Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Die Wireguard VPN-Technologie ist als Connectware-Dienst verfügbar

13 Dez
2019

Die Wireguard VPN-Technologie ist als Connectware-Dienst verfügbar

Connectware-Anwender können jetzt vom neuesten Wireguard VPN-Service für den privaten, sicheren und unabhängigen Fernzugriff profitieren. Wireguard ist eine sehr leicht verständliche und moderne VPN-Lösung. Es soll schneller, einfacher und schlanker sein als andere Technologien wie IPSec und OpenVPN. Eine Kombination aus extrem effizienten kryptographischen Primitiven und der Tatsache, dass Wireguard auf einem Linux-Kernel aufsetzt, bedeutet, dass sichere Netzwerke sehr schnell sein können. Wireguard eignet sich dabei sowohl für kleine Embedded-Geräte wie Smartphones als auch für vollwertige Backbone-Router.

Anwendungsfälle

  • Fernzugriff für Maschinenhersteller
  • Fernzugriff für Fabrikbetreiber
  • Fernzugriff für Dienstleister

Wireguard Connectware Dienst

Der Wireguard-Dienst nutzt die Vorteile der Connectware-Servicefähigkeiten, indem er alle Aktivitäten in einem einzigen Punkt der Konfiguration und Ausführung bündelt. Das bedeutet, dass ein Dienst, wenn er aktiviert ist, eine Reihe von Operationen an der Connectware durchführt; wenn er hingegen deaktiviert ist, werden diese Operationen entfernt. Dadurch ist das Aktivieren/Deaktivieren des Fernzugriffs schnell und einfach mit minimaler Konfiguration möglich.

Der Wireguard-Dienst fungiert als VPN-Gateway am entfernten Standort. Ein VPN-Gateway ist eine Art virtuelles Netzwerk-Gateway, das verschlüsselten Datenverkehr über eine öffentliche Verbindung sendet. Mit diesem VPN-Gateway können Sie den Datenverkehr zwischen z. B. einer Fabrikhalle und einem Servicetechnikernetz sicher übertragen.

Der Connectware Wireguard-Dienst erweitert eine Wireguard-Schnittstelle um eine MQTT-API zum Starten/Beenden der VPN-Verbindung, zum Veröffentlichen des erzeugten öffentlichen Schlüssels des Clients und zum Ausgeben von Status- und Konfigurationsänderungen der VPN-Verbindung zu vorkonfigurierten MQTT-Themen. Auf dem Host-Computer muss keine zusätzliche VPN-Client-Software installiert werden, da der Connectware-Dienst auf Docker-Containern basiert, der Dienst in einem Container installiert ist und alle konfigurierten Netzwerkparameter als Umgebungsvariablen im Container angezeigt werden.

Architektur mit Wireguard-Dienst

Vorteile

  • Der dienstbasierte Fernzugriff erfordert eine minimale technische Konfiguration. Alle Sicherheitsfunktionen werden automatisch konfiguriert. Benutzer müssen grundlegende Netzwerkparameter konfigurieren und nur den Dienst aktivieren, um eine Remote-Verbindung herzustellen.
  • Die Remote-Verbindung wird zentral überwacht und verwaltet. Das Hinzufügen und Entfernen von VPN-Gateways wird über den Relay-Server verwaltet.
  • IT-Sicherheitsrichtlinien auf der Betriebsstätte können durch die Verwendung der integrierten MQTT API durchgesetzt werden, die nur über den Connectware MQTT Broker zugänglich ist, um das VPN zu aktivieren und zu deaktivieren. Diese Funktion stellt sicher, dass die Remote-Verbindung immer vom Betriebsstandort aus gestartet wird. 

Zusätzliche Anforderungen

  • Für die zentrale Verwaltung aller VPN-Verbindungen müssen Dienstanbieter einen eigenen Public Relay Server auf Basis des Wireguard-Protokolls einrichten. Dieser Server ist nur ein normaler Wireguard-Peer, der als Vermittler zwischen allen VPN-Clients hinter NAT fungieren kann.
  • Jedem Client muss eine feste IP-Adresse zugewiesen werden. Eine dynamische IP-Zuweisung ist nicht möglich.

Ergänzende Links

Connectware technical overview
https://learn.cybus.io/lessons/connectware-technical-overview/

Connectware service concept basics
https://learn.cybus.io/lessons/service-basics/

Wireguard technical whitepaper
https://www.wireguard.com/papers/wireguard.pdf