Climate Solutions Community

Hallo,

ich bin kein Heizungsfachmann, verfüge aber über IT-Kenntnisse.

Mir ist nicht bekannt, wie genau der Zugriff des Fachbetriebs und mögliche Konfigurationsänderungen (technisch) funktionieren. Vielleicht gibt es dazu eine Beschreibung.

Zunächst einmal ist für die Internetverbindung nach draußen keine Firewall-Regel nötig. Die Heizung baut aus dem sicheren Heimnetz eine Verbindung zu einem Viessmann-Server auf und weil der Verbindungsaufbau von innen nach außen erfolgt ist, würde die Fritzbox die Kommunikation grundsätzlich zulassen. Es kann aber kein Externer mit einer anderen IP-Adresse (z.B. der Heizungsbetrieb) einfach auf dein Heimnetz zugreifen. Die Kommunikation muss über den Viessmann-Server laufen, zu dem aus dem Heimnetzwerk die Verbindung aufgebaut wurde. Man nennt das establish mode, der Router beantwortet nur Anfragen von IP-Adressen die von innen (aus dem Heimnetzwerk) heraus initiiert wurden.

Grundsätzlich sollte man sich aber Gedanken beim Einsatz von WLAN Smart-Home Geräten machen. Ich verwende eine WLAN-Lösung von TP-Link (Deco) und habe ein extra "Gast-WLAN" mit eigenem IP-Bereich für solche Geräten, die vielleicht böse Sachen tun könnten.

Also ich verwende das WLAN meiner Fritzbox 7590 nicht. Die TP-Link Deco Mesh Lösung hatte ich kurz vorher gekauft und dann ging das mit dem Glasfaseranschluss doch schneller als gedacht und die Fritzbox hat einen Vodafone-Router abgelöst. Ich habe auf die Schnelle bei meiner Fritzbox keine Möglichkeit gefunden für das Gast-WLAN einen eigenen IP-Bereich zu verwenden. Also Beispielsweise verwendet das normale WLAN den IP-Bereich 192.168.a.x und das Gast-WLAN das eigene Subnetz/VLAN 192.168.b.x. So habe ich das bei meinen Decos gelöst.

Bei meiner Fritzbox gibt es aber die Einstellung für Geräte im Gastzugang:
Die WLAN-Geräte der Nutzer können sich untereinander
im Netzwerk des WLAN-Gastzugangs erreichen (kann auf ja/nein eingestellt werden).

Wenn das auf nei eingestellt wird, können die Geräte im Gast-WLAN

Ein direkte Zugriff des Fachbetriebs auf ein Heimnetzwerk ist aber nur möglich, wenn in der Firewall des Router entsprechende Ports geöffnet werden. das ist hier ja nicht der Fall. Demnach plaudert die Vitodens mit dem Remote-Server von Viessmann. Der Heizungsfachbetrieb meldet sich ebenfalls per ViGuide beim Viessmann-Remoteserver an und sieht alle Anlagen die für ihn freigegeben wurden. Wenn er Änderungen an einer Anlage vornehmen möchte, geht das nur über Viessmann. Er kann nicht direkt (mit einer fremden/bösen IP-Adresse) in ein Heimnetzwerk eingreifen. Ob Viessmann jetzt die Einstellungsänderung im Auftrag sofort ausführt oder ob die Konfigurationsänderung hinterlegt und von der Vitodens abgerufen wird kann nur Viessmann sagen. Der Heizungsbetrieb kann aber nicht an der Firewall vorbei mit einer fremden IP-Adresse in euer Heimnetzwerk.

Die Kommunikation erfolgt zwischen der Vitodens und dem Viessmann-Remoteserver weil diese Verbindung von der Vitodens aus dem sicheren Heimnetzwerk nach draußen in die böse weite Welt initiiert wurde. Der Router zuhause lässt nach dem Verbindungsaufbau durch die Vitodens die Kommunikation mit Viessmann durch die Firewall als Antwort auf die vorausgegangene Anfrage zu. Die Kommunikation ist demnach entweder Vitodens->Viessmann-Remoteserver->Heizungsfachbetrieb oder in umgekehrter Reihenfolge...aber immer ist der Viessmann-Remoteserver zwischen eurer Vitodens und dem Heizungsbetrieb.

Ich hoffe die Beschreibung ist verständlich. Router/Firewalls erlauben nur das quatschen mit Geräten die sie kennen. Also entweder es muss extra eine Regel im Router konfiguriert werden (ist hier ja nicht) oder das anquatschen muss von innen nach außen erfolgt sein. Nur dann wird eine Antwort auf das anquatschen vom angequatschten zugelassen...und zwar nur von dem angequatschten, nicht von einem Anderen (z.B. Heizungsbetrieb).