mdex Support>web.direct 2.0

mdex web.direct 2.0

Beschreibung der web.direct Funktionlität des mCOP 2.0.

1. Einführung

1.1 Wozu kann mdex web.direct verwendet werden?

Ihre Anforderung:
Es soll mit einem Browser auf die HTTP/HTTPS-Weboberfläche eines Geräts zugegriffen werden, z.B.
  • Mobilfunkrouter
  • Kamera
  • Datenlogger
  • Steuerungssystem (z.B. XWEB500).
  • Webserver (z.B. IIS, Apache, NGINX ...)
  • usw.

Das Problem:
Normalerweise sind mobile Geräte im Mobilfunknetz nur mit einer öffentlich erreichbaren IP-Adresse aus dem Internet erreichbar. In aller Regel erhalten SIM-Karten von den Providern jedoch keine öffentlich erreichbaren IP-Adressen. Auch Dienste wie DynDNS, die das Problem der Erreichbarkeit im Festnetz lösen, funktionieren im Mobilfunknetz meistens nicht, weil den SIM-Karten in aller Regel ja keine öffentlich erreichbaren IP-Adressen zugewiesen werden.

Die Lösung:
Mit dem mdex web.direct Zugriff erfolgt der Fernzugriff ohne öffentlich erreichbare IP-Adresse oder den Aufbau eines zusätzlichen VPN-Tunnels. Hier die Vorteile des Fernzugriffs via mdex web.direct:
  • Keine Installation zusätzlicher Software erforderlich.
  • Zugriff mit jedem Browser, von jedem PC oder Smartphone mit Internetzugang möglich.
  • Der Zugriff auf mehrere Geräte (Router, Endgeräte hinter dem Router) kann durch unterschiedliche HTTP/HTTPS-Ports erfolgen.
  • Die Geräte sind durch entsprechende web.direct Sicherheitseinstellungen keinen Gefahren und Risiken aus dem Internet ausgesetzt, wie z.B.
    • Cross-Site-Scripting Attacken
    • Portscans
    • Suchmaschinen
    • u.v.m.
  • Benutzer-Authentifizierung für eine sichere Verwendung der web.direct Links.

1.2 Funktionsweise

Hier finden Sie die grundsätzliche Funktionsweise des web.direct zum Zugriff auf eine HTTP/HTTPS-Weboberfläche eines Geräts (Router, Endgerät).

Grundvoraussetzungen:
  • Der Mobilfunkrouter muss über eine private IP-Adresse aus dem Wireless Logic mdex Netz erreichbar sein, z.B. mdex fixed.IP+ oder DevicePro.
  • Zum Fernzugriff auf ein Endgerät (z.B. Kamera, Solar-Logger, usw.) muss im Mobilfunkrouter ein Port-Forwarding des erforderlichen HTTP/HTTPS-Port zum angeschlossenen Endgerät eingerichtet worden sein.
  • Der web.direct-Link muss für den erforderlichen HTTP/HTTPS-Port eingerichtet und dem Zugang zugewiesen worden sein.
  • Der PC oder das Smartphone, von dem der Fernzugriff erfolgen soll, muss eine Internetverbindung haben.

Funktionsweise:
  1. Für den Fernzugriff auf eine Weboberfläche verwenden Sie im Webbrowser Ihres PCs oder Smartphones die URL des web.direct-Links.
    (Der PC bzw. das Smartphone benötigt dazu keine VPN-Verbindung zu mdex, sondern lediglich Zugriff auf das Internet.)
  2. Der Browser baut mit der URL eine Verbindung zum mdex Gateway auf.
  3. Das mdex Gateway nimmt die Anfrage zur Authentifizierung entgegen.
    (Je nach eingestellter Sicherheitsoption erfolgt die Authentifizierung entweder automatisch oder durch eine zusätzliche Authentifizierung.)
  4. Das mdex Gateway leitet die Anfrage zur privaten IP-Adresse der SIM-Karte (bzw. mdex fixed.IP+) und somit zum Mobilfunkrouter weiter.
  5. Der Mobilfunkrouter leitet den im web.direct-Link eingestellten HTTP/HTTPS-Port per Port-Forwarding zum angeschlossenen Endgerät weiter.
  6. Die Verbindung zur Weboberfläche des Mobilfunkrouters bzw. des daran angeschlossenen Endgeräts ist hergestellt.

1.3 Unterstützte Protokolle

Per web.direct werden nur Zugriffe auf Geräte mit einer Weboberfläche (Webserver) über einen bestimmten HTTP/HTTPS-Port unterstützt, z.B. Router-Konfigurationsoberflächen, Regler- und Steuerungen, Kameras , usw.. Hierbei ist jedoch zu beachten, dass Kameras, deren Live-Bilder per Real Time Streaming Protokoll (RTSP) übertragen werden, nicht unterstützt werden. Einige Kameras unterstützen allerdings ein "Fallback" mit Hilfe von WebSockets.

Protokoll Zugriff via web.direct
HTTP DONE
HTTPS DONE
WebSocket (WS) DONE 1
WebSocket Secure (WSS) DONE 1
Real Time Streaming Protokoll (RTSP) choice-no
FTP choice-no
SSH choice-no
SMTP choice-no
Sonstige Protokolle choice-no

1 Einige Geräte (z.B. bestimmte Webcams, Datenlogger, usw.) erfordern für eine beidseitige Kommunikation das WebSocket-Protokoll, welches seit web.direct 2.0 unterstützt wird. Bei Verwendung des web.direct 1.0 fehlten somit ggf. einige Inhalte bei der Web-Darstellung.

1.4 Vergleich web.direct web.direct 2.0

Nachfolgend finden Sie die Unterschiede des herkömmlichen web.direct zum neuen web.direct 2.0:

FunktionSorted ascending web.direct web.direct 2.0
WebSocket (WS): choice-no DONE
WebSocket Secure (WSS): choice-no DONE
Direct-Links: DONE DONE
Link pro Zugang: choice-no DONE 2
Login-Links: DONE DONE
Optionale SSL-Zertifikate:
(Für Endgeräte) 		choice-no DONE
Optionaler URL-Pfad einstellbar: choice-no DONE 3
Temporäre Links: choice-no DONE 4
URL Paramater: DONE 1 choice-no
Zwei-Faktor-Authentifizierung: choice-no DONE

1 Die URL kann für bestimmte Protokolle/Ports und Optionen manuell angepasst werden: (Port (-p), Protocol (-s), Caching (-c)

2 Angelegte web.direct Links werden beim herkömmlichen web.direct grundsätzlich allen Zugängen eines 'mdex VPN' zur Verfügung gestellt, auch wenn nicht jeder Zugang diesen web.direct Zugriff benötigt. Seit web.direct 2.0 können die web.direct Links jedem gewünschten Zugang gezielt zugewiesen werden.

3 Dieser Pfad wird an die URL des web.direct Link angehängt, um z.B. auf bestimmte Seiten im Endgerät zuzugreifen. Der Pfad muss mit einem Schrägstrich / beginnen, z.B. /motor. Nun wird direkt im Endgerät auf die Seite .../motor zugegriffen.

4 Es können unter Link-Timeout (Minuten) nun auch temporäre web.direct Links angelegt werden, die nach Erstellung nur für einen bestimmten Zeitraum gültig sind und nach Ablauf der Zeitdauer automatisch wieder deaktiviert werden.

2. Einrichtung & Konfiguration (web.direct 2.0)

Die Einrichtung des web.direct 2.0 erfolgt im neuen mdex Connection Management Portal (mCOP 2.0).
(Der Login erfolgt mit den gleichen Zugangsdaten (Benutzername & Passwort) wie beim herkömmlichen mdex Management Portal (mCOP)).

2.1 web.direct Vorlagen

Die web.direct Links werden den gewünschten Zugängen über eine Vorlage hinzugefügt. Die web.direct Vorlagen können unter web.direct erstellt, bzw. angepasst werden:
  • Zum Hinzufügen einer neuen Vorlagen klicken Sie auf den Button Hinzufügen+
  • Zur Anpassung einer vorhanden Vorlage klicken Sie rechts neben der Volrlage auf den Edit-Button.

