Secure Proxy
Funktionsbeschreibung
Der HOOC Secure Proxy Dienst (SEPORX) ermöglicht einen einfachen und sicheren Fernzugriff auf Endgeräte und Webseiten in entfernten Netzwerken. Der Zugriff erfolgt mittels beliebigem Web-Browser und unterstützt folgende Protokolle: HTTP, HTTPS, SSH, VNC und TCP.
Bei den Protokollen HTTP, HTTPS, SSH und VNC wird für jedes Endgerät ein einzigartiger Link erstellt, mit welchem der Anwender von extern mittels Webbrowser (also ohne zusätzliche App) auf das entsprechende Endgerät der Anlage weitergeleitet wird.
Bei der Verwendung des Protokolls TCP erfolgt der Zugriff explizit mittels Permalink.
Konfiguration
Der Dienst kann bei der Anlage unter Dienste -> Secure Proxy konfiguriert werden.
Mittels Klick auf das Symbol kann die Service-IP-Adresse eingestellt werden. Weiter kann mittels Klick auf das Symbol prüfen, ob die verwendete Service-IP-Adresse nicht schon belegt ist.
Service-IP-Adresse
Zur Nutzung von Secure Proxy muss der Dienst einmalig eingerichtet werden. Dazu wird eine Service-IP-Adresse benötigt. Folgendes muss dabei beachtet werden:
- Die Service-IP-Adresse darf sich nicht im Subnetz 10.42.0.0/16 befinden.
- Es muss sichergestellt werden, dass die IP-Adresse im entfernten Netz frei ist und auch in Zukunft nicht genutzt wird.
Zur Überprüfung kann ein Ping-Test auf eine IP-Adresse mittels Klick auf das Symbol ausgeführt werden.
DNS-Einträge erstellen
Durch einen Klick auf das Symbol kann ein neuer DNS-Eintrag hinzugefügt werden. Der DNS Eintrag ist ein Teil der dediziert zusammengestellten Secure-Proxy-URL dieses Eintrages. Diesem Eintrag werden Endgeräte und Permalinks zugewiesen. Für den Parameter DNS Präfix können keine Grossbuchstaben und Sonderzeichen verwendet werden.
| Eigenschaft | Beschreibung |
|---|---|
| DNS Präfix | DNS-Präfix |
| Beschreibung | Interne Bezeichnung des Eintrages |
Protokollspezifische Parameter
Protokolltyp TCP
| Eigenschaft | Beschreibung |
|---|---|
| IP-Adresse / Hostname Endgerät | IP-Adresse oder Hostname (*.local) des TCP-Endgeräts wie sie im entfernten Netzwerk (Anlage) zugeteilt wird oder ist |
| Port Endgerät | 1883 für MQTT |
| TLS | Verbindung zu Endgerät ist verschlüsselt |
| UDP | Verbindungsart zu Endgerät mittels UDP |
Aktionen
Nachdem ein Mapping erfolgreich angelegt wurde, kann der DNS-Eintrag mittels Klick auf das Symbol editiert werden. Zudem werden die Anzahl zugewiesenen Endgeräte und Permalinks in der Übersichtstabelle dargestellt.
Endgeräte hinzufügen
Durch einen Klick auf das Symbol kann einem eingerichteten DNS-Eintrag ein neues Endgerät zugewiesen/eingerichtet werden. Die protokollspezifischen Einstellungen können folgenden Unterkapiteln entnommen werden:
| Eigenschaft | Beschreibung |
|---|---|
| DNS Eintrag | Auswahl Zuweisung zu DNS-Eintrag. (Dieser Eintrag kann nach dem Erstellen nicht mehr editiert werden) |
| Pfad externe URL | Pfad der bereitgestellten Secure-Proxy-URL, welcher auf dieses Endgerät weitergeleitet wird |
| Beschreibung | Interne Bezeichnung des Links. Dieser Name wird auch in der HOOC-App angezeigt |
| IP-Adresse / Hostname Endgerät | IP-Adresse oder Hostname (*.local) des Endgeräts wie sie im entfernten Netzwerk zugeteilt wird oder ist |
| Port Endgerät | 80 für Standard Webseiten, 443 für verschlüsselte Webseiten, 5900 für VNC, 22 für SSH |
| Protokoll Endgerät | Auswahl des Kommunikationsprotokolls |
Protokollspezifische Parameter
HTTP/HTTPS
| Eigenschaft | Beschreibung |
|---|---|
| Basispfad zu Webapplikation | Falls sich die Default-Webseite in einem bestimmten Pfad befindet, kann dieser hier definiert werden. |
| Basispfad Weiterleitung | Falls Option aktiv ist, wird nur der Secure Proxy Link zum Basispfad weitergeleitet. Ansonsten werden alle Pfade zum Basispfad weitergeleitet. |
| Default Page | Optional Name der Startseite (Falls kein index.html vorhanden ist). |
| Gleichzeitige Verbindungen | Einige Web-Server unterstützen nur eine eingeschränkte Anzahl gleichzeitiger Verbindungen bzw. Anfragen. |
VNC
| Eigenschaft | Beschreibung |
|---|---|
| Verbindungseinstellungen | Option für den automatischen Verbindungsaufbau zum VNC Server |
| Benutzername | VNC Benutzername (optional) Wird bei plain Authentifizierungs-Methoden* berücksichtigt. |
| Passwort | VNC Passwort (optional) Wird bei plain und vnc auth Authentifizierungs-Methoden* berücksichtigt. |
| Grössenanpassung | Auswahl Skalierung |
| Cursor | Option, ob ein Punkt als Cursor dargestellt wird, falls kein Cursor vorhanden ist |
*Unterstützte Authentifizierungs-Methoden: none, vnc auth, plain, x509 none, x509 vnc auth, x509 plain, RBF 3.3 none, RBF 3.3 vnc auth
Aktionen
Nachdem ein Mapping erfolgreich angelegt wurde, kann auf das Endgerät mittels Klick auf zugegriffen werden.
| Aktion | Beschreibung |
|---|---|
| URL des Mappings wird in einem neuen Tab geöffnet. | |
| URL des Mappings ansehen, um diesen beispielsweise in den Bookmarks abzulegen | |
| Mapping zu Endgerät editieren | |
| Ping auf Endgerät ausführen | |
| Mapping zu Endgerät entfernen |
Permalinks hinzufügen
Über einen erstellten Permalink ist der Zugriff auf einen erstellen DNS-Eintrag und somit auf mehrere Endgeräte ohne weitere Authentifizierung möglich. Durch einen Klick auf das Symbol kann ein neuer Permalink erstellt werden.
| Eigenschaft | Beschreibung |
|---|---|
| Information | Interne Bezeichnung des Permalinks, z.B. Name des Benutzers/Kunden welcher diesen Permalink verwendet. |
| DNS Eintrag | Auswahl Zuweisung zu DNS-Eintrag. |
| Startdatum | Ab diesem Datum kann der Permalink verwendet werden kann. |
| Ablaufdatum | Bis zu diesem Datum kann der Permalink verwendet werden. |
Nach erfolgreichem Erstellen des Permalinks startet ein Dialog mit der Permalink-URL. Die URL sollte nun kopiert werden, da nach dem Schliessen des Dialogs die Permalink-URL nicht mehr angezeigt wird. Falls dem DNS-Eintrag mehrere Endgeräte zugewiesen worden sind, können diese mit den entsprechender Erweiterung um den Wert vom Pfad externe URL aufgerufen werden.
Aktionen
Ein Permalink kann mittels Klick auf das Symbol entfernt werden. Falls der Permalink temporär deaktiviert werden soll, kann dies mittels Klick auf das Symbol gemacht werden.
Branding
Beim Öffnen des SEPROX Links wird der Benutzer zur HOOC Login-Seite weitergeleitet, um sich zu authentifizieren. Standardmässig wird diese Webseite im HOOC Look and Feel dargestellt. Mittels Klick auf das Symbol ist es möglich seine eigenen Farben und Logos für diese Webseite zu definieren.
Verwendung in der HOOC-App
In der HOOC-App sind die erfassten Endgeräte aufgelistet.