Wie sicher ist die LUPUSEC Alarmanlage?

[PeterF]

Das Thema Sicherheit zieht sich wie ein roter Faden durch dieses Forum und wurde schon mehrfach in verschiedenen Beiträgen diskutiert.

Ich würde mich freuen, wenn wir alle Aspekte zu diesem Thema in diesem Hauptthread zusammentragen und sich viele von Euch mit konstruktiven Beiträgen beteiligen.

Auch wenn es unterschiedliche Meinung gibt, sollten wir einander zuhören. Das Thema ist sehr komplex und niemand ist allwissend. Und die Sicherheit der Alarmanlage sollte für jeden einen hohen Stellenwert haben.

Ich würde gerne mit einem ersten Thema beginnen. Bekanntlich lassen sich Funkalarmanlagen durch sogenannte Jammer (Störsender) beeinflußen. Je nachdem welche Frequenzbänder benutzt werden, kann man angeblich mit so einem Jammer die Funkkommunikation zwischen der Zentrale und den Komponenten gänzlich blockieren, so dass die Alarmanlage nicht mehr funktioniert.

Der Handel und Einsatz solcher Jammer ist in Deutschland und der ganzen EU verboten, das wird einen Einbrecher nicht daran hindern, sich so ein Gerät zu beschaffen und einzusetzen.

Wenn die Frequenzen von Gerät und Störsender nicht übereinstimmen, wirkt sich die Störung nicht auf den Betrieb des Geräts aus. Die Xt2+ funkt auf den Frequenzen 868,6 MHz und 2,4 GHz, jeweils Dual Way.
Wie sicher ist das und wie reagiert die Zentrale, wenn die Funkverbindung durch den Einsatz eines Jammers komplett blockiert wird?
Ich habe gelesen, dass es Geräte gibt, die den Einsatz eines Jammers erkennen und entsprechend informieren, habe das aber nicht weiter recherchiert.

Ist es wirklich so leicht die komplette Alarmanlage mit einem 0815 Störsender lahmzulegen?

Ich freue mich auf einen konstruktiven Informationsaustausch zu diesem Thema.

Beste Grüße
PeterF

[peteralarm]

Die Lupus ist für den normalen DIY Heimanwender eine durchaus zuverlässige Anlage - sofern man sie nicht mit dem, wie ich immer sage "SmartHome Gedöns" überfordert. Die SmartHome Einbindung ist zwar schön und für manchen Ideal, jedoch sollte man sich immer bewusst sein das diese Einbindungen zu Störungen der eigentlichen Einbruchmeldeanlage führen können (sie anderen Post mit dem Nuki).
Das ist auch der Grund warum ich immer sage das gehört getrennt! Nicht weil ich sage Lupus ist eine schlechte Anlage.

Ja, Jammer sind zwar in Deutschland verboten, aber aus China oder anderen Ländern ohne weiteres und das mit wesentlich höherer Funkleistung wie es in Deutschland erlaubt wäre zu bekommen.
Ich habe bei Lupus keine Hinweise auf eine Fremdfunkerkennung gefunden. Falls es die doch gibt, bitte Info.
Somit kann die Anlage mit einem Jammer lahmgelegt werden. Die Lupus Aktoren BWM, Öffnungskontskte etc. arbeiten im 868,6 MHz Band. Die 2,4 GHz sind den ZigBee etc. Geräten vorbehalten und haben nichts mit den eigentlichen Sensoren zu tun.

Eine weitgehende Störsicherheit gegen Jammer bieten Daitem Anlagen, ist jedoch auch eine andere Preisklasse. Diese arbeiten auf beiden Frequenzbereichen 433 und 868 MHz gleichzeitig und haben eine Fremdfunkerkennung.
Es muss noch nicht einmal ein Jammer sein, manchmal genügt ein Baukran in der Nähe um eine Funkalarmanlage zu stören.

[PeterF]

@peteralarm,
Danke für deinen Beitrag.

