# Fernzugriff im Unternehmen



## Neurorancer (13 März 2017)

Guten Tag,


unsere Firma stellt Anlagen her und wir bauen diese beim Kunden auf.
In den Anlagen ist jedesmal eine Profinet-fähige Siemens CPU drinnen.


Jetzt möchten wir weitergehen und eine Fernwartung einrichten.
Also einen VPN-Zugang zu der Anlage, welche beim Kunden steht.


Nun bin ich ein Elektroingenieur und kein Informatiker und kennen mich
was VPN-Einrichten angeht nur mäßig aus.


Ich habe mit dem Kunden, wo die Anlage steht, gesprochen. Dieser kann uns
eine IP vergeben unter welcher wir auf die Anlage zugreifen können.


Da ich im Schaltschrank aber mehrere Profinet-fähige geräte habe, überlege
ich mir einen VPN-Router im Schaltschrank zu verbauen.


Der VPN-Router(*) wäre somit im Kunden-Netzwerk und ich möchte aus meiner Firma aus
auf den VPN-Router(*) per VPN zugreifen.


Frage: Kann ich als einen VPN-Router(*) eine VPN-fähige Fritzbox nehmen?
Oder was würdet Ihr empfehlen?


Und wie greife ich dann auf den VPN-Rourter(*) zu? Da sich dieser in einem Kundennetzwerk
befindet, muss ich theoretisch eine Adresse von dem Kunden bekommen, unter der ich auf
den VPN-Rourter(*) zugreifen kann, richtig?


----------



## mbi (13 März 2017)

Hallo
Bei deinem Wissenstand empfehle ich dir so ein VPN Router einzusetzen:
insys-icom, eWon,secomea etc.
Da braucht du 'fast' nichts einzustellen. 
Klar könntest du das wohl auch mit einer Fritzbox machen nur musst du dann am Kundennetz etwas ändern oder bei dir im Büro eine Installieren.
Wenn es dir um möglichst geringe HW kosten geht kauf dir ein 20E Router nimm OpenWrt mit OpenVPN Packet und konfigurier das 1-2Tage. (meine Einschätzung)
Gruss mbi


----------



## Hesse (13 März 2017)

Mir wurde mal die Firma eWon empfohlen ….
https://ewon.biz/de
  Seitdem setze ich sie auch ein und habe gute Erfahrungen gemacht.
  Wir haben Cosy141 und CD 2005 CD im Einsatz 
  Vorteil: durch das Talk2M (Cloud-basierter Fernzugriffmeldet) meldet sich die Anlage relativ "einfach" aus dem Kundennetz bei mir.

  Selbst wenn die Anlage mal „umzieht“ geht das eigentlich ohne IT-Mann vor Ort.

  Andere sehen das als Nachteil, immer eine Frage der Sichtweise … 

Kommt aber auch drauf an um was es geht:
  Brotbackautomat oder Uran Zentrifuge….?


----------



## Gerhard Bäurle (13 März 2017)

Neurorancer schrieb:


> Ich habe mit dem Kunden, wo die Anlage steht, gesprochen. Dieser kann uns
> eine IP vergeben unter welcher wir auf die Anlage zugreifen können.



Technisch ist das  machbar, aber wenn Du zugreifen 
kannst können das andere auch.

In der Regel nimmt man dazu Portal-basierende Lösungen, 
d. h. die Anlage bekommt einen Router, der sich mit dem 
Portal verbindet und  der Servicetechniker meldet sich auch 
am Portal an.  Dort ist hinterlegt, wer was darf bzw. welche 
Recht hat.

Das schon erwähnte talk2M ist so eine Lösung, mbConnect24
von MB Connect Line ebenfalls.

Dass Dir die Kunden-IT die Firewall für Zugriffe von außen öffnet, 
ist eher eine Ausnahme. Teilweise haben die Unternehmen auch 
Richtlinien, die das schlicht verbieten.


----------



## PN/DP (14 März 2017)

Neurorancer schrieb:


> Ich habe mit dem Kunden, wo die Anlage steht, gesprochen. Dieser kann uns
> eine IP vergeben unter welcher wir auf die Anlage zugreifen können.


Vermutlich meint er damit eine Firmen-interne IP-Adresse? Dann braucht er Dir nur noch verraten, wie Du Dich sicher (mit Passwort) in sein Firmen-Netzwerk einwählst (VPN-Client?) und für Dich ist alles tutti. Dann ist er für die Sicherheit zuständig, daß Unbefugte von außerhalb des Firmennetzes nicht zugreifen können.

Sollte er eine Portweiterleitung oder irgendwas ohne Password meinen - da lasst die Finger von. Wenn es bei dem Kunde noch keine sichere Firmenzugangs-Lösung gibt, dann kann so eine Portal-Lösung erstmal besser als gar nichts sein. Die sind extra gemacht für Leute, die keine Ahnung oder keine Lust oder keine Zeit für Pflege von Kundenzugängen haben. 

Wenn der Kunde gar nicht übers Internet erreichbar ist, dann gibt es auch noch Telefon- oder Mobilfunk-Einwahllösungen, wobei die allerdings oft nicht viele Jahre funktionieren, weil die Telefon-/Mobilfunkanbieter gerne alle paar Jahre die Standards und Dienste ändern.

Auf jeden Fall solltest Du Deine Lösung nicht ohne Einverständnis der Firmen-IT installieren. Viele Firmen mögen es nicht, wenn Anlagen dauernd zu irgendwelchen Servern außerhalb der Firma "telefonieren" und unbekannte Daten senden/wollen - womöglich noch über Wege, die die IT nicht kontrollieren kann.

Harald


----------



## Gerhard Bäurle (14 März 2017)

PN/DP schrieb:


> Viele Firmen mögen es nicht, wenn Anlagen dauernd zu irgendwelchen Servern außerhalb der Firma "telefonieren" und unbekannte Daten senden/wollen - womöglich noch über Wege, die die IT nicht kontrollieren kann.



Falls Du das auf die Fernwartungsportale beziehst, die beispielsweise 
Insys, Ewon oder MB Connect Line anbieten, muss ich Dir widersprechen. 

1. Ob die Anlagen "dauernd" telefonieren, hängt von der Anwendung ab.
Wenn Produktionsdaten verschiedener Werke just-in time zentral 
gesammelt werden sollen, sind die Anlagen dauern online – bzw. gehen
kurz online, um die Daten zu übertragen. 

Geht es dagegen nur um Fernwartung, wird die Verbindung nur bei Bedarf
aufgebaut, etwa durch einen Schlüsselschalter am Router.

2. unbekannte Daten? Ich kann jetzt nicht von allen Portalen sprechen,
aber bei mbConnect24 kann über Benutzerrollen/Benutzerverwaltung
genau festgelegt werden, wer auf welche Daten Zugriff hat. Es entscheidet 
der Anlagenbetreiber, welche Daten nach außen gehen und welche nicht.


----------



## Sven Rothenpieler (14 März 2017)

Gerhard Bäurle schrieb:


> Ich kann jetzt nicht von allen Portalen sprechen,
> aber bei mbConnect24 kann über Benutzerrollen/Benutzerverwaltung
> genau festgelegt werden, wer auf welche Daten Zugriff hat. Es entscheidet
> der Anlagenbetreiber, welche Daten nach außen gehen und welche nicht.


So ist es beim INSYS Connectivity Service auch.

Natürlich kann man beim Kunden (oder er macht es eben selbst) auch einen VPN-Server einrichten, wenn er die finanziellen Mittel und personellen Ressourcen locker macht.
Wenn du lange etwas von deiner Fernwartungslösung haben willst, dann investierst du lieber ein paar Euros mehr in ein industrietaugliches Gerät als eine handelsübliche Fritzbox zu kaufen, die in keinster Weise für Industrieeinsätze entwickelt wurde. Da würdest du an der falschen Stelle sparen. Außerdem bieten dir wie oben bereits geschrieben viele Firmen einen VPN-Service mit an, der meistens in einer Basic-Version im Gerätepreis inkludiert ist.


----------



## Neurorancer (14 März 2017)

Vielen Dank für die wertvolle Information!

Ich habe mir folgendes Paket ausgesucht:

Scalance S615 Modul mit Sinema Remote Connect.
6GK17200AP03

Das ist ein Starter Set, wo man die Software und die Hardware bekommt.

Hat Jemand Erfahrungen damit?


----------

