DNS Eintrag für Fremdfirma

Hi.

klingt für mich nach einer öffentlichen Subdomain

(LE) Zertifikat würde auch für Subdomain im Public DNS sprechen

Alleine beim lesen bekomme ich Gänsehaut. Dichtet das vernünftig ab. Reversproxy, DMZ, Auth, ..

Gruß

Edita: Grundsätzlich würde ich auch fragen, warum die Anlage im Web verfügbar sein soll. Fernwartung? Gibts bestimmt sicherere Methoden. Updates? Mach die lieber händisch.
Was ich damit sagen will: nur weil der Anbieter sagt, mach das Ding öffentlich verfügbar, musst Du es nicht. Häufig sind die Hersteller nicht unbedingt DIE Netzwerksecuritymenschen ... daher: kläre ab, ob das wirklich unbedingt notwendig ist. Sehr häufig ist es das nämlich gar nicht und bohrt nur unnötige Löcher in die FW/in dein System.

Ich finde es lustig. Du verstehst die Anforderungen nicht - und statt den Kunden bzw. dessen Dienstleister zu fragen kommst du hier her wo NIEMAND deinen Kunden kennt und NIEMAND dessen Dienstleister kennt.

Wir können also hier nur raten. Ggf. will der von aussen auf die Maschine zugreifen - und dank dyn. IPs möchte der DL halt nen DNS-Eintrag. Schön. Ist in 5 Min eingerichtet - und in 15 Min bis 2 Tage rechne damit das die Maschine ggf. irgendwann ganz lustige Dinge macht weil irgendein Script-Kiddy da Zugriff hatte... Oder das du noch ganz andere Probleme im Netz hast. Wärst du MEIN Dienstleister für die Anbindung in dem Fall würde ich als Kunde ins Lager gehen und mir die grossen Stiefel mit der Stahlkappe holen (und ggf. noch nen Dorn dran befestigen) bevor ich dich besuche...

Ggf. will der aber ja auch ne VPN-Verbindung - was erstmal sehr viel sinnvoller wäre. Auch dann hast du als guter Dienstleister natürlich aufm Schirm wie du das einrichtest und wie du das Kundennetz eben auch dahingehend absicherst das der DL nicht permanent auf alle Systeme zugreifen kann, wie du Probleme löst wenn die Maschine nicht läuft (hat der DL jetzt hier zB. nen Update gemacht oder Einstellungen geändert - oder hat das dein Kunde selbst geschrottet? Ist ggf. doch das Script-Kiddy rangekommen? Oder hat ggf. einfach nur die Dorfeigene Hauskatze in die SPS gekotzt?)

Aber: DU bist der Anbieter. Es ist DEIN Kunde. DU bekommst Geld dafür das professionell umzusetzen. Also würde ich empfehlen: Kunden anrufen, Anforderungen klären, Umsetzen, Rechnung schreiben, fertig...

Hallo,

also wenn ein Hersteller seine Fräse in meiner Firma immer von ausen erreichen will, kauf ich das teil nicht.
Eine Fräse oder Drehmaschine brauch keine Kommunikation in die Ausenwelt, kläre deinen Kunden mal auf über die Unnotwendigkeit.

grüße

moin...

ich allerdings auch! unter einer DMZ würde ich das nicht machen wollen.

das verstehe ich allerdings auch nicht, sag doch, wenn du etwas nicht kannst!
och bestimmt, aber ob das hilft?!?!?!

Als Dienstleister (für einen Kunden) sollte dir alleine bei der Fragestellung schon ein Licht aufgehen!
was fehlen für Infos:
fangen wir vorne an:
was für ein Router / Firewall gerödel hat dein Kunde?
Feste IP v4?
wie ist das Netzwerk aufgebaut... VLANS / DMZ etc...?
alles dinge, die du am besten weißt, ist ja dein Kunde!

wenn dein Webserver extern erreichbar sein soll, stell die Kiste in eine DMZ und gut ist!
entsprechende Ports auf die IP des Server freigeben, und gut ist. wenn möglich natürlich ein
R-Proxy nutzen....
wozu?
nutze doch den DNS von deinem Kunden, also beim Hoster des Kunden.
erstelle dort ein A Record mit dem gewünschten namen, also webgerödel.deinkunde.de
und trage die feste ip von deinem Kunden dort ein! Alternativ nutze DynDNS oder dergleichen....
und sogleich hast du ein hostnamen, für ein SAN in deinem Zertifikat!
ach ja... VPN gibbet ja auch nach.... ist dir ja sicher auch geläufig.


