Einfache Fern- Bedienung und Wartung von Heliotherm Wärmepumpen Anlagen über das Internet ist eines der Verkaufsargumente des erfolgreichen Wärmepumpen Herstellers Heliotherm. Ich musste selbst feststellen, wie hilfreich solch eine Möglichkeit zur Fernwartung durch einen Installateur ist, die Verwendung der "Fernbedienung" meiner Heizung ist für mich hingegen eher uninteressant.
Leider ist die konventionelle, von Heliotherm eingesetzte Lösung durch das Internet über ein LAN Modem <> Serial auf die Anlage zuzugreifen weder sicher noch funktioniert sie mit Internet Providern die ausschließlich mit IPV6 oder 4in6-Tunnel also z.B. DSLite arbeiten.
Aktuell wird auf der Heliotherm Website u.a. ein neues Fern Bedienungs Verfahren/Produkt mittels "w-cat router" beworben bei dem von separater SIM Karte, SSL und VPN die Rede ist. Anscheinend soll diese Lösung die Unzulänglichkeiten der bisherigen ausgleichen. Da mir dazu aber keine Details bekannt sind und ich nicht ganz verstehe, welchen Sinn die Aufzählung von SIM, VPN und SSL im vorliegenden Kontext ergeben sollen, müsste ich über die Funktion mutmaßen und kann ich dazu nichts weiter sagen. Auf das Thema "Direktverbindung" gehe ich hier nicht ein.
Gleich neben der "neuen Lösung" wird auf der Heliotherm Web Seite auch das Verfahren mittels "Hausnetzwerk" beworben, welches wohl das bisherige System in Verbindung mit einem LAN Modem beschreibt. Diese ursprüngliche Lösung bei der eine Heliotherm Wärmepumpe über ein LAN Modem eine Verbindung zum Heliotherm Verwaltungsportal herstellt bzw. direkten externen Zugriff mittels Portforwarding auf die Anlage erlaubt, müsste nun bereits bei Hunderten, wenn nicht sogar tausenden Kunden Verwendung finden.
Netterweise wird von Heliotherm gleich im Werbetext für die "Hausnetzwerk" Lösung auch direkt die Verantwortung für Stabilität und vor Allem für die "Sicherheit" auf den Kunden abgeschoben. Sicher ist sicher, oder etwa nicht ? Schließlich wird im Heliotherm LAN-Modem Handbuch (Stand 21.08.2012, erhalten 12/2017) Abschnitt 4 die Portweiterleitung beschrieben, im gesamten Dokument findet sich jedoch kein einziges Wort zum Thema Sicherheit. Auch die Bedienungsanleitung des Produktes HomeControl schweigt sich dazu komplett aus. Also was ist mit den Anlagen die seit Jahren bereits in Betrieb sind ?
Ein Fakt der Heliotherm aber vor Allem Kunden mit dem ursprünglichen Setup ganz und gar nicht gefallen wird :
Bisherige Anlagen die über eine Internetverbindung via "LAN-Modem " mit dem Heliotherm Portal verbunden sind und ein funktionierendes Portforwarding für den Rückweg eingerichtet haben, sind ohne großen Aufwand und ohne jegliche Authentifizierung manipulierbar. Wir haben das mit unterschiedlichen Anlagen vom Typ HP12L-M-WB und HP12S16W-S-M-WEB sowie den Firmware Ständen <= 3.0.31 getestet und nachgewiesen. Zwar scheint für die administrative Remote Verwaltung von Anlagenparametern einer Heliotherm Wärmepumpenanlage ein spezieller String, also quasi ein Password innerhalb der Verwaltungssoftware erforderlich, aber ist die Anlage erst einmal über ein Portforwarding über das Internet erreichbar, kann jeder von außen OHNE jegliche Zugangsdaten fröhlich lesend auf das System zugreifen und sogar User Kontext Werte wie Raumtemperatur oder Warmwasser verstellen. Super, draußen ist es richtig kalt aber meine Heizung denkt alles gut weil ja nur 10 Grad Celsius Raumtemperatur eingestellt sind?
Selbst wenn Heliotherm diese Art von Zugriff mittlerweile in einem neueren Firmware Release für die betroffenen Wärmepumpenanlagen unterbunden haben sollte, muss der Kunde für ein neues Firmware Release tief in die Tasche greifen. Auch kann die Installation der neuen Firmware bis zu einer bestimmten Version nur durch einen Techniker durchgeführt werden. Von einer Schließung der Sicherheitslücke in einem späteren Firmware Release ist aber auch kaum auszugehen, da dies eine weitreichende Änderung am Gesamtkonzept, der Bedienungs- und Management Software sowie interner Kommunikationsverfahren zur Folge hätte. Es ist fraglich ob Heliotherm so weitreichend nachbessert.
