Antwort schreiben 
 
Themabewertung:
  • 0 Bewertungen - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
VPN zwingend nötig? Und erkennen die Tür/Fensterkontakte bereits Aufhebelungsversuch?
02-03-2018, 15:42
Beitrag: #1
VPN zwingend nötig? Und erkennen die Tür/Fensterkontakte bereits Aufhebelungsversuch?
Hallo zusammen,

ich möchte mir in Kürze wohl eine Lupusec XT3 zulegen.

1. Frage:
Im Forum steht ja schon viel über IPv4 / IPv6. Wenn ich es als absoluter Technik-Laie richtig verstehe, sollte man die Anlage aber besser per VPN installieren lassen, damit der Fernzugriff (per App!?) sicherer ist bzw. es nicht so schnell manipuliert werden kann? Ist das korrekt?

Kurz zu meinem Setup: Ich habe eine Fritzbox 7560 (die scheinbar sowohl IPv4 als auch IPv6 kann/nutzt), benutze die Fritzbox aber aufgrund mangelnder Reichweite und Verbindungsabstürze eher als Modem.
An der Fritzbox habe ich als Router das Netgear Orbi System laufen (mit zwei Satelliten zur Verstärkung der WLAN Reichweite). Es bestehen also im Prinzip zwei WLAN Netzwerke, wobei ich das der Fritbox nicht wirklich nutze. Frage wäre hier also: Kann/sollte man die Lupusec daher ans Orbi System anschließen? (per Kabel oder geht das wireless)?

2. Frage:
Wisst ihr, ob die Tür/Fensterkontakte (V2) auch bereits bei einem Aufhebelungsversuch alarmieren? Oder erst, wenn der Einbrecher mehr oder weniger drin ist? Gibt es hier ansonsten eine mögliche Alternativlösung als "add-on", um frühzeitiger alarmieren zu können (ggf. auch anderer Hersteller)?

Besten Dank für Eure Tipps!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
02-03-2018, 18:32
Beitrag: #2
RE: VPN zwingend nötig? Und erkennen die Tür/Fensterkontakte bereits Aufhebelungsver
Vorweg wegen der mehrdeutigen Fragen und vermischen von Techniken, die sicher mangels Wissen entstehen, empfehle ich die Installation durch einen Errichter oder zumindest netzwerkseitig von jemanden, der sich damit auskennt...

(02-03-2018 15:42)SicherIstSicherer schrieb:  Im Forum steht ja schon viel über IPv4 / IPv6. Wenn ich es als absoluter Technik-Laie richtig verstehe, sollte man die Anlage aber besser per VPN installieren lassen, damit der Fernzugriff (per App!?) sicherer ist bzw. es nicht so schnell manipuliert werden kann? Ist das korrekt?
Das meine ich z.B. mit "mehrdeutigen Fragen und vermischen von Techniken". Die XT3 wird per LAN (d.h. per Netzwerkkabel, nicht WLAN = Funk) an deinen heimischen Router geklemmt. Das ist wohl die FB 7560. In deinem lokalen Netz wird IPv4 laufen. Du richtest die Anlage dann PC, Laptop oder irgendeinem anderem Gerät ein, dass im gleichen Netz ist - d.h. auf gut deutsch gesagt - bei dir zuhause rumsteht.

Ein VPN hat bis hier erstmal nichts zu tun. Das wird "nur" dazu benötigt, falls du von unterwegs aus auf die Anlage zugreifen willst. Das ist ein verschlüsselter Tunnel vom externen Endgerät im Fremdnetz (Mobilfunk, Hotel-Wlan usw) zu dir ins heimische Netz. Die alternative wäre, entsprechende Ports der Anlage nach außen zu schalten (Portfreigabe), was einer potentiellen Sicherheitslücke entspräche und zu vermeiden ist. Die aktuellen Fritzboxen haben allesamt eine VPN-Implementierung an Board, das bequem auch auf Smartphones nutzbar ist (ohne extra App!). Wichtig für dessen Protokoll ist, dass dein V/DSL-Anschluss auch eine externe IPv4-Adresse hat, was idR der Fall ist.

Über das VPN könnest du aber auch andere heimische Geräte erreichen, z.B. ein NAS...

(02-03-2018 15:42)SicherIstSicherer schrieb:  benutze die Fritzbox aber aufgrund mangelnder Reichweite und Verbindungsabstürze eher als Modem. An der Fritzbox habe ich als Router das Netgear Orbi System laufen (mit zwei Satelliten zur Verstärkung der WLAN Reichweite). Es bestehen also im Prinzip zwei WLAN Netzwerke, wobei ich das der Fritbox nicht wirklich nutze.
Die FB als Modem oder als Router? Wer macht den DHCP? Lass die FB den Router sein, das Wlan kann dann auch das Netgear machen; je nachdem wie gut der ist, ja mit eigenem Subnetz...


(02-03-2018 15:42)SicherIstSicherer schrieb:  2. Frage:
Wisst ihr, ob die Tür/Fensterkontakte (V2) auch bereits bei einem Aufhebelungsversuch alarmieren? Oder erst, wenn der Einbrecher mehr oder weniger drin ist? Gibt es hier ansonsten eine mögliche Alternativlösung als "add-on", um frühzeitiger alarmieren zu können (ggf. auch anderer Hersteller)?
Wenn der Aufhebelversuch die beiden Kontakte weit genug auseinander drückt, dann geht der Alarm los... Aber das können schonmal ein paar bis etliche cm sein, je nachdem, wo gehebelt wird und wo der Sensor hängt. Ansonsten gibt es noch einen Erschütterungssensor.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
02-03-2018, 18:54
Beitrag: #3
RE: VPN zwingend nötig?
Zum Glück wird die xt3 ja über Errichter vertrieben. Im Falle eines DIY Projektes sehe ich hier massive Fehler vorprogrammiert.
Dein Errichter sollte die entsprechenden Verbindungsmöglichkeiten kennen und das Beste darlegen und implementieren. Den VPN kannst ja schon mal einrichten und vorab testen.
Es ist nicht möglich, unterschiedliche Hersteller untereinander zu kombinieren, auch wenn der Frequenzbereich anscheinend der Gleiche sein soll. <hier gibts noch Protokolle und Verschlüsselungen zu beachten.
Nun off topic: dass die FB 7590 ein schlechtes WLAN haben soll, höre ich das erste mal. Ganz im Gegenteil, ich habe schon etliche 7490 gegen die 7590 gerade aufgrund des stark verbesserten WLANs getauscht und nur beste Ergebnisse erzielt. Verbindungsabbrüche kenne ich nicht. Eventuell sollte die FB mal upgedatet oder eingeschickt und getauscht werden. Da ist was nicht in Ordnung.
Einzig bekannter Fehler einiger Samsung Smartphones: die können nicht gleichzeitig 2,4 und 5 ghz WLANs sortieren. Hier will aufgrund eines Softwarebugs jeder Chef sein und so ballert sich das Gelump zwischen den Netzen kaputt. Wenn das netgear dann nur 2,4 macht, ist es klar, warums dann besser geht.
Endgeräte HP Laptop, Bravia Fernseher, IPADS aller Generationen, Iphones, Samsung und LG Handy.
Wir nutzen mit unseren Endgeräten mittlerweile nur noch 5 ghz und die 2500er Performance der FB7590 ist gegenüber den Speedport Hybrid oder anderen WLAN Repeatern nicht nur eine Welt, sondern in meinen Augen eine Galaxie.
Equipment: FB7590, 2x 1750 E Repeater und für den Garten nochmal im Sommer 2 x 7270 als Repeater.

