Firmennetz VPN-Router Maschinennetz mit mehreren CPU's

volker

Supermoderator
Teammitglied
Beiträge
5.805
Reaktionspunkte
1.027
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo

Wir bekommen hier eine Anlage in die der Hersteller gerne zur Fernwartung einen VPN-Router (Secomea Site Manager 1029) einsetzen möchte.
In dem Maschinennetz hängen mehrere CPU's und die Kommunikation der ÜGS-CPU mit den anderen CPU's erfolgt meist über i-Device (manchmal PUT/GET).

Laut Anlagenhersteller hat der Fernwarter Zugriff auf alle CPU' hinter dem Router. Also fällt für mich eine direkte Verbindung vom Router auf den X208 weg.

Jetzt denke ich mir ich setze noch eine cp343-1 in einem anderen ip-bereich. Nun sollte der Fernwarter über den Router und der CP ja auf seine CPU kommen.
Ich denke, dass er auch nur bis zu seiner CPU kommt und nicht auf die anderen CPU's.
Geh ich in der Annahme richtig?

Oder hat jmd einen besseren Vorschlag als die CP zu setzen.
 

Anhänge

  • Zwischenablage02.jpg
    Zwischenablage02.jpg
    44,2 KB · Aufrufe: 76
Hmm

Kann mir denn keiner was dazu sagen?
Lassen wir mal die Routergeschichte ausser acht.
Mal anders und kurz gesprochen. Ist es möglich über den CP auf eine andere CPU zuzugreifen ausser der wo der CP dranhängt?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Mit reiner Ethernkommunikation kann man meiner Meinung nach nicht in das andere Netz bzw. auf die andere CPU zugreifen.
Die Siemens-CPU´s arbeiten ja nicht als Ethernet-Router.

Über Simatic-Routing (Netpro Zugriffspunkt, etc.) ist es natürlich schon möglich.
Wobei das aber auch erst funktioniert, wenn alle CPU´s gemeinsam in Netpro projektiert und geladen sind.

Anstelle des LEAN-CP´s könnte man vielleicht auch einen Netlink einsetzen - ist vielleicht billiger.

Ansonsten fällt mir eigentlich auch nichts besseres ein.
 
Zuletzt bearbeitet:
Ist es möglich über den CP auf eine andere CPU zuzugreifen ausser der wo der CP dranhängt?
JA! Es kann auf alles zugegriffen werden, was via S7-Routing von der Fremd-CPU erreichbar ist. Das können andere CPU sein, aber z.B. auch eine WinCC flexible Runtime (!) oder ein HMI oder Frequenzumrichter oder ...

Gerade dadurch, wenn die Fremd-CPU noch einen CP bekommt, kann die Fremd-CPU als S7-Router benutzt werden. Vorbei an den Routing-Regeln des Firmennetzwerks. Dazu muß im Step7-Projekt der Fremd-CPU einfach nur ein Stellvertreter-Objekt der "gewünschten" Zielstation eingefügt werden.

Doch auch ohne den CP kann die Fremd-CPU benutzt werden, um störend auf jede andere von der Fremd-CPU erreichbare CPU einzuwirken, z.B. mit "passenden" PUT-Aufträgen im Programm der Fremd-CPU.

Das Problem kann man nur in den Griff bekommen mit managebaren Switchen und Routern und S7-Stationen dürfen immer nur 1 Ethernetanschluß haben und keine weiteren Verbindungen (z.B. Profibus) zu anderen CPU.

Harald
 
Ok. Danke erstmal für die Antworten.
Das hört sich ehr nicht so schön an.

Das Problem kann man nur in den Griff bekommen mit managebaren Switchen und Routern und S7-Stationen dürfen immer nur 1 Ethernetanschluß haben und keine weiteren Verbindungen (z.B. Profibus) zu anderen CPU.

Harald
Lässt sich das mit dem X208 realisieren den ich ja verbaut habe?
Andere Verbindungen zu der CPU bestehen nicht.

Und wenn ja könnte ich dann auf den CP verzichten da mir der ja nichts bringt?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich habe mal einen Testaufbau am schreibtisch gemacht.

subnetz 255.255.255.0
meineCPU: 192.168.1.10
fremdcpu: 192.168.1.20 fremdCP: 192.168.2.10

Über die CP komme ich auf die 192.168.1.20 nicht aber auf die ..1.10. Also eigentlich so wie ich es haben möchte.
Das mittels PUT/GET daten gelesen/geschrieben werden können ist klar.
JA! Es kann auf alles zugegriffen werden, was via S7-Routing von der Fremd-CPU erreichbar ist. Harald
Wie würde das denn gehen?
 
Den X208 kenne ich leider nicht, wir verwenden keine managebaren Siemens-Switche. Da sollte Siemens kompetent beraten können.

Den CP kannst Du weglassen, weil der nützt gar nichts. Der ist nur Kosmetik, macht das Problem aber tatsächlich noch schlimmer.

Besser ist es, Ihr selbst stellt der Fremdfirma den Fernzugriff auf seine Anlage bzw. Euer Maschinennetz zur Verfügung. Nur so habt Ihr die Kontrolle, auf was und wann die Fremdfirma zugreift. Jede Art von nicht kontrollierten Routern/Netzübergängen ist zu vermeiden.

In unseren Anlagen lassen wir keine fremden Fernwartungslösungen "hintenrum" zu, da gibt es nur einen zentralen von uns verwalteten Zugang. Demjenigen, der sich einwählt wird der Zugriff nur auf begrenzte IP-Bereiche erlaubt (im Extremfall eine einzige IP-Adresse).

Ich empfehle, daß Du Dich mit einem Netzwerk-Profi von Siemens und von Eurer Firma unterhältst.

TestProjekt:
- Fremd-CPU mit Ethernet(1) verbinden
- Fremd-CP mit Ethernet(2) verbinden
- eigene CPU mit Ethernet(1) verbinden
- PG/PC-Objekt an Ethernet(2) zuordnen
- in NetPro alles übersetzen
- "Verbindungen und Netzübergänge" laden, bzw. es reicht, die Fremd-Station zu laden

Nun solltest Du mit PG am Fremd-CP angestöpselt auf beide CPU zugreifen können. Ping auf die CPUs geht aber nicht, das fällt nicht unter S7-Routing.

Harald
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ok. Der Aufbau den du beschreibst hatte ich so auch aufgebaut. ich hatte allerdings kein pg/pc eingefügt. mit pg/pc habe ich, wie du schon sagst, zugriff auf meine cpu.
 
Kannst du rausfinden, ob dieser Router Source NAT aus dem Tunnel beherrscht?
> Dabei würde er die Absender IP des remoten Subnetzes durch seine eigene ersetzen, wäre also aus Sicht der CPUs im gleichen Subnetz.

Wenn dem nicht so ist:
1. Muss in den fremden CPUs der VPN Router als Gatway in der HW Config stehen.
2. Trägst du in deinen CPUs eben nicht den VPN Router als Gateway ein.

Damit sind die eigenen CPUs über IP Routing nicht zu erreichen, weil der Rückweg in das fremde VPN Subnetz nicht bekannt ist.
Ein S7 Routing müsste die Fremd-CPU in diesem Aufbau ein- wie ausgehend auf dem gleichen Ethernetport machen.
> Einen solchen Routing SDB wird Step7 niemals generieren.
Ein zusätzlicher CP zum VPN Router hin ist keine gute Idee, genau damit geht das S7 Routing wieder.

(Falls der VPN Router SRC NAT macht hilft das alles nichts.)

Switchseitig würden nur VLANs helfen, kann der X200 nicht. (X300 und aufwärts)
Selbst dann könnten die CPUs nicht komplett getrennte werden, weil sie miteinander kommunizieren müssen.
Bliebe noch die Fremd-CPU in VLAN 1+2 zu legen, die eigene in VLAN 1 und den Router in VLAN 2.
> Damit baut man faktisch einen Hub - guten Gewissens nicht zu empfehlen.

Gerade dadurch, wenn die Fremd-CPU noch einen CP bekommt, kann die Fremd-CPU als S7-Router benutzt werden. Vorbei an den Routing-Regeln des Firmennetzwerks. Dazu muß im Step7-Projekt der Fremd-CPU einfach nur ein Stellvertreter-Objekt der "gewünschten" Zielstation eingefügt werden.

Dazu müssen die S7-Subnetz-IDs des Ethernetstrangs im Projekt der Fremd-CPU mit denen aus dem eigenen Projekt übereinstimmen.
(Sicher kein ernstzunehmendes Hindernis)


Doch auch ohne den CP kann die Fremd-CPU benutzt werden, um störend auf jede andere von der Fremd-CPU erreichbare CPU einzuwirken, z.B. mit "passenden" PUT-Aufträgen im Programm der Fremd-CPU.
Das stimmt, dagegen ist aber kein Kraut gewachsen.
> Außer jegliche S7 Kommunikation zwischen den CPUs mit einer Firewall abzustellen und rein auf I-Device / TCP Verbindung umzustellen.
 
Zurück
Oben