VTA2000a: Haltbarkeit und Entscheidungsfragen

[dps64]

Also da könnte ich einstellen das an allen Tagen zwischen 22 und 6 Uhr gar nicht klingelt?
Das wäre ganz gut, denn wenn ich die Rufe ja weiterhin auf dem Handy erhalte reicht mir das. Im Wohnzimmer bin ich nachts ohnehin nicht und direkt darüber liegt das Kinderzimmer. Je nach dem wie laut die VTH klingelt wird sonst der Kleine wach aber ich höre den Klingelton von der VTH im Schlafzimmer oder Büro ohnehin nicht da zu weit weg. Dafür habe ich dann mein Handy.

 

[riogrande75]

Auch eine Nachtschaltung ist mit Asterisk ganz einfach möglich. Glaube kaum, das Duhua so spezielle Sachen je in die FW einbauen wird.
Und da auch die SIP Versionen weiter gepflegt werden, gibt's für mich sowieso nur SIP.

@kuzco-ip: Klar ist mein asterisk alt, aber er macht was er soll und das sehr stabil.

 

[dps64]

Hallo Riogrande, um den WAF im grünen Bereich zu belassen, komme ich um eine VTH leider nicht herum. Somit sind alle Möglichkeiten des SIP, welche Asterisk so bietet zwar für das Fritzfon praktisch, nützen mir bei der VTH aber nichts.
Ich muss also einen Mittelweg zwischen Zuverlässigkeit, Benutzerfreundlichkeit, Optik, zusätzlichen Möglichkeiten und Spielerein (nur für mich von Interesse, hierunter zählt dann auch SIP) finden.

Mal noch eine Frage: es gibt ja 2 Draht und LAN, was würdet Ihr empfehlen? Ich tendiere Prinzipiell eher zu LAN, mich stört aber der Gedanke ein LAN-Kabel unten an die Einfahrt zu legen, über welches man leicht in mein Netzwerk kommt. Zwar sind NAS und wichtige Komponenten zusätzlich gesichert aber eine wichtige Hürde, der Zugriff ins Netzwerk von außen kann so ganz einfach übergangen werden.

Und da ich nun vom Codeschloss Abstand nehme und ein separates da hin baue, welches alles kann was ich brauch und ebenfalls sicher ist (Auswertung dank Wiegand Schnittstelle innerhalb des Hauses) werde ich eine einfache VTO2000a verbauen und nicht die Modulare Version. Gefällt mir zwar optisch gar nicht aber anders kann ich es nicht brauchbar realisieren.
Ich denke, da ist die 2 Draht Version wohl besser geeignet (insbesondere in Anbetracht der Datensicherheit im Netzwerk) oder hat jemand Einwände? Die Firmware unterscheidet ja nicht zwischen LAN und 2Draht oder?
Habe insgesamt rund 100m Kabellänge zu der Aussenstation, werde hochwertiges (100% Kupfer) geschirmtes Kabel mit 0,75qmm Aderquerschnitt verwenden, dann dürfte die Entfernung kein Problem sein. Geschirmt deshalb, weil in der gleichen unterirdischen Kabeltrasse die Versorgungsleitungen (230V) für Hoftor und Wegbeleuchtung liegen. Bei der 2Draht Version kann ich aber auch das Zusatzrelais für einen 2. Toröffner verwenden oder?

 

[riogrande75]

Für die VTH gibts auch eine SIP FW. Somit ist das Ganze auch mit "nur Dahua Komponenten" möglich. SIP als "Spielerei" zu bezeichnen würde ich hier in diesem Forum nicht unbedingt bringen - auch wenns im Zusammenhang mit VTO/VTH offenbar eher unüblich ist. Mir persönlich ist's aber egal . Die Möglichkeit eines Hin-und-her der beiden Varianten hast du ja sowieso immer noch.

Dahua 2 Draht ist nur Ethernet über eine Art proprietäre "12V-Powerline". Die Konverter sind in den 2-Draht Versionen eingebaut. Gewiss "sicherer" als LAN-only, dafür aber ein wenig teurer und man braucht zwingend einige Komponenten extra. Diagnose beim "spielen" ist auch deutlich schwieriger, aber das willst do ohnehin nicht .

