MQTTブローカーはファイアウォールでポートを開かずに外部からアクセスできますか？

MQTTブローカーにホームネットワークの外部からアクセスできるようにしたいのですが、ファイアウォールでポートを開くことに少し消極的です。また、ホームIPの使用を避けたいと思います。

暗号化されていないオープンブローカーを自宅に置くことは非常に便利ですが、それを公開しようとしても機能しません。他にどのようなオプションがありますか？

ポートを転送したくない場合は、基本的に3つのオプションがあります。

1. クラウドのブローカーを使用して、自宅からのクライアントが常にブローカーに接続するようにします。TLSと認証を使用して、他の人が不要なメッセージを盗聴したり挿入したりできないようにする
2. クラウドブローカーを使用し、内部ブローカーとクラウドブローカーの間にブリッジを設定します（クラウドブローカーでユーザー名/パスワードを暗号化して設定します）。これには、インターネット接続がダウンしても内部のものが機能し続けるという利点があります。
3. ホームネットワークへのアクセスを許可するすべての外部デバイス上のVPN（ただし、正直に言うと、VPNのポートを開くか、VPNサーバーとしての機能をサポートするルーターを用意する必要があります）

しかし、適切に構成された（クラウドブローカーとほぼ同じ）ポートにポートを転送することは、実際にはリスクではありません。

ブローカーはサーバーなので、クライアントが接続するために少なくとも1つのポートを開く必要があります。

したがって、問題はインターネット上でサービスを公開する特別なケースになります。

これは、DMZを介して、プロキシまたはデフォルトのサービスよりも厳密な認証を強制するその他の方法で行われています。プロキシがクラウド上にある場合は、DMZをクラウドに拡張するだけです。

最も簡単なアプローチは、おそらくブローカーを強化し（匿名クライアントを無効にし）、ファイアウォールを介してブローカーに接続できるユーザーを制限することです（事前に知っている場合は、特定のクライアントIPアドレスのみを許可します）。

@hardillbは良い答えを出しましたが、「実際の」タッチを追加するいくつかの詳細を追加してみましょう。

1. 公開されているMQTTブローカーをいくつか選択してください。HiveMQは良い例であり、ブローカーへの接続方法を説明するトライアウトページから始めることができます。

パブリックブローカーに接続

ホスト：broker.hivemq.com

ポート：1883

WebSocketポート：8000

2. 最適なクライアントを選択し、それをパブリックMQTTブローカーとの内部ブローカー相互接続に使用します。たとえば、CクライアントはPaho MQTTです。クライアントはSSL / TLSをサポートしているため、セキュリティは高いレベルで維持されます。

3. Paho MQTT組み込みは、外部デバイスの選択肢になります。

4. HiveMQには従量制のライセンスポリシーがあるため、慎重に検討できます。とにかく、このページをチェックして、利用可能なクラウドと利用可能なテスト済みMQTTブローカーのリストを確認できます。