LUPUSEC XT2 PLUS - Verbindung LUPUS APP - Sicherheit gegen externen Zugriff

[ABUS99]

hier gibt es ja bereits etliche Beiträge zum Thema, wie man die LUPUS APP mit der Zentrale verbindet.

Ich wollte mir zwei Profile anlegen, und zwar eins, wo ich via Heimnetzwerk vom Android-Handy zugreifen kann. (Das funktionierte bestens).

Nur die Einrichtung eines zweiten Profils in der App, wenn ich von außerhalb zugreifen möchte, gelang nicht. Alle Variationen, die hier diskutiert wurden, klappten nicht. (verschiedene Einstellungen in der Zentrale, der Fritz Box, diverse Porteinstellungen etc.)

Jedes Mal kam in der App eine Fehlermeldung, dass der Zugriff gescheitert ist bzw. keine Verbindung hergestellt wurde ...

Dann hatte ich es immerhin soweit, dass ich vom Handy über einen Browser auf die Anlage kam. Also sollte es auch über die App so funktionieren. Unerwartete "Lösung" war, das Profil, welches ich für "Heimnetz-internen" Zugriff eingerichtet hatte, zuerst wieder zu löschen. Dann neu zuerst das Profil für "externen" Zugriff anzulegen (plötzlich klappte es nämlich ), und dann wieder das "Heimnetzwerk"-Profil neu als zweites anzulegen.

Dann ging es endlich über beide Zugriffsarten.

Verstanden wieso es nur auf diese Weise funktionierte und nicht andersrum, habe ich allerdings nicht. (Wie bei der Sendung mit der Maus: "Klingt komisch, ist aber so":)

Aus Sicherheitsgründen werde ich in Kürze alles wieder ummodeln auf VPN-Zugriff, aber da muss ich mich erst noch etwas mit der Fritzbox und dem Thema beschäftigen. Da die Geräte alle neu sind, bin ich noch in der Testphase und eigne mir das nach und nach an.

an alle, die die Anlagen selbst einrichten, noch ein Hinweis: Im Netz stiess ich auf einen interessanten Artikel aus der Zeitschrift CT, der die Sicherheit bzgl. des Zugriffs von außen betrifft. Erstaunlicherweise gab es etliche Anlagen, auf die man als Fremder leicht "Eintritt" bekommen konnte:

Thema Sicherheit - unbefugten Zugriff vermeiden


Also immer gut absichern mit eigenen Bedienernamen und Passworten und sich Gedanken machen, wo man unbeabsichtigt ein "Törchen" nach draußen geöffnet haben könnte.

[esingen]

Bei mir funktioniert es mal und dann auch wieder nicht. Habs jetzt mal wie du neu eingerichtet. Aber komm jetzt aber schon wieder nicht extern drauf.

Hat jemand eine Idee, wieso das mal klappt und dann wieder nicht?

Danke

[Fin1]

Hallo zusammen

1. Zugang habe ich mit Hilfe von Lupus lösen können.
Die Leute sind sehr hilfreich. (Port 443 wurde freigeschaltet )
2. Thema Internetsicherheit:
Habe auch mir darüber auch Gedanken gemacht und habe folgende Lösung:
Werde nach Testlauf Internet trennen.
Zustand der Anlage (Störungen bzw. Alarme) bekomme ich über die
eingebaute SimKarte mit.

Anlage ein ausschalten mache ich mit der Fernbedienung V2.

Kamera oder Automation benötige ich nicht.

[Mücke]

...und was passiert mit der SIM Benachrichtigung wenn du im Funkloch sitzt ?

Also ich habe aus rein Sicherheitsgründen die XT2 komplett abgeschaltet , so kann keiner mehr meine Anlage hacken..... man bin ich gut.

[funkistnichtalles]

Manche Beiträge können einfach nur zum Kopfschütteln anregen.
Ein - und Ausgehenden Netzwerkverkehr zu kontrollieren und dann eben zu beschränken, ist wohl nicht die primäre Stärke dieser Schreiber.
Da sehr viel über Upnp läuft, können sich nur wenige nachvollziehbar wiederkehrend erklären, warum es mal geht und dann wieder nicht.
Strickt man dieses Konglomerat weiter, möchte ich nicht wissen, wie die Alarmanlage aussehen könnte.
Solange Netzwerktechnik bei solchen Kandidaten über DHCP und automatisierte Konstrukte seitens der Hersteller läuft, (welche genau für diesen Anwendungsbereich entwickelt wurden und damit das Scheunentor geöffnet haben), werden diese Beiträge nicht abreißen.
Die Suchfunktion wird nicht benutzt, eher macht man ein neues Thema auf und heult rum, warum es bei MIR nicht gehen will. Ich mach doch ALLES nach Herstelleranweisung. Was läuft bei MIR falsch?????
Keine unserer Anlagen läuft auf Standartports, weder in der App noch auf dem heimischen Netz. Kommen Angriffe aus dem Netz, melden sich genau EURE Anlagen vor unseren. Somit werden diese nicht beachtet, da es viel zu aufwändig wird, diese von den Standartanlagen auszufiltern.
Denkt mal über Netzwerksicherheit nach, aber nicht via Computer Bild und PC-WElt Halbwissen. Mittlerweile sind die auf der anderen Seite durch Kommerz und Werbeanzeigen gelandet.
Das sollte man sich mal durch den Kopf gehen lassen.

