Netzwerkdrucker aus Subnetz heraus ansprechen

[Tommes]

Hallo

Ich bin (immer noch) mein Netzwerk am Umstrukturieren und dabei auf ein kleines Problem mit meinem Netzwerkdrucker, einem HP OfficeJet Pro 8710 gestoßen. Bevor ich nun aber mit wilden Erklärungen um mich werfe, hier eine kleine Skizze meines Netzwerkes.

                      ISP
  Guest WLAN           |           HomeOffice WLAN
      |                v                 |
      |     .----------------------.     |
      '-----|    Fritzbox 7590     |-----'
            |   (VoIP, IoT, DMZ)   |
      ,-----|   192.168.178.0/24   |-----.
      |     '----------------------'     |
      |                |                 |
     NAS              WAN             Drucker
(Port 25565)     (Port 1194 UDP) 
                       |
              .-----------------.
              | 192.168.178.254 |
              |     APU.2D4     |
              |    (pfsense)    |
              '-----------------'
               |       |       :
              LAN     OPT   OpenVPN
               |               :
.----------------.         .----------------.
| 172.16.8.0/24  |         |  10.10.1.0/24  |
'----------------'         '----------------'

Die Fritzbox stellt also die Verbindung zum Internet her und dient mir als vorgeschaltete DMZ, um Internetdienste meiner DS216+ sowie eines experimentellen Windows-Servers bereitzustellen. Des Weiteren läuft hierüber neben VoIP noch ein Gäste-WLAN und aktuell auch noch mein HomeOffice. Letzteres wird langfristig aber auch hinter der pfSense verschwinden. (Bevor hier jemand anfängt Fragen zu stellen)

Das an der Fritzbox angeschlossene APU-Board mit pfSense stellt mir wiederum ein abgeschottetes, privates Netzwerk zur Verfügung. Die Firewall ist dabei so eingestellt, das nur ausgehende Anfragen erlaubt, eingehende dagegen geblockt werden. Zum Aufbau einer OpenVPN Verbindung wird ausschließlich der Port 1194 von der Fritzbox auf die pfSense durchgereicht. Also nichts mit „Exposed Host“ o.ä. So weit, so gut.

Mein Ziel ist es nun, den Drucker, der sich im Segment 192.168.178.0/24 (und somit meiner DMZ) befindet, aus meinem LAN 172.16.8.0/24 heraus anzusprechen. Ein „ping“ vom LAN in Richtung Drucker wird erfolgreich beantwortet. Ebenso erreiche ich die Weboberfläche des Druckers aus dem LAN heraus. Das gleiche Verhalten habe ich auch bei meiner DS216+, die sich ebenfalls in der DMZ befindet. Eigentlich sollte also alles chic sein, jedoch schaffe ich es nicht, einen Druckauftrag aus Windows heraus anzustoßen.

Eigentlich kann das auch erstmal nicht funktionieren, da die Firewall ja alle eingehenden Anfragen blockiert (so vermute ich jedenfalls) und somit keine ausreichende Kommunikation zwischen dem Drucker und Windows stattfindet. Daher habe ich die Firewall der pfSense mal auf Durchzug gestellt, so das auch eingehende Anfragen durchgelassen werden. Leider ändert es nichts an der Tatsache, das ich immer noch keinen Druck anstoßen kann. Der Drucker wird unter Windows als "offline" gekennzeichnet.

Die große Frage ist also: WARUM?

Habt ihr Ideen, Lösungen oder Erklärungen für dieses Verhalten? Liegt es am NAT, an einer fehlenden, statischen Route (welche ich in der Fritzbox sowie pfSense bereits hinterlegt hatte), oder einfach an den unterschiedlichen Subnetzen? Würde mir hier vielleicht ein Druckserver weiterhelfen?

Es wäre toll, wenn mir hier jemand weiterhelfen könnte.

