Zuviel Werbung? - > Hier kostenlos beim SPS-Forum registrieren

Seite 3 von 8 ErsteErste 12345 ... LetzteLetzte
Ergebnis 21 bis 30 von 75

Thema: Fernwartung über das Internet

  1. #21
    Registriert seit
    24.03.2006
    Beiträge
    330
    Danke
    4
    Erhielt 73 Danke für 59 Beiträge

    Standard


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Hallo PN/DP,

    hoffentlich hatten Sie noch keine weitere Arbeit hab es jetzt doch hin bekommen. Keine Ahnung wiso das vorher nicht ging. Warum es überhaupt funktioniert ist mir noch nicht ganz klar. Vermutlich macht Siemens selber in SIMATIC beim Routing an der Stelle intern in Wirklichkeit ein Portforwarding.

    Danke für den Tipp!

    Bernhard Götz
    Support Team
    DELTALOGIC Automatisierungstechnik GmbH
    http://www.deltalogic.de
    Zitieren Zitieren Klappt doch  

  2. #22
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.173
    Danke
    922
    Erhielt 3.288 Danke für 2.657 Beiträge

    Idee

    Hier das Step7-Beispielprojekt zum Beitrag #15 Fernzugriff projektieren bei Variante D) Port-Forwarding in der Kunden-Firewall
    (ohne das MP277 - schon ein leeres WinCCflexible-Projekt ist bekanntlich reichlich 1MB groß )

    Wie kann ich den Router aus dem Beispielprojekt in mein Projekt übernehmen?

    1. die Objekte "Router/Firewall [Fa.xyz]" + "Ethernet(LAN)" + "Ethernet(WAN)" ( + "PG/PC") markieren
    2. Bearbeiten -> Kopieren (wichtig: alle auf einmal, damit die Verknüpfungen erhalten bleiben)
    3. ins eigene Projekt wechseln (in die oberste Ebene vom Projektbaum)
    4. Bearbeiten -> Einfügen
    5. Nun noch mit HW Konfig die projektspezifischen Einstellungen anpassen:
    * "Router/Firewall [Fa.xyz]"
    --- den Stationsname "Router/Firewall [Fa.xyz]" in was projektspezifisch-sinnvolles umbenennen
    --- CP IE (WAN): die öffentliche IP-Adresse des Kunden eintragen
    --- CP IE (LAN): die IP-Adresse des lokalen Standard-Gateway des Kunden eintragen
    * "eigene" SPS-Station
    --- IE-CP (oder PN-IO-Schnittstelle bei PN/DP-CPUs) mit "Ethernet(LAN)" vernetzen
    --- gewünschte IP-Adresse eintragen in IE-CP oder PN-IO-Schnittstelle
    --- (x) Router verwenden + IP-Adresse des für die SPS-Station gültigen Standard-Gateway eintragen
    * "Ethernet(LAN)" und "Ethernet(WAN)"
    --- falls nötig, die S7-Subnetz-IDs ändern mit NetPro
    * in NetPro "Alles übersetzen" und die Konfiguration mit NetPro (!) in die "eigene" SPS-Station laden
    * bei Bedarf im "PG/PC" die Schnittstellen konfigurieren und parametrieren und das "PG/PC" einem Netz zuordnen

    Hinweis 1: HW Konfig lädt die Routing-Tabellen (SDB999) NICHT mit in die SPS-Station, das macht nur NetPro vollständig.
    Bei mehreren SPS-Stationen und ggf. mehreren Netzwerken im Projekt sind die Routing-Tabellen aber wichtig.

    Hinweis 2: Man sollte sich frühzeitig Gedanken über sinnvolle Stationsnamen machen, weil die Stationsnamen (je nach CPU)
    mit in die Station geladen werden. Ändert man später den Stationsname, dann hat man unterschiedliche Systemdaten
    (CPU-Konfigurationen) Online<->Projekt.

    Hinweis 3: An Panels muß die Konfiguration der Netzwerk-Schnittstelle manuell im Control-Panel vorgenommen werden,
    sie wird nicht von WinCCflexible eingestellt.

    Hinweis 4: Die tatsächliche Netzwerk-Konfiguration beim Kunden wird sich von diesem Beispiel unterscheiden.
    Die zu verwendenden IP-Adressen mit dem Kunden-IT-Administrator absprechen!

    Hinweis 5: In der "eigenen" SPS-Station "(x) Router verwenden" bzw. im Panel "Default Gateway":
    Wenn keine Gateway-Adresse eingetragen wird, dann können die SPS-Stationen nur im gleichen Netzwerk-Segment miteinander
    kommunizieren, die SPS-Stationen bzw. Panele sind aus anderen Netzwerk-Segmenten oder von fern normal nicht erreichbar.
    Auf dem Step7-PC kann zwar hilfsweise eine statische Route mit "route add ..." eingerichtet werden, das geht aber nicht über das
    Internet.

    Hinweis 6: Solange man nur von fern auf die SPS-Station oder Panels beim Kunden zugreifen will, ist es egal, welche IP-Adresse
    man bei "CP IE (LAN)" einträgt. Es sieht aber in der Dokumentation besser aus, wenn man da was sinniges einträgt.
    Zumindest ist diese Stelle ein guter Merkzettel.
    Angehängte Dateien Angehängte Dateien
    Zitieren Zitieren Step7-Beispielprojekt mit Router-Stellvertreter  

  3. Folgende 2 Benutzer sagen Danke zu PN/DP für den nützlichen Beitrag:

    Accused (27.03.2014),rostiger Nagel (07.08.2009)

  4. #23
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.173
    Danke
    922
    Erhielt 3.288 Danke für 2.657 Beiträge

    Standard

    Hallo DELTALOGIC Support,

    leider konnte ich nicht eher auf Ihre Fragen antworten. Ich hoffe, meine späte Antwort ist noch von Interesse.

    Zitat Zitat von DELTALOGIC Support Beitrag anzeigen
    Können Sie mir da bitte ein Beispielprojekt schicken?
    siehe Posting #22

    Zitat Zitat von DELTALOGIC Support Beitrag anzeigen
    Warum sollte Step7 in der gezeigten Konstellation die IP Adresse der SPS auf die tatsächlich zugegriffen wird durch die öffentliche IP Adresse der projektierten Router SPS ersetzen?
    Kurz:
    Step7 verwendet das Routing-Protokoll RFC1006 auf dem ISO-tsap Port 102 (also kein Portforwarding)
    Step7 versucht den Verbindungsaufbau auf allen dem aktuell eingestellten PG/PC-Schnittstellen-Typ entsprechenden Netzen


    Fall A) im Step7-Projekt ist kein "zugeordnetes" PG/PC vorhanden:

    Abhängig von der Einstellung der PG/PC-Schnittstelle sucht Step7 selbständig einen passenden Weg zur Ziel-SPS.
    Solange im Projekt nur 1 Netzwerk vom passenden Typ zur PG/PC-Schnittstelle vorhanden ist, ist Step7 klar an welchem Netzwerk es
    angeschlossen sein müsste und über welche routingfähigen Stationen die Route zur Ziel-SPS führt.

    Wenn mehrere vom Typ her passende Netzwerke im Projekt vorhanden sind, versucht Step7 (zumindest bei Ethernet) nacheinander über
    jedes passende Netzwerk mit möglichst wenigen Zwischenstationen eine Verbindung zur Ziel-SPS aufzubauen. Ob vorher eventuell anhand
    der Netzwerkmasks und der Subnetz-Anteile der IP-Adresse(n) der im Step7-PC vorhandenen Netzwerkadapter sowie der IP-Adresse der
    Ziel-SPS eine Vorauswahl stattfindet, weiß ich nicht, ist aber denkbar.

    In meinem Beispiel wird Step7 zuerst versuchen, die kurze direkte Verbindung über das IE-Netzwerk Ethernet(LAN) zur Ziel-SPS IP-Adresse 192.168.10.1 aufzubauen. Das wird natürlich nicht klappen (Step7 wird höchstens eine andere SPS finden, falls sich im lokalen Netzwerk des Step7-PC zufällig eine SPS mit der gleichen IP wie die der Ziel-SPS befindet!).
    Wenn der Step7-PC zufällig auf einem seiner aktiven Netzwerkadapter eine IP-Adresse mit dem gleichen Netzwerksegment wie die lokale IP-Adresse der Ziel-SPS hat (192.168.10.x), dann scheint Step7 davon auszugehen, es wäre an Ethernet(LAN) angeschlossen und versucht den Verbindungsaufbau nur über diesen direkten Weg.
    Meistens wird der Step7-PC auf keiner seiner Netzwerkadapter eine zum fernen Ethernet(LAN) passende IP-Adresse haben.

    Da der Verbindungsaufbau zur Adresse 192.168.10.1 am Ethernet(LAN) nicht geklappt hat, versucht Step7 als nächstes eine Verbindung über das IE-Netzwerk Ethernet(WAN). Hier sieht Step7, daß da eine routingfähige SPS-Station mit Verbindung zum Zielnetzwerk Ethernet(LAN) vorhanden ist, welche über die IP 82.176.x.x erreichbar ist. Also schickt Step7 seinen Verbindungswunsch an diese Station. Der reale Router mit der IP 82.176.x.x "forwardet" die Pakte zur Ziel-SPS (das ist ja vom Kunden-IT-Administrator so eingerichtet worden, und das hat Step7 von der "SIMATIC"-Station auch so erwartet). Die Ziel-SPS erkennt anhand der im RFC1006-Paketrahmen enthaltenen Subnet-ID und Ziel-Adresse, daß/ob das Paket für sie selber bestimmt ist.
    (Es kann sein, das der RFC1006-Rahmen in Wirklichkeit nur ein erweiterter Header ist. So genau kenne ich das RFC1006-Protokoll nicht.)

    Übrigens: Falls keine Verbindung zur Ziel-SPS zustande kommt, versucht Step7 den Verbindungsaufbau (zumindest bei TCP/IP) nicht nur über den ausdrücklich bei der PG/PC-Schnittstelle zugeordneten Netzwerkadapter, sondern davon abweichend über alle gerade aktiven Netzwerkadapter (z.B. WLAN oder DFÜ-Adapter).
    (Vielleicht überläßt Step7 die Adapterauswahl auch einfach Windows? eher unwahrscheinlich)


    Fall B) im Step7-Projekt ist ein dem Ethernet(WAN) "zugeordnetes" PG/PC vorhanden:

    Weil Step7 durch das "zugeordnete" PG/PC eindeutig bekannt ist, daß es am Ethernet(WAN) angeschlossen ist, versucht es den Verbindungsaufbau sofort und nur über die Station mit der IP 82.176.x.x

    Ich habe mir angewöhnt, immer ein PG/PC ins Step7-Projekt einzufügen, wenn es mehrere Netzwerke vom selben Typ im Projekt gibt.
    Dies ist die einzige mir bekannte Möglichkeit, Step7 explizit vorzuschreiben, welchen Weg es zur Ziel-SPS nehmen soll.


    IP-Adressen-Wahl für Automatisierungsnetze

    Wegen der geforderten Trennung von Automatisierungsnetzen vom restlichen Firmennetz verwende ich niemals die IP-Adressen 192.168.0.x ... 192.168.9.x für meine PLC-Netze. Diese IP-Adressen sind oft schon (oder werden irgendwann einmal) für das Büro-Netzwerk des Kunden verwendet. Ich verwende fast immer IP-Adressen aus dem Bereich 192.168.192.x ... 192.168.199.x für meine PLC-Netze.
    Erstens halte ich damit den zeitweise exorbitanten PC-Netzwerktraffik und die öfter vorkommenden Broadcast-Stürme von meinen PLC fern, zweitens ist es dann relativ einfach zu administrieren, wenn Verbindungen zwischen den Netzen benötigt werden, weil z.B. Daten zwischen PLCs und Kunden-PCs (MES, QMS, Archiv-Server, ...) ausgetauscht werden sollen. Für Firewalls sind nur wenige Regeln auf Netzwerk-Adressen-Basis nötig (Zone: Netzwerk 192.168.192.0, Mask 255.255.248.0).
    In dieser Zone habe ich ca. 2000 IP-Adressen für PLCs, Panels und andere Automatisierungskomponenten zur Verfügung!


    Spezialproblem MP277 / WinCCflexible:

    Ich glaube nicht, daß der Projekt-Transfer WinCCflexible -> MP277 funktioniert, wenn man einfach nur im Projekt die öffentliche IP 82.176.x.x direkt in die Hardware-Konfiguration des MP277 einträgt. Normalerweise findet der Transfer über den Port 2308 statt (alternativ Port 50523). Nur wenn WinCCflexible weiß, daß es nicht am selben Netz wie das MP277 angeschlossen ist, dann wird der Transfer über das Protokoll RFC1006 mit Port 102 "getunnelt".
    Eventuell geht das:
    Im Transfer-Dialog von WinCCflexible gibt es die Option "(x) Routing aktivieren, nächste Station: xxxxxxx" (oder so ähnlich).
    Ich weiß aber nicht, ob diese Option bei WCF2008 auch für Ethernet verfügbar ist und ob man da die IP 82.176.x.x direkt eintippen kann. Alternativ könnte/müßte in der Kunden-Firewall zusätzlich zum Port 102 auch noch ein Portforwarding für Port 2308 eingerichtet werden. Der Kunde-Administrator wird sich über die bevorstehende Port-"Inflation" freuen


    Fazit, Credits, etwas Eigenlob

    Also, ich finde meinen Router-Stellvertreter ziemlich elegant. Er dokumentiert gut die reale Vernetzung und ich kann auf diese Weise jederzeit von fern die Hardware-Konfiguration aus Step7 in die Ziel-SPS laden. Ich habe den Router-Stellvertreter in knapp 10 Projekten eingesetzt. Es funktioniert einfach.

    In mehreren Projekten habe ich PLC ohne eigene Ethernet-Schnittstelle mit Ethernet-zu-MPI-Programmieradaptern an Ethernet angeschlossen. Hier füge ich für den Zugriff über Ethernet bzw. Internet eine modifizierte Variante des Router-Stellvertreters in das Step7-Projekt ein (der "CP IE (LAN)" entfällt, die CPU314-MPI-Schnittstelle ist dann mit dem "PLC Network(MPI)" verbunden). Und schon mault Step7 nicht mehr rum: "Die Station ist über Ethernet garnicht erreichbar!".

    Obwohl, einen kleinen Schönheitsfehler hat "mein" Router: er sieht aus wie eine SPS und die Schnittstellen werden von NetPro nicht mit den selbst vergebenen Baugruppen-Namen beschriftet ("CP IE (WAN)"), sondern mit den Step7-Kurzbezeichnungen ("CP 343-1").

    Ob Siemens eigentlich weiß, wie universell das Objekt-Konzept von Step7 nutzbar ist? Jedenfalls habe ich diese Konstellation (SIMATIC-Station als Router-Stellvertreter) im Siemens-Support oder in Siemens-Handüchern noch nicht gesehen.

    In diesem Forum findet man eine Menge gute Beiträge und Anleitungen zu Netzwerk-spezifischen Problemen:
    www.administrator.de - Bereich: Netzwerke und Protokolle


    Gute Nacht.
    PN/DP
    Zitieren Zitieren Step7 RFC1006  

  5. Folgende 6 Benutzer sagen Danke zu PN/DP für den nützlichen Beitrag:

    Accused (27.03.2014),Bär1971 (10.02.2011),Funky (22.09.2009),JesperMP (10.08.2009),rostiger Nagel (07.08.2009),Treser-Olt (22.09.2009)

  6. #24
    Avatar von rostiger Nagel
    rostiger Nagel ist offline Super-Moderator
    Themenstarter
    Registriert seit
    13.10.2007
    Beiträge
    12.031
    Danke
    2.787
    Erhielt 3.268 Danke für 2.156 Beiträge

    Standard

    Hallo PN/DP,
    noch einmal VIELEN DANK und noch einmal ein DICKES LOB,
    für deine Ausführungen.

    gruß Helmut
    - - -
    Wer als Werkzeug nur einen Hammer hat, sieht in jedem Problem einen Nagel.

  7. #25
    Registriert seit
    24.03.2006
    Beiträge
    330
    Danke
    4
    Erhielt 73 Danke für 59 Beiträge

    Standard

    Guten Morgen,

    Zitat Zitat von Helmut_von_der_Reparatur Beitrag anzeigen
    Hallo PN/DP,
    noch einmal VIELEN DANK und noch einmal ein DICKES LOB,
    für deine Ausführungen.
    dem kann ich mich nur anschließen.

    Bernhard Götz
    Support Team
    DELTALOGIC Automatisierungstechnik GmbH
    http://www.deltalogic.de

  8. #26
    Registriert seit
    20.10.2003
    Ort
    Biberach
    Beiträge
    5.068
    Danke
    959
    Erhielt 1.459 Danke für 922 Beiträge

    Standard

    Zitat Zitat von JesperMP Beitrag anzeigen
    "Der DynDNS Dienst von MB Connect Line wurde um mymbnet.biz erweitert. Dieser Service wird derzeit kostenlos von MB Connect Line zur Verfügung gestellt. Es ist keine Anmeldung dafür notwendig".
    Hallo,

    auf mymbnet.biz ist jetzt eine kurze Erläutung zur Funktionsweise.
    Beste Grüße Gerhard Bäurle
    _________________________________________________________________
    Hardware: the parts of a computer that can be kicked. – Jeff Pesis

  9. #27
    Avatar von rostiger Nagel
    rostiger Nagel ist offline Super-Moderator
    Themenstarter
    Registriert seit
    13.10.2007
    Beiträge
    12.031
    Danke
    2.787
    Erhielt 3.268 Danke für 2.156 Beiträge

    Standard

    Hier noch eine ergänzung aus dem Siemens FAQ:
    http://support.automation.siemens.co...1711&caller=nl
    - - -
    Wer als Werkzeug nur einen Hammer hat, sieht in jedem Problem einen Nagel.

  10. #28
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.173
    Danke
    922
    Erhielt 3.288 Danke für 2.657 Beiträge

    Daumen runter

    Danke Helmut für den Hinweis auf den neuen Beitrag im Siemens A&D Support.

    Der Beitrag hat den Titel:
    Was ist beim Fernzugriff auf eine SIMATIC S7 mit STEP 7 über das Internet zu beachten?

    In dem Beitrag wird lediglich die einfachste, gleichzeitig jedoch gefährlichste technische
    Möglichkeit für einen Fernzugriff auf Automatisierungssysteme beschrieben:
    die einfache Portweiterleitung des Port 102 im Internet-Gateway der Anlage.

    Was tatsächlich unbedingt zu beachten ist, kommt in dem Beitrag jedoch nicht vor:
    der (nicht vorhandene) Schutz vor unbefugten Zugriffen!


    Ich vermisse einen deutlichen Warnhinweis, daß bei dieser Fernzugriffs-Lösung unbefugte
    Zugriffe auf das Automatisierungssystem für jedermann ohne weiteres möglich sind.

    Für Netzwerk-unkundige SPS-Techniker kann der Eindruck entstehen, daß die im Beitrag
    beschriebene Fernzugriffs-Lösung eine "ganz normale Sache" ist, die zudem ja von Siemens
    öffentlich empfohlen wurde.

    Mir kommt es so vor, als ob den Artikel irgendein Praktikant bei Siemens geschrieben hat, der
    sich zwar viel Mühe mit den bunten Bildchen gemacht hat, aber die Tragweite des Themas nicht
    überblickt. Das kann auf keinen Fall von einem verantwortungsbewußten Support-Mitarbeiter
    stammen.

    Bei den Beiträgen im Siemens A&D Support gibt es Möglichkeiten, interaktiv seine Meinung
    zu den Beiträgen dem A&D Support kund zu tun:

    Dieser Artikel...
    hat mir geholfen hat mir nicht gholfen
    Anregung zum Beitrag

    Den letzten Punkt habe ich mal genutzt und meine Anregungen zu dem Beitrag verschickt.
    Den genauen Wortlaut will ich hier lieber nicht veröffentlichen, nur soviel:
    Ich habe den nicht vorhandenen Warnhinweis auf den nicht vorhandenen Zugriffs-Schutz
    bemängelt und dem Autor empfohlen, diesen Thread hier im SPS-Forum zu lesen.

