Danke für die Infos. Also so richtig zufrieden bin ich mit der Antwort bzw. der Situation nicht.
Aber ich hab das Thema jetzt mal beiseite gepackt und die Sicherheit für die GAs deaktiviert.

Zumal die anderen Komponenten, die als nächstes Einzug erhalten sollen, alle (noch) kein KNX Secure können. Das wird wohl noch ein bisschen dauern, bis das überall zum Standard geworden ist, v.a. bei den ganzen Open-Source-Drittsystemen zur Logiksteuerung (nodeRed, ioBroker, ...)

Der Gruppenmonitor in der ETS geht immer den zweiten Weg.
In deinem Fall ist das blöd, weil das Gerät sich ja schlecht selbst abfragen kann.
Aber normalerweise hat du ja mehrere Geräte, die mit der GA verknüpft sind.

Hmm, das hab ich jetzt noch nicht ganz verstanden.
Tatsächlich habe ich ja hier die GA der Schnittstelle zugewiesen, nämlich der 0.0.4. Wie du schon schreibst ist so eine Zuordnung auf Dauer natürlich unpraktisch, aber ich versuch ja erstmal das Prinzip zu verstehen. Dein Punkt 1 ist damit eigentlich erfüllt.

Wenn ich eine ungesicherte GA abfrage (anderes Gerät), dann macht der das mit 0.0.3 als Quelladresse, Zieladresse ist dann die GA (hier 0/0/10).
Frage ich die gesicherte GA ab, nimmt er die 0.0.4 als Quelladresse und die 0.0.7 als Zieladresse. Das ist die PA des (einzigen) Geräts in der Gruppe 0/0/1, die ich eigentlich abfragen will.
Meinst du das mit deinem 2. Punkt? Also ist unklar, warum die Anfrage hier an die PA 0.0.7 gesendet wird und nicht an die GA 0/0/1?

Wenn das Gerät 0.0.7 selbst auf die GA 0/0/1 schreibt, dann sehe ich das übrigens im Monitor:
image_104281.png

Hier nochmal die Gruppenadresse und das Gerät und seine KOs:
image_104282.png

Also mache ich jetzt etwas falsch?
Oder ist das so nicht vorgesehen? Irgendwie hat es noch nicht "Klick" gemacht bei mir.

Bei gesicherter Gruppenkommunikation kann nicht einfach irgendein Gerät oder irgendeine Schnittstelle auf die Adresse senden. Bzw. senden natürlich schon, aber alle Empfänger werden das ignorieren, weil sie die Absenderadresse nicht kennen.
Es gibt zwei Wege, über eine Schnittstelle gesicherte Gruppenkommunikation zu ermöglichen:

• Die Gruppenadresse der Schnittstelle zuweisen. Dann wissen die Partnergeräte Bescheid, dass das ein erlaubter Sender ist und akzeptieren das Telegramm. Dieser Weg ist vor allem für permanent über eine Schnittstelle angeschlossene Teilnehmer, z.B. eine Visualisierung, gedacht
• Für die Diagnosefunktionen der ETS (sprich: Gruppenmonitor) wäre das enorm unpraktisch, da man dann ja bevor man etwas lesen oder schreiben kann, erst mal die betroffenen Geräte umprogrammieren müsste. Deswegen sucht sich die ETS ein bereits programmiertes Stellvertretergerät heraus, das mit dieser Gruppenadresse verknüpft ist, und veranlasst dieses, das Lese- oder Schreibtelegram zu senden. Die ETS scheint sich hier die 0.0.7 ausgesucht zu haben, aber offenbar will die nicht.

Hallo, ich würde hier gern mal einhaken wollen. Bin auch blutiger Anfänger und mache grad meine ersten Schritte mit dem MDT IP-Interface.
Habe die "sichere Inbetriebnahme" durchgeführt, Secure Tunneling ist aktuell noch "Deaktiviert".

Jetzt wollte ich über den Busmonitor z.B. den Status des Interface abfragen. Leider gelingt mir das nicht.

