Tweet
Hallo zusammen,
ich möchte eine Erfahrung der letzten Wochen mit euch teilen, die mir das Leben mit Loxone deutlich einfacher gemacht hat.
Bisher habe ich für den externen Zugriff auf Loxone (Miniserver gen1) ein IPSEC VPN verwendet. Das Ganze on demand hinzubekommen ist mit dem iPhone gar nicht so easy, war aber machbar (mobileconfig, profil aufs iphone, etc. - siehe Anleitungen im wiki).
Was mich immer gestört hat war, dass die Loxone App von extern immer deutlich länger brauchte bis der Zugriff funktionierte. D.h. bis zu 10 Sekunden oder mehr "versuche zu verbinden". Wenn ich mal schnell was brauche (jemand klingelt, etc.) dann nervt das ganz schön. Alternativ habe ich auch mal mit einem "always on" VPN versucht, dann hält er im Hintergrund den VPN Tunnel immer offen bzw. verbindet erneut. Das kostet richtig viel Akku, ist aber komfortabler.
Nun hab ich mittlerweile alles auf Wireguard umgestellt. Wer Wireguard nicht kennt: Es ist ein VPN newcomer der relativ simpel aufzusetzen ist dabei auch sehr sicher. Der Clou von Wireguard im Zusammenhang mit Loxone ist der Verbindungsaufbau und die Konfiguration am Client (bei mir iPhone, Macbook, etc.). Leider haben die einschlägigen Router-Hersteller das noch nicht in den Oberflächen fertig drin, das ist aber m.E. nur eine Frage der Zeit.
Die Konfiguration erfolgt am Handy mit der Wireguard App aus dem Appstore. Die Daten zum VPN gibt man dort einfach ein und kann auch das on-demand Feature einfach aktivieren (kein mobileconfig mehr). Man kann sich alternativ auch das recht simple config file am Server oder Mac zusammenbauen und dann in einen QR Code konvertieren, den man dann mit dem iPhone nur noch abscannt - fertig eingerichtet.
Der Verbindungsaufbau erfolgt automatisch im Hintergrund sobald man nicht mehr im eigenen WLAN ist (on demand - sofern so konfiguriert). Jetzt muss man wissen, dass Wireguard keinen Handshake beim Aufbau macht, sondern einfach die Daten - wenn welche an die entsprechende IP-range gesendet werden - verschlüsselt und an den Server sendet. D.h. im Endeffekt initialisiert wireguard am Smartphone nur das Wireguard-Netzwerk-Device und setzt die Route ins Heimnetz auf dieses Device und versendet dabei keine Netzwerkpakete, das kostet quasi keinen Strom. Egal ob das Handy nun im Netz hängt, oder in einem WLAN oder ständig zwischen verschiedenen Netzen hin und her roamt/wechselt, das Device ist initialisiert und es braucht keinen Strom/Traffic mehr (wireguard nennt das "built in roaming").
Das führt dann dazu, dass die Loxone-App intern wie extern sich genau gleich verhält. Man merkt gar nicht, ob man jetzt im WLAN ist oder grad nicht. Auch wenn man im Handy-Netz anfängt und das Gerät sich zwischenzeitlich ins WLAN einbucht, man merkt es nicht.
Das ist für mich ein Mega-Sprung nach vorn. Vielleicht für den einen oder anderen von euch auch. Würde mich freuen, wenn es euch weiterhilft.
LG Stephan
PS: Man kann Wireguard einfach auf einem Raspi aufsetzen. Für Unifi-Komponenten gibt es auch fertige Anleitungen es aufzusetzen.
Bei mir ist es aktuell so aufgesetzt, dass ein billiger Cloud-Server mit einer festen IP als Wireguard "Server" dient, auf den sich die Clients verbinden. Zu dem Server wiederum hält ein Raspi in meinem lokalen Netz eine Verbindung offen (damit brauchts nicht mal eine Port-Freigabe am Router, da der Verbindungsaufbau von innen nach außen geht, es bräuchte nicht mal eine IPv4 Adresse). D.h. das Iphone verbindet sich auf den Server und wird von dort über eine zweite Wireguard Verbindung in mein Heimnetz und so zum Miniserver geroutet. Auf dem Cloud-Server läuft dann noch mehr z.B. influxdb und grafana für die Historie der Daten, welche natürlich auch über das VPN verschlüsselt zum Server gehen und brauchen damit keine öffentlichen Ports mehr, etc.
Nachdem ich ein Mac User bin, läuft bei mir die Loxone Config auf einem virtuellen Windows in der Azure Cloud. Das verbindet sich auch per Wireguard über die o.g. Methode ins Heimnetz und konfiguriert darüber den Miniserver. Sehr praktisch. Kostet nur was, wenn der Client bei Azure läuft und dann 10 Cent pro Stunde. Und zugreifen kann ich per RDP, auch das geht natürlich über die VPN Verbindung, d.h. das Windows läuft völlig abgeschottet hinter einer Firewall. Love it.
ich möchte eine Erfahrung der letzten Wochen mit euch teilen, die mir das Leben mit Loxone deutlich einfacher gemacht hat.
