WinCC Per VPN Router auf Smart Server zugreifen

R

RadonSwoop

Level-1
Beiträge
2
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Moin moin!

Ich bin Werksstudent bei einem typischen Mittelständler.

Bisher sieht Fernwartung und -Bedienung hier so aus, dass vor Ort eine PC Station mit TIA und WinCC RT Advanced steht, auf der Teamviewer läuft. Der Kunde hat so neben dem Zugriff auf WinCC halt auch vollen Zugriff auf die Projektdatei. Kommt mir ein wenig merkwürdig vor, das so zu händeln.

TIA bietet ja die Möglichkeit, per Router auf die Steuerung zuzugreifen und per Teamviewer VPN (ohne TIA vor Ort) läuft das im Experiment auch wunderbar. Jetzt würde ich aber auch gerne ermöglichen, dass Kunden die Anlage per Smart Server aus dem Homeoffice o.ä. bedienen können. Da ist der Zugriff per Teamviewer VPN schon etwas viel vorausgesetzt. Eignen sich sowohl für den "weltweiten" Fernzugriff per Smart Server, als auch für die Fernwartung per TIA VPN Router, wie die von IXON? Nebeneffekt wäre, dass wir dank Mobilfunk-Internet nicht auf das Kundennetz und Wohlwollen der lokalen IT angewiesen sind. Idealerweise würde ich dem Kunden gerne sagen können, dass er die Anlage von zu Hause über sein Smart Phone steuern kann und dazu neben der Siemens Smart Server App nur noch eine VPN App, wie z.B. open VPN herunterladen muss.

Geht das mit VPN Router und dem vom Hersteller bereitgestellten Service? Oder müssten wir noch einen VPN Server bei uns hosten, über den dann die Kunden auf ihre Anlagen kommen?

Viele Grüße!
 
VPNs haben ihre Berechtigung.

Um von zuhause aus auf den Smartclient für eine Maschine zu kommen, muss ich erst über den Firewall VPN ins Intranet und dann noch mal zusätzlich über den zugehörigen Router VPN ins Anlagennetz, von da aus komme ich dann über eine RDP Verbindung auf meine Entwicklungsumgebung und von dort aus kann ich dann über den Smartclient auf das HMI schauen.

So etwas sollte nie frei im Internet herumschwirren. Bitte nicht. Wenn das für die Kunden ein Hindernis ist, dann ist Security immer noch ein Fremdwort.

Maximal sollte so etwas aus dem Intranet möglich sein, eher noch nur aus dem Anlagennetz.

Weiterhin auch bitte beachten, dass es gilt zwei Passwört auf dem Smartserver einzurichten, eines nur für view-only und eines für zum Bedienen.

Wenn dir da irgendeiner von zuhause aus etwas drückt und es passiert etwas (Unfall), dann hört der Spaß der einfachen Bedienmöglichkeit auf.

Zudem sind das die Anlagen vom Kunden, die stehen bei dem Kunden und er hat sich da an seine eigene IT zu halten. Das ist nicht das Problem des Maschinenbauers/Softwarelieferanten/Integrators
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Es kommt halt stark auf das Produkt und auf die Kunden an. Wir bieten unseren Kunden an, einen LTE-Router zu stellen, der sich dauerhaft oder nach Wunsch im Bedarfsfall mit unserem eigenen VPN-Server verbindet, so dass genau 4 Personen darauf Zugriff haben. 2 Admins (die dürfen ja immer alles.) und zwei Programmierer.

Da wir eine mindestens einjährige Inbetriebnahmephase haben, wird es so für beide Seiten billiger.
 
RadonSwoop schrieb:
... Nebeneffekt wäre, dass wir dank Mobilfunk-Internet nicht auf das Kundennetz und Wohlwollen der lokalen IT angewiesen sind. ...
Zum Vergrößern anklicken....
Warum willst Du die lokale IT umgehen? Weil die Security-Standards haben und keine Bastellösungen akzeptieren?

Klar gibt es in der Praxis genügend Fälle, bei denen man die IT erst zur Mitarbeit motivieren muss, aber einen eigenen Zugang außen zu schaffen halte schon für kritisch.
 
Danke schon mal für eure Antworten!

Wir bauen relativ kleine teilweise mobile Anlagen, die oft bei Kunden an sehr entlegener Orten stehen. Großteils nicht in Deutschland. Die lokale IT ist oft der Sohn vom Chef, der das Routerpasswort vergessen hat.

Die erste Anfrage klang vielleicht etwas hochgestochen. Anforderung vom verantwortlichen Ing. ist, dass die Anlage selbstständig über das Internet steuerbar und wartbar sein soll.
 
