Über Portforwarding auf SPS

Andreas-

Level-1
Beiträge
84
Reaktionspunkte
4
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Zusammen,

mir gelingt der Zugriff übers Internet auf die SPS einfach nicht!
Ich habe bereits das FAQ von PN/DP gelesen und weitere Hilfestellungen zu diesem Thema (auch von Siemens) und trotz allem gehts nicht.

Der Hardwareaufbau sieht folgendermaßen aus:

PC->Router(meine Firma)->Internet->Router(Kunde)->SPS

Es handelt sich bei mir erstmal nur um einen Testaufbau. Beim "kundenseitigen" Router wird der Port 102 auf die IP der SPS weitergeleitet.
Diesen Router kann ich auch anpingen!

Über TCP/IP versuche ich die Hardware auf die ZielSPS neu zu übertragen. Als 1.Netzübergang habe ich die WAN-IP des Kundenrouters eingetragen bzw wird eingetragen.


Wie sieht das eigentlich mit dem Router von meiner Firma aus?
Muss da nich auch der Port 102 auf meinen Rechner übertragen werden?
Ich denke mal das sich auf diesem Port die SPS zurückmeldet...

Da ich die Portweiterleitung beim "Kunden" nicht selber konfiguriert habe, würde ich diese gerne testen... Geht das irgendwie?
 
Ich glaube mit Step7 und Portweiterleitung wird das nix.

Du kannst bei deinem Kunden einen VPN-Router aufstellen. Von deinem Windows-Rechner baust du eine VPN-Verbindung zum Netz der SPS auf.
Damit befindet sich dein Rechner im Adressbereich der SPS.
Ich hatte da mal irgendwo eine Anleitung gefunden, wie man Windows und einen dlink DI-804HV konfiguriert.

An sonsten sieht Siemens da ne andere Lösung vor:

Z.B. Scalance S 602 und Softnet Security Client

Gruß Holger
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Telnet wird trotzdem keine Gegenstelle finden, weil S7-Kommunikation sicherlich auf einem eigenen Protokoll basiert.

Also ob der Port offen ist kann man mit Telnet prüfen (habs grad selbst gemacht). Die SPS wird die Telnet Verbindung auf Port 102 entgegennehmen, nur dann gehts halt nicht weiter, aber man sieht, ob auf dem Port überhaupt was passiert!
 
Mir fällt gerade noch etwas wichtiges ein:

Die CPU muss das Default Gateway kennen!

Dort wo du die IP-Adresse der CPU projektierst .. "Router verwenden" aktivieren. Dann kannst du die Routeradresse / Gateway eintragen (Die interne Gateway IP deines Kundennetzes).
 
Dafür haben wir ACCON-TeleService IE entwickelt.
Ja mag sein, aber lt. diversen Beschreibungen soll der Internetzugriff auch aus dem Step 7 heraus funktionieren...
siehe:
Ich habe gegooglet und diese Seite gefunden:

http://support.automation.siemens.c...=38572828&load=treecontent〈=de&siteid=cseus&a ktprim=0&objaction=csview&extranet=standard&viewreg=WW


telnet [ip] [port]. Wenn dann ein schwarzes Fenster kommt statts einer Fehlermeldung, scheint zumindest irgendwas auf Port 102 zu lauschen!
Wo kann ich das mit dem telnet [ip] [port] machen?

Als Gateway bzw "Router verwenden" in der Step 7 Konfig habe ich die interne LAN IP des Routers eingetragen.


Wie sieht das eigentlich mit der WAN IP aus, ist das problematisch, dass sie dynamisch ist?! (dass sie sich ändert ist mir bekannt :D)
Die WAN IP wird ja nach meinem Verständnis nirgends übertragen und ist nur wichtig bei der Net Pro Konfiguration um auf die SPS sehen zu können, oder??

So schwer kann das doch nicht sein..
ist ja eigentlich nur n 0815 Eingriff! :D
 
Hallo,

wie viele SPSen hängen denn hinter dem Router? Die Portforwardingregeln stellst du ja im Router ein. In der STEP7 hast du nun 2 Möglichkeiten (die ich kenne):

1. IP-Adresse des Routers in die HW-Config eintragen, sprich Änderungen am Projekt durchführen, und diese auf die SPS übertragen
=> AUF KEINEN FALL TUN, da die SPS dann die IP-Adresse des Routers hat und somit von außen nicht mehr erreichbar ist.

2. Das angesprochene ACCON-TeleService IE verwenden. Hier wird einfach der Kommunikationsweg in der PG/PC-Schnittstelle geändert und IP-Adressen transparent ausgetauscht OHNE eine Änderung im Projekt zu machen und Gefahr zu laufen, dass hinterher doch einer vor Ort muss.

Wie ist denn die Kommunikation zwischen Router und SPS? Ethernetkabel oder Adapter auf MPI/PB?
 
wie viele SPSen hängen denn hinter dem Router?
Nur eine 315 PN/DP CPU

Der Port 102 wurde auf dem Router zur LAN IP der SPS weitergeleitet.
"Router verwenden" ist aktiviert und es ist die interne IP des Routers eingetragen.