Tommes

 

[blurrrr]

Wie wird der Drucker denn überhaupt angesprochen? Wenn es rein über die IP geht, sollte es eigentlich kein Problem geben. Kannst natürlich noch NAT auf der pfSense abschalten (sofern aktiviert) und musst dann halt noch die Route in die Netze hinter der pfSense bei der Fritzbox hinterlegen (die glücklicherweise in der Lage ist, dass man Routen noch selbst definieren kann).

Was das "funktionieren kann" angeht... immer die Erst-Kommunikationsrichtung beachten! Wenn Du drucken willst, meldet sich NICHT der Drucker zuerst beim Client, sondern der Client meldet sich beim Drucker

EDIT: Wenn man schon eine richtige Firewall einsetzt, macht es übrigens Sinn, soviel wie möglich dahinter zu packen. Konstrukt ist bei mir privat... etwas komplexer, aber "ansatzweise ähnlich"...

2x Uplink (2 Internetanschlüsse zwecks Failover) mit eigenen Routern, direkt danach kommt bei mir schon die Firewall (in den Uplink-Netzen ist "nichts" sonst) und hinter der Firewall kommen halt div. VLANs für die verschiedenen Netze/Aufgabenbereiche.

Die pfSense müsste ja auch ein Live-Log haben (in Bezug auf die "Firewall")... lass das mal mitlaufen, wenn Du versuchst zu drucken und schau mal, ob da überhaupt etwas ankommt und wenn ja, ob die Pakete weggeschmissen werden.

Kommst Du via NAT aus der pfSense, meldet sich in der DMZ ja auch die IP der Firewall aus der DMZ. Ist kein NAT aktiv, rückt der Client halt mit seiner "normalen" IP beim Drucker an und der muss dann auch über die entsprechende Rückroute Bescheid wissen... Immer dran denken: Alles was "nicht" im eigenen Netz ist, wird ans Standardgateway geschickt

EDIT: Warum steht der Drucker überhaupt in der DMZ?
EDIT2: Ich tippe einfach mal auf die Art, wie der Drucker eingebunden ist... Ich binde seit Jahrzehnten die Drucker nur noch direkt via IP an.

 

[Tommes]

Danke erstmal für deine Antwort.

Wenn man schon eine richtige Firewall einsetzt, macht es übrigens Sinn, soviel wie möglich dahinter zu packen...

Ich habe geahnt, das solche Hinweise und Rückfragen kommen und ja, du hast natürlich recht. Daher habe ich u.a. ja auch geschrieben, das das HomeOffice langfristig hinter die pfSense wandern wird. Gleiches gilt natürlich auch für den Drucker. Aber hier geht es erstmal darum, zu verstehen, warum der Drucker in dieser Konstellation nicht das tut, wofür er da ist. Denn wenn er das vor der pfSense in einem anderen Subnetz nicht tut, wird er es bestimmt auch nicht in einem weiteren Subnetz hinter der pfSense tun.

Zu meiner Verteidigung. Ich bin von Haus aus kein IT‘ler, sondern mache das aus reinem Spieltrieb heraus. Dabei fordert mir die pfSense schon einiges ab. So Dinge wie VLAN, Layer 2, Layer 3, ISO/OSI, NAT, Routing, Gateway, Rules usw. habe ich zwar hier und da schon mal was von gehört, jedoch nie in der Form gebraucht. Von daher bitte ich um Nachsicht, wenn ich nicht immer gleich alles richtig mache bzw. verstehe.

Zurück zum Thema. Ich werde mich heut Abend mal mit den Live-Log Möglichkeiten der pfSense beschäftigen um zu schauen, ob mich das weiter bringt. Daran habe ich noch garnicht gedacht. Zur Art der Kommunikation des Druckers bietet HP eine Hilfeseite *klick* worin alle TCP und UDP, eingehende wie ausgehende Ports, beschrieben sind. Leider hat mich das nicht weitergebracht. Theoretisch sollte der Drucker über seine IP angesprochen werden, so ist er jedenfalls in den Treibereinstellungen unter Windows hinterlegt, jedoch vermute ich, das da noch irgendwas anderes sein muss, worüber der Drucker kommuniziert... über den Hostnamen vielleicht?!? ... keine Ahnung. Oder blockiert hier vielleicht der Windows Defender die Kommunikation? Ich weiß es nicht.

