simkas
Goto Top

HTTPS ReverseProxy für Shell und Ports (Linux Ubuntu)

Hallo Zusammen,

ich bin auf der Suche nach einer Technologie, mit der es meinen Kollegen und mir es ermöglicht, mittels eines Webportals Kommandos auf Industrial PCs auszuführen.
Die IPCs werden bei unseren Kunden, nähe unserer Anlagen, installiert um Sensordaten zu sammeln und in die Cloud zu übertragen. Um die IPCs zu warten und bei Troubleshooting ist eine Remoteverbindung notwendig. Diese Remoteverbindung wird derzeit mittels Teamviewer realisiert.
Die IPC sind in einem eigenen Netzwerk welches mit einer zusätzlichen SPS verbunden ist (Die auch die Daten liefert). Da es nicht auszuschließen ist, dass dort ebenfalls die Konfiguration angepasst werden muss (Mittels der Software TIA), ist eine Verbindung in dieses Netz mit entsprechenden Forwardings notwendig. Dies ist derzeit mittels VPN realisiert. Wir haben einen VPN Server in der Cloud deployed und jeweils einen VPN Zugang auf dem IPC und dem TIA Computer eingerichtet. In den VPN Einstellungen für den IPC wurde das Routing ergänzt, dass alle Clients (Für jeden IPC wird ein VPN Server deployed) in das dahinterliegende IPC Netz gepusht wird. Auf dem IPC wurden die Iptables Regeln entsprechend angepasst.

Da immer mehr Kunden Zweifel an Teamviewer haben und die ausgehenden Ports für VPN nicht öffnen möchten, bin ich auf der Suche nach Alternativen. HTTP und HTTPS Ports sind meist standardmäßig offen.

Hobbymäßig habe ich vor einiger Zeit das Mining mal getestet. Mit dem OS des Mininganbieters wurde der MiningPC automatisch dem Portal des Anbieters hinzugefügt und über diesem Portal konnte ich auch eine Shell Verbindung zu dem PC herstellen.

Nun die Frage, wie sich diese Technologie nennt. Ich habe bereits nach Reverse Shell, Reverse Proxy with Shell gesucht aber als Ergebnis bekomme ich nur zwielichtige Angebote und Software.

Meine weitere Frage wäre. Gibt es eine Möglichkeit außer VPN, um eine Verbindung zwischen der SPS in dem IPC Netz und dem TIA Laptop herzustellen, damit die SPS konfiguriert werden kann?

Auf den IPCs läuft derzeit Ubuntu 20.04 LTS

Über eure Antworten und Informationen möchte ich mich im voraus bedanken

Gruß

Content-Key: 3173637035

Url: https://administrator.de/contentid/3173637035

Printed on: February 23, 2024 at 21:02 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Jun 25, 2022 updated at 08:16:45 (UTC)
Goto Top
Moin,

mach doch einfach OpenVPN über Port 443.

Da muß der Kunde keine anderen Ports außer https zulassen.

lks
Member: SimKas
SimKas Jun 25, 2022 at 08:20:28 (UTC)
Goto Top
Auch ne gute Idee. Da ich für jeden IPC einen eigenen VPN Server, in dieser Thematik mittels Docker auf einem Cloud Server, erstelle (Da das IPC Netz immer die gleiche Adressierung besitzt) wäre es möglich über den Port 443 mehrere VPN Server laufen zu lasssen ? z.B. Mittels Traefic oder ähnlicher Technologie und die Unterscheidung mittels DNS (Für jeden Kunden eine eigene Sunbdomän die alle auf den Cloudserver verlinken)
Member: Tezzla
Tezzla Jun 25, 2022 updated at 08:38:50 (UTC)
Goto Top
Moin,

schau dir mal RPort an.

VG
Member: Lochkartenstanzer
Lochkartenstanzer Jun 25, 2022 at 09:14:29 (UTC)
Goto Top
Zitat von @SimKas:

Auch ne gute Idee. Da ich für jeden IPC einen eigenen VPN Server, in dieser Thematik mittels Docker auf einem Cloud Server, erstelle (Da das IPC Netz immer die gleiche Adressierung besitzt) wäre es möglich über den Port 443 mehrere VPN Server laufen zu lasssen

Auf demselben Port mehrere OpenVPN- Instanzen laufen zu lassen wäre i.d.R. nicht möglich. Aber ich würde einfach ipv6 nehmen, da hat jede Instanz seine eigene ip-Adresse.

