hobbyquaker hat geschrieben:Meine-homematic funktioniert eben andersrum, man hat keinen VPN server zuhause sondern die CCU ist ein VPN _client_ der sich auf den VPN server bei meine-homematic in "der cloud" verbindet.
Ja, richtig, über Port 11194 (Standard-OpenVPN-Port + 10000 -> Security by obscurity
).
Ich denke, das hat jeder verstanden, der sich das einmal auf der CCU angeguckt hat.
hobbyquaker hat geschrieben:Es findet also eine _aus_gehende verbindung statt, keine eingehende.
Ja, auch richtig.
Der Tunnel funktioniert dann auch einwandfrei in beide Richtungen und wird von einem Dritten terminiert (ab da Klartext, dann wieder über 443/TCP vom Endgerät/Smartphone abgegriffen). Das ist die zweifelhafte und i.d.R. unnötige Vertrauensgeschichte von der ich rede. Klassisches Man-in-the-Middle.
hobbyquaker hat geschrieben:Wenn man nur ein DSlite oder mobilfunkanschluss ohne öffentliche IPv4 hat kann man eben keine Verbindung nach Hause aufbauen, man ist von aussen schlicht nicht erreichbar.
Praktisch alle Provider bieten hierfür eine Lösung (kostet i.d.R. um die 5 Euro mehr als der Standardzugang). Es gibt auch Provider die den Businesstarif auf Nachfrage für Privatpersonen möglich machen (UM zum Beispiel, inkl. 3 statische IPv4-Addressen - es gibt aber auch andere die das machen). Im Falle von Mobilfunk, da gebe ich dir recht, wird es schwieriger. Da müsste i.d.R. eine andere Lösung her. Die letzte hieße (für mich) allerdings Cloudmatic. Ich würde das über einen (anderen) Festnetzanschluss lösen, wenn an dem CCU-Standort nur Mobilfunk möglich wäre. Das ist aber eindeutig nichts für Otto-Normal-User, keine Frage. Im Falle von Herbert_Testmann spielt das alles aber keine Rolle, er betreibt schließlich einen Webserver zu Hause.
hobbyquaker hat geschrieben:Ganz abgesehen davon dass die meisten User auf ihrem Unternehmensrechner schlicht kein Recht haben sich nen OpenVPN client zu installieren.
Das ist korrekt und sollte im Unternehmensumfeld bei unternehmenseigenen Geräten so sein.
Ich vermute, bei Herbert_Testmann spielt BYOD eine Rolle und es wird eine einfache, portbasierte Firewall, vielleicht noch in Verbindung mit einem einfachen Web-Proxy, eingesetzt. Das spielt letztendlich aber keine Rolle, solange er es dort nutzt und nutzen möchte und eine Verbindung über Port 443/TCP für ihn funktioniert, was ja der Fall ist.