Regel für Wlan nach Wan



  • Liebe Forumgemeinde

    Ich stehe momentan an einem, für euch vermutlich sehr einfachem, Problem an.

    Ich verwende PFsense V. 2.0.3
    Mein Internet Router hängt am WAN (DHCP)
    Am LAN mein internes Netz mit NAS ect.
    Am Wlan vorwiegend IPad, Smartphone und PC's von Kollegen

    Frage 1: Wie muss ich jetzt die Regel machen, dass ich vom Wlan nur ins Internet (WAN) komme, jedoch nicht ins Lan? mit meiner Regel momentan komme ich auch ins LAN (Siehe Bild Wlan Any).

    Frage 2: Weshalb läst pfsense vom Lan ins Internet (WAN) trotz der Any Regel (Siehe Bild Lan Any) keine VPN Verbindungen von LAN nach draussen zu???

    Herzlichen Dank für eure Tipps und Hilfe!
    ![WLAN Any.jpg](/public/imported_attachments/1/WLAN Any.jpg)
    ![WLAN Any.jpg_thumb](/public/imported_attachments/1/WLAN Any.jpg_thumb)
    ![Lan Any.jpg](/public/imported_attachments/1/Lan Any.jpg)
    ![Lan Any.jpg_thumb](/public/imported_attachments/1/Lan Any.jpg_thumb)



  • Hallo,

    Grundsätzliches zu Firewall-Regeln:

    • Firewallregeln werden bei pfsense immer von oben nach unten abgearbeitet. Sobald eine Regel zutrifft, wird diese angewendet und alle weiteren Regeln außer Acht gelassen

    • Alle Firewallregeln außer "Floating Rules" wirken immer und ausschließlich auf das jeweilige Interface bzw. auf Traffic, der von diesem Interface initiiert wurde.

    Um vom WLAN nicht ins LAN zu kommen musst du das unterbinden. Das heisst, über deiner vorhandenen Regel "Wireless to any rule" erstellst du eine Regeln, die Verkehr in das LAB verhindert.

    Action: block
    Protocol: any
    Source-IP: WLAN subnet (oder "any")
    source-port: any
    Destination-IP: (LAN-Subnet)
    destination-port: any

    Es empfiehlt sich sicherlich auch noch auf dem WLAN interface eine weitere "block" Regel zu erstellen, welche den Zugriff auf das webGUI (80,443) blockiert als auch SSH (22). Konfigurieren wirst du die pfsense vermutlich über das LAN interface.

    Thema VPN:
    Wenn der VPN Client im LAN oder WLAN netz ist, dann sollte er problemlos ins Netz kommen.
    Ich sehe aber, du hast einen PPTP VPN Server eingerichtet - hierzu gilt zu sagen, dass PPTP nicht mehr als sicher gilt und du solltest dir eine Alternative suchen wie IPsec oder OpenVPN. Weiterhin gilt dieser PPTP VPN vermutlich dem Zugriff aus dem WAN in dein Netz, richtig?

    Zu PPTP hilft vielleicht folgender Link:
    http://doc.pfsense.org/index.php/PPTP_VPN



  • Hallo Nachtfalke

    Herzlichen Dank für deine Infos! Konnte dank deiner Hilfe nun den Traffic vom WLAN ins LAN sperren und habe eine Regel vor der Block Regel gestellt, das der Netzwerkdrucker dennoch erreicht werden kann. Dies funktioniert! Herzlichen Dank für die Grundsätze und das Beispiel der Regel!
    Du empfiehlst mir, eine weitere Regel zu erstellen um das WebGui zu blocken, wird dies nicht mit der von dir beschriebenen block Regel geblockt (oder ist dies eine andere Destination)? Gibt es die Möglichkeit diese drei Ports 80,443,22 zusammen in einer Regel zu Blocken? oder benötige ich immer eine seperate?

    Betreffend deinen Anregungen und Infos zum Thema VPN;
    ja der Client ist im Lan oder WLAN Netz, hatte aber früher nie wirklich funktioniert (also eine Ausgehende VPN Verbindung zu machen) habe dies aber nun nochmals versucht und es scheint zu klapen.

    Deine Vermutung ist richtig, ich benutze den PPTP für den Zugriff vom Internet aufs LAN Netz. Welche Variante empfiehlst du, IPsec oder OpenVPN? Ich benötige die VPN von folgenden Geräten aus: MacBook, Windows 7, Ipad

    Gibt es die Möglichkeit, dass ich, wenn ich mit meinem MacBook ausnamsweise mich wia WLAN verbinde, trotzdem auf mein NAS verbinden kann? Also am genialsten währe, wenn ich gewissen Geräten (MAC ID?) vom WLAN auf das LAN alles "Durchlassen" könnte, ohne eine VPN aufzubauen oder so. Wenn dies nicht funktioniert ist es auch nicht sooo schlim, währe einfach ein non plus ultra…. ;)



  • Hallo,

    freut mich das die einfache WLAN/LAN Regel funktioniert wie du es dir wünscht.

    Zugang auf das WebGUI der pfsense besteht von allen Interfaces aus (außer dem WAN). Das heisst, du kannst auf die pfsense über die LAN schnittstelle zugreifen aber auch über die WLAN schnittstelle. Die Regeln, die den Zugriff vom WLAN aufs LAN block sorgt nur dafür, dass niemand auf die pfsense über die LAN IP zugreifen kann. Über die WLAN IP geht es aber dennoch. Kannst du ja testen.

    Um die diversen Ports zusammen zu fassen empfiehlt sich ein "Alias". Du erstellst einen Port-Alias und fügst die Ports ein und gibst diesem Alias noch einen beliebigen Namen - bsp. "Ports_webGUI".

    In der Firewall Regel wählst du dann als destination IP die IP der WLAN Schnittstelle an und als destination Port eben deinen Alias. Fertig.

    VPN:
    Ob du OpenVPN oder IPsec nimmst, ist von der Sicherheit egal. Ich persönlich mag OpenVPN lieber. Es bietet auch gewisse Vorteile was die Portwahl angeht. Man kann OpenVPn sehr einfach über gängige Ports wie 443 leiten. So kann man auch in diversen Hotels, im Ausland etc. manchmal noch eine Firewall "umgehen" ohne geblockt zu werden. Denn der Port 443 ist meistens offen, die Leuten wollen ja im Web auf HTTPS Seiten surfen.

    Auch deine Geräte sollten alle mit IPsec zurecht kommen. Für OpenVPN gibt es aber in der pfsense ein Paket - "OpenVPN Client Export utility". Dieses erstellt dir mit wenigen Klicks eine Konfigurationsdatei, mit Zertifikaten etc. welches du einfach in Windows importieren kannst. Genauso beim iPad, oder Mac, oder Android.

    MacBook auf NAS:
    Klar geht das - du könntest in diesem Fall im DHCP die MAC Adresse deiner WLAN Karte im MacBook eintragen und dieser eine feste IP zuweisen. Dann erstellst du eine Firewallregel für eben diese IP als "Source IP" im WLAN und als Destination IP dein NAS.

    Theoretisch kann natürlich jemand anderes im WLAN sich diese IP statisch zuweisen und hätte dan auch Zugriff, aber das ist vermutlich eher unwahrscheinlich zumal dein WLAN sicherlich auch noch verschlüsselt sein wird. Vermutlich soll es nur dafür sorgen, dass Besucher bei dir im Haus zwar Internet haben, aber sonst keinen "Unfug" treiben können.



  • Hallo Nachtfalke

    Herzlichen Dank auch für diese Tipps!
    Habe ich getestet, betreffend dem WebGui via WLAN, und wie du richtig lagst, nun wollte ich die Ports seite WLAN, gemäss deiner Beschreibung mit den Alias Sperren, leider kann ich die Alias bei den Ports nicht auswählen ich habe folgende Alias erstellt;
    Name: Ports_webGui
    Description: Sperrt den Zugang zum webGui
    Type: Port(s)
    Port(s) 80
              433
              22

    Wenn ich nun eine neue Regel erstelle, finde ich den Alias Port "Ports_webGui" nicht. Ich habe Ihn unter Destination port range gesucht. Hab ich da was falsch verstanden?

    Ps. Bei Destination muss ich doch WAN Adress anwählen, oder?

    VPN:
    Ich habe diesbezüglich auch noch ein bisschen gesucht und ich glaube (wer glaubt wird selig), dass für mich die Variante IPsec sinvoller ist. Dies aus dem Grund, weil ich auf meinem Büro PC bereits mit dem Cisco VPN Client Arbeite (brauche diesen für Fernwartungen von Kundensystemen) und ich hoffe das ich für die IPsec Verbindung nach Hause ebenfalls dieses Tool nutzen könnte. Ich habe schon gehört, das verschiedene VPN-Tools installiert sind, diese sich gegenseitig beissen können. Und das Port 443 habe ich für meinen Server schon im einsatz :)

    Bin momentan auf der Suche nach einem deutschen Turotorial für Pfsense/IPsec, scheint jedoch nicht ganz einfach zu sein…. Schade gibts das Pakte für IPsec nicht.

