3.53.34.20201121 - größere Probleme beim Umstieg von CCU2

[Black]

das mit dem keyserver im restore Fall sehe ich als eine grosse Archillesferse des HM-IP Systemes:

viewtopic.php?f=47&t=58644&start=20

Black

[jmaus]

Ich hab die FW mal kurz komplett geöffnet für den Raspi...und schon kann man das Systemupdate der CCU2 einspielen und auch der Start geht zügig (ist jetzt nach knapp der Minute oben).

Seltsam dennoch warum da die RM nach draußen will.....

Das hat nichts mit "RaspberryMatic" zu tun, sondern ist auf einer CCU3 und sogar auf einer CCU2 auch so wenn du zu einer anderen CCU2 mit einer anderen Seriennummer gewechselt hättest. Hier muss eben für das Funkmodul ein gewisses "Rekeying" über die Server von eQ3 durchgeführt werden und dafür brauch es eben das Internet. Und ich kann weiterhin nur empfehlen dieses generelle Paranoia-Internet-geblocke zu deaktivieren. Es ist einfach nicht notwendig und macht wie man an diesem Beispiel sieht nur unnötig Thermik und Probleme.

[jmaus]

Und zum Thema pauschal blocken:
Da es sich hier um das Netz einer Firma handelt, wird üblicherweise eine DENY ALL Strategie gefahren.
Also alles geblockt was man nicht explizit benötigt.

Habt ihr wirklich alles nach außen offen ?
Fände ich in einem professionellen Umfeld offen gesagt ziemlich mutig.

Natürlich habe ich persönlich ALLES von innen ins Internet aus offen und blocke nur explizite Dinge die ich nicht will bzw. die mir negativ auffallen.

Und das ist selbst bei mir bei der Arbeit so und da arbeiten >1000 Personen. Es macht einfach zuviel Thermik/Probleme generell alles zu blocken und ist meines Erachtens nur ein negatives Zeugnis der ängstlichen Seele der zuständigen IT Mitarbeiter oder gar Ausdruck der Faulheit regelmäßig einen Blick in die Firewall-Logs zu werfen um ggf. Probleme frühzeitig zu erkennen und entsprechend dann schnell reagieren zu können. Es gibt in 99.9% der Fälle inhaltlich überhaupt keinerlei Grund (ausser man arbeitet vielleicht im Militärischen/Geheimdienstlichen Bereich) den Traffic von innen -> Internet den gleichen DENY ALL regeln zu unterziehen wie man das natürlich für den umgedrehten Weg (Internet -> Innen) normalerweise macht. Aber das ist wie gesagt IMHO.

[firefox_i]

Das hat nichts mit "RaspberryMatic" zu tun, sondern ist auf einer CCU3 und sogar auf einer CCU2 auch so wenn du zu einer anderen CCU2 mit einer anderen Seriennummer gewechselt hättest. Hier muss eben für das Funkmodul ein gewisses "Rekeying" über die Server von eQ3 durchgeführt werden und dafür brauch es eben das Internet. Und ich kann weiterhin nur empfehlen dieses generelle Paranoia-Internet-geblocke zu deaktivieren. Es ist einfach nicht notwendig und macht wie man an diesem Beispiel sieht nur unnötig Thermik und Probleme.

Sorry wenn es so rüberkam, dass es nur die RM betrifft - war nicht meine Absicht.

Zu meinem Verständnis: ist das rekeying nur im RestoreFall nötig?
Ich frage deshalb, weil ich bei einem zweiten System eben kein Rekeying gebraucht habe (das ist aber auch komplett neu aufgesetzt worden, also kein Restore).

Natürlich habe ich persönlich ALLES von innen ins Internet aus offen und blocke nur explizite Dinge die ich nicht will bzw. die mir negativ auffallen.

Nur wie fallen dir die Dinge auf, wenn Du alles offen hast und dein FW nichts meldet ?

