Geht´s vielleicht ein "wenig" detaillierter?

Fernwartung wofür? Was steht an Komponenten neben der UMTS-SIM zur Verfügung?

Um eine KNX Fernwartung... Parametrierung ändern usw.

Im Moment gibts noch gar nichts ausser eine USB Schnittstelle vor Ort.
UMTS nur deswegen, da ich nicht ins interne Netz des Kunden darf.

Na dann:

KNX-IP-Router als Schnittstelle zum Bus (siehe zum Beispiel hier) + Netzwerkrouter mit Anschlussmöglichkeit für einen USB-Stick. Idealerweise mit Dyndns-Unterstützung und/oder VPN on board.
Zum Beispiel:FRITZ!Box Fon WLAN 7390 (mit VPN on board) oder Netgear MBR624GU

Statt IP-Router geht auch ein Home-/Facilityserver, der diese Funktionalität an Bord hat und die Busankopplung dann via USB realisiert.
Kommt halt drauf an, was sonst noch so gewünscht wird.

OK, Vielen dank!!!

Der EibPC kann auch als "VPN Modem" dienen, wobei er auch verschiedene Zugänge verwalten kann, d.h. z.B. einen für den Elektriker. Der Zugang kann dann per KNX Schalter geschlossen bzw. geöffnet werden.

Einen VPN Zugang bietet m.W. auch das Wiregate.

Das wird bei fast allen UMTS-Tarifen nicht funktionieren, da der Mobilfunkanbieter NAT macht:
UMTS-Modem -> Mobilfunkantenne -> NAT-Router -> Internet
Vom Internet aus gesehen teilen sich alle UMTS-Modems eine einzige IP und man kann deshalb nicht auf ein bestimmtes UMTS-Modem zugreifen.
Siehe dazu z.B. diese Diskussion: Sperrt O2 Ports bzw. hat O2 Nat? - o2 Forum

Das sieht man z.B. sofort daran, dass in der FritzBox dann eine IP aus dem privaten 10.x.x.x Bereich für die UMTS-Verbindung vergeben wurde.

Hatte das gleiche Problem hier mit unserer FritzBox mit UMTS-Stick.

Von D1 gibt es angeblich einen Tarif mit öffentlicher IP.

Deshalb die Option: Einen EibPC verwenden, der per VPN nur Zugriff auf bestimmte IPs des LAN zulässt.

Das hätte ich auch empfohlen.

Die Hersteller des WireGate (Elaborated Networks) kommen übrigens aus der Netzwerk-Ecke. D.h. die werden Dir sicher eine professionelle Lösung (und nicht nur eine Bastel-Lösung bei der Du die Verantwortung tragen musst) anbieten können.

Ich kann dir auch nur das Wiregate ans Herz legen, das Ding haben mittlerweile 29x in Kundenanlagen drin, dabei geht es genau immer um das Thema VPN, für mich die absolute Nr. 1 wenn es um das Thema sicherer Zugang geht, wenn du in deinem Fall noch eine TP UART nimmst, dann hast alles für die Fernwartung fertig, da das Wiregate dann auch gleich noch IP Router spielt

http://www.shop.wiregate.de

Du bekommst je VPN User 1 x Freigabe Gruppenadresse und Statusadresse damit kannst du genau archivieren wann welcher User online war.
Hast du dann noch ne Männer Visu am laufen, bekommst du gegen geringe Gebühr einen SSL Reverse Proxy sprich via https:// auf die Visu druf.

Oder macht heute noch etwa jemand normales Portforwarding des Port 80

...............


Ich bin mir sicher, dass der Makki sowas nie behaupten würde. Im Gegenteil: Durch Anregung im Betaforum vom Makki (oder auch EIB-TECH) haben wir den VPN Tunnel mit Authentifizierungsschlüsseln gemacht. Zudem sind verschiedene User zu verwalten und im nächsten Release auf einfachste Weise anzulegen.

Ich finde es unproblematisch, dass es gewisse Überschneidungsmengen zwischen den verschiedenen Produkten (Wirgate, Loxone, HS, EibPC) gibt, da kann sich jeder raussuchen, was gerade besser für ihn passt. Das Wiregate ist durchaus sehr verträglich mit dem EibPC - wir haben da einige User, die beides einsetzten. Und letztlich habe ich ja hier auch offen die mir bekannte Alternative angesprochen.

Jungs, immer ruhig bleiben, der geneigte Leser wie ich findet eine Diskussion immer hochinteressant, solange sie fachlich abläuft.

So wie ich das verstanden habe hat ChrisM keinesfalls behauptet - so zumindest meine Interpretation - daß der EIBPC eine Bastellösung wäre, sondern darauf hingewiesen, daß Wiregate eben professionell arbeitet.

Ich denke nicht, daß Du Dich da angegriffen fühlen musst, ich habe eher gelesen, daß er eben eine professionelle Lösung einem Portforwarding vorzieht.

Ups.

Also so wie ich ChrisM hier kennengelernt habe und wenn ich mir das hier so durchlese, dann bin ich mir ganz sicher, dass ChrisM in keinster Weise den EibPC in die Nähe einer Bastellösung rücken wollte!

Für mich ließt sich das so, dass er den Fragenden davor bewahren will, sich aus Fritzbox & Co was selbst zusammen zu basteln und evt. dabei nicht so genau wissen was er da tut (sonst würde er hier auch nicht fragen).

In unseren größeren Geschäftsbereich "Rent-A-VPN" bieten wir seit 10 Jahren professionell gemanagte VPN- und Firewalllösungen weltweit an. Wir haben in diesem Bereich eine ganz erhebliche Knowledge und massive Betriebserfahrung hinsichtlich der tausenden von uns gemanagten VPNs. Aus diesem Grund sind die vielen Security Features im WireGate Multifunktionsgateway auch beinhaltet inkl, der individuellen Schlüsselmaterialgenerierung usw. Die Hardware beinhaltet übrigens auch einen HW-Random-Generator und eine AES-Krypto-Engine (bis zu 43 MBit/s laut AMD)!

Ich denke, auf unsere besonders intensive Erfahrung mit VPN und Fernwartung wollte ChrisM hinweisen.

BTW: Es wird in aller Kürze ein sehr wesentliches Enhancement für eine starke Authentifizierung für das WireGate Multifunktionsgateway geben.

LG und ein wunderbares Wochenende

ok, wenn dem so ist, dann ist ja gut.
Wir selber haben hier noch keine eigene Enertex Engine gebaut (und ich zweifle, ob wir das so gut könnten) , sondern einfach das openvpn mit dessen Zufallszahlgenerator und know how genutzt bzw. in den Kernel eingepacht. M.W. ist das an sich schon ein sehr sichere und gute Lösung (auf keinem Fall gebastelt).

@Enertegus: Kann man über den VPN-Server im eibPC auf den Bus zugreifen, bzw. Routet der eibPC dann auch eine Remote-Session?

Ja, Uups
Was die Sicherheit angeht müssen wir halt für die GA/HA ein paar viele Treppenstufen runter und es ist trotzdem alles, was vertretbar möglich ist von Haus aus eingebaut..

Und vieles was da heute so hingebastelt wird ist eben Kernschrott oder Kindergarten, den EibPC mal explizit ausgenommen!
(auch wenn ich da kryptotechnisch 1-2 Einwände hätte, das ist aber wirklich haarspalterei vgl. mit einem von einem Laien gemacht Fritzi-"VPN")

Wenn ich an ein sicheres VPN denke, so wie es auch im WG implementiert ist, dann ist der potentielle Angreifer halt auch ggfs. ein fremder Staat/Geheimdienst, sorry, so bin ich halt "angelernt"

Ich denke auch, was Chris sagen wollte ist, das wenn sich Hanni oder Nanni mit Fritzi oder Draytec jetzt mal grad ein VPN zusammenklicken, dann kommt da in 99% der Fälle bestenfalls eine zwar funktionierende aber trotzdem grosse Sicherheitslücke bei raus..

Makki

P.S.: Den HW-RNG und AES-Engine hat übrigens AMD in den Chipsatz eingebaut, wir benutzen ihn nur nach bestem Wissen&Gewissen Aber da gibts schon nen "klitzekleinen" Unterschied zu einem möglicherweise deterministischen /dev/random, daran kann auch openvpn/ssl danach nichts ändern..