Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1 2 След.
RSS
Unifi mdns-repeater не работает между VLANами, UniFi Network
 
#1
24.02.2018 21:24:00
Я прочитал все форумы, которые смог найти по этой теме, но всё равно не могу заставить это работать. Моя основная задача: управлять Apple TV, который находится в сети IOT, с устройства из моей более защищённой личной сети. У меня есть USG, коммутатор Unifi и UAP-AC-lite. У меня есть сети/vlan для IOT и личная сеть/vlan. Мой Apple TV (2-е поколение) подключён кабелем к порту с профилем «Switch Port Profile» для сети IOT. Когда мой телефон или ноутбук подключены к моей личной беспроводной сети, Apple TV не виден. А когда я подключаю телефон или ноутбук к сети IOT, устройство видно и им можно управлять через ios remote app.

Я перепробовал разные настройки, включая включение/выключение службы «mDNS», подключение по ssh к USG и настройку mdns reflector, редактирование конфигураций avahi-daemon с указанием разрешённых интерфейсов, а также попытки настроить mdns repeater.

В одном из сообщений я наткнулся на человека, который запускал mdns-repeater в переднем плане и наблюдал за передачей трафика. Когда я делаю то же самое, вижу, что трафик пересылается:
sudo /usr/sbin/mdns-repeater -f eth1 eth1.2 eth1.3 -p /var/run/mdns-repeater.pid  
data from=192.168.2.7 size=49 repeating data to eth1 repeating data to eth1.3  
data from=192.168.2.7 size=49 repeating data to eth1 repeating data to eth1.3  
data from=192.168.3.10 size=675 repeating data to eth1 repeating data to eth1.2  
data from=192.168.2.7 size=49 repeating data to eth1 repeating data to eth1.3  
data from=192.168.3.10 size=675 repeating data to eth1 repeating data to eth1.2

Но даже при запущенном mdns-repeater в переднем плане и явном повторении mdns-трафика между подсетями, Apple TV не отображается для устройств на другой VLAN.

Вопросы:  
1) Я что-то упускаю, что очевидно для других?  
2) Когда я включаю сервис «mdns» в контроллере Unifi, он автоматически включает отражатель (reflector), или это всё ещё нужно делать через ssh?  

Кто готов провести меня за руку через всё это? Мне кажется, должно быть проще, и я, возможно, что-то не замечаю.  

Спасибо,  
Джо

P.S. Все сети — корпоративные VLANы, и в будущем я планирую жёстко ограничить их изоляцию через правила межсетевого экрана, открывая только нужные порты. Пока же активны только стандартные правила.
 
 
 
#2
17.01.2020 03:10:00
Попробую это! Спасибо.
 
 
 
#3
23.01.2021 22:39:00
@eduncan911 / @dennyw Безопасно ли открывать порт 5353 вот так, без каких-либо ограничений (any:any)? Будет ли это раздавать mDNS по беспроводной сети? Или только по локальным VLAN?
 
 
 
#4
26.10.2020 02:46:00
Это очень помогло мне. У меня VLAN для IoT был ограничен только DNS и DHCP. Я добавил в набор правил порт для mDNS, и это наконец позволило репитеру mDNS работать правильно. Но есть одна важная предосторожность: с описанным вами набором правил вы заблокируете VLANы от всех служб роутера, включая веб-интерфейс. Людям стоит избегать использования такого набора правил на том интерфейсе, через который они настраивают роутер.
 
 
 
#5
05.06.2020 18:08:00
Я только что наткнулся на это сообщение: «Пытаюсь сделать подробный разбор UniFi IoT VLAN | Сообщество Ubiquiti». Ух ты! Когда я разделил свою сеть на сегменты, даже не подозревал, что настроить устройства для работы в нескольких подсетях будет настолько сложно. В любом случае, раз эта публикация свежая и всё ещё в процессе, я буду следить за обновлениями и посмотрю, поможет ли мне это. Огромное спасибо sjjenkins за то, что потратился на изучение этой темы и оформил свои выводы.
 
 
 
#6
05.06.2020 15:48:00
Я пытаюсь получить доступ к DLNA-медиасерверам через разные подсети. Мои тестовые случаи таковы:  
Серверы: ПК с Windows 10 и NAS Synology с включёнными медиасерверами; также DVR DirecTV.  
Клиенты: приложение nPlayer на iPhone; смарт-ТВ LG.  

Все это работает в одной подсети, но клиенты не могут найти серверы в другой подсети. Я вижу всплески MDNS-трафика, проходящего через USG. Как понять, задействован ли Bonjour, и почему это важно — ведь Bonjour отличается от MDNS?
 
 
 
#7
05.06.2020 06:02:00
Что вы имеете в виду под «обнаружением»? Если речь о продуктах Apple, как у автора поста, то они часто используют Bonjour для обнаружения, и он не работает через разные подсети.
 
 
 
#8
16.01.2020 10:29:00
@leehadassin, скорее всего, у тебя включена функция «Блокировать LAN для мультикастов и широковещательных пакетов WLAN». Зайди в настройки, затем Wireless Networks, отредактируй WLAN и в разделе Advanced Options отключи эту функцию. На небольшой сети лучше её выключить. На большой сети разреши MAC-адрес твоего ER-X.
 
 
 
#9
04.06.2020 21:38:00
Я в такой же ситуации и до сих пор не могу заставить кросс-VLAN обнаружение работать, даже после того, как перепробовал всё, что описано в этой теме. Кратко:  
Использую свежайший контроллер (5.12.72), в котором есть управление MDNS и UPnP в UI.  
Включил MDNS.  
Включил UPnP (не уверен, влияет ли это, но решил попробовать).  
В каждой сети включил «Enable IGMP Snooping».  
В каждой WLAN снял галочку с «Block LAN to WLAN multicast and broadcast».  
Отключил все нестандартные правила в брандмауэре, чтобы разрешить весь трафик между VLAN.  

Результат: мои клиенты по-прежнему видят только серверы в своей VLAN, а сервера из других VLAN — нет.  
Результаты во многом совпадают с тем, что написал автор темы и несколько других участников.  
Пока ломаю голову, что попробовать дальше.
 
 
 
#10
27.02.2020 12:51:00
Включение набора правил убило мой веб-интерфейс!!
 
 
 
#11
25.02.2020 15:23:00
Ещё один совет для тех, кто мучается с настройкой: включите IGMP snooping для каждой сети, которую вы создали в настройках Unifi. Портал Unifi / Иконка настроек / Сети / «Включить IGMP Snooping» (сделайте это для всех сетей, которые зарегистрированы и которые вы настраиваете). Я далеко не эксперт, поэтому могу признать, что это может быть просто совпадение, что именно этот шаг стал последней каплей, после которой моя конфигурация начала работать. Но как только я поставил эту галочку, сразу несколько вещей, которые я пытался настроить между VLAN, заработали.
 
 
 
#12
14.02.2020 07:34:00
Apple TV у меня отлично работает через разные VLAN. Проверь логи фаервола, чтобы понять, не в нём ли проблема (или временно отключи правила для базового теста).
 
 
 
#13
14.02.2020 01:22:00
Да, вот в чем дело. Всё, что нужно было — это добавить правильное правило для файрвола.  
Создал новый RuleSet, назвал его "mDNS_LOCAL", чтобы обозначить, что он разрешает mDNS для локальных сервисов на EdgeOS коммутаторе.  
По умолчанию — DROP.  
Добавил каждый VLAN-интерфейс (у меня это home/office/iot).  
Сохранил.  

Добавил новое правило в этот RuleSet.  
Назвал mDNSAccept, протокол UDP.  
Во вкладке Destination указал только порт 5353, ничего больше (не надо указывать локальный интерфейс коммутатора, IP-адреса и т.д.).  
Сохранил.  

Добавил ещё одно новое правило в RuleSet.  
Назвал "other".  
DROP, все протоколы.  
Сохранил.  

Сохранил порядок правил.  

Отмечу, что у меня очень строгие политики между VLAN, поэтому пришлось открыть доступ к этому порту для локальных сервисов, так как большинство доступа к роутеру я блокирую.  

Теперь я вижу ChromeCasts и могу ими управлять. Правда, стримить с одного VLAN на другой пока не пробовал. Думаю, для этого придётся открыть дополнительные порты, и в таком случае создам новый RuleSet и настрою под это (чтобы не трогать существующий mDNS_LOCAL).  

Очень бы хотелось найти время разобраться с CLI и написать для всего этого ansible-скрипты.
 
