TIA Portal und Port Forwarding

Zuviel Werbung?
-> Hier kostenlos registrieren
bin kein netzwerk-spezialist, darum habe ich wahrscheinlich falsch beschrieben:
Sitze hier zuhause mit meinem Laptop im Heimnetz, lokale IP-Range 192.168.1.xxx
Habe in 300km entfernung einen Mobilnetz-Webgate mit der öffentlichen IP 178...., der hat 4 LAN-Buchsen mit IP-Range 192.168.0.xxx
Und an einer diese LAN-Buchse steckt die CPU mit der IP 192.168.0.100
Was meinst du mit Router-IP? ich habe nur die eine öffentliche

und doch, ich habe S7-300 schon öfters erreicht, allerdings immer mit dem IBH-Netlink - habs noch nie direkt an einem Ethernet-Port der CPU versucht.
 
also wenn die 178 öffentlich ist warum geht dann kein pring drauf?
Ich jedenfalls kann ihn nicht anpingen! also wird auch im TIA jeder Request an diese IP fehlschlagen und TIA sagt "will nicht"

Sicher das der Router/Gateway auch wirklich an ist mit der IP ?
 
wie gesagt geht bei mir nicht.
Aber ok wenn es geht dann versuch doch mal folgendes:

An der CPU folgendes einstelle0n (Netzwerkschnittstelle):
IP: 192.168.0.100
Gateway: 178.113.80.159

Was passiert dann?
 
wenn ich bei Router IP 178.xxx... eingebe kommt Fehlermeldung dass unterschiedliche Subnetze....
wo kann ich Gateway einstellen??

hab jetzt mal bei drei angerufen und mir eine statische IP geben lassen für den Router - in einer Stunde kann ichs nochmal probieren, dann sollte Ping auch gehen....
melde mich dann nochmal
danke vorerst
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Ist die noch aktuell mit den Forwards ?
All 1901 scanned ports on 178.
ergibt nur: Raw packets sent: 3802 (167.288KB) | Rcvd: 0 (0B)

Hast du der CPU denn jemals schon gesagt, das sie auch den Router benutzen soll, wenn die anfragende IP aus einem anderen Subnetz als ihrem eigenen kommt?

MfG Fabsi
 
Fabpicard schrieb:
Ist die noch aktuell mit den Forwards ?
All 1901 scanned ports on 178.
ergibt nur: Raw packets sent: 3802 (167.288KB) | Rcvd: 0 (0B)

Hast du der CPU denn jemals schon gesagt, das sie auch den Router benutzen soll, wenn die anfragende IP aus einem anderen Subnetz als ihrem eigenen kommt?

MfG Fabsi
Zum Vergrößern anklicken....

Die CPU hat nix punkto Router oder gateway eingestellt. Der Router ist ja auch nur für ein paar Tage dort, normal ist ja keiner dran an der Steuerung.
Aber der Router hat ja an der LAN-Seite eh eine IP-Adresse im gleichen Range wie die CPU
Hab jetzt 5 mal mit verschiedenen Technikern von Drei gesprochen, ich glaube es liegt einfach an dem dummen ZTE webgate. Weitere Einstellungen kann ich nur mehr lokal am Router vornehmen - ich fürchte ich muss tatsächlich für eine 5-minütige Programmänderung einen 10-Stunden-Tag im Auto investieren....

Trotzdem nun mal danke an alle die sich so bemüht haben! Ich werde hoffentlich bald die Lösung zum Problem posten können....
 
In der CPU muß die interne IP des Routers als Gateway eingestellt werden, also vermutlich 192.168.0.1

Wie man dem TIA sagt, daß es die Verbindung zur CPU IP 192.168.0.100 über die öffentliche IP 178.xxxxxx aufbauen soll weiß ich nicht, vermutlich läßt sich irgendwo eine von der projektierten IP abweichende "Zugangsadresse" eingeben. (auf KEINEN Fall die 178.xxxxxx als IP der CPU projektieren!).

Im übrigen ist so eine ungeschützte Port-Forward-Lösung heutzutage nicht mehr zeitgemäß sondern sehr fahrlässig. Es sollte ziemlich einfach sein, ein vernünftiges VPN aufzusetzen. Was ist das für ein Router? Fritzbox?

Harald
 
Zuviel Werbung?
-> Hier kostenlos registrieren
christoph2630 schrieb:
Die CPU hat nix punkto Router oder gateway eingestellt. Der Router ist ja auch nur für ein paar Tage dort, normal ist ja keiner dran an der Steuerung.
Aber der Router hat ja an der LAN-Seite eh eine IP-Adresse im gleichen Range wie die CPU
Zum Vergrößern anklicken....

