Fernzugriff projektieren bei NAT
Hallo Markham,
das muß ja ein wirklich sehr großer Maschinenhersteller sein, der meint, daß er über 16 Millionen NAT-IP-Adressen braucht.
Ich frage lieber nicht, wer sich sowas ausgedacht hat und warum.
Dieser Hersteller hat beim Endkunden einen VPN-Router installiert und für uns einen Zugang eingerichtet. [...]
So wie ich das verstanden habe, wählen wir uns bei unserem Maschinenhersteller ein, der uns dann zu dem Endkunden weiterleitet
Du wählst Dich also nicht direkt auf den VPN-Zugang des Endkunden ein, sondern beim Maschinenhersteller und bekommst z.B. die IP 10.42.4.63
zugewiesen. Dann sollst Du alles, was für die SPS 192.178.190.24 beim Endkunden bestimmt ist, zur NAT-IP 10.19.93.24 schicken. Da Du diese
Adresse anpingen kannst, existiert diese Adresse schon. Deine SPS kann auf keinen Fall diese Adresse 10.19.93.24 bekommen. Hinter dieser
Adresse verbirgt sich ganz allgemein ein Router, der Dich durch den VPN-Kanal zum Endkunden bringt. Der Hinweg zur SPS ist also klar.
Wenn Du Dich direkt beim Endkunden per VPN einwählen würdest, dann wäre das ganze NAT-IP-Gedöns sinnlos.
Auf Anfrage hat mir ein Mitarbeiter von unserem Maschinenhersteller gesagt, dass ich bei den Eigenschaften des CP343 als IP die NAT-IP 10.19.93.24 angeben soll, Subnet und Gateway sollen gleich bleiben. Allerdings wird die Konfiguration von Siemens S7 so nicht übernommen.
Solchen Unfug verbreitet auch Siemens, daß für die Dauer der Online-Sitzung die öffentliche IP-Adresse (bei Dir die NAT-IP) im Step7-Projekt
eingetragen werden soll, weil Sie nicht wissen, wie man auf anderem Weg Step7 mitteilt, daß es die Pakete zur SPS an diese Adresse schicken
soll. Diese HW-Konfig darf auf keinen Fall in die reale SPS geladen werden!
Das S7-HW-Konfig das abweist ist allerdings logisch. Kein mir bekannter CP343-1 unterstützt default Gateways außerhalb des eigenen Netzwerk-
Segmentes. Für das Routing nach außerhalb des eigenen Netzes ist ja schließlich das Gateway zuständig.
Der Knackpunkt für den Rückweg ist also das Gateway 192.178.190.1. Dieses hat dafür zu sorgen, daß die Antwortpakete von der SPS durch den
VPN-Kanal vom Endkunde zum Maschinenhersteller gelangen und der schickt die dann an Dich. Der Rückweg ist also auch klar.
Das Gateway 192.178.190.1 liegt außerhalb Deines verantwortungsbereiches. Ich würde überhaupt nicht einsehen, das ich wegen der Konfiguration
des Gateways, was ich nicht zu verantworten habe, zum Kunden fahren soll. Oder höchstens gegen gute Bezahlung.
Wenn ich im Net-Pro das ganze so aufbaue wie im Beitrag 15 (
http://sps-forum.de/showpost.php?p=209220&postcount=15), würde es dann funktionieren? Dies hätte natürlich den Nachteil, dass ich nochmals zum Kunden fahren muß.
Ich meine, wenn Du es so wie in dem Beitrag machst, dann wird es funktionieren. Vorausgesetzt, das Gateway funktioniert wie erwartet.
Und es hat den Vorteil, daß Du eben nicht zum Kunden fahren mußt, weil Du an der SPS-Konfiguration nichts ändern mußt.
(wenn Du den CP343-1 wie in Deinem Beitrag angegeben konfiguriert hast und die HW-Konfig geladen hast)
Du mußt nur so einen Router-Stellvertreter "Router/Firewall [Fa.xyz]" wie im Beitrag #15 in Deinem Step7-Projekt einfügen, der Deinem Step7
den Weg zu Deiner SPS zeigt. Der Router-Stellvertreter steht für den ganzen Weg nach der Einwahl beim Maschinenhersteller bis zum Gateway
vor Deiner SPS beim Endkunden. Wie der Maschinenhersteller diesen Weg realisiert hat ist nicht Dein Problem.
Der eine "innere" CP343-1 des Router-Stellvertreters wird mit Deinem lokalen Projekt-Ethernet verbunden und so konfiguriert:
IP-Adresse: 192.178.190.1 (das Gateway Deiner SPS)
Subnetz: 255.255.255.128
Gateway: kein Routing verwenden
Der andere "äußere" CP343-1 des Router-Stellvertreters wird mit einem zusätzlichen Ethernet(WAN) verbunden und so konfiguriert:
IP-Adresse: 10.19.93.24 (die NAT-IP)
Subnetz: 255.255.0.0 (oder 255.0.0.0, falls Du mal eine andere Einwahl-IP als 10.93.x.x erhältst)
Gateway: kein Routing verwenden
Der CP343-1 Deiner SPS ist mit Deinem lokalen Projekt-Ethernet verbunden und wird so konfiguriert, wie er schon ist:
IP-Adresse: 192.178.190.24
Subnetz: 255.255.255.128
Gateway: 192.178.190.1
Nun noch ein PG/PC im Projekt einfügen und dem Ethernet(WAN) "zuordnen", dann weiß Step7, daß Deine SPS über die NAT-IP erreicht wird und dann
sollte nach der Einwahl beim Maschinenbauer der Zugriff zu Deiner SPS gelingen.
Das Ethernet(WAN) würde ich noch zu Ethernet(Maschinenhersteller) umbenennen (oder so ähnlich).
Deine SPS wirst Du höchstwahrscheinlich nicht anpingen können, es sei denn, der Maschinenhersteller hat da extra was eingerichtet.
Der Mitarbeiter meinte dann, dass Simatic S7 das nicht unterstützt und eine Einwahl nicht möglich wäre.
Entweder ist der Maschinenbauer dann doch nicht sooo groß, wenn Deine SPS die erste S7-SPS sein soll, die da eingebunden wird und die ganze
Konfiguration ist völlig überzogen oder der Mitarbeiter hat einfach keine Ahnung von S7. Oder beides.
Gibt es denn noch eine andere Möglichkeit das Ganze hinzubekommen? Ich dachte mir dass vielleicht von Deltalogic die Software Accon S7-Net funktionieren könnte, hab es aber nicht hinbekommen, bzw. wies ich nicht genau was ich einstellen muss.
Ich meine, der Zugriff müßte auch mit dem Tool "ACCON-TeleService IE" von Deltalogic funktionieren.
Gruß
Harald