 
 
#14
14.02.2020 01:08:00
Та же проблема у меня... Включил mDNS Repeater на EdgeOS для трёх VLAN: home, office, iot (устройства Chromecast в iot). У меня НЕ стоит галочка "Block LAN to WLAN multicast and broadcast" для каких-либо VLAN на Unifi AP (home, office, iot). Думаю, проблема связана с файрволом. Вся эта тема с in/out/local для меня пока что запутанная, и я постоянно либо убиваю интернет, либо ломаю маршруты. Полагаю, нужно разрешить mDNS от этих VLAN (home, office, iot) к LOCAL (чтобы mDNS трафик сервисов, запущенных локально на EdgeOS, проходил). А потом разрешить порт 5353 только от home/office VLAN к iot. Вот с этим последним моментом у меня пока проблемы. Чтобы убедиться, что устройства видны, я подключаю телефон к Wi-Fi IoT и сразу же вижу свои 3 Chromecast-а за 1 секунду.
 
 
 
#15
19.01.2020 11:14:00
@UI-cmb У меня не включена опция «Block LAN to WLAN multicast and broadcast» в моей надёжной Wi-Fi сети. В сети IOT она включена, но там есть исключения для моего принтера и других устройств, и это работает (я вижу ответы от этих устройств). Интересно, может ли это быть связано с тем, что моя надёжная сеть/подсеть не на VLAN, а сеть IOT — да? Я использовал вот это руководство для настройки своих сетей (с небольшими изменениями) — https://github.com/mjp66/Ubiquiti
 
 
 
#16
14.01.2020 20:20:00
Всем привет, я прочитал и попробовал почти все посты на форумах по этой теме, но всё без толку. Edgerouter X-SFP с двумя Unifi-mini HD точками доступа. В EdgeOS включил mDNS repeater между моими подсетями (trusted и IOT). На Unifi включил broadcast LAN to WAN.

Вот странная часть — когда смотрю трафик: iPhone (подключён по Wi-Fi к trusted) рассылает mDNS-запрос «кто здесь принтер». Этот запрос я вижу повторённым в подсети IOT (через tcpdump на Edgerouter) и он транслируется по Wi-Fi моему AirPrint-принтеру. Принтер отвечает mDNS-ответом «я принтер». Я вижу ответ, повторённый обратно в подсеть trusted с помощью tcpdump на Edgerouter и на сервере с проводным подключением в trusted.

Но вот в чём проблема — этот ответ НЕ транслируется затем обратно на беспроводные устройства в подсети trusted, и у меня есть подозрение, что в этом виноваты Unifi.
 
 
 
#17
04.10.2019 21:56:00
Всем привет, спасибо, что приняли меня здесь. Я использую USG3 и настраиваю две отдельные сети, используя порты LAN1 и LAN2. Оба порта подключены к своим локальным устройствам и к одному точке доступа AP AC LR (все подключено к неуправляемому коммутатору). На каждом устройстве AP настроено по нескольку VLAN. Можно ли настроить mDNS repeater так, чтобы он работал только в их раздельных сетях? Например, чтобы трафик MDNS и трансляций происходил только внутри LAN1 и его VLAN, и чтобы эти пакеты не передавались в другую сеть и VLAN на порту LAN2 USG3. Спасибо!
 
 
 
#18
12.08.2019 04:09:00
«Блокировать передачу данных от LAN к WLAN в широковещательном режиме»  
configure  
set service mdns repeater interface eth1  
set service mdns repeater interface eth1.2  
set service mdns repeater interface eth1.3  
commit  
save  
exit  

Просто хотел поблагодарить за это. Это решение, которое позволяет заставить Chromecast Groups работать.
 
 
 
#19
29.03.2019 10:30:00
{
 "service": {
   "mdns": {
     "repeater": {
       "interface": [
         "eth1.2",
         "eth1.3"
       ]
     }
   }
 }
}Добавьте это в config.gateway.json и замените 2 или 3 на те VLAN, которые у вас есть. Добавьте ещё, если нужно. Надеюсь, это поможет!
 
 
 
#20
07.08.2018 00:54:00
L2TP, судя по этому сообщению https://community.ui.com/questions/da848391-a38b-4f14-a9c7-07844b18d8d1, похоже, не поддерживает мультикаст.
 
 
 
Страницы: 1 2 След.
Читают тему (гостей: 1)