UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

[NEUHEIT] Neues Leistungsmerkmal: Kunden-VPN auf den Timberwolf Server

Neue Produkte, Rollouts, Änderungen, Aktionen
Forumsregeln
  • Bitte daran denken, dass für technische Probleme mit der Firmware, die NICHT die Installation selbst betreffen, jeweils ein separater Thread zu eröffnen ist. Bei Insider Versionen dann im entsprechenden Insider-Unterforum
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln

Ersteller
StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

Neues Leistungsmerkmal: Kunden-VPN auf den Timberwolf Server

#1

Beitrag von StefanW »

Hallo Foristen, Gäste und Interessenten, es gibt in Kürze ein neues Leistungsmerkmal:


"VPN-Verbindung aus dem Internet auf den Timberwolf Server und das interne Netz"

Wir waren nun beinahe 2 Jahre in Tests und BETA-Phase mit ein paar hundert mutigen Kunden. Vielen Dank dafür. Das System ist im Grundsatz ausgereift, aber ein paar Leistungsmerkmale fehlen noch, die wir unbedingt zum Release der Hauptversion V 1.5 mit dabei haben wollten.

Eines dieser wesentlichen Leistungsmerkmale ist das VPN, also der Zugriff von außen. Dieses Leistungsmerkmal ist intern fertiggestellt, wird gerade intensiv getestet und in Kürze mit einer der nächsten BETAs ausgerollt.


Daher kurz ein Preview dazu (die Texte in den Screenshots werden noch überarbeitet):


Ich denke, die Einstellungsseite ist uns übersichtlich gelungen, nur ganz wenige Eingaben sind ausreichend und schon kann man das Profil mit allen Einstellungen für die Clients (Smartphone / Tablett / Notebook) herunterladen:

Bild

Wichtiger Hinweis: Wir nehmen Sicherheit sehr ernst, daher wird ein sehr langes Schlüsselpaar erzeugt. Diese mathematischen Berechnungen sind aufwändig und obwohl die Timberwolf Server sehr performant sind, kann die Berechnung des Schlüsselpaares bis zu einer dreiviertel Stunde dauern. Bitte warten Sie dies ab, wenn es angezeigt wird. Das Anwender-Profil steht erst dann zum herunterladen zur Verfügung, wenn die Schlüsselpaare auch berechnet sind. Diese Schlüssel dienen zur Authentifizierung.


Dieses Profil enthält sämtliche Einstellungen und Zertifikate für den OpenVPN Client. Einfach die entsprechende APP auf sein Smart Device installieren, das Profil einlesen und schon geht es los:

Bild


Und damit man auch auf weitere Devices im internen Netz zugreifen kann, wurden die Einstellungen noch erweitert:

Bild

Damit ist mit einem Klick eingestellt, ob interne Geräte auch erreichbar sind und wie, also über welchen der Ethernet-Ports und ob per NAT oder via Routing (dann geht das auch in weitere, angeschlossene Netze).


Damit man dann auch weiß, was man nun im Netz noch einstellen muss (oder nicht) wird das nach der Einstellung erklärt:

Bild

Bild


Damit haben wir dann auch das Thema "Direkte VPN Einwahl mit Port-Weiterleitung" dem Leistungsumfang hinzugefügt. Der Zugriff via TLS (https) mit Portweiterleitung war ja von Anfang an verfügbar. Damit ist nun auch das Programmieren mit der ETS über VPN verfügbar.


Kommende Erweiterungen. Vor allem für Integratoren wird das indirekte VPN wichtig werden. Hier verbindet sich der Integrator nur mit der Timberwolf Cloud und kann dann auf alle seine Kunden-Server und das KNX-Netz zugreifen.


lg

Stefan
Zuletzt geändert von StefanW am So Nov 08, 2020 12:25 pm, insgesamt 5-mal geändert.
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

danik
Reactions:
Beiträge: 391
Registriert: Mo Sep 10, 2018 8:40 pm
Hat sich bedankt: 256 Mal
Danksagung erhalten: 266 Mal

#2

Beitrag von danik »

Toll, ein sehr wichtiges Feature für den TW, und so wie es aussieht für den normalen User einfach einzurichten. Was ich mit dem VPN Zugriff schon an Zeit aufgewendet habe (bevor ich mir eine Fritzbox angelacht habe).

Gruss
Dani
TW 3500L (#882) + TW 950Q (#321, im Moment inaktiv), VPN offen, Reboot nach Rücksprache

Ersteller
StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

#3

Beitrag von StefanW »

Jep, es sollte so einfach wie nur möglich sein.

Drei Klicks, Namen eingeben, OpenVPN Client installieren, Profile durch Klick runterladen und importieren und fertig (die Portweiterleitung muss jeder selbst hinbekommen, aber für letzteres ist ja noch die indirekte Variante über timberwolf.io geplant, dann wird es ganz einfach, weil da reicht dann nur noch ein Klick für die Freigabe.

lg

Stefan
Zuletzt geändert von Robert_Mini am So Jun 23, 2019 9:10 pm, insgesamt 1-mal geändert.
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Robert_Mini
Reactions:
Beiträge: 3741
Registriert: So Aug 12, 2018 8:44 am
Hat sich bedankt: 1164 Mal
Danksagung erhalten: 2058 Mal

#4

Beitrag von Robert_Mini »

StefanW hat geschrieben: So Jun 23, 2019 1:09 pm ...aber für letzteres ist ja noch die indirekte Variante über timberowolf.io geplant, dann wird es ganz einfach, weil da reicht dann nur noch ein Klick für die Freigabe.
Darauf freu ich mich schon seit ich der Ankündigung des TWS ;) !
Ist das auch für 1.5 geplant oder danach?

Lg Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / zusätzlich: 3500M/#935, 3500L/#1297

gbglace
Reactions:
Beiträge: 3585
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1253 Mal
Danksagung erhalten: 1649 Mal

#5

Beitrag von gbglace »

Für mich als totalen Netzwerk-Laie, brauche ich dann auch nicht die erweiterten .Endungen im TWS-Zertifikat, da ich hier ein eigenes VPN habe und nicht erst irgendwie extern durch das Fritz-Box VPN muss?

Schalte ich dann in der Fritz-Box wieder IPv6 aktiv, damit ich ne eindeutige IP nach draußen habe? Oder braucht es doch noch ne Kombination aus dem TWS-VPN und einer wie auch immer organisierten fixen IPv4 Adresse? Irgendwie muss ich ja erstmal von draußen den TWs anpingen können. :eusa-think:
Grüße
Göran

#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension

Ersteller
StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

#6

Beitrag von StefanW »

Guten Morgen Robert,
Robert_Mini hat geschrieben: So Jun 23, 2019 9:07 pmDarauf freu ich mich schon seit ich der Ankündigung des TWS ;) !
Ist das auch für 1.5 geplant oder danach?
Kommt mit einer der nächsten BETAs und Ist noch für die erste Hauptversion V 1.5 geplant.

Wir haben für die Hauptversion 1.5 folgende vier Themen, die bis zu deren Erscheinen noch realisiert sein sollen:
  1. Logik-Editor freigegeben (bereits im DEV-Test)
  2. VPN zur Einwahl von außen via Portweiterleitung (bereits entwickelt, kurz vor Freigabe im DEV-Test)
  3. Plugin-Container als APP (bereits im DEV-Test)
  4. Lösung für Proxy-Fehler Cometvisu
plus jede Menge Finishing


lg

Stefan
Zuletzt geändert von StefanW am Mo Jun 24, 2019 6:48 am, insgesamt 1-mal geändert.
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Ersteller
StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

#7

Beitrag von StefanW »

Guten Morgen Göran,
gbglace hat geschrieben: So Jun 23, 2019 10:12 pmFür mich als totalen Netzwerk-Laie, brauche ich dann auch nicht die erweiterten .Endungen im TWS-Zertifikat, da ich hier ein eigenes VPN habe und nicht erst irgendwie extern durch das Fritz-Box VPN muss?
Doch.

