VNC-Zugriff von extern auf Heizkessel - Speedport Smart 3
4 years ago
Hallo zusammen,
aktuell versuche ich den Zugriff per VNC (App RealVNC) auf den Heizkessel einzurichten. Von intern per Notebook und Smartphone (im WLAN-Heimnetzwerk) funktioniert es bereits einwandfrei.
Von extern möchte ich es noch einrichten. Aber ehrlich gesagt sind das für mich "böhmische Dörfer", was ich beim Router unter Portumleitung/-weiterleitung eintragen muss.
Seitens dem Heizungshersteller gab es die Empfehlung, IPv4-Adressen und nicht IPv6 zu verwenden. Das kann anscheinend auch der Router.
Soll bei TCP Lokal, die IP des Heizkessels eintragen werden oder wo bekomme ich den "Port" her? Was wird dann bei "Öffentlich" eingetragen?
In der einseitigen Anleitung des Heizkesselherstellers ist noch die Rede von DNS-generieren.
Benötige ich das überhaupt bei dem Router?
Ich weiß, sind bisschen viel fragen, aber ich habe bis jetzt noch nie VNC konfiguriert.
Grüße
Richard
488
5
4 years ago
MACHT DAS AUF GARKEINEN FALL!!! (Ich erlaube mir mal, hier etwas lauter zu werden).
Wenn Du eine Portweiterleitung auf den Heizkessel einrichtest, dann ist er aus dem Internet erreichbar. Dank des öffentlich bekannten Standardpasswort kann dann JEDERMANN an Deiner Heizung herumfummeln und möglicherweise großen Schaden anrichten.
Selbst wenn sich das Passwort der Heizanlage ändern lässt, sind diese Art von Geräten notorisch bekannt für ein schlechtes Sicherheitsmanagement von Seiten des Herstellers. Die Wahrscheinlichkeit ist hoch, dass sich trotz geändertem Passwort fremde Zugang zur Steuerung Deiner Heizanlage verschaffen können.
Die weitaus bessere Lösung besteht darin, auf dem Speedport Smart 3 einen Wireguard VPN -Zugang einzurichten, damit greifst Du vom Handy aus auf Dein Heimnetz zu und kommst dann an alle Geräte im Heimnetz heran, inclusive der Heizung.
Wie das funktionierst ist ab Seite 248 der Anleitung zum Speedport Smart 3 erläutert.
Das Passwort der Heizanlage solltest Du zusätzlich trotzdem ändern.
0
4 years ago
Wenn es vom Notebook und dem Smartphone schon funktioniert, ist der Tipp mit dem VPN der beste, den man dir geben kann. Dennoch solltest du noch einmal genau nachdenken, denn du scheinst keine Erfahrungen mit der Portweiterleitung und ihren Risiken zu besitzen. Nimm’s mir nicht übel, aber wenn du schon daran scheiterst, im Web die Ports für VNC zu finden, ist es eher keine gute Idee deine Heizung dem gesamten Internet zu Testzwecken anzubieten. Vermutlich läuft die Heizung auch ohne den externen Zugriff und benötigt bei intelligenter Konfiguration auch eher selten Eingriffe - meine braucht das eigentlich sogar nie.
3
Answer
from
4 years ago
Hallo,
vielen Dank für die Hinweise. Tatsächlich habe ich keine Erfahrung mit Portweiterleitung. VPN kenne ich hauptsächlich nur vom Firmen-Laptop und meinem Virenscanner auf Privat-PC und Smartphone. Aber da ist ja alles "plug and play".
Ich muss voraussichtlich für ein paar Wochen auf Reha. I. d. R. läuft eine Pelletheizung natürlich störungslos.
Im Notfall kann kann ich schon jemanden aus dem Freundeskreis zur Heizung schicken, um z. B. die Asche rauszunehmen (muss so alle 2 Wochen erledigt werden). Die Steuerung ist aber nicht so ohne, falls da etwas ist. Und dann über das Telefon erklären ist schwierig.
