TIA TIA V18.0.1.1 Keine Verbindung zum HMI nach Panelupdate auf 17.0.0.6

Zuviel Werbung?
-> Hier kostenlos registrieren
Eigentlich Alles wie immer! Siemens setzt Techniken ein, die sie selbst nicht ganz verstehen, nur halb richtig umsetzen, ihre Kunden konfus macht und der Arbeit extrem behindert. Außerdem wird der Müll nur halb getestet, zwangsweise eingeführt und bei ca. 90% rausgegeben. Es wäre tatsächlich ein Unding, wenn man Projekte nicht komplett untereinander tauschen kann, sonderen jedesmal die Hardwarekonfig, Software oder sonstwas neu übertragen muß, wenn man denn überhaupt eine Verbindung bekommt. Hier wird "Sicherheit" geschaffen, indem man dafür sorgt, dass niemand mehr durchblickt, das ist der falsche Weg schätze ich mal.

PS: Das Gleiche gilt eigendlich für den kompletten Edge-Kram, den die anbieten, zudem noch mit Bezahlmodellen. Da blickt man nach einigen Monaten mit einer anderen Aufgabe mit Sicherheit auch nicht mehr durch. Das sind in dieser Form aus meiner Sicht vollkommen inakzeptable Lösungen.
 
Ich verstehe nicht, das man den Kram nicht einfach abschalten kann.
Es gibt bestimmt Anlagen oder Infrastruktur wo es benötigt wird, aber
das ist ein geringerer Prozentsatz. So wie es jetzt ist, erzeugt es mehr
Probleme, als wenn es schützt. Das heißt es werden mehr Anlagen
stehen bleiben durch den Schutz, wie durch einen Angriff von außen.

Die könnten den TIA Slogan erweitern.
Mit TIA automatisieren Sie in Zehn Minuten was früher nur eine gedauert hat
und Sie schützen ihre Anlage, weil der TIA Security Schutz Sie einfach still legt,
auch dann wenn Sie es nicht benötigen.
Zum Vergrößern anklicken....
 
Ja ich bin da auch gerade drüber gestolpert.

WinCC v7/v8 lässt mit dem S7-1500-Treiber überhaupt keine unverschlüsselte Kommunikation zu. Ich konnte auch mit dem 300er-TCP-Treiber und mit allen Sicherheits-Einstellung offen keine Kommunikation herstellen.
https://support.industry.siemens.com/cs/ww/de/view/109805946

Ich glaube auch nicht dass bei den Panels eine unverschlüsselte Kommunikation aufgebaut wird, nur weil man mit nicht optimierte DBs verwendet. So wie ich das sehe wird, sobald man eine Verbindung vom Typ "HMI-Verbindung" konfiguriert, automatisch verschlüsselt kommuniziert.

Die Zertifikate für PG/HMI-Kommunikation werden ja beim Einfügen der CPU erstellt. Per Default, wenn ich das heute mache, mit einem Ablaufdatum von 2037. Das wird schon spannend wenn in 13 bis 14 Jahren ein Haufen HMIs plötzlich nicht mehr mit den Steuerungen kommunizieren.

Und dann darf keiner irgendwo mal das Zertifikat über den Haufen schubsen. Was zum Beispiel nicht geht (v17) ist das Kopieren einer CPU in ein neues Projekt... zum Beispiel zur Weitergabe von Daten an Leitsystem-Leute. Der Steuerungs-Lieferant hatte mir ein TIA-Projekt geschickt wo er die CPU aus seinem Projekt in ein neues kopiert hatte (STRG+C/V) und dann eben alles bis auf die relevanten DBs rausgelöscht hatte. Ich wollte dann natürlich mit dem Zertifikat zur Steuerung kommunizieren... keine Chance. Der Lieferant musste mur dann nochmal aus seinem Originalprojekt exportieren... Schön ist das.

trobo schrieb:
Man kann da auch recht einfach die Laufzeit auf z.B. das Jahr 2500 setzen... Der frisst das und man hat Ruhe.
Danach muss man in der PLC die Globale-Security-Einstellungen aktivieren. Das löscht das aktuelle PLC Zertifikat!
Zum Vergrößern anklicken....
Das geht auch ohne Globen Zertifikatsmanager... einfach das Zertifikat löschen und neu erstellen.

Man muss sich aber, vor allem bei großen Projekten, schon vorher drüber Gedanken machen ob man den globalen Manager nicht gleich aktiviert. Vor allem wenn man die Zertifikate an Dritte weiter geben muss, dann will man nicht dass TIA bei irgendeiner größeren Änderung die über den Haufen schubst. Auch später den globalen Manager aktivieren ist denke ich nicht gut... hab's noch nicht komplett draußen... aber ich glaub wenn man den für das Projekt aktiviert werden erstmal alle bestehenden Zertifikate gekillt oder neu erstellt. Keine Ahnung.
 

Anhänge

  • TIA_CertDelete1.png
    TIA_CertDelete1.png
    91 KB · Aufrufe: 44
  • TIA_CertDelete2.png
    TIA_CertDelete2.png
    94,4 KB · Aufrufe: 46
Zuviel Werbung?
-> Hier kostenlos registrieren
RONIN schrieb:
Per Default, wenn ich das heute mache, mit einem Ablaufdatum von 2037. Das wird schon spannend wenn in 13 bis 14 Jahren ein Haufen HMIs plötzlich nicht mehr mit den Steuerungen kommunizieren.
Zum Vergrößern anklicken....
Und das aktuelle Projekt hat dann natürlich auch niemand mehr... und es kennt sich mit den Comfortpanels auch keiner mehr aus, weils ja Unified gibt...

Eigentlich hilft nur, keine Siemens-HMI mehr verwenden...
 
RONIN schrieb:
Und dann darf keiner irgendwo mal das Zertifikat über den Haufen schubsen. Was zum Beispiel nicht geht (v17) ist das Kopieren einer CPU in ein neues Projekt... zum Beispiel zur Weitergabe von Daten an Leitsystem-Leute. Der Steuerungs-Lieferant hatte mir ein TIA-Projekt geschickt wo er die CPU aus seinem Projekt in ein neues kopiert hatte (STRG+C/V) und dann eben alles bis auf die relevanten DBs rausgelöscht hatte. Ich wollte dann natürlich mit dem Zertifikat zur Steuerung kommunizieren... keine Chance. Der Lieferant musste mur dann nochmal aus seinem Originalprojekt exportieren... Schön ist das.
Zum Vergrößern anklicken....

Genau da ist das Problem. Mit einem neuen Projekt wird auch ein neues CA-Zertifikat erstellt. Die von diesem CA ausgestellten Zertifikate werden dann in diesem Projekt verwendet - wenn jemand eine CPU aus einem Projekt rauskopiert dann sollte er auch das CA bzw. die verwendetet Zertifikate exportieren. Die können dann ja in anderen Projekten wieder importiert werden.

Das geht ohne Probleme und nebenbei bemerkt ist die Zertifikatsverwaltung bzw. Erstellung im TIA fucking komfortabel gelöst.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich will mich mal hier mit meinem Problem reinhängen. Ich habe viele kleine (1200er) Anlägchen, die mit einem 400er Basic Panel als Service-Panel konfiguruert werden sollen. Teste gerade mit fünf Anlagen. Die Verbindung CPU <> HMI, wo das HMI im Projekt ist, geht.
Verbindung zu Projekt ohne Panel drin, nicht. Aktuell im TIA V18, das Panel habe ich auf V16 runtergenommen, in der Hoffnung, das die zertifikatsbasierte Kommu nicht genutzt wird. In der HW-Konfig Haken raus bei "Nur Secure PG/PC ...zulassen" bei allen Projekten. Die Anlägchen sind unterschiedlich aufgebaut, haben aber alle den gleichen Konfig_DB, deshalb verschiedene Projekte. Die CPU's haben alle die gleiche IP und den gleichen Namen (plc_1). Bin gerade etwas ratlos, an welchen Schräubchen ich drehen muss....
 
gerryvel schrieb:
Ich will mich mal hier mit meinem Problem reinhängen. Ich habe viele kleine (1200er) Anlägchen, die mit einem 400er Basic Panel als Service-Panel konfiguruert werden sollen. Teste gerade mit fünf Anlagen. Die Verbindung CPU <> HMI, wo das HMI im Projekt ist, geht.
Verbindung zu Projekt ohne Panel drin, nicht. Aktuell im TIA V18, das Panel habe ich auf V16 runtergenommen, in der Hoffnung, das die zertifikatsbasierte Kommu nicht genutzt wird. In der HW-Konfig Haken raus bei "Nur Secure PG/PC ...zulassen" bei allen Projekten. Die Anlägchen sind unterschiedlich aufgebaut, haben aber alle den gleichen Konfig_DB, deshalb verschiedene Projekte. Die CPU's haben alle die gleiche IP und den gleichen Namen (plc_1). Bin gerade etwas ratlos, an welchen Schräubchen ich drehen muss....
Zum Vergrößern anklicken....
Wie sind die Variablen angelegt?
Das was du willst wird nur funktionieren wenn
1. Der DB nicht optimiert ist
2. Der Put/Get-Zugriff an der S7 freigeschaltet ist
3. Die Variablen im HMI ohne Symbolanbindung projektiert sind.

Das HMI spricht die Variablen in der S7 nicht über den symbolischen Namen an sondern über die interne ID. Diese wird automatisch generiert und ist bei gleichem DB in unterschiedlichen Projekten unterschiedlich.
 
Ahh, danke. Die Variablen sind ins HMI symbolisch projektiert, ja. Das funktioniert demnach schon mal nicht. Aaaber das HMI bringt als Meldung "Verbindung aufgebaut", kurz darauf kommt "Verbindung abgebaut", warum das. Naja, ich ändere das mal nach deinen Vorgaben und berichte. Panel wieder auf V17 hochnehmen oder ist das kontraproduktiv?

Gerry
 
Hallo,

ich hab mein KTP700F jetzt auch auf dem neuesten Image (Update 7).

Das mit der Uhrzeit war der wichtige Hinweis um die HMI<->PLC Verbindung wieder zu aktivieren.

Da ich die Steuerung und das HMI immer mal wieder stromlos mache, wenn ich nicht daran arbeite suche ich jetzt nach einer Möglichkeit die Uhrzeit von CPU und HMI angleichen zu können (wir haben auch NTP Server, ich muss mal schauen, ob diese auch funktionieren von der IP Range hier aus).

Ist es denn überhaupt möglich die Uhrzeit zwischen SPS und HMI zu synchronisieren?

Im Idealfall möchte ich eigentlich nur in Online&Diagnose der CPU einmal "Uhrzeit übernehmen" und der Rest passiert eigenständig.

Sonst muss ich bei jedem starten ja die Uhrzeiten angleichen, damit die Zertifikate funktionieren.

Bei mir ist die Secure Connection und die globale Zertifikatsverwaltung aktiv, genauso wie ein Vollschutz auf der SPS.

Danke soweit!
 
Die 1200'er / 1500'er kann man als NTP-Server programmieren. Da gibt's ein FAQ von Siemens zu...

Damit soll das Panel sich auf die SPS-Zeit synchronisieren und kann dann die Onlineverbindung aufbauen...

Hat das schon jemand versucht? Gibt's da Erfahrungen?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
DCDCDC schrieb:
Ist es denn überhaupt möglich die Uhrzeit zwischen SPS und HMI zu synchronisieren?
Zum Vergrößern anklicken....
Ja, allerdings gibt es bei Siemens da viele Möglichkeiten, die mehr schlecht als recht funktionieren. Kommt drauf an, welche CPU und welches HMI man hat. Suche mal nach "uhrzeitsynchronisation".

Im Idealfall braucht nur die "HMI Zeitsync. Modus" (oder so ähnlich) in der HMI-Verbindung aktiviert werden.

DCDCDC schrieb:
Sonst muss ich bei jedem starten ja die Uhrzeiten angleichen, damit die Zertifikate funktionieren.

Bei mir ist die Secure Connection und die globale Zertifikatsverwaltung aktiv, genauso wie ein Vollschutz auf der SPS.
Zum Vergrößern anklicken....
Mit der secure HMI-Kommunikation habe ich keine Erfahrung, kann mir aber vorstellen, daß es da Siemens-typisch Probleme gibt, wenn die Uhrzeit vor dem Aufbau der HMI-Verbindung nicht schon passt.
 
PN/DP schrieb:
Ja, allerdings gibt es bei Siemens da viele Möglichkeiten, die mehr schlecht als recht funktionieren. Kommt drauf an, welche CPU und welches HMI man hat. Suche mal nach "uhrzeitsynchronisation".

Im Idealfall braucht nur die "HMI Zeitsync. Modus" (oder so ähnlich) in der HMI-Verbindung aktiviert werden.


Mit der secure HMI-Kommunikation habe ich keine Erfahrung, kann mir aber vorstellen, daß es da Siemens-typisch Probleme gibt, wenn die Uhrzeit vor dem Aufbau der HMI-Verbindung nicht schon passt.
Zum Vergrößern anklicken....
Genau, wenn die Uhrzeiten nicht gleich sind, dann verweigert das HMI den Verbindungsaufbau zur CPU, weil Uhrzeit/Datum nicht im Rahmen der zugelassenen Einträge im Zertifikat sind (?).

Security Einstellungen bleiben alle aktiv, wegen IT/OT Security usw..

Ich muss mal schauen, dass den ntp Server eingebunden bekomme
 
DCDCDC schrieb:
Hallo,

ich hab mein KTP700F jetzt auch auf dem neuesten Image (Update 7).