FW Unterschiede gibts meiner Meinung nach nicht, die Konverter sind HW. Hab schon "-2" Firmware auf meine VTO2000A geflasht und keinen Unterschied bemerkt, auch wenn andere User etwas anderes behaupten. Div. Erweiterungen sollten daher mit beiden Versionen tun.

Ehrlicherweise muss ich zu deiner Situation sagen, wenn du nicht einige Zeit investieren willst, wird ein anderes, professionelleres (aber deutlich teureres) Produkt wohl besser passen. Muss da ausnahmsweise User Kostenlos mal recht geben.
Aber Geiz ist nun mal Geil und da landest du gezwungenerweise bei diesen Geräten.

 

[dps64]

In den Augen meiner Regierung ist das „Spielerei“, leider. Es soll ja nur eine Klingel her. Allein die Tatsache die die Klingel eine Kamera hat macht die Frau schon misstrauisch, denn je aufwändiger, desto anfälliger ist es. Der Akzeptanzfaktor ist also nur solang ausreichend hoch, wie alles absolut zuverlässig funktioniert.
Ich hingegen liebe Spielerein und Bastelein ;-)

Die VTH über SIP laufen zu lassen um dessen Vorteile zu nutzen klingt interessant, bleibt der gesamte Funktionsumfang der VTH weiterhin erhalten oder gibt’s dann wieder einen Haken an der Sache? Wird die Bedienung evtl. komplizierter oder ähnliches?

Zeit in das System zu investieren, um es meinen Bedürfnissen anzupassen würde ich schon, das hält mich nicht ab. Das würde ich vor der Montage alles machen und testen und wenn es läuft wird es installiert.
Wichtig ist nur das es dann stabil und zuverlässig läuft, sonst kippt der Haussegen

Die 2 Draht kostet insgesamt nur 23USD mehr, das ist unwesentlich. Beim LAN bräuchte ich auch den Switch um es via PoE zu betreiben.
Aber wenn es die Fehlerdiagnose vereinfacht, werde ich nochmal über die IP Variante nachdenken und mir ein Sicherungskonzept der Netzwerkleitung überlegen. Habe da auch schon einen simplen aber Wirkungsvollen Lösungsansatz ;-)
Welche Entfernungen sind mit IP tatsächlich so zu erreichen, hat jemand damit 100m überbrückt bekommen? Gefordert wird CAT.5, mit einem hochwertigen CAT.7 sollte das auch klappen denke ich. Hier sehe ich den Vorteil der 2 Draht, wählt mein einen größeren Querschnitt sind sehr große Entfernungen möglich. Bei Netzwerkkabel ist der Querschnitt vorgegeben.

 

[dps64]

Ich habe jetzt eine VTO2000a mit VTH1550CH bestellt, dazu den PoE Switch VTNS1060A und das Zusatzrelais.

Habe mich also für die IP Version entschieden. Zum Schutz gegen das unbefugte Eindringen in mein Netzwerk, in dem man die VTO abschraubt und den Stecker in ein Notebook steckt, habe ich mir ein aus mehreren Einzelmaßnahmen bestehendes Sicherungskonzept überlegt. Einzelheiten darüber könnten ein überwinden des Konzepts möglicherweise vereinfachen, weshalb ich dazu nicht allzuviel sagen werde. Man weiß ja nie, wer das so alles liest.
Es ist halt das Problem das ich das nicht sehen könnte, wenn sich jemand daran zu schaffen macht, die Toreinfahrt ist weder vom Anwesen, noch der Straße direkt einsehbar. Nur wenn jemand direkt abbiegt und zu mir will, könnte er das sehen wenn sich da jemand dran zu schaffen macht.

Ich bin auch nicht paranoid aber eine „Netzwerkdose“ an den Zaun zu bauen lockt ja schon regelrecht Bösewichte an.

Mal schauen wann es ankommt.
Wie sind eure Erfahrungen mit Aliexpress und Zoll?

 

[riogrande75]

"Port-Security" am Switch wird deine Angst minimieren. Hab ich bei all meinen "Outdoor"-Ports aktiv.

