SPS-Fernwartung mit DSL

treFFnix

Level-1
Beiträge
3
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,

ich möchte eine "Universal-Fernwartung" einrichten, nur weiss ich nicht, wie ich das Ganze umsetzen soll.

zu wartende Geräte sind folgende:

S7-200er Steuerung(en)
S7-300er Steuerung(en)
S7-400er Steuerung(en)
alle mit zugehörigem CP zum Anschluss an das Ethernet (DSL).


Ein Beispiel meines Anliegens:

FirmaA = die Firma, welche Wartungsarbeiten/Änderungsarbeiten an der Steuerung von FirmaB vornehmen möchte.

FirmaB = die Firma, die ein Programmfehler in der Steuerung hat/eine Programmänderung wünscht.


Folgender Aufbau sei gegeben:

FirmaA:
- PC/PG mit "Step7-MicroWIN V4.0.2.XX" (zur Programmierung der 200er Steuerungen) und "SIMATIC Manager" (zur Programmierung der 300er- und 400er Steuerungen)
- Router "X2100is COMPACT" der Firma "BinTec"

FirmaB:
- Anlage mit 200er/300er/400er Steuerung + dazugehöriges CP
- x-beliebiger Router, der von Firma zu Firma verschieden sein kann
- evtl. PC um dort eine VPN-Client-Software aufzuspielen

In diesem Beispiel möchte ich mich auf spezielle Hardware auf "FirmaB-Seite" festlegen:
- Anlage mit CPU315F-2 DP + CP343-1 Lean
- x-beliebiger Router, der von Firma zu Firma verschieden sein kann
- PC mit Win2k / WinXP Betriebssystem


Ziel soll folgende Vorgehensweise sein:

FirmaA und FirmaB öffnen die VPN-Software.
Beide verbinden sich miteinander (über die Eingabe von Benutzername+Passwort [vorher von FirmaA festgelegt, oder nach jedem Start zufällig generiert])

FirmaA startet die Programmiersoftware, wählt eine bestimmte PG/PG-Schnittstelle aus
(ich denke dabei an etwas wie
"ISO Ind. Ehternet -> [Softwarename VPN-Software]" oder
"TCP/IP -> [Softwarename VPN-Software]" oder
"TCP/IP(Auto) -> [Softwarename VPN-Software]")
und kann anfangen, die Änderungen im Programm vorzunehemen.
Speichern --> "Laden in CPU" --> fertig!

Ist etwas so einfaches überhaupt möglich?

Wenn ja, wie heißt dieses erstklassige VPN-Programm, welches auch von SIEMENS unterstützt wird? Ist diese Verbindung auch sicher?

Wenn nein, was wird noch alles benötigt? Welche Schritte müssen eingeleitet werden? Ist es überhaupt möglich 200er und 300er/400er Steuerungen so "unter einen Hut zu stecken"?


Im Endeffekt soll es für FirmaB so einfach wie möglich gemacht werden. Im einfachsten Falle steckt FirmaB nur ein Netzwerkkabel in das CP und fährt die Anlage hoch.
Im "zweit-einfachsten" Falle öffnet FirmaB eine ausführbare Datei, die sie von FirmaA erhält. Damit öffnet FirmaB VPN-Tunnel zu FirmaA. Zusätzlich ein Netzwerkkabel in das CP und Anlage hochfahren.

Die Arbeit/der Aufwand auf Seite von FirmaA spielt dabei keine Rolle.

Dabei soll Sicherheit natürlich auch eine Rolle spielen, denn nicht jeder soll auf die Steuerung in FirmaB zugreifen dürfen (deswegen auch der VPN-Tunnel).
Nur FirmaA darf dort Änderungen vornehmen.

Ich hoffe, mir kann da jemend weiterhelfen!

mfg
treFFnix
 
Hallo,

soweit ich das verstanden habe sollte es wiedu es beschrieben hast funktionieren.
Es gibt von SIEMENS noch die SCALANCE-Geräte (z.B. SCALANCE S 612). Damit kannst du einen VPN Tunnel aufbauen. Zusätzlich gibt es noch die Security Client Software. Deine Steuerung braucht nur einen PN Anschluss.
Dann die Kleinigkeit der Konfiguration (da sind wohl auch schein einige dran gescheitert) und das war`s dann.
SIMATIC NET Industr. Ethernet Softnet Security Client
Ed. 2005 + HF1 SW zum Aufbau von sicheren IP basierten
VPN-Verbindungen
 
Zuletzt bearbeitet:
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo baalrok,

meine Frage war aber ein bisschen anders gestellt^^.

Ich meinte: ist eine Fernwartung möglich, wenn unser Kunde:
- eine Steuerung (im Beispiel: CPU315F-2 DP) und ein über den Rückwandanschluss angeschlossenes
- CP (im Beispiel: CP343-1 Lean)
besitzt?

Das hieße:
- kein SCALANCE-Gerät
- kein SIMATIC NET

Der Kunde hat dann eine Software auf einem Computer, der sich im gleichen Netzwerk wie die "CP343-1 Lean" befindet. Er führt diese Software aus und "Ta-Daa", der VPN-Tunnel steht, damit Fernprogrammiert werden kann?

