Kopierer für Druck und Scan im separaten VLAN

[Aushilfsinformatiker]

Hallo, ich habe in unserem Netzwerk einen Kopierer mit Druck- und Scanfunktion (SMB) in einem separaten VLAN (VLAN-ID 100, Schnittstellen-Tag 100). Durch folgende Firewallregel können Computer aus anderen VLAN's drucken:

Name: DRUCKER
Allgemein: Routing-Tag 100
Aktion: ACCEPT
Stationen: Verbindung von allen Stationen im lokalen Netzwerk oder nur einzelne Netzwerke an die IP des Kopierers erlauben
Dienste: alle Dienste erlauben

Somit geht das Drucken problemlos, das Fenster zur Eingabe des Anwendercodes zur Druckfreigabe erscheint ebenfalls auf den PC's (VLAN10, Schnittstellentag 10). Da bin ich davon ausgegangen, dass die Verbindung bidirektional durch die Regel abgedeckt ist und Scannen genutzt werden kann.
Die Scans kommen aber am PC im anderen VLAN nicht an. Es ist am PC alles korrekt eingerichtet. Alles in einem einzigen Netzwerk funktioniert.

Ist es notwendig, vom Kopierer-Netzwerk auf das VLAN des PC's ebenfalls umzutaggen? Beispielsweise:

Name: PCVLAN10
Allgemein: Routing-Tag 10
Aktion: ACCEPT
Stationen: Verbindung von der IP des Kopierers an die IP des PC's erlauben
Dienste: alle Dienste erlauben

Vielen Dank für eure Hilfe
AH

[Dr.Einstein]

Ja,

Gruß Dr.Einstein

[GrandDixence]

Wenn in diesem Schulnetzwerk ausschliesslich Windows-Rechnern mit Featureversion 24H2 eingesetzt werden und alle Druckern im Schulnetzwerk MOPRIA-zertifiziert sind, wäre ein Umstieg von SMB auf IPP aus Sicherheitsgründen angebracht. Nach dem erfolgreichen und vollständigen Umstieg auf IPP kann der Windows Protected Print Mode (WPP) per Gruppenrichtlinie auf allen Windows-Rechnern aktiviert werden.

https://www.papercut.com/discover/the-c ... -print-wpp

https://de.wikipedia.org/wiki/Internet_ ... g_Protocol

https://support.microsoft.com/de-de/win ... a4e21f70bc

https://mopria.org/

Drucken per IPP mit einem MOPRIA-zertifizierten Drucker wird über den Serverport TCP 631 abgewickelt. Der Drucker fungiert als Server. Über welchen Serverport ein MOPRIA-zertifizierter Multifunktionsdrucker die für das Scannen erforderliche Netzwerkverbindung abwickelt (MOPRIA Scan), ist mir nicht bekannt. Welche Serverports das MOPRIA Scan verwendet, muss wohl oder übel mit Wireshark herausgefunden werden.

Es sieht danach aus, dass MOPRIA Scan das SCAN-Protokoll eSCL einsetzt.
https://de.wikipedia.org/wiki/ESCL_(Computer)

https://mopria.org/spec-download

Demnach würde die unverschlüsselte Scanner-Kommunikation über HTTP (Serverport: TCP 80) und die verschlüsselte Scanner-Kommunikation über HTTPS (Serverport: TCP 443) abgewickelt. Auch für das Scannen fungiert der Multifunktionsdrucker als Server.

Viel Glück!

[Aushilfsinformatiker]

Vielen Dank, dann werde ich mal die Regel setzen und probieren. Wir haben Windows und Linux gemischt, deshalb reicht SMB.
Viele Grüße
AH