VPN-Server pro Agent konfigurieren (Direkt-VPN)
Ein Direkt-Anlagen-VPN ist ein dedizierter Tunnel zwischen dem Mirox-Agent einer einzelnen Anlage und dem anlageneigenen Router — das richtige Werkzeug, wenn eine Anlage bereits ein eigenes VPN betreibt oder wenn Mirox ein VPN hosten soll, in das sich der Anlagen-Router einwählt. Anders als das persönliche VPN, das jedem Benutzer ein Profil gibt, mit dem alle seine berechtigten Anlagen erreichbar sind, ist ein Direkt-VPN ein anlagenspezifischer Infrastruktur-Tunnel, den Sie einmal einrichten und über den der gesamte Datenverkehr des Teams für diese Anlage läuft.
Sie konfigurieren Direkt-VPNs auf der Seite Netzwerk einer Anlage, im Tab Site VPN.
In Mirox öffnen
Den Site-VPN-Tab der Anlage öffnen. In der App ist dies die Seite Netzwerk der Anlage, Tab Site VPN.
Wann ein Direkt-VPN verwenden
Greifen Sie zu einem Direkt-VPN, wenn die Konnektivität der Anlage nicht in das Standardmodell des persönlichen VPNs passt:
- Der Anlagen-Router hostet bereits einen eigenen VPN-Server. Sie verfügen über eine Konfigurationsdatei (WireGuard
.conf) oder ein OpenVPN-Profil (.ovpn) und möchten, dass Mirox sich zu ihm verbindet. - Der Anlagen-Router kann sich nur nach außen verbinden, aber keine eingehenden Verbindungen annehmen. Mirox hostet den VPN-Endpunkt und der Router verbindet sich mit ihm.
- Sie möchten einen dauerhaft aktiven Tunnel für die gesamte Anlage, statt dass jeder Benutzer ein persönliches Profil mitführt.
Für die tägliche technische Arbeit über mehrere Anlagen hinweg — das Öffnen von Geräte-Weboberflächen, das Ausführen von Diagnosewerkzeugen — sind das persönliche VPN und der Browser-Proxy in der Regel die bessere Wahl. Die folgende Tabelle fasst den Unterschied zusammen; der vollständige Vergleich findet sich auf der VPN-Funktionsseite.
| Werkzeug | Was es ist | Wer es einrichtet |
|---|---|---|
| Persönliches VPN | Ein persönliches Profil, mit dem jede Anlage erreichbar ist, für die Sie berechtigt sind | Jeder Benutzer im Rahmen seiner Berechtigungen |
| Direkt-VPN (diese Anleitung) | Ein anlagenspezifischer Tunnel zwischen dem Agent der Anlage und ihrem Router | Ein Moderator oder Admin der Organisation der Anlage |
| Browser-Proxy | Die Weboberfläche eines Geräts aus dem Browser öffnen, ohne Client-Installation | Der Betreiber der Anlage |
Die zwei Richtungen
Ein Direkt-VPN kann in einer von zwei Richtungen betrieben werden. Der Einrichtungsassistent fragt dies zuerst ab, unter Wo befindet sich der VPN-Server?
Hinweis: Gestrichelte Linien zeigen die Verbindungsrichtung an — pro Direkt-VPN gilt nur eine Richtung.
- Ausgehende Verbindung — Mirox verbindet sich zum Anlagen-Router. Der Anlagen-Router betreibt seinen eigenen VPN-Server; der Mirox-Agent verbindet sich als Client nach außen. Wählen Sie dies, wenn Sie bereits eine Konfigurationsdatei oder Zugangsdaten für das VPN des Routers haben.
- Hier gehostet — der Anlagen-Router verbindet sich zu Mirox. Mirox betreibt den VPN-Server. Endpunkt, Port und Zertifikate werden von Mirox generiert und Ihnen übergeben, damit Sie sie auf den Anlagen-Router laden. Wählen Sie dies, wenn der Router sich nach außen verbinden, aber keine eingehenden Verbindungen annehmen kann.
