Telenot App mit DynDNS

[5624]

Also bevor mein kleiner innerer ITler hier wieder einen Nervenzusammenbruch bekommt (war das letzte Mal bei der comXline-Schulung, weil der Trainer so viel Unsinn vom Stapel gelassen hat):

Für den Einsatzzweck hier benötigt man keinen DNS-Server, der ist erst nötig, wenn man einen Hostname verwenden will, also beim E-Mail-Versand, als Zeitserver oder wenn die Leitstelle einem einen Namen statt einer IP gegeben hat. Für die App ist er unnötig und es ist noch unnötiger, einen falschen DNS-Server einzugeben. Wenn es nur einen DNS-Server gibt, also wie bei @Privateruser, dann auch nur einen eintragen. Sprich den Alternativen DNS leer lassen und nicht irgendwas eintragen.

Dann fangen wir mal komplett von vorne an:
Schritt 1: IP-Konfiguration. Im einfachsten Fall nur einen Hostname eintragen und alles andere auf DHCP stellen, sonst sucht man sich irgendwann einen Wolf, weil die Anlage nichts überträgt, wenn dann doch mal ein neuer Router ins Haus gekommen ist. Die Einstellungen hier sehen aber korrekt aus, bis auf den Alternativen DNS-Server (löschen), also können die bleiben.
Projektname im comXline auf den Projektnamen setzen, der für die BuildSec-Schlüsselerzeugung an Telenot übermittelt wurde

Schritt 2: Verbindung zwischen EMZ und ÜE konfigurieren.
In der EMZ muss die serielle S1 für Fernservice und Alarmierung genutzt werden und als comXline konfiguriert werden. Ist bei neueren Anlagen standardmäßig so, aber trotzdem kontrollieren. In der ÜE muss man den com2bus-Anschluss auf EMZ konfigurieren. Das ist nicht Standard, wenn man die Geräte auspackt.
Wenn man die Änderungen jetzt zurückschreibt, darf keine Serielle S1 Störung auflaufen bzw. nach wenigen Sekunden muss die selbsttätig verschwinden

Schritt 3: Fernservice aktivieren
Unter Fernservice -> Ethernet den Punkt Fernservice auf Freigegeben (für alle) setzen. Wenn die EMZ später im Internet erreichbar sein soll, die Schlüsselnummer ändern und zur Sicherheit den AES-Schlüssel neugenerieren und etwas verändern.
Port kann man ändern, wenn man möchte, mache ich jedoch nicht, bringt keinen Vor- oder Nachteil.
Die Daten zurück in die Anlage schreiben.

Schritt 4: Testen
Jetzt müsste man über compasX einen Fernzugang zum Wählgerät haben und sämtliche Funktionen nutzen können. Man muss einzig im Verbindungsdialog die IP-Adresse eintragen, da wir die Fernzugangsdaten noch nicht komplett haben.
Für den Zugang zur EMZ müssten wir jetzt noch die Servicefreigabe erteilen, darauf weist compasX aber hin.
Wenn das geht, ist soweit erstmal alles gut, dann ist es bis zur App nicht mehr weit.

Schritt 5: App im Errichtermodus
Mobilgerät mit dem WLAN verbinden, buildSec starten und eine neue Anlage anlegen.
Bei IP-Adresse die IP-Adresse des comxline eintragen, bei Port den Port aus den Fernzugangsdaten der Parametrierung, bei Schlüsselnummer die Schlüsselnummer, bei Schlüssel den AES-Schlüssel, bei Code/Kennwort kommt ein Bedienteilcode rein, nicht das compasX-Passwort, kann aber auch leer bleiben, dann wird es abgefragt und bei Adresse die 0.
Objekt: ein beliebiger Name
In der Anlage jetzt noch am Bedienteil mit einem Betreiber E3-Code (normalerweise vierstellig) die zeitbegrenzte buildSec-Freigabe erteilen.
Jetzt müsste man sich mit dem Handy verbinden können. Wenn nicht, Fehlersuche betreiben.

