Zum Inhalt springen

On-Premise Connector

Der On-Premise Connector verbindet 9brains über eine verschlüsselte Verbindung mit Systemen in deinem Firmennetzwerk, Datenbanken, ERP-Systeme, Fileserver oder andere interne Dienste.

Der Connector ist protokoll-agnostisch, alles was über TCP erreichbar ist, funktioniert: Datenbanken, HTTP-APIs, SMB-Fileserver, LDAP und mehr.

Es gibt zwei Verbindungswege, beide führen zum selben Ergebnis:

  • Firewall-Verbindung (WireGuard), beschrieben auf dieser Seite. Geeignet, wenn eure Firewall WireGuard unterstützt.
  • Connector-Software im Netzwerk, eine kleine Software auf einem Gerät im Netzwerk. Ideal, wenn eure Firewall kein WireGuard kann oder ihr nur einen einzelnen Rechner erreichbar machen wollt. Keine Firewall-Konfiguration, kein offener Port nötig.

Typische Anwendungsfälle:

  • SQL-Abfragen gegen eine interne PostgreSQL-, MySQL- oder MS-SQL-Datenbank (über eine Integration oder einen Skill)
  • API-Aufrufe an ein internes ERP wie Odoo, SAP oder Microsoft Dynamics (über einen Skill)
  • Zugriff auf interne Web-Anwendungen wie Grafana oder BI-Dashboards
  • Eigene Tools anbinden, die über TCP erreichbar sind, in Verbindung mit einem Custom-Skill

Wichtig: Der On-Premise Connector stellt die Netzwerkverbindung her. Damit die KI ein internes System aktiv nutzen kann, brauchst du zusätzlich eine passende Integration (z.B. PostgreSQL) oder einen Skill, der mit dem System interagiert.

Hinweis zu Fileservern und NAS: Eine native Indexierung interner SMB-Fileserver oder NAS-Systeme als durchsuchbare Datenquelle ist Teil der Datenquellen-Roadmap und derzeit noch nicht verfügbar. TCP-Verbindungen zu SMB-Hosts lassen sich heute schon über den Connector aufbauen, die Indexierung erfordert dann aktuell einen Custom-Skill.

Voraussetzungen

Abschnitt betitelt „Voraussetzungen“
  • Du bist Administrator im Workspace
  • Dein Workspace hat eine Business- oder Max-Lizenz
  • Eure Firewall unterstützt WireGuard (pfSense, OPNsense, Sophos, Fortinet, Unifi, MikroTik oder vergleichbar)
  • Ein UDP-Port auf der Firewall ist von außen erreichbar (Standard: 51820)

Kein WireGuard auf der Firewall? Nutze stattdessen die Connector-Software im Netzwerk. Dafür brauchst du weder WireGuard noch einen offenen Port.

So funktioniert es

Abschnitt betitelt „So funktioniert es“
Dein Firmennetzwerk                          9brains Cloud
┌──────────────────────┐                    ┌──────────────────────┐
│                      │   WireGuard-Tunnel │                      │
│  Datenbank ──────────│═══════════════════►│── Integration/Skill  │
│  ERP-System ─────────│═══════════════════►│── Code-Ausführung    │
│  Fileserver ─────────│═══════════════════►│── Datenindexierung   │
│                      │   (verschlüsselt)  │                      │
└──────────────────────┘                    └──────────────────────┘
  1. Du konfigurierst einen WireGuard-Tunnel zwischen eurer Firewall und 9brains
  2. Du legst Services an, jeder Service zeigt auf ein internes System (z.B. Datenbank auf Port 5432)
  3. Du richtest eine Integration oder einen Skill ein, die den Service nutzt
  4. Die KI kann das System über den verschlüsselten Tunnel ansprechen

Wichtig: Die Verbindung ist nur ausgehend, 9brains verbindet sich zu euren Systemen. Euer Netzwerk kann keine Verbindungen zu uns initiieren.

Tunnel anlegen

Abschnitt betitelt „Tunnel anlegen“
  1. Gehe zu Einstellungen → On-Premise Connector
  2. Klicke auf „Tunnel anlegen”
  3. Fülle die Felder aus:
FeldBeschreibung
NameEin aussagekräftiger Name (z.B. „Hauptstandort München”)
EndpointDie öffentliche Adresse eurer Firewall mit WireGuard-Port (z.B. vpn.meinefirma.de:51820)
Peer Public KeyDer WireGuard Public Key eurer Firewall, findest du in der WireGuard-Konfiguration der Firewall
  1. Klicke auf „Speichern”
  2. Es wird ein Public Key angezeigt, diesen musst du als Peer in eurer Firewall eintragen

Firewall konfigurieren

Abschnitt betitelt „Firewall konfigurieren“

Trage in der WireGuard-Konfiguration eurer Firewall einen neuen Peer ein:

FeldWert
Public KeyDer angezeigte Public Key aus 9brains (Kopieren-Button)
Allowed IPsDie angezeigte Tunnel-IP (z.B. 10.0.0.2/32)
EndpointNicht nötig, 9brains initiiert die Verbindung

Hinweis: Die genaue Konfiguration variiert je nach Firewall-Hersteller. Schau in die Dokumentation deiner Firewall für die WireGuard-Peer-Konfiguration.

Services hinzufügen

Abschnitt betitelt „Services hinzufügen“

Ein Service beschreibt ein konkretes System, das über den Tunnel erreichbar ist.

