13
Hilfe zur direkten VPN-Verbindung eines Kyocera MFP M5526cdw
Hallo liebe Mitstreiter,
habe einen Sonderfall, wo ich möglichst den Drucker direkt per VPN an unsere Sophos-Firewall anbinden möchte.
Es soll direkt auf ein internes Ziel gescannt werden. Hat jemand von Euch das schon mal gemacht?
Habe mal das Einstellungsfenster angehangen. Ich möchte gerne vermeiden, das ich da eine separate Firewall mit VPN platziere.
Herzliche Grüße
Heiko
habe einen Sonderfall, wo ich möglichst den Drucker direkt per VPN an unsere Sophos-Firewall anbinden möchte.
Es soll direkt auf ein internes Ziel gescannt werden. Hat jemand von Euch das schon mal gemacht?
Habe mal das Einstellungsfenster angehangen. Ich möchte gerne vermeiden, das ich da eine separate Firewall mit VPN platziere.
Herzliche Grüße
Heiko
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2241803594
Url: https://administrator.de/contentid/2241803594
Printed on: April 27, 2024 at 01:04 o'clock
13 Comments
Latest comment
Warum packst du den Drucker bzw. Port nicht in ein eigenes VLAN und setzt die Firewall-Regeln entsprechend? VPN kann man machen, aber ehrlich gesagt zusätzlicher unnötiger Overhead für den Drucker, wenn es nur darum geht den Zugriff des Druckers zu regeln. Drucker sind ja meist auch nicht gerade mit performanten Prozessoren ausgestattet.
Da hier aber viele Parameter für ein "richtiges VPN" fehlen glaube ich aber auch das die IPSec-Regeln hier wohl nur in Verbindung mit Windows-IPSec Policies (Verbindungssicherheitsrichtlinien) arbeiten.
Da hier aber viele Parameter für ein "richtiges VPN" fehlen glaube ich aber auch das die IPSec-Regeln hier wohl nur in Verbindung mit Windows-IPSec Policies (Verbindungssicherheitsrichtlinien) arbeiten.
1
Für einen VPN Betrieb (IPsec im ESP Tunnelmode) fehlen wesentliche Einstellungsoptionen sowohl für die Phase 1 als auch Phase 2 !
Es ist nicht davon auszugehen das das eine VPN fähige IPsec Implementation ist. Das Handbuch ist da leider mehr als oberflächlich und auch keine wesentliche Hilfe.
Reimt man sich da etwas an Funktion zusammen ist damit vermutlich nur ein IPsec im Transport Mode gemeint der direkt aus dem Treiber verschlüsselte Druckdaten verarbeiten kann und dann wohl auch nur zertifikatsbasiert. Also eine Kryptofunktion die rein nur auf die Druckdaten reduziert ist.
Ist aber alles geraten. Wirkliche Aufklärung wird da wohl nur die Kyocera Hotline leisten können. Nach einem VPN wie du es planst sieht das nicht aus und wären nebenbei gesagt auch absolut unüblich und exotisch für einen Drucker.
Die Frage vom Kollegen @1915348599 ist berechtigt. Warum VPN in einem lokalen LAN wenn man das mit einem separaten Firewall Segment sei es per Port oder VLAN erheblich einfacher und besser lösen kann ?
Es ist nicht davon auszugehen das das eine VPN fähige IPsec Implementation ist. Das Handbuch ist da leider mehr als oberflächlich und auch keine wesentliche Hilfe.
Reimt man sich da etwas an Funktion zusammen ist damit vermutlich nur ein IPsec im Transport Mode gemeint der direkt aus dem Treiber verschlüsselte Druckdaten verarbeiten kann und dann wohl auch nur zertifikatsbasiert. Also eine Kryptofunktion die rein nur auf die Druckdaten reduziert ist.
Ist aber alles geraten. Wirkliche Aufklärung wird da wohl nur die Kyocera Hotline leisten können. Nach einem VPN wie du es planst sieht das nicht aus und wären nebenbei gesagt auch absolut unüblich und exotisch für einen Drucker.
