TIA Fernwartung über VPN-Verbindung zwischen zwei PCs

Freakazoid

Level-2
Beiträge
29
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen,

Ich hoffe nicht dass es dieses Thema schon zu häufig gab, aber mich umtreibt gerade das Thema Fernwartung via einer VPN-Verbindung zwischen zwei Rechnern. Ich habe hierzu eine Anleitung im Netz gefunden wie man eine solche VPN-Verbindung mittels TeamViewer aufbaut. Das hat bei mir im Testaufbau auch funktioniert nur gibt es hier einen entscheidenden Nachteil: In der Konfiguration der CPU muss zwingend ein Router eingetragen sein und die IP-Adresse muss quasi die IP-Adresse des Rechners vor Ort sein. Damit fallen natürlich für uns sämtliche Bestandsanlagen die nicht bei unseren Kunden stehen raus, das hier kein Router in der Konfig eingetragen ist. Alles andere wäre für uns nahezu perfekt und super umzusetzen. Ich denke dass man auch auf Dauer bestimmt noch sicherere und "vertrauenswürdigere" Software-Lösungen als den TeamViewer einsetzen kann (z.B. SecurePoint SSL VPN).

Deshalb möchte ich hier die Frage stellen: Ist das Eintragen des Remote-Rechners als Router in der CPU zwingend erforderlich oder gibt es auch andere Wege das Routing vorzunehmen?

Ich bin leider Netzwerktechnisch zu wenig beschlagen und hoffe hier auf konstruktive Antworten und Ideen

Vielen Dank schon im Voraus
Matthias
 
Moin Freakazoid,

dass Jemand per Teamviewer eine Verbindung zu einer Steuerung aufbaut habe ich noch nicht gehört.

Aber das würde ja bedeuten, dass beim Kunden vor Ort eine Teamviewer-Instanz als Server/Router arbeiten muss. An Deinem Arbeitsplatz hast Du dann eine Teamviewer-Instanz als Client?

Zu deiner Frage: Ja, das Eintragen der Router-Adresse ist in Deiner CPU zwingend erforderlich. Das ist übrigens bei jedem Netzwerkgerät immer so, wenn es mit einem Gerät aus einem anderen Netz kommunizieren will. Es muss eine Route aus dem einen Netz in das andere Netz gefunden werden. Damit diese Route gefunden werden kann, muss das Gerät, das in das andere Netz kommunizieren will, eine Verbindung zu dem Router haben. Dazu braucht es diese Adresse.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich weiß nicht genau, wie Teamviewer das VPN aufbaut, da ich das noch nicht genutzt habe.
Im Normalfalle nutzt Du aber ja ein VPN, um Dich mit Deinem Rechner in das entfernte Netzwerk einzuwählen (z.B. über OpenVPN oder einen Fernwartungsrouter). Damit bekommt Dein Rechner eine IP im entfernten Netzwerk. In dem Fall benötigen die anderen Geräte keinen Eintrag, da sie davon ausgehen, daß Du mit Deinem Rechner im selben Netz bist. Das Endgerät, was Deinen Zugang ins Netzwerk bereitstellt, sorgt dann für das Routing auf Deinen Rechner.
Es kann aber sein, daß Teamviewer hier einen anderen Weg geht bzw. das Verhalten konfigurierbar ist.
Ich meine aber, daß ich hier schon von Leuten gelesen habe, die das nutzen. Vielleicht können die ja weiterhelfen.
 
Es wäre dann so, dass kundenseitig ein Rechner mit der TeamViewer Software mit VPN-Verbindung läuft (vom Kunden gestellt oder von unseren Monteuren). Bei mir lokal läuft dann auch die TeamViewer Software und ich verbinde mich per VPN mit dem Remote-Rechner.

Das ist alles klar und das funktioniert auch nach ersten Tests. Nur leider ist da halt diese Hürde mit der "Router" in der SPS und das unsere alten Bestandsanlagen diese Einstellung nicht haben.

Eine kleine Geschichte dazu warum das gerade bei uns Thema ist. Wir fahren für unsere Fernwartung mehrere Lösungen: Einmal haben wir eine Hardware-Lösung mit eigenständigem Server und VPN-Router, zum anderen geben wir unseren Monteuren Laptops mit der benötigten Software bzw. VM mit und steuern diese über TeamViewer fern.
Die Hardware-Lösung funktioniert sehr gut wenn sie denn einmal funktioniert. Leider ist hier sind hier auch häufig Netzwerkeinstellungen beim Kunden das Problem (die sich über Jahre auch gerne ändern) oder die IT-Security siehr das System nicht als sicher an. Aber wie gesagt, wenn das einmal funktioniert ist das meistens sehr stabil und sicher.
Die TeamViewer-Lösung ist für schnelle Geschichten auch immer sehr gut, hat aber zwei Nachteile: Einmal gilt es dann die Rechner auch immer auf dem richtigen Stand zu halten (Thema VM und mehrere VMs für unterschiedliche Versionen und Steuerungs-Hersteller), man muss also vorher immer wissen wo der Kollege hin will und was er braucht. Eine ca. 100GB VM mal eben übers Internet zu kopieren ist in den meisten Fällen schwer. Zum anderen ist man schon sehr von der Qualität der Internetverbindung abhängig.
Jetzt gab es noch den Fall dass ein US-amerikanischer Kunde von uns unbedingt und ganz schnell eine Programmänderung brauchte. Wir haben ihm gesagt was wir auf einem Remote-PC benötigen (hier LogixStudio v33). Leider hatte er dann nur v32 auf seinem Rechner und die ganze Fernwartung konnte so erst ein paar Tage später stattfinden. Das war weder für den Kunden noch für uns zufrieden stellend.
Da ging das große Nachdenken dann los wie man eine Fernwartung auf der Remote-Seite einfacher hinkriegt. Eine direkte VPN-Verbindung zu solch einen Remote-PC ist weder davon abhängig welche Software-Version oder Software überhaupt benötigt wird. Das kann man quasi auf jeden x-beliebigen Rechner installieren und man kann mit der Fernwartung starten.
 
Das Thema das du suchst heist S(ource)NAT.
Das kann bei Routern teilweise über einen Haken aktiviert werde und sonst auch oft über ein Script.

Wie es bei einem Windowsrechner als Schnittstelle aussieht weis ich jetzt leider nicht.
Womöglich kann man hier auch den Netzwerkadapter der Richtung Anlage geht konfigurieren.

Edit: in einer Linuxumgebung wäre es der Befehl "iptables" mit "SNAT" oder auch "MASQUERADE"
 
Es wäre dann so, dass kundenseitig ein Rechner mit der TeamViewer Software mit VPN-Verbindung läuft (vom Kunden gestellt oder von unseren Monteuren). Bei mir lokal läuft dann auch die TeamViewer Software und ich verbinde mich per VPN mit dem Remote-Rechner.
Wir haben das schon häufiger so gemacht, wie in der von @JSEngineering verlinkten Anleitung beschrieben.
Musst nur den VPN-Treiber zusätzlich installieren/einrichten.
https://www.teamviewer.com/de/globa...mviewer-remote/remote-control/teamviewer-vpn/
Das ist alles klar und das funktioniert auch nach ersten Tests. Nur leider ist da halt diese Hürde mit der "Router" in der SPS und das unsere alten Bestandsanlagen diese Einstellung nicht haben.
Wieso Router in der SPS?
Du musst deinem Zugriffsweg im Step7/TIA erzählen, dass da jetzt noch n Router (also der andere PC, zudem du dich verbindest) dazwischen hängt.
Dann sollte das wuppen, wobei ich nicht ausschließen will, dass es configs mit weiteren Fallstricke gibt.

Evtl kann dir dieser Tread noch weiterhelfen:
https://www.sps-forum.de/threads/fernwartung-über-teamviewer-funktioniert-nicht-immer.109913/
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ich meine, auch bei VPN-Einwahl muss man nicht unbedingt eine IP-Adresse aus dem IP-Bereich der Ziel-SPS bekommen - die Zielgeräte bräuchten dann also ein Gateway/Router eingetragen.
Ihr könntet dem Service-Mensch ein Notebook mit der benötigten Programmiersoftware (TIA? ...) mitgeben und der kann das Notebook an der Anlage anschließen und die Hardware-Konfig in die Zielgeräte laden. Oder euer Programmierer steuert das an der Anlage angeschlossene Notebook per Teamviewer und lädt die Konfig selber.
 
Wir machen unsere Fernwartung auch meistens über Teamviewer.VPN.
Ist dann immer auf einem HMI Panel PC an der Anlage installiert.

Ja man muss dann einen Router/Gateway in den Remote Geräten eintragen, die IP des Teamviewer PC/HMI an der Anlage.

Alternativ kann man auch folgende Software nutzen, dann geht es ohne Gateway. Nutze ich aber nur als Backup.

Beitrag im Thema 'Fernwartung über TeamViewer funktioniert nicht immer'
https://www.sps-forum.de/threads/fe...r-funktioniert-nicht-immer.109913/post-915302
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Freakazoid,

möglicherweise haben wir, die Firma DELTA LOGIC Automatisierungstechnik GmbH, eine Lösung für Sie.
Mit unserem VPN-Portal “DELTA LOGIC Connectivity Service” (https://www.deltalogic.de/DELTA-LOGIC-Connectivity-Service/28000x) ist es möglich eine VPN-Verbindung zwischen 2 PC-Geräten aufzubauen.
Hierfür wird dem PC-Endgerät eine feste virtuelle VPN-IP-Adresse im Portal zugewiesen (frei wählbar), auf die dann später zugegriffen wird.
Für weitere Fragen können Sie sich gerne bei uns melden.

Beste Grüße
Moritz Heilig

Nachfolgend unsere Kontaktdaten:
DELTA LOGIC Automatisierungstechnik GmbH
Stuttgarter Straße 3
73525 Schwäbisch Gmünd
Germany

Telefon: 07171-916-112
E-Mail: support@deltalogic.de
Internet: https://www.deltalogic.de
 
Zurück
Oben