PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : GIRA HS und FT1.2 - Probleme ?



AScherff
07.02.07, 16:56
Hallo,

habe hier schon gelesen, das das öfter vorkommt...

Habe einen HS mit GIRA FT1.2 und GIRA Busankoppler.

Das ganze lief mal FT1.2 Modus. Irgendwann hatte ich mal eine Störung auf dem EIB-Bus und es ging gar nix mehr - sprich der HS kam nicht mehr auf den Bus.

Nach längerem Rätselraten habe ich im HS den "Kompatibilitätsmodus" eingestellt und alles lief wieder.

Das Ganze geriet in Vergessenheit.

Nun wollte ich wieder den normalen FT 1.2 Modus einstellen und folgte auch diversen Rat dieses Forums (Master-Reset) u.s.w aber der FT1.2 Modus läuft weiter nicht.

Habe heute bei der GIRA Hotline angerufen:

Der Herr war sehr nett...

Folgendes ist bei mir angekommen:

Bei älteren Busankopplern kann es sein, das der FT1.2 Modus irgendwann nicht mehr funktioniert (Warum?).

Dann kann man den HS in den "Kompatibilitätsmodus" schalten. Dafür ist der da. (Lt. Dacom wird er demnächst nicht mehr unterstützt).

Dann muss ich mir einen neuen Busankoppler kaufen....

Der Herr in der Hotline fand das "normal"...

Steh ich auf dem Schlauch? Mache ich was faslch?

Oder muss ich mit einer gewissen "Halbwertszeit" bei GIRA Busankopplern leben ??

Grüße

Alfred

blue
07.02.07, 17:06
hallo alfred,

bei mir hat sich vor zwei wochen auch einer verabschiedet.:mad:

nochmal zur sicherheit, hast du das teil stromlos gemacht und hast du im hs eine physikalische adr.
eingetragen, die es in der ets nicht gibt?

gruss

günther

Matthias Schmidt
07.02.07, 17:11
Oder muss ich mit einer gewissen "Halbwertszeit" bei GIRA Busankopplern leben ??

Grüße

Alfred

Ich gehe davon aus, dass Gira nicht mehr lange von Busankopplern lebt, wenn

- das ersten so wäre

- und zweitens Gira das normal findet

Meine wurden anstandslos umgetauscht. Alles andere ist indiskutabel.

AScherff
07.02.07, 17:14
hallo alfred,

bei mir hat sich vor zwei wochen auch einer verabschiedet.:mad:

nochmal zur sicherheit, hast du das teil stromlos gemacht und hast du im hs eine physikalische adr.
eingetragen, die es in der ets nicht gibt?

gruss

güntherHi Günther,

habe sogar einen "Master-Reset" gemacht...

http://www.knx-professionals.de/forum/showthread.php?t=1814

Stromlos und eine GA 1.1.200 gibts im Netz nicht...

AScherff
07.02.07, 17:17
Ich gehe davon aus, dass Gira nicht mehr lange von Busankopplern lebt, wenn

- das ersten so wäre

- und zweitens Gira das normal findet

Meine wurden anstandslos umgetauscht. Alles andere ist indiskutabel.

Ja, habe den Herrn in der Hotline extra noch mal ganz Dumm gefragt:

"Die BCU tut nicht mehr das was sie soll; und ich muss damit leben?"

Aber vielleicht habe ich ja was falsch verstanden... ;)

EIB-Freak
07.02.07, 18:53
Bei mir das gleiche:

Anlage 1 läuft ca 1 Jahr --> BCU tod.

Anlage 2 lief nie, BCU ab Werk tod.

Gira: Umtauschen lassen.

Michel
07.02.07, 19:25
Oder muss ich mit einer gewissen "Halbwertszeit" bei GIRA Busankopplern leben ??Nein, IMHO musst du das nicht. Tausche über GIRA ;) .
Meine 3 HS laufen seit Verfügbarkeit bisher problemlos im FT1.2 - Modus, auch wenn ich den 1. erst durch mehrfaches Wiederholen der in der Hilfe genannten Schritte zur Arbeitsaufnahme im FT1.2 - Modus bewegen konnte.
Versuch´s nochmal.
Anmerkung:
In seltenen Fällen muss die BCU2 nach Verwendung des Modus BCU2/FT1.2 einmalig vom EIB getrennt werden. Dazu muss man den HomeServer neu mit diesem Modus programmieren, warten bis der HomeServer gestartet hat (3-fach Doppelton ertönt), den HomeServer nun ausschalten und die BCU2 vom EIB ca. 60 Sekunden trennen. Danach wieder mit dem EIB verbinden und den HomeServer neu starten. Das Verbindungskabel zwischen HomeServer und BCU muss dazu nicht getrennt werden.

