Ich muss demnächst einen von uns gefertigten Automaten bei einem Kunden aufstellen. Dieser erfordert einen Internetzugang, den der Kunde als vorhanden bestätigt hat. Leider hat er vergessen zu erwähnen, dass es sich dabei um eine Mobilfunkverbindung per LTE-Router handelt. Für die Grundfunktionen des Automaten reicht das im Prinzip auch aus, aber gerade in der Anfangsphase sind viele Updates, Einstellungen und schlicht die Beobachtung der Vorgänge dort notwendig, was ich bisher immer mittels VNC bzw. SSH und SFTP gemacht habe. Der Mobilfunkrouter bekommt aber leider eine IP-Adresse aus dem internen privaten Netz des Providers, was sich auch nicht kurzfristig ändern lässt. Nun stehe ich vor der Aufgabe, irgendwie die Erreichbarkeit sicherzustellen. Aus früheren Experimenten mit einem LTE-Router und einem IP-Tischtelefon weiss ich noch, dass die Erreichbarkeit beim Aufechterhalten bzw. nur sehr kurzen Unterbrechungen der TCP-Verbindung erhalten bleibt. Rief ich über den LTE-Router jemanden an, ging das problemlos - klar, ich war der Initiator aus dem Mobilnetz heraus. Legte ich auf und man rief mich zurück, klappte das nur innerhalb einiger Sekunden, danach war ich nicht erreichbar. Klar, Verbindung geschlossen, IP weg. Wenn ich nun in die Automatensoftware z.B. einen permanenten Ping (oder wenigstens zu festgelegten Zeiten, um den Traffik nicht ins uferlose wachsen zu lassen) auf meine Fritzbox (mit myfritz.net, eine Art DynDNS) einbaue, sollte ich doch die Kiste auch mit aneren Protokollen erreichen können, oder? Andere Vorschläge? Danke für Tips.
1. Der Automat baut eine VPN-Verbindung zu Eurem Server auf. 2. Der Automat schreibt ein log und schiebt das auf Euren Server. 3. Welchen Anbieter hat der Kunde, bei Telekom und Congstar sind mit Tricks öffentliche IPs drin. 4. Falls eine IPv6-Adresse möglich ist, dann gehts auch.
:
Bearbeitet durch User
Bau von deiner Maschine eine autossh Verbindung zu einem dir zugänglichen Server auf. /etc/default/autossh:SSH_OPTIONS="-N -o 'ServerAliveInterval 60' -o 'ServerAliveCountMax 3' -p 22 -R 4711:localhost:22 morchel@dein.server -i /etc/tunnel/.ssh/id_rsa" systemctl enable autossh Vom Server aus kannst du dann ssh Weiterleitungen zu beliebigen Ports/Protokollen machen. ssh -p 4711 -L 8907:localhost:8080 maschinennutzer@localhost
Ich habe für meinen Arbytegeber einen Fernwartungsrouter gebaut, der ein normales LTE M.2 Modem und eine handelsübliche SIM verwendet. Um das Erreichbarkeitsproblem zu lösen, habe ich eine SMS-Schnittstelle implementiert. Ich kann dem Ding per SMS Befehle schicken, und das führt die dann aus. Z.B. VPN-Verbindung (Wireguard) auf und abbauen, reboot, Netzqualität zurückmelden etc etc. Funktioniert seit Jahren einwandfrei. Noch hybscher wäre ein Telefonanruf, Steuerung per DTMF und Rückmeldung per Sprachansage. Aber das war mir dann doch zu viel Aufwand gewesen. Das Problem mit SMS ist nämlich, dass bei einigen Verträgen es sogenannte Nebenkarten gibt, die keine SMS empfangen können - das kann dann nur die Hauptkarte. fchk
Stephan S. schrieb: > 4. Falls eine IPv6-Adresse möglich ist, dann gehts auch. Vorsicht. Ich habe das mal ausprobiert, und bei mir ging das nicht. Der Netzbetreiber hat nur tcp6-Verbindungen vom Mobilfunkgerät zugelassen, keine eingehenden. War meine ich telefonica/o2-Netz gewesen, Provider weiß ich jetzt nicht mehr. fchk
Axel G. schrieb: > Bau von deiner Maschine eine autossh Verbindung zu einem dir > zugänglichen Server auf. > > /etc/default/autossh:SSH_OPTIONS="-N -o 'ServerAliveInterval 60' -o > 'ServerAliveCountMax 3' -p 22 -R 4711:localhost:22 morchel@dein.server > -i /etc/tunnel/.ssh/id_rsa" > > systemctl enable autossh > > Vom Server aus kannst du dann ssh Weiterleitungen zu beliebigen > Ports/Protokollen machen. > > ssh -p 4711 -L 8907:localhost:8080 maschinennutzer@localhost Das sehe ich genauso, SSH reicht in diesem Anwendungsfall wahrscheinlich vollkommen aus. Allerdings: Deine Ports passen leider nicht zueinander, außerdem bindet das Remote-Forwarding an alle Netzwerkschnittstellen. Darum sei daran erinnert, daß OpenSSH seit einigen Versionen auch über UNIX Domain Sockets tunneln kann. Leider legt OpenSSH die Socket-Datei mit dem konnektierenden Benutzer und seinen Standard-Zugriffsrechten an, und räumt diese Dateien leider auch nicht automatisch wieder weg, wenn der Server neu gestartet wird oder Ähnliches. Dennoch finde ich das ganz elegant, weil die Socketdatei(en) sprechende Namen haben und Anwender nicht wissen müssen, wer oder was hinter den anonymen Portnummern zu erreichen ist. Für einen Anwendungsfall in einem Docker Swarm habe ich deswegen eine eigene Implementierung in Golang entwickelt, die diese Schwächen behebt. Wenn hier jemand daran interessiert sein sollte, frage ich beim Auftraggeber nach, ob ich sie veröffentlichen darf.
