Verständnisfrage Subnetzmaske / Broadcast

2U1C1D3

Cadet
Mitglied seit
09.12.2018
Beiträge
6
Renomée
0
Hallo zusammen!

Ich hoffe, dass ich mit meinem Anliegen hier bei euch richtig bin. Da ich im Bereich Netzwerk nur oberflächliches Wissen habe, möchte ich mich informieren bevor ich eine Bruchlandung hinlege.
Mein Heimnetzwerk befindet sich hinter einer der Firewall "ipfire". Ich denke dass der Name den meisten von euch etwas sagt. Da mein Heimnetz jetzt doch größer geworden ist als zunächst gedacht, möchte ich es nicht nur aus Gründen der Übersichtlichkeit neu strukturieren. Aktuell habe ich drei verschiedene Netze:
eth0, LAN - 10.10.10.xxx / 255.255.255.0 / GW 10.10.10.1
eth1, W-LAN - 10.10.11.xxx / 255.255.255.0 / GW 10.10.11.1
eth2, DMZ - 10.10.12.xxx / 255.255.255.0 / GW 10.10.12.1
Im LAN tummeln sich mehrere PCs, vier Synologys (Cloud, Media, Backups, ...), diverse Mediengeräte und auch einiges an Smart-Home-Komponenten. Das LAN hat derzeit gut 60 Teilnehmer. Im W-LAN bewegen sich überwiegen Handy, Tablet, ein Fernseher und diverse Streamingeräte. Leider aber auch ein paar nicht sicherheitsrelevante Smart-Home-Geräte weil das von der baulichen Infrastruktur nicht anders möglich war. Aktuell sind es tatsächlich 28 Teilnehmer.
Leider habe ich hier das Problem, dass z.B. der Teufel Raumklang-Connector nur im W-LAN richtig funktioniert und im LAN nicht über die Handy-App ansprechbar ist (weil unterschiedliche Netze und der Broad- / Multicast durch die IPfire nicht übertragen wird). Somit kann ich z.B. diese Komponente nicht ins LAN hängen obwohl ich das wegen der Stabilität beim Streamen gerne machen würde.
Jetzt möchte ich das Ganze neu aufteilen und da haperts bei meinem Wissen ein bisschen.
Zunächst war der Gedanke dies Subnetzmaske auf zwei Dekaden zu verkürzen (255.255.0.0) und die Netze wie folgt aufzuteilen:
eth0, LAN1 - 10.10.10.xxx / GW 10.10.10.1
eth0, LAN2 - 10.10.20.xxx / GW 10.10.10.1
eth0, LAN3 - 10.10.30.xxx / GW 10.10.10.1
eth1, W-LAN1 - 10.10.40.xxx / GW 10.10.40.1
eth1, W-LAN2 - 10.10.50.xxx / GW 10.10.40.1
Dies scheint aber, so der erste Eindruck, nicht zu funktionieren, da ich ja mit der Netzmaske 255.255.0.0 angebe, dass die Hosts alles von xxx.xxx.1.1 bis xxx.xxx.254.254 ohne den Weg über den Router erreichen können. Da LAN und W-LAN aber unterschiedliche Interfaces des Routers sind, wird wohl der Traffic von einem Netz in das andere nicht mehr möglich sein.
Somit denke wäre die funktionierende Lösung für das W-LAN
eth1, W-LAN1 - 10.11.10.xxx / GW 10.11.10.1
eth1, W-LAN2 - 10.11.20.xxx / GW 10.11.10.1
Jetzt konkret gefragt:
- Würde das so funktionieren?
- Wird der Broad- oder Multicast nur über das jeweilige Subnetz verteilt oder über das vollständige Netz an dem entsprechenden Interface?
- Gibt es eine Möglichkeit diesen Broadcast von einem Interface auf das Andere weiterzuleiten? In dem entsprechenden Forum zum ipfire ist das Feedback hierzu leider sehr mager. Es hat in einer wesentlich älteren Version des ipfire mal ein Addon "bcrelay" gegeben welches genau diese Funktion wahrgenommen hat. Das gibt es aber meines Wissens so nicht mehr. Hat hier jemand Erfahrung mit oder soetwas bereits am Laufen?

Bin für jeden Fingerzeig dankbar!
icke
 
Also das Ziel ist es möglichst alles in einem IP-Subnet zu haben? Vermutlich müsstest Du die Verkabelung dazu etwas ändern. Die WLAN-Accesspoints von Port des Routers auf das geswitchte Netzwerk hängen, nur noch einen Port vom Firewall-Router an das gleiche Netzwerk. DHCP von den Accesspoints ausschalten, und nur eine DHCP-Range vom Router aus verteilen. Das wäre vermutlich das einfachste.
 
Hallo BoMbY!
Die WLAN-Accesspoints von Port des Routers auf das geswitchte Netzwerk hängen, nur noch einen Port vom Firewall-Router an das gleiche Netzwerk.
Dann hebe ich aber die Trennung zwischen dem vertraulichen und dem halb-öffentlichen Bereich auf. Aktuell kann ich jedem Gast durch einen Klick den Zugriff via W-Lan auf's Internet gewähren - oder auch nicht. Ein Gast der meinen W-Lan-Key unberechtigt hat kann erst mal gar nix. Diese Sicherheit habe ich nicht mehr wenn er im geswitchten Netzwerk ist... Außerdem könnte er dann an jeden Server und an jedes Gerät der Hausautomation ran.
DHCP von den Accesspoints ausschalten, und nur eine DHCP-Range vom Router aus verteilen.
Kein AP darf bei mir DHCP-Server spielen. Des würde Wildwuchs annehmen. Kann ja hier nicht jeder machen was er will *lach*

Nein, im Ernst: Die Aufteilung LAN/W-Lan/DMZ ist existenzielle und bleibt definitiv aufrecht erhalten!
 
Dann können WLAN und LAN auf jeden Fall kein Subnet teilen, dann musst Du routen. Mit dem Broadcast könnte es schwierig werden, und hängt von der Router-Software ab, ist aber in der Theorie möglich, wobei man damit aber auch anfängt Tür und Tor zu öffnen, und eben gleich das gleiche Subnet verwenden könnte.
 
Layer 2 Broadcasts können nicht geroutet werden, die haben kein L3 Ziel. Routing findet auf L3 statt.
 
UDP-Pakete an die Broadcast-Adresse können aber theoretisch geforwardet werden. Gut, da müsste man erstmal definieren was mit Broadcast genau gemeint ist.

--- Update ---

Das Standard wurde diesbezüglich übrigens geändert, weil es zum Beispiel für DDoS verwendet werden kann: https://tools.ietf.org/html/rfc2644
 
Hey danke erst mal. Ja ok, das mit dem Forwarding der Broadcasts und der daraus resultierenden Sucherheitslücke ist verständlich.
Die Frage was ich mit Broadcasts genau meine? Ich habe diverse Geräte im Netz (Synology, Teufel Raumfeld, etc.) welche (so dachte ich) sich untereinander oder in der App über einen Broadcast finden. Und das funktioniert eben nicht wenn das Gerät im LAN hängt, das Mobiltelefon mit der App aber im W-Lan...
 
Kann es sein, dass es sich bei dem was die Geräte machen eher um Multicast handelt, und nicht um Broadcast?
 
Sorry, vielleicht bin ich da ein bisschen der Zeit hinterher. Als ich mich mit Netzwerken angefangen habe zu beschäftigen gabs nur den Broadcast.
Wobei ich jetzt trotz Wiki hin und her trotzdem mal doof fragen muss: Das ist doch ein und das selbe, es funktioniert nur anders, oder?
Im BC stellt jedes Gerät (welches möchte oder dazu angewiesen ist) eine WER- und WO-bin-ich zur Verfügung. Der Multicast macht doch das Gleiche nur mit der Ergänzung WAS-kann-ich...???
Ich habe auch nie darüber nachgedacht nach dem Multicast zu googeln weil es für mich das gleiche war o_o Deshalb hat es mich auch etwas überrascht in Deinem Link die IP 239.255.255.250 für das SSDP zu finden. Old-skool ging das doch immer über x.x.x.255?
 
Neben dem unterschiedlichen Adressbereich wird beim Multicast halt prinzipiell nur an angemeldete Empfänger gesendet, und ein Routing müsste einfacher sein.
 
