19
Lösung für vorübergehend VPN Tunnel bei Kunden gesucht
Hallo liebe Community,
Ich bin auf der Suche nach einer „einfachen“ Lösung um bei Kunden zu Diagnose zwecke ( u.a. Wechselrichter) ein vorübergehend ein VPN Tunnel ins vorhanden Netzwerk zu integrieren. Ganz nach dem Motto Plug und Pray
Wichtig ist das der Zugriff auf die betreffende Geräte begrenzt werden kann
Mein Gedankengang war ein Mini Router / Gateway
Zb Teltonika, ig.inet oder ähnlich
Ins vorhanden Netzwerk hängen und darüber ein VPN Tunnel aufbauen ggf Wireguard ?!?
Vielleicht habt ihr ja auch ne besser Idee für mich….
Sonnige Grüße
Nick
Ich bin auf der Suche nach einer „einfachen“ Lösung um bei Kunden zu Diagnose zwecke ( u.a. Wechselrichter) ein vorübergehend ein VPN Tunnel ins vorhanden Netzwerk zu integrieren. Ganz nach dem Motto Plug und Pray
Wichtig ist das der Zugriff auf die betreffende Geräte begrenzt werden kann
Mein Gedankengang war ein Mini Router / Gateway
Zb Teltonika, ig.inet oder ähnlich
Ins vorhanden Netzwerk hängen und darüber ein VPN Tunnel aufbauen ggf Wireguard ?!?
Vielleicht habt ihr ja auch ne besser Idee für mich….
Sonnige Grüße
Nick
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6644415788
Url: https://administrator.de/forum/loesung-fuer-voruebergehend-vpn-tunnel-bei-kunden-gesucht-6644415788.html
Ausgedruckt am: 18.04.2025 um 23:04 Uhr
19 Kommentare
Neuester Kommentar
Moin,
Also wenn du auf Produktionssysteme zugreifen willst, bei denen der Kunde zunächst aktiv werden muss:
Schaue dir mal ewon an.
Ansonsten einfach man RaspberryPi verschicken …
Also wenn du auf Produktionssysteme zugreifen willst, bei denen der Kunde zunächst aktiv werden muss:
Schaue dir mal ewon an.
Ansonsten einfach man RaspberryPi verschicken …
Hi,
grundsätzlich hängt dein Gerät (egal ob nun Router, Firewall, VPN-Server oder whatever) im Kundennetz - das sollte sowohl dir, als auch dem Kunden bewusst sein.
Du kommst mit einer externen VPN-Verbindung ins bestehende Netzwerk.
Folgender - beispielhafter - Aufbau des Netzwerkes:
- 192.168.1.1: Vorhandener Kunden-Router
- 192.168.1.10: Dein neuer VPN-Router
- 192.168.1.20: Der Wechselrichter
- 192.168.1.30: Ein beliebiger Client
Dein externes VPN Netz: 192.168.2.0/24
Der Router (Firewall, VPN-Server, ...) hat nun eine andere IP-Adresse, als der bereits vorhandene Router.
Du musst nun durch entsprechende Routen (z.B. im Kundenrouter) dafür sorgen, das dein externe VPN-Netzwerk auch erreichbar ist - und zwar über deinen VPN-Router.
Alternativ kannst du deinen Router auch als temp. Default-Gateway im Netz integrieren und sämtlichen Traffic verarbeiten und routen.
Was ich damit sagen will: Es ist nicht einfach damit getan, den Router ins Netz zu hängen - es müssen an weiteren Stellen weitere Anpassungen vorgenommen werden.
Wenn all das kein Problem sein sollte, gibt es zahlreiche Geräte, die dazu in der Lage sind:
- (die ggf. bereits vorhandene) Fritzbox - jedoch ohne Einschränkung beim Zugriff
- LANCOM-Router
- Fortinet Firewall
- Bintec Router
- Sophos Firewall
- ...
Und auch diese Geräte (FB ausgenommen) können entsprechend konfiguriert werden, sodass nur Zugriff auf gewünschte Ressourcen möglich ist.
