Funktionsprinzip

Problem

• A soll eine IP-Verbindung zu B aufbauen
• B befindet sich aber in einem LAN, das von außen nicht erreichbar ist

Lösung

• Ein IPrAcc-Server wird so betrieben, dass er von allen erwünschten Kommunikationspartnern gut erreichbar ist
• Ein IPrAcc-Client kann dann aus dem LAN heraus eine Verbindung zu diesem Server aufbauen
• Diese Verbindung dient als Brücke, über die nun alle gewünschten Verbindungen in das LAN hinein aufgebaut werden können
• Alle Daten, die IPrAcc über diese Brücke transportiert, werden verschlüsselt
• Die grünen Pfeile zeigen, wie Dank IPrAcc Verbindungen von A nach B möglich werden

Dieses Video erklärt das Prinzip in 2 Minuten

Möglichkeiten

• IPrAcc-Server können wahlweise öffentlich (in der Cloud) oder privat (geschützt) betrieben werden
• Mehrere IPrAcc-Clients können sich auf den gleichen Server verbinden ¹⁾
• Die Clients legen fest, welche Weiterleitungen in ihr LAN über welchen Port auf dem Server ermöglicht werden
• Jedes Endgerät, das auf einen Server zugreifen kann, kann auch die darüber freigegebenen Weiterleitungen nutzen ²⁾
• Die verschiedenen Weiterleitungen werden durch unterschiedliche IP-Ports auf dem Server addressiert
• Über jede konfigurierte Weiterleitung sind beliebig ¹⁾ viele IP-Verbindungen möglich
1) solange Ports und Systemressourcen auf dem Server dafür reichen
2) sofern der Zugriff nicht durch Whitelists beschränkt wurde

Sicherheitsvorkehrungen

• Verschlüsselung sämtlicher zwischen Clients und Servern übertragenener Daten gemäß AES-256 mit automatischem Schlüsseltausch
• Das Steuerungsprotokoll zwischen Clients und Servern ist verschlüsselt und gehärtet: Verbindungen, die sich nicht binnen 10 Sekunden korrekt legitimieren, werden automatisch abgeworfen
• Server und Clients können auf dedizierter Hardware geschützt und unter vollständiger Kontrolle des jeweiligen Betreibers laufen
• Alle ein- und ausgehenden Verbindungen werden detailliert angezeigt und protokolliert
• Mit Whitelists können alle Verbindungen auf ausdrücklich erwünschte Kommunikations­partner beschränkt werden

IPrAcc baut die Brücke auf OSI-Schicht 7. Das heißt, dass Server und Client jeweils Verbindungs-Endpunkte (connection end points, CEP) für die weitergeleiteten IP-Verbindungen darstellen:

• A baut die Verbindung zur IP-Adresse des IPrAcc-Servers auf
• B erhält die Verbindung von der IP-Adresse des IPrAcc-Clients

Somit werden Adress­konflikte zwischen ver­schie­de­nen IP-Netzen vermie­den.

Beispiel: A und B können in ihren LANs jeweils sogar die gleiche IP-Adresse haben, dennoch können sie über IPrAcc miteinander kommunizieren, denn sie adressieren für alle Verbindungen den IPrAcc-Server, und der reicht die Verbindung automatisch zum passenden Client durch. Der IPrAcc-Client kann B in seinem LAN mit der konfigurierten IP-Adresse zuverlässig erreichen, auch wenn A die gleiche IP-Adresse hat.

Jeder Weiterleitungs-Auftrag bewirkt, dass sämtliche auf dem dafür konfigurierten Server-Port eingehenden Verbindungen vom Server angenommen werden. Bei TCP können auf diese Weise ggf. auch mehrere Verbindungen zur gleichen Zeit bestehen, die am gleichen Listen-Port angenommen wurden. Der Client baut für jede am Server angenommene Verbindung von seiner IP-Adresse aus eine entsprechend Verbindung zum konfigurierten Ziel (target mit IP-Adresse und Port) auf. Alle auf einer Seite empfangenen Daten werden über eine verschlüsselte Datenverbindung zwischen Client und Server jeweils zur Gegenseite übertragen und von dort über die zugehörige Verbindung weitergesendet.

Falls Ihnen alles bis hierher noch viel zu simpel und langweilig erschien, dann schauen Sie sich gern auch noch die etwas komplexeren Szenarien an.