31
Airplay und VLAN
Schönen Abend miteinander,
ich, Lehrer und Systembetreuer eines Gymnasiums hätte eine technische Frage bzw. bin auf der Suche nach einer einfachen Lösung Apples AirPlay über VLAN-Grenzen hinweg ohne Einschränkungen zum Laufen zu bekommen. Hat diesbezüglich hier schon mal einer von euch Erfahrungen sammeln können bzw. weiß was hierzu Best-Practice ist? Als Router/Firewall ist die aktuellste pfSense im Einsatz, WLAN ist über Ubiquiti Unifi realisiert. Vielen Dank im Voraus!
ich, Lehrer und Systembetreuer eines Gymnasiums hätte eine technische Frage bzw. bin auf der Suche nach einer einfachen Lösung Apples AirPlay über VLAN-Grenzen hinweg ohne Einschränkungen zum Laufen zu bekommen. Hat diesbezüglich hier schon mal einer von euch Erfahrungen sammeln können bzw. weiß was hierzu Best-Practice ist? Als Router/Firewall ist die aktuellste pfSense im Einsatz, WLAN ist über Ubiquiti Unifi realisiert. Vielen Dank im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 501165
Url: https://administrator.de/contentid/501165
Printed on: April 19, 2024 at 22:04 o'clock
31 Comments
Latest comment
Moin,
Damit AirPlay über VLAN-Grenzen hinaus läuft, muss Bonjour geroutet werden.
https://www.google.de/search?q=pfSense+Bonjour+vlan
In den Suchergenissen taucht auch ein Post von hier auf, bei dem das via RPi erledigt wurde...
Gruß
em-pie
Damit AirPlay über VLAN-Grenzen hinaus läuft, muss Bonjour geroutet werden.
https://www.google.de/search?q=pfSense+Bonjour+vlan
In den Suchergenissen taucht auch ein Post von hier auf, bei dem das via RPi erledigt wurde...
Gruß
em-pie
Hat diesbezüglich hier schon mal einer von euch Erfahrungen sammeln können
Was für eine Frage in einem Administrator Forum.....Airplay ist ganz normaler IP Traffic, lässt sich also in jedem VLAN und auch VLAN übergreifend problemlos transportieren. In sofern ist die Frage eigentlich überflüssig oder falsch gestellt.
Dir geht es vermutlich gar nicht um den Aiplay Traffic an sich, sondern um das reine Announcement des Airplay Dienstes im jeweiligen VLAN Segment, richtig ?
Kollege @em-pie hat dir die Lösung ja schon auf dem Silbertablett präsentiert.
Um nicht den Informatik Kollegen fragen zu müssen zum Technischen: Das Dienste Announcement basiert auf Bonjour bzw. mDNS was, wie der Name schon sagt, Multicast Pakete dafür nutzt. Eine sog. Link Local Multicast Adresse 224.0.0.251 (IPv4) oder ff02::fb (IPv6) auf dem Port 5353 mit einer festen TTL von 1 so das diese Pakete nicht routebar sind.
https://www.iana.org/assignments/multicast-addresses/multicast-addresses ...
Man braucht also einen Dienst (Bonjour Proxy oder Gateway) der diese Dienste in den jeweiligen VLANs wo sich die Clients aufhalten per mDNS/Bonjour Multicast bekannt gibt.
Das Prinzip ist auch hier am Beispiel des Raspberry Pi erklärt:
Netzwerk Management Server mit Raspberry Pi
Genau DAS erledigt auch das Avahi Package auf der pfSense.
Diverse WLAN AP Hersteller bieten auch von sich aus diese Option als Feature und haben solche Bonjour Gateways gleich an Bord:
Ob deine Unify Billig Gurken sowas auch supporten erklärt dir deren Handbuch oder Datenblatt.
Hallo,
aqui hat den entsprechenden Hinweis gegeben, wenn man mit iOS-Geräten aus dem WLAN (VLAN/Subnetz 1) heraus via AirPrint auf kabelgebundene Drucker in einem anderen VLAN/Subnetz drucken will, reicht die mDNS(IGMPSnoopingv3)-Aktivierung auf der SSID der iOS-Devices. Der obere Haken darf dementsprechend natürlich auch nicht gesetzt werden.
aqui hat den entsprechenden Hinweis gegeben, wenn man mit iOS-Geräten aus dem WLAN (VLAN/Subnetz 1) heraus via AirPrint auf kabelgebundene Drucker in einem anderen VLAN/Subnetz drucken will, reicht die mDNS(IGMPSnoopingv3)-Aktivierung auf der SSID der iOS-Devices. Der obere Haken darf dementsprechend natürlich auch nicht gesetzt werden.