Die WAN IP des Routers ist doch bei der Konfiguration erstmal völlig irrelevant, oder nich?!
Ich hab den "Routerstellvertreter" von PN/DP eingesetzt und dort die WAN IP eingetragen. Diese ist aber doch für die CPU unwichtig und ist nur für den Zugriff von dem Step 7 PC notwendig, oder verstehe ich da etwas falsch?

Eigentlich alles genau nach der Beschreibung, siehe:
http://spsforum.com/showthread.php?t=30458

Ich werde das Gefühl nich los, dass das Problem bei der Routereinstellung von unserer Firma liegt...

Die Kommunikation zwischen Router und SPS ist über Ethernet.
 
Über TCP/IP versuche ich die Hardware auf die ZielSPS neu zu übertragen.
Fernzugriff auf die SPS funktioniert erst dann, wenn in der Ziel-SPS bei der IE-Schnittstelle das Gateway des Kunde-Routers online eingetragen ist. Es muß also zuerst eine HW-Konfig mit dem Gateway-Eintrag über ein lokales Netz in die SPS geladen werden. Bei neueren CPU/CP reicht es aus, nur die IE-Schnittstelle zu konfigurieren (z.B. mit Zielsystem > Ethernet-Teilnehmer bearbeiten oder mit dem Primary Setup Tool PST).

Wie sieht das eigentlich mit dem Router von meiner Firma aus?
Muss da nich auch der Port 102 auf meinen Rechner übertragen werden?
Da muß in der Regel nichts geändert werden. Der Router weiß ja, welcher lokale Rechner die Verbindung zur fernen SPS aufgebaut hat und kann dadurch die Antwort-Pakete an den richtigen lokalen Empfänger zurückgeben.

Wie sieht das eigentlich mit der WAN IP aus, ist das problematisch, dass sie dynamisch ist?! (dass sie sich ändert ist mir bekannt :D)
Die WAN IP wird ja nach meinem Verständnis nirgends übertragen und ist nur wichtig bei der Net Pro Konfiguration um auf die SPS sehen zu können, oder??
Immer wenn sich die WAN-IP geändert hat, dann muß vor einem Verbindungsaufbau diese neue IP im Step7-Projekt in den Router(Kunde)-Stellvertreter in die IE-Schnittstelle(WAN) eingetragen werden bzw. bei ACCON-TeleService IE angegeben werden, damit Step7 bzw. ACCON-TeleService IE weiß, an welche IP-Adresse die Pakete gesendet werden müssen, damit sie die SPS erreichen.

Es handelt sich bei mir erstmal nur um einen Testaufbau.
Wie ist das gemeint?

Harald
 
Hat dein Kunde wenigstens eine feste IP-Adresse für die Portweiterleitung eingetragen oder kann von jeder IP aus auf die SPS zugegriffen werden ?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ja was passiert den wenn du mit Telnet auf die IP und den Port willst? Kommt ein Fehler oder gehts?
Also ich konnte das noch nicht ausprobieren, da ich momentan an einer IBN dran bin...



Fernzugriff auf die SPS funktioniert erst dann, wenn in der Ziel-SPS bei der IE-Schnittstelle das Gateway des Kunde-Routers online eingetragen ist.
Aha!!!!!
Ich glaub, ich hab da die falsche IP eingetragen...
Das Problem ist, dass dieser "Kunden"-Router bei nem Kollegen zu Hause steht und an diesem über LAN die SPS angeschlossen ist. (da meiner auf meine Pingversuche nicht antworten wollte)

An meinem Router zu Hause hatte ich insgesamt 3 IP-Adressen:
- WAN
- LAN
- Gateway

In der Hardware-Konfig der CPU habe ich unter "Router verwenden" die IP-Adresse der LAN-Schnittstelle des Routers eingetragen und hier liegt wahrscheinlich der Fehler... da muss die Gateway-Adresse des Routers hin, oder?? :D

Es ist halt einfach nur ein Testaufbau, im Sinne, dass der Router nicht beim Kunden, sondern beim Kollegen zu Hause steht.
Der nächste Schritt wäre dann der Test über eine VPN-Verbindung und dann hätte ich zwei Lösungen parat.

Ist das eigentlich problematisch, dass mein Router zu Hause auf meine Pingversuche in der Firma nicht antwortet? (ich denke mal wegen der Firewall)
Weil ansonsten würd ich die SPS einfach bei mir zu Hause mal anschließen und testen.
Mein Router ist ein Speedport w503.


Ich danke euch schon mal für eure Unterstützung. ;-)
 
Also...
Bei der CPU Konfig unter "Router verwenden" kann ich die Gateway-Adresse des Routers nicht eingeben, da er mir dann antwortet, dass sich die beiden Komponenten im selben Netzwerkteil aufhalten müssen...
deswegen hab ich jetz die LAN-Adresse des Routers eingetragen, und zwar die 192.168.2.1, die auch bei mir im Router so konfiguriert ist.

Mir ist aber was anderes aufgefallen:
Wenn ich mir die Router-Internetverbindungsadressen anschaue, dann hat die Subnetzmaske die 255.0.0.0 für meine WAN IP. Diese muss auch in der Step 7 Hardwarekonfig übereinstimmen, richtig?


Ja was passiert den wenn du mit Telnet auf die IP und den Port willst? Kommt ein Fehler oder gehts?
Telnet funktioniert, das heisst ich habe keine Fehlermeldung, sondern einfach nur ein leeres CMD-Fenster. Der Port 102 muss dann wohl frei sein... Danke an dieser Stelle nochmal!
 
Was meinst Du mit "Gateway-Adresse des Routers"? Die Gateway-Adresse, die auf der WAN-Seite des Routers eingetragen ist?
Die WAN-Seite des Routers ist für die auf der LAN-Seite angeschlossenen Netzwerkteilnehmer in der Regel völlig uninteressant.

Ein bischen Netzwerkkunde:
Damit ein in einem Netzwerk vorhandener Teilnehmer mit Teilnehmern aus einem anderen Netzwerk kommunizieren kann, braucht man einen Router. Ein Netzwerkteilnehmer kann nur mit Teilnehmern aus dem eigenen Netzwerk kommunizieren. Die Router-Adresse muß demzufolge ebenfalls in dem Netzwerk des Teilnehmers liegen. Welche IP-Adressen im selben (logischen) Netzwerk liegen, wird durch die Subnetzmaske bestimmt (näheres z.B. bei Wikipedia nachlesen).

Bei Dir scheint das ein normaler DSL-Router in einem Heimnetzwerk zu sein. Da gibt es nur den einen Router, bei "Router verwenden" in der SPS muß also die LAN-Adresse des Routers angegeben werden: 192.168.2.1. Die SPS muß eine IP-Adresse aus dem selben Netzwerk haben, sonst kann sie nicht mit dem Router kommunizieren. Also z.B. die 192.168.2.100 und die Subnetzmaske in der Regel 255.255.255.0. Die Subnetzmaske sollte bei allen Teilnehmern des selben Netzwerkes (inklusive Router!) gleich eingestellt werden. Mit einer Manipulation der Subnetzmaske kann man zwar unter Umgehung des Routers mit Netzwerkteilnehmern aus nummernmäßig "benachbarten" logischen Netzwerken kommunizieren, wenn sie am selben Switch angeschlossen sind, doch dann funktionieren alle Netzwerkfunktionen nicht mehr, welche Broadcasts verwenden oder Step7 findet nicht mehr alle "erreichbaren Teilnehmer". Die Subnetzmaske soweit "aufbohren", daß Teilnehmer eines anderen Netzwerkes in das selbe logische Netzwerk fallen, funktioniert nicht, wenn sie nicht auf der selben Seite des Routers angeschlossen sind. Dann sind sie nämlich tatsächlich nur über den Router erreichbar, der "aufgebohrte" Teilnehmer verwendet den Router aber nicht, weil er meint, der andere Teilnehmer läge im eigenen Netzwerk.

Um ganz sicher zu gehen:
In Deinem Test-Netzwerk sind sicherlich auch PC an dem integrierten Switch des Routers angeschlossen. Wenn von diesen PC der Internet-Zugriff funktioniert, dann kannst Du die bei diesen PC in der Netzwerkkarte eingestellte Gateway-Adresse und die Subnetzmaske für die SPS übernehmen und der SPS eine unter Beachtung der Subnetzmaske zu dem Netzwerk passende noch freie IP-Adresse geben. Falls es in dem Netzwerk einen DHCP-Server gibt, dann den von diesem benutzten Adresspool nicht für die SPS benutzen. Mit welchen Adressen und Subnetzmasken die PC-Netzwerkkarten arbeiten, erfährt man in der PC-Eingabeaufforderung mit ipconfig.

Ob ein Router auf Pings aus dem Internet antwortet oder sich auf Ports <> 102 totstellt, ist für den Zugriff auf die SPS aus dem Internet unerheblich, man hat nur weniger Diagnosemöglichkeiten. Relevant ist nur, daß der Router alle Verbindungen auf Port 102 zur LAN-IP der SPS forwarded.

Zum Abschluß nochmal meine Meinung zum Port-forwarding für den Fernzugriff auf eine SPS:
Wer schon Schwierigkeiten mit dem Verstehen und Einrichten des Port-forwarding hat, der sollte ganz allgemein die Finger von dieser unsichersten aller Fernzugriffsmöglichkeiten lassen, weil er sehr wahrscheinlich auch nicht die Gefahren und die eventuell vorhandenen rudimentären Schutzmöglichkeiten kennt. Bei meinen wenigen Anlagen mit Port-forwarding zu SPS gibt es das nur temporär, d.h. das SPS-Netz wird nur nach extra Absprache für die Dauer der Fernwarte-Sitzung mit dem Internet verbunden.

Mein eindeutiger Favorit sind VPN-Lösungen. Das kann heutzutage schon eine Fritzbox.

Harald
 
Zurück
Oben