TIA Fernwartung via Internet

schwimmer

Level-3
Beiträge
1.011
Reaktionspunkte
293
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Forum,
ich habe eine Frage zur Fernwartung mittels TIA V16.
Im Fall einer Fernwartung hatte ich bisher immer entweder einen vpn benutzt oder der Kunde hatte ein Notebook mit TIA an der Anlage und wir haben TeamViewer benutzt.
Jetzt habe ich den Fall, dass der Kunde mir eine IP-Adresse geschickt hat unter der die CPU zu erreichen wäre. Die IP vom Kunden kann ich anpingen, die IP der CPU ist im Firmennetzwerk eingebunden.
Wie kann ich TIA jetzt dazu veranlassen ohne vpn über die IP des Kunden auf die cpu zuzugreifen?
Danke für euere Unterstützung.
 
Hallo,

sorry ich häng mich da mal an. Ist es wirklich "so viel schlechter/unsicherer/dümmer" ein Notebook, das im Normalfall aus ist, reinzuhängen. Dann Notebook ein, TV ein und Passwort über Telefon (manchmal schwierig wegen "Buchstabiertafel" :ROFLMAO: )
Aber die ganzen super/hyper/mega VPN-Router sind (mit Arbeit für konfig) doch auch nicht wirklich preiswerter.
@TE: Der Router muss eine Route zur SPS haben, bitte NICHT unterschätzen, wenn euer Firmennetzwerk "ähnliche Adressen" wie euere SPS hat.
@Admin: wenns so ein Thema schon gibt, dann bitte dorthin verschieben
LG,
Roman
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ist es wirklich "so viel schlechter/unsicherer/dümmer" ein Notebook, das im Normalfall aus ist, reinzuhängen. Dann Notebook ein, TV ein
Auf dem Notebook wird eine TIA-Lizenz benötigt. Die gibt es nicht für lau, auch wenn nur 3x im Jahr benutzt.
Für die Fans, die Know-How-Protect brauchen: der Kunde kann dem Notebook zuschauen, was da getrieben wird, und ggf. Quelltexte geschützter Bausteine mitlesen bzw. Keylogger installieren, die die Passwörter mitschreiben. Und der Kunde kann auch sehen, ob überhaupt gearbeitet/geklickt wird...

Harald
 
Harald :)
"ob überhaupt gearbeitet wird", "Keylogger", wenn ich während einer Bereitschaft, oder auch so angerufen werde, dann funktioniert was nicht. Know-How-Protect ist allerdings schon ein Thema... aber wenn man keine "Standard-Maschinen"(Sorry, nicht abwertend gemeint) baut ...
Und TIA Lizenz ist natürlich auch ein Thema, aber wenn man berechnet, wie lange die "gesamte IT" manchmal daran arbeitet, ist der Preis für ein Notebook, TIA Pro Lizenz günstiger, denk ich.

LG
Roman
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Danke für eure Gedanken zu meinem Problem. Bin eigentlich bei euch was Notebook oder vpn betrifft, viele Kunden schreiben ja hier auch den entsprechenden Zugang (vpn-client) vor.
Im aktuellen Fall ist es ein kleiner Kunde und eine Versuchsanlage, er hat keine eigene Instandhaltung und somit auch kein Notebook oder TIA zur Verfügung.
Allerdings habe ich mittlerweile herausgefunden wie ich die IP-Adresse für die Einwahl im TIA vorgeben kann, leider muss ich jetzt warten weil der Port 102 nicht freigegeben ist.
 
Kann dass wirklich sein, von das ganze Internet durch eine feste IP Addresse bis direkt auf der Maschine ? Kein login nötig, ausser das CPU Passwort ? Kann man von aussen in DBs schreiben ? Dazu braucht man im Normfall kein Berechtigung.
 
Wie kann ich TIA jetzt dazu veranlassen ohne vpn über die IP des Kunden auf die cpu zuzugreifen?

Im alten Simatic Manager gab es dazu eine versteckte Option namens Zugriffsadresse, in TIA kann man im Menü "Erweitert online verbinden" die (Online) IP der CPU händisch eintragen.
Ich halte von diesem direkten Zugriff über das Internet allerdings nichts. Entweder sind dazwischen so viele Router und Firewalls dass man schlussendlich nicht auf die CPU kommt, oder die ganze Verbindung ist offen wie ein Scheunentor, bzw. letzteres ist selbst wenn alles funktioniert bei dieser Art von Verbindung immer der Fall.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Das wird normales ungeschütztes Port forwarding sein. Da kann dann jedermann aus dem Internet auf die SPS zugreifen und Daten verändern, womöglich auch Programm ändern und die SPS fernsteuern... :sm14:

Was für einen Internet-Router hat der Kunde? Eine Fritzbox? Da kann man sehr einfach einen sicheren VPN-Fernzugang aktivieren.

Allerdings habe ich mittlerweile herausgefunden wie ich die IP-Adresse für die Einwahl im TIA vorgeben kann, leider muss ich jetzt warten weil der Port 102 nicht freigegeben ist.
Deine Idee wird hoffentlich nicht sein, die IP-Adresse in der Gerätekonfig der SPS zu ändern... Du müsstest die IP-Adresse als Zugriffsadresse beim "Erweitert online verbinden" angeben.

Harald
 
Was der Kunde für Hardware hat weiß ich leider nicht, er kann auch nichts selber machen. Jetzt muss erst sein IT-Dienstleister kommen um den Port 102 frei zu geben. Es ist nur ein Versuchsaufbau der für ca. 3 Wochen beim Kunden steht, er muss dazu auch eine "Freiluftleitung" durch die habe Halle legen um eine Verbindung zum Internt zu haben. Sobald die Anpassungen gelaufen sind, würde er die Verbindung wieder kappen. Für eine Produktionsanlage würde ich diesen Weg auch nicht gehen.
Die IP-Adresse wird unter "erweitert online verbinden" eingegeben, die CPU hat eine IP die am Router freigeschaltet wurde.
 
Was der Kunde für Hardware hat weiß ich leider nicht, er kann auch nichts selber machen. Jetzt muss erst sein IT-Dienstleister kommen um den Port 102 frei zu geben. Es ist nur ein Versuchsaufbau der für ca. 3 Wochen beim Kunden steht, er muss dazu auch eine "Freiluftleitung" durch die habe Halle legen um eine Verbindung zum Internt zu haben. Sobald die Anpassungen gelaufen sind, würde er die Verbindung wieder kappen. Für eine Produktionsanlage würde ich diesen Weg auch nicht gehen.
Die IP-Adresse wird unter "erweitert online verbinden" eingegeben, die CPU hat eine IP die am Router freigeschaltet wurde.


Für genau solche Fälle habe ich hier immer eine Fritz.Box mit LTE liegen.
Die vermiete ich meinen Kunden für einen schmalen Taler. Oft liegt das ganze ja auch in unserem Interesse und wir lassen die kostenfrei ein paar Tage dort hängen.
Kostenaufwand liegt bei nicht mal 200€...
 
Zurück
Oben