Favicon Svethardware.cz  Svět hardware   Fórum Favicon Svetmobilne.cz  Svět mobilně Favicon Svetaudia.cz  Svět audia Favicon Digimanie.cz  Digimanie   Fórum   Galerie
Zobrazené výsledky: 1 až 11 z 11

Téma: Ovládání kotle přes internet

  1. #1
    Je tu pořád Avatar uživatele puschpull
    Registrace
    Oct 2005
    Příspěvků
    1,013

    Přeji hezký den. Na tomto foru je dost zkušených lidí ohledně síťových nastavení.
    Já, ač technicky vzdělán, mám z vrtání se v routeru strach. Nerad dělám něco, o čem si nejsem jistý.
    Jedná se mi o nastavení přístupu k ovládání kotle. (Kotel teprve bude na podzim instalován).
    Mám u svého providera v rámci poplatků za internet jednu veřejnou IP adresu.
    Router doma je Asus RT-N16
    http://www.asus.com/cz/Networking/RT...Desk_Download/
    Kotel bude připojen do domácí sítě ethernet kabelem, přes switch (v obýváku) to toho routeru Asus.

    Možnosti nastavení na řídící jednotce kotle údaje k připojení na internet:
     DHCP
     Aktuální IP
     Aktuální maska
     Aktuální gateway
     Zadané IP
     Zadaná maska
     Zadaný gateway
     100MB
     Jméno
     MAC
     Link
     Uživatelské jméno ADMIN
     Heslo SBTAdmin!
     FTP uživatelské heslo ADMIN
     FTP heslo SBTAdmin!
     Po modifikaci hodnot restart je požadován

    V nastavení nutném na svém routeru si nejsem jistý.

    Nastavení WAN - přesměrování portů, nebo WAN - Průchod NAT ?
    Musím vytvořit VPN server a definovat VPN clienta?
    S jakými hodnotami (parametry)

    Případně kde bych si o této problematice mohl něco přečíst?


    P.S. cituji z návodu regulační jednotky:
    7.12. IP KONFIGURACE
    Do tohoto menu lze vstoupit jen po zadání servisního hesla (viz kap. 5.24.). Tato záložka slouží pro nastavení komunikace s řídící jednotkou přes internet – viz kap. 9.3.


    9.3. PŘIPOJENÍ ŘÍDÍCÍ JEDNOTKY CLIMATIX K INTERNETU
    K řídící jednotce CLIMATIX lze přistupovat:
     z počítače, který je připojen ve stejné síti
     odkudkoliv z internetu, pokud je v CLIMATIXu nastavená veřejná adresa.
    Vybavení nutné pro připojení CLIMATIXu k internetu prostřednictvím LAN
     kabel UTP kategorie 5.5., 5.5e nebo 6. V horším prostředí je vhodné použít SFTP.
     Konektory RJ-45 pro připojení do racku a CLIMATIXu.
     Volný port v racku nebo routeru pro připojení kabelu
    Vybavení racku
    Rack musí být vybaven routerem, který zajistí překlad vnitřní adresy kotle na adresu veřejnou (jedinečnou a dostupnou z internetu).
    V případě, že je volná veřejná adresa nastavená přímo v CLIMATIXu, není router nezbytně nutný.
    NÁVOD K OBSLUZE ŘÍDÍCÍ JEDNOTKY SIEMENS CLIMATIX 2
    - 53 -
    Kabel s koncovkou RJ-45 Popis konektorů RJ-45
    Přívod linky pro připojení k internetu: CDMA, ADSL, VDSL, GPRS, WiFi, LAN, aj.
    Použitý router musí podporovat a umožnit překlad adres. Ne všechny routery, které tuto možnost udávají, ji opravdu zvládnou (máme ověřeny poruchy na routerech HUAWEI).
    V routeru musí být volná pozice pro připojení kabelu ke kotli.
    Programové vybavení
    Uživatel musí mít zaplacenou nejméně jednu veřejnou adresu.
    Zprostředkovatel internetu musí umožnit použití veřejné adresy ve své síti.
    Schéma připojení
    Nastavení síťového rozhraní v CLIMATIXu
    V servisním menu je řádek IP konfigurace, kde je zapotřebí nastavit tyto IP adresy:
    - IP adresa kotle
    - IP adresa masky
    - IP adresa brány do internetu (gateway)
    Také je možné použít nastavení IP adresy automaticky pomocí serveru DHCP, pokud to nadřazený router umožňuje. Tato možnost se však nedoporučuje.
    Při výpadku proudu může dojít ke změně IP adresy a kotel bude nedostupný.
    Poznámka: Řídící jednotku CLIMATIX je možné připojit k internetu také jinou metodou (mobilní internet, bezdrátové připojení WiFi). Takové řešení však není běžné a je k němu potřeba dodatečné znalosti. Proto není taky v tomto návodu obsaženo.

