Externer Zugriff auf CCU3 via FIP (feste-ip.net) easy2connect Box

[alchy]

Ich hab den Zugriff mittlerweile via OpenVPN gelöst - ist ja bei der FIP-Box quasi mit dabei.

Gute Entscheidung.

Lieber alchy, wenn ich eine CCU3 kaufe, dann nutzte ich das auch was mir vom Hersteller verkauft worden ist

Dagegen hab ich überhaupt nichts. Nur hat die Frage des TE nichts damit zu tun.
Er hat schon eine Fip Box und fragt hier nicht nach Alternativen. Er war nur zu faul VPN einzurichten und wollte es einfacher mit seiner Box haben.
Grundsätzlich hat Samson71 schon alles geschrieben.
Betrachte dich als "unter Beobachtung". Denn wie ich schon oben schrieb geht deine penetrante Werbung zu weit

Bei so einem Statement kann man nur was antworten, eigentlich gilt für für Deinen Avatar Samson "Wer nicht fragt bleibt dumm".

Und das ist auch nicht die Feine.

Scheinbar schafft es die Administration dieses Forums (warum auch immer) nicht das wirksam zu unterbinden.

Nun, vielleicht sollte ich mal mit einer Verwarnung anfangen. Eine einzige sollte reichen.

Alchy

[Fonzo]

Nur hat die Frage des TE nichts damit zu tun.
Er hat schon eine Fip Box und fragt hier nicht nach Alternativen.

Ach tatsächlich, die Frage der Portweiterleitung hat also Deiner persönlichen Meinung damit gar nichts zu tun? Er besitzt bereits knXpresso, damit ist eine Portweiterleitung grundsätzlich nicht notwendig, sondern der Hersteller verweist darauf ein Herstellen der VPN Verbindung zu knXpresso für einen Techniker Zugang zu nutzten. Und zum Thema externer Zugriff auf die CCU3 schreibt der Hersteller e-Q3 unüberlesbar selber:

Sicherheitshinweis – Port Forwarding NICHT benutzen
eQ-3 schätzt Port Forwarding allgemein als Sicherheitslücke ein und warnt bereits seit 2015 vor dessen
Nutzung mit der CCU.
Sollten Sie Port Forwarding mit der CCU nutzen, empfiehlt Ihnen eQ-3 dringend die Konfiguration zu
ändern.
Alternativen sind unter anderem:
• Nutzung einer VPN Lösung, z. B. in Verbindung mit einem DSL / Kabel-Router (wie beispielsweise
Fritz! Fernzugriff von AVM)
• Nutzung einer Fernzugangs-Lösung zur CCU, z. B. CloudMatic Connect
Falls Sie hierzu weitere Fragen haben, kontaktieren Sie uns hierfür unter support@eq-3.de

Tu dir selber einen Gefallen und trage wenigstens eine gültige Email in den Benutzereinstellungen der CCU ein. Dann kriegst du von mir eine Warnmail wenn ich deine CCU finde.

Das findest Du persönlich also gut im Zweifelsfall das Ausspähen von Daten anzuwenden, was eine strafbare Handlung darstellt?

Eine Portweiterleitung trotz bekannter Risiken einzurichten weil VPN nicht so einfach ist, zeugt nicht von Wissen.

Dann sei da doch einfach mal mehr eindeutig und schreib hin das er eine VPN Verbindung zu knXpresso aufbauen muss und alles andere nicht nur keine Option ist und von fehlendem Wissen zeugt, sondern das der Hersteller e-Q3 selber die Nutzung einer Fernzugangs-Lösung ausdrücklich empfiehlt bzw. die Nutzung von VPN.

[alchy]

Ach tatsächlich, die Frage der Portweiterleitung hat also Deiner persönlichen Meinung damit gar nichts zu tun?

Herrgott, verstehst du es nicht? Wo fragt der TE denn in seinem Post zum Beispiel nach einer alternativen Lösung zu seiner eingesetzten.
Was rechtfertigt dich denn, deine Werbekanone abzufeuern?
Und genau das nervt - und eben nicht nur mich. Oft genug sind es deine Posts die wegen Werbung gemeldet werden. Also der Hinweis von mir, das du es übertreibst. Begreifst du es nicht, wirst du verwarnt.

Das findest Du persönlich also gut im Zweifelsfall das Ausspähen von Daten anzuwenden, was eine strafbare Handlung darstellt?

Aber sicher. Ich warne nicht nur im Forum vor Benutzung von Portweiterleitungen.
Ich gehe schon seit Jahren das Risiko ein und scanne nach offenen CCUs und schreibe deren Besitzer an. Den meisten hat das geholfen.
Hast du ein Problem damit?

