Druckerfreigabe von VLAN X nach VLAN Y
Hallo Zusammen,
ich habe bei mir Zuhause ein Heimnetzwerk mit einer pfSense hinter einer Fritzbox aufgebaut.
Mein gesamtes Netzwerk befindet sich hinter der pfSense, welche 4 Hardwareschnittstellen hat und auch noch diverse VLAN's die darauf aufgesetzt sind.
Die Frage ist nun, wie ich eine Druckerfreigabe von VLAN3 auf VLAN 4 am besten realisiere?
D.h. der Drucker befindet sich z.B. im VLAN 3 und ich möchte mit Geräten die im VLAN 4 eingewählt sind drucken und am Besten auch nach dahin scannen können.
Wie löst man dies möglichst sicher? Die VLAN sind ansonsten über Regeln voneinander geblockt.
Gruß Hans
ich habe bei mir Zuhause ein Heimnetzwerk mit einer pfSense hinter einer Fritzbox aufgebaut.
Mein gesamtes Netzwerk befindet sich hinter der pfSense, welche 4 Hardwareschnittstellen hat und auch noch diverse VLAN's die darauf aufgesetzt sind.
Die Frage ist nun, wie ich eine Druckerfreigabe von VLAN3 auf VLAN 4 am besten realisiere?
D.h. der Drucker befindet sich z.B. im VLAN 3 und ich möchte mit Geräten die im VLAN 4 eingewählt sind drucken und am Besten auch nach dahin scannen können.
Wie löst man dies möglichst sicher? Die VLAN sind ansonsten über Regeln voneinander geblockt.
Gruß Hans
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 638588
Url: https://administrator.de/contentid/638588
Ausgedruckt am: 25.11.2024 um 12:11 Uhr
11 Kommentare
Neuester Kommentar
Alter, Du machst aber auch einen Aufriss.
Was hast Du denn noch in VLAN 1-4 drin? Reichen 7 und 8 nicht? Wenn Du die ganzen VLAN´s so aufweichst, das Du aus jedem VLAN auf ein Anders zugreifen kannst, kannst Du es auch gleich lassen.
Wenn ich den anderen Thread richtig interpretiere, reichen für Dich drei VLAN´s 1x Home, 1x Hausautomation und 1x Gaeste. Und keiner darf auf den anderen zugreifen. Alles Andere ergibt IMHO keinen Sinn.
🖖
Was hast Du denn noch in VLAN 1-4 drin? Reichen 7 und 8 nicht? Wenn Du die ganzen VLAN´s so aufweichst, das Du aus jedem VLAN auf ein Anders zugreifen kannst, kannst Du es auch gleich lassen.
Wenn ich den anderen Thread richtig interpretiere, reichen für Dich drei VLAN´s 1x Home, 1x Hausautomation und 1x Gaeste. Und keiner darf auf den anderen zugreifen. Alles Andere ergibt IMHO keinen Sinn.
🖖
Firewall entsprechend öffnen oder den Drucker in ein eigenes VLAN packen, auf das beide VLANs unbeschränkt zugreifen dürfen.
Fürs Drucken musst du dann das verwendete Protokoll heraussuchen, also z.B. TCP/9100 für Raw-Print und dazu auch noch SNMP UDP/161 für die Statusmeldungen. Was nicht funktionieren wird, ist automatisches Erkennen des Druckers per WSD, Bonjour oder UPnP, dass funktioniert ohne komplexe Konfiguration nur in dem VLAN, in dem der Drucker steht.
Zum Scannen muss man dann auch wieder das passende Protokoll (meist SMB über UDP/445) in Gegenrichtung freigeben.
Fürs Drucken musst du dann das verwendete Protokoll heraussuchen, also z.B. TCP/9100 für Raw-Print und dazu auch noch SNMP UDP/161 für die Statusmeldungen. Was nicht funktionieren wird, ist automatisches Erkennen des Druckers per WSD, Bonjour oder UPnP, dass funktioniert ohne komplexe Konfiguration nur in dem VLAN, in dem der Drucker steht.
