[NEUHEIT] Neues Leistungsmerkmal: Kunden-VPN auf den Timberwolf Server

[StefanW]

Hallo Foristen, Gäste und Interessenten, es gibt in Kürze ein neues Leistungsmerkmal:


"VPN-Verbindung aus dem Internet auf den Timberwolf Server und das interne Netz"

Wir waren nun beinahe 2 Jahre in Tests und BETA-Phase mit ein paar hundert mutigen Kunden. Vielen Dank dafür. Das System ist im Grundsatz ausgereift, aber ein paar Leistungsmerkmale fehlen noch, die wir unbedingt zum Release der Hauptversion V 1.5 mit dabei haben wollten.

Eines dieser wesentlichen Leistungsmerkmale ist das VPN, also der Zugriff von außen. Dieses Leistungsmerkmal ist intern fertiggestellt, wird gerade intensiv getestet und in Kürze mit einer der nächsten BETAs ausgerollt.


Daher kurz ein Preview dazu (die Texte in den Screenshots werden noch überarbeitet):


Ich denke, die Einstellungsseite ist uns übersichtlich gelungen, nur ganz wenige Eingaben sind ausreichend und schon kann man das Profil mit allen Einstellungen für die Clients (Smartphone / Tablett / Notebook) herunterladen:



Wichtiger Hinweis: Wir nehmen Sicherheit sehr ernst, daher wird ein sehr langes Schlüsselpaar erzeugt. Diese mathematischen Berechnungen sind aufwändig und obwohl die Timberwolf Server sehr performant sind, kann die Berechnung des Schlüsselpaares bis zu einer dreiviertel Stunde dauern. Bitte warten Sie dies ab, wenn es angezeigt wird. Das Anwender-Profil steht erst dann zum herunterladen zur Verfügung, wenn die Schlüsselpaare auch berechnet sind. Diese Schlüssel dienen zur Authentifizierung.


Dieses Profil enthält sämtliche Einstellungen und Zertifikate für den OpenVPN Client. Einfach die entsprechende APP auf sein Smart Device installieren, das Profil einlesen und schon geht es los:




Und damit man auch auf weitere Devices im internen Netz zugreifen kann, wurden die Einstellungen noch erweitert:



Damit ist mit einem Klick eingestellt, ob interne Geräte auch erreichbar sind und wie, also über welchen der Ethernet-Ports und ob per NAT oder via Routing (dann geht das auch in weitere, angeschlossene Netze).


Damit man dann auch weiß, was man nun im Netz noch einstellen muss (oder nicht) wird das nach der Einstellung erklärt:






Damit haben wir dann auch das Thema "Direkte VPN Einwahl mit Port-Weiterleitung" dem Leistungsumfang hinzugefügt. Der Zugriff via TLS (https) mit Portweiterleitung war ja von Anfang an verfügbar. Damit ist nun auch das Programmieren mit der ETS über VPN verfügbar.


Kommende Erweiterungen. Vor allem für Integratoren wird das indirekte VPN wichtig werden. Hier verbindet sich der Integrator nur mit der Timberwolf Cloud und kann dann auf alle seine Kunden-Server und das KNX-Netz zugreifen.


lg

Stefan

[danik]

Toll, ein sehr wichtiges Feature für den TW, und so wie es aussieht für den normalen User einfach einzurichten. Was ich mit dem VPN Zugriff schon an Zeit aufgewendet habe (bevor ich mir eine Fritzbox angelacht habe).

Gruss
Dani

[StefanW]

Jep, es sollte so einfach wie nur möglich sein.

Drei Klicks, Namen eingeben, OpenVPN Client installieren, Profile durch Klick runterladen und importieren und fertig (die Portweiterleitung muss jeder selbst hinbekommen, aber für letzteres ist ja noch die indirekte Variante über timberwolf.io geplant, dann wird es ganz einfach, weil da reicht dann nur noch ein Klick für die Freigabe.

lg

Stefan

[Robert_Mini]

...aber für letzteres ist ja noch die indirekte Variante über timberowolf.io geplant, dann wird es ganz einfach, weil da reicht dann nur noch ein Klick für die Freigabe.

Darauf freu ich mich schon seit ich der Ankündigung des TWS !
Ist das auch für 1.5 geplant oder danach?

Lg Robert

[gbglace]

Für mich als totalen Netzwerk-Laie, brauche ich dann auch nicht die erweiterten .Endungen im TWS-Zertifikat, da ich hier ein eigenes VPN habe und nicht erst irgendwie extern durch das Fritz-Box VPN muss?

Schalte ich dann in der Fritz-Box wieder IPv6 aktiv, damit ich ne eindeutige IP nach draußen habe? Oder braucht es doch noch ne Kombination aus dem TWS-VPN und einer wie auch immer organisierten fixen IPv4 Adresse? Irgendwie muss ich ja erstmal von draußen den TWs anpingen können.

[StefanW]

Guten Morgen Robert,

Darauf freu ich mich schon seit ich der Ankündigung des TWS !
Ist das auch für 1.5 geplant oder danach?

Kommt mit einer der nächsten BETAs und Ist noch für die erste Hauptversion V 1.5 geplant.

Wir haben für die Hauptversion 1.5 folgende vier Themen, die bis zu deren Erscheinen noch realisiert sein sollen:

1. Logik-Editor freigegeben (bereits im DEV-Test)
2. VPN zur Einwahl von außen via Portweiterleitung (bereits entwickelt, kurz vor Freigabe im DEV-Test)
3. Plugin-Container als APP (bereits im DEV-Test)
4. Lösung für Proxy-Fehler Cometvisu

plus jede Menge Finishing


lg

Stefan

[StefanW]

Guten Morgen Göran,

Für mich als totalen Netzwerk-Laie, brauche ich dann auch nicht die erweiterten .Endungen im TWS-Zertifikat, da ich hier ein eigenes VPN habe und nicht erst irgendwie extern durch das Fritz-Box VPN muss?

Doch.

Das sind zwei verschiedene Paar Stiefel die man aber leicht verwechseln kann, weil die fast gleich aussehen.

1. "https-Tunnel": Die Verschlüsselung des Webseitenzugriffes stellt eine Verschlüsselung zwischen dem Webserver und dem Browser dar und wird mit dem Protokoll http/2 in Verbindung mit TLS V 1.2 vorgenommen. Das Zertifikat dient dem Browser dabei lediglich zur Authentifizierung (was technisch ein ganz anderer Vorgang ist als die Verschlüsselung, aber durch die Browser fest miteinander kombiniert wird und damit vorgegeben ist) des Webservers. Es handelt sich hier also beim verschlüsselten Browserzugriff bereits um einen per Zertifikat (zumindest einseitig, da sich nur der Webserver authentifiziert) authentifizierten und voll verschlüsselten VPN-Tunnel. Die VPN-Funktion ist hier im Browser und Webserver eingebaut. Die Bezeichnung "https-Tunnel" ist nicht korrekt aber für die meisten sicher verständlich.

2. OpenVPN-Tunnel: Ein OpenVPN Tunnel bedient sich ebenfalls der Verschlüsselung mit TLS nur gibt es hier ein paar einstellbare Optionen, eine Anwender-Verwaltung usw. Zur Nutzung benötigt man einen OpenVPN Client und einen OpenVPN Server (letzterer ist auf dem Timberwolf Server vorinstalliert). Wir verwenden hier auch Zertifikate für die Verbindung, allerdings beidseitig. D.h. es gibt ein Zertifikat im Server und es wird für jeden User der angelegt wird ein eigenes Zertifikat (automatisch) erstellt und in das "Profil", das ist eine Datei mit allen Einstellungen, miteingepackt. Der Port ist hier frei wählbar, womit man es den Hackern etwas schwerer machen kann, weil die meist auf bestimmten Ports suchen. Damit - und wegen dem clientseitigem Zertifikat - ist die Authentifizierung und die Sicherheit größer als beim einfachen "https-Tunnel". Zudem unterstützen wir hier auch noch Routing / NATen in das Netz

Der wesentliche Unterschied beider "VPNs" ist, dass das eine nur zwischen Browser und Webserver funktioniert und damit auch nur Web-Verbindungen (http-Protokolle) unterstützt. Der OpenVPN Tunnel funktioniert auf Netzwerkebene und kann damit den gesamten Datenverkehr einpacken und damit auch z.B. die Programmierung per ETS ermöglichen und auch alles andere. Es stellt also eine vollwertige Verbindung in das heimische Netz dar.