Vorlage-Einstellungen

Parameter Beschreibung
Aktiviert Die Vorlage wird aktiviert oder deaktiviert.
Erzeuge Links Wenn aktiviert, werden für neue Zugänge automatisch diese web.direct Links angelegt.
Vererben Bereitstellung (Vererbung) dieser Vorlage für Unter-Mandaten (Partner). Sonderfunktion nur für berechtigte Benutzer!
Priorität Priorität des web.direct Links für die Position in der Portal-Ansicht. Eingabe 0 (oberste Position) bis 99 (unterste Position)
Erstellt am Datum der Erstellung dieser Vorlage.
Aktualisiert am Datum der letzen Aktualisierung dieser Vorlage.

Parameter Beschreibung
Name Hier muss die gewünschte Bezeichnung des web.direct Links eingetragen werden. Dieses ist eine erforderliche Eingabe, die wie das Icon zur Darstellung im Portal dient.
URL-Alias Der URL-Alias ist Teil der web.direct URL. Dieses muss bei Alias-basierten web.direct Formaten ein eindeutiger Name sein.
alert Änderungen am Alias führen technisch bedingt zu kurzen Auszeiten von max. 5 Minuten.
Link-Darstellung Das Format zur Darstellung der web.direct URL kann hier festgelegt werden.
  Standard Die web.direct URL wird im Standard-Format dargestellt:
URL-Format: [Zugang][-URLAlias][-ZugangsHash1][-Hash2]
  VPN-Basiert Die web.direct URL wird als Kombination aus "VPN-Name" und "Link-Alias" dargestellt.
URL-Format: [VPNName][-URLAlias][-ZugangsHash1][-Hash2]
  Alias-Basiert Die web.direct URL wird als Kombination aus Zugang oder Zugang-Alias, gefolgt vom Link-Alias, Zugangs-Hash und Link-Hash.
URL-Format: [ZugangAlias oder Name][-URLAlias][-ZugangsHash1][Hash2]
  Nur Alias Die web.direct URL wird als Link-Alias, Geräte-Alias oder Gerätename (wenn kein Alias konfiguriert ist) dargestellt,
URL-Format: [URLAlias oder Alias oder Name]
  Ohne ZugangsHash1 Die web.direct URL wird ohne Hash dargestellt. (Ein möglicherweise generieter Hash wird nicht berücksichtigt).
URL-Format: [Zugang][-URLAlias][-Hash2]
Icon Icon, Größe und Farbe des web.direct Link zur Darstellung im Portal.

1 Der Zugangs-Hash wird automatisch vom System generiert und kann nicht individuell angepasst werden.
2 Diese Hash-Einstellungen werden in der Vorlage bei Browser mdex Gateway MOVED TO... "Sicherheitseinstellungen" unter Hash (Vordefiniert) und Hash-Erzeugung vorgenommen.

Browser mdex Gateway

Hier wird die Verbindungsherstellung vom Webbrowser (PC, Smartphone, Tablet, ...) zum mdex Gateway eingestellt.
Browser-Gateway.png

