12
AirPrint im Unifi Gastnetzwerk
Hallo zusammen und bitte um eure Hilfe!
Ich verwende UniFi-Access Points. Für Gäste habe ich das Hotspot-Portal aktiviert. In den Einstellungen des Hotspot-Portals habe ich den Autorisierungszugriff für einen Drucker-IP Adresse hinterlegt, damit Gäste den Drucker verwenden können. Das funktioniert soweit auch alles zufriedenstellend.
Nun tauchte die Frage auf, warum man den nicht von einem Handy (iPhone) aus drucken kann, obwohl der Drucker ja bei Laptops, welche mit selben WLAN verbunden sind, funktioniert. Meines Checks nach muss das an der Client-Geräte-Isolierung liegen (im Quickinfo steht sogar, dass dadurch AirPlay u.a. Dienste möglicherweise nicht funkionieren...).
Kann dies jemand bestätigen, oder liege ich dbzgl. falsch?
Bzw. wenn ich falsch liege - kann mir jemand eine Strategie beschreiben, welche Einstellungen vorzunehmen sind?
Ach ja - kein USG (sondern Drittproduktrouter) und auch keine Firewall vorhanden.
Danke.
MfG
M.A.
Ich verwende UniFi-Access Points. Für Gäste habe ich das Hotspot-Portal aktiviert. In den Einstellungen des Hotspot-Portals habe ich den Autorisierungszugriff für einen Drucker-IP Adresse hinterlegt, damit Gäste den Drucker verwenden können. Das funktioniert soweit auch alles zufriedenstellend.
Nun tauchte die Frage auf, warum man den nicht von einem Handy (iPhone) aus drucken kann, obwohl der Drucker ja bei Laptops, welche mit selben WLAN verbunden sind, funktioniert. Meines Checks nach muss das an der Client-Geräte-Isolierung liegen (im Quickinfo steht sogar, dass dadurch AirPlay u.a. Dienste möglicherweise nicht funkionieren...).
Kann dies jemand bestätigen, oder liege ich dbzgl. falsch?
Bzw. wenn ich falsch liege - kann mir jemand eine Strategie beschreiben, welche Einstellungen vorzunehmen sind?
Ach ja - kein USG (sondern Drittproduktrouter) und auch keine Firewall vorhanden.
Danke.
MfG
M.A.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33717445699
Url: https://administrator.de/contentid/33717445699
Printed on: April 27, 2024 at 07:04 o'clock
12 Comments
Latest comment
Hallo,
bonjour, multicast, mDNS und avahi proxy sind deine Suchbegriffe.
Gruß
bonjour, multicast, mDNS und avahi proxy sind deine Suchbegriffe.
Gruß
Moin,
Airprint basiert auf Multicast. Das wird keine Gateways über springen können.
Wenn du hier nach Airprint suchst, wird bestimmt 30 gleich gelagerte Fragen finden.
Gruß
Spirit
Airprint basiert auf Multicast. Das wird keine Gateways über springen können.
Wenn du hier nach Airprint suchst, wird bestimmt 30 gleich gelagerte Fragen finden.
Gruß
Spirit
AirPrint nutzt mDNS um den Drucker im (gleichen) Netzwerk den Clients bekannt zu machen.
mDNS nutzt Link local (TTL=1) IPv4 Multicast Adressen 224.0.0.251 die nicht routebar sind. Um mDNS Services netzwerkübergreifend zu nutzen benötigt man einen Proxy der in vielen APs und Routern vorhanden ist. (Siehe zu der Thematik auch: Apple AirPrint über VLANs )
Letzteres ist bei dir aber ja nicht der Fall wenn es stimmt, wie du schreibst, das sich Drucker und Clients im selben Layer 2 Netzwerk (Broadcast Domain) befinden. Damit sollte die AirPrint Erkennung eigentlich sauber funktionieren.
Eine im WLAN oft übliche und auch sicherheitstechnisch sinnvolle Client Isolation sollte darauf keinerlei Einfluss haben, denn die filtert üblicherweise nur Broadcasts oder ARP Frames (Ethernet-Frame Type 0x0806) die damit eine lokale Connectivity der WLAN Clients untereinander im WLAN Netz sicher unterbinden. Multicasts sollten davon nicht betroffen sein.
