schneerunzel
Goto Top

AirPrint im Remote Subnets

Moin zusammen,

folgendes Problem: ich habe einen airPrint Drucker in meinem Netzwerk A und möchte aus einem anderen Netzwerk auf diesem per airPrint drucken.

Aufbau:
Netzwerk A (192.168.1.0/24) ist das Netzwerk in dem sich der Drucker (192.168.1.12) befindet. Dieses Netzwerk läuft in einem VLAN.
Netzwerk B (192.168.2.0/24) ist ein Netzwerk in dem sich die privaten Geräte der Mitarbeiter oder Geräte von Gästen befinden (separates VLAN)
Netzwerk C (192.168.3.0/24) ist ein VPN Standort
In der Mitte hängte eine Firewall, die z.B. den Site2Site VPN hält bzw. als Gateway zwischen den Netzwerken fungiert.
Laut der Firewall regeln, dürfen (aktuell zum Testen) die Netzwerk B und C mit any zu dem Drucker (192.168.1.12)

Der Zugriff der Netze B und C auf Netzwerk A beschränkt sich wirklich nur auf das Drucken. Aus unterschiedlichen Gründen ist es z.B. nicht möglich, dass diese Netze einen gemeinsamen DNS Server nutzen.
Im Netzwerk A gibt es weitere Drucker oder Apple TVs, die nicht mit in den Netzwerken B und C gefunden werden sollen. Es betrifft nur einen einzigen Drucker.

Jetzt möchte ich, dass die iOS Geräte aus den Netzwerken B und C auch auf dem Drucker im Netzwerk A Drucken können.

Was muss ich tun, damit die Geräten den Drucker finden.
Bin ich mit meinem iPhone im Netzwerk A, finde ich den Drucker. Bin ich in B oder C, dann natürlich nicht.

Ich habe mal etwas gelesen und z.B. diesen Artikel gefunden:
administrator.de/tutorial/netzwerk-management-server-raspberry-pi-191718.html#toc-50

Den Ansatz finde ich ziemlich passend. Aufgrund der Struktur des Netzwerks passt die Lösung mit einem Linux System in den anderen Netzwerken ganz gut. In jedem der Netzwerke B und C habe ich ohnehin ein Linux System, welches avahi mit hosten kann.

Ich habe als ein Linux System im Netzwerk A geschnappt und mir mit dem Befehl
avahi-browse --all --ignore-local --resolve --terminate
einmal die aktuellen Infos angezeigt.
Ausgabe:

Auf dem Linux System im Netzwerk B habe ich anschließend avahi installier
apt install libnss-mdns avahi-utils
und versucht unter /etc/avahi/services eine drucker.service anzulegen.

Die Config drucker.service sieht wie folgt aus:


Wenn ich mir syslog ansehe, wird der Service auch erfolgreich geladen.
Leider finde ich den Drucker mit meinem iPhone trotzdem nicht.

Wenn ich auf dem Linux System im Netzwerk B (auf dem auch avahi selbst läuft) wieder versuche mir die Infos mit
avahi-browse --all --ignore-local --resolve --terminate
anzuzeigen, erhalte ich zwar in der Ausgabe
aber eben auch eine Fehlermeldung


Interpretiere ich die Meldung richtig: myq.local kann nicht aufgelöst werden?

Hat jemand eine Idee, wie man das Problem lösen kann.

Vielen Dank vorab.

Content-Key: 4866196821

Url: https://administrator.de/contentid/4866196821

Printed on: February 4, 2023 at 09:02 o'clock

Member: chgorges
chgorges Dec 05, 2022 at 21:33:03 (UTC)
Goto Top
Zitat von @schneerunzel:

Moin zusammen,
Moin,
folgendes Problem: ich habe einen airPrint Drucker in meinem Netzwerk A und möchte aus einem anderen Netzwerk auf diesem per airPrint drucken.
Ok soweit.

In der Mitte hängte eine Firewall, die z.B. den Site2Site VPN hält bzw. als Gateway zwischen den Netzwerken
Vergangenheit? Was hängt das jetzt?

Ich habe mal etwas gelesen und z.B. diesen Artikel gefunden:
administrator.de/tutorial/netzwerk-management-server-raspberry-pi-191718.html#toc-50
Murks und Bastelei.

Hat jemand eine Idee, wie man das Problem lösen kann.
Schreib mal, was deine Firewall als Subnetzrouter abgelöst hat, ggf. kann das auch schon als MDNS-Relay herhalten.