Wie komme ich da überhaupt drauf?
Wie ich Eingangs bereits erwähnte, finde ich das Verkaufs Argument "Anlagen Fern- Bedienung und Wartung" durchaus angebracht, bietet die Fernwartung schließlich die Möglichkeit, eine Heliotherm Wärmepumpen Anlage Remote einzustellen und zu optimieren ohne das ein Monteur dafür extra vor Ort kommen muss. Für physikalische Wartungsarbeiten wie z.B. das Überprüfen bzw. Auffüllen von Kältemittel muss sich zwar trotzdem ein Techniker zur Anlage bewegen, dies hat sich bei uns jedoch in ca. 9 Jahren Betrieb nicht als erforderlich erwiesen da die Anlage sehr zuverlässig ist.
Das ein Besuch eines Technikers im letzten Winter dennoch notwendig wurde, ergab sich aus dem Umstand das es Probleme mit der Anlage gab und einem Anflug von Selbstüberschätzung meinerseits: Ich kann Software schreiben, Schaltungen entwickeln und Feuer machen, also kann ich auch die blöde Anlage resetten und danach funktioniert sie wieder wie gewünscht, frei nach dem Motto : "Reboot tut gut" ...
Da ich aber nun mal kein Heizungstechniker oder Wärmepumpen-Spezialist für Heliotherm Anlagen bin, führte mein "Reset" der Anlage zum vollständigen Ausfall des Systems, gerade im Winter keine gute Sache. Und weil der lokale "Fachbetrieb" der das System seinerzeit installierte höchstens etwas mit Betrieb aber nicht mit Fach zu tun hat, habe ich mich zur Vermittlung eines kompetenten Partners direkt an die Firma Heliotherm gewandt. Professionell und sehr schnell wurde mir dann die Firma Noll Versorgungstechnik GmbH genannt die sich prompt telefonisch meldete.
Perfekt, keine Heizung, kein warmes Wasser und ich hatte keine Ahnung was ich angestellt hatte aber egal, hab ja FERNWARTUNG!.
Techniker : haben Sie Internet ?
- Klar hab ich Internet, wer hat schon kein Internet ?
Techniker: Super, haben Sie die Anlage mit Heliotherm verbunden? Ich würde gerne mal auf die Anlage schauen ....
- Aber sicher, hab ja so ein Moxa Serial->Ethernet "Modem" damals mit gekauft, alles registriert, hier ist die Serien Nummer und IP Adresse, Port Forwarding ist eingestellt, Display zeigt "verbunden" (nachdem ich die Server Daten nochmal eingegeben hab), sollte alles gehen
Techniker: hmmmmm ......... sehen tu ich sie im Heliotherm Portal, aber ich komm nicht drauf ….. haben Sie Ihren Router entsprechend konfiguriert ?
- Na klar, alles laut Anleitung eingestellt. Ich check noch mal alles ….
- äähhhhhh........... hmmmm, rauf, runter, aus , an, Portforwarding, .... nix .... fummel, ping, ..... nix …
- ………………...
- Irgendwann ging mir dann ein Licht auf : Kann ja gar nicht gehen, meine öffentliche IPV4 ist die des APOP`s ..........
Techniker: Tja, dann kommen wir morgen mal bei Ihnen vorbei, könnte was dauern sind ja fast 200km ....
Techniker kommt am nächsten Tag, flucht zunächst 15 Minuten lang wie ein Rohrspatz weil irgend so ein Idiot die Anlage auf Werkseinstellung zurück gesetzt hat, die jetzt von sich selbst denkt sie sei ein Kühlschrank und nu auch alle Fehlerspeicher weg sind, sich das eigentliche Problem also nicht mehr nachvollziehen lässt. Der Mann hatte vollkommen Recht, welcher Trottel hat das Ding nur resettet ?
Nach einem ganzen Tag manueller Programmierung und Anpassung durch den Techniker lief das System dann Abends wieder. An dieser Stelle möchte ich mich auch noch einmal ganz herzlich bei der Firma Noll bedanken. Seit der Reparatur läuft die Anlage ohne irgendein Problem und arbeitet dazu noch erheblich effizienter als vorher was sich in einem stark reduzierten Stromverbrauch zeigte.
Gut, ich gelobte die Finger von der Anlage zu lassen sowie die Herstellung einer externen Verbindung zur Fernwartung der Anlage über das Internet um weitere Konfigurationen ohne persönliche Anfahrt zu ermöglichen.
