Probleme mit Druckaufträgen bei HP-Gerät bei Einsatz einer pfSense

Mitglied: diemix
Hallo in die Runde,

ich habe hier schon einige sehr interessante und hilfreiche Hilfestellungen in diesem Forum entdecken können und habe nun aktuell endlich die Zeit gefunden, um mein eigenes kleines Problem zu posten, bei dem ich sehr dankbar wäre über einen Schubser in die richtige Richtung.

Erst einmal: Ich bin absolut fachfremd, zumindest was die Administration von Netzwerken angeht, daher fehlen mir mit Sicherheit auch einige relevante und ziemlich offensichtliche Grundlagen, sodass ich bitte mein Unwissen zu entschuldigen - aber kommen wir erst einmal zu meinem eigentlichen Problem.

Bereits im letzten Jahr kam ich auf die glorreiche Idee mich etwas in Unix-Systeme reinzufuchsen, auch um im Job schneller agieren zu können und nicht auf den Support unserer IT angewiesen zu sein. Der erste kleine Python-Scraper war jedenfalls schnell geschrieben und läuft seitdem auf meinem kleinen RasPi zeitgesteuert ohne Probleme durch. Kurz darauf hielt ich es für eine absolut notwendige und noch glorreichere Idee mir eine DMZ im Heimnetzwerk zu konfigurieren - oder jedenfalls das, was ich darunter verstehe. Jedenfalls einen "inneren" Netzwerkbereich mit "vertrauenswürdigen" Endgeräten inkl. NAS und einem "äußeren" Bereich, an dem der ganze Schmodder hängt - Fernseher, Philips Hue, Gastgeräte über WLAN, etc. Nach kurzer Recherche über die Weihnachtsfeiertage - ja, ist schon etwas her, ich weiß - fiel die Wahl schnell auf pfSense auf einer Zotac ZBOX CI329 und hier fangen meine Probleme leider an, denn so nett die GUI auch gestaltet ist, so richtig Newbie-Kram scheint mir das alles nicht mehr zu sein.

Meine Netzwerk-Konfiguration sieht in etwa wie folgt aus:

Fritz!Box 7490 [192.168.178.1] <------> pfSense [192.168.178.52 | 10.128.0.1] <------> Workstation [10.128.0.11]

Das "normale" Arbeiten von der Workstation funktioniert ohne Probleme, höchstwahrscheinlich hauptsächlich der initialen pfSense-Config sei Dank. So lässt sich z.B. der an der FritzBox hängende Pihole [192.168.178.112] ohne Probleme von der WS erreichen, nicht jedoch die WS vom Pihole aus - die Firewall scheint somit ihren Dienst zu tun. Was jedoch leider nicht funktioniert ist die Bedienung des Netzwerkdruckers, eines HPLaserJetPro-M283fdw [192.168.178.23], der am WLAN der Fritzbox hängt. Dieser lässt sich zwar von der WS anpingen und auch erscheint ein Webinterface, wenn die IP im Browser aufgerufen wird, die grundsätzliche Kommunikation scheint also zu funktionieren (?), allerdings scheitern leider alle Druckaufträge ("Kommunikation mit dem Drucker nicht möglich"), was schlichtweg ziemlich lästig ist, da ich entweder über den USB-Stick drucken muss oder aber die WS an die FB stöpseln.

Meinem begrenzten Verständnis nach und auch der Google-Historie in meinem Hinterkopf hätte ich jetzt die folgenden Möglichkeiten:

- Erweiterung der pfSense um WLAN-Funktionalität, was jedoch mit zusätzlicher Hardware verbunden wäre und worauf ich derzeit gerne verzichten wollten würde, v.a. weil es ein Eingeständnis meines Scheiterns wäre.
- Kabelbetrieb des Druckers im "inneren" Bereich meines Netzwerkes, was mir angesichts des langen Kabels quer durch die Wohnung auch nicht gerade sonderlich optimal erscheint.
- Konfigurationsanpassung der pfSense? Ich meine vor einiger Zeit auf ein Problem bei StackExchange o.ä. gestoßen zu sein, das meinem sehr ähnlich klang - als Stichwort fiel dort schnell "Outbound NAT", leider kann ich den Beitrag im Moment nicht wiederfinden. Ich habe jedenfalls alle Kombinationen des GUI durchprobiert gehabt, bin jedoch leider nicht wirklich weitergekommen.
- Mein erster Ansatzpunkt war ja eigentlich das Erstellen einer Firewall-Regel am WAN-Interface. Erlaube jeglichen Verkehr von der IP des Druckers zum LAN-Interface. Hätte das funktioniert, hätte ich die Regel durch Definition des Protokolls o.ä. noch etwas enger fassen können, aber gebessert hat sich dadurch leider auch nichts.

