c't magazin für computer technik 15 vom 1.7.2013 - since

Praxis | Bonjour im VPNBonjour-Annonce auslesen (1,2), Client-Mac umziehen (3) und Annoncen schalten (4)Subnetz A192.168.100.XiTunes-Mac_daap._tcplocal3689iTunes-Mac.Local192.108.100.100Mac mit iTunesMac als Bonjour-LauscherDumps zu lesen ist natürlich nicht jedermannsSache. Wer seiner Neugier widerstehenkann oder nur prüfen will, ob die NAT imWeg steht, kann für den Client eine DMZ einrichtenoder vorübergehend einen ausreichendgroßen Port-Bereich weiterleiten.Ein Beispiel für derart komplexe Anforderungenist der AirPlay-Dienst des AppleTV-Kistchens. Darüber können Macs und iOS-Geräte Musik zum AppleTV senden, welchesdie Musik an einem angeschlossenen HDMI-Monitor oder über seinen digitalen Audio-Ausgang ausgibt.AirPlayAirPlay braucht zwei Annoncen, _airplay.tcp.und _raop._tcp. Der Name der raop-Annoncemuss nach dem Muster MAC-Adresse@Gerätename gebaut sein. Die übrigen Detailsder Annonce (IP-Adresse, Ziel-Port, TXT-Record) kann man einem Bonjour-Monitorentnehmen.Wenn beide Annoncen laufen, blendetiTunes im Hauptfenster neben der Lautstärkeregelungein graues AirPlay-Symbol ein(Dreieck im Rechteck). Klickt man drauf, sollteim Menü zusätzlich zur Ausgabe über dieComputer-Lautsprecher auch der annoncierteServer erscheinen. Wählt man den aus,kommt jedoch zunächst keine Verbindungzustande.Mittels Wireshark kam ans Tageslicht, dassAppleTV seinerseits den Client-Mac über den21Gateway4Subnetz B192.168.200.XiTunes-Mac_daap._tcplocal3689iTunes-Mac.Local192.108.100.1003Mac alsBonjour-ProxyUDP-Port 6002 ansprechen will. Andernfallsverweigert es die Annahme der gestreamtenMusik. In diesem Fall hilft also eine Port-Weiterleitungzum Mac. iOS-Geräte, die Musikstreamen, spricht AppleTV hingegen übereinen dynamisch beim Verbindungsaufbaufestgelegten Port an. Da hilft also keine Port-Weiterleitung zum iPad, sondern eine DMZ,die allen IP-Verkehr zum iOS-Gerät durchgibt.Wenn also der Zugriff in Gegenrichtungmöglich ist, dann kann man auf das AirPlay-Symbol tippen und innerhalb kurzer Zeit erscheintes wie üblich in Blau und der Ziel-Mac ist als Empfänger der Sounddaten selektiert.Klickt man dann in iTunes (oder auf iOSim Player) auf die Play-Taste, sollte die Musikausgabeüber das AppleTV starten.iCloud-UmleitungenAnders als vielleicht erwartet, lässt sich auchder Nutzen von Apples Back2MyMac mittelsselbst generierter Annoncen erweitern. ZumBeispiel gelang in einem Test so auch der Zugriffauf die Musik-Freigabe eines Macs.Dafür muss der Mac per Back2MyMac erreichbarsein und in der Annonce muss mandessen IPv6-Adresse eintragen. Die lässt sichmit dem Bonjour Browser im Bereich members.btmm.icloud.comauslesen. Der BonjourBeacon kann mit IPv6-Adressen freilich nichtumgehen. Auf Macs und PCs würde mandafür also das Kommando dns-sd einsetzen –etwa so:Bonjour-Annoncen lassen sich inwenigen Schritten auslesen und ineinem entfernten Subnetz senden, sodassClients von dort die Freigabe finden.dns-sd -P mini-iCloud _daap._tcp. local 3689 \mini-iCloud.local fd69:2626:201d:aabb:ac25:b9e:c55c:36f3Ein Manko des iCloud-Dienstes kann den Zugriffjedoch behindern: Die IPv6-Adressensind beim Betrieb mit UPnP-fähigen Routernnicht immer aktuell. Wenn sich ein solcherRouter neu ins Internet einbucht, kriegt eindaran angeschlossener Mac per Back2My -Mac-Dienst eine neue IPv6-Adresse fürs VPN(z. B. nach einer Zwangstrennung durch denProvider). Dann ist die Aktualisierung derIPv6-Adresse im iCloud-Namensraum lautApple um bis zu 15 Minuten verzögert. Beihauseigenen Routern der AirPort-Serie ist dasnicht der Fall.Falls es bei einer iCloud-Annonce alsoknirscht, dann testen Sie mit ping6, ob derbetreffende Mac gerade per Back2MyMac erreichbarist – zum Beispiel so:ping6 fd69:2626:201d:aabb:ac25:b9e:c55c:36f3Über Back2MyMac lassen sich auch entfernteDrucker ansteuern. Wenn diese übereinen Print-Server wie AirPort Extreme amLAN angekoppelt sind, bleiben die Annoncenzunächst natürlich unsichtbar – einPrint-Server nimmt ja nicht an Apples VPNteil. Um ihn dennoch mit einem entferntenMac nutzen zu können, braucht man im LANeinen Mac, der seinerseits per Back2MyMacerreichbar ist. An diesem gibt man den Druckerzusätzlich frei. Diese zweite Freigabewird auch via Wide Area Bonjour annonciert,sodass sie übrige Back2MyMac-Client-Macsnutzen können.(dz)Literatur[1] Dušan Živadinović, Wegweiser, Mehr VPN-Komfortmit der Zeroconf-Technik Bonjour, c’tˇ8/10,S.ˇ166[2] Ernst Ahlers, Trennschärfe, Lokale Netze miteiner Router-Kaskade trennen, c’tˇ6/10, S.ˇ148www.ct.de/1315164Bonjour in zwei SubnetzenBonjour via Back to My MacSubnetz A192.108.100.XClient 1192.168.100.100Gateway(kann auchVPN-Gatewaysein)Subnetz B192.168.200.XClient 2192.168.200.200,Bonjour-Proxyzeigt auf192.168.100.100Subnetz A192.108.100.XClient 1192.168.100.100B2MM-IPv6:FD90 : :100Back to My MacSubnetz B192.168.200.XClient 2192.168.200.200B2MM-IPv6:FD90 : :200Bonjour-Proxy zeigt aufFD90 : :100Damit Clients entfernte Freigaben sehen (rechts), müssennachgebildete Annoncen auf entfernte IP-Adressen zeigen.Auch iCloud-Teilnehmer können über nachgebildete Annoncenzusätzliche Dienste nutzen, dann freilich per IPv6. cc’t 2013, Heft 15167