Gibts hier eigentlich ein Smiley, was sich mit der Hand vors Gesicht haut? ;)

Scherz beiseite, die Erklärung:

Dein Router arbeitet typischerweise als Destination-NAT, das verhält sich dann so (in abgespeckter Form, lasse ich deinen Router weg und die MAC-Adressen nur 4-stellig)

Dein Rechner hat die I-Net-IP 1.1.1.1 und sendet jetzt Daten an den Router mit der 1.1.1.2
(Datenpaket: Source-IP 1.1.1.1 / Source-MAC xx.11 / Target-IP 1.1.1.2 / Target-MAC xx.12)
Der Router gibt das TCP-Paket jetzt an die interne 192.168.0.2 (CPU weiter). Schreib hierbei als S-NAT aber das Paket um.
(Datenpaket: Source-IP 1.1.1.1 / Source-MAC xx.12 / Target-IP 192.168.0.2 / Target-MAC yy.11)

Würde die CPU antworten, würde der Router die CPU-IP wieder durch seine eigene I-Net-IP ersetzen.

Also bekommt die CPU nun ein Datenpaket, was von als Absender eine IP enthält, die nicht in ihrem Subnetz liegt und ohne Gatewayeinstellung auch nicht weis, wie es diese zurückadressieren soll... Denn die CPU kann ja keine Verbindung zwischen der MAC des Routers und deiner Absender-IP herstellen ;)


Lösung:
Du bräuchtest ein kombiniertes Source und Destination NAT, kann man von Mikrotik für kleines Geld erwerben.
https://routerboard.com/RB750r2
Dazu gibts dann aber noch ein großes ABER ;)
Das teil ist in den Einstellungen so dermaßen Umfangreich, das du fast so viele Möglichkeiten wie bei einem Corerouter von Juniper hast (die stehen z.B. beim DE-CIX)
Somit wirst du dir dann ggf. einen guten ITler suchen müssen, der dir das Ding konfiguriert :D

Allerdings ist damit dann fast alles möglich, kann von Hause aus auch für deine Zwecke gleich OpenVPN, nachteilig allerdings nur in der großen Zertifikats-Variante :D

MfG Fabsi
 
Mit dem VPN habt's mich noch auf eine Idee gebracht:
Wenn ich einen Raspberry Pi hinschicke, der im gleichen IP-Range wie die CPU ist und für VPN konfiguriert ist, und ich am Router noch das Portforwarding für den Pi einstelle - dann müsste ich mich mit der CPU ganz normal verbinden ohne Gateway-Einstellungen zu ändern - RICHTIG oder FALSCH ??:cool:
Das würde mir eine Menge ersparen....
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Wenn Sie sich bei ein SPS via ein VPN verbindung die online verbindung machen wollen, must bei der SPS das lokale IP adresse bei gateway eingegeben sind. Wenn dass nicht so ist muste Sie dass lokal eingeben.

Verstuurd vanaf mijn GT-I9301I met Tapatalk
 
christoph2630 schrieb:
Mit dem VPN habt's mich noch auf eine Idee gebracht:
Wenn ich einen Raspberry Pi hinschicke, der im gleichen IP-Range wie die CPU ist und für VPN konfiguriert ist, und ich am Router noch das Portforwarding für den Pi einstelle - dann müsste ich mich mit der CPU ganz normal verbinden ohne Gateway-Einstellungen zu ändern - RICHTIG oder FALSCH ??:cool:
Das würde mir eine Menge ersparen....
Zum Vergrößern anklicken....

1. Braucht der PI dann trotzdem die lokale Router-IP
2. Mach dir das Leben dann bitte nicht so schwer und nutze einfach: SSH-Tunnel (hier könnte dein Rechner z.B. eine eigene IP in dem Subnetz deines Kunden transparten durch den Tunnel bekommen, dann geht sogar "Teilnehmer suchen")
3. Der Sicherheit wegen, dann noch Key-Auth-Only und dafür einen weiteren Nutzer aufm PI anlegen. SSH dann für root und user-pi ganz sperren...

Wenn du das dann noch ganz kacken dreist machen willst, legst du auf der SD-Karte im Boot eine textdatei an, in der die Netzwerkparameter (eigene IP / Router IP / Subnetmask) stehen, die du beim Hochfahren noch vor dem Initialisieren der Netzwerkkarte jedes mal in die passende Config parsed.
Dann kann dein "Kunde" auf nem Windummrechner zuerst auf der SD die korrekten Daten einstellen und fertig ;)

MfG Fabsi

P.S.: Hätte ich diese extrem IT-Antisecrutiy-Lösung, bei der jede IT-Abteilung das kalte Grausen bekommen, vielleicht nicht öffentlich schreiben sollen? :D
 
Fabpicard schrieb:
P.S.: Hätte ich diese extrem IT-Antisecrutiy-Lösung, bei der jede IT-Abteilung das kalte Grausen bekommen, vielleicht nicht öffentlich schreiben sollen? :D
Zum Vergrößern anklicken....