Zum Scannen muss man dann auch wieder das passende Protokoll (meist SMB über UDP/445) in Gegenrichtung freigeben.
Zitat von @tikayevent:
Firewall entsprechend öffnen oder den Drucker in ein eigenes VLAN packen, auf das beide VLANs unbeschränkt zugreifen dürfen.
Aha, und dann kommunizieren zwei VLAN´s über ein Drittes uneingeschränkt miteinander? Also 3 VLAN´s? Oder habe ich Dich falsch verstanden?Firewall entsprechend öffnen oder den Drucker in ein eigenes VLAN packen, auf das beide VLANs unbeschränkt zugreifen dürfen.
🖖
Zitat von @snah0815:
hatte ich auch ursprünglich mal mit weniger Netzen geplant, aber wenn man im Internet und in den Foren liest was denn überall so mithört und was man den alles so per Mail bekommt, weiß nicht ob ich alles andere als die Hausautomation in einem LAN haben will. Oder siehst du Fire- -TV-Stick, Smart TV und solche Dinge nicht so kritisch?
hatte ich auch ursprünglich mal mit weniger Netzen geplant, aber wenn man im Internet und in den Foren liest was denn überall so mithört und was man den alles so per Mail bekommt, weiß nicht ob ich alles andere als die Hausautomation in einem LAN haben will. Oder siehst du Fire- -TV-Stick, Smart TV und solche Dinge nicht so kritisch?
Nutzt du Google oder bist vielleicht sogar bei facebook oder WhatsAPP oder.....? Da mamcht ein Fire-TV oder Smart TV oder Amazon Prime oder.... auch nichts mehr aus. Es sei denn, Du willst für jeden Internetdienst noch ein eigenes VLAN bauen.
Kanone und Spatz und so.
Hausautomation abgrenzen bin voll bei Dir. Das kannst du aber auch über den LoxonServer regeln der dann auch bei Loxon steht. Dafür mußt Du nichts aufmachen was nicht sowieso schon auf ist. Eben Port 80 und 443. Und ein eigenes VLAN verstehe ich dann auch. Aber die Handyapp und das Tablet gehen doch ohnehin über den LoxonServer oder ist das inzwischen anders?
Der Nutzen, der sich aus Deiner ganzen Arbeit ergibt ist so gering, daß - ich lehne mich jetzt mal aus dem Fenster- das hier keiner so machen würde. Wenn irgendwas mit Deiner Konfiguration dann mal nicht mehr richtig hinhaut oder die Firewall abraucht, bist Du Wochen damit beschäftigt das wieder zum Laufen zu bekommen und dann möchte ich nicht in Deiner Haut stecken, wenn die Cheffin das mitbekommt.
Wenn Du die Kinder und Gäste und was weiß ich noch alles tatsächlich voneinder trennen willst, ohne das Risiko, das etwas passieren könnte, dann mußt Du, bezogen auf den Drucker, auch in jedes VLAN einen eigenen Drucker stellen.
Fazit: ich empfehle Dir das mit den VLAN´s zu vergessen (bis auf das für die Hausautomation und vielleicht noch Gäste, so daß Du nur 3 VLAN´s hast) Sicherer, bei entsprechendem Komfort, wird es nicht. Und wenn Du vernünftige Sicherheitssoftware am Start hast, wird sehr wahrscheinlich sowieso nichts passieren.
🖖
Die Frage ist nun, wie ich eine Druckerfreigabe von VLAN3 auf VLAN 4 am besten realisiere?
Da gilt wieder das gleiche wie für deinen anderen Thread...ist immer dieselbe Leier:Mit welchen TCP oder UDP Port und vor allem Druck Protokollen kommunizieren deine Endgeräten ?? Du hast nicht einmal das Druckprotokoll benennen können was uns zum Blick in die Kristallkugel zwingt.
Das wäre im ersten Schritt ja das Mindeste was du wissen musst um eine sinnvolle Regel zu erstellen.
Wenn du das nicht weisst ist das erstmal schlecht, denn frei raten ist bei einer Firewall bekanntlich nicht besonders gut.
Das Regelwerk ist dann kinderleicht wie immer
PASS, IPv4, Source: <source_net>, Port: ANY Destination: <Drucker_IP>, Port: <Druckprotokoll_PortTCP,UDP>
usw.
Ein Wireshark Trace hilft hier aber immer weiter wenn du dir die Drucker Kommunikation mit dem Endgerät dort einmal genau ansiehst. Dann weisst du in max. 1 Minute welche Protokolle bzw. Ports benutzt werden und kannst eine wasserdichte Regel erstellen.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Da wir hier von einer Firewall reden, ist eine Kommunikation grundsätzlich verboten, wenn diese nicht erlaubt wurde. Sprich man erlaubt von VLAN 3 und VLAN 4 den Zugang zu einem neuen VLAN, z.B. VLAN 9, in dem der Drucker steht. Damit gibt es eine Kommunikation von VLAN 3 zu VLAN 9 und von VLAN 4 zu VLAN 9, aber VLAN 3 zu VLAN 4 bleibt verboten, ebenso auch die jeweiligen Gegenrichtungen. Zum Scannen muss man evtl. dann noch eine Ausnahme eintragen.
Und solange kein Rogue Router in VLAN 9 ist, ist eine Kommunikation von VLAN 3 über VLAN 9 mit VLAN 4 nicht möglich.
Also ja, du hast scheinbar was falsch verstanden.
Aber aus jahrelanger Erfahrung bin ich bei VLANs eher sparsam. Es bringt sehr schnell eine Komplexität, die man gar nicht haben will. Privat habe ich daher ganze zwei und mehr wird es auch nicht. Ich kann auch nicht verstehen, warum "Anfänger" gleich so übertreiben.
Und solange kein Rogue Router in VLAN 9 ist, ist eine Kommunikation von VLAN 3 über VLAN 9 mit VLAN 4 nicht möglich.
Also ja, du hast scheinbar was falsch verstanden.
Aber aus jahrelanger Erfahrung bin ich bei VLANs eher sparsam. Es bringt sehr schnell eine Komplexität, die man gar nicht haben will. Privat habe ich daher ganze zwei und mehr wird es auch nicht. Ich kann auch nicht verstehen, warum "Anfänger" gleich so übertreiben.
Moin Hans,
ein Handy ist auch nicht unsicherer als ein Tablet, zumindest in der Grundkonfiguration. Ich kenne den Loxon Kram noch aus meiner alten Firma, daher weiß ich nicht mehr so genau wie das alles konfiguriert wird/ist. Aber wir konnten immer auf die Häuser der Kunden zugreifen, eben über den Server, der bei Loxon steht, da meldet sich Dein Loxon Gerät, das bei Dir in der Verteilung hängt, nämlich an. War zumindest früher so. Und da war nix mit VPN. War einfach nur SSL.
Laß das bloß nicht @aqui hören. Der hat hier im Forum sehr gute Tutorials geschrieben, wie das geht. Einfach mal suchen.
🖖
ein Handy ist auch nicht unsicherer als ein Tablet, zumindest in der Grundkonfiguration. Ich kenne den Loxon Kram noch aus meiner alten Firma, daher weiß ich nicht mehr so genau wie das alles konfiguriert wird/ist. Aber wir konnten immer auf die Häuser der Kunden zugreifen, eben über den Server, der bei Loxon steht, da meldet sich Dein Loxon Gerät, das bei Dir in der Verteilung hängt, nämlich an. War zumindest früher so. Und da war nix mit VPN. War einfach nur SSL.
Laß das bloß nicht @aqui hören. Der hat hier im Forum sehr gute Tutorials geschrieben, wie das geht. Einfach mal suchen.
🖖