Condividere una stampante USB via VPN: guida LPR/LPD completa per Windows e print server

Vuoi stampare su una stampante USB locale partendo da un’app sanitaria che invia i job solo al print server centrale? In questa guida configuri il laptop in VPN come “ponte” LPR/LPD, apri correttamente la porta 515, allinei i nomi di coda e risolvi gli errori più comuni, con test e script pronti.

Scenario e obiettivo

Molti software sanitari emettono stampe esclusivamente verso un print server aziendale. Sul campo, però, la stampante è collegata via USB a un laptop che si connette con VPN. L’obiettivo è far fluire il job dal server alla USB locale passando per il laptop:

Applicazione sanitaria → Print Server aziendale → Laptop in VPN → Stampante USB locale

Sintomo tipico: dal server il job parte (in Wireshark si vedono pacchetti LPR), ma sul laptop non compare nulla in coda. Nella quasi totalità dei casi la causa è: porta 515 bloccata, servizio LPD non attivo, o mismatch del nome coda (LPR) rispetto alla coda LPD lato laptop.

Prerequisiti e sicurezza

• Il laptop esegue Windows 10/11 con diritti amministrativi locali.
• La stampante USB è installata e stampa correttamente in locale con il suo driver.
• La VPN consente traffico dal server verso l’indirizzo IP del laptop (no policy di “isolamento host”).
• Il profilo di rete del laptop è Privato o Dominio (non Pubblico), così le regole di condivisione possono attivarsi.
• Indirizzo IP prevedibile per il laptop (DHCP reservation o DNS A record); in alternativa usare direttamente l’IP.
• Consapevolezza sicurezza: LPR/LPD è in chiaro (senza cifratura). Usalo solo attraverso VPN fidata e limita la porta 515 al solo IP del server.

Percorso riassuntivo (checklist veloce)

Passo	Cosa verificare / fare	Perché è rilevante
Visibilità di rete	Attivare Network Discovery sul laptop; verificare che la VPN inoltri traffico verso la LAN locale (niente blocchi su broadcast e su TCP 515).	Il server deve raggiungere il servizio LPD del laptop sulla porta TCP 515.
Condivisione della stampante	In Proprietà stampante → Condivisione spuntare “Condividi questa stampante”. Concedere diritti di Stampa a Authenticated Users o, meglio, all’account computer del server (DOMINIO\SERVER$).	Senza condivisione/permissi adeguati il job può essere rifiutato.
Abilitare LPD sul laptop	Attivare le funzionalità Windows LPD Print Service e (lato client) LPR Port Monitor; consentire TCP 515 in ingresso nel firewall.	Il server invia tramite LPR; serve un listener LPD che accodi il job.
Configurare la porta sul server	Creare una porta LPR verso l’IP del laptop, impostando il nome di coda esattamente uguale al nome di condivisione della stampante sul laptop.	Il nome coda deve combaciare su entrambi i lati.
Diagnosi graduale	Stampare dal laptop stesso; poi da un altro PC sulla stessa subnet del laptop; infine dal server via VPN.	Isola l’anello che fallisce (driver, VPN, LPD, firewall).
Log di sistema	Controllare Registro eventi → Microsoft‑Windows‑PrintService (Operational) sul laptop per rifiuti di coda, spooler o accessi negati.	Rivela perché il job non viene accettato/accodato.

Configurazione dettagliata del laptop Windows

Impostare la visibilità di rete

1. Vai su Impostazioni → Rete e Internet → Proprietà della connessione attiva e imposta il profilo su Rete privata.
2. Apri Pannello di controllo → Centro connessioni di rete e condivisione → Modifica impostazioni di condivisione avanzate e abilita:
   • Individuazione rete
   • Condivisione file e stampanti

Nota: la visibilità non è strettamente necessaria per LPR (che è unicast), ma abilita automaticamente regole firewall utili per il servizio di stampa.

Condividere la stampante USB

1. Impostazioni → Bluetooth e dispositivi → Stampanti e scanner → seleziona la stampante → Gestisci → Proprietà stampante.
2. Scheda Condivisione → spunta Condividi questa stampante e assegna un Nome condivisione semplice (es. SANITARIA-USB, senza spazi).
3. Scheda Sicurezza → assicurati che Authenticated Users abbiano almeno il permesso Stampa; in contesto aziendale aggiungi il computer del server DOMINIO\NOME-SERVER$ con Stampa.
4. (Opzionale) In Condivisione → Driver aggiuntivi fornisci driver a 32/64 bit se altri client accederanno via SMB.

Importante: su Windows l’LPD mappa i job alla coda usando il Nome condivisione della stampante. Questo nome sarà il Queue name che imposterai sul server.

Abilitare e avviare LPD

Il servizio LPD è un componente facoltativo di Windows.

1. Apri Pannello di controllo → Programmi → Attiva o disattiva funzionalità di Windows.
2. Abilita:
   • Servizio di stampa LPD (server LPD)
   • Monitor porta LPR (client LPR; utile per test locali)
3. Conferma e riavvia se richiesto.

In alternativa, con PowerShell (esegui come amministratore):

# Verifica disponibilità dei componenti
Get-WindowsOptionalFeature -Online | Where-Object {$_.FeatureName -like 'Printing-LP'}

Abilita LPD e LPR (i nomi possono variare leggermente per edizione/lingua)

Enable-WindowsOptionalFeature -Online -FeatureName Printing-LPDPrintService -All
Enable-WindowsOptionalFeature -Online -FeatureName Printing-LPRPortMonitor -All

Avvia e imposta avvio automatico del servizio LPD (se presente)

Set-Service -Name LPDSVC -StartupType Automatic -ErrorAction SilentlyContinue
Start-Service -Name LPDSVC -ErrorAction SilentlyContinue 

Aprire la porta 515 solo dal print server

Consenti il traffico in ingresso a TCP 515 limitandolo all’IP del server:

New-NetFirewallRule -DisplayName "LPD (TCP 515) - dal PrintServer" `
  -Direction Inbound -Protocol TCP -LocalPort 515 -Action Allow `
  -RemoteAddress <IPDELPRINT_SERVER>

Se serve un test temporaneo, puoi ampliare la regola alla subnet VPN, poi restringerla.

Allineare il nome della coda LPD

Il Queue name che il server userà deve essere identico al Nome condivisione della stampante sul laptop. Esempio:

Nome condivisione (laptop):   SANITARIA-USB
Queue name (server LPR):       SANITARIA-USB

Test locali con LPR

Dal laptop, prova a inviare un file alla tua LPD (anche a loopback):

# Stampa di prova via LPR (opzione -o l per raw/binary)
lpr -S 127.0.0.1 -P SANITARIA-USB -o l C:\Windows\win.ini

Verifica che la porta sia in ascolto

Test-NetConnection -ComputerName 127.0.0.1 -Port 515 </code></pre>

<h2>Configurazione del print server aziendale</h2>

<h3>Preparazione</h3>
<ul>
  <li>Assicurati che sul server sia installato il <strong>LPR Port Monitor</strong> (in Windows Server fa parte dei <em>Print and Document Services</em> / funzionalità facoltative).</li>
  <li>Conosci IP del laptop e il <strong>Queue name</strong> (nome condivisione) esatto.</li>
</ul>

<h3>Creare la porta LPR e associare il driver</h3>
<ol>
  <li>Apri <strong>Print Management</strong> o <strong>Dispositivi e stampanti</strong> sul server.</li>
  <li><strong>Aggiungi stampante</strong> → <em>Aggiungi stampante locale</em> → <em>Crea una nuova porta</em> → seleziona <strong>LPR Port</strong>.</li>
  <li>Server/Printer:
    <ul>
      <li><strong>Nome o indirizzo del server</strong>: IP del laptop (o FQDN raggiungibile tramite VPN).</li>
      <li><strong>Nome coda</strong>: <code>SANITARIA-USB</code> (uguale al nome di condivisione sul laptop).</li>
    </ul>
  </li>
  <li>Opzioni LPR:
    <ul>
      <li><strong>LPR Byte Counting</strong>: di solito <em>attivo</em> migliora coerenza; se noti time‑out/troncamenti prova a disattivarlo.</li>
      <li>SNMP: non si applica alle porte LPR (non usarlo qui).</li>
    </ul>
  </li>
  <li>Associa il <strong>driver corretto</strong> del modello USB locale. Evita driver generici se la stampante richiede PCL/PS/protocolli proprietari.</li>
  <li>Stampa una <strong>pagina di prova</strong>. Se non arriva, procedi con la diagnostica sotto.</li>
</ol>

<h3>Risoluzione nomi e stabilità IP</h3>
<ul>
  <li>Preferisci un <strong>DHCP reservation</strong> per il laptop o un record DNS <em>A</em> aggiornato automaticamente via VPN.</li>
  <li>Se il DNS non è affidabile, usa direttamente l’<strong>IP</strong> per la porta LPR e prevedi un processo di aggiornamento quando cambia.</li>
</ul>

<h2>Diagnostica guidata, cause comuni e rimedi</h2>

<h3>Verifiche di connettività</h3>
<pre><code># Dal server verso il laptop
Test-NetConnection -ComputerName &lt;IP_LAPTOP&gt; -Port 515

Se fallisce: rotta VPN o firewall. Se riesce ma non vedi job, verifica coda/LPD.

</code></pre>

<p>Puoi anche usare <em>telnet</em> (client Telnet opzionale) su porta 515 per test manuale.</p>

<h3>Quando il job “parte” ma non entra in coda</h3>
<ul>
  <li><strong>Queue mismatch</strong>: il nome coda impostato sul server <em>non coincide</em> con la condivisione della stampante sul laptop. <em>Rimedio</em>: allinea il nome e riprova.</li>
  <li><strong>LPD non attivo</strong> o con avvio Manuale. <em>Rimedio</em>: verifica funzionalità e servizio <code>LPDSVC</code> in esecuzione (Automatico).</li>
  <li><strong>Firewall</strong> del laptop blocca 515. <em>Rimedio</em>: regola inbound mirata all’IP del server (vedi comando <code>New-NetFirewallRule</code> sopra).</li>
  <li><strong>VPN</strong> non inoltra traffico in ingresso verso la LAN del laptop. <em>Rimedio</em>: abilita “Allow access to local subnets/lan” o una policy che consenta il path server → laptop.</li>
</ul>

<h3>Quando il job entra in coda ma sparisce o resta bloccato</h3>
<ul>
  <li><strong>Permessi di stampa</strong> insufficienti sul dispositivo condiviso. <em>Rimedio</em>: assegna “Stampa” a <em>Authenticated Users</em> o al computer del server (<code>DOMINIO\SERVER$</code>).</li>
  <li><strong>Driver non compatibile</strong> lato server (job non rasterizzato correttamente). <em>Rimedio</em>: usa driver ufficiale del modello o, in casi particolari, prova un “Class Driver” compatibile.</li>
  <li><strong>Bidirezionale</strong> problematico su USB. <em>Rimedio</em>: in <em>Proprietà stampante → Porte</em> disattiva <em>Supporto bidirezionale</em>.</li>
  <li><strong>Spooler instabile</strong>. <em>Rimedio</em>:
    <pre><code>Stop-Service spooler
(facoltativo) svuota C:\Windows\System32\spool\PRINTERS
Start-Service spooler

Eventi e log utili

• Visualizzatore eventi del laptop → Registri applicazioni e servizi → Microsoft → Windows → PrintService → Operational, abilita il log se non attivo.
• Wireshark: filtro tcp.port==515 per vedere la sequenza LPR (apertura, invio file di controllo e dati, chiusura).

Diagnosi a imbuto (isolamento progressivo)

1. Stampa locale dal laptop: se non stampa, risolvi prima driver/coda locale.
2. Da un PC sulla stessa subnet del laptop (senza VPN): crea una porta LPR verso il laptop. Se funziona, la VPN è il punto critico.
3. Dal server via VPN: se fallisce solo qui, guarda regole firewall su 515, rotte VPN e ACL.

Script pronti all’uso

Creare/limitare la regola firewall LPD

$serverIp = "10.20.30.40"
New-NetFirewallRule -DisplayName "LPD 515 da $serverIp" `
  -Direction Inbound -Protocol TCP -LocalPort 515 -RemoteAddress $serverIp -Action Allow

Abilitare componenti di stampa legacy

# Abilita LPD (server) e LPR (client)
Enable-WindowsOptionalFeature -Online -FeatureName Printing-LPDPrintService -All
Enable-WindowsOptionalFeature -Online -FeatureName Printing-LPRPortMonitor -All

Test di stampa LPR dal server

# Sostituisci i placeholder e invia un file di prova
lpr -S <IPLAPTOP> -P <QUEUENAME> -o l C:\Windows\win.ini

Best practice di hardening

• Limita la porta 515 all’IP del server, non all’intera Internet/VPN.
• Monitora gli eventi PrintService (Operational) e archiviali centralmente se gestisci dati sanitari.
• Disabilita LPD quando non serve più (riduci superficie d’attacco).
• Valuta restrizioni Point and Print e criteri di gruppo sulle stampanti per ridurre rischio driver non firmati.

Alternative architetturali

• Print‑server hardware USB→Ethernet: molti dispositivi espongono LPR/RAW 9100; il server stampa come se fosse una stampante di rete dedicata, senza dipendere dal laptop.
• Universal Print (Microsoft 365): con il Universal Print connector puoi pubblicare la USB nel cloud e installarla sul server come stampante di organizzazione; richiede licenze adeguate e join ad Azure AD.
• RDP con redirezione stampanti: se l’app sanitaria gira in sessione RDP, la stampante USB del client può essere reindirizzata alla sessione evitando LPR/LPD.
• IPP/IPPS: se vuoi cifratura end‑to‑end (HTTPS 443), usa un piccolo server IPP (es. CUPS su appliance o su VM/WSL) vicino alla stampante; il server aziendale stampa via IPPS. Su Windows client puro non c’è un server IPP completo nativo.

Domande frequenti

Il job si vede in Wireshark ma non entra in coda. Cosa sbaglio?

Nella maggior parte dei casi il queue name lato server non coincide con il nome di condivisione sul laptop. Verifica anche che il servizio LPD sia avviato e che il firewall consenta TCP 515 dal server.

Devo abilitare “LPR Byte Counting”?

È spesso consigliabile. Se osservi time‑out o troncamenti, prova a invertire l’impostazione. Dipende dal comportamento del server/monitor LPR.

È meglio usare IP o nome host del laptop?

Usa un IP stabile (reservation DHCP). Se il DNS aziendale risolve correttamente il nome del laptop via VPN, puoi usare il nome; in ambienti variabili è più sicuro l’IP.

Serve davvero “Network Discovery” per LPR?

No, LPR è unicast. Tuttavia abilitare l’individuazione rete attiva regole firewall utili e riduce sorprese durante i test.

Posso usare RAW 9100 invece di LPR?

Solo se esponi la stampante come dispositivo di rete (print server hardware o software dedicato). Il laptop Windows “puro” non pubblica la USB su 9100.

Checklist finale operativa

• La stampante USB stampa localmente dal laptop senza errori.
• Il laptop è su profilo rete Privato/Dominio, con Condivisione file e stampanti attiva.
• Condivisione stampante abilitata con nome semplice (es. SANITARIA-USB); permessi concessi a Authenticated Users o DOMINIO\SERVER$.
• Funzionalità LPD Print Service installata e servizio in esecuzione (automatico).
• Firewall del laptop: regola inbound su TCP 515 limitata all’IP del server.
• Dal server: porta LPR verso IP del laptop con Queue name = nome condivisione.
• Test lpr riuscito e pagina di prova stampata.
• Eventuali anomalie tracciate nei log PrintService.

Approfondimento: come funziona LPR/LPD in breve

LPR (client) invia due elementi al server LPD: un file di controllo con metadati (utente, nome coda, formato) e un file dati (il job vero e proprio). LPD accetta, crea il job nello spooler locale e lo passa al driver associato alla coda. Qualsiasi incongruenza (coda inesistente, accesso negato) porta al rifiuto silenzioso o a un errore nei log.

Piano di validazione consigliato

1. Test locale: stampa pagina di prova dal laptop; verifica eventi puliti.
2. Test LPR loopback: lpr -S 127.0.0.1 -P <coda> dal laptop → deve comparire e stampare.
3. Test da PC di laboratorio sulla stessa subnet del laptop via LPR.
4. Test dal server attraverso la VPN; cattura pacchetti su 515 per confermare handshake.
5. Prova con carico: stampa file lunghi/immagini; osserva time‑out e valuta “LPR Byte Counting”.

Conclusioni

Lo scenario “print server centrale → laptop in VPN → stampante USB” è supportato e affidabile se imposti correttamente condivisione, LPD, firewall e corrispondenza del nome coda. Nella pratica, gli intoppi si riducono a tre cause: porta 515 filtrata, LPD non attivo o queue name errato. Con la checklist di questa guida e i test lpr/Test-NetConnection puoi chiudere rapidamente l’analisi e mettere in produzione in sicurezza. Per contesti più strutturati o con forti requisiti di cifratura, valuta soluzioni alternative come Universal Print, IPPS tramite appliance o un print‑server hardware USB→Ethernet.

---