Dann sei da doch einfach mal mehr eindeutig und schreib hin das er eine VPN Verbindung zu knXpresso aufbauen muss und alles andere nicht nur keine Option ist und von fehlendem Wissen zeugt, sondern das der Hersteller e-Q3 selber die Nutzung einer Fernzugangs-Lösung ausdrücklich empfiehlt bzw. die Nutzung von VPN.

Dem TE war es völlig wurscht was der Hersteller schrieb. Er wusste doch "über die Risiken Bescheid":

PS: Bitte keine Grundsatzdiskussion über freigegebene Ports ... ich weiß über die Risiken Bescheid. Die FIP-Box beinhaltet auch noch einen VPN-Tunnel mit welchem ich den Zugriff lösen könnte, der Weg über die Ports ist jedoch einfacher.

Und genau deshalb der 1. Post hier im Thread von mir so wie er ist und wohl auch der Post von Xel66.
Wenn du zur Abwechslung mal vor dem Posten deiner Werbung die Posts lesen würdest, hättest du das vielleicht bemerkt.

Alchy

[Samson71]

Herrgott, verstehst du es nicht?

Natürlich tut er das. Die Frage ist will er das....

Was rechtfertigt dich denn, deine Werbekanone abzufeuern?

Das macht er doch nicht nur hier. Der ist doch in einem halben Dutzend Foren angemeldet, wo er sich genauso besch..... verhält. Die Werbekanone für IPSymcon feuert u.a. ebenso im Mediola-Forum oder bei alefo.de (Alexa-Forum) mit den teils entsprechenden Beschwerdeposts.

Einzig im ioBroker Forum hat er zu Anfang auch "getrollt", dann aber seine "Bemühungen" dort eingestellt und kommt auf nicht mal 100 Beiträge, vermutlich auch weil es dort nicht genügend Punkte zum Einklinken der Werbekanone gibt. Da ist der letzte Beitrag aus 01/2019. Ich gehe aber auch nicht davon aus, dass man ihn dort so lange gewähren lassen würde.

[Fonzo]

Wo fragt der TE denn in seinem Post zum Beispiel nach einer alternativen Lösung zu seiner eingesetzten.

Aus meiner Sicht gibt es nur zwei Möglichkeiten mit so einer Frage umzugehen, entweder wie Du zu sagen dann braucht er gar nicht zu fragen, weil man über solche Sachen an sich nicht zum zichsten mal diskutieren muss, oder eben noch mal in aller Deutlichkeit darauf hinzuweisen, das genau für den Zweck den er sucht, der Hersteller ganz explizit Fernwartungsdienste nahelegt. Es kommt mir im Übrigen schon komisch vor, dass jemand ein System kauft und dann erst ein dreiviertel Jahr später auf den Gedanken kommt, sich über eine Remotezugang Gedanken zu machen, so was wird in der Regel eingerichtet, wenn man so ein System übergeben bekommt bzw. dies installiert worden ist.

Ich gehe schon seit Jahren das Risiko ein und scanne nach offenen CCUs und schreibe deren Besitzer an. Den meisten hat das geholfen.
Hast du ein Problem damit?

Ich persönlich habe da kein Problem damit, ich kann Deine Intention auch verstehen. Es ist und bleibt aber eine strafbare Handlung und Du kannst eben von Glück sagen, dass dies ein Antragsdelikt ist, es hängt also davon ab, ob derjenige, dem Du vermeintlich Hilfe zukommen lassen willst, dies auch als Hilfe begreift, oder Dich nicht eben anzeigt. Mir wäre das Risiko, dass Du trägst persönlich zu hoch, am Schluss geräts Du an den falschen der Dich anzeigt, weil er das beim besten Willen nicht als Hilfe, sondern unerlaubtes Eindringen begreift, aber das must Du ja für Dich wissen, was Du machst und was Du bereit bist dafür als Risiko zu tragen.

Dem TE war es völlig wurscht was der Hersteller schrieb. Er wusste doch "über die Risiken Bescheid":

Das es ihm zunächst mal egal sein mag, kann ja sein, das er "über die Risiken Bescheid" weis, glaubst Du doch selbst nicht, wenn er ein dreiviertel Jahr braucht, um auf die Idee zu kommen sich dem Thema Zugang auf sein System überhaupt erst mal zu widmen, was an sich am ersten Tag der Inbetriebnahme des Systems eingerichtet wird und wenn er sogar fragen muss, welche Ports er denn freigeben muss, um auf die Weboberfläche der CCU zu kommen. Und genau für solche Nutzer, die offensichtlich keinerlei Verständnis vom Risiko haben, empfiehlt der Hersteller ein Fernwartungsdient. Da muss man weder denken, noch sich über Risiken Gedanken machen, es funktioniert einfach sicher und zuverlässig. Wenn das jeder beherzigen würde und nicht die Warnungen des Hersteller in den Wind schlagen würde, dann müstest auch Du nicht so ein Risiko eingehen bzw. Zeit opfern Benutzer auf Sicherheitlücken hinzuweisen, die diese ganz offentlichlich selber durch Fahrlässigkeit verschuldet haben.

