Hallo Dirk,
Tunneling erlaubt nur eine Verbindung auf den Route wenn ich das richtig verstanden habe, diese möchte ici zu Programieren über ETS verwenden und das hat per Fernzugang auch schon einmal geklappt, inzwischen bekomme ich das aber auch nicht mehr hin.

Multicast erlaub mehrere Verbindungen, die Brauche ich zwar nicht, aber da Tunneling ja von der ETS besetzt muss ich wohl über Multicast zugreifen, hat dann auch den vorteil, das mann gleichzeitig mit mehreren Visualisierungen die an verschiedenen Orten sind zugreifen kann.
zb könnte mann zuhause eine kleine visu laufen lassen und trotzdem noch aus der ferne mitels visu die Anlage beobachten und bedienen

aber falls es dir gelingt den Eisbären mit tunneling über fritz vpn mit dem Router zu verbinden wär das eine Alternative um überhaupt mal von Ausserhalb auf die Anlage zu schauen.

ich hoffe du hast mehr erfolg als ich bisher.

mfg
Volker

Hallo Dirk,
Tunneling erlaubt nur eine Verbindung auf den Router wenn ich das richtig verstanden habe, diese möchte ich zum programieren über ETS verwenden und das hat per Fernzugang auch schon einmal geklappt, inzwischen bekomme ich das aber auch nicht mehr hin.

Hallo Volker,

sorry für die späte Antwort - ging aber aus zeitlichen Gründen nicht eher... dafür ist es auch etwas "umfangreicher" geworden.

Habe jetzt mir auch mal die Fritzzugangssoftware runtergeladen und ausprobiert. Das Einzigste was ich jedoch nicht testen konnte, war eine Router-Router-VPN-Verbindung per Dyndns(LAN-LAN über VPN). Ich muss sagen, dass Tunneling relativ problemlos mit dem initiierten Fritz!Fernzugang zu realisieren ist - man muss halt eine extra Software (2 Programme) runterladen und Konfigurationsfiles für Router und Client erstellen. Ich bevorzuge hier aber eher die Windows-onBoard-Methode - ist in zwei Minuten erledigt und muss keine extra Software aufspielen. Dazu später mehr... Jedenfalls ist mir ein paarmal passiert, dass die Zugangssoftware keine Verbindung mehr aufgebaut hat :-( - erst nach einem Rechnerneustart hat es wieder geklappt und für Windows 7 64Bit gibt es NOCH keine Software (hab mich extra bei AVM erkundigt).

Tunneling erlaubt grundsätzlich nur eine Verbindung - absolut richtig, da es eine Unicast (Punkt-zu-Punkt-Verbindung) ist. Sobald ein Zugriff z.B. von der ETS 3 per IP auf den KNXNet/IP-Router stattfindet, kann kein anderer mehr diese Verbindung nutzen, jedoch kann ich zeitgleich per Multicast (Punkt-zu-Mehrpunkt-Verbindung) einen Zugriff haben z.B. mit dem EisBären - gilt nur für einen KNXNet/IP-Router. Meist klappt es aber vom gleichen Rechner aus nicht, da entsprechende Ports schon belegt sind - von zwei Rechnern aber auf jedem Fall. Im Endeffekt hat der KNXNet/IP-Router sozusagen "zwei Schnittstellen" - eine für Routing und eine für Tunneling. Wenn ich mich im gleichen Netz (LAN) befinde ist das kein Problem.

Multicast erlaubt mehrere Verbindungen, die Brauche ich zwar nicht, aber da Tunneling ja von der ETS besetzt muss ich wohl über Multicast zugreifen, hat dann auch den vorteil, das mann gleichzeitig mit mehreren Visualisierungen die an verschiedenen Orten sind zugreifen kann.
zb könnte mann zuhause eine kleine visu laufen lassen und trotzdem noch aus der ferne mitels visu die Anlage beobachten und bedienen.

Multicast ist ideal für den EisBären, absolut richtig - vorausgesetzt ich hab im eigenen LAN keine Layer2/3-Switches oder weitere Router, um mehrere Subnetze zu verbinden - das kann massive Probleme verursachen. So binde ich den EisBären per IP-Multicast über den KNXNet/IP-Router an den EIB/KNX an, um die Visu am Laufen zu haben und kann gleichzeitig per IP-Tunneling über die ETS 3 auf die Anlage - sowohl von Außen (wenn dies gestattet und geregelt ist), als auch im internen Netz.

