TIA Fernwartung – Port-Forwarding-Regeln

H

hub

Level-1
Beiträge
251
Reaktionspunkte
17
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo,

ich baue meine erste Fernwartung auf. Mit einem LTE-Modem EBW100. Der Aufbau und die Parametrierung von Modem und VPN ist soweit fertig und funktioniert.

Probleme habe ich bei den Port-Forwarding-Regeln.

Ich muss mit Step7 V5.5 auf eine 314PN-CPU zugreifen.
Und mit TIA auf ein Comfort-Panel TP900.

Für beide Zugriffe muss ich den Port 102 auf die IP-Adr. der CPU, bzw. auf die IP-Adr. des Terminals umleiten.
Andere Ports (1033, 2308, 5001, 5002, 50523) habe ich auch getestet, gehen aber nicht.

Solange nur eine Regel aktiv ist, funktioniert das Ganze auch.
Sobald beide Regeln aktiv sind, geht keine Verbindung mehr.

Ich bin nicht der große Netzwerkexperte und frag deswegen,
- gibt es eine Lösung für das Dilemma?
- warum überhaupt Port-Forwarding? Warum wird nicht einfach die Ziel-IP mit über VPN geschickt und das Modem wertet diese IP und nicht den Port aus.

Meine Endgeräte haben IPs im Bereich 192.168.51.x
VPN hat den IP-Bereich 10.111.y.x

Wenn ich meine Endgeräte auch auf 10.111.y.x einstelle, brauch ich dann noch Port-Forwarding?
 
Hallo Hub,

ja, zwei Portforwardingregeln die auf dem selben Port lauschen kommen sich in die Quere. Wenn ein Datenpaket mit dem Zielport 102 am Router ankommt, kann dieser nicht feststellen, welche der beiden Regeln für diesen Port nun "die Richtige" ist. Hier kommt Portforwarding also an seine Grenzen.
Um dieses Verhalten zu lösen, gibt es zwei Ansätze:

1.
Man ändert für einen der beiden Kommunikationswege den Port. Natürlich nur für die Strecke zwischen PC und Router. STEP7 bietet nach meinem Kenntnisstand hierfür von Haus aus keine Möglichkeit. Für diesen Zweck haben wir z.B. unsere Software ACCON-TeleService IE geschrieben. Dieses Tool ist Bestandteil unserer ACCON-S7-Net Treiber und integriert sich direkt in die PG/PC Schnittstelle von Siemens. Damit können Sie einstellen, dass zum Beispiel für die Kommunikation zur SPS ein anderer Port verwendet wird. Das Paket verläss also den PC Richtung Router mit einem anderen Zielport (z.B. Port 103).

In diesem Fall können Sie die bisherige Portforwardingregel im Router für das Panel belassen. Die Regel für die SPS muss neu angelegt und die alte gelöscht werden. Im ersten Feld "Port" wird bei der neuen Regel anstelle der 102 nun die 103 angegeben. Die Felder "an IP-Adresse" und "an Port" bleiben hingegen wie gehabt. Das heißt im Feld "an Port" wird wieder korrekterweiße der Port 102 eingestellt. Das Paket trifft also am Router auf dem Port 103 ein. Hierfür hat der Router nun eine klar zutreffende Regel und schickt das Paket nun an den korrekten Empfänger (die SPS) weiter. Hierbei ersetzt er nun den Zielport mit der korrekten Angabe des Port 102.

2.
Der zweite Ansatz beantwortet im Grunde auch Ihre zweite Frage. Denn hier umgeht man einfach komplett das Portforwarding. Damit dies möglich ist, muss der VPN-Server direktes Routing unterstützen. Das heißt der VPN-Server muss den VPN-Clients (ihrem PC und dem Router) mitteilen, dass sich hinter dem Router noch ein weiteres Netz befindet. Macht er dies nicht, können nur die VPN-Client untereinander kommunizieren, da nur diese logisch im selben Netz sind. Das heißt die Kommunikation vom Fernwartungs-PC ist nur bis zum Router möglich. Geräte hinter dem Router sind nur durch "Tricks" erreichbar, wo eben wieder Portforwarding ins Spiel kommt.

Durch oben genanntes Routing, ist hingegen das Netz hinter dem Router direkt adressierbar. Das heißt, Sie können die Geräte hinter dem Router (SPS und Panel) direkt über deren IP-Adresse erreichen. Dies vereinfach die Fernwartung enorm. Für diesen Zweck haben wir zwischenzeitlich ein zweites VPN-Portal namens DELTALOGIC Connectivity Service aufgenommen. Dieser VPN-Dienst unterstützt direktes Routing. Das Portal kann auch kostenlos unter folgendem Link getestet werden: http://connectivity.deltalogic.de
Bei Fragen hierzu können Sie sich natürlich auch gerne direkt bei uns melden.

Ihre Idee, die IP der Endgeräte einfach an die Netzadresse des VPN-Tunnels (10.111.x.y) anzupassen, wird ziemlich wahrscheinlich nicht erfolgreich sein. Im Grunde verlagern Sie dadurch nur das Adressierungsproblem vom Portforwarding auf den IP Teil. Denn VPN-Tunnel und lokales Anlagennetz sind weiterhin zwei verschiedene Netze, dessen Bindeglied der EBW-Router ist. Wenn nun beide Netze im selben IP-Bereich liegen, kann der Router bei einem eingehenden Datenpaket nicht feststellen, ob die Zieladresse mit 10.111.x.y nun im lokalen Firmennetz oder im VPN liegt. Im schlechtesten Fall könnte es sogar dazu führen, dass der Router aus dem VPN-Tunnel nicht mehr erreichbar ist.

Ich hoffe diese Angaben helfen Ihnen weiter.

Mit freundlichen Grüßen,
Daniel Behringer
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Danke für die ausführlichen Erklärungen und die angebotenen Lösungen.

Bei uns handelt es sich um einen einmaligen Fall, bei dem wir auch noch davon ausgehen, dass die Fernwartung wahrscheinlich gar nicht benötigt wird. (Wir sind Endkunde und programmieren nur unsere eigenen Anlagen)

Da man die Regeln im Modem aktivieren/deaktivieren kann, werde ich diesmal diesen Weg wählen.
Falls bei uns nochmals eine Fernwartung zum Einsatz kommt, werden wir auch die angesprochenen Lösungen in Betracht ziehen.
 
Habe soeben ein merkwürdiges Verhalten entdeckt.

Ausgangssituation:
- Port-Forwarding auf IP der SPS eingestellt
- Verbindung zur SPS besteht
- Variablentabelle geöffnet und online beobachten

Wenn ich jetzt Port-Forwarding zur SPS deaktiviere und zum Terminal aktiviere, kann ich sowohl auf die SPS, als auch auf das Terminal zugreifen. Irgendwie sind jetzt beide Verbindungen aktiv ???
 
DELTALOGIC Support schrieb:
2.
Der zweite Ansatz beantwortet im Grunde auch Ihre zweite Frage. Denn hier umgeht man einfach komplett das Portforwarding. Damit dies möglich ist, muss der VPN-Server direktes Routing unterstützen. Das heißt der VPN-Server muss den VPN-Clients (ihrem PC und dem Router) mitteilen, dass sich hinter dem Router noch ein weiteres Netz befindet. Macht er dies nicht, können nur die VPN-Client untereinander kommunizieren, da nur diese logisch im selben Netz sind. Das heißt die Kommunikation vom Fernwartungs-PC ist nur bis zum Router möglich. Geräte hinter dem Router sind nur durch "Tricks" erreichbar, wo eben wieder Portforwarding ins Spiel kommt.

Durch oben genanntes Routing, ist hingegen das Netz hinter dem Router direkt adressierbar. Das heißt, Sie können die Geräte hinter dem Router (SPS und Panel) direkt über deren IP-Adresse erreichen. Dies vereinfach die Fernwartung enorm. Für diesen Zweck haben wir zwischenzeitlich ein zweites VPN-Portal namens DELTALOGIC Connectivity Service aufgenommen. Dieser VPN-Dienst unterstützt direktes Routing. Das Portal kann auch kostenlos unter folgendem Link getestet werden: http://connectivity.deltalogic.de
Bei Fragen hierzu können Sie sich natürlich auch gerne direkt bei uns melden.

Mit freundlichen Grüßen,
Daniel Behringer
Zum Vergrößern anklicken....

Ich nutze auch den EBW100 mit dem deltalogic24.de Portal. Wie funktioniert das ConnectivityService Portal? Kostest das extra und muss ich mich dafür extra anmelden?
Könnten Sie mir dazu mehr Informationen zukommen lassen?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Am DELTA LOGIC ConnectivityService können Sie sich unter folgendem Link kostenslos registrieren:
https://connectivity.deltalogic.de/
Danch stehen Ihnen 30-Tagen, vier VPN-Client-Lizenzen zum Test zur Verfügung.
Wenn Ihnen das VPN-Portal gefällt, können Sie sich einmalig über das VPN-Portal zwei kostenlose "classic Lizenzen" (vor Ablauf der 30 Tage Testzeit) bestellen.
Weitere Informationen finden sie auf folgender Website:
https://www.deltalogic.de/produkte/fernwartung/delta-logic-connectivity-service

Der große Vorteil am ConnectivityService ist, dass sie nicht nur eine entfernte IP-Adresse erreichen, sondern ein ganzes Netz.
Portforwarding muss somit beim ConnectivityService nicht verwendet werden.

Bei Fragen können Sie sich auch gerne an support@deltalogic.de wenden.

Mit freundlichen Grüßen
Hanns-Joerg Renschler
 
Sind zwar noch in der Testphase, aber die Sache mit dem Deltalogic/ Insys Connectivity Portal funktioniert super.
Verwenden Bidirektionales Netmapping. D.h. der Fernwartungsrechner kann das komplette Maschinennetz unter der 'physikalisch' hinterlegten IP- Adresse erreichen.
Ist bei uns als Plan-B vorgesehen wenn wir in der Anlage keinen Rechner verbaut haben.

Nachteil: 100€ Fixkosten pro Jahr für die Lizenzen (1* Fernwartungsrechner 50€/ 1* Maschine 50€)
Werden diese Kosten aber nach Ablauf der Gewährleistung an die Kunden 'weiterreichen'.
 
Zuletzt bearbeitet:
Im Connectivity Service können Sie über das VPN-Portal zwei "classic Lizenzen" kostenlos bestellen. Das darf jeder Kunde nur einmal.
Diese VPN-Lizenzen können Sie im Portal einem gewünschten Gerät (z.B. Router, PC, ...) zuweisen. Im Portal lassen sich bis zu 10 Geräte kostenlos anlegen.

Hier der Link dazu: https://connectivity.deltalogic.de/

Interessenten müssen sich einfach nur einmal registrieren.

VG Hanns-Joerg Renschler
 

Similar threads

X
Step 7 Fernwartung Port-Forwarding Port 102
Antworten
6
Aufrufe
5K
xj900mb
X
Process-Informatik GmbH
Internet-Fernwartung/-zugriff ohne viel Aufwand, keine blockierende Firewall
Antworten
0
Aufrufe
6K
Process-Informatik GmbH
Process-Informatik GmbH
M
TIA WinCC Basic Transfer und NAT
Antworten
8
Aufrufe
5K
Thomas_v2.1
T
C
TIA TP Comfort Panel (verwendete Ports)
2
Antworten
26
Aufrufe
13K
Thomas_v2.1
T
P
Step 7 Welche Möglichkeiten zum Erreichen einer S7 300 über Port Forwarding
Antworten
2
Aufrufe
2K
PLC_Freak
P
Zurück
Oben