Regel für Wlan nach Wan

adlerauge1980

Liebe Forumgemeinde

Ich stehe momentan an einem, für euch vermutlich sehr einfachem, Problem an.

Ich verwende PFsense V. 2.0.3
Mein Internet Router hängt am WAN (DHCP)
Am LAN mein internes Netz mit NAS ect.
Am Wlan vorwiegend IPad, Smartphone und PC's von Kollegen

Frage 1: Wie muss ich jetzt die Regel machen, dass ich vom Wlan nur ins Internet (WAN) komme, jedoch nicht ins Lan? mit meiner Regel momentan komme ich auch ins LAN (Siehe Bild Wlan Any).

Frage 2: Weshalb läst pfsense vom Lan ins Internet (WAN) trotz der Any Regel (Siehe Bild Lan Any) keine VPN Verbindungen von LAN nach draussen zu???

Herzlichen Dank für eure Tipps und Hilfe!

Nachtfalke

Hallo,

Grundsätzliches zu Firewall-Regeln:

• Firewallregeln werden bei pfsense immer von oben nach unten abgearbeitet. Sobald eine Regel zutrifft, wird diese angewendet und alle weiteren Regeln außer Acht gelassen

• Alle Firewallregeln außer "Floating Rules" wirken immer und ausschließlich auf das jeweilige Interface bzw. auf Traffic, der von diesem Interface initiiert wurde.

Um vom WLAN nicht ins LAN zu kommen musst du das unterbinden. Das heisst, über deiner vorhandenen Regel "Wireless to any rule" erstellst du eine Regeln, die Verkehr in das LAB verhindert.

Action: block
Protocol: any
Source-IP: WLAN subnet (oder "any")
source-port: any
Destination-IP: (LAN-Subnet)
destination-port: any

Es empfiehlt sich sicherlich auch noch auf dem WLAN interface eine weitere "block" Regel zu erstellen, welche den Zugriff auf das webGUI (80,443) blockiert als auch SSH (22). Konfigurieren wirst du die pfsense vermutlich über das LAN interface.

Thema VPN:
Wenn der VPN Client im LAN oder WLAN netz ist, dann sollte er problemlos ins Netz kommen.
Ich sehe aber, du hast einen PPTP VPN Server eingerichtet - hierzu gilt zu sagen, dass PPTP nicht mehr als sicher gilt und du solltest dir eine Alternative suchen wie IPsec oder OpenVPN. Weiterhin gilt dieser PPTP VPN vermutlich dem Zugriff aus dem WAN in dein Netz, richtig?

Zu PPTP hilft vielleicht folgender Link:
http://doc.pfsense.org/index.php/PPTP_VPN

adlerauge1980

Hallo Nachtfalke

Herzlichen Dank für deine Infos! Konnte dank deiner Hilfe nun den Traffic vom WLAN ins LAN sperren und habe eine Regel vor der Block Regel gestellt, das der Netzwerkdrucker dennoch erreicht werden kann. Dies funktioniert! Herzlichen Dank für die Grundsätze und das Beispiel der Regel!
Du empfiehlst mir, eine weitere Regel zu erstellen um das WebGui zu blocken, wird dies nicht mit der von dir beschriebenen block Regel geblockt (oder ist dies eine andere Destination)? Gibt es die Möglichkeit diese drei Ports 80,443,22 zusammen in einer Regel zu Blocken? oder benötige ich immer eine seperate?

Betreffend deinen Anregungen und Infos zum Thema VPN;
ja der Client ist im Lan oder WLAN Netz, hatte aber früher nie wirklich funktioniert (also eine Ausgehende VPN Verbindung zu machen) habe dies aber nun nochmals versucht und es scheint zu klapen.

Deine Vermutung ist richtig, ich benutze den PPTP für den Zugriff vom Internet aufs LAN Netz. Welche Variante empfiehlst du, IPsec oder OpenVPN? Ich benötige die VPN von folgenden Geräten aus: MacBook, Windows 7, Ipad

Gibt es die Möglichkeit, dass ich, wenn ich mit meinem MacBook ausnamsweise mich wia WLAN verbinde, trotzdem auf mein NAS verbinden kann? Also am genialsten währe, wenn ich gewissen Geräten (MAC ID?) vom WLAN auf das LAN alles "Durchlassen" könnte, ohne eine VPN aufzubauen oder so. Wenn dies nicht funktioniert ist es auch nicht sooo schlim, währe einfach ein non plus ultra…. ;)

Nachtfalke

Hallo,

freut mich das die einfache WLAN/LAN Regel funktioniert wie du es dir wünscht.

