Heizung über Fritzbox Gastzugang ins Internet?

MuffiFM

Lt. Junior Grade
Registriert
Dez. 2012
Beiträge
419
Hallo zusammen,

ein Kollege von mir hat in seinem Haus eine neue Heizung bekommen. Die kann man an das Internet anschließen für Wartungen und solche Sachen. Dadurch wäre ja die Heizung permanent im Internet.

Seine Frage ist es jetzt, ob er die Möglichkeit hat die Heizung losgelöst vom restlichen Netzwerk ins Internet zu bekommen. Momentan ist ja wieder von Sicherheitslücken in smarten "Haushaltsgeräten" die Rede und er wollte gerne wissen ob das funktionieren würde.

Jetzt habe ich gelesen das es möglich ist bei einer Fritzbox 7590 den "Lan 4"-Anschluss auf Gastzugang zu stellen , um an diesem Anschluss Internet getrennt vom restlichen Netzwerk bereitzustellen. Rein von der Beschreibung von AVM sollte das ja genau das sein was er möchte? Ein direktes Kabel von der Heizung zum "Lan 4" Anschluss wäre kein Problem.

Ich habe von Netzwerkeinstellungen nicht so viel Ahnung und möchte gerne eure Meinung hören, um ihm eine definitive Aussage geben zu können.

Im Moment hat er noch einen Router von der Telekom, er bekommt aber in den nächsten Monaten einen Glasfaseranschluss zusammen mit einer Fritzbox7590. Derzeit ist die Heizung nicht am Internet angeschlossen.


So steht es auf der Hilfeseite von AVM:

Gastzugang​


Den Anschluss "LAN 4" können Sie als Gastzugang einrichten. Über den Gastzugang können Sie Gästen den Zugang zum Internet über Ihre FRITZ!Box gestatten.


  • Gäste erhalten ausschließlich den Zugang zum Internet.
  • Gäste haben keinen Zugriff auf Ihr Heimnetz oder die Benutzeroberfläche der FRITZ!Box.
 
Es kommt darauf an, wie die Heizung kommunziert.
Welche Ports (TCP/UDP) werden genutzt und ist ggf. ein Portforwarding nötig? Der Gastzugang eignet sich nur, wenn kein Portforwarding nötig ist. Bei der PV Anlage meines Bruders ging das über das Gastnetz eben wegen eines benötigten Portforwardings nicht, dort haben wir es so gelöst (nutze es auch selbst nach diesem Aufbau):
https://www.computerbase.de/forum/t...mnetzwerk-und-gastkonto.1985995/post-24964537
 
  • Gefällt mir
Reaktionen: MuffiFM
Genau das ist das, was dein Kumpel sucht.
Du solltest in der Beschreibung der Heizung oder beim Hersteller in Erfahrung bringen, welche Ports bzw. Dienste die Heizung nutzen können muss. Normalerweise ist de Gastzugang der Fritzbox auf Browsing/Email beschränkt. Wenn weitere Ports benötigt werden, muss der Gastzugang dafür geöffnet werden.

Zur Erläuterung, was ein Port ist:
Er ist für das Betriebssystem eines Computers die Information die darüber entscheidet, welches Programm ein Datenpaket erhalten soll. So werden Datenpakete an den Port 80 (fast) immer dem Webserver gegeben usw.
Pakete an die Ports für Mail und Browsing lässt die Fritzbox durch. Andere Ports werden gerne blockiert um Missbrauch durch Gäste (z.B. illegales Filesharing) zu vermeiden bzw. zu erschweren.
Wenn deine Heizung nun einen anderen Port als Browsing bzw. E-Mail öffnen möchte um sich beim Hersteller zu melden, dann wird die FritzBox den Verbindungsaufbau blockieren. Muss also zusätzlich freigegeben werden. Welcher Port das ist -> Herstellerhandbuch oder Support fragen.
 
  • Gefällt mir
Reaktionen: MuffiFM
@conf_t & @scooter010

Es ist die Heizung Solarfocus therminator 2. Hier ist der Abschnitt den ich in der Bedienungsanleitung finden konnte.

