Und deshalb das mit der Freigabe des Zugriffs per Gruppenadresse.
Einfach einen Button auf die ServiceSeite der Visu gelegt und die Dame des Hauses kann es freischalten.

Es darf aber natürlich auch jeder der Dame erklären: Bitte Fritz.Box in die Adresse eingeben, dann Ihr Passwort für die Fritzbox eingeben, dann auf....

Moin Volker,

schön zusammengefasst und auf den Punkt gebracht. Die ENA ist nicht für den Bastelfreudigen Heimwerker gedacht sondern für den SI der Schnell und sicher Zugriff braucht.

Wer sich keine ENA hinhängen möchte, kann ja seinen EibPC nehmen, der hat ja auch die Möglichkeit ein VPN aufzubauen. Nur eben nicht in dem Umfang und im Komfort wie die ENA.

Gruß,
Bernd

Jungs, Jungs, ich kapier ja nicht warum hier die Wogen so unnötig hochschlagen.

Keiner braucht die ENA zu kaufen dem sie nicht gefällt. Ich bin nur Bauherr und ich hab mein VPN auch selbst im Griff. Muss ich deshalb eine Lösung die ich nicht brauche (oder nicht kapiere :-) seitenlange doof reden?

Aber wenn der Eli kontrolliert aufs Haus zugreifen soll - was er ja bei den Profis hier eh nicht dürfen wird/braucht - dann ist die ENA eine gute Lösung. Sowohl für den Eli als auch für den Kunden der zB über die Visu oder einen Taster das VPN aktiviert solange der Eli (der eben vorher kurz anruft) auf den Bus oder HS etc. kommen soll.
Und der Kunde kann es auch noch für andere Dinge nutzen wenn er von außen zugreifen möchte.

Der wirkliche Mist ist doch dort wo der Kunde sich nicht auskennt, ihm ein Bekannter-Profi, der Eli, sonstwer ein paar Ports aufmacht oder selbst ein VPN einrichtet. Das bleibt dann ewig im Zugriff von außen da der Kunde gar nicht weiss was da passiert und der Eli eine einfache Lösung sucht/braucht.
Mir ist klar das dies jenen die hier mosern egal ist, aber wenn ich mir ansehe was die ENA kann, adressiert sie u.a. dieses Problem.

Ich will vielleicht auch keinen Cisco Switch geschenkt, muss ich das deshalb in jedes Switch Forum schreiben? Ist Euch so langweilig?

Wäre nett wenn das wieder auf einem konstruktiven Level landet und hier ums Produkt/Lösung diskutiert wird. Mich würden zB ein paar Screenshots interessieren und mehr Hintergrund zu den Security Aspekten die hier schon aufkamen.

Merci Sepp

PS zum VPN on Demand (ja nur eine der ENA Funktionen, gefällt mir aber auch da ich meiner Frau heute nicht beibringen kann das sie erst das VPN starten muss bevor sie in die App kommt ...):
An die Spezialisten hier, nennt mir doch mal eine Lösung für mich zu Hause mit der ich vom iPhone (ohne Jailbreak) aus meine Visu starte (in meinem Fall IPS wo ich über Safari eben auf eine interne IP-Adresse will, zB. 192.178.2.22:82) und dann im Hintergrund das VPN öffnet und ich direkt arbeiten kann.
Fritzbox vorhanden, Wiregate, Win7 Rechner. Aber ich kenn mich nicht mit Linux aus, kann scripten aber nicht programmieren und brauch keine Lösung die ich mir tagelang im Web zusammen suchen muss. Hätte gerne was out of the box und nix gefrickeltes wo ich nicht nachvollziehen kann wer sich da welche Backdoors eingebaut hat (die ich nur nicht finde weil ohne Ahnung). Aber bitte nicht in diesem Thread, macht einen neuen auf und stellt hier den Link rein. Das wär supa!

Hmm abgesehen von der Aufforderung einen Thread aufzumachen um Dir auf eine Frage hier zu antworten und dann einen Link dahin hier zu posten

Also mit dem Iphone Configuration Utility kannst du für openVPN (evtl wiregate) das auch machen. Wenn deine Internetverbindung zu Hause nicht zu klein ist und du/deine Frau nicht ewig Videos über LTE auf Handy guckt, kannst du auch openVPN auf seamless einstellen und jeglichen Traffic über das VPN schicken. Das schützt dich dann auch zusätzlich wenn du zum Beispiel von unterwegs mal ein anderes WLAN nutzt.

bzgl Kritik.
Ich finde Kritik im Vorfeld immer wichtig, da man so alles vorher bewerten/verbessern etc kann, als wenn man das einfach als Supersicheres Teil hinstellt und nachher dann weint wenn was gehackt wurde.
Ich war bis vorhin (aufrgund des Namens) auch davon ausgegangen das es sich dabei um eine Firewall handelt die diese Features mitbringt.

Hi Nils,

ich will das mit der Alternative, weil nun OT, nicht vertiefen, aber ich hab jetzt sofort mindestens 3 Fragen zu Deinem Vorschlag um das für mich auch so "bauen" zu können. Und das soll dann die Lösung sein die man dem nicht-IT-Bauherrn empfiehlt? Schon lustig.

Sprengt aber den Rahmen hier, deshalb neuer Thread wäre besser. Hier gehts ja um den ENA und nicht welche Alternativen Lösungen, die man sich zusammen basteln kann, es gibt. Als Alternative Lösungen würde mich nur andere Out-of-The-Box Lösungen interessieren die ähnliche Funktionen bieten, dazu kam aber hier noch nix.

Von konstruktiver Kritik am ENA hab ich auch wenig gelesen, eher sinngemäss "das braucht keiner" und "wofür das" und eine Menge "ich kapiers nicht". Hat ja schon fast Troll-Charakter.

Das Teil hat offensichtlich seine Berechtigung. Bleiben die offenen Fragen wie das securitymässig gelöst ist, denn das gehört hierher und sind die Fragen die der Endkunde wissen sollte. Um es mir morgen zu bestellen (oder beim empfehlenden Eli zu beauftragen) hab ich noch nicht das Gefühl schon alles Nötige zu wissen (dafür eine Menge unnötiges).

Merci Sepp

Also selbst unkonstruktive Kritik ist in einem Thread, der ein Produkt ankündigt (was soll sonst kommen nur Lobgesang?), weniger OT als Kritik an der Kritik zu üben.

Ebenso wie eine "Frage mit Verweis auf die OT Antwort".

Der Thread schreit doch gerade danach Pro und Contra kund zu tun.

Und der Thread soll auch niemandem nachher gefallen (ausser den Forenmods bzgl Regeln), die Infos sind bereits im ersten Post sodass nachher auch keine 111 Seiten durchlesen muss. Da gibt es auch kein Trollgeschrei, denn das ist weit mehr OT.

So, musste mal gesagt werden.

und nu <-- oh no wer hat das b_prost icon geklaut

Eben - du hast den Komfort, der Kunde zahlt dafuer 600EUR und muss dafuer ein Loch in seine Firewall bohren!

Das ist doch ein absolutes no-Go! Erklaert ihr euren Kunden das?!

Steht ihr fuer evtl. entstehende Schaeden beim Kunden gerade, da der vielleicht brav seine FB gepatcht hat, aber es fuer den ENA halt noch keinen Patch gab, oder den keiner eingespielt hat (wer ist eigentlich fuer die Wartung, z.B. Einspielen von Patches zustaendig) und dann Dank 0-Day beispielsweise Kundendaten abhanden gekommen sind?!

Selbstverstaendlich hat der ENA auch Massnahmen eingebaut, damit die hier oft kolportierte Ehefrau auch nicht vergisst, den Tunnel wieder abzuschalten, richtig? Oder loest man das dann mit einer kleinen Logik (die selbstverstaendlich viel weniger Aufwand zu macht, als in 'ner FB einen VPN-Zugriff einzurichten (hat das eigentlich mal einer von euch gemacht? Dauert so ca. 1min, inkl. anlegen eines entsprechend eingeschraenkten Kontos fuer den Eli...!).

Und fuer was?

Und das ist problematischer, als dass der "Bekannte-Profi", Eli oder sonstwer den Port fuer den ENA aufmacht und dort ein VPN einrichtet?

Und wodurch? Durch die Zuweisung einer GA und der Annahme, dass ein Hausherr zwar niemals daran denken wird, das Haeckchen bei "VPN" in der Fritzbox wieder wegnzunehmen, aber immer daran denken wird, nochmal auf den Schalter "VPN gesperrt" zu druecken?

Hier wird das Produkt diskutiert. Und bisher fand ich das auch konstruktiv - aber inzwischen kommt auf jede Frage nur "ENA ist aber toll und wenn du's nicht einsiehst, dann ist das Teil halt nichts fuer dich". Das soll konstruktiv sein?

Das ist das aber gar keine ENA Funktion, sondern eine der App bzw. von iOS ("VPN per App")!

1. Entsprechendes Profil erstellen, z.B. mit dem Apple Configurator
2. OpenVPN installieren (statt des Cisco-Clients den Apple serienmaessig mitliefert) - genau wie bei der Android-Loesung (Anfang des threads)

Sehe ich ähnlich. Wäre eine tolle Sache wenn es ein Reverse-VPN für den SI gäbe... Kunde drückt in der Visu einen Knopf, und die Kiste baut von innen (vom Kunden) nach außen (zum Server des SI) eine VPN Verbindung auf und der SI kann sich über den aufgebauten VPN-Tunnel einloggen.

In der Verbindungsrichtung muss nicht der SI dem Kunden trauen, sondern der Kunde dem SI. Macht so herum auch mehr Sinn. Denn der Kunde will ja was vom SI (Fehlerbehebung, Analyse, Erweiterung...) und nicht umgekehrt.

