UPDATE AUF VERSION 1.7.0.c (DOWNLOAD)

[DPerak]

@ Alex: Aus Interesse: Warum läuft das Update seitens Eures Servers und nicht seitens des Controllers? Wäre es nicht einfacher, wenn der sich die Daten einfach abholt?

[StefanG]

Als Antwort auf den letzten Post von Alex

ich weiss nicht ob es sinnvoll ist, diese Diskussion hier weiterzuführen, je nach Zweck und Funktion dieses Forums.

Dass die Anwender der ProConIP Poolsteuerung unterschiedlichen Kenntnisstand haben, liegt in der Natur der Sache.
Da aber diese Poolsteuerung keine eigene Anzeige, keinen Knopf hat, sondern nur über das Netzwerk gesteuert werden kann.
Und dann zuerst einmal eingebaut und angeschlossen werden. (Kann man natürlich auch durch qualifizierte Installateure machen lassen).
Muss ein minimaler Kenntnisstand vorhanden sein, auch wenn der nur lautet Kabel einstecken, IP-Adresse gemäss Anleitung konfigurieren und dann per Browser zugreifen.

Das Ausspähen und Abgreifen von Netzwerken ist nicht so einfach. Die Gefahr lauert mehr bei den Bewohnern, welche auf ihren Smartphones und Tablets Apps installiert haben, z.B. Gratisspiele, welche im Hintergrund Daten sammeln, das Netzwerk ausspähen und die Daten dann irgendwohin senden.

Die grösste Gefahr, aus meiner Sicht, lauert aber bei der Konfiguration der Portweiterleitung von Port 80 (oder anderen Port z.B. 8080) für http der Firewall der Kunden auf die Poolsteuerung.
Damit die Poolsteuerung von aussen, vom Internet her erreichbar ist und dies unverschlüsselt.
Solange diese Portweiterleitung nur für den Zeitpunkt des Updates aktiviert bleibt ist das Risiko klein, bleibt die Portweiterleitung länger aktiv so besteht die Gefahr dass der offene Port von Robotern erkannt wird, welche offene Ports scannen und dann versuchen darauf zuzugreifen, lesen können sie ja schon mal die Daten und erkennen die Applikation. Sind dann User und Passwort sehr einfach oder gar auf den Grundeinstellungen, dann ist sogar steuernder Zugriff möglich.

Eine Verschlüsselung (Zugriff über https statt http) würde hier mehr Sicherheit bringen, vor allem beim Zugriff aus dem Internet.

Was aber sicher einfach umsetzbar wäre, wäre eine Passwortabfrage bevor die Webseite, bzw. die Poolsteuerung und die Daten angezeigt werden.
Mit der Option, dies für alle Zugriffe zu aktivieren (lokal oder Internet), oder nur falls der Zugriff ausserhalb des lokalen Netzwerks erfolgt (also aus dem Internet).
Damit wäre die Poolsteuerung zumindest mit einem User+Passwort gegen den Internetzugriff abgesichert, für jene, welche eine Portweiterleitung aktiviert haben.

[Alex]

Warum läuft das Update seitens Eures Servers und nicht seitens des Controllers?

1. weil er es nicht kann. Es gibt keinen http/ftp oder sonstigen client in der Firmware der irgendwo Dateien runterladen und dann auf der SD-Card abspeichern könnten. Müsste erst programmiert werden.

2. Die Updates bestehen ja aus vielen einzelnen Dateien. Es müsste also erstmal sowas wie ein Index runtergeladen werden der alle Dateien und Pfade enthält damit er überhaupt mal wüsste was er alles runterladen muss.

3. Danach müsste er intern aus jeder Datei nen Hash generieren und den mit einem Hash vergleichen der auf den Server für diese Datei hinterlegt wäre - um sicher zu stellen das die Datei auch "richtig" angekommen/runtergeladen und gespeichert wurde

4. ...noch diverse andere Gründe
Wäre "einfacher" zu handeln wenn wir ein einzelnes .bin File generieren würden das alles enthält. Dann müsste auch immer nur eine Datei runtergeladen werden.
Dafür könnte dann aber auch niemand mehr an der Benutzeroberfläche was ändern/anpassen.... Kann man drüber streiten ob das "schlimm" wäre oder nicht (für die meissten eher nicht) ... Aber das ist halt "schon immer so" vorhanden und einige würden dann - zu recht - meckern dass ihre angepasste Oberfläche jetzt weg ist und sie diese nicht wieder herstellen können.

[Alex]

Damit die Poolsteuerung von aussen, vom Internet her erreichbar ist und dies unverschlüsselt.... bleibt die Portweiterleitung länger aktiv so besteht die Gefahr dass der offene Port von Robotern erkannt wird, welche offene Ports scannen und dann versuchen darauf zuzugreifen...

