11
Druckerfreigabe von VLAN X nach VLAN Y
Hallo Zusammen,
ich habe bei mir Zuhause ein Heimnetzwerk mit einer pfSense hinter einer Fritzbox aufgebaut.
Mein gesamtes Netzwerk befindet sich hinter der pfSense, welche 4 Hardwareschnittstellen hat und auch noch diverse VLAN's die darauf aufgesetzt sind.
Die Frage ist nun, wie ich eine Druckerfreigabe von VLAN3 auf VLAN 4 am besten realisiere?
D.h. der Drucker befindet sich z.B. im VLAN 3 und ich möchte mit Geräten die im VLAN 4 eingewählt sind drucken und am Besten auch nach dahin scannen können.
Wie löst man dies möglichst sicher? Die VLAN sind ansonsten über Regeln voneinander geblockt.
Gruß Hans
ich habe bei mir Zuhause ein Heimnetzwerk mit einer pfSense hinter einer Fritzbox aufgebaut.
Mein gesamtes Netzwerk befindet sich hinter der pfSense, welche 4 Hardwareschnittstellen hat und auch noch diverse VLAN's die darauf aufgesetzt sind.
Die Frage ist nun, wie ich eine Druckerfreigabe von VLAN3 auf VLAN 4 am besten realisiere?
D.h. der Drucker befindet sich z.B. im VLAN 3 und ich möchte mit Geräten die im VLAN 4 eingewählt sind drucken und am Besten auch nach dahin scannen können.
Wie löst man dies möglichst sicher? Die VLAN sind ansonsten über Regeln voneinander geblockt.
Gruß Hans
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 638588
Url: https://administrator.de/contentid/638588
Printed on: April 26, 2024 at 05:04 o'clock
11 Comments
Latest comment
Alter, Du machst aber auch einen Aufriss. 
Was hast Du denn noch in VLAN 1-4 drin? Reichen 7 und 8 nicht? Wenn Du die ganzen VLAN´s so aufweichst, das Du aus jedem VLAN auf ein Anders zugreifen kannst, kannst Du es auch gleich lassen.
Wenn ich den anderen Thread richtig interpretiere, reichen für Dich drei VLAN´s 1x Home, 1x Hausautomation und 1x Gaeste. Und keiner darf auf den anderen zugreifen. Alles Andere ergibt IMHO keinen Sinn.
🖖
Was hast Du denn noch in VLAN 1-4 drin? Reichen 7 und 8 nicht? Wenn Du die ganzen VLAN´s so aufweichst, das Du aus jedem VLAN auf ein Anders zugreifen kannst, kannst Du es auch gleich lassen.
Wenn ich den anderen Thread richtig interpretiere, reichen für Dich drei VLAN´s 1x Home, 1x Hausautomation und 1x Gaeste. Und keiner darf auf den anderen zugreifen. Alles Andere ergibt IMHO keinen Sinn.
🖖
Firewall entsprechend öffnen oder den Drucker in ein eigenes VLAN packen, auf das beide VLANs unbeschränkt zugreifen dürfen.
Fürs Drucken musst du dann das verwendete Protokoll heraussuchen, also z.B. TCP/9100 für Raw-Print und dazu auch noch SNMP UDP/161 für die Statusmeldungen. Was nicht funktionieren wird, ist automatisches Erkennen des Druckers per WSD, Bonjour oder UPnP, dass funktioniert ohne komplexe Konfiguration nur in dem VLAN, in dem der Drucker steht.
Zum Scannen muss man dann auch wieder das passende Protokoll (meist SMB über UDP/445) in Gegenrichtung freigeben.
Fürs Drucken musst du dann das verwendete Protokoll heraussuchen, also z.B. TCP/9100 für Raw-Print und dazu auch noch SNMP UDP/161 für die Statusmeldungen. Was nicht funktionieren wird, ist automatisches Erkennen des Druckers per WSD, Bonjour oder UPnP, dass funktioniert ohne komplexe Konfiguration nur in dem VLAN, in dem der Drucker steht.
