Inhalt:  einfach  NetzKonzept  MAC-Adresse  MAC-NAT  NAS  scan  04.04.2022  

Ein einfaches Netzkonzept (ausführliche Beschreibung) mit besonderer und normaler Vertrauensstellung wird umgesetzt. Ohne Vertrauen geht gar nichts.    In drei Sätzen erklärt: Wer nachfolgendes kann, kann auch an eure Geräte, ständig!

Der private WLAN-Betreiber ist gefangen zwischen der Störerhaftung und dem Status des Access-Providers.
Access-Provider haften gemäß § 8 TMG grundsätzlich nicht für die Durchleitung von fremden Informationen, ... Eine Pflicht zur Nachforschung und Überwachung der vermittelten Informationen ist nach § 7 II TMG ausdrücklich ausgeschlossen. 11.02.2008 Providerhaftung nach dem Telemediengesetz Dass die 2017 in Kraft getretene Reform der Störerhaftung von der Judikativen (AG Köln) zunehmend nicht im Sinne des Gesetzgebers (Legislative) interpretiert wird (siehe Raubkopier-Oma im Freifunk), rechtfertigt dieses NetzKonzept - IMMER. 02.09.2023 - Die Rückkehr der Störerhaftung. Seit 2004 teile ich an einigen Orten als Anschlußinhaber meinen Telefon-/Internetanschluss mit mehreren Personen oder Haushalten. Netzwerke betreibe ich etwas länger. Wegen der Störerhaftung hatte ich bisher drei Abmahnungen 2012, 2013 und 2014 an der Backe. Seit der Entwicklung und Anwendung dieses NetzKonzepts wurde ich als WLAN-Betreiber verschont.    Ein   Exkurs   zu weiteren technischen Themen, z.B. Verschlüsselung mit VeraCrypt, ntopng, usw.

Netzkonzept für LAN,WLAN mit FritzBox als Router (IPv4)
Zwei Nutzergruppen: besondere Vertrauensstellung und Grundvertrauen (normal)
Zweck eines lokalen Netzwerks (LAN/WLAN) ist die gemeinsame Nutzung von (Peripherie-) Geräten, z.B. Drucker, Speicherplatz, usw. Der Router im lokalen Netzwerk verbindet mit dem Internet. Eine Firewall kann Netzwerkpakete lesen, auswerten und entspr. der Regeln, werden Datenpakete maskiert, durchgelassen oder blockiert, z.B. Netfilter. Das dahinterliegende LAN wird durch strukturierte Verkabelung (twisted Pair) aufgebaut. Ein Gast-WLAN stellt ohne Vertrauensstellung den Internetzugang in einem speraten Subnetz bereit, rechtliche Aspekte (Client Isolation).

  D     MAC : add ress : dev ice      Media-Access-Control, seit 1968 im ARPANET und in IPv4/v6,
physisch - eine Schicht unter der IP-Adresse. Ohne MAC kein iNET.
8-ung: gewürfelte MAC-Adressen im WLAN/LAN - AUSSCHALTEN

Die Geräte-MAC-Adresse (Media-Access-Control) ist einem PKW-Kennzeichen vergleichbar und in jedem Netzwerk von jederman ablesbar, auch im LAN mit "arp -a". Durch die Zuordnung von Bewohner zur Geräte-MAC-Adresse wird die besondere Vertrauensstellung (Freund/in, Admin) erreicht. Als Vertragspartner (Vermieter-Bewohner-Wohngemeinschaft) sind wir ohnehin alle eine besondere Vertrauensstellung eingegangen. Gäste haben eine normale Vertrauensstellung. Gäste haben Zutritt zur Wohnung und können ans LAN-Kabel. Mit Belehrung gebt ihr den WLAN-Schlüssel an eure Gäste weiter, dann können sie sich im WLAN anmelden. Immer landen die Geräte im LAN-Subnetz, aber deren Internetzugang bleibt eingeschränkt (zeitlich, mengenmäßig, Dienste oder aus).
Hinweis: Alle Geräte die sich im gleichen Subnetz (LAN) befinden können sich gegenseitig sehen und aufeinander zugreifen. Wie im realen Leben. Eure Gäste sind in der Wohnung, ihr könnt sie sehen und anfassen. 8-ung: Gäste die den WLAN-Schlüssel kennen, können auch von außerhalb der Wohnung ins Netzwerk. Die gesetzeskonforme Netzwerknutzung, der Schutz von Daten und Persönlichkeit aller Teilnehmer untereinander wird vorausgesetzt. Bei Mißbrauch kann das Netzwerk jederzeit abgeschaltet werden, z.B. bei Umgehung der zugeteilten Vertrauensstellung oder erzieherischer Einschränkungen durch   MAC-Spoofing   ARP-Spoofing   MAC-Adresse .

