UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ
NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ
NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074
VLAN für KNX?
Forumsregeln
- Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
- Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
- Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
- Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln
-
- Reactions:
- Beiträge: 391
- Registriert: Mo Sep 10, 2018 8:40 pm
- Hat sich bedankt: 256 Mal
- Danksagung erhalten: 266 Mal
VLAN für KNX?
Hi
Mich würde interessieren ob und wie ihr VLAN nutzt, insbesondere unter dem Aspekt der Sicherheit der KNX/Smarthome-Komponenten.
Ich hatte mal einige Zeit VLAN's im Einsatz, um die KNX und Smarthome-Systeme vom Rest zu trennen, aber irgendwie klemmte es dann immer irgendwo. Hatte z.B. HUE auch im gleichen VLAN wie KNX, konnte aber dann natürlich mit dem IPAD und der HUE-App nicht ohne weiteres darauf zugreifen. Oder das Drucken vom IPAD, weil beide in unterschiedlichen VLAN's (und damit z.B. der Drucker nicht gefunden wurde). Wäre sicher alles irgendwie gegangen, aber der Aufwand war mit dann doch zu gross.
Aktuell habe ich ein Gäste-WLAN, welches komplett vom restlichen Netz getrennt ist, den Rest aber alles in einem Netz.
Danke und Gruss
Dani
Mich würde interessieren ob und wie ihr VLAN nutzt, insbesondere unter dem Aspekt der Sicherheit der KNX/Smarthome-Komponenten.
Ich hatte mal einige Zeit VLAN's im Einsatz, um die KNX und Smarthome-Systeme vom Rest zu trennen, aber irgendwie klemmte es dann immer irgendwo. Hatte z.B. HUE auch im gleichen VLAN wie KNX, konnte aber dann natürlich mit dem IPAD und der HUE-App nicht ohne weiteres darauf zugreifen. Oder das Drucken vom IPAD, weil beide in unterschiedlichen VLAN's (und damit z.B. der Drucker nicht gefunden wurde). Wäre sicher alles irgendwie gegangen, aber der Aufwand war mit dann doch zu gross.
Aktuell habe ich ein Gäste-WLAN, welches komplett vom restlichen Netz getrennt ist, den Rest aber alles in einem Netz.
Danke und Gruss
Dani
TW 3500L (#882) + TW 950Q (#321, im Moment inaktiv), VPN offen, Reboot nach Rücksprache
-
- Elaborated Networks
- Reactions:
- Beiträge: 9689
- Registriert: So Aug 12, 2018 9:27 am
- Wohnort: Frauenneuharting
- Hat sich bedankt: 4831 Mal
- Danksagung erhalten: 7633 Mal
- Kontaktdaten:
Hallo Dani,
wir Du schon erkannt hast, ansich wären getrennte Netze eine tolle Sache zur Separierung, gerade insbesondere der Haustechnik, aber praktisch ist es ein ziemlicher Aufwand, gerade auch weil man mit den normalen PC / Tablett / Smartphone dann doch darauf zugreifen muss und damit wieder Verbindungen notwendig sind, die das wieder konterkarieren.
Es ist nicht so, dass es nicht geht, mit einem gemanagten Layer-3 Switch bekommt man das hin und wenn er dann noch Firewall-Funktionen hat bekommt man dann auch alles abgeblockt, aber man wird dadurch der hauptamtliche Netzwerk-Admin für zuhause.
Ich denke der Ansatz "Gäste ins getrennte Gäste-WLAN" und die eigenen Geräte im eigenen Netz ist da ein pragmatischer Ansatz. Einen Sicherheits-Fetischisten wird das nie reichen, aber der muss halt dann in den sauren Apfel beißen und alles trennen und filtern. Man muss das halt wollen.
lg
Stefan
wir Du schon erkannt hast, ansich wären getrennte Netze eine tolle Sache zur Separierung, gerade insbesondere der Haustechnik, aber praktisch ist es ein ziemlicher Aufwand, gerade auch weil man mit den normalen PC / Tablett / Smartphone dann doch darauf zugreifen muss und damit wieder Verbindungen notwendig sind, die das wieder konterkarieren.
Es ist nicht so, dass es nicht geht, mit einem gemanagten Layer-3 Switch bekommt man das hin und wenn er dann noch Firewall-Funktionen hat bekommt man dann auch alles abgeblockt, aber man wird dadurch der hauptamtliche Netzwerk-Admin für zuhause.
Ich denke der Ansatz "Gäste ins getrennte Gäste-WLAN" und die eigenen Geräte im eigenen Netz ist da ein pragmatischer Ansatz. Einen Sicherheits-Fetischisten wird das nie reichen, aber der muss halt dann in den sauren Apfel beißen und alles trennen und filtern. Man muss das halt wollen.
lg
Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de
Link zu Impressum und Datenschutzerklärung oben.
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de
Link zu Impressum und Datenschutzerklärung oben.
-
- Reactions:
- Beiträge: 391
- Registriert: Mo Sep 10, 2018 8:40 pm
- Hat sich bedankt: 256 Mal
- Danksagung erhalten: 266 Mal
Ist es eigentlich technisch möglich (und ggf bereits für eine spätere Version vorgesehen), den Zugriff auf den KNX Bus über den TW auf bestimmte MAc Adressen zu beschränken? Dies wäre ja dann zur Absicherung vom KNX Bus schon mal nicht schlecht.StefanW hat geschrieben: ↑Do Mai 23, 2019 8:38 pm
Ich denke der Ansatz "Gäste ins getrennte Gäste-WLAN" und die eigenen Geräte im eigenen Netz ist da ein pragmatischer Ansatz. Einen Sicherheits-Fetischisten wird das nie reichen, aber der muss halt dann in den sauren Apfel beißen und alles trennen und filtern. Man muss das halt wollen.
lg
Dani
TW 3500L (#882) + TW 950Q (#321, im Moment inaktiv), VPN offen, Reboot nach Rücksprache
-
- Reactions:
- Beiträge: 3741
- Registriert: So Aug 12, 2018 8:44 am
- Hat sich bedankt: 1164 Mal
- Danksagung erhalten: 2058 Mal
Ich frage mich da immer sofort: reicht im Heimnetzwerk User + Passwort auch nicht mehr aus?
Robert
Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / zusätzlich: 3500M/#935, 3500L/#1297
-
- Reactions:
- Beiträge: 345
- Registriert: Di Okt 02, 2018 4:28 pm
- Wohnort: St. Ilgen, Baden-Württemberg
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 82 Mal
- Kontaktdaten:
Sobald fehlerhafte Software ins Spiel kommt, nein. Multiple Lines of Defense.Robert_Mini hat geschrieben: ↑Fr Mai 24, 2019 7:49 am Ich frage mich da immer sofort: reicht im Heimnetzwerk User + Passwort auch nicht mehr aus?
Ich habe in meinem - overengineerten - Heimnetz für jeden * ein eigenes VLAN, und die KNX-IP-Linie hat natürlich ihr eigenes. Die möglichen Herausforderungen, die daraus entstehen, sind in diesem Thread schon beschrieben worden. Wenn man den Willen hat, sich da hineinzufuchsen ist das eine Qualifikation die selten ist und einem vielleicht auch beruflich weiterhilft.
Also: Spielkinder vor.
Grüße
Marc
--
Marc Haber, St. Ilgen. Freier IT-Berater, Debian Developer.
TWS 950Q #326, VPN auf Anfrage - KNX, 1Wire (13/55/54 Slaves), MQTT, Cometvisu, viel Grafana, ganz ein bisschen Logik.
Marc Haber, St. Ilgen. Freier IT-Berater, Debian Developer.
TWS 950Q #326, VPN auf Anfrage - KNX, 1Wire (13/55/54 Slaves), MQTT, Cometvisu, viel Grafana, ganz ein bisschen Logik.
-
- Reactions:
- Beiträge: 3741
- Registriert: So Aug 12, 2018 8:44 am
- Hat sich bedankt: 1164 Mal
- Danksagung erhalten: 2058 Mal
Ich vertraue dem Wolf.
Aber jedem das seine - ich stehe leider mit LAN auch ohne VLAN auf Kriegsfuß.
Robert
Aber jedem das seine - ich stehe leider mit LAN auch ohne VLAN auf Kriegsfuß.
Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / zusätzlich: 3500M/#935, 3500L/#1297
-
- Reactions:
- Beiträge: 394
- Registriert: Mi Sep 12, 2018 1:11 am
- Wohnort: NRW
- Hat sich bedankt: 212 Mal
- Danksagung erhalten: 251 Mal
Robert, das hat wenig mit Vertrauen in den TWS zu tun. Im Heimnetz tümmeln sich immer mehr Geräte.
Viele Hersteller haben das Thema Sicherheit nicht so hoch auf der Agenda, da es viel Kostet.
Musst ja nur Mal bei zB Heise.de die Sicherheitslücken bei IoT Devices suchen.
Wenn jetzt die 5€ China-Cam (China nur als Beispiel, betrifft natürlich alle unsicheren Produkte) offen wie ein Scheunentor ist und diese Cam im gleichen Netzwerksegment wie KNX-TP hängt, dann ist dies ein Angriffsvektor.
