Kein Drucken über VPN möglich

[Stuntmaster]

Hallo zusammen

Wie der Titel schon sagt, habe ich Schwierigkeiten wenn ich per VPN Verbindung auf meinem Heimischen Netzwerkdrucker drucken möchte. Dabei ist mir auch ein anderes Probleme aufgefallen aber dazu später mehr.

Szenario:
Ich habe zuhause eine FritzBox 7490 stehen. An jener ist per WLAN ein HP 3630 angeschlossen. Dieser ist, wenn ich mich im heimischen Netz befinde problemlos ansprechbar bzw. ich kann problemlos im Heimnetzwerk drucken. Auch andere Geräte können drucken (PC, Mac, iPhone, iPad usw.)

Nun habe ich in der FritzBox eine VPN Verbindung eingerichtet. Welche auch soweit funktioniert. (Geräte kann ich anpingen, Zugriff auf Freigaben usw.) Eine Ansicht der Netzwerkgeräte habe ich im Explorer jedoch nicht. Nur wenn ich die IP direkt eingebe komme ich auf die Freigaben. Wäre natürlich schön wenn ich direkten Zugang hätte ohne jedesmal die IP eintippen zu müssen. Aber das ist erstmal kein Problem. Ich denke das hat was mit der Netzwerkerkennung zu tun welche im öffentlichen Netz deaktiviert ist. Die Datei und Druckerfreigabe sind am Laptop für das öffentliche Netz aktiviert. Info hierzu noch: In der FritzBox bin ich als Benutzer regestriert (MyFritz usw.) und habe für mich auch (selber Benutzer) das VPN konfiguriert. Diese VPN Konfiguration habe ich an meinen Geräten soweit auch eingerichtet. Ich nutze also eine VPN Konfiguration an mehreren Geräten. Aber nicht gleichzeitig. Das scheint so ja wohl auch nicht zu funktionieren da ich ja immer mit dem selben Benutzer per VPN zugreife. Das ist soweit auch nicht schlimm und auch nicht mein Problem. (Zum jetzigen Zeitpunkt muss ich für mich auch keine weiteren VPN Konfigurationen für mehrere Benutzer erstellen da sowieso nur ich diese nutze und wenn auch nur von einem Device gleichzeitig per VPN aufs heimische Netz zugreife.)

An meinem Arbeitslaptop (dieser existiert auch als Netzwerkgerät mit zugewiesener IP in der FritzBox und dieser hat den Drucker auch installiert) habe ich mit ShrewSoft VPN (Leider funktionierte das nicht mit der VPN Einrichtung über das AVM Tool) eine VPN Verbindung konfiguriert und wie bereits erwähnt, funktioniert diese soweit.

Problem:
Nun möchte ich gern auf dem WLAN HP 3630 Drucker über die VPN Verbindung drucken. Aber leider geht das nicht. Der Druckauftrag kommt und wird nach kurzer Zeit mit einem Kommunikationsfehler abgebrochen. Es erscheint von der installierten HP Software eine Fehlermeldung. Nun ist es so das ich sowohl den Drucker über VPN anpingen kann und auch auf das Webinterface des Druckers gelangen kann. Jedoch der Druck selber geht nicht. Ein Druck über das iPhone per VPN Verbindung ist jedoch ebenfalls nicht möglich! Im Internet habe ich kurz etwas gelesen das wohl AirPrint nicht im VPN funktioniert.Warum weis ich so jetzt nicht, habe mich damit aber noch nicht weiter befasst da ich vorrangig erstmal vom Laptop aus drucken möchte. Wenn jemand dazu eine Lösung hat ist das natürlich auch super.

Laut der Einrichtungserläuterung von der ShrewSoft VPN Software, ist diese so eingestellt das der komplette Verkehr über den Tunnel geht.

Leider habe ich im Internet nichts brauchbares weiter zum Thema gefunden welches meinem Problem ähnelt und hoffe ihr könnt mir weiterhelfen. Es gibt zwar genug Themen zum Thema VPN und Drucker aber irgendwie passt das alles nicht zu meinem Stenario.

Kurz nochmal zusammen gefasst: Aus der Ferne kann ich vom Laptop auf dem heimischen Netzwerkdrucker über VPN nicht drucken.


