Hallo, unsere Anlagensteuerungen kommuninzieren typischerweise per Ethernet in einem lokalen Maschinennetz miteinander. Teilweise werden per WebService auf den Steuerungen Visualisierungen bereit gestellt, die mit einem beliebigen Broswer aus angezeigt werden können. Allerdings nur im Maschinennetz. Welche kostengrünstigen, aber auch sicherer Möglichkeiten hat man, um diese Webseiten über das Internet sichtbar zu machen? Nach welchen Stichworten müsste man googlen. Grüße Stefan
Stefanq schrieb: > Nach welchen Stichworten müsste man googlen. "VPN" "Reverse Proxy" + Zusätzliche Sicherungen
Terminalserver auf den vom Internet aus per VPN-Tunnel zugegriffen wird und auf dann der Browser gestartet wird der die Daten aus dem Maschinennetz anzeigt. Somit hast du keine direkte Verbindung mehr und du hast zusätzlich die Sicherung das auf diesem auch eine gültiges Login (zusätzlich zum Aufbau des VPN-Tunnels) gemacht werden muss und man den User dort auch noch entsprechend einschränken kann.
Hallo, danke. Ja VPN ist eine Lösung. Aber eventuell für den Bediener der Anlagen zu umständlich, wenn er mal kurz schauen möchte. Gibt es noch andere Ideen? Könnte man zum Beispiel nen Raspi mit 2x Eth Port nehmen? 1 Port Maschinen-Netz 1 Port Internet Irgendeine Kopplung?
Stefanq schrieb: > Hallo, > > danke. > > Ja VPN ist eine Lösung. Aber eventuell für den Bediener der Anlagen zu > umständlich, wenn er mal kurz schauen möchte. > > Gibt es noch andere Ideen? > > Könnte man zum Beispiel nen Raspi mit 2x Eth Port nehmen? > > 1 Port Maschinen-Netz > 1 Port Internet > > Irgendeine Kopplung? Natürlich "könnte" man. Doch alleine der Gedanke an den RPi ist gelinde gesagt... absurd. Nimm einen in der Praxis erprobten Router. Da kostet die HW zwar ein paar Euro mehr aber die HW spielt kostenmäßig eh keine Rolle, da die SW die dieses Routing macht das teure sein wird.
Würde man es mit einem Router hinbekommen, dass man übers internet nur eine bestimmte Webseite des Controllers aufrufen kann?
Stefanq schrieb: > Ja VPN ist eine Lösung. Aber eventuell für den Bediener der Anlagen zu > umständlich, wenn er mal kurz schauen möchte. Wo siehst du da eine Umständlichkeit? Ich habe hier auf meinem Mac vier verschiedene VPNs von Kunden eingerichtet. Wenn ich mal "kurz" schauen will, klicke ich das VPN an und nach ein paar Sekunden steht die Verbindung. Dann wird per Remotedesktop/Browser/VNC/ssh rumadministriert und am Ende gibts wieder ein Disconnect. Weniger umständlich kann ich mir jetzt nicht vorstellen. Der Endpunkt im Maschinennetz kann schon ein Raspi sein, aber etwas mehr CPU und vor allem getrennte Netzwerkinterfaces wären nicht verkehrt. Dedizierte Router-HW muss nicht unbedingt sein. Auf einem (Mini)PC geht zB. auch das kostenlose PFSense sehr gut, hat alle nötigen Features per GUI zugreifbar und kann auch redundant betrieben werden. Allerdings sollte man schon noch jemanden drüberschauen lassen, der sich mit Netzwerken wirklich auskennt ;)
Stefanq schrieb: > Würde man es mit einem Router hinbekommen, dass man übers internet nur > eine bestimmte Webseite des Controllers aufrufen kann? Das entsprechende Stichwort wurde doch schon genannt: Reverse Proxy. Wieso hast Du es nicht nötig, Dir die präsentierten Lösungen überhaupt nicht anzuschauen? Geht es nur darum, von möglichst vielen möglichen Lösungen mit minimalem eigenen Aufwand zu erfahren, damit Du sie anschließend Deinem Chef als eigene Ideen präsentieren kannst? Oder fehlen einfach nur das Silbertablett und der rote Teppich, auf denen Dir die Lösungen präsentiert werden?
