Zum Inhalt

Fernzugriff

CloudMatic Connect bietet den Fernzugriff auf die Smarthome Zentrale. Dadurch ist es möglich, von überall auf der Welt auf die Zentrale zuzugreifen und die Smarthome-Geräte zu verwalten und zu steuern.

Je nach Smarthome Zentrale und Nutzung der Dienste müssen unterschiedliche Einstellungen vorgenommen werden, um den Fernzugriff zu ermöglichen.

HomeMatic Zentrale

Wichtig

Für die Nutzung der CloudMatic-Dienste müssen die Firewall und Sicherheitseinstellungen der HomeMatic Zentrale überprüft und korrekt gesetzt werden!

Firewall

Die HomeMatic Zentrale besitzt eine separate Firewall, um Zugriffe auf die API-Schnittstelle einschränken zu können. Um eine reibungslose Kommunikation mit der Zentrale sicherzustellen, müssen die IP-Adressen aller Geräte, die auf die Zentrale zugreifen sollen, in der Konfiguration der Firewall hinterlegt sein. Die Einstellungen können in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > Firewall konfigurieren vorgenommen werden.

Die Einstellung für die HomeMatic XML-RPC API und Remote HomeMatic-Script API muss auf Einschränkt gesetzt werden. Im unteren Bereich IP-Adressen für den eingeschränkten Zugriff müssen die IP-Adressen bzw. IP-Adressbereiche der Geräte eingetragen werden, die Zugriff auf die Zentrale haben sollen.

Zusätzlich zu den lokalen Adressen muss der IP-Adressbereich unserer CloudMatic Server 10.192.0.0/12 hinzugefügt werden. Dadurch wird die Kommunikation zwischen verschiedenen Apps (z. B. EASY App, Smartha App, etc.), der Smarthome-Oberfläche und auch Amazon Alexa von extern mit der Smarthome Zentrale ermöglicht.

HomeMatic Zentrale - Firewall - CCU3

HomeMatic Zentrale - Firewall - Beispielkonfiguration

Sicherheitseinstellungen

Sicherheitsassistent

Der Sicherheitsassistent hilft dabei wichtige Einstellungen im Punkt Sicherheit korrekt zu setzen. Dieser kann über Einstellungen > Systemsteuerung > Sicherheitsassistent geöffnet werden. Im ersten Dialog muss die Einstellung Express ausgewählt und mit Weiter bestätigt werden.

Sicherheitsassistent - Schritt 1

Sicherheitsassistent - Schritt 1

Im nächsten Schritt muss die Einstellung auf Relaxed gesetzt und mit der Schaltfläche OK bestätigt werden.

Sicherheitsassistent - Schritt 2

Sicherheitsassistent - Schritt 2

Authentifizierung | Umleitung auf HTTPS

Damit die Funktion von unseren CloudMatic Diensten gegeben ist, muss die Authentifizierung und Umleitung auf HTTPS deaktiviert werden. Die Einstellung kann in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > Sicherheit vorgenommen werden.

Authentifizierung und Umleitung auf HTTPS

Authentifizierung und Umleitung auf HTTPS

Erklärung

Die Umleitung auf HTTPS sowie die Authentifizierung ist nicht erforderlich, da die Kommunikation zwischen der Smarthome Zentrale und den CloudMatic Servern bereits verschlüsselt erfolgt und es sonst zu Problem kommen kann!

Netzwerkeinstellungen

In der HomeMatic Zentrale gibt es die Möglichkeit die Netzwerkeinstellungen statisch zu konfigurieren. Diese Einstellungen können in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > Netzwerkeinstellungen vorgenommen werden.

Info

Standardmäßig ist kein Haken bei folgende IP-Adresse verwenden gesetzt.

Fachkenntnisse nötig

Es wird empfohlen die Netzwerkeinstellungen nicht zu verändern. Falls die Netzwerkeinstellungen falsch geändert werden, kann es zu Problemen mit der Kommunikation zwischen der Smarthome Zentrale und den CloudMatic Servern kommen!

Einstellungen erst nach Neustart wirksam

Die Netzwerkeinstellungen werden erst nach einem Neustart der Smarthome Zentrale wirksam!

Um die IP-Konfiguration statisch zu definieren, muss der Haken bei Folgende IP Adresse verwenden gesetzt und die korrekten Daten eingetragen werden.

  • IP-Adresse: Die IP-Adresse muss sich im selben IP-Adressbereich wie der Router befinden. Die IP-Adresse darf nicht bereits von einem anderen Gerät verwendet werden.
  • Subnetzmaske: Die Subnetzmaske muss mit der des Routers übereinstimmen. Für private Klasse-C Netze ist diese 255.255.255.0
  • Gateway: Das Gateway ist die IP-Adresse des Routers. Meistens ist dies die .1 am Ende.
  • Bevorzugter DNS-Server: Hier muss die IP Adresse des bevorzugt zu verwendeten DNS eingetragen werden. DNS ist für die Namensauflösung zuständig und wird meistens auch vom Router übernommen.
  • Alternativer DNS-Server: Hier muss die IP Adresse des alternativ zu verwendeten DNS eingetragen werden.

FritzBox

Sollte eine FritzBox im Einsatz sein, kann es auf Grund der neu hinzugefügten TLD .box zu Problemen bei der Namensauflösung kommen. In diesem Fall empfehlen wir die Verwendung des DNS von Google 8.8.8.8 oder 8.8.4.4 als bevorzugten DNS und die Verwendung Ihrer FritzBox als alternativen DNS.

Netzwerkeinstellungen

Netzwerkeinstellungen

VPN-Dienst

Für die Verbindung des VPN-Tunnels und somit die Funktion der CloudMatic Dienste auf der Smarthome Zentrale ist es erforderlich, dass der VPN-Dienst aktiviert ist. Dieser kann in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > CloudMatic > Dienste aktiviert werden.

Wichtig

Sollte der VPN-Dienst bereits gestartet sein, kann es helfen diesen zu beenden und neu zustarten.

Manuelles Update

CloudMatic auf der Smarthome Zentrale kann über das manuelle Update manuell aktualisiert werden. Dieses kann in der Web-Benutzeroberfläche (WebUI) der Zentrale unter Einstellungen > Systemsteuerung > CloudMatic > Updates gestartet werden.

Automatische Updates

Es wird empfohlen die automatischen Updates zu aktivieren, um immer die aktuellste Version zu verwenden.

smartha home

Für die smartha home sind keine zusätzlichen Einstellungen erforderlich.

Netzwerkkommunikation

Falls die Smarthome Zentrale sich hinter einer Firewall befindet, muss an der Firewall die Kommunikation für bestimmte ausgehende Ports erlaubt sein.

Wichtig

Im privaten Haushalt mit einem normalen Router ohne Zusatzkonfigurationen sind eingehende Ports standardmäßig freigegeben und es müssen keine Einstellungen vorgenommen werden!

Keine Portweiterleitungen!

CloudMatic Connect baut die Verbindung von der Smarthome Zentrale aus zu unseren Servern auf und benötigt daher keine Portweiterleitung!

Ports

Direkter Zugriff

Ziel-IPs Protokoll Port Verwendung
37.187.191.205 TCP 11194 VPN Tunnel, ausgehende Verbindung der CCU
37.187.191.200 TCP 11194 VPN Tunnel, ausgehende Verbindung der CCU (neues Cluster)
37.187.191.205 TCP 80 Schlüssel - Updates, Versand von SMS, Mail, Push
37.187.191.202 TCP 80 Schlüssel - Updates, Versand von SMS, Mail, Push
37.187.191.237 TCP 80 Schlüssel - Updates, Versand von SMS, Mail, Push

Kommunikation Schnittstelle

Für die Kommunikation mit der Schnittstelle der Smarthome Zentrale werden unterschiedliche Ports verwendet. Diese werden von unserem Dienst an die Smarthome Zentrale weitergeleitet.

Wichtig

Es müssen KEINE Anpassung oder Freischaltung auf dem DSL-Router vorgenommen werden!

Administratoren von Firmennetzen sollten prüfen, ob die Kommunikation ausgehend erlaubt wird.

Ziel-IPs Protokoll Port Weiterleitung auf Port Verwendung
81.30.148.7
5.199.136.150
5.199.136.140
TCP 80 80 HTTP Sitzungen auf die CCU
81.30.148.7
5.199.136.150
5.199.136.140
TCP 90 90 ADDON PHP Server auf CCU
81.30.148.7
5.199.136.150
5.199.136.140
TCP 443 80 HTTPS gesicherter Zugriff auf die CCU
81.30.148.7
5.199.136.150
5.199.136.140
TCP 2000 2000 XML-RPC Zugriffe auf die CCU
81.30.148.7
5.199.136.150
5.199.136.140
TCP 2001 2001 XML-RPC Zugriffe auf die CCU
81.30.148.7
5.199.136.150
5.199.136.140
TCP 2002 2002 XML-RPC Zugriffe auf die CCU
81.30.148.7
5.199.136.150
5.199.136.140
TCP 2010 2010 XML-RPC Zugriffe auf die CCU
81.30.148.7
5.199.136.150
5.199.136.140
TCP 8001 8001 Future Use
81.30.148.7
5.199.136.150
5.199.136.140
TCP 8002 8002 Future Use
81.30.148.7
5.199.136.150
5.199.136.140
TCP 8181 8181 Script Engine der CCU
81.30.148.7
5.199.136.150
5.199.136.140
TCP 4430 2000 XML-RPC Zugriffe auf die CCU, HTTPS gesichert
81.30.148.7
5.199.136.150
5.199.136.140
TCP 4431 2001 XML-RPC Zugriffe auf die CCU, HTTPS gesichert
81.30.148.7
5.199.136.150
5.199.136.140
TCP 4432 2002 XML-RPC Zugriffe auf die CCU, HTTPS gesichert
81.30.148.7
5.199.136.150
5.199.136.140
TCP 4434 2010 XML-RPC Zugriffe auf die CCU, HTTPS gesichert
81.30.148.7
5.199.136.150
5.199.136.140
TCP 44381 8181 Script Engine der CCU, HTTPS gesichert
81.30.148.7
5.199.136.150
5.199.136.140
TCP 4433 2003 Homegear auf CCU, HTTPS gesichert

Bandbreite

Um CloudMatic Connect nutzen zu können, ist ein konventioneller DSL-Anschluss mit einer Downstream-Geschwindigkeit von 2 Mbit und einer Upstream-Geschwindigkeit von mindestens 192 Kbit erforderlich. Die Lösung steht sowohl über DSL-Light, DS:Light als auch über Mobilfunk zur Verfügung. Anschlüsse von Unitymedia, Vodafone oder Kabel Deutschland mit IPv4 oder IPv6 werden ebenfalls unterstützt.

Datenmengen

Beim Betrieb der Smarthome Zentrale an einer UMTS oder Mobilfunkanbindung sollte ein Tarif ab 200 MB Datenvolumen gewählt werden. Die permanente Kommunikation zwischen Zentrale und VPN Server verursacht ca. 1 MB Daten am Tag. Hinzu kommen die Daten pro Sitzungen, je nach verwendeter App und Browser. Dies ergibt im Monat meist > 50 MB an Daten.

Kommunikation CloudMatic Connect ←→ Zentrale

376 Bytes alle 60 Sekunden für Keepalive Pakete bis zu 15 KBytes beim Verbindungsaufbau 8 KBytes pro Schlüssel Update

Datenmengen pro Sitzung

Für die Nutzung einer Smartphone App wird meist zwischen 20 KB und 100 KB für typische Kontrollen und Bedienungen und für die Weboberfläche der Smarthome Zentraele 1 MB an Daten benötigt.

Verschlüsselung

Zwischen der Smarthome Zentrale und den CloudMatic Servern besteht ein VPN-Tunnel. Der Tunnel wird dabei durch die Zentrale initiiert. Das Verfahren basiert auf OpenVPN, es wird IPSec VPN eingesetzt. Die Authentisierung in Phase 1 erfolgt über Zertifikate. Die Verschlüsselung in Phase 2 erfolgt über AES mit 256 Bit und SHA1-HMAC.

Die Kommunikation mit den Endgeräten erfolgt über den Zugriff per HTTPS, hierbei werden die Daten SSL-verschlüsselt.