Vítej jackclick !

Díky za tvojí registraci na blogu a fóru www.vodnici.net

Předtím, než se pustíš do vášnivých debat a sdílení svých zkušeností ohledně domu, Arduina, Loxonu nebo čehokoli dalšího, chtěl bych tě požádat o dvě veci

Tou první je vyplnění tvého profilu a doplnění fotky v "My profile" sekci a případně postuntí krátkého představení v tomto vlákně. Vždy je fajn vědět, s kým se na fóru bavíme

Tou druhou věcí je pak pročtení si našeho seznamu pravidel. To důležité je, že fórum je tu od toho, aby si lidé mezi sebou vyměňovali zkušenosti, sdíleli mezi sebou své poznatky a celkově si pomáhali. Chápu, že tě určitě zajímá spousta věcí, ale kromě pokládání dotazů zkus také ostatním pomoct. Jen díky tomu může fórum fungovat.

Ahoj, zkusím to sepsat ostatní určitě když tak doplní.

Základ je určitě nemít otevřené a nasměrované porty (80, 21) pro přístup z Internetu do Miniserveru a nepoužívat loxone cloud DNS.

Další věcí je zamezit/omezit přístup z domácí Wi-Fi do Miniserveru ideálně pomocí VLAN.

Pro přístup z Internetu používat výhradně VPN.

Záleží také jaké máš připojení k Internetu, např. O2 už dnes nedává na ADSL veřejné IPv4 adresy, většina lokáních ISP také ne. Pro snadný vzdálený přístup je veřejná IP jednodušší řešení než neveřejná.

Pak je dobré orientovat se v nastavování "lepších" routerů jako třeba Mikrotik a podobné, kde za velmi rozumný peníz máš skoro neomezené možnosti nastavení, jak VLAN tak VPN.

@Jackclick - ahoj, téma, na které narážíš, je pravděpodobně tady toto: https://www.vodnici.net/community/vse-o-stavbe-domu/tahani-elektriky-v-dome/paged/8/

platí to, co přede mnou napsal Pavel. Vzhledem k tomu, že Loxone dnes neumí https (a i kdyby umělo) tak, není rozhodně doporučeno, vystrkovat jej ven za veřejnou IP adresu. Každý lepší router dnes umí udělat nějaké VPN spojení do tvé vnitřní sítě, mikrotik je ideální levné a relativně robustní řešení, kor pro domácnost.

Obecně bych se mimo jiné držel těchto pravidel:

• oddělit interní WiFi od všeobecné WiFi (např pro návštěvy), nebo interní ani neprovozovat, pokud nevíš, jak ji zabezpečit
• rozhodně používat VPN pro vzdálené připojení, dříve se hodně využíval protokol PPP, který dnes již není podporován např na MACOS, já osobně doporučují l2tp/ipsec VPN, návodů je na netu mraky - pozor, použil bych VPN i pro připojení z mobilu
• pro každého uživatele zvlášť účet se jménem a heslem (komplexním heslem)
• rozhodně se vyhnout cloudovým DNS, Dynamickým DNS službám apod. (to neplatí jen pro Loxone, ale i pro domácí NAS apod.)
• na routeru bych určitě udělal black list, kdo se bude snažit přihlásit víc jak Xkrát za minutu / vteřinu ( jak chceš), zablokovat mu automaticky na den připojení (obecně se takto hlídají hlavně služby ftp, ssh, telnet, smtp, dns) - roboti se snaží dobouchat na hraniční prvek
• zvážil bych, jak moc chceš, aby ti svítila domácí wifi, osobně bych řešil domácí síť tak, aby domácí wifi měla pokrytí jen v domě a na zahradu bych vytáhl sólo síť s přímým propojením do internetu bez možnosti jakéhokoliv kontaktování vnitřní sítě
• obecně bych se nezabýval jen bezpečností Loxone, ale sítě jako celku, máš doma NAS, chytrou televizi, děti mají počítače / mobily, manželka si s kámoškama přeposílá v mejlu bůh ví co ...; je potřeba si uvědomit, že do sítě se ti může někdo dostat ikdyž máš veškerý příchozí provoz zakázán a to tak, že se spojení naváže zevnitř tvého domu, například tím, že někdo otevře závadnou přílohu; ale to už je na zvážení, do jaké hloubky chce člověk jít

nejsem si jistý, zda jsem ti pomohl ... až budu ve fázi, kdy budu řešit doma síťovno, určitě na to budu psát nějaké návody, jak to mám udělané já - zatím je na to ale čas .... pokud by tě zajímaly konkrétní věci, klidně napiš, rád poradím, pokud to bude v mých silách.

@Pavel a @Mira: Děkuji moc za odpovědi. Vnesly trochu světla do této problematiky. O zabezpečení se moc nemluvilo, tak jsem to chtěl nakousnout. Budu ještě muset hooodně studovat, protože v síťařině se vůbec nevyznám. Jen jsem chtěl vědět, kterým směrem se vrtnout a na co dát pozor.

Zatím je moje vize taková, že bych pořídil Turris Omnia, tam nastavil oddělené wifi, VPN a pod. a zároveň bych ho chtěl využívat jako NAS. Turris bude situován v obýváku a pokud bude ve zbytku domu problém s wifi připojením, tak bych to řešil komponentama od mikrotiku.