Ach ja... die pfSense, wenn ich das richtig interpretiert habe, macht kein NAT, sondern nur die vorgeschaltete Fritzbox. Daher ist diese auf der WAN Seite der pfSense auch als Gateway sowie als DNS Server eingetragen. Geräte vor der pfSense über die IP zu erreichen ist auch kein Problem, über den Hostmamen jedoch nicht. Ein verbundenes Netzlaufwerk im Windows Explorer kann in der Form auch nur über dessen IP erfolgen, nicht jedoch über dessen Hostnamen. Ich vermute mal, das sich das beim Drucker irgendwie ähnlich verhält. Und ja... auch hierbei handelt es sich rein um das Verständnis. Natürlich ist es Quatsch sich ein Share aus der DMZ in der gesicherten Zone als Netzlaufwerk einzubinden.

Aber ich quatsche grade bestimmt total viel Müll... ist ja auch schon spät. Ich schaue mir, wie gesagt, die Log‘s an und werde berichten.

Tommes

 

[blurrrr]

Alles gut! ?

Das ist einfach erklärt, die Geräte-Hostnamen werden via Broadcast aufgelöst, die Broadcast-Domäne hört beim Layer3-Gerät (Router) auf. Deswegen kannst Du das Kind in einem anderen Netz auch nicht beim Namen nennen (ausser Du hast einen internen DNS-Dienst laufen, wo die Namen hinterlegt sind). Via IP sollte das dann aber kein Problem darstellen (wie Du ja auch schon festgestellt hast).

Fraglich ist halt, wie der Drucker mit dem Client kommunizieren möchte. Es gibt auf der einen Seite (deswegen sprach ich auch von Erstkommunikation) den "normalen" Weg: Client spricht Drucker an (ausgehende Verbindung, Antwort darf - ohne extra Regel - auch wieder zurück ins Client-Netz). Alternativ würde der Drucker gerne die ganze Zeit mit dem Client reden (Treiber), darf dies aber nicht, weil die Firewall keine eingehende Kommunikation vom Drucker erlaubt. Mitunter streikt der Drucker dann einfach, weil er nicht so darf, wie er gerne möchte. Wenn es dann ganz hässlich wird, ist das halt alles so gestrickt, dass sich Client und Drucker im selben Netz befinden müssen. Wenn der Drucker die Möglichkeit dazu bietet, könntest Du auch mal schauen, ob Du ihm nicht direkt die statische Route in das Netz hinter der pfSense verpassen kannst (vermutlich über die integrierte WebGUI, wenn der Drucker sowas bietet).

EDIT: So richtig besch....eiden wird es dann, wenn der Drucker versucht, den Client mit seinem Hostnamen anzusprechen... dann bleibt kaum etwas anderes, als den Drucker ins gleiche Netz zu hängen. Gibt es ja auch bei manchen Druckern in Form von z.B. "Scannen an PC" (wo dann noch eine extra Software dafür laufen muss).

 

[Tommes]

Wenn es dann ganz hässlich wird, ist das halt alles so gestrickt, dass sich Client und Drucker im selben Netz befinden müssen. Wenn der Drucker die Möglichkeit dazu bietet, könntest Du auch mal schauen, ob Du ihm nicht direkt die statische Route in das Netz hinter der pfSense verpassen kannst

Nur kurz... ich wollt noch ein bisschen schlafen, bevor um 5 Uhr der Tag wieder für mich anfängt

ich vermute fast das dem so ist und der Drucker gerne im selben Netz sein möchte. Eine statische Route kann ich im Drucker nicht einstellen... jedenfalls habe nichts passendes gefunden.

Würde mir hier vielleicht ein kleiner Druckserver helfen? Also den Drucker per USB an den Druckserver anschließen und den Druckserver die Arbeit machen lassen?

Bis... gähn... später!

 

[blurrrr]

Kannst es ja mal über die Syno versuchen, die ist ja auch in der DMZ. Grundlage dessen ist - wie sonst auch üblich - vermutlich einfach nur der CUPS-Dienst. Ob und wie Dein Drucker da entsprechend (mit allem zip und zap) supported ist, kannst Du z.B. hier mal prüfen: https://www.openprinting.org/printers. Vermutlich wäre es aber am allereinfachsten, wenn der Drucker einfach in ein extra Netz hinter die pfSense kommt und jut (und Du siehst dann auch, was der Drucker dann so feiert, just in diesem Moment bist Du ja noch nichtmals in der Lage nachzuverfolgen, wohin der Drucker seine Antworten schickt ?). Dann kannst Du ja selbst festlegen, welche Netze/Clients an den Drucker dürfen und die pfSense wird schon für das richtige Routing sorgen. Den Drucker dann mit Namen anzusprechen, kannst Du Dir dann aber direkt knicken (da sitzt der Drucker dann in seiner eigenen Broadcast-Domäne)

 

[the other]

Moinsen,
hier ist der Drucker auch hinter der pfsense, anderes VLAN als Client aber mit Raspi als Druckerserver verbunden, da der olle Printer nicht netzwerkfähig.
Davon ab...ihr solltet beide mal euren Kaffee / Koffein Abusus angehen...*duck und weg und Grüße

 

[Tommes]

Davon ab...ihr solltet beide mal euren Kaffee / Koffein Abusus angehen...

Warte mal... das Wort muß ich grade mal nachschlagen... - Abusus - .... bla, bla.... ah hier steht: ... übermäßiger Gebrauch (z. B. von bestimmten Arznei- oder Genussmitteln) ... Kaffe ist doch kein Genussmittel. Kaffe ist ein Grundnahrungsmittel.

Normalerweise schlafe ich tief und fest um diese Uhrzeit, aber hin und wieder wecken mich die Stimmen, die mir leise ins Ohr flüstern... Tommes, steh auf... du hast hunger ...! Also stehe ich auf, torkel runter zum Kühlschrank, krall mir einen Joghurt, schnapp mir das Tablet und schau dabei vielleicht mal im Forum vorbei. So oder so ähnlich könnte sich das letzte Nacht zugetragen haben. Wie dem auch sei... was soll ich machen, wenn mir die Stimmen das doch sagen ????

Ich glaub, ich geb's auf. Habe mit Nmap auf der pfSense rumgespielt, versucht einen Druckauftrag auszuführen, dabei alle Protokolle gelesen, nochmal ein paar Regeln gesetzt, aber keine Hinweis gefunden. Das mit dem CUPS-Dienst habe ich auch mal grade überflogen, wobei ich beim lesen wieder so ein Pfeifen auf den Augen bekam.

Morgen kommen noch ein paar bunte Netzwerkkabel bei mir an und dann stöpsel ich mal alles so um, wie es sein soll mit der DMZ und dem LAN. Der Drucker wandert dann erstmal ins LAN, hinter die pfSense. Dort gehört er ja eigentlich auch hin. Wenn es mich packt, schlepp ich meine DS216+ mal zu meinem Drucker und probiere das dann nochmal mit der DMZ, wenn der Drucker an der Diskstation hängt. Oder ich spanne hinter der pfSense noch ein weiteres Subnetz auf um es dann nochmals subnetzübergreifend, aber hinter der pfSense zu probieren. Aber das kostet Zeit, Arbeit und Willen. Aber es interessiert mich nun mal und ich werde das bei Gelegenheit mal testen. Falls bis dahin noch jemand andere Ideen, Vorschläge oder Erklärungen hat... immer her damit. Ansonsten erstmal Danke @blurrrr für deine Hilfe.