MfG
treFFnix
 
Hallo treFFnix,

das über den Rückwandbus angeschlossene CP343-1 Lean benötigst du nur damit du einen Profinet-Anschluss bekommst (RJ45) . Alternativ kannst du natürlich auch eine 317-2PN/DP nehmen (ist aber teurer). Von da kannst du auf einen Switch, Router, Modem gehen, wenn du mehrere Steuerungen warten möchtest. Oder alternativ einen PC mit einem VPN-Client anschließen und betreiben. Da musst du dich nur um die Einrichtung kümmern. DnyDNS, IP-Gewurste, Sicherheitseinstellungen usw. Wenn der Kunde den Client nicht gestartet hat gibt es aber auch keine Verbindung.
 
"das über den Rückwandbus angeschlossene CP343-1 Lean benötigst du nur damit du einen Profinet-Anschluss bekommst (RJ45) ."

da stimme ich 100%ig zu


"Von da kannst du auf einen Switch, Router, Modem gehen, wenn du mehrere Steuerungen warten möchtest."

um in das Kunden-Netzwerk zu kommen sehe ich das ja als ein MUSS, auch wenn nur eine Steuerung angesprochen wird, denke ich mir mal.


"Oder alternativ einen PC mit einem VPN-Client anschließen und betreiben. Da musst du dich nur um die Einrichtung kümmern. DnyDNS, IP-Gewurste, Sicherheitseinstellungen usw. Wenn der Kunde den Client nicht gestartet hat gibt es aber auch keine Verbindung."

das ist eigentlich genau das, was ich machen möchte (wenns denn irgendwann mal ordentlich funktioniert, denn genau dabei scheitere ich :confused: )



Um jetz mal etwas genauer zu werden:
Wir haben von einem Kunden einmal eine Software bekommen (CheckPoint Secure Client), mit der alles einwandfrei funktioniert hat. Nur leidr weiss ich nicht, wie man sich bei dieser Software ein "Gateway" und ein "Profil" anlegt, dazu habe ich aber schon eine Anfrage an einen Partner von CheckPoint geschickt, mit der Hoffnung, dass der mir da genaueres sagen kann.


Parallel dazu habe ich eine Möglichkeit ausprobiert, die eigentlich viel einfacher/billiger wäre:
Ich habe aus dem Internet die Software "TeamViewer" geladen.
Wie diese Theoretisch funktionieren sollte, beschreibe ich nun:

Der Kunde startet diese Software und bekommt eine ID und ein Passwort angezeigt (ID bleibt immer gleich, nur Passwort ändert sich bei jedem Aufruf des Programms). Nun übergibt uns der Kunde diese ID+Passwort.

Wir starten die Software --> tragen ID und Passwort ein und haben noch folgende auswahlmöglichkeiten der Verbindung (ein Optionsfeld):

-Fernwartung (wir haben den Vollzugriff auf den PC, wo der Kunde die Software auch gestartet hat [ist aber nicht das, was wir wollen, weil der Kunde die Programmiersoftware+Adapterkabel zur Steuerung nicht besitzt])

-Präsentation (der Kunde sieht auf seinem Bildschirm das gleiche was auf unserem Bildschirm passiert [das nützt uns auch nichts])

-Dateiübertragung (2 Explorerbäume wo man Dateien von A nach B und andersherum schaufen kann [auch nicht das, was uns weiterbringt])

-VPN (hier kommen wir der Sache schon näher)
wenn wir diese VPN-Verbindung aufbauen, ist eine neue Netzwerkverbindung aktiv und Verbunden (nennt sich "TeamViewer VPN Adapter")
dort bekommen wir meist eine IP in folgendem Format zugewiesen:
7.11.X.X

So gehts weiter:
SIMATIC MANAGER starten --> PC/PG Schnittstelle einstellen... --> TCP/IP -> TeamViewer VPN Adapter

Theoretisch müsste es jetzt möglich sein mit folgender Einstellung die IP des CPs anzupingen um darauf zugreifen zu können, was aber lieder nicht der Fall ist.

Es folgen Beispiel-Einstellungen:

lokale IP-Adresse des Rechners bei uns im Betrieb (mit der Programmiersoftware): 192.168.195.X

Uns vom TemViewer zugewiesene IP-Adresse für die VPN-Verbindung: 7.11.128.129

Lokale IP-Adresse des Rechners beim Kunden im Betrieb (ohne Programmiersoftware): 192.168.115.X

Dem Kunden vom TemViewer zugewiesene IP-Adresse für die VPN-Verbindung: 7.11.128.116

Schnittstellen-Einstellungen in der CP:
Typ: Ethernet
Adresse: 192.168.1.11
Vernetzt: ja --> Eigenschaften:
IP-Adresse: 192.168.1.11
Subnetmaske: 255.255.255.0
Netzübergang: Keinen Router verwenden

__________________________________________________________

Wir möchten es dem Kunden möglichs einfach machen (d.h. wenn möglich ohne Dyndns, ohne PortForwarding, ohne Einstellungen im Router vornehmen zu müssen). TeamViewer ist so eine "einfache" Möglichkeit für den Kunden, WENNS DENN FUNKTIONIEREN WÜRDE... -.-'

Falls denn jedmand weiß, ob ich andere Einstellungen im SIMATIC MANAGER verwenden sollte/müsste oder ob ich eine andere VPN-Software nutzen sollte,

ich bin für jeden weiteren Ratschlag sehr dankbar!

mfg treFFnix
 
Zurück
Oben