Schritt 6: EMZ für App im Betreibermodus vorbereiten
Eine BT-Adresse mit dem BT-Typ BuildSec-App anlegen und prüfen, ob es mindestens einen Bedienteilcode gibt, der für das neue BT berechtigt ist (werksseitig sind alle BT-Codes für alle BT freigegeben)

Schritt 7: App für Betreibermodus (im WLAN)
IP-Adresse: IP-Adresse des comXline
Port: Port aus den Fernzugangsdaten der Parametrierung
Schlüsselnummer: leer
Schlüssel: Frei
Schlüssel: der Freigabeschlüssel aus der Mail von Telenot
Adresse: die Adresse des neu angelegten BuildSec-Bedienteils
Objekt: ein beliebiger Name

Für die App im Betreibermodus ist keinerlei Service- oder BuildSec-Freigabe in der EMZ nötig.
Testen, wenn es nicht funktioniert, Fehler suchen

Schritt 8: Anlage aus dem Internet erreichbar machen
Im Router eine Portweiterleitung anlegen
interne IP-Adresse: IP-Adresse des comXline
externer Port: Port aus der Fernzugangsdaten
interner Port: Port aus den Fernzugangsdaten
Protokoll: TCP
DynDNS mittels Assistent oder nach Anleitung des Routers anlegen

Schritt 9: App anpassen
in der BuildSec-App die Anlage aus Schritt 7 bearbeiten und bei IP-Adresse oder Hostname den DynDNS-Namen, der im Router konfiguriert wurde, eintragen.
WLAN-Verbindung des Mobilgeräts trennen und die Verbindung mittels BuildSec testen.

PS: Zur Konfiguration der Fritzbox kann ich nichts großartig sagen, da ist sowas nicht habe und es bringt nichts, wenn ich jetzt die Schritte auf einem LANCOM-Router erkläre, den hier nur die wenigsten haben werden.

[caro]

Super

[peteralarm]

Zum Schritt 1:
hier habe ich die Erfahrung gemacht, dass es besser ist, den Hostnamen einzutragen und der Anlage eine feste IP zu geben. Es ist in der Fritzbox einfacher, die Anlage zu finden, da der Hostname dort angezeigt wird. Auch später in der Portweiterleitung hast du es damit leichter, weil du nicht mehr nach der IP suchen musst sondern den Hostnamen direkt sehen kannst.

Zu Schritt 3:
den AES Schlüssel würde ich unverändert übernehmen. Ist für Laien einfacher um fehlerhafte Einträge zu vermeiden.

Ich würde dann auch mit der abgespeicherten Konfig des ÜG erst mal versuchen die Anlage über die Compass Software im Heimnetzwerk zu erreichen. Fest mit einem LAN Kabel, ohne WLAN. Erst wenn das klappt, kann man mit den weiteren Einstellungen für die App und DYNDNS weitermachen. Wenn der Zugriff im internen Netzwerk schon nicht funktioniert, sucht man sich sonst einen Wolf.
Die Freigabezeit würde ich zum testen auf immer stellen.

Zu Schritt 7:
bei Schlüsselnummer den gleichen wie im ÜG eintragen
Der Objektname muss gleich sein wie im ÜG, kann nicht beliebig vergeben werden. Das ist spätestens bei der endgültigen Einrichtung der App zu beachten.

[5624]

Der Hostname wird aber nur angezeigt, wenn man DHCP nutzt, ansonsten kann die Fritzbox diesen nicht lernen. Der Hostname kann Sachen vereinfachen, ist aber nicht zwingend notwendig. Und die statische Konfiguration macht es für den normalen Fritzbox-Anwender schwerer, da diese eher für den DHCP-Betrieb ausgelegt ist, auch die Portweiterleitungen.

Zum AES-Schlüssel: Es ist nicht klar, wie der AES-Schlüssel erzeugt wird, daher sollte man diesen ändern. Beim WLAN gilt ja das selbe, niemals den werksseitigen Schlüssel verwenden.

