• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Kommunikation einer Daikin Wärmepumpe abfangen

HeadsetKauf

NGBler

Registriert
17 Okt. 2020
Beiträge
46
Ich habe mir gegen Ende letzten Jahres eine Daikin Wärmepumpe (Multisplit Luft-Luft) gegönnt.

Jetzt musste ich leider ernüchternd feststellen das jegliche Zeitgemäße Steuerung nur noch über deren Server möglich ist.
Allerdings hängen die Dinger ja in meinem Netzwerk. Daher müsste ich ja an jeden Traffic herankommen notfalls indem ich mich mit selbst erstellten ARP Paketen als deren Server ausgebe.

Mir ist klar das mir da potentiell proprietäre Protokolle oder SSL Zertifikate einen Strich durch die Rechnung machen können. Aber komplett kampflos aufgeben will ich nicht.

Wie gehe ich an sowas ran?

Ach, das ist vermutlich noch relevant:
Wenn ich die IP der Geräte mit dem Browser aufrufe bekomme ich eine FreeRTOS Lizensinformation. Also wird da vermutlich eine Version davon darauf laufen.
 
Zuletzt bearbeitet:

Dr. M.

Weltmaschinenfahrer

Registriert
30 Juli 2018
Beiträge
189
Wie gehe ich an sowas ran?
Ich wuerd erst mal versuchen, den Traffic mitzuschneiden. Dann siehst du auch, ob er verschluesselt ist. Das geht entweder mit einem Sniffer (Wireshark, tcpdump, ...) auf einem Geraet wo der Traffic eh durchgeht, z.B. am Router wenn du da eine Shell hast, oder alternativ per MitM-Angriff von jedem Geraet im Netzwerk (z.B. ARP Poisoning mit ettercap).

Ausserdem koenntest du evtl. mal per nmap schauen, welche Services auf den Geraeten laufen, vielleicht ist da ja ein verstecktes API oder sogar eine Shell...
 

HeadsetKauf

NGBler

Registriert
17 Okt. 2020
Beiträge
46
  • Thread Starter Thread Starter
  • #4
Stimmt, Nmap hätte ich auch noch posten sollen:
Nmap:
Host is up (0.086s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
80/tcp open  http
Http pentesting mäßig habe ich noch nichts versucht.

Was interessantes was ich auf die schnelle im traffic gefunden habe:
Cert authority:
...

0050   74 61 72 66 69 65 6c 64 20 54 65 63 68 6e 6f 6c   tarfield Technol

0060   6f 67 69 65 73 2c 20 49 6e 63 2e 31 3b 30 39 06   ogies, Inc.1;09.

0070   03 55 04 03 13 32 53 74 61 72 66 69 65 6c 64 20   .U...2Starfield

0080   53 65 72 76 69 63 65 73 20 52 6f 6f 74 20 43 65   Services Root Ce

0090   72 74 69 66 69 63 61 74 65 20 41 75 74 68 6f 72   rtificate Author

00a0   69 74 79 20 2d 20 47 32 30 82 01 22 30 0d 06 09   ity - G20.."0...

...

Von dem sniffing feature der Fritzbox wusste ich noch nichts. Ich muss sagen das Ding überrascht mich immer wieder positiv. Alleine für die Fax Funktionalität hätte ich mir schon viel früher eine gekauft.

Außerdem kommuniziert das System mit:
99.80.34.243 Was wohl irgendwas von Amazon ist. Das heisst Daikin hostet irgendwas vom service dort.
34.255.149.217 auch Amazon laut google

Daikin Mobile Controller:
Diese App ist für dein Gerät nicht verfügbar

Da nächste Firmware update werde ich natürlich mitschneiden.
 
Zuletzt bearbeitet:

Dr. M.

Weltmaschinenfahrer

Registriert
30 Juli 2018
Beiträge
189
99.80.34.243 Was wohl irgendwas von Amazon ist. Das heisst Daikin hostet irgendwas vom service dort.
34.255.149.217 auch Amazon laut google
Ja, ist Amazon EC2. Der Trafficausschnitt darueber laesst ja vermuten, dass SSL zum Einsatz kommt.

Interessant waer vielleicht noch, ob im Traffic auch DNS-Queries sind, und wenn ja, fuer welche Hostnamen- ich vermute mal, die Firmware hat keine IP-Adressen hardcoded.
Dann koenntest mal versuchen, den Hostnamen (z.B. per dns-mitm) oder die IP (per Routing) auf eine lokale IP umzubiegen und da die HTTPS-Verbindung per MitM (z.B. mitmproxy) aufzubrechen. Mit etwas "Glueck" verifiziert die Firmware die Zertifikate nicht.

Ansonsten kannst du auf dem Webserver auf Port 80 mal schauen, ob der das "alte" Daikin-REST-API wie in drfuture's Link oder hier beschrieben exponiert, also ob z.B. ein GET auf http://<DaikinIP>/common/basic_info funktioniert.
 

HeadsetKauf

NGBler

Registriert
17 Okt. 2020
Beiträge
46
  • Thread Starter Thread Starter
  • #6
Das gibt einen 404 (tatsächlich im Header) Seite mit Inhalt:
Page Not Found
/common/basic_info

DNS-Queries sind wohl keine drin. Um die zu bekommen müsste ich das System vermutlich Stromlos machen und dann sniffen.

Wegen eventueller Verifizierung wollte ich das Firmware Update mal ansehen. Eventuell gibts eine Möglichkeit da meine eigenen root Zertifikate rein zu bringen. Das die garnicht erst verifizieren wäre. Ähm... Gut für mich. Und ein gute Grund denen die Internetverbindung zu kappen und nie wieder Updates zu machen. Wer weiss woher die dann kommen.

Edit:
Ah doch , da sind die DNS requests drin, mein Fehler. Die gehen sogar an meinen Router. Daher kann ich wohl sicher sein das die DHCP zumindest voll vertrauen.
 

HeadsetKauf

NGBler

Registriert
17 Okt. 2020
Beiträge
46
  • Thread Starter Thread Starter
  • #7
Bin gerade dabei den DNS Server einzurichten.
Der läuft jetzt auf .27 und DHCP gibt auch .27 als DNS server raus.

Von daher bin ich relativ sicher das Basisfunktinalität läuft, denn ich schreibe gerade von .27

Allerdings funktionieren meine eigenen EInträge um die Anfragen hier hin umzuleiten noch nicht.
/etc/bind/named.conf.local

Code:
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "daikin" {
type master;
file "/etc/bind/db.daikin";
};

/etc/bind/db.daikin
Code:
; BIND zonefile for kinesis.eu-west-1.amazonaws.com

$TTL    7200
kinesis.eu-west-1.amazonaws.com.IN      SOA     8.8.8.8. admin.ex.com. (
                                        2023050702      ; Serial
                                        7200            ; Refresh
                                        3600            ; Retry
                                        604800          ; Expire
                                        7200)           ; NegativeCacheTTL

                        IN      NS      8.8.8.8.

kinesis.eu-west-1.amazonaws.com.IN      A       192.168.2.27
www                     IN      CNAME   kinesis.eu-west-1.amazonaws.com.
cool                    IN      A       192.168.2.27
stuff                   IN      A       192.168.2.27
jinesis                 IN      A       192.168.2.27

Ich verstehe die Logik nicht und ich weiss nicht wie die 2. Subdomain Ebene gehandhabt wird.

Für den letzten Versuch habe ich diesen Generator verwendet:
 

HeadsetKauf

NGBler

Registriert
17 Okt. 2020
Beiträge
46
  • Thread Starter Thread Starter
  • #9
Der letzte Post ist aktuell, ich habe keine annähernd guten Ideen was zu tun ist.
 

Fetzi

Bekannter NGBler

Registriert
29 Sep. 2021
Beiträge
2.624
Zitat verlinkte Seite von DrFuture:
"Daikin has removed their local API in newer products. They offer a cloud API accessible only under NDA, which is incompatible with open source. This affects units fitted with the BRP069C4x wifi adapter. Units listed under Supported Hardware below continue to have access to local control. Additionally the older but commonly available BRP072A42 adapter can be fitted to most if not all newer units for access to local control."

Also wirst du einen BRP072A42 kaufen müssen.
 

HeadsetKauf

NGBler

Registriert
17 Okt. 2020
Beiträge
46
  • Thread Starter Thread Starter
  • #11
Nicht unterstützte Hardware mods kommen erst in Frage wenn alles andere gescheitert ist.

Und damit meine ich: eher gar nicht weil ich vorher einen selbst gebauten Infrarotsender nutze. Dafür war letztlich die "zeitgemäß" Einschränkung im Starter.
 

Fetzi

Bekannter NGBler

Registriert
29 Sep. 2021
Beiträge
2.624
So wie ich das verstanden habe benötigst du einen älteren, originalen Daikin WLAN Adapter mit BRP072A42.
Da ist kein nicht unterstützer Hardwaremod involviert, oder?
 

Pleitgengeier

offizielles GEZ-Haustier

Registriert
14 Juli 2013
Beiträge
7.421
Ort
127.0.0.1
Falls das wirklich IR ist kann man einen Fototransistor (mit IR-Filter) besorgen und an einen USB-RS232-Adapter hängen, dann musst du nur noch die Baudrate erraten - falls du nicht ohnehin ein Speicheroszi besitzt.


Ist das hier ein Spaßprojekt oder wozu das ganze eigentlich?
Ich nehme an bei Daikin gibt's auch eine IoT-App zur Fernsteuerung per Internet?
 

Fetzi

Bekannter NGBler

Registriert
29 Sep. 2021
Beiträge
2.624
Falls das wirklich IR ist kann man einen Fototransistor (mit IR-Filter) besorgen und an einen USB-RS232-Adapter hängen, dann musst du nur noch die Baudrate erraten - falls du nicht ohnehin ein Speicheroszi besitzt.
Das ist natürlich bei weitem nicht alles. Man muss die Daten noch auswerten.
Wenn es dann um Steuerung geht wird es nochmal schwieriger bis unmöglich.
Die Baudrate rausfinden ist da eher das kleinste Übel.
Wird halt kein Standard Fernbedienungsprotokoll nutzen.
Die Lösung wurde ja verlinkt.
 
Oben