VG,
FLorian
grundsätzlich hängt dein Gerät (egal ob nun Router, Firewall, VPN-Server oder whatever) im Kundennetz - das sollte sowohl dir, als auch dem Kunden bewusst sein.
Ins vorhanden Netzwerk hängen und darüber ein VPN Tunnel aufbauen ggf Wireguard ?!?
Spätestens hier muss man aufpassen.Du kommst mit einer externen VPN-Verbindung ins bestehende Netzwerk.
Folgender - beispielhafter - Aufbau des Netzwerkes:
- 192.168.1.1: Vorhandener Kunden-Router
- 192.168.1.10: Dein neuer VPN-Router
- 192.168.1.20: Der Wechselrichter
- 192.168.1.30: Ein beliebiger Client
Dein externes VPN Netz: 192.168.2.0/24
Der Router (Firewall, VPN-Server, ...) hat nun eine andere IP-Adresse, als der bereits vorhandene Router.
Du musst nun durch entsprechende Routen (z.B. im Kundenrouter) dafür sorgen, das dein externe VPN-Netzwerk auch erreichbar ist - und zwar über deinen VPN-Router.
Alternativ kannst du deinen Router auch als temp. Default-Gateway im Netz integrieren und sämtlichen Traffic verarbeiten und routen.
Was ich damit sagen will: Es ist nicht einfach damit getan, den Router ins Netz zu hängen - es müssen an weiteren Stellen weitere Anpassungen vorgenommen werden.
Wenn all das kein Problem sein sollte, gibt es zahlreiche Geräte, die dazu in der Lage sind:
- (die ggf. bereits vorhandene) Fritzbox - jedoch ohne Einschränkung beim Zugriff
- LANCOM-Router
- Fortinet Firewall
- Bintec Router
- Sophos Firewall
- ...
Und auch diese Geräte (FB ausgenommen) können entsprechend konfiguriert werden, sodass nur Zugriff auf gewünschte Ressourcen möglich ist.
VG,
FLorian
Zitat von @110135:
Der Router (Firewall, VPN-Server, ...) hat nun eine andere IP-Adresse, als der bereits vorhandene Router.
Du musst nun durch entsprechende Routen (z.B. im Kundenrouter) dafür sorgen, das dein externe VPN-Netzwerk auch erreichbar ist - und zwar über deinen VPN-Router.
Alternativ kannst du deinen Router auch als temp. Default-Gateway im Netz integrieren und sämtlichen Traffic verarbeiten und routen.
Der Router (Firewall, VPN-Server, ...) hat nun eine andere IP-Adresse, als der bereits vorhandene Router.
Du musst nun durch entsprechende Routen (z.B. im Kundenrouter) dafür sorgen, das dein externe VPN-Netzwerk auch erreichbar ist - und zwar über deinen VPN-Router.
Alternativ kannst du deinen Router auch als temp. Default-Gateway im Netz integrieren und sämtlichen Traffic verarbeiten und routen.
Aber genau dafür gibt es NAT.
Historisch bedingt (weil es damals noch keine Möglichkeit gab SSDs an den Raspi zu hängen, und heutzutage weil gleich teuer oder billiger) setzte ich kleine Mini-PCs als (Open)VPN-Endpunkt ein.
Die Kunden wissen das, und die meisten sind okay damit.
Na klar hab ich so Zugriff auf das ganze Netz, aber seinem Dienstleister sollte man vertrauen?
Ansonten gibt es bei einem auch das ganze mit ner schaltbaren Steckdose, ein weiterer nutzt das für eigenes VPN.
Meine Infra-Domain habe ich bei einem Anbieter, der unbegrenzt DynDNS-Subdomains erlaubt.
Da ich zuhause echtes IPv4 und IPv6 habe, ist auch das kein Problem wenn die Leute nur über v6 erreichbar sind.
VG
bitnarrator
Aber genau dafür gibt es NAT.
Und genau da hast du Recht - da hat mir wohl der Kaffee am frühen Morgen gefehlt.
Absolut richtiger Einwand.
Na klar hab ich so Zugriff auf das ganze Netz, aber seinem Dienstleister sollte man vertrauen?
Wenn ich es richtig verstanden habe, geht es hierbei jedoch um Wechselrichter Diagnose und nicht um die eigentliche IT. Da gibt es ja durchaus berechtigte Gründe...
Wenn ich es richtig verstanden habe, geht es hierbei jedoch um Wechselrichter Diagnose und nicht um die eigentliche IT. Da gibt es ja durchaus berechtigte Gründe...
Hallo.
und wenn Du das mit der VPN-Verbindung vergisst aber dem Wechselrichter(WR) einen Reversproxy(RP) vorspannst mit vernünftigem Auth, diesen öffentlich machst und den RP vernünftig absicherst (Fail2ban, etc.)?
[Sofern Du den WR via HTTP supporten kannst/möchtest. Für SSH etc. wird das dann nicht funktionieren.]
Wenn Du von VPN sprichst, wird die Gegenstelle, also die Firma eine statische IP, zumindest aber DynDNS nutzen. Damit könntest Du dein Vorhaben auch umsetzen ohne im Netz des Kunden zu sein.
MfG.
Zitat von @110135:
Wenn ich es richtig verstanden habe, geht es hierbei jedoch um Wechselrichter Diagnose und nicht um die eigentliche IT. Da gibt es ja durchaus berechtigte Gründe...
Wenn ich es richtig verstanden habe, geht es hierbei jedoch um Wechselrichter Diagnose und nicht um die eigentliche IT. Da gibt es ja durchaus berechtigte Gründe...
Richtig. In einer heilen Welt steht der Wechselrichter in seinem eigenen Netz....
Eventuell könnte man sowas einsetzen:
https://www.wut.de/e-55www-10-inde-000.php
Aber Zugriff auf das WAN, in diesem Falle das LAN des Kunden, hätte man immer. Aber da gibt es glaube ich keine bessere Lösung. Man kann ja selber nicht für die IT-Security verantwortlich sein, nur das beste tun um einen Unerwünschten Zugriff zu verhindern (Auth, Zertifikate, VPN etc.).
Eventuell Verbindungen nur von einem öffentlichen V-Server erlauben, der als Jump-Host dient. Diesen dann Ordentlich absichern. Oder falls man in der Firma selber ne feste IP hat, nur diese den Zugriff erlauben.
Wenn kein Zugriff auf die Router beim Kunden besteht, ist sowie irgendwo ein "Einwahl-Server" erforderlich. Nur der MUSS dann ungebedingt geprüft abgesichert sein, damit dieser nicht gekapert wird.
Ich hatte sowas selber mal vor, habs aber doch sein gelassen, weil ich nicht wollte, dass alle meine Kundennetze an einem Server anliegen.
VG
bitnarrator
Beim Kunden wuerde ich nur etwas zertfiziertes nehmen wie MB Connect oder Insys Icom. Da bist Du auf der sicheren Seite. Die Geraete werden fuer die Wartung von solchen Maschinen verwendet.
Hallo Leute erstmal Dankeschön für eurer antworten und Anregungen
Was ich oben vergessen hab es geht leider nicht nur um Wechselrichter mit ner eigenen Web Oberfläche besitzen sonder das ich auch in machen fällen den modbus rs485 abgreifen muss Bzw ggf Relais Betätigen (das wäre aber erstmal Luxus)
Nur mal zur Verdeutlichung
Es gibt folgende Situationen:
1 private Kunden Anlage meisten fällen können wir uns mit dem Kunden einigen bis auf die „speziellen“ die wir wahrscheinlich alle kennen und ich mich jedes Mal fragen warum sie überhaupt den Support rufen…
2 Verpachtete Dächer ( privat und Industrie) wo die Anlagen Besitzer das Internet vom Gebäude Eigentümer mitbenutzt
Und je nach Konstellation nicht gerade kooperativ ist…
Fall Beispiel: Kunde hat bei nem Baustoffhandel Dachflächen gepachtet 100kw+ 8 Wechselrichter 15-20 Jahre alte Anlage
Der Eigentümer vom Baustoffhandel bzw. sein Kumpel ITler seines Zeichens verweigert uns Zugang ins WLAN aus Daten Schutz gründen ich darf mich aber jederzeit ins ungeschützte lan stöpseln ….( FB, keine Firewall, vlan oder gast Netzwerk) fragen ?!!
3 fremd überwachte Anlagen (meist Großanlagen ) wo wir als Subis tätig sind
Wenn die problem Anlagen in der unmittelbaren Nähe sind ist es in den meisten Fällen kein Problem Kurz hinzufahren um Einstellung zu tätigen oder Daten auszulesen. Aber leider sind die meisten Problem Kinder weiter weg.
Es ist ja auch m.E. Im Sinne des Kunden, Fahr / Service Zeiten zu minimieren da es ja schließlich kosten für den Kunden verursacht….
Mein Traum wäre ne eierlegende Wollmilchsau die ich meinen Kollegen in die Handrücken kann… anstecken glücklich sein
Aber mal wider zurück im die Realität
Bei manchen Kunden haben/hatten wir vorübergeht mal ein paar Tage mit Port Weiterleitungen gearbeitet ist aber keine Dauerlösung und ist Hardware abhängig
Mein Gedanke wäre je nachdem ein Teltonika Rut 241/951 und die Hardware dann ggf. vorübergeht direkt an den Rut anschließen ?
Was meint ihr ?
Sonnige Grüße
Nick
Was ich oben vergessen hab es geht leider nicht nur um Wechselrichter mit ner eigenen Web Oberfläche besitzen sonder das ich auch in machen fällen den modbus rs485 abgreifen muss Bzw ggf Relais Betätigen (das wäre aber erstmal Luxus)
Nur mal zur Verdeutlichung
Es gibt folgende Situationen:
1 private Kunden Anlage meisten fällen können wir uns mit dem Kunden einigen bis auf die „speziellen“ die wir wahrscheinlich alle kennen und ich mich jedes Mal fragen warum sie überhaupt den Support rufen…
2 Verpachtete Dächer ( privat und Industrie) wo die Anlagen Besitzer das Internet vom Gebäude Eigentümer mitbenutzt
Und je nach Konstellation nicht gerade kooperativ ist…
Fall Beispiel: Kunde hat bei nem Baustoffhandel Dachflächen gepachtet 100kw+ 8 Wechselrichter 15-20 Jahre alte Anlage
Der Eigentümer vom Baustoffhandel bzw. sein Kumpel ITler seines Zeichens verweigert uns Zugang ins WLAN aus Daten Schutz gründen ich darf mich aber jederzeit ins ungeschützte lan stöpseln ….( FB, keine Firewall, vlan oder gast Netzwerk) fragen ?!!
3 fremd überwachte Anlagen (meist Großanlagen ) wo wir als Subis tätig sind
Wenn die problem Anlagen in der unmittelbaren Nähe sind ist es in den meisten Fällen kein Problem Kurz hinzufahren um Einstellung zu tätigen oder Daten auszulesen. Aber leider sind die meisten Problem Kinder weiter weg.
Es ist ja auch m.E. Im Sinne des Kunden, Fahr / Service Zeiten zu minimieren da es ja schließlich kosten für den Kunden verursacht….
Mein Traum wäre ne eierlegende Wollmilchsau die ich meinen Kollegen in die Handrücken kann… anstecken glücklich sein
Aber mal wider zurück im die Realität
Bei manchen Kunden haben/hatten wir vorübergeht mal ein paar Tage mit Port Weiterleitungen gearbeitet ist aber keine Dauerlösung und ist Hardware abhängig
Mein Gedanke wäre je nachdem ein Teltonika Rut 241/951 und die Hardware dann ggf. vorübergeht direkt an den Rut anschließen ?
Was meint ihr ?
