7
Netzwerkproblem mit AirPrint
Hallo,
leider habe ich zu diesem Thema mit der Suche nichts gefunden, dass mir weiterhelfen konnte. Ich weiß aber leider auch nicht wirklich nach was ich suchen muss.
das Netzwerk:
ein AirPrint-fähiger Drucker hat die statische IP 10.14.7.33!
mein Problem:
Das iPad hat Zugriff auf das WEB-Interface des Druckers von beiden Sub-Netzwerken.
Es findet jedoch den AirPrint-Drucker nur vom gleichen Netzwerk aus (10.14.7.0).
Kann ich die IP des Druckers weiterleiten ins 172.18.9.0 Netz und ihm dort eine weitere vergeben?
Mit welchen Einstellungen in der Pfsense kann man das lösen?
Grüße,
reitzi
leider habe ich zu diesem Thema mit der Suche nichts gefunden, dass mir weiterhelfen konnte. Ich weiß aber leider auch nicht wirklich nach was ich suchen muss.
das Netzwerk:
ein AirPrint-fähiger Drucker hat die statische IP 10.14.7.33!
mein Problem:
Das iPad hat Zugriff auf das WEB-Interface des Druckers von beiden Sub-Netzwerken.
Es findet jedoch den AirPrint-Drucker nur vom gleichen Netzwerk aus (10.14.7.0).
Kann ich die IP des Druckers weiterleiten ins 172.18.9.0 Netz und ihm dort eine weitere vergeben?
Mit welchen Einstellungen in der Pfsense kann man das lösen?
Grüße,
reitzi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 196320
Url: https://administrator.de/contentid/196320
Printed on: April 16, 2024 at 07:04 o'clock
7 Comments
Latest comment
Hi,
Airprint benutzt Bonjour als Protokoll für das annoncieren der Drucker im Subnetz in dem sich der Drucker befindet. Bonjour in ein anderes Subnetz weiterzuleiten ist nicht trivial. Lese Dir mal folgenden Artikel durch: http://www.heise.de/netze/artikel/Bonjour-fuer-das-VPN-997853.html
Auch wenn es hier um Bonjour über VPNs geht erklärt der Artikel gut wie Bonjour funktioniert..
Das Bonjour-Protokoll von Apple basiert auf Multicast-DNS, einem nicht routbaren Layer-2-Protokoll. Das heißt, nur AirPrint- und AirPlay-Client-System im selben Subnetz können sich erkennen. Kommen weitere Netzsegmente in Spiel, muss ein Bonjour-Gateway eingesetzt werden. Ansonsten "sehen" sich nur Systeme, die sich im selben Segment befinden.
Hier gibt es z.B. ein kostenloses Bonjour-Gateway: http://info.aerohive.com/Free-Bonjour-Gateway-Info.html?source=website
Grüße Uwe
Airprint benutzt Bonjour als Protokoll für das annoncieren der Drucker im Subnetz in dem sich der Drucker befindet. Bonjour in ein anderes Subnetz weiterzuleiten ist nicht trivial. Lese Dir mal folgenden Artikel durch: http://www.heise.de/netze/artikel/Bonjour-fuer-das-VPN-997853.html
Auch wenn es hier um Bonjour über VPNs geht erklärt der Artikel gut wie Bonjour funktioniert..
Das Bonjour-Protokoll von Apple basiert auf Multicast-DNS, einem nicht routbaren Layer-2-Protokoll. Das heißt, nur AirPrint- und AirPlay-Client-System im selben Subnetz können sich erkennen. Kommen weitere Netzsegmente in Spiel, muss ein Bonjour-Gateway eingesetzt werden. Ansonsten "sehen" sich nur Systeme, die sich im selben Segment befinden.
Hier gibt es z.B. ein kostenloses Bonjour-Gateway: http://info.aerohive.com/Free-Bonjour-Gateway-Info.html?source=website
Grüße Uwe
Hallo reitzi,
In der Zeichnung ist eine mOnOwall eingezeichnet, aber Du fragst nach den Einstellungen in der
pfSense, ist das so richtig?
