# Re: Fernwartung mit VPN Tunnel durch VPN- Tunnel???



## Cliff (1 Februar 2007)

*Re: Fernwartung mit VPN Tunnel durch VPN- Tunnel???*

Hi,
ich weiss zwar nicht so recht ob die Frage unter 'Feldbusse' so recht aufgehoben ist, wusste aber nicht wohin sonst:

Ich möchte eine ProfiNet- Anlage (ca. 20 Teilnehmer) fernwarten. Unser Kunde stellt mir eine VPN- Verbindung in sein Netzwerk zur Verfügung.

Wie kapsele ich meine Anlage am besten um von unserer Firma zwar Zugriff auf jeden einzelnen Teilnehmer zu bekommen, aber gleichzeitig die Maschine möglichst 'geschützt' im Kunden- Netzwerk zu betreiben (Am besten nur durch eine IP sichtbar, welche dann durch Passwort o.ä. abgesichert ist)?

Als Laie habe ich mir vorgestellt, das ich eigentlich einen VPN- Tunnel in einem Tunnel bräuchte...

1.) Mit dem vom Kunden zur Verfügung gestellten VPN Zugang gelange ich in dessen Firma.

2.) Sobald die Verbindung steht, starte ich den zweiten Tunnel auf einen VPN- Router (z.B. Bintec), an dem dann unsere Maschine angeschlossen ist.

Ist so etwas überhaupt möglich?
Wie könnte man das lösen ohne einen PC vor Ort zu installieren (Nur Router/ Gateway/ Switches)?

Gruss Cliff


----------



## Thomas_v2.1 (2 Februar 2007)

Hi,
ein zusätzlicher Tunnel im VPN-Tunnel ist nicht zu empfehlen - beim einfachen Einpacken der TCP-Pakete können schon genug Probleme auftreten.

Um die Netze zu trennen ist der Administrator der Kundennetzes zuständig. Dieser hat dann dafür zu sorgen, dass dein VPN-Zugang nur in dein
Automatisierungs-Netz gelangt, was ggf. durch Einstellungen am Router bzw. am  managebaren Switch zu bewerkstelligen ist.
Wenn nur ein DSL-Zugang besteht, ist so ein Switch auch die einzige Möglichkeit die Netze komplett voneinander zu trennen.

Für näheres müsste man aber mehr über das Netzwerk vor Ort wissen. Da es da aber einen Administrator zu geben scheint, müsste sich dieser doch um die
Netztrennung kümmern.

Falls doch noch ein PC im Kunden-Netz bereit steht, könnte ich dir eine schöne Lösung mit SSH beschreiben.


----------



## afk (2 Februar 2007)

*Natürlich geht das*



Cliff schrieb:


> Ist so etwas überhaupt möglich?
> Wie könnte man das lösen ohne einen PC vor Ort zu installieren (Nur Router/ Gateway/ Switches)?


Ist möglich, ich sitze grade neben einer Anlage, bei der wir das genau so machen.

Ein PC hat zwei Netzwerk-Adressen, eine im Kundennetz, und eine in unserem kleinen "Anlagennetz", und übernimmt die Funktion des Gateways für alle anderen PCs und SPS-Steuerungen. VPN-Einwahl erfolgt zuerst in das Kundennetz, dann per zweitem VPN durch den bestehenden Tunnel auf diesen PC.

An diesem PC wird das über "Incomming connections" und "Virtual Private Network: Allow others ..." freigeschaltet. Das default VPN in Windows (PPTP) ist zwar nicht besonders sicher, aber für die Sicherheit sorgt ja schon der "äußere" Tunnel zum Kundennetz.

Wichtig ist, das überall die Settings für Gateway bzw. Router richtig eingestellt sind, und die IP-Adressen der ganzen Teilnehmer vom "Anlagennetz" in die Host-Tabelle des PCs eingetragen werden, der die Verbindung zur Anlage aufnehmen soll (der PC, der bei Dir steht, nicht der beim Kunden).



Cliff schrieb:


> Wie könnte man das lösen ohne einen PC vor Ort zu installieren (Nur Router/ Gateway/ Switches)?


Bei der beschriebenen Lösung übernimmt ein PC die Funktion des Routers, mit einem "normalen" Router, der die Funktion eines VPN-Einwahlknoten übernehmen kann, sollte das genauso funktionieren.



Thomas_v2.1 schrieb:


> ein zusätzlicher Tunnel im VPN-Tunnel ist nicht zu empfehlen - beim einfachen Einpacken der TCP-Pakete können schon genug Probleme auftreten.


Das widerspricht komplett unseren Erfahrungen mit dieser Lösung.


Gruß Axel


----------



## Cliff (2 Februar 2007)

Hallo Ihr Beiden,
und zunächst erst einmal Danke für die Antworten...

Zunächst:
Einen PC habe ich definitv nicht vor Ort. Die Variante mit den zwei Netzkarten verwenden wir, wenn wir diesen schon betriebsmässig in der Anlage haben.
In meiner Anlage sind nur 'dumme' ProfiNet- Teilnehmer und ein Multipanel (WinCE) vorhanden.

Bezüglich des örtlichen Administrators habe ich im Moment noch das Problem, das die ganze Sache für unseren Kunden auch noch Neuland ist. Meine Hoffnung war/ ist, das ich meinem Kunden eine Lösung anbieten kann, mit der ich in seinem Netz am besten nur als ein einziger Teilnehmer auftauche.
Ich habe unseren Kunden gerade zu der VPN- Lösung überreden können um vom störanfälligen Modem weg zu kommen. Wenn ich denen jetzt sage das ich ca. 20 neue Teilnehmer in deren Netz stelle... Na ja

@Axel:
Wie stellt sich der zweite Tunnel in der Praxis dar?
Ich stelle mir gerade vor, ich starte zunächst meinen IpSec- Client um in das Kundennetz zu kommen. Dabei erhält mein lokaler PC eine IP aus dessen Adressraum.
Nun muss ich ja eigentlich eine zweite Instanz des Clients starten um in mein Netz zu gelangen. Dabei würde mein PC wiederrum eigentlich eine neue IP erhalten...
Oder liege ich da falsch?


Gruss Cliff


----------



## afk (2 Februar 2007)

*Fast richtig*



Cliff schrieb:


> @Axel:
> Wie stellt sich der zweite Tunnel in der Praxis dar?
> Ich stelle mir gerade vor, ich starte zunächst meinen IpSec- Client um in das Kundennetz zu kommen. Dabei erhält mein lokaler PC eine IP aus dessen Adressraum.
> Nun muss ich ja eigentlich eine zweite Instanz des Clients starten um in mein Netz zu gelangen. Dabei würde mein PC wiederrum eigentlich eine neue IP erhalten...


In etwa so läuft das, nur die IP-Adressen, die Dein PC erhält, liegen nicht im Adressraum des Kunden, sondern kommen aus dem Adresspool des jeweiligen VPN. Und es muß nicht unbedingt der gleiche VPN-Client für den äußeren und den inneren Tunnel verwendet werden. Die Routing-Tabellen sollten die VPN-Clients automatisch richtig einstellen. Auf Kundenseite muß Dein VPN-Router bei allen Teilnehmern Deines Subnetzes als Gateway bzw. Router eingetragen werden, und bei dem wiederum das Gateway bzw. der Router des Kunden (falls er das nicht per DHCP erhält).


Gruß Axel


----------