[Funkalarmprofi]

(17-02-2017 06:48)Mücke schrieb:  ...und was passiert mit der SIM Benachrichtigung wenn du im Funkloch sitzt ?

Im Funkloch hast Du im Regelfall ja auch kein Internet mehr
... womit wir wieder beim Wachdienst wären

[funkistnichtalles]

Jo. Sicherheit dreht sich immer wieder im Kreis.
Da in diesem Kreis jeder jeden überprüft, gibt es ein Gesamtpaket.
Sicherheit.
Thema: ausfallüberwachte Übertragungswege
Thema: Routineüberwachung derselben
Thema: Routineüberwachung der Anlage als solcher
Thema: Überwachung der Alarmkette
Thema: Erreichbarkeit der Bezugspersonenen.
All das leistet die Aufschaltung, wenn man es richtig durchzieht.

[Funkalarmprofi]

Genau ... aber darüber bei einer Lupus zu reden ist müssig ...

Steckernetzteil abziehen und die offen zugängliche SIM Karte rausnehmen ... dauert 5 Sekunden und schon ist der "Zauber" vorbei.

Genau DAS (und einige andere Sachen) machen dann eben den Unterschied zwischen Smarthome und richtiger Alarmanlage

[esingen]

Bei mir passt es nun wieder. Die Portweiterleitung
ist wohl irgendwie rausgeflogen. Merkwürdig.

[mucki]

Ich habe "leider" noch die alte XT2 mit Dongle und somit keine SSL Verschlüsselung.

Daher nutze ich die App von Lupusec unterwegs grundsätzlich nur mit VPN.
Nachdem ich endlich unter iOS den VPN Aufbau onDemand eingerichtet habe, bin ich damit eigentlich auch ganz glücklich. Ausserhalb meines Netzwerkes baut sich jetzt die VPN Verbindung selbstständig auf, wenn ich die Lupusec App starte. Sehr komfortabel und gleichzeitig relativ sicher....

[justasimpleguy]

(17-02-2017 19:43)mucki schrieb:  Daher nutze ich die App von Lupusec unterwegs grundsätzlich nur mit VPN.
Nachdem ich endlich unter iOS den VPN Aufbau onDemand eingerichtet habe, bin ich damit eigentlich auch ganz glücklich. Ausserhalb meines Netzwerkes baut sich jetzt die VPN Verbindung selbstständig auf, wenn ich die Lupusec App starte. Sehr komfortabel und gleichzeitig relativ sicher....

Ich empfehle ebenfalls dringend die Anlage nicht frei ins Netz zu hängen. Dabei spielt es auch nur eine nebensächliche Rolle, ob man die Standard-Ports oder selbst definierte verwendet. Betreibe meine auch nur im lokalen Netz (ohne Anbindung von außen). Eigentlich würde ich sogar so weit gehen und behaupten, das ich keine App benötige. Alarmmeldungen gehen ja auch anders bzw. sind mit einer Aufschaltung deutlich besser gelöst.

Was mich aber interessiert: Wie hast das mit der VPN on demand gelöst? Das klingt sehr spannend.

[mucki]

Sehe ich genauso. Meine XT2 ist von außen gar nicht erreichbar. Für den Fernzugriff muss zwingend eine VPN Verbindung aufgebaut werden.
On Demand läuft das mit iOS Geräten sehr zuverlässig. Anbei eine gut verständliche Anleitung:
https://www.iphone-ticker.de/vpn-anleitu...and-97462/

Ich bin kein Errichter, aber Netzwerke und deren Sicherheit sind mir nicht fremd. Einige Anbieter ermöglichen ja den Fernzugriff per App, indem über hauseigene Server geroutet wird.
Das wäre für mich persönlich ein no go :-)

[justasimpleguy]

(04-03-2017 22:52)mucki schrieb:  Sehe ich genauso. Meine XT2 ist von außen gar nicht erreichbar. Für den Fernzugriff muss zwingend eine VPN Verbindung aufgebaut werden.
On Demand läuft das mit iOS Geräten sehr zuverlässig. Anbei eine gut verständliche Anleitung:
https://www.iphone-ticker.de/vpn-anleitu...and-97462/

Sehr genial, danke für den Tipp! Funktioniert beim Zugriff auf lokale Adressen - zumindest beim Zugriff über den Browser. Wie schaffst du es, das die VPN auch aufgebaut wird, wenn du die App startest?

[mucki]

Das funktioniert eigentlich unabhängig von der Anwendung. Es sollte egal sein, ob eine interne Verbindung vom Browser oder einer App angesteuert wird.
Allerdings baut sich das VPN nicht automatisch auf, wenn interne IPs gewählt werden. Funktioniert aber problemlos mit einem internen Netzwerksynonym. Bei mir zb "xxx.fritz.box

[justasimpleguy]

(04-03-2017 23:33)mucki schrieb:  Das funktioniert eigentlich unabhängig von der Anwendung. Es sollte egal sein, ob eine interne Verbindung vom Browser oder einer App angesteuert wird.
Allerdings baut sich das VPN nicht automatisch auf, wenn interne IPs gewählt werden. Funktioniert aber problemlos mit einem internen Netzwerksynonym. Bei mir zb "xxx.fritz.box

Also mit IP.fritz.box hat es nicht geklappt. Ich habe jetzt einfach den Hostnamen.fritz.box verwendet. Tut dann ohne Probleme. Danke für den Hinweis