Fernwartungslösung (VPN)

Ne Fritzbox ?
Beliebt ist aber auch eine Raspberry Pi als VPN Server ( siehe z.B. https://www.experte.de/vpn/raspberry-pi )

Oder hab ich die Frage nicht verstanden ?

Vermutlich Portweiterleitung notwendig.

Vielleicht nochmal einfacher erklärt Ich möchte ein "Kastl", dass ich dir schicken kann, du steckst es ans Netzwerk und ich kann mich drauf verbinden und aufs Netzwerk zugreifen.

Das kann der Gira S1 z.b., ich muss nur die Geräte SN kennen bzw. das Gerät bei mir registriert haben (Gira Geräteportal).

Alternativ könnte man auch einen MiniPC bauen der Teamviewer als Dienst startet (mit immer gleicher ID).

Mit Teamviewer übernimmst du da aber einen PC und nicht primär den Zugriff auf ein Netzwerk.
Teamviewer gibts als Server auch für den RPi. ( https://www.teamviewer.com/de/download/raspberry-pi/ )

Könnte das Kastl nicht einfach der Router sein, also z.B. eine Fritzbox, damit bräuichtest du ekien Weiterleitung von VPN auf eine weitere Kiste.

Ich glaub ich versteht dein Ansinnen immer noch nicht.

Ober willst du einfach partout einen externen Service wo sich ein "internes Kastel" immer von innen her anmelden muss und wo man dann über diesen externen Service dann darauf zugreifen kann ? Das was eigentlich keinen will

Ich glaube, worauf THX hinaus will ist eine Art Hardware-Fernzugriff, den man Kunden temporär zur Verfügung stellen kann - z.B. für Fehlersuche oder Anpassungen. Dabei geht es darum, dass der "Empfänger" einfach ein Netzwerkgerät in sein bestehendes Netzwerk hängt, ohne etwas daran zu verändern - und man dann per Fernzugriff auf verschiedene Geräte und Dienste im Netzwerk zugreifen kann. Das ist insbesondere bei netzwerktechnisch weniger versierten Leuten wichtig.
Etwas ähnliches betreiben wir bei unseren Kunden entweder per VPN der sowieso fürs Internet vorgesehenen Fritzbox oder wir installieren temporär eine Fritzbox LTE mit VPN-Zugang. Letzteres geht allerdings nur, wenn der Kunde noch nicht eingezogen ist...

Ich sehe anhand der Kriterien verschiedene Möglichkeiten:

a) TeamViewer/Anydesk: man könnte einen Minipc oder sogar raspberry mit einem "unbeaufsichtigten" TeamViewer Fernzugriff ausstatten. Das Gerät wird als DHCP konfiguriert, der TeamViewer auf autostart gesetzt. Der Kunde bekommt das Teil, stöpselt es an Strom und Netzwerk an und schaltet es ein. Der Rest sollte dann automatisch laufen, der unbeaufsichtigte Zugriff mit vorgewähltem Passwort. Ich bin mir allerdings nicht ganz sicher, ob der PC dann ein Userpasswort haben darf oder ob TeamViewer sich damit beißt... Analog sollte es auch mit Anydesk laufen.
Da die Dienste sich immer an den Servern anmelden, sind Portfreigaben etc. nicht nötig. Je nach Einsatz könnte das kostenlos (nicht-kommerziell) mittelfristig funktionieren.

b) TeamViewer/Anydesk mit Service-Tool: Bei einer Business-Lizenz bekommt man auch die Möglichkeit eines personalisierten Service-Tools. Das schicken wir dem Kunden zu, der muss die .exe nur öffnen und die "Nutzungsbestimmungen" akzeptieren. Keine ID oder Passwort, das Tool meldet sich direkt bei unserem Account und wir können den Zugriff starten - der Kunde muss den Zugriff nur kurz bestätigen. Hängt aber an einer Lizenz mit entsprechenden Kosten - und man muss den PC des Kunden nutzen mit den dazugehörigen Datenschutz- und Berechtigungs-Themen.

