Regel für Wlan nach Wan

MaxHeadroom

Hi

eine ganz dumme Frage;
hat der Drucker ein Setup wo du eine Range eingeben kannst welche IP's drucken dürfen.
Hab mal so etwas gesehen um zu verhindern, dass aus dem Internet jemand auf deinen Drucker druckt.
Oder aber der Druckertreiber ist schei*e und versucht über die MAC den Drucker zu identifizieren was aber nicht geht durch die anderen Subnetze.
Da ich leider nix am hut habe mit OSX kann ich dir nur raten zu schauen ob es die möglichkeit gibt mit IP & Port einen Druckerport anzulegen und es so zu versuchen. Also ohne die Software des Druckerherstellers.

mfg max

JeGr

Ohne etwas mehr über den Drucker zu wissen, ist es schwer etwas zu sagen, sofern der Drucker bei den Clients im WLAN Netz aber als "Netzwerkdrucker" über seine IP eingerichtet wurde (und nicht über Name, Netbios, Bonjour oder sonstiges) sollte es auch mit dem Drucken klappen. Vielleicht kann des Adlers Auge hier noch weitere Infos bringen.

Grüße
Jens

mrsunfire

Ich denke es ist kein klassischer Netzwerkdrucker, sondern evtl. ein Lokaler Drucker mit WLAN, richtig? Dann ist es wichtig dem DHCP den Hostnamen des Druckers mitzuteilen der ihn mit einer reservierten IP versorgt. Mittels DNS Forwarding sollte dieser dann von anderen PC's aus dem WLAN auch über den Hostnamen pingbar sein. Dann müsste auch das Drucken klappen.

JeGr

@mrsunfire: Da würde ich nur bedingt zustimmen. Wenns ein Kombidrucker mit LAN/WLAN ist, wäre es möglich:

1. Den Drucker per LAN ins LAN und WiFi ins WLAN in die entsprechenden Netze einfach einzubinden (2 "Beine" in 2 Netzen, dann muss gar nichts geroutet werden, allerdings hat dann potentiell jeder WiFi Teilnehmer Zugriff auf den Drucker
2. Den Drucker per LAN und (semi-) statischer IP (!) ins LAN hängen, sehen, ob die pfSense den Namen des Druckers über den DNS Forwarder auflöst. (Semi-) Static IP, weil sich sonst ständig die IP zum Drucken ändert -> ungeschickt. Mit semi-statisch meine ich, dass man das "schön" auch über eine MAC Adressreservierung lösen kann, sofern die pfSense (auch) im LAN DHCP Server spielt. Dann bekommt der Drucker immer die korrekte IP, die Sense kennt ihn eh (da sie ihm die IP verpasst hat) und sollte den Namen ergo ordentlich auflösen können. Damit sollte es dann auch kein IP/Namensproblem geben.

Grüßend
Jens

adlerauge1980

Hallo Forumgemeinde

Zuerst einmal ein herzliches Danke für eure mithilfe und Ideen!

folgendes Infos könnten noch von interesse sein:
Drucker Brother MFC-9970CDW mit fixer IP
Vermutlich drucke ich jedoch über Bonjour. Ich versuche am Wochenende den Drucker neu einzurichten direkt als "IP-Drucker"

Schade ist jedoch, das das brother iphone und Ipad App "iPrint&Scan" vermutlich nur über Bonjour oder so funktioniert…..

@joger, der Drucker könnte ich per Wlan parallel in mein Wlan Netz hängen. Dies währe möglich, mache ich da jedoch nicht eine Sicherheitslücke auf? LAN - Drucker - Wlan ? also kann der Drucker nicht misbraucht werden um die Firewall von Wlan nach Lan zu umgehen?

Liebe Grüsse

JeGr

Wenn der Drucker eine statische IP hat, sollte es auch funktionieren. Dann müsste ggf. nur der Name des Druckers bekannt gemacht werden. Aber es könnte schon sein, dass das Problem hier mDNS oder DNS ist weil irgendein Dienst versucht, den Drucker per Namen oder ID zu rufen, statt über IP.

adlerauge1980

Hallo Jager

Ich hatte da ne schlaue idee…. ::) (hätte ich ja auch schon früher drauf kommen können....
Ich habe mir ein Windows PC organisiert und dies mit diesem getestet. Und siehe da ich kann drucken. für mein Mac book bekähme ich das nun sicherlich irgend wie hin, dass dieses den Drucker via IP ansteuert. Leider kann ich das beim IPhone nicht einstellen, dies funktioniert vermutlich nur über Bonjour. An hand meinen Recherchen im Netz habe ich herausgefunden das ich dafür den DNS Server einrichten muss.

Kann mir jemand dazu einige Tipps geben? Leider habe ich keine deutsche Anleitung zum einrichten dieses Dienstes gefunden. Bin jedoch darüber gestollpert, dass es einige User gibt, welche mit Bonjour diesbezüglich Probleme haben. Falls sich jemand damit auskennt und lust hat eine Anleitung fü: "Pfsense und Bonjour" zu schrieben währe vermutlich nicht nur ich sehr häppy.....

Im voraus schon ein ganz herzlichen Dank für eure Mithilfe!
Liebe Grüssse

JeGr

Also wie gesagt, Bonjour/Avahi/Zeroconf ist eigentlich nur die Implementation von Multicast DNS.

Brother selbst schreibt aber auf der Service Seite, dass zur Nutzung mit der App sich Drucker und Endgerät unbedingt im selben Netz befinden sollen. Das wird - denke ich - der Einschränkung von mDNS geschuldet sein, denn Multicasts weiterzurouten ist keine so schöne (einfache) Sache. Noch dazu kommt, dass viele Autokonfigurationen (siehe Windows Homegroup etc.) inzwischen indirekt IPv6 nutzen für die Autokonfiguration, was nochmals zur Komplexität beiträgt.

Im Endeffekt wäre es wahrscheinlich einfacher wenn:

• Drucker im LAN angeschlossen, bekommt von DHCP Server eine MAC basierende, statische IP Adresse
• Clients im LAN können somit drucken
• WiFi AP mit entsprechender Sicherheitseinstellung für Clients die unbedingt Wireless drucken müssen, direkt ins LAN gebridged
• Gäste AP an eigenem Anschluß der Sense, die somit vom LAN isoliert sind.

Das entspricht dann auch einem typischen Enterprise-WiFi Aufbau, bei dem mehrere WiFi Zellen aufgespannt sind und freigeschaltete Mitarbeiter direkt mit dem WLAN Gerät ins LAN eingebunden sind, und andere die das nicht brauchen + Gäste isoliert sind.

Grüße

adlerauge1980

Hallo JeGr

Herzlichen Dank für deine Hilfe! Wenn ich dich richtig verstehe müsste ich, um deine Idee zu realisieren, ein weiterer Wifi AP zulegen? momentan nutze ich ein Alix Board mit integrierter W-Lan Karte. PFsense ist auf dem Alix Board drauf.

Ich habe eben das gleiche Problem, mit den VPN Clients, gibt es da auch eine Lösung, oder komm ich dann nicht um des Thema mDNS ect. herum?

JeGr

Mit den VPN Clients wirds noch nen Zacken schwerer, da diese auf jeden Fall geroutet und ggf. dem Drucker nichtmal bekannt sind. Allerdings - wenn es sich da nur um Laptops/PCs handelt, sollte denen das per IP verbunden relativ egal sein, sofern die Routen, Regeln und Namen passen. Aber bspw. ein per VPN eingewähltes iPhone wird per App garantiert nicht glücklich werden. Dafür sind diese Art Drucker/Geräte aber auch überhaupt nicht ausgelegt, weil das meistens nur Arbeitsgruppen-Geräte sind. Keine Full-Scale Printserver für Unternehmenseinsatz.

Evtl. kannst du mit der ALIX auch noch eine zweite SSID aufspannen und diese bridgen. Da ich aber strikt WiFi APs von Border-Gateway Geräten trenne, kann ich dir das nur bedingt sagen. Zumal pfSense nicht gerade die beste Plattform für WiFi ist (durch eingeschränkte Treiberverfügbarkeit). An der Stelle fand ich es dann durchaus einfacher, vorhandene Geräte bzw. ein zusätzliches mit einzubringen.

Bspw. hat privat meine KabelBW Fritz!Box eh nur single-Band WiFi. Macht aber nichts, deshalb macht sie im 2,4GHz Band eben Gäste-AP. Die kommen dann ins Internet und gut. Eine andere alte Fritzbox macht dafür dann im LAN selbst hinter der pfSense den "echten" WiFi AP im 2,4 und 5GHz Band, der ist dann auch stark verschlüsselt und nur für interne Geräte.

Bei meinem letzten WiFi Projekt waren es bspw. APs von HP, die dann auch multiple VLANs und multiple SSIDs pro Kanal aufspannen können. Damit ist das dann sehr einfach zu realisieren, gleich auch noch mit Anbindung an ein internes AD und Auth per Radius ;) Das dürfte an dieser Stelle aber etwas Overkill sein.