Erfahrung ist eine nützliche Sache.
Leider macht man sie immer erst kurz nachdem man sie brauchte. (Goethe)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
02-03-2018, 19:52
Beitrag: #4
VPN zwingend nötig? Und erkennen die Tür/Fensterkontakte bereits Aufhebelungsversuch?
@ funkistnichtalles , er schreibt aber FB 7560 Cool

bei der FB 7590, gebe ich dir vollkommen recht Wink
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
02-03-2018, 20:01
Beitrag: #5
RE: VPN zwingend nötig
Danke für den Hinweis. Ich sollte mit Brille arbeiten Big Grin
Do gehts dohi ( da geht es dahin)

Erfahrung ist eine nützliche Sache.
Leider macht man sie immer erst kurz nachdem man sie brauchte. (Goethe)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
05-03-2018, 13:31
Beitrag: #6
Türöffnung/Zutrittslösung XT3
Erstmal danke an Euch alle für Eure Tipps und Antworten.

Ich habe inzwischen Rückmeldung von Lupusec:

- empfohlen wird hier eine Portfreigabe (also Nutzung der App und kein VPN), der Zugriff auf die Zentrale erfolgt per TLS 1.2 Verbindung
- @ funkistnichtalles -> die Zusammenarbeit mit anderen Herstellern soll definitiv möglich sein, wichtig sei, dass das Gerät zur Schaltung über einen potentialfreien (NC / NO) Ausgang verfügt. Das Türöffnungsgerät würde dann ein Signal an den drahtlosen Sensoreingang der XT3 absetzen und dieser dann per Automation die Zentrale schalten

Soweit ich es gesehen habe, verfügt Nuki nicht über einen solchen NC / NO Ausgang, Danalock aber schon.
Das wäre also vielleicht eine mögliche Kombi!
Oder kennt ihr noch andere schlüssellose Zutrittsmöglichkeiten, die einen NC / NO Ausgang anbieten?
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
05-03-2018, 20:40
Beitrag: #7
RE: Türöffnung/Zutrittslösung XT3
(05-03-2018 13:31)SicherIstSicherer schrieb:  - empfohlen wird hier eine Portfreigabe (also Nutzung der App und kein VPN), der Zugriff auf die Zentrale erfolgt per TLS 1.2 Verbindung
Empfohlen auf welcher Basis? Null-Wissen? Eine Portweiterleitung ist ein dauerhaft offenes Loch in deine Anlage. TLS ist eine Transportverschlüsselung. Wie ein Briefumschlag... Schützt ein Briefumschlag effektiv?

VPN, wenn richtig eingerichtet und genutzt, ist wie eine Rohrpostanlage aus dickem Stahl mit einem Ein- und Ausgang...

Die App funktioniert auch mit dem VPN, kein Problem - ganz im Gegenteil...

Ich kann nur den Kopf schütteln, deckt sich aber mit anderen Dingen, die ich in der Anlage schon entdeckt habe... aber da nehmen sich fast alle Hersteller nix. Leider.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-03-2018, 03:35
Beitrag: #8
VPN zwingend nötig?
Ja, da gebe ich dir recht.
Leider wird hier der Begriff Verschlüsselung, SSL, TLS oft missverstanden.
Nur weil das Wort TLS und Verschlüsslung enthalten denk man, man ist sicher.
Hier fehlt das Grundverständnis im Kontext.

@sicheistsicher
Mit einer sogenannten Portweiterleitung reißt du ein Sicherheitsloch in dein Netzwerk, wie bastelheini schon richtig erwähnte.

Das ist bildlich vergleichbar als wenn du in deiner Tür ein Loch machst und hinter dem Loch ist sofort deine Anlage.
Hier kann nun die ganze Welt schön rumprobieren und irgendwann hat er Zugriff auf deine Anlage.
Der kleine Asiate in seiner Kammer oder der sibirische Bär aus dem Gulag.
Denk dran das nur weil deine Anlage einen Benutzer Name und Passwort will nicht gleich alles sicher ist.
Gibt genug Bugs die u.U. noch da schlummern wovon man nichts weiß.