    MacBook auf NAS:
    Nun ich Arbeite mit Captive Portal auf dem WLAN, deshalb wäre mir eine variante mit MAC identifizerung oder so lieber. Bei Captive Portal kann ich ja die Mac Adresse für ein Dauerzugang eintragen, jedoch kann ich diese dann nicht spetziell "Ruten" oder ich habs einfach noch nicht herausgefunden. Momentan lese ich mich ins Thema VLAN ein, bin aber nocht sicher ob ich dies damit realisieren kann, oder auf dem Holzweg bin. Grundsätzlich wäre es toll, wenn sich mein Mac im WLAN gleich verhält wie im LAN, also auf alles im LAN zugriff hätte.. das selbe gilt für die VPN

    Lieber Gruss und danke für deine wertfollen Tipps!



  • @adlerauge1980:

    Hallo Nachtfalke

    Herzlichen Dank auch für diese Tipps!
    Habe ich getestet, betreffend dem WebGui via WLAN, und wie du richtig lagst, nun wollte ich die Ports seite WLAN, gemäss deiner Beschreibung mit den Alias Sperren, leider kann ich die Alias bei den Ports nicht auswählen ich habe folgende Alias erstellt;
    Name: Ports_webGui
    Description: Sperrt den Zugang zum webGui
    Type: Port(s)
    Port(s) 80
              433
              22

    Wenn ich nun eine neue Regel erstelle, finde ich den Alias Port "Ports_webGui" nicht. Ich habe Ihn unter Destination port range gesucht. Hab ich da was falsch verstanden?

    Ps. Bei Destination muss ich doch WAN Adress anwählen, oder?

    Den Alias hast du korrekt erstellt. Als Destination musst du wLan einstellen, nicht WAN. Also WLAN-Address. Als Destination Port musst du "Alias" auswählen, dann wird das Port Feld "rot" und dort gibst du einfach den Namen deines Alias ein, also "Ports_webGui". Die Autovervollständigung sollte dann greifen. Grundsätzlich können in alle rot hinterlegten Felder auch Aliase eingefügt werden.

    @adlerauge1980:

    VPN:
    Ich habe diesbezüglich auch noch ein bisschen gesucht und ich glaube (wer glaubt wird selig), dass für mich die Variante IPsec sinvoller ist. Dies aus dem Grund, weil ich auf meinem Büro PC bereits mit dem Cisco VPN Client Arbeite (brauche diesen für Fernwartungen von Kundensystemen) und ich hoffe das ich für die IPsec Verbindung nach Hause ebenfalls dieses Tool nutzen könnte. Ich habe schon gehört, das verschiedene VPN-Tools installiert sind, diese sich gegenseitig beissen können. Und das Port 443 habe ich für meinen Server schon im einsatz :)

    Bin momentan auf der Suche nach einem deutschen Turotorial für Pfsense/IPsec, scheint jedoch nicht ganz einfach zu sein…. Schade gibts das Pakte für IPsec nicht.

    Das Paket gibt es nicht für IPsec. Ob sich verschiedene VPN Programme beissen, kann ich nicht genau sagen. Ich würde aber vermuten, dass man beide problemlos getrennt voneinander verwenden kann. Hat man natürlich beide aktiviert und Lösung A möchte allen verkehr von A nach B tunneln, Lösung B aber alles von A nach C tunneln, dann kann das natürlich nicht klappen. Hier ist aber vermutlich auch weniger die VPN Lösung das Problem sondern Routinggrundlagen.

    @adlerauge1980:

    MacBook auf NAS:
    Nun ich Arbeite mit Captive Portal auf dem WLAN, deshalb wäre mir eine variante mit MAC identifizerung oder so lieber. Bei Captive Portal kann ich ja die Mac Adresse für ein Dauerzugang eintragen, jedoch kann ich diese dann nicht spetziell "Ruten" oder ich habs einfach noch nicht herausgefunden. Momentan lese ich mich ins Thema VLAN ein, bin aber nocht sicher ob ich dies damit realisieren kann, oder auf dem Holzweg bin. Grundsätzlich wäre es toll, wenn sich mein Mac im WLAN gleich verhält wie im LAN, also auf alles im LAN zugriff hätte.. das selbe gilt für die VPN

    Das CP und meine Vorgeschlagene Lösung funktionieren doch prima miteinander.
    Mittels DHCP dafür sorgen, dass das MacBook immer die gleiche IP bekommt. Auf Basis diese IP die Firewall entsprechend einstellen für den Zugriff auf das NAS.
    Den MAC-Passthrough am CP kannst du doch weiterhin nutzen.