Es macht einfach zuviel Thermik/Probleme generell alles zu blocken und ist meines Erachtens nur ein negatives Zeugnis der ängstlichen Seele der zuständigen IT Mitarbeiter oder gar Ausdruck der Faulheit regelmäßig einen Blick in die Firewall-Logs zu werfen um ggf. Probleme frühzeitig zu erkennen und entsprechend dann schnell reagieren zu können.

Puh harte Meinung, aber auch hier die Frage: wie soll in den Logs was auffalle, wenn die Firewall nix zu bemängeln hat (eben weil ja alles nach außen offen ist).

Es gibt in 99.9% der Fälle inhaltlich überhaupt keinerlei Grund (ausser man arbeitet vielleicht im Militärischen/Geheimdienstlichen Bereich) den Traffic von innen -> Internet den gleichen DENY ALL regeln zu unterziehen wie man das natürlich für den umgedrehten Weg (Internet -> Innen) normalerweise macht.

Ja mag paranoid sein, aber ich weiß gerne, was über meinen Anschluss passiert.
Aber das ist nun meine Meinung....



S.

[firefox_i]

Und bezüglich Firmennetz: Das System heißt Homematic und ist für den Betrieb in üblichen Konstellationen in Anwendernetzwerken vorgesehen. Und da sind solche Restriktionen eher unüblich.

Naja, den Markennamen als Beleg für den Einsatzzweck zu nehmen ist gewagt

Unüblich mag sein, aber dann hätte ich zumindest erwartet, dass es zumindest keine solchen Probleme gibt wie nicht funktionierende Konfiguratonsseiten.
Selbst ein System-Reset hat nicht geholfen.
Die Zentrale hat keine DHCP Anforderung mehr rausgeschickt (Wireshark).
Kann es sein, dass beim System-Reset eventuell nur die IP Adressen rausgenommen werden, aber die Info "du musst Dir ne Adresse via DHCP holen" nicht gesetzt wird?

Bezüglich des anderen Standortes, der keinen Zugriff benötigte. Wurde dort das System auch so initial neu aufgesetzt (also incl. Funkmodulwechsel)?

Ich habe dort auch ein Funkmodul als Bausatz mit einem Raspi verheiratet (eben wie jetzt auch).
Der Unterschied ist lediglich, dass ich dort kein Backup eingespielt habe, sondern das System komplett neu aufgesetzt habe.

S.

[firefox_i]

Wenn man Selbstbausensoren mit dem HB-TM-Devices addon hat und das auf der CCU2 deinstalliert....dann sind die nach dem Restore und auch dem reinstallieren des Addons leider nimmer da...

Gruß
S

Hat mir hier noch einer einen heißen Tipp wie ich das - zumindest für die Zukunft - vermeiden kann ?

S.

[deimos]

Hi,

Es macht einfach zuviel Thermik/Probleme generell alles zu blocken und ist meines Erachtens nur ein negatives Zeugnis der ängstlichen Seele der zuständigen IT Mitarbeiter oder gar Ausdruck der Faulheit regelmäßig einen Blick in die Firewall-Logs zu werfen um ggf. Probleme frühzeitig zu erkennen und entsprechend dann schnell reagieren zu können.

Ein Deny All macht meiner Meinung nach deutlich mehr Sinn, als ein Allow All. Die Zeiten sind einfach vorbei, in dem das Internet ein gefahrloser Raum waren, Stichwort Trojaner, Spammer, ...
Grade im Unternehmensnetz gibt es wenige Gründe, warum ein Rechner blanko ein Allow All haben sollte, das braucht er normalerweise nicht. Sinniger ist da ein Deny All auf IP Ebene und ein HTTP Proxy, welcher dann wiederum deutlich mehr Rechte haben kann. Vorteil: Du kannst auf dem Proxy viel mehr auf Sicherheit prüfen (z.B. transparenter Virenscanner), kannst zentral böse Adressen blocken, ... E-Mail sollte generell über einen zentralen Mailserver laufen, das brauchst du im Unternehmenskontext im Zweifel schon alleine wg. Dokumentationspflichten. Welche anderen Dienste bleiben dann für den Otto-Normal-Nutzer dann noch übrig? Im Unternehmenskontext extrem wenig.