    Děkuji za trpělivé odpovědi
    Odpovídat lze po přihlášení

  2. #2
    Moderátor Avatar uživatele KamilZ
    Registrace
    Feb 2011
    Příspěvků
    12,276

    Jak se to vezme. VPN teoreticky nepotřebuješ, stačí nastavit překlad portů. Jenže firewall na tom routeru nemá možnost nastavit, z jakých venkovních address můžeš přistupovat, takže bys to měl zabezpečené pouze na takové úrovni, jakou umí kotel, což bude předpokládám jen http basic. Proto je lepší zprovoznit VPN, která má lepší zabezpečení a připojovat se přes ni.

    Bez VPN, s mapováním portů. by to vypadalo třeba takto:

    Bohužel nepíšeš, jak se kotel ovládá, zda má nějakou svoji aplikaci, nebo přes web apod. Výše máš příklad, kdy si kotel zpřístupníš z internetu na Tvé veřejné IP adrese a portu 81 (do browseru zadáš např. 215.214.74.10:81), kotel má IP adresu 192.168.10.10 a používá běžné www rozhraní na portu 80 (pokud by fungoval na https (port 443), bylo by to lepší).
    Odpovídat lze po přihlášení



  3. #3
    Je tu pořád Avatar uživatele puschpull
    Registrace
    Oct 2005
    Příspěvků
    1,013

    KamilZ: dík za rychlou reakci.
    Stejně v tom mám zatím guláš.
    (Kotel bude Benekov C17, řídící jednotka Siemens - Climatix 2)
    Ohledně aplikace jsem něco našel zde:
    http://www.avytapeni.cz/Article.aspx/Detail/290

    A jak na nastavení té VPN ?
    Odpovídat lze po přihlášení

  4. #4
    Moderátor Avatar uživatele KamilZ
    Registrace
    Feb 2011
    Příspěvků
    12,276

    Stačí Ti na to ovládání jen www prohlížeč, nebo potřebuješ onen Program SIEMENS? Pokud web, jede Ti to na 80 nebo i 443 (vyzkoušej).

    Aktualizuj si firmware routeru na poslední verzi, snad bude podobná té mé, ASUSy to mají hodně stejné. VPN Server povoluješ zde:


    Raději bych Ti ale doporučil zaplatit pivo někomu, kdo to s Tebou celé projede a udělá, aby sis nevyrobil nějakou bezpečnostní díru.
    Naposledy upraveno uživatelem KamilZ: 04-09-2016 v 16:33
    Odpovídat lze po přihlášení

  5. #5
    Je tu pořád Avatar uživatele puschpull
    Registrace
    Oct 2005
    Příspěvků
    1,013

    aby sis nevyrobil nějakou bezpečnostní díru.

    O to mi právě jde. Nerad bych kvůli kotli udělal bezpečnostní díru do své sítě.
    Firmware v routeru mám poslední (stabilní, beta verze tam nedávám).

    Klidně někomu z ajťáků u nás v práci řeknu, o to nejde. Jen jsem chtěl být trochu připraven před instalací kotle. Třeba to ale bude umět nastavit ten instalatér (když tyhle kotle běžné instaluje a má na tu instalaci kotlů certifikát od výrobce).
    Odpovídat lze po přihlášení

  6. #6
    Moderátor Avatar uživatele KamilZ
    Registrace
    Feb 2011
    Příspěvků
    12,276

    Nemyslím, ten Ti to nastaví maximálně na přístup z vnitřní sítě. S přístupem z internetu to nemá nic společného, to už záleží na majiteli kotle. Oni nemohou vědět, jaký máš router, resp. znát všechny atd. I kdyby mi to nabídl, tak bych mu nevěřil, že to jen nějak nezbastlí.

    Asi takto - když víš, co děláš, tak je to otázka na 10 minut a to se myslím vyplatí raději zaplatit někomu, kdo se vyzná a ví
    Odpovídat lze po přihlášení

  7. #7
    Je tu pořád Avatar uživatele puschpull
    Registrace
    Oct 2005
    Příspěvků
    1,013

    Určitě. Pozvu sem někoho, znám ve špitále, kde pracuji, 2-3 kluky, co spravují místní síť a počítače.
    Ale až to bude mít smysl, respektive až tu bude ten kotel.
    Dík za "asistenci".
    Odpovídat lze po přihlášení



  8. #8
    Je tu pořád
    Registrace
    Jan 2008
    Příspěvků
    8,391

    A nebojis sa , ze sa ti tam dakto pripojit a bude ti ovladat kotol , bez tvojho vedomia ?
    Odpovídat lze po přihlášení

  9. #9
    Je tu pořád Avatar uživatele puschpull
    Registrace
    Oct 2005
    Příspěvků
    1,013

    Takto se v současnosti ovládá a servisák na dálku diagnostikuje řada kotlů.
    Osobně se nebojím, pokud to bude dobře zabezpečené. Proto tak trochu začínám zjišťovat informace o této problematice.
    Odpovídat lze po přihlášení

  10. #10
    Je tu pořád
    Registrace
    Jun 2012
    Příspěvků
    1,569

    Je tady poměrně dost neznámých, které ovlivňují možná řešení.