  1. Öffne den Tunnel in der Detailansicht
  2. Klicke auf „Service hinzufügen”
  3. Fülle die Felder aus:
FeldBeschreibung
NameAnzeigename (z.B. „ERP-Datenbank”)
Remote-HostDie interne IP oder der Hostname des Zielsystems (z.B. 192.168.10.5)
Remote-PortDer Port des Zielsystems (z.B. 5432 für PostgreSQL)
ProtokollTyp des Dienstes (PostgreSQL, HTTP, SMB, LDAP etc.)
BeschreibungWas enthält dieses System? Diese Information sieht die KI im Chat
  1. Klicke auf „Speichern”
  2. Es wird eine zugewiesene Adresse angezeigt, diese Adresse verwendest du in der Integration oder dem Skill

Tipp: Schreibe eine aussagekräftige Beschreibung. Die KI nutzt diese Information, um zu entscheiden, welches System für eine Frage relevant ist. Zum Beispiel: „Enthält Umsatz-, Kunden- und Artikeldaten seit 2019.”

Integration oder Skill einrichten

Abschnitt betitelt „Integration oder Skill einrichten“

Nach dem Anlegen eines Services brauchst du eine Integration oder einen Skill, damit die KI das System nutzen kann.

Beispiel: Interne PostgreSQL-Datenbank

Abschnitt betitelt „Beispiel: Interne PostgreSQL-Datenbank“
  1. Lege einen Service an (Remote-Host: 192.168.10.5, Remote-Port: 5432, Protokoll: PostgreSQL)
  2. Notiere die zugewiesene Adresse (z.B. wg-gateway.production:12666)
  3. Gehe zu Einstellungen → Integrationen und richte eine PostgreSQL-Integration ein
  4. Verwende die zugewiesene Adresse als Host im Connection-String

Beispiel: Internes ERP-System (API)

Abschnitt betitelt „Beispiel: Internes ERP-System (API)“
  1. Lege einen Service an (Remote-Host: 192.168.10.20, Remote-Port: 8080, Protokoll: HTTP)
  2. Erstelle einen Skill (z.B. mit dem Skill-Builder-Assistenten), der die API des ERP-Systems anspricht
  3. Verwende die zugewiesene Adresse als API-Endpunkt im Skill

Beispiel: Fileserver / NAS

Abschnitt betitelt „Beispiel: Fileserver / NAS“
  1. Lege einen Service an (Remote-Host: 192.168.10.30, Remote-Port: 445, Protokoll: SMB)
  2. Erstelle einen Custom-Skill, der die zugewiesene Adresse als SMB-Endpunkt nutzt, Dateien abruft und der KI als Antworten zur Verfügung stellt

Hinweis: Eine native Datenquelle für SMB-Fileserver mit automatischer Indexierung ist Teil der Datenquellen-Roadmap und derzeit noch nicht verfügbar. Bis dahin ist der Custom-Skill-Weg die einzige Option, um Dateien aus dem internen Netzwerk im Chat zugänglich zu machen.

Verbindung testen

Abschnitt betitelt „Verbindung testen“
  1. Klicke in der Tunnel-Detailansicht auf „Verbindung testen”
  2. Für jeden Service wird angezeigt:
    • Erreichbar: Verbindung erfolgreich, Latenz in Millisekunden
    • Nicht erreichbar: Verbindung fehlgeschlagen, mit Fehlermeldung

Falls ein Service nicht erreichbar ist, prüfe:

  • Ist der WireGuard-Tunnel auf eurer Firewall aktiv?
  • Ist das Zielsystem eingeschaltet und erreichbar?
  • Sind die Allowed IPs auf der Firewall korrekt konfiguriert?
  • Erlaubt die Firewall Traffic vom WireGuard-Interface zum Zielsystem?

Sicherheit

Abschnitt betitelt „Sicherheit“
  • Verschlüsselung: Alle Daten werden über den WireGuard-Tunnel mit modernster Kryptografie verschlüsselt übertragen
  • Nur ausgehend: Die Verbindung kann nur von 9brains initiiert werden, euer Netzwerk ist nicht von außen erreichbar
  • Mandantentrennung: Jeder Workspace hat eigene Tunnel und Schlüsselpaare. Andere Workspaces können nicht auf eure Systeme zugreifen
  • Minimale Rechte: 9brains greift nur auf die explizit konfigurierten Services zu, kein Zugriff auf andere Systeme in eurem Netzwerk

Häufige Probleme

Abschnitt betitelt „Häufige Probleme“

Tunnel zeigt „Fehler” statt „Verbunden”

Abschnitt betitelt „Tunnel zeigt „Fehler” statt „Verbunden”“
  • Firewall-Peer nicht konfiguriert: Trage den angezeigten Public Key als Peer in eurer Firewall ein
  • UDP-Port nicht erreichbar: Stelle sicher, dass der WireGuard-Port (z.B. 51820) von außen erreichbar ist
  • Falscher Public Key: Vergleiche den Peer Public Key in 9brains mit dem tatsächlichen Public Key eurer Firewall

Service nicht erreichbar trotz aktivem Tunnel

Abschnitt betitelt „Service nicht erreichbar trotz aktivem Tunnel“
  • Firewall-Regeln: Prüfe, ob Traffic vom WireGuard-Interface zum internen System erlaubt ist
  • Allowed IPs: Die Tunnel-IP von 9brains muss in den Allowed IPs des Peers auf eurer Firewall stehen
  • Zielsystem: Das System muss eingeschaltet sein und auf dem angegebenen Port lauschen

Feature nicht sichtbar

Abschnitt betitelt „Feature nicht sichtbar“
  • Der On-Premise Connector ist erst ab einer Business-Lizenz verfügbar
  • Nur Administratoren können Tunnel und Services konfigurieren