In besonderer Vertrauensstellung  können sich Geräte (mit MAC-Adresse personalisiert) im LAN & WLAN anmelden und haben unbeschränkten Zugang zum Internet und auf gemeinsame Ressourcen im lokalen Netzwerk, z.B. Speicherplatz (NAS), Drucker, Scanner. Für die besondere Vertrauensstellung stellt der Nutzer sein Gerät mit MAC-Adresse beim Admin vor. Ohne Personalisierung kommt kein Gerät unbeschränkt ins Internet.  
Die normale Vertrauensstellung  wird vom Bewohner aufgebaut durch Zutritt zur Wohnung (LAN) oder Weitergabe des WLAN-Schlüssels  immer mit mündlicher Belehrung  zur gesetzesgemäßen Internetnutzung. In normaler Vertrauensstellung können sich Geräte (nicht personalisiert, MAC-Adresse im Netzwerk bekannt) im LAN und WLAN anmelden. Die Nutzung des Internets ist eingeschränkt (zeitlich, mengenmäßig, Dienste, z.B. nur Surfen&Mailen von 6-22 Uhr, Sa,So-24 Uhr, Nachtruhe), evtl. gedrosselt. Die Gäste befinden sich im lokalen LAN (subnet) und haben auch Zugriff auf alle anderen Geräte/Ressourcen im lokalen Netzwerk. Durch die Portbeschränkung (Surfen&Mailen) geht UPnP nicht, deshalb funktionieren z.B. WhatsApp-Anrufe und Spiele nicht.   standardisierte Ports  
Ohne Vertrauen wird das Gast-WLAN der FritzBox 192.168.179.Y verwendet,  dann ist kein Zugriff auf das lokale Netzwerk 192.168.sub.X möglich (Client Isolation). Das verbietet sich aus den gesetzlichen Pflichten des WLAN-Betreibers.

FritzBox: Internet - Filter - Zugangsprofile       begrenzt*) = Mo-Fr 6-22 Sa,So 6-24 für [Standard]Gast & [Gast]Gast
Geräte mit bekannter MAC-Adresse erhalten immer das Profil [UNbeschränkt].   Mit bekannter MAC-Adresse wären weitere selbsterstellte Profile möglich, z.B. für Kleinkinder. Unbekannte Geräte von unseren Gästen, werden [Standard], egal ob sie über das LAN oder das WLAN kommen   Die von der FritzBox vorgegebenen Zugangsprofile [Standard] und [Gast] (für Gast-WLAN) sind nicht so variabel einstellbar wie selbsterstellte Profile, deshalb ist dieses Netzkonzept entstanden.

