Versionen im Vergleich

Alte Version 15

changes.mady.by.user Sebastian Dietrich

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user Sebastian Dietrich

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

Ziel:

Mittels HTTPS/SSL gesicherter Zugriff auf den Miniserver aus der Web-Oberfläche, App und Config

...

Info
titleBei Miniserver der Generation 2 nicht nötig

Der Miniserver ab Generation 2 beherrscht selbst den Zugriff per HTTPS/SSL, da er (genau für diesen Zweck) hardwaretechnisch besser ausgestattet ist. Diese Anleitung braucht man also nur bei Miniserver der Generation 1.

Voraussetzungen:

  1. Ein Synology NAS im selben Netzwerk wie der Loxone Miniserver
  2. Der Loxone Miniserver hat eine feste IP-Adresse im lokalen LAN
  3. Miniserver, App und Config mindestens auf Version 10.3
  4. Besitz einer Web-Domain (für HTTPS Voraussetzung) - Webserver/Website ist keine Voraussetzung
  5. Etwas Erfahrung bei der Konfiguration der Web-Domain beim Domain Provider (für die Nameserver-Einstellungen)
  6. Erfahrung bei der Einrichtung von Port-Forwarding am Router
Info

Diese Lösung unterstützt keine automatische Änderung der URL von http://loxone.deinedomain.com auf https://loxone.deinedomain.com - man muss also im browser explizit das https:// eingeben. Um auch das zu schaffen muss auf der Synology ein Apache Server eingerichtet werden (hier nicht beschrieben).

Einrichten:

1. Beim Domain Provider C-NAME → Synology

Zunächst einmal muss beim Domain Provider eine C-NAME Einstellung für die Loxone (z.B. loxone.deinedomain.com) auf die Synology zeigen bzw. auf deren DNS-Name (z.B. mynas.synology.me). Achtung: Ein DNS-Name der Loxone (z.B. serial.dns.loxonecloud.com) wird nicht benötigt.

Image Modified2. Port 80 und 443 am Router auf Synology weiterleiten

Damit ein Zertifikat via Let's Encrypt angelegt werden kann und damit dann später die HTTPS-Requests an die Synology (und von dort weiter an den Miniserver) gehen, muss die Synology in Internet erreichbar sein. Dazu muss am Router Port 80 und 443 an die Synology weitergeleitet werden. Das findet man bei den Routern meistens unter "Port Forwarding". Dort für die IP-Adresse der Synology den Port 80 und 443 weiterleiten.

3. Auf der Synology NAS einen Reverse-Proxy einrichten

Auf der Synology einen Reverse-Proxy einrichten: Unter Systemsteuerung / Anwendungsportal / Reverse Proxy:

Das wars, unter Custom Header oder Advanced Settings muss nichts verändert werden. Die Einrichtung eines Apache HTTP-Servers ist ebenfalls nicht notwendig.

3. Auf der Synology NAS ein Zertifikat für die Loxone einrichten

Auf der Synology unter "Systemsteuerung", Sicherheit", "Zertifikat" ein Zertifikat für loxone.deinedomain.com von Let's Encrypt erstellen lassen. Hat man bereits ein Zertifikat für die Loxone anderswo her, dann muss dieses ebendort eingespielt werden.

Wichtig:

  • Alternative Name vergeben (gleich wie der Domain-Name) - Chrome verweigert sonst das Zertifikat
  • Danach unter Konfigurieren den Dienst "loxone.deinedomain.com" dem neuen Zertifikat zuordnen.

4. Port 80 am Router wieder entfernen

Damit die Synology nur mehr HTTPS Requests erhält muss am Router die Weiterleitung des Ports 80 auf die Synology wieder entfernt werden.

Wenn die Loxone zu diesem Zeitpunkt noch via Loxone Cloud-DNS erreichbar ist, kann jetzt auch die Port-Weiterleitung des dafür verwendeten Ports entfernt werden - es sei denn man will weiterhin die Handy-App verwenden und ist sich im Klaren, dass diese nicht gut abgesichert ist.

Beinahe Fertig

Jetzt geht jeder https Request auf loxone.deinedomain.com zunächst (wegen des C-NAME Eintrags) auf mynas.synology.me und (wegen der Port-Weiterleitung) an die Synology. Dort wird der Request dann (wegen des Reverse-Proxys) von HTTPS auf HTTP umgewandelt und an die Loxone weitergeleitet. Antworten werden wiederum wegen des Reverse-Proxys analog dazu verschlüsselt zurückgegeben.

Problembehandlung:

Falls es noch nicht funktioniert, dann noch folgende Schritte machen:

  • Ist der Miniserver aus Browser/Config extern erreichbar, aber nicht aus der App, dann folgende Schritte probieren:
    1. In der Config beim Miniserver unter Externe Adresse explizit loxone.deinedomain.com:443 eingeben
    2. In der App den Miniserver löschen und außerhalb vom LAN manuell mit der externen Adresse (loxone.deinedomain.com) neu anlegen
  • Bild und/oder Ton der Intercom werden nicht übertragen:
    1. Die App verwendet den in der Loxone als interner Zugriff angegebenen Link, die Lösung ist also beim internen Link dasselbe wie bei externem Link anzugeben. Also z.B. so wie im Bild rechts. ACHTUNG: Der Zugriff erfolgt via HTTP, ist also (samt Username/Passwort) unsicher
    2. Für das Video muss eine Port-Weiterleitung am Router vom in der Config angegebenen Port auf den Port 80 der Intercom eingerichtet werden (z.B. so wie im Bild rechts)
  • Klingeln der Intercom funktioniert nicht mehr:
    1. In der Config unter Gerätestatus prüfen, ob für die Intercom eine Seriennummer (=MAC Adresse) vorhanden ist, wenn nicht:
      1. Intercom aus Config löschen - an Miniserver schicken (→ unter Gerätestatus nicht mehr vorhanden)
      2. Intercom neu anlegen (noch mit IP-Adressen für internes Video/Audio) - an Miniserver schicken (→ unter Gerätestatus mit MAC Adresse vorhanden)
      3. wie oben beim internen Video/Audio dieselbe Adresse eintragen wie bei extern
    2. Eine 2te Intercom anlegen und bei dieser
      1. bei Host für Audio (intern) die IP-Adresse des SIP-Moduls eintragen
      2. den Ausgang Qb mit dem Eingang Tr der ersten Intercom verbinden