Zimmi
07.02.07, 20:09
Habe die gleichen problem. Habe dievers HS umstellen müssen, gingen aufeinmal nicht mehr.

Gruss

URS

rudi26
24.03.07, 23:11
Hallo,
habe seit gestern auch das Problem.
Abschaltung des Busses und beim einschalten keine Verbindung HS--->EIB. Nur im Kompatibilitätsmodus.
Ist es richtig das im Kompatibilitätsmodus man nicht mit der ETS über den HS einige sachen Programierenkann???????


habe nur den Reset mit dem gedrücktem Taster und dann an den Bus. Leider brachte es nichts. Werde morge mal den mit der Brücke machen. Wenn nicht dann also Gira-hotline na toll. Gibt es von euch schon einige Stammkunden deswegen??????????

cindom
24.03.07, 23:15
Auch eine meiner Schnittstellen am HS hatte das gleiche Problem.

Cindom

Matthias Schmidt
08.04.07, 00:53
Jetzt hat es mich auch erwischt. HS3 steht in Bamberg, Kunde im Urlaub, FT1.2 ist "stehengeblieben", nachts um 4 Uhr. Auch im Kompatibilitätsmodus keine Buskommunikation.

:mad: :mad: :mad: :mad: :mad: :mad: :mad:

EIB-Freak
08.04.07, 10:26
Moin Matthias,

ich frage mich, wann Gira da mal "vernünftig" reagiert. Von 3 Anlagen habe ich in 2 Anlagen das Problem. Eine Anlage habe ich auf den N146 umgerüstet, aber auch dort gibt es ein kleines Problem, welches Gira derzeit untersucht.

Du hast sicher den HS schon mal nach umstellen auf dem Kompa-Modus neu gestartet ? :weglauf

Michel
08.04.07, 11:05
Du hast sicher den HS schon mal nach umstellen auf dem Kompa-Modus neu gestartet ? :weglaufWird er wohl, da das Umstellen bekanntlich mit einem Neustart verbunden ist ;) .
Lauf schneller :D !:Prost:

EIB-Freak
08.04.07, 11:12
:wegrenn

:Prost:

EIB-TECH
08.04.07, 12:33
Moin Matthias,

ich frage mich, wann Gira da mal "vernünftig" reagiert. Von 3 Anlagen habe ich in 2 Anlagen das Problem. Eine Anlage habe ich auf den N146 umgerüstet, aber auch dort gibt es ein kleines Problem, welches Gira derzeit untersucht.

Du hast sicher den HS schon mal nach umstellen auf dem Kompa-Modus neu gestartet ? :weglauf

NA NA NA bischen runter vom Gas, von meinen ... integrierten und laufenden Anlagen gibts bisher erst in zwei Anlagen Probleme. Ein Anruf bei der Hotline konnte bisher immer noch das Problem lösen.
Hier Gira so an den Pranger zu stellen finde ich nicht gut.
Es geht meiner Meinung nach nix darüber das Telefon in die Hand zu nehmen, und die Sache direkt zu klären.......................

Aber wenn du meinst es so zu tun ok, das war nur meine Meinung..........

Dieter Koch
08.04.07, 12:41
Dieser Fehler tritt bei mir in 100% aller Anlagen mit HS auf.:) :) :)

Auch wenn es nur eine ist, so ist es doch ärgerlich. Es scheint sich da wirklich um ein generelles Problem zu handeln.

Wahrscheinlich ist die IP-Ankopplung die bessere Wahl, oder man stellt gleich den Kompatibilitätsmodus ein.

In meinem Fall hat GIRA sehr schnell reagiert und passende Ersatzteile geschickt. Ob es jetzt der BA oder die Schnittstelle war, kann ich nicht sagen.

Gruß
Dieter

EIB-TECH
08.04.07, 12:43
Na also wird man nicht im Regen stehe gelassen, wie es in einem anderen "Post" durch die Blume hieß.

