Das VPN nutzen
Ein einziges, persönliches VPN-Profil verschafft Ihnen sicheren Zugriff auf die internen Netze jeder Anlage, für die Sie berechtigt sind — einmal installiert, erreichen Sie Wechselrichter, Datenlogger und Schaltschrank-PCs, als wären Sie vor Ort. Dieser Leitfaden führt Sie durch das Ausstellen Ihres Profils, das Verbinden, das Verwalten Ihrer Routen sowie das Rotieren oder Widerrufen bei Bedarf. Wie das VPN technisch funktioniert, erfahren Sie unter VPN.
Wo Sie es finden
Alles Folgende geschieht auf Ihrer Profil-Seite unter dem Reiter VPN. In Mirox öffnen — wählen Sie dann den Reiter VPN (Profil-Menü ▸ Profil ▸ VPN).
Bevor Sie beginnen
- Sie benötigen eine Berechtigung für mindestens eine Anlage. Das Zertifikat allein erreicht nichts — nur die Anlagen, die Ihre Berechtigungen freigeben, werden routbar.
- Installieren Sie einen WireGuard-Client auf Ihrem Gerät (Desktop oder Mobil). Sie importieren eine Konfigurationsdatei darin.
- Eine Anlage wird erreichbar, sobald sie eine Mirox-Agent-Verbindung und konfigurierte Subnetze besitzt. Bis dahin wird ihre Route als nicht erreichbar angezeigt und geht automatisch online, sobald der Agent verfügbar ist.
Ihr persönliches VPN-Profil ausstellen
Sie können jeweils genau ein persönliches VPN-Zertifikat besitzen.
- Öffnen Sie Ihr Profil und wählen Sie den Reiter VPN.
- Klicken Sie auf Zertifikat ausstellen.
- Ihre WireGuard-Konfigurationsdatei (
.conf) wird automatisch auf Ihr Gerät heruntergeladen.
Die Konfiguration wird genau einmal angezeigt
Die Konfigurationsdatei enthält Ihren privaten Schlüssel, der auf Ihrem Gerät generiert und niemals in der Cloud gespeichert wird. Sie wird Ihnen ein einziges Mal übermittelt, bei der Ausstellung (und erneut bei der Rotation). Speichern Sie sie sofort an einem sicheren Ort. Wenn Sie sie verlieren, müssen Sie rotieren, um eine neue zu erhalten.
Die Konfiguration in WireGuard installieren
- Öffnen Sie Ihren WireGuard-Client.
- Importieren Sie die heruntergeladene
.conf-Datei (am Desktop: Tunnel aus Datei importieren; mobil: scannen oder Datei importieren). - Aktivieren Sie den Tunnel.
Sobald der Tunnel aktiv ist, können Sie die Anlagennetze, auf die Sie Zugriff haben, direkt ansprechen — Weboberflächen von Wechselrichtern, Tracker-Steuerungen, Datenloggern und Schaltschrank-PCs, SSH zu Servicegeräten, Modbus/TCP-Diagnose oder beliebige Ihrer eigenen Werkzeuge, die mit der Anlageninfrastruktur kommunizieren.
Prüfen, ob die richtige Konfiguration aktiv ist
Im Reiter VPN zeigt die Karte VPN-Zertifikat verwalten Ihren aktuellen öffentlichen Schlüssel an. Er sollte mit dem öffentlichen Schlüssel übereinstimmen, den Ihr WireGuard-Client für den aktiven Tunnel meldet. Weichen sie ab, ist Ihre .conf veraltet — rotieren und erneut herunterladen.
Die Anlagen erreichen, für die Sie berechtigt sind
Die Karte Erreichbare Subnetze listet jedes Anlagen-Subnetz auf, das Ihre aktuellen Berechtigungen öffnen, gruppiert nach Organisation, Portfolio und Anlage. Die Liste wird automatisch abgeleitet — es gibt nichts von Hand hinzuzufügen.
- Eine neue Berechtigung, eine neue Anlage oder ein neu konfiguriertes Subnetz erscheint hier von selbst.
- Wird eine Berechtigung entzogen (eine Rollenänderung, eine beendete Kooperation, eine gelöschte Anlage), verschwindet die Route automatisch und jede offene Verbindung wird bei der nächsten Synchronisation getrennt.
- Nutzen Sie das Suchfeld und die Portfolio-/Anlagenfilter, um ein bestimmtes Subnetz schnell zu finden.
Jede Zeile zeigt einen Status:
| Status | Bedeutung |
|---|---|
| active | Das Subnetz ist gerade jetzt über Ihren Tunnel geroutet und erreichbar |
| conflict | Zwei oder mehr Anlagen, die Sie erreichen können, nutzen dasselbe lokale Subnetz — siehe unten |
| unreachable | Für diese Anlage ist noch kein Agent-Peer bereitgestellt; die Route geht automatisch online, sobald dies geschieht |
Wenn sich Ihr Routen-Satz ändert und Sie den aktuellen Stand sofort abrufen möchten, klicken Sie auf Aktualisieren.
Ein in Konflikt stehendes Subnetz auflösen
Wenn zwei Anlagen, die Sie erreichen können, denselben lokalen Bereich nutzen (zum Beispiel beide auf 192.168.1.0/24), kann Ihr Tunnel den Bereich nicht gleichzeitig an beide routen. In Konflikt stehende Subnetze werden zuerst aufgelistet, damit Sie sie sofort bearbeiten können, und die unterlegenen Zeilen sind hervorgehoben.
So wählen Sie, welcher Anlage der Bereich bei Ihnen gehört:
- Suchen Sie in der Karte Erreichbare Subnetze die hervorgehobenen Konfliktzeilen für das Subnetz.
- Klicken Sie auf die Zeile der Anlage, die Sie erreichen möchten.
- Bestätigen Sie Diesen Park verwenden im Dialog.
Der Datenverkehr zu diesem Subnetz wird nun zur ausgewählten Anlage getunnelt. Die anderen Anlagen, die denselben Bereich beanspruchen, bleiben mit Ihrem VPN verbunden, lösen dieses Subnetz aber nicht mehr auf, bis Sie zurückwechseln. Wiederholen Sie den Wechsel, wann immer Sie eine andere Anlage im selben Bereich erreichen müssen.
Ein Bereich, ein Ziel zur selben Zeit
Ein Konflikt ist kein Fehler — er bedeutet nur, dass Sie der Plattform mitteilen müssen, welche Anlage für diesen überlappenden Bereich gewinnt. Den Gewinner zu wechseln ist sofort wirksam und umkehrbar.
Ihre Verbindungen überprüfen
Die Karte Letzte Verbindungen ist Ihre Selbsttransparenz-Ansicht für Ihr eigenes Zertifikat:
- Wann jede Sitzung begann und wie lange sie dauerte (der aktive Tunnel zeigt Online).
- Den geografischen Standort und die Quell-IP-Adresse der Verbindung.
- Das pro Sitzung übertragene Datenvolumen.
Sehen Sie eine Verbindung, die Sie nicht kennen?
Wenn eine Sitzung unbekannt erscheint, rotieren Sie Ihr Zertifikat sofort (siehe unten). Diese Ansicht zeigt nur die Aktivität Ihres Zertifikats — das vollständige, rechtskonforme Zugriffsprotokoll für eine Anlage wird separat von der Betreiberorganisation der Anlage geführt. Siehe Zugriffsprotokollierung.
Ihr Zertifikat rotieren oder widerrufen
Beide Aktionen befinden sich in der roten Karte VPN-Zertifikat verwalten am unteren Ende des Reiters VPN.
Rotieren
Nutzen Sie die Rotation, wenn Sie das Gerät wechseln oder vermuten, dass Ihr Schlüssel offengelegt wurde. Sie ersetzt Ihren Schlüsselsatz, ohne das Zertifikat zu entfernen.
- Klicken Sie auf Zertifikat rotieren.
- Bestätigen Sie Rotieren & herunterladen.
- Die neue
.confwird einmal heruntergeladen — speichern Sie sie und importieren Sie sie erneut in WireGuard.
Ihr alter Schlüssel funktioniert ab der nächsten Synchronisation nicht mehr, sodass der vorherige Tunnel getrennt wird. Ihre Routen und Ihr Sitzungsverlauf bleiben erhalten.
Widerrufen
Nutzen Sie den Widerruf, wenn Sie den VPN-Zugriff überhaupt nicht mehr benötigen.
- Klicken Sie auf Zertifikat widerrufen.
- Bestätigen Sie Widerrufen.
Sie werden sofort getrennt, und das Zertifikat, seine Routen und Ihr Sitzungsverlauf werden entfernt. Sie können später jederzeit ein neues Zertifikat ausstellen.
Wann das VPN zu nutzen ist
Das persönliche VPN ist das richtige Werkzeug, wenn Sie beliebige Werkzeuge produktiv gegen Geräte über mehrere Anlagen hinweg einsetzen müssen. Wenn Sie nur die Weboberfläche eines einzelnen Geräts öffnen möchten, ist der Proxy schneller — kein zu installierender Client, direkt aus dem Browser. Für organisationsweite oder anlagengehostete Tunnel, die zentral statt pro Person verwaltet werden, siehe VPN-Server pro Agent konfigurieren (Direct VPN). Den vollständigen Vergleich aller Fernzugriffsvarianten finden Sie in der VPN-Funktionsabgrenzungstabelle.
Verwandte Leitfäden
- Den Proxy nutzen — die Weboberfläche eines Geräts aus dem Browser öffnen, ohne VPN-Client
- VPN-Server pro Agent konfigurieren (Direct VPN) — zentrale, agentenbezogene Anlagentunnel
- VPN — wie das persönliche VPN funktioniert und was es leistet
- Zugriffsprotokollierung — das betreiberseitige Prüfprotokoll aller VPN-Zugriffe
- Berechtigungssystem — steuert, welche Anlagen Ihr Zertifikat erreichen kann