Zugang auf das WebGUI der pfsense besteht von allen Interfaces aus (außer dem WAN). Das heisst, du kannst auf die pfsense über die LAN schnittstelle zugreifen aber auch über die WLAN schnittstelle. Die Regeln, die den Zugriff vom WLAN aufs LAN block sorgt nur dafür, dass niemand auf die pfsense über die LAN IP zugreifen kann. Über die WLAN IP geht es aber dennoch. Kannst du ja testen.

Um die diversen Ports zusammen zu fassen empfiehlt sich ein "Alias". Du erstellst einen Port-Alias und fügst die Ports ein und gibst diesem Alias noch einen beliebigen Namen - bsp. "Ports_webGUI".

In der Firewall Regel wählst du dann als destination IP die IP der WLAN Schnittstelle an und als destination Port eben deinen Alias. Fertig.

VPN:
Ob du OpenVPN oder IPsec nimmst, ist von der Sicherheit egal. Ich persönlich mag OpenVPN lieber. Es bietet auch gewisse Vorteile was die Portwahl angeht. Man kann OpenVPn sehr einfach über gängige Ports wie 443 leiten. So kann man auch in diversen Hotels, im Ausland etc. manchmal noch eine Firewall "umgehen" ohne geblockt zu werden. Denn der Port 443 ist meistens offen, die Leuten wollen ja im Web auf HTTPS Seiten surfen.

Auch deine Geräte sollten alle mit IPsec zurecht kommen. Für OpenVPN gibt es aber in der pfsense ein Paket - "OpenVPN Client Export utility". Dieses erstellt dir mit wenigen Klicks eine Konfigurationsdatei, mit Zertifikaten etc. welches du einfach in Windows importieren kannst. Genauso beim iPad, oder Mac, oder Android.

MacBook auf NAS:
Klar geht das - du könntest in diesem Fall im DHCP die MAC Adresse deiner WLAN Karte im MacBook eintragen und dieser eine feste IP zuweisen. Dann erstellst du eine Firewallregel für eben diese IP als "Source IP" im WLAN und als Destination IP dein NAS.

Theoretisch kann natürlich jemand anderes im WLAN sich diese IP statisch zuweisen und hätte dan auch Zugriff, aber das ist vermutlich eher unwahrscheinlich zumal dein WLAN sicherlich auch noch verschlüsselt sein wird. Vermutlich soll es nur dafür sorgen, dass Besucher bei dir im Haus zwar Internet haben, aber sonst keinen "Unfug" treiben können.

adlerauge1980

Hallo Nachtfalke

Herzlichen Dank auch für diese Tipps!
Habe ich getestet, betreffend dem WebGui via WLAN, und wie du richtig lagst, nun wollte ich die Ports seite WLAN, gemäss deiner Beschreibung mit den Alias Sperren, leider kann ich die Alias bei den Ports nicht auswählen ich habe folgende Alias erstellt;
Name: Ports_webGui
Description: Sperrt den Zugang zum webGui
Type: Port(s)
Port(s) 80
          433
          22

Wenn ich nun eine neue Regel erstelle, finde ich den Alias Port "Ports_webGui" nicht. Ich habe Ihn unter Destination port range gesucht. Hab ich da was falsch verstanden?

Ps. Bei Destination muss ich doch WAN Adress anwählen, oder?

VPN:
Ich habe diesbezüglich auch noch ein bisschen gesucht und ich glaube (wer glaubt wird selig), dass für mich die Variante IPsec sinvoller ist. Dies aus dem Grund, weil ich auf meinem Büro PC bereits mit dem Cisco VPN Client Arbeite (brauche diesen für Fernwartungen von Kundensystemen) und ich hoffe das ich für die IPsec Verbindung nach Hause ebenfalls dieses Tool nutzen könnte. Ich habe schon gehört, das verschiedene VPN-Tools installiert sind, diese sich gegenseitig beissen können. Und das Port 443 habe ich für meinen Server schon im einsatz :)

Bin momentan auf der Suche nach einem deutschen Turotorial für Pfsense/IPsec, scheint jedoch nicht ganz einfach zu sein…. Schade gibts das Pakte für IPsec nicht.