Zum Scannen muss man dann auch wieder das passende Protokoll (meist SMB über UDP/445) in Gegenrichtung freigeben.
Zitat von @Dr.Bit:
Alter, Du machst aber auch einen Aufriss.
Was hast Du denn noch in VLAN 1-4 drin? Reichen 7 und 8 nicht? Wenn Du die ganzen VLAN´s so aufweichst, das Du aus jedem VLAN auf ein Anders zugreifen kannst, kannst Du es auch gleich lassen.
Wenn ich den anderen Thread richtig interpretiere, reichen für Dich drei VLAN´s 1x Home, 1x Hausautomation und 1x Gaeste. Und keiner darf auf den anderen zugreifen. Alles Andere ergibt IMHO keinen Sinn.
🖖
Alter, Du machst aber auch einen Aufriss.
Was hast Du denn noch in VLAN 1-4 drin? Reichen 7 und 8 nicht? Wenn Du die ganzen VLAN´s so aufweichst, das Du aus jedem VLAN auf ein Anders zugreifen kannst, kannst Du es auch gleich lassen.
Wenn ich den anderen Thread richtig interpretiere, reichen für Dich drei VLAN´s 1x Home, 1x Hausautomation und 1x Gaeste. Und keiner darf auf den anderen zugreifen. Alles Andere ergibt IMHO keinen Sinn.
🖖
Servus,
hatte ich auch ursprünglich mal mit weniger Netzen geplant, aber wenn man im Internet und in den Foren liest was denn überall so mithört und was man den alles so per Mail bekommt, weiß nicht ob ich alles andere als die Hausautomation in einem LAN haben will. Oder siehst du Fire- -TV-Stick, Smart TV und solche Dinge nicht so kritisch?
Die Netzwerke summieren sich gleich mal, eines ist z.B. eines für die Kinder, wenn diese mal anfangen mit dem Internet zu spielen.
Will vor allem nicht, dass wenn doch mal irgend ein Gerät infiziert ist, ich mir dann alle anderen Geräte/Netzwerke anschauen muss.
Gegeneinander sperren wär schon das Beste, aber dann ist eben auch jeglicher Komfort dahin.
Prinzipiell hast wahrscheinlich recht, wobei es wirklich immer nur ein Sache ist, die ich durchlassen will.
Wie man es macht ist es wahrscheinlich falsch
Gruß Hans
Zitat von @tikayevent:
Firewall entsprechend öffnen oder den Drucker in ein eigenes VLAN packen, auf das beide VLANs unbeschränkt zugreifen dürfen.
Fürs Drucken musst du dann das verwendete Protokoll heraussuchen, also z.B. TCP/9100 für Raw-Print und dazu auch noch SNMP UDP/161 für die Statusmeldungen. Was nicht funktionieren wird, ist automatisches Erkennen des Druckers per WSD, Bonjour oder UPnP, dass funktioniert ohne komplexe Konfiguration nur in dem VLAN, in dem der Drucker steht.
Zum Scannen muss man dann auch wieder das passende Protokoll (meist SMB über UDP/445) in Gegenrichtung freigeben.
Firewall entsprechend öffnen oder den Drucker in ein eigenes VLAN packen, auf das beide VLANs unbeschränkt zugreifen dürfen.
Fürs Drucken musst du dann das verwendete Protokoll heraussuchen, also z.B. TCP/9100 für Raw-Print und dazu auch noch SNMP UDP/161 für die Statusmeldungen. Was nicht funktionieren wird, ist automatisches Erkennen des Druckers per WSD, Bonjour oder UPnP, dass funktioniert ohne komplexe Konfiguration nur in dem VLAN, in dem der Drucker steht.
Zum Scannen muss man dann auch wieder das passende Protokoll (meist SMB über UDP/445) in Gegenrichtung freigeben.
Hallo,
nur nochmal zum Verständnis:
Wenn ich jetzt eine Regel erstelle in der ich vom VLAN X die erforderlichen Druckerports für nur die IP-Adresse vom Drucker freigebe und von der anderen Seite dann nur von Quelle: Drucker, dann kann ja auch kein anderes Gerät diese Ports über das VLAN hinweg nutzen, da ja nicht für das gesamte Netzwerk geöffnet oder?