Frank

dass man das einem IT-Dienstleister erklären muss (dazu noch in einem Forum) der mit Sicherheit um die 100€ die 45 Minuten abrechnet, .. ist schon nicht ganz ohne "Geschmäckle".

w0rd

Denkanstöße oder Richtungsweisungen gehen ja echt klar aber das ganze Thema "erklären" lassen ist schon hart.

Gruß

Moin...
ach... ist doch Freitag
Frank

aber ein verdammt früher.....

Doppelmoin sagen ja nur Touristen... 🤣
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Weil ja Freitag ist. 🐟

Moin,

das ist wieder ein schönes Freitagsthema:

Vorneweg: Ich bin auch Dienstleister und ich kann zwar vieles, aber nicht alles. Und wenn ein Kunde etwas von mir will und ich das nicht kann sage ich das dem Kunden und fahre bisher damit immer noch am Besten. Oft kann ich den Kunden dabei unterstützen, den Richtigen zu finden, manchmal sucht er auch selbst.

Bei mir ist das beispielsweise bei ERP/CRMs der Fall. Den technischen Unterbau (DB warten & Co.) zu warten habe ich keine Probleme, aber die Interna des Systems zu kennen und ggf Anpassungen vorzunehmen ist eher Aufgabe des Anbieters oder Herstellerpartners des ERP/CRM.

Zu der aktuellen Problematik des TO:

Dein Problem wäre eigentlich trivial zu lösen, wenn man von der Sicherheit absieht, d.h. einfach einen passenden A-Record anlegen). Aber ich befürchte, daß, wenn Du weder das Problem verstehst noch weißt, was Du Dir da für Eier in Dein eigenes Nest legst. Im Extremfall muß Deine Haftpflicht (oder Du wegen grober Faghrlässigeit) heftig blechen (sechsstellig ist da kein Ausnahmefall).

Ich kenne die Konstellation nicht, aber wenn Hersteller von außen auf die Maschine zugreifen wollen, muß man genau abklären wie und unter welchen Umständen das passieren soll. Außerdem muß man darauf achten, daß nicht Hinz und Kunz aus dem Internet die Maschine auch nutzen können.



Das ist als Dienstleister meist nicht ganz so einfach: i.d.R. ist die Maschine schon gekauft und aufgestellt, bevor man, zumindest als Dienstleister, erfährt, daß sie einen "Internetanschluß benötigt. ich hatte auch schon solche Fälle, wo der Kunde anruft und meint, sie hätten gerade eine neue Maschine bekommen und der Techniker, der sie aufgebaut hat, bräuchte "Internet für die Maschine". Da ist dann nichts mehr mit "nicht kaufen", sondern man muß Schadensbegrenzung betreiben. In dem Fall war das relativ einfach zu lösen, weil die Maschine einen OpenVPN-Router drin hatte der über eine öffentliche IP-Adresse erreichbar sein sollte. Also flugs ein eigenes Segment für die Maschine abgestellt, per Firewall eine IP-Adresse aus einem vorhandenen /28 per NAT auf den openVPN-Router geleitet und einen switch vornedrangeklemmt, der über einen großen roten Schalter ein und ausgeschaltet wird und den der Kunde nur dann einschaltet, wenn wirklich Techniker auf die Maschine zugreifen müssen. Der Zugriff war für die Fernwartung in Störungsfällen vorgesehen, weil das i.d.R. billiger ist, als den Techniker des Herstellers mehrere hundert Kilometer durch die Gegend zu schicken, ganz abgesehen vom Produktionsausfall während dieser Zeit.


Fazit:

• Solcher "Internetzugang" für Produktionsmaschinen ist durchaus sinnvoll. Problemetisch ist meistens die Handhabung durch manche Hersteller, die erwarten, "freien Zugang" per Internet auf die Maschine zu haben.

• Wenn man von einer Materie keine Ahnung hat, hilft auch eine "Anleitung" (A-Record anlegen) aus diesem Forum nichts, weil dDch das u.U. ganz tief in die Gülle reinreitet.

Schönen Freitag noch,

lks

Edit: Typos


PS: Soll der Webserver der Maschine sowieso nur im lokalen Netz und nicht aus dem Internet erreichbar sein, reicht es i.d.R einen A-record beim provider oder auf dem DNS des lokalen Netzes (z.-B. DNS-sServer auf dem DC) anzulegen. Ich würde dann aber den Internetzugang für die Maschine an der Firewall auf jeden Fall blockieren.

Naja - so wie du es beschrieben hast macht es ja auch sinn - alternativ kann man ja auch ne VPN-Einwahl dynamisch freischalten (so kenne ich das bei einigen). Das habe ich damals als Angestellter eines Dienstleisters sogar als sehr positiv empfunden. Denn wenn mal was kaputt war u. nen Kunde meinte "habt ihr kaputt gemacht" war die Diskussion einfach: Waren wir per VPN freigeschaltet? Nein? Gut, dann hatten wir keinen Zugang und somit thema durch. Das dient also durchaus für BEIDE Seiten als Schutz...

Aber wenn ich mir die Fragestellung so durchlese gehe ich irgendwie davon aus der TO plant da einfach mal nen Forwarding und go... geht auch - und viel Spass dabei. Die FOLGEN davon muss der TO ja selbst tragen. Und das beste ist: Er weiss nicht mal ob hier ggf. nur irgendwas völlig sinnloses vorgeschlagen wird oder nicht - und ich denke kein Richter / Anwalt / Schlichtungsstelle wird als Begründung "hab ich in nem Forum so gelesen" akzeptieren....

Moin,

mich regt das Thema genau so auf wie die anderen Kollegen.
Ich bekomme mindestens einmal die Woche so eine Anfrage auf den Tisch und lehne diese perse so ab, da ich das nicht umsetzen werde.

Ich verstehe auch nicht was daran so schwer, konkret nachzufragen wer mit wem und wie kommunizieren soll.
Wenn das oft genug bei dem Hersteller auf dem Tisch kommt, sollten das Thema auch nicht mehr so miserabel beschrieben sein.

Ein IT Dienstleister sollte aber auch erkennen, dass der Zugriff von außen auf eine Maschine Risiken birgt und den Endkunden entsprechend informieren. Das KnowHow sollte nach einer Ausbildung schon vorhanden. Zumindest diese setze ich da schon voraus.
Wäre diese Maschine nun von extern erreichbar, so sind auch erstmal alle anderen umliegenden Maschinen oder Geräte gefährdet.

Gruß
Spirit

Verstehe nun nicht ganz, warum man die Erreichbarkeit der Maschine aus dem Netz in Frage stellt?
Ich kann doch nicht zum Kunden sagen, kauf dir eine Maschine, die das nicht macht.
Der ist dann verm. exKunde.
Ich kenne das zB von Solaranlagen oder einen Blockheizkraftwerk, auch da sind nach aussen Ports für deren Support da.
In dem Fall ist es eine Fräse, die was immer auch herstellt.
Wir haben auch Kunde, der stellt Opto Dioden her, auch dort gibts Maschinen, die vom Hersteller überwacht werden.
Zum DNS denke auch das die den externen DNS--> dazu DynDNS nehmen, dazu SSL Zertifikat.

Kann das ganze ja mit V Lan in eine DMZ packen, und nur deren Ports explizit mit deren IP freigeben.
Dass macht jede Telefonanlage so.
Wir haben 2023 mit CNC, nicht 1923 wo die Dreher noch mit Zeichnung an der Fräse gestanden haben.

Moin, wenn dir das nicht klar ist dann solltest du dir einfach überlegen ob IT wirklich dein Job ist - es gibt genug andere, und es ist auch nicht schlimm wenn man was anderes macht.

Es ist auch was anderes ob eine Maschine Daten an den Hersteller liefert - solang zB. der Wartungsvertrag das vorsieht ok. Dann ist das erstmal nix schlimmes weil ja der Weg erstmal nur RAUS geht.

Aber: Wenn der Weg REIN geht und nen einfaches Portforwarding ist - nun, wer sagt das morgen nicht nen gelangweiltes Script-Kiddy mal erfolg hat? Wie beweist du im Fehlerfall wer die Verantwortung trägt? Was machst du wenn der Anbieter zB. per SSH dann auf der Büchse drauf ist und von dort dann dümmstenfalls auch noch durch das Netzwerk surft (wenn das auch so gut gesichert ist ...).

Natürlich gibt es Anbieter die den Zugriff brauchen. Alleine schon weil die Reisekosten natürlich dadurch oft gespart werden und/oder die Diagnose schon sagt welches Ersatzteil man braucht. Ja himmel, dann kauf im zweifelsfall ne verka**te Fritzbox für 3,50 Euro irgendwo gebraucht - und bau darüber nen VPN auf. Schon muss das Script-Kiddy erstmal die VPN-Einwahl hinbekommen UND dann noch genau wissen wohin es geht... Es ist ja jetzt nicht so das VPN heute der letzte "heisse Sch..." wäre und es noch experten braucht um das einzurichten...

Werd mal nicht frech hier, ich war schon in der IT, da bist du noch mit der Trommel um den Weihnachtsbaum gelaufen.
Wenn du nicht Fach und Sachlich Diskutieren kannst, lasse deine Finger von den Tasten.

Aja? Weist du schon was schreibst?
Aja , aber ich habe keine Ahnung?? warst schon mal bei Kunden?

Schon mal was von V-lan gehört Schlauberger ? aber ich habe ja keine Ahnung..
Fritzbox oh yes das ist komplett Fachmännisch. Maschinen Steuerung lässt eine Liss oder Uniper aussen vor und macht sich eigenes VPN über Fritzbox.
Cool, wow dein Fachwissen ist schon beachtlich, da ziehe ich schon mla den Hut.
Thema für mich beendet.

Och nu is der kleine Eingeschnappt. Zum einen weisst du nicht wie alt ich bin und was ich so gemacht habe - aber davon ab...

Ja, ich war schon öfters bei Kunden - und überraschung, ich arbeite auch aktuell noch, wenn auch nicht mehr zum Kunden fahren sondern direkt. Aber das ändert nix daran: Wenn eine Maschine die Daten erstmal nur RAUS sendet ist das ganze jetzt nicht ungewöhnlich. Wenn derjenige von aussen REIN soll ist das ne ganz andere Nummer...

Und ja - ich habe schon mal vom VLAN gehört. Und wo genau ändert das jetzt was nennenswertes? Solang du ein Forwarding von aussen nach innen machst ist DAS einfach nicht ansatzweise sicher. Egal ob du nun in nem eigenen VLAN bist oder nicht - wenn nen Script-Kiddy da dran kommt is die Maschine durch. Und wenn du auch nur mal ansatzweise schaust dann wirst du sehen das damit das Netz prinzipiell als geknackt gesehen wird. DAFÜR ja das VPN davor um eben nicht jedem Kiddy dieses Tor zu öffnen.

Die FRITZBOX war - wenn du mal das ganze lesen magst und aus deiner Schmoll-Ecke raus bist - einfach ein Zeichen dafür das es heute eben nicht zig Tausend Euro kostet. Du kannst das ganze auch mit Cisco, Linux,... machen - das ist am Ende nur ne Detailfrage, ALLES (inklusive der Fritzbox) ist besser als nen direktes Portforwarding.

