Step 7 Frage zur Fernwartung ET220s

[S7Anfänger]

Zuviel Werbung?
-> Hier kostenlos registrieren

Unser Kunde ist ein Privatkunde und kein gewerblicher.
Was wäre denn für die Variante ohne COSY 131 alles notwendig?
Also im Schaltschrank, beim Kunden und bei uns im Betrieb.
Und was müsste alles ein-/umgestellt werden?
Dann kann ich dem Kunden beides vorschlagen und er kann aussuchen.

 

[Hesse]

, doch wenn der Kunde den Fernzugang zur Verfügung stellt,

Das habe ich bei @S7Anfänger so nicht herausgelesen, mein Verständnis in diesem Fall war so das hier nur eine Zugang zum Netzwerk bzw. Internet bereitgestellte wird.

… wenn weder der Kunde noch der Maschinenlieferant nennenswert Ahnung von Netzwerktechnik und IT-Sicherheit haben.

Ja, genau so stellt sich der Fall hier doch da ….

Wie bereits gesagt, verständlicherweise wollen viele Kunden nicht solche vom Kunden kaum kontrollierbaren Einfallstore in die Infrastruktur der Firmen, oder wollen nicht an jeder Maschine eine andere Lösung,

Diese Firmen haben dann aber auch eine eigene IT im Haus und übergeben dir etwas Funktionstüchtiges mit Hand und Fuß.
Das Problem sind doch die kleineren Firmen mit einem externe IT-ler aus dem Nachbarort.
Denen bist du dann als Automatisiere doch ausgeliefert und rennst denen ständig nach, bis da was brauchbares zustande kommt. Wo du dann am Ende evtl. noch irgendwelche Fritzboxen angeschleppt bekommst die du mit Kabelbinder angebunden in deinem Schaltschrank dulden musst.
(Nix gegen AVM und Fritzbox , ich verwende in passenden oder dem Privaten Umfeld auch nichts anders)

Wollt Ihr als Lieferant ca. jährlich zu jeder Anlage hinfahren müssen um da die nötigsten Updates einzuspielen

Nein natürlich nicht , musste ich auch noch nicht. Bis jetzt habe ich alle Updates auch Online eingespielt, und mich dabei noch nicht abgeschossen (Restrisiko bleibt halt immer)

(wenn der Hersteller überhaupt Updates anbietet)?

Hier kann ich nur von eWon berichte: Ja die gibt es

Da ist eine zentrale Fernzugangslösung des Kunden, die er auch selber administriert und pflegt, viel besser und sicherer und nicht Euer Problem.

Das ist aber oftmals doch nur Wunschdenken.
Dazu bin ich zu selten bei „ Wünsch dir was“ ich bin leider immer nur bei „So ist es“

Man kann halt nix Verallgemeinern, jede Anwendung / Lösung hat seine Daseinsberechtigung

Sorry @S7Anfänger jetzt bist du wieder am Anfang …..





Gruß Hesse

 

[PN/DP]

Zuviel Werbung?
-> Hier kostenlos registrieren

Unser Kunde ist ein Privatkunde und kein gewerblicher.

Was für eine Internetanbindung hat der Privatkunde denn bereits?

Wollt Ihr als Lieferant ca. jährlich zu jeder Anlage hinfahren müssen um da die nötigsten Updates einzuspielen

Nein natürlich nicht , musste ich auch noch nicht. Bis jetzt habe ich alle Updates auch Online eingespielt, und mich dabei noch nicht abgeschossen (Restrisiko bleibt halt immer)

Na super. Wenn Du die Firmware des Routers vom Internet her updaten kannst, dann kann auch jeder halbwegs fähige Hacker eine ihm angenehme Firmware einspielen...

Harald

 

[S7Anfänger]

OK. Ganz von vorn.
Wir sind ein mittelständisches Maschinenbau unternehmen.
Wir verkaufen in diese Anlage an einen Kunden, der sie dann wieder an seinen Kunden verkauft.
Es soll eine Fernwartung geben. Wir wissen nicht wer der Endkunde ist und dürfen es auch nicht wissen.
Alles was wir wissen ist, das es ein privatkunde ist.
Mit Fernwartung habe ich bisher noch nie etwas gemacht.
Daher hatte ich mir erhofft hier einige Tipps zu erhalten.
Ich möchte dem Kunden gern vorgeben, was er für eine Fernwartung leisten und bereitstellen muss.
Und was ich dafür im Schaltschrank installieren muss. (ohne Kabelbinder).
Unsere IT besteht aus einer Person. Der Rest ist wirklich extern.
Möchte einfach als dummer Mensch einen Tipp haben, wie ich so etwas umsetzen kann/muss.

