Problem: Twincat Programmierung und die Firewall (Grrr Beckhoff)

[drfunfrock]

Zuviel Werbung?
-> Hier kostenlos registrieren

Wir haben hier PC, die von einer Zentrale aus verwaltet werden und das bedeutet, ich kann die Firewall nicht ändern. In der Vergangenheit abeitete ich in einer Firma, der Sicherheit egal war und so war TC3 kein Problem. Einfach die Firewall öffnen und gut war es. Nun habe ich die Ports 48898 und 48899 auf der CX51xx geöffnet, aber das reicht anscheinend nicht. Um das Routing anzulegen muss ich das auch auf dem Entwicklungs-PC machen, was ziemlich dämlich ist. ADS is TCP basiert und braucht das Routing weder beim Upload noch beim Debuggen. Gibt es dafür eine andere Lösung als die Firewall für die Ports zu öffnen?

 

[oliver.tonn]

Hallo,

Um das Routing anzulegen muss ich das auch auf dem Entwicklungs-PC machen, was ziemlich dämlich ist. ADS is TCP basiert und braucht das Routing weder beim Upload noch beim Debuggen.

was Du schreibst stimmt so nicht, das Routing oder besser der Router ist grundlegender Bestandteil der ADS-Kommunikation und wird immer benötigt, was Du hier nachlesen kannst.
Übrigens kann Beckhoff nichts für die Restriktionen bei Euch im Haus, daher ist das "Grrr" auch völlig unpassend, bei allen IP basierten Verbindungen müssen gewisse Türen sprich Ports in die eine oder andere Richtung offen sein, das ist prinzipbedingt. Damit ein ADS-Teilnehmer über "Broadcast Search" gefunden werden kann muss Euer Netzwerk Broadcast Pakete zulassen und weiterleiten, ansonsten wird nichts gefunden, allerdings kann man die IP des ADS-Teilnehmers auch von Hand oben im Add Route Dialog angeben und sich verbinden. Auf jeden Fall sollte auch am Entwicklungsrechner die Ports 48898 und 48899 eingehend freigegeben sein, da die Route auch umgekehrt aufgebaut werden kann.
Ach ja, um eine weitere Fehlerquelle und Schuldzuweisungen an Beckhoff zu vermeiden solltest Du beim Anlegen von Routen unter "Address Info" auf "IP Address" umschalten, da die Namensauflösung eventuell nicht klappt.

Von irgendwas mit Internetzugang gesendet.

 

[drfunfrock]

Zuviel Werbung?
-> Hier kostenlos registrieren

Der ADS-Dienst auf der SPS ist ein Serverdienst, der auf TCP basiert. Und TCP braucht im gleichen Netz kein Routing. Ich habe wesentliche Funktionen von ADS wie das Laden der Symbolliste in den PC per Python und C# für Linux programmiert und das brauchte kein Routing, einzig eine Fake-Ads Adresse. Deine Belehrungen sind hier komplett überflüssig. Weswegen der ADS-Router auch in der Entwicklung notwendig ist, kann ich nicht nachvollziehen

In den Zeiten wo schon der Empfang eines PDS-Dokuments ein Sicherheitsproblem darstellt, ist das Öffnen der Firewall schon nicht mehr ganz so harmlos.

 

[oliver.tonn]

Ich spreche ja auch nicht vom IP-Routing, sondern vom ADS/AMS Router von Beckhoff, der immer benötigt wird.

Von irgendwas mit Internetzugang gesendet.

 

[oliver.tonn]

Weswegen der ADS-Router auch in der Entwicklung notwendig ist, kann ich nicht nachvollziehen.

Das sollte unter dem von mir angegebenen Link klar werden. Und was heißt "in der Entwicklung" Programm am Rechner erstellen und dann auf die entfernte Steuerung spielen oder Programm auf die SPS des Entwicklungsrechners spielen? In beiden Fällen, siehe Link.
Nachtrag: Link korrigiert


Von irgendwas mit Internetzugang gesendet.

 

[Plan_B]

Zuviel Werbung?
-> Hier kostenlos registrieren

Bist Du jetzt im gleichen Netz oder nicht? Firmenzentrale impliziert bei mir VPN mit Routing und Firewall.

 

[oliver.tonn]

Der ADS-Dienst auf der SPS ist ein Serverdienst, der auf TCP basiert. Und TCP braucht im gleichen Netz kein Routing. Ich habe wesentliche Funktionen von ADS wie das Laden der Symbolliste in den PC per Python und C# für Linux programmiert und das brauchte kein Routing, einzig eine Fake-Ads Adresse.

Das ist mit ziemlicher Sicherheit keine Fake Adresse, bei TC läuft vieles, z.B. auch der Dateizugriff, über ADS und für ADS brauchst Du zwingend eine AMS NetID und sei es die lokale (127.0.0.1.1.1).
Ach ja, das mit dem Server hast Du richtig erkannt und um auf einen Server zugreifen zu können müssen halt Ports geöffnet sein, ansonsten muss Eure IT ein separates Maschinennetz einrichten, wie es bei vielen meiner Kunden der Fall ist.

Von irgendwas mit Internetzugang gesendet.

 

[KGU]

Dann nimm doch einen Kommunikationsweg wo die Firewalls zu bleiben können. Es gibt schließlich seit über 2 Jahren auch ADS over MQTT. Es gibt sogar auch ein Handbuch dafür zum kostenlosen Download :https://download.beckhoff.com/download/document/automation/twincat3/ADS-over-MQTT_de.pdf

Findet man auch bei google und co .. aber motzen ohne Ahnung zu haben ist halt am einfachsten

 

[oliver.tonn]

Zuviel Werbung?
-> Hier kostenlos registrieren

Danke KGU,
das muss ich mir mal ansehen, weil auch bei meinen Kunden gibt es manchmal Probleme.

Von irgendwas mit Internetzugang gesendet.