Fernzugriff auf den eNet1
Um aus der Ferne auf einen oder mehrere eNet1-Regler zugreifen zu können müssen folgende technischen Herausforderungen gelöst werden:
- Zugriffsfreigabe aus dem Internet
- Unveränderliche Kennung/Name/Adresse zum Zugriff aus dem Internet
- Verschlüsselte, sichere Verbindung zur Kommunikation zum Schutz vor Missbrauch des Fernzugriffs
Die folgenden Abschnitte zeigen Lösungen auf Basis unterschiedlicher Technologien sowie deren Vor- und Nachteile auf.
DynDNS + VPN
Verschlüsselte, sichere Verbindung
Eine sehr sichere Methode, die Verbindung zwischen dem Client (PC, Notebook, Tablet, Phone von dem aus auf den/die eNet1 zugegriffen werden) und dem Server zu verschlüsseln ist das Virtual Private Network (VPN). Dieses stellt einen verschlüsselten Tunnel durch die öffentlichen, gefährdeten Netzwerkteile bis zum VPN-Endpunkt (i.d.R ein Router DSL/3G/4G/5G) her. Vom VPN-Endpunkt bis zu den Servern (z.B. eNet1-Regler) erfolgt die Verbindung unverschlüsselt bzw. entsprechend der verwendeten Protokolle wie im gesamten lokalen Netzwerks des Servers (LAN). Der VPN-Tunnel ist für den Client transparent, d.h. er greift auf den Server mit den gleichen lokalen Adressen zu, als ob er vor Ort am LAN angeschlossen wäre.
In der Regel verfügt der Router, der im LAN des eNet1 als Gateway ins Internet dient über einen integrierten VPN-Server (typ. IPSec oder OpenVPN). Ansonsten muss ein solcher auf einem Server innerhalb des LANs installiert und im Router eine entsprechende Portweiterleitung konfiguriert werden.
Zugriffsfreigabe aus dem Internet
Ist der Router und Internetgateway gleichzeitig auch der VPN-Server, so wird dieser die entsprechenden Ports ("Kommunikations-Kanäle") zum Zugriff auf den VPN-Server aus dem Internet automatisch öffnen. Falls sich der VPN-Server hinter der Firewall des Routers im LAN befindet, müssen die entsprechenden Ports im Router durch Einrichtung einer Portweiterleitung geöffnet werden.
Unveränderliche Kennung
Der/die eNet1-Regler haben im lokalen Netzwerk (LAN) jeweils eine feste (manuell eingestellte IP-Adresse) oder eine quasi-statische Adresse (static DHCP). Eine freie Zuordnung durch DHCP sollte vermieden werden. Viele Router erlauben die feste Adressvorgabe über den integrierten DHCP-Server, d.h. für eine bestimmte MAC-Adresse wird immer die gleiche IP-Adresse vergeben. Ist dies nicht möglich, so kann dem eNet1 eine statische IP-Adresse innerhalb des Subnetzes (aber ausserhalb des Adresspools des DHCP-Servers) zugewiesen werden.
Für den erfolgreichen Fernzugriff muss vom Client zunächst eine VPN-Verbindung zum VPN-Server aufgebaut werden. Dazu muss der VPN-Server im Internet über eine eindeutige Kennung erreichbar sein. In Enterprise-Umgebungen sind ggf. statische öffentliche IP-Adressen und/oder feste Host- und Domain-Namen vorhanden, über die der VPN-Server erreichbar ist. Im Umfeld von privaten Liegenschaften und Anlagen werden vom Internet Service Provider i.d.R. per DHCP wechselnde öffentliche IP-Adressen vergeben. Da die IP-Adresse meist täglich neu zugewiesen werden sind diese nicht als unveränderliche Kennung für den VPN-Server geeignet.
Dies kann durch den dynamischen Domain Name Service (DynDNS) gelöst werden. Der Router (genauer der Internet Gateway) teilt dazu bei jeder IP-Adressänderung oder in regelmässigen Intervallen seine öffentliche IP-Adresse einem DynDNS-Server mit, der diese mit einem unveränderlichen Host- und Domänen-Namen (Fully Qualified Domain Name) assoziiert. Die Verbindungsaufnahme zum VPN-Server kann dann mit dem unveränderlichen Hostnamen erfolgen. Die Auflösung in die aktuelle IP-Adresse erfolgt automatisch über den DNS-Server des DynDNS-Anbieters.
Es gibt zahlreiche Anbieter von DynDNS-Diensten, welche für den Privatgebrauch kostenlos sind. Nach der Registrierung bei einem solchen Anbieter muss der Internetrouter mit den passenden Daten konfiguriert werden. Der Router-Hersteller liefert i.d.R. eine Beschreibung, wie dies eingestellt wird. Je nach DynDNS-Anbieter sind ggf. unterschiedliche Update-Mechanismen verfügbar.
Vorteile
| Nachteile
|
DynDNS + VNC/RDP
Verschlüsselte, sichere Verbindung
Eine Alternative zum VPN ist eine gesicherte Fernsteuerverbindung zu einem Rechner oder einer Bedieneinheit (z.B. eNet-CTMD) im lokalen Netzwerk des/der eNet1-Regler(s). Zur Fernsteuerung der Bedieneinheit sind Protokolle wie VNC oder RDP geeignet. Die Verschlüsselung wird bei VNC durch das Tunneln der Verbindung mit Hilfe von SSH sichergestellt. Bei RDP muss TLS/SSL verwendet werden. Die Konfiguration des Servers ist kritisch, um die Sicherheit der Lösung zu gewährleisten.
Zugriffsfreigabe aus dem Internet
Im Router, der als Internet-Gateway dient, muss eine entsprechende Portweiterleitung zum VNC-Server (oder RDP-Server) konfiguriert werden.
Unveränderliche Kennung
Hier kommt die gleiche Lösung per DynDNS zum Einsatz wie im Abschnitt "DynDNS + VPN" beschrieben.
Vorteile
| Nachteile
|
Cloud-Lösungen
Einige Drittanbieter wie TeamViewer, AnyDesk und Splashtop bieten Cloud-basierte Lösungen zum Fernzugriff an. Weitere Informationen zu den Diensten und Kosten erhalten Sie beim jeweiligen Anbieter.
Vorteile
| Nachteile
|