dennoch 192.168.1.1 (FB1). Auf diesem Raspberry würden dann laufen: Avahi, Firewall (iptables oder pfSense) und irgendeine Lösung zum Routen von Traffic (dafür würde ich dann das verlinkte Tutorial zu Rate ziehen).
- Die DMZ wird weiterhin durch FB1 gewährleistet.

Fragen, die sich mir jetzt noch stellen:
- Reicht denn der Raspberry (derzeit läuft Avahi aufgrund der geringen Anforderungen nur auf einem Zero 2) für ordentliche Netzwerkgeschwindigkeiten im Subnetz aus? Als Alternative zum Zero 2 wäre auch ein 4B möglich, dann über USB3 auf Ethernet.
- Ist es sinnvoller (und sicherer), einen eigenen Router (auf Raspberry-Basis) aufzusetzen oder reicht hier auch ein besserer Router inkl. WLAN-Accesspoint (Mikrotik HAP o. ä.)? Im Bereich Netzwerk bin ich nämlich absoluter Laie und eine DMZ in Verbindung mit einem schlecht konfigurierten Raspberry-Router führt die DMZ-Lösung ja ad absurdum.
Looser27
Looser27 21.04.2022 um 14:42:06 Uhr
Goto Top
Bau das doch nicht so kompliziert.....das kannst Du alles mit einer (!) pfSense abfackeln.
Und die Fritzbox dann als Telefonanlage da dran.
Fürs WLAN nen preisgünstigen AP....Mikrotik oder Unifi.
Die pfSense läuft auf nem APU Board. somit sind die Kosten überschaubar.
Der Raspi wird für das Vorhaben eher nicht genug Leistung haben.

Gruß

Looser
aqui
aqui 21.04.2022 aktualisiert um 15:06:09 Uhr
Goto Top
sondern überlasse diese Aufgabe den beiden Fritzboxen
Und die sind dann nicht in deinem Eigentum ?? Nur wegen "ich betreibe noch keinen eigenen Router". Zwei scheinst du ja dennoch zu betreiben. face-wink
Der Sinn der Routerkaskade war ja die Trennung zwischen "unsicherem" IoT-Netz und sicherem Privatnetz, quasi als DMZ-Variante.
Das leistet der RasPi mit iptables oder nftables ebenso ! Und das auch noch erheblich besser, da granularer was die FB nicht leisten kann. face-wink
Ich verstehe es nun so: Nur FB2 wird durch den Raspberry ersetzt, Standardgateway hierfür wäre dann dennoch 192.168.1.1 (FB1).
Richtig ! Halte dich einfach an die Skizze des o.a. Routing Tutorials. Der dort skizzierte Router ist dein RasPi mit den 2 Interfaces.
Wenn du einen VLAN Switch und MSSID fähige APs besitzt reicht sogar das onboard Interface allein aus. Siehe dazu HIER.
Reicht denn der Raspberry für ordentliche Netzwerkgeschwindigkeiten im Subnetz aus? Die Frage ist ja etwas sinnfrei wenn das ein IoT Segment ist ! Was erwartest du denn da realistisch für Datenraten ? Benchmarks z.B. hier. Der 4er macht Gig Wirespeed weil er die Limitierung über die internen USB Ports nicht hat.
oder reicht hier auch ein besserer Router inkl. WLAN-Accesspoint (Mikrotik HAP o. ä.)
Wäre dann für dich unter Berücksichtigung deiner Fähigkeiten deutlich sinnvoller, da die Kosten gleich oder besser sind. der hAP-Lite kostet um die 20 Euro mit 100 Mbit Ports. Wenn du Gig benötigst bist du beim RB750G3 (hEX)
Oder....
Alternative, wie der Kollege @Looser27 oben sagt, alles mit einer pfSense/OPNsense abfackeln.
Ist aber deutlich teurer als der MT.
Njord90
Njord90 21.04.2022 um 14:52:49 Uhr
Goto Top
Nimm dir vielleicht ein bisschen Zeit und les dich gründlich in das Thema Netzwerk ein.

Du hämmerst da ziemliche viele Sachen gerade massiv durcheinander.

1. Betreibst du ja sehr wohl einen eigenen Router denn ne Fritzbox ist nichts anderes
2. DMZ wird in einem seperaten Netzwerk betrieben entweder hinter einer oder zwischen mehreren Firewalls (grob vereinfacht gesagt). Der Sinn dahinter ist z.b. einen Webshop für den Rest der Welt bereitzustellen ohne dabei Gefahr zu laufen dass irgendein ein Skriptkiddie/Hacker/whatever über diesen Webshopserver in das Firmeninterne Netz zugreifen kann.
Auf Youtube findest von Raspberry Pi Cloud eine sehr anschauliche Erklärung was eine DMZ zu tun hat
3. Das was du erreichen möchtest, die Trennung deiner IoT Geräte vom restlichen Netzwerk, erreichst du über eine Netzwerksegmentierung mit entsprechenden Firewallregeln oder ACL´s
4. Da du ja selbst merkst dass dein Wissen über Netzwerke noch Nachholbedarf hat rate ich dir ganz dringend von deiner Idee mit dem Raspberry-Router ab. Guck dich hier im Forum um da gibt es genug Empfehlungen welche Router, Switche und AP´s deinen Bedürfnissen entsprechen könnten und entscheide dich dann für einen Hersteller und fang step by step an dir deine Vorstellung vom Netzwerk aufzubauen.
alve89
alve89 21.04.2022 aktualisiert um 16:04:02 Uhr
Goto Top
Zitat von @Looser27:

Bau das doch nicht so kompliziert.....das kannst Du alles mit einer (!) pfSense abfackeln.
Und die Fritzbox dann als Telefonanlage da dran.
Fürs WLAN nen preisgünstigen AP....Mikrotik oder Unifi.
Die pfSense läuft auf nem APU Board. somit sind die Kosten überschaubar.
Der Raspi wird für das Vorhaben eher nicht genug Leistung haben.

Das mit der Leistung hatte ich ja schon befürchtet. Telefon brauche ich nicht, damit würde die auch die FB1 gänzlich wegfallen.
Wenn die pfSense direkt am Netz hängt, ohne "professionelle" (im Sinne von "nicht durch mich Laien aufgesetzt") läuft, ist mir das zu riskant. Zumal dafür auch noch ein neues Board notwendig werden würde.
Scheint leider nicht so ganz das für mich Passende zu sein...

Zitat von @aqui:

sondern überlasse diese Aufgabe den beiden Fritzboxen
Und die sind dann nicht in deinem Eigentum ?? Nur wegen "ich betreibe noch keinen eigenen Router". Zwei scheinst du ja dennoch zu betreiben. face-wink

Das ist natürlich klar, ich meinte eher "keinen selbst aufgesetzten Router" (à la Raspberry). face-wink

Der Sinn der Routerkaskade war ja die Trennung zwischen "unsicherem" IoT-Netz und sicherem Privatnetz, quasi als DMZ-Variante.
Das leistet der RasPi mit iptables oder nftables ebenso ! Und das auch noch erheblich besser, da granularer was die FB nicht leisten kann. face-wink
Ich verstehe es nun so: Nur FB2 wird durch den Raspberry ersetzt, Standardgateway hierfür wäre dann dennoch 192.168.1.1 (FB1).
Richtig ! Halte dich einfach an die Skizze des o.a. Routing Tutorials. Der dort skizzierte Router ist dein RasPi mit den 2 Interfaces.
Wenn du einen VLAN Switch und MSSID fähige APs besitzt reicht sogar das onboard Interface allein aus. Siehe dazu HIER.
Reicht denn der Raspberry für ordentliche Netzwerkgeschwindigkeiten im Subnetz aus? Die Frage ist ja etwas sinnfrei wenn das ein IoT Segment ist ! Was erwartest du denn da realistisch für Datenraten ? Benchmarks z.B. hier. Der 4er macht Gig Wirespeed weil er die Limitierung über die internen USB Ports nicht hat.

Wenn der Raspberry FB2 ersetzt (= Router des privaten Netzes), ist das ja nicht der Router für IoT, sondern für Smartphones, Tablets, Laptops etc. Demnach kann durchaus mit höheren Datenraten als mit denen für IoT-Devices gerechnet werden (Streaming etc.). sieht man ja auch an der Benchmark-Tabelle.

oder reicht hier auch ein besserer Router inkl. WLAN-Accesspoint (Mikrotik HAP o. ä.)
Wäre dann für dich unter Berücksichtigung deiner Fähigkeiten deutlich sinnvoller, da die Kosten gleich oder besser sind. der hAP-Lite kostet um die 20 Euro mit 100 Mbit Ports. Wenn du Gig benötigst bist du beim RB750G3 (hEX)
Oder....
Alternative, wie der Kollege @Looser27 oben sagt, alles mit einer pfSense/OPNsense abfackeln.
Ist aber deutlich teurer als der MT.

Das klingt für mich sinnvoller, da sowohl kostengünstiger als auch einfacher zu konfigurieren, da ich nicht selbst in der Linuxwelt arbeiten muss.

Zitat von @Njord90:

Da du ja selbst merkst dass dein Wissen über Netzwerke noch Nachholbedarf hat rate ich dir ganz dringend von deiner Idee mit dem Raspberry-Router ab.

Das war nicht meine Idee! face-big-smile Ich habe nur im Laufe dieses Threads lernen müssen, dass es tatsächlich nicht am mDNS liegt, sondern am Routing.

2. DMZ wird in einem seperaten Netzwerk betrieben entweder hinter einer oder zwischen mehreren Firewalls (grob vereinfacht gesagt). Der Sinn dahinter ist z.b. einen Webshop für den Rest der Welt bereitzustellen ohne dabei Gefahr zu laufen dass irgendein ein Skriptkiddie/Hacker/whatever über diesen Webshopserver in das Firmeninterne Netz zugreifen kann.

Genau das ist ja mein Ziel. Ich stelle zwar keinen Dienst aus der DMZ öffentlich zur Verfügung, jedoch dachte ich an die Gefahr, dass eines der IoT-Geräte einen Port in der FB1-Firewall öffnen könnte, über den dann von außen zugegriffen werden kann. Und um dann nicht auch das private Netz zu gefährden, habe ich das hinter eine zweite Firewall (= FB2) gepackt.


Auf die Gefahr hin, aufgrund von Inkompetenz hier rausgeworfen zu werden:

Wäre das Nachfolgende eine Lösung für mein Problem, ohne mich in die Unsicherheit eines selbst aufgesetzten Raspberry / APU - Routers begeben zu müssen? Hier würde jedoch m. E. noch ein WLAN-AP fehlen - gibt es hierfür Vorschläge, ggf. direkt in Verbindung mit einem ordentlichen (GBit) Router inkl. Firewall? Also quasi eine FB in viel besser?

Internet > FB 1 > DMZ für IoT (inkl. Denon für Airplay) > bspw. RB750G3 (+ AP) > Privates Netz


Ich möchte bis hierhin schon mal ein großes Dankeschön an euch drei aussprechen, ihr habt mir bisher schon sehr geholfen!
alve89
alve89 21.04.2022 um 15:47:01 Uhr
Goto Top
Evtl. RBD52G-5HacD2HnD-TC?
Looser27
Looser27 21.04.2022 aktualisiert um 16:03:13 Uhr
Goto Top
Ich behaupte jetzt einfach mal, dass Du mit ein wenig try and error sowohl den Mikrotik als auch die pfSense aufgesetzt bekommst. Für den Mikrotik gibt es sehr anschauliche Tutorials bei Youtube von Pascom.
Oder die Anleitungen von @aqui.
alve89
alve89 05.06.2022 um 20:25:23 Uhr
Goto Top
Ich habe testweise den hAP ac3 bestellt. Die Konfigurationsmöglichkeiten finde ich interessant (wenn auch teilweise für mich zu viel), aber nachdem ich mich jetzt etwas mehr damit beschäftigt habe, glaube ich verstanden zu haben, dass mein gewünschtes Ziel (mDNS Reflector zwischen unterschiedlichen Netzen) nicht funktioniert.
Daher nun meine Frage, welche WLAN-Router (mit integriertem Switch) mit ähnlicher Konfigurierbarkeit (Interfaces, eigene Netze, VLANs) etc. das beispielsweise unterstützen? Dann könnte ich nämlich den Avahi-Raspberry vom Netz nehmen.

Für eure Vorschläge diesbezüglich danke ich euch bereits jetzt!