Tommes

 

[blurrrr]

Ich glaub, ich geb's auf. Habe mit Nmap auf der pfSense rumgespielt, versucht einen Druckauftrag auszuführen, dabei alle Protokolle gelesen, nochmal ein paar Regeln gesetzt, aber keine Hinweis gefunden.

Was dann erstmal so aussieht, als würde der Drucker seine Antwort erst garnicht zur pfSense schicken... Ich mag es nicht sagen, aber ich vermute einfach mal, dass der Drucker keine integrierte traceroute-Funktion hat (wäre mir bisher auch noch kein Drucker untergekommen, welcher sowas kann), dann könnte man es mit Gewissheit sagen... Ansonsten bliebe dann nur noch: Paketmitschnitt an der Fritzbox (ein Heidenspass..... ? ). Ich würde aber sagen: ein guter Grund, um mal richtig Reine zu machen

 

[the other]

Moinsen,
@Tommes: hattest du mal in die Windows eigenen Einstellungen geschaut? Hatte mal gelesen, dass man bei Drucker- und Dateifreigeben (oder wie das da heißt) explitzit erlauben muss, dass Drucker auch im fremden Netz sein dürfen...vielleicht isses ja mal wieder der Client selber, der sich da ein Bein stellt. Du hattest ja auch geschrieben, dass Pingen und sowas geht (der Drucker also erreichbar ist vom Client aus), aber Windows das Gerät als offline führt...

 

[blurrrr]

Autsch!... Danke, dass Du es nochmal geschrieben hast @the other ... das hab ich völlig verdrängt mit dem Ping in Richtung Drucker ? (deswegen auch bitte den vorherigen Post einfach ignorieren!) Man ey, artet ja schon echt in Peinlichkeiten aus hier.... ? Jo, wenn der Ping durch geht, funktioniert die Kommunikation ja grundlegend, dann wird es mit Sicherheit ein höhergelagertes Problem (lt. OSI) sein, Client-Firewall bin ich einfach mal davon ausgegangen, dass das schon versucht wurde (wäre ja auch eine der leichtesten Übungen, noch bevor man die pfSense anfasst).

EDIT: Paketmitschnitt wäre trotzdem nicht verkehrt, schon allein um zu sehen, was der Drucker da eigentlich so im stillen Kämmerlein feiert. Um was für ein Modell geht es da eigentlich überhaupt?

 

[the other]

Moinsen,

HP OfficeJet Pro 8710

...
Ich sach ja, weniger Kaffee, früher ins Bett...

 

[Tommes]

Ich mach heut auch früh Feierabend, daher halte ich mich kurz. Die Firewall von Windows, namentlich Windows Defender genannt, hatte ich auch schon komplett ausgeschaltet. Einen weiteren Virenscanner bzw. eine alternative Firewall habe ich derweilen nicht installiert. Hatte erst vor kurzem Windows neu aufsetzen müssen. Das Update auf 2004 war wohl zu heftig

Das mit dem Paketmitschnitt werde ich mir mal zu Gemüde... äh... Gemüte führen. Ich glaub, ich geh jetzt schlafen. ?

 

[blurrrr]

Dem ist nichts mehr hinzuzufügen @the other ?

Moinsen,

...
Ich sach ja, weniger Kaffee, früher ins Bett...

Dem ist nichts mehr hinzuzufügen... ?

Man könnte es nochmal mit dem hier genannten HP-Tool ausprobieren: https://support.hp.com/us-en/produc...one-printer-series/7902014/document/c03419426 Der Defender ist übrigens eher ein AV-Produkt, die Windows-Firewall bleibt derweil aktiv.

 

[the other]

Moinsen,
@Tommes : https://www.heise.de/ct/hotline/Freigaben-hinter-Router-323494.html
Das meine ich...
Guds Nächtle...

 

[Tommes]

Guten Morgen!
Ach hab ich gut geschlafen. Scheinbar haben meine Stimmen das auch, oder sie haben einfach zu leise geflüstert.