Gesendet von meinem SM-G930F mit Tapatalk

 

[dps64]

Das ist leider nur ein Werkzeug um Laien in falscher Sicherheit zu wiegen, es hilft aber praktisch überhaupt nicht.
Das Problem ist, dass Port-Security am Ende einfach nur ein MAC-Filter für einen bestimmten Port am Switch ist.
Und naja, MAC Adressen zu kopieren bekommt jedes 12 jährige Script Kiddie in unter 10 Sekunden auf die Reihe.
Nein, ich habe mir da schon etwas weitaus wirkungsvolleres überlegt ;-)

Ich sollte vielleicht erwähnen, das ich aus dieser Branche komme.
Habe ursprünglich Kommunikationselektroniker gelernt und später noch IT-Administrator. Beides habe ich jetzt kombiniert und arbeite im Bereich der IT-Sicherheit großer Unternehmen. Und zwar nicht nur Software-, sondern auch Hardwareseitig. Und Hardwareangriffe sind gar nicht so selten wie man glauben mag, da hab ich schon die abenteuerlichsten Sachen gesehen.

 

[riogrande75]

Ich meinte schon die sicherste Variante. Die, die auch bei Bankomaten&Co. verwendet wird.
Die reicht auf jeden Fall für jedes "normale" Anwesen.
Mein Werdegang ist übrigens sehr, sehr identisch[emoji6]

-- Aktualisiert --

Perfekt wäre natürlich .1x. Hab dazu schon mal Kontakt zu Dahua gesucht, leider nix darauf zurückbekommen.

 

[dps64]

Soweit mir bekannt funktionieren alle Port-Security auf Basis von Layer2 Mac Adressen. Und diese lassen sich am Ende immer verändern, je nachdem welches OS man nutzt mit mehr oder weniger Aufwand.


802.1x wäre natürlich schon ganz nett aber um so etwas zu implementieren sehe ich Dahua ganz einfach nicht in der Lage. Vorallem muss es richtig und gemäß spec implementiert werden sonst öffnen Sie hier möglicherweise eine neue Schwachstelle im Netzwerk.

 

[riogrande75]

L2 schon, aber wenn das Kabel abgesteckt wurde, geht der Port down. Nur Admin kann den wieder aktivieren. Dann wird das für einen Hacker schon sehr mühsam.

Zu dot1x: Wäre sicher machbar, gibts genug Code dafür. Ist ja std. Linux.

Gesendet von meinem SM-G930F mit Tapatalk

 

[dps64]

Das kenne ich so nicht, normal setzt er den Port auf down, wenn sich die MAC vom Host ändert. Wenn die Verbindung nur unterbrochen wird bleibt der Port aktiv. Solang sich der ursprüngliche Host erneut am Port anmeldet, wird eine erneute Verbindung zugelassen.
Sonst wäre der Port jedesmal down, wenn der Host ausgeschaltet war oder selbst wenn er nur neu startet.
Möglicherweise wird es bei einigen Herstellern und Modellen die Option geben, denn Port bei Connection Lost auf down zu setzen.

Aber klar, eine kleine Hürde ist Port Security in jedem Fall, zumindestens beim ersten Angriffsversuch. Wenn der Angreifer natürlich gerafft hat was da gerade passiert ist, wird er den gleichen Fehler kein 2. Mal machen.
Wenn es sich natürlich um einen Angreifer handelt der nichts dem Zufall überlässt, wird er schon beim 1. Angriff seine Mac entsprechend des ursprünglichen Hosts manipulieren.

Aber du hast schon recht, der Angreifer der mein privates Netzwerk versucht anzugreifen, spielt sehr wahrscheinlich in einer völlig anderen Liga als der, der versucht die Netzwerke meiner Kunden zu infiltrieren. Beim ersten Versuch würde er wahrscheinlich in diese Falle tappen und ich bin gewarnt.

 

[riogrande75]

Die Cisco's können sowas.
Ich kenne zwar deine Verhältnisse nicht, aber ich bin recht sicher, dass niemand über die VTO dein Netzwerk hackt.
Zumal kannst du ja deine VTO hinter eine Firewall hängen, um dein Netzwerk zu schützen.
ABER: Die Tür mit einem Brecheisen zu öffnen oder mit einem Stein dein Fenster einzuschlagen liegt 99,99% aller "Einbrecher" wohl näher.
Wir werden aber schon stark OT nun.

 

[kuzco-ip]

Mal meine Einstellung:
- alle externen Anschlüsse laufen über ein eigenes VLAN
- Wenn man den POE Switch von Dahua nimmt, gehe ich stark davon aus, dass die NIC des „Angreifers“ das zeitliche segnet. Die Anschlüsse plus und minus sind doch beim Dahua vertauscht.

 

[riogrande75]

Wenn man den POE Switch von Dahua nimmt, gehe ich stark davon aus, dass die NIC des „Angreifers“ das zeitliche segnet. Die Anschlüsse plus und minus sind doch beim Dahua vertauscht.

Das glaube ich nicht. NIC's sind da gut gegen sowas geschützt.

 

[dps64]

Ich denke auch nicht das da gleich etwas kaputt geht, kommt ja immer mal zu Spannungsspitzen im Netzwerk, durch unterschiedliche Ursachen. So schnell steigt da nix aus.
Auf den Hof um ein Fenster einzuschlagen kommt bei mir niemand, der noch bei Verstand ist und nicht den Wunsch verspürt, von großen Hunden gejagt zu werden ;-)

Das Problem ist, die Toreinfahrt ist kaum einsehbar, egal aus welcher Richtung. Da hat man seine Ruhe um dort dran herum zu manipulieren.
Sicherlich, wie groß ist schon die Wahrscheinlichkeit das jemand ein Interesse hat, in mein Netz zu kommen aber Fakt ist auch, der Aufwand über einen Hardwareangriff wäre im ein Vielfaches einfacher, als es über das Internet zu versuchen. Und man weiß ja nie, wer mal das Interesse aufbringt bei mir in Netz kommen zu wollen.
Irgendein Schutz muss schon sein, wenn ein Netzwerkabel 100m vom Haus entfernt an der Grundstücksgrenze liegt.

Wir sind aber wirklich schon sehr weit vom eigentlichen Thema abgedriftet.

Wie sind eigentlich eure Zoll-Erfahrungen über Aliexpress?

 

[stoney]

Wie sind eigentlich eure Zoll-Erfahrungen über Aliexpress?

In die Boardsuche "Zoll" eingeben und Du solltest hauptsächlich Posts iBa Dahua/Ali-Express finden (bis auf die paar, wo Zoll die Längeneinheit aussagt).

 

[philipp900]

Warum sollte der TÖ2 sinnlos sein ?
Der TÖ2 macht deswegen Sinn, weil dieser über ein eigenes Relais welches im Normalfall im Keller installiert ist geschaltet wird. TÖ1 ist direkt an der Türstation angeschlossen. D.h. Türstation ausbauen, 2 Drähte verbinden und die Tür ist auf.
Hat also alles seine Berechtigung.

Ich hatte mir das Zusatzrelais auch aus diesem Grund angeschafft.
Aber sicher ist das Ganze leider trotzdem nicht.
Dahua hat meiner Meinung nach einen groben Fehler in der Implementierung.
Wenn man nämlich bei der Türstation Klemme 7 (Button) mit 9 (GND) verbindet, wird das Relais im Keller ebenfalls angesteuert.

Kann das bitte jemand mit der FW 4 oder 4.3 mal probieren.
Wegen der Austauschbarkeit der Töne bin ich nämlich noch auf 3.200

 

[dps64]

Habe das jetzt selbst mal umfassend getestet. Der an der Ausseneinheit angeschlossene Taster hat bei den meisten FW Versionen (auch 4.x) immer nur Relais 1 (eingebautes) ausgelöst, nur bei einer FW (irgendeine 3.x vom Goliath Server) einfach gleich beide Relais.
Nur Relais 2 ohne 1 wurde bei keiner getesteten Variante angesteuert.

 

[dps64]

Bei 3.200 (habe ich aktuell selbst wieder drauf) wurde aber nur Relais 1 angesteuert, das ebenfalls angeschlossene RELAIS2 nicht.