    Man muss eben wissen - CP entscheidet auf Grund von MAC Adressen, wer Zugriff hat und wer nicht, wer sich authentifizieren muss und wer nicht. MAC Adressen kann man aber nicht routen, das heisst die Firewall kann mit MAC Adressen nichts anfangen. Deswegen nutzen wir den DHCP, der mit Hilfe der MAC Adresse immer die gleiche IP zuweist. Somit haben wir eine Verbindung zwischen MAC und IP geschaffen und können mittels MAC am CP authentifizieren und mittels der dazugehörigen IP an der Firewall Regeln festlegen.

    @adlerauge1980:

    Lieber Gruss und danke für deine wertfollen Tipps!

    Gerne!



  • Hallo Nachtfalke

    Habe den eintrag "Alias" nicht gefunden, habe aber herausgefunden das der Eintrag vermutlich "Other" heissen sollte, dort hats geklapt mit dem eintragen des Alias und wenn man dann auch noch den richtigen Port (hab für den zugriff den Standard Port 80 ersetzt) dann funktioniert diese Block Regel sogar… ;)

    MacBook auf Nas:
    Logisch, habe deine erläuterung nun verstanden und sind nun durchaus plausibel! Danke für deine Aufklährung! Beim durchlesen ist es mir wieder in den sinn gekommen, im privaten LAN wird ja die IP immer in die MAC aufgelöst.... Und das ganze funktioniert natürlich mit deiner Idee auch Prima! Habe es soeben getestet, und das funktioniert besser wie ich mir es erträumt habe.... :) Danke!

    VPN:
    Nun wir hatten dieses Problem schon im Büro, und mussten deshalb mit Virtuellen PC's arbeiten. Also das Problem war, dass sich zwei VPN Tools gegenseitig gestört hatten, obwohl nur jeweils eines am laufen war. Ich versuche mich deshalb gerade IPsec zum laufen zu bekommen, aber momentan scheitere ich noch kläglich... :(

    Drucker:
    Was mir jedoch noch nicht klar ist, wiso dass ich nicht Drucken kann, erreichen per Webbrowser und per Ping kann ich ihn. Hatte dieses Problem aber früher auch und konnte nie aus dem WLAN Drucken. Auch nicht mit der Regel welche ich im ersten Beitrag gepostet habe (WLAN Any) mit dieser Regel wird doch alles "durchgelassen"?



  • Hallo,

    Thema Drucker:
    TCP Port 9100 bei einem normalen Netzwerkdrucker.

    Bei Drucker die über Druckerfreigabe freigegeben werden sind es andere Ports. Diese habe ich im Netz gefunden:

    TCP 139 oder 445
    UDP 137 oder 138

    Ich hatte es auch schon gehabt, dass ich den SNMP Port freigeben musste:
    161/UDP
    162/UDP

    Grundsätzlich funktioniert das aber bei mir.

    Grüße



  • Bei meinem Netzwerkdrucker habe ich

    freigegeben. Das habe ich vor geraumer Zeit eingestellt, als ich mich mit meinen egres-Regeln beschäftigt habe. Ich bin mir aber nicht mehr sicher, ob ich wirklich beide Ports brauche. Da ich auch unter Linux arbeite, vermute ich, dass 515 unter Linux verwendet wird. Ich werde mal die Regeln "loggen" lassen :)

    Peter



  • Hallo Zusammen

    Herzlichen Dank wiederum für eure Tipps!

    Betreffend VPN, jupee IPsec läuft ;) nur das Thema mit den Zertifikaten (einrichten) hab ich noch nicht im griff.

    Bedreffend Druckerproblem;
    Mit der im Anhang erstellten Regel, müsste doch alles durchgelassen werden?? ich kann den Drucker auf jedenfall anpingen, und auch per Webgui draufzu greifen. Nur will er par tout keine gedruckte Seite ausspucken.
    fieleicht hellfen folgende Infos weiter: Drucker; Brother MFC-9970CDW per Netzwerk (via 0815 Switch, nicht konfigurierbar) am LAN Port der PFsense (Alix Bord) angeschlossen. "PC": MacBook Pro, OS X (V.10.8.4) am WLAN der PFsense (Integrierte Alix-Bord-WLAN Karte) angeschlossen.

    Im Anhang Rules findet ihr die aktuelle Config von den WLAN Regeln aus welcher ich auf den Drucker zugreiffen möchte.
    Ich hatte auch den Versuch gestartet, nur eine Regel hinzuzfügen, welche alle Verbindungen aus dem WLAN heraus erlaubt, damit hatte ich leider auch keinen erfolg (Siehe Anhang; WLAN Any)

    Ps. Mit der so eingerichteten Regel (Anhang WLAN Any) wird doch sämtlicher Verkehr zwischen WLAN und meinem LAN respektive WAN zugelassen (habe dies mal so zum testen konfiguriert)



    ![WLAN Any.jpg](/public/imported_attachments/1/WLAN Any.jpg)
    ![WLAN Any.jpg_thumb](/public/imported_attachments/1/WLAN Any.jpg_thumb)



  • @adlerauge1980:

    Hallo Zusammen

    Herzlichen Dank wiederum für eure Tipps!

    Betreffend VPN, jupee IPsec läuft ;) nur das Thema mit den Zertifikaten (einrichten) hab ich noch nicht im griff.

    Bedreffend Druckerproblem;
    Mit der im Anhang erstellten Regel, müsste doch alles durchgelassen werden?? ich kann den Drucker auf jedenfall anpingen, und auch per Webgui draufzu greifen. Nur will er par tout keine gedruckte Seite ausspucken.
    fieleicht hellfen folgende Infos weiter: Drucker; Brother MFC-9970CDW per Netzwerk (via 0815 Switch, nicht konfigurierbar) am LAN Port der PFsense (Alix Bord) angeschlossen. "PC": MacBook Pro, OS X (V.10.8.4) am WLAN der PFsense (Integrierte Alix-Bord-WLAN Karte) angeschlossen.

    Im Anhang Rules findet ihr die aktuelle Config von den WLAN Regeln aus welcher ich auf den Drucker zugreiffen möchte.
    Ich hatte auch den Versuch gestartet, nur eine Regel hinzuzfügen, welche alle Verbindungen aus dem WLAN heraus erlaubt, damit hatte ich leider auch keinen erfolg (Siehe Anhang; WLAN Any)

    Ps. Mit der so eingerichteten Regel (Anhang WLAN Any) wird doch sämtlicher Verkehr zwischen WLAN und meinem LAN respektive WAN zugelassen (habe dies mal so zum testen konfiguriert)

    Die vorletzte Regel (erste Hardcopy) verhindert jeden Verkehr vom WLAN ins LAN, d.h. die letzte Regel, die das eigentlich erlauben soll (falls ich dein Anliegen richtig verstehe), wird nicht mehr ausgewertet. pfSense arbeitet die Regeln von oben nach unten ab. Sobald eine Regel zutrifft, werden folgende nicht mehr ausgewertet.

    Die "Default Wireless to any rule" (zweite Hardcopy) erlaubt u.a. sämtlichen Verkehr vom WLAN ins LAN. Keine Ahnung, warum das bei dir nicht funktioniert.

    Peter



  • @pvoight

    Du bist glaube ich beim Lesen durcheinander gekommen. Die beiden Screenshots sind zwei verschiedene Lösungsversuchen zj verschiedenen Ansätzen. Im zweiten Versuch sollte einfach alles ausgehend von Wireless erlaubt werden.

    Im ersten Screenshot ist ebenfalls alles korrekt. Es soll verhindert werden, dass Traffic vom WLAN zum LAN initiiert werden kann. (Block-Regel)
    Die letzte Regel erlaubt sämtlichen Verkehr von WLAN to "any" - wobei die Regel darüber verhindert, dass "any" auch ins LAN geht.

    Oder anders ausgedrückt. Die Summe aus beiden Regeln erlaubt sämtlichen Verkehr ausgehend außer ins LAN.
    Man könnte diese beiden Regeln natürlich auch vereinfachen und zusammenführen und folgende Regel erstellen:

    Action: Allow
    Source-IP: Wireless subnet
    Source-Port: any
    Destination-IP: NOT LAN-Subnet  (!LAN-Subnet)
    Destination-Port: any

    Ich persönlich finde Negierungen immer etwas schwierig auf die Schnelle zu überblicken.



  • @Nachtfalke:

    @pvoight

    Du bist glaube ich beim Lesen durcheinander gekommen. Die beiden Screenshots sind zwei verschiedene Lösungsversuchen zj verschiedenen Ansätzen. Im zweiten Versuch sollte einfach alles ausgehend von Wireless erlaubt werden.

    Wäre nicht das erste Mal, dass ich etwas durcheinander bringe :). Zumindest den zweiten Versuch, glaube ich auch so verstanden zu haben: adlerauge1980 möchte aus dem WLAN auf einem Drucker im LAN drucken, doch das funktioniert trotz der an sich korrekten Regel nicht.

    @Nachtfalke:

    @pvoight
    Im ersten Screenshot ist ebenfalls alles korrekt. Es soll verhindert werden, dass Traffic vom WLAN zum LAN initiiert werden kann. (Block-Regel)
    Die letzte Regel erlaubt sämtlichen Verkehr von WLAN to "any" - wobei die Regel darüber verhindert, dass "any" auch ins LAN geht.

    Oder anders ausgedrückt. Die Summe aus beiden Regeln erlaubt sämtlichen Verkehr ausgehend außer ins LAN.
    Man könnte diese beiden Regeln natürlich auch vereinfachen und zusammenführen und folgende Regel erstellen:

    Action: Allow
    Source-IP: Wireless subnet
    Source-Port: any
    Destination-IP: NOT LAN-Subnet   (!LAN-Subnet)
    Destination-Port: any

    Ich persönlich finde Negierungen immer etwas schwierig auf die Schnelle zu überblicken.

    Hmm, dachte, es ginge adlerauge1980 immer noch darum, dass er aus dem WLAN nicht auf dem LAN-Drucker drucken kann. Wenn der Netzwerkverkehr aus dem WLAN allerdings nicht ins LAN soll, sind seine Regeln natürlich OK. Ich muss zugeben, dass ich auch nach nochmaligem Lesen nicht sicher bin, was adlerauge1980 wirklich möchte.

    Zu den Negierungen habe ich prinzipiell dieselbe Meinung wie du, verwende sie beim meinen Firewall-Regeln allerdings auch, da man damit das Regelwerk kürzer halten kann.

    So hoffe ich, dass du adlerauge1980 wenigstens richtig verstanden hast. Ich danke dir in jedem Fall für deinen Kommentar, denn ich möchte adlerauge1980 natürlich nicht mit meinen Tipps unnötig verwirren :)

    Peter



  • Hallo pvoigt
    Hallo nachtfalke

    Herzlichen Dank für eure Bemühungen mir bei meinem Problem zu helfen!

    Nun, sorry dass ich mich unklar ausgedruckt habe. Nachtfalke hat meine ungenaue Beschreibung richtig intepretiert. Danke für die Erläuterungen.

    Nach dem ich beim ersten Versuch gescheitert bin, habe ich gedacht, wenn ich zum Test den zweiten Versuch mache, dürfte ja nichts mehr blockieren…..

    Nun ich versuche das ganze hier nochmals zu erläutern:

    1. Aus dem LAN darf man alles nach WAN (Internet, Abgehende VPN, Mail ect.)
    2. Aus dem WLAN darf man alles nach WAN (Internet, Abgehende VPN, Mail ect.)
    3. Aus dem WLAN darf man neben Punkt 2. auch auf den Drucker im LAN zugreifen (Fixe IP) der Rest des LAN's ist jedoch aus dem WLAN geblockt.

    All dies Funktioniert auch einwandfrei! Auser die geschichte mit dem Drucken aus dem WLAN, obwohl ich den Drucker anpingen und auch das WebGui starten kann, druckt mein Drucker nicht :(

    Im LAN verwende ich den IP Range 192.168.10.xx für das WLAN den Range 192.168.9.xx

    Ps. die Vereinfachung der Regel werde ich am Wochenende machen, danke für den Tipp!

