Fernprogrammierung KNX?

Zum Thema Vpn kann ich das WG empfehlen hab schon einigemale eingesetzt und funzt supi geil

VPN ist doch nicht zwingend nötig. In der Regel reicht doch ein DynDNS Account und eine Portweiterleitung im Router, auf die entsprechende IP-Schnittstelle des Kundennetzwerkes.

Rein aus Sicherheitsgründen benötigt man VPN , damit nicht "jeder mit ETS" mal eben die Anlage programmiert.
Ein temporäres Zu-/Abschalten der IP-Schnittstelle (Spannungsversorgung) für Programmierung nur bei Bedarf würde das Sicherheitsproblem aber schon eingrenzen. Zudem können die Verbindungsports in der ETS für IP frei definiert werden und für jeden Kunden anders sein.

Fernprogrammierung KNX?

Naja eine ip Schnittstelle via spannungsversorgung abschalten würde für mich nicht in Frage kommen. Ich persönlich nehme die paar euros in die Hand mach ne VPN verbindung. Da die Freigabe per Gruppenadresse erfolgen könnte kann man die User nach belieben von der Visu aus freischalten ganz wie es dem Kunden beliebt. Damit hat der Kunde es in der Hand wann wer rein darf und wann nicht

@eib-tech
mit einer Gruppenadresse freischalten geht meines wissens ja nur bei dem iets client des Homeserver. Bei Anlagen ohne, nur mit IP-Schnittstelle und PC-Visu ist dies glaub nicht möglich, da die IP-Schnittstellen keine Sperrobjekte haben oder Logindaten erfordern.
Da muss ich mir doch mal die KNXnet Applikationen laden und nochmal nachsehen :-)

Bei der Variante kommen zum VPN-Router ja dann noch ein paar Euro mehr zusammen für den Homeserver.

Nene das hat mit dem HS nix zu tun, das macht der VPN Server direkt

Ist in meinen Augen eine geniale Lösung, da du den kompletten VPN Zugang via Gruppenadressen schalten kannst.....

Ebenfalls ist es möglich, eine GA zu setzen, wenn die Setion geöffnet ist und eine 0 zu setzen wenn die Setion wieder down ist

Desweiteren ist es möglich im iPhone Zertifikate zu hinterlegen, mittels diesen Zertifikaten ist es möglich das iPHone als Art Schlüssel zu verwenden, dh. es kommt nur ein iPhone auf die Visu druff wenn das eindeutige Zertifikat auf dem Gerät vorhanden ist

VPN-Server ?! INTERESSANT..
Ein paar Details mehr wie das funktioniert wären ganz nett.

Apple MAC ? Konvertierung des Befehls vom Bus zum Netzwerk/VPN-Router/Server.
Fragen über fragen, wo kann man da mal hinsurfen zum Anschauen ?

genau das wollte ich erreichen, dass du neugirig wirst

Ich denke mal Mr. WG wird dir darauf gute Antworten liefern können

Im übrigen nutze ich gerade dieses WG um von Florida aus über meinen Festnetzaschluss in Adechs mittels X-lite kostenlos in deutsche Festnetz telefonieren zu können

W-Lan for free, deutschland Festznetzflat was will man mehr

Mr. WG ? --> Mr. WireGate ?

Mensch,wir sind doch hier nicht bei der BW, wo absoluter Abkürzungswahn herrscht.

ups sorry ich dachte war klar, dass das nur das Wiregate sein kann

Doch ohne VPN

Also, würde es auch doch ohne VPN gehen, mit Port weiterleitung ?
Welche von den IP Verbindungen soll ich den nehmen ?
(siehe Bild) in der ETS 3 ?

Das kommt ganz auf die verwendete IP-Schnittstelle an. Aktuell ist KNXnet IP/IP Routing je nachdem ob man eine IP-Schnittstelle oder eine Router IP-Schnittstelle ansprechen will.
IP (EIBlib/IP) ist schon etwas älter und wird z.B vom eibPort von Bab-Tec als Protokoll neben KNXnet unterstützt. Der Homeserver kommt glaub auch mit diesem Protokoll klar. Hatte schon länger keinen HS mehr in den Fingern, aber in der Version 2 war dieses Protokoll mit dabei.

Ja, es geht auch ohne VPN mit jeder IP-Schnittstelle die tunneling kann.
Wenn man das Märchen glaubt, das dynamische IP's und verschiedene Ports die Zugriffs-Sicherheit in irgendeiner Weise erhöhen..
Das ist Harakiri!
Aber bitte: KNXnet/IP (Tunneling) anwählen, NAT-Modus aktivieren - nur ab 3.0f AFAIK, Port 3671/UDP weiterleiten und schon können alle Programmieren, BCU's (für immer!) zerschiessen etc.pp.


