xaero1982
Goto Top

Drucken in segmentierten Netzen über einen Printserver

Moin Zusammen,

ich habe kürzlich ein Netzwerk mit diversen VLANs segmentiert.

Es gibt auch ein Print-VLAN (400) Dort haben alle Drucker eine entsprechende feste IP bekommen.
Der Druckserver läuft auf einem Server 2016 Standard. Dort sind alle Drucker eingerichtet und werden per GPO verteilt an die jeweiligen OU's.

Das Routing läuft über eine Sophos UTM. Switche sind CBS350.

Seit dem höre ich vermehrt von den Nutzern, dass der Druckvorgang sehr lange dauert.

Hat jemand eine Idee an was das liegen könnte? Kennt das jemand?

Grüße

Content-ID: 1622855246

Url: https://administrator.de/forum/drucken-in-segmentierten-netzen-ueber-einen-printserver-1622855246.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

em-pie
Lösung em-pie 15.12.2021 um 14:05:46 Uhr
Goto Top
Moin,

wie sind die Druckports definiert? RAW/ LPR via Port 9100 oder über diesen WSD-Schei#?

Das Routing läuft über eine Sophos UTM. Switche sind CBS350.
D. h. sämtlicher Durckverkehr muss durch die UTM?
Welche UTM kommt zum Einsatz?
Welche Firewall-Policy ist dort definiert?
Finden sich im Livelog irgendwelche Anhaltspunkte?

Gruß
em-pie
Cheops
Lösung Cheops 15.12.2021 um 14:31:47 Uhr
Goto Top
Habe gerade mal auf unserer UTM nachgesehen. Du brauchst eine Regel, die den Clientsegmenten den Zugriff auf den Druckserver mit folgenden Ports erlaubt:

NETBIOS LS (Port 135)
NETBIOS NS (Port 137)
SMB (Port 445)
Dynamische Printserver Ports (49152:65535)

Damit funktioniert es bei uns einwandfrei. Versuchs mal und sag bescheid ob es geklappt hat.

Gruß
Cheops
aqui
aqui 15.12.2021 um 14:34:48 Uhr
Goto Top
Siehe auch hier:
Drucken über VPN
Xaero1982
Xaero1982 15.12.2021 um 15:18:59 Uhr
Goto Top
Zitat von @em-pie:

Moin,

wie sind die Druckports definiert? RAW/ LPR via Port 9100 oder über diesen WSD-Schei#?

Das Routing läuft über eine Sophos UTM. Switche sind CBS350.
D. h. sämtlicher Durckverkehr muss durch die UTM?
Welche UTM kommt zum Einsatz?
Welche Firewall-Policy ist dort definiert?
Finden sich im Livelog irgendwelche Anhaltspunkte?

Gruß
em-pie

Nee, WSD hab ich abgedreht - nerviger Mist. Anbindung ist ganz normal über die IP

Richtig, alles läuft über die UTM. Eine SG135.
Die VLANs dürfen alles auf den Servern.

Muss ich kontrollieren, ob da was ist.
Zitat von @Cheops:

Habe gerade mal auf unserer UTM nachgesehen. Du brauchst eine Regel, die den Clientsegmenten den Zugriff auf den Druckserver mit folgenden Ports erlaubt:

NETBIOS LS (Port 135)
NETBIOS NS (Port 137)
SMB (Port 445)
Dynamische Printserver Ports (49152:65535)

Damit funktioniert es bei uns einwandfrei. Versuchs mal und sag bescheid ob es geklappt hat.

Gruß
Cheops

Die Clients dürfen alles auf den Servern. Es geht ja grds. auch. Dauert halt nur recht lange.


Zitat von @aqui:

Siehe auch hier:
Drucken über VPN

Hilft mir nur bedingt face-smile Drucker sind alle per IP angebunden mit entsprechend stinknormalen Treibern, ohne Ranzsoftware der Hersteller.

Grüße
schautnurzu
schautnurzu 16.12.2021 um 21:15:16 Uhr
Goto Top
Windows hat mal Probleme mit dem DNS bei den Druckern, mal die festen IPs probiert?
Da gab es auch KB patches zu.
Xaero1982
Xaero1982 16.12.2021 um 22:10:59 Uhr
Goto Top
Zitat von @schautnurzu:

Windows hat mal Probleme mit dem DNS bei den Druckern, mal die festen IPs probiert?
Da gab es auch KB patches zu.

Ich arbeite nur mit festen IPs oder was meinst du?
Xaero1982
Xaero1982 18.12.2021 aktualisiert um 10:25:50 Uhr
Goto Top
Moin,

so, also ich habe nun mal die UTM kontrolliert. Dort gibt es einige UDP Pakete zwischen Client und Drucker die verworfen werden - Port 161 (SNMP). Aber eigentlich sollte der Zugriff ja von Client über den Server auf die Drucker erfolgen. Macht das irgendwie Sinn, dass dann Pakete direkt vom Client an den Drucker geblockt werden?

Wenn ich eine Testseite direkt vom Server drucke geht die sofort raus.

Protokoll ist LPR bei den Anschlüssen und wie gesagt Anbindung über IP.

Grüße
Xaero1982
Xaero1982 18.12.2021 um 10:34:40 Uhr
Goto Top
So, ich hab noch einen Port gefunden: 50001 (TCP)

Den habe ich nun auch freigegeben und nun scheint es zu laufen. Mal sehen wie die Rückmeldung kommende Woche ist.

Auch wenn das für mich keinen Sinn macht, wenn ich nur über den Druckserver drucken will. Warum braucht der Client dann Zugriff?

Grüße
aqui
aqui 18.12.2021 um 13:51:21 Uhr
Goto Top
50001 ist ein OpenAPI Port über den sehr viele Druckerhersteller Parameter zum Druckauftrag mit übertragen. Um das aber genau zu beurteilen müsste man mal einen Wireshark Trace eines Druckauftrags ziehen. Es ist aber in jedem Falle richtig den Port zu öffnen bei Printer Traffic.
Xaero1982
Xaero1982 18.12.2021 um 17:41:41 Uhr
Goto Top
So weit so klar, aber ich wollte nun eigentlich keine Türen zwischen den Vlans öffnen. Das sollte nur über den Druckserver laufen. Geht ja auch grds., aber der Auftrag dauert halt wesentlich länger, bis er beim Client raus ist.

Na mal abwarten was die nächste Woche sagen - ob es schneller geht. Bei mir ging es in den Tests zumindest schneller.

Grüße