Beckhoff CX8090 - kann nicht route zufügen

[ssyn]

Zuviel Werbung?
-> Hier kostenlos registrieren

Guten Morgen,

Ich habe eine Frage. Es gibt Beckhoff Steuerung CX-8090 mit Verwaltungsmodul über VPN, ich konnte früher ohne Problem mit Steuerung verbinden. Aber ab gestern es ist schon unmöglich.

Ich erstelle Verbindung durch VPN, kann Visu sehen, kann mit Steuerung durch Cerhost verbinden.
Ich öffne Twincat System Manager, mache suche nach Geräte durch IP, sehe die Steuerung, clicke auf sie, versuche es zufügen, aber passiert nix. Ich kriege keine Fehlermeldung, einfach klick auf "Route zufügen" und nix. Es kommt keine "X" in "Connected".

Ich wiederholte es mehrmals mit Neustart und neue Verbindungen durch VPN, immer Problem ist da und kann sogar nicht Logs lesen und verstehen - wo ist das Problem. Hat jemand solche Situation oder kann etwas bitte in diesen Fall empfehlen?

 

[roboticBeet]

Sind die ADS-Ports in der Firewall oder vom VPN geblockt?

Edit: Zeigt er denn das Fenster mit der Passwortabfrage an? Gibst du die korrekten Zugangsdaten ein?

 

[ssyn]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wenn ich wähle "Host Name" - dann kriege ich Fehler-Meldung über ADS Port, deswegen ich wähle früher hier und bei andere Projekten immer "IP Adresse" und konnte immer ohne Problem route zufügen.

 

[roboticBeet]

Wurde denn etwas am VPN geändert? Wurde möglicherweise etwas an der Firewall geändert, ohne dass du was mitbekommen hast?

Hattest du meine Ergänzung im Post gesehen?

Zeigt er denn das Fenster mit der Passwortabfrage an? Gibst du die korrekten Zugangsdaten ein?

 

[ssyn]

Nee, nix wurde früher geändert. Und ich habe Zugriff zu Steuerung über Cerhost und habe Zugriff zu Visu online durch VPN, so VPN funktioniert doch. Und bei Suche kann ich sofort die Steuerung mit CX-XXXXXX Nummer finden.

Und bei diesem Versuch von "Route zufügen" bekomme ich keine Fehlermeldung, überhaupt nix. Ich klicke auf "Route zufügen" und nix ändert sich. Ich kann zwei-dreimal es wiederholen und wieder nix - keine Fehler, keine Route hinzufügt.

 

[roboticBeet]

Zuviel Werbung?
-> Hier kostenlos registrieren

Es kommt also beim Klick auf "Route zufügen" auch keine Abfrage nach dem Benutzernamen oder Passwort, also irgendwie sowas:

 

[ssyn]

Nein, kommt Fenster mit login und passwort - "Adminstrator" und "1" und danach nix passiert.

 

[roboticBeet]

Für mich klingt das nach einem Problem mit der Portfreigabe in der Firewall. Nur weil der Zugriff auf die Visualisierung bzw. Remote Desktop geht, heißt das nicht, dass auch die nötige ADS-Kommunikation funktioniert. Das läuft nämlich über unterschiedliche Ports.

Zur Anzeige von Steuerungen im Netzwerk brauchst du ADS Discovery, das geht ja offensichtlich. Für die weiteren Schritte dann aber ADS. Dafür brauchst du den Port TCP/48898 in allen beteiligten Firewalls freigeschaltet. Ob dieser Port erreichbar ist, kannst du bspw. per PowerShell prüfen:

Test-NetConnection [FQDN/IP Address] -Port [port number]

Hier musst du [FQDN/IP Address] durch deine IP-Adresse oder den Hostnamen ersetzen und statt [port number] musst du 48898 eintragen.

 

[Hack]

Zuviel Werbung?
-> Hier kostenlos registrieren

Ich habe schon öfters gesehen, dass zwar die Richtung PC -> CX funktioniert aber nicht CX -> PC. Das braucht es bei Cerhost nicht. Bei der Visu kommt es drauf an ob die aktiv liest oder nicht.
Ich würde versuchen von beiden Seiten zu pingen. Geht das?