Ein anderes Problem welches ich hierbei bemerkt habe ist, das wenn ich im Hotel (über das Hotel WLAN) die VPN Verbindung aufgebaut habe nicht auf meine heimische FritzBox gelange (Aufruf der IP Adresse der FritzBox im IE). Problem ist hier das das Hotel ebenfalls eine FritzBox hat die dazu auch noch die gleiche IP hat wie meine die zuhause steht. Ich komme beim Aufruf im IE also immer auf die Zugangsseite der Hotel FritzBox. Kennt das Problem jemand und hat dafür eine Lösung?
Vorrang hat jedoch klar das Drucker Problem.

Mit freundlichen Grüßen

Stuntmaster

Und danke schonmal im Voraus für Antworten und Lösungsvorschläge.

 

[Wilhelm14]

Du hast schon richtig erkannt, dass über VPN nur die IP-Adressen gehen und nicht z.B. \\HP-Drucker oder ein NAS via \\NAS\Freigabe. https://de.wikipedia.org/wiki/NetBIOS
Wie ist der Druckeranschluss auf dem PC eingerichtet (Druckereigenschaften, Reiter Anschlüsse)? Als Standard-TCP/IP-Port und bei Druckername oder -IP-Adresse danach wirklich eine IP-Adresse und nicht HP123123?

Wenn du bei 192.168.178.1 die Hotel-Fritzbox erreichst, ist Shrew falsch eingerichtet. Genaue Tipps kann ich dazu nicht geben, da ich Shrew nicht nutze. Beim Windows VPN kann/konnte man dazu anhaken, dass auch lokale IP-Anfragen durch den Tunnel sollen. Du könntest deine Fritzbox aber als Fummellösung auf 192.168.100.1 oder ähnlich ändern.

 

[Stuntmaster]

Hallo Wilhelm

Danke für die schnelle Antwort.
Im Windows Menü "Geräte und Drucker" ist der Drucker mit einer Klammer versehen in welcher "Netzwerk" steht. Der Drucker selber ist an keinem PC direkt angeschlossen. Es ist ein reiner WLAN Drucker.
In den Druckereinstellungen habe ich zwar unter dem Reiter Anschlüsse meinen Drucker gefunden, kann hier aber nichts weiter einstellen. Wenn ich den Drucker markiere und auf Konfigurieren klicke, bekomme ich eine Windows Fehlermeldung (0x00...). Unter Anschluss steht nur eine Nummer "CN63..", unter Beschreibung steht "HP Network re-discovery Port Monitor" und unter Drucker steht der Druckername "HP DJ 3630 Series (Netzwerk)". Alles unter dem Reiter Anschlüsse in den Druckereigenschaften.

Zu dem mit der FritzBox > Das nicht jeder diese Software nutzt ist klar Wie dazu gesagt laut Einrichtungshilfe im Internet sollte alles über die VPN Verbindung gehen. So ganz falsch konfiguriert kann Shrew jedoch nicht sein. Da, wenn ich über einen Hotspot vom iPhone aus den Laptop verbinde und darüber die VPN Verbindung herstelle ich ohne weiteres auf die Oberfläche der FritzBox komme. (Klar in diesem Fall hängt da keine andere FritzBox dazwischen) Ich nehme an da mein erster Zugangspunkt ja in diesem Fall die Hotel FritzBox ist (ich muss ja erst einmal eine normale Verbindung über diese herstellen) und ich darüber ja ins Internet gelange, ich diese dann auch bei der Eingabe der IP im IE aufgerufen bekomme und nicht meine heimische. Die VPN Verbindung geht ja sozusagen über die Hotel FritzBox hinaus. Ich hoffe du verstehst wie ich das meine. Das mit dem ändern der IP Adresse hatte ich auch bereits im Kopf. Allerdings müsste ich dazu ja dann alle meine IP Adressen im Netzwerk anpassen und hoffen das nicht zufällig in einem anderen Hotel eine FritzBox gerade dann diese geänderte IP hat. Klar die Wahrscheinlichkeit ist eher gering.

 

[Raijin]

Hast du den Drucker zufällig per Setup.exe automatisch installiert?

Füge den Drucker mal manuell hinzu. Dabei wählst du beim Anschluss TCP/IP und gibst die IP an. Dann sollte es eigentlich funktionieren.

Hintergrund ist der, dass die Setups vom Hersteller teilweise proprietäre Ports hinzufügen. Bei Brother heißt das zB Brother-Printerport oder so. Es kann sein, dass der Treiber dann eben nicht einfach über die IP auf den Drucker zugreift, sondern mit anderen Protokollen arbeitet, die wiederum nicht durch das VPN gehen.

 

[Wilhelm14]

@Raijin: Genau sowas meinte ich. Ich habe für Freunde neulich einen HP eingerichtet und es wurde blitzschnell ein WSD-Port genommen. http://h30492.www3.hp.com/t5/Drucke...WSD-Port-funktioniert-nicht-immer/td-p/117068
Da man ja neuem gegenüber aufgeschlossen sein soll in Sachen Technik, war ich zuerst begeistert. Nach zwei Wochen kam dann die Anfrage, es würde nicht (mehr) richtig laufen. Da habe ich den Drucker wieder über Standard-TCP/IP-Port eingerichtet. Und über VPN würde ich es noch wirklich mit der IP statt dem NetBIOS-Namen machen.

Zum VPN. Das Problem mit den doppelten IP-Adressen, weil Fritzboxen ab Werk immer 192.168.178.1 haben, sollte eigentlich mit einer "richtig" eingestellten VPN-Software auf dem Client nicht passieren. Du schreibst zwar laut Shrew würde alles durch den Tunnel gehen, das tut es offensichtlich aber nicht. Versuch mal in Shrew zu tüfteln.
https://www.shrew.net/static/help-2.1.x/vpnhelp.htm?GeneralSettings.html

 

[Raijin]

Sobald man per VPN zwei Netzwerke verbindet, sollte man grundsätzlich die IP-Bereiche überdenken. Da man keinen Einfluss auf das Netzwerk des Kumpels, Hotels, Internetcafés hat, kann man daher nur im Heimnetzwerk potentiellen Konflikten weitestgehend vorbeugen.

Die Standard-Subnetze 192.168.0.x / 192.168.1.x / 192.168.2.x / 192.168.178.x / 192.168.179.x sollte man meiden wie die Pest. "Alles" per Definition über den Tunnel zu routen ist ein zweischneidiges Schwert. Klar, will man sowieso über VPN surfen, ist das einerlei. Will man aber trotzdem während der VPN-Verbindung das lokale Netzwerk bzw. die Internetverbindung nutzen (zB weil es lokal schneller ist als via Home-VPN), dann ist es denkbar unpraktisch, wenn man aufgrund doppelter Subnetze dazu gezwungen ist, trotzdem über das VPN zu surfen.

Daher mein Tip: Das Heimnetzwerk auf ein weniger gebräuchliches Subnetz umstellen. Dann hat man zumindest noch die Wahl ob man zB im Internet-Café alles tunnelt oder beim Kumpel eben nur das heimische Subnetz.

192.168.0.0 - 192.168.255.255
172.16.0.0 - 172.31.255.255
10.0.0.0 - 10.255.255.255

Das sind die Bereiche, in denen man sich mit privaten Subnetzen austoben kann. Die oben genannten bzw. generell die Anfangsbereiche in obigen Regionen sind weitestgehend zu meiden. So könnte man daheim zB 172.23.4.0 verwenden. Ich merke mir meine Subnetze zB gerne mit Geburtstagen (im Beispiel: 23.04.). Damit erschlägt man gefühlt 98% der potentiellen Konflikte im Keim, weil auch in Hotels gerne mal Fritzboxxen im Keller stehen - mit Standard-IPs versteht sich.....

 

[Wilhelm14]

Er verbindet ja nicht gleich zwei Netze. Wenn er ein Notebook mit VPN-Client zum VPN-Server verbinden lässt, sollten die IP-Adressen egal sein. Sofern der Client richtig eingerichtet ist. Im windows-eigenen Client kann man z.B. sagen, dass nur Anfragen in Private IP-Adressen (192er usw.) durch den Tunnel sollen. "Normales" Surfen nicht, das kann übers Hotel gehen. Dann sollte 192.16.178.1 durch den Tunnel gefragt werden und den heimischen Router sehen und nicht den Hotel-Router. Sieht er den Hotel-Router, wird die 192er Adresse nicht durch den Tunnel geleitet.

