ScreenMirroring über Airplay über WLAN

    Hallo zusammen,

    ich habe eine Frage, ich erleutere mal mein Problem.

    Ich habe ein Smartboard im LAN Netzwerk 10.20.20.0/24 VLAN 1806, das über LAN angeschlossen ist. Ich habe einen WLAN-Controller über Unifi selfhost. Mein Client-Netzwerk mit verschiedenen Geräten, hauptsächlich Apple-Geräte und Android.

    AP haben z.b. das Vlan 13

    Das Smartboard könnte auch WLAN strahlt dann sozusagen eine SSID aus was ich aber nicht möchte, am besten deaktiviert lassen.

    Die Client-Geräte befinden sich im WLAN Netzwerk 10.50.10.0/21 VLAN 190.

    Die Clients müssen streamen und andere Dinge über Airplay mit dem Smartboard machen. Aus Sicherheitsgründen möchte ich nicht, dass sich die Geräte und das Smartboard im selben Subnetz befinden, und ich möchte die Client-Isolierung nicht deaktivieren, da die Clients nicht miteinander sprechen dürfen.

    Kann ich das über Routing lösen oder muss ich spezielle Funktionen im Controller aktivieren, das Problem ist das ich die Einstellung mDNS nicht verstehe und welche auswahl ich tun soll. Ich steuer meine Firewall Regeln über eine Cisco Firewall nicht über ein UNIFI Gateway. Wie kann ich am besten vorgehen? Vielen Dank für Ihre Unterstützung und Hilfe.

    Danke euch

    Beste Grüße

    Quote from Nightsong

    nicht über ein UNIFI Gateway

    und damit ist auch quasi fast egal was du im Controller einstellst. Weil du nur WLAN darüber machst.
    evt kann es besser sein wenn "Multicast Enhancement" im WLAn Setup an ist.

    MDNS ist nen Protokoll das nur im gleichen VLAN Multicast nutzt und NICHT geroutet wird.
    (TTL=1


    Deswegen braucht es ja einen MDSN Helper wie avahi daemon der auf dem Interface lauscht
    und den kram auf einen anderen Interface / VLAN wieder auspumpt.

    Für Cisco... dein IOS muss "mdns gateway" / "mdsn-sd" unterstützen.

    Code
    !Policy  (oder dann halt ohne Policy für alle Dienste)
mdns-sd service-list BONJOUR_SERVICES permit _airplay._tcp local
mdns-sd service-list BONJOUR_SERVICES permit _raop._tcp local

!Dann auf allen nötigen VLAN zuweisen
interface Vlanxxx
 mdns-sd gateway 
 mdns-sd service-policy BONJOUR_SERVICES

    Das ist aber noch lange kein Garand, Grade Airplay Geräte die nicht von Apple sind sind wie Boxen, Whitebords Kochen GERNE
    ihr eignes Süppchen und mögen keine zugriffe aus "fremd Vlans"

    Ok verstehe aber für was ist dann die Einstellung IoT Auto Discovery mDNS.

    Ich kann nur sagen wie ich das verstehe, kann richtig oder auch falsch sein.

    Multicast-DNS ist eine Funktion, die die Übertragung von Multicast-Datenverkehr über verschiedene Netzwerke hinweg ermöglicht. Ist das korrekt, für mich bedeutet das wenn ich diese Option aktivieren das ich die Möglichkeit habe wenn ich im WLAN bin und AirPLay nutze meine Geräte wo im Lan sind sehe.

    Multicast-DNS ist auf dem Controller aktiv und leitet Multicast-Datenverkehr von Geräten zwischen verschiedenen Netzwerken (VLANs) weiter.

    Aktivieren Sie diese Funktion, wenn Funktionen wie AirPlay, AirPrint oder Chromecast über verschiedene Netzwerke/VLANs hinweg genutzt werden.


    Habe von avahi daemon gelesen und gehört, möchte es aber vermeiden weitere Geräte in Betrieb zu nehmen.


    Beste Grüße

    Joe

    Quote from Nightsong

    aber für was ist dann die Einstellung IoT Auto Discovery mDNS.

    Die (heißt bei den Aktuellen Versionen nur noch mDNS Proxy) Konfiguriert den mDNS Helfer auf einem UNifi Gatway.
    dabei wird bei UniFi der avahi benutzt und eingestellt. Da du kein UniFi Gatway hast... ist die Option ohne Funktion für dich.
    (und würde auch nur für die Vom gateway Verwalteten Netze funktionieren also nicht für "Thirdparty" Vlans)


    Quote from Nightsong

    Multicast-DNS ist auf dem Controller aktiv und leitet Multicast-Datenverkehr von Geräten zwischen verschiedenen Netzwerken (VLANs) weiter.

    NEIN, der Kontroller macht garnichts außer die Geräte zu verwalten. Da Läuft kein Traffic drüber, der verteil nicht, dem sind auch VLAN egal.
    das ist alles Aufgabe von Gateway (wobei natührlich die grenzen verschwimmen wenn Gateway und Kontroller das gleiche Gerät sind wie bei den UDM / UCG Geräten)

    Quote from Nightsong

    Habe von avahi daemon gelesen und gehört, möchte es aber vermeiden weitere Geräte in Betrieb zu nehmen.

    Wozu auch wenn dein Router dein Cisco ist.. Der kann das ganz Prima selber...

    Quote from gierig

    Wozu auch wenn dein Router dein Cisco ist.. Der kann das ganz Prima selber...

    WIe soll ich das verstehe. ? Meine Cisco Firewall routet die Netze sind mein Router. Und Multicast kann man nicht routen.

    Wie kann ich nun das ganze realsieren, ohne den avahi.

    1. Ich würde das WLAN Client Netz auf der Firewall zum Smartboard Netz routen.

    2. Der UniFi Controller agiert als Multicast/Bonjour Relay, indem er:

    • Bonjour/mDNS-Dienste erkennt (z. B. _airplay._tcp,)
    • Die Discovery-Anfragen zwischen VLANs/Netzen weiterleitet
    • So tut, als wären die Geräte im gleichen Netz

    3.

    • Im Client Netz Block LAN to WLAN Multicast: Deaktivieren
    • Block LAN to WLAN Broadcast: Deaktivieren
    • „Multicast Enhancement“ aktivieren.
    • Automatische IoT-ErkennungMDNS aktivieren und die Netze (Client Netz und Smartboard Netz auswählen.) Wenn das aktiv ist, agiert der Controller als mDNS Proxy und spiegelt Discovery-Pakete zwischen VLANs. Liege ich da richtig. ?

    Der UniFi Controller sollte doch die Discovery-Weiterleitung zwischen den VLANs dann machen.


    Schritt
    1️. Routing (beidseitig) zwischen Client Netz (VLAN 190) ↔ Smartboard Netz (VLAN 1806) aktiv
    2️. mDNS Auto-Discovery im UniFi Controller aktivieren + VLANs/Netze hinzufügen
    3️. Firewalls anpassen (UDP 5353 + AirPlay-Ports zulassen)
    4️. Controller muss IP-Connectivity zu beiden Netzen haben
    5️. Test mit iOS-Gerät starten

    Hoffe ich liege richtig.

    Beste Grüße und Danke.

    Gruß Joe

    vielleicht in groß geschrieben ?

    MDNS Relay NUR MIT UNIFI GATEWAY

    Nochmal:
    OHNE UNIFI Gateway, die die VLANs miteinander verbindet ist option im Kontroller OHNE Funktion.
    Überlege doch mal wie das gehen soll. WO soll den ein mDNS Reflektor / Proxy / Helper laufen ?
    Auf den Kontroller ? Der hat nur eine IP und steckt nur einem VLAN. Der Dienst muss
    aber in einem VLAN hören und es in einem anderen VLAN wieder senden.
    Dazu muss direkter, also L2 zugriff, auf die Vlans bestehen. Das ist nur gegeben wenn der
    Dienst auf dem Router läuft wo die ganzen Gatways zusammen laufen oder auf extra Hardware
    die jeweils ein Interfaces in jedes beteiligte VLAN hat...

    Quote from Nightsong

    Und Multicast kann man nicht routen.

    Vielleicht noch mal das Grundlagen Buch in die Hand nehme. Multicast kann man Prima Routen.
    Nur weil UniFi und quasi jeder Plastik Router von der Stange das nicht kann oder weil 99% aller Carrier
    im Internet das Blockieren heißt das ja nicht das es nicht geht.
    Aber auch egal hier muss kein Multicast geroutet werden werden

    Richtige Schritte:

    mdns Proxy / Redirector auf deinem CISCO Einrichten, fertig. (von irgendwelchen Ports / IP die Erlaubt sein müssen in den ACL mal abgesehen) Ein Beispiel für Cisco-IOS war oben im ersten Beitrag,.

    Ja ich werde mal ein Grundlagen Buch nehmen und lesen.

    So ist momentan das Set Up

    • UniFi AP hängt am Cisco-Switch
    • Cisco-Port ist Trunk: allowed vlan 13,190,1806
    • SSID Client Netz sendet tagged auf VLAN 190
    • Smartboards sind in VLAN 1806
    • AP sieht beide VLANs

    Dann sollte funktioniert mDNS Auto-Discovery zwischen den VLANs – auch ohne UniFi Gateway.

    Und ich überzeugt das

    mDNS geht nur mit UniFi Gateway Falsch Weil die APs leiten mDNS auch ohne Gateway weiter, wenn VLANs verfügbar
    Controller kann nicht mDNS bridgen Teilweise korrekt Der Controller selbst hat oft keinen Layer-2-Zugriff – aber die APs übernehmen das Bridging
    Man braucht L2-Zugriff auf beide VLANs Richtig Genau – das haben die APs über Trunkports


    Hab nun mal eine Liste erstell auch von Infos von anderen User die sowas umsetzen, bei einigen funktioniert es bei einigen nicht.

    KriteriumUniFi mDNS Auto-Discovery (über APs)Cisco mDNS GatewayAvahi Reflector auf Linux
    Du hast UniFi APsOptimalNicht nötigNicht nötig
    Kein UniFi Gateway vorhandenKein ProblemMöglich, unabhängigMöglich
    VLANs sind per Trunk auf den APsNotwendigController/AP hat keinen EinflussInterface pro VLAN oder VLAN trunk
    Du willst kein UniFiDann keine OptionMöglichMöglich
    Du willst zentrale Sichtbarkeit + KontrolleÜber ControllerPer Cisco ConfigManuell über Avahi-Konfig
    Technischer AufwandSehr geringMittelHoch (Linux-Wissen nötig)
    LizenzabhängigkeitKeine Lizenz nötigJe nach Cisco-ModellKostenlos (Open Source)

                                     
    Beste Grüße und Danke für due Gedult und Verständnis.

    Und ich hab mich falsch ausgedrückt, ich meinte das MDNS Protokoll kan man nicht routen. Nicht Multicast selbst.

    Joe

    Moinsen,

    Quote from Nightsong

    Und ich überzeugt das

    mDNS geht nur mit UniFi Gateway Falsch Weil die APs leiten mDNS auch ohne Gateway weiter, wenn VLANs verfügbar

    Nein, net, nö, auf keinen Fall. Sagt mal nutzt du ein LLM also sowas wie chatGPT? Da kommt viel Unsinn raus...
    Also Nein das wird so nicht passieren.

    Und das aus multiplen Gründen. Mann stelle sich nur den Impact or wenn so ein AP auf einmal anfangen würde
    in ein fremdes VLAN infomationen zu bridgen.. Dann könnte man es auch gleich sein lassen mit Netz Trennung via VLAN.
    Und nein auf den AP läuft auch kein mDNS Reflektor.

