UPNP mit Mikrotik Routerboard hEX PoE und D-Link DGS-1210-24 Switch

Normal ein NoGo im Netzwerk. Auf alle Fälle aber am Internet Router, denn dort sollte UPnP immer dekativiert sein, weil man damit die Firewall manipulieren kann mit fatalen Folgen.
Ob du generell willst das UPnP "rumfummeln" darf an deinen Infrastruktur Komponenten wie Router oder Switch musst du selber wissen. Verantwortungsvolle Netzwerker lassen es logischerweise immer AUS aus naheliegenden Gründen ! Mal abgesehen davon das man es dort auch gar nicht braucht und es mit deinem eigentlichen Problem auch nicht das geringste zu tun hat.
Ggf. solltest du also dein Vorhaben nochmal überdenken ?!
Yepp, das sieht in der Tat gut aus...!
Nicht in die weite Welt, das ist Unsinn. Die MC Gruppe ist immer nur in der Layer 2 Domain aktiv, also rein in dem VLAN Segment sonst nirgendwo.
Wie man mit Multicast auch einmal testweise im LAN umgeht erklärt dieser Forenthread!

Fazit:
Dringend Grundlagen zum Multicasting lesen bzw. ansehen und verstehen !!
Am besten ALLE Folgen !!
Keine gute Wahl !
Auch für Multicast gibt es private Bereiche analog zum RFC 1918 der privaten IP Netze !!
Dafür ist der Bereich 239.253.0.0 /16 und 239.192.0.0 /14 fest reserviert und du solltest tunlichst auch diese Adressen dafür nutzen. Siehe RFC 2365.
Idealerweise also Irgendwetwas mit 239.192.x.y.

Vermutlich machst du einen Denkfehler der aus fehlenden Netzwerk Kentnissen resultiert.
IGMP Snooping ist eine reine Layer 2 Funktion, wirkt also nur im lokalen Layer 2 Segment.
Es ist richtig das global auf dem Switch zu aktivieren damit der Switch das für alle VLANs macht und nicht nur für ein spezifisches.
Das reduziert Traffic und schont die Performance des Switches bzw. Netzes !
IGMP hat aber nichts mit Multicast Routing zu tun, also dem Layer 3 Forwarding von Multicast !
Um Multicast in die anderen VLAN Segmente zu bekommen musst du Multicast Routing aktivieren mit PIM Sparse Mode und eine Rendezvous Point IP Adresse auf dem Mikrotik setzen.
Kollege @kokosnuss hat ja schon alles Relevante dazu gesagt oben.

Dazu ist zwingend das Multicast Package auf dem MT zu installieren was im Default auf den MIPS basierten MT Modellen nicht aktiv bzw. nicht installiert ist.
Ist seit Version 7 im Default mit an Bord.

• Du lädst dir dazu das "Extra Package" runter: https://mikrotik.com/download für deine Plattform und die korrespondierende Version ! (aktuell 6.48.3)
• Dann entpackst du das .zip File
• In Winbox gehst du unter "Files" und ziehst einfach das Multicast Package multicast-6.40.4-mipsbe.npk in den Dateibereich per Drag and Drop.
• Danach rebootest du den MT

Wenn du jetzt unter Packages gehst dann siehst du das Multicast Routing als Feature installiert ist und auch aktiviert ist im Setup des MT:

Danach gehst du auf deine Layer 3 Interfaces am MT und konfigurierst dort PIM Routing. Zusätzlich musst du eine Rendezvous Point IP Adresse angeben. Das kann irgendeine IP Adresse eines deiner Interfaces sein. Am besten die die niemals oder selten in den Down State geht oder gehen und nahe des Multicast Senders sind.
bzw. RP

Die Warnung vom Kollegen @kokosnuss (aus dem Forum abgemeldet deshalb "134464" oben) ist berechtigt.
Beachte das es Multicast Gruppen gibt die reine local Multicasts sind. (Sog. Link Local Multicast Goups) Diese haben ein TTL von 1, können also per se NICHT geroutet werden. Bonjour bzw. mDNS gehören dazu.
Hier hilft dann nur ein Proxy Server wie hier beschrieben.