Beide Richtungen unterstützen WireGuard und OpenVPN (UDP oder TCP). Bei OpenVPN können Sie die Einstellungen eines älteren Routers nachbilden (Verschlüsselung, Authentifizierungs-Digest, minimale TLS-Version, Komprimierung), sodass sich selbst Legacy-Firmware verbinden lässt.
Bevor Sie beginnen
Wer Direkt-VPNs konfigurieren kann
Der Site-VPN-Tab ist sichtbar für Technische Betriebsführung oder höher auf der Anlage (einschließlich Betreiber). Das Erstellen, Bearbeiten oder Löschen eines Direkt-VPNs erfordert einen Moderator oder Admin der anlageneigenen Organisation. Niedrigere Rollen sowie Benutzer, die die Anlage über eine Kooperation erreichen, sehen die konfigurierten Tunnel, können sie aber nicht ändern. Der Zugriff folgt dem Berechtigungssystem.
Halten Sie bereit:
- Die Richtung, die Sie benötigen (ausgehend vs. gehostet), je nachdem, was der Anlagen-Router unterstützt.
- Für die ausgehende Richtung: die VPN-Konfigurationsdatei des Routers (
.confoder.ovpn) oder die Endpunktadresse und Schlüssel zur manuellen Eingabe. - Das/die Anlagen-Subnetz(e) hinter dem Router, das/die Sie erreichen möchten — die lokalen Netzwerkbereiche (CIDRs), in denen sich die Wechselrichter, Logger und anderen Geräte befinden.
Ein Direkt-VPN hinzufügen
- In Mirox öffnen: Öffnen Sie den Site-VPN-Tab der Anlage — die Seite Netzwerk der Anlage, Tab Site VPN.
- Klicken Sie auf Direkt-VPN hinzufügen. Ein kurzer Assistent öffnet sich.
- Wählen Sie die Richtung — Mirox verbindet sich zum Park-Router (ausgehend) oder Park-Router verbindet sich zu Mirox (gehostet).
- Grundeinstellungen — geben Sie dem Tunnel einen Namen und eine optionale Beschreibung und wählen Sie das Protokoll (WireGuard oder OpenVPN). Für einen gehosteten OpenVPN-Server können Sie zudem UDP oder TCP wählen und unter „Erweitert“ die Krypto-Einstellungen eines Legacy-Routers nachbilden.
- Verbindungsdetails — (nur ausgehend) laden Sie die
.conf/.ovpn-Datei des Routers hoch oder wechseln Sie zur manuellen Eingabe und tippen Sie Endpunkt und Schlüssel ein. Für ein gehostetes VPN gibt es hier nichts einzugeben; Mirox stellt Endpunkt und Schlüssel bereit. - Anlagen-Subnetz — fügen Sie den/die hinter dem Router erreichbaren lokalen Netzwerkbereich(e) hinzu. Die Plattform validiert jeden Bereich und blockiert alles, was mit dem reservierten Tunnelbereich, einer Organisations-VPN-Route oder einem anderen Direkt-VPN auf derselben Anlage kollidieren würde.
- Prüfen und anwenden — bestätigen Sie die Zusammenfassung und klicken Sie dann auf Anwenden.
Speichern Sie die Zugangsdaten des gehosteten VPNs sofort
Wenn Sie ein gehostetes VPN erstellen, generiert Mirox das Zertifikat und den Schlüssel, die der Anlagen-Router zum Einwählen benötigt, und zeigt sie nur einmal an. Laden Sie sie herunter und auf den Router, bevor Sie den Dialog schließen — sie können später nicht mehr abgerufen werden. Wenn Sie sie verlieren, löschen Sie den Server und erstellen ihn neu.
Sobald der Tunnel steht, werden die Geräte in den konfigurierten Anlagen-Subnetzen erreichbar, und jede Netzwerkgeräte-Erkennung, die Sie auf der Anlage ausführen, scannt durch ihn hindurch.
