Step 7 erneute Frage Fernzugriff

S

S7Anfänger

Level-1
Beiträge
262
Reaktionspunkte
2
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Experten,

Ich habe folgendes Problem:
Wir haben eine Anlage ins Ausland geliefert, die eine Fernwartung erhalten soll. Verwendet haben wir die CPU (IM151-8 PN/DP CPU). Unser Kunde hat uns einen Internetanschluss zur Verfügung gestellt und würde eine VPN / Remote Verbindung erstellen.

Würden wir für einen Fernzugriff dann irgendwelche zusätzlichen Komponenten benötigen?


Von unserem Programmierer habe ich die Info erhalten das zusätzlich folgende Komponenten benötigt werden (siehe Anhang)


Welche Aussage ist nun Richtig?
Werden zusätzliche Komponenten benötigt wenn der Kunde uns die Entsprechende Verbindung zur Verfügung stellt?

Bin echt am verzweifeln.

Vielen Dank
Hagen
 

Anhänge

  • Komponenten Fernzugriff.jpg
    Komponenten Fernzugriff.jpg
    30,6 KB · Aufrufe: 87
Hallo,

nachdem die CPU nicht direkt mit dem Internet verbunden werden kann, benötigst Du zusätzliche Komponenten.

Dabei ist nicht nur die Frage, wie das technisch geht, sondern auch wie sicher das ganze ist.

In der Regel macht man das heute mit einem Portal. Da gibt verschiedene Anbieter, Insys, ewon, MB connect line sind mir am geläufigsten.

Beispiel MB connect line:

Da gibt es die Industrierouter mbNET, mit denen die Anlage mit dem Internet verbunden wird.

https://www.mbconnectline.com/de/produkte/mbnet.html

Dazu gibt es einen Portalzugang zu mbconnect24. Dort hin verbindet sich die Anlage – und auch der Progammierer.

https://www.mbconnectline.com/de/produkte/mbconnect24.html

Vorteil solcher Lösungen: Die Firewall an der Anlage muss nicht angefasst werden, es gibt auf beiden Seiten nur ausgehenden Verbindungen.

Oft geben die Kunde heute vor, welche Systeme zur Fernwartung genutzt werden dürfen.
 
Wenn die Kunde ein VPN Verbindung zu Verfügung stellt . Musst ihres SPS Adressen in der selbe range liegen wie das interne Adresse von VPN Router oder Must da irgendwo nach geroutet wurde. In der HW config von der SPS Must bei Gateway das Adresse von der Router welche ihre Adress range Nacht außen verbind eingegeben werden.
Ich habe ein 151-8 in Ausland stehn welche via ein VPN via eine 4G Router via Internet verbunden ist. Adresse von SPS liegen in der reeks 10.9.45. 20-99 VPN Router habe Adresse 10.9.45.1 Gateway welche in der SPS und pc eingegeben sind ist 10.9.45.1
Für Verwertung nur ein VPN Verbindung mit der Anlage aufbauen und danach geht's du online wie du bei der Anlage Sitz.

Gruß Joop

Verstuurd vanaf mijn SM-G930F met Tapatalk
 
S7Anfänger schrieb:
Werden zusätzliche Komponenten benötigt wenn der Kunde uns die Entsprechende Verbindung zur Verfügung stellt?
Zum Vergrößern anklicken....

Das hängt ganz davon ab, ob dein Kunde das Anlagennetz vom Büronetz getrennt haben möchte oder nicht. In der Regel wird es getrennt und dazu benötigst du einen entsprechenden Router, welcher zusätzlich VPN-Client sein kann - je nach Konfiguration.

Wir (INSYS) haben da wie von Gerhard bereits geschrieben ebenfalls Geräte für den Fernzugriff. Bei Fragen kannst du dich auch gerne per PN an mich wenden.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo

ich benutze bei den Anlagen die ich Plane und Programmiere seit einem Jahr die Lösung von Secomea.

https://www.secomea.com/de/sitemanager-hardware/

Ist super einfach zu Parametrieren und bin bis jetzt sehr zufrieden.
Habe bis jetzt ca. 10 Anlagen damit ausgerüstet.