Zu 7: Im Betreibermodus DARF keine Schlüsselnummer eingetragen werden! Schlüsselnummer nur in Verbindung mit einem AES-Schlüssel. Und der Objektname darf sich unterscheiden, bei mir im Handy entspricht kein einziger Objektname dem Projektnamen, egal ob bei einer complex oder einer hiplex. In der Anleitung zu buildSec steht auch ganz klar bei Schlüsselnummer: keine

[peteralarm]

(01-04-2020 09:22)5624 schrieb:  Zu 7: Im Betreibermodus DARF keine Schlüsselnummer eingetragen werden! Schlüsselnummer nur in Verbindung mit einem AES-Schlüssel. Und der Objektname darf sich unterscheiden, bei mir im Handy entspricht kein einziger Objektname dem Projektnamen, egal ob bei einer complex oder einer hiplex. In der Anleitung zu buildSec steht auch ganz klar bei Schlüsselnummer: keine

Das trifft aber nur auf den Punkt 7, Betreibermodus zu.

---

(01-04-2020 09:22)5624 schrieb:  Der Hostname wird aber nur angezeigt, wenn man DHCP nutzt, ansonsten kann die Fritzbox diesen nicht lernen. Der Hostname kann Sachen vereinfachen, ist aber nicht zwingend notwendig. Und die statische Konfiguration macht es für den normalen Fritzbox-Anwender schwerer, da diese eher für den DHCP-Betrieb ausgelegt ist, auch die Portweiterleitungen.

Ich trage immer den Hostnamen ein, dieser wird dann auch in der Fritzbox angezeigt. Ich habe in meinem Netzwerk feste IP vergeben.

---

(01-04-2020 09:22)5624 schrieb:  Zum AES-Schlüssel: Es ist nicht klar, wie der AES-Schlüssel erzeugt wird, daher sollte man diesen ändern. Beim WLAN gilt ja das selbe, niemals den werksseitigen Schlüssel verwenden.

Der AES Schlüssel wird aus der Seriennummer des ÜG erzeugt. Man kann diesen leicht ändern mit Klick auf die Schaltfläche "neu". Welche Berechnungen da im Hintergrund laufen, wird ein Geheimnis von Telenot bleiben.

[Privateruser]

Guten Morgen oder Mahlzeit zusammen, so ich habe das Wählgerät noch mal auf Werkseinstellung gesetzt, die IP Adresse in der FRITZ!Box gelöscht und habe noch mal Schritt für Schritt die Anleitung von 5624 abgearbeitet und siehe da es funktioniert. Leider kann ich nicht sagen woran es nun gelegen hat. Meine Vermutung liegt bei der FRITZ!Box aber das kann ich nicht belegen. Ich wollte mich noch mal bei allen bedanken die mir geholfen haben mein kleines Problem zu lösen.

[peteralarm]

Die Anleitung von @5624 war ja auch super, auch wenn ich ein par Kleinigkeiten anders mache

[5624]

Zitat:Das trifft aber nur auf den Punkt 7, Betreibermodus zu.

In Schritt 5 habe ich ja stehen, dass im Errichtermodus die Schlüsselnummer eingetragen werden muss.

Zitat:Ich trage immer den Hostnamen ein, dieser wird dann auch in der Fritzbox angezeigt. Ich habe in meinem Netzwerk feste IP vergeben.

Ich trag ihn auch immer ein, ich lass die aber immer mit DHCP laufen. Besser für mich, wenn sich was ändert, weil ich beide Teile verwalte, Netzwerk und Alarmanlage. Aber für den Kunden wäre es auch besser.
Wenn ich eine Fritzbox (wenn das mal vorkommt) mit statischen IPs betreibe, zeigt er mir nur die IP an. Die Fritzbox hat auch rein technisch keine Möglichkeit, den Namen zu lernen, da er nur in einer DHCP-Anfrage übermittelt wird. Danach gibt es laut der angewandten Standards im IP-Protokoll keine Möglichkeit, den Namen zu übertragen. Man kann den Namen aber in der Fritzbox händisch ändern.
Oder die Fritzbox hat den Namen per DHCP gelernt und anhand der MAC-Adresse wieder zugeordnet.
Es ist aber kein Standardverhalten, so wie du es beschreibst.