Nur IGMP Snooping wird nicht reichen. Das macht auf dem AP ledglich eine einfache Multcast zu Unicast Conversion:
https://www.heise.de/ct/ausgabe/2014-14-Probleme-bei-Multicast-im-W-LAN- ...
Du benötigst einen aktiven Prozess der aktiv die AirPrint Funktion mit der Ziel IP des Druckers in dem Client VLAN anounced per Bonjour. Nur IGMP leistet das nicht.
https://www.heise.de/ct/ausgabe/2014-14-Probleme-bei-Multicast-im-W-LAN- ...
Du benötigst einen aktiven Prozess der aktiv die AirPrint Funktion mit der Ziel IP des Druckers in dem Client VLAN anounced per Bonjour. Nur IGMP leistet das nicht.
Vielen Dank für die kompetenten Hinweise, wodurch ich das geschilderte Problem erfolgreich lösen konnte. Allerdings habe ich mich dennoch gewundert, warum man diese nur mit subtilen Sticheleien serviert bekommt. Aber wenn das der Preis für eine kompetente Antwort ist, dann ist es eben so.
Das WIE der Lösung wäre ja nochmal interessant gewesen damit andere User mit gleicher Herausforderung ggf. davon auch profitieren.
Der tiefere Sinn eines Forums wie dieses hier
...aber egal.
Der tiefere Sinn eines Forums wie dieses hier
...aber egal.Zitat von @the-datzl:
Allerdings habe ich mich dennoch gewundert, warum man diese nur mit subtilen Sticheleien serviert bekommt
Allerdings habe ich mich dennoch gewundert, warum man diese nur mit subtilen Sticheleien serviert bekommt
Ja, so ist unser aqui nunmal, du darfst vor Allem niemals Aruba Switche in seiner Anwesenheit erwähnen
Aber ja, du darfst uns zur Dokumentation deinen Lösungsweg gerne noch verraten )
Stehe gerade vor dem gleichem Problem Und vielleicht bekommt „the datzl„ ja doch noch eine Mail auf Grund dieses Posts und kann seine Lösung doch noch sagen.
Ich habe auch
Im AP sowie auch im Switch sind Optionen für IGMP V3 möglich. Aber so wie aqui geschrieben hat reicht das eventuell nicht.
- War es eine Lösung über das Package der pfsene
- Oder mit Einstellungen im Unifi AP
- Oder was?
Ich habe auch
- pfsense
- Unifi AP AC Pro
- Cisco SG 350 Switch
Im AP sowie auch im Switch sind Optionen für IGMP V3 möglich. Aber so wie aqui geschrieben hat reicht das eventuell nicht.
Nein, das reicht auch nicht ! mDNS (Bonjour) basiert auf nicht routebarem Link local Multicat Adressen (TTL=1), sprich kann also technisch nicht über Layer 3 Router Grenzen.
Was du brauchst ist ein Proxy bzw. Relay. Voel Router und APs supporten sowas onboard in ihrem Setup. Handbuch lesen hilft hier also !
Ansonsten guckst du hier:
Netzwerk Management Server mit Raspberry Pi
Damit klappt das fehlerlos.
Aber vielleicht erbarmt sich @the-datzl ja noch der Forums Community hier mal seine Version der Lösung zu verraten ?!
Was du brauchst ist ein Proxy bzw. Relay. Voel Router und APs supporten sowas onboard in ihrem Setup. Handbuch lesen hilft hier also !
Ansonsten guckst du hier:
Netzwerk Management Server mit Raspberry Pi
Damit klappt das fehlerlos.
Aber vielleicht erbarmt sich @the-datzl ja noch der Forums Community hier mal seine Version der Lösung zu verraten ?!
Hallo,
also im wesentlichen gehts nur über das AVAHI-Package: https://docs.netgate.com/pfsense/en/latest/packages/avahi-package.html
Ich habe mich damals an nachfolgenden Quellen orientiert:
https://www.youtube.com/watch?v=kYKfmS5_3r0
http://nateallen.co.uk/airplay-across-vlans/
https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt59/DFN_BT59_Bo ...
Kurzfassung: AVAHI installieren, dann habe ich mir die Kommunikation zwischen iPad und AppleTV angesehen (was pfSense blockt) und Stück für Stück so die Firewall-Regeln davon abgeleitet.
Muss aber dazu sagen, dass der AVAHI-Dienst ab und zu, so alle 2-3 Wochen neugestartet werden musste, warum auch immer (konnte auch im Log nichts Auffälliges erkennen). Wir haben seither das Netz etwas umstrukturiert, so dass diese Konstellation nicht mehr notwendig ist.