VG
Member: aqui
aqui Dec 05, 2022 updated at 21:52:37 (UTC)
Goto Top
Murks und Bastelei.
Das ist Unsinn und kann man so pauschal nicht sagen. Es löst auf alle Fälle das Problem wenn man einen Router oder eine Firewall ohne Bonjour Proxy hat.
Ohne einen solchen Proxy ist es nur mit solcher Zusatzhardware zu lösen.
Wenn man eine pfSense oder OPNsense Firewall sein eigen nennt ist das über das AVAHI Package einfach zu lösen. (Siehe auch hier)
Der TO sollte lieber mal mit tcpdump (apt install tcpdump) genau checken was genau der Proxy für mDNS Broadcasts in die entsprechenden Segmente sendet.
Member: schneerunzel
schneerunzel Dec 06, 2022 at 01:06:01 (UTC)
Goto Top
Die Darstellung mit (nur) drei Netzen ist als vereinfachte Darstellung zu verstehen.
Es gibt auch Netzwerke, die durch Hardware von Dritten betrieben werden. Die Freigaben und das Routing in diese Netzwerke funktioniert zwar, aber ich habe keinen Einfluss auf die VPN Hardware. Daher ist eine Lösung über pfsense oder Ähnliches nicht möglich.
Member: Mr-Gustav
Mr-Gustav Dec 06, 2022 at 06:43:33 (UTC)
Goto Top
Das Airprint Geraffel benötigt mDNS und wenns über Netzgrenzen hinweg sein soll brauchst du irgendeine Art Proxy dafür. Ich meine die PFSense kann das bzw. es gibt ein Linux Paket mit welchem man der PFSense das beibringen kann.

ich glaube aber mit der .local Domainendung wird aber Probleme geben wenn ich das richtig im Kopf habe.
Member: aqui
aqui Dec 06, 2022 updated at 15:29:28 (UTC)
Goto Top
Ich meine die PFSense kann das
Das kann sie und ist das oben genannte AVAHI Package. Das muss man über den onboard Package Manager installieren und entsprechend customizen. Eine Anleitung dafür findet man hier im Forum.
Member: schneerunzel
schneerunzel Dec 14, 2022 at 07:11:54 (UTC)
Goto Top
Hallo zusammen,

wie gesagt im Bereich der Netzwerk Infrastruktur haben ich keine Möglichkeit da etwas zu tun. Daher scheiden die Lösungen rund um pfSense oder ähnliches aus. Ein richtiger Proxy funktioniert in meinem Beispiel leider nicht...
Member: aqui
aqui Dec 14, 2022 updated at 09:23:02 (UTC)
Goto Top
Ein richtiger Proxy funktioniert in meinem Beispiel leider nicht...
Warum nicht? Normal ist das der richtige Weg das umzusetzen. Wo ist denn genau der Fehler bei dir bzw. WAS genau rennt schief? Mit dem RasPi und AVAHI ist das eigentlich eine sichere Sache und hast du mit dem Linux Rechner in B ja auch schon richtig umgesetzt. B propagiert dann in seinem Netz per mDNS die Endgeräte, Dienste und IPs von A damit Clients in B diese erreichen können. Das ist das simpkle Prinzip.
Hast du dir mit dem Wireshark oder tcpdump einmal die mDNS Multicasts in B genau angesehen, das sie in dem Netz so propagiert werden wie es sein soll?!
Damit sieht man doch dann sofort wo der Fehler ist!
Weitere mDNS Tools gibt es im App Store:
https://apps.apple.com/de/app/discovery-dns-sd-browser/id305441017
Member: schneerunzel
Solution schneerunzel Dec 14, 2022 at 16:11:59 (UTC)
Goto Top
Hallo,

Das Problem ist, dass die Verbindungen zwischen den Netzen existieren und durch einen Dritten betrieben werden. Ich habe also in den meisten Fällen kein VPN zu den Standorten sondern nutzen das vorhandene Netz. Um vom Standort A zum Standort B zu kommen habe ich zum Teil bis zu 20 Hops bis ich im anderen Standort ankommen. Da das Netz extern betrieben wird habe ich keinen Möglichkeit Einfluss auf die Auswahl der Hardware zu nehmen und auch nur begrenzten Administrativen Zugriff.


