Blocco della rete, Bonjour e mDNS

meridio

Ho notato che i continui e ripetuti blocchi della rete con 4 AP sono dovuti
al servizio Bonjour di discovery della Apple, non appena un telefono o un iPad
si collegano iniziano i blocchi di rete causati dal flooding di pacchetti mDNS.
Ho provato a bloccare la porta UDP 5353 ed installare Avahi, ma capitano lo stesso.
Qualcuno sa suggerirmi come poter risolvere?
Grazie

Frank56

Salve meridio,
mi presento, sono Francesco, un docente di scuola media superiore che amministra la rete didattica. Io ho il tuo stesso problema nella mia scuola.
Quando si collega un apparato Apple il traffico di rete si satura con 20000/30000 pacchetti al secondo con protocollo MDNS e ovviamente la rete si blocca. Questo accade non solo in WiFi, ma anche collegando un Macbook  con il cavo di rete.

Hai per caso risolto il tuo/mio problema?

Grazie

darkosx

Io risolsi con delle regole sugli switch (attivi ovviamente)

Frank56

Salve darkosx,
grazie per il suggerimento. In effetti abbiamo cambiato tutti gli switch con dei DLink DES-1210-28 managed. L'architettura di rete è costituita da uno switch centrale dal quale partono tre rami verso le ali dell'istituto dove si susseguono vari altri switch e AP, mentre un altro ramo scende allo Zywall5 e quindi al modem. Con un Mac (ma anche con un Windows 8.0 e IPV6 attivo) collegato allo switch centrale o in Wi-Fi se c'è un solo ramo connesso non accade nulla, se sono almeno due si innesca il traffico di pacchetti. Ho attivato sullo switch l'opzione Storm Control senza successo.
Credo che ciò che dovrei fare è intercettare il protocollo IPV6 e limitarne gli effetti.

Se mi puoi indicare la modalità per inserire una regola ti sarò grato.

Grazie,
Francesco

Frank56

Risolto! :o

darkosx

Dicci come :) potrà servire a qualcuno prima o poi :D

Frank56

Salve darkosx,
mi sembra che anche tu avevi già risolto questa problematica, ma non hai postato come, anche se ti avevo gentilmente chiesto di darmi qualche dritta…  >:(

davvidde

Nella mia situazione di rete scolastica ho creato una VLAN sugli switch e sulla quale confluiscono tutti gli access point. Poi la VLAN ha una porta dedicata sul pfsense.

Davide.

Frank56

Ciao Davide,
nella mia scuola invece sono intervenuto sugli switch, filtrando le porte dove sono collegati gli AP.
Ora gli Apple navigano, ma le richieste di resource discovery di Bonjour vengono bloccate.

Francesco

davvidde

@frank56
Ciao, effettivamente, ora che la rete si è ampliata, ho difficoltà a far collegare i client e i multicast DNS sulla rete sono sempre tentati... la mia scuola ha switch Cisco SG300 ma non so effettivamente se c'è qualche preset che mi consenta di bloccare i mDNS sulle porte degli AP... mi sai dare una dritta?