Ich hoffe ich konnte soweit zur Lösung einigermaßen beitragen!
VG
datzl
also im wesentlichen gehts nur über das AVAHI-Package: https://docs.netgate.com/pfsense/en/latest/packages/avahi-package.html
Ich habe mich damals an nachfolgenden Quellen orientiert:
https://www.youtube.com/watch?v=kYKfmS5_3r0
http://nateallen.co.uk/airplay-across-vlans/
https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt59/DFN_BT59_Bo ...
Kurzfassung: AVAHI installieren, dann habe ich mir die Kommunikation zwischen iPad und AppleTV angesehen (was pfSense blockt) und Stück für Stück so die Firewall-Regeln davon abgeleitet.
Muss aber dazu sagen, dass der AVAHI-Dienst ab und zu, so alle 2-3 Wochen neugestartet werden musste, warum auch immer (konnte auch im Log nichts Auffälliges erkennen). Wir haben seither das Netz etwas umstrukturiert, so dass diese Konstellation nicht mehr notwendig ist.
Ich hoffe ich konnte soweit zur Lösung einigermaßen beitragen!
VG
datzl
Wie vermutet mit AHAHI...
Danke für das Feedback. 👍
Danke für das Feedback. 👍
Ich habe mir jetzt auch mal das AVAHI Package installiert. Hat auch sofort funktioniert und soviel ist da ja gar nicht einzustellen.
Ich glaub jetzt nicht das es was mit dem Drucker zu tun hat, ich habe ein Canon Maxify MB5350 aber er wird mal als Airprint Drucker im iPhone angezeigt und mal nicht. Das hat nichtmal was damit zu tun ob er gerade im Ruhezustand ist (dann wird er auch in der PFSense als offline angezeigt) oder ob er aktiv ist und auch in der PFSense als online angezeigt wird.
Eben hatte ich den Fall da war er im Ruhezustand über die ganze Nacht und wurde mir morgens sofort im iPhone als verfügbarer Airprintdrucker angezeigt. Dann kurz danach, obwohl er aktiv war und nicht im Ruhezustand ist, nicht mehr. Immer nur die Meldung „Keine Airprint Drucker gefunden“ Auch Neustarten des AVAHI Service bringt nichts. Das ist wie Lotterie spielen ob man Drucken kann.
Gab es da ähnliche Probleme?
Ich glaub jetzt nicht das es was mit dem Drucker zu tun hat, ich habe ein Canon Maxify MB5350 aber er wird mal als Airprint Drucker im iPhone angezeigt und mal nicht. Das hat nichtmal was damit zu tun ob er gerade im Ruhezustand ist (dann wird er auch in der PFSense als offline angezeigt) oder ob er aktiv ist und auch in der PFSense als online angezeigt wird.
Eben hatte ich den Fall da war er im Ruhezustand über die ganze Nacht und wurde mir morgens sofort im iPhone als verfügbarer Airprintdrucker angezeigt. Dann kurz danach, obwohl er aktiv war und nicht im Ruhezustand ist, nicht mehr. Immer nur die Meldung „Keine Airprint Drucker gefunden“ Auch Neustarten des AVAHI Service bringt nichts. Das ist wie Lotterie spielen ob man Drucken kann.
Gab es da ähnliche Probleme?
Vermutlich Timeout bei den mDNS Multicasts. Erhöhe mal das Interval der Airprint Multicasts für diesen Drucker, das sollte das Problem vermutlich fixen.
das Interval der Airprint Multicasts für diesen Drucker
AVAHI bietet sowas nicht. Wo sollte man sowas einstellen können?
In den beiden entsprechenden Konfig Dateien des Daemons.
Ich habe jetzt lange gesucht und gegoogelt. Ich finde keine Konfig Dateien. Habe unter Diagnose / Edit File gesucht. Da müssten die doch wenn sein.
Merkwürdig ist auch das ich hier noch ein Apple TV stehen habe Was ebenfalls in einem anderen VLan als mein iPhone ist. Und das wird mir immer als verfügbar angezeigt. Beim Drucker war es heute so das es kurz verfügbar war, ich Per Airprint gedruckt habe und direkt danach Nochmal geschaut habe ob es noch verfügbar war, was es dann nicht mehr war. Zur gleichen Zeit ist jedoch das Apple TV verfügbar.
