Hallo,
wie kann ich Multicast über meine IPSec VPN-Verbindung leiten?
- IPSec Verbindung Tag 0
- wird per Firewall von 0 auf 405 getaggt.
- IP Route 255.255.255.255 0.0.0.0 NO-NAT
Ich habe in einem anderen Post gelesen, dass ich 224.0.0.0 an das VPN weiterleiten muss, nur finde ich gerade nicht raus wo ich was genau einstellen muss. Dass das In der Lanconfig unter "IP Router > Routing > IPv4 Routing-Tabelle" geschehen muss ist mir bewusst, doch wenn ich das hier verwende muss das wohl falsch sein:
Per Firewall wird soweit ich das erkenne alles zugelassen, die ist also nicht Schuld daran, dass der VPN Client den Drucker über Bonjour nicht finden kann:
Der VPN Server kann über den Site-to-site Tunnel den Lancom Router erreichen und die einzelnen Clients.
Hat jemand eine Idee?
Danke im Voraus und ein schönes Wochenende!
Multicast über VPN leiten
Moderator: Lancom-Systems Moderatoren
Multicast über VPN leiten
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
GrandDixence
- Beiträge: 1170
- Registriert: 19 Aug 2014, 22:41
Re: Multicast über VPN leiten
Apple Bonjour ist ein Netzwerkprotokoll:
Weiter:
Abhilfe: Einsatz eines auf OSI-Schicht 2 arbeitenden VPN-Tunnels. Oder der Einsatz von irgendwelchen "Proxy-/Bridge-Murkse", welche den Multicast-Datenverkehr durch den OSI-Schicht 3-VPN-Tunnel vom lokalen Subnetzwerk A zum fernen Subnetzwerk B schleusen. Üblicherweise wird für einen auf OSI Schicht 2 arbeitenden VPN-Tunnel L2TP/IPSec eingesetzt. Nach Möglichkeit sollte der Einsatz von auf OSI-Schicht 2 arbeitenden VPN-Tunneln vermieden werden.
Quelle: https://www.dell.com/support/kbdoc/de-d ... g-switchesfür flache IP-Netzwerke mit nur einem Subnetz, wie z. B. Heimnetzwerke
Weiter:
Ein herkömlicher VPN-Tunnel mit IKEv2/IPSec arbeitet auf OSI-Schicht 3. Somit muss jedes IP-Datenpaket vor dem Eintritt in den herkömmlichen VPN-Tunnel und nach dem Verlassen vom herkömmlichen VPN-Tunnel durch ein Router-Modul verarbeitet und nach den Vorgaben in der Routingtabelle weiter transportiert werden.Bonjour verwendet Multicast-DNS (mDNS). mDNS verwendet eine verbindungslokale IP-Adresse pro RFC6762: "Jede DNS-Abfrage nach einem Namen, der mit .local MUSS an die mDNS-IPv4-Link-Local-Multicast-Adresse 224.0.0.251 gesendet werden." 224.0.0.251 ist eine Link-Local-Multicast-Adresse. Lokale Adressen können nicht geroutet werden.
Abhilfe: Einsatz eines auf OSI-Schicht 2 arbeitenden VPN-Tunnels. Oder der Einsatz von irgendwelchen "Proxy-/Bridge-Murkse", welche den Multicast-Datenverkehr durch den OSI-Schicht 3-VPN-Tunnel vom lokalen Subnetzwerk A zum fernen Subnetzwerk B schleusen. Üblicherweise wird für einen auf OSI Schicht 2 arbeitenden VPN-Tunnel L2TP/IPSec eingesetzt. Nach Möglichkeit sollte der Einsatz von auf OSI-Schicht 2 arbeitenden VPN-Tunneln vermieden werden.
Re: Multicast über VPN leiten
Ich kann damit nicht viel anfangen.
Ich habe mir eher sowas vorgestellt:
fragen-zum-thema-vpn-f14/multicast-dns- ... t9750.html
Ich habe mir eher sowas vorgestellt:
fragen-zum-thema-vpn-f14/multicast-dns- ... t9750.html
backslash hat geschrieben: 21 Jun 2010, 16:46 Hi cmos
solange du nur eine VPN-Strecke hast, ist das machbar - mit etwas Handarbeit...
Als erstes erstellst du auf der Seite, auf der die Multicats gesendet werden, eine Firewallregel, die die mDNS-Pakete mit einem Routing-Tag versieht:
Code: Alles auswählen
[x] Diese Regel ist für die Firewall aktiv [ ] Weitere Regeln beachten, nachdem diese Regel zutrifft [ ] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen Routing-Tag: 1 Aktion: übertragen Quelle: lolales Netz Ziel: Netzwerk 224.0.0.0/224.0.0.0 Dienste: UDP, Zielport 5353
Danach erstellst du in der Routing-Taebelle eine passend getaggte Multicast-Route, die auf den VPN-Tunnel zeigt:
Code: Alles auswählen
IP-Adressse: 224.0.0.0 Netzmaske: 224.0.0.0 Routing-Tag: 1 Router: VPN-Gegenstelle (*) IP-Maskierung abgeschaltet
auf der anderen Seite erstellst du in der Firewall eine VPN-Regel, die die Multicasts akzeptiert:
und eine Firewallregel, die die Multicasts, die von der VPN-Gegenstelle kommen mit einem Routing-Tag versieht:Code: Alles auswählen
[ ] Diese Regel ist für die Firewall aktiv [ ] Weitere Regeln beachten, nachdem diese Regel zutrifft [x] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen Routing-Tag: 0 Aktion: übertragen Quelle: Netzwerk 224.0.0.0/224.0.0.0 Ziel: VPN-Gegenstelle Dienste: alle
Code: Alles auswählen
[x] Diese Regel ist für die Firewall aktiv [ ] Weitere Regeln beachten, nachdem diese Regel zutrifft [ ] Diese Regel wird zur Erzeugung von VPN-Regeln herangezogen Routing-Tag: 2 Aktion: übertragen Quelle: VPN-Gegenstelle Ziel: Netzwerk 224.0.0.0/224.0.0.0 Dienste: DNS
Als letztes brauchst du noch eine Multicastroute, die dem LANCOM sagt, daß es die empfangenen Multicasts auf das LAN leiten soll. Diese muß mit dem in obiger Firewallregel gesetzten Routing-Tag versehen sein:
Code: Alles auswählen
IP-Adressse: 224.0.0.0 Netzmaske: 224.0.0.0 Routing-Tag: 2 Router: IP des LANCOMs auf dem Port, auf dem die Multicast rausgehen sollen (*) IP-Maskierung abgeschaltet
Wenn Multicasts in beide Richtungen laufen sollen, dann mußt du obigen Regel- und Routensatz letztendlich nochmal "spiegelverkehrt" in die Geräte eintragen.
Aber wie gesagt: Das funktioniert mit maximal einer Multicast-Strecke.
Gruß
Backslash
Re: Multicast über VPN leiten
Das ist alt. Es gibt dafür im LCOS jetzt den igmp Proxy, Bonjour Proxy oder eben statische Multicast Routen. Mit den Schlagwörtern wirst du im Referenzhandbuch fündig.
Re: Multicast über VPN leiten
Den IGMP-Proxy habe ich auch in Erwägung gezogen, nur stehe ich da vor dem gleichen Ergebnis. Es kommt nichts beim VPN Server an.