Der LTE-Router steht ausserhalb des Automaten und ist mit LAN-Kabel über einen Switch mit diesem verbunden. Ob das dann mit der SMS klappt, weiss ich so noch nicht ...
Frank E. schrieb: > Ich muss demnächst einen von uns gefertigten Automaten bei einem Kunden > aufstellen. Dieser erfordert einen Internetzugang, den der Kunde als > vorhanden bestätigt hat. Leider hat er vergessen zu erwähnen, dass es > sich dabei um eine Mobilfunkverbindung per LTE-Router handelt. Jetzt sag bloß der würde ansonsten einfach so einen Zugriff von Außen auf eine gerade von einer Fremdfirma ins Netz gebrachte Kiste zulassen? Heilig’s Blechle. > Der Mobilfunkrouter bekommt aber leider eine IP-Adresse aus dem internen > privaten Netz des Providers, was sich auch nicht kurzfristig ändern > lässt. Ja, Carrier-Grade NAT des Mobilfunkbetreibers. > auf meine Fritzbox Eine Fritzbox als Edge-Router im "professionellen" Einsatz? Heilig’s Blechle, da haben sich zwei Firmen gefunden. > Andere Vorschläge? Danke für Tips. Allgemein: Da du hier seit Jahren immer wieder mit merkwürdigen Vorstellungen zu Networking auffällst (z.B. Beitrag "IP-Subsysteme im LAN effektiv finden?") und das offensichtliche beruflich machst, einfach mal hinsetzen und die ganzen Grundlagen lernen, um vom Hobbybasteln weg zu kommen. Dann von vorne herein deine Kisten so bauen dass sie typischen Verhältnissen in Kundennetzwerken gerecht werden. Wirklich, was du so über Networking schreibst tut echt weh. Speziell: Tunneln. Wenn dein Kunde nicht ganz so blöd ist wie du ihn darstellst dann in Absprache mit ihm (seiner IT), weil das ein Sicherheitsrisiko sein kann. Das kannst du mit einem VPN machen, ein SSH-Tunnel (wie andere schon schrieben) oder welche Technik dir und deinem Kunden gefällt.
Ich hatte vor einigen Jahren mal ein ganz ähnliches Problem. Gelöst haben wir das, indem wir einen zusätzlichen billigen OpenWRT Router zwischen Maschine und Mobilfunk-Router gesteckt haben, der dann via VPN (in unserem Fal OpenVPN) eine Verbindung zu unserem Server aufgebaut hat.
:
Bearbeitet durch User
Hannes J. schrieb: > Jetzt sag bloß der würde ansonsten einfach so einen Zugriff von Außen > auf eine gerade von einer Fremdfirma ins Netz gebrachte Kiste zulassen? > Heilig’s Blechle. Hauptsache wichtig tun, loslabern und von der Realität null Ahnung. Es geht um eine Autowaschanlage und die steht am Rande einer Kleinstadt in der Pampa, da gibts kein "Firmennetz". Ich brauche auch kein dauerhaftes VPN sondern will nur hin und wieder mal ein par Einstellungen ändern. > Vorstellungen zu Networking auffällst (z.B. > Beitrag "IP-Subsysteme im LAN effektiv finden?") und das > offensichtliche beruflich machst Ja, sehr auffällig, kommt praktisch niemals vor. Das könnte aber auch an einem Kreativitäts-Defizit aufgrund langweilig lauwarmer Umgebung liegen. Anstatt mich ebenfalls zu echauffieren, habe ich einfach eine zuverlässige Lösung selber geschrieben. Die findet alle Geräte aus einer MAC-Adressliste in einem /24-Netz in ca. 10s. Zurück zum Thema: Ich werde in den nächsten Tagen mal die ursprüngliche Idee mit den Pings als "Routen-Öffner" ausprobieren und dann berichten ...
Frank E. schrieb: > Die findet alle Geräte aus einer > MAC-Adressliste in einem /24-Netz in ca. 10s. Und Du nimmst an, daß Du in einem gerouteten Netz irgendwelche MAC-Adressen findest?
Frank E. schrieb: > Der LTE-Router steht ausserhalb des Automaten und ist mit LAN-Kabel über > einen Switch mit diesem verbunden. Ob das dann mit der SMS klappt, weiss > ich so noch nicht ... Mit einem 08/15 Router nicht. Mit meinem schon. fchk
Hannes J. schrieb: > Eine Fritzbox als Edge-Router im "professionellen" Einsatz? Wir haben eine zweistellige Anzahl Fritzen als DSL- oder Kabel-Modem im professionellen Einsatz. Die Dinger funktionieren. Stört dich das Plastikgehäuse statt edlem Metall?
:
Bearbeitet durch User
(prx) A. K. schrieb: > Stört dich das > Plastikgehäuse statt edlem Metall? Manch einen stört jede Bedienoberfläche, die nicht die Eingabe von Regex-Ausdrücken und das Schreiben von Skripten mit vi erfordert. Das ist so eine Art Elitendenken oder sowas; derartige Leute verwenden auch gerne den Begriff "Plasterouter", um ihrer Überlegenheit Ausdruck zu verleihen.
Frank E. schrieb: > Legte ich auf und man rief mich > zurück, klappte das nur innerhalb einiger Sekunden, danach war ich nicht > erreichbar. Klar, Verbindung geschlossen, IP weg. Das hat mit der IP nichts zu tun und passiert auch bei fester IP. Das Telefon baut die Verbindung zum Server (der externen Tk-Anlage) auf und meldet sich zyklisch. Der Internet-Router hat ein Timeout, wenn dieses kürzer ist, fällt die Erreichbarkeit weg. Das ist über 10 Jahre her, dass ich mich in einem Firmennetz damit befassen musste, da war das für uns noch Neuland. Mit Fritz zuhause sieht das etwas anders aus, die lässt komenden Verkehr auf den Telefon-Portnummern zu. Frank E. schrieb: > Hannes J. schrieb: >> Jetzt sag bloß der würde ansonsten einfach so einen Zugriff von Außen >> auf eine gerade von einer Fremdfirma ins Netz gebrachte Kiste zulassen? >> Heilig’s Blechle. > > Hauptsache wichtig tun, loslabern und von der Realität null Ahnung. Wieso führst Du hier ein Selbstgespräch? Du verkaufst hier eine Fernwartung, ohne die zugehörigen Grundlagen zu kennnen! > Ich brauche auch kein > dauerhaftes VPN sondern will nur hin und wieder mal ein par > Einstellungen ändern. Ich kenne sicherheitskritische Anlagen, wo der Kunde nur bei Bedarf die Leitung einsteckt. Dein "Problem" ist keines, der Kunde wird nicht von Dir erreicht, sondern baut von seiner Seite aus die Verbindung auf.
Harald K. schrieb: > Frank E. schrieb: >> Die findet alle Geräte aus einer >> MAC-Adressliste in einem /24-Netz in ca. 10s. > > Und Du nimmst an, daß Du in einem gerouteten Netz irgendwelche > MAC-Adressen findest? Nein, davon war niemals die Rede. Es geht "nur" um Netzwerkteilnehmer innerhalb des gleichen /24er Subnet.
Manfred P. schrieb: > Ich kenne sicherheitskritische Anlagen, wo der Kunde nur bei Bedarf die > Leitung einsteckt. Dein "Problem" ist keines, der Kunde wird nicht von > Dir erreicht, sondern baut von seiner Seite aus die Verbindung auf. Kenn ich auch, aber in meinem Fall ist dort meist niemand, der das Kabel einsteckt. Pampa eben ... kein großartiger Industriebetrieb mit IT-Abteilung.
Manfred P. schrieb: > Frank E. schrieb: >> Legte ich auf und man rief mich >> zurück, klappte das nur innerhalb einiger Sekunden, danach war ich nicht >> erreichbar. Klar, Verbindung geschlossen, IP weg. > > Das hat mit der IP nichts zu tun und passiert auch bei fester IP. Nö. Bei einer festen IP weiss ich ganz genau, wo ich mein SYN-Packet hinschicken muss. Bei dem privaten Provider-Netz wird die soeben noch benutze IP nach einer Trennung sofort kassiert und dem nächsten Bedürftigen gegeben. Jede Verbindung aus Mobile-Richtung kommt nach einer kurzen Unterbrechung mit einer anderen IP daher, das hab' ich ausführlich getestet.
Ein T. schrieb: > Für einen Anwendungsfall in einem Docker Swarm habe ich deswegen eine > eigene Implementierung in Golang entwickelt, die diese Schwächen behebt. > Wenn hier jemand daran interessiert sein sollte, frage ich beim > Auftraggeber nach, ob ich sie veröffentlichen darf. Wäre es auch möglich, mir so etwas privat zukommen zu lassen? Danke.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.