Auf der Webpage von Lupus steht folgendes:
„Sollte ein Einbrecher versuchen, den Funkverkehr im Bereich ihres Hauses zu stören, so erkennen die Lupus Zentralen diese Sabotage Versuche und schlagen Alarm.
Bei den generellen Einstellungen der Zentrale gibt es die Einstellungen „Meldung bei Funkstörungen“ zum Beispiel ab 1 Minute. Im Handbuch steht dazu: aktivieren Sie diese Funktion, wenn die Zentrale eine Funkstörung per Kontakt ID Mail SMS etc. melden soll, ein akustischer Alarm erfolgt nicht.

Aber: bei den Report Einstellungen (Bedingungen) habe ich kein entsprechendes Alarm Ereignis gefunden, es sei denn, das Ereignis „inaktiv“ steht für Funkstörungen? Kann das jemand aufklären?

Zum Thema Funkstörung von außen steht zusätzlich auf der Webpage von LUPUSEC:
Die Kommunikation zwischen den lokalen Bediengeräten
ist mit einem rolling Code-Verfahren verschlüsselt. Dadurch ist auch der Funkverkehr besonders gegen Sabotage Versuche von außen geschützt.

[Martina H.]

Bei allen Beiträgen die diesbezüglich bereits gegeben wurden und sicherlich auch nach meinem Beitrag hier Einzug finden, gilt, dass sich die Aussagen immer nur auf die zur Zeit vorhandene Technik, das vorhandene Wissen und ähnlichem begründen.

Das, was gerade noch als sicher gilt, kann schon in wenigen Sekunden - aufgrund aktueller (illegaler?) Tätigkeiten, Erfindungen, Kenntnissen, Fertigkeiten, Angriffe, upDates, Neuheiten, ... überholt sein. Also tatsächlich nur eine aktuelle Momentaufnahme

Von daher sollten alle Aussagen entsprechend bewertet/eingestuft werden, denn jede Kette ist bekanntlich nur so stark, wie ihr schwächstes Glied!

[peteralarm]

(03-10-2020 11:13)PeterF schrieb:  @peteralarm,
Danke für deinen Beitrag.

Auf der Webpage von Lupus steht folgendes:
„Sollte ein Einbrecher versuchen, den Funkverkehr im Bereich ihres Hauses zu stören, so erkennen die Lupus Zentralen diese Sabotage Versuche und schlagen Alarm.
Bei den generellen Einstellungen der Zentrale gibt es die Einstellungen „Meldung bei Funkstörungen“ zum Beispiel ab 1 Minute. Im Handbuch steht dazu: aktivieren Sie diese Funktion, wenn die Zentrale eine Funkstörung per Kontakt ID Mail SMS etc. melden soll, ein akustischer Alarm erfolgt nicht.

Aber: bei den Report Einstellungen (Bedingungen) habe ich kein entsprechendes Alarm Ereignis gefunden, es sei denn, das Ereignis „inaktiv“ steht für Funkstörungen? Kann das jemand aufklären?

Zum Thema Funkstörung von außen steht zusätzlich auf der Webpage von LUPUSEC:
Die Kommunikation zwischen den lokalen Bediengeräten
ist mit einem rolling Code-Verfahren verschlüsselt. Dadurch ist auch der Funkverkehr besonders gegen Sabotage Versuche von außen geschützt.

Also wie ich das gelesen habe, bezieht Lupus die Funkstörungen immer nur auf das Rolling Code Verfahren.
Aber was bedeutet das? Die Funktion welche Übertragen wird ist damit verschlüsselt, nicht die Übertragungsfrequenz.
Ich selbst habe keine Lupus Zentrale oder dementsprechend auch kein Handbuch, da ich solche Anlagen nicht verbaue. Kann das also auch nicht nachvollziehen.
Ich habe jedoch ein paar mal mit Lupus Anlagen zu tun gehabt (habe auch 2 im Bekanntenkreis), kann die Anlagen daher auch nur von da her und aus Erfahrungsberichten, welche immer als subjektiv einzustufen sind beurteilen.
Bei der einen im Bekanntenkreis habe ich auch bei Aufbau und Einrichtung mitgewirkt und ich muss sagen, die läuft seit ein paar Jahren auch weitgehend störungsfrei. Allerdings ohne SmartHome da hat mein Bekannter auf meine Meinung gehört.