Problem : Ich habe meinen Internetanschluss bei der Deutschen Glasfaser und die arbeitet wie viele andere auch mit DSLite. Hinter dem POP läuft dort alles über IPV6, also ist kein Portforwarding externer Zugriffe mögliche, zumindest nicht mit IPV4 oder ohne entsprechende Hilfsmittel.
Also hab ich schnell aus verschiedenen Tools was gebastelt um das Problem zumindest einmal zu umgehen, und was dem Techniker über die kommenden Tage die Optimierung meiner Anlage erlaubte. Nebenbei sind alle Sitzungen ge-tracet und protokolliert worden, was Unglaubliches zu Tage brachte.
Aus all diesen Erkenntnissen ist letztendlich das HT Internet Gateway entstanden.
Meine Heliotherm Anlage stellt die Verbindung zum externen Management Portal mittels eines (möglicherweise gebrandeten) Moxa Serial <> Ethernet Modems her. Hierbei handelt es sich zwischen Anlage und dem Modem um eine banale, serielle Verbindung mit einem äußerst fraglichen CRC Mechanismus. Die Verbindung zum Internet funktioniert sowohl bei konventionellen Anbietern wie auch bei mir wunderbar von dem Modem aus nach draußen, da sich das System bei dem Heliotherm Management Portal mit seiner "Absender Adresse" also seiner IPV4 Adresse registriert. Bei konventionellen IPV4 wie auch bei Internet Anbietern mit DS (DualStack) funktioniert dann auch der umgekehrte Weg über Portforwarding da hier IPV4 (+ IPV6 bei DS) Adressen des privaten Routers verwendet werden. Bei Anbietern wie meinem, die lediglich DSLite anbieten, wird aber die IPV6 Adresse für meinen Anschluss verwendet, die IPV4 ggf. darin getunnelt und nach außen die IPV4 der "Vermittlungsstelle" übergeben.
Ganz schön kompliziert aber man kann sich das "ungefähr" so vorstellen, erklärt anhand eines Beispiels basierend auf einem Telefonat.
Die Nummer die an den Empfänger übermittelt wird ist bei konventionellen IPV4 providern, DS und DSLite die der "Telefonzentrale". Ein Unterschied ist jedoch bei reinem IPV4 oder DS mit IPV4 steht die "Telefonzentrale" bei Ihnen zu Hause (Ihr Internet Router) und es werden echte IPV4 verwendet. Bei DSLite wird maximal bis zum APOP ("Telefonzentrale") eine IPV4 und danach eine IP4InIP6 bis zu Ihrem Router verwendet, bei der die IPV4 nach außen nicht sichtbar ist. Außerdem haben Sie keinen Zugriff auf diese Zentrale da sie irgendwo im Ort oder in der Umgebung steht.
Sie sitzen in einem riesigen Bürogebäude und rufen einen Kunden an
Jetzt gibt es pro System jeweils zwei Möglichkeitent:
DS (Dual Stack) bzw. konventionelles IPV4 ("Vermittlungsstelle" z.B. Ihre Fritzbox)
- Jemand nimmt den Anruf entgegen und das Gespräch kann stattfinden - kein Problem
- Niemand geht ran, Sie hinterlassen eine Nachricht und bitten in der Fachabteilung "Sicherheit" zurückzurufen. Später sieht jemand bei Ihrem Kunden auf dem Display die Nummer Ihrer Vermittlungsstelle und ruft diese an - kein Problem da Sie Ihre Vermittlungsstelle zuvor gebeten haben, alle Anrufe für die Fachabteilung "Sicherheit" an Ihren Apparat weiterzuleiten (Portforwarding).
DSLite (DualStack Lite) nur IPV6
- Jemand nimmt den Anruf entgegen und das Gespräch kann stattfinden - kein Problem
- Niemand geht ran, Sie hinterlassen eine Nachricht und bitten in der Fachabteilung "Sicherheit" zurückzurufen. Später sieht jemand bei Ihrem Kunden auf dem Display die Nummer Ihrer Vermittlungsstelle und ruft diese an - leider konnten Sie Ihre Vermittlungsstelle nicht bitten alle Anrufe für die Fachabteilung "Sicherheit" an Ihren Apparat weiterzuleiten weil Sie keinen Zugriff auf die Vermittlungsstelle haben. Somit kann der Anruf nicht stattfinden und endet an Ihrer Vermittlungsstelle.
Schlussfolgerung : Leider funktioniert die konventionelle Heliotherm Fernwartung über das LAN Modem nur "echt" IPV4 basiert mit Portforwarding und muss von extern initiert werden. Somit ist ein Fernzugriff aber bei Anbietern wie UnityMedia oder Deutsche Glasfaser, die nur DSLite verwenden nur mit Zusatzsystemen möglich.