    +

    Ohne eine SSID zu VLAN Mapping kannst du gerne ALLE Vlans auf den Port Konfigurieren die werden alle Ignoriert.
    die UNifi AP legen nur EIN L3 Interface für MGMT an (mit IP) und für alle anderen SSID nur eine Bridge in das konfigurierte VLAN

    Code
    Marge-BZ.6.7.14# brctl show
bridge name    bridge id        STP enabled    interfaces
br0        ffff.XXXXXbfccXXX    no        	eth0
                           				 	wifi0ap0
                            				wifi1ap2

br0.10     ffff.XXXXXbfccXXX    no        	wifi0ap1
                            				eth0.10

    Hier ein Beispiel. BR0 is das native. Hat die IP fürs MGMT und ist Gebridget mit dem eigentlichen Interface (eth0) und einem WLAN in 2,5 und einem 5ghz
    das Interface br0.10 gebridged zum subinterface eth0.10 (das dann das VLAN Verpacken macht) und halt einem 2,4ghz WLAN.

    +

    Nein für einen mDNS Reflektor über UNifi braucht es ein UniFi Gateway. Und dieses mus die Netze Natürlich auch verwalten also die Gateways
    des jeweiligen VLAN haben. Ansosntenhalt mit etwas das im jeden Netz ein L2 bein hat. Dafür eignet sich wie schon im ersten Beitrag deine Cisco Büchse. Den die sollte das aus dem FF können...Je nach IOS und Featureset sei dann entweder über "service-routing mdns-sd" oder "mdns-sd gateway" (dürfte so ab 15.x)

    Quote from gierig

    Nein für einen mDNS Reflektor über UNifi braucht es ein UniFi Gateway. Und dieses mus die Netze Natürlich auch verwalten also die Gateways
    des jeweiligen VLAN haben. Ansosntenhalt mit etwas das im jeden Netz ein L2 bein hat. Dafür eignet sich wie schon im ersten Beitrag deine Cisco Büchse. Den die sollte das aus dem FF können...Je nach IOS und Featureset sei dann entweder über "service-routing mdns-sd" oder "mdns-sd gateway" (dürfte so ab 15.x)

    Ja das Probem ist das würde ich Gerne aber ich kenn Cisco zu gut und wenn ein Update kommt kann es sein das es nimmer geht und ich wieder eine Lösung finden muss.

    Ich glaub das schon aber ich hinterfrage auch Dinge und Chatgpt sagt das gleiche was oben steht.

    Ich hab nun 2 Optionen

    Cisco oder avahi

    Da der Controller eh auf Debian läuft könnte ich doch den avahi deamon auf den Controller ausrollen und konfigurieren.

    Der Controller ist eine VM und ich weise dem vnix zu damit er die anfragen discovern und weitergeben kann.

    Oder die Cisco Variante, muss ich das auf jeden Switch ausrollen ?

    Beste Grüße

    Joe

    Quote from Nightsong

    ich kenn Cisco zu gut und wenn ein Update kommt kann es sein das es nimmer geht und ich wieder eine Lösung finden muss.

    Hab ich die letzen 5 Jahre was verpasst ? Wo hat Cisco den schonmal aktuell relevanten Features umgebaut / ausgebaut ?
    Selbst X.25 support ist noch in den Aktuellen Images.

    Quote from Nightsong

    Da der Controller eh auf Debian läuft könnte ich doch den avahi deamon auf den Controller ausrollen und konfigurieren.

    Sofern die VM nein Bein in jedes VLAN hat, klar..(Tipp, jedes Interface braucht natürlich ne IP im jeweiligen VLAN sonst findet Aval das doof)

    Quote from Nightsong

    Oder die Cisco Variante, muss ich das auf jeden Switch ausrollen ?

    Switch ? Wie kommst du bloß auf so einen Unsinn ? Einziger Ort der Notwendigkeit ist der Router der die Gatways innen hat.

    Quote from gierig

    Hab ich die letzen 5 Jahre was verpasst ? Wo hat Cisco den schonmal aktuell relevanten Features umgebaut / ausgebaut ?
    Selbst X.25 support ist noch in den Aktuellen Images.

    Ich Arbeit Tag täglich mit über 300 Cisco Switchen und es wird sehr oft Features entfernt oder hinzugefügt. Siehe Patchnotes von C9506 oder C9504 oder C9300.


    Ja das jedes Interface eine IP braucht ist ja normal. Hab ich schon gelesen danke.


    Quote from gierig

    Switch ? Wie kommst du bloß auf so einen Unsinn ? Einziger Ort der Notwendigkeit ist der Router der die Gatways innen hat.

    Nochmal wie oben Beschrieben ich route auf der Firewall und nicht auf dem L3(Switch)

    Firewall läuft im Routed Mode. FP3140

    Beste Grüße

    Joe

    Quote from Nightsong

    Firewall läuft im Routed Mode. FP3140

    Ah schöne Scheibe Salami. Ja der Trümmer ist schön...aber halt Enterprise und da will keiner was von MDNS wissen.
    Soweit ich weis kann die software das immer noch nicht mdns als service... ich bin da aber schon ne weile raus.

    Die TAC Leute werden wohl auf Multicast Routing setzen wollen, das klappt aber nicht das der kram Broadcast sind
    und ein "Client" sich da nicht anmeldest um seinen stuff hau bekommen (deswegen ist mdns ja nicht anständig Routbar)
    Keine Ahnung ob du da über eine Virtuelle router Instance oder im ASA Mode weiterkommst. Ist aber ja ggf auch keine Option
    wenn das nicht ein neu setup ist.

    Da bleibt dann eigentlich nur noch die thirdparty Lösung über deine angesprochene VM die dann halt in jeden Netz
    Bein hat. Mit all den Highs and Lows.


    Quote from Nightsong

    Ich Arbeit Tag täglich mit über 300 Cisco Switchen und es wird sehr oft Features entfernt oder hinzugefügt. Siehe Patchnotes von C9506 oder C9504 oder C9300.

    Klingt wie nen Flex "schaut her ich bin 300 Switche schwer". Bin sicher du meinst das nicht so, aber es hat so seinen Geschmack.
    Und ne ich fang hier nicht an mit notes durchzulesen, frage war nach WO / WANN / WAS, da hilft kein Google selber als Antwort.


    Quote from Networker

    Hat man bei einer 100.000 $-Mühle nicht einen direkten Ansprechpartner im Cisco Headquarter?

    Ne ohne Service Vertrag redet nur sales mit dir (und auch nur wenn du ein paar duzend von den Kisten willst :-)
    Aber auch mit "Teures Mineral hier einsetzen" Service wühlst du dich durch 1st und 2nd level die eher klassisch nicht in USA sitzen)
    1st level ist 1st level, die sind bei jeder "Klitsche" eher dafür da um die hören Level von "Passwort ist abgelaufen" anfragen zu schützen.
    und ja die TAC Leute helfen bei Problemen, das erarbeiten von Lösungen ist nicht deren Aufgabe..

    dafür sind die Solutions Architecture / Service Consulting Teams da.. die wollen "Teures metal hier einsetzen" Verträge mit dir machen.

    Edited once, last by gierig (July 29, 2025 at 12:33 AM).

    Quote from gierig

    Klingt wie nen Flex "schaut her ich bin 300 Switche schwer". Bin sicher du meinst das nicht so, aber es hat so seinen Geschmack.
    Und ne ich fang hier nicht an mit notes durchzulesen, frage war nach WO / WANN / WAS, da hilft kein Google selber als Antwort.

    Ne das meinte ich nicht so, bin sehr Bodenständig im Gegensatz zu anderen Leuten. Ist geal ob man 5 Switche hat oder 300 der Prozess ist gleich.

    Ja ich denk ich lese mich da ein und finde eine Lösung für mich. Danke für die Hilfe trotzdem, war sehr Lehrreich.


    Beste Grüße

    Joe

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login