Merkwürdig ist auch das ich hier noch ein Apple TV stehen habe Was ebenfalls in einem anderen VLan als mein iPhone ist. Und das wird mir immer als verfügbar angezeigt. Beim Drucker war es heute so das es kurz verfügbar war, ich Per Airprint gedruckt habe und direkt danach Nochmal geschaut habe ob es noch verfügbar war, was es dann nicht mehr war. Zur gleichen Zeit ist jedoch das Apple TV verfügbar.
Es sind 2 unter
/etc/avahi/avahi-daemon.conf
/etc/nsswitch.conf
Nimm doch mal einen Wireshark zur Hand und sehen dir die mDNS Broadcasts für Drucker und Apple TV genau an die vom AVAHI kommen.
Hilfreich wäre auch mal deinen Services Konfig Datrei /etc/avahi/services wie du das da für den Drucker eingestellt hast ?!
Hört sich irgendwie so an als wenn du die AVAHI Konfig da irgendwie verbaselt hast ?!
/etc/avahi/avahi-daemon.conf
/etc/nsswitch.conf
Nimm doch mal einen Wireshark zur Hand und sehen dir die mDNS Broadcasts für Drucker und Apple TV genau an die vom AVAHI kommen.
Hilfreich wäre auch mal deinen Services Konfig Datrei /etc/avahi/services wie du das da für den Drucker eingestellt hast ?!
Hört sich irgendwie so an als wenn du die AVAHI Konfig da irgendwie verbaselt hast ?!
Zitat von @Jensano:
Merkwürdig ist auch das ich hier noch ein Apple TV stehen habe Was ebenfalls in einem anderen VLan als mein iPhone ist. Und das wird mir immer als verfügbar angezeigt.
Merkwürdig ist auch das ich hier noch ein Apple TV stehen habe Was ebenfalls in einem anderen VLan als mein iPhone ist. Und das wird mir immer als verfügbar angezeigt.
Die finden sich - falls aktiviert - per Bluetooth.
Gruß
sk
Vorab. Problem steht denke ich ganz unten in dem Post hier.
Bluetooth ist aus. Das Apple TV wird auch so jedes mal gefunden.
Eigentlich kann man doch bei der AVAHI Konfig kaum was verbaseln. Da gibts ja kaum was einzustellen
/usr/local/etc/avahi/avahi-daemon.conf
/etc/nsswitch.conf
/usr/local/etc/avahi/services/sftp-ssh.service
/usr/local/etc/avahi/services/ssh.service
Wireshark bekomme ich leider momentan noch nicht zum laufen da ich momentan nur meinen Firmen Laptop habe und da werden irgendwie keine brauchbaren Interfaces angezeigt. Wird wohl beschränkt da kein Administrator Zugang.
ABER jetzt habe ich was interessantes in CISCO SG350 LOG gefunden
Ich habe den Radius Server mit MAC Authentication auf der PFSense und Dynamic VLAN im Cisco Switch zum Laufen gebracht. Muss ich noch im anderen Thread posten. Jetzt sehe ich im RAM Memory LOG im Cisco gerade das er regelmäßig den Port 5 rausschmeißt = unauthorized. Das bedeutet der Port landet im VLAN90 (Gäste VLAN) in dem kein AVAHI aktiv geschaltet ist. Dann sporadisch wird er wieder authorized wobei er im VLAN 40 landet in dem AVAHI aktiv ist.
Was ist da los??? Wenn ich das Log anschauen dann geht das so den ganzen Tag und Nacht so. Auch mitten in der Nacht wenn alle hier schlafen. immer hin und her.
Das Apple TV ist derzeit über WLAN angebunden und der AP ist per Trunk am Switch Port ohne Radius Server. Deshalb gibt es wohl mit dem keine Probleme.
Ich habe noch einen Unifi CloudKey am Switch Port hängen den ich mittels des Radius in das VLAN 1 schubse. Der flackert jedoch nicht zwischen Gäste VLAN und Bestimmungs VLAN hin und her. Nur der Drucker tut das.
Die Ports am Switch sind jedoch genau gleich bei 802.X / Port Authentication konfiguriert.
Bluetooth ist aus. Das Apple TV wird auch so jedes mal gefunden.
