https wäre grundsätzlich schon sinnvoll, aber es ist definitiv eher zu empfehlen ein VPN aufzusetzen, statt sich auf die Sicherheit einer selbst aufgesetzten https Verbindung zu verlassen. Dadurch kannst Du ohne Mehraufwand auch auf alles andere in Deinem Netz zugreifen.

hallo tobo, genau das ist der springende Punkt...... ich würde gerne beides machen
VPN von außen ist eh die Zielsetzung....... https versuche ich halt grundsätzlich bei allen web-projekten aktiv zu haben... daher die frage an gaert und co ob das umsetzbar ist..... oder irgendwelche bösen Überraschungen zu erwarten sind

Also nur den Port zu ändern schafft ja noch keine https-Verbindung, da gehört ja noch etwas mehr dazu.
Prinzipiell sollte das aber problemlos möglich sein, denke ich, da edomi in der Standardinstallation über httpd(Apache) läuft, soweit ich das grade ermitteln konnte. Du müsstest also eigentlich "nur" den Apache Server für https konfigurieren, dazu gibt auch viele Anleitungen im Internet.

Aber eigentlich ist das auch überflüssig, wenn du sowieso nur über VPN darauf zugreifen möchtest. Im VPN Tunnel ist sowieso bereits sämtlicher Datenverkehr verschlüsselt und falls jemand bereits Zugriff auf dein internes Netzwerk hat (und somit dann womöglich auch auf das KNX-Interface, sofern du nicht unterschiedliche Netzwerke zuhause hast) ist eine fehlende https Verschlüsselung nicht unbedingt dein größtes Problem

Gruß
Lennart

Lennartc
generell hast du natürlich recht..... ich denke in den Weihnachtsferien sollte ich dazu kommen die VLANs etc. fürs Haus zu konfigurieren / separieren. Security-Router zur Netztrennung Privat / Firma / Spielwiese ist eh schon da... und wird parallel entsprechend konfiguriert.....

Natürlich kann ich den Zugriff auf auf die Edomi-VM auch via Macfilterung oder auch 1000 anderen Wegen einschränken und werde das teilweise auch tun (gutes Beispiel ist wie von Dir genannt das KNX-Interface).

Du könntest vor den Edomi http-server einfach das Tool "stunnel" schnallen.
Schau Dir mal den Abschnitt "TLS front-end to a web server" auf der verlinkten Seite an.

Howto hier.

Danke ! Werde ich in hoffentlich bald vorhandener Gelegenheit tun !

Irgendwo gab's hier mal einen Thread zum Thema "Apache für https konfigurieren". Sollte aber auch ohne Forum zu schaffen sein

auch Dir Danke gaert ! wichtig war mir nur das OK von Dir in Form von "ja, kannst ruhig machen"

Das war ich:
https://knx-user-forum.de/forum/proj...584#post989584

Vielleicht interessant:

Reverse Proxy
Hier und hier.
Funktioniert seit gestern bei mir mit Letsencrypt Zertifikat.
Auf ssllabs mit Note A bewertet.

Oder die ENA von Enertex

Wenn edomi nicht über Portweiterleitung aus dem Internet erreichbar ist sondern wirklich nur über VPN ist das in meinen Augen sinnlos, gerne lasse ich mich berichtigen . Einzige mir bekannte Gefahr: Jemand kann in DEINEM Netzwerk das Passwort ohne Probleme mitlesen, da im Klartext übermittelt (Admin-Passwort z.B.). Aber...

einfach nur, um mal eine Kontraposition einzunehmen...
Heim-Automation ist irgendwie doch, dass das Haus ganz gut selber weiß, was zu tun ist - ich will ja nicht dauernd nach dem Rechten schauen müssen oder wollen. Wenn es denn mal was gibt, was ich tun will (Die Nachbarn bekommen das Licht nach dem Blumengießen nicht aus, während wir auf der sommerlichen Terrasse in Hawaii weile: VPN, Licht aus, VPN ende. Zack, Ach Schatz, wo waren wir gerade...? Ja, der Drink ist auch gut...