Aber ich hol mit gleich mal ne ÜE und ne Fritzbox raus, vielleicht liege ich auch falsch. Um Fritzboxen mach ich einen riesen Bogen.

Zitat:Der AES Schlüssel wird aus der Seriennummer des ÜG erzeugt.

Ja, dass ist aber eine gesonderte Funktion, die normal aus ist. Es ist ja schon ein AES-Schlüssel hinterlegt, selbst wenn man mit einer leeren Parametrierung beginnt und noch nie eine Verbindung mit der ÜE hatte. Also keine Seriennummer, die bekannt ist.
Daher niemals den vordefinierten AES-Schlüssel verwenden, man weiß nicht, wo der herkommt.

Ja, ich mache Sachen anders, das liegt aber daran, dass ich halt hauptberuflich ITler bin und 1500 Geräte an 55 Standorten verwalte. Sprich mein Netzwerkwissen geht etwas tiefer als was eine normale Fritzbox kann.

[peteralarm]

Die Fritzbox ist ja auch für den "privaten Gebrauch" gedacht. Im professionellen IT Bereich gibt es da ganz andere Router. Ist ja auch eine ganz andere Welt und kaum zu vergleichen. Diese würden jedoch 99% der normalen User schlichtweg überfordern , viele sind schon mit der Einrichtung der Fritzbox an ihren Grenzen.....
Ein Trabbi hat zwar auch 4 Räder, aber von einem Formel 1 unterscheidet er sich doch gewaltig

[Privateruser]

Das ist wohl war, ich habe ja die Fritzbox hier in Heimbetrieb und noch reicht sie aus aber sie ist glaube auch schon ziemlich vergewaltigt. Meine IT Kenntnisse sind jetzt noch umwerfend aber es reicht für mein Bereich aus. Habe mir damals einen 48 Port POE + Switch geholt den man Managen kann und da sieht man erstmal was alles geht. Ich denke manchmal spielt die Fritzbox mir einen Streich, hatte das schonmal das ein Gerät nicht wollte und nach dem ändern der IP das dann auf einmal ging, als wenn die Box sagt: „hey die IP hatte ich schon mal aber mit einem anderen gerät also mache ich erstmal nix“

[peteralarm]

Die Fritzbox ist relativ geduldig
Ich hatte jedoch auch schon die merkwürdigsten Geschichten im Netzwerk erlebt, z.B. mit einem NAS, dieser wurde in der Netzwerkumgebung unter Windows zwar gesehen, aber kein Zugriff möglich. Trotz fester IP im Netzwerk, anpingen ließ er sich auch... nach dem umstecken des Port an einem einfachen standard Switch, nicht managed, ging es auf einmal. Der Port war OK, andere Geräte hatten auch kein Problem.
Warum? Nicht nachvollziehbar.....

[5624]

Ich schrieb:Jetzt müsste man über compasX einen Fernzugang zum Wählgerät haben und sämtliche Funktionen nutzen können. Man muss einzig im Verbindungsdialog die IP-Adresse eintragen, da wir die Fernzugangsdaten noch nicht komplett haben.
Für den Zugang zur EMZ müssten wir jetzt noch die Servicefreigabe erteilen, darauf weist compasX aber hin.

Mit der neusten Firmware 25.61 für die comXline wird jetzt auch die Servicefreigabe auf der EMZ durch die ÜE ausgewertet. Bisher war es so, dass man die ÜE immer abfragen konnte, auch wenn die Servicefreigabe durch E3 auf der EMZ nicht gegeben war. Dieses wurde jetzt geändert.