Weitere Multicast Routing Beispiele zeigt das PIM Routing mit pfSense und OPNsense Firewalls:
Multicast über VLANs hinweg auf PfSense

Wir sind gespannt...

Hallo zusammen und nachträglich,

Wenn alle Stricke reißen sollten, kann man auch folgendes mit dem MikroTik Router machen;
- WireShark installieren und dann heraus finden welche Protokolle und Ports vom uPnP Server benutzt werden
- Den SOCKS Proxy am MikroTik aktivieren und dann dort die TCP/UDP Ports freigeben und dann läuft damit auch uPnP
wie gewünscht wenn man einen Routerkaskade hat, also der MikroTik Router der zweite (interne) Router ist empfiehlt sich
das ganze Vorhaben auf jeden Fall. Und Netzwerk interne auch, sollte der MikroTik Router aber der WAN Router sein sollte
man davon Abstand nehmen.

Gruß
Dobby

Es geht ja gar nicht um UPnP sondern Multicast wie sich herausgestellt hat
Und da nützt ihm der Socks Proxy nix.

Das Verfahren ist hier eigentlich sehr anschaulich erklärt
https://wiki.mikrotik.com/wiki/Manual:Multicast_detailed_example
Wenn du das durch hast sollten eigentlich keine Fragen mehr offen sein.

Das liegt daran das manche zur Erkennung von Dlna Quellen unterschiedliche Verfahren einsetzen.
Doch das geht, hatten wir oben schon geschrieben, du brauchst einen Avahi Daemon see mit mDNS umgehen kann.
Musiccast kenne ich momentan noch leider nicht, basiert aber auf UDP Multicasts und das unterstützt der Mikrotik IMHO noch nicht.
https://github.com/neutmute/neutmute.github.io/blob/master/_posts/blog/2 ...

Woran hapert es denn ??
Die "Beschreibung" ist ja auch erstmal völlig egal. Als erstes sollst du ja ewrstmal nur das Package instrallierenb auf dem Router !!!
Hat das denn wenigstens geklappt ? Siehst du die Option PIM Routing zu konfigurieren im Setup ??
DAS wäre wichtig, denn das zeigt das das Feature sauber installiert und erkannt wurde !!!
Bis dahin solltest du erstmal kommen.
Nein,. solche simplen Basics wie erstmal die grundlegende Installation sollte man auch als Laie können.
Richtig und falsch !
Richtig ist der RP aber vollkommen falsch die Group anzugeben ! Hier MUSS der default 0.0.0.0 stehen. Damit routet der Router dann ALLE Multicast Gruppen unjd nicht nur eine spezifische !
Das solltest du also besser schnell wieder korrigieren !
Das ist falsch bzw. ganz falsch !!
Warum: Damit aktivierst du das BSR Protocoll auf dem MT:
http://blog.ine.com/2009/04/07/understanding-bsr-protocol/
BSR nutzt man zur dynamischen Weiterleitung von RPs in einem Multicast Netz mit mehreren PIM Routern. BSR distribuiert dann die RPs mit Backup RP in einem Nertzwerk vollkommen automatisch.
Das ist bei dir vollkommen überflüssig und sinnfrei, da du keine multiplen MC PIM Router hast im Netz.
Finger weg also von den "Candidate" Konfigs !!! Dort musst du NICHTS eintragen weil du BSR nicht nutzt bzw. nutzen sollst !!
Abgesehen davon ist die BSR Implementation auf dem MT in der 6.x er Version vom Router OS total buggy und funktioniert nicht richtig. Ein weiterer gewichtiger Grund das NICHT zu nutzen.
Also auch das bitte löschen ! Du brauchst lediglich PIM Routing auf den beteiligten Interfaces wo MC rüber soll und die statische RP Adresse !! Mehr nicht !
Ganz Falsch !
Es gilt: Weniger ist mehr. Und bitte nicht denken sondern nachdenken !!!
Deshalb belasse diese bitte auch auf deren Default Settings !
Igittt... das Gruseligste und Übelste an Router was man sich antun kann. Aber egal...das ist nicht das Problem. Der muss ja nicht MC routen und ist nur der doofe Internet Router an den der MT alles forwardet.
Solche einfachen Basics kann auch der doofe Speedport.
Solange du beachtest das der kein statisches Routing kann und du auf dem WAN Port des MT (also der der zum Speedport geht) damit dann zwingend NAT (Adress Translation, Masquerading) machen musst !!
Das stimmt. Sieht soweit schon ganz gut aus. Wenn du die o.a. Anpassungen machst, insbesondere die Finger vom BSR Setup (Candidate xyz) lässt, dann funktioniert das auch !
Wie gesagt. Nicht wirklich gut. Halte dich an den Standard und nutze eine dafür reservierte Gruppe im Bereich 239.253.x.y /16 oder 239.192.x.y /16 !
Sofern du das selber bestimmen kannst im Setup !
Richtig ! Das ist mDNS und nutzt eine local MC Gruppe mit TTL = 1 das ist nicht routebar aber ein kleiner Raspberry als mDNS Proxy bringt das auch zum Fliegen...siehe oben.

Deswegen immer besser hier fragen
Noch ??? Richtige Netzwerker setzen so einen Schrott nicht ein und bestimmen ihre Hardware immer selber.
Eine Fritzbüx wäre da die bessere Wahl wenns denn Consumer Equipment sein soll.
Noch besser wäre es den MT statt so einer Kaskade mit einem einfachen nur Modem direkt anzuschliessen. Siehe hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
oder Alternative 1 hier:
Kopplung von 2 Routern am DSL Port
Da gibts noch Verbesserungs Potentzial
Wenns nicht geht dann so lassen.... Ein KO Kriterium ist das nicht.
Das ist die richtige Einstellung. Und die Erfahrungen kann dir keiner mehr nehmen.

Gar nicht !
Der Avahi broadcastet ja all diese Informationen mit einer local Multicast Adresse an die entsprechenden Clients in dem Netzsegment. Dort gibt er ihnen dann ja auch via mDNS die Ziel IP Adressen mit über die dieser Dienst zu erreichen ist und dann greift wieder stinknormales IP Routing.
Der MT muss also nur sauber routen können (was er bei dir ja kann) und gut iss.
So wie hier beschrieben ??:
Netzwerk Management Server mit Raspberry Pi
Mmmhhh...wenn du den RasPi Port entsprechend der o.a. Beschreibung angelegt hast dann ist das ja ein tagged Port sprich er sendet bis aufs Native VLAN alle Pakete zu den anderen VLANs an diesem Port dann mit einem VLAN Tag aus.
Logischerweise muss der Port am MT an dem der RasPi angeschlossen ist dann auch TAGGED sein !!
Hast du das so umgesetzt ??? Vermutlich wohl nicht
Hier wäre ein Output der Datei etc/network/interfaces und ein Screenshot der MT Port Konfig sehr hilfreich gewesen um dir zielführend helfen zu können. Aber leider fehlte das
Bahnhof ? Ägypten ? Rembrandt ?
Gernau so ist es !
Guckst du hier für eine Schnellschulung zum Therma VLANs:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Oder auch hier im hiesigen VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ja und Nein....
Ja, was die tagged VLANs auf dem Port anbetrifft
Nein was das Native VLAN anbetrifft. Also das VLAN in das der Port untagged Pakete forwardet im Switch. In der Regel ist das das VLAN 1.
Der RasPi sendet alle Pakete die vom phyischen Port z.B. eth1 kommen immer untagged. (Native VLAN)
Beispiel mit externem USB Adapter an eth1 am RasPi:
allow-hotplug eth1
iface eth1 inet static --> Das ist das native VLAN, untagged
address 10.1.1.1
netmask 255.255.255.0
auto vlan10
iface vlan10 inet static --> Das ist das VLAN 10 Interface auf eth1 , tagged Pakete mit VLAN ID 10
address 10.10.1.1
netmask 255.255.255.0
vlan_raw_device eth1
auto vlan20
iface vlan20 inet static --> Das ist das VLAN 20 Interface auf eth1 , tagged Pakete mit VLAN ID 20
address 10.20.1.1
netmask 255.255.255.0
vlan_raw_device eth1
Der dazu korrespondierende Port am Switch muss tagged für VLAN 10 und 20 eingerichtet sein und das native, oder Default VLAN ist 1.
Damit ist dann der PasPi im VLAN 1 unter 10.1.1.1 und im VLAN 10 unter 10.10.1.1 und im VLAN 20 unter 10.20.1.1 anpingbar.
So einfach ist das !
Yepp, das kann man wohl sagen....