Nun habe ich VPN über die WireGuard-Software am Smartphone eingerichtet. Ein dynamisches DNS wurde vorher über selfhost.de eingerichtet. Das Kessel-Passwort wurde auch geändert.
Wobei ich bei dem Heizungshersteller schon eher Bedenken habe. Bei RealVNC wird vor einer unverschlüsselten Verbindung gewarnt. Ich fand beim Kessel auch keine Hinweise, dass der Heizkessel überhaupt sowas unterstützt.
Eine störanfällige App ist zwar vorhanden (mehr Beta-Version), aber nur mit rudimentären Funktionen. Wie sieht es denn da mit Sicherheit aus? Ein paar wenige Änderungen können da vorgenommen werden.
Answer
from
4 years ago
[...] Nun habe ich VPN über die WireGuard-Software am Smartphone eingerichtet. Ein dynamisches DNS wurde vorher über selfhost.de eingerichtet. Das Kessel-Passwort wurde auch geändert.
Nun habe ich VPN über die WireGuard-Software am Smartphone eingerichtet. Ein dynamisches DNS wurde vorher über selfhost.de eingerichtet. Das Kessel-Passwort wurde auch geändert.
Das klingt doch schonmal gut. Funktionier der Zugriff auf die Anlage über das VPN ?
Wobei ich bei dem Heizungshersteller schon eher Bedenken habe. Bei RealVNC wird vor einer unverschlüsselten Verbindung gewarnt. Ich fand beim Kessel auch keine Hinweise, dass der Heizkessel überhaupt sowas unterstützt.
Wobei ich bei dem Heizungshersteller schon eher Bedenken habe. Bei RealVNC wird vor einer unverschlüsselten Verbindung gewarnt. Ich fand beim Kessel auch keine Hinweise, dass der Heizkessel überhaupt sowas unterstützt.
Wenn Du über das VPN gehst sorgt Wireguard für die Verschlüsselung der Verbindung zwischen Handy und Router. Eine ggfs. fehlende Verschlüsselung der eigentlichen VNC-Verbindung ist deshalb unkritisch.
Eine störanfällige App ist zwar vorhanden (mehr Beta-Version), aber nur mit rudimentären Funktionen. Wie sieht es denn da mit Sicherheit aus? Ein paar wenige Änderungen können da vorgenommen werden.
Eine störanfällige App ist zwar vorhanden (mehr Beta-Version), aber nur mit rudimentären Funktionen. Wie sieht es denn da mit Sicherheit aus? Ein paar wenige Änderungen können da vorgenommen werden.
Das kommt darauf an, wie die App genau funktioniert und wie sie mit der Heizanlage kommuniziert.
Wenn die App direkt mit der Heizanlage "spricht", und Du kein Portforwarding auf dem Router dafür einrichtest, dürfte erstmal alles OK sein.
Kommt die Verbindung zwischen App und Heizanlage ohne Portforwarding und ohne VPN aus, dann läuft sie wahrscheinlich über einen Clouddienst des Herstellers der Heizanlage. In diesem Fall müsstest Du Dich darauf verlassen dass der Clouddienst angemessen gegen Angriffe abgesichert ist. Das Risiko würde hier als etwas geringer einschätzen, als bei einem eingerichteten Portforwarding direkt auf die Heizanlage der Fall wäre.
Answer
from
4 years ago
Ja, der Zugriff auf die Anlage funktioniert nun über das VPN mit Wireguard. Funktioniert auch einwandfrei.
Für die App musste ich kein Portforwarding einrichten. Na ja, die App wird noch ausgebaut. Läuft auch nicht so wirklich stabil.
Da hat der Hersteller auch zugegeben, dass noch Optimierungsbedarf besteht.
Unlogged in user
Answer
from
Unlogged in user
Ask
from