Ankündigung

Einklappen
Keine Ankündigung bisher.

EibPort Fernzugriff auf Cubevision per HTTPS auf Port 443

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    KNX/EIB EibPort Fernzugriff auf Cubevision per HTTPS auf Port 443

    Guten Nachmittag,

    Ich hoffe jemand von euch kann mir weiterhelfen, ich bin mit dem Support von BAB bis jetzt nicht weiter gekommen.

    Ich habe bei einem Kunden den Externen Port 443 auf den Internen Port 443 auf den Eibport V3 Firmware 3.8.3 weitergeleitet. Ich müsste nun mit der Cubevision APP auf den Eibport von Extern zugreifen.
    Wenn ich im BAB-Starter die Externe IP Adresse vom Kunden und unter Port 443 eingebe erhalte ich immer die Fehlermeldung laut Bild im Anhang "Unable to retrieve information from: IP-Adresse"
    Wenn ich in der Cubevision APP die Externe IP Adresse vom Kunden und unter Port 443 eingebe erhalte ich immer die Fehlermeldung laut Bild im Anhang "request was denied for security"

    Weiß jemand was ich falsch mache? Benötigt der EIBPort noch andere Ports damit die Cubevision APP funktioniert?

    Vielen Dank für eure Hilfe
    You do not have permission to view this gallery.
    This gallery has 2 photos.

    #2
    Kommst du denn intern per https auf die Cubevision?
    Gruß Florian

    Kommentar


      #3
      Zitat von Beleuchtfix Beitrag anzeigen
      Kommst du denn intern per https auf die Cubevision?
      Gruß Florian
      Ja das funktioniert, allerdings weiß ich nicht ob nicht andere Ports auch verwendet werden.... In der Doku vom Eibport steht dass auch nur der Port 443 benötigt wird für Cubevision oder Control L
      Angehängte Dateien

      Kommentar


        #4
        Hab es gerade geprüft. Bei mir intern kommt die selbe Meldung in der Cubevision APP, wenn ich auf Port 443 statt 80 verbinde (Android 10). Ich bin aber im selben Subnet ohne Einschränkungen. Also mit externem Zugriff oder gesperrten Ports hat das nichts zu tun. Kommst du denn mit der CUBEVISION APP von intern drauf oder mit dem Browser?

        Meine Vermutung ist, dass es mit dem Zertifikat zu tun hat. Der EIBPort verwendet ein internes von BAB-Tec ausgestelltes Zertifikat für HTTPS. Ich vermute, dass dieses Zertifikat unter Android nicht akzeptiert wird, da es von keiner offiziellen Zertifizierungsstelle kommt. Offizielle Zertifikate kann der EIBPort leider (noch) nicht importieren. Habe ich gerade letztens als Feature für eine zukünftige Version angefragt.

        Noch eine wichtige Frage: Hast du denn im EIBPort die Benutzerverwaltung für die Visu aktiviert? Defaultmässig erfolgt der Visu-Zugriff ohne Authentifizierung. Wenn du also einfach Port 443 auf das Internet freischaltest kann jedermann auf die Visu zugreifen. Das könnte ein paar seltsame Effekte bei deinem Kunden geben.😰
        Zuletzt geändert von kewin; 10.03.2021, 17:23.

        Kommentar


          #5
          Ich komme mit dem Browser z.B. Firefox auch von Extern auf das Gerät. Ja ich habe die Benutzerverwaltung im EibPort aktiviert und auch Passwörter vergeben.

          Die Vermutung bei BAB-Tec lag auch an dem Zertifikat, wie sich das lösen lässt wurde mir aber auch nicht beantwortet.

          Ist es theoretisch möglich das Zertifikat vom Eibport auf einem Android Smartphone zu importieren? Bringt das was?

          Kommentar


            #6
            Bei manchen Browsern kann man ein Zertifikat akzeptieren, aber die Hersteller werden immer vorsichtiger.