Mit KNXnet/IP Routing dagegen ohne VPN 100% nicht! iETS (EIBlib/IP ist wieder ganz was anderes, auch das geht - völlig sicherheitsfrei aber dazu braucht man eben einen eibport, HS, ..

Und nebenbei, was Helmut meinte: im WireGate ein "kleiner" VPN-Server drin mit dem man einfach und bombensicher einen Fernzugriff realisieren kann; mit X.509-Zertifikaten und allem was zu einem sicheren VPN so dazugehört.. Per Gruppenadresse an&abschaltbar.
Und für Sonderwünsche geht gegen Aufwand auch noch mehr Aber ich will mal den Thread nicht kapern, daher das dann lieber sep.

Makki

Harakiri trifft den Nagel schon auf den Kopf. Halt schon traurig das es die Hersteller bisher nicht geschafft haben ihre Schnittstellen mit Zugriffsschutz auszustatten, bzw. das neue KNXnet-Protokoll nichts dergleichen vor sieht. Wer hat da nur wieder geschlafen in der Entwicklungsabteilung.
Das Wiregate ist wirklich ein tolles Gerät, sollten wir demnächst auch mal verbauen. Schade nur das man noch eine separate Busschnittstelle benötigt.

Wenn du einen IP Router im Netzwerk hast, brauchst du keine weitere Schnittstelle mehr......

Naja, das gibt "der Standard" nicht her. Punkt, Aus, Ende (Zumindest "ernsthaft").. Wir sind seit kurzem ja nun nominell auch "Hersteller" also muss ich mir die Kritik besonders zu Herzen nehmen
In diversen Postings von mir ist glaube ich auch mehr als deutlich nachzulesen, was ich davon im Kern halte.. Ist trotzdem hier und heute so.

Aber wenn man mal eine Treppenstufe höher steigt ist es so: KNXnet/IP ist für geschützte Umgebungen gemacht. Security fehlt da schon im Ansatz, aber bei aller Kritik, (ich hab da - aus der IP&Netzwerkwelt kommend - auch "ein paar Tage" gebraucht das einzusehen) daher sollte man dafür eben - durchaus nicht unsinnig - bestehendes bemühen; es gibt im (W)LAN ggfs. 802.1X, im WAN VPN mit IPSec, OpenVPN, HTTPS/SSL etc.pp.
So what?

Man muss es nur richtig zusammensetzen. Das es einem bei manchem der KNX-Specs (ich lese in diesem Moment Vol8 System conformance testing) als ITler die Magengrube leicht hebt, nun das ist so. Das es möglich wäre BCU's/BIMs zu plätten vermutete ich ja schon länger, jetzt weiss ich es sicher..

Jedenfalls, durchschalten ist Harakiri, definitiv, aber es gibt genug einfache und verbreitete Mechanismen aus der Männer-Netzwerkwelt um das Problem zu lösen Da muss die GA einfach nur mit der bewährten Netzwerktechnik reden.

Das Problem ist, der KNX-Mensch hat von 802.1X,VPNs etc. vermutlich - ohne jemanden abwerten zu wollen - regelmässsig eher weniger Ahnung und der IP-Mensch hält ein sicherheitsfreies KNXnet/IP halt für nen schlechten Witz (zurecht, aber meis ohne die Komplexität der GA zu verstehen, ich denke ich kann die Empfindungslage da mittlerweile ganz gut nachvollziehen)

Nun, das ist dem Preis und dem Aufwand geschuldet Ich habe selbst zig TP-UART gebaut und sogar eine Anleitung hier zum selberbau veröffentlicht aber kommerziell interessant ist das halt kaum..
Will man für das Gerät 100 EUR mehr bezahlen oder lieber die Flexibilität haben fast jede vorhandene Schnittstelle daran weiter zu nutzen ?
Dafür bekommt man aber auch was, eine IP-Schnittstelle (Hinweis wie immer: inoffiziell, unsupported), eine ordentliche API dank eibd, sauberen vollgasfesten Buszugriff mit TP-UART für egal was..
(will heissen: von FT1.2 bis USB ist eigentlich Schrott, wenn auch offiziell supportet, das einzige womit man nicht nur reagieren sondern aktiv agieren kann ist die TP-UART - deswegen ist die vermutlich auch bei fast allen modernen KNX-Produkten (oder FZE1066 wenn Strom benötigt wird) verbaut bis es hoffentlich bald hoffentlich möglichst viele Alternativen gibt.
Aber keine Angst, unser nächstes KNX-Produkt wird vermutlich ein "echtes KNX" sein Die Flexibilität und mögliche Funktionsvielfalt eines Wiregate ist damit aber halt nicht ansatzweise drin..

Makki