Aber ich habe Dein Punkt verstanden, ich werde solche Posts einfach in Zukunft gewissentlich ignorieren, mir meinen Teil dabei denken, und bestimmt nicht darauf hinweisen, das der Hersteller andere sichere Wege vorsieht. Und wenn Du dann weiterhin für solche Nutzer nachträglich die Kohlen aus dem Feuer holen willst und Deine Zeit dafür opferst und persönliches Risiko dafür trägst, habe ich davor Respekt, mein Ding wäre es nicht und ich würde persönlich so ein Riskio auch nicht eingehen.

[jp112sdl]

Das findest Du persönlich also gut im Zweifelsfall das Ausspähen von Daten anzuwenden, was eine strafbare Handlung darstellt?

Es ist und bleibt aber eine strafbare Handlung

Beziehst du dich dabei auf den § 202a?

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

Eine CCU, die direkt aus dem Internet erreichbar ist, ist "gegen unberechtigten Zugang besonders gesichert" ?

Problematisch ist eher die Frage, in welchem Irrtum sich der Kunde befindet, der mit einem in der WebUI vergebenen Passwort vermeintlich eine Zugangssicherung einrichtet und die - wie sich wohl noch nicht offensichtlich genug rumgesprochen hat - unwirksam ist/sein kann.

[Fonzo]

Eine CCU, die direkt aus dem Internet erreichbar ist, ist "gegen unberechtigten Zugang besonders gesichert" ?

Problematisch ist eher die Frage, in welchem Irrtum sich der Kunde befindet, der mit einem in der WebUI vergebenen Passwort vermeintlich eine Zugangssicherung einrichtet und die - wie sich wohl noch nicht offensichtlich genug rumgesprochen hat - unwirksam ist/sein kann.

Es ist irgendwie sinnlos sich als nicht Jurist mit Gesetzestexten auseinander zu setzten, denn genau das ist es, was dann ein Gerichtsverfahren ausmacht bzw. warum nicht jedes mal exakt das gleiche Urteil raus kommt, bzw. warum ein Revisionsverfahren teilweise zu einem anderen Urteil kommt.
Es gibt da vollkommen unterschiedliche Urteile dazu, und auch unter Juristen unterschiedliche Meinungen.

Bevor man sich um solche Dinge eben überhaupt Gedanken machen muss, ist meine persönliche Option eben ein Fernwartungsdienst zu nutzten, was hier ja für reichlich Diskussionen sorgt, deshalb will ich das jetzt nicht wieder aufwärmen. Für die meisten Kunden ist die sichere Konfiguration einfach durchaus ein Herausforderung. Daher sollte man eben auch immer VPN nutzen wenn möglich, und wenn man es einfacher haben will oder VPN eben nicht einfach geht, eben ein Fernwartungsdienst.

[Gernot_D]

Hallo zusammen!

Ich hab den Zugriff mittlerweile via OpenVPN gelöst - ist ja bei der FIP-Box quasi mit dabei. Mich hat's halt gewundert warum das mit der CCU3 nicht auch über die Ports funktioniert. Und wenn ich auf etwas stoße das nicht auf Anhieb so funktioniert wie erwartet dann juckt's mich halt und würde gern verstehen warum.

Übrigens: Mir sagen die Services von Mediola und ebenso Cloudmatic nicht zu u.a. auch wegen der Kostenseite. Die FIP Box kostete mich gar nichts, da es das Installationsscript (mittlerweile auch für Rasperry Pi 4 mit Rasbian) kostenlos gibt und dann eben bloß EUR 19,80 jährlich anfallen. Sodann habe ich problemlosen Zugriff auf meinen KNX-Bus und den knXpresso Webserver über welchen ich HM, Hue, Harmony, EnOcean, etc. ... angebunden haben.

LG

Hallo Thomas,
hast du die CCU hinter einer DS-light IPV6 Internetanbindung laufen? Ich wundere mich wie das bzw. ob es dann auch mit der OpenVPN Lösung funktioniert.
Gruss
Gernot