Eigentlich kann man doch bei der AVAHI Konfig kaum was verbaseln. Da gibts ja kaum was einzustellen
Es sind 2 unter
/etc/avahi/avahi-daemon.conf
/etc/nsswitch.conf
Den ersten Pfad hatte ich auch bei google gefunden. Aber da ist kein avahi Ordner bei mir in der pfsense. Aber in folgenden Pfaden habe ich was gefunden./etc/avahi/avahi-daemon.conf
/etc/nsswitch.conf
/usr/local/etc/avahi/avahi-daemon.conf
# This file is generated by the pfSense Avahi package.
# Do not edit this file, it will be overwritten automatically.
[server]
allow-interfaces=igb1.10,igb1.20,igb1.40
allow-point-to-point=yes
use-ipv4=yes
use-ipv6=no
enable-dbus=no
cache-entries-max=0
[wide-area]
enable-wide-area=no
[publish]
disable-publishing=yes
publish-addresses=no
publish-hinfo=no
publish-workstation=no
publish-domain=no
publish-aaaa-on-ipv4=no
publish-a-on-ipv6=no
disable-user-service-publishing=yes
[reflector]
enable-reflector=yes/etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD$
#
group: files
# group_compat: nis
hosts: files dns
netgroup: files
networks: files
passwd: files
# passwd_compat: nis
shells: files
services: files
# services_compat: nis
protocols: files
rpc: files/usr/local/etc/avahi/services/sftp-ssh.service
...
<!-- See avahi.service(5) for more information about this configuration file -->
<service-group>
<name replace-wildcards="yes">%h</name>
<service>
<type>_sftp-ssh._tcp</type>
<port>22</port>
</service>
</service-group>/usr/local/etc/avahi/services/ssh.service
...
<!-- See avahi.service(5) for more information about this configuration file -->
<service-group>
<name replace-wildcards="yes">%h</name>
<service>
<type>_ssh._tcp</type>
<port>22</port>
</service>
</service-group>Wireshark bekomme ich leider momentan noch nicht zum laufen da ich momentan nur meinen Firmen Laptop habe und da werden irgendwie keine brauchbaren Interfaces angezeigt. Wird wohl beschränkt da kein Administrator Zugang.
ABER jetzt habe ich was interessantes in CISCO SG350 LOG gefunden
Ich habe den Radius Server mit MAC Authentication auf der PFSense und Dynamic VLAN im Cisco Switch zum Laufen gebracht. Muss ich noch im anderen Thread posten. Jetzt sehe ich im RAM Memory LOG im Cisco gerade das er regelmäßig den Port 5 rausschmeißt = unauthorized. Das bedeutet der Port landet im VLAN90 (Gäste VLAN) in dem kein AVAHI aktiv geschaltet ist. Dann sporadisch wird er wieder authorized wobei er im VLAN 40 landet in dem AVAHI aktiv ist.
Was ist da los??? Wenn ich das Log anschauen dann geht das so den ganzen Tag und Nacht so. Auch mitten in der Nacht wenn alle hier schlafen. immer hin und her.
Das Apple TV ist derzeit über WLAN angebunden und der AP ist per Trunk am Switch Port ohne Radius Server. Deshalb gibt es wohl mit dem keine Probleme.
Ich habe noch einen Unifi CloudKey am Switch Port hängen den ich mittels des Radius in das VLAN 1 schubse. Der flackert jedoch nicht zwischen Gäste VLAN und Bestimmungs VLAN hin und her. Nur der Drucker tut das.
Die Ports am Switch sind jedoch genau gleich bei 802.X / Port Authentication konfiguriert.
Jetzt sehe ich im RAM Memory LOG im Cisco gerade das er regelmäßig den Port 5 rausschmeißt = unauthorized.
Bedeutet dann das das Endgerät an Port 5 sich NICHT authentisieren kann und so im Gummizellen VLAN landet !Was ist das denn für ein Endgerät ?
Serverports usw. nimmt man logischerweise vom 802.1x aus !
Das ist der Drucker.
Er wird ja authentisiert. Nur bleibt er das nicht. Er wechselt immer sporadisch zwischen authentisiert und nicht authentisiert. Somit ist er mal per AVAHI und MDNS erreichbar vom iPhone und mal nicht.
Wie geschrieben hängt an einem anderen Switch Port ein Cloudkey der sich ebenfalls authorisieren muss um im entsorechenden VLAN zu landen. Nur bleibt dieser da konstant auch drinn im Gegensatz zum Drucker.
Ich wollt eigentlich konstant 802.1x an den Ports machen. Fände das sonst inkonsistent da man dann ja sonst über die LAN Ports in die den Ports fest zugewiesenen VLANs kommt ohne über den Radius mit der MAC Arhentisierung zu müssen.
Am Cloudkey sieht man ja das es funktioniert. Nur was macht der Drucker da an Port5?
Er wird ja authentisiert. Nur bleibt er das nicht. Er wechselt immer sporadisch zwischen authentisiert und nicht authentisiert. Somit ist er mal per AVAHI und MDNS erreichbar vom iPhone und mal nicht.