c) Fritzbox LTE mit VPN: Theoretisch kann man ja verschiedene Internetzugänge in einem Netzwerk einrichten. Ich habe es noch nicht versucht, aber eine Fritzbox LTE parallel ins Netzwerk hängen - natürlich ohne DHCP Server und mit konfigurierter IP - könnte meines Erachtens auch klappen. Auf der Fritzbox kann man dann einen klassischen VPN (IPSEC) einrichten, der Kunde muss an seinem Netzwerk nichts ändern.
Voraussetzungen: Mobilfunk-Karte mit öffentlicher IPv4 (Telekom mit modifizierten APN) und das Wissen über den zu erwartenden IP-Bereich im Netzwerk. Bei weniger versierten Nutzern kann man das in der Regel schon anhand des Routers ausmachen: Fritzbox 192.168.178.x - Speedport und Vodafone 192.168.2.x usw... Auf "gut Glück" lassen sich erfahrungsgemäß hohe IPs (z.B. 250) immer belegen, weil der DHCP nicht so hoch konfiguriert ist.

d) OpenVPN-Client, z.B. auf Raspberry: Diesen Bereich finde ich sehr spannend, aber bisher fehlte mir die Zeit, mich mit OpenVPN intensiver auseinanderzusetzen. Für die OpenVPN-Verbindung wird meines Wissens keine Portfreigabe etc. benötigt, da die Verbindung ja vom Client vor Ort ausgehend aufgebaut wird - allerdings ist dafür dann ein Server erforderlich, der angesprochen werden kann. Es gibt OpenVPN Clients, die man direkt auf dem Raspberry installieren kann - das wäre dann im Handling vielleicht das, was THX' Funktionsbeschreibung am nahesten kommen würde.

e) bestehende KNX-Lösungen: Wie ich den Gira S1 verstehe, ist über das Gerät ja nicht nur ein KNX-Zugriff möglich - das KNX ist von Gira sogar als optional beschrieben. Theoretisch kann ein Großteil der Funktionen ähnlich wie bei einem VPN genutzt werden: Zugriff auf lokale http-Webserver und angeblich sogar andere TCP-Protokolle. Das müsste man allerdings ausprobieren, wie weit man damit kommt. Das Teil ist ja nicht unbedingt eine schöne Box sondern ein Hutschienengerät, für das man dann noch ein 24V-Netzteil anklemmen muss.
Ähnlich auch das ENA von Enertex - das Teil hat einen OpenVPN-SERVER onboard, d.h. hier müsste man entweder den Router konfigurieren oder ebenfalls deren Cloud-Service nutzen wie auch beim S1.
//Nachtrag: Gerade erfahren, dass ISE mit dem Smart Connect etwas ähnliches wie den S1 anbietet, aber sogar mit OpenVPN-Funktionen - und auch leicht günstiger...


Das sind die Möglichkeiten, die mir so auf Anhieb einfallen, vielleicht ist ja etwas brauchbares dabei

Spannende Fragestellung :-)
Also der einfachste Weg, der mir einfällt ist ein SSH Server (bei dir) und einen RPI beim Kunden, der eine SSH-Session aufbaut und "lokale" Ports weiterleitet - also z.b. eine X-Session. Von dort aus könntest du mit Loxconfig und Co arbeiten.
Oder nocht etwas einfacher - die Remote SSH Session baut der RPI auf, du connectest dich dann auf den Server via SSH und konfigurierst das Portforwarding über SSH so, dass du in dem lokalen Netz die gewünschten Server und Clients von deinem Netz aufrufen kannst.
Nette Erklärung dazu: https://www.thegeekstuff.com/2013/11...se-ssh-tunnel/

Alternativen wären ein openVPN Server/Client Kombination, wo du am Client zusätzliche Routen einbaust. Auf den ersten Blick habe ich aber die Config nicht verstanden: https://coolaj86.com/articles/revers...-cloud-server/



Neu für mich sind offizielle Anbieter, die das auch ermöglichen: https://www.dataplicity.com/ https://tunnelin.com/

lg
Peter

Genau so ist es

Hol die einen günstigen VServer mit OpenVPN oder Wirehsark. Ein RasPi beim Kunden, der sich in diesen Server einzahlt. Der LoxBerry macht das mit dem RemoteUnterstützungs Widget ganz genauso. Läuft einwandfrei und du hast bei entsprechender Konfiguration auch die Kunden untereinander getrennt.