Step 7 Fernzugriff projektieren VPN

F

fma

Level-1
Beiträge
3
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

um auf unseren Anlagen zuzugreifen, besitzen diese ein Moros Router. Dieser wählt sich über eine UMTS-Verbindung ins Internet ein und baut eine VPN-Verbindung auf. Über diese können wir nun von unserem PC aus dem Büro heraus auf die Anlage zugreifen.
Wir kämpfen seit einiger Zeit mit der Problematik, nicht mit Step7 auf die SPSen in den Anlagen zugreifen zu können.
Nun hatte ich im Forum folgenden Post: http://www.sps-forum.de/faq/30458-fernwartung-ueber-das-internet-mit-step7.html#post218061 gefunden. Diese Lösung fanden wir sehr interessant.
Bei der Umsetzung jedoch scheitert es.
Wir haben ebenfalls in unser Projekt eine "Router"-SPS eingefügt. Diese hängt mit einem CP im Anlagennetz, wobei die gewählte IP-Adresse, die des Moros-Routers im Anlagennetzes ist. Mit der 2. CP hängt die "Router"-SPS im VPN und besitzt somit die IP-Adresse des Moros-Router im VPN. In der realen SPS habe ich, das Routing aktiviert und als Adresse die lokale Moros-IP-Adresse angegeben.
Als PG/PC-Schnittstelle habe ich den TAP-Adapter ausgewählt, welcher OpenVPN auf dem PC nutzt, um mit dem VPN zu kommunizieren. Auch die PG/PC-Schnittstelle der normalen Netzwerkkarten funktionieren nicht.

Wenn ich nun in Step7 Online gehe, schlägt die Verbindung fehl.
Was habe ich vergessen zu beachten?

Ich danke schon mal für jede Antwort.

LG
fma
 
fma schrieb:
um auf unseren Anlagen zuzugreifen, besitzen diese ein Moros Router. Dieser wählt sich über eine UMTS-Verbindung ins Internet ein und baut eine VPN-Verbindung auf.
Zum Vergrößern anklicken....
Wohin genau baut der eine Verbindung auf? :confused:
(laßt doch Euer PG auch eine Verbindung "ins Internet" aufbauen, vielleicht treffen sich die zwei da ;) )
Steckt da vielleicht noch irgendein Vermittler dazwischen?

Bei VPN braucht man den Router-Stellvertreter nicht. Das PG (oder ein Router) muß sich mit einem VPN-Server verbinden und dabei von ihm eine IP-Adresse aus dem Anlagennetz (*) zugewiesen bekommen - so als ob man direkt am Anlagennetz angeschlossen wäre.
(*) oder eine andere Adresse, die zum Anlagennetz geroutet wird

Die PG/PC-Schnittstelle muß auf TCP/IP<irgendein_netzwerkadapter> oder TCP/IP<der_vpn_adapter> eingestellt werden, auf keinen Fall TCP/IP(Auto) einstellen! (falls TCP/IP(Auto) eingestellt war, am besten das PG neu starten)

Das Anlagennetz muß IP-Adressen aus einem anderen IP-Subnetz als das lokale Netz haben.

Harald
 
Zuletzt bearbeitet:
PN/DP schrieb:
Wohin genau baut der eine Verbindung auf? :confused:
(laßt doch Euer PG auch eine Verbindung "ins Internet" aufbauen, vielleicht treffen sich die zwei da ;) )
Steckt da vielleicht noch irgendein Vermittler dazwischen?
Zum Vergrößern anklicken....
ja die bauen einen VPN-Tunnel zum VPN-Server vom Insys Connectivity Service auf ;) Der PC und der Router finden sich schon mal über das Internet :D

Das mit den IP-Adressen verwirrt mich jetzt etwas. Eine IP-Adresse aus dem Anlagennetz kann das PG vom Server nicht erhalten.

Also wir haben im lokalen Netz den Bereich 192.168.2.*
Der PC verbindet sich nun zum VPN-Service von Insys und erhält da eine IP aus dem Bereich 198.20.0.* .
Das Anlagennetz hat das Subnetz. 192.168.100.*
Der UMTS-Router wählt sich ebenfalls beim VPN-Service von Insys ein und erhält da auch eine IP aus dem Subnetz 198.20.0.*.

Damit wir die verschiedenen Geräte direkt ansprechen können, haben wir das Netmapping vom Moros-Router aktiviert. Dadurch wird es uns erlaubt, dem Router ein weiteres Subnetz zuzuteilen (z.B. 192.68.102.*), welches von außen erreichbar ist. Nun können wir vom PC aus direkt die verschiedenen Geräte aus dem Anlagennetz ansprechen. Verbinden wir uns zum Beispiel mit einem Datenlogger, welcher im Anlagennetzwerk die IP-Adresse 192.168.100.70 hat, so können wir von unserem PC aus direkt mittels der IP 192.168.102.70 verbinden.

