UPNP hinter Firewall

[Graband]

Habe folgendes Szenario:
Zwei LANs (LAN1 192.168.10.0, LAN2 192.168.1.0)
Im LAN1 läuft DLNA-Server (UPNP), den ich LAN2 zur Verfügung stellen will.
Habe dazu einen Router mit Firewall (TP-Link TL-R470T+) eingesetzt und beide LANS über WLAN verbunden.
In Firewall Port 1900 udp und 8200 tcp freigegeben.
Zusätzlich habe ich im Router UPNP aktiviert.

Das Problem: DLNA funktioniert nicht (miniDLNA)!
Tagelang im Internet gesucht und nix gefunden, was hilft!
Alle reden davon Ports freigeben und gut!
Habe auch gelesen, dass Broadcast nicht geroutet wird, was nicht ganz stimmt, denn durch Einschalten von UPNP in Firewall kommt schon die Broadcast des LAN2 durch. Nur der Server reagiert nicht. Jedenfalls nicht mit hallo hier bin ich. Er schickt nur wieder eine Broadcast, die aber NICHT durch die Firewall kommt.

Wo ist mein Denkfehler? Kann mir da jemand helfen?
Gruß
Jürgen

[BenutzerGa4gooPh]

Hi, soviel Zeit sollte sein!

Multicast Isolation deaktiviert?! Frag mich nicht wie das geht, ich habe keinen TP-Link.

Er schickt nur wieder eine Broadcast, die aber NICHT durch die Firewall kommt.

Broadcasts kommen nicht durch den Router, sonst wäre es keiner. Sollte mich arg wundern, wenn das UPnP ändert. Eine Bridge mit FW ist was anderes.

Habe dazu einen Router mit Firewall (TP-Link TL-R470T+) eingesetzt und beide LANS über WLAN verbunden.

Unverständlich. 2 LANs verbindet man evtl. mittels 2 Routern im Modus "Wireless Bridge" per gemeinsamem WLAN. Mit 1 Router macht das dessen CPU bzw. Firmware. Fehlkonstruktion bei dir?

In Firewall Port 1900 udp und 8200 tcp freigegeben.

Portfreigaben an sich sollten stimmen. Entsprechende Regeln beinhalten aber noch mehr!

Er schickt nur wieder eine Broadcast, die aber NICHT durch die Firewall kommt.

Die "verhinderten" Broadcasts gehen an welchen Port/Protokoll? Wirklich Broadcast oder Multicast an Port 1900/UDP?
(239.255.255.250:1900)
Funktioniert dein Setup im gleichen Routing-Segment (LAN)?

Kannst deine Konfig vlt. damit nochmals prüfen: https://wiki.archlinux.org/index.php/ReadyMedia

[Graband]

Herzlichen Dank für die schnelle Antwort.

Dass ich den TP-Link TP-R470T+ benutze liegt am Geiz. Den hatte ich noch.

Was nun die Konfiguration im eigenen LAN angeht, so läuft die seit Jahren gut und stabil.
Entschuldigung bei Broadcast. Natürlich geht es um Multicast. Der Router hat dazu keine Einstellung. Er zeigt nur in der Statistik an, dass er so und so viele Multicast-Pakete übermittelt hat. Mit Wireshark auf beiden Seiten der Firewall kann ich nur sehen, dass die von Extern nach Intern gehen; aber nicht umgekehrt. Was ich etwas irritierend finde. Umgekehrt wäre für mich logischer.

Inzwischen habe ich mir LAN2 genauer angesehen. Ich denke, dass es am DSL-Router (O2 Homebox 2) liegt. Bei der kann keine eigene Routing-Tabelle angelegt werden. Auch gibt es kein eigenen DNS. Darum bleibt nur die gute alte hosts-Datei auf den Clients, was aber bei einem Fernseher schwer möglich ist. Es ist bei diesem Teil auch nicht möglich einen eigenen DNS einzubinden.

Schade eigentlich

[BenutzerGa4gooPh]

Ich denke, dass es am DSL-Router (O2 Homebox 2) liegt. Bei der kann keine eigene Routing-Tabelle angelegt werden.