Also - lass dir von mutti den Tröst-Teddy geben oder nicht, mir relativ egal... Es mag auch sein das du Baujahr 61 bist - ja, dann bist du älter als ich. Das ändert aber nix daran das die Technik mitm Port-Forward unsinn ist. Das MAG ja mal "normal" gewesen sein. Es mag auch sein das du mit deinem Alter und der Weisheit heute noch Akkustikkoppler einsetzt. Das steht dir frei - macht es aber nicht richtig.

moin...
nun... ich mach schon IT, da gab es noch keine Trommeln.... was sachste nun
nun, Fachlich hat er alles gesagt, und nix was falsch ist!
ich hoffe dir ist klar, was du schreibst!
du stellst nicht nur die Freitagsfrage, sondern als als Dienstleister, der schon in der EDV tätig war, als andere Dienstleister noch mit der Trommel um den Baum gelaufen sind, hast du dich nicht mit Ruhm bekleckert!
mit deiner frage hast du dich selber als Dinstleister disqualifiziert!
mit etwas grundwissen, hättest du die frage nicht stellen müssen.....

das kann ich bestätigen, das du keine Ahnung hast!
jetzt schon, wir haben dir ja geschrieben, wie es geht
da stelle ich dir gleich mal eine Fachfrage, wie schützt dich ein VLAN, was macht eine DMZ, und wie sinvoll ist es, DMZ und VLAN zu kombinieren?
erkläre uns doch Bitte warum
soviel Überheblichkeit ohne Fachwissen finde ich auch beachtlich!
für mich auch...

Frank

Ich finde das erstellen eine ARecords und weiterleiten eines Portes jetzt nicht so schlimm, wenn du es in der Firewall auf die IP des DL / Support beschränkt.

Grundsätzlich würde ich aber eine VpN Lösung bevorzugen.

Gruß sd

Komische Diskussion hier

Gemäss Hersteller hat er es ja offen gelassen, ob es eine öffentliche oder ein lokale Domain ist. Für beide Varianten sind offenbar Zertifikate nötig, was darauf schliessen lässt, dass die Bedienung der Maschine über https zu erreichen ist. Von Fernwartung war da nie die Rede.

Für mich ist es völlig normal, dass solche Maschinen auch von extern bedient/programmiert werden.

Also in etwa so: Du kaufst dir für 5 Mio. einen CNC-Fräsautomaten, lässt die Werkstücke dann aber vom Computer-Inder in GanzWeitWeg programmieren.

Die Maschine bzw. der PC dazu hat ne IP, die braucht einen Domainnamen. Thema durch, oder?

Von der Diskussion über Sicherheit abgesehen:

OK, also gibt es eine Fräsmaschine und einen PC vom Hersteller.
Dieser genannte PC greift auf die Fräsmaschine zu? Um dort z.B. einzustellen was zu Fräsen ist?
Oder soll "PC übers Web erreichbar sein soll." bedeuten, dass der Hersteller von sich aus über das Internet auf diesen PC zugreifen will? (Das ist das, was hier bisher angenommen wird)

Was denn für ein Linux Server?

Welcher Webserver? Von der Fräsmaschine?

Je öfter ich das lese desto eher kriege ich folgenden Eindruck:
Die Fräsmaschine kann per Webinterface erreicht werden. Damit das sauber klappt empfiehlt der Hersteller:
- DNS-Eintrag
- Passendes Zertifikat

Dann brauchst du eben genau nur das (und die Sicherheitsdiskussion ist obsolet): Einen A-Record im lokalen DNS und ein passendes Zertifikat. Das sollte ja wohl kein Problem sein.

Gruß
Drohnald

Naja - was heisst "schlimm"? Du erzeugst eben unnötige Probleme. Du hast eben immer noch keine Möglichkeit einen Nachweis zu haben wann / wer da was gemacht hat. Wenn also morgen die Drehbank ka. nen Werkstück für 5 Mio Euro zerlegt weil irgendwelche Parameter geändert wurden - wie willst du nachweisen ob es nen Bedienfehler oder der Dienstleister war?

Dazu kommt das dann jeder aus dem Office des Dienstleisters natürlich prinzipiell zugang hätte - ganz blöd wenns da interne Streitereien gibt und Kollege Meyer dem Müller nur was auswischen will...

Ich drehe mal die Frage um: Was spricht denn heute noch GEGEN nen VPN? Div. Router können das heute von haus aus, NAS-Systeme, Server-OS,... haben das alle schon integriert. Ich würde mich nich mal wundern wenn morgen mein Drucker nen VPN-Server machen kann.

Ich würde generell NIE einen Zugang von aussen nach innen erlauben wenn es da nicht ganz gute Gründe für gibt. Und grade für Fernwartung wo ja ein Dienstleister idR. immer Zugang zu recht sensiblen Bereichen bekommt (wenn das Systeme wären die ja völlig egal sind bräuchte man das nicht - das kann der Techniker dann beim nächsten Besuch einfach mit erledigen...) nicht. Und im normalfalle würde ich nicht mal "generelle" Zugänge sondern nur namensbasiert machen - max. würde ich noch sagen "FirmaXTechniker1" und der Firma per Vereinbarung sagen das die natürlich soviele Tech-Zugänge bekommen wie die wollen, die aber dafür verantwortlich sind das eben jeder Techniker nur seinen hat und wenn der eben mal kündigt (soll ja auch passieren) eben bescheid sagt, dann wird der eben entfernt und gut. Das ist nicht wirklich viel Aufwand für die Verwaltung und erhöht die Sicherheit eben gegen das Portforwarding um ein vielfaches... (umgekehrt - wie oben schon erwähnt - schützt es auch die Techniker natürlich vor Kundenbehauptungen).

Muss aber am Ende auch jeder selbst wissen... Es gibt ja hier scheinbar erfahrenere Leute die mit ihren 100 Jahren Erfahrung das anders sehen... Das gute daran ist ja: Solang es nicht um MEIN Geld und um MEINEN Betrieb geht darf es mir auch egal sein

Moin,
wer noch nicht an der frischen Luft war, holt dies nun nach. Ich werde alle weiteren Kommentare, die nicht mit der Frage des Beitrags zu tun haben, ohne Hinweis löschen.

Gruß,
Dani (Mod)

Moin,
das schließt leider nicht aus, dass es einen Bug, XSS, etc. nicht aus. Du kannst den Hersteller der Maschine bzw. Web-Interface mal fragen, wann der letzte PenTest erfolgt ist.

Du wirst erstaunt sein, wie oft am Tag ein Bot/Skript Internetanschlüsse scannt, evtl. Informationen gegenprüft und als vermeidliches Ziel an die Angreifer weiterleitet. Wie groß ist der Schaden, wenn die Maschine von unberechtigten Personen gesteuert wird oder im Worst Case sogar das ganze Netzwerk neu aufgesetzt werden muss?

Die Hersteller solcher Maschinen machen es sich oftmals einfach. Ist bei uns immer interessant zu sehen, wenn es um Haftungsthemen, IT Sicherheit, VPN Anbindung, etc. geht, wie auf einmal die Hersteller schwitzen anfangen.

Passwörter? Inzwischen sollte es eigentlich nur noch Authentifizierung mit SSH Keys + PW + 2FA erfolgen. Alles andere wird früher oder später Probleme machen. Weil du kannst nicht beurteilen, welche Standardpasswörter der Hersteller nutzt.


Grüße,
Dani

Um die Eingangsfrage zu beantworten:

- Der Server braucht IPs, die öffentlich zugänglich sind, also IPv4 (wohl über NAT) und ev. auch IPv6.
Das ist in der Firmenfirewall/Router zu konfigurieren.
- Diese IPs sind im DNS als A und ev. auch als AAAA Record für den gewünschten Namen (z.B. maschine.firma.de) einzutragen. Das macht man bei demjenigen, der das DNS für die Firmendomain verwaltet. Oft ist das der Webhoster o.ä.

