Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense und Multicast im lokalen Netzwerk

Mitglied: MarkusVD

MarkusVD (Level 1) - Jetzt verbinden

24.06.2014, aktualisiert 25.06.2014, 5747 Aufrufe, 3 Kommentare

Hallo,

das ist mein erster Beitrag in diesem Netzwerk, und hoffe, dass mir als Anfänger hin und wieder geholfen werden kann.

Vorgeschichte

Die Meldungen in diesem Jahr über Zwischenfälle, wie das Erbeuten von E-Mail-Konten-Daten (inkl. Kennwort) und das aktive Ausnutzen der Sicherheitslücke der Fritzbox, gaben mir den Anlass eines Versuchs, mein Netzwerk etwas sicherer zu machen.

Auf der Suche nach einer Alternative bin ich aufgrund der folgenden Beiträge des Benutzers aqui (Danke dafür) fündig geworden:

Netzwerk-Übersicht

Da ich nicht zuviel über mein Netzwerk preisgeben möchte, ist hier eine grobe Übersicht meines Heimnetzwerkes:
Modem -> pfSense -> LAN -> Switch (ohne Konfigurationsmöglichkeiten) -> Geräte 
                 -> OPT1
## darkblue|LAN ##
  • hier dürfen Geräte nur ausgewählte IP-Adressen aufrufen
    • z.B. Definitionsupdates für Antivirus, Betriebssystemaktualisierungen, etc.

## darkgreen|OPT1 ##
  • hier dürfen die Geräte ins Internet

Frage/Thema

Bisher bin ich eigentlich ganz zufrieden, wie es bisher läuft, nur ein paar Kleinigkeiten stören noch, und mir fehlt das Hintergrund-Wissen,
wie ich diese Dinge handhaben soll.

Problem:
In den Firewall-Protokollen tauchen geblockte Multicast-Adressen (IPv4 und IPv6), wie eine kurze Recherche im Internet zum Vorschein gebracht hatte, aufseiten der ## darkblue|LAN##-Schnittstelle auf.

Innerhalb des lokalen Netzwerks (LAN) gibt es nämlich einen Server, der verschiedene Dienste (Beispiel: Media-Streaming) für Clients zur Verfügung stellt.

Der Wikipedia-Artikel (Wikipedia (DE): Multicast) brachte ein ganz klein wenig Licht ins Dunkel.
So wie ich Teile dieses Artikel interpretiert habe, gibt es einen Sender, der Daten nur einmal an eine Multicast-Adresse verschickt, und die Empfänger erhalten dann diese Informationen genau über diese eine Adresse.

Mehr habe ich leider nicht im Detail verstanden.
z.B. wo werden die Daten des Senders zwischengespeichert oder werden die Daten immer gesendet bis einer abhebt?

Fragen:
Was soll ich in der pfSense-Firewall einstellen, dass Multicast 'nur' im lokalen Netzwerk (LAN) funktioniert?

Ist es sinnvoll, diese Multicast-Adressen
  • ## brown|IPv4##: ## blue|224.0.0.0/4## (von 224.0.0.0 bis 239.255.255.255)
  • ## brown|IPv6##: ## blue|ff02::1/64## (von ff02::1 bis ff02::ffff:ffff:ffff:ffff)
einfach freizugeben?

Meine Bitte auf eine mögliche Antwort ist, mit einfachen Worten ohne zu viele Fachbegriffe, die einem Anfänger wie mir nur noch mehr verwirren, zu erläutern.

Gruß, Markus.
Mitglied: brammer
24.06.2014, aktualisiert um 20:09 Uhr
Hallo,

Multicast für IPv6 benötigst du nur wenn du auch IPv6 im lokalen Netz verwendest ansonsten würde ich IPv6 komplett deaktivieren...

Wenn du Multicast nur im lokalen Netz brauchst, musst du auf der pfsense gar nichts machen, die pfsense arbeitet wie jede gute Firewall nach dem Modus, was nicht explizit erlaubt ist, ist verboten.

Brammer
Bitte warten ..
Mitglied: colinardo
LÖSUNG 24.06.2014, aktualisiert 25.06.2014
Hallo Markus,
wie @brammer schon scheibt musst du für Multicast im LAN nichts konfigurieren. Da die Announcements ja an alle Multicastfähigen Devices im LAN gehen, also auch zur PFSense, werden diese dort geloggt und geblockt - das ist ja auch in Ordnung denn der Router benötigt ja selber den Multicast-Traffic nicht (ist selber kein Empfänger).

Damit die Übersichtlichkeit des Routerlogs nicht ganz so stark unter dem geblockten IGMP Traffic leidet siehe diese Seite: https://forum.pfsense.org/index.php?topic=57705.0

wo werden die Daten des Senders zwischengespeichert oder werden die Daten immer gesendet bis einer abhebt?
Die werden nirgendwo zwischengespeichert. Ein möglicher Empfänger muss den Stream durch eine Nachricht abonnieren, erst dann erhält er die Daten an seine MAC-Adresse.
Wie das genau funktioniert kannst du hier nochmal detaillierter nachlesen:
http://www.tldp.org/HOWTO/Multicast-HOWTO-2.html

Grüße Uwe
Bitte warten ..
Mitglied: MarkusVD
25.06.2014 um 15:49 Uhr
Hallo,

danke für die Antworten. Diese haben mir sehr geholfen.

Bezüglich IPv6

Im lokalen Netzwerk können fast alle Geräte IPv6 und die pfSense-Firewall stellt einen DHCPv6-Server bereit.
Bisher sind keine Probleme deswegen aufgetreten.

Dringend notwendig wäre es nicht, und alle Dienste des Servers unterstützen das auch nicht, aber da es sowieso irgendwann Standard ist,
man IPv4 und IPv6 parallel betreiben kann, wollte ich mich jetzt schon ein wenig damit befassen.

Gruß, Markus.
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen

Fehlersuche im lokalem Netzwerk (RSTP, MRP, Multicast)

gelöst Frage von FloooooNetzwerkgrundlagen5 Kommentare

Hallo liebe Gemeinde! Kennt wer ein gutes Tool zur Fehlersuche in einem verzweigten Netz in dem Multicast verwendet wird? ...

Netzwerkprotokolle

Multicast flooden Netzwerk?

gelöst Frage von unique24Netzwerkprotokolle10 Kommentare

Hallo! Habe einen HDMI2IP converter. Der sendet das HDMI Bild als Multicast ins Netzwerk. Ein entsprechender Receiver empfängt diesen ...

Linux

NClone Multicast?

Frage von PlantbutcherLinux

Hallo an Alle, ich habe mir mal die App nClone ) auf ein Synology NAS installiert und hab damit ...

Firewall

Richtige Grundeinstellungen der Pfsense für mein Netzwerk

gelöst Frage von SpitzbubeFirewall36 Kommentare

Hallo, lese hier nun schon den ein oder anderen Artikel mit aber werde noch nicht ganz schlau, wie die ...

Neue Wissensbeiträge
Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 4 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 14 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 1 TagWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server36 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser15 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...