Wenn das Haus ein Problem hat, dann wird es sich melden, dank USV auch eine Weile nach dem das Problem begonnen hat, z.B. Feuer -> Rauchmelder, Mail an mich, damit ich die Nacharn informieren kann, Holz nach zu legen...Die Feuerwehr beschwert sich sonst wieder, dass nix mehr zu löschen war. Oder Einbruch oder Stromausfall oder meine Drainagepumpen sind zu lange aus (Wasser!) oder zu lange an (Fehler!) oder ziehen zu viel Strom (großer Fehler!) oder - nun ja wenn Dir die Sensoren ausgehen, hat edomi immer noch eine Mail mehr in petto...

</kontrapos>

Ok, seit ein paart Tagen juckt mich das reverse-proxy-Thema ja auch (siehe Links oben), das hört sich sexy an. Aber Port-Weiterleitung direkt an edomi...nun ja, DA hätte ich bedenken...die Kiste nicht nicht bullet-proof, vermutlich reicht es nicht, Apache zu stählen. Aber ich bin mir ziemlich sicher, dass Du das nicht meinst (Kinder! Nicht nachmachen! ), sondern es anders meinst, ich aber gerade nicht weiß, wie, weil ich davon zu wenig weiß.

Egal, erst müssen meine Szenen noch sauber wieder... und die Rollläden... aaach herrrlich, so ohne HS... <flöt>

Ja, ich hatte gerade 3 Bier und einen guten Film unten im Kino - und ich habe am Ende geheult. So soll's sein... GUTE LAUNE! Verzeihung...contenence! Wo bist Du?


Noch ein ernster Nachtrag: Das Thema ist durchaus ein gutes, denn wir haben es alle in der Hand, http gelegentlich mal auszurotten und möglichst nur noch https einzusetzen - es dient uns sicher. Wenn nicht heute, dann vielleicht morgen. Es lag mir fern, das Thema nicht ernst zu nehmen. Bislang war mir VPN recht, aber systematisch fände ich VPN oder was auch immer gepaart mit https durch aus sinnvoll - selbst im LAN. Es wird der Tag kommen, wo die Browser es anders gar nicht mehr zulassen. Und eigentlich finde ich das richtig. Es war mir nur noch nicht wichtig genug. Daher: Danke - auch an Michael für die damaligen Infos

saegefisch ganz meine Meinung, deshalb will ich mich auch nicht auf eine einzelnes "Sicherheitsfeature"
verlassen... ergo... gibt es halt https für die Edomi-VM,
Regeln auf der Firewall, VPN über den Security-Router, Splittung Hausnetz, Firmennetz und Spielwiese... absolute sicherheit gibts nicht...

aber hey... doppelt verhütet hält besser

Naja... HTTPS (bzw. SSL in diesem Kontext) ist zwar "sicherer", aber nicht wirklich sicher - ist ja auch nur Software und wurde schon etliche Male "gehackt".

Davon abgesehen fände ich es nicht sinnvoll, wenn die Welt nur noch HTTPS spricht. Kostet (in vielen Fällen unnötiger Weise) viel Energie/Ressourcen und macht nur selten wirklich Sinn, wie ich finde. Banking usw. klar, aber warum sollten z.B. statische Websites verschlüsselt ausgeliefert werden ("Druckerei Schmidt & Sohn")?

Früher war eine Suchmaschine halt eine Suchmaschine, d.h. ich lasse etwas suchen - und dies ohne(!) zig Daten von mir(!) preiszugeben. Jetzt sammelt Google schön alles ein (und freut sich erstrecht über jeden eingeloggten User) - und neuerdings brüstet man sich mit "Verschlüsselung". Na toll! Fragt sich, wer hier "geschützt" werden soll... Wohl eher die (kostbaren) Daten als solches, die nicht von Dritten geklaut werden sollen (weil Google sein Gold eben ungern teilt). Netter Nebeneffekt ist natürlich, dass meine "Privatssphäre" geschützt ist... Aber sicher doch - meine Daten liegen vollkommen sicher irgendwo in USA und warten auf die nächste Versilberung durch Google höchst selbst

Nur nochmal zur Verdeutlichung für vielleicht weniger ambitionierte Mitmenschen: HTTPS verschlüsselt lediglich die Ende-zu-Ende-Kommunikation - mehr nicht. Will sagen: Das andere Ende hat natürlich die Daten im Klartext. Für EDOMI macht dies relativ wenig Sinn (zumindest wenn's nur im heimischen LAN läuft), denn zum "lauschen" müsste ja jemand physisch (oder per Malware meinetwegen) Zugriff auf's LAN/WLAN haben. SSL kostet ordentlich Ressourcen - nicht vergessen!