Probleme mit mDNS über verschiedene VLANs

    Hallo zusammen!

    Ich habe mein Netzwerk seit ein paar Monaten auf Unifi umgestellt. Gateway ist eine UDM-SE und Switch ein Pro-Max-24. Ich habe mehrere VLANs erstellt (Management, Main, IoT1, IoT2 etc.), damit ich die Rechte für die unterschiedlichen Geräte möglichst gut managen kann. Dabei bin ich von den Zugriffsrechten tendenziell eher restriktiv, um das ganze Netzwerk möglichst sicher zu machen.

    Ich hätte nun eine Frage zu mDNS, da bei mir das Erkennen von IoT-Geräten (z.B. Google TV Streamer oder Arduinos) nicht richtig funktioniert bzw. ich kann es nicht ganz nachvollziehen, wann es geht und wann nicht. Insbesondere nicht, wenn es zwischen verschiedenen VLANs passieren soll.

    Anwendung:

    - Google TVstreamer ist in VLAN2

    - Handy in VLAN1

    - bei beiden VLANs ist als Router die UDM-SE eingetragen

    - beide VLANs sind in der Liste mit "IoT Auto-Discovery" unter Settings->Networks; also ist mDNS in den jeweiligen VLANs aktiviert

    - in beiden VLAN Settings ist aber auch IGMP Snooping aktiviert. Könnte das vielleicht ein Problem sein?

    - mit folgenden Einstellungen kann ich vom Handy streamen:

    1. L3 Network Isolation (ACL) für VLAN2 als Source auf alle anderen VLANs außer VLAN1 eingestellt
    2. Unter Security -> ACL (MAC) den Zugriff von und zum TVstreamer erlaubt (innerhalb VLAN2, wenn ich das richtig verstehe).
    3. Unter Security -> Firewall den Zugriff von VLAN1 -> VLAN2 erlaubt und Return Traffic erlaubt


    Was ich nicht verstehe:

    - wenn ich in den VLANs als Router die UDM-SE eingestellt habe, müsste nach meinem Verständnis doch sämtlicher Traffic über das Gateway laufen und im Endeffekt würden ausschließlich die Firewallregeln zählen. Irgendwelche ACL-Regeln werden doch nur berücksichtigt, wenn der Traffic direkt über den Switch geroutet wird OHNE über die UDM-SE zu laufen, oder? Wenn ich aber bei den Einstellungen zu ACL etwas verändere (z.B. bei Network Isolation auch Traffic VLAN2 -> VLAN1 blockiere oder die ACL-MAC Regel innerhalb von VLAN2 rausnehme), funktioniert das Streamen nicht mehr...

    - wo ich dann ganz aussetze: Wenn ich mich mit meinem Laptop per Kabel an den Switch anschließe und in VLAN2 einlogge, kann ich den TVstreamer anpingen, aber NICHT z.B. das Handy in VLAN1. Das habe ich in der Firewall ja auch so eingestellt, aber Network-ACL würde es ja eigentlich erlauben...


    Vielleicht könnt Ihr mich etwas aufklären, stehe da ziemlich aufm Schlauch und würde es gerne verstehen, damit ich nicht ausversehen irgendwas total falsch einstelle und damit wieder ein Tor aufmache, dass man über den TVstreamer in mein Hauptnetzwerk gelangt...

    Lieben Dank und schönen Abend, Sebastian

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login