Netzwerkeinbindung eines Stromspeichers im Heimnetz

[Rewe2000]

Hallo,

ich werde mir im Frühjahr 2020 einen E3DC Stromspeicher zulegen, welcher vom Hersteller (Garantiebedingung) über Internet erreichbar sein sollte (bitte keine Diskussion darüber).  Da ich diesen nicht in meinem Heimnetz, ohne jegliche Absicherung freigeben will brauche ich hierzu eine halbwegs sichere und einfache Lösung (die Hoffnung stirbt zuletzt).
Ich könnte diesen einfach ins Gastnetz der Fritzbox hängen, aber da ich ja diesen auch über Fhem abfragen und ggf. steuern will, wird das nicht möglich sein.
Zum Verständnis, wie mein bisheriges Heimnetz jetzt aufgebaut ist, habe ich ein PDF-Dokument Netzaufbau.pdf angehängt.

Sicherlich bin ich nicht der einzige in der Fhem Gemeinde, welcher solche Geräte (E3DC oder andere Hersteller) betreibt, deshalb hoffe ich auf einige Tipps von euch, zu dieser Thematik.

Ich bitte jedoch zu beachten:

• Ich bin nicht der große Netzwerkspezialist, bin aber bereit mich so weit ich es verstehe einzulesen.
• Sicherlich wird es da die eine oder andere Rückfrage von meiner Seite geben
• Meine Hardware hat eh schon einige Jahre auf dem Buckel, könnte also auch erneuert werden
• Wenn möglich wollte ich das ganze über standalone Geräte lösen und nicht dafür einen Rechner mit 2 Netzwerkkarten verwenden
• Die Stromkosten welche ich durch den Speicher einspare, sollen nicht für die Hardware der Netzwerktechnik verbraucht werden
• Die Umsetzung sollte Preislich im Rahmen bleiben und nicht allzu kompliziert werden

Eine ganz einfache Lösung wird es hier aber nicht geben, davon habe ich mich schon verabschiedet. Irgendwie wird es auf 2 unterschiedliche Subnetze mit einem Router plus Firewall hinauslaufen, so zumindest habe ich mir das vorgestellt.
Ich habe mich schon mit VLAN und DMZ beschäftigt, aber ohne Tipps von Leuten (gerne mit Empfehlungen zu Geräten) die da Ahnung haben komme ich da alleine nicht wirklich weiter.

Ich hoffe auf zahlreiche Tipps und Vorschläge
Gruß Reinhard

[pcbastler]

Ich hänge mich mal hier dran, mein S10E soll Mitte Januar kommen. Evtl. kann ich dann auch schon ein paar Erfahrungen beisteuern. Andererseits: "Über Internet erreichbar" wäre auch mittels VPN erfüllbar
Erste Idee wäre ein extra Router (am liebsten mit OpenWRT), wobei ich mir nicht sicher bin ob man ein separates Netzwerk wirklich braucht.

[Rewe2000]

Hallo pcbastler,

auch bei mir wird es ein S10E werden, deshalb wollte ich die Netzwerk Voraussetzungen bereits jetzt schaffen.

Erreicht denn eine VPN Einwahl in die Fritzbox nicht automatisch alle Teilnehmer, welche sich auch im Heimnetz befinden?
Irgendwie wäre es mir wohler einen Bereich zu schaffen, welcher mit "normalen Mitteln" nicht verlassen werden kann.

Mit meinen begrenzten Netzwerkkenntnissen schwebt mir eine ähnliche Lösung über einen VLAN Switch (mit 2 Kabeln von der Fritz Box) vor, welcher von Jan unter http://janscholten.de/blog/2014/09/vlans-im-heimnetz-mit-netgear-unifi-und-fritzbox/comment-page-1/ beschrieben wurde.
Ich bin mir aber nicht sicher ob ich dazu unbedingt einen externen Access Point, mit 2. Switch benötige oder ob ich das WLAN auch über die Fritzbox bereitstellen kann. Ich will ja keinen WLAN Teilnehmer im Gastnetz der Fritzbox vom Heimnetz aus erreichen können. Vermutlich könnte da ein einziger VLAN Switch schon ausreichen, an welchen ich den "Gastteilnehmer" anschließe.

Ob es sich aber tatsächlich so umsetzen lässt, das traue ich mir mit meinen Kenntnissen leider nicht zu, das zu beurteilen, da hoffe ich auf einige Hinweise.


Gruß Reinhard

[Eisix]

Hallo,

schaut euch mal

https://www.ui.com/unifi-routing/usg/


Das Teil hinter der Fritzbox in Verbindung mit einem Controller sollte euch alle Möglichkeiten geben. Läßt sich auch an Fhem anbinden.

