Mijn vraag
Ik heb op mijn edgerouter verschillende VLANs aangemaakt om apparaten te scheiden. VLAN 1 default gehouden en VLAN 20 is voor iOT
Tot nu toe ging dat prima mbt NEST/Hue etc. Maar een paar dagen geleden heb ik de Yamaha receiver ook in vlan 20 gezet (bekabeld) en die is voorzien van airplay. Vervolgens heb ik op een raspberry pi die ik nog had liggen een mds reflector opgezet dmv avahi-daemon. Werkt perfect. De receiver in vlan20 en mijn mac (bekabeld) of iphone (wifi) kunnen muziek streamen naar de Yamaha receiver.
Maar nu komt het probleem: Standaard staan er static routes ingesteld tussen de VLANs in de edgerouter. Ze kunnen dus volledig met elkaar communiceren. Dit wil ik tegen gaan middels firewall regels zodat IoT devices niet met LAN kunnen communiceren.
Op het moment dat ik de regel aanzet die hiervoor moet zorgen dan kan de mac of iphone de receiver nog wel zien maar streamen lukt niet meer.
Ik heb wat rond gegoogled en de poorten gevonden die apple beschrijft als "bonjour" 5353 5351 5350 en 1900. Dus die heb ik toegevoegd als firewall regel.
Ergens gaat er nog steeds wat mis want met regel 5 aan kan ik geen nieuwe streams starten. Als er een stream loopt op het moment dat ik regel 5 aanzet dan stopt die niet.
Weet zeker dat ik ergens een denk fout heb gemaakt en een firewall regel er verkeerd ingezet heb oid. Maar ik zie het zo niet meer.
Relevante software en hardware die ik gebruik
Edgerouter X
Avahi-daemon (dietpi raspberry distro)
airplay
Wat ik al gevonden of geprobeerd heb
juiste poort range voor bonjour/airplay mdns
mdns reflector
mdns repeater aangezet op de edgerouter
Ik heb op mijn edgerouter verschillende VLANs aangemaakt om apparaten te scheiden. VLAN 1 default gehouden en VLAN 20 is voor iOT
Tot nu toe ging dat prima mbt NEST/Hue etc. Maar een paar dagen geleden heb ik de Yamaha receiver ook in vlan 20 gezet (bekabeld) en die is voorzien van airplay. Vervolgens heb ik op een raspberry pi die ik nog had liggen een mds reflector opgezet dmv avahi-daemon. Werkt perfect. De receiver in vlan20 en mijn mac (bekabeld) of iphone (wifi) kunnen muziek streamen naar de Yamaha receiver.
Maar nu komt het probleem: Standaard staan er static routes ingesteld tussen de VLANs in de edgerouter. Ze kunnen dus volledig met elkaar communiceren. Dit wil ik tegen gaan middels firewall regels zodat IoT devices niet met LAN kunnen communiceren.
Op het moment dat ik de regel aanzet die hiervoor moet zorgen dan kan de mac of iphone de receiver nog wel zien maar streamen lukt niet meer.
Ik heb wat rond gegoogled en de poorten gevonden die apple beschrijft als "bonjour" 5353 5351 5350 en 1900. Dus die heb ik toegevoegd als firewall regel.
Ergens gaat er nog steeds wat mis want met regel 5 aan kan ik geen nieuwe streams starten. Als er een stream loopt op het moment dat ik regel 5 aanzet dan stopt die niet.
Weet zeker dat ik ergens een denk fout heb gemaakt en een firewall regel er verkeerd ingezet heb oid. Maar ik zie het zo niet meer.
Relevante software en hardware die ik gebruik
Edgerouter X
Avahi-daemon (dietpi raspberry distro)
airplay
Wat ik al gevonden of geprobeerd heb
juiste poort range voor bonjour/airplay mdns
mdns reflector
mdns repeater aangezet op de edgerouter
ubnt:~$ show configuration
firewall {
all-ping enable
broadcast-ping disable
group {
address-group GUESTS {
address 192.168.30.0/24
description "GUESTS rules"
}
address-group IoT-network {
address 192.168.20.0/24
description "IoT devices"
}
address-group LAN {
address 192.168.1.0/24
description "Main LAN"
}
address-group management {
address 192.168.10.0/24
description "management vlan 10"
}
port-group Bonjour {
description Airplay
port 5353
port 1900
port 5351
port 5350
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name GUESTS_IN {
default-action accept
description "GUEST WIFI"
enable-default-log
rule 1 {
action accept
description "DNS to pi-hole"
destination {
address 192.168.1.5
}
log disable
protocol tcp_udp
state {
established enable
invalid disable
new enable
related enable
}
}
rule 2 {
action accept
description "Accept established"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 3 {
action drop
description "Cannot reach LAN"
destination {
group {
address-group LAN
}
}
log disable
protocol all
state {
established enable
invalid disable
new enable
related enable
}
}
}
name IoT_IN {
default-action accept
description "IoT IN Rules "
enable-default-log
rule 10 {
action accept
description "Accept established"
log enable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action accept
description mdns
destination {
port 5353
}
log enable
protocol tcp_udp
}
rule 30 {
action accept
description mdns/bonjour/airplay
destination {
group {
port-group Bonjour
}
}
log enable
protocol tcp_udp
source {
group {
}
}
}
rule 40 {
action accept
description "DNS IoT through pi-hole"
destination {
address 192.168.1.5
port 53
}
log enable
protocol tcp_udp
source {
group {
address-group IoT-network
}
}
state {
established enable
invalid disable
new enable
related enable
}
}
rule 50 {
action drop
description "IoT to LAN"
destination {
group {
address-group LAN
}
}
disable
log enable
protocol all
source {
group {
}
}
}
}
name IoT_LOCAL {
default-action drop
description "IoT to router"
enable-default-log
protocol udp
}
rule 20 {
action accept
description "Allow DNS on IoT devices"
destination {
port 53
}
disable
log enable
protocol tcp_udp
state {
established enable
invalid disable
new disable
related enable
}
}
}
name LAN_IN {
default-action accept
description "Allow bonjour"
enable-default-log
rule 10 {
action accept
description "Accept established"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
}
rule 20 {
action accept
description Airplay
destination {
group {
port-group Bonjour
}
}
log enable
protocol tcp_udp
source {
group {
}
}
}
rule 30 {
action accept
description "Allow mdns"
destination {
port 5353
}
log enable
protocol tcp_udp
}
}
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "Allow https"
/u/456650/crop5669de30e11d2_cropped.png?f=community)
:strip_exif()/u/290839/crop5b757283a589c_cropped.gif?f=community)