Den Insider bezüglich meines Druckers habe ich nicht verstanden @the other aber ich interpretier mal daraus, das ihr diesen für nicht würdig haltet, um als Netzwerkdrucker betitelt zu werden. Ansonsten klärt mich auf.

Was ich vergessen habe zu erwähnen ist, das ich auch von meinen iOS Boliden keinen Zugriff auf den Drucker habe, wenn sich dieser in einem anderen Subnetz befindet. Demnach bringt es mir nur bedingt etwas, die Firewall von Windows zu durchlöchern. Ich hab auch ganz vergessen, mal mein Linux Mint anzuwerfen um zu schauen, wie es sich damit verhält.

Nichts desto trotz werde ich versuchen, Windows doch noch davon zu überzeugen indem ich deinen Tipp des Heise Links @the other mal ausprobieren werde . @blurrrr Das HP Tool hatte ich bereits im Posting #3 erwähnt und ausprobiert, daher auch mein Hinweis, das ich die Firewall von Windows (auch wenn diese nicht Defender heißt) deaktiviert hatte.

Jetzt aber erstmal arbeiten gehen...

 

[the other]

Moinsen,
ach, das war gar kein Insider...blurrr hatte nur nach dem Gerät gefragt, ich hab ihm deinen Drucker aus deinem Text zitiert und seine unfassbare Müdigkeit dafür verantwortlich gemacht, dass er das übersehen hat...kennst uns doch...

 

[Tommes]

????... ah jetzt. Ja! Jetzt habe auch ich die Frage von blurrrr bezüglich des verwendeten Druckers gelesen. Langsam wird das hier echt peinlich mit uns.

BTW: Dein Tipp bzw. Link bezüglich - Freigabe hinter Router - habe ich auch eben mal probiert. Ohne Erfolg. In sämtlichen Einstellungen zur Datei- und Druckerfreigabe habe ich das Subnetz 192.168.178.0/24 eingetragen (ich befinde mich ja aktuell im Segment (172.16.8.0/24). Es will einfach nicht.

Ich hab die Windows Firewall auch nochmal komplett ausgeschaltet, in der pfSense alles auf Durchzug gestellt und in der Fritzbox nochmal eine statische Route für's LAN (172.16.8.0/24) gesetzt. Nix. Nada.

Ich glaub, mir reichts für's erste. Der kack Drucker kommt jetzt ins LAN und feddisch. Sollte ich irgendwann mal einen kleinen Druckserver in Händen halten, werde ich es damit nochmal probieren. Ansonsten würde ich fürs erste sagen... vielen Dank für eure Mühen aber mir ist das jetzt egal, ich lass das jetzt so.

Tommes

 

[the other]

Moinsen,
gute Idee und war ja eh der Plan...immerhin hast du imho ALLES versucht. Mit der sense hat das nix zu tun, denn du hast Tür und Tor ja bereits sperrangelweit aufgemacht...
Bin mal gespannt, wie es dann weitergeht.

 

[blurrrr]

Langsam wird das hier echt peinlich mit uns.

Mag sein, seh ich aber relativ entspannt... im höheren Alter darf man sowas...?

Hättest Du den Drucker in ein eigenes VLAN hinter der pfSense gepackt, hätte ich Dir auch noch anbieten können, dass wir einen s2s-Tunnel etablieren (zum Drucker-only-Netz) und ich dann mal remote mit schaue... Je nachdem, das Angebot lasse ich auch mal so stehen (falls Du Dich doch irgendwann mal umentscheiden solltest ??). Geht nicht, gibt's nicht und irgendeinen sinnigen (oder unsinnigen) Grund wird es schon haben, dass es nicht funktioniert.

Wenn Dir aber erstmal mit der Lösung Drucker-ins-LAN geholfen ist, auch gut. Drucker-"Server" ist leider immer irgendwie "so eine Sache" mit den Multifunktionsteilen... wäre es ein reiner Drucker (ohne extras) wäre das auf jeden Fall eine Lösung, so... fragwürdig... aber kommt auch immer darauf an, wie man die Dinger im Endeffekt nutzt.