 

[Raijin]

Doch, es werden zwei Netze verbunden. Ob die untereinander geroutet werden ist ja uninteressant. Aber der Laptop ist physikalisch in einem (W)LAN und verbindet sich via VPN mit einem zweiten. Ob die Netze sich gegenseitig sehen ist egal, weil der Laptop selbst ja nun mal in beiden Netzen drin ist, aus seiner Sicht sind sie also verbunden

Wenn lokales und Heimnetzwerk beide Fritzboxxen mit Standard-Netz nutzen, kann man eben nicht mehr so ohne weiteres selektieren ob das NAS via VPN und Internet via lokal geht. Wie auch? Das Subnetz 192.168.178.0 gibt es 2 Mal und unterscheiden kann man dann nicht mehr. Willst du das Heimnetzwerkerreichen, hast du dann gar keine andere Wahl mehr als *alles* zu tunneln. Gezieltes Routing ist so zumindest nicht mehr möglich. Es sei denn man arbeitet im VPN-Server mit einem virtuellen NAT-Subnetz, das zB 192.168.123.x in das heimische 192.168.178.x NATtet. Aber ob das mit einem 08/15 Router machbar ist, wage ich zu bezweifeln. Bei mir in der Firma in einem Fall so machen. Da wird zB 192.168.11.0 in ein entferntes 192.168.1.0 geNATet. Furchtbare Frickellösung, die ich aber nicht umgehen kann, weil weder lokales noch entferntes Subnetz aus historischen Gründen geändert werden dürfen/können.

 

[Stuntmaster]

Nachtrag zu Gestern:

Hallo zusammen

Danke für die weiteren Antworten.

Zum Drucker:
Ich habe nun bei bestehender VPN Verbindung am Laptop zum heimischen Netz den Drucker über "Einen Drucker hinzufügen" gesucht und tatsächlich gefunden. Im weiteren Verlauf habe ich diesen dann mit Treibern auch zu meinen Druckern hinzufügen können. In den Druckereigenschaften steht bei diesem nun als Anschluss die IP Adresse. In der Netzwerkumgebung im Explorer wird mir jedoch nur mein Laptop angezeigt und kein weiteres Netzwerkgerät. Is das soweit richtig bei einer VPN Verbindung?
Wenn ich nun eine Testseite drucke sehe ich diese auch kurz in den Druckaufträgen und verschwindet dann. Am heimischen Drucker kommt jedoch nichts an. Scheint ins Nirvana verschwunden zu sein??? Eine größere Datei hängt sich in den Druckaufträgen scheinbar auf. Diese bleibt mit ein paar übertragenen kb dann mit einem Fehler in den Druckaufträgen stehen. Eine Fehlermeldung seitens der HP Software auf dem Laptop bekomme ich nicht mehr. Somit bin ich nun der Meinung das ich zumindest den Drucker als solches korrekt auf meinem Laptop eingebunden habe. Aber warum zuhause trotzdem nichts gedruckt wird ist mir ein Rätsel. Siehe Bild.

Über das Webinterface kann ich die eigenen Test Seiten des Druckers drucken. Ist aber ja nur über die Weboberfläche des Druckers. Das dies geht scheint mir klar, da ich ja per VPN im Netz hänge und die Weboberfläche ja aufrufen kann. Über Windows jedoch eine normale Seite zu drucken funktioniert also weiterhin noch nicht.

Wie gesagt, ich hab den Drucker bei bestehender VPN Verbindung nochmal hinzugefügt und dieser ist nun mit der IP aufgeführt. Laut Druckaufträgen schicke ich wohl die Seite auch raus. Nur kommt nix am Drucker an. (Bis auf die größere Datei (20MB) welche in den Druckaufträgen einen Fehler auslöst.)

Daraufhin habe ich in den Druckereinstellungen einmal ausprobiert die Aufträge direkt, also nicht über den Spooler, zu senden. Leider brachte das auch nicht den erhofften Erfolg. Ein Stück weiter bin ich also irgendwie gekommen aber ich bin halt noch nicht am Ziel.

