Fernwartung für mehrere S7

[Solaris]

Zuviel Werbung?
-> Hier kostenlos registrieren

Danke, das habe ich jetzt verstanden. Es gibt doch aber auch noch die Möglichkeit der VPN-Verbindung Router zu Router? Wenn ich die Software/PC-Version des VPN-Client benutze dann werde ich bestimmt nicht durch unseren Firmenrouter/Firewall eine VPN-Verbindung bekommen, oder doch?

Netzwerke können manchmal sehr verzwickt funktionieren, oder garnicht

 

[funkdoc]

warum sollte es denn nicht funktionieren...

nochmal VPN router sind keine VPN server.

ein VPN router ist blos ein router der das GRE protokoll eingehend aber auch ausgehend handeln kann.

der tunnel zwischen client und server bleibt auch ein tunnel, verschlüsselt oder auch nicht. der VPN router( meist in hardware fiewalls integriert) leitet hier nur um.

 

[Solaris]

Zuviel Werbung?
-> Hier kostenlos registrieren

nochmal VPN router sind keine VPN server

Wenn 2 Router zueinander eine VPN-Verbindung aufbauen können dann muß doch einer von beiden einen VPN-Server laufen haben (intern), abgesehen von der Variante mit dem PC-VPN-Server?

 

[funkdoc]

ja dann ist es aber kein router im herkömmlichen sinn.

ein router wird blos seinen namen gerecht... dieser tut nur "routen"

 

[Gerhard Bäurle]

Danke, das habe ich jetzt verstanden. Es gibt doch aber auch noch die Möglichkeit der VPN-Verbindung Router zu Router?

Ja, z. B. die mbNET-Geräte können auch als VPN-Client konfiguriert werden.

Bei dieser Lösung spart man sich das VPN-Gefummel auf den
Fernwartungs-PC, hat aber auch eine Sicherheitslücke, wenn
solche PCs andererseits noch mit einem unsicheren Netzwerk
verbunden sind.

Wenn ich die Software/PC-Version des VPN-Client benutze dann werde ich bestimmt nicht durch unseren Firmenrouter/Firewall eine VPN-Verbindung bekommen, oder doch?

Für den Firmenrouter sehen allen Datenpakete "gleich" aus, er
interessiert sich nicht für den Inhalt. Für alle anderen Router im
öffentlichen Netz gilt das übrigens auch. Ein bischen Theorie
dazu gbt es auch bei Wikipedia.

 

[Gerhard Bäurle]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wenn 2 Router zueinander eine VPN-Verbindung aufbauen können dann muß doch einer von beiden einen VPN-Server laufen haben (intern), abgesehen von der Variante mit dem PC-VPN-Server?

Der VPN-Router and er Anlage ist in der Regel der Server.
Als VPN-Client kommt der Fernwartunsg-Rechner in Frage
- oder ein VPN-Router, der als VPN-Cleint parametriert ist.

 

[funkdoc]

ich denke das verwirrspiel liefert der name VPN router.

in wirklichkeit ist der VPN router eine VPN, Firewall und Router lösung.

das VPN ist bei solchen geräten ein VPN endpunkt aslo ein vpn server.

es ist kaum vorstellbar dass da eine stetige verbindung zwischen eurem firmennetz und dem firmennetz des kunden zulässig ist.
ich bin zwar kein it spezialist aber nach meinem dafürhalten würd ich vpn verbindungen in mein firmennetz nur unmittelbar nach telefonischer absprache erlauben.es wäre ein zu hohes risiko, auch wenn man den maschinenhersteller der blos ne fernwartung machen will, vertraut. es sind dann die netze sozusagen gekoppelt. eine anfrage aus dem eigenen 10.x.x.x netz wird ungehindert an das kundennetz 192.168.x.x weitergegeben.
wenn man nicht weiss wie vertrauenswürdig da manche leute in fremden firmen sind, würd ich keine konstante VPN zulassen.

 

[Gerhard Bäurle]

es ist kaum vorstellbar dass da eine stetige verbindung zwischen eurem firmennetz und dem firmennetz des kunden zulässig ist.

Genau. Folgende Vorgehensweise ist praktikabel:

1. Die Firewall des Routers an der Anlage wird so konfiguriert,
dass sie nur ausgehenden Datenverkehr zulässt, d. h. von außen
werden nur "Antworten" auf vorher gestellte "Fragen" akzeptiert.

2. Im Servicefall wird die VPN-Verbindung vom Anlagenrouter
aufgebaut. Das oben erwähnte mbNET-Gerät hat dazu einen
Taster an der Frontseite (manuell) oder man kann einen der
digitalen Eingänge des Gerätes mit einem Signal einer SPS
ansteuern.

3. Die Mitarbeiter der Service-Zentrale bekommen z. B. per
E-Mail mitgeteilt, dass Fernwartungsbedarf besteht und können
über die von der Anlage aufgebauten Verbindung zugreifen.

Damit besteht nur dann eine externe Verbindung, wenn sie auch
wirklich benötigt ist und das Personal an der Anlage kann je nach
Anforderung bez. Arbeits-/Maschinensicherheit während der
Fernwartungssitzung geeignete Maßnahmen ergreifen.

 

[funkdoc]

Zuviel Werbung?
-> Hier kostenlos registrieren

hi gerhard

noch kurz eine frage?

kann man bei dieser mbNET VPN firewall auch netzintern und extern filtern (weil da firewall dabeisteht), was bringt einem die USB schnittstelle und wieviel kostet so ein teil in etwa?

grüsse

 

[Gerhard Bäurle]

Hallo funkdoc,

kann man bei dieser mbNET VPN firewall auch netzintern und extern filtern (weil da firewall dabeisteht)

Ich bin mir nicht ganz sicher, aber über den IP-Filter müsste das
möglich sein.

was bringt einem die USB schnittstelle

Damit können sämtliche Einstellungen des Gerätes auf einen
USB-Stick oder eine externe Festplatte gesichert werden -
oder Daten im Netzwerk verfügbar gemacht werden.

und wieviel kostet so ein teil in etwa?

Die Variante mit VPN-Unterstützung, MPI-/Profibus-Schnittstelle
und Analog-Modem kostet ca. 1.200,- EUR.

Anmerkung zu Modem:
Ein Modem ist standardmäßig integriert. Der Grund dafür ist
die Failover-Funktionalität für die externe Anbindung. Falls
die Primär-Anbindung über Internet nicht verfügbar ist, wird
automatisch auf die Sekundäranbindung Modem umgeschaltet.
Durch diese Redundanz erreicht man eine hohe Ausfallsicherheit
für die Fernwartungsverbindung.

Genaue Preise bitte bei Herrn Belle anfragen.