Die Frage vom Kollegen @1915348599 ist berechtigt. Warum VPN in einem lokalen LAN wenn man das mit einem separaten Firewall Segment sei es per Port oder VLAN erheblich einfacher und besser lösen kann ?
1
Moin,
Wenn ihr die Sophos ohnehin habt: platziere dort die RED. Vorteil: du kannst das MFP am entfernten Standort auch bequem Administrieren und musst dafür keine unsichere Firewall-Regeln öffnen. Wer will schon sein MFP mit dem Port 443 öffentlich aus dem WWW erreichbar haben …
Alternativ zur RED nem RPi mit VPN und postfix einrichten. Das MFP mailt dann an den RPi und der Leiter an euren internen Mail-Server ins HQ weiter.
@aqui und @1915348599
Woher die Annahme, dass das Gerät in hiesigen LAN platziert ist?
Ich kenne es häufig, dass solche Geräte in Baustellencontainer platziert sind und die Jungs vor Ort mal eben was scannen können.
Gruß
em-pie
Wenn ihr die Sophos ohnehin habt: platziere dort die RED. Vorteil: du kannst das MFP am entfernten Standort auch bequem Administrieren und musst dafür keine unsichere Firewall-Regeln öffnen. Wer will schon sein MFP mit dem Port 443 öffentlich aus dem WWW erreichbar haben …
Alternativ zur RED nem RPi mit VPN und postfix einrichten. Das MFP mailt dann an den RPi und der Leiter an euren internen Mail-Server ins HQ weiter.
@aqui und @1915348599
Woher die Annahme, dass das Gerät in hiesigen LAN platziert ist?
Ich kenne es häufig, dass solche Geräte in Baustellencontainer platziert sind und die Jungs vor Ort mal eben was scannen können.
Gruß
em-pie
Woher die Annahme, dass das Gerät in hiesigen LAN platziert ist?
Die Anahme hatten wir ja gar nicht gemacht und ist auch völlig nebensächlich bei der Frage ob sich der Drucker generell als IPsec VPN Client eignet. Das war ja die eigentliche Intention des TO, der ja leider bis dato keinerlei weiteren Feedback zu dem Thema gibt. 
Alternativ zur RED nem RPi mit VPN und postfix einrichten.
Genau das wollte er ja vermeiden.Ich möchte gerne vermeiden, das ich da eine separate Firewall mit VPN platziere.
Moin,
@aqui
Dann hab ich deinen Post fehlinterpretiert.
Meine Idee mit der RED/ dem RPi hat einen Punkt vergessen: Wie kommt der Drucker überhaupt ins WWW?
Ohne Router mit inkludiertem Modem wird das eh nix.
Ergo:
@ente Setze vor Ort ne FritzBox ein und lass die VPN mit der Sophos spielen. Bumms aus
https://it-halle.de/out-of-topics/sophos-utm-fritzbox-vpn-tunnel-erstell ...
@aqui
Dann hab ich deinen Post fehlinterpretiert.
Meine Idee mit der RED/ dem RPi hat einen Punkt vergessen: Wie kommt der Drucker überhaupt ins WWW?
Ohne Router mit inkludiertem Modem wird das eh nix.
Ergo:
@ente Setze vor Ort ne FritzBox ein und lass die VPN mit der Sophos spielen. Bumms aus
https://it-halle.de/out-of-topics/sophos-utm-fritzbox-vpn-tunnel-erstell ...
Wie kommt der Drucker überhaupt ins WWW?
Da hast du Recht ! Genau DAS hat der TO ja bis dato verschwiegen ! Ohne eine genaue Beschreibung dazu bleibt nur die Kristallkugel.und lass die VPN mit der Sophos spielen. Bumms aus
Oder klemme einen kleinen 15 Euro Raspberry Pi an den Drucker das das VPN realisiert. Es gibt viele Wege nach Rom...1
Danke schon mal für die vielen Kommentare und Hinweise.
