Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Ergebnis 1 bis 5 von 5

Thema: Re: Fernwartung mit VPN Tunnel durch VPN- Tunnel???

  1. #1
    Registriert seit
    10.04.2006
    Beiträge
    134
    Danke
    6
    Erhielt 14 Danke für 9 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hi,
    ich weiss zwar nicht so recht ob die Frage unter 'Feldbusse' so recht aufgehoben ist, wusste aber nicht wohin sonst:

    Ich möchte eine ProfiNet- Anlage (ca. 20 Teilnehmer) fernwarten. Unser Kunde stellt mir eine VPN- Verbindung in sein Netzwerk zur Verfügung.

    Wie kapsele ich meine Anlage am besten um von unserer Firma zwar Zugriff auf jeden einzelnen Teilnehmer zu bekommen, aber gleichzeitig die Maschine möglichst 'geschützt' im Kunden- Netzwerk zu betreiben (Am besten nur durch eine IP sichtbar, welche dann durch Passwort o.ä. abgesichert ist)?

    Als Laie habe ich mir vorgestellt, das ich eigentlich einen VPN- Tunnel in einem Tunnel bräuchte...

    1.) Mit dem vom Kunden zur Verfügung gestellten VPN Zugang gelange ich in dessen Firma.

    2.) Sobald die Verbindung steht, starte ich den zweiten Tunnel auf einen VPN- Router (z.B. Bintec), an dem dann unsere Maschine angeschlossen ist.

    Ist so etwas überhaupt möglich?
    Wie könnte man das lösen ohne einen PC vor Ort zu installieren (Nur Router/ Gateway/ Switches)?

    Gruss Cliff
    Zitieren Zitieren Re: Fernwartung mit VPN Tunnel durch VPN- Tunnel???  

  2. #2
    Registriert seit
    29.03.2004
    Beiträge
    5.731
    Danke
    143
    Erhielt 1.685 Danke für 1.225 Beiträge

    Standard

    Hi,
    ein zusätzlicher Tunnel im VPN-Tunnel ist nicht zu empfehlen - beim einfachen Einpacken der TCP-Pakete können schon genug Probleme auftreten.

    Um die Netze zu trennen ist der Administrator der Kundennetzes zuständig. Dieser hat dann dafür zu sorgen, dass dein VPN-Zugang nur in dein
    Automatisierungs-Netz gelangt, was ggf. durch Einstellungen am Router bzw. am managebaren Switch zu bewerkstelligen ist.
    Wenn nur ein DSL-Zugang besteht, ist so ein Switch auch die einzige Möglichkeit die Netze komplett voneinander zu trennen.

    Für näheres müsste man aber mehr über das Netzwerk vor Ort wissen. Da es da aber einen Administrator zu geben scheint, müsste sich dieser doch um die
    Netztrennung kümmern.

    Falls doch noch ein PC im Kunden-Netz bereit steht, könnte ich dir eine schöne Lösung mit SSH beschreiben.

  3. #3
    Registriert seit
    19.09.2005
    Ort
    Freudenstadt
    Beiträge
    811
    Danke
    64
    Erhielt 101 Danke für 64 Beiträge

    Idee

    Zitat Zitat von Cliff Beitrag anzeigen
    Ist so etwas überhaupt möglich?
    Wie könnte man das lösen ohne einen PC vor Ort zu installieren (Nur Router/ Gateway/ Switches)?
    Ist möglich, ich sitze grade neben einer Anlage, bei der wir das genau so machen.

    Ein PC hat zwei Netzwerk-Adressen, eine im Kundennetz, und eine in unserem kleinen "Anlagennetz", und übernimmt die Funktion des Gateways für alle anderen PCs und SPS-Steuerungen. VPN-Einwahl erfolgt zuerst in das Kundennetz, dann per zweitem VPN durch den bestehenden Tunnel auf diesen PC.

    An diesem PC wird das über "Incomming connections" und "Virtual Private Network: Allow others ..." freigeschaltet. Das default VPN in Windows (PPTP) ist zwar nicht besonders sicher, aber für die Sicherheit sorgt ja schon der "äußere" Tunnel zum Kundennetz.

    Wichtig ist, das überall die Settings für Gateway bzw. Router richtig eingestellt sind, und die IP-Adressen der ganzen Teilnehmer vom "Anlagennetz" in die Host-Tabelle des PCs eingetragen werden, der die Verbindung zur Anlage aufnehmen soll (der PC, der bei Dir steht, nicht der beim Kunden).

    Zitat Zitat von Cliff Beitrag anzeigen
    Wie könnte man das lösen ohne einen PC vor Ort zu installieren (Nur Router/ Gateway/ Switches)?
    Bei der beschriebenen Lösung übernimmt ein PC die Funktion des Routers, mit einem "normalen" Router, der die Funktion eines VPN-Einwahlknoten übernehmen kann, sollte das genauso funktionieren.

    Zitat Zitat von Thomas_v2.1 Beitrag anzeigen
    ein zusätzlicher Tunnel im VPN-Tunnel ist nicht zu empfehlen - beim einfachen Einpacken der TCP-Pakete können schon genug Probleme auftreten.
    Das widerspricht komplett unseren Erfahrungen mit dieser Lösung.


    Gruß Axel
    Man muß sparn wo mn knn!
    Zitieren Zitieren Natürlich geht das  

  4. #4
    Cliff ist offline Erfahrener Benutzer
    Themenstarter
    Registriert seit
    10.04.2006
    Beiträge
    134
    Danke
    6
    Erhielt 14 Danke für 9 Beiträge

    Standard

    Hallo Ihr Beiden,
    und zunächst erst einmal Danke für die Antworten...

    Zunächst:
    Einen PC habe ich definitv nicht vor Ort. Die Variante mit den zwei Netzkarten verwenden wir, wenn wir diesen schon betriebsmässig in der Anlage haben.
    In meiner Anlage sind nur 'dumme' ProfiNet- Teilnehmer und ein Multipanel (WinCE) vorhanden.

    Bezüglich des örtlichen Administrators habe ich im Moment noch das Problem, das die ganze Sache für unseren Kunden auch noch Neuland ist. Meine Hoffnung war/ ist, das ich meinem Kunden eine Lösung anbieten kann, mit der ich in seinem Netz am besten nur als ein einziger Teilnehmer auftauche.
    Ich habe unseren Kunden gerade zu der VPN- Lösung überreden können um vom störanfälligen Modem weg zu kommen. Wenn ich denen jetzt sage das ich ca. 20 neue Teilnehmer in deren Netz stelle... Na ja

    @Axel:
    Wie stellt sich der zweite Tunnel in der Praxis dar?
    Ich stelle mir gerade vor, ich starte zunächst meinen IpSec- Client um in das Kundennetz zu kommen. Dabei erhält mein lokaler PC eine IP aus dessen Adressraum.
    Nun muss ich ja eigentlich eine zweite Instanz des Clients starten um in mein Netz zu gelangen. Dabei würde mein PC wiederrum eigentlich eine neue IP erhalten...
    Oder liege ich da falsch?


    Gruss Cliff

  5. #5
    Registriert seit
    19.09.2005
    Ort
    Freudenstadt
    Beiträge
    811
    Danke
    64
    Erhielt 101 Danke für 64 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Zitat Zitat von Cliff Beitrag anzeigen
    @Axel:
    Wie stellt sich der zweite Tunnel in der Praxis dar?
    Ich stelle mir gerade vor, ich starte zunächst meinen IpSec- Client um in das Kundennetz zu kommen. Dabei erhält mein lokaler PC eine IP aus dessen Adressraum.
    Nun muss ich ja eigentlich eine zweite Instanz des Clients starten um in mein Netz zu gelangen. Dabei würde mein PC wiederrum eigentlich eine neue IP erhalten...
    In etwa so läuft das, nur die IP-Adressen, die Dein PC erhält, liegen nicht im Adressraum des Kunden, sondern kommen aus dem Adresspool des jeweiligen VPN. Und es muß nicht unbedingt der gleiche VPN-Client für den äußeren und den inneren Tunnel verwendet werden. Die Routing-Tabellen sollten die VPN-Clients automatisch richtig einstellen. Auf Kundenseite muß Dein VPN-Router bei allen Teilnehmern Deines Subnetzes als Gateway bzw. Router eingetragen werden, und bei dem wiederum das Gateway bzw. der Router des Kunden (falls er das nicht per DHCP erhält).


    Gruß Axel
    Man muß sparn wo mn knn!
    Zitieren Zitieren Fast richtig  

Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 27.09.2011, 11:18
  2. Datenübertragung mit OPC-oder VPN-Tunnel
    Von Roli im Forum Hochsprachen - OPC
    Antworten: 7
    Letzter Beitrag: 04.03.2011, 23:14
  3. CNC durch S7 ersetzen ?
    Von otomatz76 im Forum Simatic
    Antworten: 4
    Letzter Beitrag: 27.03.2009, 13:10
  4. VPN Tunnel für TwinCAT aufbauen?
    Von olitheis im Forum CODESYS und IEC61131
    Antworten: 8
    Letzter Beitrag: 03.02.2009, 12:19
  5. S7-300 durch LAN zum PC
    Von jambo im Forum Simatic
    Antworten: 0
    Letzter Beitrag: 16.05.2006, 11:20

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •