Hallo Otto
Danke Dir und auch Rudi , Jamo und Odf für das "am Ball bleiben"!
das mit dem mosquitto würde ich nicht machen. Aus meiner Sicht bringt das keinen Sicherheitsgewinn.
Bedeutet dies, dass der lokale MOSQUITTO auch keine SSL Verbindung mit owntracks herstellen kann?
Ein mqtt Server separat von deinem Netz im Internet, das wäre sinnvoll.
Du schlägst also einen Cloud-Dienst wie beispielsweise diesen hier vor?
https://www.hivemq.com/mqtt-cloud-broker/Eigentlich möchte ich auf Cloud-Dienste verzichten.
Meiner Erfahrung nach ist nach einer Weile Schluss mit kostenlosem Service und dann stehe ich wieder am Anfang.
Davon hatte ich in der Vergangenheit nun wirklich genug.
Einzige Alternative: Ein eigener Prozess bei meinem Webhoster IONOS. Wenn es das denn gaebe...
Wenn sich Server und Client über ssl unterhalten ist es erstmal sicher. Client Zertifikat wäre eine zusätzliche Autorisierung.
Genau das hatte ich ja gehofft mit dem MQTT - Server herstellen zu koennen.
Meine nächste Hoffnung war, dies mit mit dem MOSQUITTO - Server auf dem gleichen Raspi herstellen zu können.
Meinen Recherchen zur Folge gibt es hierzu (owntracks <-> MOSQUITTO) ja bereits Erfolge.
Zu dem Thema gibt es diesen alten Beitrag https://forum.fhem.de/index.php?topic=27171.0
Der dort erwähnte Reverse-Proxy wäre auf alle Fälle empfehlenswert und ein echter Sicherheitsgewinn!
Auhauerha. Jetzt komme ich von den Hunderten in die Tausende...

Mein Ziel ist Authorisierung (Klappt schon mit MQTT_SERVER in Kombination mit allowed.)
sowie Abhörsicherheit via SSL/TLS.
Sicherlich könnte ein Reverse-Proxy den Stand der Sicherheit noch erhöhen - Allerdings habe ich noch nicht verstanden in welchen Punkten.
Wie aufwendig ist es überhaupt noch einen Reverse-Proxy auf dem gleichen Raspi zu installieren?
Und ergibt dies überhaupt Sinn - Sollten diese nicht von der Hardware getrennt sein um Sinn zu ergeben?
Ich möchte nämlich vermeiden, eine ganze Server-Farm an Raspis in der Wohnung herumliegen zu haben.

Schritt für Schritt.
Gruß
Sailor
PS: Sobald wir das hier zum Laufen bekommen haben, schreibe ich einen Wiki - Eintrag. Das kann ja nicht nur mir so ergehen!