Unbenannt.jpg

Edit: Laut Bedienungsanleitung soll der externe Port vom Router per Portweiterleitung auf die IP-Adresse der Heizung und den VNC-Port 5900 gestellt werden. Genau das sollte ja laut @conf_t nicht mit dem Gastzugang funktionieren?
 
Zuletzt bearbeitet:
Lasst das doch den Installateur machen welche die Heizung verbaut hat. Es steht ja auch Fachpersonal-Menü in der Anleitung! ;)
 
MuffiFM schrieb:
Die kann man an das Internet anschließen für Wartungen und solche Sachen. Dadurch wäre ja die Heizung permanent im Internet.

Also mir stellt sich nur eine Frage, warum?
Wenn die Heizung einen Defekt meldet repariert der Klempner mit seiner elektronischen Rohrpumpenzange dann die Heizung?

Wenn man Sicherheit haben möchte ist es egal ob er das normale LAN oder das Gast LAN verwendet, er sollte die Funktion dann gar nicht nutzen.
 
  • Gefällt mir
Reaktionen: Raijin und Nuke8472
Ganz einfache Sache...
Wenn, dann leite NUR den Port für VNC weiter, dann ist dieser auch offen nach draußen.

Ich würde es aber nur mit einem VPN machen.
-> Erst muss man sich mit einem Endgerät per VPN an der Fritte anmelden und dann kann man sich auf die Heizung einwählen. Hier braucht man dann auch keine Portweiterleitung für das VNC mehr, nur noch für das VPN.

Die Fritte supported mMn IPSec - Tunnel inkl. Benutzer
 
  • Gefällt mir
Reaktionen: MuffiFM
Selbst wenn die Fernwartung der Heizung über das Internet explizit gewünscht ist, würde ich sie nicht permanent via VNC erreichbar machen. Man kann gerne alles vorbereiten, also IP einstellen und Portweiterleitung anlegen, aber ins Internet kommt die Heizung dann erst im Störfall. Was soll die Heizung im Internet, wenn alles funktioniert? Das ist doch erst recht ein Risiko, ein vermeidbares obendrein.

Das Gastnetzwerk fällt aufgrund der Anforderung der Portweiterleitung flach. Entweder muss die Heizung daher ins Hauptnetzwerk oder man muss sich ein erweitertes Konzept ausdenken, zB eine DIY-DMZ mit zwei Routern.

Wenn man die Heizung aber nur im Störfall ins Netz hängt, ist das Risiko für die Dauer der Fernwartung überschaubar, egal in welchem Netzwerk.
 
  • Gefällt mir
Reaktionen: snaxilian, Der Lord und MuffiFM
@Raijin

Es geht ja laut meinem Kollegen nicht nur um die Fernwartung durch den Hersteller.

Zum Beispiel sind die Solarpanels für Heißwasser ebenfalls in die Steuerung integriert. So wird je nach Wettervorhersage auch noch geregelt, z.B. noch eine Stunde gewartet weil Sonne angesagt wird, etc.

Zudem findet er es ganz gut von unterwegs auf die Heizung zugreifen zu können, falls einer der Mieter sich mit Heizungsproblemen meldet. Dann kann er zumindest on the fly schon mal schauen was da los ist.
 
Wenn es Sicherheitsbedenken gibt, was ja das Thema des Threads ist, dann verbietet sich eine direkte Portweiterleitung direkt auf die Heizung ohne wenn und aber. VNC ist eine Software, mit der man sich aus der Ferne den Desktop eines anderen PCs ansehen und bedienen kann, ähnlich wie TeamViewer, aber mit Direktverbindung ohne Mittelsmann wie es bei TeamViewer der Fall wäre.
Ohne weitere Maßnahmen ist VNC aber unverschlüsselt.

Wenn ein permanenter Fernzugriff auf die Heizung gewünscht ist und das Thema Sicherheit in diesem Thread nicht nur alibimäßig hingeschrieben ist, dann ist für dieses Szenario zwingend eine VPN-Verbindung erforderlich. Über diese kann man dann gefahrlos VNC nutzen.
 