Hatte vorher die Lösung von Insys, mit der war ich aber sehr unzufrieden, da für mich sehr umständlich zu Parametrieren und die Verbindung immer sehr instabil war.

MFG
 
Wenn der Kunde eine VPN-Verbindung erstellt hat, dann braucht man meistens gar keine zusätzliche Hardware oder irgendwelche Portale, denn dann soll die Anlage mit einer vorhandenen Firmen-Netzwerkinfrastruktur verbunden werden. Dann muß lediglich die Steuerung mit dem vom Kunde vorgegebenen Netzwerk verbunden werden (*) und in der Steuerung der zuständige Router/Gateway eingetragen werden und auf dem PG braucht man einen passenden VPN-Client (Software).
(*) Falls die IP-Adressen der Anlage nicht an einen vom Kunde vorgegebenen Bereich angepasst werden können/sollen, dann wird eine zweite Netzwerkschnittselle in der Steuerung nötig - was die IM151-8 aber nicht kann. Da muß dann ein Router zwischengeschaltet werden. Es könnte sein, daß der Kunde will, daß dieses Router-Equipment mitgeliefert wird.

Wie der Kunde die Vernetzung von der Einwahl ins Firmennetz zu der Steuerung realisiert (hat) ist eine andere Baustelle und für den Steuerungs-Lieferant normalerweise nicht relevant. Es sei denn, der Steuerungs-Lieferant soll auch die notwendigen Komponenten für die Anbindung der Steuerung ans Firmennetz liefern, dann kann er aber keine Internet-Router- und Portal-Lösungen liefern, weil die eben nicht die Steuerung mit dem Firmennetz/Firmenrouter verbinden.

Harald
 
Gerhard Bäurle schrieb:
Hallo,
...
Dabei ist nicht nur die Frage, wie das technisch geht, sondern auch wie sicher das ganze ist.

In der Regel macht man das heute mit einem Portal. Da gibt verschiedene Anbieter, Insys, ewon, MB connect line sind mir am geläufigsten.
....
Zum Vergrößern anklicken....

Also "Sicher" und "Portal" in einen Zusammenhang zu setzen finde ich doch schon mutig. Immerhin vertraut man einer Firma, die man im Normalfall nicht kontrollieren kann, mindestens den Zugangspunkt einer Anlage an.
Ich würde das nicht nutzen wollen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
d-eye schrieb:
Also "Sicher" und "Portal" in einen Zusammenhang zu setzen finde ich doch schon mutig.
Zum Vergrößern anklicken....

Danke, endlich spricht es mal einer aus :)

Diese ganzen blendenden Versprechungen "Unser Portal ist wirklich Sicher" und genau anschauen ob da eine Schwachstelle sein könnte, darf sich das dann keiner weil es ja Betriebsgeheimnis ist...
Ist aber wie überall in der Sicherheitsbranche und dem IT-Bereich. Eines der geilsten Beispiele war damals die Vorstellung des Telekom eigenen Verschlüsselungsalgorithmus, mit dem die hoch sicher ihre wichtigsten Daten gesichert haben... Kaum war der offen gelegt und die 20min Präsentation vorbei, melden sich die beiden Herren Shamir und Anderson mit den Worten "Sorry, but it's brocken" .... :ROFLMAO:
( https://de.wikipedia.org/wiki/Magenta_(Algorithmus) )

Die beste Cloud ist immer noch, die man selbst hostet. Ebenso bei der Fernwartung... Wobei ich natürlich verstehen kann, wenn man nur 10 Maschinen im Jahr baut und die Kunden meist nur 1 bis 3 Maschinen überhaupt in der Halle stehen haben, lohnt sich der Aufwand fast nicht... Aber es gibt kostenlose Und sicherer Lösungen hierfür, die nicht viel Arbeit erfordern ;)

MfG Fabsi
 
d-eye schrieb:
Also "Sicher" und "Portal" in einen Zusammenhang zu setzen finde ich doch schon mutig. Immerhin vertraut man einer Firma, die man im Normalfall nicht kontrollieren kann, mindestens den Zugangspunkt einer Anlage an.
Ich würde das nicht nutzen wollen.
Zum Vergrößern anklicken....

Dass ein Portal sicherer ist, als die Firewall aufzubohren und eingehende Verbindungen zuzulassen, ist ja wohl unbestritten.

Zudem ist der Zugangspunkt zur Anlage nur aktiv, wenn sich die Anlage mit dem Portal verbindet. Das steuert der Betreiber.

Wer ein Problem damit hat, einem deutsche Mittelständler zu vertrauen, der sich der Industrial Security verschrieben hat, muss konsequenterweise seinen Internetzugang kündigen.
 
Fabpicard schrieb:
...

Die beste Cloud ist immer noch, die man selbst hostet. Ebenso bei der Fernwartung... Wobei ich natürlich verstehen kann, wenn man nur 10 Maschinen im Jahr baut und die Kunden meist nur 1 bis 3 Maschinen überhaupt in der Halle stehen haben, lohnt sich der Aufwand fast nicht...
Zum Vergrößern anklicken....

Das Portal gibt es auch als Inhouse-Lösung, damit sind sämtliche Tunnelendpunkte im eigenen Hoheitsgebiet:

https://www.mbconnectline.com/de/produkte/mymbconnect24virtual.html

Fabpicard schrieb:
...
Aber es gibt kostenlose Und sicherer Lösungen hierfür, die nicht viel Arbeit erfordern ;)
MfG Fabsi
Zum Vergrößern anklicken....

Billiger geht immer, klar. Bei "sicherer" ist halt die Frage, welche Risiken betrachtet werden.

Wie gewichte ich das Risiko, dass durch Konfigurationsfehler in handgestrickten Lösungen Sicherheitslücken entstehen können?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Gerhard Bäurle schrieb:
Dass ein Portal sicherer ist, als die Firewall aufzubohren und eingehende Verbindungen zuzulassen, ist ja wohl unbestritten.
Zum Vergrößern anklicken....
Wenn man keinen anderen Lösungsansatz kennt, mag das vielleicht so sein.

Gerhard Bäurle schrieb:
Zudem ist der Zugangspunkt zur Anlage nur aktiv, wenn sich die Anlage mit dem Portal verbindet. Das steuert der Betreiber.
Zum Vergrößern anklicken....
Das schränkt lediglich das Zeitfenster ein.

Gerhard Bäurle schrieb:
Wer ein Problem damit hat, einem deutsche Mittelständler zu vertrauen, der sich der Industrial Security verschrieben hat, muss konsequenterweise seinen Internetzugang kündigen.
Zum Vergrößern anklicken....
Nichts gegen den dt. Mittelstand, aber da sind schon ganz andere auf die Nase gefallen. Ich muss deswegen meinen Internetzugang nicht kündigen, ich gebe aber zu ihn mit Bedacht zu nutzen.
Absolute Sicherheit wird es nie geben, man sollte sich aber über Risiken informieren und diese minimieren - Portale zur SPS-Anbindung sind da halt ein Thema, wenn auch nicht das Größte.
 
Mimimi... Risiko hier, Risiko da. Natürlich gibt es die. Aber wer mir erzählen will, dass ein normales Mittelständisches Unternehmen mehr Sicherheit bieten kann als eine Serverlösung, welche in einem redundanten und gesicherten Rechenzentrum läuft, der hat nicht mehr alle Latten am Zaun. Und billiger ist es allemal als selbst einen solchen Server aufzubauen (Hardware, Personal, Wartung, etc.).

Man vertraut doch auch dem Maschinenbauer, dem Softwareentwickler, etc. Und wer bitte bringt die Gehaltsschecks noch persönlich zur Bank? Online-Banking ist auch eine Cloudlösung. Webseitenhosting und E-Mail-Server etc. hat auch keiner im eigenen Haus stehen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Gerhard Bäurle schrieb:
Du kritisierst, machst schlecht, stellst in Frage – jedoch ohne Argumente und zudem trägst Du nichts zur Lösung bei.

Ideale Voraussetzungen für einen "guten" Politiker :cool:
Zum Vergrößern anklicken....

