Step 7 Fernwartung für 5 PLCs

[nruehle]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo,

ich möchte mit Step 7 V 5.5 per VPN-Kanal auf eine Anlage zugreifen, auf der 5 CPUs (1x VIPA 315 und 4x VIPA 314) in einem internen Maschinennetzwerk per TCP/IP verbunden sind.
Vom Kunden bekomme ich den VPN-Kanal zur Verfügung gestellt, der bis zum maschineninternen Router (Welotec) aufgebaut wird.
Der Maschinen-Router forwarded die Verbindung in das Maschinennetzwerk (LAN-seitig: IP 192.168.0.1 bis 192.168.0.100).
Wie kann ich nun Step7 klarmachen, auf welche der 5 CPUs ich mich verbinden will?
Gibt es hierfür eine sichere und praktikable Lösung?

Grüße!

Norbert Rühle

 

[Sven Rothenpieler]

Hallo,

da alle SPSen über die VPN-Adresse des Routers erreichbar sind und Step7 grundsätzlich mit Port 102 arbeitet wird es schwierig (zwar nicht unmöglich, aber sehr sehr aufwändig und nur mit Änderungen im S7-Projekt sowie bei den Portforwarding-Regeln im Router). Um dies zu umgehen, gibt es von uns ACCON-TeleService IE. Läuft zurzeit noch nicht mit TIA und 64-Bit OS, wird aber demnächst auch kommen. Bei Fragen kannst du dich auch gerne telefonisch bei mir melden.

 

[nruehle]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo,

was ist hierbei der Unterschied zu Lösungen wie eWON/eCatcher/Talk2M?
Das Problem ist, dass der Kunde nur den direkten statischen VPN-Kanal zwischen Anlage und unserem Headquarter zulässt und Lösungen, die wie Talk2M strikt ablehnt.

Grüße
Norbert Rühle

 

[Thomas_v2.1]

Du hast also einen VPN Client mit dem du dich schon in dein Maschinennetzwerk einwählen kannst? Wenn die VPN-Verbindung richtig eingerichtet ist, solltest du ganz normal mit Step7 auf deinen CPUs online gehen können.

 

[nruehle]

Das Problem ist doch, dass da nicht nur 1 CPU sondern 5 CPUs im Netzwerk sind.
Wie soll ich Step7 beibringen, auf welche CPU es sich verbinden soll?

Grüße

Norbert Rühle

 

[Thomas_v2.1]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wenn 5 CPUs im Netzwerk sind, haben die doch auch eine eindeutige IP-Adresse. Und darüber erreicht Step 7 die CPUs doch genauso, also wenn du mit deinem PG vor Ort im Netzwerk angeschlossen bist.

Zumindest richte ich mir meine VPN Verbindungen so ein. Ich baue mit meinem VPN-Client die Verbindung ins Anlagennetz auf, und befinde mich mit meinem PG mit einer virtuellen IP-Adresse im Netzwerk, als wenn ich vor Ort säße.

Oder ist das bei dir anders?

 

[Sven Rothenpieler]

Das Problem ist doch, dass da nicht nur 1 CPU sondern 5 CPUs im Netzwerk sind.
Wie soll ich Step7 beibringen, auf welche CPU es sich verbinden soll?

Mit ACCON-TeleService IE z. B. Hast du dir das mal angeschaut? Es wird als zusätzliche Schnittstelle in der PG/PC-Schnittstelle eingerichtet, wo du definieren kannst, welche projektierte IP-Adresse über welche Ziel-IP-Adresse über welchen Port erreichbar ist. Mit eWon, Talk2M, etc. hat das ganze nichts zu tun.

Wenn 5 CPUs im Netzwerk sind, haben die doch auch eine eindeutige IP-Adresse. Und darüber erreicht Step 7 die CPUs doch genauso, also wenn du mit deinem PG vor Ort im Netzwerk angeschlossen bist.

Zumindest richte ich mir meine VPN Verbindungen so ein. Ich baue mit meinem VPN-Client die Verbindung ins Anlagennetz auf, und befinde mich mit meinem PG mit einer virtuellen IP-Adresse im Netzwerk, als wenn ich vor Ort säße.

Oder ist das bei dir anders?

Wenn er 5 SPSen hat, die hinter dem Router hängen, sind die von außen erstmal nur über die IP-Adresse des Routers erreichbar. Da Siemens aber grundsätzlich den Port 102 für die TCP/IP-Kommunikation nutzt, kann der Router durch einfache Portforwarding Regeln erstmal nicht entscheiden, an wen das Paket gehen soll. Ich muss also entweder die IP-Adressen in meinem Projekt ändern (auf die des Routers anpassen) oder aber TeleService IE nutzen.

Nochmal zur Verdeutlichung:

projektierte IP-Adresse in Step7 (SPS 1): 192.168.20.15
VPN-IP-Adresse des Routers: 10.111.13.30

projektierte IP-Adresse in Step7 (SPS 2): 192.168.20.16
VPN-IP-Adresse des Routers: 10.111.13.30

Im Router muss ich jetzt per Portforwarding einstellen, dass alle Pakete auf Port 102 auf die IP-Adresse 192.168.20.15 oder eben 192.168.20.16 jeweils auf Port 102 weitergeleitet werden sollen (S7 kennt halt nun mal nur Port 102).
Mit ACCON-TeleService IE kann man Step7 also austricksen und sagen, dass sie über Port 103 z. B. rauskommunizieren soll, sodass der Router wieder eine Unterscheidung treffen kann, was anders einfach nicht geht.

 

[PN/DP]

Vom Kunden bekomme ich den VPN-Kanal zur Verfügung gestellt, der bis zum maschineninternen Router (Welotec) aufgebaut wird.
Der Maschinen-Router forwarded die Verbindung in das Maschinennetzwerk (LAN-seitig: IP 192.168.0.1 bis 192.168.0.100).

Kann es sein, daß Dein "Router (Welotec)" tatsächlich nur ein Switch ist und Deine Wortwahl einfach nur "unglücklich"?
Es wäre ziemlich sinnfrei, sich per VPN in ein Kundennetz einzuwählen und dann nochmal ein Portforwarding zum Maschinennetz hintendran ...

Wie kann ich nun Step7 klarmachen, auf welche der 5 CPUs ich mich verbinden will?

Zunächst baust Du Deinen VPN-Kanal auf (Einwahl). Dann machst Du alles genauso wie wenn Du direkt an der Anlage angesteckt bist - da gehst Du doch auch per Ethernet online auf die 5 CPU ohne umzustecken, oder nicht?
Achtung: meistens muß in den SPS auch ein Gateway eingetragen sein - welche IP-Adresse das ist frage den Kunde-Administrator.

Harald

 

[Sven Rothenpieler]

Zuviel Werbung?
-> Hier kostenlos registrieren

@Harald:
Das sehe ich etwas anders. Wenn der Router (nehmen wir mal an, es ist ein Router ) über seine VPN-IP-Adresse eine Anfrage auf einem gewissen Port bekommt, muss er diese doch an die interne private IP-Adresse weiterleiten. Von daher ist das mit dem Portforwarding garnicht so falsch gedacht.

Der Unterschied zwischen VPN- und lokalem Zugriff liegt darin, dass der Router eben noch dazwischen hängt, der über einen ganz anderen Adressbereich (VPN) von außen erreichbar ist. Von daher kann man hier nicht wie bei lokalem Zugriff vorgehen.