  • Gefällt mir
Reaktionen: MuffiFM
@Raijin

Das hat doch nichts mit alibimäßig zu tun, wenn jemand ohne Ahnung von der Materie und aufmerksam gemacht von der Berichterstattung fragt, ob man seine Heizung mit permanentem Internetzugang/Fernzugriff von seinem restlichen privaten Netzwerk trennen kann.

Wenn es nicht geht oder der Aufwand für die Person unverhältnismäßig erscheint, ist es ja im Ermessen der Person welche Maßnahmen ergriffen werden oder eben nicht.

Für mich hat sich der Gastzugang der Fritzbox, als Laie auf dem Gebiet, wie ein probates Mittel angehört. Das scheint ja aber leider nicht der Fall zu sein.

Eine VPN-Verbindung funktioniert auch direkt über die Fritzbox? Braucht man da nicht einen VPN-Anbieter oder verwechsel ich da gerade etwas? Eine Softwarelösung wäre wahrscheinlich besser als ein zweiter Router für einen einziges Gerät.
 
Zuletzt bearbeitet:
Raijin schrieb:
Wenn ein permanenter Fernzugriff auf die Heizung gewünscht ist und das Thema Sicherheit in diesem Thread nicht nur alibimäßig hingeschrieben ist, dann ist für dieses Szenario zwingend eine VPN-Verbindung erforderlich. Über diese kann man dann gefahrlos VNC nutzen.

Eigentlich macht man das ja nicht mittels VPN sondern baut die VNC session über einen SSH-Tunnel auf, aber das sind nur meine 2 cent. Aber gehen tut es natürlich auch per VPN.
Das mit VPN würde ich als Heizungsfirma-IT-Abteilung auch doof finden. Schließlich würde das Firmennetzwerk ständig mit Kundennetzen verbunden...

Im gegebenen Szenario gibt es keine Möglichkeit die Funktionalitäten (Fernwartung als auch Wetterdatendownload) zu erlauben als auch die IT-Sicherheit zu berücksichtigen.

Grund:
Wetterdaten -> Heizung muss Online sein (an sich OK, da vom Internet aus nicht erreichbar, geringes Risiko)
Fernwartung -> Heizung muss über einen Port aus dem Internet erreichbar sein. VNC ist vieles, aber nicht sicher. Wie schon erwähnt, ist die Implementierung selbst so grundsätzlicher Dinge wie der IP-Stack in IoT Dingen (also auch Heizungen) nicht zuverlässig, also als "offen" zu betrachten.

Ich würde die Heizung also ohne Portweiterleitung an in das Gastnetz hängen. Die Heizung bekommt dann die Wetterdaten und Fernwartung geht halt nicht.


Etwas OT: Weiterhin müsste auch ein DynDNS eingerichtet werden, damit der Hersteller tatsächlich Fernwartung durchführen kann. Ist der auf der Fritte eingerichtet? Sicherlich geht das nicht für das Gastnetz :)
 
  • Gefällt mir
Reaktionen: MuffiFM
MuffiFM schrieb:
Das hat doch nichts mit alibimäßig zu tun, wenn jemand ohne Ahnung von der Materie und aufmerksam gemacht von der Berichterstattung fragt, ob man seine Heizung mit permanentem Internetzugang/Fernzugriff von seinem restlichen privaten Netzwerk trennen kann.
Das war auch kein Vorwurf, sondern lediglich eine Aussage. Wenn die Sicherheitsbedenken ernst gemeint sind, ist ein offener VNC-Zugang keine Option. Das habe ich versucht, auszudrücken.

Gerade bei smart devices ist der Direktzugriff von außen kritisch. Viele Hersteller sind nun mal fremd in der Materie - ein Heizungshersteller hat keine spezielle Expertise in IT-Security - und da passiert es eben, dass unwissend Sicherheitslücken eingebaut werden. Das heißt nicht, dass alle smarten Geräte unsicher sind, aber ich drücke es mal so aus: Für AVM gehört IT-Sicherheit zum täglichen Geschäft, für Heizungshersteller xy maximal nicht zwingend. Gerne werde da auch günstige Komponenten mit Cloud-Zugriff eingekauft, Baukastensysteme vorwiegend von chinesischen Herstellern. Als Beispiel nenne ich mal WLAN-Glühbirnen, von denen gefühlt jede zweite an einer solchen zugekauften Chinacloud hängt.