MacBook auf NAS:
Nun ich Arbeite mit Captive Portal auf dem WLAN, deshalb wäre mir eine variante mit MAC identifizerung oder so lieber. Bei Captive Portal kann ich ja die Mac Adresse für ein Dauerzugang eintragen, jedoch kann ich diese dann nicht spetziell "Ruten" oder ich habs einfach noch nicht herausgefunden. Momentan lese ich mich ins Thema VLAN ein, bin aber nocht sicher ob ich dies damit realisieren kann, oder auf dem Holzweg bin. Grundsätzlich wäre es toll, wenn sich mein Mac im WLAN gleich verhält wie im LAN, also auf alles im LAN zugriff hätte.. das selbe gilt für die VPN

Lieber Gruss und danke für deine wertfollen Tipps!

Nachtfalke

@adlerauge1980:

Hallo Nachtfalke

Herzlichen Dank auch für diese Tipps!
Habe ich getestet, betreffend dem WebGui via WLAN, und wie du richtig lagst, nun wollte ich die Ports seite WLAN, gemäss deiner Beschreibung mit den Alias Sperren, leider kann ich die Alias bei den Ports nicht auswählen ich habe folgende Alias erstellt;
Name: Ports_webGui
Description: Sperrt den Zugang zum webGui
Type: Port(s)
Port(s) 80
          433
          22

Wenn ich nun eine neue Regel erstelle, finde ich den Alias Port "Ports_webGui" nicht. Ich habe Ihn unter Destination port range gesucht. Hab ich da was falsch verstanden?

Ps. Bei Destination muss ich doch WAN Adress anwählen, oder?

Den Alias hast du korrekt erstellt. Als Destination musst du wLan einstellen, nicht WAN. Also WLAN-Address. Als Destination Port musst du "Alias" auswählen, dann wird das Port Feld "rot" und dort gibst du einfach den Namen deines Alias ein, also "Ports_webGui". Die Autovervollständigung sollte dann greifen. Grundsätzlich können in alle rot hinterlegten Felder auch Aliase eingefügt werden.

@adlerauge1980:

VPN:
Ich habe diesbezüglich auch noch ein bisschen gesucht und ich glaube (wer glaubt wird selig), dass für mich die Variante IPsec sinvoller ist. Dies aus dem Grund, weil ich auf meinem Büro PC bereits mit dem Cisco VPN Client Arbeite (brauche diesen für Fernwartungen von Kundensystemen) und ich hoffe das ich für die IPsec Verbindung nach Hause ebenfalls dieses Tool nutzen könnte. Ich habe schon gehört, das verschiedene VPN-Tools installiert sind, diese sich gegenseitig beissen können. Und das Port 443 habe ich für meinen Server schon im einsatz :)

Bin momentan auf der Suche nach einem deutschen Turotorial für Pfsense/IPsec, scheint jedoch nicht ganz einfach zu sein…. Schade gibts das Pakte für IPsec nicht.

Das Paket gibt es nicht für IPsec. Ob sich verschiedene VPN Programme beissen, kann ich nicht genau sagen. Ich würde aber vermuten, dass man beide problemlos getrennt voneinander verwenden kann. Hat man natürlich beide aktiviert und Lösung A möchte allen verkehr von A nach B tunneln, Lösung B aber alles von A nach C tunneln, dann kann das natürlich nicht klappen. Hier ist aber vermutlich auch weniger die VPN Lösung das Problem sondern Routinggrundlagen.