Die RasPi Konfig ist soweit OK ! Natürlich nur wenn du auch den VLAN Support mit apt-get install vlan vorher installiert hast, was wir aber mal annehmen.
Ein ifconfig sollte dir dann die Interfaces und deren IPs auf dem RasPi anzeigen nach einem Reboot.
OK, das kann man natürlich machen.
Wenn das ein normaler untagged Port ist der nur ausschliesslich im Default VLAN 1 hängt dann ist am RasPi auch nur das native eth0 Interface aktiv. Das kannst du wie gesagt mit ifconfig wasserdicht überprüfen:
root@raspi:/home/admin# ifconfig
eth0 Link encap:Ethernet HWaddr b8:27:ec:d6:d8:1f
inet addr:172.16.1.100 Bcast:172.16.1.255 Mask:255.255.255.0<--
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3219642 errors:0 dropped:0 overruns:0 frame:0
TX packets:484603 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:181462112 (173.0 MiB) TX bytes:59001454 (56.2 MiB)
Wenn dieser Port dann zusätzlich noch TAGGED gesetzt ist für die VLANs 100 und 101 ist das genau richtig.
Die jeweiligen RasPi IP Adressen sollten sich dann in den VLANs 1, 100 und 101 fehlerfrei anpingen lassen.
Das ist korrekt verstanden und alles richtig gemacht !
Nein, tust du nicht ! Der RasPi Port ist dann untagged in VLAN 1 und tagged in VLAN 100 und 101. Das ist von Seiten des RasPi alles richtig.
Aber Vorsicht hier. Die RasPi IP im Default VLAN 1 ist DHCP basierend. Die kann sich also nach jedem Reboot ändern. Hier solltest du VORHER immer direkt am Terminal mit ifconfig nachsehen was da für eine IP anliegt.
Sinnvoll wäre es dem RasPi hier auch eine feste statische IP zu geben oder den DHCP Server so zu setzen, das der RasPi auf Basis seiner Mac Adresse immer eine feste IP im VLAN 1 bekommt.
Ein ifconfig Screenshot vom RasPi wäre mal hilfreich hier.
Sollte es dennch wider Erwarten nicht klappen, dann hast du an der Switchkonfig was falsch gemacht ! Das dürfte der Grund sein warum es nicht klappt, denn das es sauber klappt kannst du am obigen RasPi Tutorial in der Rubrik VLAN ja nachlesen.
Du kannst das auch ganz einfach mal verifizieren indem du an den Switchport mal einen Wireshark anschliesst. Das wäre ein wasserdichter Beweis um zu sehen ob die Pakete aus den VLANs 100 und 101 dort mit einem entsprechenden Tag versehen sind.
Analog kann man das am RasPi Port machen und dann vom RasPi mal einen Ping ins VLAN 100 oder 101 absetzen. Der Wireshark sollte dann zwingend getaggte Pakete anzeigen.


