Fernzugriff
CloudMatic Connect bietet den Fernzugriff auf die Smarthome Zentrale. Dadurch ist es möglich, von überall auf der Welt auf die Zentrale zuzugreifen und die Smarthome-Geräte zu verwalten und zu steuern.
Je nach Smarthome Zentrale und Nutzung der Dienste müssen unterschiedliche Einstellungen vorgenommen werden, um den Fernzugriff zu ermöglichen.
HomeMatic Zentrale
Wichtig
Für die Nutzung der CloudMatic-Dienste müssen die Firewall und Sicherheitseinstellungen der HomeMatic Zentrale überprüft und korrekt gesetzt werden!
Firewall
Die HomeMatic Zentrale besitzt eine separate Firewall, um Zugriffe auf die API-Schnittstelle einschränken zu können. Um eine reibungslose Kommunikation mit der Zentrale sicherzustellen, müssen die IP-Adressen aller Geräte, die auf die Zentrale zugreifen sollen, in der Konfiguration der Firewall hinterlegt sein. Die Einstellungen können in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > Firewall konfigurieren vorgenommen werden.
Die Einstellung für die HomeMatic XML-RPC API und Remote HomeMatic-Script API muss auf Einschränkt gesetzt werden. Im unteren Bereich IP-Adressen für den eingeschränkten Zugriff müssen die IP-Adressen bzw. IP-Adressbereiche der Geräte eingetragen werden, die Zugriff auf die Zentrale haben sollen.
Zusätzlich zu den lokalen Adressen muss der IP-Adressbereich unserer CloudMatic Server 10.192.0.0/12 und 10.251.0.0/12 hinzugefügt werden. Dadurch wird die Kommunikation zwischen verschiedenen Apps (z. B. EASY App, Smartha App, etc.), der Smarthome-Oberfläche und auch Amazon Alexa von extern mit der Smarthome Zentrale ermöglicht.
Sicherheitseinstellungen
Sicherheitsassistent
Der Sicherheitsassistent hilft dabei wichtige Einstellungen im Punkt Sicherheit korrekt zu setzen. Dieser kann über Einstellungen > Systemsteuerung > Sicherheitsassistent geöffnet werden. Im ersten Dialog muss die Einstellung Express ausgewählt und mit Weiter bestätigt werden.
Im nächsten Schritt muss die Einstellung auf Relaxed gesetzt und mit der Schaltfläche OK bestätigt werden.
Authentifizierung | Umleitung auf HTTPS
Damit die Funktion von unseren CloudMatic Diensten gegeben ist, muss die Authentifizierung und Umleitung auf HTTPS deaktiviert werden. Die Einstellung kann in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > Sicherheit vorgenommen werden.
Erklärung
Die Umleitung auf HTTPS sowie die Authentifizierung ist nicht erforderlich, da die Kommunikation zwischen der Smarthome Zentrale und den CloudMatic Servern bereits verschlüsselt erfolgt und es sonst zu Problem kommen kann!
Netzwerkeinstellungen
In der HomeMatic Zentrale gibt es die Möglichkeit die Netzwerkeinstellungen statisch zu konfigurieren. Diese Einstellungen können in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > Netzwerkeinstellungen vorgenommen werden.
Info
Standardmäßig ist kein Haken bei folgende IP-Adresse verwenden gesetzt.
Fachkenntnisse nötig
Es wird empfohlen die Netzwerkeinstellungen nicht zu verändern. Falls die Netzwerkeinstellungen falsch geändert werden, kann es zu Problemen mit der Kommunikation zwischen der Smarthome Zentrale und den CloudMatic Servern kommen!
Einstellungen erst nach Neustart wirksam
Die Netzwerkeinstellungen werden erst nach einem Neustart der Smarthome Zentrale wirksam!
Um die IP-Konfiguration statisch zu definieren, muss der Haken bei Folgende IP Adresse verwenden gesetzt und die korrekten Daten eingetragen werden.
- IP-Adresse: Die IP-Adresse muss sich im selben IP-Adressbereich wie der Router befinden. Die IP-Adresse darf nicht bereits von einem anderen Gerät verwendet werden.
- Subnetzmaske: Die Subnetzmaske muss mit der des Routers übereinstimmen. Für private
Klasse-CNetze ist diese255.255.255.0 - Gateway: Das Gateway ist die IP-Adresse des Routers. Meistens ist dies die
.1am Ende. - Bevorzugter DNS-Server: Hier muss die IP Adresse des bevorzugt zu verwendeten DNS eingetragen werden. DNS ist für die Namensauflösung zuständig und wird meistens auch vom Router übernommen.
- Alternativer DNS-Server: Hier muss die IP Adresse des alternativ zu verwendeten DNS eingetragen werden.
FritzBox
Sollte eine FritzBox im Einsatz sein, kann es auf Grund der neu hinzugefügten TLD .box zu Problemen bei der Namensauflösung kommen. In diesem Fall empfehlen wir die Verwendung des DNS von Google 8.8.8.8 oder 8.8.4.4 als bevorzugten DNS und die Verwendung Ihrer FritzBox als alternativen DNS.
VPN-Dienst
Für die Verbindung des VPN-Tunnels und somit die Funktion der CloudMatic Dienste auf der Smarthome Zentrale ist es erforderlich, dass der VPN-Dienst aktiviert ist. Dieser kann in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > CloudMatic > Dienste aktiviert werden.
Wichtig
Sollte der VPN-Dienst bereits gestartet sein, kann es helfen diesen zu beenden und neu zustarten.