Aber wenn Lupus schreibt "die lokalen Bediengeräte" ist damit nicht nur Bedienteil und evtl. Fernbedienung gemeint? Was ist mit den Meldern??

[PeterF]

„Aber: bei den Report Einstellungen (Bedingungen) habe ich kein entsprechendes Alarm Ereignis gefunden, es sei denn, das Ereignis „inaktiv“ steht für Funkstörungen? Kann das jemand aufklären?“

Man muss nur richtig hinschauen. Unter Bedingungen „alle Ereignisse“ aktivieren und anschließend in der rechten Spalte die Ereignisse auswählen, die eine Benachrichtigung via SMS, Telanruf oder E-Mail auslösen soll. Das Ereignis „Funkstörung“ ist nun sichtbar und kann ausgewählt werden. Welche Benachrichtungswege stattfinden sollen, wird in der Spalte „Übertragungsweg“ definiert.

[peteralarm]

(03-10-2020 12:35)PeterF schrieb:  Man muss nur richtig hinschauen. Unter Bedingungen „alle Ereignisse“ aktivieren und anschließend in der rechten Spalte die Ereignisse auswählen, die eine Benachrichtigung via SMS, Telanruf oder E-Mail auslösen soll. Das Ereignis „Funkstörung“ ist nun sichtbar und kann ausgewählt werden. Welche Benachrichtungswege stattfinden sollen, wird in der Spalte „Übertragungsweg“ definiert.

OK, man lernt immer dazu. Hoffe nur das betrifft alle Melder, da Lupus immer nur von Bedienelementen spricht.

[bastelheini]

Die XT3 fängt bei mir alle paar Monate mal so ein "Störsignal". Steht im Log, Mails & SMS gehen raus. Heilt sich idR binnen 1 bis weniger Sekunden.

   

Bin der Meinung, da auch irgendwo dahinter im System in nem anderen Log was mit Zigbee gesehen zu haben - also was auf 2,4 Ghz. Da läuft ja alles mögliche, was stören kann.

Das hat auch weniger was mit Sensoren/Meldern oder so zu tun (es sei denn, deren regelmäßige Statusmeldung kommt verkrüppelt an und wird als das gemeldet), das passiert auch gerne mal nachts oder wenn definitv nix ausgelöst wurde.

RollingCode hat nichts mit Funktstörung zu tun. Es dient generell dazu, Replay-Attacken zu unterbinden. Beispiel: Das Alte Pin-Pad hatte das nicht, erst ab V2. Ich schneide also die proprietär codierten Funksignale auf 868Mhz mit, wenn die Anlage unscharf gestellt wird. Durch erneutes Funken dieses Mitschnitts würde sich die Anlage unscharf stellen, obwohl niemand am Pinpad war. Bei RollingCode wird einfach ein Counter hochgezählt und im Datenstrom als Salt für den Signaturhash mitgesendet. Die Anlage weiß dann, falls das Datendiagramm mit Counter 25 zum zweiten mal gesendet wird (weil der interne Counter schon bei 7215 steht), dass es verworfen werden kann. Jedes Gerät hat seinen eigenen Counter, dessen Stand nur Gerät und Anlage kennen.

(03-10-2020 10:32)peteralarm schrieb:  Die Lupus Aktoren BWM, Öffnungskontskte etc. arbeiten im 868,6 MHz Band. Die 2,4 GHz sind den ZigBee etc. Geräten vorbehalten und haben nichts mit den eigentlichen Sensoren zu tun.

Gibt einige derartige Geräte, die auf Zigbee arbeiten, z.b. der Wassermelder V2 (weshalb ich den V1 vorziehe, auch weil er keine Lithium Batterie braucht), die Mini-Innensirene, der Glasbruchmelder V2 ab 2019, der PIR-Melder mit Kamera und sicher einiges mehr.

