Fernzugriff via mdex web.direct

1. Einführung

Dieses ist eine Beschreibung des mdex web.direct 1.0.

Es steht mittlerweile web.direct 2.0 mit einem größeren Funktionsumfang zur Verfügung, siehe web.direct 2.0.

1.1 Wozu kann man web.direct verwenden?

Ihre Anforderung:
Sie möchten aus der Ferne auf eine HTTP / HTTPS Weboberfläche eines mobilen Geräts zugreifen, z.B.

• Kamera
• Datenlogger
• Steuerungssystem (z.B. XWEB500).
• Webserver (z. B. IIS, Apache, NGINX ...)
• usw.

Normalerweise sind mobile Geräte im Mobilfunknetz nur mit einer öffentlich erreichbaren IP-Adresse aus dem Internet erreichbar. In aller Regel erhalten SIM-Karten von den Providern jedoch keine öffentlich erreichbaren IP-Adressen. Auch Dienste wie DynDNS, die das Problem der Erreichbarkeit im Festnetz lösen, funktionieren im Mobilfunknetz meistens nicht, weil den SIM-Karten in aller Regel ja keine öffentlich erreichbaren IP-Adressen zugewiesen werden. Wie kann man trotzdem auf die HTTP(S) Weboberfläche eines Geräts zugreifen?

Die Lösung:
Mit dem mdex web.direct der mdex fixed.IP+ haben Sie die Möglichkeit, mit einem Webbrowser auf die HTTP(S) Weboberfläche eines Geräts im Mobilfunknetz zuzugreifen.

• web.direct ist bereits bei der mdex fixed.IP+ enthalten
• Keine Installation zusätzlicher Software erforderlich
• Der Zugriff auf mobile Webapplikationen ist mit einem Webbrowser von jedem PC oder Smartphone mit Internetanbindung möglich
• Der Zugriff auf mehrere Geräte (Router, Endgeräte hinter dem Router) ist durch unterschiedliche Ports im jeweiligen Link des web.direct möglich
• Zugriff mit jedem Browser, von jedem PC oder Smartphone mit Internetzugang
• Sicherheit durch ein Login–Portal und HTTPS

Durch die Zuweisung einer eindeutigen URL sind Geräte aus dem Internet erreichbar und damit auch den Gefahren und Risiken aus dem Internet ausgesetzt.

• Cross-Site-Scripting Attacken
• Portscans
• Suchmaschinen
• u.v.m.

Diese unerwünschten Zugriffe können durch entsprechende Sicherheitseinstellungen des web.direct verhindert werden, so dass z.B. beim Zugriff mit der web.direct URL zunächst die Eingabe eines festgelegten Passworts zur Autorisierung erforderlich ist. Diese web.direct Sicherheitseinstellungen lassen sich im mdex Management Portal einstellen, siehe hier.

1.2 Unterstützte Protokolle

Per web.direct werden nur Zugriffe auf Geräte mit einer Weboberfläche (Webserver) über einen bestimmten HTTP-Port oder HTTPS-Port unterstützt, z.B. Router-Konfigurationsoberflächen, Regler- und Steuerungen, Kameras , usw.. Hierbei ist jedoch zu beachten, dass Kameras, deren Live-Bilder per Real Time Streaming Protokoll (RTSP) übertragen werden, nicht unterstützt werden.

Protokoll	Zugriff via web.direct
HTTP
HTTPS
Real Time Streaming Protokoll (RTSP)
FTP
SSH
SMTP
Sonstige Protokolle

Hinweis zu JavaScript, Applets oder ActiveX Komponenten:
Das Ziel der HTTP Anfrage wird im mdex Gateway verändert. Die URL wird durch eine private IP ersetzt. Dieser Vorgang ist von besonderer Bedeutung, da er Auswirkung auf die Webanwendungen hat, die über mdex web.direct angesprochen werden. Insbesondere bei JavaScript, Applets oder ActiveX Komponenten ist dieser Umstand zu berücksichtigen. Diese dürfen bei Anfrage nicht die private IP Adresse des Gerätes verwenden, da diese aus dem Internet nicht erreichbar ist. Hier ist darauf zu achten, ebenfalls immer die URL des mdex web.direct für Zugriffe auf das Gerät zu verwenden.

Lösungen zum Vollzugriff (alle Ports & Protokolle)
Sollten Sie einen Vollzugriff auf das Gerät benötigen und neben HTTP(S) auch andere Protokolle wie z.B. RTSP, FTP, SSH, SMTP, usw. übertragen wollen, ist das mit dem optionalen mdex Leitstellentunnel möglich. Der mdex Leitstellentunnel kann optional zur fixed.IP+ bestellt werden, siehe mdex Leitstellentunnel.
Alternativ zur fixed.IP+ bietet mdex aber auch feste öffentliche IP-Adressen (public.IP) an, die direkt aus dem Internet erreichbar sind, siehe mdex public.IP.

1.3 Funktionsweise

Hier finden Sie die grundsätzliche Funktionsweise des web.direct zum Zugriff auf die HTTP(S) Weboberfläche eines Geräts (Router, Endgerät).

Grundvoraussetzungen:

• Der Mobilfunkrouter muss mit den mdex fixed.IP+ Zugangsdaten eine Verbindung zu mdex hergestellt haben.
  
• Im Mobilfunkrouter muss ein Port-Forwarding des erforderlichen HTTP(S) Port zum angeschlossenen Endgerät eingerichtet worden sein.
  
• Der web.direct-Link muss für den erforderlichen HTTP(S) Port aktiviert und konfiguriert worden sein.
  
• Der PC (von dem der HTTP(S) Zugriff erfolgen soll) muss eine Internetverbindung haben.
  

Funktionsweise:

1. Für den Zugriff auf eine Weboberfläche verwenden Sie im Webbrowser Ihres PCs oder Smartphones die URL des web.direct-Links.
   (Der PC bzw. das Smartphone benötigt keine aktive Verbindung zu mdex, sondern lediglich eine Internetverbindung.)
   
   
2. Der Browser baut mit der URL eine Verbindung zum mdex Gateway auf.
3. Das mdex Gateway nimmt die Anfrage zur Authentifizierung entgegen.
   (Je nach eingestellter Sicherheitsoption erfolgt die Authentifizierung entweder automatisch oder durch eine Passwort-Authentifizierung.)
4. Das mdex Gateway leitet die Anfrage zur fixed.IP+ Adresse und somit zum Mobilfunkrouter weiter.
5. Der Mobilfunkrouter leitet den gewünschten im web.direct-Link eingestellten HTTP(S) Port per Port-Forwarding zum angeschlossenen Endgerät weiter.
6. Die Verbindung zur Weboberfläche des Mobilfunkrouters bzw. des daran angeschlossenen Endgeräts ist hergestellt.
   
   
   

2. Einrichtung & Konfiguration

2.1 web.direct einrichten

Die web.direct Konfigurationseinstellungen befinden sich im mdex Management Portal :

1. Loggen Sie sich in das mdex Management Portal ein
   (Ihre Login-Zugangsdaten wurden Ihnen per E-Mail zugesandt.)
   
2. Klicken Sie auf Zugänge -> Meine Zugänge -> Es werden Ihnen alle Zugänge angezeigt.
3. Klicken Sie auf den gewünschten fixed.IP+ Zugang, für den Sie die web.direct-Einstellungen vornehmen möchten:
   
4. Klicken Sie im fixed.IP+ Zugang auf den Reiter web.direct, hier können Sie die web.direct Einstellungen vornehmen:
   (Im Regelfall sind bereits zwei Links für die Zugriffe auf HTTP-Port 80 und 8080 aktiviert.)
   
   • Sollte web.direct deaktiviert sein, klicken Sie zum Aktivieren auf den Button web.direct aktivieren.
   • Zur Deaktivierung der web.direct-Funktion klicken Sie auf den Button web.direct deaktivieren
     
     
5. Mit der Option Direkt-Link erlauben wird festgelegt, ob der web.direct Zugriff als
   "Login-Link" (mit Passwortabfrage) oder als "Direkt-Link" (ohne Passwortabfrage) erfolgen soll.

2.1.1 "Login-Link" (mit Passwortabfrage)

Der web.direct als "Login-Link" erfordert zur Authentifizierung vor jedem Zugriff die Eingabe des web.direct Passworts.

