UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

VLAN für KNX?

Alles was sonst irgendwie nirgends rein passt.
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln

Ersteller
danik
Reactions:
Beiträge: 391
Registriert: Mo Sep 10, 2018 8:40 pm
Hat sich bedankt: 256 Mal
Danksagung erhalten: 266 Mal

VLAN für KNX?

#1

Beitrag von danik »

Hi

Mich würde interessieren ob und wie ihr VLAN nutzt, insbesondere unter dem Aspekt der Sicherheit der KNX/Smarthome-Komponenten.

Ich hatte mal einige Zeit VLAN's im Einsatz, um die KNX und Smarthome-Systeme vom Rest zu trennen, aber irgendwie klemmte es dann immer irgendwo. Hatte z.B. HUE auch im gleichen VLAN wie KNX, konnte aber dann natürlich mit dem IPAD und der HUE-App nicht ohne weiteres darauf zugreifen. Oder das Drucken vom IPAD, weil beide in unterschiedlichen VLAN's (und damit z.B. der Drucker nicht gefunden wurde). Wäre sicher alles irgendwie gegangen, aber der Aufwand war mit dann doch zu gross.

Aktuell habe ich ein Gäste-WLAN, welches komplett vom restlichen Netz getrennt ist, den Rest aber alles in einem Netz.

Danke und Gruss
Dani
TW 3500L (#882) + TW 950Q (#321, im Moment inaktiv), VPN offen, Reboot nach Rücksprache

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7633 Mal
Kontaktdaten:

#2

Beitrag von StefanW »

Hallo Dani,

wir Du schon erkannt hast, ansich wären getrennte Netze eine tolle Sache zur Separierung, gerade insbesondere der Haustechnik, aber praktisch ist es ein ziemlicher Aufwand, gerade auch weil man mit den normalen PC / Tablett / Smartphone dann doch darauf zugreifen muss und damit wieder Verbindungen notwendig sind, die das wieder konterkarieren.

Es ist nicht so, dass es nicht geht, mit einem gemanagten Layer-3 Switch bekommt man das hin und wenn er dann noch Firewall-Funktionen hat bekommt man dann auch alles abgeblockt, aber man wird dadurch der hauptamtliche Netzwerk-Admin für zuhause.

Ich denke der Ansatz "Gäste ins getrennte Gäste-WLAN" und die eigenen Geräte im eigenen Netz ist da ein pragmatischer Ansatz. Einen Sicherheits-Fetischisten wird das nie reichen, aber der muss halt dann in den sauren Apfel beißen und alles trennen und filtern. Man muss das halt wollen.

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Ersteller
danik
Reactions:
Beiträge: 391
Registriert: Mo Sep 10, 2018 8:40 pm
Hat sich bedankt: 256 Mal
Danksagung erhalten: 266 Mal

#3

Beitrag von danik »

StefanW hat geschrieben: Do Mai 23, 2019 8:38 pm
Ich denke der Ansatz "Gäste ins getrennte Gäste-WLAN" und die eigenen Geräte im eigenen Netz ist da ein pragmatischer Ansatz. Einen Sicherheits-Fetischisten wird das nie reichen, aber der muss halt dann in den sauren Apfel beißen und alles trennen und filtern. Man muss das halt wollen.
Ist es eigentlich technisch möglich (und ggf bereits für eine spätere Version vorgesehen), den Zugriff auf den KNX Bus über den TW auf bestimmte MAc Adressen zu beschränken? Dies wäre ja dann zur Absicherung vom KNX Bus schon mal nicht schlecht.

lg
Dani
TW 3500L (#882) + TW 950Q (#321, im Moment inaktiv), VPN offen, Reboot nach Rücksprache

Robert_Mini
Reactions:
Beiträge: 3741
Registriert: So Aug 12, 2018 8:44 am
Hat sich bedankt: 1164 Mal
Danksagung erhalten: 2058 Mal

#4

Beitrag von Robert_Mini »

Ich frage mich da immer sofort: reicht im Heimnetzwerk User + Passwort auch nicht mehr aus?

Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / zusätzlich: 3500M/#935, 3500L/#1297
Benutzeravatar

Zugschlus
Reactions:
Beiträge: 345
Registriert: Di Okt 02, 2018 4:28 pm
Wohnort: St. Ilgen, Baden-Württemberg
Hat sich bedankt: 112 Mal
Danksagung erhalten: 82 Mal
Kontaktdaten:

#5

Beitrag von Zugschlus »

Robert_Mini hat geschrieben: Fr Mai 24, 2019 7:49 am Ich frage mich da immer sofort: reicht im Heimnetzwerk User + Passwort auch nicht mehr aus?
Sobald fehlerhafte Software ins Spiel kommt, nein. Multiple Lines of Defense.

Ich habe in meinem - overengineerten - Heimnetz für jeden * ein eigenes VLAN, und die KNX-IP-Linie hat natürlich ihr eigenes. Die möglichen Herausforderungen, die daraus entstehen, sind in diesem Thread schon beschrieben worden. Wenn man den Willen hat, sich da hineinzufuchsen ist das eine Qualifikation die selten ist und einem vielleicht auch beruflich weiterhilft.