 

[S7Anfänger]

Ich glaube jeder vo uns ist einmal angefangen und war für Tipps von anderen dankbar.
Bin kein gelernter Programmierer und bringe mir alles (so gut es geht) selbst bei.
Für eure Tipps bin ich wirklich sehr dankbar.

 

[Hesse]

Zuviel Werbung?
-> Hier kostenlos registrieren

Na super. Wenn Du die Firmware des Routers vom Internet her updaten kannst, dann kann auch jeder halbwegs fähige Hacker eine ihm angenehme Firmware einspielen...

Jetzt mach doch nicht alles madig, dazu bist du noch genug Fachmann.
Für das Firmwareupdate sind schon einige Hürden vorhanden
Auch eine Hardware Freigabe vor Ort ist nötig wenn gewünscht.
Auch hängt nicht an jeder SPS eine Produktionline mit >250 Arbeitern oder ein Atomkraftwerk.

Wenn du das so „genau“ siehst darfst du auch kein Windowsrechner, kein Telekom Router, kein
TIA oder android Handy (usw.) einschalten.

Es ist doch immer so:
Für das Restrisiko muss jeder für sich eine Risikobewertung machen

Was für eine Internetanbindung hat der Privatkunde denn bereits?

Las mich raten :

Fritzbox oder Telekom Router

 

[Hesse]

Möchte einfach als xxxxxx Mensch einen Tipp haben, wie ich so etwas umsetzen kann/muss.

Genau dazu ist ein Forum da, mein Tipp (mit einem gangbaren Weg) hast du
(Zur Sicherheit ist auch noch ein Schlüsselschalter anschluss am eWon möglich)
Jetzt musst du aus den eingegangenen (oder noch eingehenden Tipps) abwägen.

 

[PN/DP]

Klar übertreibe ich ein bisschen.

Doch habt Ihr vorige Woche bei Wir hacken Deutschland gesehen, wie Windkraftanlagen und BHKW und ... frei oder nur unzureichend geschützt zugänglich sind, installiert von angeblichen Fachfirmen, die in Wahrheit keine Ahnung von IT-Sicherheit haben und sich auf die Zulieferer verlassen, welche am schönsten werben? Daß auch trotz lange bekannter Sicherheitslücken niemand die Probleme nur aus Verantwortungsgefühl beseitigt - weil das kostet ja.

Wir sind ein mittelständisches Maschinenbau unternehmen.
Wir verkaufen in diese Anlage an einen Kunden, der sie dann wieder an seinen Kunden verkauft.
Es soll eine Fernwartung geben. Wir wissen nicht wer der Endkunde ist und dürfen es auch nicht wissen.

:roll: Klar
Wenn es um IT-Sicherheit geht ist aber vertrauensvolle und konstruktive Zusammenarbeit nötig und nicht Heimlichtuerei. Nacher ist wieder mal niemand dran schuld...

Seht blos zu, daß Ihr bei der späteren Fernwartungslösung für nichts haftbar seid. Überlegt mal, was bei unberechtigtem Zugriff auf die Anlage passieren könnte und was das kosten könnte und dann diskutiert gemeinsam mit jemandem, der sich wirklich auskennt.

Harald

 

[S7Anfänger]

Zuviel Werbung?
-> Hier kostenlos registrieren

OK.
Variante 1 (etwas unsicher) wäre das COSY 131 das augenscheinlich ohne großen Aufwand zu installieren ist und einfach erscheint.
Variante 2 (mit den richtigen IT Leuten sichere Variante) wäre ein VPN Zugang der vom Kunden bereitgestellt wird und auch in der Firma richtig verarbeitet wird.
So richtig?
Muss bei dem VPN Zugang dann noch ein zusätzliches Gerät im Schaltschrank installiert werden?
Wie funktioniert so etwas generell? (Nur damit ich es auch verstehe)

 

[PN/DP]

Variante 1 (etwas unsicher) wäre das COSY 131 das augenscheinlich ohne großen Aufwand zu installieren ist und einfach erscheint.
Variante 2 (mit den richtigen IT Leuten sichere Variante) wäre ein VPN Zugang der vom Kunden bereitgestellt wird und auch in der Firma richtig verarbeitet wird.
So richtig?