[PeterF]

Zum Thema Zertifizierung:

Die LUPUSEC Alarmanlage ist mit der EN 50131 Grad 2 zertifiziert. Was bedeutet das:

Zunächst muss man eine unabhängige Untersuchung bestehen, um als Anbieter professioneller Sicherheitslösungen anerkannt zu werden. Erst dann sind Sicherheitsdienste, Versicherungsgesellschaften sowie Installateure bereit, ein Produkt einzusetzen. Wenn ein Gerät erfolgreich ein Zertifizierungsverfahren durchlaufen hat, sind die Zusicherungen des Herstellers bezüglich Funktionalität, Zuverlässigkeit und Haltbarkeit seiner Technologie nicht mehr bloß Worte. Sie werden zu nachgewiesenen Tatsachen. So sollte für Anwender kein Zweifel mehr bestehen, dass sie dem Produkt Vertrauen schenken können, wenn es um den Schutz ihres Eigentums oder auch ihres Wohlergehens geht.

Technologie, die für das Eigentum und die Sicherheit von Menschen verantwortlich ist, muss so zuverlässig wie möglich sein. Es wäre unverantwortlich, sich dabei nur auf angegebene Eigenschaften und die Kompetenz des Herstellers zu verlassen – vielmehr ist eine qualifizierte, unabhängige Prüfung erforderlich. Auf dem europäischen Sicherheitsmarkt gilt die Sicherheitsnorm EN 50131-1:2006.

In anerkannten Laboren werden Sicherheitsgeräte bestimmten Prüfungen auf Funktionalität, Wetterbeständigkeit, mechanische Belastbarkeit sowie Widerstandsfähigkeit gegen externe elektromagnetische Felder unterzogen. Neben der Qualität der Funkverbindung wird dabei ebenfalls geprüft, ob die Funktion des Geräts durch externe Einflüsse beeinträchtigt werden kann. Die Prüfergebnisse werden von der Zertifizierungsstelle aufgezeichnet und bewertet. Nachdem die erforderlichen Prüfungen durchgeführt, die passenden Verfahren bestimmt und die entsprechenden Dokumente ausgefertigt wurden, stellt die Zertifizierungsstelle die entsprechende Zertifizierung für die Geräte aus und bestimmt ihren Zuverlässigkeitsgrad.

Die Zuverlässigkeit eines Sicherheitssystems wird anhand seiner Fähigkeit bestimmt, Angreifer mithilfe unterschiedlicher Informations- und Geräteressourcen abzuwehren. Je höher der Grad, desto widerstandsfähiger das Sicherheitssystem. Dabei gilt es, zwei wichtige Vorbehalte zu beachten: Grad 4 ist bei Massenmarktsystemen selten, da die regulären Anforderungen sehr hoch sind, und Grad 3 ist ausschließlich kabelgebundenen Sicherheitssystemen vorbehalten. Daher kann Herstellern von kabellosen Sicherheitssystemen nur Grad 1 oder Grad 2 verliehen werden.

Grad 1. Das System kann unerfahrene Angreifer abwehren. Es schützt die augenfälligsten Zugangspunkte, zum Beispiel Eingangstüren. Es eignet sich für Räume, bei denen eine geringe Wahrscheinlichkeit eines Einbruchdiebstahls besteht und in denen keine Wertsachen aufbewahrt werden.

Grad 2. Das System kann erfahrene Angreifer abwehren, die Spezialausrüstung verwenden. Es schützt Türen, Fenster und andere mögliche Zugangspunkte. Es eignet sich für eine Wohnung, ein Haus oder ein Büro.

Grad 3. Das System kann Eindringlinge abwehren, die professionelle Fähigkeiten und Kenntnisse besitzen und tragbare elektronische Geräte verwenden. Neben jeglichen möglichen Zugangspunkten werden auch Wände und Decken geschützt. Es eignet sich für große kommerzielle Einrichtungen, wie z. B. Einkaufszentren.

