Drucker wird nicht gefunden, wenn VPN (Wireguard) aktiv ist

[Meza100]

Hi zusammen,

wenn ich mit dem Notebook (lokal im eigenen Netzwerk) verbunden bin, so funktioniert der Drucker. Wird der Wireguard-VPN aktiviert, so findet Windows aber nicht den Drucker (nicht erreichbar).

Client ist Windows 11. Drucker ist HP Officejet 8020.

Woran könnte es liegen?

Danke und Grüße,
Meza

 

[Khorneflakes]

Fließt bei dir vielleicht einfach JEGLICHER Traffic durch das VPN, einschließlich lokaler Adressen, die dadurch natürlich unerreichbar werden? Klingt zumindest so. Die Lösung könnte so simpel sein wie eine Ausnahmeregel in der VPN-Konfiguration.

 

[coxon]

Klingt zumindest so.

Ist auch so. Regel erstellen oder zum drucken VPN abschalten.

 

[Meza100]

Muss ich diese Ausnahmeregelung beim VPN-Client (Wireguard) oder beim VPN-Gerät (Fritzbox) machen?

 

[Khorneflakes]

Ich weiß nicht wie AVM ihr VPN implementiert hat, aber ich würde meinen im Client sollte das reichen. Dadurch bleibt der Traffic zu, z.B. 192.168.2.0/24 außerhalb des VPNs und die Fritzbox müsste das entsprechend weiterleiten. Ansonsten wäre die Fritzbox selbst ja auch nicht mehr erreichbar.

 

[Chuck-Boris]

Per Kabel oder WLAN verbunden mit der AVM Box?
WLAN sollte eigentlich ohne Umwege von statten gehen.

 

[Das MatZe]

Nur um hier Missverständnisse zu vermeiden:
Meinst du mit aktivem VPN eine Verbindung via Wireguard von zuhause nach draußen? Sprich du befindest dich zuhause, möchtest auch dort drucken, bist aber per VPN mit einem anderen Netz (z.B. Firma) verbunden?
Dann +1 für die bisher genannten Dinge. Es wird dann, sofern die Config nicht anderweitig ist, jeglicher Traffic von deinem Computer zum entfernten Netz gebracht. Dass du von dort dann nicht mehr an deinen Drucker neben dir kommst, ist logisch, da du aus Netzwerksicht deinen Laptop an eben diesem entfernten Standort hast.

Die Lösung wurde beschrieben, du musst dafür sorgen, dass nur der Verkehr durch den Tunnel geht, der auch da durch soll.
Option A ist, du schickst nur noch das durch den Tunnel, was da durch muss um den entfernten Ort erreichen zu können, also z.B. das Firmennetz.
Option B ist, du schickst alles bis auf die Dinge in deinem lokalen Netz durch den Tunnel.

Ob Lan oder WLAN ist an der Stelle übrigens wurst.

Ich hab mir für Handy und Co. z.B. dasselbe VPN-Profil zweimal angelegt. Einmal in "normal", wo alles durch den Tunnel geht, was insbesondere in unbekannten öffentlichen Netzen Vorteilhaft ist und einmal in "Split-VPN" Art.
Da schicke ich ausschließlich das, was sich in meinem privaten IP-Adressbereich befindet da durch, sonst nichts. Somit kann ich z.B. aus der Uni heraus weiterhin die Dienste nutzen, die nur aus dem Hochschulnetz erreichbar sind, gleichzeitig aber auch aufs Heimnetz zugreifen.

 

[hildefeuer]

Welche IP dat der Drucker und wie wird die vergeben?
VPN Clients bekommen IPS oberhalb des IP range des dchp servers.
Vergibt man in diesem Bereich händisch die IP für den Drucker, kann das zu Problemen führen.

 

[chrigu]

Kann vieles sein. Angefangen von der falschen Einstellung des wireguard der Fritz (alles geht zum vpn, inklusive Drucker) bis hin zum falschen konfigurieren des subnetz (beide Seiten dasselbe subnetz)

 

[nutrix]

Wenn Du einen Client vorgegeben bekommen hast, bist Du hier abhängig von dem Aussteller des Clients. Wenn Du selbst den Client und den VPN-Server verwalten kannst, kannst Du Ausnahmen deklarieren.

 

[Meza100]

@Khorneflakes Ah, alles klar, danke dir ;-) D.h. ist eine Einstellung im Wireguard Windows Client!