Sorry für den längeren Roman und womöglich klingelt es ja bei jemandem, der mir einen kurzen Hinweis geben könnte.

Besten Dank jedenfalls vorab! Ich bin schon ganz gespannt, ob ich demnächst wieder ordnungsgemäß drucken kann - und freue mich auch auf die bestimmt steile Lernkurve.. ;-) face-wink

Viele Grüße

diemix

Content-Key: 1061575380

Url: https://administrator.de/contentid/1061575380

Ausgedruckt am: 24.07.2021 um 10:07 Uhr

Mitglied: StefanKittel
Lösung StefanKittel 21.07.2021 aktualisiert um 09:01:49 Uhr
Goto Top
Moin,

wie ist denn Dein Druckertreiber installiert.
Vermutlich mit dem verwurschtelten HP-Setup oder?
Wir habe von über 10 Jahren aufgehört HP-Geräte zu verkaufen weil die Treiber schlicht zu schlecht wurden.

Hierbei ist sehr undurchsichtig wie genau das funktioniert.
HP geht schlicht davon aus, dass der Drucker im gleichen Subnetz ist.
Da können lustige MAC-Adressen-Finder oder Kommunikation vom Drucker zum PC eingebaut sein.

Empfehlung:
- Drucker unter Windows löschen
- Richtigen Druckertreiber (ohne Setup), meist Basistreiber genannt, runterladen
- Unter Windows Drucker hinzufügen "Der gewünschte Drucker ist nicht aufgelistet" und dann "Lokalen Drucker oder Netzwerkdrucker mit manuellen Einstellungen" auswählen
- Neue Anschluss "Standard TCP/IP" erstellen und IP eintragen
- Runtergeladenen Treiber entpacken und auswählen.

Stefan
Mitglied: aqui
aqui 21.07.2021 aktualisiert um 09:48:54 Uhr
Goto Top
Erlaube jeglichen Verkehr von der IP des Druckers zum WAN-Interface.
Diese Regel ist dann vermutlich wenig zielführend, denn die IP des WAN Interfaces ist ja NICHT deine Drucker IP ! Du kommunizierst ja NICHT mit dem WAN Interface der Firewall wenn du drucken willst sondern IMMER mit der IP des Druckers selber im .178.0er Koppelnetz !
Insofern ist diese Regel vermutlich Unsinn und/oder falsch. Leider hast du es ja versäumt hier mal einen Screenshot deines FW Regelwerkes zu posten, das hätte allen das Troubleshooting erheblich vereinfacht für eine zielführende Hilfe. Aber nundenn....
2 Dinge musst du machen:
  • Du musst ja so oder so das Koppelnetz .178.0 als RFC 1918 Netz in einer Router Kaskade wie bei dir immer freigeben (Haken entfernen) am WAN Port der pfSense.
wan
  • Du musst in der LAN Regel den Zugriff auf das Koppelnetz erlauben
Letzteres ist so oder so imemr der Fall sofern du die Default LAN Regele NICHT verändert hast, denn die besagt immer PASS, IP, Source: lan_net, Destination: any
Sprich sie lässt ALLES was eine IP Absenderadsresse das LAN Netzes hast zu ALLEN Zieladressen passieren. Dazu gehört natürlich auch das Koppelnetz .178.0 in dem sich der Drucker befindet.
Wichtig ist das der Haken in der WAN Port Konfig zum Blocken der RFC 1918 IP Netze entfernt wird, denn in dem IP Netz befindet sich ja dein Router und würde die Rückroute blocken wenn der Haken NICHT entfernt wurde.
Das es dann klappt kannst du daran sehen das du dann, wenn es richtig konfiguriert ist, problemlos auf das Setup Web GUI des Druckers zugreifen kannst.
Ist das der Fall klappt auch das Drucken. ;-) face-wink
Was vermutlich nicht klappen wird ist die Auto Erkennung des Druckers, denn die basiert in der Regel immer auf Broad- und Multicast Mechanismen die logischerweise Prinzip bedingt nicht über Routing Grenzen funktionieren. Das ist aber kein Problem.
Du richtest dann den Drucker manuell als TCP/IP Drucker ein wo du dediziert die Ziel IP Adresse des Druckers im Setup Dialog angeben kannst. Klar das der Drucker dann über den DHCP Server der FB immer eine feste IP bekommen sollte !
Mitglied: diemix
diemix 21.07.2021, aktualisiert am 22.07.2021 um 08:01:12 Uhr
Goto Top
Besten Dank für eure Rückmeldungen!

