7
Server od. Proxy als Einstiegspunkt für Webschnittstellen im lokalen Netzwerk
Moin zusammen,
ich habe grad ein kleine Hürde, an der ich mich etwas dumm und dämlich spekuliere.
Folgende Situation:
Kunde hat zwei Steuerungen (Haussteuerung für Heizung und Lüftung), welche jeweils über eine Webschnittstelle abgelesen und konfiguriert werden können.
Diese möchte er nun "von überall" aus bedienen können.
Nun ist es so, das die Webserver der Steuerungen "geschlossen" sind, und sich hier nur seeeehr schlecht bis gar nicht härten lassen.
Ok - ist ja auch vom Hersteller so nicht vorgesehen gewesen.
Der Kunde möchte es so einfach und vor allem flexibel wie möglich.
Meine Variante 1: VPN + zwei Links für jede Regelung auf dem Desktop / leider nicht sehr flexibel, wenn er dies z.B. vom Urlaubsort machen möchte (hirnrissig - ich weiß.... aber Kundenwunsch)
Meine Variante 2: Gateway (z.B. kleinen Server / alten PC), darauf ein Webserver mit einer statischen Seite, welcher dann auf die jeweiligen 2 anderen Seiten intern verweist.
quasi
INTERNET ----- FRITZ.BOX (PortForward) ----- "GATEWAY" mit Weboberfläche ---- Regelung 1/2
Der Verkehr sollte so über das Gateway laufen, welche sich dann wesentlich einfacher absichern lässt.
Nun zu meine Frage: Gibts hier eine Möglichkeit, wo ich z.B. als Proxy oder Gateway was konfigurieren kann? Stehe irgendwie aufm Schlauch....
Bitte keine Vorschläge Richtung "Rechner hinstellen und Teamviewer installieren" - ich halte von sowas nichts.
ich habe grad ein kleine Hürde, an der ich mich etwas dumm und dämlich spekuliere.
Folgende Situation:
Kunde hat zwei Steuerungen (Haussteuerung für Heizung und Lüftung), welche jeweils über eine Webschnittstelle abgelesen und konfiguriert werden können.
Diese möchte er nun "von überall" aus bedienen können.
Nun ist es so, das die Webserver der Steuerungen "geschlossen" sind, und sich hier nur seeeehr schlecht bis gar nicht härten lassen.
Ok - ist ja auch vom Hersteller so nicht vorgesehen gewesen.
Der Kunde möchte es so einfach und vor allem flexibel wie möglich.
Meine Variante 1: VPN + zwei Links für jede Regelung auf dem Desktop / leider nicht sehr flexibel, wenn er dies z.B. vom Urlaubsort machen möchte (hirnrissig - ich weiß.... aber Kundenwunsch)
Meine Variante 2: Gateway (z.B. kleinen Server / alten PC), darauf ein Webserver mit einer statischen Seite, welcher dann auf die jeweiligen 2 anderen Seiten intern verweist.
quasi
INTERNET ----- FRITZ.BOX (PortForward) ----- "GATEWAY" mit Weboberfläche ---- Regelung 1/2
Der Verkehr sollte so über das Gateway laufen, welche sich dann wesentlich einfacher absichern lässt.
Nun zu meine Frage: Gibts hier eine Möglichkeit, wo ich z.B. als Proxy oder Gateway was konfigurieren kann? Stehe irgendwie aufm Schlauch....
Bitte keine Vorschläge Richtung "Rechner hinstellen und Teamviewer installieren" - ich halte von sowas nichts.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 394769
Url: https://administrator.de/contentid/394769
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
7 Kommentare
Neuester Kommentar
Moin ...
Variante 2 ist nen bisserl drüber oder ??? Fällt aus wegen erreichen der Klimaziele würde ich sagen ...
Variante 1 iss doch Top, welche bedenken hast du im Sinne von flexibilität?
VG
Variante 2 ist nen bisserl drüber oder ??? Fällt aus wegen erreichen der Klimaziele würde ich sagen ...
Variante 1 iss doch Top, welche bedenken hast du im Sinne von flexibilität?
VG
Hallo,
was ist an Deiner Variante 1 nicht sehr fexibel? Und warum sollte das am Urlaubsort nicht funktionieren? (China mal ausgenommen )
Variante 2 bringt keine höhere Sicherheit als direktes Portforwarding auf beide Steuerungen. Dazu müßtest Du den Webserver in eine DMZ stellen und dann über die Firewall den Datenverkehr zu den im LAN liegenden Steuerungen kontrollieren. Sinnvollerweise packst Du das ganze "SmartHome" noch in ein eigenes VLAN, getrennt vom eigentlichen (V)LAN.
