CUPS print over internet

Fórumok

Káosz van a fejembe, elbizonytalanodtam, a segítségeteket kérném!
Adott egy bérelt vonali hálózat, VPN hálózattal (telephelyek vidéken), a központban egy Cisco router a végpont, fix külső IP-vel.
A központban, a local neten csücsül egy SUSE Leap 15.3 + CUPS, ez a központi gép, ezen fut a linuxos(!) ERP rendszerünk, és ez miatt muszáj minden nyomtatót a linux alá (is) telepíteni, hogy az ERP-ből lehessen nyomtatni rá.
A nyomtatók nagy többsége IP alapú, xxx.xxx.xxx.xxx:9100 eléréssel.
Van egy olyan telephely, ami nincs bekötve a VPN hálózatba. Korábban az OpenVpn-t használtuk itt Windows megosztott nyomtatóval, ami fel volt véve a központi gépen (samba) a CUPS alá, de állandóan gond van vele, gyakran felakadt a CUPs, ha nem futott az OpenVPN.
Most erre a telephelyre kértünk fix IP-t, és azt szeretném kipróbálni, hogy a telephelyen port forward-dal átengedem a három nyomtatót a helyi routeren(tp-link) és a központi telephelyen pedig kérem a szolgáltatót, hogy a CISCO routeren szintén forwardolja a bejövő csatlakozást a központi SUSE gépre... de hova, melyik portra? A 9100-as portra?
Meg lehet ezt valósítani? Hogyan? A telephelyi nyomtatókat milyen portra irányítsam a TP-Linken?
A központba, a CISCO mit továbbítson a központi gépnek? Ez nekem most hirtelen káosz, hiszen minden nyomiga a 9100-as porton figyel...
Köszönöm előre is, ha időt szánsz rám!

A MEGOLDÁS: Egyszerűbb lett, mint gondoltam. A tanácstalanságom oka az volt, hogy a CUPS szerver egy CISCO router mögött csücsült egy NAT-olt belső hálózaton,  míg a nyomtató egy sima fix IP-s előfizetéses elérésen, szintén NAT-olt belső hálózaton. A megoldáshoz elég volt a printer oldali routeren beállítani a port forwardokat, és a CUPS így már gond nélkül elérte, a szerver oldalon nem kellett semmilyen hókuszpók.

Köszönöm a segítő hozzászólásokat!

Hozzászólások

szia,

rossz az irány, technikailag kivitelezhető lenne port forwarddal elérhetővé tenni a távoli nyomtatókat a központi site részére, de biztonsági oldalról nem javaslom. Jobb megoldás a telephelyre lerakni egy vpn gateway-t és azzal összeköttetést létrehozni a telephelyek között.  

Igaz, de ha a telephelyi routeren beállítom, hogy mi a source (fix) IP, akkor már nem olyan fekete a bárány...
A telephelyen le lehetne rakni mondjuk egy Asus routert, ami tud VPN-t, de a központban minden nagyon bonyolult a szolgáltató miatt, mert nekik nem érdekük, hogy kikerüljük az ő vastagon fizetett vpn-jüket. Továbbá ezt már teszteltem, két ASUS routert összelöttem VPN-en keresztül, ment is egy darabig, de elég sűrűn leakadt hol az egyik, hol a másik, és nem mindig van, aki: 1. tudja, hogy mi a hiba, 2.nem biztos, hogy épp bent van valaki elérhető. Magyarán hosszabb távon nem volt üzembiztos. Egyszerűbbnek tűnik csak a nyomtatókat átküldeni, a többi úgy is putty, és ssh.

Én az üzembiztonság miatt nem használók SOHO (Asus, TPLINK, stb) eszközöket. (meg úgy általába céges környezetben javaslom kerülni őket). Érdemes ilyenkor erre a célre kitalált megvalósítást használni (opnsense, wireguard), vagy fizetős írányba elmenni (Fortigate)

Nem ismert az IT felépítése (müködés, infrastruktúra) céges szinten de érdemes arra oda figyelni, hogy ne kerüld ki a központi IT-t egy probléma megoldásában, mert biztonsági probléma esetében rögtön elővesznek.

A CUPS IPP protokollt használ, ami alapjaiban véve kutyaközönséges HTTP(S) a 631-es TCP porton.