Gruß
Eisix

[pcbastler]

nach einigen Überlegungen gäbe es folgende Lösung:
Einbindung der S10E komplett ins vorhandene Netzwerk und Portweiterleitung
Vorteil:
- keine zusätzliche Hardware erforderlich
- externer Zugriff nur über genaue Ports möglich
- Einbindung in FHEM problemlos möglich

Nachteil:
- dyndns erforderlich
- schwache Authentifizierung  (Nutzer und Passwort)

[LuckyDay]

Ich bezweifle das ihr Ports Dyndns usw braucht.

An eurer Stelle würde ich den Hersteller/MonteurFirma fragen, was ihr bereitstellen müsst in eurem Netz.

[ch.eick]

Moin

Bei meinem Wechselrichter bezieht sich die Herstelleranbindung für die Gewährleistungsverlängerung auf eine Portalanbindung. Es werden Daten über den Ertrag und technische Werte hochgeladen.  Einen Zugriff des Herstellers  direkt auf das Gerät geht nicht.
Einen Tod muss man sterben. Gewährleistungsverlängerung wird mit Daten bezahlt.
Für einen Servicefall haben die dann Teamviewer verwendet.
Ansonsten später der Ip das Internet verweigern, die Gewährleistung ist aktiv und im privaten Netz gibt's ja auch Probleme

Gruß Christian

Gesendet von meinem SM-G930F mit Tapatalk

[Rewe2000]

Hallo,

vielen Dank für die bisherigen Antworten und Tipps zu meinem "Problem".

@Eisix: Dank auch dir für den Tipp mit dem Router. Hast du selbst so ein Gerät in Verwendung? Ich bezweifle, dass ich dieses mit meinen bescheidenen Netzwerkkenntnissen alleine korrekt parametrieren könnte, spätestens bei Begriffen, welche man selbst nicht kennt und im Internet wenig dazu zu finden ist. Ist dann die Oberfläche nicht in Deutsch wird es da für mich schon sehr eng.

@fhem-hm-knecht: Genau das habe ich heute getan, bin mal gespannt ob da mehr als einige der bekannten Textbausteine als Antwort zurückkommt. In der Installationsanleitung zu den Speicher ist nur folgendes zu finden:

Hinweise zu geeigneten Schutzmaßnahmen:
• Das S10 E sollte durch einen Router, der mindestens NAT unterstützt mit dem Internet verbunden sein.
• Sollte das S10 E in einer DMZ platziert werden, so müssen die folgenden Maßnahmen ergriffen werden, um einen sicheren Betrieb zu gewährleisten:
– die in der Unterlage ,,IT-Richtlinien für Internetanschluss/Portfreigabe" gelisteten Ports freigeben (s. u.),
– alle anderen Ports sperren.

Freizugebende Ports
In seltenen Fällen – häufig bei Anschluss hinter einer restriktiven Firewall – ist ein Betrieb ,,out of the box" nicht möglich, da Datenpakete vom S10 E ins Internet
durch nicht frei gegebene Ports blockiert werden. In diesen Fällen ist sicherzustellen, dass ausgehende Verbindungen zu bestimmten
Ports zugelassen werden.

Einige Antworten zu Fragen der Internetsicherheit habe ich hier gefunden, (kommt aber nicht vom Hersteller selbst)
https://www.pure-energien.com/faq/fragen-zur-internetsicherheit-e3dc/

Mir geht es hier nicht darum, jegliche Verbindung nach außen zu verhindern. Aber ich möchte mein Heimnetz zumindest mit den mir zur Verfügung stehenden Mitteln und Kenntnissen sichern. Beides soll möglich sein, der Hersteller soll seine Daten erhalten, aber bitte nichts mehr und ich möchte immer ohne Cloud etc. auf meine Geräte zugreifen können, genau das ist der Grund weshalb ich Homematic mit CCUx (Raspimatic) und bewusst nicht mit der App nutze. Das Grundvertrauen in Firmen habe ich in den letzten Jahren verloren, dass Zugangsdaten immer sicher geschützt werden.

Nochmals vielen Dank für eure Beiträge.
Gruß Reinhard

[der-Lolo]

Ich würde euch auch UniFi empfehlen!
Schaut euch doch mal ein oder zwei UniFi Videos an, die Controllersoftware ist wirklich einfach zu bedienen und gut aufgebaut.
Vom Prinzip her müsste ihr e3dc ja nur den zugriff auf andere Netzwerkkomponenten im privatem Netz verbieten (FHEM-Server) als ausnahme...

In FHEM integriert ist es Dank Wuehler auch ganz gut...

[pcbastler]

Hat sich eigentlich erledigt:

von https://www.pure-energien.com/faq/fragen-zur-internetsicherheit-e3dc/
Im Standardanwendungsfall (Privates Heimnetz) müssen keine Ports in der Firewall geöffnet werden. Wir empfehlen grundsätzlich die externen Portfreigaben  zu entfernen, falls wir darauf aufmerksam werden. Das System benötigt nur ausgehenden Datenverkehr auf den TCP-Ports 80,443,4001.

