Ankündigung

Einklappen
Keine Ankündigung bisher.

Linien / Bereiche koppeln über VPN

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    KNX/EIB Linien / Bereiche koppeln über VPN

    Hallo zusammen.
    leider bin ich über die Suche nicht fündig geworden, oder ich habe nach den falschen begriffen gesucht,
    daher brauche ich mal euer Schwarmwissen...

    Ich habe folgende herausforderung:

    Firmenstandort A soll mit Firmenstandort B verbindet werden,
    am Standort A gibt es:

    Linie 1 mit MDT IP-Router SCN-IP100.03 als Linienkoppler
    Linie 2 mit MDT IP-Router SCN-IP100.03 als Linienkoppler
    Linie 3 mit MDT IP-Router SCN-IP100.03 als Linienkoppler

    dazu noch einen Gira S1, sowie den Gira Homeserver

    Am Standort B

    Linie 4 mit MDT IP-Router SCN-IP100.03 als Linienkoppler, versuchsweise auch mal als Bereich "umgebaut"

    Zwischen beiden Standorten gibt es eine eigene VPN Verbindung die nur für die KNX Steuerung eingerichtet wurde,

    Standort A 10.11.25.1........
    Standort B 10.12.25.1.......

    Jetzt zu testzwecken sind sowohl die Linienkoppler komplett offen, als auch die Firewall (also für die üblichen ports)

    Leider bekomme ich keinen Buszugriff auf die jeweils entfernten Linien...

    Hat das schonmal jemand gemacht?
    Welche Ports müssen ggf. geroutet werden, ohne die Firewall unnötig zu öffnen,
    oder brauche ich einen weiteren Bereichskoppler?

    Fragen über fragen.... die MDT Hotline konnte mir leider auch nicht weiterhelfen.

    Oder würde der Gira F1 das ganze deutlich vereinfachen?

    Vielen Dank für eure Unterstützung ☺☺
    Stichworte: -
    #2
    Na wichtig ist das da multicast durch geht… dann sollte der Rest laufen. Und wenn die in unterschiedlichen netzsegmenten sind muss natürlich das Gateway passend drauf eingestellt werden damit die Routen passen.

    Kommentar

      #3
      Hmm und ich glaub da liegt das Problem,
      das übersteigt etwas meine IT-Kenntnisse, aber der IT-Admin meinte etwas von "multicast durch die Firewall ist voll kompliziert und unsicher".... ist das so?

      Kommentar

        #4
        Also ich hatte mal ein ähnliches Problem. Zwei Standorte waren zwar durch eine Standleitung miteinander verbunden, aber die Firewall hat kein Multicast erlaubt. Nach viel herumprobieren war meine Lösung das ich mit einem NodeRed alle benötigten GAs quasi "geforwarded" habe. Anders hat es einfach nicht funktioniert. Mit der ETS konnte ich zwar auf beide IP-Router zugreifen und auch programmieren, aber GAs gingen einfach nicht durch.

        Kommentar

          #5
          Hi,

          Wir haben im Familienbetrieb eine ähnliche Topologie - zwei Standorte über VPN verbunden. Die dazu notwendige Infrastruktur (Firewall, Router, Switches, Konfiguration, etc.) kam im Gegensatz zur KNX-Parametrierung nicht von uns selbst, sondern wurde von einer professionellen IT-Firma realisiert. Firewalls, die Multicasting über VPN können, sind definitiv im Premiumsegment angesiedelt, ich glaube das waren Cisco oder Sophos Produkte. Damit läuft die Kommunikation absolut reibungslos, und nach außen ist nichts offen.

          Anyway, die Firma war damals jene hier:
          https://www.pcs-it.at/

          Lg
          Chris

          Kommentar

            #6
            Vielleicht ist das eine weitere Möglichkeit
            Standorte verbinden ohne Multicast - KNX-User-Forum
            https://knx-user-forum.de

            Kommentar

              #7
              Hey,
              erstmal vielen Dank für die bisherigen Antworten.

              Tatsächlich sind dort Firewalls von SOHO verbaut und ich werde mich in der kommenden Woche mal mit der IT zusammen setzen und etwas rumprobieren,
              ansonsten werden wir wohl auf den F1 von Gira warten.

              Von der Preis-Leistung her wahrscheinlich die günstigere Lösung

              Kommentar

                #8
                Zitat von Lina S Beitrag anzeigen
                der IT-Admin meinte etwas von "multicast durch die Firewall ist voll kompliziert und unsicher".... ist das so?
                Es gibt angeblich ein eigens eingerichtetes VPN für KNX, oder doch nicht ?
                Und was soll dann da eine Firewall?

                Der Typ hat schlichtweg keine Ahnung, denn ein Multicast-VPN ist weder kompliziert, noch unsicherer.


                Gruss
                GLT

                Kommentar

                  #9
                  Hi, I am working on a T1 (not G1, not X1, not L1 or X1), but I just name it a 'T1' which stands for Tunnel1.

                  It is a device which you can just drop into the network, (on the DIN rail) scan a QR code and pair it with the device, located in the other network. It will tunnel KNX, Sonos, multicast, unicast, MDNS and other protocols over the Internet.
                  • Dynamic IP address? No problem!
                  • No ports have to be forwarded on your router
                  • KNX packets are NOT routing via a 3rd party, so directly from A <----> B.
                  • Physical Ethernet connection
                  • Power Over Ethernet (802.3af for just the device and 802.3at if you want the integrated bus psu).

                  Tunnel is encrypted according according to latest standards (256bit AES with elliptic curve keys) and speeds of about 220Mbps are possible.

                  The software/device will be open source so you can build one yourself or buy the device. Building it yourself should not be on a Docker or Synology-like device because they have problems with things as 'promiscious mode' and 'multicast'.

                  However, it is not finished yet.. I am currently implementing a KNX-Router and small 160mA power supply in it. So there is no need anymore to buy an (old) KNX Router. The integrated power supply would be able to feed just a few KNX devices.

                  ​I've recently contacted Gira about it but their first reaction was that the market was probably less that it is for the F1. Personally I don't think so because I see many people who want to connect two companies or have a Multi-VLAN setup.
                  I also contacted ISE about the ISE PROGRAMMABLE, but they can not offer it to me as a 'rooted' device, it's always a sort of device you deploy an 'application' on, too bad, because it has a nice form factor and integrated RJ45 and KNX.

                  NOTE: I have not planned any KNX NAT techniques because that makes it unnecessarily complex. So be wise: Give the different locations different physical lines/addresses!

                  The device should be that simple that your wife can deploy it!
                  Zuletzt geändert von Roeller; 07.12.2023, 17:06.
                  • Likes 2

                  Kommentar

                  Vorherige template Weiter
                  Lädt...
                  X

                  Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                  Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                  Ich stimme zu