Ok, hab mich grad mit nem Profi nochmal drüber unterhalten - ich war da vollkommen auf dem Holzweg mit Broadcast und Multicast. Habe es bis dato so verstanden, dass MC eine modernere Form des BC ist. Dabei sind es zwei vollkommen unterschiedliche Dinge. Unter diesem Aspekt ist mir jetzt auch klar warum ich die Erklärung in dem von Dir geposteten Link ned kapiert habe.
Zum ursprünglichen Problem: Ich rede hier definitiv vom Broadcast! Bei einer Subnetzmaske von 255.255.255.0 wird dieser in der letzten Dekade der IP auf .255 gesendet. Bei einer Subnetzmaske 255.255.0.0 wird der dann auf x.x.255.255 gesendet oder jeweils auf x.x.1.255, x.x.2.255, usw? Ein Gerät welches die IP x.x.1.250 hat und einen Broadcast sendet, wird dieser BC auch von einem Gerät mit der IP x.x.30.x empfangen?
Ich hoffe meine Frage ist damit verständlich beschrieben?

--- Update ---

Layer 2 Broadcasts können nicht geroutet werden, die haben kein L3 Ziel. Routing findet auf L3 statt.

Das heißt, das ein Routing in ein anderes Subnetz prinzipiell überhaupt nicht möglich ist und dass das damals funktionierende bcrelay ALLES was auf der IP x.x.1.255 kam vollständig auf die IP x.x.2.255 weitergeleitet hat (die IPs als Beispiel)? Oder wie soll ich den Einwand verstehen? Ich hab mich mit dem 7-Layer-Modell nicht wirklich auseinandergesetzt weil ich dieses bis dato nicht wirklich gebraucht habe. Es hat halt funktioniert... Der BC ist L2 (wohl grundsätzlich) weil er nur Datenstrom enthält und wird erst durch hinzufügen eines "Zielpakets" zum L3? Ist somit der Unterschied zwischen L2 und L3 die Empfängerinfo?
 
Ausgehend von der ursprünglichen Frage glaube ich aber weiterhin, dass es vermutlich das die Geräte UPnP/DLNA nutzen, und dafür wird man vermutlich einen IGMP-Proxy oder vergleichbares brauchen damit die Geräte sich über die Subnetze hinweg austauschen können. Sowas zum Beispiel:

https://github.com/pali/igmpproxy
https://github.com/troglobit/pimd

pfSense z.B. bringt sowas auch schon mit, ist aber möglicherweise kaputt.
 
Hey ihr beiden, dann sag ich an der Stelle jetzt erst mal DANKE!
Werd mir das jetzt in Ruhe reinziehe und ausprobieren und dann mal Rückmeldung geben ob mein Problem damit gelöst ist.
Und ob es tatsächlich BC oder UPnP ist!
 
ich habe auch die Ipfire.
Zuerst, ich würde die Frage mal im Ipfireforum stellen, dort wird meistens schnell und kompetent geantwortet.


"Leider habe ich hier das Problem, dass z.B. der Teufel Raumklang-Connector nur im W-LAN richtig funktioniert und im LAN nicht über die Handy-App ansprechbar ist (weil unterschiedliche Netze und der Broad- / Multicast durch die IPfire nicht übertragen wird). Somit kann ich z.B. diese Komponente nicht ins LAN hängen obwohl ich das wegen der Stabilität beim Streamen gerne machen würde."

Ehrlich gesagt verstehe ich den Sachverhalt nicht.
Du willst den Teufel-C mit der Handy App bedienen (ich nehme an Smartphone..geht nur über W-Lan). Wie willst du dann ohne W-Lan auskommen.

Ich kann z.b. meinen Samsung TV (Lan-Netz) ohne Probleme mit meinem Smartphone (W-Lan Netz) bedienen.

Egal, wenn es um den Zugriff vom W-lan -> Lan und umgekehrt geht, schau dir mal die Einstellung (IpFire) /Firewall/Firewalloptionen an. Da sind einige Funktionen die den Zugriff von Wlan auf Vlan usw. behandeln.

Geht überhaupt ein Ping vom Lan an ein Wlan Gerät?


(upnp kann Ipfire im übrigen auch..Antwort an Bomby)
 
Das Routing von UPnP/DLNA in verschiedene Subnetze ist etwas anderes als eine UPnP-Portfreigabe, letzteres geht fast überall.
 
Zurück
Oben Unten