Zurück zum Blog

Monitoring von Geräten im internen Kundennetzwerk über einen LAN-Agenten

· 7 Min. Lesezeit

Kurz gesagt Cloud-Monitoring erreicht keine Geräte im internen Kundennetzwerk — NAS-Systeme, Kameras, lokale Server, Drucker. Der ePulz.io LAN-Agent löst das mit einem Pull-Modell: ein winziger Daemon in Ihrem Netzwerk ruft ePulz.io über reguläres HTTPS auf, erhält eine Liste von IPs zur Prüfung, pingt sie lokal und sendet die Ergebnisse zurück. Keine Portweiterleitung, kein VPN, keine offenen Ports von außen.

Das Problem: die Cloud sieht nicht nach innen

Klassisches Uptime-Monitoring läuft im Rechenzentrum. Das funktioniert hervorragend für öffentlich zugängliche Websites — eine HTTP-Anfrage von Frankfurt zu Ihrem Hosting und zurück. Das Problem beginnt, sobald Sie etwas überwachen möchten, was von außen nicht sichtbar ist:

  • NAS mit Backups (192.168.1.10)
  • Internes Grafana / Prometheus / Jira auf 10.0.0.50:3000
  • IP-Kameras im Geschäft, IoT-Gateways, Netzwerkdrucker
  • Router oder Switch, dessen Ausfall Sie wissen möchten
  • VPN-Gateway, RADIUS-Server, lokaler DNS

Gängige Lösungen haben unangenehme Kompromisse:

  • Portweiterleitung — Sie öffnen einen öffentlichen Port am Router, das Monitoring verbindet sich über die öffentliche IP. Ein Sicherheits-Albtraum, oft gegen die Unternehmensrichtlinie.
  • VPN-Tunnel zwischen Monitoring und Kundennetzwerk — funktioniert, erfordert aber IT-seitiges Setup, statische Peer-Konfiguration und Wartung.
  • Cron auf dem Kundenserver, der das Monitoring anpingt — ein Heartbeat. Funktioniert, sagt aber nur aus, dass der Agent lebt, nicht ob ein bestimmtes Ziel im Netzwerk erreichbar ist.

Die Lösung: ein Pull-Modell-Agent

Der ePulz.io LAN-Agent kehrt die Kommunikationsrichtung um. Statt dass der Server in das Kundennetzwerk eindringt, kontaktiert ein einfacher Daemon im Kundennetzwerk selbst den Server. Das Prinzip:

  1. Alle 30 Sekunden fragt der Agent: „Welche Monitore soll ich jetzt prüfen?"
  2. Der Server gibt eine Liste zurück (z. B.: ping 192.168.1.10 jede Minute, TCP 192.168.1.50:5432 alle 5 Minuten).
  3. Der Agent führt die lokalen Prüfungen durch (ICMP-Ping, TCP-Connect, HTTP GET).
  4. Der Agent sendet die Ergebnisse über dieselbe HTTPS-Verbindung zurück.
  5. Bei Statuswechsel (UP → DOWN oder zurück) löst ePulz.io die Standardbenachrichtigung aus — E-Mail, Telegram oder Webhook.

Die gesamte Kommunikation läuft über ausgehendes HTTPS auf Port 443. Genau der Port, den Ihr Router für den Browser offen hat. Keine Weiterleitungen, kein eingehender Traffic, kein VPN.

Drei Arten von LAN-Prüfungen

Typ Ziel Anwendungsfall
lan_ping 192.168.1.10 Gerät im Netzwerk ist online (ICMP Echo). Günstigste Prüfung, sieht RTT mit Sub-Millisekunden-Genauigkeit.
lan_tcp 10.0.0.50:5432 Ein bestimmter Port antwortet (DB, SSH, SMTP, RDP). Erkennt, wenn der Prozess hängt, auch wenn der Host läuft.
lan_http http://nas.local Web-Oberfläche funktioniert (HTTP 2xx/3xx). NAS GUI, internes Dashboard, lokale API.

Installation: zwei Varianten

Für einen Linux-Server mit Root-Zugriff (Raspberry Pi, Mini-PC, VM im Netzwerk):

sudo bash <(curl -s https://epulz.io/install-agent.sh) plzag_xxx

Das Skript installiert den Agenten nach /opt/epulzio-agent und registriert ihn als systemd-Service. Nach Reboot startet er von selbst.

Für Synology / Unraid / k3s / Docker-Hosts:

docker run -d --name epulzio-agent --restart unless-stopped \
  --network host \
  -e EPULZIO_AGENT_TOKEN=plzag_xxx \
  epulzio/agent

--network host ist wichtig — der Agent braucht Zugriff auf das lokale Netzwerk des Hosts.

Was passiert, wenn der Agent ausfällt

Das ist ein häufig vergessenes Szenario in eigenen Setups: Der Agent stoppt (Netzwerk, Stromausfall, Kernel Panic), der Monitor bleibt für immer bei „last_status: up" und niemand bemerkt es. ePulz.io löst das mit separater Heartbeat-Logik:

  • Jede erfolgreiche Agent-Anfrage aktualisiert last_seen.
  • Ein Scheduler prüft aktive Agenten jede Minute. Wenn last_seen älter als 5 Minuten ist, gehen E-Mail und Telegram-Nachricht raus: „LAN-Agent X ist offline".
  • Wenn der Agent zurückkommt, erhalten Sie eine „Wieder online"-Benachrichtigung.

Dadurch landen Sie nie im Zustand „alles sieht grün aus, weil nichts gemessen wird".

Sicherheit

  • Token-basierte Authentifizierung: Der Agent authentifiziert sich über X-Agent-Token: plzag_…. Wir speichern nur den SHA-256-Hash in der DB; das Klartext-Token sehen Sie nur einmal bei Erstellung.
  • Jederzeit widerrufen aus dem Dashboard. Nach Widerruf bekommt der Agent HTTP 401 und stoppt die Aufgabenannahme.
  • Per-Agent-Rate-Limit: 120 Anfragen pro Minute. Schützt den Server vor Endlosschleifen oder fehlerhaften Agenten.
  • Keine Credentials direkt im Skript: Das Token liegt in /opt/epulzio-agent/agent.env mit Permissions 0600.

Wann Sie keinen LAN-Agenten brauchen

Wenn Sie nur öffentliche Websites, APIs und SSL-Zertifikate überwachen, reichen die klassischen ePulz.io Cloud-Probes aus. Der LAN-Agent macht Sinn, wenn:

  • Sie mehrere Kunden verwalten und möchten Monitoring ihrer internen Systeme anbieten.
  • Sie eine Hybrid-Architektur haben (teils Cloud, teils On-Prem) und möchten ein einheitliches Status-Dashboard.
  • Sie Sub-Millisekunden-RTT-Messungen im LAN brauchen, die Sie über das Internet nicht bekommen.

Loslegen

Der LAN-Agent ist in allen Plänen inklusive der Testphase verfügbar. Die Installation dauert drei Minuten:

  1. Erstellen Sie einen Agenten im Dashboard → LAN-Agenten.
  2. Kopieren Sie das Token (wird nur einmal angezeigt).
  3. Führen Sie den Installer auf einer Maschine im Kundennetzwerk aus.
  4. Fügen Sie einen LAN-Monitor über „Neuen Monitor hinzufügen" hinzu und wählen Sie den Typ lan_ping, lan_tcp oder lan_http.

Kostenlos testen

7 Tage voller Zugriff inklusive LAN-Agenten. Keine Karte. Keine automatische Verlängerung.

Konto erstellen →

ePulz.io kostenlos testen - 7 Tage, ohne Kreditkarte.

Konto erstellen