Fernwirken

[Mendax]

Hallo Rene,

habe mit Stevek letzte Woche über das Thema fernwirken via VPN gesprochen.
Er meinte sollte mal einen Bericht in das Netzwerkforum stellen, un deine Meinung
zu diesem Thema erfragen:

Folgende Anforderung hätten wir:

Visu läuft auf KNX Server (nicht Gira HS!!!), Kunde möchte via VPN oder Dyndns etc auf seine Visu zugreifen -
fällt dir eine Möglcikeit ein, dies zu realisieren, Stevek meinte mit PC oder OPC .... etc...

Bin für alle dinge offen, auch für Tetst

LiGrü aus Mondsee

Mendax

[Rene]

Hallo Mendax,

bin gerade aus dem Urlaub zurück, darum die Verspätung

Ein paar Information würde ich noch benötigen:
1) Wie verbindet sich der Kunde jetzt auf seine Visu? Ist das ein WebInterface, oder gibts dafür eine App?
2) Unterstützt das Web-Inteface oder die App Verschlüsselung?

Wenn du beide Fragen mit ja beantwortest reicht eine Port-Weiterleitung (portfowarding) auf die interne IP-Adresse des KNX-Servers und die Sache ist erledigt. Als DynDNS-Dienst würde ich no-ip.org verwenden, wenn der Kunde keine statische IP hat.

Wird die Verschlüsselung nicht unterstützt sollte der Kunde über einen VPN-Server nachdenken.

3) Wichtig zu wissen wäre auch noch mit welchen Geräten auf die Visu zugegriffen werden soll? Also Notebook, Smartphone, usw.

lg René

[Mendax]

Hallo Rene,

folgendes kann ich dir heute beantworten:

1. keine app sondern über auschl. safari (MAC Book Pro, Ipad, Iphone)
2. keine Ahnung, aber verschlüsselt denke schon?!
3. Fixe IP wir es auch nicht geben (Ferienhaus), eher Dyndns
4. siehe 1, ist ein Apple-Fan

Wäre für jede weitere Idee und Tipp dankbar

Schöne GRüße

LG Mendax

[Rene]

Hallo Mendax,

ad 1+2) da du via Webbrowser zugreifst kannst du sehr einfach herausfinden ob der KNX-Server eine verschlüsselte Verbindung anbietet oder nicht indem du einfach https:// statt http:// eingibst und siehst was passiert
ad 3) dann würde ich no-ip.org verwenden und den Router vom Provider konfigurieren, damit IP-Änderungen zeitnah mitgeteilt werden. Gute Erfahrungen habe ich mit der Telekom, die unterstützen das "out of the box".

Dann fehlt nur mehr die Portweiterleitung am Router und es sollte zuverlässig funktionieren, natürlich nur wenn die Übertragung verschlüsselt ist, sonst wäre es ein Sicherheitsrisiko. Letztendlich entscheidet aber der Kunde ob er das Sicherheitsrisiko eingehen möchte....

lg René

[Stevek]

Hi René

Leider ist mir noch kein KNX Server (Visu) untergekommen der https kann, sollte jemand einen kenn bitte ich um Info...

Was für eine VPN kannst du empfehlen und was wir benötig, Ciso, Open VPN...
Es sollte eine App. Für IOS und Android geben


Lg
Stefan

[Rene]

Hi Stefan,

da gibt es, meiner Meinung nach, zwei Varianten:
-) VPN-Server
-) HTTPS-Gateway

Bis jetzt habe ich noch keinen Weg gefunden die Endgeräte "schön" via VPN-Server anzubinden. Unter schön verstehe ich:
-) keine Modifkation am Gerät
-) Zertifikate statt Kennwörter
-) ein einfaches Interface um Zertifikate zu erstellen und zu verteilen

Der Vorteil bei Zertifikaten ist:
-) sie haben ein Ablaufdatum und
-) können einzeln gesperrt werden, im Gegensatz zur Kennwörtern die für alle Teilnehmer gleich sind
-) jedes Zertifikat (genauer gesagt der private Schlüssel) kann noch zusätzlich mit einem Kennwort abgesichert werden

Ich habe ein wenig mit dem Dienst Racoon von den ipsec-tools experimentiert und während die Lösung bei einem Kunden einwandfrei funktioniert, hat der andere massive Probleme sich zu verbinden. Der einzige Unterschied ist der Mobiltelefon-Provider. Eine Ursache habe ich leider noch nicht gefunden. Es gibt noch andere VPN-Server unter denen eine Anbindung funktionieren könnte, mangels Zeit konnte ich aber noch keinen ausgiebig testen. Als Beispiel möchte ich hier pfsense http://www.pfsense.org/, ein paar Cisco- und Fritzbox-Router nennen.

HTTPS wird auf der anderen Seite von allen Browsern unterstützt, ganz egal auf welcher Plattform der Browser läuft. Über einen kleinen Linux-Server könnten HTTPS-Verbindungen erzwungen werden und dieser kommuniziert dann im lokalen Netz mit dem KNX-Server über eine unverschlüsselte Verbindung.

Allerdings sollten sich die Hersteller überlegen, wie sie ihre Kunden ordentlich schützen können. Die Heim-Automation wird, meiner Meinung nach, zukünftig eine viel größere Rolle spielen. Hersteller deren Kunden "leicht" angreifbar sind, werden dafür früher oder später mit einem Verlust des Vertrauens bezahlen. Die Technologie verschmilzt immer mehr mit der IT und dort sehen wir laufend erfolgreiche Angriffe auf die Infrastruktur auch sehr großer Unternehmen.

Ich finde das Thema sehr sehr interessant, habe aber leider zu wenig Zeit um dieses Thema ordentlich aufzuarbeiten. Deswegen hoffe ich euch in ein paar Wochen/Monaten mehr davon erzählen zu können.

lg René

[Stevek]

Hallo

"Leider ist mir noch kein KNX Server (Visu) untergekommen der https kann, sollte jemand einen kenn bitte ich um Info..."

soeben gesehen das Divus in der Android APP für Optima die Einstellung für SSL Protection hat


lg
stefan

[Mendax]

Hallo Rene,

im deutschen Forum wird das WireGate 1 Multifunktionsgateway hochgepriesen.
Was hälst du davon bzw. hat schon jemand Erfahrung damit - eine sichere VPN Verbindung
erscheint mir nach wie vor am Sichersten und Günstigsten...

Mit dyndns oder ähnlich ist man langfristig auch nicht günstiger (da kostenpflichtig)
die Salzburg AG unterstüzt anscheinend bei den Cisco Cable-Routern nur dyndns nichts
anderes wie no-ip.org...

Wünsche weiterhin viel Spaß mit KNX

Lg Mendax

[Rene]

Hallo Mendax,

ja, genau, so ein Teil habe ich auch noch herumliegen, weil mir damals das Konzept sehr gut gefallen hat. Von der Zeit sieht es zwar schlecht aus, aber ich nehme es in meiner Prio-Liste auf!

Dyndns war jahrelang gratis darum wurde es von den meisten Router-Herstellern übernommen, es wird ein wenig dauern bis die alternativen DnyDNS-Anbieter via Firmware-Upgrade verfügbar sind. Wieso das bei den Cisco's der Salzburg AG auch so ist und wann du ein Update erwarten kannst, kann ich dir leider nicht beantworten.

Ich kann dir anbieten, das ich hier einen Artikel poste, z.B. das Router-Image pfsense Marke "Eigenbau", dann das Wiregate und die "Kauf"-Lösung mit dem Cisco-Routers.

lg René