Hallo und guten Morgen Marc,

sehr gute und wichtige Fragen, die ich Dir gerne beantworten möchte.

Da in diesem Thread mit Sicherheit auch viele andere mitlesen, möchte ich die Gelegenheit nutzen und ein paar Anmerkungen hinzufügen um das ein oder andere Missverständnis anzusprechen. Nur der Vollständigkeit halber, diese Anmerkungen richten sich nicht gegen Dich sondern spiegeln die ein oder andere Erfahrung wieder.


Richtig, das WireGate Multifunktionsgateway ist so etwas wie ein Schweizer Taschenmesser für das Smart Home. Neben den Kernfunktionen "1-Wire Sensornetzwerke nach KNX abzubilden", "NTP-Zeitgeber für KNX", "freiprogrammierbare Plugins" gibt es zig Möglichkeiten und Funktionalitäten, die nur ein offenes, von jedem Besitzer "rootbares" System bieten kann.


Oh ja, es ist für alle Beteiligten eine große Erleichterung bei schwierigen Supportfällen, wenn man dabei auf das System schauen kann.

Anmerkung: Allerdings bedeutet das nicht - wie manche meinen - dass wir in jedem Falle dazu verpflichtet sind das auch zu tun und jeden Fehler von Hand heraussuchen müssen.

Ich sage das deshalb, weil der ein oder andere Nutzer macht es sich gerne einfach. Anstatt selbst nach Zusammenhängen oder eigenen Fehlern zu suchen und eine ordentliche Fehlerbeschreibung abzuliefern bekommen wir durchaus ab und an eine eMail mit "Irgendwas geht da nicht, schaut doch mal drauf". Das ist nicht Zweck des Wartungs-VPNs.

Zweck ist die Suche bei sehr hartnäckigen und sehr schwierigen Problemen bei denen der begründete Verdacht besteht, dass wir als Hersteller einen Bug in der Software vergessen haben. Unser Support hat NICHT die Aufgabe, die Fehler des Kunden in seiner Anlage zu suchen. Das wird gerne verwechselt - auch weil wir da früher über alle Maßen geholfen haben. Nur ist das nicht bezahlbar.


Das Wartungs-VPN wird von Deinem WireGate Multifunktionsgateway zu einem entsprechenden VPN-Server in unserem Rechenzentrum aufgebaut. Das musst Du jeweils von Hand bewirken, es ist im Auslieferzustand abgeschaltet.

Edit: Um das unmissverständlich zu verdeutlichen: Der KUNDE baut SELBST von INNEN zu uns ein Wartungs-VPN auf, dass wir DANN und nur DANN benutzen können. Der Kunde hat die ALLEINIGE Kontrolle über die Etablierung des Wartungs-VPNs. Wir können das NICHT beeinflussen! Damit er das nicht übersieht steht dies auch auf der EINSTIEGSSEITE der Admin-Oberfläche des WG! Diesen Mechanismus kann er auch über eine GA steuern.

Das IP-Routing (von uns aus gesehen) reicht NUR von unserem VPN-Server zu Deinem WireGate Multifunktionsgateway. Wir können keine Datenpakete von unserem Server aus in Dein Netz schicken.

Allerdings wäre es denkbar (das gilt gleichermaßen für ähnliche Produkte), dass wir uns per SSH auf Deinem WireGate einloggen und von dort lokal alles erreichen, was es dort in Deinem Netz gibt, also z.B. könnte man eine weitere SSH-Konsole z.B. einer Fritzbox öffnen [Edit: Selbstverständlich auch nur dann, sofern wir Konto und Passwort dafür hätten]. Das ist aber kein Fehler des VPN sondern eine natürliche Folge (wenn ich jemandem einen Schlüssel zu meinem Haus gebe, dann kann er von dort auch in den Garten und von dort dem anderen Nachbarn durch die Fenster sehen. Daran ist aber nicht der Schlüssel schuld). Selbstverständlich tun wir das nicht.


Korrekt, wir benutzen üblicherweise das Konto 'user' oder 'root' so wie es ausgeliefert wurde. Hat der Kunde den Zugang geändert, haben wir noch als Fallback den Benutzer 'elabnet'. Funktioniert dieser auch nicht, etwa weil der Kunde das geändert hat, dann können wir uns auch nicht einloggen.

Selbstverständlich steht das WireGate Multifunktionsgateway im Eigentum des jeweiligen Besitzers und jeder darf damit machen was er will, auch die Konten ändern.

Anmerkung: Wir laufen allerdings dem Kunden dann auch nicht hinterher. Wenn ein Kunde - was sein Recht ist - die Konten verändert und vergisst uns das zu sagen und wir haben es umsonst versucht, dann ist mit dem Versuch unsere Bereitschaft per VPN zu helfen auch erloschen. Wir haben schlicht nicht die Zeit - oder anders ausgedrückt: Die Kunden bezahlen uns nicht den Aufwand - nach Passwörtern zu fragen, ggfls. auch mehrmals.

Wir haben gerade aktuell so einen Fall: Der Kunde möchte ein Problem gelöst haben, wir kommen mit den uns bekannten Konten nicht drauf. Ärgerlich. Rückmeldung an den Kunden, dass es nicht funktioniert und wir ein Konto nebst PW benötigen. Antwort des Kunden: Habe nichts verändert, probiert nochmal. Als ob wir zu blöde wären... Ich will das nur anmerken bei der Gelegenheit und um Verständnis bitten, wir machen das absolut freiwillig und aus Kulanz aber der Kunde darf auch mithelfen. Wer sich gemütlich in den Sessel legen will "die Jungs machen das schon" dem wird nicht geholfen, wir wollen ein Mindestmaß von Anstrengungsbereitschaft sehen, wenn wir den Kunden bei SEINEN Problem unterstützen sollen.


Es gibt keine hundertprozentige Sicherheit. Gestern stand auf Heise, dass eine Hackergruppe sogar die Firmware von Festplatten hackt, da ist man als Hersteller ziemlich machtlos, wenn man eine solchermaßen gehackte Platte kauft und verbaut.

Wir sind von unseren Wurzeln her ein IT Sicherheitsunternehmen und haben daher auch in die Sicherheitsmechanismen des Wiregate Multifunktionsgateways eine Menge Details einfließen lassen. Jedes WG berechnet z.B. seinen eigenen Schlüsselsatz erst beim Kunden (die beste Datensicherheit ist die Datenvermeidung, was wir nicht haben [hier die Schlüssel], können wir auch nicht verlieren).

Aber das WG ist insgesamt entsprechend der Umgebung in der es betrieben wird ausgelegt. 1-Wire und KNX beinhalten (vom kommenden KNX Secure abgesehen) keinerlei Sicherheitsfunktionen. Es gibt keine sichere Authentifizierung der KNX- oder 1-Wire Devices untereinander. Entsprechend haben wir es auch nicht mit dem WireGate übertrieben und manche Ports sind daher auch offen oder leicht nutzbar.

D.h.: Wir raten grundsätzlich dazu, solche Geräte wie das Wiregate Multifunktionsgateways (und das gilt genauso für jedes andere Gerät dass einen Ethernet-Port hat und "irgendwas" mit Smart Home tut) in einem eigenen VLAN zu betreiben, das per FW von anderen VLANs soweit möglich abgeschottet ist und nur begrenzten Zugang zum / vom Internet hat.

Ein dauerhaft offenes Wartungs-VPN ist sicher nicht die größte Sicherheitslücke, aber weder sinnvoll noch nötig. Man kann übrigens, das ist seit 2009 bereits implementiert, die Aktivierung des Wartungs-VPNs auch auf eine GA legen und damit auch über einen Schalter an der Wand, eine Visu oder was auch immer aktivieren, damit müsste man sich nicht auf dem WG selbst anmelden.


lg

Stefan

Hallo Stefan,

vielen Dank für deine ausführliche Antwort!