Die Standardroute ist niemals erlaubt
Ein Direkt-VPN trägt niemals eine 0.0.0.0/0-Route nach dem Prinzip „alles senden“. Listen Sie stets die expliziten Anlagen-Subnetze auf, die Sie erreichen möchten. Wenn Sie eine Konfiguration hochladen, die eine Standardroute enthält, entfernt die Plattform diese und fordert Sie auf, die spezifischen Bereiche hinzuzufügen.
Ein bestehendes Direkt-VPN verwalten
Jedes Direkt-VPN erscheint als Karte auf dem Tab Site VPN, gekennzeichnet als Server (gehostet) oder Client (ausgehend), mit einer Live-Verbindungsleiste und einem Traffic-Indikator. Öffnen Sie das ...-Menü der Karte für:
- Bearbeiten — Name, Beschreibung, Subnetze, Endpunkt oder Schlüssel ändern.
- VPN neu starten — den Tunnel ohne Änderung seiner Konfiguration durchstarten; nützlich nach einer Einstellungsänderung oder einem kurzzeitigen Abbruch.
- Logs öffnen — die jüngsten Verbindungs-Logs des Tunnels ansehen, um ein Problem zu diagnostizieren.
- Diagnose — (wird angezeigt, wenn der Tunnel aktuell getrennt ist) eine geführte Prüfung ausführen, die vorschlägt, was zu beheben ist.
- Löschen / Deaktivieren — den Tunnel entfernen.
Die Anlagen-Subnetze verwalten
Die Subnetze, die ein Direkt-VPN routet, machen die Geräte der Anlage erreichbar. Fügen Sie Bereiche jederzeit aus der Bearbeiten-Ansicht des VPNs hinzu oder entfernen Sie sie. Das Entfernen eines Subnetzes, hinter dem sich noch Netzwerkgeräte befinden, lässt diese Geräte ohne Route zurück — der Löschdialog warnt Sie und listet auf, welche Geräte betroffen sind, sodass Sie sie zuerst einem anderen Tunnel zuweisen können.
Gehostetes VPN: Clients verbinden
Ein gehostetes VPN kann zwei Arten von Verbindungen annehmen, beide ohne die Anlage zu verlassen verwaltbar:
- Site-Verbindungen — der Anlagen-Router selbst (oder ein anderer fester Standort), der sich einwählt und die Anlagen-Subnetze ankündigt. Der erste Site-Client wird beim Einrichten eines gehosteten VPNs für Sie erstellt.
- Benutzer-Verbindungen — einzelne Personen, die sich in denselben gehosteten Server einwählen. Diese werden auf dem separaten Tab User VPN aufgeführt, wo Sie einen Benutzer hinzufügen, ihm sein nur einmal angezeigtes Profil übergeben und seinen Zugriff später wieder entfernen können.
Das Deaktivieren eines gehosteten Servers ist destruktiv
Das Löschen eines gehosteten VPNs entfernt den Server und jeden verbindenden Client — sowohl Sites als auch Benutzer. Deren bestehende Konfigurationen funktionieren sofort nicht mehr und können nicht neu ausgestellt werden; wenn Sie den Server später wieder aktivieren, müssen alle Clients von Grund auf neu erstellt werden.
Verwandte Funktionen
- Das VPN nutzen — das persönliche, benutzerspezifische VPN-Profil, mit dem alle Ihre berechtigten Anlagen erreichbar sind
- Den Proxy nutzen — die Weboberfläche eines Geräts im Browser öffnen, ohne VPN-Client
- Netzwerkgeräte verwalten — die über einen Tunnel erreichbaren Geräte erkennen und überwachen
- VPN (Funktion) — wie sich die VPN-Varianten unterscheiden und wie Routing und Auditing funktionieren
- Lokaler Netzwerk-Inspektor — plattformseitige Erreichbarkeitsprüfungen des Anlagennetzwerks
- Audit-Protokollierung des Zugriffs — der Audit-Trail, der alle Fernzugriffe abdeckt