Hallo,

ich verstehe das so noch nicht mal....

du willst mit der ETS von Dir aus über das Internet den IP Router erreichen.

Dazu willst du dich mit diesem SSH Server verbinden so das du dann von da weiter durch die Port Tunnel, was auch immer das ist, mit dem Router verbinden kannst?

Auch wenn der Kunde das nicht will.... VPN wäre ja schon das einfachste.

Hmmm

Gruß

Jan

Erstmal danke für deine Antwort.

VPN hat den Nachteil das wir Rechte/Pflichten des lokalen Netzwerkes übernehmen. Zudem möchte der Kunde nicht, das wir als externer uns in deren lokalen Netzwerk frei bewegen.

Mit dem Tunnel hätten wir lediglich Zugang zu dem KNXnet/IP Router (um den an neue Gegebenheiten anpassen zu können).

Kauf dir ein Wiregate, auf dem läuft open VPN damit machst du nur eine 1:1 Verbindung zwischen deiner Maschine und dem WG und nicht dem Kunden Netz...

Zufriedenheitsfaktor ist gegeben....

Achja den IP Router kannst du dann bei ebay einstellen, denn am WG adaptiert du einfach eine TP UART ferscht.

Es sollte kein Problem sein, das VPN / Firewall so zu konfigurieren dass Zugriff nur auf eine / bestimmte IP-Adresse(n) möglich ist. VPN heisst nicht dass alle konnektierten Netze komplett ducrhgeroutet werden - auch wenn man das immer wieder sieht, ist ja so einfach aufzusetzen und viele Billigkisten geben nicht mehr her.

Wenn das Wiregate mit einem Fuss im Kundennetz steht ist das mit administrativem Zugriff auf das Wiregate wahrscheinlich ein Aufwand von ca. 2 Minuten das so hinzukonfigurieren dass man via Wiregate auf das komplette Netz zugreifen kann.

Ein VPN kriegt man nur dann dicht wenn jede Partei ihre Seite selbst konfiguriert, dann hat auch jeder ein Interesse, seine Seite möglichst dicht zu machen.

hab mit makki über dieses thema schon mal letzte woche telefoniert, prinzipiell ist es möglich dass die kommunikation nur mit dem wg stattfindet....

ja klar dann man das ding aufbohren dass man überall hinkommt....

ich würde es denoch immer noch dem kunden versuchen zu verkaufen, weil es für mich persönlich die beste Lösugn für eine Fernwartung ist.

Denn der Kunde kann ja per KNX Telegramm den Zugang ein/ausschalten und auch sehen wann wer online war.....

wenn das wg einmal so funktioniert wie es funzen soll, und dann das root pw der "Besitzer" ändert, dann kommt eh keiner mehr drauf....

und dann braucht doch keiner mehr was dran schrauben ?!

So oder so ähnlich. klar kann man es so einstellen das das LAN erreichbar ist, das ist ja sogar meist gewollt.
Aber wenn der Kunde das nicht will, stellt er es eben nicht so ein und gibt dem VPN-User (KNX Betreuer) das PW nicht, fertig.
Auf Kundenwunsch lassen sich auch wildere Sachen machen, inkl. FW so notwendig/gewünscht.
Oder eben einen Reverse-SSH-tunnel, das halte ich allerdings für gestricke, man muss mit so einer Lösung ja auch ein paar viele Jahre vielleicht möglichst wartungsarm auskommen.. Und mit einem OpenVPN auf Basis von X.509-Zertifikaten ist das halt auch wasserdicht.
Im Zweifel gerne mal durchrufen, die detailierten Anforderungen&Wünsche lassen sich da zusammen mit dem Kunden am Telefon schneller klären, VPN's machen wir den ganzen Tag

Makki

und auch in der Nacht

Da ich noch sehr neu in dem Thema bin, haben sich wieder eine Menge Fragen angehäuft.

Ich lese gerade den Quickstart Guide des WG. Nur irgendwie verstehe ich nicht, wie das WG nun genau angeschlossen wird.

Es übernimmt doch die Aufgabe des KNX IP /Routers, also der Schnittstelle zwischen dem LAN und der Gebäudetechnik, oder nicht ?

Weil der KNX IP/Router bereits beim Kunden läuft und ich ein ungutes Gefühl habe, diesen ersetzen lassen zu müssen um dann meine 1. Erfahrungen mit dem WG beim Kunden zu sammeln.

Aktuell sind Techniker von uns dafür zuständig bei Problemen die entsprechenden Kunden zu besuchen und Arbeiten vorzunehmen (also z.B. defekte Kabel ersetzen, neue Kabel ziehen, ...). Falls der Kunde z.B. eine Änderung oder Erweiterung der KNX Steuerung wünscht, möchten ich oder ein Kollege mich mit ETS 3 einem Tunnel über den Laptop des Technikers zum KNX IP/Router verbinden und Änderungen vornehmen.
Nach Beendigung der Arbeiten wird der Laptop wieder abgebaut und der Techniker verlässt den Kunden.

Wäre es möglich das WG parallel zu betreiben, also sozusagen als reinen temporären VPN Server zu benutzen ?
Also wenn etwas zu konfigurieren ist baut der Techniker das Wingate auf, schließt es an und stellt die VPN Verbindung auf. Nach der Konfiguration wird das VPN wieder getrennt und das WG abgebaut. Ginge soetwas ?

Was Michael damit sagen will, aber sicher nicht jedem hier im Forum bekannt ist:

Unserer (deutlich) größerer Geschäftsbereich ist der eines Managed IT Security Providers mit dem Markennamen "Rent-A-VPN". Wir betreiben mehrere eigene Backbones sowie 24/7 gemanagte VPN-Firewall-Systeme für unsere Kunden auf vier Kontinenten - von Tokyo bis San Francisco. Und das seit 10 Jahren.

Unsere Kompetenz im Bereich IT-Security, insbesondere Firewall / VPN / sichere Authentifizierung usw. ist dementsprechend sehr gut.

Wer immer sich für VPN - gerade insbesondere in Verbindung mit KNX - interessiert, kann jederzeit gerne bei uns anrufen und sich beraten lassen.

LG

Stefan

Ich habe noch einmal mit meinem Vorgesetzten gesprochen und VPN ist nicht akzeptabel.

Der Hauptgrund hierbei wäre das ein funktionierender Internetzugang beim Kunden vorhanden ist und ansonsten jeder Mitarbeiter ein WG dabei haben müsste.

Es soll also via Tunnel über das vorhandene Netzwerk gelöst werden.

Kann - muss aber nicht.

Du kannst es einfach dazu stellen und über beliebige Möglichkeiten auf den Bus zugreifen lassen. Sei es über IP-Tunnel oder IP-Routing (so eine IP Schnittstelle schon vorhanden ist) oder per eigenem TP-UART um ganz nah am Bus zu sein(*). Ändern an der Installation vor Ort muss Du nichts.

---
(*) Dank TP-UART kann man sogar detaillierter auf den Bus sehen als per IP-Interface. Daher habe ich mir zu meinem IP-Router noch eines dazu gekauft und konnte schon 1-2 Fehler finden...

Bastel grad zuhause pleißig an meiner Fernwartung.
Habe den Netzwerkaufbau mit VMWare virtuallisiert.
Den SSH Tunnel bekomme ich ohne Probleme hin.

Wie ist der Port um von der ETS auf dem KNX IP/Router Daten zu empfangen ?
Und ist es nur 1 Port oder werden mehrere Ports benötigt/benutzt ?