Verbindungseinstellungen
Parameter Beschreibung
Port / Protokoll Erforderliche Eingabe, wie die Daten vom Browser bis zum mdex Gateway übertragen werden. Im Regelfall ist hier eine verschlüsselte HTTPS-Verbindung empfohlen, also 443 /HTTPS. (Diese Einstellung ist nicht mit der erforderlichen Port/Protokoll-Einstellung zum Fernzugriff auf das Endgerät zu verwechseln, welche unter mdex Gateway Endgerät vorgenommen wird!)
Das Schloss-Symbol im Schaubild zeigt zusätzlich an, ob eine unverschlüsselte (unsichere) HTTP-Verbindung oder verschlüsselte (sichere) HTTPS-Verbindung zwischen Browser und mdex Gateway eingestellt wurde.
info Der Realm ist im Regelfall "mdex". Nur wenn der Benutzer bei Projekten ein 'Mdex Private Network' (MPN) verwendet, müssen die Ports /Protokolle des gewünschten Realm ausgewählt werden. Der jeweilige Realm wird auch im Portal beim jeweiligen Zugang unter "Details" angezeigt.
alert Änderungen des Port /Protokoll führen technisch bedingt zu kurzen Auszeiten von max. 5 Minuten.
  443 /HTTPS Empfohlen für die meisten Anwendungen: Verschlüsselte Verbindung zwischen Browser und mdex Gateway über HTTPS Port 443.
  80 /HTTP Unverschlüsselte Verbindung zwischen Browser und mdex Gateway über HTTP-Port 80.
ALERT! Diese Einstellung sollte nur verwendet werden, wenn es z.B. Probleme beim Fernzugriff mit der verschlüsselten Verbindung gibt.
Caching Legt fest, ob und wie der Browser die Inhalte von Webseiten (Anzeigen, Bilder, ...) zwischenspeichern soll, um unnötige Datenübertragungen zu vermeiden und Zugriffszeiten zu verringern. Da gleichzeitig sichergestellt werden muss, dass die übertragenen Inhalte nicht veraltet sind, ist es nötig, die Zwischenspeicherung genau zu steuern.
  Kein Caching Es werden keine Inhalte der Webseiten zwischengespeichert, sondern stets aktualisiert. Durch die regelmäßige Aktualisierung kommt es zu einem höheren Datenverbrauch.
  Default Die Cache-Einstellungen des Browsers werden verwendet.
  Nur HTML Nur HTML-Inhalte werden aktualisiert, jedoch keine Scripte oder Bilder.
Pfad (URL) Dieser Pfad wird an die URL des web.direct Link angehängt, um z.B. auf bestimmte Seiten im Endgerät zuzugreifen. Der Pfad muss mit einem Schrägstrich / beginnen, z.B. /motor. Nun wird direkt im Endgerät auf die Seite .../motor zugegriffen.
Session Timeout (Minuten) Maximale Gültigkeit eines web.direct Links in Minuten. Nach Ablauf der eingestellten Zeitdauer wird die Session getrennt. Somit kann ungewünschter Datenverbrauch verhindert werden, wenn z.B. ein Browser beim Zugriff auf Live-Bilder/Videos einer Webcam vergessen wurde zu schließen.
Sicherheits-Einstellungen
Parameter Beschreibung
Authentifizierung Einstellung der gewünschten Authentifizierung beim Aufrufen des web.direct Links.
alert Änderungen bei der Authentifizierung führen technisch bedingt zu kurzen Auszeiten von max. 5 Minuten.
  Keine (Direklink) Der web.direkt Link kann aufgerufen werden, ohne dass sich der Benutzer authentifizieren muss.
ALERT! Da hiermit der Webserver des Endgeräts direkt ohne Authentifizierung errreichbar ist, sollte das Endgerät unbedingt mit einem sicheren Login-Passwort geschützt werden und im Link ein Hash enthalten sein.
  Globales Passwort Beim Aufrufen des web.direct Link muss sich der Benutzer mit dem festgelegten globalen Passwort authentifizieren. Das globale Passwort wird beim hinzugefügten Link eingestellt. Beachten Sie, dass bei Änderungen des globalen Passworts im Link alle anderen Links mit der Authentifizierung "Globales Passwort" ebenfalls das neue Passwort verwenden müssen.
  Link-Passwort Beim Aufrufen des web.direct Link muss sich der Benutzer mit dem festgelegten Link-Passwort authentifizieren. Das Link-Passwort wird beim hinzugefügten Link eingestellt und ist auch nur für diesen Link gültig. Änderungen des Passworts wirken sich also nicht auf andere Links aus.
• Keine Passwort-Erzeugung: Es muss ein Passwort manuell eingestellt werden.
• Passwort-Erzeugung (12 Zeichen): Ein 12-stelliges Passwort wird automatisch generiert.
• Vom Zugang: Es wird das voreingestellte web.direct Passwort verwendet.
  Portal-Account (OTP erforderlich) Beim Aufrufen des web.direct Link muss sich der Benutzer mit seinen mCOP Portal-Zugangsdaten (Benutzername & Passwort) und zusätzlich dem Einmal-Passwort der Zwei-Faktor-Authentifizierung (OTP) authentifizieren.
TIP Die Link-Verwendung (Authentifizierung) wird beim jeweiligen web.direct Link im Fenster "History" protokolliert.
ALERT! Sollte die Zwei-Faktor-Authentifizierung noch nicht im Portal eingerichtet worden sind, können die Links nicht verwendet werden!
  Portal Account Beim Aufrufen des web.direct Link muss sich der Benutzer mit seinen mCOP Portal-Zugangsdaten (Benutzername & Passwort) authentifizieren.
TIP Die Link-Verwendung (Authentifizierung) wird beim jeweiligen web.direct Link im Fenster "History" protokolliert.
Sichtbarkeit /
Zugriff * 		Erforderliche Eingabe: Hier wird entweder die Sichtbarkeit im Portal oder die Verwendung (Zugriff) der web.direct Links eingestellt. Das ist abhängig der oben eingestellten Authentifizierung:

