Pro/Kontra Fernzugriff mit DynDns, Fixe IP, SSL

[Blaufluss]

Hallo zusammen

Was muss/soll beim Fernzugriff über das Internet auf die Haus-Automation für ein Sicherheitslevel eingesetzt werden?

Bei einer DSL Verbindung ohne fixe IP über z.B. Dyndns.com die Verbindung aufbauen, oder besser eine fixe IP abonnieren (Aufpreis)? Ist die Verbindung zwingend verschlüsselt (SSL) zu verwenden? Bei DynDns.com geht die SSL Verschlüsselung nach meinem Kenntnisstand nicht. Also falls SSL -> fixe IP. Oder gibt es DynDns-Dienste, die SSL zulassen?

Wie stellt ihr euch dieser Problematik?

Für eure Meinungen und Beihilfe danke ich euch bestens.

 

[volki]

Ich persönlich würde Dir empfehlen via VPN (IPsec) auf Dein Heimnetzwerk zu zu greifen. Viele Router (Fritzbox, Netgear, Linksys) haben so etwas heute eingebaut. Auf Deinem Endgerät muss das entsprechend konfiguriert werden (z.B. iPhone, iPad, Android,....). Wenn der Router zusätzlich SSL-VPN unterstützt kannst Du auch über einen Webbrowser eine sichere Verbindung auf bauen.

Falls wir etwas in die Richtung machen werden, dann erfolgt der Zugriff ausschliesslich via VPN oder SSL-VPN. Auf meiner Fritz-Box ist das heute bereits so konfiguriert. Wenn Du anstelle der IP (egal ob fix oder dynamisch) einen Namen wählen kannst ist das auf jeden fall einfacher. Falls Du eine fixe IP hast kannst Du trotzdem Dyndns verwenden. Es muss nur sichergestellt werden, dass die IP automatisch aktualisiert / bestätigt wird (wenn fix). Dies können ebenfalls heutige Router, alternativ gibt es eine SW von DynDNS die auf einem Rechner laufen muss der permanent eine Verbindung ins Internet hat. Der übernimmt das alternativ.

Gruss

Christian

 

[Blaufluss]

Hallo volki / Christian

Danke für deinen Input. Habe schon von VPN gehört, aber noch nie angewendet.

Frage: Ich möchte bei meiner Ferienwohnung auf verschiedene Komponenten (Loxon-Server, Webcam, u.a.) zugreifen. Geht dies mit VPN? Mein Zyxel unterstützt nur Passthrough VPN.

Gruss

Stephan

 

[gfc]

Ohne VPN ist einfach fahrlässig.

 

[volki]

Frage: Ich möchte bei meiner Ferienwohnung auf verschiedene Komponenten (Loxon-Server, Webcam, u.a.) zugreifen. Geht dies mit VPN? Mein Zyxel unterstützt nur Passthrough VPN.

"Passthrough VPN" bedeutet, dass Dein Router VPN Anfragen von aussen durchlassen und weiterleiten kann (auf den entsprechenden Ports). Das bedeutet aber nicht, dass der Router einen "VPN Server" oder "VPN Dienst" an sich beherrscht. Für einen VPN Zugang sehe ich zwei Optionen:

1. Du konfigurierts einen VPN Server hinter dem Router, zu dem Du die Verbindung aufbaust

2. Neuer Router, der nativ einen VPN Dienst hat

Sobald Du eine Verbindung via VPN aufgebaut hast, bist Du mit Deinem Endgerät im lokalen Netzwerk und kannst alle Geräte dort via TCP/IP erreichen. Daher ist auch der Zugriff auf einen Homeserver oder eine Webcam möglich.

Gruss

Ch.

 

[alfine]

ssl und ssh ist sicher, es gibt einfache (günstige) Geräte die eine Sicherheitsabfrage machen mit Benutzer und Passwort, das ganze funktioniert auch mit Dyndns.

ssl und ssh verschlüsseln die Übertragung und das Zusatzgerät lässt nur registrierte Benutzer in dein System, ganz einfach. So kann man eine Fernwartung auf fast alle Geräte die eine Ethernet Schnittstelle haben realisieren, also auch auf eine KNX Anlage mit IP-Interface oder einen Homeserver.

Wenn du oder jemand anders mehr dazu wissen möchtet schreibt mir einfach eine PN.

Gruss

 

[Flat E.]

@alfine

mach doch das bitte hier öffentlich im Forum ... es interessiert sicherlich auch andere User .. mich eingeschlossen

einfach wäre gut ... ich hätte auch Freude wenn ich von "überall" her auf mein Netzwerk bzw meine Daten Zugriff hätte

was ist Voraussetzung dafür ... was kann der DAU (dümmste anzunehmende User) machen, damit das einigermassen sicher klappt ?

Gruss

Flat E.

 

[volki]

Wenn Du z.B. ein iP* Produkt einsetzt kannst Du IMHO jedoch nur via IPSec, PPTP oder L2TP eine Verbindung aufbauen. Es sei denn es gibt einen Client vom Router Hersteller (z.B. Sonicwall), mit dem das alternativ funktioniert.

@Flat E. - was setzt Du denn für Endgeräte ein resp. von welchen Endgeräten aus möchtest Du auf Dein Netzwerk zugreifen? Was für einen Router hast Du?

Den Enterprise Bereich lassen wir mal weg, mit der Fritz-Box und iPhone/iPad habe ich das bei mir aufgesetzt. Bei Fragen, fragen... ;-)

 

[Flat E.]

Hallo volki

also, dann oute ich mich halt hier als "doofmann" in Sachen IT-Netzwerk & Co

ich habe im Keller einen swisscom Motorola vdsl isdn Router

weiter ein synology ds211j und ein zyxel switch

dann im EG ein zyxel wlan Router, nochmals ein zyxel switch

ein Brother netzwerkfähigen Drucker hl 4040-cn

ein Brother Multifunktionsgerät (Fax,scan, Drucker) mfc 7420 (wohl nicht netzwerkfähig)

ein Laptop und ein Desktop-PC

nun stelle ich mir eigentlich vor, dass ich von irgendeinem - mit dem Internet verbundenen - PC (z.b im Geschäft, per Laptop aus den Ferien, oder evt mit ipad/iphone) auf die Diskstation (synology) und deren Datein evt sogar auf die anderen Geräte (Drucker, Laptop und Desktop-PC) zugreifen kann ..

??? /emoticons/default_confused.png

Gruss

Flat E.

 

[volki]

Aaalso wenn Du auf die Diskstation zugreifen möchtest bräuchtest Du theoretisch kein VPN. Auf dem Router muss dazu aber trotzdem port forwarding konfiguriert werden. Der Nachteil dabei ist, dass jeder, der über Deine IP oder den DNS Namen auf den entsprechenden Port zugreift die Anmeldemaske der Diskstation angezeigt bekommt. Das ist suboptimal und würde ich definitiv empfehlen!

Konzentrieren wir uns als erstes auf den Motorola VDSL Router. Hast Du hierzu Zugang? Was ist das für ein Gerät? Mit dieser Info können wir prüfen ob er VPN beherrscht und falls ja, welche Modi.

Gruss

volki

 

[isitom]

Also ich habe das bei mir mit dem Port Forwarding und der Diskstation so konfiguriert.

Der Vorteil dabei ist, dass Du von allen Geräten her auf die Dateien zugreiffen kannst.

Für iOS Geräte gibts hierfür schicke Apps.

Die Anmeldung erfolgt über SSL.

Gruss,

Thomas

 

[Flat E.]

Konzentrieren wir uns als erstes auf den Motorola VDSL Router. Hast Du hierzu Zugang? Was ist das für ein Gerät? Mit dieser Info können wir prüfen ob er VPN beherrscht und falls ja, welche Modi.

Hallo volki

also das Gerät ist dieses hier

was heisst Zugang ? ob ich den in der Systemsteuerung -> Netzwerkumgebung sehe und anwählen kann ?

das wäre dann wohl dieser Gateway in meiner Netzwerkumgebung

wenn ich ihn doppelklicke, wird er als 192.168.1.1 Netopia 7000 benamst und erfordert einen Benutzername und ein Kennwort ... hab ich aber keinen blassen Schimmer ... werder für den Namen noch das Kennwort /emoticons/default_ohmy.png

Gruss

Flat E.

 

[isitom]

Versuchs mal mit

Benutzer: admin

Passwort: 1234

 

[Blaufluss]

Hallo volki

also das Gerät ist dieses hier

was heisst Zugang ? ob ich den in der Systemsteuerung -> Netzwerkumgebung sehe und anwählen kann ?

das wäre dann wohl dieser Gateway in meiner Netzwerkumgebung

wenn ich ihn doppelklicke, wird er als 192.168.1.1 Netopia 7000 benamst und erfordert einen Benutzername und ein Kennwort ... hab ich aber keinen blassen Schimmer ... werder für den Namen noch das Kennwort /emoticons/default_ohmy.png

Gruss

Flat E.

Du hast demnach ein Internetabo bei Swisscom. Die Router-Zugangsdaten findest du mittels Kundenlogin auf der Swisscom-Homepage.

Gruss

Blaufox

 

[Flat E.]

das 1234 funzte nicht

aber der Tip von Blaufox hat geklappt ... somit wäre ich jetzt in der Lage in "Routereinstellungen" zu gelangen ...

was nun ?

Gruss

Flat E.

 

[Blaufluss]

Ich habe auch Swisscom und ein ADSL Router Motorola Netopia 7357-84. Auf den Konfigurationsseiten des Routers (meistens http://192.168.1.1) ist aber nichts von VPN zu erkennen (siehe Printscreen). Ausser es gibt noch einen anderen Namen dafür.

 

[isitom]

Hey! Das sieht ja aus wie bei mir. /emoticons/default_smile.png

Das ist leider nix VPN /emoticons/default_sad.png

Gruss,

Thomas

 

[Moudi]

Hallo zusammen

Ich nutze Teamviewer für den Zugriff.

Im Haus fungiert ein Asus Eee als "Server" und ein NAS.

Gruss moudi

 

[france]

Also wenn du nur auf Daten zugreifen willst dann reicht Teamviewer.

 

[volki]

Die Idee von Blaufox und Flat E. war ja, sich remote in das Netzwerk ein zu wählen um dort direkt von einem mobilen Endgerät aus auf die Daten UND die Geräte (IP) zugreifen zu können. Für das Thema Datenzugriff (für Synology oder Qntap) gibt es Apps mit denen man (port forwarding aktiviert) auf das Device zugreifen kann. Bleibt noch der IP Zugriff auf Webcam, Homeserver etc. Dafür braucht man dann ein VPN inkl. einem Gerät, welches das VPN als Endpunkt terminieren kann (meist der Router). Im Fall von Blaufox und Flat E. ist der Swisscom Router leider nicht in der Lage VPN zur Verfügung zu stellen.

Teamviewer ist eine klasse Applikation und wäre eine "einfache" Alternative, man steuert hier aber einen PC fern, was nicht das gleiche ist wie in direkter Zugriff auf Endgeräte.