Zertifikats-basierte Anmeldung per Loxone App

Nein, geht nicht.

​​​​​​Welche Apps können denn Cert-basierte Auth? Ich hab nur iOS-Mail mit Cert, und VPN.

Theoretisch kann das jede App - leider ist der Weg, Zertifikate in die non-Apple-Apps zu kriegen aber etwas eklig. Daher nutze ich für den Moment auch einfach Safari und die "Web-Version" der Loxone App.

Was bedeutet denn das genau? Die App baut sich quasi ein eigenen VPN Tunnel auf oder wie ist das zu verstehen??

Hi,
ne, gerade kein VPN. Also..ich hab auch ein VPN am laufen, damit komme ich quasi komplett in mein Heimnetz. Ich möchte aber auf Teile meines Heimnetz auch ohne VPN kommen - daher die Nutzung von mTLS.
Die Idee ist, dass man anstatt zB Benutzer/Passwort-Auth auf Zertifikate geht, d.h. der Server hat ein Zertifikat und der Client muss zur Authentifizierung ebenfalls kein bekanntes Zertifikat bringen (ganz vereinfacht ausgedrückt). Das erhöht die Sicherheit halt um ein vielfaches gegenüber Passwörtern o.ä.

Aber dann wieder mit dem Problem, dass die entsprechenden Gegenspieler offen im Netz hängen. Geräte wie Loxone würde ich nie einfach offen ins Netz hängen, da es deren Strategie ist nicht wirklich sicher zu sein und bei Suspekten Dingen einfach immer neu zu starten. Die Berichte hierzu sind hier im Forum unzählig. Wenn man das aus irgendwelchen Gründen machen muss, dann nur über https. Was bringt Dir da denn das Cert ein mehr an Sicherheit? User/Pass kann nicht mitgelesen werden und es wird trotzdem die ganze Zeit mit User/Pass versucht sich anzumelden und starten dadurch Dein Smarthome immer neu. Wenn Du eh schon VPN hast, wieso dann noch diesen Umweg?

Wenn ich mir gerade wieder einmal die grandiose Qualität der LoxConfig 13.1 anschaue, würde ich lieber meinen C64 offen ans Netz hängen als die Loxone

Hi,
ok, etwas mehr technischer Hintergrund.
Ich nutze daheim eine Hardware-Firewall, welche u.a. PPPOE (also DSL-Verbindung) macht und eben Firewall/Routing/Netzwerksegmentierung/VPN. Per VPN komme ich in mein Heimnetz uneingeschränkt rein - soweit, so gut. Aus Komfortgründen ist aber ein VPN nicht immer die ideale Lösung. Loxone ins Netz zu hängen ist - wie beschrieben - eine ziemlich blöde Idee. Selbst der Remote Connect ist - gelinde gesagt - optijmierungsbedürftig.
Daher erlaubt meine Firewall erstmal nur Port 443 (HTTPS), welcher an einen Reverse Proxy geleitet wird. Der Reverse-Proxy hängt in einer DMZ, damit mögliche Angreifer eben nicht bei mir ins Netz kommen. Als nächste Sicherheitsbarriere nutze ich eben Client Certificate Authentication (mTLS), was deutlichst sicherer ist als zB User/Passwort (Basic Auth). Afaik mehr VPN nicht viel mehr. Nächster Vorteil ist eben, dass der Reverse Proxy die Sicherheitsbarriere ist und eben nicht irgendein Smart Home Tool.

Deine ganzen Erklärungen tragen bei mir aber nicht zu einer Erklärung bei, wie man den 443 durchschleusen muss. Dein Reverseproxy bildet den Miniserver nach und reicht nur Anfragen an den richtigen MS weiter, die gefiltert wurden? Ein normal Proxy macht das nicht. Dein Anfrage kommt rein und dann stellt Dein Proxy die selbe Anfrage an Deinen MS, nur das es eben nicht der User ist, sondern Dein eigener Server. Deine Probleme mit VPN sind mir ebenso unklar. Ich starte irgend etwas zu meinem Netz, VPN baut sich auf und fertig. Wenn das optimierungsbedürftig ist, dann weiß ich nicht

Zertifikatsbasierte Authentisierung ist super, aber (aus eigener Erfahrung beim LoxBerry) weiß ich, dass das einen erheblichen Entwicklungs- und Verwaltungsaufwand für Entwickler gleichermaßen wie für die Endanwender darstellt. Und das in einem Umfeld, wo Endanwender (übserspitzt gesagt) nicht wissen, was ein Port ist.

Warum ich so blöd frage, ist dein Satz
mit dem Vorwurf, warum Loxone das nicht kann, weil's sonst jeder kann.

Welche konkrete App kann das denn nun? Ich kenne keine einzige.

lg, Christian