Authentifizierung:
• Keine (Direktlink)
• Globales Passwort
• Link-Passwort
MOVED TO... Sichtbarkeit (Mit welcher Berechtigung wird dieser Link im Portal für Benutzer angezeigt.)

Authentifizierung:
• Portal-Account (OTP erforderlich)
• Portal-Account
MOVED TO... Zugriff (Mit welcher Berechtigung kann der Link genutzt werden. TIP Die Link-Verwendung (Authentifizierung) wird beim jeweiligen web.direct Link im Fenster "History" protokolliert.)
info Berechtigungen:
Im Regelfall kann die Vorauswahl der Berechtigungen belassen werden. Es besteht hier aber auch die Möglichkeit zur Einschränkung der web.direct Verwendung für bestimmte Benutzer anhand von Benutzergruppen. Jeder Partner kann im Portal Benutzergruppen und Benutzer anlegen. Den Benutzergruppen können die gewünschten Berechtigungen erteilt werden. Die Benutzergruppe wird dann dem jeweiligen Benutzer zugewiesen. Bei den web.direct Links lassen sich ein- oder mehrere Berechtigungen auswählen. Ein Benutzer kann diesen web.direct-Link dann entsprechend der erteilten Berechtigung (laut Benutzergruppe) verwenden.
Beispiel:
Benutzer A hat die Berechtigung WebDirectAdmin und WebDirectService.
Benutzer B hat nur die Berechtigung WebDirectService

Richtet man jetzt einen Link z.B. mit Link-Passwort und Sichtbarkeit WebDirectAdmin ein, würde nur Benutzer A den Link sehen. Allerdings könnte Benutzer A das Link-Passwort zusammen mit dem Link an Benutzer B weiterleiten, der diesen Link dann auch nutzen könnte.