            Viel Erfolg, Florian

            Kommentar


              #7
              Android ist ein wenig heikel mit Zertifikaten die nicht von einer offiziellen Zertifizierungsstelle stammen. Ich würde empfehlen, mal den Zugriff direkt aus dem Browser zu probieren. Läuft bei mir auch im Firefox von Android aus. Man muss einfach eine Ausnahme für das Zeritifikat eintragen. Das bietet der Browser beim Aufruf der Seite an, je nach Browser Typ etwas versteckt (unter "Erweitert" oder "Risiko akzeptieren" oder ähnlich).
              Zuletzt geändert von kewin; 11.03.2021, 07:34.

              Kommentar


                #8
                Als zusätzliche Anmerkung: Portweiterleitungen noch dazu mit dem Standard-Port 443 sind immer ein Sicherheitsrisiko, auch wenn eine Benutzerauthentifizierung für die Visu eingerichtet ist.

                Ich empfehle VPN einzurichten, auch wenn der Aufwand anfangs höher ist. EIBPort bringt von Haus aus VPN Fähigkeiten mit.

                Kommentar


                  #9
                  Guten Morgen Kewin, ja das ist mir schon klar dass das ein Sicherheitsrisiko ist. Ein Problem ist dass der Port 443 beim EIbport nicht geändert werden kann.
                  Da der Kunde mit der Cubevision einen Befehl "Schranke Öffnen" betätigen soll, muss dies ohne VPN Verbindungsaufbau und relativ schnell funktionieren.

                  Da beim Kunden auch etwas ältere Semester die APP bedienen müssen wird dies mit der VPN relativ umständlich werden......

                  Ich bin auch für andere Lösungen offen, ich habe zusätzlich für meinem Fernzugriff einen Gira S1 installiert, mit diesem habe ich den Zugriff allerdings nur per Browser geschafft und dieser "vergisst" immer wieder die zugangsdaten.....

                  Kommentar


                    #10
                    Ah, okay. War mir nicht bewusst, dass man alle Ports ändern kann, nur den https Port nicht. Hab diesbezüglich auf die Schnelle auch nichts gefunden.

                    Jetzt verstehe ich langsam worauf das Problem hinaus läuft: Ich vermute, das Handy des Kunden ist teilweise im WLAN verbunden und teilweise über Mobilfunk. VPN könnte man dauerhaft verbunden lassen, aber genau in dieser Konstellation hatte ich auch schon Probleme. Dauerhafte Verbindung führt im WLAN zu Problemen und automatische Wieder-Verbindung beim Verlassen ist nicht so einfach zu konfigurieren. Ich vermute, deshalb die Port-Weiterleitung und keine Port-Redirection auf eine andere Portnummer. Damit es innerhalb und ausserhalb vom WLAN funktioniert. Setzt allerdings einen Router voraus, der innerhalb über die externe IP-Adresse erreichbar ist. Können nicht alle.

                    Der ideale Ansatz wäre immer noch VPN und den nutze ich auch. Allerdings nicht mit EIBPort, sondern mit entsprechender Netzwerk-Hardware und immer wieder mal Problemen mit der automatischen VPN Verbindung bei Verlassen vom WLAN, je nach Android Version.

                    Hat Bab-Tec keine Empfehlung? Sehe da noch Dinge wie "Secure-Link" über die Bab-Tec Server etc.

                    Kommentar


                      #11
                      Hallo,

                      ich kann per Browser zugreifen, aber nicht per CubeVision-App, da bekomme ich . Soweit ich das bisher bei meinem Eibport gesehen habe, kann ich das Zertifikat, das bei https/443 kommt, nicht tauschen. Ich vermute, dass die App aufgrund des nicht vertrauenswürdigem Zertifikat nicht darauf zugreifen kann.

                      LG
                      LG, Christian

                      Kommentar


                        #12
                        Man kann die Zertifikate aber eigentlich in den internen Zertifikatspeicher von Android laden. Ggf. erst am Desktop PC über den Browser exportieren und dann in dem Android Gerät importieren.

                        Kommentar

                        Lädt...
                        X