Follow

Mal eine Frage an Netzwerker:
Wir haben in unserer Gemeinde eine Lüftungsanlage, die man fernsteuern kann. "Das geht nur mit VPN", hieß es. Gut. LAN-LAN-Kopplung mit FritzBoxen eingerichtet. Ich komme aber trotzdem nicht von zu Hause drauf, auch kein Ping, während alle anderen Geräte sonst pingbar sind (LAN-LAN-Kopplung funktioiert also).
Also schaut es für mich so aus, als würde eben dieses Gerät sämtliche Anfragen eines "fremden" Netzes blockieren.
Darf man das "Firewall" nennen ?

· · Web · 1 · 0 · 0

@HoSnoopy
Ohne das Produkt gebau zu kennen, tippe ich mal es muss ein VPN direkt auf das Steuergerät der Lüftungsanlage aufgebaut werden. Evtl ist der Port wo die Anlage am LAN hängt einfach nur wie eine WAN Schnittstelle für die Anlage selbst.

@ams Ich kann vom direkten LAN aus zugreifen. Ping geht, alles. Nur eben nicht vom "fremden". Mein Workaround ist ja gerade, daß ich per WakeOnLAn einen Linux-Laptop hochfahren lasse, der dann per WINE das Fernsteuerprogramm (SBC_Microbrowser.exe) startet - das geht. Nur eben nicht von zu Hause aus.

@HoSnoopy
Ah ok. Spannend, hm. Vielleicht mag die Lüftungsanlage nur den Subnetzbereich vom fremden Netz nicht, weil es z.B. intern den zufällig auch irgendwie nutzt und da ne Route hat... Firewall wär auch ne Option, kann mir aber irgendwie ned vorstellen das dort standard mäßig nur das lokale Subnetz erlaubt ist. Kann man von der Lüftungsanlage einen ping oder traceroute absetzen zu ner IP im fremden Netz?

@ams ich komme nur mit eben diesem SBC_Microbrowser drauf und sehe da nix. Der Lüftungsanlage habe ich erstmal den weg ins Internet gesperrt, aber das hatte keine Auswirkung.
Ich denke mal, da läuft irgend ein vermurxtes Linux drauf, in dem halt im /etc/host.deny oder host.allow was drinnensteht, damit ich wirklich nur vom lokalen und nicht vom "fremden" LAN aus draufkomme.
Nervt halt: 100k€ für ne Lüftungsanlage und dann so n Murx.

@HoSnoopy @ams Benutzt das eventuell Broadcast-Adressen, damit sich die Stellen gegenseitig finden?
Könnte helfen, wenn du auf dem Linux-Laptop per snort, wireshark oder so mitschneiden lässt, was da genau passiert.

Wenn es wirklich ein "nur lokale Adressen"-Schema ist (und keine Broadcasts oder son Käse), könnte eventuell der Gemeinde-Router ein lokales Netz nur mit der Lüftungsanlage aufspannen und alles, was dorthin quasseln will NATten? Dann siehts für die Anlage aus, als käms vom (lokalen) Router.

@patrick @ams Ich nehme an, das würde funktionieren, quasi ein anderes, oder "richtiges" VPN. Mir wurde halt etwas anderes zugesichert und bei 100k€ kann man doch mal forsch werden.

@HoSnoopy Und ein anderer Kunde kommt denen mit "Das Ding reagiert ja auf wirklich alles, was daher kommt - Für 100k€ kann man doch auch Sicherheit erwarten?!?"

Deren Lösung ist nicht grundsätzlich falsch, nur weil du es anders brauchst :-)

@patrick Gut, ich bleibe bei meiner "Raspberry -> Startet Linux-x86 -> startet per WINE SBC_Microbrowser.exe"-Lösung. Ich denke es ist eine Einstellungssache. Da komme ich als Kunde allerdings nicht rein.

@HoSnoopy Ich würde auf jeden Fall nach der Spezifikation fürs Netzwerkprotokoll fragen. Neben deiner Netzwerk-ACL-Thematik steht ja auch noch im Raum, dass du mit dem RasPi nicht sonderlich weit mit deren Tool kommst, ohne dir nen x86 zu emulieren (Falls du mal zu viel Zeit hast: https://wiki.winehq.org/Emulation#User-Space-Emulation).

Dass die keine aktive Unterstützung für exotische Umgebungen anbieten, ist leider normal (mit Open Source wäre das nicht passiert *duck*). Bleibt die Frage, wie weit die euch als Kunden Steine in den Weg legen, z.B. indem sie das Protokoll geheim halten wollen.

Für eins unserer Werkzeuge in der Firmwareentwicklung haben wir das Protokoll reverse engineeren müssen (In dem Feld ist Entwicklung auf Linux, am Ende gar non-x86, exotisch!) Als wir die wichtigsten Funktionen im Alleingang am Laufen hatten und damit eh kein Geheimnis mehr waren, kam dann auch mal der Hersteller mit ner Spezifikation um die Ecke, die ein paar verbleibende offene Fragen beantwortete. *seufz* Immerhin haben wir jetzt nen Ansprechpartner dort, wenns Probleme gibt...

@patrick Mit hangover gehts (noch) nicht. Das habe ich schonmal versucht und war schonmal irre stolz, daß das hangover überhaupt durchcompilierte.
Meine Lösung ist, daß der Raspi eben einen x86-Laptop per WOL hochfährt, automatisch einloggt und die x86-Windows-Applikation unter WINE (da geht das ja) startet und auf die RasPi-Oberfläche bringt.
Das dauert so 20-25 Sekunden und ist immernoch schneller als hinzulaufen :). Auf den RasPi greife ich per VNC zu.

Sign in to participate in the conversation
mastodon.popps.org

Mastodon-Instanz auf popps.org und gemeindescheune.de