Fernwartung über OpenVPN

[JensWi.]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo,

Ich habe mal eine Frage und zwar versuche ich über eine VPN verbindung, über das Internet, auf unsere S7-Steuerung zu gelangen. Ich komme zwar in das Netz hinein kann auch einige andere Geräte anpingen, die S7 Steuerung allerdings nicht. Ich komme auch nicht auf die Steuerung drauf. Jetzt meine Frage: Was muss ich denn in der Hardwarekonfiguration bzw. an meinem Rechner einstellen um auf die Steuerung zu gelangen. Für eure Antwort bedanke ich mich schon mal.

 

[m_matrix]

Hallo,
hast du in der Hardwarekonfig "Router verwenden" angehakt und dort die Adresse des Gateways eingetragen?

Gruß
Michi

 

[JensWi.]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ja die Hardwarekonfiguration wurde wie Folgt konfiguriert:
IP Adresse: Von der CPU Vorgabe vom Kunden
Subnetzmaske: Von dem Netz Vorgabe vom Kunden
Netzübergang Router verwendet und die dazugehörige IP

 

[m_matrix]

Ich gehe mal davon aus , dass die CPU im lokalen Netz beim Kunen
per Ping erreichbar ist ?
Die anderen Geräte die du anpingen kannst liegen verm. auch im gleichen
Subnetz wie die CPU ?

Wenn dem allen so ist hätt ich nur noch den Verdacht dass die CPU auf der
Kundenseite irgendwo geblockt wird. (Ich kenn das Problem wenn die CPU eine "hohe" Adresse im Subnetz erhält, diese von schlecht konfigurierten Routern beim Kunden per default blockiert sind), ansonsten fällt mir spontan erstmal nichts ein.

 

[JensWi.]

Die SPS kann ich nicht anpingen. Ich habe auch von anderen Programmierern gehört das die ihre SPS nicht anpingen können. Die kommen allerding auf die CPU´s drauf. Einer von der IT beim Kunden sage mir es könnte sich auch um eine Schutzfunktion der CPU handeln, das sie über mehrer Routerdie Verbindung blockt.

 

[JensWi.]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich kann allerdings andere Geräte anpingen. Das heisst ja das ich schon mal in das Netz gelange

 

[m_matrix]

Die SPS kann ich nicht anpingen. Ich habe auch von anderen Programmierern gehört das die ihre SPS nicht anpingen können. Die kommen allerding auf die CPU´s drauf.

Auch nicht wenn du die CPU von nem Rechner im LAN (also nicht via VPN)
anpingst ?

Schon mal mit dem Browser drauf zugegriffen, ich weiß zwar nicht welche HW du hast, aber ggf. hat die schon dieses Webinterface. Mit ICMP (Ping) is'
immer so ne Sache.

 

[JensWi.]

Also vor Ort habe ich es noch nicht getestet die CPU anzupingen. Verbaut ist eine CPU 317-2PN/DP 6ES7 317-2EK13-0AB0/V2.3. Ich habe aber von dem Problem gehört das keine SPS anzupingen ist ich weis aber nicht genau aus welchen gründen.

 

[m_matrix]

Zuviel Werbung?
-> Hier kostenlos registrieren

Na diese CPU hat AFAIK nen Webserver eingebaut, also tipp
doch einfach mal die IP der CPU in deinen Browser,
wenn du dann das Webinterface der CPU siehst schauts schon mal
gar nicht schlecht aus, dann würd ich mir die einstellung der PG - Schnittstelle anschaun.
Wenn nicht würd ich mal Fragen ob beim Kunden jmd. so nett wäre
kurz mal das mit dem Browser zu Probieren, wenn der dann auch keinen
Erfolg hat würd ich mal behaupten, dass die HW-Konfig in der CPU
nicht stimmt, oder an der Netzwerkverkabelung was faul ist.

Mehr fällt mir jetzt leider nicht ein - sorry

 

[JensWi.]

hört sich gut an, aber wie mache ich das am besten mit dem Browser. Ich habe von Netzwerk nur grundlegende Erfahrung.

 

[pylades]

hört sich gut an, aber wie mache ich das am besten mit dem Browser. Ich habe von Netzwerk nur grundlegende Erfahrung.

http://<IP der CPU> in die Adresszeile des Browsers (IE, Firefox, ...) eingeben

Bsp. http://192.168.12.1

Pylades

 

[derwestermann]

Zuviel Werbung?
-> Hier kostenlos registrieren

Braucht VPN nicht einen VPN-Server, der auf der anderen Seite gestartet ist? Das wird in der 317 doch gar nicht so ohne weiteres drin sein.









(Diese Gedanken wurden ihnen aus dem Bauch präsentiert, Mahlzeit!)

 

[JensWi.]

nee ich gehe ja über den Server von dem Kunden in das Netzwerk. Komme aber auch über den Browser nicht drauf.

 

[m_matrix]

Einen Verdacht hätt ich noch, da bräucht ich aber folgende Infos:

1. IP-Adresse der CPU + Subnet
2. IP-Adresse eines Kundenrechners den du per Ping erreichen kannst
3. IP-Adresse die du vom OVPN-Server erhältst
(siehst du wenn du bei den Netzwerkverbindungen auf dein OPVN Device
"rechts-klickst" und dann den Reiter Netzwerkunterstützung wählst.

4. die Ausgabe von "route print" (Einfach in der Eingabeauforderung
eingeben)

Gruß
Michi

 

[JensWi.]

Zuviel Werbung?
-> Hier kostenlos registrieren

1. Ip Adreese der CPU 172.17.9.44 Subnet 255.255.255.128
2. 172.17.8.126
172.17.8.254
192.168.205.6
3. erst die 192.168.205.10 Wenn ich die Verbindung aufbaue. Sobald ich versuche mit dem S7-Manager Online zu schauen springt sie auf die 172.17.9.113 um

4.

===========================================================================
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.108 25
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.17.8.0 255.255.255.128 192.168.205.5 192.168.205.6 1
172.17.8.128 255.255.255.128 192.168.205.5 192.168.205.6 1
172.17.9.0 255.255.255.128 192.168.205.5 192.168.205.6 1
172.17.9.128 255.255.255.128 192.168.205.5 192.168.205.6 1
192.168.2.0 255.255.255.0 192.168.2.101 192.168.2.101 30
192.168.2.0 255.255.255.0 192.168.2.108 192.168.2.108 25
192.168.2.101 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.2.108 255.255.255.255 127.0.0.1 127.0.0.1 25
192.168.2.255 255.255.255.255 192.168.2.101 192.168.2.101 30
192.168.2.255 255.255.255.255 192.168.2.108 192.168.2.108 25
192.168.205.1 255.255.255.255 192.168.205.5 192.168.205.6 1
192.168.205.4 255.255.255.252 192.168.205.6 192.168.205.6 30
192.168.205.6 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.205.255 255.255.255.255 192.168.205.6 192.168.205.6 30
224.0.0.0 240.0.0.0 192.168.2.101 192.168.2.101 30
224.0.0.0 240.0.0.0 192.168.2.108 192.168.2.108 25
224.0.0.0 240.0.0.0 192.168.205.6 192.168.205.6 30
255.255.255.255 255.255.255.255 192.168.2.101 192.168.2.101 1
255.255.255.255 255.255.255.255 192.168.2.108 192.168.2.108 1
255.255.255.255 255.255.255.255 192.168.205.6 192.168.205.6 1
Standardgateway: 192.168.2.1


Der IT Mensch von dem Kunden hat da auch schon mal reingeschaut. der sachte das währe so in Ordnung.

 

[m_matrix]

Der IT Mensch von dem Kunden hat da auch schon mal reingeschaut. der sachte das währe so in Ordnung.

Jepp dem Stimm ich soweit zu.

Kommt der ITler vom Kunden wenigstens auf mitdem Browser auf die CPU ?
Und frag ihn ob die evtl den Port 80 zu der CPU nicht durch ihre Firewall
lassen, das würde erklären warums mit dem Browser nicht
geht (immer noch vorausgesetzt, die CPU hat die korrekte
HW-Config)

Wenn ich die Verbindung aufbaue. Sobald ich versuche mit dem S7-Manager Online zu schauen springt sie auf die 172.17.9.113 um

Wie is'n deine PC-PG Schnittstelle eingestellt, bzw. hast du im NetPro
dein PG projektiert und ne Schnittstelle zugeordnet ?
Falls ja heb mal die Zuordnung auf und stell deine PC/PG Schnittstelle auf TCP/IP-> .... (ich denke hier sollts nen TAP - Win32 oder nen TUN - WIN32 Adapter geben).

 

[JensWi.]

Den Itler vom Kunden habe ich Heute nicht erreicht.
Die PC-PG Schnittstelle habe ich den Tab Win 32 Adapter ausgewählt. Den Hat das Open VPN ja erzeugt und über den habe ich mich versucht einzuwählen. In NetPro habe ich so weit nichts geändert. Wenn ich vor Ort bin kann ich ja auch auf die Anlage drauf. Über TCP IP.

 

[m_matrix]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich hab aus dem Grund gefragt, weil du ja sagtest die IP wird umgebogen und ich kenn das wenn das PG im Netpro mitprojektiert ist.

In NetPro habe ich so weit nichts geändert. Wenn ich vor Ort bin kann ich ja auch auf die Anlage drauf. Über TCP IP.

das deute ich jetz mal so dass das PG nicht in NetPro und keine PC/PG
Schnittstelle zugewiesen ist.

Wenn du beim Kunden bist, befindest du dich ja im "gleichen Netzwerk".


Wenn du dich mit dem VPN einwählst bekommst du aber eine Adresse
in einem "anderen Netzwerk", sprich in einem anderen Adressbereich.
(192.168.....) statt (117.17.....). Wenn der Simatic Manager dann die
Adressen verbiegt, hast du quasi den Rechner im Falschen Netz.

 

[pixelpeter]

Hi,


Sind noch andere Systeme in diesem Netz (172.17.9.0) beim Kunden vorhanden?
Wenn ja kannst Du diese anpingen?
Ich denke mal, dass es an der lokalen Maschine liegt.
Wie sieht hier die Routingtabelle aus?
So wie ich das sehe bekommst Du eine 192.168.205.10 vom VPN-Server.
Damit kennt Dein lokaler Rechner dieses Netz.(192.168.205.0).
Deine lokale Adresse kenne ich nicht.
Alle anderen Netze routet Dein Rechner über den Defaultgateway, welcher in der Regel der Internetrouter ist.
Was Dir fehlt ist eine Route in das 172.17.9.0 Netz.
Also bitte mal die Routingtabelle posten.
Sollte dieser Eintrag fehlen, dann kannst Du diese selber anlegen bzw. sauberer ist es diese vom VPN-Server zu beziehen. Dazu dann den Admin bitten.



Peter

 

[m_matrix]

@Peter
Schau dir bitte mal weiter oben die geposteten Infos an
(Routingtable etc.)

Ich denke von seiner lokalen Machine passt alles.

Die Routen sind entsprechend gesetzt und andre Maschinen
sind per Ping erreichbar, oder hab ich da was übersehn.

Gruß
Michi