Unitymedia Raspberry als Streaming-Server: welche Firewall-Ports?

[Fruchtzwerg]

Hallo!

Ich möchte meinen Raspberry als Streaming-Server für die Horizon-Box nutzen. Beide Geräte stehen aber in verschiedenen Zonen der Firewall. Welche Ports muss ich auf der FW freigeben, damit die Horizon den kleinen Pi in der anderen Zone erkennt und Audio- und Video-Dateien von dort empfangen kann?

 

[GoaSkin]

Du wirst kaum eine Möglichkeit haben, das zu realisieren.

Der Grund ist, dass die Horizon Box lediglich auf DLNA-Server zugreifen kann, diese Technik aber über Subnet-Grenzen hinweg nicht umsetzbar ist. DLNA-Dienste werden über Multicast-Pakete gesucht und beworben, aber vom Router nicht weitergeschickt, was auch nicht im Sinne des Erfinders ist bzw. nicht gedacht. Ferner ist es so, dass der eigentliche DLNA-Server meist auf einem beliebigen, fünfstelligen Port läuft. Welcher (nicht unbedingt immer gleiche) Port das ist, wird auch über Multicast-Pakete in das selbe Subnet "hineinposaunt".

Mit viel Frickelarbeit kann man es erreichen, dass DLNA immerhin über Subnetgrenzen hinweg funktioniert, wenn auch mehr schlecht als Recht (da gibt es z.B. das Programm "mdns-repeator", was nach Dienst-Ankündigungen in einem Netzwerk-Segment hört und in geeigneter Weise die Ankündigung in das andere Segment sendet. Es handelt sich aber um Frickellösungen, die wenig taug haben und damit in der Regel auch nicht bei den Linux-Distributionen als Paket dabei sind). Meine Erfahrung: Diese Frickel-Lösungen sorgen auf Dauer dafür, dass manche Multicasts in einer Endlosschleife immer wieder hin und her geschickt werden, weil die Software nicht merkt, dass sie immer wieder ihre eigenen Pakete zurück schickt. Irgendwann ist das Netzwerk überlastet wegen einem Haufen Multicast-Müll.

Wohl gemerkt: Hier ist keine Firewall im Spiel, trotzdem schon ein Krampf.

 

[Fruchtzwerg]

Danke für die Antwort und die Erklärung!

Ich habe es zwischenzeitlich so gelöst, daß ich den Pi in die gleiche FW-Zone wie die HB gesteckt habe. Dank der Fähigkeit des Brückenbauens in OpenWRT ("bridge") konnte ich die beiden Schnittstellen WAN und eth0.1 zu einer Schnittstelle zusammenfügen, ohne weitere Kabel verlegen oder den Standort eines der beiden Geräte verändern zu müssen. Jetzt steht der Pi zwar logisch in der WAN-Zone, aber immerhin ist ja noch die HB zwischen ihm und dem "bösen Internet". Deren Firewall ist vielleicht nicht so ausgereift, wie eine Firewall sein sollte, aber da der Pi nur über genau einen von der HB weitergeleiteten Port von außen zu erreichen ist, ist das Risiko überschaubar.

 

[GoaSkin]

Die Alternative wäre ein Einplatinencomputer mit mehreren LAN-Anschlüssen. Oder alternativ den PI mit einem VLAN-fähigen Switch zu verbinden und dann auf dem PI zwei virtuelle Netzwerk-Interfaces anzulegen, die mit unterschiedlichen VLANs getaggt sind. So könnte man den PI in beide Netzwerksegmente hängen, müsste aber halt darauf achten, dass der PI zwischen den virtuellen Interfaces nicht routet.

 

[Fruchtzwerg]

Der Router, an dem der Pi hängt, ist VLAN-fähig, denn er läuft mit OpenWRT. Zwei VLAN auf dem Pi sind ebenfalls nicht das Problem. Das Verhindern von ungewolltem Routing dürfte auch nicht unmöglich sein, höchstens etwas knifflig. Aber im Grunde ist das jetzt nicht mehr nötig: der Pi gehörte vorher zur DMZ, weil er von außen erreichbar war. Jetzt steht er in der Zone WAN, und ist ebenfalls von außen erreichbar. Für die Erreichbarkeit von außen also keine Änderung, und die "Innenwelt" muss dank internem DNS noch nicht mal eine neue IP benutzen, um auf den Pi zuzugreifen. Ein paar Regeln der Firewall auf dem OpenWRT musste ich anpassen, aber das war es dann auch schon. Solange ich jetzt keinen gravierenden Nachteil meiner jetzigen Konstruktion entdecke, oder mir jemand darlegt, daß ich einen Bock geschossen habe und daß das totaler Blödsinn ist, lasse ich das auch so.

Die Konfiguration der Schnittstelle auf dem Router sieht so aus:

<i>
</i>
config switch option name 'switch0' option reset '1' option enable_vlan '1'
config switch_vlan 'eth1_3' option device 'switch0' option vlan '3' option ports '0t 3' option vid '3'
config interface 'wan' option _orig_ifname 'eth0' option _orig_bridge 'false' option proto 'static' option ipaddr '192.168.192.200' option netmask '255.255.255.0' option gateway '192.168.192.1' option type 'bridge' option ifname 'eth0 eth1.3' option dns '208.67.222.222 208.67.220.220'

Damit werden der WAN-Port und einer der LAN-Ports zu einer gemeinsamen Schnittstelle, und somit liegen die HB und der Pi in einem Netz.

Wenn ich das jetzt so betrachte, denke ich, daß das auch die Lösung für meine erfolglosen Versuche mit IPv6 gewesen wäre: Pi und FritzBox in einem Netz, und alles wäre gut gewesen. Naja, hinterher ist man immer schlauer...

 

[Fruchtzwerg]

Also das Streaming funktioniert jetzt wunderbar.

Eine Sache würde ich aber noch gerne verbessern: dadurch, daß der Pi und die Horizon jetzt in der selben Netzwerkzone stehen, hat der Pi natürlich auch Zugriff auf Port 80 der Horizon, und der Router kann nichts daran ändern, denn innerhalb desselben Netzwerkes / IP-Bereich greift keine Firewall, und die Horizon bietet weder die Möglichkeit, HTTPS zu benutzen, noch kann sie den Zugang zu der Konfigurationsoberfläche auf bestimmt Geräte beschränken. Das halte ich für eine sehr große Sicherheitslücke, denn somit kann jedes Gerät, das im selben Netz wie die Horizon steckt, den unverschlüsselten Netzwerkverkehr mitlesen, was auch Benutzer und Passwort für die Horizon beinhaltet. Da 99% aller "Otto-Normal-Benutzer" der Horizon nur ein Netz zu Hause haben dürften, wird es nur eine Frage der Zeit sein, bis irgend wo ein Programm auftaucht, das sich unberechtigterweise Zugriff zu einer Horizon verschafft und dort Blödsinn macht. Zwar bietet die Web-GUI "nur" Einstellmöglichkeiten für die Netzwerkkonfiguration, aber wenn ein richtiger Hacker erst mal Zugriff hat, ist nicht auszuschließen, daß er auch Möglichkeiten findet, tiefer in die Horizon einzugreifen, und z.B. unberechtigterweise Sendungen abgreift oder den Besitzer mit Abos für unerwünschte Sender überrascht.

Von daher wäre es mir schon irgend wie lieber, ich könnte den Pi wieder in eine eigene FW-Zone stecken und von der Horizon etwas mehr isolieren. Wenn dazu noch jemand eine Idee hat, würde ich mich über entsprechende Anregungen freuen.