Dieter Koch
08.04.07, 12:47
Vielleicht sollte man mal eine FT1.2 Schnittstelle von einem anderen Hersteller testen.
Meines Wissens ist die HS-BCU das einzige BCU2 Gerät von GIRA (Philosphie).


Gruß
Dieter

EIB-TECH
08.04.07, 12:49
Wie gesagt, ich kann mich nicht beschweren bei mir laufen die Schnittstellen ohne Probleme.

Besser wäre wenn mal der N148 mit dem HS sprechen könnte, es wäre nur eine Protokoll Implementierung von EIBnet/IP Tunneling. Damit wäre eine günstige Schnittstelle auf IP Basis zu haben...........

Das wäre ein wirklicher Fortschritt zu IP und weg von FT1.2

Matthias Schmidt
08.04.07, 12:54
Hallo Helmut,

ich brauche wohl nicht zu betonen, dass ich mit GIRA gerne zusammenarbeite. Auf dem SI-Zertifikat, das du von denen hast, ist mein Haus abgebildet ;) .

Trotzdem sollte es erlaubt sein, Probleme anzusprechen. Manchmal finde ich es ein wenig peinlich, wenn hier zuviel vorauseilender Gehorsam an den Tag gelegt wird.

Ich glaube auch, dass Gira das Problem kulant lösen wird, entscheidend ist aber, dass es überhaupt immer wieder Probleme gibt und man offensichtlich nicht in der Lage ist, das vernünftig abzustellen.

Ich befürchte auch, die Hotline wird nicht nach Bamberg fahren und die Schnittstelle wechseln :mad: .

EIB-TECH
08.04.07, 12:57
Aber auch wüsste jemanden, der da gerne nach Bamberg fahren würde (kenne ich erst seit der letzten Skype Sitzung.....):rolleyes:

Ich weiss was du meinst, aber der Post von EIB Freak fand ich etwas "heftig" war nur meine persönliche Meinung.

Ps. Die haben dein Haus super erwischt :D

Matthias Schmidt
08.04.07, 13:06
Das Bild habe ich geschossen :-)

Klar fährt der gerne. Und Bamberg ist sehr nett. Nur wie erkläre ich dem Bauherrn, dass die Schnittstelle nur eine Woche gehalten hat und wie soll er sich darauf verlassen, dass die nächste zuverlässiger ist? Und wer zahlt die Zeit und das Benzin? Machst du das immer auf Kulanz?

Das ist keine befriedigende Lösung. Auch der Hinweis auf den IP_Router nicht. Wenn die FT1.2 zu dem Zweck verkauft wird, dann hat sie auch die zugesicherten Eigenschaften zu bringen.

Den Post von eibfreak fand ich alles andere als heftig. Er erwartet eine vernünftige Lösung und teilt mit, dass 2 von drei Anlagen Probleme machen. Sachlicher geht es nicht.

EIB-Freak
08.04.07, 16:02
Hallo Helmut,

ich stelle Gira keineswegs an den Pranger! Jeder Mitarbeiter der Hotline versucht sein bestes (auch wenn bisher auf viele Probleme keine Lösung gefunden werden konnte :rolleyes:).

Mit meinen äusserungen wollte ich nur meine Erfahrungen mitteilen. Es ist bekannt, das hier einige von Gira und DaCom mitlesen.

Die FT1.2 zu tauschen, bis die nächste kaputt ist, bringt auf dauer nichts. Wie meine Vorredner schon geschrieben haben, versteht das der Kunde nicht und ich sitz auf den Kosten. Ergo: Gira muss eine Vernünftige Lösung finden.

Deinen Vorschlag, EIBNet/IP Tunneling in das Leistungsspektrum des HS zu integrieren, finde ich mehr als gut!

EIB-TECH
08.04.07, 16:09
Hallo Michael,

nur du musst mir doch recht geben, dass man glauben dürfte dass kein einziger HS läuft weil permenant die Schnittstellen aussteigen, und das sorry glaube ich nicht.

Klar Probleme sind da um diese zu lösen, ob es so gut ist diese Probleme zu "outen" anstatt an der Wurzel zu packen sprich Hersteller lassen wir mal dahin gestellt. Ich selbst bin kein Freund von Probleme öffentlich ewig zu diskutieren, ich erinnere an den Tread mit der ETS 3 dort war es ähnlich. Aber ich denke mal dass ich da zu eigen denke...............

be1001
08.04.07, 20:51
Hallo

zum Thema Homeserver und Anschaltung per Siemens N146 muss ich jetzt auch mal was sagen:

Ich besitze seit etwa 2 Monaten einen Homeserver. Da ich vorher schon einen IP Router N146 (R3) von Siemens hatte wollte ich mir die Kosten für eine FT1.2 sparen.