Grad 4. Das System kann professionellen Gruppen standhalten, die Einbrüche im Voraus planen und komplett ausgerüstet sind. Es eignet sich für Objekte, die einem höchstmöglichen Risiko von Einbrüchen oder Terrorangriffen ausgesetzt sind.

Grade werden einzelnen Geräten zuerkannt, während Sicherheitssysteme als Ganzes bewertet werden. Der Grad eines Gesamtsystems wird durch das Systemgerät mit dem niedrigsten Grad bestimm.

Wenn nur ein einziger Sicherheitsmelder mit Grad 1 bewertet wird, wird auch das gesamte System nach Grad 1 zertifiziert. Das ist selbst dann der Fall, wenn 100 andere Sicherheitsgeräte im selben System mit Grad 3 bewertet werden.

Fazit:
Für die LUPUSEC Anlagen kommen nur die Grade 1 und 2 in Frage. Je höher der Grad desto sicherer die Anlage. Zumindest in der Vergleichsgruppe hat LUPUSEC eine höhere Bewertung.

---

Zum Thema „sichere Funkübertagung“ zwischen der LUPUSEC Zentrale und den LUPUSEC Komponenten (Fensterkontakte etc.)

Funksender besitzen eine eigene einmalige Adresse, welche es dem Funkempfänger ermöglicht zu bestimmen, ob der Befehl vom Sender für ihn ist oder nicht.

So ist es unmöglich, dass ein Befehl von einem unerwünschten oder gar fremden Handsender eine unbeabsichtigte Funktion auslösen kann. Dazu besitzt jeder Sender nicht nur eine eigene Adresse, sondern die Funkkommunikation wird auch auf Fehler oder Manipulation überprüft.

---

Für die Laien unter uns hier eine sehr gute Erklärung wie die kabellose Datenübertragung per Funk funktioniert und auf was zu achten ist.

https://www.schmidiger.ch/blog/kabellose...ertragung.

[Martina H.]

Allerdings muss man auch im Hinterkopf behalten, dass die Produkte - mit Stand der Technik/Wissen/... zum Zertifizierungszeitpunkt - zertifiziert wurden. Das betrifft jegliche Zertifizierungen. Es ist eben die Frage der "Halbwertszeit", die es zusätzlich zu beachten gilt, denn "die Gegner" halten ihre Füße nicht still sondern intensivieren mitunter ihre Kräfte, um in Systeme einzudringen.

Inwieweit dies für den "Hausgebrauch/den Anwendungsfall" relevant ist, muss jeder selbst beurteilen.

Ich persönlich ( andere mögen es anders sehen) sehe es so wie bei der Hauptuntersuchung für´s KFZ. Zum Zeitpunkt der Prüfung stellt der Ingenieur bestehende Mängel fest und sieht auch Dinge, die sich in Zukunft zu Mängeln entwickeln. Er entscheidet (entsprechend Vorgaben/Regelwerk), ob gemäß der Feststellungen (auch die Mangelfreiheit muss ja festgestellt werden ) die Plakette erteilt wird oder nicht. Spätestens in 2 Jahren ist man wieder an der Reihe.

[bastelheini]

(04-10-2020 10:08)PeterF schrieb:  Die LUPUSEC Alarmanlage ist mit der EN 50131 Grad 2 zertifiziert.

Das gilt atm nur für die XT3 auf Grund des sichereren Gehäuseaufbaus (Gehäuse im Gehäuse, man kommt an nix (Steckverbindungen, Schalter, SIM-Karte) dran, ohne die Hülle abzubauen und Alarm auszulösen).

[PeterF]

(04-10-2020 13:13)bastelheini schrieb:  

(04-10-2020 10:08)PeterF schrieb:  Die LUPUSEC Alarmanlage ist mit der EN 50131 Grad 2 zertifiziert.

Das gilt atm nur für die XT3 auf Grund des sichereren Gehäuseaufbaus (Gehäuse im Gehäuse, man kommt an nix (Steckverbindungen, Schalter, SIM-Karte) dran, ohne die Hülle abzubauen und Alarm auszulösen).