Antisecurity wäre es wenn das Teil dann in der Firma herumwandert. Ansonsten ist SSH standardisiert und genau so sicher wie ein VPN. Antisecurity ist hingegen Teamviewer.

Vor langer Zeit war diese SSH-Lösung mein Standard zur Fernwartung. D.h. auf einem Rechner im Kundennetzwerk einen SSH-Server installiert, dann auf meinem PG ein Loopback-Device mit der IP der fernzuwartenden SPS angelegt, und über SSH und SSH-Portforwarding den Port 102 durchgeleitet.
Die Funktion "erreichbare Teilnehmer" funktioniert damit aber auch nicht, genauso wenig wie ein Ping auf die Steuerung.

Weil hier schon geschrieben wurde, dass wenn ein Ping nicht funktioniert, der Rest auch nicht funktioniert. Das muss nicht immer so sein. Vor allem weil viele Home und auch Soho-Router in der Voreinstellung ein Ping auf die Wan-Schnittstelle überhaupt nicht beantworten. Und wenn ich TCP-Port 102 tunnele, dann tunnelt das nicht automatisch ICMP.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo zusammen
Hab jetzt nicht alles ganz genau durchgelesen aber ist diese IP die geschrieben wurde die IP des Router?
Ist das ein LTE etc. Router? also über das Mobilfunk Netz?
Dann ist diese IP wohl die IP der Mobilfunk Antenne und das wird nie funktionieren. Ausser mir spez. SIM Karten/Abos
Kann das sein?
 
Thomas_v2.1 schrieb:
Antisecurity wäre es wenn das Teil dann in der Firma herumwandert. Ansonsten ist SSH standardisiert und genau so sicher wie ein VPN. Antisecurity ist hingegen Teamviewer.
Zum Vergrößern anklicken....

Naja, gibt ja nach dem VPN immer noch Teamviewer-over-Lan :D

Ich meinte mit "Antisecurity" sich transparent durch den PI eine extra IP in dem Netzwerk zu nehmen, als wenn man physikalisch drangestöpselt ist...
(Der Vorschlag hat bei unserer IT-Konzern-Zentrale nicht unbedingt nur Freunde gefunden ;) )

MfG Fabsi
 
Hallo an alle,
habe nun einen raspberry pi im LAN drangehängt, VPN drauf eingerichtet, im Router Portforwarding port 1723 eingerichtet und siehe da: Alles funktioniert perfekt auf Anhieb!!! *** extrem freu ***
musste keine Änderungen (Gateway oder Router o.ä.) in CPU vornehmen!
Einfach VPN-Verbindung herstellen auf öffentliche IP-Adresse (egal ob statisch oder dynamisch), RasPi gibt mir eine LAN-Adresse aus dem IP-Range der SPS und schon kann ich Programm ändern wie sonst auch lokal. Hätte mit meinen bescheidenen IT-Kenntnissen auch keine Erklärung, warum es nicht funktionieren sollte - ich hänge mich seit Jahren lokal mit einem WLAN-Router auf die SPS und nehme kabellos in Betrieb und musste noch nie irgendwelche besonderen Gateway oder Routereinstellungen vornehmen.
Sicherheitsbedenken brauche ich keine haben - der Technikchef des Anlagenbetreibers steckt meinen Router+Raspi an, ich mach meine Änderung und nach 30 minuten ist der Zauber schon wieder vorbei und der Router offline.

Danke für die rege Teilnahme und Hintergrundinfos an alle!!
LG Christoph :D:D:D

P.S. fürs Ausland und fixe Fernwartungslösungen nehme ich immer die finnische Tosibox - das ist sicher und funktioniert prima (außer in China:cry:)
 
Hallo,

wie hast du den Pi Konfiguriert? Was für eine VPN-Software läuft auf dem Pi? Ich habe sowas ähnliches vor. Allerdings nur im Firmennetz und zur Trennung Maschine und IT, d.h. ich habe einen Pi mit zwei Ethernet-Ports. Einen für das IT-Netzwerk und eine für die Maschine.

Gruß Tommy
 

Similar threads

X
Step 7 Fernwartung Port-Forwarding Port 102
Antworten
6
Aufrufe
6K
xj900mb
X
J
TIA Export TIA Projekt und Import zu Simit
Antworten
1
Aufrufe
1K
Jan_2294
J
B
TIA Profinet / Ethernet Kommunikation zwischen CPU und IO
2
Antworten
20
Aufrufe
5K
olliew
olliew
K
TIA Fernwartungszugriff auf eine CPU 1512SP F-1 PN
Antworten
11
Aufrufe
5K
PN/DP
PN/DP
Process-Informatik GmbH
Internet-Fernwartung/-zugriff ohne viel Aufwand, keine blockierende Firewall
Antworten
0
Aufrufe
6K
Process-Informatik GmbH
Process-Informatik GmbH
Zurück
Oben