我再次因为缺乏协议知识而苦苦挣扎。
基本情况:
设备A希望通过HTTPS与设备Z通信。
设备A未连接到互联网,仅连接到仅允许MQTT的内部网络。我们将其称为“内部总线”B.还连接到B的是MQTT - > HTTPS Gateway G,它具有Internet访问权限。
题:
是否有可能将A和Z之间的完整HTTPS流量包装到MQTT有效负载中,并使用这些MQTT-Packages以及握手和数据传输 - 这样设备A和Z在其HTTPS通信中不会被“干扰” ?
这并不是指以某种方式解密包:所有内容都应该按原样包装到MQTT中并通过G路由前进 - 所以它就像OSI第8层。
评价:
我的直觉是,它应该以某种方式工作,但我认为要实际实现这一点,我将不得不在设备A和网关G上编写我自己的“网络驱动程序”或“网络挂钩”
您对可行性有何看法?
谢谢和最好的问候
虽然这是可能的(如果你足够努力,几乎任何事情都可能,人们已经编写了整个运行在DNS查询上的VPN)我会质疑投资回报率。
您需要2个主题,一个用于通信的每个方向,并且网关上的一个tun / tap设备用于写入/读取数据包。添加NAT层,它可以在IP层而不是HTTP代理级别工作。
如果您担心安全性,并且由于某种原因,您无法(或不需要)在本地网络中使用MQTT over TLS,则可以在本地网络的边缘使用反向代理进行TLS终止。使用Nginx非常容易(详见下文)
https://docs.nginx.com/nginx/admin-guide/security-controls/terminating-ssl-tcp/
如果由于某种原因你绝对需要使用HTTPS,协议网关应该做到这一点,但我不会这样做,除非我绝对不得不这样做。