@adlerauge1980:

MacBook auf NAS:
Nun ich Arbeite mit Captive Portal auf dem WLAN, deshalb wäre mir eine variante mit MAC identifizerung oder so lieber. Bei Captive Portal kann ich ja die Mac Adresse für ein Dauerzugang eintragen, jedoch kann ich diese dann nicht spetziell "Ruten" oder ich habs einfach noch nicht herausgefunden. Momentan lese ich mich ins Thema VLAN ein, bin aber nocht sicher ob ich dies damit realisieren kann, oder auf dem Holzweg bin. Grundsätzlich wäre es toll, wenn sich mein Mac im WLAN gleich verhält wie im LAN, also auf alles im LAN zugriff hätte.. das selbe gilt für die VPN

Das CP und meine Vorgeschlagene Lösung funktionieren doch prima miteinander.
Mittels DHCP dafür sorgen, dass das MacBook immer die gleiche IP bekommt. Auf Basis diese IP die Firewall entsprechend einstellen für den Zugriff auf das NAS.
Den MAC-Passthrough am CP kannst du doch weiterhin nutzen.

Man muss eben wissen - CP entscheidet auf Grund von MAC Adressen, wer Zugriff hat und wer nicht, wer sich authentifizieren muss und wer nicht. MAC Adressen kann man aber nicht routen, das heisst die Firewall kann mit MAC Adressen nichts anfangen. Deswegen nutzen wir den DHCP, der mit Hilfe der MAC Adresse immer die gleiche IP zuweist. Somit haben wir eine Verbindung zwischen MAC und IP geschaffen und können mittels MAC am CP authentifizieren und mittels der dazugehörigen IP an der Firewall Regeln festlegen.

@adlerauge1980:

Lieber Gruss und danke für deine wertfollen Tipps!

Gerne!

adlerauge1980

Hallo Nachtfalke

Habe den eintrag "Alias" nicht gefunden, habe aber herausgefunden das der Eintrag vermutlich "Other" heissen sollte, dort hats geklapt mit dem eintragen des Alias und wenn man dann auch noch den richtigen Port (hab für den zugriff den Standard Port 80 ersetzt) dann funktioniert diese Block Regel sogar… ;)

MacBook auf Nas:
Logisch, habe deine erläuterung nun verstanden und sind nun durchaus plausibel! Danke für deine Aufklährung! Beim durchlesen ist es mir wieder in den sinn gekommen, im privaten LAN wird ja die IP immer in die MAC aufgelöst.... Und das ganze funktioniert natürlich mit deiner Idee auch Prima! Habe es soeben getestet, und das funktioniert besser wie ich mir es erträumt habe.... :) Danke!

VPN:
Nun wir hatten dieses Problem schon im Büro, und mussten deshalb mit Virtuellen PC's arbeiten. Also das Problem war, dass sich zwei VPN Tools gegenseitig gestört hatten, obwohl nur jeweils eines am laufen war. Ich versuche mich deshalb gerade IPsec zum laufen zu bekommen, aber momentan scheitere ich noch kläglich... :(

Drucker:
Was mir jedoch noch nicht klar ist, wiso dass ich nicht Drucken kann, erreichen per Webbrowser und per Ping kann ich ihn. Hatte dieses Problem aber früher auch und konnte nie aus dem WLAN Drucken. Auch nicht mit der Regel welche ich im ersten Beitrag gepostet habe (WLAN Any) mit dieser Regel wird doch alles "durchgelassen"?

Nachtfalke

Hallo,

Thema Drucker:
TCP Port 9100 bei einem normalen Netzwerkdrucker.

Bei Drucker die über Druckerfreigabe freigegeben werden sind es andere Ports. Diese habe ich im Netz gefunden:

TCP 139 oder 445
UDP 137 oder 138

Ich hatte es auch schon gehabt, dass ich den SNMP Port freigeben musste:
161/UDP
162/UDP

Grundsätzlich funktioniert das aber bei mir.

Grüße

pvoigt

Bei meinem Netzwerkdrucker habe ich

• Port 9100 TCP und
• Port 515 TCP/UDP (http://de.wikipedia.org/wiki/Berkeley_Printing_System)

freigegeben. Das habe ich vor geraumer Zeit eingestellt, als ich mich mit meinen egres-Regeln beschäftigt habe. Ich bin mir aber nicht mehr sicher, ob ich wirklich beide Ports brauche. Da ich auch unter Linux arbeite, vermute ich, dass 515 unter Linux verwendet wird. Ich werde mal die Regeln "loggen" lassen :)

Peter

adlerauge1980

Hallo Zusammen

Herzlichen Dank wiederum für eure Tipps!