Gruß
Dobby
In der Zeichnung ist eine mOnOwall eingezeichnet, aber Du fragst nach den Einstellungen in der
pfSense, ist das so richtig?
Gruß
Dobby
.@Dobby
Das löst aber keineswegs das Bonjour Problem was er mit dem AirPrint Drucker hat wie Kollege Softmeister es richtig anspricht.
Bonjour basiert auf mDNS und hat eine Multicast IP Adresse mit einem TTL Counter von 1, ist also über geroutete Netzwerke nicht zu übertragen ohne Klimmzüge wie sie im Heise Artikel beschrieben sind.
Also auch wenn man es über die Ausnahmeregelung des Captive Portals im Gastnetz bekommt, kann man es nicht wirklich routen.
Die Lösung ist also in der Tat nicht trivial und es spielt keinerlei Rolle ob MW oder PfSense oder welcher Router auch immer dazwischen hängt. Es sind die Fesseln von Bonjour bzw. mDNS.
Das löst aber keineswegs das Bonjour Problem was er mit dem AirPrint Drucker hat wie Kollege Softmeister es richtig anspricht.
Bonjour basiert auf mDNS und hat eine Multicast IP Adresse mit einem TTL Counter von 1, ist also über geroutete Netzwerke nicht zu übertragen ohne Klimmzüge wie sie im Heise Artikel beschrieben sind.
Also auch wenn man es über die Ausnahmeregelung des Captive Portals im Gastnetz bekommt, kann man es nicht wirklich routen.
Die Lösung ist also in der Tat nicht trivial und es spielt keinerlei Rolle ob MW oder PfSense oder welcher Router auch immer dazwischen hängt. Es sind die Fesseln von Bonjour bzw. mDNS.
Hallo aqui,
ich dachte nur das dann eben alle Klienten in einem Netz sind und somit die Hürde
von Bonjour (mDNS) gar nicht erst auftreten und man außerdem den Drucker
ja auch per LAN Kabel anschließen kann, weil das Drucken dann ja von überall gehen müsste/sollte.
Aber ok wenn ich da falsch gelegen habe nehme ich den mal wieder zurück.
Gruß
Dobby
P.S.
Könnte man nicht den einen DHCP Server dem anderen bekannt geben z.B. via DHCP Relay?
ich dachte nur das dann eben alle Klienten in einem Netz sind und somit die Hürde
von Bonjour (mDNS) gar nicht erst auftreten und man außerdem den Drucker
ja auch per LAN Kabel anschließen kann, weil das Drucken dann ja von überall gehen müsste/sollte.
Aber ok wenn ich da falsch gelegen habe nehme ich den mal wieder zurück.
Gruß
Dobby
P.S.
Könnte man nicht den einen DHCP Server dem anderen bekannt geben z.B. via DHCP Relay?
Nein falsch nicht aber das obige Design lässt ja unzweifelhaft vermuten das das Gastnetz ein Hotspot Netzwerk mit einem Captive Portal und Einmalpasswörtern ist wie hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
beschrieben. Damit hat er dann keinerlei Chance das in ein gemeinsames Netzwerk zu bringen ohne das ihm sämtliche Gastuser dann auch in seinen geschützen LAN Bereich herumschnüffeln wo sich der AirPrint Drucker ja vermutlich befindet.
Seine Denke ist also unschwer zu erraten, nämlich Gästen mit Smartphones die Möglichkeit zu bieten Dokumente auszudrucken auf einem Drucker im privaten, gesicherten LAN.
Ein NoGo also, denn genau DAS soll so ein Gastnetz Design ja sicher verhindern das Gäste eben nicht in private Netze kommen !!
Am sichersten und technsich einfachsten zu realisieren, ist es einen weiteren AirPrint Drucker zu beschaffen und den ins Gastnetz zu hängen. So teuer sind die ja nun auch nicht mehr.