@ StefanKittel: Super Hinweis, dass es womöglich auch ein unabhängiges Treiberproblem sein könnte. Vielen Dank! Genau, ich habe einfach die von HP bereitgestellte Standard-Software-Suite inkl. Treiber installiert und hatte bislang auch noch keine Probleme, zumindest nicht mit dem aktuellen Modell. Ich würde gerne noch ein paar letzte Klimmzüge in der Konfiguration der pfSense unternehmen und sollte meine Geduld hier zu Neige gehen, versuche ich mich auf jeden Fall an deinem Vorschlag - Danke!

@ aqui: Danke auch für die ausführliche Antwort! Das mit dem Screenshot habe ich tatsächlich weniger versäumt als bewusst darauf verzichtet, aber egal. Mein Gedankengang war nämlich folgender: Wenn ich von der WS [10.128.0.11] ja grundsätzlich Zugriff auf den Drucker [192.168.178.23] habe - denn ich habe Stand jetzt bereits Zugriff auf die WebGUI des HP! - dann funktioniert zur Initialisierung des Druckvorganges womöglich irgendeine Kommunikation in Gegenrichtung nicht. Und ehm, ja, ich stelle gerade fest, dass mir hier gestern ein kleiner aber nicht unbedeutender Flüchtigkeitsfehler passiert ist (habe das Thema wohl zu lange schleifen lassen und der gestrige Tag steckte wohl noch etwas in den Knochen...): Erlaube jeglichen Verkehr von der IP des Druckers zum LAN-Interface. Ich hoffe das macht nun mehr Sinn, auch wenn ich nicht weiß, ob überhaupt notwendig.

Den Screenshot meiner WAN-Regel hole ich hiermit gerne nach:

wuyu6ybv

Zu deinen beiden Punkten:

1) "Block private networks and loopback addresses" am WAN-Interface ist bereits deaktiviert - hierauf war ich bereits durch andere Beiträge gestoßen.

2) Die beiden (IPv4 & v6) default-Regeln am LAN-Interface bestehen unverändert. Ich kann ja auch sonst prima arbeiten und alles machen, nur leider nicht drucken.

Was mir gerade bei meinen Versuchen noch aufgefallen ist: Ich finde es nicht uninteressant, dass der Drucker ein leises und kaum hörbares mechanisches Geräusch von sich gibt, sobald ich den Druckauftrag abschicke - also gewissermaßen schon eine Reaktion durch das Gerät erfolgt - nur leider nicht das Ausführen des Druckauftrages. Womöglich ja doch eine Sache des Treibers in Verbindung mit Subnetzen?

Grüße
Mitglied: aqui
aqui 21.07.2021 aktualisiert um 19:15:05 Uhr
Goto Top
Den Screenshot meiner WAN-Regel hole ich hiermit gerne nach:
Bitte KEINE externen Bilderlinks mit Zwangswerbung ! :-( face-sad Damit machst du dir hier keine Freunde !
Auch dir sollte nicht entgangen sein das das Forum eine Bilder Upload Funktion hat !!!
bild
Kann man übrigens mit dem "Bearbeiten" Knopf unter "..." immer noch nachträglich korrigieren !!
FAQs lesen hilft wirklich !!
nur leider nicht drucken.
Kannst du die Drucker IP vom Client pingen ??
Mitglied: diemix
diemix 21.07.2021 um 19:36:56 Uhr
Goto Top
Das ist mir in der Tat nicht entgangen, allerdings schien der Button beim Erstversuch leider ohne Funktion zu sein. Mea culpa, sei hiermit nachgeholt.

