Ankündigung

Einklappen
Keine Ankündigung bisher.

Fernzugriff auf KNX (ETS5)

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
    #1

    Fernzugriff auf KNX (ETS5)

    Guten Tag Zusammen,

    Bitte um Eure werte Hilfe:
    Ich möchte aus der Ferne auf meine ETS zugreifen können. Im Moment hängt ein IP Router am LAN und dann via Glasfaserrouter am WWW.
    Um einigermaßen sicher sein zu können, das kein Unfug passiert, würde ich euch bitten mir Vorschläge zu machen wie man das am besten realisiert.

    Gira S1 ?
    ise remote access ?
    mdt IP router secure?

    Ich habe etwas gelesen, aber bin mir nicht sicher ob auch anstatt des normalen (gerade verbauten) MDT IP Router (ohne secure) auch ein Tausch auf den Secure IP Router von MDT eine (günstigste) Möglichkeit wäre?
    -> KNX IP Secure und KNX Data Secure (ab ETS 5.7.2)


    Danke und lg
    Christian
    Stichworte: -
    #2
    Man sollte im Glasfaserrouter keinen Port freischalten, sondern eine VPN Verbindung einrichten.
    Bei einem IP Interface mit Secure ist sichergestellt, dass man auf den Bus nur mit dem passenden Schlüssel zugreifen kann. Das hilft auch vor internen Eindringlinge.

    • Likes 1

    Kommentar

      #3
      Danke hjk!

      Heißt das ich kann über die ETS nur mit passendem Schlüssel programmieren ? Auch ohne VPN mit Portweiterleitung, oder trotzdem mit VPN?

      Oder meinst du die "internen" KNX Kommunikation zwischen den Teilnehmern?

      lg

      Kommentar

        #4
        Zitat von Burgerking Beitrag anzeigen
        Ich möchte aus der Ferne auf meine ETS zugreifen können.
        Wie meinst Du das? Willst Du von extern auf einen Rechner im LAN auf dem die ETS läuft zugreifen oder willst Du mit einem Rechner auf dem ETS läuft von extern Dein KNX-System programmieren können?

        Kommentar

          #5
          Es kann dann nur mit dem Schlüssel in der ETS zugegriffen werden. Ist allerdings eine Visu über IP im Einsatz, muss ide Visu das auch unterstützen.
          Mit VPN wird keine Portweiterleitung benötigt, man ist ja dann im internen Netz.
          Ohne VPN wird eine Portweiterleitung benötigt (nicht empfohlen), wäre aber durch IP Secure abgesichert.
          Neben Eindinglinge aus dem Internet gibt es durchaus auch interne Gefahren. Über Geräte, die sich im internen Netzwerk befinden und vielleicht gehackt werden können.
          Durch ein IP Secure Interface ist man da sicher.

          Kommentar

            #6
            Zitat von tomster2 Beitrag anzeigen

            Wie meinst Du das? Willst Du von extern auf einen Rechner im LAN auf dem die ETS läuft zugreifen oder willst Du mit einem Rechner auf dem ETS läuft von extern Dein KNX-System programmieren können?
            Nein, mit einem Notebook (zb. Ausland) auf dem die ETS und das Projekt ist auf die KNX Anlage Zuhause zugreifen.

            lg

            Kommentar

              #7
              Zitat von hjk Beitrag anzeigen
              Ist allerdings eine Visu über IP im Einsatz, muss ide Visu das auch unterstützen.
              Ja IP Symcon. Muss mal schaun ob die das kann..

              Ohne VPN wird eine Portweiterleitung benötigt (nicht empfohlen), wäre aber durch IP Secure abgesichert.
              DANKE. Das wars was ich wissen wollte.

              Durch ein IP Secure Interface ist man da sicher.
              D.h. z.B.:
              Das Tasmota Gerät im WLAN/LAN kann dann nichts mehr im KNX Bereich anrichten?

              Kommentar

                #8
                Nein, mit einem Notebook (zb. Ausland) auf dem die ETS und das Projekt ist auf die KNX Anlage Zuhause zugreifen.
                OK, ist auch der "vernünftigere" Ansatz ;-)

                Ich habe sämtliche "Systemgeräte" (IP Router, Türsprechstelle, Wandtablet, etc.) in ein separates Subnetz gepackt (z.b. 192.168.10.0). Mein WLAN/LAN und das GastWLAN haben jeweils auch eigene Subnetze. Damit (=interne Firewall) federe ich "Angriffe" von innen schon einmal ganz gut ab. Zugriff von außerhalb mache ich - wie auch von hjk vorgeschlagen - über VPN. Secure nutze ich nicht, weil ich meine fhem-Instanz (für's Tablet) damit nicht zum Laufen gebracht habe.

                Ich habe übrigens auch meinen ETS-Dongle nicht am Laptop stecken, sondern zu Hause in einem NAS dessen USB-Port ich über das Netz freigebe. Damit ist die Gefahr den Dongle zu verlieren, ebenfalls stark reduziert ;-)

                Kommentar

                  #9
                  Zitat von tomster2 Beitrag anzeigen
                  Ich habe sämtliche "Systemgeräte" (IP Router, Türsprechstelle, Wandtablet, etc.) in ein separates Subnetz gepackt (z.b. 192.168.10.0). Mein WLAN/LAN und das GastWLAN haben jeweils auch eigene Subnetze.
                  Du meinst ein VLAN ? Damit muss ich mich auch noch beschäftigen...