Hätte auch den Vorteil das Gäste dann weiter vollkommen isoliert bleiben wie es sein soll.
Alternative ist einen ollen USB Drucker als AirPrint Drucker zu recyceln mit:
http://www.lantronix.com/it-management/xprintserver/xprintserver.html
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
beschrieben. Damit hat er dann keinerlei Chance das in ein gemeinsames Netzwerk zu bringen ohne das ihm sämtliche Gastuser dann auch in seinen geschützen LAN Bereich herumschnüffeln wo sich der AirPrint Drucker ja vermutlich befindet.
Seine Denke ist also unschwer zu erraten, nämlich Gästen mit Smartphones die Möglichkeit zu bieten Dokumente auszudrucken auf einem Drucker im privaten, gesicherten LAN.
Ein NoGo also, denn genau DAS soll so ein Gastnetz Design ja sicher verhindern das Gäste eben nicht in private Netze kommen !!
Am sichersten und technsich einfachsten zu realisieren, ist es einen weiteren AirPrint Drucker zu beschaffen und den ins Gastnetz zu hängen. So teuer sind die ja nun auch nicht mehr.
Hätte auch den Vorteil das Gäste dann weiter vollkommen isoliert bleiben wie es sein soll.
Alternative ist einen ollen USB Drucker als AirPrint Drucker zu recyceln mit:
http://www.lantronix.com/it-management/xprintserver/xprintserver.html
Hallo,
danke für eure Antworten. Ich dachte nicht, dass dies so kompliziert sein würde.
Durch die räumliche Trennung beider WLANs dachte ich an die Nutzung des Captive Portals per "pass through per MAC-Adresse". Aber apui hat recht, diese Lösung wäre nicht sauber und eigentlich ist der Aufbaut des Netzes nicht dafür gedacht. Hinzu kommt, dass das WLAN des Captive Portal nicht verschlüsselt ist!
Die beste Lösung wird ein zusätzlicher Acess-Point für die räumliche Überbrückung sein.
Grüße reitzi
danke für eure Antworten. Ich dachte nicht, dass dies so kompliziert sein würde.
Durch die räumliche Trennung beider WLANs dachte ich an die Nutzung des Captive Portals per "pass through per MAC-Adresse". Aber apui hat recht, diese Lösung wäre nicht sauber und eigentlich ist der Aufbaut des Netzes nicht dafür gedacht. Hinzu kommt, dass das WLAN des Captive Portal nicht verschlüsselt ist!
Die beste Lösung wird ein zusätzlicher Acess-Point für die räumliche Überbrückung sein.
Grüße reitzi
Deine Denke ist auch richtig und kompliziert ist es keineswegs !
Dein Problem ist das verwendete mDNS Protokoll (Bonjour), das lässt sich nicht routen, jedenfalls nicht derzeit.
Da du über deinen Firewall aber logischerweise routetst hast du ein Problem.
"Normal" drucken funktioniert so natürlich aber eben alles nicht was einzig Bonjour basierend ist !
Ein zusätzlicher Accesspoint wäre das unvernünftigste was du machen kannst, denn dann hebelst du logischerweise dein Gastnetz aus und lässt alle Gäste in deinen geschützten Bereich. Damit konterkarierst du eine Firewall.
Wie dumm und blauäugig sowas ist muss man dir hier wohl nicht weiter erklären....?!
Dein Problem ist das verwendete mDNS Protokoll (Bonjour), das lässt sich nicht routen, jedenfalls nicht derzeit.
Da du über deinen Firewall aber logischerweise routetst hast du ein Problem.
"Normal" drucken funktioniert so natürlich aber eben alles nicht was einzig Bonjour basierend ist !
Ein zusätzlicher Accesspoint wäre das unvernünftigste was du machen kannst, denn dann hebelst du logischerweise dein Gastnetz aus und lässt alle Gäste in deinen geschützten Bereich. Damit konterkarierst du eine Firewall.
Wie dumm und blauäugig sowas ist muss man dir hier wohl nicht weiter erklären....?!