VPN Zugriff auf Miniserver - Externen Zugriff aktivieren erforderlich

Einklappen
X
Einklappen
 
  • Seite von 1
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • h.hogger
    Dumb Home'r
    • 02.03.2019
    • 21
    #1

    VPN Zugriff auf Miniserver - Externen Zugriff aktivieren erforderlich

    Hallo Zusammen,

    ich hätte eine Frage zum externen Zugriff auf den Miniserver via VPN-Tunnel.
    Der Miniserver (Gen.1) läuft bei mir in einem separaten Netzwerk hinter einer pfSense Hardwarefirewall. Das Netzwerk ist komplett getrennt vom restlichen Hausnetzwerk.
    Ich möchte nun einen VPN-Zugang auf den Miniserver einrichten.
    Die Frage die sich mir nun stellt ist, ob ich in der Loxone Config, beim Punkt "Miniserver konfigurieren", mit einem VPN Zugang eigentlich den externen Zugriff freigeben muss?
    Ich verwende für den VPN Zugang einen DynDNS auf meiner pfSense.
    Allerdings möchte ich wenn möglich, von außen am liebsten nur mit der App und nicht mit der Loxone Config zugreifen können.
    Diesen Haken könnte man ja beim externen Zugriff wegnehmen.
    Nach meinem Verständnis brauche ich den externen Zugriff aber beim VPN Tunnel nicht. Liege ich da richtig.

    Wäre super, wenn mir jemand die Frage beantworten könnte.

    Gruß Hans
    Stichworte: loxone config, miniserver, vpn
    • Iksi
      Lox Guru
      • 27.08.2015
      • 1111
      #2
      Ja bei VPN brauchst du den externen Zugriff nicht. Wenn du den VPN Tunnel aufgebaut hast bist du ja quasi nicht mehr extern..
      .

        Kommentar

        • h.hogger
          Dumb Home'r
          • 02.03.2019
          • 21
          #3
          Hallo,

          danke für die Info.
          Gibt es eigentlich irgendeine Möglichkeit beim VPN Zugang den Zugriff auf die Loxone Config zu unterbinden?
          So dass dies nur aus dem Heimnetzwerk möglich ist?

          Gruß Hans

            Kommentar

            • Jan W.
              Lox Guru
              • 30.08.2015
              • 1247
              #4
              Wenn du den VPN Tunnel aufgebaut hast bist du ja quasi nicht mehr extern..
              Hier muss man unterscheiden, welche IP-Adressen die VPN User bekommen: sind diese die IP-Adressen aus dem lokalen LAN, in dem sich auch der MS befindet, dann ist die Aussage richtig. Wenn jedoch im LAN unterschiedliche VLANs / IP-Subnetze verwendet werden oder die VPN User einen eigenen IP-Pool (eigenes IP-Subnetz) haben, der nicht aus dem LAN herausgeschnitten wurde, dann sieht der MS dies als Remote-Zugriff an.

              Die Logik im MS lautet: Wenn die IP-Adresse des Clients nicht aus dem lokalen IP-Subnetz des MS kommt (die Subnetz-Maske gibt hierbei an, was der Netzwerkanteil ist und der muss bei beiden IP-Adressen gleich sein), dann zählt der Zugriff als Remote. Der Zugriff muss dann im MS explizit freigeschaltet werden. Auf dem MS kann man die Logik nicht ändern oder eine Zugriffliste etc. hinterlegen. In besseren Firewalls kann man jedoch FW-Regeln definieren, die genau so etwas machen. Mit einer pfSense sollte so etwas gehen. Hier wäre aber ein pfSense Forum empfehlenswerter, da nur ein Bruchteil der User hier Loxone Forum so eine FW haben und davon nicht jeder ein FW-Experte ist.
              Miniserver v14.5.12.7, 2x Ext., 2x Relay Ext., 2x Dimmer Ext., DMX Ext., 1-Wire Ext., Gira KNX Tastsensor 3 Komfort, Gira KNX Präsenzmelder, Fenster- und Türkontakte, Loxone Regen- und Windsensor, Gira Dual Q Rauchmelder vernetzt, 1x Relais-Modul
              Loxberry: SmartMeter, MS Backup, CamConnect, Weather4Lox
              Lüftung: Helios KWL EC 370W ET mit Modbus TCP - via Pico-C
              Heizung: Stiebel Eltron WPF 5 cool (Sole-Wasser WP) mit ISG, FB-Heizung mit 18 Kreisen, Erdsonde - via modbus/TCP
              Node-RED: IKEA Tradfri

                Kommentar

                • inswe
                  LoxBus Spammer
                  • 19.06.2016
                  • 230
                  #5
                  Der Threadersteller schrieb, dass er den Miniserver hinter einem Gateway, getrennt vom restlichen Netz, betreibt. Somit scheint sich der MS auch ohne VPN schon in einem separaten Subnetz zu befinden. Also dürfte auch für den Zugriff von "internen" Clients der externe Zugriff notwendig sein, da sich die Clients nicht im gleichen Subnetz befinden.

                  Deaktiviert er also irgendwas externes am MS, schließt er somit auch die restlichen Clients im Haus aus.

                    Kommentar

                    • svethi
                      Lebende Foren Legende
                      • 25.08.2015
                      • 6289
                      #6
                      Das ist auf der einen Seite richtig, auf der anderen Seite fragte er ja aber auch explizit nach seiner VPN Verbindung und da hat Jan W. Recht. Wenn er über seinen VPN Server keine IP Adresse aus dem Subnetz des MS bekommt, dann ist auch diese Verbindung als extern zu sehen.
                      Miniserver; KNX; Vitogate; EnOcean (EnOceanPi); Loxone Air; Caldav-Kalenderanbindung; RaspberryPi und für keine Frickellösung zu schade :-)

                        Kommentar

                        • h.hogger
                          Dumb Home'r
                          • 02.03.2019
                          • 21
                          #7
                          Hallo Zusammen,

                          der externe Zugriff ist nicht notwendig. Über den VPN Tunnel wähle ich mich in mein lokale Netzwerk ein. Ich baue mir eine VPN Tunnel für einen selbst definierten Port an den Miniserver auf. Funktionierst soweit ganz gut. Es befindet sich alles hinter einer PfSense mit entsprechend erstellten Firewall Regeln.

                          Gruß Hans

                            Kommentar

                            Vorherige template Weiter
                            Lädt...

                            Wir verarbeiten personenbezogene Daten über Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen, Werbung zu personalisieren und Websiteaktivitäten zu analysieren. Wir können bestimmte Informationen über unsere Nutzer mit unseren Werbe- und Analysepartnern teilen. Weitere Einzelheiten finden Sie in unserer Datenschutzrichtlinie.

                            Wenn Sie unten auf "Einverstanden" klicken, stimmen Sie unserer Datenschutzrichtlinie und unseren Datenverarbeitungs- und Cookie-Praktiken wie dort beschrieben zu. Sie erkennen außerdem an, dass dieses Forum möglicherweise außerhalb Ihres Landes gehostet wird und Sie der Erhebung, Speicherung und Verarbeitung Ihrer Daten in dem Land, in dem dieses Forum gehostet wird, zustimmen.

                            Einverstanden