Weblog

mDNS über Layer-3 Grenzen

31.05.2025 4 Min. Lesezeit

Funktionsweise von Bonjour in IP-Netzwerken

Bonjour und Multicast DNS (mDNS)

Bonjour ist ein von Apple entwickeltes Zero-Configuration-Networking-Protokoll, das auf Multicast DNS (mDNS) basiert. Es ermöglicht die automatische Erkennung von Diensten (z. B. Drucker, Dateifreigaben, AirPlay-Geräte) in einem lokalen IP-Netzwerk ohne manuelle Konfiguration oder zentralen DNS-Server.

mDNS wird heute von diversen Geräten für diverse Zwecke genutzt und ist nicht auf die Apple-Welt begrenzt.

Technische Grundlagen

Bonjour verwendet mDNS auf UDP-Port 5353.
Anfragen und Antworten werden an die Multicast-Adresse 224.0.0.251 (IPv4) bzw. ff02::fb (IPv6) gesendet.
Geräte senden DNS-ähnliche Anfragen im lokalen Subnetz, um Dienste zu entdecken (z. B. _ipp._tcp.local. für Drucker).
Antworten enthalten SRV-, TXT-, PTR- und A/AAAA-Records, die den Dienst beschreiben.

Einschränkungen durch Layer-3-Grenzen

mDNS ist auf Layer-2-Broadcast-Domänen beschränkt. Das bedeutet Bonjour funktioniert nur innerhalb eines einzelnen IP-Subnetzes. Diese Form der Multicast-Pakete werden nicht über Router hinweg weitergeleitet.

In VLAN-segmentierten Netzwerken oder bei VRF-Trennung ist Bonjour ohne spezielle Maßnahmen nicht funktionsfähig.

Diese Einschränkung ist besonders problematisch in modernen Heim- oder Unternehmensnetzwerken, in denen Dienste (z. B. AirPrint-Drucker) in einem anderen VLAN als die Clients betrieben werden.

Bonjour Gateway mit Juniper Mist

Zielsetzung und Architektur

Das Bonjour Gateway von Juniper Mist adressiert genau diese Einschränkung. Es ermöglicht die Proxy-basierte Weiterleitung von Bonjour/mDNS-Diensten über Layer-3-Grenzen hinweg, ohne daß Multicast-Routing oder IGMP-Snooping erforderlich ist. Einzige Voraussetzung: der Access Point benötigt Zugang zu allen relevanten VLANs.

Architekturprinzip

Mist Access Points agieren als Bonjour Proxies. Sie empfangen mDNS-Anfragen in einem VLAN/Subnetz, analysieren sie und leiten sie gezielt in andere VLANs/Subnetze weiter.

Die Antworten werden ebenfalls über den Proxy zurückgeführt. Die Kommunikation erfolgt nicht als klassisches Multicast-Routing, sondern als kontrollierte Replikation auf Basis von Policy-Regeln.

Funktionsweise im Detail

Dienst-Erkennung und -Katalogisierung

Jeder Mist AP führt eine lokale Dienstedatenbank, die Bonjour-Dienste in den verbundenen VLANs katalogisiert. Diese Datenbank wird durch passives Lauschen auf mDNS-Pakete aufgebaut.

Dienste werden anhand ihrer Service-Typen (z. B. _airplay._tcp.local.) klassifiziert.

Policy-basierte Weiterleitung

Über das Mist-Dashboard können Bonjour Policies definiert werden. Diese Regeln bestimmen, welche Dienste (nach Typ oder Name) weitergeleitet werden, von welchem VLAN/Subnetz zu welchem anderen VLAN/Subnetz, ob bidirektional oder unidirektional weitergeleitet wird und derartiges mehr.

Die Konfiguration wird im WLAN-Template hinterlegt, zu finden im Dashboard unter Organization → Wireless → WLAN Templates, bzw. Site → Wireless → WLAN Templates. Pro SSID kann die gewünschte Konfiguration hinterlegt werden.

Konfiguratio Bonjour Gateway

Wie im Screenshot zu sehen, “verbinde” ich die drei VLANs 106, 110 und 111 per mDNS untereinander. Aus der Liste der Dienste können die gewünschten mDNS-Services ausgewählt werden, etwa GoogleCast, AirPlay, AirPrint sowie SpotifyConnect.

Eigene Dienste können hinterlegt werden:

Eigene Dienste hinzufügen

Die Einschränkbarkeit auf “gesamte Site”, “nur am gleichen AP” bzw. “alle APs auf dem gleichen Floorplan” kann - je nach Use-Case - Gold wert sein. Wenn z.B. mir nur Drucker per mDNS angeboten werden, die auf dem Stockwerk installiert sind in dem ich mich aktuell aufhalte.

Wireless Filter

mDNS mußte - sollte der Filter-Mechanismus - genutzt werden, bis vor einiger Zeit noch explizit erlaubt werden, heute setzt sich der Filter automatisch korrekt.

Proxy-Mechanismus

Der Mist AP empfängt eine mDNS-Anfrage im VLAN X.
Er prüft, ob ein passender Dienst im VLAN Y bekannt ist.
Falls ja, generiert der AP lokal eine Antwort im VLAN X, als ob der Dienst dort verfügbar wäre.

Der Client erhält die Antwort und kann direkt mit dem Dienst kommunizieren (über IP, also Unicast, nicht über Multicast).

Vorteile gegenüber klassischen Methoden

  • Keine Layer-3-Multicast-Konfiguration notwendig (kein PIM, kein IGMP)
  • Feingranulare Kontrolle über Sichtbarkeit von Diensten
  • Skalierbarkeit durch verteilte Proxies auf APs
  • Sicherheit durch gezielte Dienstfreigabe statt globaler Multicast-Weiterleitung

Fazit

Bonjour und mDNS sind essenzielle Protokolle für die automatische Dienstentdeckung in IP-Netzen, jedoch traditionell auf Layer-2-Domänen beschränkt. In modernen, segmentierten Netzwerken führt dies zu funktionalen Einschränkungen.

Das Juniper Mist Bonjour Gateway bietet eine elegante, Proxy-basierte Lösung, um Bonjour-Dienste kontrolliert über Layer-3-Grenzen hinweg verfügbar zu machen. Durch die Kombination aus Dienstekatalogisierung, Policy-gesteuerter Weiterleitung und zentralem Management eignet sich diese Technologie besonders für komplexe Heim- und Unternehmensnetzwerke mit VLAN- oder VRF-Trennung.

Andere Hersteller mögen ebenfalls tolle Lösungsansätze im Angebot haben, für mich funktioniert der Ansatz von Mist wunderbar.

Bonus-Level

Das Bonjour Gateway kann für einen weiteren Zweck genutzt werden: Wake-on-LAN.

Wake-on-LAN

Auf diese Weise werden WoL Magic Packets per Proxy versendet, als wären Sender und Empfänger im gleichen L2-Segment.

Themen Technikzeug
Schlagworte Juniper Mist WoL mDNS Bonjour
π