Gruß Hans
Zitat von @tikayevent:
Firewall entsprechend öffnen oder den Drucker in ein eigenes VLAN packen, auf das beide VLANs unbeschränkt zugreifen dürfen.
Aha, und dann kommunizieren zwei VLAN´s über ein Drittes uneingeschränkt miteinander? Also 3 VLAN´s? Oder habe ich Dich falsch verstanden?Firewall entsprechend öffnen oder den Drucker in ein eigenes VLAN packen, auf das beide VLANs unbeschränkt zugreifen dürfen.
🖖
Zitat von @snah0815:
hatte ich auch ursprünglich mal mit weniger Netzen geplant, aber wenn man im Internet und in den Foren liest was denn überall so mithört und was man den alles so per Mail bekommt, weiß nicht ob ich alles andere als die Hausautomation in einem LAN haben will. Oder siehst du Fire- -TV-Stick, Smart TV und solche Dinge nicht so kritisch?
hatte ich auch ursprünglich mal mit weniger Netzen geplant, aber wenn man im Internet und in den Foren liest was denn überall so mithört und was man den alles so per Mail bekommt, weiß nicht ob ich alles andere als die Hausautomation in einem LAN haben will. Oder siehst du Fire- -TV-Stick, Smart TV und solche Dinge nicht so kritisch?
Nutzt du Google oder bist vielleicht sogar bei facebook oder WhatsAPP oder.....? Da mamcht ein Fire-TV oder Smart TV oder Amazon Prime oder.... auch nichts mehr aus. Es sei denn, Du willst für jeden Internetdienst noch ein eigenes VLAN bauen.
Kanone und Spatz und so.
Hausautomation abgrenzen bin voll bei Dir. Das kannst du aber auch über den LoxonServer regeln der dann auch bei Loxon steht. Dafür mußt Du nichts aufmachen was nicht sowieso schon auf ist. Eben Port 80 und 443. Und ein eigenes VLAN verstehe ich dann auch. Aber die Handyapp und das Tablet gehen doch ohnehin über den LoxonServer oder ist das inzwischen anders?
Der Nutzen, der sich aus Deiner ganzen Arbeit ergibt ist so gering, daß - ich lehne mich jetzt mal aus dem Fenster- das hier keiner so machen würde. Wenn irgendwas mit Deiner Konfiguration dann mal nicht mehr richtig hinhaut oder die Firewall abraucht, bist Du Wochen damit beschäftigt das wieder zum Laufen zu bekommen und dann möchte ich nicht in Deiner Haut stecken, wenn die Cheffin das mitbekommt.
Wenn Du die Kinder und Gäste und was weiß ich noch alles tatsächlich voneinder trennen willst, ohne das Risiko, das etwas passieren könnte, dann mußt Du, bezogen auf den Drucker, auch in jedes VLAN einen eigenen Drucker stellen.
Fazit: ich empfehle Dir das mit den VLAN´s zu vergessen (bis auf das für die Hausautomation und vielleicht noch Gäste, so daß Du nur 3 VLAN´s hast) Sicherer, bei entsprechendem Komfort, wird es nicht. Und wenn Du vernünftige Sicherheitssoftware am Start hast, wird sehr wahrscheinlich sowieso nichts passieren.
🖖
Die Frage ist nun, wie ich eine Druckerfreigabe von VLAN3 auf VLAN 4 am besten realisiere?
Da gilt wieder das gleiche wie für deinen anderen Thread...ist immer dieselbe Leier:Mit welchen TCP oder UDP Port und vor allem Druck Protokollen kommunizieren deine Endgeräten ?? Du hast nicht einmal das Druckprotokoll benennen können was uns zum Blick in die Kristallkugel zwingt.
Das wäre im ersten Schritt ja das Mindeste was du wissen musst um eine sinnvolle Regel zu erstellen.