Dazu muss ich noch Anmerken, mein Heimnetzwerk ist ein bischen größer, d.h. ich habe ein Netzwerk mit einer Zywall 35 als Router und WAN-Anbindung.

Mein N146 war bisher in meinem LAN (172.29.174.x) installiert, ebenso wie mein PC mit der ETS3. Alles super.

Nachdem ich den Homeserver bekommen habe wollte ich den HS in der DMZ (172.29.170.x ) wie meinen Webserver installieren. Nachdem der HS von aussen erreichbar ist, hat der HS im LAN nichts zu suchen.

Die Anbindung zwischen HS und IP Router habe ich dann versucht nach der Beschreibung von Helmut Lintschinger (die übrigens sehr gut ist) zu erstellen.
Eine Lauffähige Anbindung kam trotz Hilfe der Gira Hotline nicht zustande.
Fakt ist: Eine Verbindung von LAN (IP Router) zu DMZ (Homeserver) ist nur einseitig möglich, d.h. der HS sieht zwar die Telegramme, kann sie z. B. in Archive speichern, kann aber selbst keine Telegramme auf den Bus geben. Auch wenn ich die Zywall vollig transparent schalte, (keine Firewall, alle Ports werden durchgeroutet )ist nicht mehr möglich.

Zur Zeit habe ich den IP-Router auch in der DMZ, was aber keine Dauerlösung ist, ich werde wohl oder übel auf die FT1.2 umsteigen müssen.

Von der Girahotline wurde mir zur Problemlösung geraten, ich solle Testschaltung auf den Tisch aufbauen (DMZ mit HS) -> Router -> (LAN mit IP Router). Nur kann ich nicht mein ganzez Netzwerk abbauen und auf den Tisch legen, sonst funktioniert ja auch alles bestens. Und eine zweite Zywall habe ich nicht.....

Auf meine Frage ob andere Kunden ähnliche Probleme hätten, (nicht nur Heimnetzwerk) wurde mir geantwortet, solche Kunden hätten ein extra Netzwerk für die Gebäudesignalisierung.

Eigentlich schade, ich hätte mir eine vollständige Anbindung über IP gewünscht.

Christian

AScherff
08.04.07, 21:19
Hmmm,

der HS gehört nicht in die DMZ, sondern in das Heim-Segment. Um von "Aussen" auf de HS zuzugreifen (http) must du halt einen Port mittels DNAT/SNAT durch deine (hoffentlich vorhandene) Firewall routen.

Wieso hat der HS deiner Meinung nach im Heim-Segment nix zu suchen? Der HS ist an der Stelle ist doch völlig unkritisch.

Alfred

Klaus Gütter
08.04.07, 21:59
der HS gehört nicht in die DMZ, sondern in das Heim-Segment. Um von "Aussen" auf de HS zuzugreifen (http) must du halt einen Port mittels DNAT/SNAT durch deine (hoffentlich vorhandene) Firewall routen.

Wieso hat der HS deiner Meinung nach im Heim-Segment nix zu suchen? Der HS ist an der Stelle ist doch völlig unkritisch.

Das sehe ich nicht so. Der ganze Sinn einer (echten) DMZ besteht darin, dass jeder von außen zugängliche Host in dieser Zone ist, so dass auch im Falle einer Kompromitterung dieses Hosts zum internen Netzwerk hin noch ein Schutz besteht.

Ich kenne die Software auf dem HS jetzt nicht so genau, aber dass irgendeine Server-Software (hier der HTTP-Server) "unkritisch" ist, ist schon eine eher kühne Behauptung.

Gruß, Klaus Gütter

be1001
08.04.07, 22:07
Der Hs ist für mich nicht anderes als ein Websever, d.h. ich kann von aussen auf Applikationen auf diesem Server zugreifen, ob mit fester IP oder mit DynDNS. Also gehört er in die DMZ. Mein LAN ist das sichere Netz, das ich nach aussen hin abgeschottet habe, ausser für die Aplikationen die ich freigebe, und dann da auch nur mit den entsprechenenden Firewalleinstellungen.
Der IP Router gehört für mich in das LAN, ich möchte spätereinmal eine neue Linie über WLAN aufbauen, und das muss ich einfach mit einem höhren Schutz versehen als einen Webserver.

