VPN
Das VPN der Mirox-Plattform bietet sicheren Fernzugriff auf die internen Netzwerke einzelner Anlagen. Anstatt für jede Anlage ein eigenes VPN-Profil zu pflegen, erhält jeder Nutzer ein einziges, persönliches VPN-Profil, über das alle Anlagen erreichbar werden, für die der Nutzer berechtigt ist. Berechtigungsänderungen, neue Anlagen, neue Subnetze oder widerrufene Kooperationen werden automatisch im VPN-Profil abgebildet — ohne dass der Nutzer es neu installieren muss.
Konzept
Das VPN basiert auf WireGuard, einem modernen, schlanken, verschlüsselten VPN-Protokoll, und ist als persönlicher Single-Sign-On-Tunnel zu allen freigegebenen Anlagennetzen konzipiert:
- Ein Profil pro Nutzer: Jeder authentifizierte Nutzer kann genau ein persönliches VPN-Profil ausstellen und auf seinem Endgerät installieren. Die Plattform nennt dieses Profil Ihr VPN-Zertifikat — das ist der Produktname für Ihr persönliches WireGuard-Schlüsselpaar; WireGuard selbst verwendet Schlüsselpaare statt X.509-Zertifikate.
- Moderne Kryptografie: WireGuard nutzt einen Curve25519-(X25519-)Schlüsselaustausch und authentifizierte Verschlüsselung. Ihr privater Schlüssel wird auf Ihrem eigenen Gerät erzeugt und niemals von Mirox gespeichert — Mirox sieht stets nur Ihren öffentlichen Schlüssel.
- Split-Tunnel: Nur Datenverkehr, der für private Anlagennetze bestimmt ist, gelangt in den Tunnel. Ihr normaler Internetverkehr — E-Mail, Web, Videokonferenzen — bleibt auf Ihrer eigenen Verbindung und läuft niemals über Mirox.
- Automatisches Routen-Management: Die Menge der erreichbaren Anlagensubnetze ergibt sich dynamisch aus Ihren aktuellen Berechtigungen (Organisationsrolle, Funktion, Kooperationen). Jede Berechtigungsänderung aktualisiert den Routensatz automatisch.
- Hochverfügbar: Der Tunnel terminiert auf hochverfügbarer Multi-Region-Infrastruktur und stellt sich automatisch gegen einen funktionsfähigen Eintrittspunkt wieder her, falls der aktuelle ausfällt.
Was das VPN leistet
Persönlicher Tunnel zu allen freigegebenen Anlagen
Sobald das VPN-Profil installiert ist, kann der Nutzer alle Anlagennetze adressieren, für die er berechtigt ist — ganz so, als wäre er physisch vor Ort. Das umfasst typischerweise:
- Web-Oberflächen von Wechselrichtern, Tracker-Steuerungen, Datenloggern, Schaltschrank-PCs
- SSH-Zugriff auf Servicegeräte
- Modbus-/TCP-Diagnosewerkzeuge gegen Komponenten im Anlagennetz
- Eigene Tools des Nutzers, die direkt mit der Anlageninfrastruktur kommunizieren
Mehrere Anlagen mit überlappenden lokalen Subnetzen (z. B. zwei Anlagen, die beide 192.168.1.0/24 verwenden) werden vom System automatisch eindeutig zugeordnet, sodass Verwechslungen ausgeschlossen sind.
Zertifikatslebenszyklus
Der Nutzer steuert sein Zertifikat direkt über die Plattform-Oberfläche:
- Ausstellen: Erstellt ein neues VPN-Profil. Die vollständige Konfigurationsdatei mit dem privaten Schlüssel wird genau einmal im Browser angezeigt und niemals in der Cloud gespeichert.
- Rotieren: Ersetzt den Schlüsselsatz, ohne das Zertifikat zu löschen. Sinnvoll z. B. beim Wechsel des Endgerätes oder bei Verdacht auf Kompromittierung. Auch hier wird der neue private Schlüssel nur einmalig angezeigt.
- Widerrufen: Deaktiviert das Zertifikat sofort. Alle laufenden Verbindungen werden im nächsten Sync-Zyklus beendet. Die Audit-Spur des Zertifikats bleibt für den gesetzlich vorgeschriebenen Aufbewahrungszeitraum erhalten.
Routenkonflikte und Steuerung einzelner Routen
Die erreichbaren Subnetze ergeben sich aus Ihren Berechtigungen und werden automatisch aktuell gehalten (siehe Wie Ihre Routen aktuell bleiben). Zwei nutzerseitige Stellhebel bleiben in Ihrer Hand:
- Konflikte zwischen zwei Anlagen, die dasselbe lokale Subnetz benutzen, werden in der Routenübersicht sichtbar markiert. Sie entscheiden selbst, welche der konkurrierenden Anlagen für Sie priorisiert wird.
- Einzelne Routen können von Ihnen vorübergehend deaktiviert werden, z. B. um zwei Anlagen mit identischem Subnetzbereich nacheinander zu erreichen.
Sitzungsübersicht
Der Nutzer hat in der Plattform eine eigene Sitzungsübersicht für sein eigenes Zertifikat:
- Aktuelle Verbindungen mit Verbindungszeitpunkt, geografischer Quelle und übertragenem Datenvolumen
- Historische Sitzungen für die Nachvollziehbarkeit
- Region und Knoten des terminierenden Endpunkts (zur einfachen Latenzdiagnose)
Diese Übersicht ist die Selbsttransparenz-Ansicht des Nutzers über sein eigenes Zertifikat. Die vollständige Compliance-Auditspur — darauf ausgelegt, die Anforderungen an die Fernzugriffs-Protokollierung von KRITIS und der EU-NIS2-Richtlinie zu erfüllen — wird separat vom Anlagenbetreiber geführt und ist nicht Teil dieser Übersicht — siehe Audit-Logging.
Sicherheit und Kontrolle
Wer darf ein Zertifikat ausstellen?
Jeder authentifizierte Nutzer kann sich ein eigenes Zertifikat ausstellen — doch das Zertifikat allein reicht nicht, um eine Anlage zu erreichen. Erst die über das Berechtigungssystem gewährten Berechtigungen (Organisationsrolle, Funktion, Kooperation) öffnen tatsächlich Routen.
Wer darf welche Anlage erreichen?
Netzwerkseitiger VPN-Zugriff ist bewusst die am strengsten gehandhabte Fähigkeit der Plattform. Die Subnetze einer Anlage werden Ihrem VPN-Profil nur dann hinzugefügt, wenn Sie auf dieser Anlage die Funktion Betreiber innehaben. Dies ist eine einzige, maßgebliche Regel — ein VPN-Profil zu besitzen oder eine Anlage einsehen zu können öffnet für sich genommen niemals eine Route.
Sie halten die Funktion Betreiber auf einer Anlage, wenn sie auf eine der folgenden Weisen gewährt wird:
- Direkt — die Funktion Betreiber ist Ihnen auf dieser konkreten Anlage oder diesem Portfolio zugewiesen.
- Über Ihre Organisation vererbt — Administratoren und Moderatoren einer Organisation werden auf die Funktion Betreiber auf den eigenen Anlagen ihrer Organisation abgebildet.
- Über eine Kooperation — eine andere Organisation teilt eine Anlage mit Ihnen und die Kooperation gewährt die Funktion Betreiber; ein externer Techniker mit Betreiber auf einer geteilten Anlage erhält dieselben Routen wie das eigene Personal der Anlage.
Jede andere Rolle endet vor einer Netzwerk-Route — so ist es gewollt:
| Rolle | Netzwerk-VPN-Route? | Was sie stattdessen erhalten |
|---|---|---|
| Betreiber | Ja | Eine WireGuard-Route in die Netzwerke der Anlage |
| Technischer Manager (Asset Manager – Technisch) | Nein | Den Browser-Proxy zu den Weboberflächen der Geräte, Einsicht in das Zugriffs-Audit-Log und die Verwaltung der VPN-Dienste der Organisation |
| Asset Manager (Kaufmännisch), Betrachter, einfache Mitglieder, Gäste, externe Nutzer ohne die Funktion | Nein | Überhaupt keinen Weg in das Anlagennetz |
Das Ergebnis ist ein sauberes, abgestuftes Design: Betreiber erhalten netzwerkseitigen VPN-Zugriff, Technische Manager arbeiten über den Browser-Proxy und überwachen im Zugriffs-Audit, wer was erreicht hat, und alle anderen haben keine Route in das Anlagennetz.
Schlüsselverwahrung
- Der private Schlüssel wird im Browser des Nutzers erzeugt und verlässt das Endgerät nie.
- Mirox kennt ausschließlich den öffentlichen Schlüssel des Nutzers und die ihm zugewiesene Tunnel-IP.
- Bei Rotation oder Widerruf werden alte Schlüssel serverseitig sofort invalidiert.