Das Risiko wäre mir viel zu hoch. Z.b. mein Werksleiter hat auch über das Firmennetz und VPN Zugang zum Füller (Wasser+ Säfte) und zur Saftaufbereitung. Er kann praktisch von Zuhause oder auch übers Handy alles Steuern (außer Füllerstart dafür bräuchte er einen Taster den es auf der Visu nicht gibt). Aber der macht das auch schon seit fast 20 Jahren. Hier geht´s aber nur darum das er auch Abends oder am Wochenende sieht wie es läuft bzw. Hilfestellung bei Problemen.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
RadonSwoop schrieb:
Anforderung vom verantwortlichen Ing. ist, dass die Anlage selbstständig über das Internet steuerbar und wartbar sein soll.
Zum Vergrößern anklicken....
Wie kann sich eine Anlage selbstständig über das Internet steuern/warten?

RadonSwoop schrieb:
Der Kunde hat so neben dem Zugriff auf WinCC halt auch vollen Zugriff auf die Projektdatei. Kommt mir ein wenig merkwürdig vor, das so zu händeln.
Zum Vergrößern anklicken....
Warum ist das für dich merkwürdig?
 
Wir lösen das mit IXON VPN Gateway.
Das geht recht einfach zu integrieren, sowohl VPN zur Programmierung als auch VNC funktionieren über die Gateways. Rechteverwaltung geht über den Provider IXON.
Habe auch schon mit EWON und ASEM ubiquity gearbeitet. Das klappt im Prinzip genauso.
 
RadonSwoop schrieb:
Bisher sieht Fernwartung und -Bedienung hier so aus, dass vor Ort eine PC Station mit TIA und WinCC RT Advanced steht, auf der Teamviewer läuft. Der Kunde hat so neben dem Zugriff auf WinCC halt auch vollen Zugriff auf die Projektdatei. Kommt mir ein wenig merkwürdig vor, das so zu händeln.
Zum Vergrößern anklicken....
naja... Wenn es eine größere HMI ist, habe ich auch immer auf den IPCs die Projektierung laufen! Es ist finanziell ganz einfach nicht drin, eine Visualisierung als Projektierung zu kaufen und dann noch die Runtimes für den Kunden dazu, von den Wartungsvertragskosten ganz zu schweigen... Vor Jahren paralell mit Zenon, GTI, Wonderware und WinCC gearbeitet, das wäre ein finanzielles Fass ohne Boden gewesen.

Aber wie ich oben rauslese, es geht doch um kleine Maschinchen für Kleine Kundenbetriebe, d.h. die Chancen für eine eigene Standardisierung stehen doch spitze, reicht da nicht ein HMS-EWON oder ein Helmholz-REX aus??? Muss da jeder Heudeu mit dem Smartphone von der Couch aus jedes Knöpfle bedienen können, nach dem Motto: "Mit meiner Heizung und dem Balkonkraftwerk geht es doch auch... und das habe ich ganz alleine über die Fritzbox gemacht..."?

Ich habe Cosy und Rex im Einsatz, die Smartserver auf dem Panels sind aktiviert, der Kunde bekommt die "beobachten"-Codes fürs Intranet, ich habe die "bedien-Codes" für die Fernwartung. Außerdem war ich bei 90% der Maschinen noch nie Online, die Router sind quasi als reines Alibi verbaut, die meisten davon haben nocht nichtmal eine Netzwerkverbindung beim Kunden...
 
Zuviel Werbung?
-> Hier kostenlos registrieren
RadonSwoop schrieb:
Danke schon mal für eure Antworten!

Wir bauen relativ kleine teilweise mobile Anlagen, die oft bei Kunden an sehr entlegener Orten stehen. Großteils nicht in Deutschland. Die lokale IT ist oft der Sohn vom Chef, der das Routerpasswort vergessen hat.

Die erste Anfrage klang vielleicht etwas hochgestochen. Anforderung vom verantwortlichen Ing. ist, dass die Anlage selbstständig über das Internet steuerbar und wartbar sein soll.
Zum Vergrößern anklicken....
Dennoch gehört da mindestens ein VPN dazwischen und wenn nicht sogar noch eine Firewall. Als Router nutzen wir zB durchgängig UniFi Produkte von ubiquity
 

Similar threads

R
TIA TIA Multiuser Server
Antworten
8
Aufrufe
2K
Matzeh
M
K
TIA Fernwartungszugriff auf eine CPU 1512SP F-1 PN
Antworten
11
Aufrufe
3K
PN/DP
PN/DP
M
TIA Probleme mit VPN-Fernzugriff (Cisco isa3k)
Antworten
2
Aufrufe
2K
mara_m
M
B
Sonstiges Anlagen Dashboards für Kunden per App / Web - Cloud / IoT Anbindung
Antworten
1
Aufrufe
2K
Tol3l3e
Tol3l3e
S
TIA Remote Inbetriebnahme - Hardware konfigurieren
Antworten
10
Aufrufe
2K
JSEngineering
J
Zurück
Oben