Wenn du das nicht weisst ist das erstmal schlecht, denn frei raten ist bei einer Firewall bekanntlich nicht besonders gut.
Das Regelwerk ist dann kinderleicht wie immer
PASS, IPv4, Source: <source_net>, Port: ANY Destination: <Drucker_IP>, Port: <Druckprotokoll_PortTCP,UDP>
usw.
Ein Wireshark Trace hilft hier aber immer weiter wenn du dir die Drucker Kommunikation mit dem Endgerät dort einmal genau ansiehst. Dann weisst du in max. 1 Minute welche Protokolle bzw. Ports benutzt werden und kannst eine wasserdichte Regel erstellen.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Zitat von @aqui:
Mit welchen TCP oder UDP Port und vor allem Druck Protokollen kommunizieren deine Endgeräten ?? Du hast nicht einmal das Druckprotokoll benennen können was uns zum Blick in die Kristallkugel zwingt.
Das wäre im ersten Schritt ja das Mindeste was du wissen musst um eine sinnvolle Regel zu erstellen.
Wenn du das nicht weisst ist das erstmal schlecht, denn frei raten ist bei einer Firewall bekanntlich nicht besonders gut.
Das Regelwerk ist dann kinderleicht wie immer PASS, IPv4, Source: <source_net>, Port: ANY Destination: <Drucker_IP>, Port: <Druckprotokoll_PortTCP,UDP>
usw.
Ein Wireshark Trace hilft hier aber immer weiter wenn du dir die Drucker Kommunikation mit dem Endgerät dort einmal genau ansiehst. Dann weisst du in max. 1 Minute welche Protokolle bzw. Ports benutzt werden und kannst eine wasserdichte Regel erstellen.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Die Frage ist nun, wie ich eine Druckerfreigabe von VLAN3 auf VLAN 4 am besten realisiere?
Da gilt wieder das gleiche wie für deinen anderen Thread...ist immer dieselbe Leier:Mit welchen TCP oder UDP Port und vor allem Druck Protokollen kommunizieren deine Endgeräten ?? Du hast nicht einmal das Druckprotokoll benennen können was uns zum Blick in die Kristallkugel zwingt.
Das wäre im ersten Schritt ja das Mindeste was du wissen musst um eine sinnvolle Regel zu erstellen.
Wenn du das nicht weisst ist das erstmal schlecht, denn frei raten ist bei einer Firewall bekanntlich nicht besonders gut.
Das Regelwerk ist dann kinderleicht wie immer PASS, IPv4, Source: <source_net>, Port: ANY Destination: <Drucker_IP>, Port: <Druckprotokoll_PortTCP,UDP>
usw.
Ein Wireshark Trace hilft hier aber immer weiter wenn du dir die Drucker Kommunikation mit dem Endgerät dort einmal genau ansiehst. Dann weisst du in max. 1 Minute welche Protokolle bzw. Ports benutzt werden und kannst eine wasserdichte Regel erstellen.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Die Druckerports konnte ich sehr wohl rausfinden, wollte auch keine fertige Konfiguration haben sondern es ging mir mehr um das Grundsätzliche. Wenn ich Ports für den Drucker freigebe, dann sind die auch nur für diesen offen oder? Oder kann ein anderes Gerät im Netzwerk diesen offenen Port dann ausnutzen?
Zitat von @Dr.Bit:
Nutzt du Google oder bist vielleicht sogar bei facebook oder WhatsAPP oder.....? Da mamcht ein Fire-TV oder Smart TV oder Amazon Prime oder.... auch nichts mehr aus. Es sei denn, Du willst für jeden Internetdienst noch ein eigenes VLAN bauen.
Kanone und Spatz und so.
Hausautomation abgrenzen bin voll bei Dir. Das kannst du aber auch über den LoxonServer regeln der dann auch bei Loxon steht. Dafür mußt Du nichts aufmachen was nicht sowieso schon auf ist. Eben Port 80 und 443. Und ein eigenes VLAN verstehe ich dann auch. Aber die Handyapp und das Tablet gehen doch ohnehin über den LoxonServer oder ist das inzwischen anders?
