Ovládání kotle přes internet
Přeji hezký den. Na tomto foru je dost zkušených lidí ohledně síťových nastavení.
Já, ač technicky vzdělán, mám z vrtání se v routeru strach. Nerad dělám něco, o čem si nejsem jistý.
Jedná se mi o nastavení přístupu k ovládání kotle. (Kotel teprve bude na podzim instalován).
Mám u svého providera v rámci poplatků za internet jednu veřejnou IP adresu.
Router doma je Asus RT-N16
http://www.asus.com/cz/Networking/RTN16/HelpDesk_Download/
Kotel bude připojen do domácí sítě ethernet kabelem, přes switch (v obýváku) to toho routeru Asus.
Možnosti nastavení na řídící jednotce kotle údaje k připojení na internet:
DHCP
Aktuální IP
Aktuální maska
Aktuální gateway
Zadané IP
Zadaná maska
Zadaný gateway
100MB
Jméno
MAC
Link
Uživatelské jméno ADMIN
Heslo SBTAdmin!
FTP uživatelské heslo ADMIN
FTP heslo SBTAdmin!
Po modifikaci hodnot restart je požadován
V nastavení nutném na svém routeru si nejsem jistý.
Nastavení WAN - přesměrování portů, nebo WAN - Průchod NAT ?
Musím vytvořit VPN server a definovat VPN clienta?
S jakými hodnotami (parametry)
Případně kde bych si o této problematice mohl něco přečíst?
P.S. cituji z návodu regulační jednotky:
[QUOTE]7.12. IP KONFIGURACE
Do tohoto menu lze vstoupit jen po zadání servisního hesla (viz kap. 5.24.). Tato záložka slouží pro nastavení komunikace s řídící jednotkou přes internet – viz kap. 9.3.
9.3. PŘIPOJENÍ ŘÍDÍCÍ JEDNOTKY CLIMATIX K INTERNETU
K řídící jednotce CLIMATIX lze přistupovat:
z počítače, který je připojen ve stejné síti
odkudkoliv z internetu, pokud je v CLIMATIXu nastavená veřejná adresa.
Vybavení nutné pro připojení CLIMATIXu k internetu prostřednictvím LAN
kabel UTP kategorie 5.5., 5.5e nebo 6. V horším prostředí je vhodné použít SFTP.
Konektory RJ-45 pro připojení do racku a CLIMATIXu.
Volný port v racku nebo routeru pro připojení kabelu
Vybavení racku
Rack musí být vybaven routerem, který zajistí překlad vnitřní adresy kotle na adresu veřejnou (jedinečnou a dostupnou z internetu).
V případě, že je volná veřejná adresa nastavená přímo v CLIMATIXu, není router nezbytně nutný.
NÁVOD K OBSLUZE ŘÍDÍCÍ JEDNOTKY SIEMENS CLIMATIX 2
- 53 -
Kabel s koncovkou RJ-45 Popis konektorů RJ-45
Přívod linky pro připojení k internetu: CDMA, ADSL, VDSL, GPRS, WiFi, LAN, aj.
Použitý router musí podporovat a umožnit překlad adres. Ne všechny routery, které tuto možnost udávají, ji opravdu zvládnou (máme ověřeny poruchy na routerech HUAWEI).
V routeru musí být volná pozice pro připojení kabelu ke kotli.
Programové vybavení
Uživatel musí mít zaplacenou nejméně jednu veřejnou adresu.
Zprostředkovatel internetu musí umožnit použití veřejné adresy ve své síti.
Schéma připojení
Nastavení síťového rozhraní v CLIMATIXu
V servisním menu je řádek IP konfigurace, kde je zapotřebí nastavit tyto IP adresy:
- IP adresa kotle
- IP adresa masky
- IP adresa brány do internetu (gateway)
Také je možné použít nastavení IP adresy automaticky pomocí serveru DHCP, pokud to nadřazený router umožňuje. Tato možnost se však nedoporučuje.
Při výpadku proudu může dojít ke změně IP adresy a kotel bude nedostupný.
Poznámka: Řídící jednotku CLIMATIX je možné připojit k internetu také jinou metodou (mobilní internet, bezdrátové připojení WiFi). Takové řešení však není běžné a je k němu potřeba dodatečné znalosti. Proto není taky v tomto návodu obsaženo.[/QUOTE]
Děkuji za trpělivé odpovědi
Já, ač technicky vzdělán, mám z vrtání se v routeru strach. Nerad dělám něco, o čem si nejsem jistý.