Wie Ihre Routen aktuell bleiben
Ihre Liste erreichbarer Anlagen ist nichts, was Sie von Hand pflegen. Sie wird aus Ihren aktuellen Berechtigungen abgeleitet, und Mirox hält beide automatisch im Gleichschritt:
- Neuberechnung im Moment einer Berechtigungsänderung. Wenn Ihnen Betreiber auf einer neuen Anlage gewährt wird — direkt, über Ihre Organisation oder per Kooperation — wird Ihr Routensatz in genau diesem Moment neu berechnet, im selben Schritt wie die Berechtigungsänderung selbst.
- Neue Anlagen erscheinen, ohne dass Sie etwas neu herunterladen. Sie installieren Ihr VPN-Profil einmal. Neu berechtigte Anlagen tauchen innerhalb von Sekunden in Ihrer Erreichbarkeitsliste auf — Sie importieren oder installieren die Konfiguration nie erneut, um eine Anlage freizuschalten.
- Entzogener Zugriff wird entfernt und der Pfad abgebaut. Wird eine Berechtigung entzogen — eine Kooperation endet, Ihre Funktion ändert sich, eine Anlage wird gelöscht — werden die entsprechenden Routen entfernt und der Netzwerkpfad in diese Anlage innerhalb von Sekunden abgebaut. Eine manuelle Aktion ist nicht erforderlich.
- Eine periodische Hintergrundprüfung kontrolliert alle erneut. Unabhängig von diesen sofortigen Aktualisierungen überprüft ein geplanter Hintergrund-Check den Zugriff jedes Nutzers in einem wiederkehrenden Zyklus erneut und korrigiert jede Route, die aus dem Gleichschritt geraten ist, sodass Ihre Erreichbarkeitsmenge stets Ihre tatsächlichen Berechtigungen widerspiegelt.
Mehrregionale Verfügbarkeit
Das persönliche VPN ist auf Hochverfügbarkeit ausgelegt. Es läuft über mehrere unabhängige Rechenzentrumsregionen hinweg, mit mehreren WireGuard-VPN-Servern in jeder Region, sodass es keinen Single Point of Failure gibt. Die Plattformarchitektur ist darauf ausgelegt, eine Verfügbarkeit von 99,999 % zu liefern.
- Automatisches Failover. Ihr Tunnel hängt sich stets an einen funktionsfähigen Eintrittspunkt. Wird einer nicht verfügbar, wird Ihre Verbindung automatisch gegen einen anderen funktionsfähigen Server wiederhergestellt — Sie müssen nichts umkonfigurieren.
- Auswahl der besten Region. Beim Verbinden werden Sie zu einem Eintrittspunkt geleitet, der für Ihren Standort eine gute Erreichbarkeit bietet, transparent vom System ausgewählt.
- Überwachte Anlagen-Agenten. Der Monitoring-Agent jeder Anlage — die Komponente vor Ort oder in der Cloud, durch die der VPN-Verkehr fließt — wird von einer Orchestrierungsschicht überwacht, die laufend prüft, dass der Agent existiert und bereit ist. Fällt ein Agent aus, wird er automatisch neu bereitgestellt oder auf einen funktionsfähigen Host verlagert, sodass der Ausfall eines einzelnen Hosts eine Anlage nicht für lange offline nimmt.
Der Agent der Anlage ist der einzige Eintrittspunkt
Sämtlicher VPN-Verkehr zu einer Anlage fließt durch den eigenen Monitoring-Agenten dieser Anlage. Der Agent ist der Engpass zwischen Mirox und dem Anlagennetz, und das Design hält diese Grenze eng:
- Der Agent wählt sich ausschließlich zu Mirox hinaus. Er öffnet eine ausgehende Verbindung zur Plattform; das Anlagennetz muss zum Internet hin keinen eingehenden Port öffnen, damit der VPN-Zugriff funktioniert.
- Kein Agent, kein Zugriff. Eine Anlage ist über VPN schlicht nicht erreichbar, solange ihr Agent nicht online ist. Bis dahin erscheint die Anlage in Ihrer Routenliste als „noch nicht erreichbar“ und geht automatisch live, sobald der Agent sich verbindet.
- Auf die eigene Anlage begrenzt. Jeder Agent ist auf das eigene Anlagennetz beschränkt. Er ist der einzige Weg in diese Anlage und überschreitet niemals die Grenze in das Netz einer anderen Anlage oder einer anderen Organisation.
Isolation zwischen Anlagen und Organisationen
Mirox betreibt das VPN als gemeinsame Plattforminfrastruktur, doch der Verkehr jedes Nutzers ist strikt eingegrenzt:
- Ihr Tunnel führt nur Ihre eigenen Routen. Jede Verbindung wird mit einem eigenen, isolierten Satz von Routen bedient, der ausschließlich aus Ihren Betreiber-Berechtigungen abgeleitet wird.