Problem an dieser Lösung ist, das sich das Step7 nicht mit der SPS im Anlagennetz verbinden kann. Das Routing klappt zumindest, da das Pingen der SPS möglich ist. Ich hatte gehofft, durch das Einfügen einer Router-SPS ins Projekt, eine Verbindung vom Step7 zur SPS herstellen zu können.

Das mit der PG/PC-Schnittstelle könnte die Ursache sein, da wir diese immer auf AUTO eingestellt hatten.


LG
fma
 
Hallo,

dann versuch es erstmal ohne Auto eventuell reicht das schon.
Aber ich glaube nicht das es das alleine war.
Nemen wir mal den oben erwähnten Logger:

Vor ort sagt ihr "Verbinde mich mit 192.168.100.70" und schon seit ihr auf dem Logger.
Per VPN sagt ihr "Verbinde mich mit 192.168.102.70" und schon seit ihr auf dem Logger.

Genau das müsst ihr auch bei der CPU sagen, Step7 geht von der projektierten Adresse aus (192.168.100.xxx) und will die verbinden , keiner sagt jetzt dem armen Step7 das er die Adresse 192.168.102.xxx verwenden muss da ja ein NAT/NetMapping vorgenommen worden ist.

Das schreit nach dem Feature "Zugangspunkt"

Simatic Manager -> Extras -> Einstellungen -> Ansicht -> Checkbox "Ändern der Zugangsadresse zulassen aktivieren"
Projekt öffnen mit dem gearbeitet werden soll, zum Prgram Ordner der CPU navigieren und dort per Menü "Zielsystem -> Zugangsadresse" die neue Adresse 192.168.102.xxx einstellen.

Natürlich das ganze ohne die Router Sachen machen weil die braucht es dann auch nicht mehr :)

Gruß
Christoph
 
Zuviel Werbung?
-> Hier kostenlos registrieren
<Werbung>Dafür haben wir ACCON-TeleService IE entwickelt. Dort wird die projektierte IP-Adresse der SPS "on the fly" in die konfigurierte und über den Router erreichbare IP-Adresse gemappt. Eine Änderung am Projekt ist nicht notwendig. Selbstverständlich können auch entsprechende Portnummern für PAT (Port and Address Translation) konfiguriert werden. Eine Demoversion ist bei uns im Internet verfügbar</Werbung>
 
Hallo,

ChristophD schrieb:
Hallo,

Das schreit nach dem Feature "Zugangspunkt"

Simatic Manager -> Extras -> Einstellungen -> Ansicht -> Checkbox "Ändern der Zugangsadresse zulassen aktivieren"
Projekt öffnen mit dem gearbeitet werden soll, zum Prgram Ordner der CPU navigieren und dort per Menü "Zielsystem -> Zugangsadresse" die neue Adresse 192.168.102.xxx einstellen.
Zum Vergrößern anklicken....

wird bei dieser Möglichkeit, die Ip-Adresse der SPS im Projekt auch geändert oder bleibt diese bei der eingestellten IP-Adresse im Projekt?
Nicht das dann die Anlage plötzlich stehen bleibt, weil die Ip-Adresse der SPS geändert wurde.

LG
fma
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Der Tip zum Ändern der Zugangsadresse ist zwar schon besser als der übliche Siemens-Tip (*), doch leider sehr intransparent. Wenn Ihr das wirklich tut, dann macht Euch sehr auffällige Hinweise in das Projekt, daß die Zugangsadresse der Station im Projekt manipuliert ist!
Erklärung und Warnung siehe hier

Ich empfehle das Tool von Deltalogic #6, weil dies die Manipulation der Zugangsadresse völlig transparent vornimmt und es für den Programmierer jederzeit ersichtlich ist, daß eine abweichende Zugriffsadresse benutzt wird.

(*) Siemens empfiehlt allen Ernstes, für die Dauer des Fernzugriffs die IP-Adresse der Station in HW Konfig zu ändern, wodurch dann auf KEINEN Fall die HW Konfig bzw. Systemdaten in die CPU geladen werden dürfen!

Harald
 

Similar threads

R
WinCC Per VPN Router auf Smart Server zugreifen
Antworten
11
Aufrufe
947
DCDCDC
D
O
TIA "Erreichbare Teilnehmer anzeigen" bzw. "Alle kompatiblen Teilnehmer anzeigen" funktioniert nicht
Antworten
12
Aufrufe
679
Pipboy
Pipboy
R
TIA Teamviewer: VPN Zugriff auf SPS OK auf HMI Panel im selben TIA Projekt nicht
Antworten
4
Aufrufe
1K
Pipboy
Pipboy
R
Sae IT FW-5-GATE-4G VPN Tunnel
Antworten
0
Aufrufe
567
Rife
R
S
Scalance Router X216 - Webbrowser nicht erreichbar
Antworten
2
Aufrufe
486
samcenite
S
Zurück
Oben