Wie geschrieben hängt an einem anderen Switch Port ein Cloudkey der sich ebenfalls authorisieren muss um im entsorechenden VLAN zu landen. Nur bleibt dieser da konstant auch drinn im Gegensatz zum Drucker.
Ich wollt eigentlich konstant 802.1x an den Ports machen. Fände das sonst inkonsistent da man dann ja sonst über die LAN Ports in die den Ports fest zugewiesenen VLANs kommt ohne über den Radius mit der MAC Arhentisierung zu müssen.
Am Cloudkey sieht man ja das es funktioniert. Nur was macht der Drucker da an Port5?
Er wird ja authentisiert. Nur bleibt er das nicht.
Das liegt an Stromspar einstellungen des Routers. Wenn der in Standby geht taktet er vermutlich die Port Speed auf 10MB runter wie üblich. Das bewirkt durch den kurzzeitigen Link Verlust aber eine Reauthentisierung.Den Drucker Port solltest du also von der Authentisierung logischerweise ausnehmen oder dessen Standby deaktivieren.
Ich wollt eigentlich konstant 802.1x an den Ports machen.
Das wäre z.B. für den Radius Server selber ja ziemlich kontraproduktiv, denn damit sägst du dir bei Port Authentication selber den Ast ab auf dem du sitzt. Es macht also schon Sinn mal nachzudenken !
Du meinst sicher Stromspareinstellungen des Switches. Beim Router würden dann ja alle Ports reauthentifiziert werden müssen. Aber wie geschrieben der Cloudkey funktioniert ja.
Ast wird nicht abgesegt. Der Switch und die PFSense stehen zusammen in einem Schrank der abgeschlossen ist. PFSense ist über Port 1 am Switch verbunden und da ist natürlich kein Radius aktiv. Nur der Drucker LAN Anschluss steht mittem im Haus. Deshalb würde ich den nicht so gerne fix mit einem festen VLAN verbinden.
Ich habe jetzt noch was bei den Einstellungen gefunden werden aus der Hilfe aber nicht schlau. Bei Port 5 ist komischerweise einige 802.3 Energy Efficient Ethernet (EEE) EInstellungen aktiviert. Genau wie bei Port 1. Das habe ich so jedoch nie selber eingestellt. Was ist das und kann das damit was zu tun haben?
P.S.
Sehe gerade die Einstellungen sind alle gleich. Das Bild zeigt wohl nur die Funktionen an die vom angeschlossenen Endgerät (Drucker) kommen.
Ast wird nicht abgesegt. Der Switch und die PFSense stehen zusammen in einem Schrank der abgeschlossen ist. PFSense ist über Port 1 am Switch verbunden und da ist natürlich kein Radius aktiv. Nur der Drucker LAN Anschluss steht mittem im Haus. Deshalb würde ich den nicht so gerne fix mit einem festen VLAN verbinden.
Ich habe jetzt noch was bei den Einstellungen gefunden werden aus der Hilfe aber nicht schlau. Bei Port 5 ist komischerweise einige 802.3 Energy Efficient Ethernet (EEE) EInstellungen aktiviert. Genau wie bei Port 1. Das habe ich so jedoch nie selber eingestellt. Was ist das und kann das damit was zu tun haben?
P.S.
Sehe gerade die Einstellungen sind alle gleich. Das Bild zeigt wohl nur die Funktionen an die vom angeschlossenen Endgerät (Drucker) kommen.
Du meinst sicher Stromspareinstellungen des Switches.
Nein ! Die gibt es technisch auch gar nicht bzw. spielen für die Port Security keinerlei Rolle.Es ist nur ziemlich sinnfrei administrative Ports wie den Internet Router, Firewall und auch den Radius Server usw. mit Port Security zu versehen.
Beim Drucker sind das die Standby Funktionen die auch immer den Port Speed runtertakten häufig. Hier musst du dann mal testweise den Port statisch auf einen Speed wie 100MBit festzunageln. Ggf. fixt das das Problem. Das hängt davon ab wie die Drucker Firmware den LAN Port im Standby bedient. Da kann man nur raten. Musst du ausprobieren.
Bei Port 5 ist komischerweise einige 802.3 Energy Efficient Ethernet (EEE) EInstellungen aktiviert.
Das ist Blödsinn denn so gut wie kein Endgerät supportet EEE. Das hat sich (leider) nie richtig durchgesetzt. EEE kann nur klappen wenn beide Enden es supporten. Das kannst du also genausogut global deaktivieren. Auf dem Druckerport sowieso denn der macht mit Sicherheit kein EEE.Wie gesagt: Probieren....
Die Ports für Router/Firewall und den zwei APs haben bei mir doch keinen Radius.
