9
OPNsense mit verschiedenen VLANs und Airprint (mDNS - Bonjour)
Guten Tag zusammen,
ich stolpere gerade mal wieder etwas. Im Moment beim Thema Airprint (Bonjour).
Nach dem ich über Tage das Netz durchforstet habe und viele Dinge probiert habe, nun meine Frage an euch Experten.
Folgende Ausgangslage:
OPNsense auf Proxmox auf Protecli
VLAN 10 (privat 10.0.10.0)
VLAN 20 (IoT 10.0.20.0)
VLAN 10 darf alles
VLAN 20 nur ins Internet (über eine !RFC_1918 Regel)
Der Airprint Drucker hat die IP Adresse 10.0.20.120. Er kann darüber angesprochen und es kann gedruckt werden.
Nur direkt über die IP-Adresse!
Ich habe nun sowohl das mDNS Repeater Plugin als auch das UDP Broadcast Relay Plugin probiert. (nicht gleichzeitig
)
Zur Firewall wie gesagt VLAN 10 allow all
Bei VLAN 20 gibt es den !RFC_1918 block und eine allow Regel für den Broadcast wie folgt:
Action: Pass
Interface: VLAN20
Direction: in
TCP/IP: IPv4
Protocol: TCP/UDP
Source: VLAN20
Destination: 224.0.0.251/32
Destination Port: 5353
So mein Grundgedanke zu funktionierendem Airprint.
In der Praxis wird leider kein Drucker gefunden.
Jemand eine Idee wo ich vielleicht falsch abgebogen bin?
Viele Grüße
Timo
ich stolpere gerade mal wieder etwas. Im Moment beim Thema Airprint (Bonjour).
Nach dem ich über Tage das Netz durchforstet habe und viele Dinge probiert habe, nun meine Frage an euch Experten.
Folgende Ausgangslage:
OPNsense auf Proxmox auf Protecli
VLAN 10 (privat 10.0.10.0)
VLAN 20 (IoT 10.0.20.0)
VLAN 10 darf alles
VLAN 20 nur ins Internet (über eine !RFC_1918 Regel)
Der Airprint Drucker hat die IP Adresse 10.0.20.120. Er kann darüber angesprochen und es kann gedruckt werden.
Nur direkt über die IP-Adresse!
Ich habe nun sowohl das mDNS Repeater Plugin als auch das UDP Broadcast Relay Plugin probiert. (nicht gleichzeitig
)Zur Firewall wie gesagt VLAN 10 allow all
Bei VLAN 20 gibt es den !RFC_1918 block und eine allow Regel für den Broadcast wie folgt:
Action: Pass
Interface: VLAN20
Direction: in
TCP/IP: IPv4
Protocol: TCP/UDP
Source: VLAN20
Destination: 224.0.0.251/32
Destination Port: 5353
So mein Grundgedanke zu funktionierendem Airprint.
In der Praxis wird leider kein Drucker gefunden.
Jemand eine Idee wo ich vielleicht falsch abgebogen bin?
Viele Grüße
Timo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 22237687255
Url: https://administrator.de/contentid/22237687255
Printed on: April 28, 2024 at 18:04 o'clock
9 Comments
Latest comment
1
Danke Looser,
auf Avahi bin ich schon gestossen. Bisher habe ich alles mit Boardmitteln und Plugins auf der OPNsense probiert.
Ich habe noch einen RPI 3 B+ hier laufen, mit PiAlert drauf. Dort lief auch bereits avahi und es wurden auch beide VLANs eth0.10 und eth0.20 verbunden. Bis jetzt war der reflector aus. Es werden mir dutzende Dienste angezeigt, mit avahi-browse -at.
Habe nun den reflector mal auf true gesetzt.
Noch kurz zur Firewall. Mein PiAlert/Avahi hat die 10.0.10.99 und 10.0.20.99.
Muss ich in der Firewall für Geräte aus dem 20er VLAN noch die 10.0.20.99 auf allow stellen?
Bisher dürfen die 20er Geräte ja nur ins Internet und sonst nichts.
224.0.0.251 mit Port 5353 ist aus dem VLAN20 erlaubt
auf Avahi bin ich schon gestossen. Bisher habe ich alles mit Boardmitteln und Plugins auf der OPNsense probiert.
Ich habe noch einen RPI 3 B+ hier laufen, mit PiAlert drauf. Dort lief auch bereits avahi und es wurden auch beide VLANs eth0.10 und eth0.20 verbunden. Bis jetzt war der reflector aus. Es werden mir dutzende Dienste angezeigt, mit avahi-browse -at.
Habe nun den reflector mal auf true gesetzt.
Noch kurz zur Firewall. Mein PiAlert/Avahi hat die 10.0.10.99 und 10.0.20.99.
Muss ich in der Firewall für Geräte aus dem 20er VLAN noch die 10.0.20.99 auf allow stellen?
Bisher dürfen die 20er Geräte ja nur ins Internet und sonst nichts.
224.0.0.251 mit Port 5353 ist aus dem VLAN20 erlaubt
und eine allow Regel für den Broadcast wie folgt:
Broadcast?! 🤔https://de.wikipedia.org/wiki/Multicast
Lesen und verstehen...!
