Netzwerk-Anforderungen und Firewall-Konfiguration

Diese technische Dokumentation richtet sich an IT-Administratoren und Netzwerk-Verantwortliche, die LobbyFlight Displays in ihre Netzwerkinfrastruktur integrieren müssen.

Mindestanforderungen

Bandbreite

Minimum Requirements:

Empfohlene Spezifikationen:

Bandbreiten-Kalkulation pro Display:

Verbindungstyp

Empfohlen: Kabelgebundenes Ethernet

Alternativ: WLAN

Protokoll-Anforderungen

HTTPS (zwingend erforderlich):

Erforderliche Outbound-Verbindungen

LobbyFlight Displays benötigen Zugriff auf folgende externe Services:

1. Hauptanwendung (Vercel Edge Network)

Protokoll: HTTPS (TCP Port 443)

Domains:

Primary: yourdomain.vercel.app
Alternative: yourdomain.com (Custom Domain)
CDN: *.vercel-dns.com

Endpoints:

Frequenz:

2. Flugdaten API (AviationStack)

Protokoll: HTTPS (TCP Port 443)

Domain: api.aviationstack.com

Endpoints:

/v1/flights?dep_iata=[AIRPORT]
/v1/flights?arr_iata=[AIRPORT]

Frequenz:

3. Wetter API (OpenWeatherMap)

Protokoll: HTTPS (TCP Port 443)

Domain: api.openweathermap.org

Endpoints:

/data/2.5/weather?lat=[LAT]&lon=[LON]
/data/2.5/forecast?lat=[LAT]&lon=[LON]

Frequenz:

4. Asset Storage (Vercel Blob)

Protokoll: HTTPS (TCP Port 443)

Domains:

*.blob.vercel-storage.com
[projektname].public.blob.vercel-storage.com

Verwendung:

Frequenz:

Firewall-Regeln

Minimale Whitelist (Basis-Funktionalität)

# Hauptanwendung
ALLOW OUTBOUND TCP/443 TO yourdomain.vercel.app
ALLOW OUTBOUND TCP/443 TO yourdomain.com

# Flugdaten (Server-seitig)
ALLOW OUTBOUND TCP/443 TO api.aviationstack.com

Erweiterte Whitelist (Alle Features)

# Hauptanwendung & CDN
ALLOW OUTBOUND TCP/443 TO yourdomain.vercel.app
ALLOW OUTBOUND TCP/443 TO yourdomain.com
ALLOW OUTBOUND TCP/443 TO *.vercel-dns.com

# APIs
ALLOW OUTBOUND TCP/443 TO api.aviationstack.com
ALLOW OUTBOUND TCP/443 TO api.openweathermap.org

# Asset Storage
ALLOW OUTBOUND TCP/443 TO *.blob.vercel-storage.com

# Optional: HTTP für Redirects
ALLOW OUTBOUND TCP/80 TO yourdomain.vercel.app
ALLOW OUTBOUND TCP/80 TO yourdomain.com

Firewall-Regeln für Fortgeschrittene

Für Palo Alto Networks:

<rule>
  <name>LobbyFlight-Display</name>
  <source><zone>Internal</zone></source>
  <destination>
    <member>yourdomain.vercel.app</member>
    <member>api.aviationstack.com</member>
  </destination>
  <service>
    <member>service-https</member>
  </service>
  <action>allow</action>
  <log-end>yes</log-end>
</rule>

Für pfSense:

pass out on $WAN proto tcp from any to yourdomain.vercel.app port 443
pass out on $WAN proto tcp from any to api.aviationstack.com port 443

Für iptables:

iptables -A OUTPUT -p tcp --dport 443 -d yourdomain.vercel.app -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -d api.aviationstack.com -j ACCEPT

Port-Anforderungen

Inbound Ports

Keine Inbound-Ports erforderlich!

LobbyFlight Displays sind reine Clients und empfangen keine eingehenden Verbindungen.

Outbound Ports

Essentiell:

Optional:

Proxy-Konfiguration

Transparenter Proxy

Funktioniert ohne Konfiguration wenn:

Authentifizierender Proxy

Nicht direkt unterstützt!

Displays können keine Proxy-Authentifizierung durchführen.

Workarounds:

TLS-Inspection / SSL-Decryption

Kann Probleme verursachen mit:

Empfohlene Lösung:

Bypass TLS-Inspection für:
- *.vercel.app
- *.vercel-dns.com
- api.aviationstack.com
- api.openweathermap.org

Alternative:

Custom Root-CA auf Android-Geräten installieren (komplex)

DNS-Anforderungen

DNS-Auflösung

Displays müssen folgende Domains auflösen können:

Empfohlene DNS-Server

Primär/Sekundär:

Vorteile externer DNS:

Health-Check Monitoring

Endpoint für Überwachung

URL: https://yourdomain.com/api/health

Methode: GET oder HEAD

Erwartete Response:

{
  "status": "ok",
  "timestamp": "2024-01-15T10:30:00Z"
}

HTTP Status: 200 OK

Monitoring-Integration

Nagios/Icinga Check:

check_http -H yourdomain.com -u /api/health -e 200

Zabbix Template:

{
  "key": "web.page.get[yourdomain.com,/api/health,443]",
  "interval": "60s",
  "triggers": [{
    "expression": "{last()}<>200",
    "severity": "WARNING"
  }]
}

Prometheus/Grafana:

- job_name: 'lobbyflight'
  metrics_path: '/api/health'
  static_configs:
    - targets: ['yourdomain.com:443']

Display-Connectivity Check

Displays können ihre eigene Konnektivität prüfen:

JavaScript (im Browser):

setInterval(async () => {
  try {
    const response = await fetch('/api/health', { method: 'HEAD' })
    if (!response.ok) throw new Error('Health check failed')
    console.log('Display online')
  } catch (error) {
    console.error('Display offline', error)
    // Trigger offline mode
  }
}, 30000) // Alle 30 Sekunden

Netzwerk-Troubleshooting

Diagnose-Tools

1. Chrome DevTools Network Tab:

2. Android Network Diagnostics:

adb shell ping -c 4 yourdomain.com
adb shell nslookup yourdomain.com
adb shell netstat -an

3. Wireshark/tcpdump:

tcpdump -i eth0 host yourdomain.com and port 443

Häufige Netzwerkprobleme

Problem: Display lädt nicht

Diagnose:

Lösungen:

Problem: Intermittierende Verbindungsabbrüche

Diagnose:

Lösungen:

Problem: Sehr langsame Ladezeiten

Diagnose:

Lösungen:

Best Practices für IT-Abteilungen

Netzwerk-Segmentierung

Empfehlung: Eigenes VLAN für Digital Signage

VLAN 100: Digital-Signage
- IP-Range: 10.100.0.0/24
- DHCP: 10.100.0.100-200
- Gateway: 10.100.0.1
- QoS: Priority 5

Vorteile:

Redundanz

Primary/Backup Konfiguration:

Implementation:

# Network Manager Konfiguration
[connection]
autoconnect-priority=100  # Ethernet
autoconnect-priority=50   # WiFi

Monitoring & Alerting

Was überwachen:

Alert-Schwellwerte:

Sicherheitsempfehlungen

Netzwerk-Sicherheit

Update-Management

Logging & Auditing

Zu loggende Events:

Log-Retention: Minimum 30 Tage