Das mit der Uhrzeit war der wichtige Hinweis um die HMI<->PLC Verbindung wieder zu aktivieren.

Da ich die Steuerung und das HMI immer mal wieder stromlos mache, wenn ich nicht daran arbeite suche ich jetzt nach einer Möglichkeit die Uhrzeit von CPU und HMI angleichen zu können (wir haben auch NTP Server, ich muss mal schauen, ob diese auch funktionieren von der IP Range hier aus).

Ist es denn überhaupt möglich die Uhrzeit zwischen SPS und HMI zu synchronisieren?

Im Idealfall möchte ich eigentlich nur in Online&Diagnose der CPU einmal "Uhrzeit übernehmen" und der Rest passiert eigenständig.

Sonst muss ich bei jedem starten ja die Uhrzeiten angleichen, damit die Zertifikate funktionieren.

Bei mir ist die Secure Connection und die globale Zertifikatsverwaltung aktiv, genauso wie ein Vollschutz auf der SPS.

Danke soweit!
Zum Vergrößern anklicken....
Das Panel puffert die Uhrzeit (theoretisch) 6 Wochen. Dann stehst du wieder im Jahr 1970.
Die Uhrzeitsynchronisation SPS/HMI kannst du dann auch vergessen, da das HMI dem Zertifikat der PLC nicht traut und folglich auch keine Verbindung mehr zulässt - ein klassisches Henne-Ei Thema.
Lösbar, indem man die Zertifikate auf der CPU so erstellt, dass sie ab 1.1.1970 0:01 gültig sind bis zum Tag x

Die Lösung ist tatsächlich ein NTP-Server - diesen musst du beim Panel manuell eintragen. Die Verfügbarkeit von NTP-Servern ist im Feld draußen grade echt ein mühsames Thema. Unser häufigster Ansatz ist aktuell ein WLAN-Modul von Modas (https://www.modas.com/de/products/mc1-2-4-de) welches in einem Fabriks-WLAN hängt und dort NTP-Client ist, und auf LAN-Seite einen NTP-Server zur Verfügung stellt.


NBerger schrieb:
Die 1200'er / 1500'er kann man als NTP-Server programmieren. Da gibt's ein FAQ von Siemens zu...

Damit soll das Panel sich auf die SPS-Zeit synchronisieren und kann dann die Onlineverbindung aufbauen...

Hat das schon jemand versucht? Gibt's da Erfahrungen?
Zum Vergrößern anklicken....
Ich hab kurz vor Weihnachten den SNTP-Server für die S7-Classic auf einer S7-400 probiert und als Client einen echten NTP-Teilnehmer verwendet. Das Ganze hat genau 1 mal funktioniert, dann blieb die Verbindung auf CPU-Seite hängen.

Rein technisch betrachtet stelle ich mir das auch mühsam vor, da NTP ja auf UDP aufsetzt. Der Server öffnet eine "unspezifizierte" Verbindung an alle möglichen Clients. Der Client schickt ein Paket zum Server - an wen antwortet der Server dann? Da ich im S7-Umfeld keinen Weg kenne, die IP-Adresse des Verbindungspartners zur Laufzeit auszulesen stelle ich mir das etwas mühsam vor........ Keine Empfehlung!
 
Zuletzt bearbeitet:
Du kannst auf der CPU einen NTP Server laufen lasen, den du mit der CPU-Zeit fütterst. Im Panel die CPU-IP als NTP eintragen, dann haben die beide die gleiche Zeit und es müssste gehen.
Ich habe das schon so verwendet, für weitere CPU's und Panel an der gleichen Anlage.
Allerdings nur wegen der Uhrzeitsynchro mit 15.1, mit V17 und Zertifikaten habe ich es noch nicht probiert.
 
Zuletzt bearbeitet:

Similar threads

F
TIA HMI keine Kommunikation zu SPS
Antworten
18
Aufrufe
3K
JesperMP
JesperMP
hubert
TIA Uhrzeitsynchronistation Siemens S7-1200 / S7-1500 mit Problematik keine HMI-Verbindung wegen Zertifikat
2 3
Antworten
53
Aufrufe
7K
funker23
F
O
TIA Keine Verbindung zwischen HMI und SPS nach IP Wechsel
Antworten
15
Aufrufe
2K
DOD666
D
S
TIA TIA Portal V17 WinCC Advanced kein Laden der HMI-Runtime über VPN möglich
Antworten
3
Aufrufe
1K
Sona_the_witch
S
B
WinCC Unified Keine Verbindung HMI <-> SPS. Gelöst.
Antworten
2
Aufrufe
707
LucasMucas
L
Zurück
Oben