Das gibt es aber nicht mit einer FritzBox. .-(
Jürgen
PS. Warum verbindest Du nicht Deine Variante 1 (VPN) mit Variante 2 (Webserver als zentrale Anlaufstelle)? Und statt eines stromfressenden, alten PCs setze doch einen RaspberryPi ein. Der kann dann auch gleich als Bedienterminal im Haus dienen.
was ist an Deiner Variante 1 nicht sehr fexibel? Und warum sollte das am Urlaubsort nicht funktionieren? (China mal ausgenommen
)Variante 2 bringt keine höhere Sicherheit als direktes Portforwarding auf beide Steuerungen. Dazu müßtest Du den Webserver in eine DMZ stellen und dann über die Firewall den Datenverkehr zu den im LAN liegenden Steuerungen kontrollieren. Sinnvollerweise packst Du das ganze "SmartHome" noch in ein eigenes VLAN, getrennt vom eigentlichen (V)LAN.
Das gibt es aber nicht mit einer FritzBox. .-(
Jürgen
PS. Warum verbindest Du nicht Deine Variante 1 (VPN) mit Variante 2 (Webserver als zentrale Anlaufstelle)? Und statt eines stromfressenden, alten PCs setze doch einen RaspberryPi ein. Der kann dann auch gleich als Bedienterminal im Haus dienen.
Moin,
Ich hab hier noch eine Kleinigkeit unterschlagen:
Endkunde: eine Kommune, bei welcher sich die Personalsituation regelmäßig ändert.
Mein Kunde: Planungsbüro, welcher das mit seinem Branding betreiben möchte
Ich (IT-Dienstleister): Darfs, mal wieder, ausbaden
Variante 1 ist deswegen weniger flexibel, da auf jedem PC, welcher für die Überprüfung benutzt werden soll, der VPN konfiguriert werden müsste.
Des Weiteren.. und das ist IMHO die Krux an der ganzen Sache, schon seit ein paar Jahren... sobald der Endbenutzer mehr als 2-4 Mausklicks tätigen muss, wirds für ihn schon kompliziert - nicht für alle, jedoch für mittlerweile sehr viele. Viele sind eben keine User mehr, sondern.. wie sag ichs - nur noch Konsumenten?
Natürlich ist der Anspruch nun auch da, das ganze via iPhone / iPad und wasweißichnochalles zu verwenden... und kosten solls natürlich auch nichts :D
Bei Variante 2 sprechen wir ja auch nicht von einem PC mit 400 Watt Verbrauch, ich hätt halt einen Raspi o.ä. hingestellt. Da reden wir von 10 € Stromverbrauch im Jahr. Hier könnte man schön mittels SSL das ganze verschlüsselt bekommen, der Enduser müsste sich nur eine URL merken.
Des weiteren wäre es mögich, die statische Website im Branding des Kunden zu gestalten, auf welches er auch wert legen würde.
Bitte keine Diskussionen über "ja wenn er es nicht zahlen will" usw.... Mein Kunde (Planungsbüro) hat dies in Gespräch mit seinem Kunden (einer Kommune) abgesprochen / es kam zum Missverständnis und deswegen muss ich nun kostengünstig (da kein Budget) und möglichst einfach hier helfen
Ich hab hier noch eine Kleinigkeit unterschlagen:
Endkunde: eine Kommune, bei welcher sich die Personalsituation regelmäßig ändert.
Mein Kunde: Planungsbüro, welcher das mit seinem Branding betreiben möchte
Ich (IT-Dienstleister): Darfs, mal wieder, ausbaden
Variante 1 ist deswegen weniger flexibel, da auf jedem PC, welcher für die Überprüfung benutzt werden soll, der VPN konfiguriert werden müsste.
Des Weiteren.. und das ist IMHO die Krux an der ganzen Sache, schon seit ein paar Jahren... sobald der Endbenutzer mehr als 2-4 Mausklicks tätigen muss, wirds für ihn schon kompliziert - nicht für alle, jedoch für mittlerweile sehr viele. Viele sind eben keine User mehr, sondern.. wie sag ichs - nur noch Konsumenten?
Natürlich ist der Anspruch nun auch da, das ganze via iPhone / iPad und wasweißichnochalles zu verwenden... und kosten solls natürlich auch nichts :D
Bei Variante 2 sprechen wir ja auch nicht von einem PC mit 400 Watt Verbrauch, ich hätt halt einen Raspi o.ä. hingestellt. Da reden wir von 10 € Stromverbrauch im Jahr. Hier könnte man schön mittels SSL das ganze verschlüsselt bekommen, der Enduser müsste sich nur eine URL merken.
Des weiteren wäre es mögich, die statische Website im Branding des Kunden zu gestalten, auf welches er auch wert legen würde.
Bitte keine Diskussionen über "ja wenn er es nicht zahlen will" usw.... Mein Kunde (Planungsbüro) hat dies in Gespräch mit seinem Kunden (einer Kommune) abgesprochen / es kam zum Missverständnis und deswegen muss ich nun kostengünstig (da kein Budget) und möglichst einfach hier helfen
Najo, grade wenn der Endkunde eine Kommune ist, sollte doch Sicherheit an erster Stelle stehen!
Also VPN sehe ich zwingend .. ob dann mit oder ohne Rapsi ist die Frage .... und ich kann mit nicht vorstellen das besonders viele auf Heizungs und Lüftersteuerung zugreifen sollen ... also eher ein überschaubarer Personenkreis ...
Variante 3: PC zum einstellen in die Pförtnerloge oder Hausmeisterei und dann ruft man dort an und fragt nach oder lässt ändern ...
und wenn sich jemand besonders verantwortlich fühlt das am Urlaubsort zu tun ... dann eben VPN ...
irgendwie nicht schlüssig für mich!
Meine Variante 2: Gateway (z.B. kleinen Server / alten PC), darauf ein Webserver mit einer statischen Seite, welcher dann auf die jeweiligen 2 anderen Seiten intern verweist.
INTERNET ----- FRITZ.BOX (PortForward) ----- "GATEWAY" mit Weboberfläche ---- Regelung 1/2
Der Verkehr sollte so über das Gateway laufen, welche sich dann wesentlich einfacher absichern lässt.
INTERNET ----- FRITZ.BOX (PortForward) ----- "GATEWAY" mit Weboberfläche ---- Regelung 1/2
Der Verkehr sollte so über das Gateway laufen, welche sich dann wesentlich einfacher absichern lässt.
Du übersieht bei Variante 2 m.E. was:
Du hast auf diesem PC einen Webserver auf den du von außen drauf kommst. Soweit so richtig.
Dieser Webserver liefert eine Seite aus mit Links zu bspw. http://192.168.0.1/irgendwas und http://192.168.0.2/wasanderes Sobald jetzt aber derjenige der von extern auf deinen "Gateway"-Webserver kommt diese Links aufruft versucht sein Browser eine Verbindung zu http://192.168.0.1/irgendwas aufzubauen. Das wird dann ohne VPN nicht funktionieren. Und wenn du eh VPN machst brauchst du dein "Gateway" nicht.
Um das so zu machen wie du es vor hast müsste der "Gateway"-Webserver selbst die internen Webserver der Steuerungen aufrufen und als eigenen Inhalt ausliefern. Bei statischen Seiten kein Problem. Spätestens mit der Nutzeranmeldung wird es aber problematisch.
Alternative wäre ein Reverse-Proxy der die Verbindung aus dem öffentlichen Netz herstellt. VPN ist aber deutlich sicherer.
Ich weiß - glaub mir, manche Themen / Wünsche erschließen sich für mich auch nicht
Was oftmals tagtäglich hier an Wünschen und Themen ankommt... da kräuselt es dir die Haare.
Da kannst du sooo oft predigen, das Sicherheit wichtig ist und eben solche einfach den Komfort einschränkt...
Allen beteiligten ein Danke für die Diskussion ich schließ den Thread.
Was oftmals tagtäglich hier an Wünschen und Themen ankommt... da kräuselt es dir die Haare.
Da kannst du sooo oft predigen, das Sicherheit wichtig ist und eben solche einfach den Komfort einschränkt...
Allen beteiligten ein Danke für die Diskussion
ich schließ den Thread.
Das was du suchst ist ein Reverse-Proxy, z.B.: Nginx, Let's Encrypt SSL Zertifikat und HTTP Auth auf einem RPi.
TCP 443 Port Forward auf den Raspi, der macht dann den rest
https://komune1.ddnss.de/login und von dort aus kann man dann z.B.: auf
https://komune1.ddnss.de/heizung (reverse auf http://192.168.0.10/)
https://komune1.ddnss.de/lueftung (reverse auf http://192.168.0.20/)
zugreifen, das ganze kannst du dann beliebig erweitern.
Gruß Spec.
TCP 443 Port Forward auf den Raspi, der macht dann den rest
https://komune1.ddnss.de/login und von dort aus kann man dann z.B.: auf
https://komune1.ddnss.de/heizung (reverse auf http://192.168.0.10/)
https://komune1.ddnss.de/lueftung (reverse auf http://192.168.0.20/)
zugreifen, das ganze kannst du dann beliebig erweitern.
Gruß Spec.