Sonnige Grüße
Nick
Zitat von @Starmanager:
Beim Kunden wuerde ich nur etwas zertfiziertes nehmen wie MB Connect oder Insys Icom. Da bist Du auf der sicheren Seite. Die Geraete werden fuer die Wartung von solchen Maschinen verwendet.
Beim Kunden wuerde ich nur etwas zertfiziertes nehmen wie MB Connect oder Insys Icom. Da bist Du auf der sicheren Seite. Die Geraete werden fuer die Wartung von solchen Maschinen verwendet.
Danke für die Anregung
Vom Sinne hast du recht.. Es ist aber auch alles m.e. Eine kosten nutzen frage bei groß Anlagen bzw bei Anlagen die damit dauerhaft überwacht werden, magst du ja recht haben…. Aber bei kleineren Problem Geschichten? ist das nicht mit Kanonen auf Spatzen geschossen ?
Nichtsdestotrotz habe ich denen mal ne Anfrage geschickt… Mal sehn wo die Reise hingeht
Bin aber weiterhin für weiter Vorschläge und Ideen dankbar
Vielleicht Seh ich den Wald vor lauter baumen ja einfach nicht
Sonnige Grüße
Nick
Wie wäre es denn mit einem einfachen LTE-Router?
Damit wärst du komplett unabhängig.
Es werden ja keine Unmengen an Daten übertragen - ggf. lässt sich ja ein etwas größerer Tarif mit entsprechenden Datenkarten dafür verwenden?
Allerdings müssten die dann den VPN zu einem zentralen Punkt aufbauen (z.B. zum Standort deines Unternehmens oder einem RZ) und du hast dann von dort aus Zugriff auf die Geräte.
Vorteil hierbei wäre auch, dass die komplett mobil bist damit. Sollte eine Anlage nicht mehr "überwacht" werden sollen, kannst du das gleiche Setup für die andere nutzen.
Damit wärst du komplett unabhängig.
Es werden ja keine Unmengen an Daten übertragen - ggf. lässt sich ja ein etwas größerer Tarif mit entsprechenden Datenkarten dafür verwenden?
Allerdings müssten die dann den VPN zu einem zentralen Punkt aufbauen (z.B. zum Standort deines Unternehmens oder einem RZ) und du hast dann von dort aus Zugriff auf die Geräte.
Vorteil hierbei wäre auch, dass die komplett mobil bist damit. Sollte eine Anlage nicht mehr "überwacht" werden sollen, kannst du das gleiche Setup für die andere nutzen.
Sonnige Grüße
ebenso - so kommt endlich mal wieder etwas Ertrag vom Dach 
Mein Gedankengang war ein Mini Router / Gateway
Der Gedankengang ist richtig!Ein 25 Euro Mikrotik Router erledigt das mit allen onboard VPN Clients (L2TP) auf allen möglichen Endgeräten im Handumdrehen!
Mikrotik VPN Server
https://www.varia-store.com/de/produkt/97209-rb941-2nd-routerboard-hap-l ...
Einfacher und preiswerter gehts nicht!
Danke für euer Hilfe soweit und entschuldiget bitte meine ggf dusslige Fragen ab und an jeder mal ein Brett vorm Kopf
Lange Rede kurzer Sinn… was mache ich nu am besten ?
@110135
Lte Variante hatte ich mir auch schon überlegt ist aber auch wider ein kosten Punkt denn Mann vermeiden kann 😇 ich gehe „erstmal“mal von ca 10 Geräten aus
Dann ist da noch die Empfangs Frage da je nach dem die WR nicht gerade optimal stehen ( Keller. Garage Generator Raum ) . Werde es aber im Hinterkopf behalten. Die Grund konfig sollte ja ähnlich sein.
Wie würde es Konfigurationstechnisch ausschauen
(Zu verstand aus Zwecken meme ich jetzt einfach den Router / Gateway / wie auch immer „BOX“)
Box kommt ins Kunden Netz mit passender Nat
Wechselrichter wird vorübergehend direkt an die Box gehängt
Wenn ich das richtig sehe ist ja die BOX und somit der VPN Tunnel vom eigentlichen Kunden Netzwerk getrennt und somit wäre ja das Problem erstmal gelöst .. oder habe ich da einen Denkfehler?
