Zum Inhalt

Salto Server — Standortanalyse und Migrationsbewertung

Zusammenfassung

Ergebnis: Der Salto Server MUSS lokal am Standort bleiben. Eine Migration zu einem externen Hosting (z.B. Hetzner VPS) ist technisch nicht sinnvoll und sicherheitskritisch.

Aktuelle Architektur

  • VM auf Hyper-V Host (10.128.40.7), IP 10.128.40.6
  • Windows Server 2019, 8 vCPU, 8 GB RAM
  • Salto ProAccess Space 6.12.2.3 + SQL Server 2022
  • 52 Offline-Zylinder + 1 Online-Tür (Haupteingang Ruhr, Schiebetür)
  • SNP-Gateway 10.128.30.15 mit 3 Türcontrollern
  • 216 aktive Benutzer, 15 Berechtigungsgruppen

Nebenfunktion: Monitoring-Bridge

  • SNMP-Exporter (Port 9116) — Sophos XGS Metriken
  • Blackbox-Exporter (Port 9115) — HTTP/ICMP-Probes vom Standort
  • Syslog-Relay (UDP 1514) — Sophos Logs → VPS
  • Salto-Metriken (Port 8100/metrics) → Proxy auf VPS

Gründe gegen eine Migration

1. Physische Sicherheit — Single Point of Failure

Die Schließanlage ist ein physisches Sicherheitssystem. Bei VPN-Ausfall wäre der Gebäudezugang gestört:

  • Online-Tür (Haupteingang Schiebetür) reagiert nicht mehr
  • Key-Updates für Offline-Zylinder nicht möglich
  • SNP-Gateway-Synchronisation unterbrochen

2. Netzwerk-Anforderungen

  • SNP-Gateway (10.128.30.15) kommuniziert über TCP 36000-36110 direkt mit dem Server
  • Offline-Zylinder-Programmierung über Local IO Bridge (Port 8102, WebSocket) braucht lokale USB-Encoder
  • UDP-Kommunikation mit Peripherie (Ports 5001-10000) ist latenz- und paketverlust-empfindlich

3. Latenz

  • Türöffnung über Online-Controller braucht <100ms Reaktionszeit
  • VPN-Roundtrip (Standort → Hetzner → Standort) würde 20-50ms zusätzliche Latenz verursachen
  • Bei Paketverlust oder VPN-Reconnect: Timeouts an der Tür

4. Lizenzierung

  • Windows Server Lizenz müsste separat auf Hetzner gebracht werden
  • SQL Server 2022 Lizenz ebenso
  • Hetzner bietet kein Windows VPS — eigene ISO + Lizenz erforderlich
  • Salto-Lizenz ist an Hardware/Installation gebunden (Serial 306163)

5. Monitoring-Perspektive

  • SNMP-Exporter und Blackbox-Exporter messen bewusst VOM Standort aus
  • Diese Standort-Perspektive wäre bei Migration verloren
  • Ergänzt die externe Perspektive vom VPS

Empfohlene Architektur (Status quo bestätigt)

Standort A (10.128.40.0/24)
  └─ Salto Server (10.128.40.6) — LOKAL
       ├─ ProAccess Space → SNP-Gateway → Türcontroller → Türen
       ├─ SQL Server (Datenbank)
       ├─ SNMP-Exporter → Prometheus (VPS, via VPN)
       ├─ Blackbox-Exporter → Prometheus (VPS, via VPN)
       └─ Metriken → salto-metrics-proxy (VPS) → Prometheus

VPS (178.104.125.96)
  └─ Monitoring, Alerting, Dashboards
       ├─ Prometheus scrapet Salto über OpenVPN (10.244.2.2)
       ├─ salto-metrics-proxy normalisiert Metriken
       └─ Grafana Dashboard "salto-proaccess-2026"

Datum: 2026-03-29

Analyse durchgeführt mit: Claude Code auf VPS