- Nicht autorisierte Subnetze werden nie geroutet. Anlagennetze, für die Sie nicht berechtigt sind, werden nicht bloß blockiert — es existiert von vornherein keine Route zu ihnen, also gibt es keinen Pfad, um sie zu erreichen.
- Organisationen können einander nicht sehen. Weil die Erreichbarkeit je Nutzer aus dessen eigenen Berechtigungen abgeleitet wird, können Organisationen, die sich die Plattform teilen, niemals die Anlagennetze der jeweils anderen sehen.
- Tiefenstaffelung gegen Scanning. Zusätzlich zur Routenisolation je Nutzer wenden die VPN-Eintrittspunkte eine Ratenbegrenzung an, die vor Netzwerk-Scans und -Sondierungen schützt.
Audit und Compliance
Jeder Zugriff über das VPN wird vom Mirox-System vollständig auditiert. Die Auditspur erfasst:
- Welcher Nutzer wann und von wo eine Verbindung aufgebaut hat
- Welche Anlagensubnetze während der Sitzung erreicht wurden
- Welche konkreten Geräte (IP, Protokoll, Port) wie oft angesprochen wurden
- Wie viel Datenvolumen pro Sitzung und Subnetz übertragen wurde
Die Auditspur wird mindestens 730 Tage aufbewahrt und ist ausschließlich für die zuständige Betreiber-Organisation der jeweiligen Anlage einsehbar — nicht für den verbundenen Nutzer selbst. Sie ist darauf ausgelegt, die Anforderungen an die Fernzugriffs-Protokollierung der deutschen KRITIS-Regelungen und der EU-NIS2-Richtlinie zu erfüllen; Audit-Datensätze können von Nutzern nicht bearbeitet oder gelöscht werden. Details siehe Zugriffs-Audit-Logging.
Abgrenzung zu verwandten Funktionen
Mirox bietet mehrere Fernzugriffs-Varianten, die leicht zu verwechseln sind. Das auf dieser Seite beschriebene persönliche VPN ist eine von fünf; die Tabelle zeigt, wofür jede gedacht ist und wer sie steuert.
| Variante | Zweck | Wer steuert sie? |
|---|---|---|
| Persönliches VPN (diese Seite) | Ein persönlicher Tunnel, der jedes Anlagennetz erreicht, für das Sie berechtigt sind | Sie selbst, im Rahmen Ihrer Berechtigungen |
| Organisations-VPN-Dienst | Ein gemeinsamer, organisationsverwalteter Tunnel, der in einer Region bereitgestellt wird und über den Anlagen für das gesamte Team geroutet werden | Organisations-Admin oder Moderator |
| Direkter Park-VPN — Dial-out | Der Anlagen-Agent wählt sich in ein bestehendes Remote-VPN eines Kunden ein, sodass Mirox ein vom Kunden gehostetes Netzwerk erreichen kann | Organisations-Admin oder Moderator |
| Direkter Park-VPN — Host | Der Anlagen-Agent betreibt einen öffentlich erreichbaren VPN-Endpunkt, in den sich Remote-Standorte einwählen; Mirox stellt die Schlüssel und Zertifikate automatisch bereit | Organisations-Admin oder Moderator |
| Browser-Proxy | Öffnet die Weboberfläche eines Geräts direkt aus dem Browser, ohne dass ein VPN-Client installiert werden muss | Anlagenbetreiber (konfiguriert die Web-Ziele) |
Das persönliche VPN ist das richtige Werkzeug für technisches Personal, das produktiv mit beliebigen Werkzeugen auf Geräte mehrerer Anlagen zugreifen muss. Der Browser-Proxy ist die richtige Wahl, wenn nur die Weboberfläche eines Geräts aufgerufen werden soll — ohne VPN-Installation, direkt aus dem Browser. Die Organisations- und Direkt-Park-VPNs sind zentral verwaltete Tunnel auf Infrastrukturebene und kein persönliches Profil, das Sie mit sich führen.
Verwandte Funktionen
- Proxy — browser-basierter Zugriff auf Anlagengeräte ohne VPN-Client
- Zugriffs-Audit-Logging — vollständige Auditspur aller VPN- und Proxy-Zugriffe
- Berechtigungssystem — Steuerung, welcher Nutzer welche Anlagen erreicht
- Kooperationen — Freigabe von Anlagen an Dritt-Organisationen
- Lokaler Netzwerk-Inspektor — plattformseitige Erreichbarkeitsprüfung des Anlagennetzes
- Fernzugriff-FAQ — Antworten auf häufige Fragen zu VPN- und Proxy-Zugriff, Routing, Isolation und Verfügbarkeit