Das ganze Problem bei Multicast und Broadcast ist, dass "normale" Router diese Pakete erst gar nicht "außer Haus" lassen und das liegt einfach daran, das die Adressbereiche von 224.0.0.0 bis 224.255.255.255 für Routingprotokolle reserviert sind und der Standard-Router sendet normalerweise für diese Adressen keine IP-Multicast-Telegramme. Es gibt aber noch einige andere Gründe, warum das nicht funktioniert. Wir müssen hier beachten - ob es eingehend oder ausgehend ist, unabhängig davon, ob ich mir einen VPN-Tunnel aufgebaut habe. Von Cisco gibt es Router (HighEnd) die können auch Multicast-Routing im VPN, glaube die initiieren einen Art-Multicast-Backbone im Tunnel oder so ähnlich. Hinzu kommt, dass es noch zig andere "Steuertelegramme" gibt, die dazu benötigt oder genutzt werden.

Du wirst damit so ohne weiteres kein Glück haben - einen Multicast-Fernzugriff aufbauen zu wollen. Die eigentliche Lösung für dein Vorhaben ist eigentlich immer: lokal Routing zu nutzen und für den Fernzugriff Tunneling. Dafür gibt es nichts besseres als einen KNXNET/IP-Router - egal von welchem Hersteller eigentlich - ist ja schließlich KNX ;-) - aber Vorsicht - es gibt auch ein paar "Sondermodelle" über die man sich vorher beim Hersteller informieren sollte.

Versuche es einfach mal so zu machen...

Szenario:
- Visu-Rechner mit EisBär KNX (zuhause oder beim Kunden)
- Internetanbindung z.B. über AVM FritzBox 7170/7270
- KNXNet/IP Router z.B. Weinzierl 750/ABB IPR/S/etc. (feste IP-Adresse eingetragen und Multicast aktiv)
- VISU-Rechner als VPN-Host einstellen
- DDNS im Router eintragen (z.B. dyndns.org/selfhost.de/etc.)
- EisBär KNX hat Zugriff per Multicast (224.0.23.12) über die KNX-Verbindung zum KNX (Treibereinstellung)

- Fernzugriff (von einem anderen Ort)
- Internetanbindung nötig
- ETS 3e oder 3f für Zugriff auf KNX-Anlage (Tunneling-Schnittstelle)
- EisBär KNX - NetAccess als Fernzugriff auf Visu
- EisBär KNX - Webremote als Fernzugriff auf Visu
- Rechner als VPN-Client konfigurieren

Beachte folgendes für einen "manuellen" VPN: die Adressierung der beiden LAN´s MUSS unterschiedlich sein, diese dürfen unter keinen Umständen die gleiche Segmentierung haben - das wird nicht funktionieren. Z.B. HOST-NETZ: 192.168.178.x/255.255.255.0 und CLIENT-NETZ: 192.168.170.x/255.255.255.0

Auf dem EisBär-Visurechner (ich nenne ihn jetzt mal Host) erstellst Du zuerst mit Windows-Boardmitteln eine "Neue Verbindung" und diese als "Eingehende VPN-Verbindung". Auf Windows XP ungefähr so:

- Netzwerkumgebung aufrufen
- Neue Verbindung erstellen
- Eingehende Verbindung zulassen, VPN
- sicherheitshalber IP-Adressen zuweisen lassen
- Speziellen VPN-User anlegen mit sicherem Passwort
- Fertig

In der FritzBox musst Du nun im HOST-Netz zwei neue Freigaben unter Erweiterte Einstellungen/Internet/Freigaben anlegen.

- einmal die Freigabe "VPN" mit dem GRE-Protokoll
- und einmal die Freigabe "VPN2" mit dem TCP-Protokoll mit Port 1723
- diesen Port an die IP-Adresse und den gleichen Port des Visurechners (Host) weiterleiten
- für den Zugriff, wenn der VPN steht, wird keine zusätzliche Freigabe für die KNX-Schnittstelle/-Router benötigt

Somit steht einem Aufbau von außen auf den Host nichts mehr im Wege.

Auf Deinem Fernwartungsrechner (Notebook) musst Du nun eine "Ausgehende Verbindung (VPN)" erstellen
- Netzwerkumgebung aufrufen
- Neue Verbindung erstellen, ausgehend, VPN
- Profil anlegen, Desktop-Verknüpfung erstellen
- Fertig

Mit einem Doppelklick auf die Verknüpfung, Benutzerdaten (VPN-User-Profil auf HOST) eingeben, Verhandlung, Verbindung steht. Du bist nun Teil des anderen Netzes und kannst auf Freigaben, Drucker, etc. zugreifen. Jetzt startest Du Deine ETS und aktivierst eine KNXNet/IP - Tunneling Schnittstelle - kein Multicast. Als Adresse gibst Du den 750´er aus dem HOST-NETZ an. Kurzer Test - sollte passen. Über die Diagnose kannst Du ja mal nach Adressen suchen lassen ;-)

Sollte der KNX-Routerzugriff nicht funktionieren, starte einmal den KNX-Router komplett neu durch - Busverbindung und Versorgungsspannung abklemmen und wieder anschließen. Evtl. wäre es nicht schlecht, wenn Du lokal nicht mehr auf den KNX-Router kommst, diesen sowieso einmal neu durchzustarten und ggf. in der ETS nochmal die Parameter des Routers zu prüfen. Er sollte auf alle Fälle eine feste IP-Adresse haben und nicht per DHCP eine zugewiesen bekommen - das ist einfach sicherer.