Der Nutzen, der sich aus Deiner ganzen Arbeit ergibt ist so gering, daß - ich lehne mich jetzt mal aus dem Fenster- das hier keiner so machen würde. Wenn irgendwas mit Deiner Konfiguration dann mal nicht mehr richtig hinhaut oder die Firewall abraucht, bist Du Wochen damit beschäftigt das wieder zum Laufen zu bekommen und dann möchte ich nicht in Deiner Haut stecken, wenn die Cheffin das mitbekommt.
Wenn Du die Kinder und Gäste und was weiß ich noch alles tatsächlich voneinder trennen willst, ohne das Risiko, das etwas passieren könnte, dann mußt Du, bezogen auf den Drucker, auch in jedes VLAN einen eigenen Drucker stellen.
Fazit: ich empfehle Dir das mit den VLAN´s zu vergessen (bis auf das für die Hausautomation und vielleicht noch Gäste, so daß Du nur 3 VLAN´s hast) Sicherer, bei entsprechendem Komfort, wird es nicht. Und wenn Du vernünftige Sicherheitssoftware am Start hast, wird sehr wahrscheinlich sowieso nichts passieren.
🖖
Zitat von @snah0815:
hatte ich auch ursprünglich mal mit weniger Netzen geplant, aber wenn man im Internet und in den Foren liest was denn überall so mithört und was man den alles so per Mail bekommt, weiß nicht ob ich alles andere als die Hausautomation in einem LAN haben will. Oder siehst du Fire- -TV-Stick, Smart TV und solche Dinge nicht so kritisch?
hatte ich auch ursprünglich mal mit weniger Netzen geplant, aber wenn man im Internet und in den Foren liest was denn überall so mithört und was man den alles so per Mail bekommt, weiß nicht ob ich alles andere als die Hausautomation in einem LAN haben will. Oder siehst du Fire- -TV-Stick, Smart TV und solche Dinge nicht so kritisch?
Nutzt du Google oder bist vielleicht sogar bei facebook oder WhatsAPP oder.....? Da mamcht ein Fire-TV oder Smart TV oder Amazon Prime oder.... auch nichts mehr aus. Es sei denn, Du willst für jeden Internetdienst noch ein eigenes VLAN bauen.
Kanone und Spatz und so.
Hausautomation abgrenzen bin voll bei Dir. Das kannst du aber auch über den LoxonServer regeln der dann auch bei Loxon steht. Dafür mußt Du nichts aufmachen was nicht sowieso schon auf ist. Eben Port 80 und 443. Und ein eigenes VLAN verstehe ich dann auch. Aber die Handyapp und das Tablet gehen doch ohnehin über den LoxonServer oder ist das inzwischen anders?
Der Nutzen, der sich aus Deiner ganzen Arbeit ergibt ist so gering, daß - ich lehne mich jetzt mal aus dem Fenster- das hier keiner so machen würde. Wenn irgendwas mit Deiner Konfiguration dann mal nicht mehr richtig hinhaut oder die Firewall abraucht, bist Du Wochen damit beschäftigt das wieder zum Laufen zu bekommen und dann möchte ich nicht in Deiner Haut stecken, wenn die Cheffin das mitbekommt.
Wenn Du die Kinder und Gäste und was weiß ich noch alles tatsächlich voneinder trennen willst, ohne das Risiko, das etwas passieren könnte, dann mußt Du, bezogen auf den Drucker, auch in jedes VLAN einen eigenen Drucker stellen.
Fazit: ich empfehle Dir das mit den VLAN´s zu vergessen (bis auf das für die Hausautomation und vielleicht noch Gäste, so daß Du nur 3 VLAN´s hast) Sicherer, bei entsprechendem Komfort, wird es nicht. Und wenn Du vernünftige Sicherheitssoftware am Start hast, wird sehr wahrscheinlich sowieso nichts passieren.
🖖
Hallo Dr.Bit,
die Argument WhatApp, Facebook usw. ist nicht schlecht, denke ich werde etwas zusammenstutzen
Der Loxone Server kommt doch nur bei einer externen Freigabe ins Spiel oder?