Hallo Bastelheini,

Heißt das, dass die xt2+ nur mit Grad 1 zertifiziert ist?

[bastelheini]

(05-10-2020 09:48)PeterF schrieb:  Heißt das, dass die xt2+ nur mit Grad 1 zertifiziert ist?

Ich denke mal, gar nicht....

[PeterF]

(05-10-2020 11:37)bastelheini schrieb:  

(05-10-2020 09:48)PeterF schrieb:  Heißt das, dass die xt2+ nur mit Grad 1 zertifiziert ist?

Ich denke mal, gar nicht....

Hallo Bastelheini,
Ich kann das jetzt bestätigen. Die xt2+ ist überhaupt nicht zertifiziert.
Das finde ich natürlich nicht gut.
Aber deswegen auf die xt3 umzusteigen, macht wohl wenig Sinn oder wie seht Ihr das hier im Board.
Es gibt ja nicht viele Unterschiede zwischen der xt2+ und der xt3, außer dass die xt3 einen Sabotageschutz hat und eine Zerfifizierung mit Grad 2.

[funkistnichtalles]

solange man als Errichter nicht nach einem Mindeststandart arbeiten will, muss man alles unterhalb der xt3 vergessen.
Stichwort: Medizinischer Notruf z. Bspiel, da wird das zum Vabanquespiel, wenn du Geld dafür aufrufst und eine Dienstleistung (Aufschaltung) dranhängt. Da wird die XT3 aber dann zu teuer.
Als Eigenschutz kannst du eh machen was du willst, da stehen dann schlimmstenfalls eben die Sabotagen entgegen, wenn du dich dann ärgerst, wenn dir die Zentraleinheit aufgrund von Planungsfehlern abgeschaltet wird, bevor sie den Alarm rausbringt.
Aber beim Einsatz einer Lupus als Privatmann würde ich mir über andere Sachen Gedanken machen, als die Zertifizierung der Zentraleinheit.

[PeterF]

Hallo zusammen,

Ich habe heute mit unserem IT-Security Manager gesprochen und ihn nach seiner Meinung gefragt.

Das alles Entscheidende ist, dass man seinen Zugriff von außen über einen VPN Tunnel absichert. D.h. Für die FRITZ!Box:
- unter Fritzboxdienste den Internetzugriff über https und TCP Port 443 aktivieren.
- dyndns aktivieren, da sich die öffentliche IP Adresse des Routers immer wieder mal ändert.
- VPN auf der FRitzbox und auch auf allen Geräten, mit denen man von außen zugreifen will, aktivieren.

Portfreigaben und Portweiterleitungen sind dann nicht mehr erforderlich.

[peteralarm]

Das betrifft den direkten Zugriff auf dein Netzwerk, dieses hast du damit weitgehendst geschützt.
Was ich jedoch meine ist ein anderer Weg, welcher über Fragwürdige Apps von irgendwelchem SmartHome Zeugs und deren Server, welche meist ungesichert, oder nur unzureichend gesichert irgendwo auf der Welt stehen.
Du gewährst diesen Apps Zugriff auf dein Netzwerk, hast du gegebenenfalls auch über dein VPN erlaubt und schon ist der Weg für Schadsoftware offen. Eben über den Smart Home App Zugriff auf dein Netzwerk. Der Angriff erfolgt nicht direkt auf dein Netzwerk sondern auf den Server auf dem die App und Verbindung zu deinem Smart Home Gerät liegt und kommt über diesen Weg zu dir. Diesen Weg musst du ja zulassen wenn dein Smart Home Gerät mit der zugehörigen App funktionieren soll, oder du Kamerabilder auf deinem Handy von einer ChingPongFu Billigkamera aus dem fernen China sehen willst.
Ich bin nicht grundsätzlich gegen alle Arten von Smart Home. Man sollte sich nur genau ansehen, was man sich da holt und nach Möglichkeit eine Einbindung in sein Alarmsystem vermeiden – auch wenn es noch so schön bunt leuchtet.