Stefanq schrieb: > Würde man es mit einem Router hinbekommen, dass man übers internet nur > eine bestimmte Webseite des Controllers aufrufen kann? Das Stichwort dazu ist 'Stuxnet'
Horst schrieb: > Stefanq schrieb: >> Würde man es mit einem Router hinbekommen, dass man übers internet nur >> eine bestimmte Webseite des Controllers aufrufen kann? > > Das Stichwort dazu ist 'Stuxnet' Den muss er aber ersteinmal runterladen damit er installiert werden kann... :)
Horst schrieb: > Würde man es mit einem Router hinbekommen, dass man übers internet nur > eine bestimmte Webseite des Controllers aufrufen kann? Ich habe das so gemacht, dass das VPN nur auf die IP eines SBC zugreifen kann, dort hat das VPN auch nur Leserechte und die Maschinensteuerung füttert den SBC mit den HTML-Daten und hat als einzige Schreibrechte. Geht mit jedem Linux easy.
Stefanq schrieb: > Würde man es mit einem Router hinbekommen, dass man übers internet > nur > eine bestimmte Webseite des Controllers aufrufen kann? Natürlich. Wenn man weiß wie. Ist ja nix neues, nennt sich Know How.
Stefanq schrieb: > Ja VPN ist eine Lösung. Aber eventuell für den Bediener der Anlagen zu > umständlich, wenn er mal kurz schauen möchte. So ist das eben - immer die gleiche Leier. Einfach und Bequem = unsicher. Türschlösser sind auch unbequem, aber sie sorgen dafür, dass deine Wohnung nicht jede Woche ausgeräumt wird. > Würde man es mit einem Router hinbekommen, dass man übers internet > nur eine bestimmte Webseite des Controllers aufrufen kann? Nein, das wäre der Job einer Firewall oder eine Proxy Servers, der eventuell sogar den Inhalt der Seite analysieren muss.
Warum hat noch keiner Teamviewer vorgeschlagen? Recht verbreitet auch im professionellen Einsatz, Einfach und auf einem PC mit 2 Netzwerkkarten auch nicht unsicherer als ein Cisco Router.
> Warum hat noch keiner Teamviewer vorgeschlagen?
Weil das primär etwas ganz anderes ist. Die VPN Funktion darin ist eher
ein Seiteneffekt.
Stefanus F. schrieb: > Weil das primär etwas ganz anderes ist. Offensichtlich aber genau das was der TO sucht. Es wurde auch nicht gefragt wie oft man VPN in einen Thread schreiben kann.
VNC (nicht VPN!) im View-Only-Modus. Sofern der aktuelle Maschinenzustand kein besonderes Geheimnis ist. Man kann völlig problem- und gefahrlos gucken, aber nichts ändern.
Frank E. schrieb: > Man kann völlig problem- und gefahrlos gucken, aber nichts ändern. Ja, gucken ist gefahrlos, sofern der Bildschirm nicht extrem hell ist :-)
Na ja, wann ich solche Artikel lese, wunde ich mich, wie wenig Unfug die Sriptkiddies da treiben. https://www.golem.de/news/honeynet-des-tuev-sued-simuliertes-wasserwerk-wurde-sofort-angegriffen-1507-115470.html Da kann man doch die Unbequemlichkeiten eines VPN in Kauf nehmen. Oder wenn du meinst, da passiert sowieso nichts - einfach einen normalen Internetzugang für Firmen mit DNS und fester IP nehmen. So Bastellösungen mit DynDNS und Raspi wirfst du nach einem halben Jahr permanenten Ärgers sowieso wieder raus.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.