Das sind zwei verschiedene Paar Stiefel die man aber leicht verwechseln kann, weil die fast gleich aussehen.

1. "https-Tunnel": Die Verschlüsselung des Webseitenzugriffes stellt eine Verschlüsselung zwischen dem Webserver und dem Browser dar und wird mit dem Protokoll http/2 in Verbindung mit TLS V 1.2 vorgenommen. Das Zertifikat dient dem Browser dabei lediglich zur Authentifizierung (was technisch ein ganz anderer Vorgang ist als die Verschlüsselung, aber durch die Browser fest miteinander kombiniert wird und damit vorgegeben ist) des Webservers. Es handelt sich hier also beim verschlüsselten Browserzugriff bereits um einen per Zertifikat (zumindest einseitig, da sich nur der Webserver authentifiziert) authentifizierten und voll verschlüsselten VPN-Tunnel. Die VPN-Funktion ist hier im Browser und Webserver eingebaut. Die Bezeichnung "https-Tunnel" ist nicht korrekt aber für die meisten sicher verständlich.

2. OpenVPN-Tunnel: Ein OpenVPN Tunnel bedient sich ebenfalls der Verschlüsselung mit TLS nur gibt es hier ein paar einstellbare Optionen, eine Anwender-Verwaltung usw. Zur Nutzung benötigt man einen OpenVPN Client und einen OpenVPN Server (letzterer ist auf dem Timberwolf Server vorinstalliert). Wir verwenden hier auch Zertifikate für die Verbindung, allerdings beidseitig. D.h. es gibt ein Zertifikat im Server und es wird für jeden User der angelegt wird ein eigenes Zertifikat (automatisch) erstellt und in das "Profil", das ist eine Datei mit allen Einstellungen, miteingepackt. Der Port ist hier frei wählbar, womit man es den Hackern etwas schwerer machen kann, weil die meist auf bestimmten Ports suchen. Damit - und wegen dem clientseitigem Zertifikat - ist die Authentifizierung und die Sicherheit größer als beim einfachen "https-Tunnel". Zudem unterstützen wir hier auch noch Routing / NATen in das Netz

Der wesentliche Unterschied beider "VPNs" ist, dass das eine nur zwischen Browser und Webserver funktioniert und damit auch nur Web-Verbindungen (http-Protokolle) unterstützt. Der OpenVPN Tunnel funktioniert auf Netzwerkebene und kann damit den gesamten Datenverkehr einpacken und damit auch z.B. die Programmierung per ETS ermöglichen und auch alles andere. Es stellt also eine vollwertige Verbindung in das heimische Netz dar.

gbglace hat geschrieben: So Jun 23, 2019 10:12 pmSchalte ich dann in der Fritz-Box wieder IPv6 aktiv, damit ich ne eindeutige IP nach draußen habe? Oder braucht es doch noch ne Kombination aus dem TWS-VPN und einer wie auch immer organisierten fixen IPv4 Adresse? Irgendwie muss ich ja erstmal von draußen den TWs anpingen können. :eusa-think:
Grundsätzlich brauchst Du eine Namensauflösung auf Deine IP von außen, also eine DNS-Auflösung, sonst weiß der OpenVPN Client ja nicht wohin. Ob IPv6 funktioniert kann ich nicht sagen, das kommt eher darauf an, dass die Fritzbox das IPv6 von außen auf IPv4 innen richtig umsetzt bei der Portweiterleitung. Müssen wir testen. Das Problem ist eher, dass die meiste Welt noch IPv4 hat und die Umsetzung auf IPv6 zum DSL-Anschluss nicht mit reservierten IPv4 Adressen funktioniert.... Hier hilft dann nur die (geplante) indirekte Variante.