Im Anhang noch die VPN-Konfiguration als PDF mit kurzen Erklärungen und Screenshots am Ende des Beitrags als Download - ist ein zusammengestellter Auszug aus einer Präsentation.

Jetzt kann man das aber noch weiter durchspielen:

EisBär KNX-Runtime und EisBär KNX-NetAccess:
Nehmen wir an, der VPN-TUNNEL steht - dann kann ich jetzt meinen EisBär KNX-NetAccess (Client) starten und gebe die IP-Adresse des Rechners an, auf dem die EisBär KNX-Runtime (Server) läuft. Somit habe ich sofort eine Client-Server-Lösung per VPN mit der Visualisierung geschaffen. Natürlich geht das auch ohne VPN. Hierzu muss nur im Router eine Freigabe angelegt werden: Port 9955 (TCP) freigeben und an die IP-Adresse des Hosts (EisBär Rechner) weiterleiten. Im NetAccess gebe ich dann einfach den DDNS-Namen, anstatt der IP-Adresse an. Die Ladegeschwindigkeit hängt natürlich sehr von der Geschwindigkeit der Internetverbindung ab und der Projektgrösse. Der Port lässt sich in der Runtime, wie auch im NetAccess ändern, falls man einen anderen einstellen möchte oder muss.

EisBär KNX-Runtime und Webzugriff:
Um den Webremote des EisBären nutzen zu können, muss man vorher in der EisBär-Runtime den Webserver des EisBären aktivieren. Unter Extras - Kommunikation - Webserver sind die enstprechenden Einstellungen zu aktivieren. Beim Webserver kann auch der Port geändert werden, falls z.B. Port 80 durch eine andere Software (Teamviewer/Skype/lokaler Webserver/etc.) schon belegt ist. Jetzt lässt sich durch Eingabe der IP-Adresse und evtl. Übergabe des Benutzerkontos für den Visuzugriff in der URL der Webremote mit einem Browser öffnen.

Dies funktioniert auch recht gut mit iPod und iPhone, wobei es hier sicherlich von Vorteil ist, einen speziellen Benutzer anzulegen und für diesen passende Visu-Seiten in der entsprechenden Auflösung zur Verfügung zu stellen. Bitte beachte: der Webremote ist ein Zusatzfeature im EisBären und keine direkte HTML-Client-Lösung. Ist für die schnelle Bedienung oder für den Zugriff vom Urlaub aus dem Internetcafe aus gedacht.

Aber falls es dir gelingt den Eisbären mit Tunneling über fritz vpn mit dem Router zu verbinden wär das eine Alternative um überhaupt mal von ausserhalb auf die Anlage zu schauen.

Ich hoffe du hast mehr Erfolg als ich bisher.

mfg
Volker

Wie gesagt - die Alternative ist für mich persönlich mit den Windows-Boardmitteln einen VPN aufzubauen. Melde Dich einfach nochmal, falls Du dennoch auf Probleme stoßen wirst.

Viele Grüsse,
Dirk

Hallo Dirk,
danke erst einmal für die ausführliche Antwort.
Ich muss mich da nun erst einmal durchlesen und ausfühlich testen, gehtja leider immer nur wenn ich nicht zu Hause bin .

Ich denke es wird auf den Zugriff über Tunneling hinauslaufen, oder die Fritz Box gegen einen Router Tauschen, der irgendwie auch mit Multicast zurecht kommt.
Die andere Lösung wird auch Funktionieren, setzt dann aber vorraus, das immer ein Rechner als Server läuft, das wollte ich eigentlich vermeiden.

mfg
Volker

Ich denke es wird auf den Zugriff über Tunneling hinauslaufen, oder die Fritz Box gegen einen Router Tauschen, der irgendwie auch mit Multicast zurecht kommt.

Hallo Volker, nichts zu danken - habe das immer stückweise nur schreiben können... deswegen hat es auch ein bischen gedauert.

zu oben: Multicast wird definitiv nicht funktionieren - glaubs mir... da bringt auch ein Routertausch nix... Tunneling ist das einzig Wahre... ;-)

Falls es mit der Fritz-VPN-Lösung funktionieren sollte - dann brauchst dahinter kein Rechner - wie gesagt, beim testen hatte ich da etwas Probleme mit dem FritzClient... der wollte hin und wieder nicht...

[ Geändert von Dirk Hofher am 04.03.2010 15:12 ]