VG Alex
Viele Hersteller haben das Thema Sicherheit nicht so hoch auf der Agenda, da es viel Kostet.
Musst ja nur Mal bei zB Heise.de die Sicherheitslücken bei IoT Devices suchen.
Wenn jetzt die 5€ China-Cam (China nur als Beispiel, betrifft natürlich alle unsicheren Produkte) offen wie ein Scheunentor ist und diese Cam im gleichen Netzwerksegment wie KNX-TP hängt, dann ist dies ein Angriffsvektor.
VG Alex
VG Alex
Timberwolf122 (TWS 2500) // Wartungs-VPN: offen // Reboot: jederzeit
Timberwolf122 (TWS 2500) // Wartungs-VPN: offen // Reboot: jederzeit
-
- Reactions:
- Beiträge: 112
- Registriert: So Feb 17, 2019 5:10 pm
- Wohnort: Münsterland
- Hat sich bedankt: 379 Mal
- Danksagung erhalten: 57 Mal
Ich sperre für unseriöse oder wichtige Geräte (z.B. KNX Router) den Internetzugriff per Fritzbox. WLAN Geräte sind großteils nur im Gastnetz.
Ein eigenes VLAN wäre zwar wünschenswert, aber bisher habe ich den Aufwand gescheut.
Gruß
Andreas
Ein eigenes VLAN wäre zwar wünschenswert, aber bisher habe ich den Aufwand gescheut.
Gruß
Andreas
Gruß
Andreas
----------
timberwolf272 | 950Q (VPN offen + reboot nach Rückfrage)
Andreas
----------
timberwolf272 | 950Q (VPN offen + reboot nach Rückfrage)
-
- Reactions:
- Beiträge: 345
- Registriert: Di Okt 02, 2018 4:28 pm
- Wohnort: St. Ilgen, Baden-Württemberg
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 82 Mal
- Kontaktdaten:
Du darfst halt nicht vergessen, dass in einem unsegmentierten Netzwerk _ein_ übernommenes Gerät reicht, um sich von diesem weitre hangeln zu können.
Grüße
Marc
--
Marc Haber, St. Ilgen. Freier IT-Berater, Debian Developer.
TWS 950Q #326, VPN auf Anfrage - KNX, 1Wire (13/55/54 Slaves), MQTT, Cometvisu, viel Grafana, ganz ein bisschen Logik.
Marc Haber, St. Ilgen. Freier IT-Berater, Debian Developer.
TWS 950Q #326, VPN auf Anfrage - KNX, 1Wire (13/55/54 Slaves), MQTT, Cometvisu, viel Grafana, ganz ein bisschen Logik.
-
- Reactions:
- Beiträge: 157
- Registriert: So Aug 12, 2018 10:42 am
- Hat sich bedankt: 8 Mal
- Danksagung erhalten: 78 Mal
@Robert_Mini hatte ja eigentlich auf @danik's Frage bzgl. MAC-Beschränkung im TWS geantwortet.
Konkret diese sehe ich aber als wenig hilfreich, für den normalen User sogar eher als Gefahr, sich selbst auszusperren. Man muss immer min. zwei MACs eingetragen haben, falls einer der Rechner/Smartphones/etc. ausfällt. Sonst kommt man nicht mehr drauf und muss hoffen, dass das Wartungs-VPN offen ist, damit Elabnet helfen kann.
Weiterhin ist es möglich, die MAC zu ändern - inzwischen oft einfach über die Treibereinstellungen. Also hilft nur, den TWS in ein VLAN zu packen und dann den Zugriff in dieses VLAN zu steuern.
Konkret diese sehe ich aber als wenig hilfreich, für den normalen User sogar eher als Gefahr, sich selbst auszusperren. Man muss immer min. zwei MACs eingetragen haben, falls einer der Rechner/Smartphones/etc. ausfällt. Sonst kommt man nicht mehr drauf und muss hoffen, dass das Wartungs-VPN offen ist, damit Elabnet helfen kann.
Weiterhin ist es möglich, die MAC zu ändern - inzwischen oft einfach über die Treibereinstellungen. Also hilft nur, den TWS in ein VLAN zu packen und dann den Zugriff in dieses VLAN zu steuern.
Viele Grüße,
Thomas
timberwolf146 / Timberwolf Server 2500 Indian Gold + PBM / Version 1.6.0 IP3 (Wartungs-VPN offen / Reboot jederzeit möglich)
Thomas
timberwolf146 / Timberwolf Server 2500 Indian Gold + PBM / Version 1.6.0 IP3 (Wartungs-VPN offen / Reboot jederzeit möglich)