Spannender ist jetzt noch die Frage, woher die Zertifikate für das https kommen sollen. Da es ein Linux PC ist, wäre die Installation von let's encrypt naheliegend. Damit ist es kostenlos. Bedingt aber, dass der Maschinenhersteller sowas vorsieht.

Die andere Variante ist dann ja nur noch die Kaufvariante des Zertifikates.

Ein selbstgezeichnetes Zertifikat für eine öffentliche Domain geht zwar auch, ist aber total bäähh.

Wenn Port Forwarding, dann beschränke den HTTPS Zugriff auf eine (die) IP des Herstellers/Supports, dann kann schon mal nicht die ganze Welt zugreifen.

Besser wäre ein Zugriff per VPN (den du aktivieren kannst), dann wäre der Zugriff nicht immer gegeben, sondern nur bei Bedarf. Aber das kann natürlich sein, dass die Maschine ihre Protokolle/Fehler nicht an den Hersteller schickt, sondern der kontinuierlich abruft und damit dauerhaften Zugriff braucht.

Lass aber die GF wissen, dass ein Externer Zugriff immer Risiken birgt und du oder auch der Hersteller keine 100% Sicherheit garantieren kann.

gruß SD

Hallo Kvothe,

wenn du die Möglichkeiten und die Expertise dazu hast, machst du bitte ein eigenes VLAN für die Kiste auf. Du erstellst also ein getrenntes Netzwerk für den PC der Maschine.
/30 dürfte ja reichen. Sollte es in Zukunft mehr Maschinen geben, nimmste/29 oder /28.

An deiner Firewall machst du jetzt den entsprechenden Port nach außen auf und leitest auf den PC im VLAN weiter. Wo du gerade in der Firewall bist, verbietest du jede Kommunikation von dem neuen VLAN in jedes andere Netz.
Soll man aus dem normalen Netzwerk (VLAN 1) auf das neue Netz zugreifen können, erlaube es explizit. Es gibt bei manchen Firewalls die Möglichkeit die Rückkanäle dann auch für eine gewisse Zeit zu öffnen.
Wenn keine Kommunikation aus VLAN 1 zur Linuxkiste gewünscht ist: jede Kommunikation in der Firewall sperren (sollte eh Default sein. Best practice ist explizit bestimmten Verkehr zu erlauben, alles andere sollte und müsste per Default verboten sein ...)

Als nächstes geht es zum Hoster, wo die Domains der Firma liegen. Zum Beispiel Hosteurope, Strato, Hetzner, netcup, etc.
Dort wird ein A-record erzeugt. Ich gehe einfach mal davon aus, dass die Firma einen Geschäftskundenanschluss hat und eine statische IP. Der A-Record lautet zum Beispiel maschine.firma.de und zeigt auf die statische IP der Firma.

Fertig.


Wie kann man es besser/schöner/sicherer machen:

- VPN: dem externen Dienstleister für die Maschine einen VPN Zugang zu dem neuen VLAN geben. Ist denen durchaus zuzumuten.

- DMZ: du stellst die verkackte Linuxkiste in die DMZ. 2 Firewallregeln: 1. nur die IP des externen Dienstleisters auf die Linux Kiste erlauben für den benötigten Port. 2. in der zweiten firewall nur die Linuxkiste auf die Maschine erlauben. Als Protokoll dann ssh. Mehr nicht.

- 2FA: ein Reverse Proxy steht in der DMZ und macht 2FA. Zum Beispiel authelia. Das ist dem externen Dienstleister für die Maschine durchaus zuzumuten.

- Gateway+Gatekeeper: ich bin ja ein großer Fan von Teleport in der Community Edition. Lassen sich explizit Ressourcen freigeben und rechte entziehen. Alles wird aufgezeichnet. Gerade für solche Szenarien gut geeignet.

- "Zerotrust" - Google das mal. Keine offene Firewall mehr. Gehe ich hier nicht drauf ein. Muss der externe Dienstleister *können* und _wollen_ ...

- udp-punching: geiler ###. Damit kommt man durch viele 0815 Firewalls durch. Muss der externe Dienstleister aber *können* und _wollen_ ...

Aber mein allerwichtigster Ratschlag: Kommunikation. Rede mit dem Hersteller der Maschine. Beispiel aus der Praxis: Firma bekommt eine Gebäudeleittechnik. Der Hersteller möchte gerne, dass ein extra PC bereitgestellt wird. Auf dem PC wollen sie dann VMware ESXi installieren und 2 VMs. Wir haben bei dem Kunden aber schon eine nicht unerhebliche Menge an ESXi Hypervisoren im Einsatz. Wir brauchen dort keinen extra PC rumstehen (wozu gibt es nochmal diese 19" Dinger da?) noch muss der Kunde eine ESXi Lizenz KAUFEN (ESXi ohne Anbindung an das vCenter ist kostenlos...). Ende vom Lied: nach Rücksprache mit der IT und den Technikern des Herstellers konnten wir auf alles verzichten. Wir mussten lediglich eine einzelne VM bereitstellen, die anderen waren nur für das Zerotrust gedönse der Firma auf veralteten (!!!) und gepinnten Suse-Images, PC und Lizenz musste nicht gekauft werden.
Wir haben unseren Remote-Zugang für die Mitarbeiter der Firma ein bisschen erweitert um einen Zugang für den Hersteller der Gebäudeleittechnik, so dass die via RDP+2FA auf ihre VM drauf kommen im Störfall. Der Zugang wird nur bei Bedarf geöffnet, diese Info ist bei uns, beim Kunden und beim Hersteller der Gebäudeleittechnik hinterlegt. So hat der Hersteller die Sicherheit, dass es der Kunde vermurkst hat. Der Kunde hat die Verantwortung, keinen ### auf der GLT zu bauen und wir als Systemhaus haben die Sicherheit, dass das Netz "zu" ist und die Zugänge überwacht/kontrolliert.
Die Gebäudeleittechnik steht natürlich in einem getrennten /22er VLAN, genau so wie alle appliances und Sensoren dazu (: aber das dachtest du dir ja sicher jetzt schon...

Guten Morgen,

darf ich mal fragen, was genau deine Ausbildung war?
und wo und als was arbeitest du jetzt?

du hast doch von mir die lösung weiter oben bekommen... was hättest du meht gebraucht?
da hast du teilweise recht, allerdings geht das auf kosten des Kunden, und auf kosten der Sicherheit.
warum hast du keinen Kollegen gefragt, oder deinen chef? dein arbeitgeber hätte dir das auch sagen können, bzw...müssen... es geht ja auch um die sicherheit des Kunden!

denke doch mal über die reaktion der kollegen im forum nach, ja viele haben lange berufserfahrung, keiner würde einen job machen, von dem er keine ahnung hat- sich helfen zu lassen, und zu lernen ist keine schande.
deine frage wäre bei deinem arbeitgeber angebrachter gewesen.... er muss ja auch wissen, was du kannst, und wie du eingesetzt werden kannst, und vor allem, wo du noch nachholbedarf hast!
ich hätte dich so nicht alleine zu unseren Kunden losgelassen!
sollst du ja auch... allerdings ist es nich falsch beim vorgesetzten zu fragen,sag mal wie geht das.
wichtig in deinem lernstadium ist es, die richtigen und lösungen zu bekommen, lernen warum das so sein soll ist, kannst du später auch.
ok... das verstehe ich. das haben einige unserer kunden auch.
in der regel werden die maschienen in eine DMZ / VLAN gesetzt, und mit einem kleinen Raspi / etc..
wird ein VPN zum Hersteller aufgebaut.
wie ich schon weiter oben geschrieben habe, wäre es auch wichtig zu wissen, was hat der Kunde den alles vor ort an Hardware, also was für eine Firewall / Router etc ist dort verbaut.



Frank