Betreffend VPN, jupee IPsec läuft ;) nur das Thema mit den Zertifikaten (einrichten) hab ich noch nicht im griff.

Bedreffend Druckerproblem;
Mit der im Anhang erstellten Regel, müsste doch alles durchgelassen werden?? ich kann den Drucker auf jedenfall anpingen, und auch per Webgui draufzu greifen. Nur will er par tout keine gedruckte Seite ausspucken.
fieleicht hellfen folgende Infos weiter: Drucker; Brother MFC-9970CDW per Netzwerk (via 0815 Switch, nicht konfigurierbar) am LAN Port der PFsense (Alix Bord) angeschlossen. "PC": MacBook Pro, OS X (V.10.8.4) am WLAN der PFsense (Integrierte Alix-Bord-WLAN Karte) angeschlossen.

Im Anhang Rules findet ihr die aktuelle Config von den WLAN Regeln aus welcher ich auf den Drucker zugreiffen möchte.
Ich hatte auch den Versuch gestartet, nur eine Regel hinzuzfügen, welche alle Verbindungen aus dem WLAN heraus erlaubt, damit hatte ich leider auch keinen erfolg (Siehe Anhang; WLAN Any)

Ps. Mit der so eingerichteten Regel (Anhang WLAN Any) wird doch sämtlicher Verkehr zwischen WLAN und meinem LAN respektive WAN zugelassen (habe dies mal so zum testen konfiguriert)


pvoigt

@adlerauge1980:

Hallo Zusammen

Herzlichen Dank wiederum für eure Tipps!

Betreffend VPN, jupee IPsec läuft ;) nur das Thema mit den Zertifikaten (einrichten) hab ich noch nicht im griff.

Bedreffend Druckerproblem;
Mit der im Anhang erstellten Regel, müsste doch alles durchgelassen werden?? ich kann den Drucker auf jedenfall anpingen, und auch per Webgui draufzu greifen. Nur will er par tout keine gedruckte Seite ausspucken.
fieleicht hellfen folgende Infos weiter: Drucker; Brother MFC-9970CDW per Netzwerk (via 0815 Switch, nicht konfigurierbar) am LAN Port der PFsense (Alix Bord) angeschlossen. "PC": MacBook Pro, OS X (V.10.8.4) am WLAN der PFsense (Integrierte Alix-Bord-WLAN Karte) angeschlossen.

Im Anhang Rules findet ihr die aktuelle Config von den WLAN Regeln aus welcher ich auf den Drucker zugreiffen möchte.
Ich hatte auch den Versuch gestartet, nur eine Regel hinzuzfügen, welche alle Verbindungen aus dem WLAN heraus erlaubt, damit hatte ich leider auch keinen erfolg (Siehe Anhang; WLAN Any)

Ps. Mit der so eingerichteten Regel (Anhang WLAN Any) wird doch sämtlicher Verkehr zwischen WLAN und meinem LAN respektive WAN zugelassen (habe dies mal so zum testen konfiguriert)

Die vorletzte Regel (erste Hardcopy) verhindert jeden Verkehr vom WLAN ins LAN, d.h. die letzte Regel, die das eigentlich erlauben soll (falls ich dein Anliegen richtig verstehe), wird nicht mehr ausgewertet. pfSense arbeitet die Regeln von oben nach unten ab. Sobald eine Regel zutrifft, werden folgende nicht mehr ausgewertet.

Die "Default Wireless to any rule" (zweite Hardcopy) erlaubt u.a. sämtlichen Verkehr vom WLAN ins LAN. Keine Ahnung, warum das bei dir nicht funktioniert.

Peter

Nachtfalke

@pvoight

Du bist glaube ich beim Lesen durcheinander gekommen. Die beiden Screenshots sind zwei verschiedene Lösungsversuchen zj verschiedenen Ansätzen. Im zweiten Versuch sollte einfach alles ausgehend von Wireless erlaubt werden.

Im ersten Screenshot ist ebenfalls alles korrekt. Es soll verhindert werden, dass Traffic vom WLAN zum LAN initiiert werden kann. (Block-Regel)
Die letzte Regel erlaubt sämtlichen Verkehr von WLAN to "any" - wobei die Regel darüber verhindert, dass "any" auch ins LAN geht.