Also ist Zugriff von außen kein Problem. Für die Sicherung gegen das Heimnetz reicht ein einfacher Router der ein extra Netzwerk erzeugt.

[Omega]

Auch ich bekomme demnächst einen E3DC. Mir ist aber noch nicht klar, welche der verschiedenen Schnittstellen (ModBUS(TCP), KNX, CAN–I/O, xComfort) für FHEM am Besten genutzt  werden sollten - bzw. welche Schnittstelle hat welche Vor- / Nachteile. Habt ihr da schon Erkenntnisse? Hier im Forum habe ich nur wenig über Modbus und einige Datenpunkte gefunden.

LG
Holger

[ch.eick]

Hallo.

Ich habe mich für Modbus TCP entschieden, weil ich da keine zusätzliche HW Schnittstelle benötige. Das Modbus Modul war bereits im fhem vorhanden und hatte sich bereits zu TCP weiterentwickelt. Die Firmen scheinen sich ebenfalls in diese Richtung zu bewegen.
Die Lan/WLAN Schnittstelle ist ja meist eh da,um das Web Interface zu liefern.
Wegen der vielen Werte werde ich jedoch wohl zwei Definitionen pro Device machen. Einmal alle Werte und einmal nur die wirklich verwendeten. Dann braucht mein Rpi nicht immer alles im Minuten Takt zu verschaffen.

Gruß Christian

Gesendet von meinem SM-G930F mit Tapatalk

[Omega]

Danke! So langsam lichtet sich der Nebel 

[ch.eick]

Die Sachen Modbus tcp mit Kostal sind von mir

Gesendet von meinem SM-G930F mit Tapatalk

[Rewe2000]

Hallo,

ich will meinen Speicher über Modbus in Fhem einbinden, da ich seit mehren Jahren nur sehr gute Erfahrungen mit einer WAGO SPS gemacht habe. Das Modbus Protokoll ist sehr zuverlässig, schnell und kann Daten von einem Gerät, in unterschiedlichen Zeitabständen liefern, denn nicht alle Werte benötige ich in sekündlichen Abstand.

Zwischenzeitlich habe ich auch eine ausführliche Antwort vom Hersteller zur Anbindung des Speichers an mein Heimnetz erhalten, welche folgende grundlegende Aussagen macht:

• Der Stromspeicher soll dauerhaft an das Internet angeschlossen sein. Er sendet in zyklischen Abständen Daten wie z.B. die Phasenleistung oder die Batterietemperatur an einen Server des Herstellers. Der ständige Internetanschluss ist notwendig für den Fernwartungszugriff und für Softwareupdates des Herstellers, sowie für Bezug den der Daten für das Wetterprognosebasierte Laden.
  
• Ihre Daten werden per HTTPS (HyperText Transfer Protocol Secure) vom Stromspeicher zum Server übertragen.
• Die Fernwartungsverbindung wird über einen Fernwartungsserver sichergestellt und ist per TLS abgesichert.
• Das S10 Hauskraftwerk sollte mindestens durch einen Router der NAT unterstützt vom Internet getrennt sein.
• Besser ist eine Firewall, um das S10 Hauskraftwerk vor ungewollten externen Zugriffen zu schützen.
• Sollte das S10 Hauskraftwerk in einer DMZ platziert werden, so müssen folgende Ports zugelassen werden:
  80 TCP (http) Ausgehend
  443 TCP (https) Ausgehend
  4001 TCP (Fernwartung) Ausgehend
• Alle anderen Ports sollten geschlossen werden

Ich denke, wenn ich das sicher im Hausnetz betreiben will, komme ich um einen zusätzlichen Router mit Firewall nicht herum. Ich könnte dieses natürlich auch nur an den Gastzugang meiner Fritzbox hängen, aber dann ist es für Fhem nicht mehr über Modbus zu erreichen.

Könntet ihr mir noch einige Tipps zur Hardware geben, welche ich mir da noch zulegen müsste. Ich hab da schon viel gelesen, aber das Verständnis ohne tiefgreifende Netzwerkkenntnisse ist da eher begrenzt.

Ich wollte den Stromspeicher, wenn möglich mit zusätzlicher Hardware "hinter" die Fritz Box, ins LAN hängen. Das UniFi® Security Gateway habe ich mir angesehen, bin mir aber nicht sicher ob dieses zwingend einen WAN Anschluß (Internet) benötigt oder ob ich dieses auch in einen LAN Port der Fritzbox anschließen kann. Auch habe ich Bedenken ob ich dieses mit meinen Netzwerkkenntnissen und in Englisch korrekt einstellen kann. Auch habe ich einiges über MikroTik Router gelesen, aber je mehr man sich da einliest, desto unsicherer wird man.

Wenn von euch jemand solche Hardware in Gebrauch hat und mir bei der Einrichtung einige Tipps geben könnte, wäre das Super.

Gruß Reinhard