Da ich den Drucker nicht konstant authorisiert bekomme, wollte ich den jetzt fix einem VLAN zuordnen. Nur zieht der sich keine IP Adresse.
Habe den Port des Drucker am Cisco als Access Mode mit Access VLAN ID 40 (die des Druckers) konfiguriert und den Radius am Port rausgenommen. Mehr muss man doch nicht machen um dem Port ein festes VLAN zuzuweisen???
Der Drucker bekommt momentan keine IP. Nur eine Standard IP von Canon ala 169.254.160.245
Er müsste eigentlich 192.168.40.3 bekommen. Da diese ihm per static mapping in der pfsense zugewiesen ist. Aber auch ein DHCP läuft auf dem VLAN40.
Ziehe ich den LAN Stecker bekommt er gar keine IP. Die kann ich übrigens am Drucker selber sehen.
Da ich den Drucker nicht konstant authorisiert bekomme, wollte ich den jetzt fix einem VLAN zuordnen. Nur zieht der sich keine IP Adresse.
Habe den Port des Drucker am Cisco als Access Mode mit Access VLAN ID 40 (die des Druckers) konfiguriert und den Radius am Port rausgenommen. Mehr muss man doch nicht machen um dem Port ein festes VLAN zuzuweisen???
Der Drucker bekommt momentan keine IP. Nur eine Standard IP von Canon ala 169.254.160.245
Er müsste eigentlich 192.168.40.3 bekommen. Da diese ihm per static mapping in der pfsense zugewiesen ist. Aber auch ein DHCP läuft auf dem VLAN40.
Ziehe ich den LAN Stecker bekommt er gar keine IP. Die kann ich übrigens am Drucker selber sehen.
Mehr muss man doch nicht machen um dem Port ein festes VLAN zuzuweisen???
Richtig !Ziehe ich den LAN Stecker bekommt er gar keine IP.
Kein Wunder wenn der Haken bei "802.1x Based Authentication" angehakt ist !
Ja nur die IP die er bekommt hat rein gar nichts mit meinen IPs die von meinem DHCP Server vergeben werden zu tun.
Und ich muss dort mindestens eine Authentication Methode wählen. Ohne meckert der Cisco.
Also normal müsste er sich doch sofort eine IP von DHCP Pool ziehen oder halt die von mir in diesem Pool per static mapping zugewiesene bekommen.
Ich glaub langsam der Drucker ist Mist.
Und ich muss dort mindestens eine Authentication Methode wählen. Ohne meckert der Cisco.
Also normal müsste er sich doch sofort eine IP von DHCP Pool ziehen oder halt die von mir in diesem Pool per static mapping zugewiesene bekommen.
Ich glaub langsam der Drucker ist Mist.
Ja nur die IP die er bekommt hat rein gar nichts mit meinen IPs die von meinem DHCP Server vergeben werden zu tun.
Ist das eine APIPA / ZeroConf IP ?? https://de.wikipedia.org/wiki/Zeroconf#Automatische_IP-ZuweisungWenn ja immer ein sicheres Indiz das ein Endgerät den DHCP Server nicht "sieht" bzw. es eine Verbindung dahin gibt.
Also normal müsste er sich doch sofort eine IP von DHCP Pool ziehen
Ja, wenn er denn einen physische Layer 2 Verbindung dahin hat. Wenn der Port natürlich durch 802.1x Security oder eine irgendwie ähnliche Security geblockt ist dann natürlich nicht und dann endet das Endgerät mit einer 169er Zeroconf Adresse.Ich glaub langsam der Drucker ist Mist.
Wäre etwas ungewöhnlich aber denkbar. Kannst du ja einfach testen wenn du den mal an einem ungemanagten Switch betreibst oder deinen mal auf die Werkseinstellungen resettest. Rennt er dann fehlerfrei ist es ganz sicher NICHT der Drucker selber. Oder am Druckerport mal einen Rechner mit DHCP einstecken. Bekommt der eine IP und das auch nach 3 bis 5maligen aus- und wieder einstecken, dann ist es doch der Drucker.
Hallo,
mir macht diese Airprint immer noch Probleme. Ich habe mittlerweile einen neuen Drucker. Den Canon habe ich auch aus noch anderen Gründen aussortiert. Nun ist es ein OfficeJet Pro 8730.
Eine eigene IP zieht er sich nun problemlos. Habe den die Radius Funktion an dem Port ausgeschaltet und dem Drucker über Static Mapping in der pfSense eine feste IP reserviert.
Anfangs hatte ich ebenfalls keine Airprintverbindung bekommen.
Dann kurz auf dem Drucker VLAN Allow Any Regel aktiviert und Airprint war da.
Mittlerweile trotz Allow Any keine Airprint Verbindung mehr. Lediglich sporadisch ist ab und zu jedoch Airprint möglich.
Es bleibt also dabei das das sporadisch mal funktioniert und mal nicht. Ich weis da nicht weiter. Beide VLANs (Das vom iPhone von dem ich Drucken will und das des Druckers selber) haben Allow Any Firewall Regel in der pfSense. Was sollte jetzt sonst noch das Airprint verhindern? Ich wüsste jetzt ach nicht was an der AVAHI Konfiguration noch schief sein könnte.
Dürfen / müssen z.B. die pfSense und der AVAHI die selber Domain nutzen? In der Beschreibung der pfSense steht ja das man local nicht nutzen soll weil das z.B. AVAHI und andere Dienste tun. Wenn ich da nun "mylocal" nutze und beim AVAHI mit override auch "mylocal" ist es doch wieder das selbe?? Das vorgehen habe ich bei Internetanleitungen jedoch so gefunden.
Konfiguration ist immer noch: pfSense, Cisco SG350, Unifi AP AC Pro
AVAHI EInstellungen
PFSENSE Genrelle Einstellungen
mir macht diese Airprint immer noch Probleme. Ich habe mittlerweile einen neuen Drucker. Den Canon habe ich auch aus noch anderen Gründen aussortiert. Nun ist es ein OfficeJet Pro 8730.
Eine eigene IP zieht er sich nun problemlos. Habe den die Radius Funktion an dem Port ausgeschaltet und dem Drucker über Static Mapping in der pfSense eine feste IP reserviert.
Anfangs hatte ich ebenfalls keine Airprintverbindung bekommen.
Dann kurz auf dem Drucker VLAN Allow Any Regel aktiviert und Airprint war da.
Mittlerweile trotz Allow Any keine Airprint Verbindung mehr. Lediglich sporadisch ist ab und zu jedoch Airprint möglich.
Es bleibt also dabei das das sporadisch mal funktioniert und mal nicht. Ich weis da nicht weiter. Beide VLANs (Das vom iPhone von dem ich Drucken will und das des Druckers selber) haben Allow Any Firewall Regel in der pfSense. Was sollte jetzt sonst noch das Airprint verhindern? Ich wüsste jetzt ach nicht was an der AVAHI Konfiguration noch schief sein könnte.
Dürfen / müssen z.B. die pfSense und der AVAHI die selber Domain nutzen? In der Beschreibung der pfSense steht ja das man local nicht nutzen soll weil das z.B. AVAHI und andere Dienste tun. Wenn ich da nun "mylocal" nutze und beim AVAHI mit override auch "mylocal" ist es doch wieder das selbe?? Das vorgehen habe ich bei Internetanleitungen jedoch so gefunden.
Konfiguration ist immer noch: pfSense, Cisco SG350, Unifi AP AC Pro
AVAHI EInstellungen
PFSENSE Genrelle Einstellungen
Hi,
hängt der Drucker in deinem VLAN 40? Nach deinem Screenshot hast du das Interfaces nicht markiert.
hängt der Drucker in deinem VLAN 40? Nach deinem Screenshot hast du das Interfaces nicht markiert.
Im Kommentar unter dem Menüpunkt steht
Ich habe jedoch eben auch um Fehler auszuschließen das Interface dort explizit markiert.
Aber auch damit findet er momentan (Kann nachher wieder anders aussehen) nicht meinen Drucker über Airprint.
Gibt es da irgendwo, von mir aus auch bezahlten, Support für? Hier wird fast ausschließlich über iPad und iPhone gedruckt. Dementsprechend groß ist der Frust.
Ich kann mir momentan nicht mal erklären warum es mal funktioniert und mal nicht. Wenn es wenigstens komplett nicht funktionieren würde, dann wüsste man wenigstens woran man ist.
Zitat von pfSense AVAHI Konfig:
If empty, Avahi will listen on all available interfaces.
If empty, Avahi will listen on all available interfaces.
Ich habe jedoch eben auch um Fehler auszuschließen das Interface dort explizit markiert.
Aber auch damit findet er momentan (Kann nachher wieder anders aussehen) nicht meinen Drucker über Airprint.
Gibt es da irgendwo, von mir aus auch bezahlten, Support für? Hier wird fast ausschließlich über iPad und iPhone gedruckt. Dementsprechend groß ist der Frust.
Ich kann mir momentan nicht mal erklären warum es mal funktioniert und mal nicht. Wenn es wenigstens komplett nicht funktionieren würde, dann wüsste man wenigstens woran man ist.