Ja inzwischen habe ich mir die Ausgaben auch schon genauer angesehen und sowohl die genannte App als auch mit Wireshark probiert. Da ich nur rudimentäre Kenntnisse in Wireshark habe (für mich sieht das alles gut aus) und auch die Anzeige in der App exakt gleich aus, habe ich weiter probiert und die Lösung gefunden.
In der Service Datei hatte ich zwei Fehler:

1. Scheinbar muss die Codierung angegeben werden
2. der subtype fehlte.

Jetzt funktioniert es.

Hier noch einmal vollständig:

Der Hostname muss von AVAHI aufgelöst werden:
avahi-publish -a -R myq.local 192.168.1.12 &


Die drucker.service unter /etc/avahi/services/ sieht wie folgt aus:
Member: aqui
aqui Dec 14, 2022 updated at 17:15:58 (UTC)
Goto Top
dass die Verbindungen zwischen den Netzen existieren und durch einen Dritten betrieben werden.
Das ist für dein Vorhaben völlig irrelevant. Wichtig ist lediglich das diese IP netze sich routingtechnisch erreichen. Ob da Dritte, ein VPN oder keins oder ein feuchter Bindfaden dazwischen ist spielt keine Rolle solange ein Ping von A nach B und vice versa klappt.
Um vom Standort A zum Standort B zu kommen habe ich zum Teil bis zu 20 Hops bis ich im anderen Standort ankommen.
Auch das spielt keinerlei Rolle. es können auch 40 Hops sein. Wichtig ist einzig und allein nur das die Netze A und B routingtechnsich gegenseitig erreichbar sind.

Die Logik dahinter ist doch eine ganz banale.
mDNS/Bonjour macht den Endgeräten im lokalen LAN über die Multicast Adresse 224.0.0.251 und Port UDP 5353 Namen und IP Adressen der relevanten Endgeräte bekannt. Mit anderen Worten dein Drucker in A (192.168.1.12) sendet aus "Hallo hier ist Drucker TintenpinklerXYZ und ich habe die IP: 192.168.1.12". Das empfangen dann alle Endgeräte und TintenpinklerXYZ.local ist dann auch immer pingbar. Wenn du dann in Word dann auf Drucken mit "TintenpinklerXYZ" klickst weiss der Druckdienst das er die Druckdaten an 192.168.1.12 senden muss. Kinderleichte Logik also...

Das Blöde ist aber das mDNS Link Lokal Multicast IP Adressen nutzt die per se unroutebar sind und generell Multicast ohne PIM Routing nicht klappt. Sprich also in Netz B ist nix von den mDNS Infos zu sehen weil die Routergrenzen nicht überwunden werden können. Folglich "kennen" die Geräte dort also den TintenpinklerXYZ in A auch nicht, geschweige seine IP.
Der Grund warum man also einen Proxy ins Netz B wie deinen dortigen Linux Rechner, RasPi oder was auch immer setzt und den den dortigen Endgeräten vorgaukeln lässt der Drucker wäre in ihrem Netz.
Genau das macht dein AVAHI Server. Alle Endgeräte in B sehen dann auch wieder den Multicast "Hallo hier ist Drucker Tintenpinkler XYZ und ich habe die IP: 192.168.1.12" und drucken an die 192.168.1.12. Wichtig ist dann einzig nur das das Druckernetz 192.168.1.0 /24 routingtechnisch auch vom Client erreichbar ist.
Was dazwischen ist ob VPN oder "Dritte" und wieviel Hops das auch immer hat ist dabei völlig unerheblich. Solange es nicht irgendwelche ACLs oder FW Blocklisten sind die den Druckdatenstrom zwischen den 2 IP Netzen behindern.

Sofern das ein normaler Netzwerkdrucker ist sollte man zusätzlich auch mit einem nicht Airprint Endgerät diesen Drucker aus B problemlos erreichen können und auch auf ihm drucken können. Das sollte man vorab immer sicherstellen.

Deshalb die Empfehlung testweise mit dem Wireshark oder tcpdump und einem mDNS Browser einmal genau in B nachzusehen ob die mDNS Broadcasts auch wirklich ausgesendet werden UND ob sie im richtigen Format wie in A gesendet werden. Ein Ping oder nslookup in B auf "myq.local" sollte dann ebenfalls klappen sofern der Drucker myq heisst?!
Hier am Beispiel eines HP Druckers:
mdnsbrow