frage zur kommenden CCU3 Firmware

ich bin gerade über das folgende Posting von EQ3 gestolpert:

Liebe CCU3-Nutzer!

Neue, komfortable Sicherheitseinstellungen für die CCU3!

In der nächsten Woche wird es ein Release geben, welches ausschließlich Euch CCU3-Nutzer betrifft, in dem wir u.a. einen neuen Firewalleditor einpflegen.
Folgende Schritte sind wichtig und bitte von Euch durchzuführen:

  1. Erstellt vor dem Release ein Backup.
  2. Setzt nach dem Release ein Anmeldepasswort. Dieses Passwort bitte nicht vergessen! Gegebenenfalls sind eure Partnerapps mit diesen Anmeldedaten zu aktualisieren.
  3. Entscheidet Euch für Eure Firewalleinstellungen. Ihr könnt zwischen drei Optionen mit dem neuen Expresseditor wählen oder alles benutzerdefiniert einstellen.

Schritte 1-3 sind noch einmal genauer in diesem Video beschrieben!

  1. Für den Fall, dass Ihr wieder zurück auf die vorherige CCU3 Version (3.37.8) wechseln wollt, geht wie folgt vor:
    a. Alte CCU3 Version 3.37.8 installieren
    b. CCU3 starten (Hinweis: es werden Fehlermeldungen angezeigt)
    c. CCU3 im Recovery System erneut starten (Systemtaste bei Spannungszufuhr gedrückt halten)
    d. Aus dem Recovery System ein Factory Reset durchführen
    e. CCU3 normal starten und das Backup der Version 3.37.8 installieren

Hat das Konsequenzen zur Anbindung an IP-Symcon?
Muss dort was angepasst werden, damit das Passwort hinterlegt werden kann?

Danke und Gruß,
Lördy

Aktuell gibt es keine Anmeldung für die genutzten Protokolle.
Steht auch nichts davon das diese Protokolle geändert wurden, und jetzt mit Passwort versehen sind.

Wichtig ist aber die Firewall.
Wer hier ‚Maximal gesichert‘ wählt hat anschließend Probleme. Kein Zugriff mehr von IPS auf die BidCos-Dienste und ggfls. die Homematic-Script Schnittstelle => Muss dann die Firewall selber konfigurieren.
Restriktiv sollte funktionieren.
Michael

Auf Rückfrage kam diese Anwort:

die APIs, welche über http angesprochen werden, werden nun auch über den Benutzernamen und Passwort geschützt.

Die Aussage ist ja toll.
Also geht HM Script nicht mehr aus IPS (wenn HTTP hier Übertragungsprotokoll bedeutet, und nicht TCP Port, wovon ich jetzt mal ausgehe).
Die BidCos RPCs gehen nicht über http, eventuell aber der von HmIP.
Das wird ja ein Spaß.
Zumal die Ankündigung dann ja falsch ist.
‚Gegebenenfalls sind eure Partnerapps mit diesen Anmeldedaten zu aktualisieren.‘
Impliziert nur das schon aktuell genutzte Schnittstellen welche schon vorher eine Anmeldung hatten, aktualisiert werden müssen. Aber nicht das vorher offene Schnittstellen jetzt abgesichert werden.
Schade das solche Ankündigungen immer zu wenig Details enthalten.
Michael

Wenn das mit der „nächsten Woche“ so lange dauert, wie bisher bei eq-3, dann ist da bis Januar genug Zeit sich darum zu kümmern … :cool: :smiley:

Gruß
Bruno

Kann nur keiner vorher Umsetzung und testen. :eek:
Michael

Da warte ich dann mal mit einem Firmware Update bis sicher bestätigt ist das dies mit IP-Symcon funktioniert und es eine Beschreibung dazu gibt welche Einstellungen auf der CCU und in IP-Symcon zu wählen sind.

Wir bekommen bisher auch leider keinerlei Informationen vorab :frowning:

paresy

Welche Auswirkungen hat Firmware 3.41.7 auf die Anbindung von IP-Symcon?

Sind dazu Anpassungen auf Seiten von IP-Symcon notwendig? Wird es dazu eine offizielle Mittteilung von IP-Symcon geben, wie das im Detail einzurichten ist? Nicht das das Update eingespielt wird und dann geht auf einmal nichts mehr, daher würde ich mich dann freuen wenn es eine Mitteilung gibt, wenn die Firmware auch in Zusammenhang mit IP-Symcon getestet von IP-Symcon freigegeben wurde.

Sobald wir unsere CCU3 hier aktualisiert haben gebe ich gerne Feedback :slight_smile:

Gemunkelt wird ja, dass es nur die HMScript Schittstelle betrifft und die XML-RPC Schnittstellen weiterhin einfach offen sind. Aber ich gebe Feedback sobald ich welches habe.

paresy

Wie immer, Murphys Gesetzt.
Habe bis Montag Abend keine Zeit und dann gibt es das CCU Update. Und natürlich auch genug andere Tolle IPS Sachen welche ich testen wollte :banghead:
Michael

Hallo zusammen,

nach dem Update läuft noch alles normal.
Die Firewall-Richtlinie ist auf „Ports blockiert“ eingestellt.

Neu hinzugekommen sind noch die Optionen „Mediola-Zugriff“ und „Port-Freigabe“.

MfG

Es ist schon traurig das Firmware rausgehauen wird ohne diese ausgiebig zu prüfen. Die Optionen, die extra wegen Mediola zugefügt worden sind, sind verbuggt und zumindest Mediola rät davon ab zur Zeit ein Firmware Update durchzuführen.

Nachdem Du so mutig warst das auszuprobieren, habe ich auch mal ein Update der CCU3 Firmware vorgenommen. Ich kann immer noch alles von Homematic über IP-Symcon schalten :loveips:. Ich hoffe das bestätigt sich auch so im Langzeiteinsatz.

Mediola setzte ich nicht mehr ein, deshalb habe ich den Parameter auch auf „kein Zugriff“ gestellt.

Im Log hab ich jetzt eine Warnung gesehen, weiß aberr nicht ob es am Update liegt:

<b>Notice</b>:  Undefined offset: 2 in <b>/var/lib/symcon/modules/IPSHomematicExtended/Systemvariablen/module.php</b> on line <b>351</b><br />
<br />
<b>Warning</b>:  Eigenschaft AlarmScriptID ist nicht vom Typ String in <b>/var/lib/symcon/modules/IPSHomematicExtended/Systemvariablen/module.php</b> on line <b>541</b><br />

Edit: Die Werte der Variablen werden aber übertragen. Gerade noch mal getestet.

Hier findet sich ein bischen mehr an Information, vielleicht kannst Du da was mit anfangen, für mich sind das Böhmische Dörfer.

Pech… Weil kein Zugriff ist halt kein Zugriff.
Das muss schon ‚richtig‘ eingestellt werden.
Der Beitrag von Fonzo erklärt auch, Fasan bitte die Basis Authentifizierung aus lassen sollte.
Michael

Aber hat das Auswirkungen auf IP-Symcon, wenn der Mediola-Zugriff auf „kein Zugriff“ seht ?

Bei der XML-RPC API und der Homematic-Script API ist der Zugriff erlaubt.

Screenshot?
Ich kann selber erst nächste Woche testen.
Michael

Wenn bei der Konfiguration der Variablen die Option „Alarm-Variablen aktiv“ deaktiviert wird, kommt die Meldung nicht mehr.

Aber auch mit der Meldung wurden die Variablen in IP-Symcon sofort aktualisiert. Ob das auch für Alarm Ereignisse gilt, habe ich nicht getestet.