Da ist der Thread ja gleich noch für Werbezwecke mißbraucht worden.

Grüße
Marc

Ich bitte um Verständnis. Wir schalten bisher keine Werbung und sparen uns teure Messestände - um damit die Preise der Produkte gering zu halten. D.h. wir unternehmen den Versuch, nur von Mundpropaganda und ein bisschen Aufmerksamkeit im Forum zu leben.

Leider sind die heiligen Forengesetze wie bei der Presse eher so, dass nur schlechte Nachrichten guten Nachrichten sind und daher nur bei (vermeintlichen) Problemen ein Thread geöffnet wird.

Seit dem wir die Softwareversion 1.2 bereitstellen (mit hunderten kleinen und größeren Bugfixes) gibt es kaum Probleme und damit wenig Threads...

Lob gilt nur im geringen Maß als erwähnenswert, einen eigener Thread mit positiven Geschichten und Berichten findet man nur alle Jahre mal.

Daher nutze ich jeden kleinen Thread ggfls. für eine kleine "Werbeeinblendung".

Ich hoffe, Du verzeihst mir

lg

Stefan

Das war natürlich nur scherzhaft gemeint!

Schönen Abend!

Marc

Hoi

Das WG ist ziemlich Robust. Es verträgt einiges an "erweiterter Nutzung".
Man sollte nur genau wissen was man tut und ebenso genau dokumentieren... seufz

Danke Bodo, freut mich, dass Du Dein WG wieder hinbekommen hast.

Doku ist wichtig, vorher zu sichern noch mehr! Wir haben übrigens in die neue Version eine verbesserte und automatisches Backup der Konfig-Dateien eingebaut (unter globale Optionen).

lg

Stefan

Hoi

Ja hab' ich gesehen, seeehr sinnvoll!!!

Guten Abend,

da hake ich gerade mal nach.

Mir ist nicht ganz klar, was der Unterschied zwischen den zwei GAs sein soll.

Die erste ist für das angesprochene Wartungs-VPN und das zweite ist um den Fernzugang zum eingebauten VPN zu erlauben oder nicht.

Stimmt das so?

Wird der nachträglich installierte PPTP, siehe hier davon auch betroffen?

VG!

Dann braucht man aber schon ein sehr großes Vertrauen zu euch.
Ich hätte da echt gewaltige Bauchschmerzen dass Ihr jederzeit auf Fritzbox und Co draufkommen könntet....


Gibt es die Möglichkeit jeden Remotezugriff zu protokollieren ?
Als ganz einfache Lösung nur eine "Status GA" und als erweiterter Log was ihr genau gemacht habt ?

Sprich ihr macht einen Remoteaccess und sofort erhält der WireGate Kunde eine Mail vom Wiregate "Zugriff" erfolgt und nach der Session eine Logdatei in form einer Textdatei in der alles protokolliert wurde ?

Das ist ein guter Hinweis! Werde ich auch nachher mal ausprobieren. Ich hatte "früher" auch ab und an Probleme mit dem Backup der WG-Configs...

PS: ich liebe übrigens das WG für seine Stabilität, Flexibilität und Supports hier im Forum (durch User & Hersteller!). Vielleicht sollten wir als Werbemaßnahme mal einen Thread starten nach dem Motto "Welche Aufgaben erfüllt mein WG"?

Nein.

• Von "jederzeit" kann nicht die Rede sein. Niemand muss das Wartungs-VPN zu uns öffnen, das steht unter der alleinigen Kontrolle des Anwenders.
• Meine Anmerkung zum "draufkommen" auf Fritzbox und Co waren rein theoretischer Natur: Wir haben gar nicht die Konto und Passwörter der Devices der Kunden.
• Dagegen ist eine jede Fritzbox von außen permanent von 4 Milliarden Hosts erreichbar und es finden deshalb pro Tag mindestens 20.000 Scans der öffentlichen IP einer jeden Fritzbox (oder eines jeden anderen Systems mit direktem Zugang vom Internet) mit überwiegend schlechten Absichten statt, das ist deutlich gefährlicher.

Nein. Das WireGate Multifunktionsgateway ist offen und jeder darf das gerne implementieren. Wer Sorgen hat, läßt das Wartungs-VPN einfach zu oder deinstalliert den VPN-Dienst.

Im Gegensatz zu JEDEM ANDEREN mir bekannten kommerziellen Produkt für das Smart Home gibt es beim WireGate Multifunktionsgateway einen komplett offenen und freien Root-Zugang mit ALLEN Rechten und die Software ist zu 99,99 % Open Source. Damit kann jeder Kunde diese Dinge überprüfen und Änderungen vornehmen.
Diese ganz erhebliche Tatsache für Freiheit und Unabhängigkeit vom Hersteller wird in den allermeisten Vergleichen "welchen Smarthome Server nehme ich" außer acht gelassen. Ein großer Teil läßt sich von Visu-Bildern blenden.


Wir machen keinen Remote-Access, sondern der Kunde baut ein Wartungs-VPN von sich zu uns auf, dass wir dann für Fehlersuche nutzen dürfen.

Anmerkung: Am Anfang der Entwicklung des WG vor sechs Jahren war das Wartungs-VPN noch ziemlich wichtig für uns, weil das Produkt noch Fehler hatte die sich so am leichtesten finden ließen.

Mittlerweile könnten wir auch gut auf das Wartungs-VPN verzichten, weil wir kaum noch nach unseren eigenen Fehlern damit suchen. Wer es nicht haben möchte, soll es einfach deinstallieren.


Nein, das gibt es nicht und wird es auch nicht geben

Zum einen ist es technisch kaum möglich und wäre zum anderen ohnehin (rein theoretisch) manipulierbar. Wenn man einen Elektriker / Integrator mit seinem Notebook ins Haus läßt um den KNX zu parametrisieren bekommt man auch kein solches Log.

In sechs Jahren haben tausende von Kunden (Du bist sicherlich keiner) keine solche Forderung aufgestellt. Wer kein Vertrauen hat, läßt das Wartungs-VPN einfach aus, die anderen vertrauen uns. Es geht hier auch nicht mehr um technische Aspekte.

Es gilt die allgemeine Regel: Trust the Admins.

Wer das nicht kann, muss - und darf - gerne alles ganz alleine tun.

D.h. wenn ich die Passwörter ändere, muss ich euch diese dann im Support-Fall geben, sonst könnt ihr euch nicht verbinden?



Ist zwar Offtopic:

Reines Interesse - wie viele WireGates sind denn eigentlich schon im Umlauf?
Wäre für mich interessant, da ich auf ein Gerät für die nächsten Jahre setzen möchte.
Wenn du keine Zahlen veröffentlichen willst, ist das natürlich auch in Ordnung!

Grüße
Marc

Hallo
Backups unter Global kannte ich noch nicht.
Habe bislang immer unter Webmin Sicherung der Konfig Daten Backups auf meiner USB-SSD erstellt.
Nun habe ich gesehen das seit dem 12.02.2015 um 01:00 jede Nacht Backups auf dem WG unter /var/backup erstellt werden.
"wgdata_wiregate1179_2015-02-20_01-00.tar.gz" ca 12kB.
Habe aber unter Globale Einstellungen nichts gefunden wo das eingestellt ist.
Wie und wo kann ich das so einstellen das diese Backups auf meine USB-SSD gehen?
Was wird da alles gesichert?
Gruß NetFritz

Hallo,

ich will diesen Thread nicht kapern. StefanW hat folgenden Satz angebracht:
Zudem wird hier parallel mehrfach von der Fritz-Box gesprochen.
Die "Fritze" hat m.W.n ggf nur mit Freetz die Möglichkeit als Firewall für VLAN's zu dienen, oder liege ich da falsch?
Falls ich da falsch liege, wäre ein Link zu weiteren Infos spitze - ich hätte da Bedarf mich weiterzubilden.

Danke Alex