Auf dem Reiter Gruppen können die Gruppen, denen die Geräte zugeordnet sind, angelegt und verwaltet werden (Gruppen-Management). Gruppen dienen dazu, Geräte mit ähnlicher Funktion zusammenzufassen, um ihnen gemeinsame Kommunikationsregeln zuzuordnen.
Hinweis zur Benutzeroberfläche!
Die Gruppen können im Moment nur auf der klassischen Benutzeroberfläche konfiguriert werden. Siehe dieser Hinweis.
Anlegen einer Gruppe
Vor dem Anlegen von Gruppen empfiehlt es sich, eine sinnvolle Einteilung der Geräte in Gruppen zu überlegen.
Gruppen können in der klassischen Benutzeroberfläche durch Klicken auf die Schaltfläche Gruppe hinzufügen auf dem Reiter Gruppen hinzugefügt werden.
Der Gruppenname ist ein Name, der die Gruppe so eindeutig beschreibt, dass sie von anderen Gruppen unterschieden werden kann.
Mit der Checkbox Verbindungen unter Gruppenmitgliedern erlauben kann angegeben werden, ob sich die Geräte innerhalb dieser Gruppe untereinander verbinden können.
Verwalten der Gruppen
Der Reiter Gruppen zeigt eine Liste der angelegten Gruppen. Hier können die Gruppen verwaltet werden. Außerdem wird hier die Kommunikation innerhalb einer Gruppe und zwischen verschiedenen Gruppen festgelegt.
Mit der Schaltfläche Kopieren kann eine weitere Gruppe hinzugefügt werden, wobei die Parameter des Fensters bereits mit denen der kopierten Gruppe vorbelegt werden. Die Anpassung dieser Parameter ermöglicht ein schnelles Anlegen ähnlicher Gruppen.
Mit der Schaltfläche Löschen kann diese Gruppe gelöscht werden.
In der Spalte Gruppenname wird der Name dieser Gruppe angezeigt.
Mit der Schaltfläche in der Spalte Interne Verbindungen kann festgelegt werden, ob Verbindungen zwischen den Geräten in dieser Gruppe erlaubt oder verboten sind.
Mit der Schaltfläche in der Spalte Verbindung von kann festgelegt werden, von welchen Gruppen eingehende Verbindungen akzeptiert werden, d.h. Geräte in den markierten Gruppen können Verbindungen zu den Geräten in dieser Gruppe aufbauen. Weiterhin können diese Verbindungen auf bestimmte Protokolle, Ziel-Stationen und Ziel-Ports eingeschränkt werden (Gruppen-Management advanced). Die Namen der für diese Verbindungen zugelassenen Gruppen werden auf der Schaltfläche angezeigt. Der Zusatz [LIMITED] zeigt an, dass zusätzliche Beschränkungen für diese Verbindungen festgelegt wurden.
Mit der Schaltfläche in der Spalte Verbindung nach kann festgelegt werden, zu welchen Gruppen ausgehende Verbindungen aufgebaut werden können, d.h. Geräte in dieser Gruppe können Verbindungen zu den Geräten in den markierten Gruppen aufbauen. Weiterhin können diese Verbindungen auf bestimmte Protokolle, Ziel-Stationen und Ziel-Ports eingeschränkt werden (Gruppen-Management advanced). Die Namen der für diese Verbindungen zugelassenen Gruppen werden auf der Schaltfläche angezeigt. Der Zusatz [LIMITED] zeigt an, dass zusätzliche Beschränkungen für diese Verbindungen festgelegt wurden.
Bitte beachten Sie!
Wenn eine Verbindung mit einer der Schaltflächen Verbindung von oder Verbindung nach festgelegt wird, wird diese automatisch auch für die andere Richtung festgelegt.
Kommunikationsregeln
Die Kommunikationsregeln legen fest, ob sich PCs, INSYS-Router und daran lokal angeschlossene Geräte miteinander verbinden dürfen.
Kommunikation innerhalb einer Gruppe
Die icom Connectivity Suite – VPN ermöglicht es, allen Geräten, die sich in einer Gruppe befinden, die Kommunikation untereinander zu erlauben oder zu verbieten. Ein Verbot von internen Verbindungen ist beispielsweise sinnvoll, wenn sich Geräte unterschiedlicher Kunden in einer Gruppe befinden. Die Festlegung der Regel für die interne Kommunikation erfolgt beim Anlegen der Gruppe und kann auf dem Reiter Gruppen in der Spalte Interne Verbindungen jederzeit geändert werden.
