Hi, die KNX-IP-Gatways verwenden auch Multicast Verbindungen zur ETS. vgl. http://www.eib-home.de/software/ETS_...ittels_VPN.pdf

hope it helps ..

(Fortsetzung von PN):

Da sind überhaupt keine Ports ins öffentliche Inet weiterzuleiten! Das ist Harakiri.. Eine Weiterleitung von 3671/UDP bedeutet das gut 4,2 Milliarden umfassend & völlig schutzlos auf den KNX durchlangen können!
(die IP's sind noch nicht ganz verbraucht, also sinds nur 4Mrd)

Evtl. liegt auch nur da das Problem; kenne das Fritz-VPN nicht besonders gut aber soweit ich es kenne ist es (bei den meisten VPN-Routern) keine gute Idee ein Static NAT (PAT) einzurichten und dann zu versuchen via VPN über selbiges Gerät darauf mit der privaten IP zuzugreifen.

Makki

P.S.: Mich schüttelt es da, insbesondere wenns um kommerzielle Projekte geht, da sollte man dann halt IMHO jemand fragen, der sich damit wirklich auskennt. Das kann Geld kosten aber weniger als dem Kunden danach zu erklären, warum sich 100 Südamerikanische Script-Kiddies an dem KNX vergnügt haben - im besten Fall..

Hallo,

danke schonmal für die Antwort. Das ist ein privates Projekt Makki. Wenn ich doch über VPN zugreife, haben doch keine 4Mrd die Möglichkeit auch darauf zuzugreifen, oder sehe ich das Falsch? Aber man muss doch den Port 3671 weiterleiten?

Ich greife nicht aus dem selben IP-Netzwerk zu. Ich greife von einem anderen Internetzugang auf die Fritzbox/Netzwerk zu.

Der Ip-Router ist doch eigentlich extra laut Gira für diesen Zweck geeignet?

An was könnte es denn noch liegen? Muss ich evtl. noch weitere Einstellungen in der Fritzbox tätigen?

Grüße

Naja, wenn man 3671/UDP ins Inet weiterleitet ("DMZ" / "Portweiterleitung") ists nicht mehr "privat" weil das bedeutet das jedermann uneingeschränkt darauf zugreifen kann. (Ausser man weiss was man tut, kann Firewall-regeln etc.)

Das ist den meisten aber nicht bewusst, deswegen warne ich auch mit so deutlichen Worten davor!
Ein "schlechtes" VPN auf der FB ist blöd, weil dank staischer PW/PSK leicht für Profis angreifbar aber kein Vergleich zu einer "aus versehen" gemachten Portweiterleitung -> Das ist ein garant dafür das etwas passiert - irgendwann.

Ich hab vor geraumer Zeit mal einen Scan nach KNX über einen Teil der IP's eines sehr bekannten Providers gemacht, das Ergebniss war erschreckend!!
Unabhängig davon das es gesetzeswidrig wäre, das zu nutzen: interessiert das numal leider einen Angreifer kaum, ob das "legal" ist..

Das was mir hier Bauchweh bereitet ist garnicht das VPN und das darüber der Zugriff nicht funzt (was gehen sollte), sondern das im Zuge der "Problemlösung" offenbar mit der Portweiterleitung eine hammerdicke Lücke aufgemacht wurde.

Makki

Vor ein paar Jahren hat mir AVM bestätigt, dass das Fritzbox VPN keine UDP-Pakete überträgt. Vermutlich hat sich daran bisher nichts geändert.

Gruß
Werner

Hallo,

aber ohne die Portweiterleitung soll es doch überhaupt nicht funktionieren???
Vielleicht sollte man einfach mal eine Zusammenstellung machen, wie man dies sicher einrichten. Explezit mit Angaben zur Einstellung.... Weil dieser Punkt wurd hier schon oft angesprochen und immer heißt es nur wie schlecht/unsicher alles sei, aber ich konnte noch keinen Betrag sehen, wo einer explezit eine Aussage trifft, wie man dies auch sicher mit einem IP-Router hinbekommt.

Für ein VPN auf der Fritzbox braucht man keine Portweiterleitung. Wenn man sich mittels VPN verbindet, ist man quasi im lokalen Netz und kann direkt auf alle IP-Adressen und Ports zugreifen. Im Falle der Fritzbox dürfte es aber leider nur mit TCP und nicht UDP funktionieren. Portweiterleitung benötige ich, wenn ich vom Internet aus ohne VPN auf einen Dienst im LAN zugreifen will.

Hmm, hast du in der ETS den NAT-Modus aktiviert?

Frank

Nat-Modus ist deaktiviert wenn ich per VPN zugreife. Ist doch so auch richtig? Hab zwar auch schon mit versucht, schlägt aber ebenfalls fehl.

Also ich hab den NAT-Modus aktiviert. Ohne geht's garnicht. Es braucht aber immer etliche (3-6) Versuche, bis die Verbindung steht.

Frank

Hallo Frank,

das klingt ja gut, dass es bei dir funktioniert.
Gehst du auch über VPN rein und auch über eine Fritzbox?
Geb mal bitte etwas mehr Auskünfte bzgl. deiner Einstellungen....

Gruß

VPN=ja, Fritzbox=nein, Fritz-Fernzugang=ja, funzt auch unabhängig von der FB.

Frank

Via VPN:
Keine Portweiterleitung, kein NAT-Modus (schadet aber auch nicht)

UDP geht sicherlich über das Fritz-VPN, was nicht geht ist KNXnet/IP Routing (Multicast) und womit die Fritzboxen mal ein Problem hatten aber AFAIK aktuell nicht mehr haben ist eben jenes Multicast, allerdings im LAN (war wegen IPTV)

Bleibt als Ursache noch die (Windows)-Firewall am ETS-Rechner, wenn Ping geht.. Und die nächste Frage: Geht der Zugriff auf andere Sachen im LAN via VPN (ausser der FB selbst)?

Makki