WinCC Sicherer Fernzugriff ohne VPN

winnman

Level-3
Beiträge
2.189
Reaktionspunkte
390
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Kollegen,

Wir haben bei einem Kunden folgende Struktur erstellt:

IPC mit WINCC 7.5
Anlagennetzwerk mit eigenem IP Kreis mit 5 300ern mit CP (lean)
4 Webkams im Anlagennetzwerk
div. TP´s

Von internet erfolgt die Anbindung über eine Firewall mit natürlich getrenntem IP Kreis.

Derzeit ist hier ein Verbinden über VPN und L2TP getunnelt installiert. Der Zugriff auf den IPC erfolgt dann mittels UVNC.

Wir sind langsam am Ende der Inbetriebnahme und haben dem Kunden die Zugangsdaten zukommenn lassen.
Dem ist das Einrichten der VPN Tunnelverbindung aber zu aufwendig, er will was haben wo er direkt mit VNC drauf kommt, auch wenn erschon darauf hingewiesen wurde, dass das nicht sicher ist.

Jetzt ist die Frage: Was würdet Ihr hier empfehlen, das einfach für den Kunden ist (am besten nur VNC), ohne einen Dritten Mitspieler aber trotzdem noch halbwegs sicher ist.

Nur gewisse Adressen auf der FW freigeben wird wahrscheinlich nicht ausreichen oder?

Danke für eure Bemühungen.

Winnman
 
Für UltraVNC existiert ein Encryption Plugin, dann ist der Kunde aber auf UltraVNC als Client festgelegt. Ich würde das aber trotzdem nicht so machen wollen, da du dazu eine Portweiterleitung direkt auf den PC einrichten müsstest.

Wenn dem Kunden das vorherige Aufbauen der VPN zu aufwändig ist, kannst du ihm vielleicht eine Batch-Datei erstellen welche die VPN-Verbindung aktiviert und anschließend die VNC-Verbindung aufbaut, meinetwegen auch mit hinterlegtem VNC-Passwort. Dann braucht er nur die Batch-Datei anklicken und ist auf seiner Anlage.
 
Apropos komplizierte Einwahl: Ich habe aktuell ein Projekt bei dem ich auf einem vom Kunden beigestellten Rechner programmieren soll. Bis ich auf dem Rechner bin, muss ich mich durch sage und schreibe 4 Ebenen anmelden, die erste davon mit 2 Faktor über eine Handy-App. Das ist wie wenn man eine Matroschka-Puppe entstapelt. Dateitransfer, Zwischenablage oder Screenshots erstellen funktioniert selbst verständlich nicht. Auf meine Nachfrage ob die das wirklich ernst meinen: ja.
 
Hallo Kollegen,

Wir haben bei einem Kunden folgende Struktur erstellt:

IPC mit WINCC 7.5
Anlagennetzwerk mit eigenem IP Kreis mit 5 300ern mit CP (lean)
4 Webkams im Anlagennetzwerk
div. TP´s

Von internet erfolgt die Anbindung über eine Firewall mit natürlich getrenntem IP Kreis.

Derzeit ist hier ein Verbinden über VPN und L2TP getunnelt installiert. Der Zugriff auf den IPC erfolgt dann mittels UVNC.

Wir sind langsam am Ende der Inbetriebnahme und haben dem Kunden die Zugangsdaten zukommenn lassen.
Dem ist das Einrichten der VPN Tunnelverbindung aber zu aufwendig, er will was haben wo er direkt mit VNC drauf kommt, auch wenn erschon darauf hingewiesen wurde, dass das nicht sicher ist.

Jetzt ist die Frage: Was würdet Ihr hier empfehlen, das einfach für den Kunden ist (am besten nur VNC), ohne einen Dritten Mitspieler aber trotzdem noch halbwegs sicher ist.

Nur gewisse Adressen auf der FW freigeben wird wahrscheinlich nicht ausreichen oder?

Danke für eure Bemühungen.

Winnman

Der Kunde erwartet also das du den VNC-Server für jedermann aus dem Internet erreichbar machst ?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Thomas: Kunde bemängelt dass er nicht an jedem Rechner bzw Handy da irgendwas groß einstellen/prametrieren/Installieren will :) (und ja er hat da mehrere davon und hat angst dass er jeweils einen "PC Spezialisten" braucht wenn da mal was geändert, . . . . wird)

Blockmove: MGuard da muss ich mich mal schlau machen, das sagt mir momentan gar nichts

LarsWeiß: ja so sieht es derzeit aus als wenn er das haben will.


Was kann man da nur machen?
 
MGuard ist ein VPN-Router.
Er baut bei Bedarf ein verschlüsselten Tunnel zu einem Portal auf.
Der andere Teilnehmer baut auch eine Verbindung zum Portal auf.
Das Portal authentifiziert und verbindet dann beide Tunnel.
Also eine normale Fernwartungslösung.
Die Konfiguration ist halt vergleichsweise simpel.

Gruß
Blockmove
 
Wir sind langsam am Ende der Inbetriebnahme und haben dem Kunden die Zugangsdaten zukommenn lassen.
Dem ist das Einrichten der VPN Tunnelverbindung aber zu aufwendig, er will was haben wo er direkt mit VNC drauf kommt, auch wenn erschon darauf hingewiesen wurde, dass das nicht sicher ist.

Jetzt ist die Frage: Was würdet Ihr hier empfehlen, das einfach für den Kunden ist (am besten nur VNC), ohne einen Dritten Mitspieler aber trotzdem noch halbwegs sicher ist.
Das eine schließt das andere ja nicht aus. In der Regel richtet der Anlagen- oder Schaltschrankbauer aber auch die Fernwartung inkl. Konfiguration ein. Dann braucht der Kunde nur den OpenVPN-Client starten, Benutzername und PW eingeben und die VPN-Verbindung steht. Dann kann er darüber ja ruhig eine VNC-Verbindung aufbauen und ich habe - je nach eingesetztem Router - auch die Möglichkeit entsprechende IP-Filter-Regeln anzulegen, um Verbindungsrechte festzulegen. Ich würde versuchen das dem Kunden begreifbar zu machen. Mit der Konfiguration des Routers und der VPN-Verbindung - da gebe ich dem Kunden recht - sollte dieser nichts zu tun haben.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Mit der Konfiguration des Routers und der VPN-Verbindung - da gebe ich dem Kunden recht - sollte dieser nichts zu tun haben.

Dem stimme ich nur bedingt zu, wenn bereits entsprechende Hardware für einen VPN Zugang vorhanden ist, warum diesen nicht nutzen? Beinahe jedes Unternehmen hat irgendwo eine Firewall mit VPN-Zugangsmöglichkeit. Dann ist aber natürlich auch der Kunde bzw. dessen Systemhaus für die Konfiguration zuständig.

Sollte der Kunde wirklich seinen VNC offen ins Internet stellen wollen, dann würde ich den Kunden schriftlich auf den Sicherheitsmangel hinweisen und dies auch unterschreiben lassen, sonst ist am Ende der Hersteller der Dumme, wenn sich jemand Zugriff verschafft und ein Schaden entsteht.
 
MGuard muss ich mir mal anschauen.

Sven:
Derzeit war das so geplant: Kund sollte auf seinem Rechner eine VPN Verbindung zur Anlage einrichten.
Wenn der Tunnel steht, dann kann er mit VNC da drauf.
Die Konfiguration Firewall, . . . wurde von uns ja bereits erledigt.

Aber das Einrichten der VPN Verbindung ist dem Kunden zu aufwendig (dabei hat er eine 1:1 Anleitung mit Bildern erhalten).

acid: Das ganz offen zu lassen wäre die letzte Möglichkeit, drum frag ich ja hier. Haftungsausschluss muss er jetzt sowieso unterschreiben, da sitzt gerade ein Kollege dran den richtig zu formulieren.

Danke allen für die Infos, werde bei Gelegenheit dann mal Berichten was es tatsächlich geworden ist.
 
Zurück
Oben