Ankündigung

**S. De Bruyne** · 13.10.2021, 14:12

The Tunnelling Server will not decrypt the Telegram, but, this will only make that the device accepts the encrypted read-requests from the Tunnelling Server. Did you see a response from the device on the bus?

**larsrosen** · 13.10.2021, 14:23

Hi,

An answer comes from the device. What also amazes me: without secure I see a read request to the device and then the answer comes from the device. Here it is so that there is only one answer.

when I read on the bus with an interface without secure, several telegrams come in that are encrypted.

**S. De Bruyne** · 13.10.2021, 15:19

"Here it is so that there is only one answer." You mean that you only see one Telegram on the bus?
If so, that's likely the encrypted read request.

"when I read on the bus with an interface without secure, several telegrams come in that are encrypted."
So, you send somehow a plain, unencrypted A_GroupValue_Read (1 telegram) and you see as a reaction several encrypted Group messages????

**Klaus Gütter** · 13.10.2021, 15:31

Zitat von larsrosen Beitrag anzeigen

Wenn ich eine Lese- Anfrage sende

Wie sendet du die? Von der ETS?

Wenn du ein zweites Secure-Gerät hast, könntest du die GA auch mal an das dranhängen, dann sollte es eigentlich gehen.

**larsrosen** · 13.10.2021, 15:45

Zitat von Klaus Gütter Beitrag anzeigen

Wie sendet du die? Von der ETS?

Ja von der ETS.
Als Antwort kommt:
1.PNG

Ein zweites Gerät habe ich. Da muss ich erstmal ein KO suchen welches da drauf passt von DPT her. Das meinst du doch damit?

Wenn man vom einem Secure Dummy auf die sind einem IP Backbone das Interface mit einer GA verknüpft, wird da die filtertabelle auch mit geschrieben?

[Kurios]
Wenn ich über die Secure SS lausche auf dem Bus, bekommt er die Secure GA mit und wertet diese aus.

**Klaus Gütter** · 14.10.2021, 06:03

Hallo Lars,

wenn du mit der ETS eine secure GA senden willst, sucht sich die ETS ein Stellvertretergerät im Projekt, das mit dieser GA verknüpft ist und veranlasst dieses Gerät, das Telegramm "im Auftrag" zu senden.

Da du die GA auch mit dem Interface verknüpft hast, wäre es in der Tat auch möglich, das Telegramm direkt zu senden, aber die ETS vermeidet das aus einem ganz bestimmten Grund: falls du vorhast, z.B. eine Visu über dieses Interface kommunizieren lassen, würde diese nichts von dem letzten von der ETS benutzen Sequenzzähler wissen und möglicherweise/wahrscheinlich mit einem niedrigeren Sequenzzähler ins Rennen gehen - Empfänger würden solche Telegramme dann verwerfen.

Die Lösung ist also, ein zweites secure Gerät mit der GA zu verknüpfen, über das die ETS dann senden kann.

Ein netter Nebeneffekt dieses Verfahrens ist übrigens, dass damit das Telegramm gleich in der richtigen Linie erscheint, ohne dass man mit Kopplern rumfummeln muss.

Gruß, Klaus

**TabSel** · 14.10.2021, 08:56

das ist ja mal ne wertvolle Information. Danke!

**larsrosen** · 14.10.2021, 09:49

Zitat von Klaus Gütter Beitrag anzeigen

Die Lösung ist also, ein zweites secure Gerät mit der GA zu verknüpfen, über das die ETS dann senden kann.

Danke, Klaus,

Zwei Fragen hierzu:
Reicht es ein Dummy Gerät einzupflegen? Wie das vom Gira Homeserver?
Das ist bei mir nämlich auch mit der GA verbunden.

Wenn ich ein echtes Gerät nehme, welches ja gar nicht physikalisch vorhanden ist. Kann man dann irgend jemand n FDSK eingeben? Programmieren geht ja dann logischerweise auch nicht und somit wird der Geräteschlüssel(oder wie er heißt) gar nicht erzeugt.

Irgendwie erschließt sich mir die ganze Secure Geschichte noch nicht. Aber da bin ich wohl nicht der einzige.

**Klaus Gütter** · 14.10.2021, 10:18

Das muss schon ein echtes und programmiertes Gerät sein.

Was genau passiert: Secure Geräte unterstützen ein relativ neues Feature namens "Group Object Diagnostics" (AN170). Damit kann ein autorisierter Client (hier ETS) direkt mit der Implementierung der KOs und GAs (Group Object Server) im Gerät sprechen und z.B. den aktuellen Wert eines KOs lesen oder setzen oder ihm sagen, ein Telegramm mit einer bestimmten GA zu senden (die GA muss dabei aber dem Gerät zugewiesen sein). Die ETS sagt also dem Stellvertretergerät "sende bitte dieses Telegramm für mich" und das Gerät wird das tun. Das Gerät, das man eigentlich auslesen wollte, wird das Telegramm akzeptieren (da bekannter Sender mit korrekter Verschlüsselung und akzeptabler Sequenznummer) und antworten.

**TabSel** · 14.10.2021, 10:26

wer oder was bestimmt wie ein client autorisiert ist?

**S. De Bruyne** · 14.10.2021, 10:43

This can be done by marking the message with the marker that the Tool Key is used and protecting its payload with the Tool Key. This is what ETS does.
(Alternative, configured, Clients are possible as well, but, I have no knowledge that anybody realised that.)

**tstalzer** · 14.10.2021, 12:02

Zitat von Klaus Gütter Beitrag anzeigen

Das muss schon ein echtes und programmiertes Gerät sein....

Hallo Klaus

Das bedeutet aber, wenn ich z.B. eine Gruppenadresse nur in einer Visualisierung anlege (d.h. kein anderes Gerät ist mit er GA verknüpft nur z.B. der Aktor der mir einen Status sendet (z.B. Fehlermeldung, o.ä.)) dann bekomme ich bei Secure keine Antwort ????

-- Thomas

**Klaus Gütter** · 14.10.2021, 12:06

Hallo Thomas,

doch, du musst dafür die GA dem Interface zuordnen, über das die Visu kommuniziert.

Wie oben (#7) geschrieben, könnte das die ETS auch so tun, aber es gibt gute Gründe dagegen.

Gruß, Klaus

**larsrosen** · 14.10.2021, 12:15

iGude,

genau das habe ich eben ausprobiert. Es wird dann sogar die Filtertabelle angepasst:

Bild 1.PNG
Was aber echt unromantisch ist, dass bei IP Secure nicht wie bei KNX Secure halb-halb geht. Entweder Secure oder kein Secure. Sobald ich das aktiviere fliegen alle nicht IP Sec Geräte raus.

Ankündigung

Secure lesen auf dem Bus

KNX/EIB Secure lesen auf dem Bus

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar