Externer Zugriff mit fixe IP-Adresse

Ich denke du wirfst hier was durcheinander. Fixe IP Adresse meint ja das der Miniserver eine feste IP Adresse hat. Ja das hat er, es sei denn du hast bei deinem Miniserver DHCP konfiguriert. Dann bekommt er auch mal eine andere IP Adresse oder immer die gleiche, jenachdem wie du dein DHCP konfiguriert hats. Der DDNS sorgt nur dafür, das dein Miniserver immer unter dem gleichen Namen erreichbar ist, auch wenn die IP Adresse wechselt. Solltest du mit fixer IP Adresse die Adresse vom Provider meinen, dann musst du mit diesem sprechen, ob du eine feste IP Adresse bekommen kannst. Der Miniserver ist dann aber auch noch nicht erreichbar. Zusätzlich brauchste dann noch ein Portforwarding und geeignete Sicherheitsmaßnahmen, damit dir keinen der Miniserver aus dem Internet heraus lahmlegt.

Hi, danke für die Rückmeldung.

Nope, ich meine schon so wie ich das geschrieben habe. Unser Internetanschluss (also von Außen) hat fixe IPv4-Adresse (Business-Anschluss). Den miniServer habe ich auch mit fixe IP-Adresse vergeben, aber in meiner Anliegen geht es um die externe IP-Adresse. Begriflichkeiten wie Portforwarding, Firewall, TCP, etc... sind für mich als Informatiker reine Routine. Portforwarding mit separate Portnummern sind bereits eingerichtet.


Viele Grüße
Floh

Ok das du Hintergrundwissen hast, das hättest du ja auch dazuschreiben können. Man hat ja nicht immer eine Glaskugel :-) Dann verstehe ich jetzt aber nicht so richtig dein Problem.

alle Möglichkeiten sind vorhanden

Domain registrieren.
A-Record setzen.
​​​​

Hi zusammen.

@Darkrain: Alles gut, verstehe ich dich, dass man nicht alles wissen kann. Ich bin davon ausgegangen (und hoffe auch sehr!), dass man sich mit der Datensicherheit auskennt (also mit Sicherheitskonzepten wie Firewalling, VPN, etc.), wenn man manuelle externe Zugänge hantiert. Alles andere ist einfach gefährlich, wenn plötzlich jemand einfach von extern die Haustür aufmachen kann.

@Bogenhaus: Danke für die Dokumentation den ich bereits kenne. Was ist mit jemanden, der kein DDNS hat/braucht? Laut Dialog finde ich da nichts, wo ich einfach eine URL statt DDNS eintragen kann. Laut Dialog und Dokumentation braucht man den DDNS, den ich gerne verzichten möchte, da ich ihn eben nicht brauche.

@Christian: Der A-Record ist bereits eingerichtet, aber trotzdem danke für den Hinweis. Nur habe ich kein DDNS, weil ich dank fixer IP-Adresse keins brauche. Der Domain-Anbieter, bei dem unsere Domäne registriert ist, bietet leider keine DDNS-Dienste an, und dyndns.org ist eben nicht kostenlos bzw. zusätzliche Dienste/Konfiguration möchte ich vermeiden.

Ich kann von außen (mit entsprechender Firewall-Regel) per Webbrowser auf den miniServer ohne Probleme zugreifen. Ich habe eben trotzdem probiert, den URL (also keinen DDNS-Link! Sondern die mit A-Record) einzugeben. Es funktioniert mit der Loxone App trotzdem nicht. Da steht "Schlechte Verbindung...". Dann habe ich in der Loxone-App den Eintrag für meinen miniServer überprüft. Dort sehe ich unter "Externe Adresse" die korrekte URL, exakt so, wie ich sie in Loxone-Config unter DDNS eingetragen habe. Diesen Link habe ich per Copy&Paste im Browser erfolgreich getestet.

Wenn das nicht mit der regulären URL funktioniert (warum eigentlich nicht?), nutze ich dann halt Remote Connect. Der Nachteil für mich ist halt, dass ich nicht einfach per Firewall definieren kann, von welchem Netzwerk aus man mit der Loxone-App extern steuern darf (zumindest habe ich keine Loxone-Dokumentation gefunden). Das bedeutet, dass es unnötig komplizierter wird. Gerade für Firmen die Loxone in eigene Gebäuden einsetzen möchten ist sowas wichtig und klar könnte man das einfach per VPN lösen nur muß es auch ohne funktionieren.

Viele Grüße
Floh
​

es liest sich für mich so als ob du ein Problem mit deinem Port Forwarding hättest, die APP greift nich über den http Port zu wie der Webbrowser.

Ob DDNS oder fixe IP ist ja letztlich vollkommen egal - dein Router muss darüber identifiziert werden im Web.
In der Loxone APP trägst du einen Namen oder eine IP ein (egal ob deine Fixe, den DNS Name zu deiner Domäne oder eine DDNS), diese muss dich dann per Port Fowarding an den MiniServer routen - keine URL

Aber da du so gut Bescheid weißt, extra von Datensicherheit sprichst, verstehe ich nicht warum du dir keine VPN Verbindung einrichtest. Ich persönlich würde jedenfalls keine offenen Ports in mein System haben wollen. Da finde ich dann die Loxone DNS noch besser.

