Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Routing von UPnP-Traffic mittels pfSense

Mitglied: Waldwuffel

Waldwuffel (Level 1) - Jetzt verbinden

18.11.2019, aktualisiert 21:32 Uhr, 185 Aufrufe, 3 Kommentare

Habe Folgendes gerade als Antwort auf einen älteren Beitrag geschrieben. Damit es auch zur Kenntnis genommen wird, hier noch einmal (leicht verändert):

In der nächsten Zeit will ich im Rahmen meines Heimnetzwerks ein separates Server-Subnetz einrichten (hauptsächlich zum Ausprobieren und weniger, weil das unbedingt nötig wäre...); und einer der Dienste darin sollen Medien via UPnP sein (minidlna).

Aktuell tendiere ich dazu, als Basis für die Firewall zwischen User- und Server-Netz ein allgemeines Debian oder CentOS zu verwenden (auf einem apu2d4) - gern würde ich aber auch pfSense einsetzen. Ein Hauptgrund dagegen ist, dass ich damit bisher keine Möglichkeit sehe, wie man den UPnP-Traffic einigermaßen sicher zwischen den Netzen zulassen können sollte.
Meine aktuelle Lösung sieht folgendermaßen aus:

Auf der Firewall läuft SMCRoute, um die Pakete, die (von beiden Seiten) an bzw. über 239.255.255.250 gehen, zu routen. Und damit die Antwortpakete auf das Discovery des Clients an den minidlna ebenfalls durchkommen, ohne, dass gleich alles geöffnet werden muss, wird ein entsprechender ipset-Eintrag gemacht, den iptables nachher verwenden kann. Die iptables sehen folgendermaßen aus:

01.
-A FORWARD -i ens192 -o ens224 -s 192.168.0.0/24 -d 239.255.255.250/32 -p udp --dport 1900 -m conntrack --ctstate NEW -j UPNP
02.
-A FORWARD -i ens224 -o ens192 -s 10.0.0.11/32 -p udp -m set --match-set upnp dst,dst -j ACCEPT
03.
-A FORWARD -i ens224 -o ens192 -s 10.0.0.11/32 -d 239.255.255.250/32 -p udp --dport 1900 -m conntrack --ctstate NEW -j ACCEPT
04.
-A FORWARD -i ens192 -o ens224 -s 192.168.0.0/24 -d 10.0.0.11/32 -p tcp --dport 8200 -m conntrack --ctstate NEW -j ACCEPT
05.

06.
[...]
07.

08.
-A UPNP -j SET --add-set upnp src,src --exist
09.
-A UPNP -j ACCEPT
Der ipset-Eintrag:

01.
create upnp hash:ip,port family inet hashsize 1024 maxelem 65536 timeout 3
Und die config von SMCRoute:

01.
mgroup from ens192 group 239.255.255.250
02.
mroute from ens192 group 239.255.255.250 to ens224
03.

04.
mgroup from ens224 group 239.255.255.250
05.
mroute from ens224 group 239.255.255.250 source 10.0.0.11 to ens192
Mir ist klar, dass UPnP nicht wirklich zu dem gehört, wofür pfSense und dergleichen eigentlich vorgesehen sind - trotzdem würde mich interessieren, ob eine vergleichbare Lösung damit irgendwie möglich wäre?
Mitglied: aqui
19.11.2019 um 09:21 Uhr
Nein, dein Weg bei der Anforderung ist da der bessere. Der Grund ist die wenig bis nicht vorhandene Routing Unterstützung für Multicast. pfSense und OpenSense haben wie viele der klassischen Enterprise Firewalls kein vollständiges Multicast Routing an Bord (PIM Sparse oder Dense, SSM) und nur einen rudimentären IGMP Proxy.
Für deine sehr spezielle Anwendung fährst du mit dem smcroute Daemon besser.
Eine Alternative wäre ggf. noch ein Multicast fähiger Router mit einer Firewall an Bord wie z.B. ein Mikrotik. Alle MT Router supporten vollständig PIM Sparse mit dem zusätzlichen Multicast Package und haben alle eine vollständige SPI Firewall an Bord. Bei einem kleinen 5 Port Router bist du mit 20 Euro im Einstiegsbereich dabei.
https://www.varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941- ...
https://www.varia-store.com/de/produkt/31133-mikrotik-routerboard-rb750r ...
Bitte warten ..
Mitglied: Waldwuffel
21.11.2019 um 21:31 Uhr
Vielen Dank für den Tipp! Ansonsten: ja, davon bin ich ausgegangen. Man findet kaum etwas dazu, und wenn, dann eher, dass es wohl nicht möglich ist. Wollte nur sicher gehen, da mich speziell pfSense interessiert hätte. Vor allem will ich mich mit Open-Source-Firewalls auseinandersetzen. Eine andere Möglichkeit in dem Bereich wäre vielleicht noch OpenWrt. Da gibt es sowohl ipset als auch SMCRoute als Paket. Und so, wie es aussieht, lassen sich auch manuell eigene Regeln in die iptables eintragen. Auf der anderen Seite sehe ich da letzten Endes keinen wirklichen Unterschied zu einem eigenen speziell für den Zweck eingerichteten Linux mit nur diesen Diensten.
Bitte warten ..
Mitglied: aqui
22.11.2019 um 16:37 Uhr
Letztlich kann man alles was man mit dedizierten Routern wie Cisco, Mikrotik usw. machen kann auch komplett mit Linux machen. Das ist immer die Frage was man will und was sinnvoll ist im jeweiligen Umfeld.
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Router & Routing
Kaskadiertes Netz UPnP
Frage von Morpheus112Router & Routing4 Kommentare

Hallo Leute, ein Bekannter von mir besitzt ein kaskadiertes Netz und hat Avast installiert. An beiden Router ist UPnP ...

Netzwerke
PfSense - Firewallregeln für UPNP?
gelöst Frage von FA-jkaNetzwerke9 Kommentare

Hallo, wenn ein Host hinter einer pfSense einen Port via UPNP aufmacht - muss ich dann zusätzlich eine Firewallregel ...

Router & Routing

Traffic Kontrolle bei Inter VLAN Routing auf Layer 3 Switch

gelöst Frage von macomarRouter & Routing5 Kommentare

Hallo in die Runde, es besteht die Aufgabe, ein 192.168.er Netz in mehrere Netze via VLANs zu segmentieren (Server, ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 4 TagenWindows Installation11 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 5 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 5 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 7 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Router & Routing
Mikrotik CRS305 4Port SFP+ Router-Switch, VMWare und Fritzbox (Netzwerk Internetproblem)
Frage von SickcultureRouter & Routing18 Kommentare

Auf der Suche nach Antworten im Netz kommt man unweigerlich auf eure Seite und die deutsche Mikrotik Blog Seite. ...

Windows Server
Netzwerk Planung Homeoffice
Frage von siopoqruipWindows Server17 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

MikroTik RouterOS
Mikrotik Router empfehlenswert?
gelöst Frage von matze2090MikroTik RouterOS16 Kommentare

Hallo, ich würde gerne mir Mikrotik anschauen. Reicht dieser Router zum erstmal Test? Er Kostet ca 23€. Ich habe ...

Firewall
Suche Hardware
Frage von snowflockeFirewall15 Kommentare

Ich habe derzeit eine Virtualisierte OpnSense im Einsatz und soweit funktioniert die auch wie sie soll, allerdings ist das ...