Schalte ich dann in der Fritz-Box wieder IPv6 aktiv, damit ich ne eindeutige IP nach draußen habe? Oder braucht es doch noch ne Kombination aus dem TWS-VPN und einer wie auch immer organisierten fixen IPv4 Adresse? Irgendwie muss ich ja erstmal von draußen den TWs anpingen können.

Grundsätzlich brauchst Du eine Namensauflösung auf Deine IP von außen, also eine DNS-Auflösung, sonst weiß der OpenVPN Client ja nicht wohin. Ob IPv6 funktioniert kann ich nicht sagen, das kommt eher darauf an, dass die Fritzbox das IPv6 von außen auf IPv4 innen richtig umsetzt bei der Portweiterleitung. Müssen wir testen. Das Problem ist eher, dass die meiste Welt noch IPv4 hat und die Umsetzung auf IPv6 zum DSL-Anschluss nicht mit reservierten IPv4 Adressen funktioniert.... Hier hilft dann nur die (geplante) indirekte Variante.

lg

Stefan

[Robert_Mini]

Guten Morgen Robert,

Darauf freu ich mich schon seit ich der Ankündigung des TWS !
Ist das auch für 1.5 geplant oder danach?

Kommt mit einer der nächsten BETAs und Ist noch für die erste Hauptversion V 1.5 geplant.

Hallo Stefan!

Meine Frage (und Zitat) bezog sich auf den Zugriff von Außen über Timberwolf.io Cloud.
Wenn ich die Ziele für 1.5 sehe, ist dieses Thema nicht dabei (und auch kein Showstopper für V1.5) - ich sehne mich eben danach, weil ich am Thema Portweiterleitung bisher in Kombination mit UMTS Internet gescheitert bin.

lg
Robert

[gbglace]

Danke Stefan für die Erläuterungen.

Aber ich muss da nochmal nachlegen.
Der VPN Tunnel baut mir also einen gesicherten Zugriff ins gesamte heimische Netzwerk, das TWS-Zertifikat sichert darüberhinaus noch die Kommunikation zwischen Webserver (TWS Frontend) und meinem Browser.
Aber trotz VPN-Tunnelverbindung brauche ich aber mehr als ein .local Zertifikat im Browser, da ich immer noch extern und nicht Bestandteil des Fritzbox DHCP-IP-Verteilers bin.

Wenn dem so ist, werde ich mich mal drüben im anderen Thread auch um ein Zertifikat-Upgragde bewerben.
Und wenn das VPN Feature testbar ist werde ich mir also noch irgendwie ne IPv4 Adresse zulegen müssen um das extern vernünftig nutzen zu können. In der Fritze gibt es da ja was. Muss dann mal sehen ob das auch ohne Nutzung des FB VPN nutzbar ist.

Alles ganz schön kompliziert. Da man ja offensichtlich allein schon wg der fehlenden Verbreitung von externen fixen IP-Adressen eigentlich gar nicht so sauber an seine Geräte kommt. Damit ist ja eigentlich klar, dass jeder Hersteller schon allein deswegen alles über irgendwelche Clouds baut. Da melden sich beide Seiten (App aufn Handy und Gerät im LAN) von sich aus aktiv am Server und der Vermittelt. Das natürlich viel einfacher anzubieten als das jeder Haushalt noch irgendwas baut und bastelt um von extern mit fixen Adressen erreichbar zu sein.

Insofern ist das ganze System Internet im Sinne einer sicheren Infrastruktur alles andere als bedienerfreundlich.

[Robert_Mini]

Das macht ja den Timberwolf.io Cloud-Service so interessant, weil einfach ohne fixe IP, dyndns, portmapping etc.

Robert