FritzBox: Die Zuteilung von Profil und IP-Subnetz ist fest & abhängig vom Zugangsmedium
  Medium                Profil        IP-Adressbreich   FritzBox 
  LAN bzw. Kabel        Standard      192.168.sub.X     LAN-Subnetz
  WiFi SSID AlleAP      Standard      192.168.sub.X     LAN-Subnetz
  WiFi SSID Gast        Gast          192.168.179.Y     Gast-WLAN hat separates Subnetz
Deshalb wird das Profil [Standard] eingeschränkt und dem Profil [Gast] gleichgestellt.
Für bekannte MAC-Adressen (besondere Vertrauenstellung) wird das Profil [UNbeschränkt] erstellt. 
Geräte mit bekannter MAC-Adressen landen immer im Profil [UNbeschränkt], 
unabhängig vom genutzten Medium, LAN-Kabel oder WiFi SSID AlleAP. Ausnahme: Gast-WLAN
8-ung: Es gilt abhängig vom genutzten WLAN, auch für bekannte MAC-Adressen
A) über die SSID AlleAP => im LAN-Subnetz erhält die 
     **  bekannte  MAC-Adresse das Profil [UNbeschränkt] = besondere Vertr.stellung
      * unbekannte MAC-Adresse das Profil [Standard]Gast = normale Vertrauensstellung
B) über die SSID Gast => separates Subnetz    [Gast]Gast = kein Vertrauen (Client Isolation)

FritzBox: Internet - Filter - Zugangsprofile          begrenzt*) = Mo-Fr 6-22  Sa,So 6-24
Profil-NAME            Online-Zeit  Geteiltes Budget  Filter  Gesperrte Anwendungen     
Gesperrt               keine        --                --      --
Gast (Gast-WLAN)       begrenzt*)   --                --      alles außer Surfen und Mailen 
Standard (unser Gast)  begrenzt*)   --                --      alles außer Surfen und Mailen 
UNBESCHRÄNKT           unbegrenzt   --                --      keine / alles ist möglich  
aus Vertrauensstellung und Zugangsmedium ergibt sich das [Profil] woraus ... LAN-Kabel
Zutritt erforderlich
Gäste sind bei uns [Standard]!
WLAN Bewohner & Gäste
Außerhalb der Wohnung möglich
Gäste sind bei uns [Standard]!
Gast-WLAN
Außerhalb möglich
[Gast] mit Client Isolation
... die Nutzung folgt Internet Ressourcen Internet Ressourcen Internet Ressourcen
besondere Vertrauensstellung
MAC-Adresse eingetragen
Bewohner [UNbeschränkt]
ALLES
Bewohner [UNbeschränkt]
JA
Bewohner [UNbeschränkt]
ALLES
Bewohner [UNbeschränkt]
JA
[Gast]Gast
normale Vertrauensstellung
MAC-Adr. NICHT eingetragen
[Standard]Gast
Surfen&Mailen,
6-22/24
[Standard]Gast
JA,
24h
[Standard]Gast
Surfen&Mailen,
6-22/24
[Standard]Gast
JA,
24h
[Gast]Gast
OHNE Vertrauen
Gast[Gast] mit Client Isolation
Ohne Vertrauen & Belehrung gibt man einem [Gast]Gast kein LAN-Kabel in die Hand! Ohne Vertrauen & Belehrung gibt man einem [Gast]Gast kein WLAN-Passwort! [Gast]Gast
Surfen&Mailen,
6-22/24
[Gast]Gast
NEIN,
niemals

Das Risiko des Anschlußinhabers liegt in der Störerhaftung und nicht im gemeinsamen IP-Adressraum als [Standard]Gast, siehe bisherige Abmahnungen. Das von der FritzBox angebotene Gast-WLAN mit Client Isolation taugt für gewerbliche Anbieter , z.B. Kneipe, Café, usw., die rechtlich aus der Störerhaftung raus kommen.

  D     MAC : add ress : dev ice      [UNbeschränkt]24h oder [Standard]Gast 6-22/24uhr

Eine private oder zufällige MAC-Adresse wird für öffentliche WiFi-Netze als sinnvoll verkauft, ist letztlich nutzlos für den Datenschutz (Google erkennt euch) und ist für die Datensicherheit überflüssig. Der IPv4-Router betreibt NAT und ersetzt die MAC-Adresse seiner Clients sowieso mit seiner eigenen, siehe Netzkonzept. Wer "anonym" bleiben will, ist als [Standard]Gast willkommen, die Internetnutzung ist begrenzt (surfen&mailen) und zeitlich eingeschränkt (6-22/24 Uhr).
Beim Eintragen der WLAN-Verbindung *geheim* unter Optionen die private WLAN- / zufällige MAC- Adresse   ausschalten! !!!   und die Geräte-Adresse verwenden.    Die Hardware-MAC-Adresse finden!    Den Hersteller finden!    8-ung: Ein PC/Laptop kann LAN und WLAN-Anschluß haben, evtl. noch einen Bluetooth-Adapter, auch der hat eine MAC-Adresse.   Gefälschte handys bei AliExpress und Wish      
8-ung:   ab iOS 14.1  10/2020, Android 10  09/2019, Windows 10   07/2015, evtl. Linux, z.B. Mint, others.   