Also: Spielkinder vor.

Grüße
Marc
--
Marc Haber, St. Ilgen. Freier IT-Berater, Debian Developer.
TWS 950Q #326, VPN auf Anfrage - KNX, 1Wire (13/55/54 Slaves), MQTT, Cometvisu, viel Grafana, ganz ein bisschen Logik.

Robert_Mini
Reactions:
Beiträge: 3741
Registriert: So Aug 12, 2018 8:44 am
Hat sich bedankt: 1164 Mal
Danksagung erhalten: 2058 Mal

#6

Beitrag von Robert_Mini »

Ich vertraue dem Wolf.
Aber jedem das seine - ich stehe leider mit LAN auch ohne VLAN auf Kriegsfuß.

Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / zusätzlich: 3500M/#935, 3500L/#1297

alexbeer
Reactions:
Beiträge: 394
Registriert: Mi Sep 12, 2018 1:11 am
Wohnort: NRW
Hat sich bedankt: 212 Mal
Danksagung erhalten: 251 Mal

#7

Beitrag von alexbeer »

Robert, das hat wenig mit Vertrauen in den TWS zu tun. Im Heimnetz tümmeln sich immer mehr Geräte.
Viele Hersteller haben das Thema Sicherheit nicht so hoch auf der Agenda, da es viel Kostet.
Musst ja nur Mal bei zB Heise.de die Sicherheitslücken bei IoT Devices suchen.
Wenn jetzt die 5€ China-Cam (China nur als Beispiel, betrifft natürlich alle unsicheren Produkte) offen wie ein Scheunentor ist und diese Cam im gleichen Netzwerksegment wie KNX-TP hängt, dann ist dies ein Angriffsvektor.

VG Alex
VG Alex
Timberwolf122 (TWS 2500) // Wartungs-VPN: offen // Reboot: jederzeit

exkanzler
Reactions:
Beiträge: 112
Registriert: So Feb 17, 2019 5:10 pm
Wohnort: Münsterland
Hat sich bedankt: 379 Mal
Danksagung erhalten: 57 Mal

#8

Beitrag von exkanzler »

Ich sperre für unseriöse oder wichtige Geräte (z.B. KNX Router) den Internetzugriff per Fritzbox. WLAN Geräte sind großteils nur im Gastnetz.

Ein eigenes VLAN wäre zwar wünschenswert, aber bisher habe ich den Aufwand gescheut.

Gruß
Andreas
Gruß
Andreas
----------
timberwolf272 | 950Q (VPN offen + reboot nach Rückfrage)
Benutzeravatar

Zugschlus
Reactions:
Beiträge: 345
Registriert: Di Okt 02, 2018 4:28 pm
Wohnort: St. Ilgen, Baden-Württemberg
Hat sich bedankt: 112 Mal
Danksagung erhalten: 82 Mal
Kontaktdaten:

#9

Beitrag von Zugschlus »

exkanzler hat geschrieben: Sa Mai 25, 2019 1:44 pm Ich sperre für unseriöse oder wichtige Geräte (z.B. KNX Router) den Internetzugriff per Fritzbox. WLAN Geräte sind großteils nur im Gastnetz.
Du darfst halt nicht vergessen, dass in einem unsegmentierten Netzwerk _ein_ übernommenes Gerät reicht, um sich von diesem weitre hangeln zu können.

Grüße
Marc
--
Marc Haber, St. Ilgen. Freier IT-Berater, Debian Developer.
TWS 950Q #326, VPN auf Anfrage - KNX, 1Wire (13/55/54 Slaves), MQTT, Cometvisu, viel Grafana, ganz ein bisschen Logik.

Dante
Reactions:
Beiträge: 157
Registriert: So Aug 12, 2018 10:42 am
Hat sich bedankt: 8 Mal
Danksagung erhalten: 78 Mal

#10

Beitrag von Dante »

@Robert_Mini hatte ja eigentlich auf @danik's Frage bzgl. MAC-Beschränkung im TWS geantwortet.

Konkret diese sehe ich aber als wenig hilfreich, für den normalen User sogar eher als Gefahr, sich selbst auszusperren. Man muss immer min. zwei MACs eingetragen haben, falls einer der Rechner/Smartphones/etc. ausfällt. Sonst kommt man nicht mehr drauf und muss hoffen, dass das Wartungs-VPN offen ist, damit Elabnet helfen kann.

Weiterhin ist es möglich, die MAC zu ändern - inzwischen oft einfach über die Treibereinstellungen. Also hilft nur, den TWS in ein VLAN zu packen und dann den Zugriff in dieses VLAN zu steuern.
Viele Grüße,
Thomas

timberwolf146 / Timberwolf Server 2500 Indian Gold + PBM / Version 1.6.0 IP3 (Wartungs-VPN offen / Reboot jederzeit möglich)
Antworten

Zurück zu „Allgemeines“