    Liebe Grüsse

    Adlerauge



  • Hi

    eine ganz dumme Frage;
    hat der Drucker ein Setup wo du eine Range eingeben kannst welche IP's drucken dürfen.
    Hab mal so etwas gesehen um zu verhindern, dass aus dem Internet jemand auf deinen Drucker druckt.
    Oder aber der Druckertreiber ist schei*e und versucht über die MAC den Drucker zu identifizieren was aber nicht geht durch die anderen Subnetze.
    Da ich leider nix am hut habe mit OSX kann ich dir nur raten zu schauen ob es die möglichkeit gibt mit IP & Port einen Druckerport anzulegen und es so zu versuchen. Also ohne die Software des Druckerherstellers.

    mfg max


  • Moderator

    Ohne etwas mehr über den Drucker zu wissen, ist es schwer etwas zu sagen, sofern der Drucker bei den Clients im WLAN Netz aber als "Netzwerkdrucker" über seine IP eingerichtet wurde (und nicht über Name, Netbios, Bonjour oder sonstiges) sollte es auch mit dem Drucken klappen. Vielleicht kann des Adlers Auge hier noch weitere Infos bringen.

    Grüße
    Jens



  • Ich denke es ist kein klassischer Netzwerkdrucker, sondern evtl. ein Lokaler Drucker mit WLAN, richtig? Dann ist es wichtig dem DHCP den Hostnamen des Druckers mitzuteilen der ihn mit einer reservierten IP versorgt. Mittels DNS Forwarding sollte dieser dann von anderen PC's aus dem WLAN auch über den Hostnamen pingbar sein. Dann müsste auch das Drucken klappen.


  • Moderator

    @mrsunfire: Da würde ich nur bedingt zustimmen. Wenns ein Kombidrucker mit LAN/WLAN ist, wäre es möglich:

    1. Den Drucker per LAN ins LAN und WiFi ins WLAN in die entsprechenden Netze einfach einzubinden (2 "Beine" in 2 Netzen, dann muss gar nichts geroutet werden, allerdings hat dann potentiell jeder WiFi Teilnehmer Zugriff auf den Drucker
    2. Den Drucker per LAN und (semi-) statischer IP (!) ins LAN hängen, sehen, ob die pfSense den Namen des Druckers über den DNS Forwarder auflöst. (Semi-) Static IP, weil sich sonst ständig die IP zum Drucken ändert -> ungeschickt. Mit semi-statisch meine ich, dass man das "schön" auch über eine MAC Adressreservierung lösen kann, sofern die pfSense (auch) im LAN DHCP Server spielt. Dann bekommt der Drucker immer die korrekte IP, die Sense kennt ihn eh (da sie ihm die IP verpasst hat) und sollte den Namen ergo ordentlich auflösen können. Damit sollte es dann auch kein IP/Namensproblem geben.

    Grüßend
    Jens



  • Hallo Forumgemeinde

    Zuerst einmal ein herzliches Danke für eure mithilfe und Ideen!

    folgendes Infos könnten noch von interesse sein:
    Drucker Brother MFC-9970CDW mit fixer IP
    Vermutlich drucke ich jedoch über Bonjour. Ich versuche am Wochenende den Drucker neu einzurichten direkt als "IP-Drucker"

    Schade ist jedoch, das das brother iphone und Ipad App "iPrint&Scan" vermutlich nur über Bonjour oder so funktioniert…..

    @joger, der Drucker könnte ich per Wlan parallel in mein Wlan Netz hängen. Dies währe möglich, mache ich da jedoch nicht eine Sicherheitslücke auf? LAN - Drucker - Wlan ? also kann der Drucker nicht misbraucht werden um die Firewall von Wlan nach Lan zu umgehen?

    Liebe Grüsse


  • Moderator

    Wenn der Drucker eine statische IP hat, sollte es auch funktionieren. Dann müsste ggf. nur der Name des Druckers bekannt gemacht werden. Aber es könnte schon sein, dass das Problem hier mDNS oder DNS ist weil irgendein Dienst versucht, den Drucker per Namen oder ID zu rufen, statt über IP.



  • Hallo Jager

    Ich hatte da ne schlaue idee…. ::) (hätte ich ja auch schon früher drauf kommen können....
    Ich habe mir ein Windows PC organisiert und dies mit diesem getestet. Und siehe da ich kann drucken. für mein Mac book bekähme ich das nun sicherlich irgend wie hin, dass dieses den Drucker via IP ansteuert. Leider kann ich das beim IPhone nicht einstellen, dies funktioniert vermutlich nur über Bonjour. An hand meinen Recherchen im Netz habe ich herausgefunden das ich dafür den DNS Server einrichten muss.

    Kann mir jemand dazu einige Tipps geben? Leider habe ich keine deutsche Anleitung zum einrichten dieses Dienstes gefunden. Bin jedoch darüber gestollpert, dass es einige User gibt, welche mit Bonjour diesbezüglich Probleme haben. Falls sich jemand damit auskennt und lust hat eine Anleitung fü: "Pfsense und Bonjour" zu schrieben währe vermutlich nicht nur ich sehr häppy.....

    Im voraus schon ein ganz herzlichen Dank für eure Mithilfe!
    Liebe Grüssse


  • Moderator

    Also wie gesagt, Bonjour/Avahi/Zeroconf ist eigentlich nur die Implementation von Multicast DNS.

    Brother selbst schreibt aber auf der Service Seite, dass zur Nutzung mit der App sich Drucker und Endgerät unbedingt im selben Netz befinden sollen. Das wird - denke ich - der Einschränkung von mDNS geschuldet sein, denn Multicasts weiterzurouten ist keine so schöne (einfache) Sache. Noch dazu kommt, dass viele Autokonfigurationen (siehe Windows Homegroup etc.) inzwischen indirekt IPv6 nutzen für die Autokonfiguration, was nochmals zur Komplexität beiträgt.

    Im Endeffekt wäre es wahrscheinlich einfacher wenn:

    • Drucker im LAN angeschlossen, bekommt von DHCP Server eine MAC basierende, statische IP Adresse
    • Clients im LAN können somit drucken
    • WiFi AP mit entsprechender Sicherheitseinstellung für Clients die unbedingt Wireless drucken müssen, direkt ins LAN gebridged
    • Gäste AP an eigenem Anschluß der Sense, die somit vom LAN isoliert sind.

    Das entspricht dann auch einem typischen Enterprise-WiFi Aufbau, bei dem mehrere WiFi Zellen aufgespannt sind und freigeschaltete Mitarbeiter direkt mit dem WLAN Gerät ins LAN eingebunden sind, und andere die das nicht brauchen + Gäste isoliert sind.

    Grüße



  • Hallo JeGr

    Herzlichen Dank für deine Hilfe! Wenn ich dich richtig verstehe müsste ich, um deine Idee zu realisieren, ein weiterer Wifi AP zulegen? momentan nutze ich ein Alix Board mit integrierter W-Lan Karte. PFsense ist auf dem Alix Board drauf.

    Ich habe eben das gleiche Problem, mit den VPN Clients, gibt es da auch eine Lösung, oder komm ich dann nicht um des Thema mDNS ect. herum?


  • Moderator

    Mit den VPN Clients wirds noch nen Zacken schwerer, da diese auf jeden Fall geroutet und ggf. dem Drucker nichtmal bekannt sind. Allerdings - wenn es sich da nur um Laptops/PCs handelt, sollte denen das per IP verbunden relativ egal sein, sofern die Routen, Regeln und Namen passen. Aber bspw. ein per VPN eingewähltes iPhone wird per App garantiert nicht glücklich werden. Dafür sind diese Art Drucker/Geräte aber auch überhaupt nicht ausgelegt, weil das meistens nur Arbeitsgruppen-Geräte sind. Keine Full-Scale Printserver für Unternehmenseinsatz.

    Evtl. kannst du mit der ALIX auch noch eine zweite SSID aufspannen und diese bridgen. Da ich aber strikt WiFi APs von Border-Gateway Geräten trenne, kann ich dir das nur bedingt sagen. Zumal pfSense nicht gerade die beste Plattform für WiFi ist (durch eingeschränkte Treiberverfügbarkeit). An der Stelle fand ich es dann durchaus einfacher, vorhandene Geräte bzw. ein zusätzliches mit einzubringen.

    Bspw. hat privat meine KabelBW Fritz!Box eh nur single-Band WiFi. Macht aber nichts, deshalb macht sie im 2,4GHz Band eben Gäste-AP. Die kommen dann ins Internet und gut. Eine andere alte Fritzbox macht dafür dann im LAN selbst hinter der pfSense den "echten" WiFi AP im 2,4 und 5GHz Band, der ist dann auch stark verschlüsselt und nur für interne Geräte.

    Bei meinem letzten WiFi Projekt waren es bspw. APs von HP, die dann auch multiple VLANs und multiple SSIDs pro Kanal aufspannen können. Damit ist das dann sehr einfach zu realisieren, gleich auch noch mit Anbindung an ein internes AD und Auth per Radius ;) Das dürfte an dieser Stelle aber etwas Overkill sein.