Michel
08.04.07, 22:12
Ich kenne die Software auf dem HS jetzt nicht so genau, aber dass irgendeine Server-Software (hier der HTTP-Server) "unkritisch" ist, ist schon eine eher kühne Behauptung.Hallo Klaus,

es gab letztes Jahr mal mehrere Themen, die sich mit der Sicherheit des HS in Bezug auf Hacker beschäftigt haben. Ich stelle die Links einfach mal hier ein:

HomeServer Sicherheit (Ergebnis und Fragen) (http://www.knx-professionals.de/forum/showthread.php?t=4541&highlight=homeserver+sicherheit)
HS und Hacker ... (http://www.knx-professionals.de/forum/showthread.php?t=4486&highlight=homeserver+sicherheit)Bei der Gelegenheit: Danke für deine Artikel im Wiki! :Prost:

EIB-TECH
08.04.07, 22:25
Ist es dann rein aus Sicherheitstechnischer Sichtweise sinnvoller den HS immer in eine DMZ zu stellen ?

Ich habs biser nie so gemacht, aber man lernt ja immer wieder gerne dazu, egal ob er sowieso sicher genug ist :D


Hier ist mal ein "Link" für einen Aufbau einer DMZ sowie deren palzierung.

http://www.avantec.ch/pix/dmz.gif

@Klaus

Steht dann ein Elvis Webserver auch in einer DMZ ?
Diese Frage meine ich ernst :)

file:///C:/DOKUME%7E1/EIB-TECH/LOKALE%7E1/Temp/moz-screenshot-2.jpgfile:///C:/DOKUME%7E1/EIB-TECH/LOKALE%7E1/Temp/moz-screenshot-3.jpg

Klaus Gütter
08.04.07, 22:39
es gab letztes Jahr mal mehrere Themen, die sich mit der Sicherheit des HS in Bezug auf Hacker beschäftigt haben.
Hallo Michel,

dass ein Angreifer mit dem HS o.ä. die Gebäudetechnik übernehmen könnte, ist die eher geringere Gefahr. Schlimmer ist es, dass ein komprimittierter Server im internen Netz, der von außen zugänglich ist, auf das ganze interne Netz zugreifen kann. Nach einer erfolgreiche Übernahme irgendeines Servers im internen Netz hat der Angreifer damit ungehinderten Zugriff auf das interne Netzwerk.

Mag sein, dass das zur Zeit für den Heimbereich nicht extrem wichtig ist. Ich würde damit aber nicht leichtfertig umgehen.

Darauf zu bauen, dass die Software in HS o.ä. garantiert sicherheitlücken-frei ist, ist bestenfalls blauäugig.

Gruß, Klaus

Klaus Gütter
08.04.07, 22:41
Steht dann ein Elvis Webserver auch in einer DMZ ?
Diese Frage meine ich ernst :)

Hallo Helmut,

auch den kann man natürlich hinstellen, wo man es für richtig hält. Es geht mir hier nicht um HS vs. Elvis. Das Thema ist ein ganz allgemeines und gilt für jedes vom Internet zugängliche System.

Gruß, Klaus

EIB-TECH
08.04.07, 22:44
Hallo Klaus,

so sehe ich es auch, mich interessiert es einfach ob es genügt, sauberes Port Forwarding zu verwenden oder jedesmal eine DMZ einzurichten.

AScherff
08.04.07, 23:01
Auch das Heimnetz liegt es hinter einer Firewall ist eine DMZ wenn auch eine Pseudo-DMZ.

Insbesondere wenn der "Verkehr" nur in die entsprechende Richtung insbesondere mit den entsprechenden Filter-Regeln angelegt ist.

Eine "echte" (protected DMZ) halte ich beim HS für übertrieben.

Klaus Gütter
08.04.07, 23:16
Eine "echte" (protected DMZ) halte ich beim HS für übertrieben.
Hallo Herr Scherff,

das halte ich für die falsche Argumentationsrichtung. Ob man die Sicherheit einer DMZ braucht oder nicht, hängt davon ab, was zu schützen ist, und das ist primär das interne Netz, nicht der HS.

Gruß, Klaus Gütter

MarkusS
08.04.07, 23:23
mich interessiert es einfach ob es genügt, sauberes Port Forwarding zu verwenden oder jedesmal eine DMZ einzurichten.


Über dieses Thema kann man trefflich bis zum 30. Februar diskutieren.

Ein "sauberes Port Forwarding" ist aus Security-Sicht der - mit Verlaub - zweitgrösste Dreck, kommt unmittelbar hinter einem ganz offenen Router.

Es ist eine der Prämissen der Security dass Systeme die von aussen erreichbar sind niemals in einem LAN stehen - auch nicht hinter einem Port Forwarding und auch nicht hinter einer Firewall in einer Möchtegern-DMZ sondern ganz einfach nie. Solche Systeme gehören in eine DMZ die wiederum auch gegen aussen besonders geschützt ist.

Hintergedanke ist u.a. dass ein eventuell kompromittiertes System nicht zum Angreifer-Sprungbrett im bzw. ins LAN werden darf, zumal Systeme im LAN in aller Regel sicherheitstechnisch einer geringeren Überwachung / Kontrolle unterliegen als Systeme im Internet bzw. in einer DMZ.

Wer Port Forwarding für eine sichere Sache hält hat sich noch nicht wirklich damit auseinander gesetzt was man tatsächlich alles über einen einzelnen Port forwarden kann - ein gutes Beispiel ist Skype welches durch einen einzigen Port (meistens 80/HTTP) Sprache, Video, Conferencing, Chat, Datenübertragung und was weiss ich noch alles quetscht - und sich dabei auch noch Mühe gibt, vorhandene Sicherheitsmechanismen zu unterlaufen. Mit ein Grund warum diese (und vergleichbare) Software in vielen Unternehmensnetzen verboten ist.

Bei der in DE im privaten Umfeld überwiegend üblichen Internetanbindung in Verbindung mit den dort gängigen "Sicherheitsmassnahmen" - totale Sicherheit gibt es für ein paar Euro in gelben Schachteln im Schweinemarkt - und Sohnemanns Rechner auf dem drei Filesharingclients in Verbindung mit zwei Messengern und Skype die Leitung um die Wette glühen lassen brauchen wir uns über derartige Finessen keine Gedanken machen - dort glaubt man offensichtlich auch noch das man ein WLAN mit WEP und RC4 mit 104 Bit auch nur Ansatzweise "schützen" kann.

Dann macht es auch nichts aus, den HS ins LAN zu stellen und per Port Forwarding von aussen erreichbar zu machen.

Gruss
Markus

EIB-TECH
08.04.07, 23:30
Hi Markus,

danke für diese Info, dann hab ich bisher immer aus Sicherheitstechnischer Sichtweise "bullshit" fabriziert, aber ich denke mal da bin ich nicht alleine :D

Wie sieht eine wirklich saubere Lösung deiner Meinung nach aus ???????

AScherff
08.04.07, 23:57
Hallo Herr Scherff,

das halte ich für die falsche Argumentationsrichtung. Ob man die Sicherheit einer DMZ braucht oder nicht, hängt davon ab, was zu schützen ist, und das ist primär das interne Netz, nicht der HS.

Gruß, Klaus Gütter

Hallo Herr Gütter,

Aus Gründen der Sicherheit bin ich bei Ihnen. Bedeutet das jedoch das sich jeder eine Firewall als "Enterprise"-System zulegen muss, der einen HS "sicher" betreiben will.

Übrigens empfehle ich (als Beispiel) http://astaro.de (http://astaro.de/) in solchen Fällen - die für den "Home-User" übrigens kostenfrei ist.

Nur über solche Syteme kann eine echte (protected) DMZ aufgebaut werden in dem man dem HS eine eigens NIC und damit ein entsprechendes Segment zuordet (ordendliche Konfiguration der Firewall vorausgesetzt).

Bedeutet dies jedoch auch, einen weitern Rechner 24*7 zu betreiben.

Für den "Otto-Normalverbraucher" ist das aber nicht unbedingt machbar. Und dann kommt das, was MarkusS zuvor geschrieben hat - der "normale" DSL Router mit integrierter "FIREWALL" kommt da keinesfalls mit.

Und dieser HS-Anwender oder auch ein SI ist mit einem "ordendlichen Firewallsystem" ggf. überfordert.

Mit dieser Quintessenz dürfte ich aber keinen HS Betreiben, der in einem Netz hängt, das von außen zugänglich ist, sei es über einfaches "Port-Forwarding".

Das ist also das Dilemma. HS soll von "außen" erreichbar sein, also eine DMZ aufbauen... oder doch Port-Forwarding !?

noch was vergessen:

ich kenne Systeme in großen Firmen, die den Internetzugang erlauben - allerdings über Citrix-System, bei dennen das WW nur auf einem externen System spielt- der Anwender übermittelt nur Maus und Tastatur und bekommt lediglich die "Bildschirmseiten" übermittelt - ist also selber gar nicht im "Netz" - sowas könnte mal auch für paranoia halten ;)

MarkusS
09.04.07, 00:58
IT-Security ist leider kein standardisiertes Produkt - genausowenig wie es das standardisierte Smart-Home gibt.

Einer der wichtigsten Punkte wurde bereits von Klaus Gütter beiläufig erwähnt: Was soll geschützt werden? Genau genommen wäre die Frage: Was soll aus welchem Grund vor wem oder was geschützt werden? Für Unternehmenskunden erstellt meine Firma Sicherheitskonzepte die bei Bedarf auch mal mehrere 100 Seiten dick werden ...

Ein weiteres Problem bei der Sicherheit ist der User: Der muss mit dem was wir uns ausdenken nachher arbeiten - und je "sicherer" man ein System macht desto "unbenutzbarer" wird es aus Sicht des Benutzers - und dann entwickeln die Benutzer eine ungeahnte Kreativität um die Systemrestriktionen zu umgehen. Das gipfelt dann darin das sich ein User Skype installiert um Daten via Skype-Dateitransfer aus dem Unternehmen zu kriegen weil das Email-System (beabsichtigt) verhindert das diese Daten an externe Adressaten versendet werden und an den Clients die Nutzung von USB-Sticks und sonstigen externen Massenspeichern geblockt ist.

Das Problem des aus dem Internet mehr oder weniger ungehindert erreichbaren Homeservers gehört wohl weniger ins Unternehmensumfeld sondern viel mehr in den Bereich privater Bauten. Wir haben einige gewerbliche Kunden mit GLT aber keiner davon hatte bislang den Wunsch, die Visu ins Internet zu stellen.

Wenn man den HS quasi offen ins Internet stellt bleibt als einziger Schutz noch der User-Account fürs Login - und die Hoffnung dass Dacom einen guten Job bei der Absicherung der Plattform gemacht hat - aber wie Klaus Gütter schon erwähnte: Letzteres zählt nicht. Security basiert auf Wissen und Gewissheit, nicht auf Hoffnung.

Eine "richtige" Security-Implementierung wiederum erfordert ein gewisses Budget und eine Menge Fachwissen und Erfahrung. Ein sehr guter SI im GLT-Umfeld ist nicht automatisch auch ein guter SI im Security-Umfeld - und umgekehrt.

Ich werde mir mal ein paar Gedanken darüber machen wie man den HS in einem "typischen" Smart-Home einigermassen sicher am Internet betreiben kann und meine Ergebnisse hier im Forum zur Diskussion stellen. Wird aber noch ein paar Tage dauern, ich bin zur Zeit beruflich sehr eingespannt.

Gruss
Markus

be1001
09.04.07, 01:01
Hallo,

Sicherheit hin, Sicherheit her, mein Problem ist ja, ich kann den HS nicht so betreiben wie ich es gerne hätte. Da ich aus dem Netzwerkbereich komme, hätte ich den HS gerne in der DMZ.
Bis dato habe ich es jedoch nicht geschafft den HS in die DMZ und den IP Router in das LAN zu bekommen. Beide Geräte müssen im selben Subnetz hängen.
Bei dieser Problematik komme ich mir von der GiraHotline ziemlich verlassen vor. Die Aussage ich solle ein Testzenario auf den Tisch nachbauen, finde ich nicht so toll, vor allen nachdem die Zywall 35 ja nicht gerade ein Lowcost Router ist. Auch die Aussage größere Betriebe hätten ein Gebäudeleitnetzwerk finde ich nicht so toll. Auch meine Frage welches Multicastprotokoll ich im Router einstellen soll, konnte nicht beantwortet werden. (IGMP-v1 oder IGMP-v2).
Bei meinen bisherigen Testversuchen konnte ich nur feststellen, das der HS nur Telegramme lesen kann.
Vielleicht weiss jemand noch einen Rat, vielleicht muss ich noch einen zusätzlichen Port freigeben, bisher habe ich 3671, 50000-50002 zwischen LAN und DMZ freigeschalten.

