Nätverkskrav – Domäner och portar
För att Open POS ska fungera korrekt krävs att vissa domäner och nätverksportar är tillgängliga från kundens nätverk. Nedan specificeras de domäner och portar som måste tillåtas i brandväggar, proxyservrar och andra nätverksrelaterade säkerhetslösningar.
Obligatoriska domäner
| Domän | Beskrivning |
|---|---|
| devices.pos.prod.op3n.dev | Primär backend för POS-enheter. Används för autentisering, konfiguration, API-anrop och SignalR-baserad realtidskommunikation |
| ingest.logging.tools.openpos.tech | Mottagning av loggar och teknisk diagnostik |
| cdnassetsstorage.blob.core.windows.net | Nedladdning av statiska resurser såsom bilder, konfigurationsfiler och andra tillgångar |
| *.firebaseio.com | Realtidsdatakommunikation via Firebase |
| *.googleapis.com | Firebase-tjänster (konfiguration, autentisering, push-notiser m.m.) |
| *.gstatic.com | Statiska resurser som krävs av Firebase SDK |
Portar
| Protokoll | Port | Riktning | Användning |
|---|---|---|---|
| HTTPS (TCP) | 443 | Utgående | Backend-API, SignalR, Firebase, CDN och loggning |
| WebSocket (WSS) | 443 | Utgående | SignalR-baserad realtidskommunikation |
Endast utgående trafik krävs. Ingen inkommande trafik till kundens nätverk behöver tillåtas.
Realtidskommunikation (SignalR)
- SignalR trafikeras via devices.pos.prod.op3n.dev
- Kommunikation sker över HTTPS och WebSockets (WSS) på port 443
- Om WebSockets blockeras används fallback till HTTPS (long polling), men WebSockets rekommenderas för optimal funktion
Kryptering och säkerhet
- All kommunikation sker över TLS 1.2 eller senare
- Certifikat är utfärdade av betrodd publik certifikatutfärdare (CA)
- Ingen okrypterad HTTP-trafik används
Lokal okrypterad kommunikation (HTTP)
Utöver extern krypterad kommunikation förekommer lokal kommunikation över HTTP inom samma lokala nätverk.
- Okrypterad HTTP används endast lokalt (LAN)
- Ingen okrypterad trafik skickas över internet
- All data som överförs lokalt är kryptografiskt signerad för att säkerställa:
- dataintegritet
- äkthet (avsändarverifiering)
Denna kommunikation används för intern samverkan mellan lokala komponenter i POS-miljön, exempelvis kring enhetsupptäckt eller lokal samordning.
Proxy och trafikinspektion
Om nätverket använder SSL/TLS-inspektion och/eller Transparent eller explicit proxy måste ovanstående domäner tillåtas fullt ut, eller undantas från SSL-inspektion.
Detta för att undvika problem med:
- WebSocket-anslutningar (SignalR)
- Firebase SDK
- Realtidskommunikation och certifikatvalidering
Sammanfattning (för IT / brandvägg)
✅ Tillåt utgående TCP 443 (HTTPS / WSS) till:
- devices.pos.prod.op3n.dev
- ingest.logging.tools.openpos.tech
- cdnassetsstorage.blob.core.windows.net
- *.firebaseio.com
- *.gstatic.com
- *.googleapis.com
❌ Ingen inkommande trafik krävs