Drucker über feste öffentliche IP ansteuern?

Moin,
Port 9100/tcp auf dem Router auf den Durcker weiterleiten. Aber dann besteht die Möglichkeit, dass dort nicht nur Lieferscheine ausgedruckt werden...

Auf den Lieferschein stehen sicherlich personenbezogenen Daten, oder? Alleine schon auf Grund der DSGVO ist eine Verschlüsselung des Datenvekehrs erforderlich. Ob du dazu VPN nutzt oder eine Technologie ist natürlich erst einmal egal.


Gruß,
Dani

Von was für einem Drucker reden wir? Bei HP könnte man das z.B. über ePrint bewerkstelligen. https://support.hp.com/at-de/document/ish_2887583-2522414-16

Gibt's sicherlich auch bei anderen Herstellern.

Von einer Portweiterleitung würde ich abraten - dann doch lieber mit VPN.

Ich rate dringend ab.
Das BSI schickt uns Warnungen zu Access-Kunden von uns, die die gleiche Idee hatten und deren Drucker dank erwartbarer Firmware-Qualität angreifbar sind, worüber das restliche Netzwerk kompromittiert werden kann.

Von Portöffnungen ins Internet allgemein.

Selbst wenn die Übertragung verschlüsselt ist, kann man den Drucker noch von außen erreichen und sich damit ins Netzwerk reinarbeiten.

Bei einer kleinen Firma sollte da ein simples Site-to-Site VPN mit Split-Tunnel zwischen Lager und Büro kein Problem sein. Kann sogar jede Fritzbox.

P.s.: In Foren duzt man sich in der Regel, nur keine Angst (die meisten) beissen nicht ;)

Traurig das man sowas überhaupt noch kommentieren muss.
Druckerdaten ungeschützt übers Internet zu übertragen macht heute ja nichtmal mehr der größte Dummie. In fast allen Firmen wäre so ein Sicherheits Verstoß ein Kündigungsgrund.
Das man zu so einem Unsinn überhaupt noch etwas sagen muss in einem Admin Forum ist schon peinlich genug.
Jede FritzBox kann heute ein Site to Site VPN was mit 3 Mausklicks aufgesetzt ist und gerade wenn man auch den Luxus einer festen IP hat.
Verbinde damit Lager und Verwaltung und gut iss.... Das kann heutzutage der Azubi im ersten Lehrjahr in seiner Frühstückspause. Die ganzen Forentutorials hier zum Thema VPN tun ein Übriges.

Alle die hier kommentiert haben, haben das so verstanden und ich schließe von mir auf Andere, dass wir sorgsam gelesen haben.

Ich empfehle zuerst einmal dringend, es

a) nicht zu machen und
b) die Warnungen der anderen Kommentatoren hier ernst zu nehmen.

Die Betriebssysteme der Drucker sind nicht dafür berühmt, besonders sicher zu sein.

Wenn man das oben genannte wirklich ignorieren möchte, dann kann man einen Tunnel mit "ngrok" einrichten. Mit dem leitet man den Port 9100 des Drucker nach Außen auf einen anderen, beliebigen Port weiter, der dann über einen temporären Subdomainnamen von ngrok erreichbar ist. ngrok bietet die Endpunkte TLS-verschlüsselt hat, d.h. zumindest bis zum ngrok-Endpunkt ist es sicher. Danach...naja... man muss ngrok vertrauen.

Das funktioniert nicht, wenn es sich um einen Windows GDI-Drucker handelt. Fast alle anderen Drucker bieten den Drucker über LPD und damit Port 9100 an.

Eine Authentifizierung ist da übrigens nicht enthalten. Wenn der Drucker sowas nicht anbietet, kann jeder mal eben 500 komplett schwarze Seiten drucken und damit den Drucker erst einnmal in Betrieb halten und den Toner/die Tinte leeren.

Bei anderen Diensten kann ngrok auch für eine permanente Lösung einsetzen - aber gerade bei Druckern würde ich das nicht machen.

Am besten lässt du noch das Standardpasswort im Drucker-Setup.

Heutzutage darf nur ein einziger Port in einer öffentlichen IP offen sein: 443
Für alle anderen Ports laufen schon genügend Bots im Internet herum und probieren sie automatisch durch.