Ahoj, co se týče Loxonu, tak to https nema a "nikdy" mit nebude. nemá to ani konkurence. Prý z důvodu náročnosti na výkon. 

Zaujaly mě ale ty oddělené wifi síte. Osobně používám Ubiquty, protože krásně mohu rozšiřovat wifi jak potřebuji a všude je jedna stejná. To vřele doporučuji.

Nemám ale žádne zkušenosti s VPN (respektive když jsem to nejak zkousel tak bez uspechu) a hlavne s tema oddelenýma vlanam. To tam Ubiquty ma, ale nikdy jsem to nevyuzil. Každopádně nad tím zauvažuji. Jednu wifi pro návstev, jednu pro rodinu a jednu pro google nest, tv a podobne veci.

Vzdy je moznost si to https vyrobit na routeri cez stunnel a vlastne kluce. Nevyhoda - len pre web rozhranie.

Ahoj,

mam dotaz k zabezpeceni, o kterem se zminoval Vodnik - oddelene VLAN tak, ze Loxone ma svoji separatni VLAN, ktera je nepristupna z venku a kvuli aktualizacim i kryta pred svetem.

Co se mi nepodarilo dohledat je, jak je resene ovladani Loxone zvenci, napr. pomoci mobilu (tak, aby napriklad chodily notifikace do Loxone app).

Ahoj

první odstavec jsem nepochopil, zda se jedná o dotaz nebo konstatování...

druhý odstavec: na svém routeru si musíš nastavit tzv. port forwarding (u mikrotiku je to dst-nat) doporučuji standardní port přemapovat na nějaký vysoký. Předpokládám že veřejnou IP máš; potom si v lox app nastavíš veřejnou IP routeru, nastavíš port (vysoký) a router pak pošle komunikaci dál na vnitřní IP adresu mini serveru na standarním portu

Doporučoval bych miniserver vůbec nevystavovat ven do světa -i na nestandardním portu, ale vše řešit přes VPN.

no to je samozřejmě ideální stav, ale ten už jsem tu na fóru popisoval a předpokládal jsem, že si to tazatel přečetl 🙂

Diky za odpovedi.

Loxone (ani dum) zatim fyzicky nevlastnim, kazdopadne nez poridim, tak se snazim co nejvice veci naucit a zjistit.

Vse co je tu napsano jsem si precetl nejmene dvakrat, cemu jsem nerozumnel jsem se snazil dohledat, ale neco mi proste ani tak neni jasne. Co se tyce siti, jsem jen klasicky uzivatel (site me nezivi), takze moje nechapani mozna jen plyne z moji neznalosti.

Vpn atp docela chapu. Ale jak Loxone server treba resi notifikace na mobilni app, zvlaste kdyz je ve vpn. Umi Loxone server, ktery je ve vpn poslat posluchacum (mobilni app) notifikace? Pokud to Loxone resi pres nejake public sluzby (napr AWS), tak se na ni z vpn ani nepripoji. Chapu to dobre?

Vsak ked nahodis VPN, tak komunikacia mobil<-->loxone je normalne preroutovana, takze to funguje uplne normalne. Ako to ma ta app-ka v sebe netusim, predpokladam nejaky druh web socketov/rest atd...

@mira Děkuji za vyčerpávající odpověď. O 4 roky později, jsem ve fázi kdy bydlíme, vše důležité funguje a teďka se snažím dochytávat "nice-to-have" věci, jako je třeba to zabezpečení.

Mám dotaz. Snažil jsem se řídit tvými radami a doporučeními ohledně bezpečnosti a domácí sítě. Pořídil jsem ubiquiti router (Edge router-X) a Edge switch 24 portový. Rozdělil jsem si domácí síť do několika VLANů:

• loxone miniserver je ve VLANu 210 a má adresu - 10.11.1.5
• Router switch atd. je ve VLANU 200 - 10.11.0.0/24
• můj počítač je ve VLANU 230 - 10.11.3.0/24

Problém je, že abych se k tomu loxone miniserveru mohl připojit v loxone configu, tak mu musím v nastavení nastavit masku 255.255.0.0. Jinou mě nastavit nenechá. Když tam chcu nastavit 255.255.255.0, tak na mě vyběhne hláška:"Vypadá to, že nastavená maska podsítě neodpovídá vaší síti."
Proste se mu nelíbí, že je v jiné podsíti, než ze které se  k němu já připojuju. A moje dotazy jsou:

Jak to udělat "správně"? V jednom subnetu s počítačema ho mít nechci, kvůli bezpečnosti (chci ho mít ve společném VLANU s dalšíma IoT věcma a firewallem je omezit, at muzou jen tam, kam potrebuji).

PS: Nastavení firewallu, routeru atd si myslím, že mám ok. Zkoušel jsem místo loxone miniserveru připojit notebook, kterému jsem nastavil statickou adresu, gateway . tak, jak je nastavený loxone (jen masku jsme dal, tak jak by měla byt 255.255.255.0) a bez problému jsem mohl pingnout stolní PC a ze stolního jsem mohl pingnout notebook. Proto předpokládm, že problém je na straně miniserveru.

Předem děkuji za pomoc.

Skontroluj si nastavenie brany.

Pri tejto hlaske by som ocakaval, ze zadana default gateway nie je v rovnakej podsieti, ako IP