MuffiFM schrieb:
Eine VPN-Verbindung funktioniert auch direkt über die Fritzbox?
Ja, man muss aber unterscheiden für wen. Du sprachst davon, dass dein Kollege aus der Ferne die Heizung steuern möchte. Dafür ist das Fritzbox-VPN ausreichend. Für die Fernwartung durch die Heizungsfirma nur bedingt. Kundenspezifische VPN-Verbindungen werden in der Regel nicht akzeptiert, weil der Verwaltungsaufwand zu groß wäre. Man müsste für jeden Kunden eigene VPN-Profile, ja sogar separate Client-Software vorhalten. Davon abgesehen hätte die Firma über das VPN dann auch Zugriff auf das restliche Netzwerk, was ja auch nicht so toll ist.


Das Problem ist hier, dass man mit 08/15 Consumer-Hardware wie einer Fritzbox auf keinen grünen Zweig kommen wird. Es ist nicht möglich auf der einen Seite den Zugriff auf das Hauptnetzwerk zu unterbinden (=Gastfunktion) und gleichzeitig den Zugriff aus dem Internet für den Besitzer wie auch den Dienstleister zu gewährleisten. Dazu sind die Fähigkeiten einer Fritzbox nicht ausreichend.

Ein weiterer Aspekt, den man nicht außer Acht lassen darf, ist die Steuerung der Heizung im Hause. Auch da würde das Gastnetzwerk wieder einen Strich durch die Rechnung machen, weil per Definition keine Zugriffe zwischen Haupt- und Gastnetzwerk zugelassen werden. Man müsste also mit einer etwaigen App stets ins Gast-WLAN einloggen.


Der einzige Weg, der alle Anforderungen erfüllen könnte, führt über einen separaten, fortgeschrittenen Router, der die Heizung in ein separates Netzwerk verfrachtet, aber nur gezielte Zugriffe erlaubt - auch in beide Richtungen. Das könnte beispielsweise ein MikroTik hAP AC2 sein oder ein EdgeRouter-X. Allerdings sind das semiprofessionelle Geräte, die bei der Konfiguration ein Mindestmaß an Netzwerkkenntnissen voraussetzen.
Ergänzung ()

scooter010 schrieb:
Eigentlich macht man das ja nicht mittels VPN sondern baut die VNC session über einen SSH-Tunnel auf, aber das sind nur meine 2 cent. Aber gehen tut es natürlich auch per VPN.
Oder so. Das ist einerlei. Es gibt ja auch durchaus verschlüsselte VNC-Varianten (UltraVNC bietet zB ein Plugin dafür), aber die Frage ist ob die Heizung das auch unterstützt. Ob man VNC dann über SSH tunnelt oder VPN kommt beinahe auf dasselbe hinaus, wobei SSH natürlich gerade unter Linux schon mit an Bord ist, während ein VPN in der Regel erst installiert werden muss.


scooter010 schrieb:
Ich würde die Heizung also ohne Portweiterleitung an in das Gastnetz hängen. Die Heizung bekommt dann die Wetterdaten und Fernwartung geht halt nicht.
Volle Zustimmung.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: MuffiFM
scooter010 schrieb:
Ich würde die Heizung also ohne Portweiterleitung an in das Gastnetz hängen. Die Heizung bekommt dann die Wetterdaten und Fernwartung geht halt nicht.
Raijin schrieb:
Volle Zustimmung.

Ja, das könnte tatsächlich ein Kompromiss werden. Ich habe gerade mal mit ihm gesprochen.

Mein Kollege meinte, dass er dann ja die Doppel-LAN-Dose im Heizungsraum so anschließen könnte, dass der eine Anschluss direkt mit dem Lan 4 Anschluss (mit eingerichtetem Gastzugang) verbunden ist und der andere Anschluss der Dose ganz normal in den Switch geht und damit in das normale Netzwerk. Somit könnte er bei Bedarf für Fernwartung direkt an der Heizung das LAN-Kabel umstecken, wenn erforderlich.