Ja.
Bei 1) das Cosy muß eine ausgehende Verbindung zu einem Vermittler-Portal aufbauen, bei dem Du Dich einlogen mußt und dann Verbindung zu dem Cosy des Kunden erhältst.

Muss bei dem VPN Zugang dann noch ein zusätzliches Gerät im Schaltschrank installiert werden?

Normalerweise nicht. Kommt drauf an was für einen Internet-Router der Kunde hat (ob der VPN-Einwahl kann) und ob der überhaupt benutzt wird. Es könnte auch ein Mobilfunk-Modem im Schaltschrank installiert werden, auf den Du Dich einwählen könntest - da würde der Internet-Zugang des Kunde gar nicht benutzt.

Wie funktioniert so etwas generell? (Nur damit ich es auch verstehe)

Bei VPN/SSL-VPN verbindest Du Dich mittels eines VPN-Clients (z.B. Cisco AnyConnect) mit dem Internet-Router des Kunde und wirst direkt Mitglied des Kunde-Netzwerkes. https://de.wikipedia.org/wiki/Virtual_Private_Network

Harald

 

[JesperMP]

Wir verwenden beide Lösungen.
VPN-Zugang durch den Kunden EDV-Abteilung. 5% von die Kunden. Meist grosse Unternehmen in Europa.
VPN-Zugang durch Ewon/Talk2M/ecatcher. 95% Alle andere als grosse Unternehmen in Europa.

Für Ewon/Talk2M/ecatcher muss man unbedingt den einloggen zu ecatcher mit 2-Faktor Authorisierung wählen.
Das es dazu ein Risiko gibt, das Hacker irgendwie ein Ewon angreifen kann ist klar.
Aber was soll man sonnst machen ? Den Remote-Unterstützung von unsere Kunden unterlassen ?

 

[JesperMP]

Zuviel Werbung?
-> Hier kostenlos registrieren

N.B.

Ist ET220S die neue Ablöser für ET200S und ET200SP ?
Mit den Soliden Hardware von ET200S und den Performance von ET200SP ?
Das wäre super !!

 

[Fabpicard]

Muss bei dem VPN Zugang dann noch ein zusätzliches Gerät im Schaltschrank installiert werden?
Wie funktioniert so etwas generell? (Nur damit ich es auch verstehe)

Alles was du Fernwarten möchtest muss hierbei über Ethernet angebunden sein.
Und du musst alle IP's der Geräte vorher mit dem Kunden abstimmen, damit u.a. keine doppelt belegt sind in deren Netzwerk.
Ansonsten brauchst du nur die Zugangssoftware und passende Authentifizierungsschlüssel.
Für eWon und dergleichen, siehe: http://www.sps-magazin.de/?inc=artikel/article_show&nr=101580

Hier kann ich nur von eWon berichte...

Da du dich mit eWon auskennst, kurze Zwischenfrage
Kann ich die COSY141 auch nur an LAN angeschlossen als "NetLink-Ersatz" nutzen für S7-CPUs ohne Ethernet? *g*
Hab ich bisher schon erfolgreich mit 2 Rex-Dingern gemacht, die raus geflogen sind... Von den cosy-teilen hab ich jetzt auch endlich 3 Stück entsorgen können und hätte so eine neue Verwendung.
Einziges Manko: Die müssen auf der LAN-Seite ein Defaultgateway einstellbar haben

Bei 1) das Cosy muß eine ausgehende Verbindung zu einem Vermittler-Portal aufbauen, bei dem Du Dich einlogen mußt und dann Verbindung zu dem Cosy des Kunden erhältst.
Normalerweise nicht. Kommt drauf an was für einen Internet-Router der Kunde hat (ob der VPN-Einwahl kann) und ob der überhaupt benutzt wird. Es könnte auch ein Mobilfunk-Modem im Schaltschrank installiert werden, auf den Du Dich einwählen könntest - da würde der Internet-Zugang des Kunde gar nicht benutzt.

Hat man nur Ethernet im Schrank und möchte keine "Portale" nutzen, weil die beste Cloud ist ja die welche man selbst hostet Und es soll noch sicher sein...
Dann könnte man auch einfach von Mikrotik die kleinen Routerboards nehmen. Kosten hier einmal in der Zentrale von sich 55 Euros und halt je Anlage 55 Euro.
Braucht man in seiner Zentrale allerdings auch eine statische IP... Mit der baut man dann von den Clients einfach eine IPSec-Verbindung auf, die man vollständig Tunnelt....
Gut, hier muss man dann wieder wissen man da tut

MfG Fabsi

 

[JesperMP]

Und du musst alle IP's der Geräte vorher mit dem Kunden abstimmen, damit u.a. keine doppelt belegt sind in deren Netzwerk.

IPs vorher abstimmen braucht man nicht unbedingt.
Man kann den Ewon für die Kunde offen lassen, so das er auf der WAN-Seite selber die IPs einstellen kann. Sonnst ist es schwierig IP-Adressen zu vereinbaren die Jahrzenten-lang nicht geändert werden darf.
Der Kunde darf nur nicht der IP auf der LAN-Seite ändern.
Genau das ist auch ein Vorteil bei dieser Lösung. Also, man kann (in die meisten Fällen) seine Standard-IP Adressen auf der Machinen-Seite behalten.
Ein Tip: Die IPs auf der Maschinen-Seite, inklusiv der Ewon-LAN, nicht als einer von die üblichen Router IPs wählen (also nicht 192.168.0.xx, 192.168.1.xx, 10.0.0.x, 10.1.1.x oder 10.10.1.x).

 

[Hesse]

Zuviel Werbung?
-> Hier kostenlos registrieren

Variante 2
Muss bei dem VPN Zugang dann noch ein zusätzliches Gerät im Schaltschrank installiert werden?
Wie funktioniert so etwas generell? (Nur damit ich es auch verstehe)

Alles was du Fernwarten möchtest muss hierbei über Ethernet angebunden sein.
Und du musst alle IP's der Geräte vorher mit dem Kunden abstimmen, damit u.a. keine doppelt belegt sind in deren Netzwerk.

JesperMP jetzt wird es kompliziert ….
Ich denke du hast aus Variante 2 (ohne) eWon zitiert und dann
Auf Variante 1 (mit eWon) geantwortet......

Zumindest gilt @Fabpicard Antwort

Und du musst alle IP's der Geräte vorher mit dem Kunden abstimmen, damit u.a. keine doppelt belegt sind in deren Netzwerk.

nur für die VPN version ohne EWon

IPs vorher abstimmen braucht man nicht unbedingt.
Man kann den Ewon für die Kunde offen lassen

 

[Hesse]

@Hesse
Da du dich mit eWon auskennst, kurze Zwischenfrage
MfG Fabsi

https://www.sps-forum.de/feldbusse/87809-cosy141-als-netlink-ersatz-oder-lan-zu-mpi.html#post659814

 

[S7Anfänger]

Ich habe da noch eine Weitere Frage zu dem Thema.
Meine ET200s und das Panel werden über Ethernet miteinander verbunden. Diese beiden Geräte möchte ich Fernwarten. Hinzu kommen noch mehrere Geräte die per ProfiNet an der SPS Angeschlossen sind.
Benötige ich von dem Kunden jetzt mehrere IP Adressen für die Fernwartung? Jedes Gerät (auch ProfiNet) hat ja seine eigene IP.

Hagen

 

[Howard]

Zuviel Werbung?
-> Hier kostenlos registrieren

Gegenfrage, warum hängen deine ET und das Panel nicht auch im Profinet? Wenn alle Teilnehmer im selben Netz hängen und dein wie auch immer gearteter Zugang auch in diesem Netz ist, dann kannst du auch alle Teilnehmer erreichen.
Wenn du allerdings eine SPS mit zwei Netzwerkkarten hast und auf der einen Seite dein Panel im Ethernet hängt und auf der anderen Seite dein Profinet, dann hat man bei Siemens ein Problem, weil die SPS nicht zwischen ihren Ports routen kann.
Außerdem erschließt sich mir nicht so ganz, warum du auf das HMI und die ET willst, nicht aber auf die SPS? Oder hab ich dich da falsch verstanden?