Elektronische Netzabwehr – Fernzugang ohne Cloud, Sicheres Gebäudenetzwerk und Telegrammlogger
Abbildung 1: Enertex ENA²
Die Enertex® ENA² bietet sicheren Fernzugang für Ihre mobilen Geräte oder zur Fernwartung, und schützt das Gebäudenetzwerk vor dem ungewollten Zugriff lokaler Netzwerkgeräte. Sie speichert alle KNX-Telegramme in einer integrierten Datenbank. Die Konfiguration ist auf die Anforderungen der privaten Gebäudeinstallation zugeschnitten, ohne Kompromisse bei der Sicherheit einzugehen. Dazu werden aktuelle Sicherheitsstandards eingehalten und etablierte VPN-Software eingesetzt.
Die ENA² setzt nicht auf die „Cloud“, sondern belässt Ihnen die Kontrolle. Die Konfiguration erfolgt mit Ihrem Web-Browser direkt auf dem Gerät (Abbildung 2). Sie müssen sich zur Nutzung auch nicht erst bei anderen Diensten registrieren. Die Konfigurationsseiten sind selbstverständlich nach den aktuellen Sicherheitsstandards verschlüsselt
Abbildung 2: Web-Konfiguration
Fernzugang
Die ENA² bietet VPN-Verbindungen per TCP oder UDP. Der VPN-Client steht kostenlos für alle gängigen Betriebssysteme zur Verfügung (Windows, Linux, macOS, Android, iOS).
Zur Vereinfachung der Konfiguration bietet Enertex einen kostenlosen „Relais-Server“, der optional verwendet werden kann. Dieser arbeitet ähnlich einer Funkrelaisstation und leitet Daten ohne eigene Auswertung weiter. Dies macht Sie unabhängig von der Art des Internetanschlusses (IPv4, IPv6, DS-Lite) und erspart die Router-Konfiguration, da keine Verbindung auf Ihren Anschluss „von außen“ erfolgen muss.
Ist die Verwendung des Relais-Servers aktiviert, verbindet sich die ENA² automatisch mit dem Relais-Server.
Beim Aufbau einer VPN-Verbindung meldet sich das mobile Gerät ebenfalls beim Relais-Server. Der Server „schaltet“ nun die Verbindung durch, leitet also die Daten in beide Richtungen zwischen ENA² und VPN-Client weiter. Das Besondere dabei ist, dass keine Entschlüsselung der Daten auf dem Server erfolgt, die Schlüsselinformationen sind weiterhin lediglich dem VPN-Client und der ENA² bekannt. Die Anwenderdaten sind also jederzeit Ende-zu-Ende verschlüsselt, genauso als würde eine direkte Verbindung aufgebaut werden.
Um den direkten Fernzugang zu erleichtern, bietet Enertex einen kostenlosen DynDNS-Server. Jede ENA² kann einen eigenen Hostnamen verwenden, der automatisch auf die aktuelle IPv4 und wahlweise IPv6-Adresse verweist. Auch hier erfolgt die Konfiguration direkt auf der ENA² ohne weitere Registrierung.
Über KNX-Gruppentelegramme kann bei Bedarf gesteuert werden, welcher Benutzer sich aus der Ferne einwählen darf. Weiterhin ist es möglich, den VPN-Dienst komplett zu stoppen.
Um den Administrator zu entlasten kann sich jeder Benutzer sein eigenes VPN-Profil selbst von der Gerätewebseite herunterladen oder per Mail zusenden (Abbildung 3). Alternativ kann ein Administrator den Benutzern die Profile auch direkt von der ENA² per Mail zusenden lassen, was für den Administrator die Ersteinrichtung erleichtert.
Abbildung 3: VPN-Profil
Sicheres Gebäudenetzwerk
Abbildung 4: Sicheres Gebäudenetzwerk
In Zeiten von vernetzten Staubsaugern ist das „Sichere Gebäudenetzwerk“ essentiell die Sicherheit der KNX-Installation (Abbildung 4). Die ENA² besitzt zwei physikalisch getrennte Netzwerkanschlüsse. Im bestehenden Heimnetz am Anschluss LAN1, das z.B. vom Internet-Router verwaltet wird, befinden sich Smartphone, PC, und IoT-Geräte. Die ENA² erstellt auf Wunsch ein „Sicheres Gebäudenetzwerk“ für Ihre KNX IP-Geräte. Dadurch wird verhindert, dass ungewollt Netzwerkgeräte auf Ihre Gebäudeinstallation zugreifen.
Über die leicht zu bedienende Firewall-Konfiguration legen Sie fest, auf welche Geräte zugegriffen werden darf. Dabei wird zwischen den Zonen Heimnetz LAN1, Sicheres Gebäudenetzwerk LAN2, VPN, KNX und WAN (Internet) unterschieden. Für jede Zone wird festgelegt, welche (oder alle) Geräte zugreifen dürfen. So kann z.B. der Zugriff auf die integrierte KNX IP-Schnittstelle auf VPN, das Sichere Gebäudenetzwerk und den Arbeitsplatz-Rechner eingeschränkt werden.
Die ENA² stellt DHCP, DNS und NTP im Sicheren Gebäudenetzwerk bereit. Zur einfacheren Inbetriebnahme wird auf dem Display angezeigt, welche Geräte von der ENA² eine Adresse per DHCP bezogen haben. Die Adressen können den Geräten auch fest zugeordnet werden. Damit wird die Gebäudesteuerung unabhängig vom Internet-Router. Dieser kann gewechselt werden, ohne dass sich die IP-Adressen der Geräte im Sicheren Gebäudenetzwerk ändern.
