Was macht Step7 bei "Erreichbare Teilnehmer"?

[LT Smash]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo Kollegen,

was passiert netzwerktechnsich genau, wenn ich in Step7 auf "Erreichbare Teilnemer" klicke?

PG/PC Schnittstelle: TCP/IP(Auto) -> VPN Adapter

Habe aktuell das Problem, daß ich bei angegebener Einstellung auf dem Log File des dazugehörigen VPN Servers in China keine Anfragen meines Rechners sehe.

 

[centipede]

Ich weiß jetzt auch nicht genau was da passiert, aber einfach mal mit Wireshark mitschreiben. Kann schon viel helfen.

 

[MSB]

Zuviel Werbung?
-> Hier kostenlos registrieren

Also da da irgendwas Broadcast-Technisches passiert, imho sogar auf MAC-Ebene sprich Layer 2,
wird das über eine VPN-Verbindung schon mal prinzipbedingt nicht funktionieren.

Erreichbare Teilnehmer findet ja "alles" im Netz, und nicht nur im jeweiligen IP-Subnet.

Mfg
Manuel

 

[ChristophD]

Hi,

es wird ein ARP-Broadcast/Multicast rausgeschickt in der Art "Wer ist mit welcher MAC-Adresse physikalisch da?", dann wird über DCP nachgefragt "Welche IP's habt ihr?".
Wenn diese Informationen vorliegen schaut er bei der Einstellung (Auto) nach ob der angegeben EthernetAdapter eine Adresse eingestellt hat um eine IP Verbindung zu den gefundenen Subnetzen aufbauen zu können, ist dies nicht der Fall fügt er eine Adresse an der Netzwerkkarte hinzu.

So ist ganz abstrakt mal der Ablauf der Geschichte, die genauen Telegramsequenzen sind mit Wiresharkaufzeichnungen gut zu sehen.
Bei einer VPN Verbindung macht weder Erreichbare Teilnehmer noch TCP/IP(Auto) Sinn, zum einen besteht keine Direktverbindung und zum anderen sind da Router mit im Spiel und spätestens das war es dann für Erreichbare Teilnehmer.

Gruß
Christoph

 

[DeaD_EyE]

Der Thread ist zwar schon älter, aber vielleicht hilft die Informationen anderen weiter. bcrelay leitet die Broadcats bei einem VPN weiter. Somit sollte auch "Erreichbare Teilnehmer" funktionieren.

 

[Pipboy]

Zuviel Werbung?
-> Hier kostenlos registrieren

Eher nicht:

A broadcast packet repeater. This packet repeater (currently designed for // udp packets) will listen for broadcast packets.

Zum anderen weil der ARP Broadcast keinerlei IP Informationen enthält, welche zwingend notwendig wären um überhaupt das Netz hinter dem Tunnel ansprechen zu können.

 

[DeaD_EyE]

Hast Recht, so steht es im Quelltext. Ich dachte das Tool könne mehr. Wenn das VPN als Bridge eingebunden ist, würde das weiterhelfen?

http://www.plathome.com/support/packetix/manual/10-5.htm

By using VPN Server and VPN Bridge you can create a layer 2 connection between a layer 2 segment (such as an Ethernet LAN) and another point on a public IP network such as the Internet.

 

[Pipboy]

So wie sich die Seite liest würde ich jetzt mal davon ausgehen ja.
Gesehen oder getestet habe ich sowas allerdings noch nie.

 

[DeaD_EyE]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich werde es das mal testen. Da ich Zuhause eh schon einen VPN-Server habe, muss ich den nur minimal ändern. Eine Bridge einrichten ist recht einfach. Dann nehme ich von der Arbeit mal eine 315 mit und lasse die mal im Netz Zuhause laufen. Wenn ich dann von der Arbeit aus "Erreichbare Teilnehmer" funktioniert, dann melde ich mich nochmals. Vielleicht mit einer kleinen Anleitung.

Wenn man nicht auch diese "Frickel-Lösungen" steht, kann man den Scalance S613 einsetzen.

 

[Pipboy]

Da muss ich leider schon wieder wiedersprechen

Der S600 kann diese Funktion nur, solange sich die Teilnehmer an einem Switch/Hub befinden.
Sobald ein Router im Spiel ist, wird nur noch IP Verkehr weitergeleitet.

Sieht Kapitel 3.1 und 3.4 Handbuch:

"Sie erreichen mit dieser Konfiguration, dass IP-Verkehr und Layer-2-Verkehr (lediglich
Bridge-Modus) nur über die eingerichteten Tunnelverbindungen zwischen autorisierten
Partnern möglich ist."

"Sie erreichen mit dieser Konfiguration, dass IP-Verkehr nur über die eingerichteten VPN-
Tunnelverbindungen zwischen autorisierten Partnern möglich ist. "

 

[DeaD_EyE]

Da muss ich leider schon wieder wiedersprechen

Der S600 kann diese Funktion nur, solange sich die Teilnehmer an einem Switch/Hub befinden.
Sobald ein Router im Spiel ist, wird nur noch IP Verkehr weitergeleitet.

Das weiß ich und davon gehe ich aus, dass sich die Anlage im selben Segment (ohne Router dazwischen) befindet.

In einer Schlungsanlage, die wir gebaut haben, kam die Baugruppe in den Schaltschrank. Alle drei Anlagenteile sind über Switches (auch Scalance) miteinander verbunden. Es hat auch noch den Vorteil, dass das Schulnetz des Kunden von der großen Anlage getrennt ist. Es wäre fatal, wenn die Schüler außerhalb des Unterrichtraums überhaupt Zugriff auf die Steuerungen erlangen könnten (egal wie). Für uns dient es nur zu Fernwartungszwecken. Dafür ist es auch gedacht. Mal angenommen wir benötigten auch Zugriff auf die kleinen Schulungsmodelle, müsste auch dort ein Scalance eingebaut werden, da sich diese in einem anderen Raum befinden und dazwischen ein oder mehrere Router liegen.

Nenn mal ein Beispiel, wozu man die Funktion "Erreichbare Teilnehmer" benötigt, wenn man nicht die IP und den Profinet-Namen vergeben will und man das Programm samt HW-Config auf dem PC im Büro hat.

Ich zweifle sowieso noch stark, ob mein Vorhaben überhaupt funktioniert. Angenommen die Brigde klappt.

EDIT:
Leider lässt sich bei Setp-7 die Schnitstelle nicht auf den VPN-Adapter umstellen. D.h. es müsste auf der einen Seite ein VPN-Server und auf der anderen Seite ein VPN-Client laufen. Letztendlich ist es egal wie die beiden Geräte miteinander kommunizieren. Eine verschlüsselte Verbindung sollte man vorziehen.
Beide müssen dann die VPN-Verbindung mit einem realen NIC Bridgen. Ob das mit nur einem NIC pro Seite klappt, ist mir noch nicht ganz klar (von der Logik her, würde ich sagen, dass es nicht geht). Es hätte auch negative Folgen, da man bei nur einem NIC das Netz der Steuerung mit auf dem Firmennetz hätte (der VPN-Server muss ja über das Internet/Intranet erreichbar sein). Bei sowas bekomme ich immer Magenschmerzen. Es ließe sich eine Lösung für unter 100€ zusammenbasteln. Für die Kommunikation kann man zwei kleine Thin Clients einsetzen. Leider sind die mit zwei Netzwerkkarten recht teuer. Da bleibt nur noch die Möglichkeit mit einer USB-Netzwerkkarte oder bei manchen Modellen mit einer PCI(e)-Karte (Low Profile) nach zurüsten. Falls jemand einen guten Tip für einen günstigen Thin Client mit 2 Netzwerkkarten hat, wäre ich dankbar.