HELP --- Profinet-Verbindung über VPN --- HELP

[MCerv]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hi Freunde,

ich bin grad etwas am verzweifeln, da ich mit dem Simatic-Manager keine Verbindung auf die Anlage beim Kunden bekomme.

Ich habe folgende Komponenten:

PG (Laptop, IP 192.168.x.57) ==> Gateway IP 192.168.x.1 ==> Eigene Firmen-Firewall ==> VPN (Internet) ==> Kunden Firmen-Firewall ==> VPN-Router (Helmholz REX 300) ==> Maschinennetzwerk (IP 192.168.y.1, PROFINET), u.a. S7-315 PN/DP (IP 192.168.y.10), TP177B (IP 192.168.y.198), SEW MOVI-PLC (IP 192.168.y.12), ...

Der VPN-Tunnel ist aufgebaut und ich kann alle Geräte per PING erreichen. Mit der SEW-Software bekomme ich auch eine Verbindung zur MOVI-PLC.
Ich vermute, das da eine kleine Einstellung im SIMATIC-Manager falsch einstellt ist, nur welche?

Die PG-Schnittstelle habe ich auf TCP/IP (+Netzwerkkarte) eingestellt, "Fast Acknowledge" ist AUS

Im NET-PRO ist ein PG/PC hinzugefügt, unter Schnittstelle ist "Industrial Ethernet" hinzugefügt mit Laptop-IP (192.168.x.57). Dann unter Eigenschaften, "MAC" AUS und "IP" mit Laptop-IP AN. Router aktiviert mit IP 192.168.x.1 und unten das Maschinennetzwerk ausgewählt. Auch die Zuordnung wurde entsprechende aktiviert (GELB markierter Zugang in NET-PRO).

Leider scheitert dennoch der Verbindungsaufbau! Warum?

 

[Sinix]

Hast du in HW-Konfig bei der CPU "Router verwenden" angeklickt?

 

[MCerv]

Zuviel Werbung?
-> Hier kostenlos registrieren

In der CPU nicht, ich baue auch die Verbindung vom SIMATIC-Manager auf, oder?

 

[Sinix]

Hallo Michael,

vermute mal es liegt wohl daran. Hatte mal ein ähnliches Problem,
nach Anwahl "Router verwenden" und eintragen des Router (bei dir wohl der Helmholtz)war es behoben.

Vielleicht wissen es aber andere User besser.

MfG MK

 

[MCerv]

Jetzt läufts,

was war es?

Wie immer wollen ADMIN's alles hoch sicher haben und darunter fiel auch der Port 102 in der Firmen-Firewall. Seit der Freigabe des Ports kann ich die CPU erreichen.

P.S.
Mäuseklavier, scheinbar ist die Route in der CPU eintragen ist für die Fernwartung nicht notwendig.

 

[Helmholz-Support]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo, der Beitrag ist etwas älter aber ich habe hierzu dennoch ein paar Informationen. Es ist nicht notwendig einen Port in einer vorgeschalteten Firewall freizuschalten, denn wenn Sie eine VPN Verbindung aufgebaut haben wird alles durch diese VPN Verbindung getunnelt. Ich vermute hier einen anderen Fehler, der vlt. zufällig mit gelöst wurde. Bei unserem REX 300 ist es übrigens nicht notwendig, bei den angeschlossenen Geräten den REX 300 als Gateway einzutragen, wenn Sie unter Sicherheitseinstellungen > Firewall allgemein die SNAT Funktion aktivieren. Bei Fragen können Sie mich auch direkt kontaktieren.

Mit freundlichen Grüßen
Der Helmholz REX 300 Spezialist

 

[Pipboy]

Bei unserem REX 300 ist es übrigens nicht notwendig, bei den angeschlossenen Geräten den REX 300 als Gateway einzutragen, wenn Sie unter Sicherheitseinstellungen > Firewall allgemein die SNAT Funktion aktivieren.

Da würde mich doch wirklich mal interessieren, wie dieser Zaubertrick funktionieren soll?
(Davon ausgehend die beiden Tunnelsubnetze sind wie beschrieben unterschiedlich)

 

[Blockmove]

Da würde mich doch wirklich mal interessieren, wie dieser Zaubertrick funktionieren soll?
(Davon ausgehend die beiden Tunnelsubnetze sind wie beschrieben unterschiedlich)

Wenn der VPN-Router im gleichen Subnetz wie die Steuerung sitzt und Adresstranslation macht, dann sollte es doch gehen

Gruß
Dieter

 

[Helmholz-Support]

Zuviel Werbung?
-> Hier kostenlos registrieren

Guten Morgen, im Endeffekt ist es ganz einfach beschrieben:
Das Datenpaket vom sendenden PC wird manipuliert. Der REX 300 schnappt sich die Absender IP Adresse des PC's und ersetzt Sie durch seine eigene LAN IP Adresse. Dadurch "befindet" sich das Datenpaket quasi im gleichen Subnetz wie z.B. die PN CPU. Die PN CPU antwortet an den REX 300 und dieser leitet die Antwort zurück an den PC, der per VPN verbunden ist.

-> Keine Hexerei

 

[ChristophD]

der Rex 300 war aber gar nicht am PC !
wenn die vorgeschaltete Firwall das Paket auf Port 102 blockt dann kommt auch nix zum Rex300 und damit auch

 

[Helmholz-Support]

Hallo, Sie erwähnten aber, dass zum REX 300 eine VPN-Verbindung aufgebaut wird. Das bedeutet, dass ein anderer Port verwendet wird. Z.b. für den VPN-Verbindungsaufbau bei OpenVPN (standard) 1194 TCP oder UDP. Sobald die VPN-Verbindung aufgebaut ist, ist der Firewall "egal", welche Kommunikation im VPN-Tunnel übertragen wird.
Der Port 102 ist für die direkte Kommunikation zu einer PN CPU. Also der direkte Verbindungsaufbau zu dieser CPU (nicht über VPN, somit wäre das auch keine verschlüsselte Verbindung)

PS: Dieser wird natürlich über den Tunnel auch verwendet, aber Sie müssen sich keine Gedanken über den Port machen, wenn Sie eine VPN-Verbindung aufgebaut haben.

 

[Pipboy]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ok, das mag für PG Funktionen klappen.
Man muss dann allerdings dazu sagen, dass keine beidseitig projektierten Verbindungen funktionieren.
Aktive Verbindungsversuche von der CPU aus werden ebenfalls scheitern.

 

[Helmholz-Support]

Hallo,

das stimmt natürlich, jedoch unter dem Aspekt, dass das System vornehmlich für die Fernwartung gedacht ist, ist es so sehr komfortabel zu verwenden.
In diesen Sonderfällen muss dann ein Gateway eingetragen werden.