Auch im privaten muss mal sich die Frage stellen, warum Allow All? Ich habe meine komplette Hausautomatisierung in einem eigenen VLAN und da ist sehr klar geregelt, was ins Internet raus darf, warum sollte z.B. eine Steckdose Internet Zugang haben? Mit einem Deny All für diese Steckdose kann ich aber recht gut verhindern, dass sie sich im Fall des Falles zu einem Command-Server verbinden kann. Dass das kein theoretische Szenario ist, hat man ja vor ein paar Monanten gesehen, als sie den fetten Bug in einem Embedded TCP Stack gefunden haben, der genau für sowas genutzt wurde.

Viele Grüße
Alex

[Xel66]

Naja, den Markennamen als Beleg für den Einsatzzweck zu nehmen ist gewagt

Andersrum wird ein Schuh draus. Der Hersteller hat den Markennamen mit Bedacht gewählt. Und die Zielgruppe ist eindeutig der Privatanwender.

Hat mir hier noch einer einen heißen Tipp wie ich das - zumindest für die Zukunft - vermeiden kann ?

Den Hinweis hast Du doch oben schon bekommen. Das System benötigt in bestimmten Betriebszuständen einen Internetzugriff. Bei Problemen (Anmeldevorgängen, Neuinstallationen) ist ihm eben dieser Zugriff zu gewähren. Die CCU benötigt auch regelmäßig Zugriff auf einen NTP-Server. Das kann man aber durchaus im eigenen Netz erledigen.

Gruß Xel66

[firefox_i]

Andersrum wird ein Schuh draus. Der Hersteller hat den Markennamen mit Bedacht gewählt. Und die Zielgruppe ist eindeutig der Privatanwender.

Naja. Auf der Light&Building war die Zielgruppe für die Homematic Wired IP aber nicht nur die 3 Zimmer Wohnung sondern auch durchaus größere Gebäudeinstallationen. Aber egal.
Die Zentrale braucht Internetzugang und damit gut - hab ich jetzt schon kapiert.

Hat mir hier noch einer einen heißen Tipp wie ich das - zumindest für die Zukunft - vermeiden kann ?

Den Hinweis hast Du doch oben schon bekommen. Das System benötigt in bestimmten Betriebszuständen einen Internetzugriff. Bei Problemen (Anmeldevorgängen, Neuinstallationen) ist ihm eben dieser Zugriff zu gewähren. Die CCU benötigt auch regelmäßig Zugriff auf einen NTP-Server. Das kann man aber durchaus im eigenen Netz erledigen.
[/quote]
Moment...bei der Frage ging es aber um was anderes und zwar um die Frage, wie ich in Zukunft verhindern kann, dass selbst gebaute Aktoren die mittels HB-TM-Devices addon eingebunden werden verloren gehen.


Warum es bei einem neu aufgesetzten System aber anstandslos funktioniert ist aber immer noch nicht klar.

[Xel66]

... sondern auch durchaus größere Gebäudeinstallationen. Aber egal.

Messegeschwafel von unterqualifizierten Standbetreuern. Da es vor "kurzem" sogar gerade für den Accesspoint eine Begrenzung auf (IRC) 80 Geräte gab, ist diese Aussage erst recht nicht belastbar. Und "größere Gebäudeinstallationen" mit der bis dahin gebotenen Funkreichweite ist auch eher fraglich (ja, ich kenne die Routing-Funktion mancher Aktoren und auch das wired-System). Ein mehretagiges Einfamilienhaus würde ich nicht unbedingt als "größer" bezeichnen, obwohl man da auch so einiges an Aktorik vergraben kann. Für größere Installationen gibt es KNX.

Das mit der selbstgebauten Aktorik. Würde mal tippen, dass die Definitionen von Geräten vor dem Einspielen eines Backups installiert werden muss.

Gruß Xel66