Oder anders ausgedrückt. Die Summe aus beiden Regeln erlaubt sämtlichen Verkehr ausgehend außer ins LAN.
Man könnte diese beiden Regeln natürlich auch vereinfachen und zusammenführen und folgende Regel erstellen:

Action: Allow
Source-IP: Wireless subnet
Source-Port: any
Destination-IP: NOT LAN-Subnet  (!LAN-Subnet)
Destination-Port: any

Ich persönlich finde Negierungen immer etwas schwierig auf die Schnelle zu überblicken.

pvoigt

@Nachtfalke:

@pvoight

Du bist glaube ich beim Lesen durcheinander gekommen. Die beiden Screenshots sind zwei verschiedene Lösungsversuchen zj verschiedenen Ansätzen. Im zweiten Versuch sollte einfach alles ausgehend von Wireless erlaubt werden.

Wäre nicht das erste Mal, dass ich etwas durcheinander bringe :). Zumindest den zweiten Versuch, glaube ich auch so verstanden zu haben: adlerauge1980 möchte aus dem WLAN auf einem Drucker im LAN drucken, doch das funktioniert trotz der an sich korrekten Regel nicht.

@Nachtfalke:

@pvoight
Im ersten Screenshot ist ebenfalls alles korrekt. Es soll verhindert werden, dass Traffic vom WLAN zum LAN initiiert werden kann. (Block-Regel)
Die letzte Regel erlaubt sämtlichen Verkehr von WLAN to "any" - wobei die Regel darüber verhindert, dass "any" auch ins LAN geht.

Oder anders ausgedrückt. Die Summe aus beiden Regeln erlaubt sämtlichen Verkehr ausgehend außer ins LAN.
Man könnte diese beiden Regeln natürlich auch vereinfachen und zusammenführen und folgende Regel erstellen:

Action: Allow
Source-IP: Wireless subnet
Source-Port: any
Destination-IP: NOT LAN-Subnet   (!LAN-Subnet)
Destination-Port: any

Ich persönlich finde Negierungen immer etwas schwierig auf die Schnelle zu überblicken.

Hmm, dachte, es ginge adlerauge1980 immer noch darum, dass er aus dem WLAN nicht auf dem LAN-Drucker drucken kann. Wenn der Netzwerkverkehr aus dem WLAN allerdings nicht ins LAN soll, sind seine Regeln natürlich OK. Ich muss zugeben, dass ich auch nach nochmaligem Lesen nicht sicher bin, was adlerauge1980 wirklich möchte.

Zu den Negierungen habe ich prinzipiell dieselbe Meinung wie du, verwende sie beim meinen Firewall-Regeln allerdings auch, da man damit das Regelwerk kürzer halten kann.

So hoffe ich, dass du adlerauge1980 wenigstens richtig verstanden hast. Ich danke dir in jedem Fall für deinen Kommentar, denn ich möchte adlerauge1980 natürlich nicht mit meinen Tipps unnötig verwirren :)

Peter

adlerauge1980

Hallo pvoigt
Hallo nachtfalke

Herzlichen Dank für eure Bemühungen mir bei meinem Problem zu helfen!

Nun, sorry dass ich mich unklar ausgedruckt habe. Nachtfalke hat meine ungenaue Beschreibung richtig intepretiert. Danke für die Erläuterungen.

Nach dem ich beim ersten Versuch gescheitert bin, habe ich gedacht, wenn ich zum Test den zweiten Versuch mache, dürfte ja nichts mehr blockieren…..

Nun ich versuche das ganze hier nochmals zu erläutern:

1. Aus dem LAN darf man alles nach WAN (Internet, Abgehende VPN, Mail ect.)
2. Aus dem WLAN darf man alles nach WAN (Internet, Abgehende VPN, Mail ect.)
3. Aus dem WLAN darf man neben Punkt 2. auch auf den Drucker im LAN zugreifen (Fixe IP) der Rest des LAN's ist jedoch aus dem WLAN geblockt.

All dies Funktioniert auch einwandfrei! Auser die geschichte mit dem Drucken aus dem WLAN, obwohl ich den Drucker anpingen und auch das WebGui starten kann, druckt mein Drucker nicht :(

Im LAN verwende ich den IP Range 192.168.10.xx für das WLAN den Range 192.168.9.xx

Ps. die Vereinfachung der Regel werde ich am Wochenende machen, danke für den Tipp!

Liebe Grüsse

Adlerauge

MaxHeadroom

Hi

eine ganz dumme Frage;
hat der Drucker ein Setup wo du eine Range eingeben kannst welche IP's drucken dürfen.
Hab mal so etwas gesehen um zu verhindern, dass aus dem Internet jemand auf deinen Drucker druckt.
Oder aber der Druckertreiber ist schei*e und versucht über die MAC den Drucker zu identifizieren was aber nicht geht durch die anderen Subnetze.
Da ich leider nix am hut habe mit OSX kann ich dir nur raten zu schauen ob es die möglichkeit gibt mit IP & Port einen Druckerport anzulegen und es so zu versuchen. Also ohne die Software des Druckerherstellers.

mfg max

JeGr

Ohne etwas mehr über den Drucker zu wissen, ist es schwer etwas zu sagen, sofern der Drucker bei den Clients im WLAN Netz aber als "Netzwerkdrucker" über seine IP eingerichtet wurde (und nicht über Name, Netbios, Bonjour oder sonstiges) sollte es auch mit dem Drucken klappen. Vielleicht kann des Adlers Auge hier noch weitere Infos bringen.

Grüße
Jens

mrsunfire

Ich denke es ist kein klassischer Netzwerkdrucker, sondern evtl. ein Lokaler Drucker mit WLAN, richtig? Dann ist es wichtig dem DHCP den Hostnamen des Druckers mitzuteilen der ihn mit einer reservierten IP versorgt. Mittels DNS Forwarding sollte dieser dann von anderen PC's aus dem WLAN auch über den Hostnamen pingbar sein. Dann müsste auch das Drucken klappen.

JeGr

@mrsunfire: Da würde ich nur bedingt zustimmen. Wenns ein Kombidrucker mit LAN/WLAN ist, wäre es möglich:

1. Den Drucker per LAN ins LAN und WiFi ins WLAN in die entsprechenden Netze einfach einzubinden (2 "Beine" in 2 Netzen, dann muss gar nichts geroutet werden, allerdings hat dann potentiell jeder WiFi Teilnehmer Zugriff auf den Drucker
2. Den Drucker per LAN und (semi-) statischer IP (!) ins LAN hängen, sehen, ob die pfSense den Namen des Druckers über den DNS Forwarder auflöst. (Semi-) Static IP, weil sich sonst ständig die IP zum Drucken ändert -> ungeschickt. Mit semi-statisch meine ich, dass man das "schön" auch über eine MAC Adressreservierung lösen kann, sofern die pfSense (auch) im LAN DHCP Server spielt. Dann bekommt der Drucker immer die korrekte IP, die Sense kennt ihn eh (da sie ihm die IP verpasst hat) und sollte den Namen ergo ordentlich auflösen können. Damit sollte es dann auch kein IP/Namensproblem geben.

Grüßend
Jens

adlerauge1980

Hallo Forumgemeinde

Zuerst einmal ein herzliches Danke für eure mithilfe und Ideen!

folgendes Infos könnten noch von interesse sein:
Drucker Brother MFC-9970CDW mit fixer IP
Vermutlich drucke ich jedoch über Bonjour. Ich versuche am Wochenende den Drucker neu einzurichten direkt als "IP-Drucker"

Schade ist jedoch, das das brother iphone und Ipad App "iPrint&Scan" vermutlich nur über Bonjour oder so funktioniert…..

@joger, der Drucker könnte ich per Wlan parallel in mein Wlan Netz hängen. Dies währe möglich, mache ich da jedoch nicht eine Sicherheitslücke auf? LAN - Drucker - Wlan ? also kann der Drucker nicht misbraucht werden um die Firewall von Wlan nach Lan zu umgehen?

Liebe Grüsse

JeGr

Wenn der Drucker eine statische IP hat, sollte es auch funktionieren. Dann müsste ggf. nur der Name des Druckers bekannt gemacht werden. Aber es könnte schon sein, dass das Problem hier mDNS oder DNS ist weil irgendein Dienst versucht, den Drucker per Namen oder ID zu rufen, statt über IP.