Das is richtig und das passiert auch.
Aber es würde keinen Unterschied machen ob hier die Benutzeroberfläche über http oder https erreichbar wäre. Für den Server (hier die Poolsteuerung) ist auch der Zugriff eines Vulnerabiltiy Scanners ein normaler Zugriff eines Clients - es würde eine Verschlüsselung ausgehandelt und dann scannt der Scanner halt über eine verschlüsselte Verbindung. Ein mehr an Sicherheit bringt das nicht.

... und erkennen die Applikation...

ja... Du bekommst den Response-Header des Servers in dem steht das es ein "PoolController V. xyz" ist. Damit kann aber auch niemand was anfangen, da die Applikation eben keine ist die es sonst irgendwo gibt oder die auf irgendetwas "öffentlichem/bekannten" basiert und irgendwelche weiterreichenden Funktionalitäten bietet.
Wenn ich Zugriff auf einen Windows oder Linux Client in einem Netzwerk habe, kann ich jeden möglichen Unfug damit im gesamten Netzwerk anstellen weil das Betriebssystem mir hier alle nötigen Tools dazu mitliefert. Beim Controller liefert das OS gar nichts. Es kann einfach "nichts" (was es nicht können muss) - und nicht weil die Funktionen "versteckt/geschützt" wären und man sich da hintenrum irgendwie reinhacken könnte, sondern weil sie einfach nicht vorhanden sind.

Sind dann User und Passwort sehr einfach oder gar auf den Grundeinstellungen, dann ist sogar steuernder Zugriff möglich.

Klar, auch das ist völlig richtig. Aber das liegt in der Verantwortung des Benutzers eine brauchbare Nutzername/Passwort Kombi zu nehmen und admin/admin nicht gerade in max/moritz zu ändern. Darauf haben wir aber ja keinen wirklichen Einfluss. Und auch hier bringt http/https kein Mehr an Sicherheit (also wenn das Passwort "mist" ist).

[Cyril]

Das Update auf 1.7.0.c ist freigegeben und kann Online installiert werden.

UpDate-1.7.0.c.zip

Ordner innerhalb des Zip-Files ist immernoch mit UpDate-1.7.0.a benannt ?!
Dient das zur Verwirrung oder zur Abschreckung?

[Alex]

...ein bisschen von beidem.

Sorry, hab's korrigiert. Danke für den Hinweis (aber es enthielt trotzdem die richtigen Dateien für 1.7.0.c)

[peterwy]

Ich habe leider auch noch ein Problem mit der Wetterintegration ...

- Aktualisierung auf die Version c hat einwandfrei funktioniert.
- Rückmeldung beim Wetter: API falsch, hier wird wohl noch der alte API key drinne sein.
- Gehe ich auf "Stadt suchen" und gebe ich die PLZ ein, in meinem Fall 85757, so steht bei "857" noch: "kein Suchergebnis", bei "8575" wechselt das Ergebnis zu "kein Suchergebnis". Auch die Eingabe von "Dachau", "Karlsfeld", etc. führt zu keinem Ergebnis. Wie wäre hier die weitere Vorgehensweise?

Viele Grüße,
Peter F. Wiemeyer

[Alex]

Neuen API-Key hast Du eingetragen? Wie lange ist das her das Du Dich da angemeldet hast (bei OpenWeatherMap)?
Browser-cache hast Du auch geleert (sonst zeigt Dir der Browser evtl. noch die alte Version der Konfigurationsseite an)?

[Eddy]

Hi, Alex!

Ich kann meinen Controller, welcher aktuell mit der Version 1.6.8.c läuft, weder auf Version 1.7.0.a noch auf 1.7.0.c updaten. Ich habe bereits mehrere Szenarien durchgespielt die da wären:

1. Versuch
Update über den Update-Reiter durch Eingabe meiner externen URL:Port, Username u. Passwort. Die Verbindung klappt auch, jedoch wird keine aktuellere Firmware für ein Update gefunden. Ich habe daher die Version 1.7.0.a herungtergeladen, entpackt und die Dateien per Hand am PC auf die Speicherkarte kopiert. Browsercache gelöscht, jedoch wird weiterhin die Version 1.6.8.c im Controller angezeigt. Ausserdem zeigt es mir ein anstehendes Update durch einen roten Update-Reiter an. Ein erneuter Versuch eines Auto-Updates verläuft jedoch wie zuvor beschrieben (keine neue Firmware gefunden).