Die Verschlüsselung hat nur die Aufgabe das Daten von der Quelle zum Ziel gesichert werden.
Stichwort "Man in the middle". Da deine Daten zig Router und Gateways passieren um die ganze Welt
wird dadurch sichergestellt das da keiner mitlauschen kann. Das ist der Sinn dahinter.

Da du aber nun von außen einen Port öffnest und der direkt zu deiner Anlage führt, kann da jeder rumprobieren.
Dafür braucht es keine Verschlüsselung da die hier nicht greift.
Hier ist der Weg ungeschützt.

Mit einer VPN-Verbindung baust du aber einen gesicherten Kanal zu deiner Anlage auf.
Die ist geschützt und durch komplexe Maßnahmen. das o.g. Loch wird nun durch eine extra Tür mit Schloss gesichert.
Man kann nun nicht mehr direkt auf die Anlage zugreifen sondern muss erst die kleine Tür im Loch durch Benutzername und PWD öffnen.
Weiterhin ist in dem VPN-Tunnel auch die komplette Kommunikation gesichert so das keiner da mitlauschen kann.

Ich hoffe das ich dir damit verständlich machen konnte was VPN bedeutet und welche Gefahren hinter einer einfachen Portweiterleitung stecken.
Ich kann dir versichern das du wenn du es ohne VPN machst du bald in deinen Logs irgendwann lustige Einträge finden wirst wer da so alles rumgedockert hat
bzw. mal was versucht hat. Portscans ist nix neues und es gibt im Netz einige Dienste die schön auflisten was sie so alles im Netz gefunden haben.

Daher meine Empfehlung mach es mit VPN oder lass es ganz sein.
Ich finde es schon bedenklich, dass der Hersteller hier so sorglos solche Empfehlungen mit Portweiterleitung ausspricht.
Aber das ist nur meine persönliche Meinung.

Und ja du wirst dich sicher Fragen wo der Unterscheid ist ob du nun ein Benutzername/Pwd für VPN eingibst oder es direkt bei der Anlage machst.
VPN nutzt eine grundlegend andere Technik und ist restriktiver. Hier greifen noch andere Schutzmechanismen die die Anlage so nicht bietet.
Ich weis nicht was sie macht bei Brute force da kenne ich die Anlage so nicht.
Vorrausgesetzt man nutzt aber eine ausreichende starke Passwortlänge und ggf. noch das ganze zertifikatsbasierenden Zutrittsbeschränkung
ist man mehr als gut gewappnet das da keiner so leicht mehr reinkommt. Und dann kommt ja noch die zweite Zugangssperre der Anlage selber.

Gruß Christian

Murphys Law:
Man hat niemals Zeit, es richtig zu machen, aber immer Zeit, es noch einmal zu machen.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-03-2018, 12:07
Beitrag: #9
VPN und XT3
@smith007 @bastelheini
Vielen Dank für die guten Erklärungen!!
Mir wurde nur gesagt, dass man per VPN auf dem iPhone keine Pushnachrichten der App erhalten kann (also keine Warnungen?). Ist das korrekt?

Kurz noch für mich als Laie:
Ich muss dann eine VPN sowohl auf meinem iPhone als auch in meinem Heimnetzwerk (Fritzbox) einrichten, korrekt? Anleitungen dazu einfach googeln? (Bsp: VPN auf iPhone/Fritzbox einrichten)?

Wisst ihr, wie genau man dann die XT3 ins VPN einbindet? Gibt es da wine Art Config-Menü?

Besten Dank für eure Tipps & Hilfe !!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-03-2018, 20:10
Beitrag: #10
VPN
SicherIstSicher, bitte nocheinmal alle Antworten durchlesen! VPN wird zwischen z.B. der Fritzbox einerseits und dem Handy oder dem PC andererseits eingerichtet. Beide Devices benötigen extra Einrichtungen, damit sie sich "kennen". Mit dem Handy und dem PC surfst du dann wie im Heimnetz. Du greifst auf alle an den Router angeschlossene Geräte wie im Heimnetz zu, ohne dass z.B. die XT3 noch eine extra Einrichtung benötigt.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
07-03-2018, 15:28
Beitrag: #11
RE: VPN
(06-03-2018 20:10)seagull schrieb:  VPN wird zwischen z.B. der Fritzbox einerseits und dem Handy oder dem PC andererseits eingerichtet. Beide Devices benötigen extra Einrichtungen, damit sie sich "kennen".

Ok, soweit so gut. Aber ich möchte mit meinem Mac ja eigentlich gar kein VPN nutzen, sondern wie gehabt das WLAN vom Netgear Orbi Router.
Es reicht aber trotzdem nicht aus, lediglich ein VPN auf dem iPhone einzurichten, damit man die Lupusec App per iPhone mittels VPN bedienen kann?!
Man muss also das VPN auch per Mac auf der FritzBox installieren, da ja die XT3 über ein LAN Kabel an die Fritzbox angeschlossen wird und sonst nichts von einem VPN wüsste, richtig?
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
07-03-2018, 19:04
Beitrag: #12
RE: VPN zwingend nötig? Und erkennen die Tür/Fensterkontakte bereits Aufhebelungsvers
Das VPN ist ein sicherer Eingang von DRAUSSEN in dein Heimnetz. Dein Mac steht doch "drinnen". Dann braucht der kein VPN, sondern hängt ganz normal am LAN / WLAN der Fritzbox oder des Netgear. Auch dein iPhone braucht, wenn du zu Hause im WLAN bist, kein VPN! Nur wenn du unterwegs bist... Da drückst du dann fix "mit VPN verbinden" und schon bist du drin, übertrieben einfach gesagt...

Ich empfehle dir, einen Netzwerktechniker deines Vertrauens zu beauftragen. Im Ernst, nimm bitte das Geld in die Hand, ich befürchte sonst, dass da etwas in die Hose geht - egal wie du da was einrichtest... Wenn das Grundwissen fehlt, sollte man da nicht rumbauen.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
07-03-2018, 19:19
Beitrag: #13
RE: VPN zwingend nötig? Und erkennen die Tür/Fensterkontakte bereits Aufhebelungsvers
(07-03-2018 19:04)bastelheini schrieb:  Da drückst du dann fix "mit VPN verbinden" und schon bist du drin, übertrieben einfach gesagt...

Also muss man sich jedes Mal mit dem iPhone per VPN verbinden, um die Lupusec App sicher nutzen zu können? Ich meine irgend jemand hatte hier geschrieben, dass man zur Bedienung der App kein VPN bräuchte bzw. die Verbindung nicht extra herstellen muss?
Mal ein Bsp. aus der Praxis: Ich komme nach Hause und will draußen schon den Alarm deaktivieren (per App). Dann ist es ja schon ein wenig nervig, wenn man sich jedes Mal vor Start der App erst per VPN anmelden muss. Gibt es da keinen anderen Weg?

Und wie ist das eigentlich im Alarmfall, da bekomme ich ja vermutlich eine Nachricht auf`s Handy (per Push von der App oder SMS???). Ich gehe davon aus, dass das komplett unabhängig davon ist, ob ich auf dem Smartphone eine VPN Verbindung laufen habe oder nicht, richtig?

Die VPN auf dem Mac habe ich bereits eingerichtet, war kein großer Akt...
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
07-03-2018, 19:59
Beitrag: #14
RE: VPN zwingend nötig? Und erkennen die Tür/Fensterkontakte bereits Aufhebelungsv
(07-03-2018 19:19)SicherIstSicherer schrieb:  Also muss man sich jedes Mal mit dem iPhone per VPN verbinden, um die Lupusec App sicher nutzen zu können?
Wenn du nicht in deinem Heimnetz bist, dann ja.

