===== 26.002 Configuratie Epson XP 8700 tbv SMB-toegang en HA-toegang =====

  * **Aangemaakt:** 2026-01-03
  * **Context / Aanleiding:** Vastleggen van beveiligings- en netwerkconfiguratie voor Epson XP-8700
  * **[[resources:metadata:tags:status]]** {{tag>concept}}

===== Relaties =====
^ Devices      ^ Services       ^ [[resources:metadata:tags:thema|Tags]]  ^
| [[homelab:devices:epson_xp-8700|Printer: Epson XP 8700]]    |  [[..:services:homeassistant|HomeAssistant]] \\ [[..:services:printen|Printen]]  |  |

===== Besluit =====

  * **Reden & Impact:**
    * Configureren SMB-toegang voor scans
    * Minimaliseren van attack surface en beperken van legacy/onnodige services
    * Geen Apple-apparaten aanwezig, legacy protocollen niet nodig

  * **Impact:**
    * Windows 11 blijft printen en scannen via IPP en SMB
    * SD-kaart kan benaderd worden via SMB
    * Legacy discovery services en insecure protocols zijn uitgeschakeld
    * SNMPv3 optioneel voor monitoring in Home Assistant / NAS

==== Configuratie ====

Besloten instellingen (**bold** = aangepast tov vorige/default instelling)

=== Menu: Services, Protocol ===

^ Service/Protocol ^ Status ^ Toelichting ^
| Bonjour | **UIT** | Alleen relevant voor Apple devices |
| UPnP | AAN | Automatic device discovery, security-risk. Toch aan laten staan |
| SLP | **UIT** | Legacy discovery |
| WSD | AAN | Windows discovery \\ **Leek aanvankelijk niet nodig, maar op "UIT" werd hij niet meer gevonden in Win11**|
| LLTD | **UIT** | Link Layer Discovery, niet nodig |
| LLMNR | **UIT** | DNS fallback, security-risk |
| LPR | **UIT** | Legacy, niet nodig |
| RAW/TCP9100 | **UIT** | Legacy, niet nodig |
| IPP | AAN | Voor driverless printen vanaf Windows / LAN |
| SNMP v2 | AAN | **Geprobeerd uit te zetten, maar werken inktniveaus en driverupdates in win11 iet meer. Alleen v2 aanzetten was niet genoeg. Op read only was voldoende**|
| SNMP v2c | AAN | ::: |
| SNMP v3 | **AAN** | Authenticated + encrypted, read-only; gebruikt voor monitoring in HA/NAS. Username: admin, Password: zie LastPass |

=== Menu: Services, MS Network ===

^ Service/Protocol ^ Status ^ Toelichting ^
| SMB v1 | UIT | Legacy, insecure |
| SMB v2/3 | AAN | Toegang tot SD-kaart / NAS voor scanbestanden |
| Enable user authentication | AAN | Omdat printer in IoT VLAN hangt, authenticatie aangehouden. Username: epson, Password: zie LastPass |

=== Menu: Services, Network Scan ===

^ Service/Protocol ^ Status ^ Toelichting ^
| Epson Scan | AAN | Remote scannen mbv Epson Scan 2 software op client |
| AirPrint | **UIT** | Apple Remote Printing |

===== Gevolgen / Security / Best Practices =====
  * Printer in IoT VLAN
  * Firewall: Niet nodig, alleen SMB/NAS IP en IPP LAN-only
  * Geen SMB1, alleen SMB2/3
  * Legacy discovery services (Bonjour, WSD, LLTD, LLMNR, SLP, UPnP) uit
  * Periodiek wachtwoord controleren voor SMB / SNMPv3
  * Firmware updates via device of webinterface controleren

===== Evaluatie =====
  * Review-interval: bij firmware-update of netwerkconfiguratie wijziging