 

[ssyn]

roboticBeet, ich habe heute geprüft. Verbingung zu Port 48898 ist da.



Und Verbindung ist wirklich da.



Ich habe eine Information von Beckhoff gefunden und denke, vielleicht ist da Ursache:

Advisory 2019-004: ADS Discovery Service Shutdown by special UDP packet

Publication Date

08/07/2019

Last Update

07/30//2020

Current Version

1.1

Relevance

High

Related CVE

CVE-2019-5636

Summary

When a TwinCAT Runtime receives an UDP packet with a data length of 0 byte, the ADS Discovery Service shuts down. TwinCAT devices are still performing as normal.

Appearance

All TwinCAT versions equal or below

•
TwinCAT 2 Build 2304
•
TwinCAT 3.1 Build 4024.0
Description

ADS Discovery is performed via UDP. It provides the capability to discover TwinCAT devices within a network.
During operation this service is not used since routes have already been established and there is no need to
discover additional devices.

When a UDP packet with a data length of 0 byte is received on the UDP discovery port, the service shuts
down.

Establishing new ADS routes by using the hostname / IP address is still possible but the Broadcast-Search of
TwinCAT will not show the device anymore.

Solution
Please update TwinCAT

•
TwinCAT 2 to 2305 or newer
•
TwinCAT 3.1 to 4024.4 or newer
Mitigation

If the solution is not applicable, UDP Port 48899 could be blocked in (perimeter) firewall to prevent such UDP
packets from untrusted networks. Please keep in mind that ADS should only be used in trustfull environments,
cmp. Security Advisory 2017-01. [1]

Mein Twincat System Manager hat Build 2299

 

[roboticBeet]

Dann ist die von mir vermutete Firewall wohl doch nicht die Ursache.

Ob das im CVE beschriebene Problem aber auch bei dir vorliegt, weiß ich nicht, denn du versuchst ja die Route auf Basis einer IP-Adresse herzustellen und Beckhoff schreibt

Establishing new ADS routes by using the hostname / IP address is still possible but the Broadcast-Search of
TwinCAT will not show the device anymore.

Demnach ist davon in erster Linie nur die Broadcast-Suche nach neuen Geräten betroffen. Nicht aber das Hinzufügen per IP-Adresse...

Nach vorherigem vollständigen Backup des Systems könnte ein TwinCAT Update natürlich ein Versuch wert sein. Hast du ansonsten den Beckhoff Support schonmal kontaktiert?

 

[Hack]

Zuviel Werbung?
-> Hier kostenlos registrieren

Hast du auch vom CX8090 zum PC probiert?
Das Advisory bezieht sich auf UDP (Port 48899). Das wird nur für den Broadcastsearch verwendet.

 

[ssyn]

Ich kann noch keine Lösung finden, habe bei Beckhoff support auch gefragt.

Eine Frage - was muss passieren, wenn ich falsche Login oder Passwort bei Versuch Einloggen eingeben? Muss kommen die Fenster "Falsche Login bzw. Passwort"? Oder gar nix? Ich habe falsche Login und Passwort probiert, aber bekam auch nix.

P.S. Ich habe diese Thema über Twincat 3 mit ähnliche Problem gefunden. Vielleicht muss ich auch Route-Liste, aber bei Twincat2, finden und löschen? Kann nicht sofort es finden, kann bitte jemand mir sagen?

P.S.S. Ich habe Support von Beckhoff bekommen, jetzt habe Verbindung, beschreibe die Schritte ein bisschen später, aber Problem war in gespeicherte Route. Wenn ich richtig erinnern - über Cerhost an Steuerung anmelden, in /Hard Disk/System die Datei TsAdsTest finden, alte Logins löschen und meine Route manuell eingeben. Es funktionierte nach Neustart von Laptop and Steuerung.

 

[ssyn]

Start Programm - "TcAmsRemoteMgr" :

Hier wurde alle Remote entfernt und neue eingelegt: