acute2k
Goto Top

PfSense IPSec - Drucken funktioniert nicht

Hallo Zusammen,

ich verzweifele komplett und hoffe ihr könnt mir helfen, anbei mal die Daten:

Lokales Netzwerk: 192.168.229.x/24
Drucker: 192.168.229.100

IPSec Verbindung
Server Netzwerk: 192.168.1.x/24
Server: 192.168.1.12 <- von dem möchte ich drucken, Drucker ist über Systemsteuerung installiert.
1af3f8a34040762616214d342a90b3e7

Problem:
Starte ich einen Druckjob, kommt der Druckjob in die Druckerwarteschlange und verschwindet dann, es kommt jedoch nichts oder manchmal nur teilweise etwas beim Drucker an, wenn teilweise, dann kommt irgendwann mal ne Fehlermeldung vom Drucker: "InputReadError".

In der FW kann ich sehen dass die Verbindung vom Drucker zum Server blockiert wird, ich kapiere aber nicht warum, da die Regeln ja eigentlich eine Blockierung ausschließen sollten.

Hier die FW Regeln:
d30451b82fa7d1791d402b42d28a90a5
245800e0d9724af25cc836eb09a9e1d7
a181266708f9b2ab038f678ec0c35e1d

Hier der Fehlerlog:
2fd916c98dbe71d4b2b9139fc70cad34

Tausend Dank für eure Hilfe!

Content-Key: 244163

Url: https://administrator.de/contentid/244163

Ausgedruckt am: 29.03.2024 um 02:03 Uhr

Mitglied: colinardo
Lösung colinardo 20.07.2014 aktualisiert um 21:08:27 Uhr
Goto Top
Hallo,
also die letzte Regel auf dem WAN Interface ist schon mal überflüssig. Welcher Bereich ist LAN Net auf dem LAN Interface ? Füge hier auch erst mal eine Any to Any Regel ein die erst mal alles erlaubt, hinterher kannst du diese dann auf das fremde Subnetz einschränken.

Was mich an dem Firewall-Log irritiert ist die IP 192.168.1.11. Du sagst du würdest mit der .12 auf den Drucker drucken ??

Prüfe mal ob auf einem deiner Interfaces die Option "Block private (bogon) networks" aktiviert ist und deaktiviere diese mal.

Grüße Uwe
Mitglied: aCute2k
aCute2k 20.07.2014 aktualisiert um 21:34:56 Uhr
Goto Top
Hallo Uwe, vielen Dank schon mal für die Antwort.

Überall ist die Option "Block Private(bogon) networks" deaktiviert.

Das mit der IP hab ich auch nicht gecheckt, der Drucker ist ja direkt über die Systemsteuerung als Netzwerkdrucker auf dem 1.12 installiert.

Eine Any to Any Regel hab ich hinterlegt, hilft aber leider nichts face-sad
Mitglied: orcape
orcape 20.07.2014 um 22:03:28 Uhr
Goto Top
Hi,
hast Du mal versucht auf dem WAN die Ports 59858+59857 noch frei zu geben ?
Gruß orcape
Mitglied: aCute2k
aCute2k 21.07.2014 um 09:58:13 Uhr
Goto Top
Hallo orcape,

das macht keinen Sinn weil sich die Ports ändern, heute sind es 65er Ports. face-sad
Mitglied: orcape
orcape 23.07.2014 um 18:02:29 Uhr
Goto Top
das macht keinen Sinn weil sich die Ports ändern, heute sind es 65er Ports.
...zumindest zum testen kannst Du hier mal einen ganzen Portbereich angeben.
Gruß orcape
Mitglied: aqui
aqui 27.07.2014 um 17:10:38 Uhr
Goto Top
Der Kardinalsfehler ist Port TCP 9100 auf dem WAN Port freizugeben ! Auf dem WAN Port hat dieser Traffic nichts zu suchen und kommt dort auch niemals an, denn der Druckertraffic (vermutlich soll das ja TCP 9100 sein ?!) landet niemals nativ auf dem WAN Port, was ja dann bedeuten würde das der Druckertraffic NICHT verschlüsselt über den VPN Tunnel gehen würde sondern direkt und unverschlüsselt im Internet übertragen wird.
Genau das will der TO ja vermutlich nicht ?! Wozu also dann TCP 9100 am WAN Port ??
Wenn, dann kommt diese Traffic ja rein am VPN Interface an (IPsec) hier hat der TO aber eine "Schrottschussregel" eingerichtet indem er generell alles zu jedem erlaubt.
Nicht sehr sinnvoll, denn hier sollte man zwar Ports mit any einrichten aber den jeweiligen Source und Destination Traffic immer auf die jeweiligen lokalen LAN IP Netze in Source und Destination begrenzen !
So wird ein Schuh draus und dann kommt das auch problemlos zum Fliegen.
Details dazu auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software