Der Drucker steht im Home-Office, die Kollegin fährt nur ins Office um zum scannen ... und ja, im Home-Office steht ne Fritzbox 7590 als Router ... ich werde mal den Weg Fritzbox ---> VPN ---> Sophos gehen.
Werde zum Abschluss berichten, ob es funktioniert hat.
Herzliche Grüße
Heiko
Der Drucker steht im Home-Office, die Kollegin fährt nur ins Office um zum scannen ... und ja, im Home-Office steht ne Fritzbox 7590 als Router ... ich werde mal den Weg Fritzbox ---> VPN ---> Sophos gehen.
Werde zum Abschluss berichten, ob es funktioniert hat.
Herzliche Grüße
Heiko
Moin,
Bedenke aber:
Wenn die Fritte deiner Kollegin gehört (egal ob gekauft oder gemietet), frag sie und erkläre ihr, was du da machen wirst.
Ferner besteht dann ein permanenter Tunnel zu euch. Wenn eure Kollegin also Kinder/ Mitbewohner mit Langeweile hat, und herausfinden, dass es einen permanenten Tunnel zu euch gibt….
Ich würde da eher nen kleinen RPi hinstellen. In der Fritte ne statische Route die den Weg zu eurem Netz auf den RPi zeigt. Der RPi baut nen VPN auf. Macht die Kollegin Feierabend, schaltet sie den RPi aus und gut ist.
Bedenke aber:
Wenn die Fritte deiner Kollegin gehört (egal ob gekauft oder gemietet), frag sie und erkläre ihr, was du da machen wirst.
Ferner besteht dann ein permanenter Tunnel zu euch. Wenn eure Kollegin also Kinder/ Mitbewohner mit Langeweile hat, und herausfinden, dass es einen permanenten Tunnel zu euch gibt….
Ich würde da eher nen kleinen RPi hinstellen. In der Fritte ne statische Route die den Weg zu eurem Netz auf den RPi zeigt. Der RPi baut nen VPN auf. Macht die Kollegin Feierabend, schaltet sie den RPi aus und gut ist.
1ich werde mal den Weg Fritzbox ---> VPN ---> Sophos gehen.
Das funktioniert auf alle Fälle problemlos und ist technisch der richtige (und auch bessere) Weg ! 
Politisch hat Kollege @em-pie aber Recht, das das nicht ganz unkritisch ist.
Hier wäre statt des RasPi's sicher ein 20 Euro Mikrotik hAP-lite die weitaus bessere Wahl, nicht nur vom Preis.
Damit könntest du den Drucker abtrennen und gleichzeitig ein VPN auf die Sophos realisieren. Auch per WLAN wäre das problemlos möglich so das man quasi eine fertige Box hat du man nur zustecken muss.
1
@aqui + @em-pie
ihr habt absolut Recht, aber in dem Fall kann ich es als Admin verantworten, ist die Tochter des Firmeninhabers, die selbst mit im Unternehmen tätig ist, ihre Kinder sind schon aus dem Haus ... passt also.
Betreue die Familie ja auch schon etwa 10 Jahre privat, also deren Heimnetzwerke samt Fritzboxen usw., also alles gut.
Herzliche Grüße
Heiko
ihr habt absolut Recht, aber in dem Fall kann ich es als Admin verantworten, ist die Tochter des Firmeninhabers, die selbst mit im Unternehmen tätig ist, ihre Kinder sind schon aus dem Haus ... passt also.
Betreue die Familie ja auch schon etwa 10 Jahre privat, also deren Heimnetzwerke samt Fritzboxen usw., also alles gut.
Herzliche Grüße
Heiko
Moin
Ich würde trotzdem empfehlen die Mikrotik Lösung zu nehmen.
Wenn einer so eingerichtet ist, hat man die Vorlage.