Die ENA² bietet damit eine Infrastruktur, die sonst nur über VLANs mit entsprechend kostspieliger Hardware und/oder komplexer Einrichtung realisiert werden kann. Der Systemintegrator kann die komplette LAN-KNX-SmartHome-Installation direkt in der ENA² konfigurieren, so dass kein tieferer Eingriff in das Kundennetzwerk notwendig ist.
Telegrammlogger
Die ENA² schreibt automatisch alle empfangenen Telegramme in eine interne Datenbank (~100.000.000 Tel., datentypabhängig). Sie können für die ETS als XML-Datei exportiert oder direkt auf dem Gerät ausgewertet werden. Abfragen können auf Datentyp, Geräteadresse, Gruppenadresse oder ein Zeitintervall eingeschränkt werden.
Abbildung 5: Datenbankabfrage
Zur Identifikation typischer Konfigurationsprobleme wie ausbleibende oder doppelte Antworten auf Leseanfragen, nicht parametrierte Gruppenadressen oder Telegramme von unbekannten Geräten stehen vorgefertigte Abfragen zur Verfügung. Da die Daten in einer Datenbank organisiert sind, ist diese Art der Filterung erheblich schneller als Sie das z.B. von der ETS mit weit weniger Telegrammen kennen.
Abbildung 6: Telegramme aus der Datenbank
Eingehende Telegramme können auch ohne Umweg über eine Datenbankabfrage direkt im Gruppenmonitor angezeigt werden.
Damit Telegramm-Informationen wie in der ETS parametriert interpretiert werden können, kann vorher das ETS-Projekt als .knxproj-Datei importiert werden. Damit werden die Telegramme wie in Abbildung 6 direkt „lesbar“.
Zahlenwerte können direkt im Browser als Diagramm dargestellt werden. Diese dienen sowohl der reinen Information, wann welcher Wert über den Bus gesendet wurde, aber auch bei der Fehlersuche, falls beispielsweise ein Bewegungsmelder im Außenbereich immer bei Unterschreiten einer bestimmten Temperatur ausfällt. Die Anzahl der dargestellten Diagramme ist nicht begrenzt.
Werte werden zur Darstellung in wählbaren Intervallen zusammengefasst (Sekunden, Minuten, Stunden, Tage, Wochen, Jahre). Dabei kann auch gewählt werden, ob zum Zusammenfassen das arithmetische Mittel, Median, Minimum oder Maximum verwendet wird.
Abbildung 7: Anzeige beliebig vieler Gruppenadressen
Protokolle der Konfiguration
Die ENA² protokolliert jedes Ereignis. Der Besitzer kann beispielsweise jederzeit nachvollziehen, wann sich der Administrator per VPN verbunden hat, oder dass ein VPN-Profil per Mail versendet wurde. Einträge aus dem Ereignisspeicher werden nur durch ein Zurücksetzen auf Werkseinstellungen gelöscht. Falls die maximale Speichergröße erreicht wurde, werden die ältesten Einträge überschrieben. Die Aufzeichnungsdauer beträgt etwa 1 Jahr.
Übergabeprotokoll
Die ENA² erstellt für den Integrator und Endkunden ein Übergabeprotokoll, das die Konfiguration im Klartext beinhaltet. Damit kann der aktuelle Zustand festgehalten werden, und nachträgliche Änderungen, z.B. durch den Kunden nachvollzogen werden.
Fazit
Im Gegensatz zu anderen SmartHome-Fernzugangslösungen setzt die ENA² nicht auf die „Cloud“, sondern belässt Ihnen die Kontrolle über Ihre Daten und darüber, wer wann Zugang erhält. Sie bietet als einzige Fernzugang, ein Sicheres Gebäudenetzwerk und datenbankgestützte Telegrammaufzeichung in einem Gerät und ist damit die modernste und voll umfängliche Sicherheitslösung für KNX-Installationen.
Technische Daten
| KNX (Versorgung) | DC 27 … 30 V SELV
Stromaufnahme < 110 mA bei 29 V Busspannung. |
| Ethernet-Schnittstelle | 2x RJ45-Buchse für 10M/100MBit Ethernet |
| Bedien- und Anzeige- elemente |
Grafisches OLED
LEDs: Spannungs-LED (grün) Info-LED (gelb), Alarm-LED (rot), RJ45-Buchsen: Netzwerklink (grün), Netzwerkaktivität (gelb) Taster: F1, F2, Display |
| Gehäuse | DIN Hutschienengehäuse für 35 mm Tragschiene
Breite: 4 TE 71,5 mm x 89,6 mm x 62,9 mm (L x B x H) |
| Weiteres | Nur zur Verwendung in Innenräumen
Nur für den Betrieb im Schaltschrank Höchste Umgebungstemperatur ta = 45 °C Niedrigste Umgebungstemperatur ta min = -5 °C Schutzklasse III Schutzart: IP20 Prüfungen: |
| KNX (Versorgung) | DC 27 … 30 V SELV
Stromaufnahme < 110 mA bei 29 V Busspannung. |
| Ethernet-Schnittstelle | 2x RJ45-Buchse für 10M/100MBit Ethernet |
