Multicast über Mikrotik WLAN - LAN Bridge reichen

Mitglied: Solero

Solero (Level 1) - Jetzt verbinden

May 04, 2021, aktualisiert May 06, 2021, 355 Aufrufe, 6 Kommentare

Lösung: Ich hatte nur eine FW-Regel zu fest gezogen und damit jeglichen nicht-unicast traffic geblockt.
__________________________________

Hallo zusammen,

in meinem Setup versuche ich Multicast Traffic innerhalb desselben VLANs zwischen LAN und WLAN zu tauschen.

Ich habe seit mehreren Jahren ein Heimnetz auf Mikrotik-Basis mit einem Mikrotik Router und mehreren CAP, die ich per CAPsMAN steuere, der auf dem MT läuft. Das Netz ist in mehrere /24er VLANs segmentiert, die auf einer einzigen Bridge liegen. Mittels CatchAll Firewall-Regeln blocke ich alles und erlaube dann gezielt gewünschten Traffic zwischen den Netzen, bspw. vom User-VLAN in das NAS-VLAN.

Meine neue Yamaha Soundbar unterstützt Multicast für Multiroom über Kabel und WLAN. Aktuell habe ich als Gegenstück nur ein Handy zum Testen, ob Multicast Traffic wie gewünscht fließt. Ich möchte die Soundbar gerne per Kabel in das Heimnetz einbinden. Hierfür habe ich ein neues VLAN ID=41 geschaffen, das auf einem physischen untagged Port des MT liegt und auch ein eigenes WLAN im selben VLAN konfiguriert. Folgendes kann ich nun beobachten

  • Soundbar im WLAN des MT und Handy im WLAN des MT → Das Handy sieht die Soundbar → Multicast scheint zu klappen
  • Soundbar im LAN einer FritzBox und Handy im WLAN derselben FritzBox → Das Handy sieht die Soundbar → Multicast scheint zu klappen
  • Soundbar im LAN des MT und Handy im WLAN des MT → Das Handy sieht die Soundbar nicht, obwohl sie im selben Subnetz sind und ich die Soundbar anpingen kann.

Irgendwie scheint es das Multicast nicht über die Bridge zu schaffen. Auf der Bridge ist IGMP Snooping aktiviert. Multicast-Helper auf dem CAP Interface macht keinen Unterschied.

Kann mir jemand helfen, wo hier mein Denkfehler ist, bzw. was ich übersehe?

Viele Grüße
Solero
Mitglied: aqui
May 04, 2021 um 09:25 Uhr
Ohne dein spezifisches MT Setup zu kennen ist natürlich alles Raten im freien Fall. Leider hast du hier keinerlei Angaben dazu gemacht was eine zielführende Hilfe nicht gerade einfach macht wie du dir sicher auch selber denken kannst.
Bist du ganz sicher das du ein Bridging machst zwischen den beiden Segmenten ? Das sieht eher nach Routing aus und ggf. einer Fehlkonfiguration des MT.
Interessant wäre mal zu wissen ob eine normale IP Kommunikation zw. MT Kupfer und WLAN Segment problemlos möglich ist ?
Ein schneller Multicast_Test mit VLC rennt übrigens vollkommen fehlerlos auf einem cAP hier in einem Bridging Setup mit der 6.48.2 Firmware.
Bitte warten ..
Mitglied: Solero
May 04, 2021, aktualisiert um 18:46 Uhr
Danke für die super schnelle Rückmeldung. Ich hatte gedacht, dass evtl. jemand meinen Fehler schon kennt und direkt eine Antwort hat. Natürlich ist ein echtes Verständnis erst mit der Konfiguration möglich, die ich hier nachreiche.

Hier die Konfiguration des Routers:


Hier die Konfiguration des APs:

Nach meinem Verständnis habe ich wirklich alles gebridged. Ich habe keine Routen händisch angelegt und alles auf der von mir bLAN getauften Bridge liegen. Da es viel inter-VLAN Traffic gibt (und mir die Konfiguration etwas einfacher erscheint) habe ich dieses Setup gewählt. Das User-VLAN greift bspw. auf das service-VLAN mit dem NAS und die Oberfläche mit der Heimautomatisierung zu. Der Druckscanner im printer-VLAN darf dediziert auf einen Port einer IP im service-VLAN zugreifen, um Scans dort abzulegen, etc.
Die im CAPsMAN sichtbaren SSIDs des APs habe ich auf dieselbe Bridge gelegt, weswegen ich davon ausgehe, dass es sich wirklich um Bridging handelt.
Normaler unicast Traffic fliegt wie gewünscht durch das Netz. So kann ich bspw. vom Handy im audio-WLAN, dass im audio-VLAN liegt die Soundbar, die per Ethernet auch im audio-VLAN liegt zugreifen. Ich komme auch auf den Webserver der Soundbar vom Handy aus. Nur die Yamaha App, die auf den Multicast Traffic angewiesen ist, findet sie nicht.

Momentan bin ich leider an einer Stelle angekommen, an der ich nicht so richtig weiter weiß.
Bitte warten ..
Mitglied: aqui
May 04, 2021, aktualisiert um 19:35 Uhr
Hier die Konfiguration des APs:
Wieso Konfig der APs wenn du mit CapsMan arbeitest. Da haben die APs keinerlei Konfig und ziehen alles vom CapsMan Manager. Die APs werden alle im Caps Mode gebootet !! Ggf. ist das der grundsätzliche Fehler den du machst ?! Siehe dazu auch hier.
Die Bridge ist nur bedingt Bridge im Sinne einer L2 Bridge sondern ein VLAN Switch. Dein Router agiert ja als VLAN Router.
Befürchtung ist also das die beiden WLAN Clients in unterschiedlichen IP Netzen liegen. Gut, das kannst du ja aber kinderleicht checken wenn die in der gleichen SSID eingebucht sind und auch IP Adressen aus dem gleichen IP Netz bekommen haben.
Dann sind sie auch wirklich Layer 2 technisch in der gleichen Broadcast Domain und sollten auch problemlos mit Multicast kommunizieren können.

Wie bereits gesagt. Zum Test wurde hier ein klassisches CapsMan WLAN verwendet identisch zu dieser Konfig:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-fuer-wlan-u- ...
Der o.a. Multicast Test über 15 Minuten gefahren ohne jegliche Aussetzer und auch mit schnellem Roaming.
Es liegt also de facto nicht an der Hardware an sich sondern sehr wahrscheinlich an einem Fehler in deinem Setup.
Grundlagen zum VLAN Setup auch hier:
https://administrator.de/tutorial/mikrotik-vlan-konfiguration-ab-routero ...
Bitte warten ..
Mitglied: Solero
May 04, 2021 um 22:04 Uhr
Ich bin der Sache ein deutliches Stück näher gekommen. Ich kann jetzt den Multicast Traffic zulassen, aber damit erlaube ich mehr als mir lieb ist und deshalb wieder eine Frage.

Hintergrund
Ich habe alle VLAN und CAP Interfaces auf einer einzigen Bridge bLAN auf dem Router. Die Bridge hat alle Firewalls aktiviert (IP, IP for VLAN, IP for PPPOE (ja, unnötig, ich weiß)) und Allow Fast Path). In der Firewall gibt es nun zwei Catch all Regeln reject input und reject forward. Damit lege ich alles tot und erlaube dann selektiv wieder Traffic. Das klappt auch problemlos für inter-vlan Traffic und sieht als FW-Regel bspw. so aus:
Das ganz klappt jedoch nicht für Traffic, der zwar durch den Router läuft, aber innerhalb desselben VLANS bleibt. In diesem Fall ist sowohl In als auch Out Interface meine Bridge. Im Log sieht das so aus:
ethernet7 ist hierbei ein physischer Port am Router in dem die Soundbar steckt und ap1_audioSSID das CAP Interface in dem mein Handy eingebucht ist.

Setzte ich nun eine FW-Regel auf wie
so kommt der Multicast durch, gleichzeitig hätte ich aber auch den gesamten intra-vlan Traffic der durch den Router läuft erlaubt, was ich nicht möchte.

Gibt es hier nun eine Möglichkeit, wie ich selektiv Bridge Traffic nur innerhalb eines VLANS erlauben kann?

Bitte warten ..
Mitglied: aqui
LÖSUNG May 05, 2021 um 11:19 Uhr
Die Bridge IST doch das VLAN ! In sofern ist deine Frage etwas verwirrend. Innerhalb einer Layer 2 Boradcast Domain, sprich also eines VLANs, gibt es doch keinerlei Traffic Beschränkungen oder Filter. Die Kommunikation basiert dort immer rein auf Mac Adress Basis ohne irgendwelche Limits.
Die o.a. Frage ist also leider etwas irreführend. WAS genau meinst du damit ?
Bitte warten ..
Mitglied: Solero
May 06, 2021 um 21:25 Uhr
Der Gedanke war es eine Art small-mans-port-isolation aka private vlan einzurichten. Das wäre aber wohl ein separater Thread.

Ich bin jetzt gerade froh, dass der Multicast Traffic wie gewünscht läuft und es nur an einer unüberlegten Firewall-Regel lag.
Danke für das Hinterfragen meiner Gedanken.

Solero
Bitte warten ..
Heiß diskutierte Inhalte
Data privacy
FAX ist nicht mehr Datenschutzkonform
brammer1 day agoInformationData privacy49 Comments

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin9523 hours agoGeneralHumor (lol)16 Comments

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Exchange Server
Exchange 2019 als VM?
Mr.Vain1 day agoQuestionExchange Server9 Comments

Hallo zusammen, wir nutzen derzeit Exchange 2013 mit allen Rollen auf einem physischen Server (Ca. 260 Postfächer, Server 2012R2, Xeon E-2603v3 6Core, 16GB RAM, ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
solved Coreknabe1 day agoQuestionWindows Update12 Comments

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgborn1 day agoInformationExchange Server4 Comments

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Networking Basics
Statische Route auf UTM
solved Ex0r2k1611 hours agoQuestionNetworking Basics30 Comments

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausB1 day agoQuestionExchange Server8 Comments

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
Ormenson1 day agoQuestionSAN, NAS, DAS10 Comments

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...