Jedná se mi o nastavení přístupu k ovládání kotle. (Kotel teprve bude na podzim instalován).
Mám u svého providera v rámci poplatků za internet jednu veřejnou IP adresu.
Router doma je Asus RT-N16
http://www.asus.com/cz/Networking/RTN16/HelpDesk_Download/
Kotel bude připojen do domácí sítě ethernet kabelem, přes switch (v obýváku) to toho routeru Asus.
Možnosti nastavení na řídící jednotce kotle údaje k připojení na internet:
DHCP
Aktuální IP
Aktuální maska
Aktuální gateway
Zadané IP
Zadaná maska
Zadaný gateway
100MB
Jméno
MAC
Link
Uživatelské jméno ADMIN
Heslo SBTAdmin!
FTP uživatelské heslo ADMIN
FTP heslo SBTAdmin!
Po modifikaci hodnot restart je požadován
V nastavení nutném na svém routeru si nejsem jistý.
Nastavení WAN - přesměrování portů, nebo WAN - Průchod NAT ?
Musím vytvořit VPN server a definovat VPN clienta?
S jakými hodnotami (parametry)
Případně kde bych si o této problematice mohl něco přečíst?
P.S. cituji z návodu regulační jednotky:
[QUOTE]7.12. IP KONFIGURACE
Do tohoto menu lze vstoupit jen po zadání servisního hesla (viz kap. 5.24.). Tato záložka slouží pro nastavení komunikace s řídící jednotkou přes internet – viz kap. 9.3.
9.3. PŘIPOJENÍ ŘÍDÍCÍ JEDNOTKY CLIMATIX K INTERNETU
K řídící jednotce CLIMATIX lze přistupovat:
z počítače, který je připojen ve stejné síti
odkudkoliv z internetu, pokud je v CLIMATIXu nastavená veřejná adresa.
Vybavení nutné pro připojení CLIMATIXu k internetu prostřednictvím LAN
kabel UTP kategorie 5.5., 5.5e nebo 6. V horším prostředí je vhodné použít SFTP.
Konektory RJ-45 pro připojení do racku a CLIMATIXu.
Volný port v racku nebo routeru pro připojení kabelu
Vybavení racku
Rack musí být vybaven routerem, který zajistí překlad vnitřní adresy kotle na adresu veřejnou (jedinečnou a dostupnou z internetu).
V případě, že je volná veřejná adresa nastavená přímo v CLIMATIXu, není router nezbytně nutný.
NÁVOD K OBSLUZE ŘÍDÍCÍ JEDNOTKY SIEMENS CLIMATIX 2
- 53 -
Kabel s koncovkou RJ-45 Popis konektorů RJ-45
Přívod linky pro připojení k internetu: CDMA, ADSL, VDSL, GPRS, WiFi, LAN, aj.
Použitý router musí podporovat a umožnit překlad adres. Ne všechny routery, které tuto možnost udávají, ji opravdu zvládnou (máme ověřeny poruchy na routerech HUAWEI).
V routeru musí být volná pozice pro připojení kabelu ke kotli.
Programové vybavení
Uživatel musí mít zaplacenou nejméně jednu veřejnou adresu.
Zprostředkovatel internetu musí umožnit použití veřejné adresy ve své síti.
Schéma připojení
Nastavení síťového rozhraní v CLIMATIXu
V servisním menu je řádek IP konfigurace, kde je zapotřebí nastavit tyto IP adresy:
- IP adresa kotle
- IP adresa masky
- IP adresa brány do internetu (gateway)
Také je možné použít nastavení IP adresy automaticky pomocí serveru DHCP, pokud to nadřazený router umožňuje. Tato možnost se však nedoporučuje.
Při výpadku proudu může dojít ke změně IP adresy a kotel bude nedostupný.
Poznámka: Řídící jednotku CLIMATIX je možné připojit k internetu také jinou metodou (mobilní internet, bezdrátové připojení WiFi). Takové řešení však není běžné a je k němu potřeba dodatečné znalosti. Proto není taky v tomto návodu obsaženo.[/QUOTE]
Děkuji za trpělivé odpovědi
Jak se to vezme. VPN teoreticky nepotřebuješ, stačí nastavit překlad portů. Jenže firewall na tom routeru nemá možnost nastavit, z jakých venkovních address můžeš přistupovat, takže bys to měl zabezpečené pouze na takové úrovni, jakou umí kotel, což bude předpokládám jen http basic. Proto je lepší zprovoznit VPN, která má lepší zabezpečení a připojovat se přes ni.
Bez VPN, s mapováním portů. by to vypadalo třeba takto:[SPOILER]
[/SPOILER]
Bohužel nepíšeš, jak se kotel ovládá, zda má nějakou svoji aplikaci, nebo přes web apod. Výše máš příklad, kdy si kotel zpřístupníš z internetu na Tvé veřejné IP adrese a portu 81 (do browseru zadáš např. 215.214.74.10:81), kotel má IP adresu 192.168.10.10 a používá běžné www rozhraní na portu 80 (pokud by fungoval na https (port 443), bylo by to lepší).
Bez VPN, s mapováním portů. by to vypadalo třeba takto:[SPOILER]
[/SPOILER]
Bohužel nepíšeš, jak se kotel ovládá, zda má nějakou svoji aplikaci, nebo přes web apod. Výše máš příklad, kdy si kotel zpřístupníš z internetu na Tvé veřejné IP adrese a portu 81 (do browseru zadáš např. 215.214.74.10:81), kotel má IP adresu 192.168.10.10 a používá běžné www rozhraní na portu 80 (pokud by fungoval na https (port 443), bylo by to lepší).
KamilZ: dík za rychlou reakci.
Stejně v tom mám zatím guláš.
(Kotel bude Benekov C17, řídící jednotka Siemens - Climatix 2)
Ohledně aplikace jsem něco našel zde:
http://www.avytapeni.cz/Article.aspx/Detail/290
A jak na nastavení té VPN ?
Stejně v tom mám zatím guláš.
(Kotel bude Benekov C17, řídící jednotka Siemens - Climatix 2)
Ohledně aplikace jsem něco našel zde:
http://www.avytapeni.cz/Article.aspx/Detail/290
A jak na nastavení té VPN ?
Stačí Ti na to ovládání jen www prohlížeč, nebo potřebuješ onen Program SIEMENS? Pokud web, jede Ti to na 80 nebo i 443 (vyzkoušej).
Aktualizuj si firmware routeru na poslední verzi, snad bude podobná té mé, ASUSy to mají hodně stejné. VPN Server povoluješ zde:
[SPOILER]
[/SPOILER]
Raději bych Ti ale doporučil zaplatit pivo někomu, kdo to s Tebou celé projede a udělá, aby sis nevyrobil nějakou bezpečnostní díru.
Aktualizuj si firmware routeru na poslední verzi, snad bude podobná té mé, ASUSy to mají hodně stejné. VPN Server povoluješ zde:
[SPOILER]
[/SPOILER]Raději bych Ti ale doporučil zaplatit pivo někomu, kdo to s Tebou celé projede a udělá, aby sis nevyrobil nějakou bezpečnostní díru.
[QUOTE]aby sis nevyrobil nějakou bezpečnostní díru.[/QUOTE]
:-)
O to mi právě jde. Nerad bych kvůli kotli udělal bezpečnostní díru do své sítě.
Firmware v routeru mám poslední (stabilní, beta verze tam nedávám).
Klidně někomu z ajťáků u nás v práci řeknu, o to nejde. Jen jsem chtěl být trochu připraven před instalací kotle. Třeba to ale bude umět nastavit ten instalatér (když tyhle kotle běžné instaluje a má na tu instalaci kotlů certifikát od výrobce).
:-)
O to mi právě jde. Nerad bych kvůli kotli udělal bezpečnostní díru do své sítě.
Firmware v routeru mám poslední (stabilní, beta verze tam nedávám).
Klidně někomu z ajťáků u nás v práci řeknu, o to nejde. Jen jsem chtěl být trochu připraven před instalací kotle. Třeba to ale bude umět nastavit ten instalatér (když tyhle kotle běžné instaluje a má na tu instalaci kotlů certifikát od výrobce).
Nemyslím, ten Ti to nastaví maximálně na přístup z vnitřní sítě. S přístupem z internetu to nemá nic společného, to už záleží na majiteli kotle. Oni nemohou vědět, jaký máš router, resp. znát všechny atd. I kdyby mi to nabídl, tak bych mu nevěřil, že to jen nějak nezbastlí.
Asi takto - když víš, co děláš, tak je to otázka na 10 minut a to se myslím vyplatí raději zaplatit někomu, kdo se vyzná a ví :-)
Asi takto - když víš, co děláš, tak je to otázka na 10 minut a to se myslím vyplatí raději zaplatit někomu, kdo se vyzná a ví :-)
Určitě. Pozvu sem někoho, znám ve špitále, kde pracuji, 2-3 kluky, co spravují místní síť a počítače.
Ale až to bude mít smysl, respektive až tu bude ten kotel.
Dík za "asistenci".
Ale až to bude mít smysl, respektive až tu bude ten kotel.
Dík za "asistenci".
Takto se v současnosti ovládá a servisák na dálku diagnostikuje řada kotlů.
Osobně se nebojím, pokud to bude dobře zabezpečené. Proto tak trochu začínám zjišťovat informace o této problematice.
Osobně se nebojím, pokud to bude dobře zabezpečené. Proto tak trochu začínám zjišťovat informace o této problematice.
Je tady poměrně dost neznámých, které ovlivňují možná řešení.
První otázkou je, co přesně je ovládací konzolí kotle. Dle screenshotů to vypadá jako obyčejná webová stránka, potom by opravdu měl stačit pouze forward několika portů. Ve výjimečných případech to ale také bývají nějaké zbastlené hrůzy, které komunikují i mimo HTTP/S, což situaci poté komplikuje.
U standardní webovky je otázkou, jestli jede pouze na HTTP, nebo tam mají zprovozněné HTTPS. V prvním případě totiž posíláš přístupové údaje po Internetu v nezašifrované podobě, takže pokud tvůj provoz někdo odposlechne (kdokoliv na Wi-Fi, šikovnější kolega v práci, jakýkoliv admin po cestě Internetem, ...), může se pak snadno do tvého kotle přihlásit.
Vystavení nějaké (nejen webové) služby do Internetu vždy přináší riziko, že se stane terčem útoků - boti z druhé strany světa mohou přihlášení prolomit buď brute-force útokem, nebo využitím nějaké známé zranitelnosti dané implementace. Webové servery na v podobných přístrojích bývají často velmi jednoduché a v neaktuální verzi (ty screenshoty nebudí moc důvěry), což tato rizika zvyšuje. Pokud ke kotli nechceš přistupovat skutečně odkudkoliv z Internetu, ale pouze několika známých míst (práce, příbuzní, ...), která lze identifikovat veřejnou adresou, lze forward portů povolit na zdrojovou adresu pouze pro požadavky z těchto lokalit - KamilZ píše, že to firmware toho routeru nepodporuje, ale firmware se dá v případě nutnosti nahradit alternativním, kde už to problém není.
Na základě otázek výše můžeš dojít k závěru, že bude vhodnější použít VPN - opět to ale není tak úplně jednoduché. Dle screenshotu od Kamila by router měl podporovat PPTP a OpenVPN.
Protokol PPTP je stará klasika, kterou podporuje kdejaké zařízení a velice snadno se nastavuje. Problémem je, že už je pár let prolomený, takže to dnes už nelze považovat za zcela bezpečné připojení. Takže podobný problém jako u HTTP v odstavci nahoře, jenom v menší míře (útočník musí komunikaci nejen odchytnout, ale dát si i práci s dešifrováním).
OpenVPN lze považovat za bezpečnou, ale zase se jedná o proprietální řešení s malou podporou - takže se připojíš pouze ze zařízení, kde máš OpenVPN aplikaci nainstalovanou a zkonfigurovanou, což může být samo o sobě někdy docela otravné, nebo i nedostupné.
Tolik ode mě - omlouvám se, pokud je to moc popisné a přidal jsem víc otázek než odpovědí, ale psal jsi, že by ses rád o problematice dozvěděl víc :)
Nerad bych aby to vyznělo, že zbytečně straším. V počítačové bezpečnosti je potřeba rizika znát, následně je můžeme vyhodnotit a člověk třeba dojde k závěru, že v jeho případě to zkrátka nemusí být 100% bezpečné, protože i v případě úspěšného útoku vlastně žádná větší škoda nehrozí. Na tom není nic špatného, je to standardní postup.
Pro jednoznačnou odpověď by proto chtělo vědět, jakým způsobem chceš ovládání kotle z Internetu využívat. Tj. odkud, z jakých zařízení, atd.
První otázkou je, co přesně je ovládací konzolí kotle. Dle screenshotů to vypadá jako obyčejná webová stránka, potom by opravdu měl stačit pouze forward několika portů. Ve výjimečných případech to ale také bývají nějaké zbastlené hrůzy, které komunikují i mimo HTTP/S, což situaci poté komplikuje.
U standardní webovky je otázkou, jestli jede pouze na HTTP, nebo tam mají zprovozněné HTTPS. V prvním případě totiž posíláš přístupové údaje po Internetu v nezašifrované podobě, takže pokud tvůj provoz někdo odposlechne (kdokoliv na Wi-Fi, šikovnější kolega v práci, jakýkoliv admin po cestě Internetem, ...), může se pak snadno do tvého kotle přihlásit.
Vystavení nějaké (nejen webové) služby do Internetu vždy přináší riziko, že se stane terčem útoků - boti z druhé strany světa mohou přihlášení prolomit buď brute-force útokem, nebo využitím nějaké známé zranitelnosti dané implementace. Webové servery na v podobných přístrojích bývají často velmi jednoduché a v neaktuální verzi (ty screenshoty nebudí moc důvěry), což tato rizika zvyšuje. Pokud ke kotli nechceš přistupovat skutečně odkudkoliv z Internetu, ale pouze několika známých míst (práce, příbuzní, ...), která lze identifikovat veřejnou adresou, lze forward portů povolit na zdrojovou adresu pouze pro požadavky z těchto lokalit - KamilZ píše, že to firmware toho routeru nepodporuje, ale firmware se dá v případě nutnosti nahradit alternativním, kde už to problém není.
Na základě otázek výše můžeš dojít k závěru, že bude vhodnější použít VPN - opět to ale není tak úplně jednoduché. Dle screenshotu od Kamila by router měl podporovat PPTP a OpenVPN.
Protokol PPTP je stará klasika, kterou podporuje kdejaké zařízení a velice snadno se nastavuje. Problémem je, že už je pár let prolomený, takže to dnes už nelze považovat za zcela bezpečné připojení. Takže podobný problém jako u HTTP v odstavci nahoře, jenom v menší míře (útočník musí komunikaci nejen odchytnout, ale dát si i práci s dešifrováním).
OpenVPN lze považovat za bezpečnou, ale zase se jedná o proprietální řešení s malou podporou - takže se připojíš pouze ze zařízení, kde máš OpenVPN aplikaci nainstalovanou a zkonfigurovanou, což může být samo o sobě někdy docela otravné, nebo i nedostupné.
Tolik ode mě - omlouvám se, pokud je to moc popisné a přidal jsem víc otázek než odpovědí, ale psal jsi, že by ses rád o problematice dozvěděl víc :)
Nerad bych aby to vyznělo, že zbytečně straším. V počítačové bezpečnosti je potřeba rizika znát, následně je můžeme vyhodnotit a člověk třeba dojde k závěru, že v jeho případě to zkrátka nemusí být 100% bezpečné, protože i v případě úspěšného útoku vlastně žádná větší škoda nehrozí. Na tom není nic špatného, je to standardní postup.
Pro jednoznačnou odpověď by proto chtělo vědět, jakým způsobem chceš ovládání kotle z Internetu využívat. Tj. odkud, z jakých zařízení, atd.
tdlmarek: dík za kvalifikovaný komentář.
Stručně: stačil by mi přístup ze dvou PC (v práci) a počítač servisního technika (ten by mohl vykonávat vzdálenou diagnostiku případných problémů).
Takže povolit pár konkrétních IP adres ze kterých by šlo přihlásit se by bylo fajn.
Kotel se bude zprovozňovat někdy za cca 14 dní, zkusím na toto téma ještě nějaký dotaz na výrobce.
Stručně: stačil by mi přístup ze dvou PC (v práci) a počítač servisního technika (ten by mohl vykonávat vzdálenou diagnostiku případných problémů).
Takže povolit pár konkrétních IP adres ze kterých by šlo přihlásit se by bylo fajn.
Kotel se bude zprovozňovat někdy za cca 14 dní, zkusím na toto téma ještě nějaký dotaz na výrobce.