Beim Bonjour Proxy sehe ich nicht den VPN-Tunnel:
Beim Bonjour Proxy sehe ich nicht den VPN-Tunnel:
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
GrandDixence
- Beiträge: 1170
- Registriert: 19 Aug 2014, 22:41
Re: Multicast über VPN leiten
Wenn ein IP-Datenpaket nicht durch den VPN-Tunnel wandern will, sieht die Fehlersuche immer gleich aus:
a) Kontrolle der aktuell aktiven Firewallregeln in der Verbindungsliste: LCOS-Menübaum > Status > IP-Router > Verbindungsliste
Erscheint die entsprechende Firewallregel in der Verbindungsliste, konnte das IP-Datenpaket das jeweilige Router-/Firewall-Modul passieren.
b) Mit dem entsprechenden VPN-Trace kontrollieren, ob das IP-Datenpaket durch den VPN-Tunnel wandert. Wenn nein, ist meistens die Konfiguration der "Security Association", kurz SA, vom VPN-Tunnel mangelhaft. Die SA-Konfiguration unter: LCOS-Menübaum > Setup > VPN > Netzwerkregeln > IPv4-Regeln korrigieren. Siehe dazu:
fragen-zum-thema-vpn-f14/einwahl-ueber- ... ml#p112810
fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html
fragen-zum-thema-vpn-f14/ich-komme-hier ... tml#p96922
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
Wenn man sich an den Beitrag von Backslash am 21.06.2010 um 16:46 Uhr hält, sollte Punkt a) in Ordnung sein.
Dann fehlt nur noch die korrekte SA-Konfiguration nach Punkt b).
a) Kontrolle der aktuell aktiven Firewallregeln in der Verbindungsliste: LCOS-Menübaum > Status > IP-Router > Verbindungsliste
Erscheint die entsprechende Firewallregel in der Verbindungsliste, konnte das IP-Datenpaket das jeweilige Router-/Firewall-Modul passieren.
b) Mit dem entsprechenden VPN-Trace kontrollieren, ob das IP-Datenpaket durch den VPN-Tunnel wandert. Wenn nein, ist meistens die Konfiguration der "Security Association", kurz SA, vom VPN-Tunnel mangelhaft. Die SA-Konfiguration unter: LCOS-Menübaum > Setup > VPN > Netzwerkregeln > IPv4-Regeln korrigieren. Siehe dazu:
fragen-zum-thema-vpn-f14/einwahl-ueber- ... ml#p112810
fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html
fragen-zum-thema-vpn-f14/ich-komme-hier ... tml#p96922
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
fragen-zum-thema-vpn-f14/sitetosite-vpn ... tml#p91268
Wenn man sich an den Beitrag von Backslash am 21.06.2010 um 16:46 Uhr hält, sollte Punkt a) in Ordnung sein.
Dann fehlt nur noch die korrekte SA-Konfiguration nach Punkt b).
Re: Multicast über VPN leiten
Naja, igmp ist nicht gleich mdns. Dann musst du statische Multicast Routen anlegen. Ist die Konfiguration unter igmp Proxy.
Das was Backslash 2010 geschrieben hat ist veraltet.
Das was Backslash 2010 geschrieben hat ist veraltet.
Re: Multicast über VPN leiten
Ich gebe diese Fummelei auf. Ich dachte ich berate mich hier unter Experten, aber mit Links aus diversen Archieven kann ich nichts anfangen. Bis ich mich da überall durchgelesen habe und keine Ahnung habe, was, wie miteinander zusammenhängt, kann ich das Thema als erledigt markieren. Ich werde mich mal von der KI beraten lassen, vielleicht kann die mich da begleiten. Danke trotzdem für die versuchte Hilfe.
Ich habe versucht das so umzusetzen, wie mir geraten wurde, aber nichts davon lässt sich vernünftig umsetzen - LANCOM ich bin nichts anderes gewohnt!
Der Weg bis hier hin war schon extrem schwer, da vorher eine Client-To-Site Verbindung bestand und keine "Site-To-Site" Verbindung, weshalb ich vom VPN Server keine Clients hinter dem Lancom anpingen konnte. Das Thema bezog sich auf IPSec und war wahrscheinlich ebenfalls zu komplex, da trotz ausführlicher Beschreibung (deshalb Poste ich Screenshots) und Configs nicht bemerkt, dass das über diesen Weg gar nicht funktionieren KANN!
Ich glaube mit KI bin ich besser bedient, die hat das immerhin sofort gerafft, wo das Problem liegt!
Kann man nicht hier irgendwie einen ChatBot einbauen??? Das erhöht auch die Anzahl der Beiträge und ist wenigstens sinnvoll. Googlen und Links irgendwo raussuchen und reinklatschen kann jede Erstklässler.
[CLOSED]
Ich habe versucht das so umzusetzen, wie mir geraten wurde, aber nichts davon lässt sich vernünftig umsetzen - LANCOM ich bin nichts anderes gewohnt!
Der Weg bis hier hin war schon extrem schwer, da vorher eine Client-To-Site Verbindung bestand und keine "Site-To-Site" Verbindung, weshalb ich vom VPN Server keine Clients hinter dem Lancom anpingen konnte. Das Thema bezog sich auf IPSec und war wahrscheinlich ebenfalls zu komplex, da trotz ausführlicher Beschreibung (deshalb Poste ich Screenshots) und Configs nicht bemerkt, dass das über diesen Weg gar nicht funktionieren KANN!
Ich glaube mit KI bin ich besser bedient, die hat das immerhin sofort gerafft, wo das Problem liegt!
Kann man nicht hier irgendwie einen ChatBot einbauen??? Das erhöht auch die Anzahl der Beiträge und ist wenigstens sinnvoll. Googlen und Links irgendwo raussuchen und reinklatschen kann jede Erstklässler.[CLOSED]
Re: Multicast über VPN leiten
Hi Heigo,
ein KI-erzeugtes "Rezept" bringt dich aber nicht weiter, weil du damit nicht verstehst, worum es eigentlich geht.
Und LANCOM-Bashing ist auch nicht angebracht, nur weil du eben das nicht verstanden hast...
Zu deinem Problem: Hier ist der IGMP-Proxy die Lösung. Wichtig ist, daß du ihn auf beiden Seiten korrekt konfigurierst.
Auf der Seite des Druckers ist der VPN-Tunnel das Downstream- und das LAN das Upstream-Interface.
Auf der Client-Seite ist es umgekehrt.
Desweiteren mußt du noch die IPSec-Regeln so anpassen, daß Multicasts vom Client zum Drucker laufen können. Am einfachsten erreichst da das mit einer Any-to-Any Regel auf beiden Seiten (0.0.0.0/0 <-> 0.0.0.0/0)
Ach ja: Den Bonjour-Proxy kannst du dabei nicht verwenden - du mußt ihn sogar deaktivieren, denn sonst greift der die Multicast ab, die du durch den VPN-Tunnel schicken möchtest willst. Der Bonjour-Proxy arbeitet nur zwischen LANs.
Gruß Backslash
ein KI-erzeugtes "Rezept" bringt dich aber nicht weiter, weil du damit nicht verstehst, worum es eigentlich geht.
Und LANCOM-Bashing ist auch nicht angebracht, nur weil du eben das nicht verstanden hast...
Zu deinem Problem: Hier ist der IGMP-Proxy die Lösung. Wichtig ist, daß du ihn auf beiden Seiten korrekt konfigurierst.
Auf der Seite des Druckers ist der VPN-Tunnel das Downstream- und das LAN das Upstream-Interface.
Auf der Client-Seite ist es umgekehrt.
Desweiteren mußt du noch die IPSec-Regeln so anpassen, daß Multicasts vom Client zum Drucker laufen können. Am einfachsten erreichst da das mit einer Any-to-Any Regel auf beiden Seiten (0.0.0.0/0 <-> 0.0.0.0/0)
Ach ja: Den Bonjour-Proxy kannst du dabei nicht verwenden - du mußt ihn sogar deaktivieren, denn sonst greift der die Multicast ab, die du durch den VPN-Tunnel schicken möchtest willst. Der Bonjour-Proxy arbeitet nur zwischen LANs.
Gruß Backslash
Re: Multicast über VPN leiten
Außer die Geräte sprechen kein IGMP. Dann wäre meiner Meinung nach statisches Multicast Routing zu konfigurieren.backslash hat geschrieben: 09 Aug 2025, 17:10 Hi Heigo,
ein KI-erzeugtes "Rezept" bringt dich aber nicht weiter, weil du damit nicht verstehst, worum es eigentlich geht.
Und LANCOM-Bashing ist auch nicht angebracht, nur weil du eben das nicht verstanden hast...
Zu deinem Problem: Hier ist der IGMP-Proxy die Lösung. Wichtig ist, daß du ihn auf beiden Seiten korrekt konfigurierst.
Auf der Seite des Druckers ist der VPN-Tunnel das Downstream- und das LAN das Upstream-Interface.
Auf der Client-Seite ist es umgekehrt.
Desweiteren mußt du noch die IPSec-Regeln so anpassen, daß Multicasts vom Client zum Drucker laufen können. Am einfachsten erreichst da das mit einer Any-to-Any Regel auf beiden Seiten (0.0.0.0/0 <-> 0.0.0.0/0)
Gruß Backslash
das LANCOM KB nutzen:
https://knowledgebase.lancom-systems.de ... =IMTP861CM
Aber vermutlich müsste man für die korrekte config erstmal Multicast IGMP etc erörtern.
PS: ich gebe hier gerne zielführende Tipps woran man sich dann ranhangeln kann. Aber für mehr fehlt mir einfach die Zeit in meiner freien Zeit.
Re: Multicast über VPN leiten
Ok, Bonjour-Proxy aus.
Lancom IGMP Proxy Downstream: INTRANET, Upstream: VPN
Beim entfernten VPN Server kommt das nur leider nicht an.
Schade, dass es nicht einfach ein Kontrollkästchen in der VPN-Konfig gibt, denn so bekomme ich das im Leben nicht gebacken.
Es gibt auch keine genaue Anleitung, die auf jeden zutrifft, leider...
Kann da mal jemand über AnyDesk draufschauen?
Lancom IGMP Proxy Downstream: INTRANET, Upstream: VPN
Beim entfernten VPN Server kommt das nur leider nicht an.
Schade, dass es nicht einfach ein Kontrollkästchen in der VPN-Konfig gibt, denn so bekomme ich das im Leben nicht gebacken.
Es gibt auch keine genaue Anleitung, die auf jeden zutrifft, leider...
Kann da mal jemand über AnyDesk draufschauen?
-
Frühstücksdirektor
- Beiträge: 217
- Registriert: 08 Jul 2022, 12:53
- Wohnort: Aachen
Re: Multicast über VPN leiten
Der IP-Adressbereich für Multicast ist definiert von 224.0.0.0 bis 239.255.255.255 bei IPv4 bzw. als Präfix FF00::/8 bei IPv6. Man unterscheidet bei Multicast grundsätzlich in verschiedene Gültigkeitsbereiche, z. B. Link Local, Source Specific Multicast (232.0.0.0 bis 232.255.255.255) oder Organization-Local Scope (239.0.0.0 bis 239.255.255.255).
Laut deinem Screenshot versuchts du Link lokalen Multicast 224.0.0.0/24 zu routen. Den Bereich droppt der Multicast-Router wie jeder MCast-Router. Ändere den Bereich z.B auf 239.0.0.1/24 wenn Du den Multicast-Server kontrollierst. Sonst ist das nicht routbar.
Wenn unbedingt Link lokaler Multicast durch das VPN soll, bleibt nur EoGRE durch VPN.
Laut deinem Screenshot versuchts du Link lokalen Multicast 224.0.0.0/24 zu routen. Den Bereich droppt der Multicast-Router wie jeder MCast-Router. Ändere den Bereich z.B auf 239.0.0.1/24 wenn Du den Multicast-Server kontrollierst. Sonst ist das nicht routbar.
Wenn unbedingt Link lokaler Multicast durch das VPN soll, bleibt nur EoGRE durch VPN.
Re: Multicast über VPN leiten
Ok, danke für die Info. Ein weiteres Lancom Projekt, dass von mir begraben wird.
