ping in 2. Subnetz funktioniert nicht bei allen Maschinen

[guennid]

Ich betreibe zwei kleine häusliche Netze ohne DHCP 192.168.1 und 192.168.100. Ich kann von einem Rechner im 100er Netz (sagen wir 192.168.100.2) eine Maschine im 1er Netz anpingen (sagen wir 192.168.1.5) und habe auch ssh-Zugriff darauf. Es gibt zwei Router: einen im 100er Netz über den alle Maschinen ins Internet gehen, und einen, der den Verkehr zwischen den beiden Subnetzen regelt. Den Netzwerkdrucker im 1er Netz (sagen wir 192.168.1.6) kann ich von der 192.168.100.2 nicht mal anpingen, geschweige denn administrieren. Drucken von dagegen funktioniert. Remote per ssh eingeloggt auf 192.168.1.5 kann ich den 192.168.1.6 per web-gui administrieren.

Wo könnte ich was fehlerhaft konfiguriert haben?

Grüße, Günther

[schwedenmann]

Hallo



Wo ist der netzwerkdrucker denn angeschlossen?

An einem switsch, oder am Router (per USB), oder cat5 am Router ?

mfg
schwedenmann

[wanne]

• Viele Geräte Reagieren aus "Siherheitsgründen" nie auf Pings und filtern die aus Prinzip per Firewall aus.
• Drucker und ähnliches sind Sachen die man eigentlich nur lokal benutzt. Ist also eigentlich ganz korrekt dass man da nicht aus einem anderen Netzt drauf zugreifen kann. Ich würde es sogar eher als Bug ansehen, dass man da überhaupt aus einem Anderen Netzt drauf drucken kann.
• Im Zweifelsfall wird man dir nicht helfen können wenn du nicht zeigst wie die beiden Router konfiguriert sind (Bei einem Debian router: ip a; ip r; iptables -S; iptables -t nat -S)

Entsprechend währe es geschickt, wenn du das mit Debian-Geräten als Endgeräte testest, von denen man weiß, dass wie sie sich verhalten und mal malst, wie dein Netzwerk rein physikalisch aussieht.

[guennid]

@schwedenmann
Angeschlossen an switch.

Hier gibt's nix außer Debian, auch bei den Routern

ip a; ip r; iptables -S; iptables -t nat -S

Das muss ich erst mal verdauen.

Entsprechend währe es geschickt, wenn du [...] mal malst, wie dein Netzwerk rein physikalisch aussieht.

Das wird euch nicht gefallen, muss aber aus bestimmten Gründen, sein, wie es ist.

Wenn ich mit "ip a; ip r; iptables -S; iptables -t nat -S" nicht weiterkomme, male ich, bzw gebe ich euch den Link, wo ich schon mal gemalt habe. Bis dahin kannst du auch suchen - wenn dir langweilig sein sollte.

Grüße, Günther

[dufty2]

http://workupload.com/file/XHq3ToM3

Der zweite Router ist der "Druckserver Wlan/Eth", wenn ich das noch richtig im Kopf habe.

[guennid]

Korrekt!

Und an dem Switch zwischen Druckserver, R4+R5 hängt jetzt noch ein Kyocera-Netzwerkdrucker.

Grüße, Günther

Soll ich die Ausgaben von

ip a; ip r; iptables -S; iptables -t nat -S

auf beiden Routern posten? Ist es erforderlich/sinnvoll die MACs unkeńntlich zu machen?

Grüße, Günther

[wanne]

Soll ich die Ausgaben von

ip a; ip r; iptables -S; iptables -t nat -S

auf beiden Routern posten?

Ja. Würde mich interessieren.

Ist es erforderlich/sinnvoll die MACs unkenntlich zu machen?

Man kann daran halt erkennen, was für eine Netzwerkkarte du verwendest. Hersteller ggf. Modell. Ich halte es für ein Geheimnis, dass jetzt nicht besonders Schützenswert ist. Gibt andere, die das anders sehen.

Aber im allgemeinen währe es natürlich schon interessant, ob der Ping aus dem eigenen Netz überhaupt funktioniert.

[guennid]

Bitteschön:

ip a und ip r Den Rest, wenn nötig.

Grüße, Günther

[dufty2]

Code: Alles auswählen

192.168.1.0/24 via 192.168.1.110 dev eth0  scope link 

Für was soll das gut sein?
Zumal es ja schon ein

Code: Alles auswählen

192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.110

gibt.

[wanne]

Der Eintrag ist sinnlos:

Code: Alles auswählen

192.168.1.0/24 via 192.168.1.110 dev eth0  scope link

Entsprechend würde ich ihn entfernen:

Code: Alles auswählen

ip r d 192.168.1.0/24 via 192.168.1.110 dev eth0

Aber nicht weiter störend.
Wenn iptables leer ist, müsste so alles funktionieren. Entsprechend gäbe es da die Möglichkeit, dass da was blockiert ist.
Ich favorisiere aber immer noch die Wahrscheinlichere Variante, dass der Drucker einfach keine Verbindungen von Außerhalb des eigenen Subnetzes annimmt.
Da kannst du entweder die Einstellung im Drucker finden, die zusätzliche Netze zulässt, oder irgend wo einen Proxy/tcp-umleitung/VPN-Server... im .1er Netz aufbauen.
Z.B. sowas irgend wo im 192.168.1er netz laufen lassen:

Code: Alles auswählen

ncat -k -l -p 8888 -c "ncat [DRUCKER] 80"

Dann kannst du über die IP:8888 des Rechners auf dem das läuft auf den Drucker zugreifen.

