Ankündigung

Einklappen
Keine Ankündigung bisher.

X1 mit S1 - Wie Netzwerk für Sicherheit einstellen?

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
    #16
    Moin DiMa,

    danke, dass du dich des Themas noch einmal annimmst.

    Zitat von DiMa Beitrag anzeigen
    Da nirgends die Rede von einem Reverse Proxy ist und eine DMZ offensichtlich auch nicht existiert
    nein, beides nicht vorhanden.

    Zitat von DiMa Beitrag anzeigen
    Solltest du sämtlichen HTTP(S) basierten Dienste auf alternative Ports umgeleitet haben und nur diese freigegeben haben oder/und jedem Dienst eine FW vorgeschaltet haben, ist mein Kommentar natürlich gegenstandslos.
    Jedes LAN ist gegenüber allen anderen LANs gesperrt, anbei ein Screenshot einer solchen Regel:

    Bildschirmfoto 2022-05-17 um 16.59.20.png

    Portweiterleitungen nur für eine Synology, thats it. Ich war also eigentlich so vorgegangen, dass ich nicht gezielt einzelne Ports sperre oder einzelne Geräte einschränke, sondern generell alles sperre und nur einzeln freigebe, z.B. darf ein Macbook (Regel basiert auf dessen MAC-Adresse) in ein anderes Netzwerk, sonst darf aber nichts aus dem Netzwerk in ein anderes (siehe Screenshot). Habe ich da was übersehen?

    Kommentar

      #17
      Und es gibt kein Gerät im WLAN, welches Zugriff auf mehr als ein LAN hat, bzw. über eine FW-Regel Zugang auf ein anderes LAN als dass ans WLAN gebundene benötigt? Also z.B. kein Tablet, Smartphone usw. welches mal auf die Kameras guckt?

      Falls doch: Meinen Beitrag lesen, dein letzter Beitrag geht dann komplett am Thema vorbei. Wenn nicht: Meine Beiträge zum Thema WLAN "Bridge" ignorieren, das Problem hast du dann nicht. Ich hatte es dann einfach noch nicht mit einer ausschliesslich über LAN genutzten Smarthome-Infrastruktur zu tun.
      • Likes 1

      Kommentar

        #18
        Ich buddel das mal aus und habe ne Frage.

        Besitze einen X1 und S1, hängt in nem eingenen VLAN.

        Habe noch ein VLAN der Einliegerwohnung, die kommen da nicht dran. Würde gerne denen ne Visu freigeben um diverse Stats zu sehen und zB Zirku zu schalten.

        Wenn ich den X1 pauschal ins VLAN durchgebe, haben die ja auch Zugriff auf die IP Schnittstelle zum KNX. Das möchte ich eig. nicht.

        Theoretisch macht ja dann Sinn einfach nur einen Remote Zugriff über den S1 zu realisieren, sodass man immer "von extern" zugreift? Oder wie würdet ihr das machen?

        Kommentar

          #19
          Und einen eingeschränkten User mit begrenzten Freigaben im X1?
          Gruß Florian

          Kommentar

            #20
            Ja, das geht schon. Aber ich muss den ja ohnehin anlegen, egal ob im lokalen Netzwerk oder S1 per Fernzugriff. Aber sobald ich den X1 in das andere VLAN weiterleite, kann man auch auf den KNX Bus zugreifen. Ich glaube nicht, dass das wirklich gemacht wird, aber sollte nicht möglich sein imho.

            Kommentar

              #21
              Wenn eine Firewall im Spiel ist, könntest Du den Zugriff auf Port UDP 3671 sperren aus dem VLAN der Einliegerwohnung.
              • Likes 1

              Kommentar

                #22
                TCP und UDP - X1 kann beides 😉

                Ist schon eigenartig, dass ein Teil der "Sicherheit" der beworbenen Kombi X1 + S1 wird durch den X1 einfach ausgehebelt.
                Frag mich warum das Ding nicht IP Secure durch ein Firmwareupdate nachgeliefert bekommt - bzw. schon lange bekommen hat.

                Kommentar

                  #23
                  Zitat von meti Beitrag anzeigen
                  IP Secure durch ein Firmwareupdate nachgeliefert bekommt
                  Ich denke, das wird kommen. 2025 wahrscheinlich.

                  Kommentar

                    #24
                    Zitat von DerStandart Beitrag anzeigen
                    Wenn eine Firewall im Spiel ist, könntest Du den Zugriff auf Port UDP 3671 sperren aus dem VLAN der Einliegerwohnung.
                    Falls nicht anders machbar, könnte man bei Vorhandensein eines Layer-3-Switches auch auf physischer Port-Ebene den UDP-Port 3671 sperren.

                    Kommentar

                      #25
                      Dann kannst du selber aber auch nicht mehr drauf zugreifen, oder? ZB mit ETS.
                      Wie funktioniert eigentlich die GPA-Programmierung - über 3671 oder benutzt die einen anderen Port?

                      Kommentar

                        #26
                        Hab ne UDM im Rack, ich werde es testen. Danke!

                        Kommentar

                          #27
                          Es soll ja nur aus dem VLAN der ELW ein Zugriff blockiert werden.

                          Kommentar

                            #28
                            Zitat von DerStandart Beitrag anzeigen
                            könntest Du den Zugriff auf Port UDP 3671 sperren
                            Zitat von meti Beitrag anzeigen
                            TCP und UDP - X1 kann beides 😉


                            Hi Leute, muss das noch mal aufgreifen. Heißt ich könnte den Port 3671 sperren und dann kann man zwar mit der App auf die Visu zugreifen, aber nicht per ETS auf die KNX Schnittstelle bzw. auf die Internetseite?

                            Kommentar

                              #29
                              Der interne Webserver wird auch nicht auf 3671 lauschen. Nur Knx.
                              • Likes 1

                              Kommentar

                                #30
                                Top, also ich habe den Port mal gesperrt, finde den X1 dann noch per Browser und GPA. In der ETS ist die Schnittstelle tot. Das ist jetzt schon mal das wichtigste. Wie kommuniziert denn die App mit dem X1, kann ich wenigstens den Browser, besser auch den GPA noch sperren? meti

                                Kommentar

                                Vorherige 1 2 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu