TIA über VPN zu SPS

M

MajStealth

Level-1
Beiträge
4
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Gemeinde,

ist es technisch überhaupt möglich, über VPN(seperates Netzwerk), lokales allgemeines Netzwerk, per VLAN/Firewallrouter ins Maschinennetz mit einer SPS aus TIA heraus zu kommunizieren?

Der Techniker meint es soll gehen, kann aber nichts beitragen wie, laut genug Foreneinträgen kommen mir Zweifel, wenn die VPN nicht direkt im Maschinennetz aufschlägt. Ping und Regeln passen, aber angeblich schickt TIA ein L2 Broadcast/MAC-Paket raus, welches wohl nicht geroutet werden kann.
 
MajStealth schrieb:
Hallo Gemeinde,

ist es technisch überhaupt möglich, über VPN(seperates Netzwerk), lokales allgemeines Netzwerk, per VLAN/Firewallrouter ins Maschinennetz mit einer SPS aus TIA heraus zu kommunizieren?
Zum Vergrößern anklicken....
Ja das ist möglich
MajStealth schrieb:
Der Techniker meint es soll gehen, kann aber nichts beitragen wie, laut genug Foreneinträgen kommen mir Zweifel, wenn die VPN nicht direkt im Maschinennetz aufschlägt. Ping und Regeln passen, aber angeblich schickt TIA ein L2 Broadcast/MAC-Paket raus, welches wohl nicht geroutet werden kann.
Zum Vergrößern anklicken....
"Teilnehmer suchen" funktioniert tatsächlich auf L2 (Das Protokoll heißt DCP) und ist nicht routingfähig. Gibst du die IP-Adresse direkt ein, versucht TIA einen Verbindungsaufbau auf L3 (TCP, Ziel-Port 102).
Eleganter und mächtiger ist natürlich L2.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Würde am Ende bedeuten, obwohl keine Firewallregel mehr negativ auffällt, Ping funktioniert, ist trotzdem irgendwo ein Problem. Denkbar wäre das asynchrone Routing in/aus dem Maschinennetz, aber das wollen wir ja abschaffen, wenn da nicht die Steuerungen wären...

Am besten ich teste morgen, ob ich von meinem PC im allgemeinen Netz über 1 Hop ins Maschinennetz zur SPS komme.
 
MajStealth schrieb:
aber das wollen wir ja abschaffen, wenn da nicht die Steuerungen wären...
Zum Vergrößern anklicken....
Wer braucht schon Steuerungen 😉
Am besten gleich mit abschaffen 😉

U.U. mach man aus der Ferne eh nur kleine Änderungen an der Software ohne DCP. Wenn man an der Hardware ändert ists vielleicht besser an der Anlage zu sein?
Aber wer will heut schon noch von der Homeofficecouch aufstehen 😉 oder ne Anfahrt bezahlen😉
 
MajStealth schrieb:
Hallo Gemeinde,

ist es technisch überhaupt möglich, über VPN(seperates Netzwerk), lokales allgemeines Netzwerk, per VLAN/Firewallrouter ins Maschinennetz mit einer SPS aus TIA heraus zu kommunizieren?

Der Techniker meint es soll gehen, kann aber nichts beitragen wie, laut genug Foreneinträgen kommen mir Zweifel, wenn die VPN nicht direkt im Maschinennetz aufschlägt. Ping und Regeln passen, aber angeblich schickt TIA ein L2 Broadcast/MAC-Paket raus, welches wohl nicht geroutet werden kann.
Zum Vergrößern anklicken....
Es gibt Mittel und Wege auch Layer2 Kommunikation über eine Layer3 Verbindung zu realisieren. Nennt sich VXLAN.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
ducati schrieb:
Wer braucht schon Steuerungen 😉
Am besten gleich mit abschaffen 😉

U.U. mach man aus der Ferne eh nur kleine Änderungen an der Software ohne DCP. Wenn man an der Hardware ändert ists vielleicht besser an der Anlage zu sein?
Aber wer will heut schon noch von der Homeofficecouch aufstehen 😉 oder ne Anfahrt bezahlen😉
Zum Vergrößern anklicken....
Nah, das Maschinennetz soll schon bestehen bleiben, aber die Edge-Firewall soll nicht mehr der VLAN-Router sein.
In diesem Fall ist der Programmierer 12km in der nächst größeren Kreisstadt, also kein Hindernis, bei anderen Steuerungen sieht das ganz anders aus. Das wären auch die, die den falschen Router nutzen, deshalb das asynchrone Routing.

Da es bisher niemanden interessiert hat, mal an später zu denken, haben wir natürlich nichts, kein PG, keine Lizenz, keine Projektdaten. Was wir dafür haben sind ganz viele S7 300 G1/G2. Ein paar S7 1200 G1 und eine S7 1500 G1. Es würde mich nicht wundern, iwann in einem Schrank noch eine S5 zu finden.

VXLAN scheint Sophos nur in Bezug auf WLAN und RED´s zu kennen, leider.

Intern über einen Hop funktioniert die Verbindung TIA zu SPS, DCP nur, wenn ich meinen Switchport ins Maschinennetz hänge.
 
Mal ein ganz wilder Ansatz:
Du hängst eine WLAN-Bridge von Modas rein. Das Ding ist mit seinem LAN-Port Teil des Maschinennetzes (L2), mit seinem WLAN-Port Teil des Werks-Wlans (L3).
Die interne Bridge wird deaktiviert, damit sind beide Netzwerke isoliert voneinander.

Nun wird der openVPN-Server aktiviert, welche einen UDP-Port auf der WLAN-Seite öffnet. Der openVPN-Server wird so konfiguriert dass er TAP-Verbindung (L2) herstellt.

Ein Client, der sich nun von der WLAN-Seite per L3 verbindet, wird nun auf LAN-Seite auf L2-Ebene Teil des Maschinennetzes.

Ich hab das so mit alten Messrechnern am Laufen, die ich zwar erreichen möchte, aber nicht ins Netzwerk einbinden darf.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Gut ich sage nichts mehr, vll sollte ich meinen Allrounderposten doch einfach an den Nagel hängen...

Eine fixe Route in der Edge-FW über den VLAN-Router zur SPS IP/32 im Maschinennetz und voila - ergo ein Problem der asynchronen Routen.

Somit ist Profinet definitiv routingfähig - was auch immer da früher mal Stand der Technik war.
Die Idee mit einem dedizierten VPN-Router hatte ich auch, aber Geld ist wie immer nicht vorhanden.

Herzlichsten Dank für das Gehirnjogging. :)
 
Ich hab für solche Fälle mir einen Mini-PC geschnappt, mit der Maschine verbinden lassen und dann per VPN/Remote auf den PC zugegriffen und dort direkt die jeweilige Software gestartet. Funktioniert problemlos sofern die dortige IT den PC auch ins Inet lässt.
 
sportivo schrieb:
Ich hab für solche Fälle mir einen Mini-PC geschnappt, mit der Maschine verbinden lassen und dann per VPN/Remote auf den PC zugegriffen und dort direkt die jeweilige Software gestartet. Funktioniert problemlos sofern die dortige IT den PC auch ins Inet lässt.
Zum Vergrößern anklicken....

Naja ... Ist halt so ne Sache mit den Lizenzen
 
Zurück
Oben