Zum Inhalt springen

Connector-Software im Netzwerk

Die Connector-Software ist der zweite Weg, dein Firmennetzwerk mit 9brains zu verbinden. Statt die Verbindung auf eurer Firewall einzurichten, läuft eine kleine Software auf einem Gerät in eurem Netzwerk und baut die Verbindung von sich aus zu 9brains auf. Damit spielt es keine Rolle, ob eure Firewall WireGuard kann, und ihr müsst keinen Port öffnen.

Für Firewalls mit WireGuard-Unterstützung ist die Firewall-Verbindung meist die einfachere Wahl. Beide Wege führen zum selben Ergebnis: interne Dienste werden über eine verschlüsselte, ausschließlich ausgehende Verbindung für die KI erreichbar.

Wann dieser Weg passt

Abschnitt betitelt „Wann dieser Weg passt“
  • Eure Firewall unterstützt kein WireGuard (z.B. ältere Sophos-UTM-Geräte). Die Firewall bleibt komplett unangetastet.
  • Ihr wollt nur einen einzelnen Rechner erreichbar machen, etwa einen Mac oder PC, auf dem eine Fachanwendung läuft.
  • Ihr wollt schnell starten, ohne Änderungen an der Firewall abzustimmen.

Voraussetzungen

Abschnitt betitelt „Voraussetzungen“
  • Du bist Administrator im Workspace
  • Dein Workspace hat eine Business- oder Max-Lizenz
  • Ein Gerät im Netzwerk, das eingeschaltet bleibt (Computer, Server, NAS oder eine VM) und ins Internet kann
  • Kein offener Port und keine Firewall-Änderung nötig, die Verbindung geht nur nach außen

So funktioniert es

Abschnitt betitelt „So funktioniert es“
Dein Firmennetzwerk                          9brains Cloud
┌──────────────────────┐                    ┌──────────────────────┐
│  ┌────────────────┐  │   verschlüsselte   │                      │
│  │ Connector-     │  │   Verbindung       │── Integration/Skill  │
│  │ Software       │──│═══════════════════►│── Code-Ausführung    │
│  └───────┬────────┘  │   (nur ausgehend)  │── Datenindexierung   │
│  Datenbank, ERP,     │                    │                      │
│  Fachanwendung ...   │                    │                      │
└──────────────────────┘                    └──────────────────────┘

Die Connector-Software meldet sich von selbst bei 9brains an. 9brains erreicht darüber genau die Dienste, die du freigibst, und sonst nichts. Euer Netzwerk kann umgekehrt keine Verbindung zu uns aufbauen.

Zwei Varianten

Abschnitt betitelt „Zwei Varianten“

Beim Anlegen wählst du unter „Was soll erreichbar sein?” zwischen:

  • „Nur dieser Rechner”: Die Software läuft direkt auf dem Zielrechner, also auf dem Computer, auf dem auch der gewünschte Dienst liegt. Das ist der häufigste Fall und funktioniert unabhängig davon, ob der Rechner eine feste oder eine wechselnde (DHCP-)IP hat.
  • „Routing ins Netzwerk”: Die Software läuft auf einem Gerät und macht mehrere Systeme dahinter erreichbar (ein ganzes Subnetz). Geeignet, wenn du z.B. Datenbank, ERP und Fileserver über ein einziges Gerät anbinden willst.

Connector anlegen

Abschnitt betitelt „Connector anlegen“
  1. Gehe zu Einstellungen → On-Premise Connector
  2. Klicke auf „Tunnel anlegen”
  3. Wähle bei Verbindungsart den Punkt „Connector-Software im Netzwerk”
  4. Vergib einen Namen (z.B. „CAD-Rechner Konstruktion”)
  5. Wähle unter „Was soll erreichbar sein?” die passende Variante

Variante „Nur dieser Rechner”

Abschnitt betitelt „Variante „Nur dieser Rechner”“

Nach dem Speichern zeigt dir 9brains zwei Schritte:

  1. Tailscale herunterladen und installieren auf dem Zielrechner. Im Dialog findest du die Download-Links für macOS, Windows und Linux.
  2. Den angezeigten Befehl auf dem Zielrechner ausführen. Kopiere ihn mit dem Kopieren-Button und führe ihn dort im Terminal bzw. in der Eingabeaufforderung aus.

Sobald der Befehl durchgelaufen ist, erscheint die Verbindung in der Übersicht als verbunden.

Läuft auf dem Rechner bereits Tailscale? Dann hänge --force-reauth an den Befehl an. Damit wechselt der Rechner in das 9brains-Netzwerk.