lks
Member: aqui
aqui Jun 25, 2022 updated at 10:19:31 (UTC)
Goto Top
Da ich für jeden IPC einen eigenen VPN Server,
Muss nicht sein wenn die oder mehrere IPCs in einem oder auch unterschiedlichen Netzen am gleichen Standort sind.
Dann reicht auch ein 20€ Router als VPN Server der auf allen Endgeräten mit den onboard VPN Clients arbeitet. Das Setup ist in 15 Minuten erledigt.
IPsec VPN mit MikroTik
Member: Lochkartenstanzer
Lochkartenstanzer Jun 25, 2022 at 10:19:55 (UTC)
Goto Top
Zitat von @aqui:

Da ich für jeden IPC einen eigenen VPN Server,
Muss nicht sein wenn die oder mehrere IPCs in einem oder auch unterschiedlichen Netzen am gleichen Standort sind.
Dann reicht auch ein 20€ Router als VPN Server der auf allen Endgeräten mit den onboard VPN Clients arbeitet. Das Setup ist in 15 Minuten erledigt.
Scheitern am IPsec VPN mit MikroTik

IPsec geht nicht, weil die Kunden die Firewall nicht dafür öffnen wollen laut TO.

lks
Member: SimKas
SimKas Jun 25, 2022 at 10:36:21 (UTC)
Goto Top
Vielen Dank für die Informationen. Ich schaue mir RPort an und anschließend evtl. die ipv6 Lösung mit den Dockern. Ich melde mich noch einmal sobald ich eine Lösung implementiert habe.

Gruß
Member: aqui
aqui Jun 25, 2022 updated at 14:17:24 (UTC)
Goto Top
IPsec geht nicht, weil die Kunden die Firewall nicht dafür öffnen wollen laut TO.
OK, sorry. Gut, dann scheidet jegliche VPN Lösung aus.
Ob man sowas dann ohne VPN aus Sicherheitsicht umsetzten sollte muss der TO selber entscheiden.
Bei Industrieanwendungen ist das eine mehr als heikle Sache Daten völlig ungeschützt zu übertragen und eigentlich ein NoGo.
Member: NetzwerkDude
NetzwerkDude Jun 25, 2022 at 13:05:17 (UTC)
Goto Top
Hi,

man könnte die shells auch via http tunneln wenn man mag:
https://linuxwiki.de/HttpTunnel

Zusätzlich könnt man dann die einzelnen Http getuttelten ports zentral über einen http_reverse_proxy verteilen, zusätzlich TLS gewrappt und mit Authentifizierung - dann wäre es auch egal wenn das nur plaintext shells wären

Wenn du die Idee Interessant findest, weiter am Montag mit detailierter beschreibung face-smile
Member: Tezzla
Tezzla Jun 25, 2022 at 15:01:44 (UTC)
Goto Top
Zitat von @NetzwerkDude:

Hi,

man könnte die shells auch via http tunneln wenn man mag:
https://linuxwiki.de/HttpTunnel

Zusätzlich könnt man dann die einzelnen Http getuttelten ports zentral über einen http_reverse_proxy verteilen, zusätzlich TLS gewrappt und mit Authentifizierung - dann wäre es auch egal wenn das nur plaintext shells wären

Wenn du die Idee Interessant findest, weiter am Montag mit detailierter beschreibung face-smile

Wenn man dazu ein fertiges Produkt möchte, kann man zB RPort nehmen face-smile
Member: Lochkartenstanzer
Lochkartenstanzer Jun 25, 2022 at 15:09:14 (UTC)
Goto Top
Zitat von @aqui:

IPsec geht nicht, weil die Kunden die Firewall nicht dafür öffnen wollen laut TO.
OK, sorry. Gut, dann scheidet jegliche VPN Lösung aus.

OpenVPN über Port 443 sollte gehen, weil die Kunden https anscheinend erlauben.

lks
Member: Dani
Dani Jun 25, 2022 at 18:29:15 (UTC)
Goto Top
Moin,
Da immer mehr Kunden Zweifel an Teamviewer haben und die ausgehenden Ports für VPN nicht öffnen möchten, bin ich auf der Suche nach Alternativen.
wenn du an der Lösung festhalten möchtest, kannst du auch auf AnyDesk Enterprise wechseln. Wird vermutlich dann auch weitere Anwendungezwecke öffnen.


Gruß,
Dani