Ja, du kannst extern jede beliebige Portnummer nehmen und leitest die dann auf den internen Port der internen ip weiter.

Also zb xxx.dyndns.org:8123 auf interne ip 192.168.0.10 Port 80 würde dann die Visuseite eines HomeServers aufrufen.

Ähm vielleicht wird das verhandelbar, wenn man den Kunden darauf hinweist, das damit jede Hanni&Nanni von Rio de Janeiro bis Tokyo Vollzugriff auf den KNX hat?
[WICHTIG]Das ist derber Harakiri!
[/WICHTIG]

Nachdem das gesagt wurde, es wäre Port 3671/UDP. Es geht nur KNXnet/IP Tunneling, Routing ist Multicast und wird so ohne alles nicht im Inet weitergeleitet.

Den externen Port kann man frei wählen (nein: das ist keine zusätzliche Sicherheit sondern reine Augenwischerei..)

Makki

Full ACK!!!

aber das war ja nicht seine Frage und dass es mit VPN besser ist wusste der Fragesteller auch, nur kunde wollte das ja nicht.

ok dann habe ich´s glaube ich richtig verstanden.
Intern müsste es dann der Port 3671 sein, da der beim IP-Router imho fix festgelegt ist.

Kann ich dann auch intern auf die Multicast-Adresse und Port 3671 weiterleiten , sprich mit KNXnet/IP Routing arbeiten ?
Oder muss ich auf KNXnet/IP gehen ?
Brauche ich den NAT-Modus ?
Ich hab noch was in Erninnerung, dass es beim Routen Probleme gab mit KNXnet/IP ?!?

ok die Antworten kamen, während ich schrieb ...

Ich wollte ja auch VPN mit Wiregate , aber das wird dort ausdrücklich abgelehnt, es wird unbedingt DDNS gewollt, warum auch immer, da kann ich auch nichts mehr machen ...

Hallo Norbe,

ja du kannst intern weiterhin KNXnet/IP Routine (via Multicast) verwenden. Von "Außen" funktioniert ohnehin nur KNXnet/IP Tunneling.

Beide können den Port 3671 verwenden.

Wichtig ist noch das dem KNX Router die IP (192.168.x.y) fix zugewiesen wird. D.h. es sollte nicht per DHCP später dem KNX Router eine andere IP zugewiesen werden! Sonst leitet dein Portforwarding am Modem dann auf die falsche interne IP weiter.

OK?

Dyndns und VPN wiederspricht sich ja nicht

Makki

Ich denke auch das hier aneinander vorbeigesprochen wird ....
Der Kunde will sich höchstwahrscheinleich einfach keine fixe IP leisten (verständlich) und sein zu Hause lieber über http://meinzuhause.dyndns.org ansprechen als über eine "nichtssagende" IP-Adresse ...
Und wenn Du Ihm dann einfachein Stk. Hardware für den externen Zugriff verkaufen willst, ohne das er nun exakt weiss wofür wird es schwierig.
Einfach mal die Zeit nehmen und erklären was mit VPN gemeint ist...
... und vielleicht kann sogar sein Router schon VPN ... (und Creston verwendet dies sogar)

mal sehen, was ich machen kann

Was ist mit dem NAT-Modus ? KNXnet/IP wird doch nicht geroutet (so hab ich es zumindest im Kopf) , brauch ich daher hier den NAT Modus und demzufolge auch einen Router, der das unterstützt ?

"KNXnet/IP routing" wird nicht geroutet (cooles Paradoxon ), KNXnet/IP tunneling wird geroutet sofern im KNX/Router ein IP gateway eingestellt werden kann.

Mann sollte seinen Horizont nicht als Ende der Welt betrachten, es gibt Fälle in denen man VPN nicht verwendne kann. Sollte dies der Fall sein und deinem Kunde geht die Sicherheit seins KNX nicht völlig am A....llerheiligsten vorbei dann würde Ich die Verbindung über ein Proxy machen mit einer separaten authentifizierung.

Gruss,
Gaston

Ich versuchs nochmal in möglichst untechnisch (Gaston: nicht hauen), weil das wird ja ständig verwechselt:


KNXnet/IP Routing:
- IP/UDP Multicast (224..), funktioniert nur im LAN oder mit speziell eingerichteten Routern (also echten Routern, solche die IP-Pakete von 192.168.1.x nach 192.168.2.x routen, Cisco, Fritzbox, all sowas..)


KNXnet/IP Tunneling, in der ETS - in unverständlicher Weise zweideutig - nur mit "KNXnet/IP" bezeichnet:
- IP/UDP Unicast, also eine Punkt-zu-Punkt Verbindung, die Geräte können oft nur eine oder wenige gleichzeitige Verbindungen, funktioniert jedoch auch über Subnetzgrenzen hinweg (z.B. mehrere LAN's, VPN, Internet)


IP-Router: ist eine irreführende, oft verwendete, jedoch ebenso völlig falsche landläufige Bezeichnung für ein Gerät, das KNXnet/IP Routing macht. Der Rest der (nicht-KNX) Welt versteht unter IP-Router jedenfalls ganz was anderes: einen Layer 3 Router, der IP-Pakete zwischen (sub)Netzen vermittelt. -> Damit kann man jeden Netzwerkmenschen, der KNX nicht als Hobby hat, wirklich nachhaltig verwirren

Und ja, der NAT-Modus müsste für KNXnet/IP Tunneling an sein, sofern es eben per NAT (öffentliche->private IP) weitergeleitet wird.

Makki

Hallo Makki,

es ist andersherum: das "KNXnet/IP" der ETS ist Tunneling, "KNXnet/IP Routing" ist explizit so bezeichnet. Das ist unglücklich, aber historisch bedingt (die Unterstützung für das Routing-Protokoll kam halt erst später dazu).

Gruß, Klaus

Uuups, danke ! sorry, da war ich falschherum (Klaus Gütter hat völlig recht, ich habe es soeben nachträglich im vorletzten Post geändert, nur damit nicht noch mehr Konfusion entsteht)

Aber daran sieht man, wie & warum das nachhaltig verwirrend ist, da hätte man sich zumindest für die ETS4 schon gewünscht, das man die Bezeichnungen einfach vollständig ausschreibt, wäre doch auch kein Beinbruch (?)
Das wird in meinem Empfinden mindestens zweimal in der Woche verwechselt, ist ja irgendwo auch verständlich, nicht jeder Elektriker kennt den KNX-Standard halb auswendig, die Unterschiede zwischen Multicast&Unicast und/oder dann die feinen Unterschiede im Wording..

Makki

Wenn der Kunde (aus welchem Grund auch immer) kein VPN will, bliebe noch die Möglichkeit einen SSH-Zugang (und das nach Möglichkeit auf einem Highport) zu schaffen und darüber zu tunneln...
Dann wäre wenigstens die Sicherheit gegeben...

Viel Erfolg beim Kunden,
Volker