Hargassner Internet-Gateway wird blockiert

Liebe Community.

Wir haben seit kurzem eine tolle neue Heizungsanlage der FA Hargassner.

Sie hängt über ein Internet-Gateway im Netz und kann (im besten Fall) online Informationen weitergeben und ggf. gezündet oder verstellt werden.

Anordnung bei mir ist

Kessel -> Gateway -> Switch -> USG -> Modem

Jeder mit fester IP; keine VLANs

Problem:

Das Gateway wird meines Erachtens vom USG kaltgestellt. Nach ca. einer Stunde, die es normal läuft und von außen erreichbar ist, wird die Verbindung dauerhaft getrennt.

Ich habe bereits in den Firewall Entries für die Mac des Gateways freigegeben, was geht; ohne dauerhaften Erfolg.

Umstellung auf aktives UPnP brachte auch nur kurzen Erfolg, dann wieder alles wie immer.

Langsam bin ich mit meinem Latein am Ende. Hat jemand spontan eine Idee?

Quote from jkasten

Hast du IPS/IDS aktiv? Schau mal ob da was ausgelöst wird.

Alles deaktiviert.

Evtl. steckt eine alte Firewall Regel dahinter, die länger pausierende Kommunikation stoppt?! Ist das möglich?

Quote from jkasten

Evtl Netzteil einen Defekt..

dann würde es aber gar nicht funktionieren, oder? Wenn ich aber sowohl Heizung als auch USG neu starte, kommt es kurz durch und ich kann online die Daten einsehen.

Komischerweise bekommt das Gateway auch keine IP über DHCP.

Ich habe dann über die Kesselsteuerung eine fest vergeben. Die wird mir im Gegensatz zu allen anderen Geräten aber im Controller (Übersicht der Geräte) nicht angezeigt.

Der Blinkcode meldet Zeitüberschreitung.

Hersteller hat noch nicht geantwortet.

Quote from fred05

Kann es auch sein das am Ende der Hersteller möchte das dass Gateway von Außen erreichbar ist und ein Port offen gemacht werden muss?

Das ist der Fall. Ich habe die Ports mal händisch eingegeben. Ging kurz

Dann über upnp. Ging auch kurz

Ich habe einen Verdacht:

Als primärer DNS-Server steht die Adresse meines USG drin. Sollte da vll Cloudflare oder Google rein?!

Quote from gierig

Das einzige sind die TCP/UDP Timeouts bevor der NAT Eintrag gelöscht wird wenn kein Traffic drüber läuft.

Wenn ich das Hargassner aber richtig verstehe ist das das „übliche“ ich verbinde mich zur Cloud vom Hersteller

und kippe da meine infos rein,.. Du darfst dann über die Webseite von Hargassner da zugreifen..

Evt. werden noch ein Paar UDP ports ( da sind die Timeouts bei Unifi evt etwas knapp. Du kannst versuchen UDP Other und UDP Stream

auf sagen wir mal 300 oder 600 zusetzen zu setzen.

Display More

Vielen Dank! Sowas suche ich (wegen eines anderen Geräts) schon lange.

Quote from fred05

Kannst es ja einfach testen und mal Google eintragen.

Bin in einer Stunde daheim. Dann wird getestet.

So hier der aktuelle Stand:

Cloud Key durch UDM Pro getauscht - Firmware und Controller endlich aktuell.

Heizungs Gateway hängt direkt an der UDM.

Nachdem der Installateur keinen Support leisten konnte, bekam ich nun eine Ablaufbeschreibung des Herstellers, wie das Gerät arbeitet.