AVM     fehlerhafte Einträge bei Heimnetz - Netzwerkverbindungen     fehlerhafte Einträge in der MESH-Übersicht, wenn die Geräte nicht direkt mit dem Router verbunden sind bzw. es dauert bis zu 10 Minuten bis es passt.    

Grundsätze für sich vertrauende Netzwerkteilnehmer "besondere & normale Vertrauensstellung"
Mit diesen Grundsätze, kann ein performantes stabiles Netzwerk mit Internetzugang erwartet werden, auch für das WLAN.

  1. # gesetzeskonforme Netzwerknutzung # Schutz von Daten und Persönlichkeit # Einhaltung des Nutzungskonzepts #
  2. Wer Mitglied in der Gruppe "besondere Vertrauensstellung" ist, kann sich nicht mehr als Gast anmelden.
    Keine doppelte Rolle an der FritzBox. Logisch, entweder ich bin Bewohner (Freund/in, Familie) oder Gast.
  3. Die Mitglieder im Netzwerk verteilen sich gleichmäßig auf die WLAN-Stationen.
  4. Im Übrigen gilt: Wer Durchsatz möchte, bevorzugt das Kabel!
    Datenrate-netto: Kabel 94%, Funk 50% (Protokoll-Overhead), sehr gute brutto/netto Tabellen bei heise.de
  5. Die Installation von aktiven Netzwerkkomponenten erfolgt immer in Abstimmung mit dem Admin (und dem Vermieter), da sonst unerwünschte Effekte in der Performance auftreten können.
  6. Wer sein Gerät aktiv von Außen erreichen möchte (Serverdienste, usw.), kennt sich aus, weiß was er tut und meldet sich beim Admin bzgl. einer Portweiterleitung über IPv4 oder IPv6.   Fernzugriff und Portfreigaben
  7. Der Vermieter ist Mitglied im Netzwerk mit besonderer Vertrauensstellung (und Anschlußinhaber).

  D     MAC : add ress : dev ice      - Technische Erläuterungen - Unmöglichkeiten der FritzBox

Jedes Gerät hat eine MAC-Adresse und verwendet diese bei der Anmeldung im Netzwerk. Mit der MAC-Adresse stellt das Gerät eine Anfrage an den Router (DHCP-Server): "Ich möchte mit dir sprechen, teile mir eine IP-Adresse zu." Somit sind am Router alle MAC-Adressen bekannt, gleichgültig ob das Gerät als Gast oder als Bewohner in die besondere Vertrauensstellung eingeordnet ist. So kann jeder Teilnehmer im LAN für jedes andere Gerät die MAC-Adresse und die zugeteilte IP-Adresse abfragen, mit arp -a, weitere Netzwerkbefehle für Windows. In jedem versendeten Datenpaket ist die Ziel-MAC-Adresse (Empfänger des Datenpakets) enthalten, ob im lokalen Netzwerk oder im Internet (IP-Adresse). Wie ein Router (bei IPv4) funktioniert, dass er NAT betreibt und dadurch die MAC-Adresse seiner lokalen Clients durch seine eigene ersetzt, erkläre ich hier nicht. Dazu benötigt man das OSI-Modell: Die MAC-Adresse ist OSI-Layer2, eine IP-Adresse ist OSI-Layer3. MAC-Adresse und Gerätehersteller
Wer es tiefergehend verstehen will, findet hier Grundlagen Computernetze, TCP/IP, IPv4/v6, Prof. Jürgen Plate eine gute Anlaufstelle. Den anderen bleibt Vertrauen (Grundvertrauen in die Menschheit) oder Glauben (Glauben heißt nicht Wissen). Wem das nicht möglich ist, bleibt ein mißtrauender Ungläubiger, gegenüber dem Admin (Big Brother), dem Vermieter (Miethai) oder welches Klischee er bedienen möchte.    