Bisher habe ich die Hausautomation noch komplett vom Internet getrennt und ein Tablet in dem VLAN mit drinnen und das funktioniert soweit einwandfrei. Die externe Freigabe würde ich dann, wie von Loxone empfohlen, ohnehin über einen VPN Tunnel machen. Aber wie mach ich das eben intern vom Handy, welches ich eigentlich nicht in dem Netz haben will. Eine direkte Portfreigabe? Handys schätze ich eher als nicht besonders sicher ein und können ja auch Schädlinge ins Netz bringen? Oder meinst du von Heimnetzwerk auch über die Loxone Server gehen? Auch über VPN?
PS: kann man das mit VPN irgendwo nachlesen wie das am besten geht mit pfSense?
Gruß Hans
Da wir hier von einer Firewall reden, ist eine Kommunikation grundsätzlich verboten, wenn diese nicht erlaubt wurde. Sprich man erlaubt von VLAN 3 und VLAN 4 den Zugang zu einem neuen VLAN, z.B. VLAN 9, in dem der Drucker steht. Damit gibt es eine Kommunikation von VLAN 3 zu VLAN 9 und von VLAN 4 zu VLAN 9, aber VLAN 3 zu VLAN 4 bleibt verboten, ebenso auch die jeweiligen Gegenrichtungen. Zum Scannen muss man evtl. dann noch eine Ausnahme eintragen.
Und solange kein Rogue Router in VLAN 9 ist, ist eine Kommunikation von VLAN 3 über VLAN 9 mit VLAN 4 nicht möglich.
Also ja, du hast scheinbar was falsch verstanden.
Aber aus jahrelanger Erfahrung bin ich bei VLANs eher sparsam. Es bringt sehr schnell eine Komplexität, die man gar nicht haben will. Privat habe ich daher ganze zwei und mehr wird es auch nicht. Ich kann auch nicht verstehen, warum "Anfänger" gleich so übertreiben.
Und solange kein Rogue Router in VLAN 9 ist, ist eine Kommunikation von VLAN 3 über VLAN 9 mit VLAN 4 nicht möglich.
Also ja, du hast scheinbar was falsch verstanden.
Aber aus jahrelanger Erfahrung bin ich bei VLANs eher sparsam. Es bringt sehr schnell eine Komplexität, die man gar nicht haben will. Privat habe ich daher ganze zwei und mehr wird es auch nicht. Ich kann auch nicht verstehen, warum "Anfänger" gleich so übertreiben.
Moin Hans,
ein Handy ist auch nicht unsicherer als ein Tablet, zumindest in der Grundkonfiguration. Ich kenne den Loxon Kram noch aus meiner alten Firma, daher weiß ich nicht mehr so genau wie das alles konfiguriert wird/ist. Aber wir konnten immer auf die Häuser der Kunden zugreifen, eben über den Server, der bei Loxon steht, da meldet sich Dein Loxon Gerät, das bei Dir in der Verteilung hängt, nämlich an. War zumindest früher so. Und da war nix mit VPN. War einfach nur SSL.
Laß das bloß nicht @aqui hören. Der hat hier im Forum sehr gute Tutorials geschrieben, wie das geht. Einfach mal suchen.
🖖
ein Handy ist auch nicht unsicherer als ein Tablet, zumindest in der Grundkonfiguration. Ich kenne den Loxon Kram noch aus meiner alten Firma, daher weiß ich nicht mehr so genau wie das alles konfiguriert wird/ist. Aber wir konnten immer auf die Häuser der Kunden zugreifen, eben über den Server, der bei Loxon steht, da meldet sich Dein Loxon Gerät, das bei Dir in der Verteilung hängt, nämlich an. War zumindest früher so. Und da war nix mit VPN. War einfach nur SSL.
Laß das bloß nicht @aqui hören. Der hat hier im Forum sehr gute Tutorials geschrieben, wie das geht. Einfach mal suchen.
🖖