Bisher habe ich für den externen Zugriff auf Loxone (Miniserver gen1) ein IPSEC VPN verwendet. Das Ganze on demand hinzubekommen ist mit dem iPhone gar nicht so easy, war aber machbar (mobileconfig, profil aufs iphone, etc. - siehe Anleitungen im wiki).
Was mich immer gestört hat war, dass die Loxone App von extern immer deutlich länger brauchte bis der Zugriff funktionierte. D.h. bis zu 10 Sekunden oder mehr "versuche zu verbinden". Wenn ich mal schnell was brauche (jemand klingelt, etc.) dann nervt das ganz schön. Alternativ habe ich auch mal mit einem "always on" VPN versucht, dann hält er im Hintergrund den VPN Tunnel immer offen bzw. verbindet erneut. Das kostet richtig viel Akku, ist aber komfortabler.
Nun hab ich mittlerweile alles auf Wireguard umgestellt. Wer Wireguard nicht kennt: Es ist ein VPN newcomer der relativ simpel aufzusetzen ist dabei auch sehr sicher. Der Clou von Wireguard im Zusammenhang mit Loxone ist der Verbindungsaufbau und die Konfiguration am Client (bei mir iPhone, Macbook, etc.). Leider haben die einschlägigen Router-Hersteller das noch nicht in den Oberflächen fertig drin, das ist aber m.E. nur eine Frage der Zeit.
Die Konfiguration erfolgt am Handy mit der Wireguard App aus dem Appstore. Die Daten zum VPN gibt man dort einfach ein und kann auch das on-demand Feature einfach aktivieren (kein mobileconfig mehr). Man kann sich alternativ auch das recht simple config file am Server oder Mac zusammenbauen und dann in einen QR Code konvertieren, den man dann mit dem iPhone nur noch abscannt - fertig eingerichtet.
Der Verbindungsaufbau erfolgt automatisch im Hintergrund sobald man nicht mehr im eigenen WLAN ist (on demand - sofern so konfiguriert). Jetzt muss man wissen, dass Wireguard keinen Handshake beim Aufbau macht, sondern einfach die Daten - wenn welche an die entsprechende IP-range gesendet werden - verschlüsselt und an den Server sendet. D.h. im Endeffekt initialisiert wireguard am Smartphone nur das Wireguard-Netzwerk-Device und setzt die Route ins Heimnetz auf dieses Device und versendet dabei keine Netzwerkpakete, das kostet quasi keinen Strom. Egal ob das Handy nun im Netz hängt, oder in einem WLAN oder ständig zwischen verschiedenen Netzen hin und her roamt/wechselt, das Device ist initialisiert und es braucht keinen Strom/Traffic mehr (wireguard nennt das "built in roaming").
Das führt dann dazu, dass die Loxone-App intern wie extern sich genau gleich verhält. Man merkt gar nicht, ob man jetzt im WLAN ist oder grad nicht. Auch wenn man im Handy-Netz anfängt und das Gerät sich zwischenzeitlich ins WLAN einbucht, man merkt es nicht.
Das ist für mich ein Mega-Sprung nach vorn. Vielleicht für den einen oder anderen von euch auch. Würde mich freuen, wenn es euch weiterhilft.
LG Stephan
PS: Man kann Wireguard einfach auf einem Raspi aufsetzen. Für Unifi-Komponenten gibt es auch fertige Anleitungen es aufzusetzen.
Bei mir ist es aktuell so aufgesetzt, dass ein billiger Cloud-Server mit einer festen IP als Wireguard "Server" dient, auf den sich die Clients verbinden. Zu dem Server wiederum hält ein Raspi in meinem lokalen Netz eine Verbindung offen (damit brauchts nicht mal eine Port-Freigabe am Router, da der Verbindungsaufbau von innen nach außen geht, es bräuchte nicht mal eine IPv4 Adresse). D.h. das Iphone verbindet sich auf den Server und wird von dort über eine zweite Wireguard Verbindung in mein Heimnetz und so zum Miniserver geroutet. Auf dem Cloud-Server läuft dann noch mehr z.B. influxdb und grafana für die Historie der Daten, welche natürlich auch über das VPN verschlüsselt zum Server gehen und brauchen damit keine öffentlichen Ports mehr, etc.
Nachdem ich ein Mac User bin, läuft bei mir die Loxone Config auf einem virtuellen Windows in der Azure Cloud. Das verbindet sich auch per Wireguard über die o.g. Methode ins Heimnetz und konfiguriert darüber den Miniserver. Sehr praktisch. Kostet nur was, wenn der Client bei Azure läuft und dann 10 Cent pro Stunde. Und zugreifen kann ich per RDP, auch das geht natürlich über die VPN Verbindung, d.h. das Windows läuft völlig abgeschottet hinter einer Firewall. Love it.
Viel Spaß beim Tutorial schreiben!
Kommentar