    Und was die technische Qualität des Beitrags anbetrifft:
    Umständlicher und verwirrender geht es ja wohl kaum noch.
    Da wird doch allen ernstes empfohlen, alle Steuerungen doppelt im Step7-Projekt einzufügen!
    Ob damit ggf. auch im Step7-Projekt integrierte HMI-Stationen (WinCC flexible) gemeint sind?

    Irgendwie passt der Beitrag zur Qualität der Problem-Tip-Mails vom Siemens A&D Technical
    Support in letzter Zeit. Da hat sich wohl so mancher schon gefragt, ob die wohl von einem
    deutschen Ingenieur geschrieben wurden.

    Gruß Harald
    Zitieren Zitieren Anregung zum Siemens A&D Support Beitrag 38571711  

  11. Folgende 2 Benutzer sagen Danke zu PN/DP für den nützlichen Beitrag:

    Matthias_VER (17.11.2009),rostiger Nagel (22.09.2009)

  12. #29
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.173
    Danke
    922
    Erhielt 3.288 Danke für 2.657 Beiträge

    Standard

    Hier mal noch ein Beispiel für unechte Simatic-Stationen als Stellvertreter für Router, Gateways, ganz allgemein Netzübergänge
    (die gelb gefärbten Stationen).

    Die beiden Netlinks stellen Ethernet-Adapter dar (Netlink, S7LAN, ...).
    Wenn die Ethernet-Adapter RFC1006 unterstützen, dann braucht man keine Treiber-Software für PC-Adapter und keine
    virtuellen COM-Ports mehr. Step7 findet dann auch allein den gerouteten Weg zu den verschiedenen Stationen.



    Falls Siemens hier mal liest:
    Es wäre echt hilfreich, wenn man das Aussehen der Simatic-Stationen individuell anpassen könnte (eigene Bitmap).

    Gruß Harald
    Angehängte Grafiken Angehängte Grafiken
    Zitieren Zitieren Simatic-Station als Stellvertreter für Netzübergänge  

  13. Folgende 2 Benutzer sagen Danke zu PN/DP für den nützlichen Beitrag:

    IBFS (27.09.2009),rostiger Nagel (22.09.2009)

  14. #30
    Registriert seit
    22.06.2009
    Ort
    Sassnitz
    Beiträge
    11.173
    Danke
    922
    Erhielt 3.288 Danke für 2.657 Beiträge

    Daumen hoch


    Zuviel Werbung?
    -> Hier kostenlos registrieren
    Für meine Anregungen zum Siemens A&D Support Beitrag
    Was ist beim Fernzugriff auf eine SIMATIC S7 mit STEP 7 über das Internet zu beachten?
    hat sich der Siemens Industrial Automation Systems Customer Support am 25.09.2009 bedankt.
    Der Beitrag wird nun von Siemens überarbeitet.

    Danke
    Harald
    Zitieren Zitieren Siemens reagiert auf Anregungen zu A&D Support Beitrag 38571711  

Ähnliche Themen

  1. Fernwartung über Internet - Sicherheit ?
    Von smartie im Forum Simatic
    Antworten: 19
    Letzter Beitrag: 10.06.2013, 16:51
  2. Antworten: 4
    Letzter Beitrag: 21.09.2009, 07:58
  3. Fernwartung TP177B über Internet
    Von heri1980 im Forum Simatic
    Antworten: 4
    Letzter Beitrag: 18.06.2009, 16:14
  4. Fernwartung bei SPS mit RS-232 über LAN/Internet
    Von olitheis im Forum Sonstige Steuerungen
    Antworten: 11
    Letzter Beitrag: 04.09.2007, 21:32
  5. Fernwartung über das Internet mit CP443-1 ?
    Von Anonymous im Forum Simatic
    Antworten: 3
    Letzter Beitrag: 12.01.2006, 19:26

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •