Skip to end of metadata
Go to start of metadata

Ziel:

Mittels HTTPS/SSL gesicherter Zugriff auf den Miniserver aus der Web-Oberfläche, App und Config

Damit kann man auch in offenen Netzen (z.B. Bahn, Cafe, Hotel, ...) sicher auf den Miniserver zugreifen, ohne ein VPN bereitstellen/aufbauen zu müssen (was oft in den genannten Situationen fehlschlägt)

Achtung: HTTPS/SSL ist kein 100% Schutz vor Attacken auf den Miniserver

Der Miniserver ist auch mit einer HTTPS/SSL Lösung weiterhin von außen erreichbar. Wer also Benutzername/Passwort errät, bzw. mittels brute-force herausbekommt, ist im Miniserver drinnen. Wer den Miniserver mit vielen Requests lahmlegen möchte (denial-of-service Attacke), kann das auch via HTTPS/SSL. Um den Miniserver auch gegen diese Bedrohungsszenarien stärker zu schützen, benötigt man andere/weitergehende Lösungen (z.B. VPN oder HTTPS/SSL mit Client-Zertifikat)


Die nachfolgende Anleitung beschreibt einfach (sollte also auch für Anfänger geeignet sein), wie man mit Hilfe eines Reverse-Proxys auf einer Synology NAS eine per SSL gesicherte (verschlüsselte) Verbindung auf den Miniserver der Generation 1 machen kann. Prinzipiell kann das auch über jeden anderen Server, der reverse-proxy beherrscht, gemacht werden.

Bei Miniserver der Generation 2 nicht nötig

Der Miniserver ab Generation 2 beherrscht selbst den Zugriff per HTTPS/SSL, da er (genau für diesen Zweck) hardwaretechnisch besser ausgestattet ist. Diese Anleitung braucht man also nur bei Miniserver der Generation 1.

Voraussetzungen:

  1. Ein Synology NAS im selben Netzwerk wie der Loxone Miniserver
  2. Der Loxone Miniserver hat eine feste IP-Adresse im lokalen LAN
  3. Miniserver, App und Config mindestens auf Version 10.3
  4. Besitz einer Web-Domain (für HTTPS Voraussetzung) - Webserver/Website ist keine Voraussetzung
  5. Etwas Erfahrung bei der Konfiguration der Web-Domain beim Domain Provider (für die Nameserver-Einstellungen)
  6. Erfahrung bei der Einrichtung von Port-Forwarding am Router

Diese Lösung unterstützt keine automatische Änderung der URL von http://loxone.deinedomain.com auf https://loxone.deinedomain.com - man muss also im browser explizit das https:// eingeben. Um auch das zu schaffen muss auf der Synology ein Apache Server eingerichtet werden (hier nicht beschrieben).

Einrichten:

1. Beim Domain Provider C-NAME → Synology

Zunächst einmal muss beim Domain Provider eine C-NAME Einstellung für die Loxone (z.B. loxone.deinedomain.com) auf die Synology zeigen bzw. auf deren DNS-Name (z.B. mynas.synology.me). Achtung: Ein DNS-Name der Loxone (z.B. serial.dns.loxonecloud.com) wird nicht benötigt.

2. Port 80 und 443 am Router auf Synology weiterleiten

Damit ein Zertifikat via Let's Encrypt angelegt werden kann und damit dann später die HTTPS-Requests an die Synology (und von dort weiter an den Miniserver) gehen, muss die Synology in Internet erreichbar sein. Dazu muss am Router Port 80 und 443 an die Synology weitergeleitet werden. Das findet man bei den Routern meistens unter "Port Forwarding". Dort für die IP-Adresse der Synology den Port 80 und 443 weiterleiten.

3. Auf der Synology NAS einen Reverse-Proxy einrichten

Auf der Synology einen Reverse-Proxy einrichten: Unter Systemsteuerung / Anwendungsportal / Reverse Proxy:

Das wars, unter Custom Header oder Advanced Settings muss nichts verändert werden. Die Einrichtung eines Apache HTTP-Servers ist ebenfalls nicht notwendig.

3. Auf der Synology NAS ein Zertifikat für die Loxone einrichten

Auf der Synology unter "Systemsteuerung", Sicherheit", "Zertifikat" ein Zertifikat für loxone.deinedomain.com von Let's Encrypt erstellen lassen. Hat man bereits ein Zertifikat für die Loxone anderswo her, dann muss dieses ebendort eingespielt werden.

Wichtig:

  • Alternative Name vergeben (gleich wie der Domain-Name) - Chrome verweigert sonst das Zertifikat
  • Danach unter Konfigurieren den Dienst "loxone.deinedomain.com" dem neuen Zertifikat zuordnen.

4. Port 80 am Router wieder entfernen

Damit die Synology nur mehr HTTPS Requests erhält muss am Router die Weiterleitung des Ports 80 auf die Synology wieder entfernt werden.