MarkusS
09.04.07, 01:46
Mangels N146 kann ich das nicht nachstellen. Ich habe den HS zwar in einer (echten) DMZ stehen, auf der anderen Seite hat der aber eine FT1.2.

Ich würde mir den N146 und den HS mal auf einen Switch legen und - in einem funktionierenden Setup - die Kommunikation mal mitschneiden (z.B. mit Wireshark an einem SPAN-Port) um eine Referenz zu kriegen.

Das dann mit der Kommunikation im Firewall-DMZ-Setup (auf beiden Seiten der Firewall) vergleichen - irgend was muss da anders laufen.

Zeitintensiv, aber wenn es von Gira keine brauchbaren Aussagen gibt ...

Eine Alternative wäre noch die Siemens-Hotline - oder eine Mail an Peter Pan, der trifft die Entwickler vom N146 wahrscheinlich regelmässig zum Tee :)

Gruss
Markus

Klaus Gütter
09.04.07, 10:01
vielleicht muss ich noch einen zusätzlichen Port freigeben, bisher habe ich 3671, 50000-50002 zwischen LAN und DMZ freigeschalten.
50000-50002 sind für KNXnetIP/Routing nicht nötig, die werden nur für das alte iETS ("Eiblib/IP")-Protokoll benutzt. 3671 müsste reichen.

PeterH
10.04.07, 10:23
Hallo be1001,

zu deinen Fragen:

1) Es muss nur der im Experten eingestellte Port (Default=3671) freigegeben werden.
2) Der HS verwendet IGMP-v2.
Welches Protokoll der N146 verwendet ist mir nicht bekannt.
Dies dürfte aber auch egal sein, da IGMP-v2 rückwärtskompatibel zu IGMP-v1 ist.

Da die Kombination HS/N146 nach deinen Aussagen im gleichen Subnetz funktioniert, kann der Fehler nicht in den Parametern für den HS oder den N146 liegen.
Insofern kann ich verstehen, das die Gira-Hotline hier nicht weiterhelfen kann.
Es ist und kann nicht die Aufgabe der Hotline sein sämtliche Router und Netzwerkgeräte auf dem Markt zu kennen.
Da du ja aus dem Netzwerkbereich kommst, sollte sich das Problem mit einem Netzwerksniffer leicht eingrenzen lassen.


Ganz abgesehen davon:

Warum soll der N146 nicht in der DMZ liegen.
Ich sehe darin kein zusätzliches Sicherheitsproblem.

be1001
10.04.07, 10:35
Hallo Peter

zu 1. Port 3761 ist freigegeben
zu 2. In der Zywall habe ich IGMP-v2 eingestellt.

Der IP Router sollte nicht in der DMZ liegen, da ich noch eine zweite Linie über WLAN aufbauen möchte, und das ist Bestandteil vom LAN.

das komische ist nur, das jetzt ein einseitiger Verkehr möglich ist. d.h. der HS kann die Protokolle sehen, wenn er Telegramme senden will, werden die jedoch nicht abgearbeitet. Liegt das daran, das die Route immer 0 ist????

Sende mir doch mal eine PN dann könne wir direkt miteinander reden, ich bin im Büro, oder 0711 6451560

Christian

Matthias Schmidt
12.04.07, 00:46
Zur Ehrenrettung DIESER FT1.2-Schnittstelle:

Es lag nicht an ihr, sondern an der EIB-Spannungsversorgung.

Die war auf "Fehler" gegangen, warum auch immer. (Naja, einen Verdacht hätte ich schon :) )

Stingel
28.01.08, 16:20
Hallo
gibt es neue Erkenntnisse zu diesem Schnittstellenproblem mit dem HS?
Meiner steigt jetzt alle paar Tage aus.

Wenn ich die Schnittstelle neu programmiere..
(wenn es überhaupt geht) also über die ETS
Dann kann es sein dass es wieder nach einem
Reset wieder tut.
Aber wieso steigt die Schnittstelle aus?
Ist ja dann kein Hardwarefehler wenn es später wieder tut oder?

Und was ist anders an dem Kompatibilitätsmodus?
Und wieso soll er nicht mehr unterstützt werden?

Gruß
Tobi