Die IP des Druckers kann ich, wie auch schon im Eingangspost geschrieben, anpingen, ja.
Mitglied: StefanKittel
StefanKittel 21.07.2021 aktualisiert um 20:43:35 Uhr
Goto Top
Zitat von @diemix:
Die IP des Druckers kann ich, wie auch schon im Eingangspost geschrieben, anpingen, ja.

Probiere mal "telnet 192.168.178.23 9100".
Wenn Du eine Verbindung bekommst, ist es kein Firewallproblem.

Dann versucht der Drucker oder Treiber über die MAC-Adresse, einen Broadcast, dynamische Ports oder anderen Schweinkram miteinander zu kommunizieren um geänderte IP-Adressen zu erkennen. Und das alles funktioniert nicht über Router hinweg.

Regel 1:
Drucker feste IP-Adresse vergeben.

Regel 2:
Den Minimaltreiber vom Hersteller verwenden und den normalen Windows-Druckerassistenen

Regel 3:
Als Verbindung Standard TCP mit der festen IP-Adresse verwenden

Stefan
Mitglied: diemix
diemix 21.07.2021 um 21:58:02 Uhr
Goto Top
pi@argon1:~ $ telnet 192.168.178.23 9100
Trying 192.168.178.23...
Connected to 192.168.178.23.
Escape character is '^]'.


Da scheint wohl eine Verbindung hergestellt worden zu sein.. Hm, und ich mache mich hier kirre, aber auf so eine Erleuchtung habe ich ja gehofft.. :D Ja, ich sage mal vorsichtig besten Dank - die konkreten Schritte aus dem ersten Post würde ich morgen einmal angehen. Heute kommt leider nix Produktives mehr bei rum hier.
Mitglied: diemix
diemix 22.07.2021 um 23:52:22 Uhr
Goto Top
Zitat von @StefanKittel:

Empfehlung:
- Drucker unter Windows löschen
- Richtigen Druckertreiber (ohne Setup), meist Basistreiber genannt, runterladen
- Unter Windows Drucker hinzufügen "Der gewünschte Drucker ist nicht aufgelistet" und dann "Lokalen Drucker oder Netzwerkdrucker mit manuellen Einstellungen" auswählen
- Neue Anschluss "Standard TCP/IP" erstellen und IP eintragen
- Runtergeladenen Treiber entpacken und auswählen.

Da muss ich mich doch glatt entschuldigen, wenn ich den Fehler an anderer Stelle erhofft hatte - der erste Kommentar und dann gleich ein Volltreffer, ich bin ein wenig sprachlos! Ich kann nun jedenfalls wie vorgesehen drucken, tausend Dank! ;-) face-wink

Zwei kleine doofe Folgefragen hätte ich wohl noch, auch wenn nur bedingt mit dem eigentlichen Problem verbandelt:

1) Nicht dass das jetzt bei mir ein Problem gewesen wäre mit der festen IP beim Drucker, aber da ich hier tendenziell bei Gelegenheit etwas "Struktur" reinbringen wollte, wollte ich mich mal erkundigen, ob es irgendeine Art von Konvention gibt, welche IP-Bereiche für bestimmte Geräte reserviert werden. Geht man vom 192.168.178er Subnetz aus, liegt das Gateway ja auf der 1 - sorry, wenn ich hier womöglich die falschen Begriffe verwende. Beeinflusst wird dies ja maßgeblich durch die Konfiguration des DHCP-Servers, für z.B. 20-200, wenn ich das korrekt verstanden habe. Gibt es irgendwelche "Regeln", dass der DNS-Server auf der 100 liegt oder der Drucker auf der 75? ;-) face-wink Da kommt gerade einfach nur etwas der Ordnungzwang bei mir durch. Aber vermutlich, wenn ich mich so umsehe, herrscht einfach nur Wildwuchs, oder?

2) Noch blödere Frage: Wie kann ich denn jetzt eig. Scannen, wo ich kein "HP Scan" mehr habe? Und ja, da war wirklich noch viel Schrott mitinstalliert, v.a. in Form von Plugins, die vermutlich kein Mensch benötigt.