@Chuck-Boris Um genau zu sein: Notebook (Wlan) mit dem Netzwerk (Zuhause - Speedport) -> VPN zur FritzBox (Wireguard). Das sollte ja aber eigentlich kein Problem darstellen, denke ich^^

@Das MatZe Du hast es sehr gut erklärt! Also um genau zu sein:
Notebook (Zuhause: Wlan mit Speedport-Netzwerk verbunden) -> VPN zur Fritzbox (Firma)
Es wäre natürlich super, wenn der komplette Traffic nicht über das VPN geroutet wird. Also nur das "Notwendige" für die Firma. Drucker und andere im Haus befindliche Geräte sollen weiterhin erreichbar bleiben. Zuhause hat das Netzwerk die IP-Range 192.168.3.0/24. Die Firma hat 192.168.2.0/24. Wäre dann die Option beim Wireguard Client "Allowed IPs = 192.168.2.0/24, 192.168.3.0/24" korrekt?

@hildefeuer Der Drucker hat die IP 192.168.3.105. Sobald der VPN aber getrennt wird, so ist das Drucken wieder möglich.

@chrigu Ja, ist wohl die typische Einstellung mit "Allowed IPs = 0.0.0.0/0". ^^

@nutrix Das sollte kein Problem sein, da ich den Client und den VPN-Server (Fritzbox) selber verwalten kann. Ich bräuchte nur die richtige Option mit dem richtigen Inhalt ;-)

 

[Khorneflakes]

Normalerweise ist es bei Firmen bewusst so vorgegeben, dass lokale Adressen nicht erreichbar sind. Das System geht über das Standardgateway raus um sich mit dem VPN-Endpunkt zu verbinden und sonst nichts. Gründe dafür sind, z.B., dass man nicht will, dass sich Mitarbeiter lokale Netzwerkdrucker auf dem Arbeitsgerät installieren Mal ganz davon abgesehen, dass die Mitarbeiter dazu sowieso nicht die Rechte haben sollten.

Wenn das bei dir erlaubt ist, dann brauchst du nur eine Ausnahme für die 192.168.3.105. Du kannst natürlich auch 192.168.3.0/24 vom VPN ausnehmen, dann ist alles in deinem Netz erreichbar. Das ist allgemein aber so ziemlich Worst Practice und sollte man nur machen, wenn das wirklich nötig ist und/oder einen tieferen Sinn ergibt und/oder man das Netz unter voller Kontrolle hat. Da es dein internes Netz ist, ist das hoffentlich der Fall, angewöhnen sollte man sich das aber nicht.

192.168.2.0/24 brauchst du nicht ausnehmen, das Netz erreichst du sowieso nicht ohne das VPN. Dein VPN-Endpunkt ist in diesem Netz.

 

[Das MatZe]

Ich glaube, wenn die Firma eine Fritzbox als Gateway einsetzt, reden wir hier nicht von einem größeren Unternehmen.
Was natürlich nichts damit zu tun hat, dass man dennoch Schützenswerte und sensible Daten dort hat. Hoffentlich auch mit ordentlichem Betriebs- und Backupkonzept.
Sei's drum.

technisch gesehen reicht es, bei allowed IPs die Range des Firmennetzes ein zu tragen. Dann wird ausschließlich das, was zur Firma soll auch übers VPN geroutet, sonst nichts.
"Allowed IPs = 192.168.2.0/24" wäre das dann.

 

[nutrix]

@nutrix Das sollte kein Problem sein, da ich den Client und den VPN-Server (Fritzbox) selber verwalten kann. Ich bräuchte nur die richtige Option mit dem richtigen Inhalt ;-)

Notebook (Zuhause: Wlan mit Speedport-Netzwerk verbunden) -> VPN zur Fritzbox (Firma)

Moment, dann steht der VPN-Server doch in Deiner Firma? In dem Moment, wo Du Dich mit Deiner Firma über deren VPN verbindest, gibt deren VPN-Server die VPN-Einstellungen für den Client vor. Du hast darauf keinen Einfluß. Hier mußt Du mit dem VPN-Admin Deiner Firma reden. Oder Du routest es bei Dir intern um, wenn möglich.

 

[hildefeuer]

"Zuhause hat das Netzwerk die IP-Range 192.168.3.0/24. Die Firma hat 192.168.2.0/24."

"Der Drucker hat die IP 192.168.3.105"

"Notebook (Zuhause: Wlan mit Speedport-Netzwerk verbunden) -> VPN zur Fritzbox (Firma)"

Die Speedport haben Standard mäßig 192.168.2.1 und Deiner ist nun auf 192.168.3.1 gesetzt worden oder?
Die Firma hat eine Fritze mit 192.168.2.1? Das wäre der totale Mist, weil dann keine Verbindungen zur Standard Konfig der Speedports möglich wären.
Nein glaube nicht das der dortige Admin solch einen Anfänger Fehler gemacht hat.
Aber ist ja auffällig die 105. Die wurde nicht vom dchp vergeben, sondern händisch. Warum eigentlich keine Vergabe per ip Reservation?
Warum vergibt man dem Drucker nicht 192.168.3.3? Dann setzt man den dchp Bereich auf 10-150 im Speedport.