Aber jeder wie er will …

Hallo Bogenhaus,

erstmal danke für Deine Rückmeldung. Ich weiß nicht ob ich etwas unfreundlich formuliert habe, jedenfalls nicht gewollt von mir. Sollte das so sein, bitte ich mich um Entschuldigung. Ich bin taub und denentsprechend ist mein Deutsch nicht perfekt.

Welche Port wäre das? Ich wäre dankbar, wenn Du mir das nennen könntest, dann richte ich natürlich entsprechend in unseren Firewall ein. Gibt sicher Quellen hierfür. Ich habe auf jeden Fall den Port genommen, den ich unter Router Configuration eingetragen habe. Damit hat es nicht funktioniert.

Japp und zwar mit einem A-Record wie ich oben erwähnt habe.

D.h. zweimal miniServer in den App einrichten? Einmal mit interner IP-Adresse und einmal externe IP-Adresse?

Ich bitte um Verständnis, daß nicht immer VPN eine Lösung ist. In der Regel gebe ich Dir ja Recht, allerdings gibt es selten Ausnahmen. Es ist zwar ein Offener Port allerdings explizit nur für bestimmte Source, also nicht von überall aus. Und bevor ich komplette Netzwerk-Infrasturktur und Firewall-Rules hier offenlege... glaube ich, wir könnten den Grundsatzdiskussion hier gerne sein lassen.

Viele Grüße
Floh

Wenn du Port xxx an Port 80 des Miniservers am Router weiterleitest, solltest du zumindest per Webbrowser (extern!) mit http://deineip:xxx zum Webinterface des Miniservers kommen.
Geht denn das?
Dafür musst du am Miniserver überhaupt nichts einrichten.

Wenn das nicht funktioniert, stimmt dein Port-Forwarding nicht, oder dein Anbieter lässt es nicht durch.

lg, Christian

Christian Fenzl: Bei mir funktionierts ja mit dem Webbroser (Safari auf dem iPhone) allerdings mit https-Protokoll, seltsamerweise aber nicht mit dem Loxone-App auf dem selben iPhone...

Ich weiß nicht ob das hilft, hatte auch das Problem mit der Lox App dass ich von auswärts nicht zugreifen konnte.
Nach langem versuchen probierte ich es direkt auf der Brauserleiste mit der Lox cloud Adresse, siehe da, es funkt. sofort
anschließend konnte ich auch direkt mit der App einloggen. ???

Ich würde erst mal keine Service Translation machen. Also wenn der Port von extern 8080 sein soll dann diesen Port so auch auf dem Miniserver konfigurieren. Zudem hatte ich auch schon ein Problem, das war aber mit dem MSgen1, wenn der Port für intern und extern nicht derselbe war. Wenn das dann geht kannst du wieder versuchen, intern und extern unterschiedliche Ports zu verwenden und allenfalls auf der Firewall eine Service Translation zu machen. Allerdings sehe ich keinen Grund dies zu tun.

Ich verstehe das Problem noch nicht so genau. Ich hab ein ähnliches Setup, lediglich keine feste IP-Adresse.

Auf meiner Firewall läuft ein DDNS-Dienst, welche einen A-Record mit der aktuellen externen IP anlegt. Auf meiner Firewall hab ich per NAT ein Port-Forwarding von 443 auf einen Reverse-Proxy eingerichtet. Der RP macht dann mTLS und hat als Backend den Miniserver. Die Einstellung für Intern ist dann einfach die (private) IP vom Miniserver, die externe Adresse ist dann der A-Record. Damit hab ich keinerlei Probleme - Zugrifff via Browser und App geht. Lediglich außerhalb meines Netzes geht lediglich Safari (auf iPhone), weil die anderen Apps keine zertifikats-basierte Authentifzierung anbieten. Aber das ist ja ein "Problem" von mTLS, das solltest du bei dir nicht haben.
Wenn du aus meinem Setup den Reverse Proxy streichst sollte es identisch zu deinem Setup sein.

Ich weiß jetzt nicht ob das perfekt hier her passt, aber ich hatte auch mal Probleme mit dem externen Zugriff bei fixer IP vom Provider und korrekt eingerichtetem Port-Forwarding. Die Lösung für mich war folgende Einstellungen in der Miniserver-Konfiguration:

- Externer Zugriff manuell
- HTTP Port: gewünschten Port eintragen, z.B. 7777
- HTTPS Port: 0 eintragen
- anderen DDNS Dienst verwenden: Adresse: xyz.meinedomain.com

So wird auch wenn der Miniserver über die Suche im lokalen Netz in der App hinzugefügt wird, die externe Adresse korrekt eingetragen und es funktioniert dann der Zugriff von unterwegs. Wie ich den HTTPS-Port nicht mit 0 befüllt hatte, hat er mir in der App den externen Port nicht übernommen.