Einrichtung als "Login-Link":

1. Stellen Sie für den gewünschten Zugang im Reiter web.direct die Option Direkt-Link erlauben auf Nein:
   
   
2. Stellen Sie das gewünschte web.direct Passwort ein, welches aus mind. 8 Zeichen bestehen muss:
   
   

Zugriff via web.direct als "Login-Link":

1. Geben Sie die gewünschte web.direct URL in einem Webbrowser ein, z.B. https://i0123456-c.webdirect.mdex.de
2. Sie werden nun (vor jedem web.direct Zugriff) zur Eingabe des festgelegten web.direct Passworts aufgefordert:
   
3. Geben Sie das festgelegte web.direct Passwort ein und klicken Sie auf Anmelden.
4. Nach erfolgreicher Authentifizierung können Sie auf den festgelegten HTTP(S) Port zugreifen.

Die web.direct Zugriffe sind über das mdex Management Portal weiterhin ohne Passwortabfrage durch Klick auf die web.direct Symbole ... möglich.

2.1.2 "Direkt-Link" (ohne Passwortabfrage)

Der web.direct als "Direkt-Link" ermöglicht den direkten Zugriff ohne zusätzliche Passworteingabe.

Einrichtung als "Direkt-Link":

1. Stellen Sie für den gewünschten Zugang im Reiter web.direct die Option Direkt-Link erlauben auf Ja:
   
   
2. Für das eingestellte web.direct-Passwort wird automatisch ein kryptografischer Hash generiert und in die URL der Direkt-Links integriert:
   

   Wenn das web.direct Passwort geändert wird, werden die Direkt-Links automatisch geändert. Die vor der Passwortänderung erzeugten URLs des web.direct-Links sind dann ungültig und können nicht mehr verwendet werden!

Zugriff via web.direct als "Direkt-Link":

Beim Direkt-Link wird das eingestellte web.direct Passwort automatisch als kryptografischer Hash generiert und in die URL der Direkt-Links integriert, z.B. https://i0123456-p80-c1-hrwhh4m7wuokwpt4mbrbnl7onuxlrefha.webdirect.mdex.de .

1. Kopieren Sie die vollständige URL für den gewünschten Zugriff bei "Direkt-Links"
   
   
2. Fügen Sie diese vollständige URL inkl.kryptografischer Hash (z.B. https://i0123456-p80-c1-hrwhh4m7wuokwpt4mbrbnl7onuxlrefha.webdirect.mdex.de ) in einem Webbrowser ein, dann erfolgt der direkte Zugriff ohne zusätzliche Passwortabfrage.

Der Zugriff mit Passwortabfrage steht weiterhin zur Verfügung, indem das in der URL integrierte web.direct Passwort (als kryptografischer Hash) entfernt wird.

Beispiel:

• https://i0123456-c1-hxaujtoia2z7z7ubcs7bqiptwbk3koxhe.webdirect.mdex.de Direkter Zugriff ohne Passwortabfrage.
• https://i0123456-c1.webdirect.mdex.de Zugriff mit Passwortabfrage als "Login-Link".

2.1.3 "Webdirect-Login" (mit individueller Passwortabfrage) -nur optional verfügbar-

Diese Option steht nur für mdex Projektkunden zur Verfügung. Bei Interesse dieser Funktionalität sprechen Sie uns gerne an: mdex Kontakt

Für mehr Flexibilität kann web.direct als Webdirect-Login eingerichtet werden, so dass bei einem Zugang für jeden web.direct-Zugriff zu einem bestimmten HTTP(S)-Port ein eigenes (separates) web.direct Passwort eingestellt werden kann. Dann lassen sich diese web.direct-Passwörter individuell im nachhinein ändern, ohne dass von dieser Passwortänderung auch die anderen web.direct-Zugriffe bei diesem Zugangs betroffen sind.
Der Benutzer wird vor jedem web.direct Zugriff zur Eingabe des für diesen web.direct-Zugriff eingestellten web.direct Passworts aufgefordert.

Die web.direct Zugriffe sind über das mdex Management Portal weiterhin ohne Passwortabfrage durch Klick auf die web.direct Symbole ... möglich.

Zugriff via web.direct als "Webdirect Login"

1. Geben Sie die gewünschte web.direct URL in einem Webbrowser ein, z.B. https://i0123456-c1.webdirect.mdex.de
2. Sie werden nun (vor jedem web.direct Zugriff) zur Eingabe des festgelegten web.direct Passworts aufgefordert:
   
3. Geben Sie das für diesen web.direct Zugriff festgelegte Passwort ein und klicken Sie auf Anmelden.
4. Nach erfolgreicher Authentifizierung können Sie auf den festgelegten HTTP(S) Port zugreifen.

2.1.4 "Portal-Login" (mit Portal-Authentifizierung) -nur optional verfügbar-

Diese Option steht nur für mdex Projektkunden zur Verfügung. Bei Interesse dieser Funktionalität sprechen Sie uns bitte an: mdex Kontakt

Der web.direct Zugriff kann für noch mehr Sicherheit als Portal Login konfiguriert werden. Sie werden dann vor jedem web.direct Zugriff zur Eingabe Ihrer aktuellen Login-Daten zum mdex Management Portal aufgefordert.

Die web.direct Zugriffe sind über das mdex Management Portal weiterhin ohne Passwortabfrage durch Klick auf die web.direct Symbole ... möglich.

Zugriff via web.direct als "Portal-Login"

1. Geben Sie die gewünschte web.direct URL in einem Webbrowser ein, z.B. https://i0123456-c1.webdirect.mdex.de.
2. Sie werden nun (vor jedem web.direct Zugriff) zur Eingabe Ihrer aktuellen Login-Daten zum mdex Management Portal aufgefordert:
   
3. Geben Sie Ihre aktuellen Login-Daten ein und klicken Sie auf Anmelden.

   Portal Benutzername:	Geben Sie hier Ihren Benutzernamen des mdex Management Portal ein.
   Portal Passwort:	Geben Sie hier Ihr Passwort des mdex Management Portal ein.
   Portal Einmal Passwort:	Nur falls das Einmal-Passwort zum Login in das mdex Management Portal aktiviert wurde, geben Sie hier das mit der Authenticator App erzeugte Einmal-Passwort ein. Sollte die Funktion "Einmal-Passwort" deaktiviert sein, lassen Sie dieses Feld bitte frei.

4. Nach erfolgreicher Authentifizierung können Sie auf den festgelegten HTTP(S) Port zugreifen.

2.2 web.direct-Links hinzufügen, löschen oder ändern

Im Regelfall sind für fixed.IP+ Zugänge bereits zwei web.direct-Links voreinstellt: (HTTP-Port 80) und (HTTP-Port 8080).
Im mdex Management Portal können diese Links geändert oder weitere web.direct-Links eingerichtet werden. Die web.direct Links werden nicht separat für jeden einzelnen fixed.IP+ Zugang angelegt oder angepasst, sondern werden automatisch für alle fixed.IP+ Zugänge dieses 'mdex VPN' übernommen.

Sollten Sie mehr Links benötigen als derzeit hinzugefügt werden können, sprechen Sie uns gerne unter mdex Kontakt an.

Sie können die web.direct-Link URLs manuell anpassen und somit neue Links für Zugriffe auf weitere HTTP(S)-Ports erstellen. Diese URLs können z.B. als Favoriten oder Lesezeichen im Webbrowser angelegt werden, um damit gezielt auf die gewünschten HTTP(S)-Ports der jeweiligen Geräte zuzugreifen.

Beschreibung zur web.direct URL Anpassung anzeigenBeschreibung zur web.direct URL Anpassung verbergen

Grundsätzlicher Aufbau der web.direct-Link URL

Die URL des web.direct-Links setzt sich aus "https://", dem "mdex Zugangsnamen" (z.B. i0123456) und "webdirect.mdex.de" zusammen:

Beispiel: https://i0123456.webdirect.mdex.de

Der Zugriff mit der URL erfolgt als Login-Link (mit Passwortabfrage) auf HTTP-Port 80 (ohne Caching). Nachfolgend finden Sie weitere Optionen für den web.direct-Link, die in die URL integriert werden können.

HTTP(S)-Port einstellen

Ohne Port-Angabe erfolgt der Zugriff auf Port 80 (HTTP).
Einen anderen HTTP-Port mit einem Doppelpunkt hinter dem Link anzugeben (z.B. https://i0123456.webdirect.mdex.de:8080) wird nicht unterstützt!
Sie können gewünschte Port-Angaben im web.direct-Link ergänzen, indem die URL um den Parameter -p hinter dem Gerätenamen mit dem entsprechenden Port erweitert wird.