[PeterF]

Hallo peteralarm,

Ich verstehe deinen Punkt. Zu viel Smart Home über unterschiedliche Apps über die LUPUSEC Alarmanlage zu betreiben ist unter Sicherheitsaspekten mit Vorsicht zu genießen.

Ich nutze ausschließlich die LUPUSEC App für den Zugriff auf die xt und die LE Kameras. Auch diese Zugriffe gehen nur über den VPN-Tunnel.
Alexa hatte ich mal ausprobiert, aber alles wieder deaktiviert.

[bastelheini]

(05-10-2020 15:13)PeterF schrieb:  Das alles Entscheidende ist, dass man seinen Zugriff von außen über einen VPN Tunnel absichert. D.h. Für die FRITZ!Box:
- unter Fritzboxdienste den Internetzugriff über https und TCP Port 443 aktivieren.
- dyndns aktivieren, da sich die öffentliche IP Adresse des Routers immer wieder mal ändert.
- VPN auf der FRitzbox und auch auf allen Geräten, mit denen man von außen zugreifen will, aktivieren.

Portfreigaben und Portweiterleitungen sind dann nicht mehr erforderlich.

Korrekt, ABER Punkt 1 gehört nicht dazu (https / port 443). Damit würdest du nur dein Fritzbox Frontend (also das was du im Netz unter fritz.box laden kannst) ins Internet stellen. Bitte nicht tun, ist absolut nicht nötig und ein Einfallstor. Kommt da jemand rein, kann er sich ja auch selbst einen VPN-Zugang in dein Netz erstellen oder gleich alles per Portweiterleitung rausschalten. Das VPN der Fritzbox ist ein IPSEC-VPN, die Ports dafür sind andere und auf den lauscht die FB dann von ganz allein.

Zu Punkt 3: VPN brauchst du nur auf der FB, darüber erreichst du alle Geräte im Netz. Die brauchen selbst kein eigenes VPN, es sei denn du willst anders (über ein anderes Gerät im Zielnetz/Protokoll) rein ins Netz, z.B. per openVPN, weil IPSEC nicht aus dem Quellnetz heraus geht. Früher gabs da mal z.B. Probleme mit diversen Mobilfunkunternehmen.

[PeterF]

(05-10-2020 18:12)bastelheini schrieb:  

(05-10-2020 15:13)PeterF schrieb:  Das alles Entscheidende ist, dass man seinen Zugriff von außen über einen VPN Tunnel absichert. D.h. Für die FRITZ!Box:
- unter Fritzboxdienste den Internetzugriff über https und TCP Port 443 aktivieren.
- dyndns aktivieren, da sich die öffentliche IP Adresse des Routers immer wieder mal ändert.
- VPN auf der FRitzbox und auch auf allen Geräten, mit denen man von außen zugreifen will, aktivieren.

Portfreigaben und Portweiterleitungen sind dann nicht mehr erforderlich.

Korrekt, ABER Punkt 1 gehört nicht dazu (https / port 443). Damit würdest du nur dein Fritzbox Frontend (also das was du im Netz unter fritz.box laden kannst) ins Internet stellen. Bitte nicht tun, ist absolut nicht nötig und ein Einfallstor. Kommt da jemand rein, kann er sich ja auch selbst einen VPN-Zugang in dein Netz erstellen oder gleich alles per Portweiterleitung rausschalten. Das VPN der Fritzbox ist ein IPSEC-VPN, die Ports dafür sind andere und auf den lauscht die FB dann von ganz allein.

Zu Punkt 3: VPN brauchst du nur auf der FB, darüber erreichst du alle Geräte im Netz. Die brauchen selbst kein eigenes VPN, es sei denn du willst anders (über ein anderes Gerät im Zielnetz/Protokoll) rein ins Netz, z.B. per openVPN, weil IPSEC nicht aus dem Quellnetz heraus geht. Früher gabs da mal z.B. Probleme mit diversen Mobilfunkunternehmen.

Hallo Bastelheini,
Danke für deine Antwort und deine Hinweise.
Ich werde das einmal ausprobieren.