2. Versuch
Firmware-Version 1.6.8.a heruntergeladen und am PC wiederum auf die Speicherkarte kopiert. Browsercache gelöscht. Es wird am Controller jetzt auch die soeben installierte Version 1.8.6.a angezeigt und beim automatischen Update über den roten Update-Reiter wird auch das Update auf die Version 1.7.0.a angeboten. Nach dem Starten werden die 22 Dateien erfolgreich heruntergeladen und installiert. Nach dem Reboot und trotz gelöschtem Browsercache erscheint im Controller jedoch nach wie vor die Version 1.6.8.a und es wird mir wiederum beim Update-Reiter als aktuelle Version die 1.6.8.a angezeigt und ein Update auf Version 1.7.0.a angeboten.

Poolcontroller.png (58.39 KiB) 191 mal betrachtet

3. Versuch
Da ich, bevor ich den Controller 2017 zum ersten mal in Betrieb genommen habe, eine Sicherungskopie von der Speicherkarte mittels eines Festplattenmanagers erstellt habe, habe ich diese Ur-Version wieder auf die Speicherkarte geklont (war damals bereits die Version 1.6.8.c). Beim durchspielen der Szenarien wie unter Versuch 1 und 2 kam ich jedoch zu den gleichen, negativen Ergebnissen. Zu guter Letzt habe ich natürlich auch noch eine andere Speicherkarte (16GB) genommen, kam jedoch auch hier auf keinen grünen Zweig.

Da ich mit meinem Latein am Ende bin wende ich mich jetzt vertrauensvoll an dich und bitte dich (und die Community) um Rat. Vielleicht hast du eine Idee, warum dieses Update nicht funktioniert bzw. könntest du mir eventuell ein Image der aktuellen Version zur Verfügung stellen.

Danke
Eddy

[Alex]

Hi Eddy,

hört sich so an bzw. sieht auch im Logfile auf unserem Server so aus, als würde bei Dir die eigentliche Installation (Flashen) der Firmware nicht ausgelöst.
Das passiert am Ende des Kopiervorganges der Dateien, wenn man auf "OK" im Bestätigungsfenster drückt.... danach wird die Firmware "geflasht"...

Auf der Benutzeroberfläche sollte dann in dem kleinen Feld wo der Status der Dateiübertragung angezeigt wird "Starting CRC Check" stehen (als erstes mal)... und danch der Status der Prüfung angezeigt werden .... Das passiert aber wohl nicht? Stand da "Lost connection"?

Verbindung hat unser Server aber faktisch nicht verloren (auch wenn das da steht)... muss ich mir ankucken....

[Eddy]

"Starting CRC Check" wird noch angezeigt, danach kommt sofort "Lost connection. Please retry."

lg
Eddy

[Eddy]

Hi, Alex!

Problem erkannt und behoben!!

Lösung:
Der CRC-Check bzw. das flashen der Firmware nach dem kopieren der Dateien wurde scheinbar von der Firewall meiner FritzBox! geblockt. Dass beim CRC-Check bzw. flashen der Firmware noch einmal auf den Update-Server zugegriffen wird war mir nicht bewusst. Komisch ist jedoch, dass der Download der Dateien nicht von der Firewall geblockt wird.
Nach Anpassung der Portfreigabe auf "Exposed Host" in der FritzBox! lief das Update problemlos.

FritzBox.png (24.06 KiB) 172 mal betrachtet

Danke für deine Bemühungen und für den Hinweis auf den Firmware-Flashprozess

lg
Eddy

[Alex]

hm.... wenn der Dateiupload klappt, dann muss auch der Rest klappen (was eine Firewall angeht).

Das lag jetzt eher schon am Update-Tool (an dem ich vorhin was geändert habe) .... ich war bis jetzt nur noch nicht fertig mit testen.
Bei Benutzernamen / Passwörtern mit manchen Sonderzeichen konnte das an der Stelle (Auslösen des flashens) schief laufen und der Server hat sich u.U. nicht "korrekt" an der Steuerung angemeldet ... woraufhin die dann natürlich nicht flasht, weil es für Sie ein nicht berechtigter Zugriff ist.

Hast Du Sonderzeichen in den Zugangsdaten? Falls ja, dann war es das.
Dann kannst den Exposed-Host in der FritzBox auch wieder umstellen auf eine normale Portfreigabe

...sorry dafür.

[Eddy]

Yep. Dann war es vermutlich ein Sonderzeichen bei meinen Nutzerdaten. Habe mich auch gewundert, warum die Firewall einen Teil der Daten nicht durchlassen sollte. Exposed Host habe ich gleich nach dem Update wieder herausgenommen.
Eines ist mir jedoch noch nicht ganz klar: Warum hat das Update mittels Kopieren der Daten per PC auf Speicherkarte nicht funktioniert?