Kommunikation zwischen Gruppen
Die icom Connectivity Suite – VPN ermöglicht es, Regeln für die Kommunikation zwischen Geräten, die sich in einer Gruppe befinden, und Geräten, die sich in einer anderen Gruppe befinden, festzulegen. Die Festlegung der Regeln für die Kommunikation zwischen den Gruppen erfolgt auf dem Reiter Gruppen in den Spalten Verbindung von (eingehend) bzw. Verbindung nach (ausgehend) für die jeweilige Gruppe. Wenn für eine Gruppe (A) beispielsweise eingehende Verbindungen von einer anderen Gruppe (B) erlaubt werden, werden automatisch für die Gruppe (B) ausgehende Verbindungen zu Gruppe (A) erlaubt.
Einschränkungen bei der Kommunikation zwischen Gruppen
Wenn Verbindungen zwischen den Geräten einzelner Gruppen erlaubt sind, ist bei Verbindungen zu einem Router der Zugriff auf das gesamte Netz hinter diesem Router freigegeben. Daher ist es möglich, diese Verbindungen auf bestimmte Protokolle, Ziel-Stationen und Ziel-Ports einzuschränken. Dies erfolgt beim Festlegen der erlaubten Verbindungen durch Markieren der Checkbox zusätzliche Beschränkungen für die Verbindungs-Ziele.
Protokoll
Es ist möglich, das für die Verbindung verwendete Protokoll auf TCP+UDP, TCP, UDP oder ICMP zu beschränken. Wenn hier ein bestimmtes Protokoll ausgewählt ist, können nur Verbindungen über dieses Protokoll zwischen den Geräten der betreffenden Gruppen aufgebaut werden. Nutzverbindungen verwenden in der Regel TCP oder UDP; der Ping-Befehl zur Prüfung der Erreichbarkeit verwendet ICMP
Ziel-Station
Durch die Angabe einer Ziel-Station ist es möglich, die Verbindungen auf bestimmte Geräte im Netzwerk hinter dem Router zu beschränken. Bei der Ziel-Station wird nur der Teil der Adresse angegeben, der die Bezeichnung innerhalb des jeweiligen Netzwerks angibt. Diese Angabe wird zur Netzadresse addiert, um die IP-Adresse des Ziel-Geräts zu erhalten. Mit Hilfe einer Netzmaske in CIDR-Notation kann auch eine Ziel-Station angegeben werden, die einen ganzen IP-Adressbereich definiert. Folgendes Beispiel illustriert die Wirkungsweise der Angabe einer Ziel-Station:
.png "image(32).png")
In diesem Beispiel ist für Verbindungen zu den Geräten in der unteren Gruppe die Ziel-Station 0.0.0.7 konfiguriert. Das bedeutet, dass beispielsweise im Netzwerk mit der Adresse 192.168.13.0 Verbindungen zum Gerät (Kamera) mit der IP-Adresse 192.168.13.7 über den Router mit der IP-Adresse 192.168.13.1 aufgebaut werden können. Dies gilt entsprechend auch für die anderen Geräte in dieser Gruppe.
Für Verbindungen zu den Geräten in der oberen Gruppe ist die Ziel-Station 0.0.0.12/30 konfiguriert. Das bedeutet, dass beispielsweise im Netzwerk mit der Adresse 192.168.18.0 Verbindungen zu den Geräten mit den IP-Adressen 192.168.18.12 bis 192.168.18.15 über den Router mit der IP-Adresse 192.168.18.1 aufgebaut werden können. Dies gilt entsprechend auch für die anderen Geräte in dieser Gruppe.
Ziel-Port
Durch die Angabe eines Ziel-Ports ist es möglich, TCP- und UDP-Verbindungen auf bestimmte Ports zu beschränken. Es können mehrere Ports, getrennt durch Kommas oder ganze Port-Bereiche angegeben werden. Die Ziel-Port-Angabe 80, 443, 1194-1199 erlaubt beispielsweise Verbindungen über die Ports 80, 443, 1194, 1195, 1196, 1197, 1198 und 1199.