12
HTTPS ReverseProxy für Shell und Ports (Linux Ubuntu)
Hallo Zusammen,
ich bin auf der Suche nach einer Technologie, mit der es meinen Kollegen und mir es ermöglicht, mittels eines Webportals Kommandos auf Industrial PCs auszuführen.
Die IPCs werden bei unseren Kunden, nähe unserer Anlagen, installiert um Sensordaten zu sammeln und in die Cloud zu übertragen. Um die IPCs zu warten und bei Troubleshooting ist eine Remoteverbindung notwendig. Diese Remoteverbindung wird derzeit mittels Teamviewer realisiert.
Die IPC sind in einem eigenen Netzwerk welches mit einer zusätzlichen SPS verbunden ist (Die auch die Daten liefert). Da es nicht auszuschließen ist, dass dort ebenfalls die Konfiguration angepasst werden muss (Mittels der Software TIA), ist eine Verbindung in dieses Netz mit entsprechenden Forwardings notwendig. Dies ist derzeit mittels VPN realisiert. Wir haben einen VPN Server in der Cloud deployed und jeweils einen VPN Zugang auf dem IPC und dem TIA Computer eingerichtet. In den VPN Einstellungen für den IPC wurde das Routing ergänzt, dass alle Clients (Für jeden IPC wird ein VPN Server deployed) in das dahinterliegende IPC Netz gepusht wird. Auf dem IPC wurden die Iptables Regeln entsprechend angepasst.
Da immer mehr Kunden Zweifel an Teamviewer haben und die ausgehenden Ports für VPN nicht öffnen möchten, bin ich auf der Suche nach Alternativen. HTTP und HTTPS Ports sind meist standardmäßig offen.
Hobbymäßig habe ich vor einiger Zeit das Mining mal getestet. Mit dem OS des Mininganbieters wurde der MiningPC automatisch dem Portal des Anbieters hinzugefügt und über diesem Portal konnte ich auch eine Shell Verbindung zu dem PC herstellen.
Nun die Frage, wie sich diese Technologie nennt. Ich habe bereits nach Reverse Shell, Reverse Proxy with Shell gesucht aber als Ergebnis bekomme ich nur zwielichtige Angebote und Software.
Meine weitere Frage wäre. Gibt es eine Möglichkeit außer VPN, um eine Verbindung zwischen der SPS in dem IPC Netz und dem TIA Laptop herzustellen, damit die SPS konfiguriert werden kann?
Auf den IPCs läuft derzeit Ubuntu 20.04 LTS
Über eure Antworten und Informationen möchte ich mich im voraus bedanken
Gruß
ich bin auf der Suche nach einer Technologie, mit der es meinen Kollegen und mir es ermöglicht, mittels eines Webportals Kommandos auf Industrial PCs auszuführen.
Die IPCs werden bei unseren Kunden, nähe unserer Anlagen, installiert um Sensordaten zu sammeln und in die Cloud zu übertragen. Um die IPCs zu warten und bei Troubleshooting ist eine Remoteverbindung notwendig. Diese Remoteverbindung wird derzeit mittels Teamviewer realisiert.
Die IPC sind in einem eigenen Netzwerk welches mit einer zusätzlichen SPS verbunden ist (Die auch die Daten liefert). Da es nicht auszuschließen ist, dass dort ebenfalls die Konfiguration angepasst werden muss (Mittels der Software TIA), ist eine Verbindung in dieses Netz mit entsprechenden Forwardings notwendig. Dies ist derzeit mittels VPN realisiert. Wir haben einen VPN Server in der Cloud deployed und jeweils einen VPN Zugang auf dem IPC und dem TIA Computer eingerichtet. In den VPN Einstellungen für den IPC wurde das Routing ergänzt, dass alle Clients (Für jeden IPC wird ein VPN Server deployed) in das dahinterliegende IPC Netz gepusht wird. Auf dem IPC wurden die Iptables Regeln entsprechend angepasst.
Da immer mehr Kunden Zweifel an Teamviewer haben und die ausgehenden Ports für VPN nicht öffnen möchten, bin ich auf der Suche nach Alternativen. HTTP und HTTPS Ports sind meist standardmäßig offen.
Hobbymäßig habe ich vor einiger Zeit das Mining mal getestet. Mit dem OS des Mininganbieters wurde der MiningPC automatisch dem Portal des Anbieters hinzugefügt und über diesem Portal konnte ich auch eine Shell Verbindung zu dem PC herstellen.
Nun die Frage, wie sich diese Technologie nennt. Ich habe bereits nach Reverse Shell, Reverse Proxy with Shell gesucht aber als Ergebnis bekomme ich nur zwielichtige Angebote und Software.
Meine weitere Frage wäre. Gibt es eine Möglichkeit außer VPN, um eine Verbindung zwischen der SPS in dem IPC Netz und dem TIA Laptop herzustellen, damit die SPS konfiguriert werden kann?
Auf den IPCs läuft derzeit Ubuntu 20.04 LTS
Über eure Antworten und Informationen möchte ich mich im voraus bedanken
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3173637035
Url: https://administrator.de/contentid/3173637035
Printed on: April 19, 2024 at 16:04 o'clock
12 Comments
Latest comment
Moin,
mach doch einfach OpenVPN über Port 443.
Da muß der Kunde keine anderen Ports außer https zulassen.
lks
mach doch einfach OpenVPN über Port 443.
Da muß der Kunde keine anderen Ports außer https zulassen.
lks
Auch ne gute Idee. Da ich für jeden IPC einen eigenen VPN Server, in dieser Thematik mittels Docker auf einem Cloud Server, erstelle (Da das IPC Netz immer die gleiche Adressierung besitzt) wäre es möglich über den Port 443 mehrere VPN Server laufen zu lasssen ? z.B. Mittels Traefic oder ähnlicher Technologie und die Unterscheidung mittels DNS (Für jeden Kunden eine eigene Sunbdomän die alle auf den Cloudserver verlinken)
Zitat von @SimKas:
Auch ne gute Idee. Da ich für jeden IPC einen eigenen VPN Server, in dieser Thematik mittels Docker auf einem Cloud Server, erstelle (Da das IPC Netz immer die gleiche Adressierung besitzt) wäre es möglich über den Port 443 mehrere VPN Server laufen zu lasssen
Auch ne gute Idee. Da ich für jeden IPC einen eigenen VPN Server, in dieser Thematik mittels Docker auf einem Cloud Server, erstelle (Da das IPC Netz immer die gleiche Adressierung besitzt) wäre es möglich über den Port 443 mehrere VPN Server laufen zu lasssen
Auf demselben Port mehrere OpenVPN- Instanzen laufen zu lassen wäre i.d.R. nicht möglich. Aber ich würde einfach ipv6 nehmen, da hat jede Instanz seine eigene ip-Adresse.
lks
Da ich für jeden IPC einen eigenen VPN Server,
Muss nicht sein wenn die oder mehrere IPCs in einem oder auch unterschiedlichen Netzen am gleichen Standort sind.Dann reicht auch ein 20€ Router als VPN Server der auf allen Endgeräten mit den onboard VPN Clients arbeitet. Das Setup ist in 15 Minuten erledigt.
IPsec VPN mit MikroTik
Zitat von @aqui:
Dann reicht auch ein 20€ Router als VPN Server der auf allen Endgeräten mit den onboard VPN Clients arbeitet. Das Setup ist in 15 Minuten erledigt.
Scheitern am IPsec VPN mit MikroTik
Da ich für jeden IPC einen eigenen VPN Server,
Muss nicht sein wenn die oder mehrere IPCs in einem oder auch unterschiedlichen Netzen am gleichen Standort sind.Dann reicht auch ein 20€ Router als VPN Server der auf allen Endgeräten mit den onboard VPN Clients arbeitet. Das Setup ist in 15 Minuten erledigt.
Scheitern am IPsec VPN mit MikroTik
IPsec geht nicht, weil die Kunden die Firewall nicht dafür öffnen wollen laut TO.
lks
Vielen Dank für die Informationen. Ich schaue mir RPort an und anschließend evtl. die ipv6 Lösung mit den Dockern. Ich melde mich noch einmal sobald ich eine Lösung implementiert habe.
Gruß
Gruß
IPsec geht nicht, weil die Kunden die Firewall nicht dafür öffnen wollen laut TO.
OK, sorry. Gut, dann scheidet jegliche VPN Lösung aus.Ob man sowas dann ohne VPN aus Sicherheitsicht umsetzten sollte muss der TO selber entscheiden.
Bei Industrieanwendungen ist das eine mehr als heikle Sache Daten völlig ungeschützt zu übertragen und eigentlich ein NoGo.
Hi,
man könnte die shells auch via http tunneln wenn man mag:
https://linuxwiki.de/HttpTunnel
Zusätzlich könnt man dann die einzelnen Http getuttelten ports zentral über einen http_reverse_proxy verteilen, zusätzlich TLS gewrappt und mit Authentifizierung - dann wäre es auch egal wenn das nur plaintext shells wären
Wenn du die Idee Interessant findest, weiter am Montag mit detailierter beschreibung
man könnte die shells auch via http tunneln wenn man mag:
https://linuxwiki.de/HttpTunnel
Zusätzlich könnt man dann die einzelnen Http getuttelten ports zentral über einen http_reverse_proxy verteilen, zusätzlich TLS gewrappt und mit Authentifizierung - dann wäre es auch egal wenn das nur plaintext shells wären
Wenn du die Idee Interessant findest, weiter am Montag mit detailierter beschreibung
Zitat von @NetzwerkDude:
Hi,
man könnte die shells auch via http tunneln wenn man mag:
https://linuxwiki.de/HttpTunnel
Zusätzlich könnt man dann die einzelnen Http getuttelten ports zentral über einen http_reverse_proxy verteilen, zusätzlich TLS gewrappt und mit Authentifizierung - dann wäre es auch egal wenn das nur plaintext shells wären
Wenn du die Idee Interessant findest, weiter am Montag mit detailierter beschreibung
Hi,
man könnte die shells auch via http tunneln wenn man mag:
https://linuxwiki.de/HttpTunnel
Zusätzlich könnt man dann die einzelnen Http getuttelten ports zentral über einen http_reverse_proxy verteilen, zusätzlich TLS gewrappt und mit Authentifizierung - dann wäre es auch egal wenn das nur plaintext shells wären
Wenn du die Idee Interessant findest, weiter am Montag mit detailierter beschreibung
Wenn man dazu ein fertiges Produkt möchte, kann man zB RPort nehmen
Zitat von @aqui:
IPsec geht nicht, weil die Kunden die Firewall nicht dafür öffnen wollen laut TO.
OK, sorry. Gut, dann scheidet jegliche VPN Lösung aus.OpenVPN über Port 443 sollte gehen, weil die Kunden https anscheinend erlauben.
lks
Moin,
Gruß,
Dani
Da immer mehr Kunden Zweifel an Teamviewer haben und die ausgehenden Ports für VPN nicht öffnen möchten, bin ich auf der Suche nach Alternativen.
wenn du an der Lösung festhalten möchtest, kannst du auch auf AnyDesk Enterprise wechseln. Wird vermutlich dann auch weitere Anwendungezwecke öffnen.Gruß,
Dani