lg

Stefan
Zuletzt geändert von StefanW am Mo Jun 24, 2019 7:15 am, insgesamt 3-mal geändert.
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Robert_Mini
Reactions:
Beiträge: 3741
Registriert: So Aug 12, 2018 8:44 am
Hat sich bedankt: 1164 Mal
Danksagung erhalten: 2058 Mal

#8

Beitrag von Robert_Mini »

StefanW hat geschrieben: Mo Jun 24, 2019 6:47 am Guten Morgen Robert,
Robert_Mini hat geschrieben: So Jun 23, 2019 9:07 pmDarauf freu ich mich schon seit ich der Ankündigung des TWS ;) !
Ist das auch für 1.5 geplant oder danach?
Kommt mit einer der nächsten BETAs und Ist noch für die erste Hauptversion V 1.5 geplant.
Hallo Stefan!

Meine Frage (und Zitat) bezog sich auf den Zugriff von Außen über Timberwolf.io Cloud.
Wenn ich die Ziele für 1.5 sehe, ist dieses Thema nicht dabei (und auch kein Showstopper für V1.5) - ich sehne mich eben danach, weil ich am Thema Portweiterleitung bisher in Kombination mit UMTS Internet gescheitert bin.

lg
Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / zusätzlich: 3500M/#935, 3500L/#1297

gbglace
Reactions:
Beiträge: 3585
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1253 Mal
Danksagung erhalten: 1649 Mal

#9

Beitrag von gbglace »

Danke Stefan für die Erläuterungen.

Aber ich muss da nochmal nachlegen.
Der VPN Tunnel baut mir also einen gesicherten Zugriff ins gesamte heimische Netzwerk, das TWS-Zertifikat sichert darüberhinaus noch die Kommunikation zwischen Webserver (TWS Frontend) und meinem Browser.
Aber trotz VPN-Tunnelverbindung brauche ich aber mehr als ein .local Zertifikat im Browser, da ich immer noch extern und nicht Bestandteil des Fritzbox DHCP-IP-Verteilers bin.

Wenn dem so ist, werde ich mich mal drüben im anderen Thread auch um ein Zertifikat-Upgragde bewerben.
Und wenn das VPN Feature testbar ist werde ich mir also noch irgendwie ne IPv4 Adresse zulegen müssen um das extern vernünftig nutzen zu können. In der Fritze gibt es da ja was. Muss dann mal sehen ob das auch ohne Nutzung des FB VPN nutzbar ist.

Alles ganz schön kompliziert. Da man ja offensichtlich allein schon wg der fehlenden Verbreitung von externen fixen IP-Adressen eigentlich gar nicht so sauber an seine Geräte kommt. Damit ist ja eigentlich klar, dass jeder Hersteller schon allein deswegen alles über irgendwelche Clouds baut. Da melden sich beide Seiten (App aufn Handy und Gerät im LAN) von sich aus aktiv am Server und der Vermittelt. Das natürlich viel einfacher anzubieten als das jeder Haushalt noch irgendwas baut und bastelt um von extern mit fixen Adressen erreichbar zu sein.

Insofern ist das ganze System Internet im Sinne einer sicheren Infrastruktur alles andere als bedienerfreundlich.
Grüße
Göran

#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension

Robert_Mini
Reactions:
Beiträge: 3741
Registriert: So Aug 12, 2018 8:44 am
Hat sich bedankt: 1164 Mal
Danksagung erhalten: 2058 Mal

#10

Beitrag von Robert_Mini »

Das macht ja den Timberwolf.io Cloud-Service so interessant, weil einfach ohne fixe IP, dyndns, portmapping etc.

Robert
Timberwolf Server 2500 / #117 (VPN offen + reboot nach Rückfrage) / zusätzlich: 3500M/#935, 3500L/#1297
Antworten

Zurück zu „Bekanntmachungen“