Vaillant VR 900: Linux, GPL, ssh-Zugang?

[ChriChri]

Hallo Zusammen,

ich habe vor ein paar Tagen gesehen, dass in unserem Neubau für unsere
Vaillant Wärmepumpe ein VR 900 Internetkommunikationsmodul rumlag.

Ich bin auf der Suche nach einer Möglichkeit die Wärmepumpe von FHEM
zu steuern und auch auslesen zu können, daher hat das Gerät mein Ineresse
geweckt.

Es hat einen USB-Anschluss für einen AVM WLAN-Stick (nur falls man WLAN
verwenden möchte), einen Ethernet-Anschluss und zwei Klemmen für den
ebus.

Die Dokumentation dessen, was das Modul genau tut, scheint nicht öffentlich
zu sein und aus dem, was ich gefunden habe, lese ich, dass es sich ausschließ-
lich mit einem Portal von Vaillant verbindet und meine Heizung dann über
dieses Portal überwachbar und steuerbar macht.

Von Konfigurationsmöglichkeiten bezüglich eines lokalen Zugriffs über Netz-
werk auf den ebus habe ich nichts gefunden.

Im Netzwerk angeschlossen bezieht das Gerät via DHCP eine IP-Adresse und
versucht sodann auf einen Vaillant-Server zuzugreifen. Einziger offener Dienst
ist ssh und dort scheint Passwort-Authentifizierng deaktiviert.

Laut Netzwerküberprüfung handelt es sich um ein Linux-System, was mich
etwas verwundert, da ich in der Anleitung nirgends auf einen Hinweis zur
GPL gestoßen bin. Aber vielleicht ist das ja auch falsch geraten.

Die Hardware scheint ein IMX.6 Chip zu sein, wie man ihn auch aus der
cubox kennt. Die Platine hat intern eine Steckmöglichkeit für weitere An-
schlüsse.

Die Hardware habe ich - wie es aussieht - beim Hauskauf schon bezahlt.
Meine Heizung werde ich nicht mit dem Internet verbinden - wozu auch.

Ich frage mich jetzt, ob ich die Hardware umwidmen kann, um darauf
ebusd für mein LAN laufen zu lassen.


Mit freundlichen Grüßen
Chris

[john30]

Ich frage mich jetzt, ob ich die Hardware umwidmen kann, um darauf
ebusd für mein LAN laufen zu lassen.

Ich glaube diese Frage mussst Du Dir selbst beantworten
Was ich bisher über VR 900 gelesen habe ist primär dass es teuer ist und dafür nicht die Optionen anbietet, die man dann erwarten würde...
VG John

[Junker]

Hallo john30,

hast Du noch etwas herausgefunden?

Ich hab heute mit Vaillant über die Hotline für Handwerker telefoniert.
Dort wurde mir gesagt, dass es sich um ein Linux-System handelt.

Ciao Junker

[john30]

hast Du noch etwas herausgefunden?

äh nö, wie sollte ich denn?

Ich hab heute mit Vaillant über die Hotline für Handwerker telefoniert.
Dort wurde mir gesagt, dass es sich um ein Linux-System handelt.

also ich würd da eher mit dem RPi oder was anderem arbeiten, da machst du nicht mehrere hundert Euro kaputt...

[ChriChri]

Hallo Zusammen,

ich konnte mich bisher nicht weiter mit dem Gerät beschäftigen. Es hängt an der Wand und die Installationsfirma meinte es sei Teil eines ECO-Pakets. Für irgendwelche Ferndiagnosen wird es nicht angefordert von deren Technikern. Bleibt also meine Entscheidung allein, ob ich meine Heizung vernetzen möchte.

Will ich nicht. Für mich ist das Gerät damit nichts wert. Drin steckt aber eine durchaus interessante Hardware und ein ebus-Anschluss. Eine Umnutzung wäre also FÜR MICH die logische Folge.

Wenn ich hier lese, dass die Hotline bestätigt, da liefe ein Linux drauf und es gibt keine GPL dabei und auch nirgendwo einen Hinweis auf den Source, dann ärgert mich das.

Ich habe im Moment keine Zeit mich bei Vaillant darüber weiter zu informieren, werde das aber nachholen.

Wer sich für meine Beweggründe interessiert, warum ich das Gerät nicht nutzen möchte, kann ja mal bei Heise und Spiegel nach Vaillant suchen . Ich brauche keine Steuerung per Tablett oder über das Internet und folge daher weiter der Idee der Datensparsamkeit.

Ich würde mich freuen, wenn sich weitere technisch interessierte hier vernetzen würden und wir evtl. das Linux-System irgendwann als lokales ebus-Gateway verwenden könnten.


Mit freundlichen Grüßen
Chris Vogel

[johannesbehr]

Hallo Chris,

ich habe auch ein VR900 an meiner Heizung und versuche mich auch schon eine Weile daran.
Bisher habe ich hauptsächlich mit Wireshark gelauscht.
Da kann man sehen, dass die Kiste folgende Adressen anfunkt:

update-o-lb.dia.vaillant-group.com : 194.195.9.41
mq-o.dia.vaillant-group.com : 194.195.9.45
ntp-o.dia.vaillant-group.com
mqws-o.dia.vaillant-group.com : 194.195.9.43

Besonders interessant ist die 194.195.9.43, denn hier schein der Websocket zu sitzen. Die Kommunikation ist nicht verschlüsselt. Der Server sendet zu der VR900 am Anfang das hier: ]MQTTn15370A0933013570N0offline/15370A0933013570N0   vr900user zy1AKZ9wPFWcePNX504C
Ich hatte gehofft, dass man damit auch in das SSH rein kommt, aber leider nimmt er bei mir "vr900user" mit "zy1AKZ9wPFWcePNX504C" nicht...

Hast du schon weitere Erkenntnisse?

Viele Grüße
Johannesbehr

[ChriChri]

Hallo Johannesbehr,

nein, ich bin leider noch nicht wieder dazu gekommen micht mit dem Gerät auseinanderzusetzten. Ich hatte es geöffnet und mir die Hardware angeschaut: Es ist ein imx.6 SOC von Freescale. Ich kenne die Plattform von der cubox.

Mich würde am meisten Interessieren an ein Firmware-Image zu kommen, um verstehen zu können, was das Ding genau tut und ggf. auch eine Zugangsmöglichkeit zu finden.

Die Kommunikation hatte ich mir auch schon angeschaut - allerdings ohne mich vorher irgendwo zu registrieren.

Ich habe noch in Erinnerung, dass ich beim ssh-Zugang irgendwie der Meinung war, er sei nur mit Schlüssel möglich und der Passwortzugang hätte bei mir gar nicht funktioniert, aber das müsste ich nocheinmal prüfen.

An der Platine gibt es einen Anschluss für eine Steckverbindung, aber ich kenne mich mit Hardware nicht genügend aus, um herauszufinden, ob und wie man über den Anschluss auf jtag, serielle Schnittstelle, Flash oder sonstige Schnittstellen zugreifen könnte.

Hier würde ich mich über Hilfe freuen...


Mit freundlichen Grüßen
Chris

[spi3845]

Habe auch seit Kurzem ein VR900 und bin über den ssh-Port gestolpert. Ich weiß nicht wie alt die Firmware ist, aber vielleicht sind noch einige ssh-Vulnerabilities der vergangenen Monate nicht geschlossen und man kommt darüber rein...

[Sven77]

Ich weiß nicht wie alt die Firmware ist, [...]

So lange das Ding am Internet hängt, aktualisiert es sich selbständig. Erkennbar an der SW-Version im 'ebusctl info', bei mir aktuell 0607.
Meine Fritzbox meldet dazu noch "udhcp 1.24.1", also nichts uraltes. Was ich leider nicht weiß, wann die FB diese Info aktualisiert, eventuell ist die auch schon von der ersten Inbetriebnahme.

[msfox]

blob...(ich schieb das Thema noch einmal nach oben)   
Gibt es hierzu schon mehr Erkenntnisse?

Ich habe auch eine Vaillant flexoTherm und wollte mir eigentlich vom Fachmann das VR900 nachrüsten lassen. Wie ich hier sehe, scheint es dazu noch kein FHEM-Modul zu geben.
Leider kann ich nur Java,ABAP,PHP aber kein Perl programmieren. Sonst würde ich mich selbst versuchen .

Trotzdem wäre etwas Hintergrundwissen interessant.
1. Es gibt ein Modul für pluggit ("98_pluggit" Lüftungsanlage), welche via MODBUS die Daten der Lüftungsanlage verarbeitet. Also eine Art Wrapper...
2. Vaillant arbeitet über eBUS, wie ich diesem Thread https://forum.fhem.de/index.php?topic=29737.1380 entnehme. In diesem Thread ist von einem "Koppler" die rede. Also einem eBus-Modul (Hardware), welches die Heizung mit dem RPi verbinden kann.
Richtig?
Macht dieses VR900 Modul das gleiche...?
...nur mit dem Unterschied, dass man die Daten hier nicht abgreifen kann?
Könnte man analog dem 98_pluggit für Modbus ein wrapper für eBus für Vaillant schreiben?
(das 98_pluggit ist ja so umfangreich nicht - ca. 350Zeilen)

[john30]

2. Vaillant arbeitet über eBUS, wie ich diesem Thread https://forum.fhem.de/index.php?topic=29737.1380 entnehme. In diesem Thread ist von einem "Koppler" die rede. Also einem eBus-Modul (Hardware), welches die Heizung mit dem RPi verbinden kann.

Genau, man braucht sowas hier.

Macht dieses VR900 Modul das gleiche...?

im Prinzip schon, allerdings m.W. nicht für bspw. ebusd nutzbar.

Könnte man analog dem 98_pluggit für Modbus ein wrapper für eBus für Vaillant schreiben?

das weiß ich nicht

[CaviarBag]

Hi everyone. Im in the same situation as threadstarter; I have the VR 920 in combination with flexoTherm, VR 70 and VRC 700. Im looking for more information/insight about the VR 900/920 and if there is a way to use it to collect more detailed metrics about what is going on. The "VRC 700" app seem to be limited to logging yield metrics.
So far I have not found much technical information, its more or less a black box. Common Linux ports are not active. Quite a few UDP ports are open and some TCP. Especially TCP port 12480 has caught my interest, it seems secured with a self-signed certificate. Besides the odd encryptionscheme it seems to me that whatever is listening on this port requires authentication (connection disconnects after a few writes).
The box is also broadcasting multicast traffic, im not sure what, why or purpose.

I find it a bit strange that the box and its internals are not documented, personally when I install anything in my network I prefer to know their behaviour...

Its a bit strange that the VR 900/920 does not have some kind of local interface to "tap" in, since its already (obviously) doing ebus to network (and back). Probably just limited to whatever goes on in vaillant backend to increase stability.

So, instead of spending time on investigating the mystery box, my question is if someone can recommend an ebus adapter. USB or ETH?

[Sven77]

my question is if someone can recommend an ebus adapter. USB or ETH?

Hi CaviarBag,

as John already stated above, there are some recommendations for required hardware on the ebusd-Wiki.
I'd also recommend an adapter with galvanic isolation, but my FT232 based adapter is working well too.

If you are interested in the new interface without any voltage adjustment and WiFi, you should ask for an order here:
https://forum.fhem.de/index.php/topic,79427.0.html

BTW: Forget about the VR900! I never knew about the VR920 but it seems, it's just a hardware replacement, maybe even more secured in the local network, as I think to remember it has more open ports.
As John already wrote, it's a shame one cannot use it for its own development, as it already has an eBus connection...

[Standarduser]

Hallo zusammen,

ich hole dieses Thema mal wieder hoch. Vaillant verkauft ja immer noch das VR 920 und ich bin am Überlegen, ob mir das eventuell einen Mehrwert bietet.
Gibt es neue Erkenntnisse bezüglich des Zugriffs darauf oder hat sich damit niemand mehr weiter beschäftigt?

[Sven77]

Also ganz ehrlich:
Mit ein wenig Bastel- und Programmierarbeit kannst du identische Funktionen für weit unter 100€ bekommen. Und damit hast du dann sogar deutlich mehr Möglichkeiten.

Über das VR920 kann ich nicht viel sagen, es scheint aber ein reines Hardware-Upgrade zum VR900 zu sein. Und bei diesem ist auf LAN-Seite alles dicht - und echtes Hacking lohnt sich wohl nicht, wenn man für ein paar Euro auch ein eigenes eBus-Interface bauen kann.

Die offizielle Funktion, mittels Smartphone-App auf die Heizung zugreifen zu können, ist für Endanwender sicherlich schön. Ohne viel Wissen kann man nur wenige Funktionen steuern (Temperturen, Zeitprogramme, Urlaub, Sonderfunktionen für Party usw. und noch die Solarerträge in Balkendiagrammen) und somit auch nichts kaputt machen.
Ich persönlich habe meins immer noch in Betrieb, weil die App Push-Benachrichtigungen bietet. Da ich eine Zeit lang stets Ausfälle meines Brenners hatte, bekam ich in diesem Fall sofort eine Meldung aufs Handy. Bisher war ich immer zu faul, das in meiner Umgebung selbst umzusetzen.

Wenn du aus den Beschreibungen nun für dich einen Mehrwert erkennst, mach mir gern ein Angebot für mein gebrauchtes VR900. Vielleicht lasse ich mich ja davon überzeugen, dass ich gar keine Push-Benachrichtigungen mehr brauche...

[Standarduser]

Danke für deine Antwort. Im Prinzip hast du genau meinen Eindruck bestätigt, den ich aus diesem und aus Threads in anderen Foren gewonnen habe. Ich wollte mich nur vergewissern, dass es nicht zwischenzeitlich neue Erkenntnisse gibt, die an mir vorbei gegangen sind.

Interesse an diesem Teil hätte ich im Prinzip schon, aber das, was es mir wert wäre, hältst du sicher für unverschämt. Insofern mach ich dir lieber kein Angebot

[KluthR]

Zwar schon etwas älter, aber:

Ich habe die VR900 auch etwas untersucht. Mittlerweile scheint Vaillant den mqws (also den Websocket) abgeschaltet zu haben. Es gibt weder DNS Anfragen noch Traffic dorthin (obwohl ich vor nem halen Jahr dasselbe gesehen habe).

Also macht die VR900 nur noch: NTP, MQ(TT), Update. NTP bietet mir kein "Angriffsziel", MQTT ist TLS1.2 verschlüsselt sowie mit User/Pass gesichert - bleibt update..

Davon gibt es update-o-lb.dia.vaillant-group.com und update-i-lb.dia.vaillant-group.com. Zweiteres wird abgefragt, wenn im 1. Versuch keine MQTT Verbindung hergestellt werden konnte.

Komischerweise fragt die VR900 update-o nie ab, kein Traffic dorthin. Ich vermute, das geschieht nur in bestimmten Abständen - oder auf Wunsch via MQTT Nachricht hin. Jedenfalls hab ich mal geschaut was auf dem Server läuft...

https war zwar offen, kam aber - leider - keine Seite. Da läuft nicht mal ei Webserver. Interessant. Telnet brachte mich auch nicht weiter. Dafür aber nmap. Vaillant betreibt dort ein RSYNCD-Server - über stunnel. Wusste gar nicht, dass es sowas gibt - kurz belesen - und das ftpsync-Paket installiert. Dort gibts für rsync ein Modul, welches derweil ein stunnel client startet.