Danke vorab!
Mitglied: aqui
aqui 22.07.2021 um 23:57:32 Uhr
Goto Top
Blöde Fragen gibt es nicht nur blöde Antworten...!
ob es irgendeine Art von Konvention gibt, welche IP-Bereiche für bestimmte Geräte reserviert werden.
Nein, das ist völlig egal. Guter Stil ist die Gateway IPs in einem Netzwerk immer auf die erste oder die letzte IP Adresse des Subnetzes zu legen. Der DHCP Poolbereich sollte Abstand zu den statisch, fest vergebenen IPs haben. Letztlich ist aber alles Kosmetik.
Mitglied: StefanKittel
StefanKittel 23.07.2021 aktualisiert um 00:05:30 Uhr
Goto Top
Zitat von @diemix:
ob es irgendeine Art von Konvention gibt, welche IP-Bereiche für bestimmte Geräte reserviert werden.
Richtige Konventionen nicht.

Aber häufig sieht ein 24-Subnetz ungefähr so aus.
1 oder 254 Router
2 - 99 Statische Adressen
100 - 199 DHCP
200 - 253/254 statische Adressen

In größeren Netzwerken werden ganze Subnetze pro Gerätetyp verwendet.
Dann sieht ein Subnetz eher so aus
1 oder 254 Router
2 -19 Statische Adressen
20 - 253/254 Nutzadresse DHCP oder statisch

Ich versuche immer ganze 10er Bereiche pro Typ zu verwenden.

In kleinen Netzwerken dann z.B.
.10 IPMI Server
.11 ESXi
.20 VM01
.21 VM02
.30 Switch1
.31 Switch2
.40 Drucker1
.41 Drucker2
.50 PC mit fester IP (DHCP mit IP Reservierung)
200 - 254 Notreserve falls man mal was auf die schnelle braucht

2) Noch blödere Frage: Wie kann ich denn jetzt eig. Scannen, wo ich kein "HP Scan" mehr habe? Und ja, da war wirklich noch viel Schrott mitinstalliert, v.a. in Form von Plugins, die vermutlich kein Mensch benötigt.
Ich nutze den "Advanced IP Scanner" (Freeware).

Stefan
Mitglied: diemix
diemix 24.07.2021 um 09:54:10 Uhr
Goto Top
Besten Dank für die Rückmeldungen!

Zitat von @StefanKittel:

Ich versuche immer ganze 10er Bereiche pro Typ zu verwenden.

In kleinen Netzwerken dann z.B.
.10 IPMI Server
.11 ESXi
.20 VM01
.21 VM02
.30 Switch1
.31 Switch2
.40 Drucker1
.41 Drucker2
.50 PC mit fester IP (DHCP mit IP Reservierung)
200 - 254 Notreserve falls man mal was auf die schnelle braucht

Klingt eigentlich gar nicht so doof, um noch etwas Struktur in die Bereiche mit fest vergebenen IPs reinzubringen, auch wenn man im Heimnetz vermutlich auch erst einmal nur einen Gerätetyp hat, aber das schaue ich mir womöglich einmal ab.. Besten Dank! :) face-smile

Ich nutze den "Advanced IP Scanner" (Freeware).

Sorry für die kleine Verwirrung. Zum Scannen von IPs / Ports unter Windows nutze ich den auch - hier wollte ich jedoch eher auf das Scannen von Dokumenten mit besagtem HP-Gerät hinaus, da ich die Software Suite ja zusammen mit dem ganzen anderen Murks deinstalliert habe.
Heiß diskutierte Beiträge
general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 11 StundenFrageBenchmarks31 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

info
Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)wolfbleVor 1 TagInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server18 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
UniFi Switch 16 mit VLANnewbie1Vor 1 TagFrageRouter & Routing16 Kommentare

Hallo Forenmitglieder, VLAN Problem mit Switch UniFi US-16-150W-EU. Auf dem UniFi-Controller (als Software auf meiner Synology-NAS) habe ich VLAN's erstellt. Auf dem Switch habe ich ...

question
AD-Domäne über VPN beitreten -Ist das möglich?EnrixkVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo, ich bräuchte mal einen Rat von einem Netzwerkprofi. Ich habe bei mir zuhause ein Heimnetzwerk mit AD-Domäne, entsprechenden Ordnerfreigaben, NAS und servergespeicherten Windows-Profilen. Wenn ...