@SONOS Multiroom Gruppen / Cinema und @ArubaNetworks Instant Accesspoints

ArubaJohn Lose

Aruba Instant AP’s passen gut auf’s Netzwerk auf und SONOS verhält sich in lokalen Netzen wie eine Axt im Walde. Bis heute gibt es kein Whitepaper, wie die beiden besser miteinander umgehen können. Hier sind ein paar Tips, wie es trotzdem besser klappen kann.

Eigentlich zielt SONOS auf Consumer, nicht aber auf Pro-Setups. In einigen Szenarien kollidiert Aruba mit SONOS-Consumer-Hardware, wie z.B. in Bars/Nachtclubs oder Fitness-Studios. Da es bis heute kein für Netzwerkspezialisten ausreichendes Whitepaper von SONOS gibt, muss man sich eben selbst auf die Suche machen.

Murmeltiertag: Ich bin gebeten worden, mir ein Problem in Zusammenhang mit einer Cinema-Gruppe anzuschauen (Playbar, Sub, Rear-Speaker). Meistens war in meinem, akuten Szenario nur die Playbar im Netzwerk auffindbar, nicht aber die Rears oder der SUB. Bei der Diagnose ist mir dann erneut ein ziemlich sonderbares Verhalten seitens SONOS aufgefallen, welches augenblicklich mit Instant kollidiert.
Es bleibt mir nur festzuhalten, dass Aruba hier alles richtig macht – Das Problem liegt erneut am Fehlverhalten von SONOS. Das wäre mit WiFi-Consumer-Heimplaste, wie z.B. UniFi oder Fritten nicht weiter aufgefallen, allerdings kann Consumer-Heimplaste auch nicht auf große Szenarien skalieren.

Anbei ein paar Ansätze, wie man das zuvor erwähnte Fehlverhalten im Szenario lösen kann:

1. Multicast-Filter nicht abschalten, Airgroup richtig konfigurieren und nutzen!

Wer die Filter in seinen konfigurierten SSID’s abstellt, reduziert die Leistung des WiFi’s extrem. Der beste Artikel zu diesem Thema kommt von Wirelessly Wired (Link). Nathan präsentiert auch passende Experimente, die – mit Nachdruck – sehr deutlich machen, warum das Abschalten der Filter und der M2U -Features eine ganz blöde Idee ist.
Wie man Airgroup für SONOS passend konfiguriert, lässt sich hier nachlesen: (Link).

2. Ad-Hoc-Netzwerk nicht erkennen, Netzwerkschutz ggf. abschalten

Wenn eine Multiroom-Gruppe oder aber ein Cinema mit REAR-Speakern und einem SUB bereitgestellt wird, passiert bei SONOS exakt folgendes:

  1. Die Playbar oder die ARC wird ein neuer AD-Hoc-Accesspoint*
    1. Im Schlimsten Fall ist die Playbar ebenfalls per WiFi angebunden. In diesem Fall schlägt die Firewall zu, es wird ARP-Poisoning erkannt. Das soll zwar in der Firewall abschaltbar sein (//Konfiguration/Sicherheit/Firewall-Einstellungen/Schutz vor Attacken über Kabel – meint wohl auch WiFi), klappt aber nicht zuverlässig. Ich empfehle, ARC/Beam/Playbar via Kabel anzuschließen.
  2. RearL, RearR und SUB versuchen sich, Als STA mit Playbar/ARC/Beam zu verbinden, welche AdHod oder AP-Impersonation anbieten (Erkennung firmwareabhängig)
    1. DHCP/ARP-Poisoning wird erkannt, Aruba versucht, den Traffic zu unterbinden
    2. Ein Bridging wird möglicherweise erkannt, Aruba versucht, Gegenmaßnahmen einzuleiten
    3. Instant erkennt, dass die Zusatzlautsprecher in der Nähe mit einem Ad-Hoc Netzwerk verbinden und leitet Gegenmaßnahmen ein.

3. Lösung: Schutz deaktivieren:

Du kannst Dich via SSH an dem Instant VC anmelden. Mittels

sh log security

findest Du heraus, was die SONOS-Dinger alles verkehrt machen. So etwas hier ist schon der erste Fingerzeig:

Mar 29 16:27:03  sapd[5457]: <127033> <WARN> |AP SYS-HPE-AP03@192.168.10.243 sapd| |ids-ap| AP(94:64:24:49:ee:ff): Adhoc Network: An AP detected an Adhoc network on CHANNEL 44 where station ce:65:38:0c:aa:bb is connected to the Ad hoc AP (BSSID 00:25:00:ff:cc:dd and SSID )

Die meisten derartigen Probleme bin ich mit dem Deaktivieren einiger, jedoch nicht aller Schutzprogramme losgeworden (jeweils benutzerdefinierte Konfiguration):

//Konfiguration/IDS/Erkennung

//Konfiguration/IDS/Schutz

In //Konfiguration/IDS(Erweitert) habe ich kein kabelgebundenes Containment aktiv. Es versteht sich von selbst, dass alle Funktionen von WLAN-Containments in Deutschland nicht eingesetzt werden sollten.

Die Schutzprogramme, welche inkompatibel zu SONOS sind, können bei Dir mehr oder weniger / andere sein – your mileage may vary. Du kannst im Sicherheitsprotokoll (sh log security) immer wieder nachschlagen, was SONOS gerade falsch macht und welches Aruba-IDS-Element bei Dir deswegen Alarm schlägt.

Ich für meinen Teil halte SONOS hier für das ursächliche Problem. Die sollten längst mal ein adäquates Whitepaper rausgegeben haben, wie vernünftige WiFi-Hardware zu konfigurieren ist, damit der Mist nicht mehr passiert.