IOBroker auf Server im Internet laufen lassen - Tipps?
-
Hallo Forum
wir nutzen den IOBroker geschäftlich und sehr intensiv und haben bereits viel Zeit in das System gesteckt.
Derzeit läuft der IObroker auf einem Zotak hier im Büro und ist über VPN mit 10 Standorten vernetzt und empfängt Daten.
Wir haben rund 1200 Geräte im Einsatz, Tendenz steigend.Die Sicherung erfolgt über Proxmox, Internetzugang über deutsche Glasfaser ohne feste IP. VPN über Fritzboxen.
Probleme:
Ein Zugriff von Außerhalb auf unseren Server ist nicht so einfach, da wir durch Glasfaser keine feste IP haben.
Wenn wir mal einen Stromausfall haben, Internet funktoniert nicht oder die Hardware streikt, wäre das schlecht.Ich würde gern auf einen Server im Internet umsteigen, z.B. V-Server auf Strato oder so und hier gern wieder Proxmox installieren, um die Sicherungen zu verwalten und eine feste IP zu haben. Meine Kenntnisse gehen leider nicht über Grundlagen hinaus...
Wie würdet Ihr das angehen, um eine 99% Zuverlässigkeit zu bekommen?
Danke für jeden Hinweis...
-
@flehmann1234 sagte in IOBroker auf Server im Internet laufen lassen - Tipps?:
Derzeit läuft der IObroker auf einem Zotak hier im Büro und ist über VPN mit 10 Standorten vernetzt und empfängt Daten.
Wir haben rund 1200 Geräte im Einsatz, Tendenz steigend.10 Standorte ??
-
@flehmann1234 Ein DynDns Anbieter hilft nicht um aus der Dynamischen IP was fest Ansprechbares zu machen?
Ansonsten erschließt sich mir nicht der Sinn das auf einem Server im Internet laufen zu lassen? Wenn dein Internet weg ist kommst du zwar noch an den ioBroker aber der kommt ja an keinerlei Geräte mehr da die ja bei dir Lokal laufen.
-
@flehmann1234 Grundsätzlich kann man das machen. Aber nachdem was du hier Schilderst solltet ihr euch jemanden suchen der sich mit Server Administration im Internet auskennt.
Es fängt schon damit an das du auf einem Virtuellen Server ein OS installieren möchtest das Virtualisiert.
Würde vielleicht gehen, aber bei Strato hast du nicht die freie Wahl und es ist keine so gute idee weil man das Probleme mit sich bringt.
Da wäre ein root server die richtige Wahl.Dann gibt es den Aspekt Sicherheit. ioBroker ist nicht für den Betrieb im Öffentlichen Netz gedacht, heisst es wurde auch nicht dafür gehärtet und es ist möglich das es Lücken gibt. Über diese kann man zugriff auf ioBroker oder sogar den Gesamten Server und damit auf das Firmennetzwerk bekommen.
Da du schreibst ein Zugriff von extern ist nicht möglich, geh ich davon aus du meinst außerhalb des VPN. Das sollte auch weiterhin nicht möglich sein aus oben genannten Gründen.
Wenn der Server komplett abgeschottet ist bis auf die VPN Verbindung dann ist der Betrieb einigermassen sicher hin zu bekommen.Aber ich versteh nicht warum man 10 Standorte gemeinsam über eine Installation laufen lässt. Es wäre viel Sinnvoller an jedem Standort eine Installation zu haben und diese dann zu vernetzen. Auch ein Server im Internet kann mal nicht verfügbar sein.
-
@flehmann1234 Also wenn du iob geschäftlich nutzt, rund 1200 Geräte im Einsatz hast und das in einer Büroumgebung, dann verstehe ich nicht warum du einen "normalen" Anschluss bei der DG hast.
Buch dir einen Business Tarif und du hast mindestens eine feste IP.
Bei den Business Tarifen hast du ausserdem SLA auf Ausfallzeiten, das ist für geschäftliche Anwendungen (Büroumgebung) eher sinnvoll... -
@amg_666 Ich nutze diverse Dienste auf Mietservern - aber wenn du es sicher machen willst kann es kompliziert sein.
Ich nutze einen Bare-Metal-Server auf dem ich VMware ESxi Installiert habe - so wie Proxmox - und habe dort meine Dienste jeweils als eigene VM laufen. Zur Absicherung dient eine weitere VM mit einer virtuellen Firewall (pfSense), Backup erfolgt per Veeam.
Halte ich für sehr sicher, aber man muss halt Ahnung davon haben.Eine einfache Möglichkeit für dich könnte sein, eine VM bei IONOS zu nehmen: https://www.ionos.de/server/vps, z.B. mit Ubuntu
Neben der Tatsache das es sich dabei um VMware-VMs handelt (man kann sogar Snapshots machen!) ist der Clou das man zum einem KVM Zugriff hat, zum anderen das man über das Web Firewallregeln festlegen kann und muss. Wenn man einen Webserver betriebt muss man Port 80 und 443 erst einmal freischalten. Man kann den Zugriff auch auf bestimmte IP-Adressen eingrenzen, der SSH Zugriff funktioniert so zum Beispiel nur von meiner festen IP von zu Hause (selbst ich als Privatmensch leiste mir eine).
Die Sicherung läuft über den kostenlosen Veeam-Agent für VMware, der sichert auf mein QNAP-NAS zu Hause per NFS und per SMB auf einen Server in einer anderen Testumgebung. Beides ist in den Firewalls so eingerichtet das der Zugriff nur von bestimmten IP-Adressen erfolgen kann. Das Backup kann uch auch lokal auf einem anderen ESXi-Server zurückspielen und starten. Den ganzen Cloud-Server wiederherzustellen wäre komplizierterDer Linux-Server könnte sich per VPN auf den ganzen FritzBoxen einwählen, umgekehrt wäre besser und geht bestimmt auch, habe ich auf die schnelle aber nichts zu gefunden.
Dann könnte die Büchse mit allen Ports dicht machen (lassen) bis auf die notwendigen für VPN.
Und selbst diese könnte man einschränken wenn es feste IP-Adressen an den Standorten gäbe (die IONOS-Firewall versteht nur IPv4 oder IPv6 Adressen)
Alternativ müsste man per API-Aufruf an IONOS die Firewallregeln immer dynamisch anpassen, es gibt auch eine API ( https://cloudpanel-api.ionos.com/documentation/v1/en/api/documentation.html )Die Verwaltung ginge ja auch über die iobroker Cloud.
Wie @Jey-Cee schon geschrieben hat, ioBroker ist nicht dafür gebaut und getestet frei im Internet zu stehen.
-
Danke für die vielen Antworten und Möglichkeiten. Ich denke, ich werde es erstmal so weiter laufen lassen.
Ich hatte es mir sehr viel einfacher vorgestellt aber wenn der IOBroker Server im Internet steht kommen noch mehr Probleme auf mich zu.
Ich habe mich für eine zentrale IOBrocker Lösung entschieden, um nicht noch 10 weitere Systeme pflegen zu müssen. Die eigentliche Steuerung der Heizungen und Pumpen erfolgt dezentral über CCU3 pro Haus. Hier könnte man notfalls über einen Taster auch Lokal wichtige Grundfunktionen steuern.
Der Punkt warum ich auf einen Server im Internet umsteigen wollte, war die 99% Verfügbarkeit und Sicherheit. Nun gilt es eine ähnliche Verfügbarkeit zu gewährleisten wie Z.B. LTE Stick falls Internet ausfällt, einen Ersatz-PC und natürlich Backups.
Glasfaser bietet feste IP´s nur in einem Business Tarif an, ab 169 Euro geht es da los.
Ein wenig viel...
Es gibt auch feste IP Adressen von Drittanbietern für Glasfaser, dieser sind aber nicht für ein Fritz VPN gedacht.
Jetzt habe ich nur noch ein Problem: wir haben eine Rufbereitschaft und jeder Mitarbeiter in Rufbereitschaft sollte auf wichtige Grundfunktionen zugreifen können, z.B. Heizungspumpen anstellen oder so und Temperaturdiagramme anschauen.
Es wäre perfekt, wenn ich die Mitarbeiter als Benutzer in IOBroker anlegen könnte und hier die Rechte vergeben könnte und bei einer Kündigung einfach deaktivieren könnte.
Hier bin ich noch nicht so recht weiter: Ein VPN Zugang vom Mitarbeiter über die Fritzbox ist ja durch Glasfaser nicht möglich.
in der IOBroker Cloud gibt es nur einen zentralen Zugang mit Anmeldedaten und Passwort, das ist auch nicht ideal wenn dort alle zugreifen würden.
Die VIS oder Lovelace öffentlich zugänglich zu machen, geht glaube ich auch nicht.
Ideal wäre es, wenn es eine Internetseite gib, wo sich die Mitarbeiter anmelden könnten und dann die Vis sehen und steuern könnten.
Alternative Lösung von Deutsche Glasfaser weg auf Telekom mit fester IP und Portfreigabe auf den IO Broker?Mobile IP VPN von Telekom ist auch unbezahlbar...
Versuche nochmal den Test über https://www.edv-kossmann.de/ mit fester IP...
vielleicht geht es ja doch...
Grüße
-
... hat funktioniert, der IOBroker wäre nun von extern über eine feste IP verfügbar!
Jetzt muss ich glaube ich nur noch eine zweite Webinstanz mit Benutzerrechten anlegen Portweiterleitung und alles ist super!
Grüße