Damit hast du Doppel-NAT (also auf beiden Routern) und deshalb braucht man keine Rueckroute in der O2-Box auf das Netz hinter TP-Link. Damit entsteht jedoch eine DMZ zwischen beiden Routern. Aus dieser ist kein Zugriff in das hintere Netz möglich. Außer mit Portforwarding, das ist vmtl. dein Problem/Lösung. Das WLAN der O2-Box liegt ebenfalls in der DMZ!

Man könnte auch ganz einfach den TP-Link in Bridge-Modus versetzen oder einen Switch nutzen. Auf entsprechender Hardware ist trotzdem eine Firewall möglich.

Auch gibt es kein eigenen DNS.

Aber einen DNS-Forwarder.

Darum bleibt nur die gute alte hosts-Datei auf den Clients, was aber bei einem Fernseher schwer möglich ist.

Und diese Lösung: viewtopic.php?f=28&t=164176#p1121812
Der Linux-Server wäre bei Dir der TP-Link, die Fritte die O2-Box. Der DHCP-Server der O2-Box stört bei dir nicht, im Gegenteil, ist nötig für Adressvergabe in der DMZ (Transfernetz zwischen beiden Routern). Du brauchst auch nichts zu installieren, nur konfigurieren.

Falls der TP-Link zu wenig kann, besorge dir einen, auf dem DD-WRT/OpenWrt läuft. Gibt Preiswerte. Allerdings schätze ich, deiner kann schon genug.

[owl102]

Außer mit Portforwarding, das ist vmtl. dein Problem/Lösung.

NAT und Port Forwarding sind bei UPnP ganz schlechte Ideen! Das Problem: Man würde dadurch zwar den Server erreichen, der aber liefert bei den UPnP-Suchanfragen via SSDP URLs, die die eigene IP-Adresse samt Portnummer beinhalten. (Fernseher fragt: "Ist da jemand, der UPnP/AV kann?" und der Server sagt "Ja, ich, und mein UPnP-Profil findest du unter der URL http://192.168.10.123:8200/blubb.html".) Der Fernseher würde also die Suchanfragen vom Server beantwortet bekommen, kann damit aber wenig anfangen, weil die URLs, die er mit der Antwort bekommen hat, für ihn nicht erreichbar sind.

Folglich muß der Fernseher den UPnP-Server "geradeaus" erreichen können.

Darum bleibt nur die gute alte hosts-Datei auf den Clients, was aber bei einem Fernseher schwer möglich ist.

Mir ist nicht klar, wie das helfen soll, selbst wenn dies ginge. Bei UPnP/AV braucht man keinerlei Namensauflösung. DNS ist hier irrelevant.

BTW: UPnP muß man in der Regel nicht im Router aktivieren. Denn das bedeutet meistens nur, ob der Router selber Routerfunktionen/Konfigurationsfunktionen via UPnP anbieten soll oder nicht.

[Graband]

Also ich bin wirklich kein Netzwerkfachmann; aber soviel habe ich bei UPNP verstanden:

Alle UPNP-Geräte senden und lauschen auf "Hallo hier bin ich" auf 239.255.255.250. Was auch bei mir geschieht.
Router ignorieren standardmäßig diese Meldung. Erst wenn man im sagt er soll, was bei meinem mit UPNP on und IPTV on erfolgt. Damit überträgt er das "Hallo" vom externen LAN2 in mein LAN1. Das Paket wird dabei vom NAT nicht angefasst. Heißt, der Absender 192.168.1.xxx bleibt erhalten.
Ein Server sollte in seiner "Hallo-Meldung" seine Fähigkeiten bekanntgeben, was er mit einer Adresse zur Beschreibungsseite auch tut. Nur kommt diese Meldung nicht so in LAN2 an. Der Router fängt sie scheinbar ab und schickt eine eigene "Hallo-Meldung" ins LAN2. Diese enthält aber keine Server-Informationen aus dem LAN1. Sprich, der Client in LAN2 ignoriert sie, da sich kein Server meldet. Es kann sein, dass es an meinem Router liegt; aber Informationen finde ich dazu nicht.
Ungeachtet dessen sehe ich, dass der Server einen erheblichen Anfrageverkehr mit der Frage " wer ist 192.192.1.xxx" beginnt. Der DNS antwortet immer wieder "Keine Ahnung". Kann sein, dass der Server darum nicht direkt auf das "Hallo" von LAN2 reagiert. Wie kann man ihm beibringen "Frag doch mal" beim Router zum LAN2? Hier komme ich an meine Grenzen.
Immerhin funktioniert alles ganz "normal", wenn es um Samba geht. Auch für diesen Dienst habe ich die Firewall eingerichtet. Auch VDR funktioniert über die Firewall hinweg. Natürlich nur, wenn ich auf dem Client die hosts-Datei angepasst habe und dort den Router als Server eingesetzt habe.

[BenutzerGa4gooPh]

NAT und Port Forwarding sind bei UPnP ganz schlechte Ideen!

Hhmm. Dann eben doch so:

Man könnte auch ganz einfach den TP-Link in Bridge-Modus versetzen oder einen Switch nutzen. Auf entsprechender Hardware ist trotzdem eine Firewall möglich.

Wie kann man ihm beibringen "Frag doch mal" beim Router zum LAN2?

Problem wird durch vorgeschlagenes Bridging auch gelöst. Komplette Namensaufllösung durch 1. Router / O2-Box (extern per DNS-Forwarding, intern Hostnamen->DHCP->DNS). Falls das nicht gefällt, zusätzlicher Server/MiniPC mit isc-dhcp-server und dnsmasq.
(Bei Bedarf iptables/netfilter zusätzlich, dafür Mini-PC mit 2 NW-Anschlüssen und Bridging. Wer Fertiglösungen bevorzugt, nimmt gleich PFSense oder OPNSense.)

informativ:
Durch die Bildung einer DMZ bei Doppel-NAT (Transfernetz) könnte der hintere DNS-Forwarder (TP-Link) problemlos den auf der O2-Box fragen. (Oder gleich einen externen, öffentlichen DNS.) Umgekehrt wird die O2-Software nicht zulassen (DNS-Forwarding per LAN-Port???) - ebensowenig wie die DMZ ohne entsprechendes Portforwarding.

[Graband]

Noch einmal. Ich bin kein Netzwerk-Profi! Aber ich lese immer wieder Bridge. Nach meinem Verständnis geht das nur im selben Sub-Netz. Das ist aber nicht der Fall. Die Idee hatte ich auch schon. Dazu müsste man im LAN2 (O2-Box) die nur Netzmaske ändern, was aber nicht geht. Ich könnte in LAN1 alle IP-Adressen ins gleiche Sub-Netz stellen. Hatte ich zunächst auch. Da brauchte tatsächlich nur eine Bridge. Nachdem ich aber gesehen habe, wie offen die Scheunentore in der Box sind, habe ich mich dagegen entschieden! Da ich von dieser Box keinerlei "interne" Unterstützung erwarten kann, bastle ich nun an dieser Firewall. Die zickt aber mit UPNP; oder ich hab grundsätzliche Wissenslücken.
Als Interimslösung habe ich ein zusätzliches WLAN aufgespannt und den "Gastfernseher" per MAC zugelassen. Nicht sehr elegant, funktioniert aber. Besser wäre, wenn ich es hinbekäme, dass LAN2 exakt all die Ressourcen bekommt, die ich konfiguriere. Außer UPNP habe ich es auch hinbekommen.

[BenutzerGa4gooPh]

Aber ich lese immer wieder Bridge. Nach meinem Verständnis geht das nur im selben Sub-Netz.

Bridges und L2-Switches kümmern sich nicht um IP-Netze.

Nachdem ich aber gesehen habe, wie offen die Scheunentore in der Box sind, habe ich mich dagegen entschieden!

Deshalb schrieb ich im letzten Beitrag über eine Bridge mit Firewall. Einfach mal lesen. Oder nachfragen, wenn nicht verstanden.

Dazu müsste man im LAN2 (O2-Box) die nur Netzmaske ändern, was aber nicht geht.

Glaube ich erst mal nicht. Und wenn dem doch so ist, ist das per Default-Netzmaske erzeugte Netzwerk bestimmt groß genug für dich.

Noch eine Lösung. Du nutzt bereits Doppel-NAT, da du schriebst, die O2-Box könne keine statischen Routen. Also steckst alles für DLNA notwendige in das gleiche Netzwerk - hinter dem letzten Router, nichts in die DMZ. Das WLAN der O2-Box und das Transfernetz zwischen beiden Routern ist dafür nicht nutzbar. Ist ja mit Sicherheit ein und dasselbe Netz wie die DMZ. Bei WLAN-Bedarf ist das des hinteren Routers zu nutzen. Oder ein WLAN-Accesspoint daran. DLNA würde also ohne Routing/NAT laufen. Wäre dann Alternative 2: https://www.administrator.de/wissen/kop ... html#toc-2
(PPPoE-Terminierung macht O2-Box, brauchst dich nicht drum kümmern. Eine Firewall bei Doppel-NAT ist wohl übertrieben. Kann man machen - aber erst mal dein Netz zum Laufen bringen.)

Ebenfalls informativ: https://www.heise.de/ct/artikel/Router- ... 25801.html

So, nun hast du 2 Lösungen: Mal sehen, was du draus machst ...

Edit: Rechtschreibefehler korrigiert.

[habakug]

Hallo!

Man könnte auch einfach das UPnP im Router aktivieren [1].

Gruss, habakug

[1] http://screenshots.portforward.com/rout ... s/UPnP.htm

[BenutzerGa4gooPh]

Man könnte auch einfach das UPnP im Router aktivieren [1].

Hat er doch (angeblich) gemacht:

Habe auch gelesen, dass Broadcast nicht geroutet wird, was nicht ganz stimmt, denn durch Einschalten von UPNP in Firewall kommt schon die Broadcast des LAN2 durch. Nur der Server reagiert nicht.

Na ja, vlt. auch nur gelesen ...

[Graband]

Das Switches nicht an IPs interessiert sind - außer sie bieten Management-Funktionen für so etwas - ist mir auch klar.
Klar habe ich UPNP aktiviert. Und, wie ich schon schrieb, geht dann die Meldung durch. Nur der Server antwortet nicht.
Was die Netzmaske angeht, so glaube es einfach!
Was den Vorschlag Bridge mit Firewall angeht, so war das mein erster Gedanke. Dazu brauch ich aber eine Firewall, bei der LAN1 und LAN2 im gleich Subnetz sein können. Die hab ich aber nicht!
Lange Rede kurzer Sinn: Ich habe zwei völlig getrennt Netze, bei denen LAN2 nicht die Spur kooperativ ist.

Danke für Eure Gedanken
Jürgen

[BenutzerGa4gooPh]

Was die Netzmaske angeht, so glaube es einfach!

Sehr informativ: Die Maske sieht wie aus???
(Menschen, denen der Providerrouter nicht genügt, pflegen oft Fritzboxen käuflich zu erwerben. Gibt neuerdings auch TP-Link-Geraete mit Modem und DECT-Tefefonanlage.)

Dazu brauch ich aber eine Firewall, bei der LAN1 und LAN2 im gleich Subnetz sein können. Die hab ich aber nicht!

Kann man ja auch nicht bauen/kaufen/konfigurieren. Vorschläge gab es.

Dass ich den TP-Link TP-R470T+ benutze liegt am Geiz.

Ist u. U. hinderlich.

Ich habe zwei völlig getrennt Netze, bei denen LAN2 nicht die Spur kooperativ ist.

"Geniale" Ansage! Vorschlag für alle DLNA-Geraete in einem einzigen Netz geht natürlich auch nicht. Die empfohlen Links irgendwann doch mal zu lesen, wird dir nicht schaden.

Hast du eigentlich bemerkt, dass du trotz etlicher Vorschläge keinen Schritt weiterkommst? Andere hingegen nutzen erfolgreich und schon lange DLNA!

Ignorierliste wegen offensichtlicher Beratungresistenz und mangelnder Mitarbeit erweitert.

[Graband]

Hallo Jana66,
ich glaube nicht dass ich beratungsresistent bin glaube ich nicht. Vielleicht verstehe ich nur nicht alles. Vielleicht drücke ich mich auch verquer aus. Entschuldige bitte dieses Unvermögen.

Ich danke Dir jedenfalls, dass Du dich aus Deinem Olymp des Wissens auf so einen Wurm eingelassen hast.