Wenn die Loxone zu diesem Zeitpunkt noch via Loxone Cloud-DNS erreichbar ist, kann jetzt auch die Port-Weiterleitung des dafür verwendeten Ports entfernt werden - es sei denn man will weiterhin die Handy-App verwenden und ist sich im Klaren, dass diese nicht gut abgesichert ist.

Beinahe Fertig

Jetzt geht jeder https Request auf loxone.deinedomain.com zunächst (wegen des C-NAME Eintrags) auf mynas.synology.me und (wegen der Port-Weiterleitung) an die Synology. Dort wird der Request dann (wegen des Reverse-Proxys) von HTTPS auf HTTP umgewandelt und an die Loxone weitergeleitet. Antworten werden wiederum wegen des Reverse-Proxys analog dazu verschlüsselt zurückgegeben.

Problembehandlung:

Falls es noch nicht funktioniert, dann noch folgende Schritte machen:

  • Ist der Miniserver aus Browser/Config extern erreichbar, aber nicht aus der App, dann folgende Schritte probieren:
    1. In der Config beim Miniserver unter Externe Adresse explizit loxone.deinedomain.com:443 eingeben
    2. In der App den Miniserver löschen und außerhalb vom LAN manuell mit der externen Adresse (loxone.deinedomain.com) neu anlegen
  • Bild und/oder Ton der Intercom werden nicht übertragen:
    1. Die App verwendet den in der Loxone als interner Zugriff angegebenen Link, die Lösung ist also beim internen Link dasselbe wie bei externem Link anzugeben. Also z.B. so wie im Bild rechts. ACHTUNG: Der Zugriff erfolgt via HTTP, ist also (samt Username/Passwort) unsicher
    2. Für das Video muss eine Port-Weiterleitung am Router vom in der Config angegebenen Port auf den Port 80 der Intercom eingerichtet werden (z.B. so wie im Bild rechts)
  • Klingeln der Intercom funktioniert nicht mehr:
    1. In der Config unter Gerätestatus prüfen, ob für die Intercom eine Seriennummer (=MAC Adresse) vorhanden ist, wenn nicht:
      1. Intercom aus Config löschen - an Miniserver schicken (→ unter Gerätestatus nicht mehr vorhanden)
      2. Intercom neu anlegen (noch mit IP-Adressen für internes Video/Audio) - an Miniserver schicken (→ unter Gerätestatus mit MAC Adresse vorhanden)
      3. wie oben beim internen Video/Audio dieselbe Adresse eintragen wie bei extern
    2. Eine 2te Intercom anlegen und bei dieser
      1. bei Host für Audio (intern) die IP-Adresse des SIP-Moduls eintragen
      2. den Ausgang Qb mit dem Eingang Tr der ersten Intercom verbinden
















  • No labels

2 Comments

  1. Zuerst mal vielen vielen Dank für die Anleitung TOP 

    Habe soweit mal Alles hinbekommen.

    Das einzige Problem, das ich habe, ist in der Anleitung unten beschrieben (Problembehandlung) → Bild und Ton werden nicht übertragen:

    Was muss ich beim internen Link/als auch extern genau angeben? Hat die Video/Audio einen bestimmten Port, der überall gleich ist (so wie oben beschrieben im Bild 7778)?

    Oder muss ich wie beim Miniserver etwas erstellen wie: loxonevideo.deinedomain.com bzw. loxoneaudio.deinedomain.com???

    Für die Audio habe ich die interne IP: 192.168.10.213 - das SIP Modul greift jedoch auf den internen NAS 192.168.10.101 (mit eigenem Port) zu. Was muss ich dann eingeben?

    Ich entschuldige mich vielmals für die "blöden" Fragen - stehe aber derzeit auf der Leitung...

    lg aus Österreich

    1. Hi Hannes!

      Sorry für die späte Antwort, muss mal die Benachrichtigungen aufdrehen. Also:

      • Der Port für Video ist egal. Du kannst also 1234 genauso nehmen (empfohlen wird aus Sicherheitsgründen immer ein hoher Port falls die Angreifer bei 1 zu sniffen beginnen). In der Config musst dafür bei der Intercom so wie im Bild dann den Port dazuschreiben (eine eigene "loxonevideo" domain brauchst nicht)
      • Bei Audio mach zuerst das, was du ohne Reverse-Proxy für eine Audio-Verbindung von extern brauchst (siehe Loxone Anleitung dafür). Also einen Account bei iptel.org. Den stellst du (siehe Loxone Anleitung) über den Webzugriff beim Intercom SIP-Modul und bei der Intercom ein - bei der Intercom aber (im Gegensatz zur Loxone Anleitung) bei "Host für Audio (intern)".  Damit bekommst via iptel.org die Sprachverbindung sowohl intern als auch extern.

      Prüfen kannst die aktuell genommenen Einstellungen immer indem du in der App auf die Intercom gehst und dort auf "Settings" clickst. Dann siehst die von der Intercom genommenen Video/Audio Verbindungen.


      lg aus Oberösterreich (smile)