Es ist aber möglich das dein AP oder WLAN Controller Multicasts global blockt. Das passiert in einigen Geräten wenn die Multicast zu Unicast Konvertierung (Multicast-to-Unicast, MC2UC) im WLAN, sofern als Feature vorhanden, gar nicht oder fehlerhaft konfiguriert wurde.
Hier musst du also noch einmal genauer ins WLAN Setup sehen wie dein WLAN das Handling von Multicast Frames handhabt. Dort wird sicher der Fehler liegen!
mDNS nutzt Link local (TTL=1) IPv4 Multicast Adressen 224.0.0.251 die nicht routebar sind. Um mDNS Services netzwerkübergreifend zu nutzen benötigt man einen Proxy der in vielen APs und Routern vorhanden ist. (Siehe zu der Thematik auch: Apple AirPrint über VLANs )
Letzteres ist bei dir aber ja nicht der Fall wenn es stimmt, wie du schreibst, das sich Drucker und Clients im selben Layer 2 Netzwerk (Broadcast Domain) befinden. Damit sollte die AirPrint Erkennung eigentlich sauber funktionieren.
Eine im WLAN oft übliche und auch sicherheitstechnisch sinnvolle Client Isolation sollte darauf keinerlei Einfluss haben, denn die filtert üblicherweise nur Broadcasts oder ARP Frames (Ethernet-Frame Type 0x0806) die damit eine lokale Connectivity der WLAN Clients untereinander im WLAN Netz sicher unterbinden. Multicasts sollten davon nicht betroffen sein.
Es ist aber möglich das dein AP oder WLAN Controller Multicasts global blockt. Das passiert in einigen Geräten wenn die Multicast zu Unicast Konvertierung (Multicast-to-Unicast, MC2UC) im WLAN, sofern als Feature vorhanden, gar nicht oder fehlerhaft konfiguriert wurde.
Hier musst du also noch einmal genauer ins WLAN Setup sehen wie dein WLAN das Handling von Multicast Frames handhabt. Dort wird sicher der Fehler liegen!
Hallo aqui!
Besten Dank für deine Antwort.
Wie du schreibst - "Es ist möglich das dein AP oder WLAN Controller Multicast global blockt."
Ich habe tatsächlich die Optionen "Multicast-Erweiterung" sowie "Multicast und Broadcast Control" nicht aktiviert.
Hier werde ich ansetzen.
Wenn die Option "Multicast und Broadcast Control" aktiviert ist - sollten das Gateway und der DHCP als Ausnahme hinzugefügt werden. - So der Hinweis im Unifi-Controller.
mDNS ist am Drucker aktiviert.
Ich werde die Sache testen und Bescheid geben. Leider bin ich aber erst wieder nächste Woche vor Ort. Deshalb bitte um etwas Geduld bei der Rückmeldung.
Ich bedanke mich soweit. Sollte dir noch etwas auffallen - bitte ich erneut um Rückmeldung.
Danke.
MfG
M.A.
Besten Dank für deine Antwort.
Wie du schreibst - "Es ist möglich das dein AP oder WLAN Controller Multicast global blockt."
Ich habe tatsächlich die Optionen "Multicast-Erweiterung" sowie "Multicast und Broadcast Control" nicht aktiviert.
Hier werde ich ansetzen.
Wenn die Option "Multicast und Broadcast Control" aktiviert ist - sollten das Gateway und der DHCP als Ausnahme hinzugefügt werden. - So der Hinweis im Unifi-Controller.
mDNS ist am Drucker aktiviert.
Ich werde die Sache testen und Bescheid geben. Leider bin ich aber erst wieder nächste Woche vor Ort. Deshalb bitte um etwas Geduld bei der Rückmeldung.
Ich bedanke mich soweit. Sollte dir noch etwas auffallen - bitte ich erneut um Rückmeldung.
Danke.
MfG
M.A.
Hallo zusammen!
Ich möchte mir erlauben, den Thread nochmal zu "aktivieren". Das obige "Problem" ist nun wieder aktuell geworden. Leider habe ich bis dato keine Lösung dazu gefunden.
Ich habe im UniFi Controller im WLAN-Setup mittlerweile die Multicast-Erweiterung aktiviert, sowie die Multicast und Broadcast Control (dort als Ausnahmen den Drucker sowie das Apple Gerät hinzugefügt).
Leider bis dato ohne Erfolg - sprich ich kann im UniFi Gastnetzwerk nicht via AirPrint ausdrucken. (Wie oben beschrieben funktioniert es aber im "nicht Gäste WLAN". Es ist keine VLAN Konfiguration vorhanden. Gäste-WLAN wird "nur" via UniFi Controller (Software) bereitgestellt.
Wäre für Lösungsansätze dankbar.
MfG
M.A.
Ich möchte mir erlauben, den Thread nochmal zu "aktivieren". Das obige "Problem" ist nun wieder aktuell geworden. Leider habe ich bis dato keine Lösung dazu gefunden.
Ich habe im UniFi Controller im WLAN-Setup mittlerweile die Multicast-Erweiterung aktiviert, sowie die Multicast und Broadcast Control (dort als Ausnahmen den Drucker sowie das Apple Gerät hinzugefügt).
Leider bis dato ohne Erfolg - sprich ich kann im UniFi Gastnetzwerk nicht via AirPrint ausdrucken. (Wie oben beschrieben funktioniert es aber im "nicht Gäste WLAN". Es ist keine VLAN Konfiguration vorhanden. Gäste-WLAN wird "nur" via UniFi Controller (Software) bereitgestellt.
Wäre für Lösungsansätze dankbar.
MfG
M.A.
Befinden sich denn Gäste Clients und AirPrint Drucker im gleichen (Layer 2) WLAN??
Wenn nicht, also wenn Drucker und Clients in unterschiedlichen, gerouteten IP Netzen liegen, wäre es klar das du nicht drucken kannst, denn mDNS Multicasts werden dann ohne einen mDNS Relay logischerweise nicht in andere Layer 2 Segmente übertragen.
Nur das du das auf dem Radar hast?!
Sollten sie im gleichen WLAN bzw. Layer 2 Broadcast Domain sein kann eine aktivierte Client Isolation in dem WLAN ggf. das Problem sein.
Idealerweise lässt man einmal auf einem WLAN Client einen Wireshark mitlaufen und checkt ob dort überhaupt mDNS Multicasts des Druckers ankommen. mDNS nutzt die Multicast Adresse 224.0.0.251 mit Port UDP 5353. Hast du das einmal gemacht?!
Wenn nicht, also wenn Drucker und Clients in unterschiedlichen, gerouteten IP Netzen liegen, wäre es klar das du nicht drucken kannst, denn mDNS Multicasts werden dann ohne einen mDNS Relay logischerweise nicht in andere Layer 2 Segmente übertragen.
Nur das du das auf dem Radar hast?!
Sollten sie im gleichen WLAN bzw. Layer 2 Broadcast Domain sein kann eine aktivierte Client Isolation in dem WLAN ggf. das Problem sein.
Idealerweise lässt man einmal auf einem WLAN Client einen Wireshark mitlaufen und checkt ob dort überhaupt mDNS Multicasts des Druckers ankommen. mDNS nutzt die Multicast Adresse 224.0.0.251 mit Port UDP 5353. Hast du das einmal gemacht?!
Hallo aqui!
Vorweg - danke für deine Antworten.
Ja - die Gäste Clients und der AirPrint Drucker befinden sich im selben WLAN (Layer 2).
Ich bin zwar noch nicht dazu gekommen einen Wireshark mitlaufen zu lassen - ABER: - wie oben schon beschrieben - verbinde ich mich mit einem Apfel Gerät mit dem administrativen WLAN - dieses ist im UniFi Controller nicht als Gäste-WLAN definiert - funktioniert die Angelegenheit ohne weitere Probleme. Verbinde ich das Gerät mit einem Gast-WLAN - und nur dort ist die Clientisolation aktiv = kein AirPrint möglich. Es ist demnach davon auszugehen, dass diese Clientisolation (trotz aktivem Multicast und Broadcast Control) dafür verantwortlich sein muss.
Sollte jemand andere Erfahrungen oder einen anderen Lösungsweg wissen bitte ich diesen zu posten.