Hätte nicht gedacht das es so umständlich ist und es für solche Fälle "einfachere" Lösungen gibt. Diese Variante ist ja schon ein Kompromiss, womit er sich den eigenen Fernzugriff per App ja verbaut, solange die Heizung am Gastzugang hängt.

Vielen Dank an alle für die aufschlussreichen Beiträge! :)
 
MuffiFM schrieb:
Hätte nicht gedacht das es so umständlich ist und es für solche Fälle "einfachere" Lösungen gibt.
Das liegt einfach daran, dass Geräte wie eine Fritzbox zu 95% auf ein 08/15 Szenario zugeschnitten sind und nur wenig Luft für Abweichungen bieten. Das Thema Netzwerk ist sehr komplex und daher sind ein Großteil der Einstellungen in so einem Router gar nicht zugänglich, weil Otto Normal, der nun mal Zielgruppe darstellt, damit gar nicht umgehen könnte und tendenziell eher etwas kaputtkonfigurieren würde. Das was du also in der GUI einer Fritzbox an Netzwerkeinstellungen siehst, kratzt nur an der Oberfläche.

Ich sehe das Problem aber primär bei den Herstellern der SmartHome-Geräte. Diese sind oftmals nur rudimentär zu konfigurieren und haben eben auch die eine oder andere Sicherheitslücke, von deren Existenz Hans Peter, der beim Hersteller immer die Drucker einrichtet, gar nichts weiß, weil er nicht vom Fach ist. Klar, das ist etwas überspitzt formuliert, aber es trifft vermutlich öfter zu als einem lieb ist.
 
  • Gefällt mir
Reaktionen: snaxilian und MuffiFM
für die kunden wäre es schon von vorteil wenn die heizung mit dem netz verbunden ist. eine erste fehleranalyse erspart eventuell dem installateur die anfahrt und arbeit im haus, ob der sanitärbetrieb das auch will ist eine andere frage, die müssen ja ihre mitarbeiter ständig in bewegung halten. wer sicherheitsbedenken hat übersiedelt bitte in den senegal, dort braucht man keine heizung.
 
capitalguy schrieb:
wer sicherheitsbedenken hat übersiedelt bitte in den senegal, dort braucht man keine heizung.
Was ein absolut dummer Kommentar.

Bevor alle Menschen mit Interesse an IT-Sicherheit in den Senegal ziehen (ob man dort nicht ggf. fehlende soziale Ordnung, Raub und Mord fürchten muss, statt ein gehacktes Netzwerk...), sollten nicht eher IoT Geräte IT-Sicherheitsanforderungen gerecht werden oder aber bucht einfach mal einen Techniker kommen lassen?
 
  • Gefällt mir
Reaktionen: Raijin
capitalguy schrieb:
für die kunden wäre es schon von vorteil wenn die heizung mit dem netz verbunden ist.
Dann kann man die Heizung bei Bedarf und nur für die Dauer der Fernwartung ins Hauptnetz nebst Portweiterleitung hängen. Das minimiert immerhin die Angriffsfläche.



capitalguy schrieb:
wer sicherheitsbedenken hat übersiedelt bitte in den senegal
Lass mich raten : Du hast buchstäblich keinen blassen Schimmer von IT, Netzwerken und dem Schaden, den ein Angriff von außen verursachen kann? Man kann selbst über eine smarte WLAN-Glühbirne für 10€ ein komplettes Netzwerk infiltrieren und darüber im nächsten Schritt NAS und Co angreifen.

Es mag ein Segen sein, die Augen aus Unwissenheit oder auch Gleichgültigkeit vor IT-Sicherheit zu verschließen, aber dann darf man sich nicht beschweren, wenn plötzlich doch höchst private Bilder im Internet auftauchen...
 
Raijin schrieb:
Dann kann man die Heizung bei Bedarf und nur für die Dauer der Fernwartung ins Hauptnetz nebst Portweiterleitung hängen.
so meine ich das auch. es macht überhaupt keinen sinn eine heizung immer im netz zu lassen, außer eben bequemlichkeit und die hat ihren preis.
aber auf eine fernwartung generell zu verzichten ist auch blöd.
 
  • Gefällt mir
Reaktionen: Raijin
Zurück
Oben