AirPrint im Unifi Gastnetzwerk
Hallo zusammen und bitte um eure Hilfe!
Ich verwende UniFi-Access Points. Für Gäste habe ich das Hotspot-Portal aktiviert. In den Einstellungen des Hotspot-Portals habe ich den Autorisierungszugriff für einen Drucker-IP Adresse hinterlegt, damit Gäste den Drucker verwenden können. Das funktioniert soweit auch alles zufriedenstellend.
Nun tauchte die Frage auf, warum man den nicht von einem Handy (iPhone) aus drucken kann, obwohl der Drucker ja bei Laptops, welche mit selben WLAN verbunden sind, funktioniert. Meines Checks nach muss das an der Client-Geräte-Isolierung liegen (im Quickinfo steht sogar, dass dadurch AirPlay u.a. Dienste möglicherweise nicht funkionieren...).
Kann dies jemand bestätigen, oder liege ich dbzgl. falsch?
Bzw. wenn ich falsch liege - kann mir jemand eine Strategie beschreiben, welche Einstellungen vorzunehmen sind?
Ach ja - kein USG (sondern Drittproduktrouter) und auch keine Firewall vorhanden.
Danke.
MfG
M.A.
Ich verwende UniFi-Access Points. Für Gäste habe ich das Hotspot-Portal aktiviert. In den Einstellungen des Hotspot-Portals habe ich den Autorisierungszugriff für einen Drucker-IP Adresse hinterlegt, damit Gäste den Drucker verwenden können. Das funktioniert soweit auch alles zufriedenstellend.
Nun tauchte die Frage auf, warum man den nicht von einem Handy (iPhone) aus drucken kann, obwohl der Drucker ja bei Laptops, welche mit selben WLAN verbunden sind, funktioniert. Meines Checks nach muss das an der Client-Geräte-Isolierung liegen (im Quickinfo steht sogar, dass dadurch AirPlay u.a. Dienste möglicherweise nicht funkionieren...).
Kann dies jemand bestätigen, oder liege ich dbzgl. falsch?
Bzw. wenn ich falsch liege - kann mir jemand eine Strategie beschreiben, welche Einstellungen vorzunehmen sind?
Ach ja - kein USG (sondern Drittproduktrouter) und auch keine Firewall vorhanden.
Danke.
MfG
M.A.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33717445699
Url: https://administrator.de/forum/airprint-im-unifi-gastnetzwerk-33717445699.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
12 Kommentare
Neuester Kommentar
AirPrint nutzt mDNS um den Drucker im (gleichen) Netzwerk den Clients bekannt zu machen.
mDNS nutzt Link local (TTL=1) IPv4 Multicast Adressen 224.0.0.251 die nicht routebar sind. Um mDNS Services netzwerkübergreifend zu nutzen benötigt man einen Proxy der in vielen APs und Routern vorhanden ist. (Siehe zu der Thematik auch: Apple AirPrint über VLANs )
Letzteres ist bei dir aber ja nicht der Fall wenn es stimmt, wie du schreibst, das sich Drucker und Clients im selben Layer 2 Netzwerk (Broadcast Domain) befinden. Damit sollte die AirPrint Erkennung eigentlich sauber funktionieren.
Eine im WLAN oft übliche und auch sicherheitstechnisch sinnvolle Client Isolation sollte darauf keinerlei Einfluss haben, denn die filtert üblicherweise nur Broadcasts oder ARP Frames (Ethernet-Frame Type 0x0806) die damit eine lokale Connectivity der WLAN Clients untereinander im WLAN Netz sicher unterbinden. Multicasts sollten davon nicht betroffen sein.
Es ist aber möglich das dein AP oder WLAN Controller Multicasts global blockt. Das passiert in einigen Geräten wenn die Multicast zu Unicast Konvertierung (Multicast-to-Unicast, MC2UC) im WLAN, sofern als Feature vorhanden, gar nicht oder fehlerhaft konfiguriert wurde.
Hier musst du also noch einmal genauer ins WLAN Setup sehen wie dein WLAN das Handling von Multicast Frames handhabt. Dort wird sicher der Fehler liegen!
mDNS nutzt Link local (TTL=1) IPv4 Multicast Adressen 224.0.0.251 die nicht routebar sind. Um mDNS Services netzwerkübergreifend zu nutzen benötigt man einen Proxy der in vielen APs und Routern vorhanden ist. (Siehe zu der Thematik auch: Apple AirPrint über VLANs )
Letzteres ist bei dir aber ja nicht der Fall wenn es stimmt, wie du schreibst, das sich Drucker und Clients im selben Layer 2 Netzwerk (Broadcast Domain) befinden. Damit sollte die AirPrint Erkennung eigentlich sauber funktionieren.
Eine im WLAN oft übliche und auch sicherheitstechnisch sinnvolle Client Isolation sollte darauf keinerlei Einfluss haben, denn die filtert üblicherweise nur Broadcasts oder ARP Frames (Ethernet-Frame Type 0x0806) die damit eine lokale Connectivity der WLAN Clients untereinander im WLAN Netz sicher unterbinden. Multicasts sollten davon nicht betroffen sein.
Es ist aber möglich das dein AP oder WLAN Controller Multicasts global blockt. Das passiert in einigen Geräten wenn die Multicast zu Unicast Konvertierung (Multicast-to-Unicast, MC2UC) im WLAN, sofern als Feature vorhanden, gar nicht oder fehlerhaft konfiguriert wurde.
Hier musst du also noch einmal genauer ins WLAN Setup sehen wie dein WLAN das Handling von Multicast Frames handhabt. Dort wird sicher der Fehler liegen!
Befinden sich denn Gäste Clients und AirPrint Drucker im gleichen (Layer 2) WLAN??
Wenn nicht, also wenn Drucker und Clients in unterschiedlichen, gerouteten IP Netzen liegen, wäre es klar das du nicht drucken kannst, denn mDNS Multicasts werden dann ohne einen mDNS Relay logischerweise nicht in andere Layer 2 Segmente übertragen.
Nur das du das auf dem Radar hast?!
Sollten sie im gleichen WLAN bzw. Layer 2 Broadcast Domain sein kann eine aktivierte Client Isolation in dem WLAN ggf. das Problem sein.
Idealerweise lässt man einmal auf einem WLAN Client einen Wireshark mitlaufen und checkt ob dort überhaupt mDNS Multicasts des Druckers ankommen. mDNS nutzt die Multicast Adresse 224.0.0.251 mit Port UDP 5353. Hast du das einmal gemacht?!
Wenn nicht, also wenn Drucker und Clients in unterschiedlichen, gerouteten IP Netzen liegen, wäre es klar das du nicht drucken kannst, denn mDNS Multicasts werden dann ohne einen mDNS Relay logischerweise nicht in andere Layer 2 Segmente übertragen.
Nur das du das auf dem Radar hast?!
Sollten sie im gleichen WLAN bzw. Layer 2 Broadcast Domain sein kann eine aktivierte Client Isolation in dem WLAN ggf. das Problem sein.
Idealerweise lässt man einmal auf einem WLAN Client einen Wireshark mitlaufen und checkt ob dort überhaupt mDNS Multicasts des Druckers ankommen. mDNS nutzt die Multicast Adresse 224.0.0.251 mit Port UDP 5353. Hast du das einmal gemacht?!
Die Client Isolation unterdrückt mit der aktiven Client Isolation alle ARP und Multicast Pakete um ja genau einen Any zu Any Traffic dieser Komponenten zu unterdrücken. Ohne ARP generell keine Kommunikation in einem L2 Netz und ohne Multicast keine Sichtbarkeit des Airprint Druckers. 2 gravierende Gründe also warum es deshalb scheitern muss und man sich da dann nicht groß wundern muss. Höchstens darüber das du dennoch der Meinung bist es zum Fliegen zu bekommen.
Da gibt es auch keinerlei Workaround außer das Abschalten der Isolation.
Schalte die Client isolation im Gastnetz Setup aus, dann klappt es auch sofort genau wie im Admin WLAN. Einfache Logik...
Da gibt es auch keinerlei Workaround außer das Abschalten der Isolation.
Schalte die Client isolation im Gastnetz Setup aus, dann klappt es auch sofort genau wie im Admin WLAN. Einfache Logik...
Ja - das bringen wir nicht zum Fliegen.
Doch, wenn du ganz einfach mit einem Mausklick im Setup die Client Isolation in dem WLAN aufhebst. Die ist der Grund der Fehlfunktion und wurde oben ja schon mehrfach gesagt! 😉Denn auch die Erkenntnis, das es schlichtweg nicht möglich ist ist eine Erkenntnis.
Die aber aus technischer Sicht grundfalsch ist!! Aber egal...Die Clientisolation ist (derzeit) unumgänglich.
Binde dann den Drucker mit Kupfer in dem Gastsegment an statt WLAN. Die Isolation bezieht sich nur auf die WLAN Clients nicht aber auf Devices die jenseits des AP Kupferports liegen. ist aus meiner Sicht die Aussage nicht grundfalsch.
Aus rein technischer Sicht, wie oben gesagt, schon. Bei dir spielt aber Politik mit rein und dann sieht es bekanntlich immer anders aus...