Jedem das seine...

Das muesste sich doch eigentlich realisieren lassen, wenn sich der SI/Eli einen ENA installiert?!

Das wäre auch meine Traumfunktion!

Denn damit ließe sich die ENA in beliebige Anlagen einsetzen und von Außen kommt man ohne NAT drauf. In Firmenanlagen ist das immer wieder ein Problem mit den offenen Port. Ist eine Grundhaltung.

Hier sehe ich im ISE Modul den einzigen Vorteil.

Gut DiMa,

ich halte fest, Du hast Recht mit Deiner Einschätzung.

Jeder der den Dr. in Physik hat und programmieren kann (oder vergleichbare Fähigkeiten) hat mit Deiner Lösung (deren Umsetzung im Detail noch aussteht) die Lösung und die anderen für die das nicht zutrifft haben halt Pech gehabt weil das ENA eben nichts taugt da es ja nur ein paar GAs für VPN ein und aus anbietet und 600 Euro kostet.

Mal wieder weg von der Polemik.

VPN einrichten, Du schreibst: "entsprechend eingeschraenkten Kontos fuer den Eli":
Ich schaff schon ein VPN einzurichten, läuft an meiner FB auch seit 2 Jahren. Aber ich weiss zB nicht wie ich in der FB bzw. deren Tools den Zugriff für den Eli dann zB genau nur auf ein paar Komponenten einrichten kann oder das meine Frau den Zugriff selbst ein- und ausschalten kann (ich bin nicht unsterblich und auch nicht so wichtig das mein Haus nur unter meiner Aufsicht funktionieren darf). Ohne zu wissen wie sie grad die FB administriert.

VPN on Demand:
Du bist ja droll-ich für Otto-Normal-Verbraucher auf das iPhone Konfigurationstool zu verweisen. Die Freaks hier mögen das ja hinbekommen, bei mir hörts da leider schon auf, außer ein paar WLAN Settings hab ich da noch nichts bewegt. Hier im Forum können das vlt. 10%, in der freien Wildbahn sicher weit unter 1%%, das soll eine Lösung für einen breiteren Nutzerkreis oder den Eli sein? Fast schon amüsant.

Ich kann nicht erkennen wo Du am Produkt diskutierst, außer sinngemäß "braucht keiner" und "taugt nix" oder "kost 600 Euro für was?".

Investiere Deine Energie doch in einen eigenen Thread und zeig auf wie man eine ENA bzw viel bessere Funktionalität konkret und günstig hinbekommt und wie das für KNX gut anpassbar geht. Deine bisherigen Infos sind nur Stichworte die keinen, der es nicht eh schon kann, in die Lage versetzt sowas für sich zu realisieren. In dem Thread lese ich dann gerne und tatsächlich interessiert mit, um von Euch zu lernen.

Was Du und der eine oder andere aber hier abziehen ist für mich am Thema vorbei und hilft niemandem, außer das alle wissen das ihr die Freaks seid die über den Plempel nur lachen können.

Immer noch guter Hoffnung mehr übers ENA zu lernen um dann besser beurteilen zu können ob es für mich passt. Die letzten 3 Seiten haben da leider wenig zu beigetragen. Aber vlt. bin ich ja der einzigste der sich das zu sagen traut oder alle anderen finden das super hilfreich von Dir und Co. Dann halt ich eben den Mund.

cheers Sepp

hab ich nirgends gesagt, meine Kritik betrifft closed Source SSL Implementationen.
Und die war ja auch nicht an dich oder sonstige Nutzer der ENA gerichtet. ABER bei einem Sicherheitssystem darf die einfache Bedieninung NIEMALS der Sicherheit übergeordnet sein. Die SSL Bugs wie Heartbleed und Poodle mögen ja vielleicht an dir vorbei gegangen sein - in kurz ... ohne SSL wäre da sicherer als mit.

Danke nein, ich denke ich habe hier auch so schon genügend Projekte für andere angefangen.

Wenn es DICH interessiert, kannst du ja einen Thread aufmachen und fragen, dann wird man dir sicher auch antworten und es erklären.

zum Rest .....

Ach DU bist DiMa ... ok ...
Deshalb nur so viel: Heartbleed und Poodle sind mir bekannt. Und Dein Hinweis für Tests etc. passt ja auch.
Aber wie gesagt, Du warst nicht angeschrieben.

cheers
Sepp

Aber nur, wenn die ENA beim Kunden dann als VPN-Client auftreten kann und sich als Zusatz noch per GA verbinden/trennen lässt.

Wenn ein VPN-Tunnel ein Problem ist macht es keinen Unterschied ob er von außen- oder von innen initiiert wird.
Wenn sich ein Admin weigert, einen Port zu deinem KNX-Device weiterzuleiten wird er dem KNX-Device auch untersagen einen VPN-Tunnel zu aufzubauen.