Danke.
MfG
M.A.
Vorweg - danke für deine Antworten.
Ja - die Gäste Clients und der AirPrint Drucker befinden sich im selben WLAN (Layer 2).
Ich bin zwar noch nicht dazu gekommen einen Wireshark mitlaufen zu lassen - ABER: - wie oben schon beschrieben - verbinde ich mich mit einem Apfel Gerät mit dem administrativen WLAN - dieses ist im UniFi Controller nicht als Gäste-WLAN definiert - funktioniert die Angelegenheit ohne weitere Probleme. Verbinde ich das Gerät mit einem Gast-WLAN - und nur dort ist die Clientisolation aktiv = kein AirPrint möglich. Es ist demnach davon auszugehen, dass diese Clientisolation (trotz aktivem Multicast und Broadcast Control) dafür verantwortlich sein muss.
Sollte jemand andere Erfahrungen oder einen anderen Lösungsweg wissen bitte ich diesen zu posten.
Danke.
MfG
M.A.
Die Client Isolation unterdrückt mit der aktiven Client Isolation alle ARP und Multicast Pakete um ja genau einen Any zu Any Traffic dieser Komponenten zu unterdrücken. Ohne ARP generell keine Kommunikation in einem L2 Netz und ohne Multicast keine Sichtbarkeit des Airprint Druckers. 2 gravierende Gründe also warum es deshalb scheitern muss und man sich da dann nicht groß wundern muss. Höchstens darüber das du dennoch der Meinung bist es zum Fliegen zu bekommen. 
Da gibt es auch keinerlei Workaround außer das Abschalten der Isolation.
Schalte die Client isolation im Gastnetz Setup aus, dann klappt es auch sofort genau wie im Admin WLAN. Einfache Logik...
Da gibt es auch keinerlei Workaround außer das Abschalten der Isolation.
Schalte die Client isolation im Gastnetz Setup aus, dann klappt es auch sofort genau wie im Admin WLAN. Einfache Logik...
Hello!
Ja - das bringen wir nicht zum Fliegen.
Ich stelle den Thread auf gelöst. Denn auch die Erkenntnis, das es schlichtweg nicht möglich ist ist eine Erkenntnis.
Danke.
MfG
M.A.
Ja - das bringen wir nicht zum Fliegen.
Ich stelle den Thread auf gelöst. Denn auch die Erkenntnis, das es schlichtweg nicht möglich ist ist eine Erkenntnis.
Danke.
MfG
M.A.
Ja - das bringen wir nicht zum Fliegen.
Doch, wenn du ganz einfach mit einem Mausklick im Setup die Client Isolation in dem WLAN aufhebst. Die ist der Grund der Fehlfunktion und wurde oben ja schon mehrfach gesagt! 😉Denn auch die Erkenntnis, das es schlichtweg nicht möglich ist ist eine Erkenntnis.
Die aber aus technischer Sicht grundfalsch ist!! Aber egal...
Guten Abend aqui!
Die Clientisolation ist (derzeit) unumgänglich. In absehbarer Zukunft sollte diese aber hinfällig werden. Also Licht am Ende des Tunnels.
Da diese derzeit aber notwendig ist - ist aus meiner Sicht die Aussage nicht grundfalsch. Aber egal...
Danke für deine Antworten!
MfG
M.A.
Die Clientisolation ist (derzeit) unumgänglich. In absehbarer Zukunft sollte diese aber hinfällig werden. Also Licht am Ende des Tunnels.
Da diese derzeit aber notwendig ist - ist aus meiner Sicht die Aussage nicht grundfalsch. Aber egal...
Danke für deine Antworten!
MfG
M.A.
Die Clientisolation ist (derzeit) unumgänglich.
Binde dann den Drucker mit Kupfer in dem Gastsegment an statt WLAN. Die Isolation bezieht sich nur auf die WLAN Clients nicht aber auf Devices die jenseits des AP Kupferports liegen. ist aus meiner Sicht die Aussage nicht grundfalsch.
Aus rein technischer Sicht, wie oben gesagt, schon. Bei dir spielt aber Politik mit rein und dann sieht es bekanntlich immer anders aus...