Tweet
Hallo allerseits,
ich wollte hier noch eine Alternative für den HTTPS Zugang zum Miniserver vorstellen. Mit dem wirklich genialen Tool stunnel (https://www.stunnel.org) können beliebige TCP Verbindungen per SSL Tunnel gesichert werden.
Ich habe dazu in meinem Heimnetz einen Stunnel Server installiert, der eine entsprechende ankommende SSL Verbindung an den Miniserver weiterleitet. Der Stunnel Server muss natürlich per Dyndns und Port Forwarding über das Internet erreichbar sein. Auf meinem Android Gerät (ist gerootet, soll aber auch mit nicht gerooteten Geräten per SSLDroid funktionieren) ist der stunnel client installiert, der die Verbindung der Loxone App mit SSL Verschlüsselung an den Server weiterleitet. Das ganze sieht dann ungefähr wie folgt aus:
Loxone APP (Android) Port 80 -> stunnel client (Android) Verschlüsselung über Port z.B. 50000 -> INTERNET -> stunnel Server Entschlüsselung Port 80 -> Miniserver
Der Miniserver und die Loxone App bekommen von der Verschlüsselung über Stunnel gar nichts mit, da Stunnel komplett transparent alle Pakete weiterleitet.
Als externe Adresse muss beim Miniserver dann 127.0.0.1:50000 eingetragen werden, damit beim externen Zugriff der lokal installierte stunnel client angefragt wird. Mit einer entsprechenden stunnel client Konfiguration, wird dann die Verbindung verschlüsselt über Port 50000 übers Internet an die Dyndns Adresse des stunnel Servers geschickt. Dieser leitet dann die empfangenen Pakete im heimischen Netz wieder entschlüsselt weiter an den Miniserver.
Diese Konfiguration läuft bei mir jetzt schon seit ca. 1 Jahr absolut problemlos. Praktisch daran ist, dass ich für den externen Zugriff auf den Miniserver vorher keine VPN Verbindung aufbauen muss. Auch der Zugriff per Loxone App auf meine Kameras zu Hause funktioniert über zusätzliche Ports in der stunnel Konfiguration einwandfrei. Nur die Sprachverbindung bei der Intercom (SIP Telefonie) habe ich nicht zum Laufen bekommen.
Zusätzlich kann man die Sicherheit weiter erhöhen, in dem man nur bestimmte Clients (über Zertifikate) beim Stunnel Server zulässt. Somit hat man die Sicherheit, dass nur ausgewählte Geräte Zugriff auf den Miniserver erhalten, unabhängig vom Loxone Passwort.
Falls Interesse besteht und ich Zeit finde, würde ich mich auch an ein kleines HOWTO machen. Ich denke aber, die meisten Tüftler hier werden das auch so hinbekommen.
Viele Grüße aus Berlin,
Stefan
ich wollte hier noch eine Alternative für den HTTPS Zugang zum Miniserver vorstellen. Mit dem wirklich genialen Tool stunnel (https://www.stunnel.org) können beliebige TCP Verbindungen per SSL Tunnel gesichert werden.
Ich habe dazu in meinem Heimnetz einen Stunnel Server installiert, der eine entsprechende ankommende SSL Verbindung an den Miniserver weiterleitet. Der Stunnel Server muss natürlich per Dyndns und Port Forwarding über das Internet erreichbar sein. Auf meinem Android Gerät (ist gerootet, soll aber auch mit nicht gerooteten Geräten per SSLDroid funktionieren) ist der stunnel client installiert, der die Verbindung der Loxone App mit SSL Verschlüsselung an den Server weiterleitet. Das ganze sieht dann ungefähr wie folgt aus:
Loxone APP (Android) Port 80 -> stunnel client (Android) Verschlüsselung über Port z.B. 50000 -> INTERNET -> stunnel Server Entschlüsselung Port 80 -> Miniserver
Der Miniserver und die Loxone App bekommen von der Verschlüsselung über Stunnel gar nichts mit, da Stunnel komplett transparent alle Pakete weiterleitet.
Als externe Adresse muss beim Miniserver dann 127.0.0.1:50000 eingetragen werden, damit beim externen Zugriff der lokal installierte stunnel client angefragt wird. Mit einer entsprechenden stunnel client Konfiguration, wird dann die Verbindung verschlüsselt über Port 50000 übers Internet an die Dyndns Adresse des stunnel Servers geschickt. Dieser leitet dann die empfangenen Pakete im heimischen Netz wieder entschlüsselt weiter an den Miniserver.
Diese Konfiguration läuft bei mir jetzt schon seit ca. 1 Jahr absolut problemlos. Praktisch daran ist, dass ich für den externen Zugriff auf den Miniserver vorher keine VPN Verbindung aufbauen muss. Auch der Zugriff per Loxone App auf meine Kameras zu Hause funktioniert über zusätzliche Ports in der stunnel Konfiguration einwandfrei. Nur die Sprachverbindung bei der Intercom (SIP Telefonie) habe ich nicht zum Laufen bekommen.
Zusätzlich kann man die Sicherheit weiter erhöhen, in dem man nur bestimmte Clients (über Zertifikate) beim Stunnel Server zulässt. Somit hat man die Sicherheit, dass nur ausgewählte Geräte Zugriff auf den Miniserver erhalten, unabhängig vom Loxone Passwort.
Falls Interesse besteht und ich Zeit finde, würde ich mich auch an ein kleines HOWTO machen. Ich denke aber, die meisten Tüftler hier werden das auch so hinbekommen.
Viele Grüße aus Berlin,
Stefan
Kommentar