firewall & UDP Broadcast

[aliazzz]

Is dit een academisch probleem ? Of spreken we hier over een echte applicatie ? Kan je daar meer details over kwijt ?
Jazekers kan ik meer detail kwijt. Dit is BEIDE, dus echte een applicatie maar ook semi-academisch, want ik wil er ook wat van leren natuurlijk ;-)

De usecase is als volgt: ik heb een programmeerpakket welke vrij te programmeren nodes op het netwerk kan scannen. Dit pakket (de IDE) draait in LAN 1, terwijl de vrij te programmeren nodes (een mix van fysieke en gevirtualiseerde nodes) in LAN 2 zitten. Normaliter boeide mij het "scannen" niet, ik stelde een portforward in naar een specifiek target IP in het achterliggende netwerk.

Nu begint het aantal vrij programmeerbare nodes in LAN 2 fors toe te nemen. Dit betekent dat ik heel wat poortjes/ip's moet gaan manueel forwarden, en die poorten moet onthouden, koppelen in de IDE etc.
Dit wilde ik eigenlijk "slimmer aanpakken" en nu dacht ik ineens aan die scan functionaliteit vanuit de IDE en zo is de vraag eigenlijk onstaan.

Als ik de vraag helemaal afpel naar de kern gaat het erom dat ik het dubbel NAT principe best wil afzwaaien, zolang over de nieuwe oplossing een broadcast gestuurd kan worden terwijl de netwerken toch "gescheiden" zijn. Daar zou in de hedendaagse wereld toch gewoon een oplossing voor moeten zijn. Ik wil ook investeren om mijn basis routing kennis uit te breiden om zodoende dit geheel zelf te onderhouden.

Elk advies hierover qua aanpak is welkom.

[DSGebruiker]

Ik kom beroepsmatig redelijk wat installaties tegen met modbus,knx,bacnet,scada,plc's en allemaal ander industrieel spul.
Daar heb je dikwijls "discovery" zaken met broadcast-achtige concepten inderdaad dat die techniekers gebruiken om hun devices te vinden op het LAN.
Het betreft daar een SDN die we ontworpen/gebouwd hebben (software-defined-network) met zaken als VXLAN, underlay/overlay netwerken en "een broadcast" is daar standaard zelfs onbestaande en je moet dat expliciet gaan enablen (L2 flooding) voor ze hun spullen werkend krijgen ;-)

Ik denk dat je gewoon op je IDE in LAN1 effectief 1 "poot" / interface bijkomend direct in LAN2 moet hangen en via die weg heb je "vrij zicht" op LAN2 en zullen je discoveries uiteraard allemaal werken als je die via die interface buiten gaat sturen.
Dit is echt iets dat men in de praktijk ook gewoon doet. Wat jij wil kan niet, zeker niet met 2 verschillende IP-ranges etc.
Meestal worden dan op zo'n "multi-homed" node (IDE in jouw geval) wat speciale maatregelen getrokken zodat die niet kan routen (vb op Linux kernel een aantal hardenings doen, routing flags afzetten etc)

[aliazzz]

Aha, dus wat je voorstelt is een 2e NIC in de IDE machine te zetten en die NIC op LAN2 in te stellen. Dit is inderdaad een valide optie.
Die doet me denken aan een bridge machine, wat het feitelijk dan ook kan doen, maar ik expliciet niet wil.

Een andere valide optie zal ongetwijfeld een L3/4 switch omvatten. Die heb ik ook nog liggen hier maar die is 48 ports en maakt een takkeherrie :-) Ik denk dat ik moet accepteren dat kiezen of delen is!

Ik ben in iedergeval een hoop wijzer.
Alhoewel iemand mij nog weleens een cursus IP routingtabellen invullen voor beginners mag geven ;-) Daar raak ik altijd de kluts kwijt.

[DSGebruiker]

>Aha, dus wat je voorstelt is een 2e NIC in de IDE machine te zetten en die NIC op LAN2 in te stellen. Dit is inderdaad een valide optie.
>Die doet me denken aan een bridge machine, wat het feitelijk dan ook kan doen, maar ik expliciet niet wil.

Je moet dan ook niet zo angstig zijn, er zal niks "gebridged" worden en er zal geen informatie "lekken". Als het een WINDOWS host is natuurlijk zal je wel wat "noise" zien rondstrooien, maar een goed geconfigged IDE Linux machine zal gewoon "stil" zijn op z'n 192.168.0.x 2e interface ;-)

Temeer omdat alle systemen sowieso hun "default gateway" hebben staan naar de router in 192.168.0.x (vb 192.168.0.1 of 192.168.0.254) gaan ze die LAN-interface van de IDE machine niet echt aanspreken "om naar buiten te kunnen". Een broadcast die je langs IDE "poot" gaat zal netjes beantwoord worden door allerlei spul in het 192.168.0.x omdat het "directly connected" is etc.

[Babylonia]

Datgene op programmeer gebied op dit vlak wat jullie bezigen gaat me boven de pet.

Vond op  tweakers.net  wel een vergelijkbare vraagstelling en discussie over mogelijkheden, maar vooral ook onmogelijkheden
om broadcast naar een ander netwerk heen te tillen.
https://gathering.tweakers.net/forum/list_messages/2141056

De mogelijkheden die wel werken, zijn eerder in dit onderwerp al aangetipt, zoals via een VPN verbinding.
(Hier geprobeerd, en kon met een smartphone en VPN over het mobiele netwerk, mijn spotify "casten" naar mijn media speler thuis.
Chromecast / Airplay / DLNA zijn multicast gerelateerde functies om apparaten onderling te kunnen vinden en data uit te wisselen).

Misschien andere optie is om een IGMP Proxy (host) op te zetten, en als multicast binnen een ander netwerk te verspreiden.
(2e router moet dan  IGMP Proxy  en  IGMP Snooping   ondersteunen.  Wordt o.a. toegepast bij IPTV (KPN).