KNX Umstieg auf Secure

integrator1 · 14. Oktober 2023 um 17:02

Moin Leute,
ich möchte im KNX jetzt in den Secure Bereich vor dringen und habe ein paar Fragen bevor ich mir mein System lahm lege.

Schnittstelle mdt SCN-IP100.03 IP Router mit Secure; Sichere Inbetriebnahme (Aktiviert); Secure Tunneling (Deaktiviert)
Gerät ise e-charge II; Sichere Inbetriebnahme (Aktiviert); Sicherheit Erzeugte Gruppenadressen (Automatisch)
IPS V6.4; Derzeitige Kommunikation über UDP

Das funktioniert bis auf die Kommunikation mit dem ise e-charge II auch.
Wie gehe ich jetzt bei der „Umgestaltung“ der Komponenten vor?
Kann ich in IPS das Gateway soweit auf KNX/IP Secure (TCP) umschalten?
Was muss ich in der ETS 5.7.7 beachten?
Helft mir mal bitte an den Startblock damit ich nicht die berühmten Startfehler mache.

paresy · 14. Oktober 2023 um 19:22

Du musst unterscheiden zwischen KNX IP Secure und KNX Data Secure. Du kannst beides losgelöst aktivieren. IP Secure sichert nur vom Symcon zum Interface ab. Data Secure sichert auf der Busleitung ab - indirekt aber auch bis Symcon. Wenn du beides aktiv hast, kommt es im Prinzip bei Symcon doppelt verschlüsselt an.

Für KNX IP Secure hast du ja bereits ein geeignetes Interface. Aktiviere Secure Tunneling im Interface und bei Symcon und lad den Schlüsselbund hoch. Video dazu findest du hier: https://www.youtube.com/watch?v=AZo_TwAyn-U&t=17s
Im selben Video wird im Prinzip auch gezeigt, wie du Secure Adressen auf den Tunnel ziehst. Das ist quasi der Data Secure Teil, wenn du an den GAs das blaue Schild hast, dann ist KNX Data Secure aktiv und auch dort musst du einen aktuellen Schlüsselbund in IP-Symcon importieren. Wichtig ist, dass alle Schaltbaren GAs auf dem Tunnel drauf sind. Optimaler Weise einfach alle die du brauchst rauf ziehen - dann hast du auch niemals Ärger mit Filtertabellen und dergleichen bei der Nutzung von mehreren Linien, da die ETS sich selber drum kümmert.
Falls du die SymBox mit KNX hast, kannst du KNX Data Secure (ohne IP Secure, da die SymBox direkt am TP ist) direkt verwenden mit IP-Symcon 7.0 und unserer neuen ETS SymBox Produktdatenbank. Werbung dazu machen wir, sobald die Stable der 7.0 raus ist. Video dazu findest du hier: https://www.youtube.com/watch?v=aA8mcKEyHOY&t=1s
Nur den Schlüsselbund auslesen hier noch mal in Kürze: https://www.youtube.com/watch?v=R8BTUxpIDUc&t=6s

Optimaler Weise hast du die 7.0 bereits am Start - mit der 6.4 sollte es aber auch gehen.

Und ja - ich weiß - die alten ETS Versionen sind immer die besten - aber für KNX Secure würde ich versuchen die ETS 6.1 (bald 6.1.1) zu nehmen.

paresy

integrator1 · 14. Oktober 2023 um 20:26

Moin paresy und erst einmal Danke das du zu dieser Zeit noch antwortest.
Das Video hatte ich mir auch schon angeschaut und soweit verstanden.

Die ETS 5.7.7 ist erst einmal Fakt, genauso wie IPS 6.4.

Meine erste Frage wäre erst einmal ob ich das Gateway umschalten kann oder neu erstellen muss?

paresy · 15. Oktober 2023 um 00:21

Einfach umschalten. Wie im Video.

paresy.

integrator1 · 16. Oktober 2023 um 11:43

Erster Erfahrungsbericht ist negativ. Bei der Einrichtung musste ich 3x den KNX IP-Router neu initialisieren. Mal kamen keine Daten und mal konnte ich nur lesen aber nicht schreiben …
Ich starte demnächst einen nächsten Versuch, mal schauen ob es dann besser läuft.

Theoretisch reicht es doch für eine IP-Secure Verbindung (ohne Data Secure) wenn ich IPS nur den Schlüssel vom Tunnel übergebe … oder?

paresy · 16. Oktober 2023 um 12:33

Wie bereits oben geschrieben empfehle ich die 7.0 zu verwenden. Ansonsten warte mit deinem weiteren Test, bis du darauf wechseln kannst.

paresy

integrator1 · 16. Oktober 2023 um 12:36

Klingt zu mystisch, was hat das denn für konkrete Gründe. Offiziell wird doch angeboten:

paresy · 16. Oktober 2023 um 12:37

Ja, trotzdem haben wir zur 7.0 viel verbessert. Deswegen meine Empfehlung. Aber dir steht natürlich frei es mit der 6.4 zu versuchen. Wir haben Kunden bei denen er damit auch einwandfrei läuft.

paresy

integrator1 · 17. Oktober 2023 um 06:28

OK, Danke für die ehrliche Antwort. Ich denke dann warte ich mal ab wie ihr mit der V7.0 weiter kommt.

cbeham · 17. Oktober 2023 um 12:23

Da ich ja auch (eventuell) bettroffen bin. Die Frage der Fragen:

Wann in ETWA kann mit der Veröffentlichung der 7.0 gerechnet werden? Quartal? Monat?

Danke und lg

paresy · 17. Oktober 2023 um 12:35

Aktueller Plan ist November.

paresy

DerStandart · 18. Oktober 2023 um 11:03

Das kann ich bestätige. Ich habe mittlerweile ein paar Installationen mit der 6.4 stabil secure in Betrieb.

cbeham · 19. Oktober 2023 um 05:51

Bei mir ja eigentlich auch, was mir aufgefallen ist, dass ab und zu z.B. Rückmeldungen nicht ankommen. z.B. Status Aktor AUS zeigt aber noch immer AN an.
Sowie dieser Fehler, ob er aber mit Secure zusammenhängt kann ich nicht sagen, reproduzierbar, da bei jedem Neustart. Nur das TimeOut/KeepAlive kommt wann es will:

https://community.symcon.de/t/knx-secure-socket-ist-nicht-geoeffnet/134816

Werde mal am Wochende, das Secure (aber nur wenn es einfach geht) deaktivieren, so wie es paresy möchte.

lg