PS: ganz dumme Frage noch: Bei dem Webinterface, wenn es funktioniert: Greifst du da über die IP zu, oder stellt den Browser irgend wann automatisch auf irgend einen Namen um?
ggf. Musst du dann nur den Namen mit der Drucker-IP in die /etc/hosts schreiben.

[guennid]

Der Eintrag ist sinnlos:

Code: Alles auswählen

192.168.1.0/24 via 192.168.1.110 dev eth0  scope link

In /etc/network/interfaces korrigiert. Danke!

Da kannst du [...] irgend wo einen Proxy/tcp-umleitung/VPN-Server... im .1er Netz aufbauen.
Z.B. sowas irgend wo im 192.168.1er netz laufen lassen:

Code: Alles auswählen

ncat -k -l -p 8888 -c "ncat [DRUCKER] 80"

Das ist wohl nicht nötig. Über eine Maschine im 1er Netz komme ich ja jetzt schon auf die Web-Gui des Kyo. Und dahin komme ich sowohl via IP als auch mit dem Druckernamen.

die Einstellung im Drucker finden, die zusätzliche Netze zulässt

Daran arbeite ich.

Grüße, Günther

[wanne]

als auch mit dem Druckernamen.

Wenn's nen Druckernamen gibt: kannst du mal bei dem Zugreifenden Client im 100er netz in die /etc/hosts folgendes eintragen:

Code: Alles auswählen

192.168.1.[DRUCKERSUFFIX] [DRUCKERNAME]

Vielleicht nutzt der Drucker in seinem Web-Interface ja nur keine Relativen links und entsprechend fehlt nur die Namensauflösung.

Was sagt denn das:

Code: Alles auswählen

nmap -PN -p 443,80 -sV DRUCKER

(nach der installation von nmap)

[guennid]

aus dem 100er Netz:

Code: Alles auswählen

# nmap -PN -p 443,80 -sV kyo-5150

Starting Nmap 6.00 ( http://nmap.org ) at 2015-03-07 22:51 CET
Nmap scan report for kyo-5150 (192.168.1.119)
Host is up (0.0024s latency).
PORT    STATE    SERVICE VERSION
80/tcp  filtered http
443/tcp filtered https

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 0.41 seconds

Nach wie vor ein ping und keine web-gui.

Grüße, Günther

[dufty2]

[*]Drucker und ähnliches sind Sachen die man eigentlich nur lokal benutzt. Ist also eigentlich ganz korrekt dass man da nicht aus einem anderen Netzt drauf zugreifen kann. Ich würde es sogar eher als Bug ansehen, dass man da überhaupt aus einem Anderen Netzt drauf drucken kann.

Nö, das stimmt so überhaupt nicht
Netzwerkdrucker sind sehr wohl in einem Intranet erreichbar, besonders jene, die per Druckserver, welche oft im Datacenter stehen, angesprochen werden und nicht "direkt".
=> Kein Problem, den Drucker 2 Stockwerke höher bei den Kollegen zu nutzen, wenn der "eigene" defekt ist [1].

Wie man auch der Bedienungsanleitung "FS-C5150DN_FS-C...DN_OG_DE_DE.pdf" des Kyocera FS-C5150DN entnimmt, gibt es dort auf Seite 4-51 den Punkt "Gateway (Gateway Einstellungen)", der ansonsten ja völlig für die "Katz" wäre

[1] Bei größeren Entitäten gibt es die Möglichkeit, "passwortgeschützt" zu drucken:
Man druckt auf Drucken, latscht los und erst wenn man am Drucker seine PIN eingegeben hat, rattert jener los.
Desweiteren ist z. B. SAP wählerisch, was Drucker angeht.
Aber all dies geschieht dann auf Applikationsebene, auf Netzwerkebene könnt' ich in Berlin oder Singapur meine Doku ausdrucken lassen.

[guennid]

Das war ja alles sehr schön, dufty2, aber wie komme ich jetzt weiter?

Die letzen Versuche: Ich komme ja, wie gesagt, auf Umwegen zur Konfigurations-GUI, weiß sogar noch das Passwort, aber irgendwie kann ich nichts ändern. Ob's am "Umweg" liegt?
Ich habe nicht viel Ahnung vom Netzwerkeln. Die Subnetzmaske steht auf 255.255.255.0 Könnte es was bringen, die auf 255.255.0.0 zu ändern.

Aber ja, das Handbuch! Wenn man das höchstens bei der Ersteinrichtung vor ca. zwei Jahren mal benutzt hat, weiß man gar nicht mehr, dass es sowas gibt!

Grüße, Günther