Praxis | Bonjour im VPNters“ alle TXT-Record-Angaben ein, die Sie imTexteditor erfasst haben; die Werte sollten jeweilsper Leerzeichen getrennt sein. BeendenSie die Eingabe mit „OK“.Klicken Sie auf „Start“. Vergleichen Sie nunauf dem Client die Annonce im BonjourBrowser und im Screenshot, den Sie in SubnetzA angelegt haben. Stellen Sie sicher,dass die TXT-Einträge exakt gleich lautenund genau dieselbe Anzahl von Zeilen belegen.Wenn beides der Fall ist, starten SieiTunes auf dem Client. Es sollte anhand derAnnonce die Freigabe öffnen und Musik vondieser empfangen können – Glückwunsch.Im Test sickerte so iTunes-Musik von daheimper ADSL-Anschluss über Stunden anstandslosins Firmennetz ein, auch ohne Aussetzer.Annoncen schaltenWenn Sie andere Dienste anzapfen wollenoder andere Programme zum Annonciereneinsetzen, dürften Sie auf Hürden stoßen.Einige Grundregeln können darüber hinweghelfen.Beachten Sie, dass manche Clients eine bestimmteNotation bei den Bonjour-Namen derZielgeräte erwarten. Beispielsweise akzeptiertiTunes nur solche AirPlay-Gegenstellen, derenBonjour-Name nach dem Muster MAC-Adresse@Bezeichnungzusammengesetzt ist. „Bezeichnung“ist dabei frei wählbar, die MAC-Adresse muss aber die des Zielgeräts sein. EinBeispiel sieht so aus: 5855CA02C735@test.Auf Macs und PCs mit Bonjour lassen sichAnnoncen auch mit dem Kommando dns-sdabsetzen. Dabei muss man Namen, die Leerzeichenoder Klammern enthalten, in doppelteAnführungen setzen (z. B. „Apple TV“ oder„(Canon iP1600)“ ). Andernfalls rebelliert dieShell (syntax error near unexpected token).ForschungsfelderViele Netzwerkdienste lassen sich auf dieseWeise in entfernten Subnetzen annoncierenund nutzen. Beispielsweise kann man soDatei- und Bildschirmfreigaben von Macsund PCs, die nur via VPN erreichbar sind, aufeinem Mac im Finder anzeigen lassen (aufder Windows-Gegenstelle muss dafür Bonjourinstalliert und in der zugehörigen Systemsteuerung„Advertise shared foldersusing Bonjour“ eingeschaltet sein).Bei manchen Netzwerkdiensten klappt dieKommunikation aber trotz einer korrektenAnnonce nicht. Das kann an diversen Gründenliegen. Manche Geräte senden mehr alseine Annonce. In einigen Fällen, die wir untersuchthaben, legten die Clients auf alleAnnoncen eines Dienstes Wert. Welche dassind, dokumentieren die meisten Herstellerjedoch nicht, sodass man experimentierenmuss. Es schadet dabei nicht, mehr Annoncenals nötig zu schalten.Eine Stufe schwieriger wird es, wenn derClient trotz aller Annoncen das Zielgerät wieerwartet nur anzeigt, aber die Verbindungdennoch scheitert. Dabei bleiben zielführendeFehlermeldungen meist aus.Den korrekten Bedingungen kommt manam einfachsten auf die Spur, wenn der Herstellerdes Geräts die Protokolle offengelegthat. Das ist jedoch selten der Fall, sodass mantiefer graben muss. Erste Hinweise kann ApplesWell-Known-Ports-Tabelle liefern, wenngleichsie nicht ganz aktuell ist (siehe c’t-Link).Manche Geräte setzen für die Übertragungvon Nutzdaten und für Steuerungs -daten stillschweigend mehr als ein Protokollein, wobei ein Teil der Signalisierung entgegengesetztzum ursprünglichen Verbindungsaufbauläuft, also <strong>vom</strong> Zielgerät zumClient. Also muss der Client für diese eingehendenVerbindungen zugänglich sein.Genau das ist bei zwei Subnetzen, die manüber eine Routerkaskade aufgebaut hat, zunächstnicht der Fall. Steht das Zielgerät vorder NAT des zweiten Routers, dann kann eszunächst keine Verbindung zu Clients aufbauen,die hinter der NAT am zweiten Routerangeschlossen sind. Dafür muss man imzweiten Router Port-Weiterleitungen zumbetreffenden Client einrichten. Das funktioniertzuverlässig, ist aber auf einen einzigenZuspiel-Rechner ausgelegt. Will man einenanderen benutzen, muss man die Port-Weiterleitungumlenken.Welche Ports das sind, muss man für jedenDienst gesondert ermitteln. Wer es genauwissen will, kommt an TCP-Monitoren <strong>vom</strong>Schlage eines Wireshark nicht vorbei. TCP-Annoncen per KlickWer sich die manuelle Einrichtung sparenmöchte, kann auf dem Mac grafische Programmewie Slink oder ShareTool einsetzen.Sie kosten je 25 US-Dollar und beidenutzen SSH auf gängige Weise: Sie öffneneinen Tunnel zum entfernten Netz undschalten darüber eine Port-Weiterleitung. Inder Kommandozeile sieht das so aus:ssh -L 55000:remote.machine.net:3689 \>user
Praxis | Bonjour im VPNBonjour-Annonce auslesen (1,2), Client-Mac umziehen (3) und Annoncen schalten (4)Subnetz A192.168.100.XiTunes-Mac_daap._tcplocal3689iTunes-Mac.Local192.108.100.100Mac mit iTunesMac als Bonjour-LauscherDumps zu lesen ist natürlich nicht jedermannsSache. Wer seiner Neugier widerstehenkann oder nur prüfen will, ob die NAT imWeg steht, kann für den Client eine DMZ einrichtenoder vorübergehend einen ausreichendgroßen Port-Bereich weiterleiten.Ein Beispiel für derart komplexe Anforderungenist der AirPlay-Dienst des AppleTV-Kistchens. Darüber können Macs und iOS-Geräte Musik zum AppleTV senden, welchesdie Musik an einem angeschlossenen HDMI-Monitor oder über seinen digitalen Audio-Ausgang ausgibt.AirPlayAirPlay braucht zwei Annoncen, _airplay.tcp.und _raop._tcp. Der Name der raop-Annoncemuss nach dem Muster MAC-Adresse@Gerätename gebaut sein. Die übrigen Detailsder Annonce (IP-Adresse, Ziel-Port, TXT-Record) kann man einem Bonjour-Monitorentnehmen.Wenn beide Annoncen laufen, blendetiTunes im Hauptfenster neben der Lautstärkeregelungein graues AirPlay-Symbol ein(Dreieck im Rechteck). Klickt man drauf, sollteim Menü zusätzlich zur Ausgabe über dieComputer-Lautsprecher auch der annoncierteServer erscheinen. Wählt man den aus,kommt jedoch zunächst keine Verbindungzustande.Mittels Wireshark kam ans Tageslicht, dassAppleTV seinerseits den Client-Mac über den21Gateway4Subnetz B192.168.200.XiTunes-Mac_daap._tcplocal3689iTunes-Mac.Local192.108.100.1003Mac alsBonjour-ProxyUDP-Port 6002 ansprechen will. Andernfallsverweigert es die Annahme der gestreamtenMusik. In diesem Fall hilft also eine Port-Weiterleitungzum Mac. iOS-Geräte, die Musikstreamen, spricht AppleTV hingegen übereinen dynamisch beim Verbindungsaufbaufestgelegten Port an. Da hilft also keine Port-Weiterleitung zum iPad, sondern eine DMZ,die allen IP-Verkehr zum iOS-Gerät durchgibt.Wenn also der Zugriff in Gegenrichtungmöglich ist, dann kann man auf das AirPlay-Symbol tippen und innerhalb kurzer Zeit erscheintes wie üblich in Blau und der Ziel-Mac ist als Empfänger der Sounddaten selektiert.Klickt man dann in iTunes (oder auf iOSim Player) auf die Play-Taste, sollte die Musikausgabeüber das AppleTV starten.iCloud-UmleitungenAnders als vielleicht erwartet, lässt sich auchder Nutzen von Apples Back2MyMac mittelsselbst generierter Annoncen erweitern. ZumBeispiel gelang in einem Test so auch der Zugriffauf die Musik-Freigabe eines Macs.Dafür muss der Mac per Back2MyMac erreichbarsein und in der Annonce muss mandessen IPv6-Adresse eintragen. Die lässt sichmit dem Bonjour Browser im Bereich members.btmm.icloud.comauslesen. Der BonjourBeacon kann mit IPv6-Adressen freilich nichtumgehen. Auf Macs und PCs würde mandafür also das Kommando dns-sd einsetzen –etwa so:Bonjour-Annoncen lassen sich inwenigen Schritten auslesen und ineinem entfernten Subnetz senden, sodassClients von dort die Freigabe finden.dns-sd -P mini-iCloud _daap._tcp. local 3689 \mini-iCloud.local fd69:2626:201d:aabb:ac25:b9e:c55c:36f3Ein Manko des iCloud-Dienstes kann den Zugriffjedoch behindern: Die IPv6-Adressensind beim Betrieb mit UPnP-fähigen Routernnicht immer aktuell. Wenn sich ein solcherRouter neu ins Internet einbucht, kriegt eindaran angeschlossener Mac per Back2My -Mac-Dienst eine neue IPv6-Adresse fürs VPN(z. B. nach einer Zwangstrennung durch denProvider). Dann ist die Aktualisierung derIPv6-Adresse im iCloud-Namensraum lautApple um bis zu <strong>15</strong> Minuten verzögert. Beihauseigenen Routern der AirPort-Serie ist dasnicht der Fall.Falls es bei einer iCloud-Annonce alsoknirscht, dann testen Sie mit ping6, ob derbetreffende Mac gerade per Back2MyMac erreichbarist – zum Beispiel so:ping6 fd69:2626:201d:aabb:ac25:b9e:c55c:36f3Über Back2MyMac lassen sich auch entfernteDrucker ansteuern. Wenn diese übereinen Print-Server wie AirPort Extreme amLAN angekoppelt sind, bleiben die Annoncenzunächst natürlich unsichtbar – einPrint-Server nimmt ja nicht an Apples VPNteil. Um ihn dennoch mit einem entferntenMac nutzen zu können, braucht man im LANeinen Mac, der seinerseits per Back2MyMacerreichbar ist. An diesem gibt man den Druckerzusätzlich frei. Diese zweite Freigabewird auch via Wide Area Bonjour annonciert,sodass sie übrige Back2MyMac-Client-Macsnutzen können.(dz)Literatur[1] Dušan Živadinović, Wegweiser, Mehr VPN-Komfortmit der Zeroconf-Technik Bonjour, c’tˇ8/10,S.ˇ166[2] Ernst Ahlers, Trennschärfe, Lokale Netze miteiner Router-Kaskade trennen, c’tˇ6/10, S.ˇ148www.ct.de/13<strong>15</strong>164Bonjour in zwei SubnetzenBonjour via Back to My MacSubnetz A192.108.100.XClient 1192.168.100.100Gateway(kann auchVPN-Gatewaysein)Subnetz B192.168.200.XClient 2192.168.200.200,Bonjour-Proxyzeigt auf192.168.100.100Subnetz A192.108.100.XClient 1192.168.100.100B2MM-IPv6:FD90 : :100Back to My MacSubnetz B192.168.200.XClient 2192.168.200.200B2MM-IPv6:FD90 : :200Bonjour-Proxy zeigt aufFD90 : :100Damit Clients entfernte Freigaben sehen (rechts), müssennachgebildete Annoncen auf entfernte IP-Adressen zeigen.Auch iCloud-Teilnehmer können über nachgebildete Annoncenzusätzliche Dienste nutzen, dann freilich per IPv6. cc’t 2013, Heft <strong>15</strong>167
- Seite 1:
magazin fürcomputertechnikwww.ct.d
- Seite 7:
Action-CamsBewegungen in hohemTempo
- Seite 16 und 17:
aktuell | Unsichere Industrieanlage
- Seite 18:
aktuell | Computer Graphics Interna
- Seite 22 und 23:
aktuell | SupercomputerAndreas Stil
- Seite 24 und 25:
aktuell | ProzessorenAndreas Stille
- Seite 26 und 27:
aktuell | Smartphones, Tablets, Not
- Seite 28:
aktuell | Grafik, HardwareMini-ITX-
- Seite 31 und 32:
aktuell | EmbeddedRobuste Mainboard
- Seite 34 und 35:
aktuell | PeripherieRobustes Displa
- Seite 36 und 37:
aktuell | IPv6Marc HeuseDie beste V
- Seite 38:
aktuell | Anwendungen3D-Puppe Genes
- Seite 41 und 42:
aktuell | Technische AnwendungenGü
- Seite 43:
aktuell | ForschungErweiterte Reali
- Seite 47 und 48:
aktuell | LinuxEinsteiger-Linux Zor
- Seite 50 und 51:
aktuell | AppleDetails zu iOS 7 und
- Seite 52:
kurz vorgestellt | Display, Android
- Seite 55 und 56:
kurz vorgestellt | Motorrad-Navigat
- Seite 57 und 58:
kurz vorgestellt | Externe Festplat
- Seite 59 und 60:
kurz vorgestellt | Modellier-App, O
- Seite 62 und 63:
Prüfstand | MacBook AirJohannes Sc
- Seite 64 und 65:
Report | VR-Brille zum Selbstausdru
- Seite 66 und 67:
Prüfstand | 3D-Rendererunbekleidet
- Seite 68 und 69:
Report | Voice-Tools für Linux-Gam
- Seite 70:
Report | Voice-Tools für Linux-Gam
- Seite 73 und 74:
Report | Facebook-RechenzentrumIn l
- Seite 75 und 76:
Report | Service & SupportRobert W.
- Seite 77 und 78:
Report | Glass im Alltagschaltet wa
- Seite 79 und 80:
Prüfstand | SmartphonesApple iPhon
- Seite 81 und 82:
Prüfstand | Smartphonesbeim Q10, b
- Seite 84 und 85:
Prüfstand | SmartphonesSonys Ände
- Seite 86 und 87:
Prüfstand | SmartphonesGrafik-Benc
- Seite 88 und 89:
Prüfstand | SmartphonesSurfenFürs
- Seite 90 und 91:
Prüfstand | SmartphonesSmartphone-
- Seite 92 und 93:
Prüfstand | SmartphonesLeistungsau
- Seite 94 und 95:
Benjamin BenzZu schnellKomplett-PCs
- Seite 96 und 97:
Prüfstand | Komplett-PCsKomplett-P
- Seite 98 und 99:
Prüfstand | Profi-GrafikkartenMart
- Seite 100 und 101:
Prüfstand | Profi-GrafikkartenDie
- Seite 102 und 103:
Prüfstand | Profi-GrafikkartenK Sa
- Seite 104 und 105:
Report | Action-Cams - ZubehörPhil
- Seite 106 und 107:
Report | Action-Cams - ZubehörKlet
- Seite 108 und 109:
Prüfstand | Action-CamsUlrich Hilg
- Seite 110 und 111:
Prüfstand | Action-CamsDie Contour
- Seite 112 und 113:
Prüfstand | Action-CamsTaschenlamp
- Seite 114 und 115:
Prüfstand | Action-CamsDas Farbdis
- Seite 116 und 117: Prüfstand | Action-CamsÜbern Tell
- Seite 118 und 119: Christof WindeckNeu startenLösunge
- Seite 120 und 121: Praxis | UEFI-TroubleshootingSecure
- Seite 122 und 123: Praxis | UEFI-TroubleshootingDer bo
- Seite 124 und 125: Praxis | UEFI-Troubleshooting: Wind
- Seite 126 und 127: Praxis | UEFI-Troubleshooting: Wind
- Seite 128 und 129: Thorsten LeemhuisWeitere Betriebsar
- Seite 130 und 131: Praxis | UEFI-Troubleshooting: Linu
- Seite 132 und 133: Praxis | UEFI-Troubleshooting: Linu
- Seite 134 und 135: Praxis | UEFI-Troubleshooting: Umpa
- Seite 136 und 137: Praxis | UEFI-Troubleshooting: Umpa
- Seite 138 und 139: Know-how | Das leistet UEFIChristof
- Seite 140 und 141: Praxis | iPhone-AkkuwechselChristia
- Seite 142 und 143: Praxis | iPhone-Akkuwechsel5Der dri
- Seite 144: dedizierter1Gbit/sPort
- Seite 147 und 148: Praxis | HotlineHOTLINESie erreiche
- Seite 149 und 150: Praxis | Hotlinedoch parallel auch
- Seite 152 und 153: Praxis | SSD-DiagnoseBoi FeddernGuc
- Seite 154 und 155: Praxis | SSD-Diagnosedows ein und e
- Seite 156 und 157: Praxis | IPv6-EinführungReiko Kaps
- Seite 158 und 159: Praxis | Content MarketingFrank Pus
- Seite 160: Praxis | Content MarketingDas Keywo
- Seite 164 und 165: Praxis | Bonjour im VPNDušan Živa
- Seite 168 und 169: Praxis | Hyper-V ReplicaPeter Sieri
- Seite 170: Praxis | Hyper-V ReplicaNur Windows
- Seite 173 und 174: Praxis | Hyper-V ReplicaEin Assiste
- Seite 175 und 176: Know-how | JavaScript-Frameworksvar
- Seite 177 und 178: Know-how | JavaScript-FrameworksKla
- Seite 179 und 180: Know-how | Trusted Computingon 2.0
- Seite 181 und 182: Know-how | Trusted Computingsichert
- Seite 184: Buchkritik | Apple-Dienste, 3D-Soft
- Seite 187 und 188: Spiele | Rundenstrategie, Indie- un
- Seite 190: Kids’ Bits | Rätselsammlung, Leu
- Seite 193 und 194: Illustration: Susanne Wustmann, Dor
- Seite 212 und 213: Inserentenverzeichnis *1&1 Internet
- Seite 214: ÖSTERREICH 9,90 ¤ / SCHWEIZ 13,60