Das Konzept zur Strukturierung des Netzwerks muß sich den Möglichkeiten (oder besser Unmöglichkeiten) der Fritzbox unterwerfen, dennoch ist es durchdacht und mehrfach praxiserprobt.   Heise: Grundeinrichtung der FritzBox   Gast-WLAN einrichten   AVM Anwendung nicht moglich   AVM Netzwerkanwendungen sperren     Mesh   Probleme   FritzBox Mesh   Master und Repeater verbinden   stabiles WLAN   Repeater/AP   2.FB    

Erfahrungen - Das Internet ist zu langsam! Meine online-Konferenz stürzt ab!

Das Netzwerk wird ohne Zusicherung eines Leistungs- oder Qualitätsmerkmals bereitgestellt.   WLAN verbessern - Tipps der Telekom  
Erfahrungen aus dem Betrieb
Stand Mai 2021: Das Netzwerk wurde 2020 von einer auf drei WLAN-Antennen erweitert und damit auf ein geändertes Nutzerverhalten reagiert. Um über WLAN ein stabiles und performantes Netzwerk zu unterhalten bedarf es, entgegen der Werbeverprechen (-lügen), einen höheren Administrationsaufwand als beim kabelbasierten LAN. Vorteilhaft ist die gleichmäßige Verteilung der Geräte auf die Antennen (feste Zuordnung). Hilfreich ist eine Abstimmung im gesamten Haus bzgl. der Kanalwahl, derzeit macht das der Router automagisch. Dennoch bleibt WLAN immer im Hintertreffen. Wer am Kabel hängt nutzt exklusiv 100 Mbit/s und erhält abzgl. des Protokoll-Overheads 94 Mbit/s netto.
Stand Februar 2022: Mit home-office und Videolehre treten Verbindungsprobleme im WLAN auf, Beschwerden nehmen zu. Es zeigte sich das mit automatischer Kanalwahl und hoher Sendeleistung (mit der Nachbarschaft, evtl. hausübergreifend) zwei große Funkwolken (Kanal 1 und 11) entstanden sind, die die theoretische Kapazität von 11n zeitlich untereinander teilen. Die zuvor genannte Abstimmung wurde eingeleitet und mangels Rückmeldung an den Antennen das Kanalschema 1-5-9-13/EU manuell eingestellt, die Sendeleistung auf 25 % (evtl. 12%) reduziert. Zukünftig darf auf Resonanz bei den Nachbarn gehofft werden, ansonsten bleiben Interferenzen der Kanäle 3/5/6/7, 7/9/11, 11/13. Ob die Erfahrungen mit manuellen Kanälen und kleinen Funkwolken besser werden, bleibt abzuwarten. Ggfs. muss mit 100 % gesendet werden, um die Interferenzen zu erforschen und nach außen zu tragen.
Bei optimalen WLAN-Verhältnissen sendet jede Antenne mit mind. 300 Mbit/s. Ein Beispiel: Es hängen drei Geräte an einer Antenne. Bleiben für jedes Gerät 100 Mbit/s für Senden oder Empfangen (also durch 2), davon bleiben nach dem Protokoll-Overhead 50 % übrig (wieder durch 2), das sind 25 Mbit/s netto. Jeder WLAN-AccessPoint hängt mit 100 Mbit/s direkt am Router und kann die 75 Mbit/s der drei WLAN-Geräte +5% overhead über Kabel weitergeben. Soweit die Theorie. Aber wir brauchen einen schnelleren Anschluss! VDSL 50/10 Mbit/s ist viel zu langsam!!! Nicht nach diesen Protokollen 2021: 01.05. 10.05. Legende
Beschwerden und Anfragen immer an den Admin des Netzwerks richten. Bei Beschwerden bzgl. WLAN, Leistung, o.ä. zuerst prüfen, ob die Zuordnung und Verteilung der mobilen Geräte an die Antennen gewährleistet ist. Desweiteren eine konkrete Problembeschreibung abgeben. "Herr Doktor ich habe Schmerzen." ist ein düftiges Krankheitsbild. Kein Notruf zum Netzwerk ohne Hintergründe! Fünf "W", die im Notfall helfen.

WO           ist etwas geschehen? (welcher Rechner, Autobahn-LAN, Landstraße-WLAN, AccessPoint)
WAS          ist passiert? (Betriebssystem, Anwendung, Aktion)
WIE          viele Betroffene? (Wer war noch unterwegs, im LAN und WLAN)
WER          meldet? (Name, Telefonnummer)
WARTEN ...   auf Rückfragen ...

Aufgaben für den Admin

Der Admin schaut gelegentlich nach der Auslastung ... "Internet" "Online-Monitor" ganz unten "Aktuelle Auslastung der Internetverbindung" Down- und Upstream
Der Admin trägt dafür Sorge, dass sich die Bewohner bzw. die mobilen Geräte auf die WLAN-Antennen gleichmäßig verteilen. Die gleichmäßige Verteilung wird erreicht durch ausschließliche Nutzung der zugeordneten WLAN-Antenne (mit der besten Sende-/Empfangsleistung).

A) Neuen Bewohner ins Netzwerk aufnehmen, besondere Vertrauensstellung

  1. Der Bewohner notiert die MAC-Adresse/n seiner Geräte und die Art (Handy, PC, Tablet, usw.).
    Ein Laptop hat evtl. zwei MAC-Adressen, je eine für LAN-Kabel und WLAN!
    Der Bewohner verbindet die Geräte mit der zugeteilten WLAN-Antenne oder dem LAN.
    Der Bewohner informiert den Admin: MAC-Adressen und Geräte sind online im WLAN oder LAN
  2. Der Admin meldet sich am Router an: https://fritz.box     "Heimnetz" - "Netzwerk" - "Netzwerkverbindungen"     Es gibt zwei Möglichkeiten MAC-Adressen (Geräte) in die besondere Vertrauensstellung zu stellen.
    *) Editieren: Bereits im WLAN (an der zugewiesenen Antenne) angemeldete Geräte können zwar noch nicht ins Internet, aber die Eingabearbeit für den Admin ist weniger, weil die MAC-Adresse angezeigt wird und nur der Status auf "besonders / ungbeschränkt" geändert werden muss.

    das angemeldete Gerät anhand der MAC-Adresse indentifizieren und editieren,
    #) Hinzufügen: Sie können Netzwerkgeräte hinzufügen, denen eine feste IP-Adresse zugewiesen werden soll und die bisher noch keinen Kontakt zur FRITZ!Box hatten.

    das nicht angemeldete Gerät - ganz unten Gerät hinzufügen
      #) Hinzufügen: Name (Schema) und MAC-Adresse eintragen ... & danach "Zugangsprofil" editieren
      Name  (Schema)  ZiWeNr-NachnameVorname-Gerätetyp-MA-CA-DR-es-se-01
      IPv4-Adresse    192.168.sub.XYZ
      MAC-Adresse:    ___:___:___:___:___:___                     [[ OK ]] 
    
    *) Editieren: (bzw. erneut aufrufen) bei "Zugangs-Eigenschaften / Kindersicherung" das "Zugangsprofil" auf UNBESCHRÄNKT setzen.      OK

    FritzBox: Heimnetz - Netzwerk - Name       editieren / einstellen &  PRÜFEN  Zugangsprofil = UNBESCHRÄNKT
      Name  (Schema)  ZiWeNr-NachnameVorname-Gerätetyp-MA-CA-DR-es-se-01
      IPv4-Adresse    192.168.sub.XYZ
                      |v| Diesem Netzwerkgerät immmer die gleiche IPv4-Adresse zuweisen.
                      |_| Selbständige Portfreigaben für dieses Gerät erlauben.
      ...
      Zugangs-Eigenschaften / Kindersicherung
         Internetnutzung   Onlinezeit      Zugangsprofil
         unbeschänkt       blauer Balken   |_UNBESCHRÄNKT___|V|   [[ OK ]]  Abbrechen
      ...
    
     

B) Alter Bewohner (Zimmer/Wohnung mit Freund/in) alle Geräte umbenennen und deaktivieren

  1. am Router https://fritz.box anmelden.
  2. "Heimnetz" - "Netzwerk" - "Netzwerkverbindungen" - Gerät/e umbenennen (ein Präfix "bisJAHR-MM-" anstatt der Nummer) und deaktivieren

C) Optional: Drucker/Scanner konfigurieren

NAS an der FritzBox (Router) 192.168.sub.1 als SCAN-Ziel

Für das NAS gilt ein simples Nutzungskonzept. Das oberste Verzeichnis nimmt die Dokumente vom Scanner auf, die jeder selbständig abholt und danach löscht. Dateien älter als einen Monat darf und soll jederman löschen. (Einrichten, Performance, USB3 aktivieren ) Die angelegten Verzeichnisse mit Namen (1XY bis nUV) sind bzgl. der Nutzer, der Zuständigkeiten "löschen" und dem Zugriff (0public) selbsterklärend. Hier kann z.B. Musik abgelegt oder eine Diplom-Hausarbeit am Abend zusätzlich gespeichert werden. Eine Datensicherung findet am NAS nicht statt. Im kleinen Kreis der besonderen Vertrauensstellung gibt es keine zusätzlichen Rechte. Eigene Kennung / passwd wäre möglich. Ein berechtigtes Interesse kann diesen Administrationsaufwand rechtfertigen.
Der Scanner/Drucker speichert die gescannten Dokumente auf der FritzBox als Datei im obersten Verzeichnis oder sendet eine Mail mit Anhang. Im LAN hat jeder Zugriff auf die FritzBox 192.168.sub.1 (sonst käme er nicht ins Internet) und kann das NAS über die Protokolle FTP und SMB erreichen.

SMB (Server Message Block, IP-Ports 139/NetBIOS, 445/TCP-Stack ab Win2k) kommt als proprietäres (nicht offen dokumentiertes) Protokoll aus der Windows-Welt und ist heute nach reverse engineering auch aus Linux (SaMBa) stabil nutzbar. Mit den Daten aus "NetzAnmeldung": Benutzer / passwd und Freigabename / WORKGROUP kann jeder seinen Windows-Rechner dauerhaft selbst mit dem NAS über SMB verbinden. Viele Drucker/Scanner können kein SMBv2/v3. Bei Windows10,7,usw. muss SMBv1 aktiviert werden. Empfehlung M$ min:SMBv2 & max:SMBv3 ! CIFS vs SMB: The CIFS implementation of SMB is rarely used these days. Modern storage systems no longer use CIFS, they use SMBv2 or SMBv3. What is the Difference?

FTP (File Transfer Protokoll, IP-Ports 20,21, seit 1971) ist ein Internetprotokoll und wird allseits unterstützt, ist besonders geeignet in heterogener Umgebung. FTP benötigt die IP-Adresse ftp://192.168.sub.1 und Benutzer / passwd aus "NetzAnmeldung" für Verbindungen. Im WindowsExplorer kann ein FTP Account als Netzlaufwerk eingetragen werden, über:       Computer (Rechtsklick)       - Netzwerkadresse hinzufügen       ftp://192.168.sub.1       - Login eintragen:       Benutzer       passwd       und Name vergeben und speichern. Ein gespeichertes Passwort löschen. Problem: Dateien lassen sich im WindowsExplorer nicht löschen, im DoubleCommander, FileZilla, usw. geht es.
Das Programm DoubleCommander (is a free cross platform open source file manager with two panels side by side.) kann FTP und gibt es für Windows & Linux . TotalCommander ist ein Shareware-Dateimanager mit FTP-Plugin für Windows & Android . Das FTP-Programm FileZilla für Linux & Windows benötigt als Portable-Client keine Installation im WindowsSystem.
Problem: FTP ändert den Zeitstempel im DOWN-/UPload! Soweit der FTP-Server MDTM & MFMT unterstützt, MDTM (RFC 3659 Return the last-modified time of a specified file) MFMT (Modify the last modification time of a file) kann bei FileZilla "Übertragung" die Option "|X| Änderungszeitpunkt der übertragenen Datei beibehalten" (Ctrl-U) preserve timestamp für den DOWNload helfen. Ändert Filezilla trotz MDTM das Datum? Bei WinSCP bleibt das Datum erhalten mit options-preferences-preserve timestamp. Zeitstempel/Filedatum bei FTP UPload behalten klappt vielleicht mit CoreFTP LE? ??? Rückmeldung erbeten ???  

Scannen: praktische Tipps und theoretische Grundlagen digiale Bildverarbeitung

Was sagt die Bundesnotarkammer zum elektronischen Rechtsverkehr? PDF/A (1b 2005 und 2b 2011) ist die Lösung, auch bei Scandienstleistern zur Archivierung. Zulässig und geeignet ist TIFF (Tagged Image File Format), jedoch nur mit schwarz/weiß-Kodierung (CCITT/ TTS Gruppe 4), z.B. ein Fax in 200dpiCCITT4.      
Die Aussage, Kündigung per Mail geht nicht, stimmt so nicht. Die Kündigung muss im "zulässigen und geeigneten Format" beiliegen, also ein PDF/A oder ein swTIFF.CCITT4 mind.200dpi (z.B. gescannt). Zustellnachweis wäre das konkludente Handeln des Empfängers, z.B. die Durchführung der Kündigung. Also diskutieren oder ein Fax senden, dann passt das Dateiformat, es gibt einen Zustellnachweis (und die arme Seele hat ihre Ruh'), das geht auch per Mail, z.B. mit simple-fax.de oder freie Dienste.   PDF/A kann mit LibreOffice oder MS-Word direkt erstellt werden. Ein gescanntes PDF kann in PDF/A umgewandelt werden mit PDFcreator FREE oder online mit iLovePDF.com.      
Eigene Projekte zur Archivierung werden von den Möglichkeiten der Hardware und Software begrenzt. Scanner mit ADF (ein-/zweiseitige Vorlage, Duplexdruck) erstellen mehrseitig TIF und PDF (kein PDF/A) sowie JPG (nur einseitig). Rechtssicherheit (zulässig und geeignet) ohne Nachbearbeitung: z.B. mit 300dpi.TIF_CCITT4-verlustfrei.
Grundlagen: springer.com Beispiele zu Auflösung, Farbtiefe   FH Erfurt, Arbeit mit digitalen Bildern   Kapitel 9 Pixeldateien   Bildverarbeitung und -analyse für Biologen   Datenformat-PPI   Farbtiefe   72dpi   Scanqualität   Musiknoten  

Ausgewogene Empfehlung zw. guter Qualität und geringem Speicherbedarf (einer DIN A4 Seite)
Inhalt                Größe   Farbtiefe     Auflösung.Dateiformat_Kompression
TextSW (kaum Bilder)   50kB   sw  /  2bit   200dpi.TIF_CCITT4-verlustfrei / FAX
TextSW (kaum Bilder)  100kB   sw  /  2bit   300dpi.TIF_CCITT4-verlustfrei (Bundesnotarkammer)
TextSW (mit Bildern)  1,5 MB  grau/  8bit   300dpi.TIF_CCITT4-verlustfrei
Text/color (mit Bild) 800kB   col / 24bit   100dpi.PDF_verlusthaft
Foto/color            500kB   col / 24bit   300dpi.JPG_verlusthaft
Foto/color            5,0 MB  col / 24bit   300dpi.TIF_CCITT4-verlustfrei