Das wäre dann ein sicheres Indiz das Switchport und RasPi richtig konfiguriert sind.
Ja, das ist richtig sofern an dem Port das Default VLAN anliegt.
Das kannst du auch ganz einfach mit einem stinknormalen PC testen. An den Port 11 anschliessen und dann sollte der eine IP per DHCP bekommen (ipconfig).
Das VLAN 1 ist ja immer untagged am Port und wenn der Switch richtig mit dem MT gekoppelt ist über einen Tagged Link dann funktioniert das auch.
Das ist so oder so der grundlegende test den du zwingen machen musst. Auf dem Switch jeweils einen Port untagged in VLAN 1, 100 und 101 und sehen ob dort Endgeräte sauber eine IP vom MT DHCP Server bekommen.
Wenn das der Fall ist funktioniert das Grundkonzept sauber und dann kann es ausschliesslich nur noch an der Switchport Konfig liegen wo der RasPi dranhängt.
Eine IP auf eth0 sollte der RasPi aber immer bekommen (ifconfig)
Ist auch genau richtig und hier steht wie das konfiguriert sein muss:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Aber das klappt ja soweit alles bei dir schon, oder ??
Das ist auch genau richtig ! Siehe oben...
Das ist auch richtig ! eth0 direkt sendet untagged Pakete. Im DHCP Mode bekommt eth0 direkt dann eine IP vom DHCP Server VLAN 1. Das kann man auch mit anderen Endgeräten testen und klappt auch wenn man den RasPi in einen nur untagged VLAN 1 Port steckt.
Wie bereits gesagt, kann man auch vorher mit jedem anderen x-beliebigen Endgerät testen. Alle müssten an dem Port per DHCP eine IP im VLAN 1 bekommen.
Auch das ist richtig. Der rasPi sendet alle Pakete die in die VLANs 100 und 101 gehen dann mit einem VLAN Tag aus am selben Port eth0.
Empfängt der Switch diese Pakete dann leist er das VLAN Tag und ordnet so dieses Paket dem richtigen VLAN zu.
ACHTUNG: Das setzt natürlich voraus dasa dieser Port dann zwingend auch als Tagged für diese VLANs definiert wurde. Ohne das, kann der Switch die Tags nicht lesen.
Ist richtig !
Das wäre natürlich völliger Quatsch. Mal ganz abgesehen davon das du das ja indirekt quasi virtuell ja auch machst ! Durch die Tags an den Paketen die der RasPi den Ethernet Pakete mitgibt versetzt er den Switch ja in die Lage das er diese Pakete wieder genau dem VLAN zuordnen kann für den sie bestimmt sind.
Virtuell gesehen hast du also in der Strippe vom RasPi zum Port 11 auch alle virtuellen Strippen pro VLAN mit drin.
Logisch, und das ist ja auch der tiefere Sinn vom 802.1q VLAN Tagging !!!
Eben das man bei 10 VLANs nicht 10 Patchstrippen zum RasPi ziehen muss, mal ganz abgesehen davon das du dann ja auch 10 RJ-45 Interfaces brauchst. Das das Blödsinn ist erkennst du vermutlich selber auch, oder ?
Kann man eigentlich nicht sagen....du hast schon sehr viel richtig gemacht und denkst auf dem richtigen Wege..
Hier nochmal ein strukturelles Bild dazu:

Die Ports zw. Mikrotik und Switch sind entsprechend auch VLAN 1 = Untagged und VLAN 2-x Tagged zu setzen !
Wie bereits gesagt, die Clients in den 3 VLANs müssen an einem jeweils untagged Port im VLAN eine IP vom Mikrotik bekommen und Pingen muss untereinander problemlos möglich sein.. Damit ist dann sichergestellt das zw. MT und VLAN Switch alles richtig ist.

Röchel...! Das war ja ne schwierige Geburt mit dir Aber du siehst...wenn man alles richtig macht klappt das auch wie gewollt.
Na das ist ja dann nun ein Kinderspiel für dich....
Tadaaaa !!! Glückwunsch !
So sollte es sein an Herrn Luthers Feiertag
Auch hier siehst du das Dranbleiben sich auszahlt ! Die Erfahrung mit VLANs kann dir jetzt keiner mehr nehmen ! Weiter so...
Und... danke für die Blumen