Wo ich jetzt auf dem Schlauch stehe.. soll die Box als VPN Client oder als Server agieren
Sonnige Grüße
Nick
Lange Rede kurzer Sinn… was mache ich nu am besten ?
@110135
Lte Variante hatte ich mir auch schon überlegt ist aber auch wider ein kosten Punkt denn Mann vermeiden kann 😇 ich gehe „erstmal“mal von ca 10 Geräten aus
Dann ist da noch die Empfangs Frage da je nach dem die WR nicht gerade optimal stehen ( Keller. Garage Generator Raum ) . Werde es aber im Hinterkopf behalten. Die Grund konfig sollte ja ähnlich sein.
Wie würde es Konfigurationstechnisch ausschauen
(Zu verstand aus Zwecken meme ich jetzt einfach den Router / Gateway / wie auch immer „BOX“)
Box kommt ins Kunden Netz mit passender Nat
Wechselrichter wird vorübergehend direkt an die Box gehängt
Wenn ich das richtig sehe ist ja die BOX und somit der VPN Tunnel vom eigentlichen Kunden Netzwerk getrennt und somit wäre ja das Problem erstmal gelöst .. oder habe ich da einen Denkfehler?
Wo ich jetzt auf dem Schlauch stehe.. soll die Box als VPN Client oder als Server agieren
Sonnige Grüße
Nick
was mache ich nu am besten ?
- 25 Euro Router beschaffen
- Ins Kundennetz hängen als L2TP VPN Server
- Fertisch
Gutes Argument !! nehme ich .. Maximale Profite sind immer gut 😆ich glaube ganz so billig wird es aber leider nicht … da ist ja noch das kleine modbus rs485 rtu Problemchen
da ist ja noch das kleine modbus rs485 rtu Problemchen
Dann nimm nen RPiMit nem richtigen Paket kann der Modbus RTU sprechen
Ich weiß nur gerade nicht, ob der nur Master, nur Slave oder beides kann…
Und der RPi kann ja auch LAN/ WLAN und per Erweiterung auch LTE
Zitat von @em-pie:
Mit nem richtigen Paket kann der Modbus RTU sprechen
Ich weiß nur gerade nicht, ob der nur Master, nur Slave oder beides kann…
Und der RPi kann ja auch LAN/ WLAN und per Erweiterung auch LTE
da ist ja noch das kleine modbus rs485 rtu Problemchen
Dann nimm nen RPiMit nem richtigen Paket kann der Modbus RTU sprechen
Ich weiß nur gerade nicht, ob der nur Master, nur Slave oder beides kann…
Und der RPi kann ja auch LAN/ WLAN und per Erweiterung auch LTE
Raspi ist natürlich auch noch 'ne Variante (bedenkt man die Hypothek, die man aufnehmen muss, bei den Preisen😉) hab auch privat einige zulaufen, aber für den produktiven Einsatz beim Kunden ?!?, meinst du wirklich? Ich nehme die ihn zumindest mal mit auf die Liste. Danke
ich merke schon, ich bin anscheinend ein schwieriger Kunde
aber für den produktiven Einsatz beim Kunden ?!?, meinst du wirklich?
Warum nicht?? Eine Industrial SD Karte kostet nur ein paar Cent mehr und arbeitet über Jahre problemlos. Das ist durchaus üblich und kann sogar ein 15 Euro Raspberry Pi Zero! Und wie man mit ein paar Konfig Zeilen in 15 Minuten einen universellen Plug and Play VPN Server aufsetzt der auch alle onboard VPN Clients jeglicher Endgeräte supportet ohne zusätzliche Frickelei erklärt dir dieses Foren Tutorial.
Wenns das denn nun war bitte deinen Thread hier dann auch als erledigt markieren!