Variante „Routing ins Netzwerk”

Abschnitt betitelt „Variante „Routing ins Netzwerk”“
  1. Trage den Netzwerk-Bereich (Subnetz) ein, den der Connector erreichbar machen soll, z.B. 192.168.1.0/24. Für einen einzelnen Rechner gibst du seine IP als /32 an, z.B. 192.168.1.50/32.
  2. Klicke auf „Connector herunterladen”. Du erhältst eine fertige docker-compose.yml.
  3. Starte die Datei auf einem Gerät im Netzwerk, auf dem Docker läuft (VM, Server oder NAS), mit docker compose up -d.

Sobald der Connector läuft, erscheint die Verbindung in der Übersicht.

Dienste hinzufügen

Abschnitt betitelt „Dienste hinzufügen“

Ein Dienst beschreibt ein konkretes System (einen Port), das über den Connector erreichbar sein soll.

  1. Öffne die Verbindung in der Detailansicht
  2. Klicke auf „Service hinzufügen”
  3. Trage die Daten ein:
    • „Nur dieser Rechner”: Es genügt der Port des Dienstes (z.B. 5432 für PostgreSQL). Das Ziel ist der Rechner selbst, auf dem der Connector läuft.
    • „Routing ins Netzwerk”: Zusätzlich den Remote-Host, also die interne IP im angegebenen Subnetz (z.B. 192.168.1.50).
  4. Nach dem Speichern wird eine zugewiesene Adresse angezeigt (z.B. wg-gateway.production:50798). Diese Adresse verwendest du in der Integration oder dem Skill.

Wie du aus einem Dienst eine nutzbare KI-Funktion machst (PostgreSQL-Integration, ERP-Skill und mehr), steht im Abschnitt Integration oder Skill einrichten der Übersicht.

Sicherheit

Abschnitt betitelt „Sicherheit“
  • Verschlüsselung: Die Verbindung ist durchgängig mit moderner Kryptografie verschlüsselt
  • Nur ausgehend: Die Software baut die Verbindung nach außen auf, euer Netzwerk ist von außen nicht erreichbar und es muss kein Port geöffnet werden
  • Mandantentrennung: Jeder Workspace hat seine eigene Verbindung. Andere Workspaces können nicht auf eure Systeme zugreifen
  • Minimale Rechte: 9brains erreicht ausschließlich die Dienste, die du freigibst, kein Zugriff auf andere Geräte im Netzwerk

Häufige Probleme

Abschnitt betitelt „Häufige Probleme“

Der Einrichtungsbefehl „hängt”

Abschnitt betitelt „Der Einrichtungsbefehl „hängt”“

Auf dem Zielrechner läuft vermutlich bereits Tailscale (z.B. aus einer früheren Nutzung). Hänge --force-reauth an den Befehl an, dann wechselt der Rechner in das 9brains-Netzwerk.

Dienst nicht erreichbar, obwohl die Verbindung „verbunden” ist

Abschnitt betitelt „Dienst nicht erreichbar, obwohl die Verbindung „verbunden” ist“
  • Dienst lauscht nur lokal: Manche Programme sind ab Werk nur über localhost (127.0.0.1) erreichbar. Damit der Connector sie erreicht, muss der Dienst auf allen Netzwerk-Adressen lauschen (oft 0.0.0.0 in der Konfiguration des Programms).
  • Lokale Firewall: Eine Firewall auf dem Zielrechner selbst (z.B. die Windows-Firewall) kann den Port blockieren. Gib den Port dort frei.
  • Falscher Port oder Host: Prüfe den Port und, bei „Routing ins Netzwerk”, die interne IP.

Die Verbindung erscheint nicht in der Übersicht

Abschnitt betitelt „Die Verbindung erscheint nicht in der Übersicht“
  • Der Rechner bzw. das Gerät mit dem Connector muss eingeschaltet sein und Internetzugang haben.
  • Bei der Docker-Variante: Prüfe mit docker compose logs, ob der Connector gestartet ist.

Wechselnde IP-Adresse (DHCP)

Abschnitt betitelt „Wechselnde IP-Adresse (DHCP)“

Bei „Nur dieser Rechner” musst du dich darum nicht kümmern: Der Connector behält eine stabile Adresse, auch wenn der Rechner per DHCP eine neue lokale IP bekommt. Bei „Routing ins Netzwerk” erreichst du die Zielsysteme über ihre interne IP, vergib dort am besten feste IPs oder DHCP-Reservierungen.

Feature nicht sichtbar

Abschnitt betitelt „Feature nicht sichtbar“
  • Der On-Premise Connector ist ab einer Business-Lizenz verfügbar.
  • Nur Administratoren können Verbindungen und Dienste konfigurieren.