(07-03-2018 19:19)SicherIstSicherer schrieb:  Ich meine irgend jemand hatte hier geschrieben, dass man zur Bedienung der App kein VPN bräuchte bzw. die Verbindung nicht extra herstellen muss?
Das ist der Weg mit der Portweiterleitung. Bekanntermaßen unsicher(er).

(07-03-2018 19:19)SicherIstSicherer schrieb:  Mal ein Bsp. aus der Praxis: Ich komme nach Hause und will draußen schon den Alarm deaktivieren (per App). Dann ist es ja schon ein wenig nervig, wenn man sich jedes Mal vor Start der App erst per VPN anmelden muss. Gibt es da keinen anderen Weg?
Dein WLAN wird sicher bis vor die Tür reichen, oder? Dann bist du im Heimnetz und brauchst kein VPN. Das mit dem Handy gepopel gewöhnt man sich eh schnell ab und nimmt ein PIN-Pad, welches dann hinter der Eingangstür verbaut wird.

(07-03-2018 19:19)SicherIstSicherer schrieb:  Und wie ist das eigentlich im Alarmfall, da bekomme ich ja vermutlich eine Nachricht auf`s Handy (per Push von der App oder SMS???). Ich gehe davon aus, dass das komplett unabhängig davon ist, ob ich auf dem Smartphone eine VPN Verbindung laufen habe oder nicht, richtig?
Du hast eine XT3, gelle? SIM-Karte rein (sollte man eh haben) und dann kann die Anlage dir ne SMS schicken und/oder anrufen (für was genau, kannst du alles einstellen)! Das geht viel schneller und stabiler als eine Push-Nachricht, die auch mal verloren gehen kann oder verzögert sein kann. Für einfache Dinge gehen auch E-Mail-Notifications.

Je nachdem, wie die Push-Anbindung gebaut wurde, sind Portweiterleitungen nötig. Ich habe das aus eigenen Implementierungen noch aus der Vergangenheit im Hinterkopf - im Falle von iOS müsste eine dauerhafte Verbindung zwischen Anlage und Dienst-Server bestehen, abgesichert mit einem jahresweise gültigen Zertifikat. Könnte sein, dass es ohne Freigabe geht, einfach probieren.

Aber essentiell ist das eigentlich nicht. Ein Alarm sollte eindringlich signalisiert werden, d.h. am Besten per Anruf (extra Klingelton festlegen für die Nummer dann).

(07-03-2018 19:19)SicherIstSicherer schrieb:  Die VPN auf dem Mac habe ich bereits eingerichtet, war kein großer Akt...
Wie gesagt, aber nicht nötig, wenn der immer in den eigenen vier Wänden steht.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
07-03-2018, 23:40
Beitrag: #15
vpn...
super, danke!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
18-03-2018, 00:48
Beitrag: #16
RE: VPN zwingend nötig? Und erkennen die Tür/Fe
Jedesmal die VPN Verbindung auf dem Smartphone händisch einschalten zu müssen - nicht so schön. Auf dem Iphone kann man das auch automatisieren - dann geht VPN automatisch an, im fremden WLAN-Netz und/oder im Mobilfunk-Netz:

https://www.iphone-ticker.de/vpn-anleitu...and-97462/
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
25-03-2018, 11:26
Beitrag: #17
RE: VPN zwingend nötig? Und erkennen die Tür/Fe
(18-03-2018 00:48)servilianus schrieb:  Jedesmal die VPN Verbindung auf dem Smartphone händisch einschalten zu müssen - nicht so schön. Auf dem Iphone kann man das auch automatisieren - dann geht VPN automatisch an, im fremden WLAN-Netz und/oder im Mobilfunk-Netz:

https://www.iphone-ticker.de/vpn-anleitu...and-97462/

Ich hatte hier im Forum schon einmal eine kleine Anleitung für VPNonDemand veröffnetlicht, vielleicht hilft das ein wenig weiter.

http://www.alarmforum.de/Thread-Internet...8#pid62538
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
28-03-2018, 00:43
Beitrag: #18
VPN
Danke für die Tipps!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben 




Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste