Suche von HP-Netzwerkdruckern scheitert an Firewall

Hallo und danke erstmal für die Aufnahme!

Ich bin neu bei OpenSUSE, komme von Ubuntu, wo alles automatisch war, und gewöhne mich gerade um. Etwas Linux-Erfahrung habe ich, aber bei OpenSUSE bin ich Anfänger, deswegen stelle ich die Frage erst einmal hier.

Ich habe auf meinem Laptop OpenSUSE Tumbleweed und würde gern einen HP-Netzwerkdrucker installieren (OfficeJet Pro 8715), bekomme aber von hp-setup immer eine Fehlermeldung:

$ hp-setup

HP Linux Imaging and Printing System (ver. 3.19.12)
Printer/Fax Setup Utility ver. 9.0

Copyright (c) 2001-18 HP Development Company, LP
This software comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to distribute it
under certain conditions. See COPYING file for more details.

Searching... (bus=net, timeout=5, ttl=4, search=(None) desc=0, method=slp)
error: No devices found on bus: net
error:  HPLIP cannot detect printers in your network.  This may be due to existing firewall settings blocking the required ports.
                When you are in a trusted network environment, you may open the ports for network services like mdns and slp in the firewall. For detailed steps follow the link.
                 http://hplipopensource.com/node/374  

Done.

Ich hatte erst den Verdacht, ob das Paket hplip vielleicht aus der falschen Paketquelle kommt, aber es sieht für mich richtig installiert aus:

$ zypper se -si hplip
Repository-Daten werden geladen...
Installierte Pakete werden gelesen...

S  | Name             | Typ   | Version     | Arch   | Repository
---+------------------+-------+-------------+--------+-----------
i+ | hplip            | Paket | 3.19.12-3.2 | x86_64 | repo-oss
i  | hplip-hpijs      | Paket | 3.19.12-3.2 | x86_64 | repo-oss
i  | hplip-sane       | Paket | 3.19.12-3.2 | x86_64 | repo-oss
i+ | hplip-scan-utils | Paket | 3.19.12-3.2 | x86_64 | repo-oss

Wenn ich die Firewall abschalte (mit systemctl stop firewalld.service, wird der Drucker gefunden. Damit steht für mich fest, daß die Firewallregeln das Problem sind.

Die Firewallregeln sind folgendermaßen konfiguriert:

$ sudo firewall-cmd --get-active-zones    
home
  interfaces: wlan0

$ sudo firewall-cmd --zone=home --list-all
home (active)
  target: default
  icmp-block-inversion: no
  interfaces: wlan0
  sources: 
  services: dhcpv6-client mdns samba-client slp ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

Die von hp-setup beanstandeten Dienste mdns und slp sind hier beide freigegeben.

Damit bin ich mit meinem Latein am Ende. Wie muß ich die Firewall konfigurieren, damit die Druckererkennung funktioniert?

Zitat von Sauerland

Bitte lesen:

Wichtig:Vor dem Posten bitte erst Lesen!

Vor allem Thema Crossposting.

Danke. Werde ich mir merken, habe dort erst einmal auf diese Diskussion hier verlinkt. Wenn eine von beiden zu einem Ergebnis kommt, werde ich das Ergebnis entsprechend herüberspiegeln.

Zitat von Heinz-Peter

Du kommst aus der Ubuntu Ecke dann frage ich: Was spricht gegen CUPS https://wiki.ubuntuusers.de/CUPS/

Dagegen spricht nichts, ich hätte nur gern die automatische Suche am Laufen, s.u.

Zitat von Sauerland

Ich hab hier keine Ports offen, nur die von mir explizit freigegebenen:

Code

firewall-cmd --zone=public --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services:
ports: hier stehen  die von mir explizit freiegebenen tcp und udp Ports, die haben aber nichts (bis auf den umgeleiteten ssh-Port) mit den Services zu tun.
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

Alles anzeigen

hp-setup als root aufrufen (bitte kein sudo)

Sodann hab ich mich an die Windows Installationsanleitung gehalten, Drucker zuerst mit USB-Kabel und hp-setup eingerichtet, danach erst als Netzwerkdrucker mit hp-setup.

Danke. sudo dürfte eine Ubuntu-Angewohnheit sein, die ich mir wohl besser abgewöhne.

Ich kann den Drucker einrichten, indem ich in hp-setup die IP-Adresse manuell eingebe, dann druckt er auch, das ist also kein Problem. Mir geht es eher darum, die Autodiscovery zum Laufen zu bekommen, in hp-setup oder auch in YAST, denn ich bin relativ viel unterwegs und muß auf wechselnde Druckern zu tun, und da ist es auf Dauer umständlich (und auch nicht immer ohne weiteres möglich), jedes Mal die IP-Adresse herauszubekommen.

Liegt's doch nicht an den Firewallregeln? Aber hier funktioniert die Autodiscovery genau dann, wenn ich die Firewall abstelle?

Die OpenSUSE-Netzwerkkonfiguration habe ich eigentlich nicht angefaßt, außer das Interface in die "Home"-Zone zu konfigurieren und dort mdns und slp hinzuzufügen, entsprechend der Empfehlung in der Fehlermeldung von hp-setup. Möglicherweise habe ich hier aber auch einen Denkfehler?

Zitat von sterun

Dafür könnte dann hier für dich etwas dabei sein:

RE: firewalld-Basics in der Konsole

Danke, wirklich ein ausgesprochen hilfreiches Tutorial, damit verliert firewalld gleich seinen Schrecken.

Zitat von Berichtigung

Die zu prüfenden Ports für HP findest du hier, beim HP Support

Das sind einigermaßen viele, da HP damit auch alte Jet-Direct Karten mit abdeckt. Die meisten davon sind für dich nicht wirklich relevant. Ist halt die vollstänige Referenz.

Check vordringlich IPP und dann die ICMP Ports.

Danke, die Übersicht ist hilfreich, aber die habe ich zwischenzeitlich auch mal restlos alle freigegeben, ohne daß die Druckererkennung funktioniert hätte

Zitat von Sauerland

Dann wirst du schauen müssen, auf welchem Port die "Autodiscovery" läuft.....

In hp-setup kann man konfigurieren, wie er nach Druckern suchen soll (unter "advanced configuration"). Es gibt drei Optionen: mdns (UDP-Port 5353), oder SLP (der Default, UDP-Port 427), oder Avahi (UDP-Port 5353).

Ich bin jetzt nach einigem Spielen mit den Firewall-Regeln und avahi-browse (aus dem Paket avahi-util) immerhin einen Schritt weiter: wenn ich auf der Firewall den mdns-Service erlaube (laut /usr/lib/firewalld/services/mdns.xml wird dabei nur Port 5353 UDP freigegeben), ich mit avahi-browse --all die Geräte in meinem Netzwerk mit Zeroconf-Funktion sehen kann. Dann funktioniert auch Druckererkennung mit hp-setup, zwar nicht mit mdns, aber wenn ich Avahi als Suchprotokoll anwähle.

Die Defaultoption SLP dagegen kriege ich mit hp-setup nicht zum Laufen. Ich kann auf der Firewall den slp-Service erlauben; das gibt laut /usr/lib/firewalld/services/slp.xml Port 427 für TCP und UDP frei. Dann funktioniert aber hp-setup trotzdem nicht. Wenn ich die Firewall deaktiviere, dagegen schon. Ich habe mal versucht, mir mit ss -tulpen | grep hp anzusehen, welche Ports hier in Benutzung sind; hp-setup macht bei jedem Start einen wechselnden UDP-Port im hohen Bereich auf, das bringt also nicht weiter. SLP setzt allerdings auf Multicast auf, vielleicht liegt der Hase auch woanders.