Zumindestens in der pfSense muss man generell einen Haken in den Advanced Rulesets machen damit dieser Traffic überhaupt passieren kann:
Hi aqui,
wikipedia wird die Lösung sein. Ich werde mich da gleich mal intensiv einlesen.
Ist das ein Ja / Nein / Vielleicht zu meiner Frage mit der Regel?
Wie schon geschrieben lese ich mich bereits seit ca. ner Woche ein. Und in über 90% der Posts braucht es eine Firewall Allow-Regel zur Multicast Adresse, Port 5353.
Da es ja keine doofen Fragen gibt, interpretiere ich deine Antwort mal als ein: "Es braucht keine allow Regel auf den Avahi Raspi"
Die Info hab ich bereits. Hilft mir wenig, da ich mit OPNsense arbeite und diese Option mir nicht bekannt ist.
Grundsätzlich sieht avahi-browse -at ja gut aus.
Der Reflector steht auf yes.
Die Firewall Regel beinhaltet ein Allow zur MulticastAdresse 224.0.0.251 und Port 5353 aus dem VLAN20.
Ich werde mal weiter forschen und lesen.
wikipedia wird die Lösung sein. Ich werde mich da gleich mal intensiv einlesen.
Ist das ein Ja / Nein / Vielleicht zu meiner Frage mit der Regel?
Wie schon geschrieben lese ich mich bereits seit ca. ner Woche ein. Und in über 90% der Posts braucht es eine Firewall Allow-Regel zur Multicast Adresse, Port 5353.
Da es ja keine doofen Fragen gibt, interpretiere ich deine Antwort mal als ein: "Es braucht keine allow Regel auf den Avahi Raspi"
Zumindestens in der pfSense muss man generell einen Haken in den Advanced Rulesets machen damit dieser Traffic überhaupt passieren kann:
Die Info hab ich bereits. Hilft mir wenig, da ich mit OPNsense arbeite und diese Option mir nicht bekannt ist.
Grundsätzlich sieht avahi-browse -at ja gut aus.
Der Reflector steht auf yes.
Die Firewall Regel beinhaltet ein Allow zur MulticastAdresse 224.0.0.251 und Port 5353 aus dem VLAN20.
Ich werde mal weiter forschen und lesen.
Ist das ein Ja / Nein / Vielleicht zu meiner Frage mit der Regel?
Nein, ein freundlicher Hinweis das du in einem Administrator Forum laienhaft aus Multicast IP Adressen (2:38) Broadcast Adressen (1:58) machst! 🧐Part 1 und 2 ansehen und verstehen!!
Wenn du einmal etwas selber mit Multicast in deinem Firewall Netzwerk spielen willst hilft ggf. ein Blick in diesen Thread.
Danke auqi,
wo genau mache ich aus Multicast Broadcast?
Kannst du mir noch einen Tipp geben wo ich vielleicht mit meinem Problem gut aufgehoben bin.
Bin für jeden Hinweis dankbar.
Wär ja echt blöd wenn sich jeder alles selbst und neu erarbeiten müsste, wenn andere schon mal Erfolg hatten und im besten Fall sogar eine Lösung.
wo genau mache ich aus Multicast Broadcast?
Kannst du mir noch einen Tipp geben wo ich vielleicht mit meinem Problem gut aufgehoben bin.
Bin für jeden Hinweis dankbar.
Wär ja echt blöd wenn sich jeder alles selbst und neu erarbeiten müsste, wenn andere schon mal Erfolg hatten und im besten Fall sogar eine Lösung.
wo genau mache ich aus Multicast Broadcast?
Was würdest du jemandem antworten der dich fragt wie man aus alten Socken Gold macht?!Äpfel und Birnen... Du solltest dir besser erstmal in aller Ruhe bei einem Freitagskäffchen die YT Filmchen ansehen und den Wiki Artikel lesen bevor du dich hier im freien Fall um Kopf und Kragen fragst...?!
Ich habe mich gegen YT und Wiki entschieden
Aus meinen laienhaften Blickwinkel konnte ich nicht erkennen, warum AirPrint nicht lief.
Hab mir gestern Abend einen neuen Drucker gekauft.
Nun geht wieder alles. Config war okay.
Danke noch mal Looser. Ich bleib jetzt bei avahi, auch wenn die OPNsense Plugins wahrscheinlicn funktioniert haben, nur der Drucker nicht.
Habt ein schönes Wochenende.
Timo
Aus meinen laienhaften Blickwinkel konnte ich nicht erkennen, warum AirPrint nicht lief.
Hab mir gestern Abend einen neuen Drucker gekauft.
Nun geht wieder alles. Config war okay.
Danke noch mal Looser. Ich bleib jetzt bei avahi, auch wenn die OPNsense Plugins wahrscheinlicn funktioniert haben, nur der Drucker nicht.
Habt ein schönes Wochenende.
Timo
Bitte dann nicht vergessen den Thread auch als erledigt zu schliessen!!
How can I mark a post as solved?
How can I mark a post as solved?
