5
OPNsense - Loxone Remote Connect - welche Regeln für einen sicheren externen Zugriff nötig
Hallo miteinander,
nutzt jemand von euch bereits einen Loxone Miniserver (Zugriff über Loxone Remote Connect) hinter einer OPNsense?
Wenn ja, wie habt ihr o.g. eingerichtet damit das sicher funktioniert?
Ich habe hierzu von Loxone die entsprechende Hilfe dazu gefunden, es mangelt mir momentan aber daran dies praktisch in der OPNsense umzusetzen...
Loxone Ports und Domains
Wenn jemand dies bereits erfolgreich im Betrieb hat, wäre ich für jegliche Infos zu den zu erstellenden Regeln (OPNsense-seitig) dankbar.
Vielen Dank!
MfG
Seggel
nutzt jemand von euch bereits einen Loxone Miniserver (Zugriff über Loxone Remote Connect) hinter einer OPNsense?
Wenn ja, wie habt ihr o.g. eingerichtet damit das sicher funktioniert?
Ich habe hierzu von Loxone die entsprechende Hilfe dazu gefunden, es mangelt mir momentan aber daran dies praktisch in der OPNsense umzusetzen...
Loxone Ports und Domains
Wenn jemand dies bereits erfolgreich im Betrieb hat, wäre ich für jegliche Infos zu den zu erstellenden Regeln (OPNsense-seitig) dankbar.
Vielen Dank!
MfG
Seggel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671640
Url: https://administrator.de/forum/opnsense-loxone-remote-connect-welche-regeln-fuer-einen-sicheren-externen-zugriff-noetig-671640.html
Ausgedruckt am: 26.02.2025 um 14:02 Uhr
5 Kommentare
Neuester Kommentar
Einfach einen Client VPN Server auf der OPNsense einrichten und mit jedem beliebigen Gerät mit dem überall vorhandenen onboard VPN Client auf deinen Server hinter der OPNsense zugreifen.
Das erspart dir jegliche Frickelei an der Security deiner Firewall und dem dahinter liegenden Netz.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das Falscheste was du machen kannst ist mit Port Forwarding Löcher in die Firewall zu bohren um so völlig ungeschützten Traffic aus dem Internet auf dein lokales Netz zu lassen. Ein absolutes sicherheitstechnisches NoGo...
Das erspart dir jegliche Frickelei an der Security deiner Firewall und dem dahinter liegenden Netz.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das Falscheste was du machen kannst ist mit Port Forwarding Löcher in die Firewall zu bohren um so völlig ungeschützten Traffic aus dem Internet auf dein lokales Netz zu lassen. Ein absolutes sicherheitstechnisches NoGo...
@aquis Lösung ist zu präferieren.
Ansonsten halt einfach den Katalog aus der PDF abarbeiten, aber da wird eine Menge geöffnet. Sieht aus wie ein DynDNS-Service von Loxone, gepaart mit Relaying und Random Ports. Am Ende des Tages wirst Du Deinen Loxone Server unfreiwillig recht weit in das Internet stellen und bist angreifbar, wenn da eine Lücke ist.
Daher ist klassisches VPN immer besser.
Ansonsten halt einfach den Katalog aus der PDF abarbeiten, aber da wird eine Menge geöffnet. Sieht aus wie ein DynDNS-Service von Loxone, gepaart mit Relaying und Random Ports. Am Ende des Tages wirst Du Deinen Loxone Server unfreiwillig recht weit in das Internet stellen und bist angreifbar, wenn da eine Lücke ist.
Daher ist klassisches VPN immer besser.
1
Hallo,
alles klar! Dann werde ich das so realisieren.
Vielen Dank für euren Input!
alles klar! Dann werde ich das so realisieren.
Vielen Dank für euren Input!
Moin,
Wobei man dazusagen muss, dass vermutlich nur ein Bruchteil von dem, was im PDF steht, von extern erreichbar sein muss.
Das PDF sieht eher so aus, als wenn es einfach nur angibt, was alles eine Firewall zulassen muss, wann man Subnetz übergreifend kommunizieren will…
Wobei man dazusagen muss, dass vermutlich nur ein Bruchteil von dem, was im PDF steht, von extern erreichbar sein muss.
Das PDF sieht eher so aus, als wenn es einfach nur angibt, was alles eine Firewall zulassen muss, wann man Subnetz übergreifend kommunizieren will…
1
Die o.g. "Remote Connect" Option hat vermutlich wie immer das übliche "Geschmäckle", denn dort wird sehr wahrscheinlich, wie z.B. bei Kameras auch, von einem Dienst auf dem Loxone nach Hause telefoniert auf einen Registrierungsserver. Wo immer der dann auch steht?!
Ein entsprechender Client connected dann den heimischen Server bekanntlich nicht direkt sondern immer über den Registierungsserver der dann via fester ID diesem Server die Endgeräte IP (Router) mitteilt und über den sich der Client dann auf den heimischen Server verbindet. So kann der Hersteller sicherstellen das auch blutige Laien per einfachem KlickiBunti von extern Zugang bekommt.
Das ist natürlich einfach aber auch Schnüffelei pur, denn so weiss der Registrierungsserver nicht nur wo sicher (mobile) Client immer befindet sondern hat auch zur ID noch den genauen Standort (Geolocation) und viele andere Daten vom Server. Für den Hersteller ein win win.
Ein solches U-Boot will man eigentlich keinesfalls im eigenen Netz haben aber Einigen ist sowas heutzutage ja Wumpe sofern sie den Mechanismus überhaupt in der Lage sind technisch zu durchschauen.
VPN ist da in jedem Falle die deutlich bessere, da sicherere Lösung.
Ein entsprechender Client connected dann den heimischen Server bekanntlich nicht direkt sondern immer über den Registierungsserver der dann via fester ID diesem Server die Endgeräte IP (Router) mitteilt und über den sich der Client dann auf den heimischen Server verbindet. So kann der Hersteller sicherstellen das auch blutige Laien per einfachem KlickiBunti von extern Zugang bekommt.
Das ist natürlich einfach aber auch Schnüffelei pur, denn so weiss der Registrierungsserver nicht nur wo sicher (mobile) Client immer befindet sondern hat auch zur ID noch den genauen Standort (Geolocation) und viele andere Daten vom Server. Für den Hersteller ein win win.
Ein solches U-Boot will man eigentlich keinesfalls im eigenen Netz haben aber Einigen ist sowas heutzutage ja Wumpe sofern sie den Mechanismus überhaupt in der Lage sind technisch zu durchschauen.
VPN ist da in jedem Falle die deutlich bessere, da sicherere Lösung.