Wenn dann ein Fall ähnlicher Art wieder kommt, Mitarbeiter hat zB zertrümmertes Bein, kann nur schwerst in die Firma kommen, hat aber einen Riesen CAD Monstrum was nicht portabel möglich ist.
Dann kann man die Lösung auspacken und einfach aufbauen.
Bei einem PC gäbe es zwar auch andere Möglichkeiten, klar.
Aber wenn der MA dann vielleicht auch noch den Drucker zuhause braucht.
Oder, oder oder.
Und FALLS in dem Haus irgendwelche Änderungen (IT seitig) kurzfristig kommen und sie nicht an diese Implikationen denkt, mit der Mikrotik direkt vor dem System und mit dem System Stromtechnisch verbunden ist das dann unerheblich. Das ist ein vom haus abgetrenntes Netz.
Zum Thema kurzfristig IT Seitig "Änderung":
Als Bsp, sie nimmt Flüchtlinge auf bei sich zu Hause. Die Kinder gehen zur Schule online (die Ukraine HAT ein funktionierendes entsprechendes System ), und DARÜBER kommt irgendwas.
Passiert.
Ist das Leben.
Aber durch die Mikrotik ist das abgeschottet.
Und es kostet nur ein Handgeld und deine Arbeit.
Und hat den Vorteil das eine Vorlage für zukünftige Sachen existiert
Es gibt ja auch in Zukunft irgendwann Messenartige Veranstaltungen wo man so etwas nutzen kann :-p
Ich würde trotzdem empfehlen die Mikrotik Lösung zu nehmen.
Wenn einer so eingerichtet ist, hat man die Vorlage.
Wenn dann ein Fall ähnlicher Art wieder kommt, Mitarbeiter hat zB zertrümmertes Bein, kann nur schwerst in die Firma kommen, hat aber einen Riesen CAD Monstrum was nicht portabel möglich ist.
Dann kann man die Lösung auspacken und einfach aufbauen.
Bei einem PC gäbe es zwar auch andere Möglichkeiten, klar.
Aber wenn der MA dann vielleicht auch noch den Drucker zuhause braucht.
Oder, oder oder.
Und FALLS in dem Haus irgendwelche Änderungen (IT seitig) kurzfristig kommen und sie nicht an diese Implikationen denkt, mit der Mikrotik direkt vor dem System und mit dem System Stromtechnisch verbunden ist das dann unerheblich. Das ist ein vom haus abgetrenntes Netz.
Zum Thema kurzfristig IT Seitig "Änderung":
Als Bsp, sie nimmt Flüchtlinge auf bei sich zu Hause. Die Kinder gehen zur Schule online (die Ukraine HAT ein funktionierendes entsprechendes System
), und DARÜBER kommt irgendwas.Passiert.
Ist das Leben.
Aber durch die Mikrotik ist das abgeschottet.
Und es kostet nur ein Handgeld und deine Arbeit.
Und hat den Vorteil das eine Vorlage für zukünftige Sachen existiert
Es gibt ja auch in Zukunft irgendwann Messenartige Veranstaltungen wo man so etwas nutzen kann :-p
Ach ja,
Die Kyo Drucker beherrschen keine Möglichkeit VPN Verbindungen herzustellen.
Das ist "Nur" gedacht zur Unterstützung an Protokollen bei der verschlüsselten Verbindung.
Die SOC in den Druckern sind passend kalkuliert auf ihre Aufgaben ohne viel Reserve.
Aber damit auch ohne Platz das von dort aus etwas das Netz beobachtet.
Die Kyo Drucker beherrschen keine Möglichkeit VPN Verbindungen herzustellen.
Das ist "Nur" gedacht zur Unterstützung an Protokollen bei der verschlüsselten Verbindung.
Die SOC in den Druckern sind passend kalkuliert auf ihre Aufgaben ohne viel Reserve.
Aber damit auch ohne Platz das von dort aus etwas das Netz beobachtet.
1