                  Ich habe übrigens auch meinen ETS-Dongle nicht am Laptop stecken, sondern zu Hause in einem NAS dessen USB-Port ich über das Netz freigebe. Damit ist die Gefahr den Dongle zu verlieren, ebenfalls stark reduziert ;-)
                  Sachen gibt es Tolle Idee!
                  Wie macht man das? Habe 2 Synology NAS...

                  Kommentar

                    #10
                    Zitat von Burgerking Beitrag anzeigen
                    Du meinst ein VLAN ? Damit muss ich mich auch noch beschäftigen...
                    Nein, nicht VLAN, sondern tatsächlich andere IP-Bereiche. Es gibt noch genug Geräte, die mit VLAN nicht umgehen können.
                    Sachen gibt es Tolle Idee!
                    Wie macht man das? Habe 2 Synology NAS...
                    Mein USB-Server (VirtualHere) läuft auf einem QNAP-NAS, aber es sind anscheinend auch für Synolgy (oder auch RasPi) Pakete verfügbar:
                    https://virtualhere.com/nas

                    Nach der Trialphase kostet eine Lizenz zwar inzwischen 49U$, aber mir war es das wert. Ein neuer Dongle kostet - glaube ich 80-100€...
                    Die Lizenz ist aber an das verwendete Server-Gerät gekoppelt und kann nicht transferiert werden!

                    Es gibt aber auch noch andere Anbieter für USB-Server-Software.
                    • Likes 1

                    Kommentar

                      #11
                      Danke!
                      Wie "koppelst" du die verschiedenen IP Adressbereiche? wenn z.b. KNX mit einem Gerät in einem anderen Bereich reden muss?

                      lg

                      Kommentar

                        #12
                        Eigentlich ist mein Ansatz gerade die ENTkoppelung. Die IP-Bereiche dürfen untereinander zunächst gar nicht kommunizieren. Das macht für mich ein Unifi-Controller mit USG, der auch für das WLAN/LAN/VPN zuständig ist und mit wenig Konfigurationsaufwand unterschiedliche Subnetze (samt DHCP-Servern) bereitstellt. Wenn aber bestimmte Geräte doch unbedingt in ein anderes Subnetz zugreifen sollen, dann kann man das über entsprechende Firewallregeln im Unifi-Controller bewerkstelligen.

                        Kommentar

                          #13
                          Ok. Danke für die Erklärung.
                          • Likes 1

                          Kommentar

                            #14
                            Zitat von tomster2 Beitrag anzeigen
                            Die IP-Bereiche dürfen untereinander zunächst gar nicht kommunizieren. Das macht für mich ein Unifi-Controller mit USG, der auch für das WLAN/LAN/VPN zuständig ist und mit wenig Konfigurationsaufwand unterschiedliche Subnetze (samt DHCP-Servern) bereitstellt.
                            Ich kenne den Unifi-Controller nicht - aber lediglich verschiedene Subnetze innerhalb eines Netzwerkes zu definieren (ohne Trennung mittels VLAN) ist doch nur Makulatur. Es müsste ja quasi nur die IP-Adresse am PC oder beliebigen Endgerät gewechselt werden und schon bin ich im jeweiligen Subnetz.

                            Oder Unifi macht unter der Haube doch VLANs - ansonsten würden ja auch mehrere DHCP-Bereiche in einem unsegmentierten Netzwerk irgendwie kollidieren - woher sollte das Endgerät denn wissen, zu welchen Subnetz es denn gehört.

                            Ich kann auf jeden Fall VLANs als Segmentierung sehr empfehlen - den Endgeräten ist das egal, da sie das gar nicht mitbekommen (dürfen!). Nur die Infrastruktur (Switch, Firewall) muss damit klar kommen - und dass kann im Zweifelsfall schon ein billiger 25-Euro Pseudo-Managed Netgear Switch.

                            P.S. In einem der letzten IP-Symcon Youtube Videos war ein Vortrag von Lingg&Janke mit IP-Symcon und Data-Secure - ich schlussfolgere damit, dass das irgendwie gehen sollte ...
                            Zuletzt geändert von KNX1; 07.04.2022, 12:19.

                            Kommentar

                              #15
                              Zitat von Burgerking Beitrag anzeigen
                              Nein, mit einem Notebook auf dem die ETS und das Projekt ist auf die KNX Anlage eines Bekannten zugreifen.
                              ich habe dein Zitat mal etwas abgeändert --> ist das möglich?
                              Ich habe auf meinem Rechner die ETS und das Projekt, der Bekannte hat ein IP-Interface von MDT; kann ich von mir zuhause Änderungen vornehmen?
                              Danke

                              Kommentar

                              Vorherige 1 2 template Weiter
                              Lädt...
                              X

                              Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                              Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                              Ich stimme zu