Ich denke, dass es hier auch niemand hinbekommen würde. Ich persönlich würde sagen "Komm, wir schauen uns das mal gemeinsam an und ich zeige dir wie das funktioniert. Ich höre nur "du musst von da nach da, nein das ist falsch, das hat keinen Zusammenhang..." Sehr schade, vorallem wenn man auf Community Support angewiesen ist. Ich hätte mich wirklich für einen anderen Router-Hersteller entscheiden sollen. Mir scheinen die Konfigurationen trotz 1000 verwirrender Unterpunkte doch sehr begrentzt.
Ich denke, dass es hier auch niemand hinbekommen würde. Ich persönlich würde sagen "Komm, wir schauen uns das mal gemeinsam an und ich zeige dir wie das funktioniert. Ich höre nur "du musst von da nach da, nein das ist falsch, das hat keinen Zusammenhang..." Sehr schade, vorallem wenn man auf Community Support angewiesen ist. Ich hätte mich wirklich für einen anderen Router-Hersteller entscheiden sollen. Mir scheinen die Konfigurationen trotz 1000 verwirrender Unterpunkte doch sehr begrentzt.
Re: Multicast über VPN leiten
Was ist jetzt Dein Problem?
Du hast dich für die Aufgabenstellung (Drucken durchs VPN) auf ein dafür völlig ungeeignetes Protokoll (Bonjour) eingeschossen.
Daß das nur in lokalen Subnetzen (genauer gesagt: Broadcast-Domains) funktioniert wurde Dir erklärt.
Abhilfe (cross-subnetz-Browsing oder das Bonjour-Gateway) willst Du nicht, ein routing-fähiges Protokoll (lpr, ipp) auch nicht. Also?
Du hast dich für die Aufgabenstellung (Drucken durchs VPN) auf ein dafür völlig ungeeignetes Protokoll (Bonjour) eingeschossen.
Daß das nur in lokalen Subnetzen (genauer gesagt: Broadcast-Domains) funktioniert wurde Dir erklärt.
Abhilfe (cross-subnetz-Browsing oder das Bonjour-Gateway) willst Du nicht, ein routing-fähiges Protokoll (lpr, ipp) auch nicht. Also?
Re: Multicast über VPN leiten
Nein, dass es über Bonjour-Proxy nicht geht habe ich schon verstanden!
Ich habe einfach CUPS auf dem Server installiert. Das funktioniert soweit, jetzt muss ich nur rausfinden, warum der WG Client den Drucker nicht erkennt, obwohl an das WG Interface mDNS Pakete gesendet werden und diese auf dem Interface auch ankommen. Ich denke es ist ein allgemeines DNS Problem, denn der WG Client kann die lokale Domain nicht auflösen.
Damit wäre zumindest der komplizierte Lancom Router aus dem Spiel. Muss ich noch ein wenig fummeln, bis das so läuft wie es soll.
Lancom Router sind eher für Geschäftskunden geeignet - mag wohl sein. Diese extrem komplizierten Verknüpfungen aber, hätte man bestimmt übersichtlicher lösen können. Einen Teil sieht man in der Lanconfig übersichtlicher, als im Webinterface, aber mit Lanconfig kann ich mich nach wie vor nicht wirklich anfreunden.
Ich habe einfach CUPS auf dem Server installiert. Das funktioniert soweit, jetzt muss ich nur rausfinden, warum der WG Client den Drucker nicht erkennt, obwohl an das WG Interface mDNS Pakete gesendet werden und diese auf dem Interface auch ankommen. Ich denke es ist ein allgemeines DNS Problem, denn der WG Client kann die lokale Domain nicht auflösen.
Damit wäre zumindest der komplizierte Lancom Router aus dem Spiel. Muss ich noch ein wenig fummeln, bis das so läuft wie es soll.
Lancom Router sind eher für Geschäftskunden geeignet - mag wohl sein. Diese extrem komplizierten Verknüpfungen aber, hätte man bestimmt übersichtlicher lösen können. Einen Teil sieht man in der Lanconfig übersichtlicher, als im Webinterface, aber mit Lanconfig kann ich mich nach wie vor nicht wirklich anfreunden.