TIA Fernwartung NAT-Routing nur eine IP-Adresse für 3 Teilnehmer ???

[Softi79]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hallo zusammen,

von unseren Kunden bekommen wir nur eine IP-Adresse und eine Kundeneigene VPN-Lösung (Open-VPN) zur Fernwartung von 3 Geräten Siemens 1500, Siemens TP700, und einem Linux PC.

Der Kunde sagt wir müssen das ganze mit einem Router und dem NAT-Routing lösen Ich habe dann "Bahnhof" verstanden...

Zu dem Thema habe ich mich schon mal eingelesen und auch so etwas wie eine NAT-Tabelle gefunden. Wird hier das SNAT oder DNAT benötigt?
Aber kann das so funktionieren? Woher weiß mein TIA-Portal über welchen Weg es zur SPS kommt und wie kann ich über den VNC-Viewer auf den PC zugreifen?

SPS: 10.15.10.1 ==> 10.20.10.1
HMI: 10.15.10.2 ==> 10.20.10.1
PC: 10.15.10.3 ==> 10.20.10.1

==> Router
< Router

IP-Adresse vom Kunden 10.20.10.1

VPN-Verbindung <==> Unser Netzwerk mit VNC-Viewer und TIA-Portal

Geht das überhaupt ?

Gruß Softi

PS: War das schön als man früher noch Vor-Ort musste, da gab es diese Netzwerkprobleme nicht

 

[Stoky]

Hallo Softi79,

ich bin in dem Bereich kein Experte, aber beim Natting so wie ich das kenne wird jeder IP in der Natting Tabelle eine andere IP zugewiesen auf die man von außen zugreifen kann. Ich hatte da mal einen Kunden der die Fernwartung unbedingt so machen wollte, das war aber noch mit Step 7 V5.5. Du musst dann als Verbindungs IP z.B. um im Simatic manager Online zu gehen nicht die normale IP der SPS, sondern die IP aus der Natting Tabelle nehmen. Das war in der Kombination schon nervig und umständlich.

Ich vermute dein Kunde will, das du dir einen Router einbaust und versuchst auf den zuzugreifen. Ich wüsste aktuell nicht wie das gehen soll... Aber wie gesagt ich bin kein Experte.

Gruß Christian

 

[JesperMP]

Zuviel Werbung?
-> Hier kostenlos registrieren

Eigentlich finde ich kein Grund dafür das du per NAT die IP-Adressen zuweisen muss.
NAT macht Sinn wenn man mehrere Machinen oder Anlagen haben die alle dieselbe IP Adressen verwendet, weil sie Standardmaschinen sind.
Etwa wie:
Machine 1 PLC (192.168.2.1) ---[NAT]--- (192.168.10.1)
Machine 1 HMI (192.168.2.2) ---[NAT]--- (192.168.10.2)
Machine 1 PC (192.168.2.3) ---[NAT]--- (192.168.10.3)
Machine 2 PLC (192.168.2.1) ---[NAT]--- (192.168.11.1)
Machine 2 HMI (192.168.2.2) ---[NAT]--- (192.168.11.2)
Machine 2 PC (192.168.2.3) ---[NAT]--- (192.168.11.3)
Machine 3 PLC (192.168.2.1) ---[NAT]--- (192.168.12.1)
Machine 3 HMI (192.168.2.2) ---[NAT]--- (192.168.12.2)
Machine 3 PC (192.168.2.3) ---[NAT]--- (192.168.12.3)

In deinem Fall wurde einen "normalen" Router genügen.

 

[PN/DP]

Bekommst Du bei der Einwahl nicht eine IP-Adresse des Kunde/Zielnetzwerkes zugeteilt, idealerweise 10.15.10.x? Oder 10.20.10.x und ein Kunde-Router routet zu 10.15.10.x? Dann müsstest Du möglicherweise in TIA nur angeben daß Du über den VPN-Adapter online gehst, und in den 10.15.10.x-Geräten muß ein Gateway eingetragen sein. (habe ich aber auch keine praktische Erfahrung)

Harald

 

[JesperMP]

Die IP-Adresse die dein Kunde für dich reserviert konnte du eventuell für ein Normalen Router verwenden.

Zum Beispiel, wenn er 100.20.1.1 für deine Maschine reserviert:

Machinen PLC+HMI+PC (192.168.2.1, +.2, +.3) ---[dein LAN]--- (192.168.2.0)[Router](100.20.1.1) ---[Kunden LAN]--- ......

 

[_Eddi_]

Zuviel Werbung?
-> Hier kostenlos registrieren

Vielleicht mal ein paar Verständnisgrundlagen zu NAT und VPN (das sind zwei grundverschiedene Dinge):

Internet: Jeder Computer ist (zumindest logisch) mit jedem anderen Computer vernetzt. Damit das funktioniert bekommt jeder Rechner eine weltweit eindeutige Nummer.
Internet*: Da nicht wirklich jeder Computer mit jedem physikalisch verbunden ist, werden Router eingesetzt. Damit die wissen, an welchem Anschluß welche Rechner erreichbar sind, wird die oben zugewiesene eindeutige Nummer in 2 Teile gespalten (sog. Subnetz-Maske). Damit weiß ein Router, ob ein Zielrechner in seinem eigenen Subnetz hängt, oder an die übergeordnete Stelle weitergereicht werden muß. Für die einzelnen Rechner ist das völlig transparent, sie glauben also immernoch, daß sie direkt miteinander verbunden sind.
LAN: da nicht jeder Mensch auf der Welt sich um die Bürokratie kümmern muß, eine eindeutige Nummer (oder gleich einen Nummernbereich) zu beantragen, wurden für "private" Zwecke Nummern reserviert, die von Internet-Routern automatisch verworfen werden. Das sind üblicherweise 192.168.x.x und 10.x.x.x
NAT: von Rechnern mit solchen privaten Nummern kann man aber nicht auf das Internet zugreifen, deswegen bekommt der ans Internet angeschlossene Router/Modem vom Provider eine "öffentliche" Adresse, fängt nach außengerichtete Nachrichten ab, ersetzt dort die private Quelladresse durch die öffentliche, wartet auf die Antwort, und macht dort die Ersetzung rückgängig. Das funktioniert aber nur in eine Richtung (nach "außen"). Es gibt eine Möglichkeit, das in beide Richtungen zu machen, das nennt sich dann "Port Forwarding", ist aber jetzt etwas zu kompliziert für die kurze Übersicht. Mit NAT glaubt jeder Rechner im LAN, er wäre direkt mit dem Internet verbunden, aber das Internet hat keine Kenntnis von den Rechnern im LAN
VPN: hier werden zwei Rechnernetze mit jeweils eigenem privaten Adressbereich miteinander verbunden, so daß sie glauben, sie wären direkt verbunden (wird aber über das Internet übertragen). Dazu muß in jedem der beiden ans Internet angeschlossenen Router die öffentliche Adresse des anderen Routers eingetragen werden, und welchen privaten Adressbereich die LANs auf der anderen Seite benutzen (darf nicht der gleiche sein). Jetzt glauben alle Rechner in LAN1, daß sie mit allen Rechnern im LAN2 verbunden sind und umgekehrt.

 

[Hoffy]

Internet-Adresse ---> Router IP-forwarding
HMI: 10.15.10.2 Port 84
PC: 10.15.10.3 Port 80
SPS: 10.15.10.04 Port 82


würde das gehen ?

 

[_Eddi_]

Das ist jetzt der Kern der Frage. Wollen die jetzt ein "echtes VPN", oder ein "NAT mit Port Forwarding"?