Hallo

Du könntest ja auf dem Wiregate einen VPN Client anlegen. danach kannst du dich mit deinem Programmier PC einfach in das KNX LAN einwählen und ganz normal programmieren ohne diverse Ports zu öffnen.

Hmm, mag jetzt neunmalklug klingen aber ein sep. Vlan ist IMHO das einzige wo so eine sicherheitsfreie sache wie KNX leben kann,,

Also in kurzform: multicast ist Zufall, das hat nichts mit Absicht zu tun, ich kenne keinen Switch wo das aus der Box funktioniert, der HS sendet zwar Multicast weiss aber leider mit seinem 12J alten Kernel nichts von der RFC dahinter, eher schwierig..
Das versteht dann auch der dümmste Switch nicht, noch schwieriger..

eigentlich einfach: immer per tunneling zugreifen; multicast ist (KNXne/IP Routing -unabhängig) ein grosser beta-test; kein Mensch benutzt das auf dieser Erde..

Tipp: lass das WG per Tunneling via IP-Router auf den KNX und greif darüber zu. Das geht, weil das wird real verwendet und auch getestet..

Makki

Servus ihr zwei und Danke für die Antworten.

zu 1) über Vlan hab ich schlicht nicht nachgedacht - aber klar, das will ich probieren (dazu muß ich mich noch etwas durch's Forum lesen, die Theorie ist mir klar, hab's aber praktisch noch nie gemacht)

zu 2) das Tunneling via IP-Router

ich dachte mir ich stelle in der ETS KNXnet/IP ein, die Ip-Adresse ist der Firewall, dort werden die Ports 3671-3672 auf's WG geforwardet
(Portfreigaben etc, s. Anhänge letzte Mail)

hätte meiner Ansicht nach klappen sollen, tut's aber nicht (Verbindungstest noch ok, Verbindung zu Geräten kann aber nicht aufgebaut werden)

oder unterliege ich hier einem grundsätzlichen Irrtum ?

ciao
Michael

So ins blaue:
- Wird da genattet? > NAT-Haken in der ETS setzen
- Geht das ins Internet -> Bitte, bitte macht das nicht!!
Dafür ist ein VPN-Server drauf (1194/UDP weiterleiten/durchlassen), sind ein paar Klicks..
Inhouse evtl. leichter overkill aber das wäre bombensicher, den OpenVPN-Server interessiert das nicht ob jemand absichtlich oder unabsichtlich, verwandt oder nicht, lokal oder Inet eine DoS-Attacke gegen ihn fährt bis das Kupfer glüht; der ist dafür gebaut..
Aber zuwas eine Firewall, wenn das empfindlichste von allem, KNXnet/IP 1:1 durchgelassen wird..
- nebenbei: es ist nur 3671/UDP, nicht "beides" und nicht 3672
- der verwendete IP-Router kann nur eine Tunneling-Verbindung gleichzeitig, das kann beim rumtesten eklig sein, dauert teils Minuten bis die wieder frei ist..

Um zu sehen ob/was noch kommt auf dem ETS-PC Wireshark und auf dem Wiregate in der ssh-Konsole (muss man vorher im Webif freischalten, Putty für ssh)
-> vergleichen was rein & rausgeht

Nee sollte schon gehen..

Makki

Hi Makki,

vorab, mir war der Router suspekt, hab ihn gegen einen (betagten) WRT54GS mit aktueller DD-WRT Mini getauscht

zu 1) das war's jetzt geht's (auch wenn die ETS3 immer noch beim Test im KNX/IP Diagnose Assistenten meckert)
wieder einmal vielen Dank für Deinen super Support - genial !!

zu 2) natürlich nicht !!
das ist ein Kapselung des KNX-IP Netzes (HS, Wiregate, KNX über IP Router) gegen die ganze restliche IT Umgebung (PC's, NAS, WLAN etc)

ich hatte einen saudummen Effekt. Wenn mir ein PC abschmiert, war der HS blockiert - hätte nie gedacht das sowas geht, ist jedenfalls nicht tolerierbar das sowas überhaupt möglich ist.
(ein Intel DQ67SW B3 Board mit iAMT, also "Hardware" KVM over IP - und das ist wohl auch das Problem - der funkt noch wenn die Möhre tot ist)

