Zugriffsvarianten Loxone Miniserver (Pro/Kontra - Sicherheit/Features)

**orli** · 09.01.2017, 16:15

Was genau willst du denn wissen oder erreichen? Sowohl bei 2. + 3. setzt du deine Firewall für Port 80/443 außer Kraft, weil du direkt nattest. Da hast du zwar die restlichen Ports von der Firewall geschützt, allerdings ist deine Webfreigabe von überall aus erreichbar und zumindest theoretisch offen für z.B. Bruteforce Attacken, es sei denn du schränkst die Freigabe auf eine andere IP ein (z.B. dein Büro-Rechner).
Für mich kommt nur 4. in Frage. Ich nutze dafür Openvpn, der IOS Client ist zwar hässlich, funktioniert aber tadellos. Und ausgehend kann der Server auch ohne externe Freigabe funken (Mailbenachrichtigungen, Push).

**Xenobiologist** · 09.01.2017, 17:27

Ich bin auch mit 4 (VPN) gestartet, habe jetzt aber auch 2 konfiguriert.
Was ich erreichen oder wissen will?
Ich wollte lediglich die verschiedenen Varianten aufzeigen und wissen, ob es Vorteile bzw. Nachteile gibt, an die ich und ggf. andere so nicht gedacht haben.
Beispiel: Intercom kann bei 4 nur abgefragt werden, wenn immer vorher der VPN-Tunnel aufgebaut wurde.

**svethi** · 09.01.2017, 17:41

Wenn wir das Thema hier jetzt zum X. Mal durchdiskutieren müssen, dann weiß ich auch nicht. Dieses Thema und die dazugehörigen ellenlangen Diskussionen dazu gibt es hier im Forum ja zu Hauf.
was mich nur interessieren würde ... Du schützt Dein Netz korrekt und gehst über VPN auf den MiniServer und hängst ihn dann wieder offen ans Internet? Was soll das für ein Feature sein?
Wie Orli schon schreibt ... um von Außen auf Deinen MiniServer zu kommen (ohne VPN) musst Du eine "Firewall" nicht nur öffnen, sondern die Pakete direkt an den MiniServer weiterleiten. Damit umgehst Du sämtliche Sicherheiten.

**Xenobiologist** · 09.01.2017, 18:23

Ok sorry. Bin noch neu und habe für dieses Thema jetzt nicht erst die Suche bemüht.

Aus Sicherheitsgründen würde ich auch immer 4. nutzen, aber bequemer ist Lösung 2, da es für iOS keinen wirklichen Tasker oder ähnliches gibt.
Man müsste schon on-demand-VPN nutzen, um nicht immer 2 Schritte ausführen zu müssen.

Der Miniserver ist ja nur auf einem Port erreichbar. Und wenn dies jemand weiß - ok, dann könnte er versuchen den Miniserver mit fingierten Paketen zu übernehmen, oder das Passwort zu bruteforcen.

Aber gut, das Thema soll ja nicht noch mal aufgewärmt werden.

**orli** · 09.01.2017, 18:34

Was machst du denn so dringendes am Miniserver, dass du nicht vorher erst noch die VPN App bemühen könntest? Ich spreche nur von mir, aber wenn ich dienstliche Inhalte brauche, muss ich mich auch ins Firmen VPN einwählen... gehört halt dazu. Und bei fast durchgängiger Verfügbarkeit von LTE und meist mindestens 3-5 MBit Upload daheim per DSL/Kabel ist auch Performance kein Argument mehr gegen ein VPN.

**Xenobiologist** · 09.01.2017, 20:14

Ja, da hast du natürlich recht. Ich muss mich ebenfalls beruflich per VPN einwählen. Ich hatte nur an die Benachrichtigung der Intercom gedacht.

**orli** · 09.01.2017, 20:46

Ich hab keine Intercom, was genau klappt da nicht?

**Xenobiologist** · 09.01.2017, 21:36

Noch klappt die sip Kommunikation extern mit iptel.org und Fritzbox Kombination nicht. Aber das sollte, wenn es denn irgendwan geht, ja unabhängig davon sein.
(Türöffner habe ich noch probiert. Muss erstmal die ekey-Steuerung mit den Strings der Befehlserkennung genauer anschauen.)

**miqa** · 10.01.2017, 09:02

Also wenn ich das richitg sehe, kann man mit einem myFritz Konto auch VPN machen. Also sollte Lösung drei vollkommen überflüssig sein.
Man möge mich korrigieren wenn ich falsch liege.

**sprobst** · 11.01.2017, 08:11

Da es Loxone sowieso nicht so mit der Sicherheit hat, ist VPN die einzig "sichere" Variante.

Ich habe mir für iOS ein VPN Demand Profil erzeugt, d.h. immer wenn ich die Loxone App starte und nicht im heimischen LAN, wird automatisch der VPN Tunnel gestartet und später wieder deaktiviert.

Vom Nutzerkomfort selbst für die Frau akzeptabel - sie muss ja nix machen außer die App zu starten. (VPN Tunnel übrigens per IPSec bis zur FritzBox.)

**sprobst** · 11.01.2017, 09:53

Der Dienst ist eigentlich egal - Hauptsache der Name im VPN Profil kann zur externen IP der Fritzbox aufgelöst werden.

Ich selbst nutze einen eigenen externen DNS Server mit einem Alias auf einen DynDNS Eintrag. Ist aber reine Kosmetik damit die URL in meiner Domain liegt. Direkt auf DynDNS ist der einfachere Weg.

**Xenobiologist** · 22.01.2017, 18:40

Kleines Update: ich bin auch wieder zurück gegangen zu Lösung 4. Habe jetzt VPN-on-demand auf dem iPhone eingerichtet. Hatte zunächst Probleme im VPN-Tunnel, dass ich intern alles nur per IP ansprechen konnte. Das DNS hat nicht funktioniert. Ich habe dann IPv6 deaktiviert und suksezzive die einzelnen Funktionen von v6 wieder aktiviert. Jetzt funktioniert alles wie gewünscht.
Der VPN-Tunnel wird aufgebaut wenn ich z.B. im Mobilnetz bin und auch die Apps und alle anderen Netzwerkgeräte können per Name adressiert werden.

**sprobst** · 22.01.2017, 19:59

miqa Mit DynDNS Dienst - mein VPN Zugang existert schon länger das der myFritz Dienst...

**simon_hh** · 23.01.2017, 06:59

eine kurze Zwischenfrage.

Gibt es eine app oder Einstellung, um VPN on demand bei Android einzustellen?
Also, dass ich nicht zuerst durch die Einstellung hüpfen muss un die VPN Verbindung herzustellen, um danach die config zu starten?

Zugriffsvarianten Loxone Miniserver (Pro/Kontra - Sicherheit/Features)

Zugriffsvarianten Loxone Miniserver (Pro/Kontra - Sicherheit/Features)

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar