Umstieg nanoCUL auf Funk-LAN Gateway

Begonnen von cryptik, 11 Februar 2021, 15:42:23

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

cryptik

11 Februar 2021, 15:42:23
Hallo zusammen,

ich setze seid aufsetzen meiner FHEM Instanz zum steuern meiner Funkdevices (hauptsächlich Homematic Classic) relativ erfolgreich ein CC1101-USB-Lite 868MHz (CUL) ein.
Ich würde gerne die Zuverlässigkeit dennoch steigern und der Hauptgrund für einen Umstieg auf das Funk-LAN Gateway (HM-LGW-O-TW-W-EU) ist die Steigerung der Sicherheit, Stichwort AES.

Dazu habe ich zunächst folgenden Thread gelesen https://forum.fhem.de/index.php/topic,68145.msg595995.html#msg595995

Sowie die Wiki Einträge zum Funk-LAN Gateway
https://wiki.fhem.de/wiki/HM-LGW-O-TW-W-EU_Funk-LAN_Gateway
und AES
https://wiki.fhem.de/wiki/AES_Encryption

Einige Fragen bleiben nun noch offen bei denen ich gerne auf eure Hilfe zurückgreifen würde:

1. Sowohl der Thread als auch die beiden Wiki Einträge sind schon recht alt. Sind die Informationen dennoch aktuell oder gibt es inzwischen neuere Erkenntnisse bzw. bessere Lösungsansätze als das Funk-LAN Gateway? Ich spreche auf folgendes Zitat aus dem Wiki für HomeMatic allgemein an
ZitatErfahrungsgemäß ist der Einsatz originaler HomeMatic IOs empfehlenswert

2. Wenn ich nichts falsch verstehe, ist nach erfolgreicher Installation des Gateways hauptsächlich das IODev in allen HomeMatic-Komponenten zu aktualisieren damit eine generelle Kommunikation der Geräte möglich ist bzw. reicht es aus das IODev und IOList in der VCCU anzupassen sodass die VCCU automatisch die Anpassungen für die HomeMatic Devices übernimmt?
Zitat1. Richte eine VCCU ein und weise ihr die beiden IO-Devices zu, sie übernimmt dann das Setzen des Attributs "IODev".

3. Der Sinn des Ganzen ist ja auch grundlegend AES verwenden zu können.
In der VCCU ist bereits mindestens ein hmKey vergeben, welcher bei einigen Geräten zwingend erforderlich ist und somit eingesetzt wird, z.B. Fensterkontakte.
Beim Hinzufügen des LAN Gateways kommt auch ein neuer Schlüssel zum Einsatz, spielt das für den bereits verwendeten Schlüssel / Kommunikation eine Rolle?
Oder anders gefragt, muss ich den vorhandenen Schlüssel zuvor aus den Geräten entfernen?
ZitatWurde ein eigener Schlüssel vergeben der nicht mehr bekannt ist und wird dann die Zentrale zurückgesetzt oder ausgetauscht ohne die Komponenten vorher auf Werkseinstellung zurückzusetzen, sind die entsprechenden Komponenten nicht mehr verwendbar.

4.
ZitatEine Steigerung der Sicherheit ergibt sich nur, wenn man den werksseitig vorgegebenen Schlüssel ändert.
- Aus dem AES wiki Eintrag.
Die folgende Frage wurde hier im Forum bereits einmal unbeantwortet gestellt. https://forum.fhem.de/index.php?topic=66603.0
Ich konnte bisher noch keine weitere Erläuterung dazu finden, wie der Schlüssel geändert werden kann. Könnt ihr mir dazu etwas sagen?

5. Zum LAN Gateway wird folgendes im AES wiki Eintrag gesagt
ZitatDie LAN-Kommunikation ist standardmäßig ebenfalls verschlüsselt.
Dazu finde ich auch https://forum.fhem.de/index.php/topic,105709.msg1000499.html#msg1000499
Zitat2. Das, was beim HMLAN abgeschaltet war, ist die Kommunikation "Zentrale ←→ Frontend", sie muss auch bei dem LAN-GW ausgeschaltet bleiben. Was mit FHEM möglich ist, sind die anderen Kommunikationsstrecken aus dem o.g. Wiki-Artikel
Der Punkt Verschlüsselung aus dem Funk-LAN Gateway wiki ist, auch aus meiner Sicht etwas verwirrend dargestellt

Das impliziert, dass die LAN Kommunikation auch verschlüsselt durchgeführt werden kann, also LAN-GW zu FHEM bietet im eigenen Netzwerk verschlüsselten Datentransfer.
Nach dem genannten Zitat aus dem Thread ist damit jedoch die Kommunikation "Zentrale ←→ Frontend" gemeint. Ist dem wirklich so, oder funktioniert die LAN Kommunikation verschlüsselt?
Andernfalls evtl. wiki Eintrag für das bessere Verstädnis optimieren?!
Wobei ich mich auch da Frage, was ist mit Zentrale und was mit Frontend gemeint? Zentrale = FHEM; Frontend = WEBUI ?

Otto123

#1
11 Februar 2021, 16:09:10 Letzte Bearbeitung: 11 Februar 2021, 21:34:10 von Otto123
Hi,

Der Grund für den Einsatz eines Homatic IO kann nicht AES sein, es ist der, dass ein cul Sch.. für Homematic ist ;)

1. Auch mit dem cul funktioniert AES.!
2. Einige Geräte verwenden von Haus aus AES (alle Geräte mit SEC im Namen) allerdings (wenn nicht eine eigener AES Key verwendet wird) mit dem eq3 Systemschlüssel, der leider bekannt ist.
3. Warum willst Du deinen Schlüssel beim Einsatz eines neue IO ändern?
4. AES ist nicht pauschal AES. In erster Linie geht es um AES zwischen IO und Homematic Gerät auf Funk Ebene. Die LAN IOs von eq3 können auch AES auf der LAN Verbindung, dafür braucht es kein extra LAN! FHEM kann aber mit dem alten runden Lan Gateway kein AES auf der LAN Verbindung! Das neue LAN Gateway kan AES auf der LAN Verbindung, der Wiki Eintrag ist für mich absolut schlüssig!

Du hast im Wiki scheinbar kreuz und quer gelesen, Du musst dabei beachten es gibt wie schon gesagt zwei Lan Gateways. Das wird im (alten) Text natürlich sicher nicht explizit erwähnt.
Der Artikel ist aus meiner Sicht schlüssig: https://wiki.fhem.de/wiki/HM-LGW-O-TW-W-EU_Funk-LAN_Gateway#Verschl.C3.BCsselung
und der auch https://wiki.fhem.de/wiki/Virtueller_Controller_VCCU
Auch die Erklärung der Kommunikationsstrecken im Wiki https://wiki.fhem.de/wiki/AES_Encryption#Kommunikationsstrecken ist für mich absolut schlüssig  ???
Das sind eigentlich die Wikiartikel, die Du brauchst!

BTW: Ich meine das HM-LGW-O-TW-W-EU ist einer der aktuellsten Artikel von Homematic Classic von eq3 - der ist von 2016. Es gab schon lange keine Änderungen mehr am Prinzip. :) Alle Artikel dazu müssen also ein gewisses Alter haben. Neue Erkenntnisse sind bei grundlegenden Dingen zu Homematic Classic nicht zu erwarten.

Gruß Otto
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz

cryptik

#2
11 Februar 2021, 21:10:19
OK. Du hast recht. Der Einsatz eines Homatic IO ist... genau wie du es schreibst  :D
Ich muss aber dazu sagen, dass es bei mir trotzdem erstaunlich gut funktioniert, auch wenn der erste Konfigurationsaufwand mich einige Nerven gekostet hat; besonders mit den Fensterkontakten war der CUL sehr widerspenstig.

3. Ich dachte es wäre nötig den Schlüssel zu ändern. Aber der Artikel zur VCCU sagt mir, dass die VCCU alles verwaltet und somit auch der bereits benutzte Schlüssel an das neue IO übermittelt wird, richtig?
4. Ja, das war mir klar. AES auf Funkebene ist, wie gesagt, aktuell nur bei den Fensterkontakten aktiv und das soll sich ändern; geht zwar auch mit dem cul, soll aber aus bekannten Gründen abgelöst werden.  :D
Das AES ebenfalls auf der LAN Verbindung mit FHEM funktioniert ist wunderbar.
Du wirst recht haben, dass kreuz und quer lesen hat mich sicherlich etwas verwirrt.

Otto123

#3
11 Februar 2021, 21:35:22
zu 3. so sollte es sein :)
Viele Grüße aus Leipzig  ⇉  nächster Stammtisch an der Lindennaundorfer Mühle
RaspberryPi B B+ B2 B3 B3+ ZeroW,HMLAN,HMUART,Homematic,Fritz!Box 7590,WRT3200ACS-OpenWrt,Sonos,VU+,Arduino nano,ESP8266,MQTT,Zigbee,deconz
Drucken
Nach oben Seiten1
Benutzer-Aktionen