Also jetzt mal gaaanz langsam. Es gibt auch Leute, die kommen gleich mit "Latten am Zaun" - das passt wohl eher zu der aktuellen Politikerzunft.
Argumente hatte ich ja gebracht, weswegen ich ja hier auch Gegenwind bekomme. Die Kritik mit der fehlenden Lösung greife ich aber gern auf.

Mein seit Jahren praktizierter Ansatz ist, beim Kunden (also an der Anlage) einen Router (Mikrotik, ab 30 Euro) zu installieren, der ein VPN nach außen aufbaut. Somit entfällt das Öffnen von Ports in der Firewall, was die IT-Abteilungen meist sowieso nicht zulassen. Der Einwahlpunkt sollte natürlich im Internet erreichbar sein, kann eine dynamische IP mit DDNS oder auch eine statische IP sein. Daran hängt ein Router der genau den einen Port fürs VPN offen hat - und sonst nichts. Dafür geht nicht jeder Router, ich benutze auch da Mikrotik (wie gesagt, ab 30 Euro). Um mich mit der Anlage zu verbinden, benutze ich einen Router (ja genau, wieder Mikrotik) der sich ebenfalls in den Einwahlpunkt einwählt, geht natürlich auch ohne Löcher in der Firewall.
In jeden VPN Tunnel (natürlich verschlüsselt) spanne ich einen oder mehrere EoIP-Tunnel auf (wieder verschlüsselt), die im Einwahlrouter gebridged sind. Somit habe ich Remotezugriff auf Layer2 Ebene. Das heißt, wenn der Kunde eine neue CPU steckt, hab ich per ISO-Protokoll Zugriff und kann dem Teil eine IP vergeben. Auf das Kundennetz (welches auch den Internetzugang zur Verfügung stellt) kann ich nicht zugreifen, da der Router mich da durchtunnelt.

Zur Erinnerung: Hardwareaufwand ab 3x 30 Euro plus Internetzugang und natürlich etwas Konfigurationsaufwand - allerdings ohne zusätzliches sicheres mittelständiges Unternehmen.
Als VPN benutze ich SSTP auf Port 443, ist in allen Firmen die ich kenne nicht gesperrt. Die EoIP-Tunnel sind dann noch mal IPSec verschlüsselt.

Zur nächsten Frage: Nein, ich bin kein Politiker. Politiker würden aber auch glauben, dass eine Software mit Sicherheitslücken in einem "redundanten und gesichertem" Rechenzentrum sicherer läuft als auf einem von außen zugänglichen PC der Chefsekretärin.
Soviel erst mal zum Thema Latten und Zäune.
 
Es gibt übrigens Bundesländer (bzw. deren Bezirksregierungen) die bei kritischen Infrastrukturobjekten explizit die Verwendung solcher Einwahlkonzentratoren / Vermittlern ausschließen. Dazu gehört dann z.B. auch Teamviewer.
 
Gerhard Bäurle schrieb:
Billiger geht immer, klar. Bei "sicherer" ist halt die Frage, welche Risiken betrachtet werden.

Wie gewichte ich das Risiko, dass durch Konfigurationsfehler in handgestrickten Lösungen Sicherheitslücken entstehen können?
Zum Vergrößern anklicken....

Es geht mir hier nicht um "Billiger"... Wenn ich etwas kaufe, was Closed-Source ist, muss ich dem Hersteller halt vertrauen das er dort keine Lücken eingebaut hat.
Nutze ich Open-Source-Software, können da natürlich auch Fehler drin sein, ist ja schließlich kein Mensch perfekt...
Aber wie hoch bitte, schätzt du die Wahrscheinlichkeit ein, das beispielsweise bei OpenVPN eine Sicherheitslücke lange unentdeckt bleibt und durch einen Angreifer ausgenutzt werden könnte?
(An dieser Stelle passt der Link ganz gut: https://www.heise.de/security/meldu...greifer-koennten-OpenVPN-crashen-3751852.html)

AES ist ja auch nicht AES, denn das ist der Rijndael-Algorithmus welcher die Ausschreibung nach einem DES-Nachfolger damals gewonnen hat.
Nutzt heute jeder, ist allgemein als Sicher anerkannt, weil die Lücken welche von den besten Kryptologen der Welt gefunden werden konnten, mit aktueller Technik nicht anwendbar sind und das Wichtigste: JEDER kann sich anschauen, wie er arbeitet...
Man siehe mein Beispiel oben, der war ja auch angeblich Jahrelang sicher genug für unser aller Rechnungen und Kundendaten bei der T-Com... Bis er eben auf dem Kongress offen gelegt wurde und binnen 20 Minuten geknackt :D

Holst du dir jetzt eine solche "InHouse-Klaus-Lösung", dann hast du IN deiner Netzwerkinfrastruktur eben eine teure BlackBox stehen, bei der du NIE wissen kannst, was diese wirklich alles macht und wie sie es macht.

Sicherheit kostet eben kein bis nicht viel Geld, das gute Gefühl der Sicherheit, kann man sich allerdings erkaufen für teures Geld...

MfG Fabsi
 
Zuviel Werbung?
-> Hier kostenlos registrieren
d-eye schrieb:
Zur Erinnerung: Hardwareaufwand ab 3x 30 Euro plus Internetzugang und natürlich etwas Konfigurationsaufwand - allerdings ohne zusätzliches sicheres mittelständiges Unternehmen.
Als VPN benutze ich SSTP auf Port 443, ist in allen Firmen die ich kenne nicht gesperrt. Die EoIP-Tunnel sind dann noch mal IPSec verschlüsselt.
Zum Vergrößern anklicken....

Die Nutzung zweier Router (einmal OVPN-Client und einmal OVPN-Server) ist an der Stelle natürlich eine Alternative zu externen VPN-Server-Lösungen. Allerdings wundert es mich, dass man hier so auf Sicherheit pocht und dann ein Office-Gerät für 30 € einsetzt?!?! DAS und Sicherheit in einem Post unterzubringen, halte ich für sehr fragwürdig...

Politiker bin ich zum Glück nicht. Und von einer Software mit Sicherheitslücken habe ich nicht gesprochen, sondern wurde von dir pauschal unterstellt.
 
Sven Rothenpieler schrieb:
Allerdings wundert es mich, dass man hier so auf Sicherheit pocht und dann ein Office-Gerät für 30 € einsetzt?!?!
Zum Vergrößern anklicken....
Und was garantiert mir, daß so eine ohne Not abhängig machende mittelständische Portal-Lösung sicherer ist als eine erprobte offene Standard-Lösung? Besonders wenn der Portal-Service kostenlos angeboten wird, und im Fall der Fälle für nichts gehaftet wird? In der Vergangenheit wurde praktisch jeder nennenswerte Hoster von Kundengeheimnissen irgendwann mal gehackt oder anderweitig die Daten gestohlen/verhökert...

Harald
 
Komischer Thread:
VPN Client installieren der vom Kunden zweifellos zur Verfügung gestellt wird, und fertig ist der Lack, IP-Adressen / GW / DNS etc. im Step7 Projekt vorher natürlich noch nach Kundenvorgaben anpassen, und mindestens noch einmalig "Offline" in die CPU spielen.

Keine Ahnung was hier gerade für eine -mit Verlaub- dämliche Diskussion stattfindet.
 

Similar threads

D
Sonstiges externe Meldungen in PCS 7 einpflegen
Antworten
5
Aufrufe
570
Detto
D
S
TIA ET200S Fehler aber keine SF an
2 3
Antworten
45
Aufrufe
5K
PN/DP
PN/DP
S
TIA TIA Portal V17 WinCC Advanced kein Laden der HMI-Runtime über VPN möglich
Antworten
3
Aufrufe
821
Sona_the_witch
S
C
TIA CPU 1507S, RT Advanced, Sm@rt Server, Ewon/ECatcher - Hilfe!
Antworten
18
Aufrufe
2K
chains
C
S
Elektrokonstrukteur (d/m/w) in Dresden von DAS Environmental Expert GmbH gesucht
Antworten
0
Aufrufe
202
softgarden
S
Zurück
Oben