PC ist heute Nacht wieder abgeschmiert, aber den HS hat's nicht mehr interessiert - das war das eigentliche Ziel der Übung

zu 3) am VPN bin ich parallel dran, eben für den Zugang von außen
klappt aber noch nicht, weil Win7 nicht mit dem Installationspaket vom WG geht und überhaupt hab ich noch nicht alles im Forum gelesen, drum noch keine Fragen

jedenfalls hab ich mit meiner KNX-Service-VM wieder Zugriff mit ETS, HS Experten und was man sonst so braucht (wie apcupsd, hab ich neulich auf'm WG installiert - der IP Meldekopf für alles im Haus - super - Deinen Bericht mit Webabfrage hab ich gefunden, Umsetzung folgt)

besten Dank nochmal !

ciao
Michael

Jaja, sowas passiert mit Schönwettersystemen (ich sage jetzt nicht welches ich genau damit meine )
Im Ernst: eine Segmentierung der ganzen KNX-Geschichte in einem (V)LAN macht IMHO dringend Sinn, habe ich auch so, aber es sind dafür natürlich leicht erweiteres Netzwerk Know-How notwendig.. (Ein Howto würde fast mal Sinn machen?)

Für Win7 einfach den Client von der OpenVPN-Seite nehmen und nur die config importieren..
Das ist ein ziemlicher Heckmeck den wir auch so schnell nicht lösen werden können, weil M$ von mir kein Geld für Treibersignierung bekommt, die ich garnicht wollte
Der Komfort für den Anwender mit hübschem, individuellen Installer-Pakets bleibt dabei leider auf der Strecke, da darf man sich aber bei MS bedanken, weil sich der krampf nicht mehr so wie noch in Vista abschalten lässt..

Makki

Hi,

Schönwettersystem ??????
Das war der Versuch ein Arbeitspferd aufzubauen - Board, CPU, Ram, gutes Netzteil, kein Schnickschnack - spieleuntauglich - defensiv bis Anschlag - Win7x64 als Basis für VM Workstation - erst der Sandybridge Bug (nach 3 Wochen Dauerbetrieb waren die Sata3 Kanäle im A......), usw. es k*tzt mich gerade etwas an

(entweder CPU oder Ram oder doch Software/Bios) bin schon beim dritten Board - und immer schön Win7 aktivieren, ich warte schon dass, ich endlich mal einen Menschen am Rohr hab - Diese Aktiviererei geht mir voll auf den ....

was hier bestraft wurde war das Umsteigen auf eine völlig frische Architektur... (der alte Rechner ist abgeraucht und ich wollt keinen alten Zopf bauen, war'n Fehler)

ein Gutes hat es, es zeigt das der KNX-IP Teil vor dem Rest weggesperrt gehört - basta !

gibt es die HW vom WG nicht auch mit zwei Lan Ports - das schreit nach Trennung..... (wieder 5 W für einen unnützen Router gespart, ein paar wenige Ports geforwardet, Rest VPN)

[hüstel] wieso nicht ?

einer meiner (Win7) Rechner interessiert sich nicht für die Signatur...
soll ich das jetzt wirklich wieder ausgraben ?

Ich glaube "testmode" (für Softwareentwickler) war das passende Stichwort... der läuft jetzt aber seit Jahren dauerhaft ohne Probleme

der Rechner ist gerade aus und steht ein Stockwerk tiefer, bei Bedarf schau ich mal....

ciao
Michael

Ich hab ja nicht gesagt was ich genau meine Schönwettersysteme sind solche, die nicht mehr funktionieren obwohl sie sollten, weil das Wetter umschlägt (in dem Fall eben der Nachbar abkachelt..)

Dazu sag ich jetzt lieber nix, es wäre nur unsachlich und gehässig

Auf Ubuntu umsteigen, hat bei mir gehelft, ich musste seither nichts mehr aktivieren oder registrieren oder reanimieren (von toten Platten mal abgesehen aber das ist OS-unabhängig)
Die ersten paar Wochen tut's weh aber dann wirds schön: die kleinen Dinge freuen wie z.B. PDF's editieren - einfach so - ganz ohne Adobe-Update-Manager oder angeblich geschützte PDFs

Auf Anfrage im Spezialfall schon; gibts mit 3xLAN (dafür ohne BIOS, VGA, Sound, ..) ist ansonsten dasselbe und haben wir auch AFAIR 3 im Feld (keine Erinnerung weil hingestellt und läuft seither lautlos)
Die Einrichtung von IP, Routing und FW darauf allerdings ist - naja - dagegen ist OpenWRT eher äusserst komfortabel und in 19" kostets 200 EUR mehr, daher wills vermutlich keiner und daher sparen wir uns auch den Aufwand einen Artikel anzulegen und zu pflegen..
Aber das Ding macht hier als Orginal-Wiregate meinen VDSL50-Internet-Router sowie Inter-Vlan und die interne CometVisu-Demo
Vlans gingen übrigens mit etwas Konsolenkontakt auch problemlos mit dem Orginal-WG auf einem Port (halt auf insg. 100M limitiert)

Aber deswegen gibts auch bald ein kleines OpenWRT-Böxle von uns (zwar für was anderes gedacht, Arbeitsname 1-Wire IP/(W)LAN Extender aber die 5 Switchports usw. muss man ja nicht rausoperieren)
Kostet 3W..

Soweit ich weiss muss man aber massiv tricksen, also der Endanwender als gekonnter Administrator und sowas ist "im Feld" einfach schwierig umzusetzen, denn der gemeine Kunde/Anwender erwartet - zurecht - das es einfach nach dem beherzten klicken auf 5xJa geht..
Ein .reg das den Treibersignaturprüfungs-Plempel einfach abschaltet nähme ich mehr als gerne an

Makki

Läuft denn da auch ein kleines eibd drauf? Da würden mir auf die schnelle 100 Möglichkeiten einfallen was man damit machen könnte. Angefangen von WLAN über GA ein/aus, Port's über GA's ein/aus, Rückmeldungen Port status auf dem BUS, Portfreigaben aktivieren/deaktivieren usw...

Ehrensache odrr ? "Expertenfunktion"..
Es wird davon vermutlich zwei Varianten geben, auf dem kleinen ist der Flash echt verdammt knapp (ich kämpfe hier teils um 20kB!) aber es sollte primär ein erschwinglicher 1-Wire IP-Busmaster werden. Auf dem grösseren gehts sicher aber halt "ohne alles" also keine Grafiken, keine hübschen UI's etc. Wird also auf Sicht eine unsupportete Expertenfunktion bleiben aber den eibd dafür gibts so unter uns schon und er läuft und läuft und läuft

Makki

^^ Hmmm... Ich sehe, dass ihr schon wieder einen schwachen Punkt bei mir getroffen habt Also dann brauche ich jetzt einen multi IO, zwei Multisensoren mit VOC und ein OpenWRT Böxchen für Bastler

Nur damit das für die anderen Leser nicht gedanklich in die falsche Richtung "rutscht": Was da kommt ist ein 1-Wire Busmaster für W(LAN). 1-Wire & LAN anstecken (DHCP,AutoIP, Zeroconf)->geht, wird vom WG automatisch gefunden. Man muss dafür nicht ansatzweise wissen, was OpenWRT ist.. nichtmal irgendwas konfigurieren solange ein DHCP-Server läuft (ausser den KNX-Adressen im WG wo die Temperaturen usw. hinsollen)

Man könnte nur eben mal auch wieder erheblich mehr damit machen, weil wir nichts davon halten, eigentlich tolle Sachen der Marketingabteilung wegen künstlich zu verkrüppeln; man kann, muss nicht

Makki

Die WIN/Linux Diskussion ist nicht wirklich zielführend, zumal ich hier Hardwareprobleme vermute. Eigentlich hält mich nur Zeitmangel vom Umstieg ab - aber in VM's fang ich eh schon das Testen an...

[Win7-Testmodus]
Sicher bin ich mir nicht mehr, aber ich schlage vor:

Eingabeaufforderung als Admin öffnen und
eingeben und vermutlich Neustart erforderlich

off schaltet analog aus (+ Neustart)

wenn Testmodus an ist, kratzt Win7 keine Treibersignierung mehr...


ciao
Michael

Danke werds mal probieren..

Makki