Quote

1. Das IGW startet und sucht sich per DHCP eine IP Adresse, Default-Gateway, etc.
2. Das IGW löst per DNS die Domain pool.ntp.org auf, es erhält im Normalfall 3 IP-Adressen als Antwort. (IGW UDP Port: zufällig < - > DNS Server UDP Port: 53)
3. Das IGW verwendet die erste IP Adresse in der DNS Antwort und besorgt sich von diesem Server per NTP die aktuelle Zeit. (IGW UDP Port: zufällig < - > NTP Server UDP Port: 123)
4. Das IGW löst per DNS die Domain mqtt.hargassner.at auf.
5. Das IGW verbindet sich mit mqtt.hargassner.at:8883 (IGW TCP Port: zufällig < - > Hargassner Server TCP Port: 8883)
6. Das IGW sucht im lokalen Netzwerk nach Heizungssteuerungen, dazu sendet es einen UDP Broadcast und wartet 2 Sekunden lang auf Antworten. (IGW UDP Port: 50000 < - > Heizungssteuerung(en) UDP Port: 35601)

Wenn dieser Punkt funktioniert, kann man das IGW in der App mit der Heizungssteuerung verbinden.

1. Das IGW verbindet sich mit der, über das App eingestellten, Heizungssteuerung. (IGW TCP Port: zufällig < - > Heizungssteuerung TCP Port: 23).
2. Das IGW löst per DNS die Domain web.hargassner.at auf.
3. Das IGW sendet hin und wieder HTTPS Requests an den Hargassner Server (IGW TCP Port: zufällig < - > Hargassner Server TCP Port: 443).

Wenn dieser Punkt NICHT funktioniert, kann das IGW keine Parameter übertragen und es werden keine Heizkreise, etc. angezeigt.

1. Ab Version 6.3.0 können sich IGWs untereinander im Netzwerk finden und Diagnosedaten austauschen, das passiert über die Ports IGW UDP Port: 50001 - > IGW UDP Port: 50002. Es ist grundsätzlich nicht schlimm wenn diese Kommunikation nicht funktioniert, allerdings erleichtert es eine Fehleranalyse von unserer Seite.

Das IGW muss also,

1. DHCP verwenden können.
2. DNS verwenden können.
3. NTP verwenden können.
4. Eine Verbindung zu mqtt.hargassner.at auf TCP Port 8883 aufbauen können (TLS 1.2)
5. UDP Broadcasts von Port 50000 auf Port 35601 senden, und die Antworten empfangen können (Die Antworten sind keine Broadcasts).
6. per TCP eine Verbindung zur Heizungssteuerung im lokalen Netzwerk auf Port 23 aufbauen können.
7. HTTPS Requests zu web.hargassner.at auf TCP Port 443 durchführen können (TLS 1.2).
8. UDP Broadcasts von Port 50001 auf Port 50002 senden, und UDP Broadcasts auf Port 50002 empfangen können.

• Nehme ich an der UDM überhaupt Einfluss auf die Verwendung von NTP?

• Wie richte ich die Portweiterleitung ein, wenn das Gerät auf DHCP besteht, ich also keine feste IP vergebe?

Es funktioniert nicht. Das Gerät meldet via Blinkcode, dass es keine IP Adresse hat. Ich frage mal beim Hersteller nach, ob es schlicht kaputt ist.

Lösung gefunden:

Gateway direkt über kurzes Patchkabel an die UDM-Pro anschließen brachte dieses zum laufen (inkl. IP und Kommunikation nach draußen).

Kesselsteuerung musste ebenfalls extra ins Netzwerk und wird dort gefunden. Direkt am IGW wurde sie nicht erkannt.

Vermutlich ein Defekt am Gerät, denn die Variante 2 Klients 1 Kabel funktioniert in meinem Netzwerk mit HMIP HAP hinter einem UAP-AC-Pro reibungslos und dauerhaft.

Außerdem war das Cat6-Kabel, das im Kessel verlegt war wohl schadhaft (Komisch, dass das manchmal kurz funktioniert hat). Seit ich das ausgetauscht habe, funktioniert es in der "über Switch-Variante" problemlos und seit einer Woche störungsfrei.

Beizeiten schiebe ich die zwei noch in ein eigenes VLAN, damit es etwas sicherer zugeht. Ansonsten kann ich hier endlich aufhören zu suchen. Danke für die rege Hilfe!

Quote from iTweek

Mach mal die länder sperre raus. Unter firewall

War aus - hatte keinen Einfluss. Aktuell nur 1 Land geblockt: Groß, östlich von hier und agressiv... Stört die Anlage vom neutralen Österreicher nicht.