Willkommen im Loxone Community Forum. Um alle Funktionen nutzen und sehen zu können, registriere dich bitte zuerst. Dies gilt auch für das herunterladen von Dateien.
ich nutze für den externen Zugriff zertifikats-basierte Authentifizierung. Das funktioniert eigentlich mit sämtlichen PCs und Handy problemlos - allerdings nicht mit der Loxone App. Ich hab nirgendwo etwas gefunden, ob/wie das eingerichtet werden kann? Geht das gar nicht?
Theoretisch kann das jede App - leider ist der Weg, Zertifikate in die non-Apple-Apps zu kriegen aber etwas eklig. Daher nutze ich für den Moment auch einfach Safari und die "Web-Version" der Loxone App.
Hi,
ne, gerade kein VPN. Also..ich hab auch ein VPN am laufen, damit komme ich quasi komplett in mein Heimnetz. Ich möchte aber auf Teile meines Heimnetz auch ohne VPN kommen - daher die Nutzung von mTLS.
Die Idee ist, dass man anstatt zB Benutzer/Passwort-Auth auf Zertifikate geht, d.h. der Server hat ein Zertifikat und der Client muss zur Authentifizierung ebenfalls kein bekanntes Zertifikat bringen (ganz vereinfacht ausgedrückt). Das erhöht die Sicherheit halt um ein vielfaches gegenüber Passwörtern o.ä.
Aber dann wieder mit dem Problem, dass die entsprechenden Gegenspieler offen im Netz hängen. Geräte wie Loxone würde ich nie einfach offen ins Netz hängen, da es deren Strategie ist nicht wirklich sicher zu sein und bei Suspekten Dingen einfach immer neu zu starten. Die Berichte hierzu sind hier im Forum unzählig. Wenn man das aus irgendwelchen Gründen machen muss, dann nur über https. Was bringt Dir da denn das Cert ein mehr an Sicherheit? User/Pass kann nicht mitgelesen werden und es wird trotzdem die ganze Zeit mit User/Pass versucht sich anzumelden und starten dadurch Dein Smarthome immer neu. Wenn Du eh schon VPN hast, wieso dann noch diesen Umweg?
Hi,
ok, etwas mehr technischer Hintergrund.
Ich nutze daheim eine Hardware-Firewall, welche u.a. PPPOE (also DSL-Verbindung) macht und eben Firewall/Routing/Netzwerksegmentierung/VPN. Per VPN komme ich in mein Heimnetz uneingeschränkt rein - soweit, so gut. Aus Komfortgründen ist aber ein VPN nicht immer die ideale Lösung. Loxone ins Netz zu hängen ist - wie beschrieben - eine ziemlich blöde Idee. Selbst der Remote Connect ist - gelinde gesagt - optijmierungsbedürftig.
Daher erlaubt meine Firewall erstmal nur Port 443 (HTTPS), welcher an einen Reverse Proxy geleitet wird. Der Reverse-Proxy hängt in einer DMZ, damit mögliche Angreifer eben nicht bei mir ins Netz kommen. Als nächste Sicherheitsbarriere nutze ich eben Client Certificate Authentication (mTLS), was deutlichst sicherer ist als zB User/Passwort (Basic Auth). Afaik mehr VPN nicht viel mehr. Nächster Vorteil ist eben, dass der Reverse Proxy die Sicherheitsbarriere ist und eben nicht irgendein Smart Home Tool.
Deine ganzen Erklärungen tragen bei mir aber nicht zu einer Erklärung bei, wie man den 443 durchschleusen muss. Dein Reverseproxy bildet den Miniserver nach und reicht nur Anfragen an den richtigen MS weiter, die gefiltert wurden? Ein normal Proxy macht das nicht. Dein Anfrage kommt rein und dann stellt Dein Proxy die selbe Anfrage an Deinen MS, nur das es eben nicht der User ist, sondern Dein eigener Server. Deine Probleme mit VPN sind mir ebenso unklar. Ich starte irgend etwas zu meinem Netz, VPN baut sich auf und fertig. Wenn das optimierungsbedürftig ist, dann weiß ich nicht
Miniserver; KNX; Vitogate; EnOcean (EnOceanPi); Loxone Air; Caldav-Kalenderanbindung; RaspberryPi und für keine Frickellösung zu schade :-)
Zertifikatsbasierte Authentisierung ist super, aber (aus eigener Erfahrung beim LoxBerry) weiß ich, dass das einen erheblichen Entwicklungs- und Verwaltungsaufwand für Entwickler gleichermaßen wie für die Endanwender darstellt. Und das in einem Umfeld, wo Endanwender (übserspitzt gesagt) nicht wissen, was ein Port ist.
Warum ich so blöd frage, ist dein Satz
Das funktioniert eigentlich mit sämtlichen PCs und Handy problemlos - allerdings nicht mit der Loxone App.
mit dem Vorwurf, warum Loxone das nicht kann, weil's sonst jeder kann.
Welche konkrete App kann das denn nun? Ich kenne keine einzige.
Wir verarbeiten personenbezogene Daten über Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen, Werbung zu personalisieren und Websiteaktivitäten zu analysieren. Wir können bestimmte Informationen über unsere Nutzer mit unseren Werbe- und Analysepartnern teilen. Weitere Einzelheiten finden Sie in unserer Datenschutzrichtlinie.
Wenn Sie unten auf "Einverstanden" klicken, stimmen Sie unserer Datenschutzrichtlinie und unseren Datenverarbeitungs- und Cookie-Praktiken wie dort beschrieben zu. Sie erkennen außerdem an, dass dieses Forum möglicherweise außerhalb Ihres Landes gehostet wird und Sie der Erhebung, Speicherung und Verarbeitung Ihrer Daten in dem Land, in dem dieses Forum gehostet wird, zustimmen.
Kommentar