    První otázkou je, co přesně je ovládací konzolí kotle. Dle screenshotů to vypadá jako obyčejná webová stránka, potom by opravdu měl stačit pouze forward několika portů. Ve výjimečných případech to ale také bývají nějaké zbastlené hrůzy, které komunikují i mimo HTTP/S, což situaci poté komplikuje.

    U standardní webovky je otázkou, jestli jede pouze na HTTP, nebo tam mají zprovozněné HTTPS. V prvním případě totiž posíláš přístupové údaje po Internetu v nezašifrované podobě, takže pokud tvůj provoz někdo odposlechne (kdokoliv na Wi-Fi, šikovnější kolega v práci, jakýkoliv admin po cestě Internetem, ...), může se pak snadno do tvého kotle přihlásit.

    Vystavení nějaké (nejen webové) služby do Internetu vždy přináší riziko, že se stane terčem útoků - boti z druhé strany světa mohou přihlášení prolomit buď brute-force útokem, nebo využitím nějaké známé zranitelnosti dané implementace. Webové servery na v podobných přístrojích bývají často velmi jednoduché a v neaktuální verzi (ty screenshoty nebudí moc důvěry), což tato rizika zvyšuje. Pokud ke kotli nechceš přistupovat skutečně odkudkoliv z Internetu, ale pouze několika známých míst (práce, příbuzní, ...), která lze identifikovat veřejnou adresou, lze forward portů povolit na zdrojovou adresu pouze pro požadavky z těchto lokalit - KamilZ píše, že to firmware toho routeru nepodporuje, ale firmware se dá v případě nutnosti nahradit alternativním, kde už to problém není.


    Na základě otázek výše můžeš dojít k závěru, že bude vhodnější použít VPN - opět to ale není tak úplně jednoduché. Dle screenshotu od Kamila by router měl podporovat PPTP a OpenVPN.

    Protokol PPTP je stará klasika, kterou podporuje kdejaké zařízení a velice snadno se nastavuje. Problémem je, že už je pár let prolomený, takže to dnes už nelze považovat za zcela bezpečné připojení. Takže podobný problém jako u HTTP v odstavci nahoře, jenom v menší míře (útočník musí komunikaci nejen odchytnout, ale dát si i práci s dešifrováním).

    OpenVPN lze považovat za bezpečnou, ale zase se jedná o proprietální řešení s malou podporou - takže se připojíš pouze ze zařízení, kde máš OpenVPN aplikaci nainstalovanou a zkonfigurovanou, což může být samo o sobě někdy docela otravné, nebo i nedostupné.


    Tolik ode mě - omlouvám se, pokud je to moc popisné a přidal jsem víc otázek než odpovědí, ale psal jsi, že by ses rád o problematice dozvěděl víc

    Nerad bych aby to vyznělo, že zbytečně straším. V počítačové bezpečnosti je potřeba rizika znát, následně je můžeme vyhodnotit a člověk třeba dojde k závěru, že v jeho případě to zkrátka nemusí být 100% bezpečné, protože i v případě úspěšného útoku vlastně žádná větší škoda nehrozí. Na tom není nic špatného, je to standardní postup.

    Pro jednoznačnou odpověď by proto chtělo vědět, jakým způsobem chceš ovládání kotle z Internetu využívat. Tj. odkud, z jakých zařízení, atd.
    Naposledy upraveno uživatelem tdlmarek: 05-09-2016 v 07:31
    Odpovídat lze po přihlášení

  11. #11
    Je tu pořád Avatar uživatele puschpull
    Registrace
    Oct 2005
    Příspěvků
    1,013

    tdlmarek: dík za kvalifikovaný komentář.

    Stručně: stačil by mi přístup ze dvou PC (v práci) a počítač servisního technika (ten by mohl vykonávat vzdálenou diagnostiku případných problémů).
    Takže povolit pár konkrétních IP adres ze kterých by šlo přihlásit se by bylo fajn.

    Kotel se bude zprovozňovat někdy za cca 14 dní, zkusím na toto téma ještě nějaký dotaz na výrobce.
    Odpovídat lze po přihlášení

Podobná témata

  1. Streamování satelitu přes internet
    Od PV_ox v sekci DVB-S
    Reakcí: 115
    Poslední příspěvek: 08-12-2011, 09:28
  2. VD: Nákupy přes internet
    Od Jiří Piškula v sekci Víkendové diskuze
    Reakcí: 8
    Poslední příspěvek: 13-09-2010, 12:17
  3. Reakcí: 0
    Poslední příspěvek: 20-01-2009, 10:02
  4. streaming pres internet
    Od vhanacek v sekci SW pro TV karty
    Reakcí: 7
    Poslední příspěvek: 21-01-2007, 12:30
  5. internet přes satelit?
    Od pee.tr v sekci DVB-S
    Reakcí: 5
    Poslední příspěvek: 08-11-2005, 14:25