Zum Thema der IP Adressen:
Das man die voreingestellte IP sehr wahrscheinlich ändern sollte ist mir bewusst und dies werde ich dann wohl demnächst mal umändern. Muss zugeben das ich das aus Bequemlichkeitsgründen nicht getan habe. Im Bezug auf Sicherheit empfiehlt es sich ja auch. Muss dann halt nur allen Geräten im Netz neue IP's geben (und das sind einige). Zu ShrewSoft VPN kann ich im Moment noch nicht viel sagen. Ich hab mich halt an vorhandene Anleitungen im Netz gehalten und war erstmal froh das die VPN Verbindung dann zu Stande kam. Wie im ersten Post erwähnt klappte das mit dem hauseigenen AVM Tools nämlich überhaupt nicht. Werd hier dann auch nochmal gucken.
Versteh ich das richtig das es wenn nur zwei Wege gibt, Sprich > Entweder alles über den Tunnel oder nur das was ans heimische Netz geht über den Tunnel und der Rest über das Netz wo mein Laptop ist? Hintergrund der Frage ist, das ich nicht immer wo ich bin ein Netzwerk zur Verfügung habe (Dann nur per Hotspot übers Handy) und somit dann auch mal alles über den Tunnel schicken will/muss. Ich möchte ja wenn dann natürlich nicht jedesmal in den Einstellungen rum fummeln. Kennt denn jemand die ShrewSoft VPN Software? Oder hat jemand brauchbare Alternativen? Eine Einrichtung über die Windows eigenen Einstellungen hatte ich zwar begonnen aber ich wusste dann während der Konfiguration nicht genau was ich dann da alles einstellen muss.

Hauptthema ist weiterhin das drucken über die VPN Verbindung.

Ich hoffe es Antworten wieder welche von euch.

Mit freundlichen Grüßen

Ergänzung (9. Februar 2017)

@ Raijin > Zu Beginn in deinem zweiten Absatz erwähnst du ja das mit den gleichen IPs der FritzBoxen. Nur verstehe ich leider nicht ganz in welcher Richtung du das nun meinst. Meinst du damit das wenn die Boxen beide die gleiche IP haben das so oder so nicht geht. Sprich wenn beide die gleiche IP haben lande ich eh immer auf der Box des Hotels? Oder meinst du damit, wenn ich eigentlich "alles" über den Tunnel schicke (Wie laut Internet Anleitung von ShrewSoft VPN beschrieben und so eingerichtet) ich dann eigentlich meine heimische Box erreichen müsste? Falls du das zweite meinst ist da was falsch konfiguriert in Shrew und die Anleitung im Internet wäre nicht korrekt. Das ist mir nicht ganz klar.

 

[Raijin]

Ich hatte bereits vor kurzem eine ausgedehnte Diskussion darüber und will darauf eigentlich nicht näher eingehen.

Sobald man Netzwerke mit identischem Subnetz (=IP Bereich) miteinander verbindet, entstehen zwangsläufig Probleme. Es gibt zwar Mittel und Wege, diese zu umgehen, aber die zugrundeliegende Problematik bleibt. Wählt man allerdings sein Subnetz von vornherein klug, erstickt man diese Probleme im Keim.

 

[Stuntmaster]

Bezogen auf mein Anliegen "alles tunneln" oder nur das was ins heimische Netz soll, habe ich jetzt einfach eine zweite Verbindung in Shrew eingerichtet in welcher (Auch wie in den Anleitungen beschrieben) ich nur das Tunnel was ins Heimische Netz soll. Diese zweite Verbindung funktioniert ebenfalls. Und Augenscheinlich scheint das auch tatsächlich zu funktionieren. Das kann ich aber nur daran fest machen das die normalen Internetseiten schneller öffnen als wenn ich die Konfiguration starte bei welcher ich alles Tunnel.

Zum Drucken sei noch erwähnt das ich im Vorherigem Post ein Screenshot hinzugefügt habe als ich versucht habe zu drucken. Wie man darauf auch erkennen kann scheine ich etwas an die IP des Druckers zu senden aber irgendwie kommt bei dem nichts an. Wenn ich über das Webinterface des Druckers die Anzahl der gedruckten Seite kontrolliere, ändert sich diese nicht. Also wurde nichts gedruckt. (Es ist zudem auch jemand zu Hause der mir mitteilt ob tatsächlich etwas gedruckt wurde. Ich verlasse mich also nicht nur auf diese Anzeige. Falls jetzt jemand denkt die Anzeige könnte ja nicht funktionieren und da liegen schon tausend Seiten unterm Drucker wenn ich nach Hause komme.)

Nur wohin verschwinden denn die Daten die ich an die IP schicke. Ein drucken aus dem heimischen Netz funktioniert im selben Zeitraum (nicht Zeitgleich). Das habe ich/wir getestet.

Man kann dazu im Webinterface des Druckers eine IP Adresse vergeben. Das steht zur Zeit auf DHCP. Also bekommt der Drucker von der FritzBox eine IP zugewiesen. Muss ich da trotzdem noch zusätzlich die IP eintragen die sowieso von der FritzBox zugewiesen wird?

 

[Wilhelm14]

Aha, also geht das doch mit den geteilten Netzen. Hier wäre eine Anleitung zu Shrew (runterscrollen). Ist vielleicht deine Anleitung. http://rays-blog.de/2013/11/28/127/...er-vpn-mit-fritzbox-7390-fritzos-6-verbinden/
Dort kann man eben eingeben, dass nur 192.168.178.0 durch den Tunnel soll. Scheint ja schon mal zu klappen.

Wenn du auf 192.168.178.25 drucken willst, musst du auch sicher sein, dass das in den Tunnel geht und nicht ins Hotel-LAN. Bei der Browsereingabe von 192.168.178.1 siehst du nun deine Fritzbox? Und bei 192.168.178.25 den Drucker?

Ich hatte schon mal so eine Konstruktion mit nur Private-IP-Adressen in den VPN, Rest direkt ins Netz. Habe das leider nur grob im Kopf und kann es auch nicht mehr nachstellen. Zumindest nicht ohne größeren Aufwand.

PS: Nein, wenn der Drucker auf DHCP steht, musst du ihm nicht nochmal die 192.168.178.25 geben. Die hat er schon (von der Fritzbox).

 

[Stuntmaster]

Hallo Wilhelm

Das ist exakt die Anleitung nach der ich vorgehe. Ich habe wie gesagt zweimal in Shrew eine VPN Verbindung erstellt. Jeweils nach dieser Anleitung. Eine wo ich eigentlich alles durch den Tunnel schicke (mit dieser lande ich im Hotel immer auf der FritzBox des Hotels) und eine zweite in welcher ich (wie in der Anleitung beschrieben) nur die Sachen durch den Tunnel schicke die ans Heimische Netz sollen. Diese zweite habe ich aber noch nicht im Hotel getestet. Das mit dem drucken habe ich generell nicht im Hotel gemacht. Sondern über Hotspot vom Handy am Arbeitsplatz. Da ich hier kein Netzwerk habe. Somit kann ich ausschließen das ich das an irgendwas im Hotel schicke. Wer weiß wo das im Internet gelandet ist.
Wie gesagt, laut dem Screenshot schicke ich an die IP etwas, an pingen geht und aufs Webinterface des Druckers komme ich auch (Getestet über Handy Hotspot).

 

[Raijin]

Start --> cmd
--> tracert eine.ip.im.heimnetz


Damit kannst du prüfen welchen Weg deine Daten nehmen. Ein Ping sagt dir nur ob am anderen Ende ein Gerät gefunden wurde oder nicht. Welches Gerät das ist bzw. wo es gefunden wurde, sieht man nicht. Beim tracert müsste man sehen können ob das durch den Tunnel geht oder nicht.

Die Unsicherheit wo die Daten landen kommt aber nur daher, dass es eine Frickelei ist, wenn du lokal und entfernt dasselbe Subnetz hast. Bei getrennten Subnetzen und passender Routing-Tabelle ist das eindeutig. Wie dem auch sei, private IPs werden im Internet nicht geroutet. D.h. selbst wenn deine Daten nicht durch's VPN gehen, gehen sie auch nicht ins Internet, sondern maximal ins lokale (W)LAN. Dort wiederum werden die Daten vom Zielgerät einfach verworfen. Wenn zB auf der IP des Druckers im Hotelnetz zufällig der Laptop eines anderen Gasts sitzt, dann verwirft der Laptop die eingehenden Daten standardmäßig.