Ich habe (deinem Hinweis entsprechend) die secure GAs dem Bus-Interface zugeordnet, hier 0.0.4.
image_104274.png


Über die 0.0.3 scheint der Gruppenmonitor zu laufen. Wenn ich z.B. 0/0/1 lesen will, sehe ich im Monitor, dass 0.0.4 die Quelladresse ist. Ich nehme an, er nimmt fürs Lesen automatisch die nächste freie Interface-PA.

Leider bekomme ich dann immer die folgende Fehlermeldung:
fehler.PNG image_104276.png

Hat jemand eine Idee, woran das liegt? Wenn ich die Sicherheit für die GA 0/0/1 deaktiviere, dann klappt alles problemlos und ich bekomme im Gruppenmonitor eine Antwort, sogar wenn ich die GAs nicht dem Interface zugewiesen habe.

Danke für deinen Einsatz. Tatsächlich wird das Produkt - wie ich finde - etwas irreführend beworben: Steht zum einen in der Produktinformation (Tabelle Seite 8, https://download.gira.de/data3/Gira_X1_L1_GPA_DE.pdf) "Verschlüsselte Kommunikation". Zusammen mit dem Zertifikat und dem "KNX Secure"-Logo auf dem Gerät, entsteht da schnell der falsche Eindruck. Das sich die verschlüsselte Kommunikation allerdings ausschließlich auf die Kommunikation mit dem Client bezieht und die "Hardware für KNX Secure [lediglich] vorbereitet [ist]" (https://katalog.gira.de/de_DE/datenblatt.html?id=658482) kriegt man im Vorfeld nicht so ohne Weiteres raus.

Naja, kein Problem, kommt ja noch. Außerdem konnten wir alle Punkte klären und gelernt haben wir auch noch was

Vielen Dank noch einmal!

Habe mir gerade nochmal die Produktdaten des X1 angesehen. Leider definiert der die Tunnel nicht als BusInterface, sondern bloß als "zusätzliche Adressen". Damit ist die Benutzung mit sicheren Gruppenadressen leider nicht möglich.

ETS 5.7.4 Build 1093, korrekt. Zwar wird beim rüberziehen die Verknüpfungsmöglichkeit angezeigt, jedoch wird beim loslassen keine Assoziation erzeugt. Das ist aber schon so, dass das mit der physikalischen Adresse, nicht aber mit einem Kommunikationsobjekt des X1 verknüpft werden soll?

Sicher? ETS 5.7.4?

Danke, das ist ein spannender Nachtrag! Ich habe das einmal versucht, tatsächlich lässt das BusInterface jedoch keine Assoziation mit der GA zu. Diese wird per Drag'n Drop einfach nicht übernommen.

Ich hatte dich so verstanden, dass du den X1 als Interface benutzt. Dann muss die Software, die das Interface benutzt, Security können (KNX DataSecurity ist Application Layer). Ob der X1 das kann, ist unerheblich.

Was du aber auch tun musst, ist die benutzten secure GAs in der ETS dem BusInterface (hier 1.0.2) zuordnen, Nur dann wird der Aktor das secure-Telegramm akzeptieren. Secure-Telegramme von unbekannten Quelladressen werden ignoriert.

Danke, Klaus, tatsächlich liegt es an den Securityeinstellungen. Die GA stand auf automatisch und da der Router ebenso wie der Aktor als Secure-Geräte konfiguriert sind, der X1 aber nicht, funktioniert es auf der einen Seite, auf der anderen aber nicht. Unterstützt der X1 gar kein KNX-Secure?

zurückgezogen ich prüfe kurz, einen Moment

Kann es sein, dass du die GA 0/3/0 secure gemacht hast, aber das Programm, das über den X1 kommunziert, weiß davon nichts oder unterstützt keine Security oder du hast die GA nicht dem BusInterface zugewiesen?

Aber auch die sind nicht zu sehen.
EDIT: Ups, sorry. Also war das erste Bild vom X1 und das zweite von der ETS?