Manuelles Update
CloudMatic auf der Smarthome Zentrale kann über das manuelle Update manuell aktualisiert werden. Dieses kann in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > CloudMatic > Updates gestartet werden.
Automatische Updates
Es wird empfohlen die automatischen Updates zu aktivieren, um immer die aktuellste Version zu verwenden.
smartha home
Für die smartha home sind keine zusätzlichen Einstellungen erforderlich.
Netzwerkkommunikation
Falls die Smarthome Zentrale sich hinter einer Firewall befindet, muss an der Firewall die Kommunikation für bestimmte ausgehende Ports erlaubt sein.
Wichtig
Im privaten Haushalt mit einem normalen Router ohne Zusatzkonfigurationen sind eingehende Ports standardmäßig freigegeben und es müssen keine Einstellungen vorgenommen werden!
Keine Portweiterleitungen!
CloudMatic Connect baut die Verbindung von der Smarthome Zentrale aus zu unseren Servern auf und benötigt daher keine Portweiterleitung!
Ports
Direkter Zugriff
| Ziel-IPs | Protokoll | Port | Verwendung |
|---|---|---|---|
| 37.187.191.205 | TCP | 11194 | VPN Tunnel, ausgehende Verbindung der CCU |
| 37.187.191.200 | TCP | 11194 | VPN Tunnel, ausgehende Verbindung der CCU (neues Cluster) |
| 37.187.191.205 | TCP | 80 | Schlüssel - Updates, Versand von SMS, Mail, Push |
| 37.187.191.202 | TCP | 80 | Schlüssel - Updates, Versand von SMS, Mail, Push |
| 37.187.191.237 | TCP | 80 | Schlüssel - Updates, Versand von SMS, Mail, Push |
Kommunikation Schnittstelle
Für die Kommunikation mit der Schnittstelle der Smarthome Zentrale werden unterschiedliche Ports verwendet. Diese werden von unserem Dienst an die Smarthome Zentrale weitergeleitet.
Wichtig
Es müssen KEINE Anpassung oder Freischaltung auf dem DSL-Router vorgenommen werden!
Administratoren von Firmennetzen sollten prüfen, ob die Kommunikation ausgehend erlaubt wird.
| Ziel-IPs | Protokoll | Port | Weiterleitung auf Port | Verwendung |
|---|---|---|---|---|
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 80 | 80 | HTTP Sitzungen auf die CCU |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 90 | 90 | ADDON PHP Server auf CCU |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 443 | 80 | HTTPS gesicherter Zugriff auf die CCU |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 2000 | 2000 | XML-RPC Zugriffe auf die CCU |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 2001 | 2001 | XML-RPC Zugriffe auf die CCU |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 2002 | 2002 | XML-RPC Zugriffe auf die CCU |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 2010 | 2010 | XML-RPC Zugriffe auf die CCU |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 8001 | 8001 | Future Use |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 8002 | 8002 | Future Use |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 8181 | 8181 | Script Engine der CCU |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 4430 | 2000 | XML-RPC Zugriffe auf die CCU, HTTPS gesichert |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 4431 | 2001 | XML-RPC Zugriffe auf die CCU, HTTPS gesichert |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 4432 | 2002 | XML-RPC Zugriffe auf die CCU, HTTPS gesichert |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 4434 | 2010 | XML-RPC Zugriffe auf die CCU, HTTPS gesichert |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 44381 | 8181 | Script Engine der CCU, HTTPS gesichert |
| 81.30.148.7 5.199.136.150 5.199.136.140 |
TCP | 4433 | 2003 | Homegear auf CCU, HTTPS gesichert |
Bandbreite
Um CloudMatic Connect nutzen zu können, ist ein konventioneller DSL-Anschluss mit einer Downstream-Geschwindigkeit von 2 Mbit und einer Upstream-Geschwindigkeit von mindestens 192 Kbit erforderlich. Die Lösung steht sowohl über DSL-Light, DS:Light als auch über Mobilfunk zur Verfügung. Anschlüsse von Unitymedia, Vodafone oder Kabel Deutschland mit IPv4 oder IPv6 werden ebenfalls unterstützt.
Datenmengen
Beim Betrieb der Smarthome Zentrale an einer UMTS oder Mobilfunkanbindung sollte ein Tarif ab 200 MB Datenvolumen gewählt werden. Die permanente Kommunikation zwischen Zentrale und VPN Server verursacht ca. 1 MB Daten am Tag. Hinzu kommen die Daten pro Sitzungen, je nach verwendeter App und Browser. Dies ergibt im Monat meist > 50 MB an Daten.
Kommunikation CloudMatic Connect ←→ Zentrale
376 Bytes alle 60 Sekunden für Keepalive Pakete
bis zu 15 KBytes beim Verbindungsaufbau
8 KBytes pro Schlüssel Update
Datenmengen pro Sitzung
Für die Nutzung einer Smartphone App wird meist zwischen 20 KB und 100 KB für typische Kontrollen und Bedienungen und für die Weboberfläche der Smarthome Zentraele 1 MB an Daten benötigt.
Verschlüsselung
Zwischen der Smarthome Zentrale und den CloudMatic Servern besteht ein VPN-Tunnel. Der Tunnel wird dabei durch die Zentrale initiiert. Das Verfahren basiert auf OpenVPN, es wird IPSec VPN eingesetzt. Die Authentisierung in Phase 1 erfolgt über Zertifikate. Die Verschlüsselung in Phase 2 erfolgt über AES mit 256 Bit und SHA1-HMAC.
Die Kommunikation mit den Endgeräten erfolgt über den Zugriff per HTTPS, hierbei werden die Daten SSL-verschlüsselt.