Möchte man hingegen, dass auch der Zugang selektiv eingerichtet werden kann, könnte man einen Link mit Portal-Account und Zugriff WebDirectAdmin anlegen. Dann würde nur Benutzer A den Link sehen und diesen auch nutzen können, da er sich beim Link dann auch mit seinen Zugangsdaten vom Portal anmeldet.
Rechts neben dem Auswahl-Menü wird die Anzahl der Benutzer und Benutzergruppen angezeigt, die durch die getätigte Auswahl entsprechend berechtigt sind. Durch Klick auf das jeweilige Benutzer-Symbol, bzw. Benutzgruppen-Symbol werden die berechtigten Benutzer, bzw. Benutzergruppen angezeigt.
  Auswahl: Erteilte Berechtigung:
  WebDirect Aufrufen von web.direct Links.
  WebDirectAdmin Administrierung (Anpassen/Ändern) von web.direct Links.
  WebDirectTemplateAdmin Administrationszugriff für web.direct Vorlagen.
  WebPortalAccess Verwendung des Portals (mCOP).
  WebServiceAccess Aufrufen von web.direct Links.
  WebDirectAccessAdmin Verwendung der web.direct Links für Benutzer als "Administrator".
  WebDirectAccessDealer Verwendung der web.direct Links für Benutzer als "Verkäufer".
  WebdirectAccessDistributor Verwendung der web.direct Links für Benutzer als "Distributor".
  WebDirectAccessLevel1-3 Verwendung der web.direct Links für Benutzer als "Level 1, 2 oder 3".
  WebdirectAccessManufacturer Verwendung der web.direct Links für Benutzer als "Hersteller".
  WebDirectAccessService Verwendung der web.direct Links für Benutzer als "Service".
  WebDirectAccessUser Ermöglicht einfachen Benutzern die Verwendung von web.direct-Links
Hash (Vordefiniert) Mit einem Hash werden Daten kryptisch verschleiert, so dass diese nicht mehr in Klartext dargestellt werden.
Hier kann ein vordefinierter Hash eingestellt werden, der bei jedem neu angelegten web.direct Link angewendet wird. Das ist aus Sicherheitsgründen insbesondere dann empfohlen, wenn unter Authentifzierung: "Keine (Direktlink)" eingestellt wurde.
Hash-Erzeugung Hier lässt sich die Methode zur Hash-Generierung festlegen, so dass bei jedem neu angelegten web.direct Link automatisch aus dem optionalen Hash (Vordefiniert) und dieser Methode ein Hash erzeugt wird.
  Kein Hash Es wird nur der optionale Hash (Vordefiniert) verwendet.
  Hashes pro Link Der Hash wird basierend auf dem web.direct Link generiert.
(Jeder web.direct Link hat einen individuellen Hash.)
  Hashes pro Zugang Der Hash wird basierend auf dem Zugang generiert.
(Alle web.direct Links eines Zugangs haben den gleichen Hash.)
  Hashes pro Zugangs-Hash ALERT! Diese Methode ist veraltet und sollte nicht mehr verwendet werden!
  Hashes pro Vorlage Der Hash wird basierend auf der web.direct Vorlage genertiert.
(Alle per Vorlage erstellte web.direct Links haben den gleichen Hash.)
  Hashes pro VHOST Der Hash wird basierend auf dem mdex Realm generiert.
(Alle web.direct Links eines Realm haben den gleichen Hash).
info Der Realm ist im Regelfall "mdex". Nur wenn der Benutzer bei Projekten ein 'Mdex Private Network' (MPN) verwendet, müssen die Ports /Protokolle des gewünschten Realm ausgewählt werden. Der jeweilige Realm wird auch im Portal beim jeweiligen Zugang unter "Details" angezeigt.
Link-Timeout (Minuten) Optional: Hier kann die Gültigkeit eines web.direct Links nach Erstellung in Minuten angegeben werden. Dieses Timeout ermöglicht die Erstellung temporärer Links, die nur für x Minuten nach Erstellung verwendbar sind und nach Ablauf der Zeitdauer automatisch deaktiviert werden. Im Schaubild wird zur Kennzeichnung dann zusätzlich eine Stoppuhr als Symbol angezeigt.

mdex Gateway Endgerät

Hier wird die Verbindungsherstellung vom vom mdex Gateway (Proxy) zum Endgerät eingestellt.
Gateway-Browser.png

Verbindungseinstellungen
Parameter Beschreibung
Port Port und Protokoll (HTTP / HTTPS) zum Fernzugriff auf das Endgerät. Dieser Port muss im Mobilfunkrouter, bzw. Endgerät als erreichbarer Port eingerichtet worden sein, z.B. per Port Forwarding. Aus Sicherheitsgründen empfehlen wir den Fernzugriff im Router, bzw. Endgerät für einen verschlüsselten HTTPS-Port einzurichten (z.B. HTTPS Port 443). Das Schloss-Symbol im Schaubild zeigt zusätzlich an, ob eine unverschlüsselte (unsichere) HTTP-Verbindung oder verschlüsselte (sichere) HTTPS-Verbindung eingestellt wurde.
Erweiterte Verbindungseinstellungen
Parameter Beschreibung
SSL-Zertifikat (PK) Optional: Eingabe eines privaten Client-Zertifikats-Schlüssel, welches das mdex Gateway für eine gesicherte SSL-Verbindung verwenden soll.
SSL-Zertifikat Optional: Eingabe eines SSL Client-Zertikats, welches das mdex Gateway gegenüber dem Endgerät für eine gesicherte SSL-Verbindung verwenden soll.