Wie vermeide ich die Portweiterleitung, wenn IoT-Geräte dem externen Internet ausgesetzt werden?

Ich habe einige gute Antworten auf die Frage erhalten. Was brauche ich, um eine eigene Cloud für IoT-Geräte zu erstellen? Und eines der Dinge, die ich von dort verstanden habe, ist, dass ich meinen HUB oder GATEWAY dem externen Internet "aussetzen" muss. Die vorgeschlagene Lösung hierfür ist die Portweiterleitung .

Ich habe diese Frage als separate Frage angelegt, da es schwierig wäre, alle Antworten richtig zu kommentieren, da sich jemand verirren könnte. Diese Informationen können auch für jemanden mit einer ähnlichen Frage nützlich sein.

Ich mag die Idee nicht, zu meiner Routerkonfiguration zu gehen und die Portweiterleitung zu konfigurieren, da dies bedeutet, dass ich ein Gerät konfigurieren muss, das nicht zu "meinen" Geräten gehört, obwohl es Teil der IoT-Infrastruktur ist. Es muss das bereits vorhandene Heimnetzwerk so wenig wie möglich stören. Außerdem gab es Fälle, in denen ich das Administratorkennwort eines bestimmten Routers nicht kenne und es sehr schwierig war, es abzurufen.

Ich bin mir sicher, dass es einen Ausweg gibt, auch wenn dies bedeutet, dass ein leistungsfähigerer IoT-Hub Linux ausführt. Ich weiß nur nicht, woran das liegen könnte. Es ist in Ordnung, einen etwas komplexeren HUB zu haben, wenn diese "alternative" Art die Vermeidung dieser Portweiterleitungskonfiguration ermöglicht.

Ich bin mir sicher, dass es eine Möglichkeit gibt, darüber nachzudenken, wie Anwendungen wie Team Viewer die Portweiterleitung nicht konfigurieren müssen.

Die Frage ist also, ob jemand eine Möglichkeit kennt, ein eingebettetes IoT-Gerät dem externen Internet "auszusetzen", um von überall auf der Welt darauf zuzugreifen, ohne dass eine Portweiterleitung erforderlich ist.

Wenn Sie Ihren Router nicht weiterleiten können, müssen Sie möglicherweise auf das Lochen zurückgreifen :

Das Lochen ist eine Technik in Computernetzwerken zum Herstellen einer direkten Verbindung zwischen zwei Teilnehmern, bei denen sich einer oder beide hinter Firewalls oder hinter Routern befinden, die Network Address Translation (NAT) verwenden. Um eine Lücke zu schließen, stellt jeder Client eine Verbindung zu einem uneingeschränkten Drittanbieter-Server her, auf dem externe und interne Adress- und Portinformationen für jeden Client temporär gespeichert werden. Der Server leitet die Informationen jedes Clients an den anderen weiter und verwendet diese Informationen, um eine direkte Verbindung herzustellen. Aufgrund der Verbindungen, die gültige Portnummern verwenden, akzeptieren restriktive Firewalls oder Router die eingehenden Pakete auf jeder Seite und leiten sie weiter.

Das NAT auf Ihrem Router bedeutet, dass Clients außerhalb Ihres Netzwerks keine Verbindung zu offenen Ports von Geräten innerhalb Ihres Netzwerks herstellen können, aber es hindert Geräte in Ihrem Netzwerk nicht daran, eine Verbindung zu einem "Broker" herzustellen. Mit ein wenig Umleitung können Sie eine direkte Verbindung zwischen zwei Geräten herstellen, ohne tatsächlich Ports zu öffnen - genau das tun Dienste wie Skype und Hamachi.

Natürlich erfordert dies einen externen Server, um die Verbindung zu koordinieren, und Sie möchten wahrscheinlich dem Server vertrauen, der das Lochen durchgeführt hat.

Peer-to-Peer-Kommunikation über Netzwerkadressübersetzer von Bryan Ford, Pyda Srisuresh und Dan Kegel bietet eine interessante Lektüre mit weiteren Informationen zu den Mechanismen des Lochens und seiner Zuverlässigkeit.

In der IoT-Welt, in der Geräte nur über geringe Ressourcen verfügen, um unerwünschten Datenverkehr von externen Verbindungen zu verarbeiten, und die Notwendigkeit, alle Portweiterleitungs- und Firewallprobleme mit Routern zu behandeln, hat dies zu dem folgenden Ansatz geführt, den Sie in vielen IoT-Back-End-Lösungen sehen können:

Geräte akzeptieren keine unerwünschten Netzwerkinformationen. Alle Verbindungen und Routen werden vom Gerät nur ausgehend hergestellt. Das Gerät öffnet also ausgehende Verbindungen, sodass keine Änderungen an der Firewall / dem Router erforderlich sind und der Kanal so lange geöffnet bleibt, wie er benötigt wird.

Ein schöner Artikel über die Kommunikationsprobleme und -lösungen in der IoT-Welt.

Versuchen Sie Port Knocking . Sie müssen den Port noch weiterleiten, aber der Port ist erst dann geöffnet, wenn Sie eine geheime Kombination (die Sie auswählen) von Pings gesendet haben. Dann können Sie den Port mit einer weiteren geheimen Kombination von Pings schließen. Es kann unter Embedded Linux ausgeführt werden, z. B. WLAN-Router mit OpenWrt.

Obwohl ich nicht empfehlen kann, dass Sie zulassen, dass ein IoT-Gerät über das öffentliche Internet erreichbar ist, können Sie dies nativ mit IPv6 erreichen.

Wenn Ihr ISP und Ihr lokales Netzwerk für IPv6 konfiguriert sind und Ihre IoT-Geräte dies unterstützen, können sie automatisch eine IPv6-Adresse beziehen, die von überall im Internet routingfähig ist (IPv6 macht NAT und Portweiterleitung überflüssig). Sie müssen lediglich sicherstellen, dass alle Stateful Firewalls (Ihr Router) so konfiguriert sind, dass der Datenverkehr zu jedem Gerät zugelassen wird. Einige können dies (unsicher) standardmäßig zulassen.

Richten Sie einen VPN-Server zu Hause ein und stellen Sie von überall aus eine Verbindung her. Ich denke, dies wäre viel sicherer, als irgendeine Art von IoT-Gerät dem offenen Internet auszusetzen.