[Alex]

Das hat bestimmt funktioniert, aber ich vermute Du hast das flashen der Firmware danach nicht manuell ausgelöst ?!

[Eddy]

Das hat bestimmt funktioniert, aber ich vermute Du hast das flashen der Firmware danach nicht manuell ausgelöst ?!

Ups...my fault Man sollte eben nicht auf das "Wichtigste" vergessen

WICHTIG:
Für beide Varianten des Updates muss eine evtl. neu enthaltene Firmware erst "geflasht" werden, damit der Controller damit arbeitet.

Naja...meine Birne rauchte schon ein bisserl bei den vielen Fehlereingrenzungs-Szenarien

Thx, Alex!
Over & Out

[Koernell]

So, bei dem schönen Wetter laufen meine Poolvorbereitungen. Und ich habe gestern das Update eingespielt, nachdem ich den Controller nach dem Winter wieder in Betrieb genommen habe.
Seit heute habe ich aber ein sehr merkwürdiges Verhalten mit Relais 5, auf dem eigentlich meine Solarheizungspumpe liegt. Ich bin aber nicht sicher, ob es mit dem Update zusammenhängt. Zumindest lief gestern noch alles normal.
Folgendes Verhalten:
Das Relais schaltet im Automatikmodus nicht mehr. Sobald man versucht das Relais manuell zu schalten erscheint die Meldung "Manuelle pH+ Dosierung:" mit dem Entsprechenden Eingaben zur Laufzeit." Laufzeit: 03:00[mm:ss]"
Wenn man jetzt auf "Starten" drückt, schaltet das Relais trotzdem nicht.
Seltsam vor allem, weil ich gar keine pH-plus Steuerung habe, sondern lediglich pH-minus.
Ich habe meine Heizungspumpe jetzt auf ein anderes Relais gelegt. Dort funktionieren meine Temperaturregeln ganz normal und das Relais schaltet, so wie es das vorher auch auf Relais 5 gemacht hat.

Any ideas?

EDIT: Ich habe die Namen des Relais nochmal zurückgesetzt. Irgendwie geht es jetzt wieder.

[Alex]

Wenn da die Zeiteingabe für eine manuelle pH+ Dosierung kommt, dann ist das Relais(5) in der pH+ Dosierung als "Dosierpumpe" konfiguriert und die pH+ Dosierung selber ist aktiviert worden und steht auf AUTO (nicht auf OFF, falls Du die gar nicht verwendest).

[Koernell]

Danke.
Irgendwie war tatsächlich die pH+ Dosierung aktiviert. Muss ich versehentlich zusammen mit der pH- Dosierung eingeschaltet haben. Und da war dann zufällig Relais 5 hinterlegt.
Alles geklärt.
Lag nicht am Update

[Viveronese]

Hallo Alex,

Ein Onlineupdate tut bei mir nicht und unverschlüsselte Portweiterleitungen möchte ich bei mir aus Sicherheitsgründen nicht einrichten. Ich hatte zwar ein nginx proxy eingerichtet, der dann SSL verschlüsselt von aussen mit https auf den Poolcontroller Zugriff hat, aber das Onlineupdate auf 1.7.0.a hing beim dritten file (rdxcontr.htm) in einer Endlosschleife. Macht aber nix, man kann das ja auch manuell machen.
Ich habe dann die SD-Card rausgeholt um das Update manuell draufzukopieren. Grobmotorisch wie ich nun mal bin, habe ich bei der Gelegenheit der SDCard eine leichten, fast unsichtbaren Knick verpasst. Hat dann dementsprechend auch ein bissel gedauert, bis ich bemerkt habe warum ich auf die SD nicht mehr zugreifen kann - egal ob mit Windows oder Debian.

However, ich hatte natürlich eine Kopie der Original-SD letztes Frühjahr gemacht und irgendwann im Herbst nochmal per FTP das Verzeichnis /usr. Nachdem eine so zusammengestückelte neue SD-Card im Poolcontroler tat, habe ich dann auch lokal am card writer (dem Poolcontroller-FTP traue ich nicht bei binär-Dateien) die Version 1.6.8.a erst mit den Files der 1.7.0.a und dann 1.7.0.c überschrieben. Falsch machen kann man da eigentlich ned viel.

Obwohl ich die Update files wiederholt drüberkopiert habe, wird mir dennoch in der GUI die Version 1.6.8.c angezeigt (das "c" steht wohl für die GUI Rev und kommt anscheinend aus der /usr/fwinfo.ini).

Wo wird denn die Versionsnummer ausgelesen, aus der firmware.bin? Diese hat bei mir Datum 11.10.2018 20:32 mit 100.200 bytes.

Vielen Dank im Voraus.

Peter