Secure Proxy

Funktionsbeschreibung

Der HOOC Secure Proxy Dienst (SEPORX) ermöglicht einen einfachen und sicheren Fernzugriff auf Endgeräte und Webseiten in entfernten Netzwerken. Der Zugriff erfolgt mittels beliebigem Web-Browser und unterstützt folgende Protokolle: HTTP, HTTPS, SSH, VNC und TCP.

Bei den Protokollen HTTP, HTTPS, SSH und VNC wird für jedes Endgerät ein einzigartiger Link erstellt, mit welchem der Anwender von extern mittels Webbrowser (also ohne zusätzliche App) auf das entsprechende Endgerät der Anlage weitergeleitet wird.

Bei der Verwendung des Protokolls TCP erfolgt der Zugriff explizit mittels Permalink.

Konfiguration

Der Dienst kann bei der Anlage unter Dienste -> Secure Proxy konfiguriert werden.

services-seprox-actions

Mittels Klick auf das Symbol kann die Service-IP-Adresse eingestellt werden. Weiter kann mittels Klick auf das Symbol prüfen, ob die verwendete Service-IP-Adresse nicht schon belegt ist.

Service-IP-Adresse

Zur Nutzung von Secure Proxy muss der Dienst einmalig eingerichtet werden. Dazu wird eine Service-IP-Adresse benötigt. Folgendes muss dabei beachtet werden:

  • Die Service-IP-Adresse darf sich nicht im Subnetz 10.42.0.0/16 befinden.
  • Es muss sichergestellt werden, dass die IP-Adresse im entfernten Netz frei ist und auch in Zukunft nicht genutzt wird.

Zur Überprüfung kann ein Ping-Test auf eine IP-Adresse mittels Klick auf das Symbol ausgeführt werden.

DNS-Einträge erstellen

Durch einen Klick auf das Symbol kann ein neuer DNS-Eintrag hinzugefügt werden. Der DNS Eintrag ist ein Teil der dediziert zusammengestellten Secure-Proxy-URL dieses Eintrages. Diesem Eintrag werden Endgeräte und Permalinks zugewiesen. Für den Parameter DNS Präfix können keine Grossbuchstaben und Sonderzeichen verwendet werden.

services-seprox-hostmapping

Eigenschaft Beschreibung
DNS Präfix DNS-Präfix
Beschreibung Interne Bezeichnung des Eintrages

Protokollspezifische Parameter

Protokolltyp TCP

Eigenschaft Beschreibung
IP-Adresse / Hostname Endgerät IP-Adresse oder Hostname (*.local) des TCP-Endgeräts wie sie im entfernten Netzwerk (Anlage) zugeteilt wird oder ist
Port Endgerät 1883 für MQTT
TLS Verbindung zu Endgerät ist verschlüsselt
UDP Verbindungsart zu Endgerät mittels UDP

Aktionen

Nachdem ein Mapping erfolgreich angelegt wurde, kann der DNS-Eintrag mittels Klick auf das Symbol editiert werden. Zudem werden die Anzahl zugewiesenen Endgeräte und Permalinks in der Übersichtstabelle dargestellt.

services-seprox-hostmapping-actions

Endgeräte hinzufügen

Durch einen Klick auf das Symbol kann einem eingerichteten DNS-Eintrag ein neues Endgerät zugewiesen/eingerichtet werden. Die protokollspezifischen Einstellungen können folgenden Unterkapiteln entnommen werden:

services-seprox-devicemappings

Eigenschaft Beschreibung
DNS Eintrag Auswahl Zuweisung zu DNS-Eintrag. (Dieser Eintrag kann nach dem Erstellen nicht mehr editiert werden)
Pfad externe URL Pfad der bereitgestellten Secure-Proxy-URL, welcher auf dieses Endgerät weitergeleitet wird
Beschreibung Interne Bezeichnung des Links. Dieser Name wird auch in der HOOC-App angezeigt
IP-Adresse / Hostname Endgerät IP-Adresse oder Hostname (*.local) des Endgeräts wie sie im entfernten Netzwerk zugeteilt wird oder ist
Port Endgerät 80 für Standard Webseiten, 443 für verschlüsselte Webseiten, 5900 für VNC, 22 für SSH
Protokoll Endgerät Auswahl des Kommunikationsprotokolls

Protokollspezifische Parameter

HTTP/HTTPS

Eigenschaft Beschreibung
Basispfad zu Webapplikation Falls sich die Default-Webseite in einem bestimmten Pfad befindet, kann dieser hier definiert werden.
Basispfad Weiterleitung Falls Option aktiv ist, wird nur der Secure Proxy Link zum Basispfad weitergeleitet. Ansonsten werden alle Pfade zum Basispfad weitergeleitet.
Default Page Optional Name der Startseite (Falls kein index.html vorhanden ist).
Gleichzeitige Verbindungen Einige Web-Server unterstützen nur eine eingeschränkte Anzahl gleichzeitiger Verbindungen bzw. Anfragen.

VNC

Eigenschaft Beschreibung
Verbindungseinstellungen Option für den automatischen Verbindungsaufbau zum VNC Server
Benutzername VNC Benutzername (optional)
Wird bei plain Authentifizierungs-Methoden* berücksichtigt.
Passwort VNC Passwort (optional)
Wird bei plain und vnc auth Authentifizierungs-Methoden* berücksichtigt.
Grössenanpassung Auswahl Skalierung
Cursor Option, ob ein Punkt als Cursor dargestellt wird, falls kein Cursor vorhanden ist

*Unterstützte Authentifizierungs-Methoden: none, vnc auth, plain, x509 none, x509 vnc auth, x509 plain, RBF 3.3 none, RBF 3.3 vnc auth

Aktionen

Nachdem ein Mapping erfolgreich angelegt wurde, kann auf das Endgerät mittels Klick auf zugegriffen werden.

services-seprox-devicemappings-actions

Aktion Beschreibung
URL des Mappings wird in einem neuen Tab geöffnet.
URL des Mappings ansehen, um diesen beispielsweise in den Bookmarks abzulegen
Mapping zu Endgerät editieren
Ping auf Endgerät ausführen
Mapping zu Endgerät entfernen

Über einen erstellten Permalink ist der Zugriff auf einen erstellen DNS-Eintrag und somit auf mehrere Endgeräte ohne weitere Authentifizierung möglich. Durch einen Klick auf das Symbol kann ein neuer Permalink erstellt werden.

services-seprox-permalinks

Eigenschaft Beschreibung
Information Interne Bezeichnung des Permalinks, z.B. Name des Benutzers/Kunden welcher diesen Permalink verwendet.
DNS Eintrag Auswahl Zuweisung zu DNS-Eintrag.
Startdatum Ab diesem Datum kann der Permalink verwendet werden kann.
Ablaufdatum Bis zu diesem Datum kann der Permalink verwendet werden.

Nach erfolgreichem Erstellen des Permalinks startet ein Dialog mit der Permalink-URL. Die URL sollte nun kopiert werden, da nach dem Schliessen des Dialogs die Permalink-URL nicht mehr angezeigt wird. Falls dem DNS-Eintrag mehrere Endgeräte zugewiesen worden sind, können diese mit den entsprechender Erweiterung um den Wert vom Pfad externe URL aufgerufen werden.

Aktionen

Ein Permalink kann mittels Klick auf das Symbol entfernt werden. Falls der Permalink temporär deaktiviert werden soll, kann dies mittels Klick auf das Symbol gemacht werden.

services-seprox-permalinks-actions

Branding

Beim Öffnen des SEPROX Links wird der Benutzer zur HOOC Login-Seite weitergeleitet, um sich zu authentifizieren. Standardmässig wird diese Webseite im HOOC Look and Feel dargestellt. Mittels Klick auf das Symbol ist es möglich seine eigenen Farben und Logos für diese Webseite zu definieren.

services-seprox-branding

Verwendung in der HOOC-App

In der HOOC-App sind die erfassten Endgeräte aufgelistet.