A 631-es port nem csak a CUPS admin felülete, hanem ott is kell ráküldeni a nyomtatandó anyagot IPP protokollal. Most, hogy harmadszorra is elolvastam a topicnyitót, kezd leesni, hogy nem a CUPS-t akarod távolról elérni, (amit a "CUPS over Internet" cím is sugallt) hanem a távoli nyomtatók raw socketjét a CUPS-ról. Ahha... kissé zavaros volt a szöveg.

Van a távoli telephelyen három nyomtató, mondjuk az alábbiak:

  • 192.168.99.101:9100
  • 192.168.99.102:9100
  • 192.168.99.103:9100

A távoli telephelyi routeren beforwardolsz három tetszőleges portot ezekre a nyomtatókra, pl. ha a telephelyi fix publikus IP a 100.123.124.125:

  • 100.123.124.125:9101 -> 192.168.99.101:9100
  • 100.123.124.125:9102 -> 192.168.99.102:9100
  • 100.123.124.125:9103 -> 192.168.99.103:9100

... majd a CUPS szerveren ezeket veszed föl a három nyomtatónak.

Igen, ez is megvan, eddig tiszta, de a  központban, a bejövő oldalon (a külső, fix IP-n) nem a CUPS csücsül, hanem egy CICSO router, és pont azt nem tudom, hogy ott milyen port átirányítás kellene, (kell egyáltalán?) a CISCO. és a belső hálózaton található SUSE között, amin a CUPS fut?

Nem értem, ott miért lenne szükség port forwardra. A CUPS küldi az adatot a távoli nyomtatóknak.

Más. Tegnap külön nem írtam, de a telephelyi routeren természetesen meg kell szűrni a forrás IP címet a CUPS IP címére, mert a 9100-as porton semmilyen authentikáció nincs.

(Ettől függetlenül, én továbbra is egy üzembiztos(!) site-to-site VPN-ben látom a valódi megoldást)

Bocs, tegnap telephelyen voltam, nem volt időm reagálni. Akkor végre elérkeztünk oda, ami az eredeti kérdés volt, (lehet, hogy valóban rossz a probléma leírása) hogy azért van zavar a fejemben, mert addig okés, hogy a telephelyen különböző külső portokra át forwardolom a nyomtató portokat, ahogy írtad, de ez így nekem csak egy irányú kommunikációnak tűnik. ...vagyis a szerver látja a telephelyi nyomtatókat, de a telephelyi nyomtató hogy kommunikál visszafelé? (sehogy?) ...vagy ilyenkor létrejön egy socket? Pont ez a része nem tiszta nekem, mert az én (lehet, hogy rossz) logikám szerint ha a telephelyi nyomtatóról jön a egy csomag visszafelé, akkor az max a külső IP címet(CISCO Router) fogja látni, mivel a CUPS a belső hálózaton csücsül. Ezért kérdeztem, hogy ott nem kell semmilyen port átirányíitás befelé? (...és ha igen, hova?)

ha a telephelyi nyomtatóról jön a egy csomag visszafelé, akkor az max a külső IP címet(CISCO Router) fogja látni, mivel a CUPS a belső hálózaton csücsül. Ezért kérdeztem, hogy ott nem kell semmilyen port átirányíitás befelé? (...és ha igen, hova?)

Nem kell port forward. Ilyen alapon minden egyes (NAT mögött lévő, publikus IP címmel nem rendelkező) webböngészőnek és minden más programnak is port forward kellene.

A NAT stateful (állapottartó). Amikor a kliensről (jelen esetben a CUPS-ról) kimegy egy adatcsomag a külvilágba, akkor az adott kapcsolat bekerül a NAT-ot végző router state táblájába. Amikor jön vissza a válasz-csomag, akkor az valóban a routerhez fog kerülni először, de a router a NAT state-táblája alapján tudni fogja, hogy melyik belső gépnek kell visszaküldeni az adatot.

Igen, ismerem ezt a módszert, de a tuneling-gel ugyan az a gond, mint a mostani megoldásnál(smb), hogy a futtató gépnek mindig bekapcsolva kell lennie, hogy elérhető legyen a nyomtató. Pont azt szeretném elérni, hogy a bármelyik nyomtató elérhető legyen anélkül, hogy valamelyik gépet csak a nyomtatás miatt kelljen bekapcsolni. Mint fentebb írtam, maguk a Pc-k putty-val csatlakoznak a központhoz, nekik nem kéne se vpn, se más a használathoz.