Hilfe zur direkten VPN-Verbindung eines Kyocera MFP M5526cdw

ente
Goto Top
Hallo liebe Mitstreiter,

habe einen Sonderfall, wo ich möglichst den Drucker direkt per VPN an unsere Sophos-Firewall anbinden möchte.
Es soll direkt auf ein internes Ziel gescannt werden. Hat jemand von Euch das schon mal gemacht?
Habe mal das Einstellungsfenster angehangen. Ich möchte gerne vermeiden, das ich da eine separate Firewall mit VPN platziere.

Herzliche Grüße

Heiko
kyocera m5526cdw vpn-settings

Content-Key: 2241803594

Url: https://administrator.de/contentid/2241803594

Ausgedruckt am: 01.07.2022 um 10:07 Uhr

Mitglied: 1915348599
1915348599 21.03.2022 aktualisiert um 17:23:24 Uhr
Goto Top
Warum packst du den Drucker bzw. Port nicht in ein eigenes VLAN und setzt die Firewall-Regeln entsprechend? VPN kann man machen, aber ehrlich gesagt zusätzlicher unnötiger Overhead für den Drucker, wenn es nur darum geht den Zugriff des Druckers zu regeln. Drucker sind ja meist auch nicht gerade mit performanten Prozessoren ausgestattet.
Da hier aber viele Parameter für ein "richtiges VPN" fehlen glaube ich aber auch das die IPSec-Regeln hier wohl nur in Verbindung mit Windows-IPSec Policies (Verbindungssicherheitsrichtlinien) arbeiten.
Mitglied: aqui
aqui 21.03.2022 aktualisiert um 17:23:23 Uhr
Goto Top
Für einen VPN Betrieb (IPsec im ESP Tunnelmode) fehlen wesentliche Einstellungsoptionen sowohl für die Phase 1 als auch Phase 2 !
Es ist nicht davon auszugehen das das eine VPN fähige IPsec Implementation ist. Das Handbuch ist da leider mehr als oberflächlich und auch keine wesentliche Hilfe.
Reimt man sich da etwas an Funktion zusammen ist damit vermutlich nur ein IPsec im Transport Mode gemeint der direkt aus dem Treiber verschlüsselte Druckdaten verarbeiten kann und dann wohl auch nur zertifikatsbasiert. Also eine Kryptofunktion die rein nur auf die Druckdaten reduziert ist.
Ist aber alles geraten. Wirkliche Aufklärung wird da wohl nur die Kyocera Hotline leisten können. Nach einem VPN wie du es planst sieht das nicht aus und wären nebenbei gesagt auch absolut unüblich und exotisch für einen Drucker.

Die Frage vom Kollegen @1915348599 ist berechtigt. Warum VPN in einem lokalen LAN wenn man das mit einem separaten Firewall Segment sei es per Port oder VLAN erheblich einfacher und besser lösen kann ?
Mitglied: em-pie
em-pie 21.03.2022 aktualisiert um 22:05:51 Uhr
Goto Top
Moin,

Wenn ihr die Sophos ohnehin habt: platziere dort die RED. Vorteil: du kannst das MFP am entfernten Standort auch bequem Administrieren und musst dafür keine unsichere Firewall-Regeln öffnen. Wer will schon sein MFP mit dem Port 443 öffentlich aus dem WWW erreichbar haben …

Alternativ zur RED nem RPi mit VPN und postfix einrichten. Das MFP mailt dann an den RPi und der Leiter an euren internen Mail-Server ins HQ weiter.


@aqui und @1915348599
Woher die Annahme, dass das Gerät in hiesigen LAN platziert ist?

Ich kenne es häufig, dass solche Geräte in Baustellencontainer platziert sind und die Jungs vor Ort mal eben was scannen können.


Gruß
em-pie
Mitglied: aqui
aqui 23.03.2022 aktualisiert um 09:23:46 Uhr
Goto Top
Woher die Annahme, dass das Gerät in hiesigen LAN platziert ist?
Die Anahme hatten wir ja gar nicht gemacht und ist auch völlig nebensächlich bei der Frage ob sich der Drucker generell als IPsec VPN Client eignet. Das war ja die eigentliche Intention des TO, der ja leider bis dato keinerlei weiteren Feedback zu dem Thema gibt. :-( face-sad
Mitglied: 1915348599
1915348599 23.03.2022 aktualisiert um 09:49:34 Uhr
Goto Top
Alternativ zur RED nem RPi mit VPN und postfix einrichten.
Genau das wollte er ja vermeiden.

Ich möchte gerne vermeiden, das ich da eine separate Firewall mit VPN platziere.

Mitglied: em-pie
Lösung em-pie 23.03.2022 um 10:19:37 Uhr
Goto Top
Moin,

@aqui
Dann hab ich deinen Post fehlinterpretiert.

Meine Idee mit der RED/ dem RPi hat einen Punkt vergessen: Wie kommt der Drucker überhaupt ins WWW?
Ohne Router mit inkludiertem Modem wird das eh nix.

Ergo:
@ente Setze vor Ort ne FritzBox ein und lass die VPN mit der Sophos spielen. Bumms aus
https://it-halle.de/out-of-topics/sophos-utm-fritzbox-vpn-tunnel-erstell ...
Mitglied: aqui
aqui 23.03.2022 um 11:53:48 Uhr
Goto Top
Wie kommt der Drucker überhaupt ins WWW?
Da hast du Recht ! Genau DAS hat der TO ja bis dato verschwiegen ! Ohne eine genaue Beschreibung dazu bleibt nur die Kristallkugel.
und lass die VPN mit der Sophos spielen. Bumms aus
Oder klemme einen kleinen 15 Euro Raspberry Pi an den Drucker das das VPN realisiert. Es gibt viele Wege nach Rom...
Mitglied: ente
ente 23.03.2022 um 23:06:36 Uhr
Goto Top
Danke schon mal für die vielen Kommentare und Hinweise.
Der Drucker steht im Home-Office, die Kollegin fährt nur ins Office um zum scannen ... und ja, im Home-Office steht ne Fritzbox 7590 als Router ... ich werde mal den Weg Fritzbox ---> VPN ---> Sophos gehen.
Werde zum Abschluss berichten, ob es funktioniert hat.

Herzliche Grüße

Heiko
Mitglied: em-pie
em-pie 24.03.2022 um 07:08:18 Uhr
Goto Top
Moin,

Bedenke aber:
Wenn die Fritte deiner Kollegin gehört (egal ob gekauft oder gemietet), frag sie und erkläre ihr, was du da machen wirst.
Ferner besteht dann ein permanenter Tunnel zu euch. Wenn eure Kollegin also Kinder/ Mitbewohner mit Langeweile hat, und herausfinden, dass es einen permanenten Tunnel zu euch gibt….

Ich würde da eher nen kleinen RPi hinstellen. In der Fritte ne statische Route die den Weg zu eurem Netz auf den RPi zeigt. Der RPi baut nen VPN auf. Macht die Kollegin Feierabend, schaltet sie den RPi aus und gut ist.
Mitglied: aqui
aqui 24.03.2022 um 08:27:48 Uhr
Goto Top
ich werde mal den Weg Fritzbox ---> VPN ---> Sophos gehen.
Das funktioniert auf alle Fälle problemlos und ist technisch der richtige (und auch bessere) Weg ! ;-) face-wink
Politisch hat Kollege @em-pie aber Recht, das das nicht ganz unkritisch ist.
Hier wäre statt des RasPi's sicher ein 20 Euro Mikrotik hAP-lite die weitaus bessere Wahl, nicht nur vom Preis.
Damit könntest du den Drucker abtrennen und gleichzeitig ein VPN auf die Sophos realisieren. Auch per WLAN wäre das problemlos möglich so das man quasi eine fertige Box hat du man nur zustecken muss.
Mitglied: ente
ente 24.03.2022 um 19:54:29 Uhr
Goto Top
@aqui + @em-pie
ihr habt absolut Recht, aber in dem Fall kann ich es als Admin verantworten, ist die Tochter des Firmeninhabers, die selbst mit im Unternehmen tätig ist, ihre Kinder sind schon aus dem Haus ... passt also.
Betreue die Familie ja auch schon etwa 10 Jahre privat, also deren Heimnetzwerke samt Fritzboxen usw., also alles gut.

Herzliche Grüße

Heiko
Mitglied: TomTomBon
TomTomBon 25.03.2022 um 09:20:26 Uhr
Goto Top
Moin

Ich würde trotzdem empfehlen die Mikrotik Lösung zu nehmen.
Wenn einer so eingerichtet ist, hat man die Vorlage.
Wenn dann ein Fall ähnlicher Art wieder kommt, Mitarbeiter hat zB zertrümmertes Bein, kann nur schwerst in die Firma kommen, hat aber einen Riesen CAD Monstrum was nicht portabel möglich ist.
Dann kann man die Lösung auspacken und einfach aufbauen.

Bei einem PC gäbe es zwar auch andere Möglichkeiten, klar.
Aber wenn der MA dann vielleicht auch noch den Drucker zuhause braucht.
Oder, oder oder.
Und FALLS in dem Haus irgendwelche Änderungen (IT seitig) kurzfristig kommen und sie nicht an diese Implikationen denkt, mit der Mikrotik direkt vor dem System und mit dem System Stromtechnisch verbunden ist das dann unerheblich. Das ist ein vom haus abgetrenntes Netz.

Zum Thema kurzfristig IT Seitig "Änderung":
Als Bsp, sie nimmt Flüchtlinge auf bei sich zu Hause. Die Kinder gehen zur Schule online (die Ukraine HAT ein funktionierendes entsprechendes System :-( face-sad ), und DARÜBER kommt irgendwas.
Passiert.
Ist das Leben.

Aber durch die Mikrotik ist das abgeschottet.
Und es kostet nur ein Handgeld und deine Arbeit.
Und hat den Vorteil das eine Vorlage für zukünftige Sachen existiert :-) face-smile
Es gibt ja auch in Zukunft irgendwann Messenartige Veranstaltungen wo man so etwas nutzen kann :-p
Mitglied: TomTomBon
TomTomBon 25.03.2022 um 09:24:30 Uhr
Goto Top
Ach ja,
Die Kyo Drucker beherrschen keine Möglichkeit VPN Verbindungen herzustellen.
Das ist "Nur" gedacht zur Unterstützung an Protokollen bei der verschlüsselten Verbindung.
Die SOC in den Druckern sind passend kalkuliert auf ihre Aufgaben ohne viel Reserve.
Aber damit auch ohne Platz das von dort aus etwas das Netz beobachtet.