Auf dem Server dort sind RSYNCD-Module konfiguriert:

Code Auswählen Erweitern

rootfs_cdialog
rootfs_cdialog_write
ODX
ODX_write
OTX
OTX_write
PduApi_cdialog
PduApi_cdialog_write
rootfs_cdialog_stage
rootfs_cdialog_stage_write
ODX_stage
ODX_stage_write
OTX_stage
OTX_stage_write
PduApi_cdialog_stage
PduApi_cdialog_stage_write
rootfs_cdialog2_wand
rootfs_cdialog2_wand_write
rootfs_cdialog2_stage
rootfs_cdialog2_stage_write
rootfs_cdialog2_live
rootfs_cdialog2_live_write
rootfs_hem20_stage
rootfs_hem20_stage_write
rootfs_hem20_live
rootfs_hem20_live_write
rootfs_hem20_devel
rootfs_hem20_devel_write
rootfs_swaggerpi_devel
rootfs_swaggerpi_devel_write
rootfs_vr9xx_migr_devel
rootfs_vr9xx_migr_devel_write
rootfs_vr9xx_migr_stage
rootfs_vr9xx_migr_stage_write
rootfs_vr9xx_migr_live
rootfs_vr9xx_migr_live_write

Sieht interessant aus - leider ist hier auch schon Schluss: Jedes Modul fragt ein Passwort ab. Hab diverses probiert, komme nicht weiter.

Da die VR900 für MQTT das SSL-Zert verifiziert (und damit mitm unmöglich macht) denke ich mal, dass der stunnel client dasselbe macht - wissen tu ichs aber nicht, könnte sein, dass der schlampiger konfiguriert ist..?

Zur Info..

[KluthR]

Dank @kodidu habe ich doch Zugang zum System erhalten. Wie ich anfangs vermutete, besitzen die Geräte UART. Ich wusste nur nie wo. Mit einem JTAGulator kann man das auch rausfinden (habe ich mittlerweile.)

Die VR900 und VR920 besitzen beide eine UART-Schnittstelle. Auf der VR900 als X10 gekennzeichneter Port. Die Pads sind auf beiden Seiten miteinander verbunden, also benötigt man nur eine Seite.
Pinout anbei.

Die VR920 hat zwar auch UART, man kommt aber nicht in U-Boot, da das Timeout 0 ist. Bei der VR900 ist der Timeout 1, sodass man noch eine Taste drücken kann. Einmal im U-Boot kann man sich das ganze Boot-Environment ansehen und auch so manipulieren, dass man eine System-Shell beim Booten statt Login sieht. Allerdings ist diese nicht von Dauer, da der Watchdog (nehm ich mal an) das System ziemluch bald (1 Minute?)

Werkeln tut dort hauptsächlich eine Vaillant Java-Anwendung.


Meine Nuegier ist hiermit eigentlich zuende. Mich hätte noch MQTT interessiert aber dazu die Java-Anwendung auf den Kopf stellen: Nö. Ich werde mir mit einem eBUS-Adapter nochmal irgendwann direkt Zugang zum ebus verschaffen.

EDIT: Achso, Ja - JTAG kann das Teil auch, sind aber nicht die PINS über X10 (also X90) sondern die kleinen 2x5 Test-Pads, links neben dem Punkt vom iMX.6 auf dem Bild.

[Dirk070]

Der Thread ist ja schon etwas älter - meine Bestrebungen die Vaillant WP in FHEM zu bekommen aber auch 
Ich warte leider noch auf einen EBUS-Adapter 3, das wäre ja der aktuelle Weg.

Für ioBroker gibt es eine Lösung mit dem VR900.
https://github.com/TA2k/ioBroker.vaillant

Ergänzung: es gibt auch eine python3 Lösung (pymultiMATIC)
https://github.com/thomasgermain/pymultiMATIC

Kennt sich hier jemand aus und kann sagen, ob es die Möglichkeit gibt, den Quellcode für FHEM zu nutzen?
...oder das Python3 in Fhem zu nutzen?

Danke vorab und schöne Grüße
Dirk