Beispiele:

• Zugriff auf HTTP-Port 80 https://i0123456.webdirect.mdex.de
• Zugriff auf HTTP-Port 8080 https://i0123456-p8080.webdirect.mdex.de
• Zugriff auf HTTP-Port 8182 https://i0123456-p8182.webdirect.mdex.de

Um das Gerät über den HTTPS-Standardport (443) zu erriechen, müssen Sie in der URL des web.direct den Parameter -s hinter dem Gerätenamen hinzufügen. Wenn der Zugriff nicht zum HTTPS-Standrdport 443, sondern zu einem anderen HTTPS-Port erfolgen soll, muss die Portnummer einfach -s in der URL ergänzt werden.

Beispiele:

• Zugriff auf HTTPS-Port 443 https://i0123456-s.webdirect.mdex.de
• Zugriff auf HTTPS-Port 4444 https://i0123456-s4444.webdirect.mdex.de

Kontrolle des HTTP-Caching

Der web.direct nimmt Einfluss auf das Caching-Verhalten einer Webapplikation. Standardmäßig wird das Caching von Web-Seiten unterbunden, um sicherzustellen, dass immer aktuelle Daten und der richtige Status einer Webapplikation im Browser zu sehen sind.
Das Caching der Webseiten kann erlaubt werden, indem in der URL des web.direct-Links der Parameter -c1 hinter dem Gerätenamen hinzugefügt wird. Mit -c0 (oder ohne -c Eintrag) wird das Caching unterbunden.

Beispiele:

• Zugriff auf HTTP-Port 80 ohne Caching https://i0123456-c0.webdirect.mdex.de
• Zugriff auf HTTP-Port 8080 mit Caching https://i0123456-p8080-c1.webdirect.mdex.de
• Zugriff auf HTTPS-Port 443 mit Caching https://i0123456-s-c1.webdirect.mdex.de
• Zugriff auf HTTPS-Port 1000 ohne Caching https://i0123456-s1000.webdirect.mdex.de

web.direct Passwortabfrage (ein/aus)

Wenn der web.direct-Link als Direct-Link eingestellt wurde, wird das eingestellte web.direct Passwort automatisch als kryptografischer Hash generiert und in die URLs der Direkt-Links integriert:

Kopieren Sie die gewünschte Direct-Link URL und passen Sie diese entsprechend an:

• Wenn in der Direct-Link URL kein Passwort (als Hash) integriert ist, muss beim Zugriff das web.direct Passwort eingeben werden.

  Beispiel: https://i0123456-c1.webdirect.mdex.de Passwortabfrage

• Wenn in der Direct-Link URL das vom Portal generierte web.direct Passwort (als Hash) (mit einem Bindestrich vor "webdirect.mdex.de") integriert ist, erfolgt der Zugriff direkt ohne zusätzliche Passwortabfrage.

  Beispiel: https://i0123456-p80-c1-hrwhh4m7wuokwpt4mbrbnl7onuxlrefha.webdirect.mdex.de direkter Zugriff ohne Passwortabfrage

1. Klicken Sie im Reiter web.direct auf :
   
   • Optional konfigurieren Sie über mCOP 2.0 neue web.direct 2.0 Links (weitere Hilfe finden Sie unter mdex web.direct 2.0):
     
2. Mit Klick auf web.direct Link hinzufügen können weitere web.direct Links hinzugefügt werden.
   Vorhandene Links können mit Klick auf geändert oder mit gelöscht werden.
   

   Anpassungen der web.direct-Links erfolgen nicht separat für jeden fixed.IP+-Zugang, sondern werden für alle fixed.IP+ Zugänge Ihres mdex VPN übernommen!

   
   
3. Nehmen Sie die gewünschten Einstellungen für diesen web.direct-Link vor und klicken dann auf OK:
   
   

2.3 web.direct-Link URLs manuell erstellen/anpassen

Sie können die web.direct-Link URLs manuell anpassen und somit neue Links für Zugriffe auf weitere HTTP(S)-Ports erstellen. Diese URLs können z.B. als Favoriten oder Lesezeichen im Webbrowser angelegt werden, um damit gezielt auf die gewünschten HTTP(S)-Ports der jeweiligen Geräte zuzugreifen.

2.4 Absender IP-Adressen für web.direct Zugriff

Wenn der Fernzugriff zum Endgerät nur über den mdex web.direct zugelassen werden soll, können die Absender IP-Adressen des web.direct Link in der Firewall des Mobilfunkrouters oder des Endgeräts als "freigegebene IP-Adressen" eingerichtet werden. Der mdex web.direct Zugriff erfolgt über die Absender-IP-Adressen 46.16.216.20 und 46.16.220.20.