Ein Schlauer mag nun denken ein Lösungsansatz wäre die komplette Kommunikation ausschließlich über IPV6 abzuwickeln da diese "Teilnehmernummer" also IP Adresse sehr wohl bei DSLite wie auch bei DS übertragen wird und auch bis zum Endgerät routbar ist. Diesen Ansatz habe ich dann auch zuerst verfolgt jedoch schnell wieder verworfen weil viel zu komplex, eine Beschreibung würde weitere 2 Seiten in Anspruch nehmen. Außerdem können die bisher verwendbaren oder erschwinglichen Moxa LAN Modems kein IPV6 und man benötigt wieder ein Zusatzgerät. Auch ist nach aktuellem Wissensstand unklar, ob das Heliotherm Management Portal direkt mit IPV6 umgehen kann.
Das Thema Sicherheit ist leider ein großes Problem. Um das zu belegen habe ich einen Freund, der über eine Helitotherm Anlage verfügt nach seiner öffentlichen IPV4 Adresse gefragt und ihn gebeten das Portforwarding einzurichten. Dann hab ich seine Heizungsanlage fleißig von außen manipuliert. Sehr zum Ärger meines Freundes weil seine "Anlage die Raumtemperatur ständig auf 10 Grad Celsius zurück gestellt hat", und das im Bayrischen Winter. Naja, es war ja abgesprochen.
Für die Manipulation musste lediglich das Portforwarding auf seinem Router aktiv sein und schon konnte ich das System über die öffentliche IPV4 auslesen und sogar Werte ändern. Alles ohne irgendwelche Zugangsdaten.
Ein weniger Schlauer denkt jetzt vielleicht: Na wenn ich nur IPV6 und ein entsprechendes IPV4 only LAN Modem habe, passt ja alles. Absolut, in dem Fall kann man die Anlage natürlich von Außen nicht manipulieren. Aber eben auch nicht über das Internet auf die Anlage zugreifen, sie fernbedienen oder fernwarten.
Auch kommt jetzt bestimmt der ein oder andere "Foren Spezialist" mit seinem unermesslichen Wissen "Du hast das mit DSLite und DS nicht richtig erklärt..." Sorry, wer es echt genau wissen will sollte immer bei Wikipedia nachsehen. Auch gerne mal platziert sind so super Vorschläge wie: auch ohne Portforwarding geht's, würde man das LAN Modem gleich mit einer Public IPV4 versorgen usw. Ja, absolut, auch eine Lösung, wenn einem Sicherheit, Kosten und Aufwand egal sind und man als Kind zu heiß gebadet wurde.
Ich bin sicher es gibt auch andere, vielleicht auch praktikable Lösungen, hier nun meine Lösung um sicher auf seine Heliotherm Anlage trotz DSLite zuzugeifen:
Um nicht irgendeine neue und überteuerte Komponente von Heliotherm kaufen zu müssen, das IPV6 Problem zu umgehen und dem Installateur in Zukunft eine sichere Remote Sitzung auf meine Anlage zu ermöglichen, habe ich das BH Internet Gateway System auf Basis eine Raspberry Pi 3 entwickelt, welches das Moxa LAN Modem komplett ersetzt und von sich aus automatisch eine Verbindung mit meinem VPN Gateway im Internet aufbaut. Dabei ist es völlig egal ob der Provider nun IPV4, DS oder DSLite verwendet. Ein Betrieb mit Moxa Modem ist zwar möglich, macht aber nicht wirklich Sinn.
Auf dem VPN Gateway im Internet kann sich der Kunde oder Installateur gesichert anmelden und erst dann wird durch einen SSH Tunnel ein Portforwarding auf die Anlage geschaltet. Die Sitzung bekommt einen speziellen Port zugewiesen den der Monteur dann in seiner Software verwenden kann. Das Port Forwarding bleibt nur für die Dauer der Sitzung bestehen und wird nach einem definierten Timeout zwangs-getrennt sollte die Sitzung unkontrolliert beendet worden sein. Das funktioniert sowohl für Fernwartung wie auch Fernbedienung der Anlage.
Das BH Internet Gateway kann noch viel mehr wie z.B. Störungsmeldung, Datalogging der Anlage, Darstellung der Werte über DomoticZ und kann entweder in einem Slim Desktop Case oder einem Hutschienen Gehäuse mit Display direkt in der Heliotherm Anlage verbaut werden.
Bei Fragen einfach eine Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! schreiben.
Alle genannten Soft- und Hardwarebezeichnungen sowie Marken- oder Produktnamen sind Eigentum ihrer jeweiligen Inhaber und unterliegen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz. Irrtümer und technische Änderungen vorbehalten. Quellenangabe : wikipedia,www.heliotherm.com
