Zum Inhalt springen

On-Premise Connector

Der On-Premise Connector verbindet Octopus AI über einen verschlüsselten WireGuard-Tunnel mit Systemen in deinem Firmennetzwerk — Datenbanken, ERP-Systeme, Fileserver oder andere interne Dienste.

Der Connector ist protokoll-agnostisch — alles was über TCP erreichbar ist, funktioniert: Datenbanken, HTTP-APIs, SMB-Fileserver, LDAP und mehr.

Typische Anwendungsfälle:

  • Dateien von internen Fileservern oder NAS-Systemen als Datenquelle anbinden
  • SQL-Abfragen gegen eine interne PostgreSQL-, MySQL- oder MS-SQL-Datenbank (über eine Integration oder einen Skill)
  • API-Aufrufe an ein internes ERP wie Odoo, SAP oder Microsoft Dynamics (über einen Skill)
  • Zugriff auf interne Web-Anwendungen wie Grafana oder BI-Dashboards

Wichtig: Der On-Premise Connector stellt die Netzwerkverbindung her. Damit der KI-Assistent ein internes System aktiv nutzen kann, brauchst du zusätzlich eine passende Integration (z.B. PostgreSQL) oder einen Skill, der mit dem System interagiert. Eine Ausnahme sind Dateisystem-Datenquellen (NAS, Fileserver) — diese werden direkt als Datenquelle indexiert.

Voraussetzungen

  • Du bist Administrator im Workspace
  • Dein Workspace hat eine Business- oder Max-Lizenz
  • Eure Firewall unterstützt WireGuard (pfSense, OPNsense, Sophos, Fortinet, Unifi, MikroTik oder vergleichbar)
  • Ein UDP-Port auf der Firewall ist von außen erreichbar (Standard: 51820)

So funktioniert es

Dein Firmennetzwerk                          Octopus AI Cloud
┌──────────────────────┐                    ┌──────────────────────┐
│                      │   WireGuard-Tunnel │                      │
│  Datenbank ──────────│═══════════════════►│── Integration/Skill  │
│  ERP-System ─────────│═══════════════════►│── Code-Ausführung    │
│  Fileserver ─────────│═══════════════════►│── Datenindexierung   │
│                      │   (verschlüsselt)  │                      │
└──────────────────────┘                    └──────────────────────┘
  1. Du konfigurierst einen WireGuard-Tunnel zwischen eurer Firewall und Octopus AI
  2. Du legst Services an — jeder Service zeigt auf ein internes System (z.B. Datenbank auf Port 5432)
  3. Du richtest eine Integration oder einen Skill ein, die den Service nutzt
  4. Der KI-Assistent kann das System über den verschlüsselten Tunnel ansprechen

Wichtig: Die Verbindung ist nur ausgehend — Octopus AI verbindet sich zu euren Systemen. Euer Netzwerk kann keine Verbindungen zu uns initiieren.

Tunnel anlegen

  1. Gehe zu Einstellungen → On-Premise Connector
  2. Klicke auf „Tunnel anlegen”
  3. Fülle die Felder aus:
FeldBeschreibung
NameEin aussagekräftiger Name (z.B. „Hauptstandort München”)
EndpointDie öffentliche Adresse eurer Firewall mit WireGuard-Port (z.B. vpn.meinefirma.de:51820)
Peer Public KeyDer WireGuard Public Key eurer Firewall — findest du in der WireGuard-Konfiguration der Firewall
  1. Klicke auf „Speichern”
  2. Es wird ein Public Key angezeigt — diesen musst du als Peer in eurer Firewall eintragen

Firewall konfigurieren

Trage in der WireGuard-Konfiguration eurer Firewall einen neuen Peer ein:

FeldWert
Public KeyDer angezeigte Public Key aus Octopus AI (Kopieren-Button)
Allowed IPsDie angezeigte Tunnel-IP (z.B. 10.0.0.2/32)
EndpointNicht nötig — Octopus AI initiiert die Verbindung

Hinweis: Die genaue Konfiguration variiert je nach Firewall-Hersteller. Schau in die Dokumentation deiner Firewall für die WireGuard-Peer-Konfiguration.

Services hinzufügen

Ein Service beschreibt ein konkretes System, das über den Tunnel erreichbar ist.

  1. Öffne den Tunnel in der Detailansicht
  2. Klicke auf „Service hinzufügen”
  3. Fülle die Felder aus:
FeldBeschreibung
NameAnzeigename (z.B. „ERP-Datenbank”)
Remote-HostDie interne IP oder der Hostname des Zielsystems (z.B. 192.168.10.5)
Remote-PortDer Port des Zielsystems (z.B. 5432 für PostgreSQL)
ProtokollTyp des Dienstes (PostgreSQL, HTTP, SMB, LDAP etc.)
BeschreibungWas enthält dieses System? Diese Information sieht der KI-Assistent im Chat
  1. Klicke auf „Speichern”
  2. Es wird eine zugewiesene Adresse angezeigt — diese Adresse verwendest du in der Integration oder dem Skill

Tipp: Schreibe eine aussagekräftige Beschreibung. Der KI-Assistent nutzt diese Information, um zu entscheiden, welches System für eine Frage relevant ist. Zum Beispiel: „Enthält Umsatz-, Kunden- und Artikeldaten seit 2019.”

Integration oder Skill einrichten

Nach dem Anlegen eines Services brauchst du eine Integration oder einen Skill, damit der Assistent das System nutzen kann.

Beispiel: Interne PostgreSQL-Datenbank

  1. Lege einen Service an (Remote-Host: 192.168.10.5, Remote-Port: 5432, Protokoll: PostgreSQL)
  2. Notiere die zugewiesene Adresse (z.B. wg-gateway.production:12666)
  3. Gehe zu Einstellungen → Integrationen und richte eine PostgreSQL-Integration ein
  4. Verwende die zugewiesene Adresse als Host im Connection-String

Beispiel: Internes ERP-System (API)

  1. Lege einen Service an (Remote-Host: 192.168.10.20, Remote-Port: 8080, Protokoll: HTTP)
  2. Erstelle einen Skill (z.B. mit dem Skill-Builder-Assistenten), der die API des ERP-Systems anspricht
  3. Verwende die zugewiesene Adresse als API-Endpunkt im Skill

Beispiel: Fileserver / NAS

  1. Lege einen Service an (Remote-Host: 192.168.10.30, Remote-Port: 445, Protokoll: SMB)
  2. Richte eine Datenquelle ein, die über die zugewiesene Adresse auf den Fileserver zugreift
  3. Die Dateien werden automatisch indexiert und stehen im Chat zur Verfügung

Verbindung testen

  1. Klicke in der Tunnel-Detailansicht auf „Verbindung testen”
  2. Für jeden Service wird angezeigt:
    • Erreichbar — Verbindung erfolgreich, Latenz in Millisekunden
    • Nicht erreichbar — Verbindung fehlgeschlagen, mit Fehlermeldung

Falls ein Service nicht erreichbar ist, prüfe:

  • Ist der WireGuard-Tunnel auf eurer Firewall aktiv?
  • Ist das Zielsystem eingeschaltet und erreichbar?
  • Sind die Allowed IPs auf der Firewall korrekt konfiguriert?
  • Erlaubt die Firewall Traffic vom WireGuard-Interface zum Zielsystem?

Sicherheit

  • Verschlüsselung: Alle Daten werden über den WireGuard-Tunnel mit modernster Kryptografie verschlüsselt übertragen
  • Nur ausgehend: Die Verbindung kann nur von Octopus AI initiiert werden — euer Netzwerk ist nicht von außen erreichbar
  • Mandantentrennung: Jeder Workspace hat eigene Tunnel und Schlüsselpaare. Andere Workspaces können nicht auf eure Systeme zugreifen
  • Minimale Rechte: Octopus AI greift nur auf die explizit konfigurierten Services zu — kein Zugriff auf andere Systeme in eurem Netzwerk

Häufige Probleme

Tunnel zeigt „Fehler” statt „Verbunden”

  • Firewall-Peer nicht konfiguriert: Trage den angezeigten Public Key als Peer in eurer Firewall ein
  • UDP-Port nicht erreichbar: Stelle sicher, dass der WireGuard-Port (z.B. 51820) von außen erreichbar ist
  • Falscher Public Key: Vergleiche den Peer Public Key in Octopus AI mit dem tatsächlichen Public Key eurer Firewall

Service nicht erreichbar trotz aktivem Tunnel

  • Firewall-Regeln: Prüfe, ob Traffic vom WireGuard-Interface zum internen System erlaubt ist
  • Allowed IPs: Die Tunnel-IP von Octopus AI muss in den Allowed IPs des Peers auf eurer Firewall stehen
  • Zielsystem: Das System muss eingeschaltet sein und auf dem angegebenen Port lauschen

Feature nicht sichtbar

  • Der On-Premise Connector ist erst ab einer Business-Lizenz verfügbar
  • Nur Administratoren können Tunnel und Services konfigurieren