# Routen im PC über 2 Netzwerkkarten



## Deep Blue (15 Dezember 2015)

Hallo,

ich habe seit längerem ein Verständnissproblem mit unserem Admin. Wir haben einen Rechner mit 2 NW-Karten. Die eine Karte spricht im Netz mit z.B. 192.168.1.xxx und die andere Karte mit 192.168.2.xxx. Auf der einen Seite hängt unser Firmennetz dran, von wo auf den Rechner zugegriffen werden soll und muß (Fernwartung), auf der anderen Seite ist eine SPS-Steuerung, welche sich mit der Bediensoftware austauschen muß.
Im Fehlerfall soll der Anlagenhersteller aus dem WWW per VPN über die 2 NW-Karten auch auf die Steuerung kommen können. Für mich wäre diese Anforderung ein klassisches "durch-routen" der Kommunikation vom Kreis 192.168.1.xxx auf 192.168.2.xxx.

Und hier scheiden sich die Meinungen. Der Admin sagt, das es nicht gehen würde. Ich kann das aber nicht verstehen. Warum sollte der Rechner diese Anforderung nicht beherrschen? Auf der folgenden Seite wird es doch erklärt das es geht.

http://www.administrator.de/wissen/routing-2-netzwerkkarten-windows-u-linux-56073.html

Bin ich zu blöde es zu verstehen oder erzählt mir der Admin hier Müll?

Jetzt machen wir es so, das eine NW-KArte aus ist und ein lokaler Switch die 2 Netze verbindet und über den Serverraum ein Router das routen übernimmt. Ich hätte den lokalen Switch aber gerne aus der Kommunikation raus gehabt. Wozu hat der Rechner denn 2 NW-Karten?


----------



## PN/DP (15 Dezember 2015)

Wenn man das Routing auf dem Windows Rechner aktiviert, dann wird es funktionieren (habe ich selbst schonmal gemacht). Allerdings kann sich dann jeder zum SPS-Netz durchrouten lassen, der den Weg zu dem PC kennt (Route hinzufügen) und zu dem PC "durchkommt". 
Ich kann Euren Admin verstehen, daß er solche nur mit hohem extra-Aufwand kontrollierbaren "hintenrum"-Wege nicht haben will. Ein Admin möchte einfache zentrale Routing-Regeln.

Harald


----------



## Deep Blue (15 Dezember 2015)

Hallo Harald,

aber wenn der Admin eine sichere VPN-Verbindung nur zu diesem Rechner zulässt sehe ich da keine unsicheren Aspekte, die das durchrouten über die 2 Karten zur SPS verbieten sollten. So muß ich jetzt mit einem Switch im Schaltschrank und einem im Serverraum klar kommen. Und da der Rechner ja 2 Karten hat scheint es mir nicht plausibel, warum er es mir so ausreden will???


----------



## Morymmus (15 Dezember 2015)

Also die meisten Admins, mit denen ich bisher zu tun hatte wären mit der Switch-Lösung auch nicht glücklich gewesen. Zugegeben, es ging um deutlich größere Anlagen als nur eine SPS, aber auf dem dann entstehenden Maschinennetz ist u.U. recht viel traffic - ich denke da an Codesys-Basierte Steuerungen von Eaton, die per UDP-Broadcast kommunizieren. So gut das auch funktioniert, da muss Deine Infrastruktur schon ganz schön Schub haben, wenn sie "nebenbei" auch noch den Office-Traffic bearbeiten soll.

Was mir noch nicht ganz klar ist, ist ob Eure Anlagenhersteller per VPN und Remote-Desktop auf dem fraglichen Rechner arbeiten, der dann per Netzwerk mit der SPS kommuniziert, oder ob diese "durch" den Rechner auf der SPS arbeiten können sollen.


----------



## Deep Blue (15 Dezember 2015)

Sowohl als auch, der Anlagenhersteller hat die Anwendung geschrieben und auch die SPS. Im Fehlerfall muß er also auf beiden Systemen arbeiten können. Wobei der Weg aus dem WWW über den PC in die SPS eigentlich der Wichtige ist. Und da hätten dann mMn die 2 KArten gereicht. Aber der Admin streitet sich mit mir, das dies so techn. nicht gehen würde in einem Rechner mit 2 NW-Karten durch-zu-routen.


Mal zu Aufbau: Dot.net basierte Anwendung auf IPC mit Kommunikation zu einer S7 400.


----------



## Morymmus (15 Dezember 2015)

Also ich stelle mir das Setup folgender Maßen vor:

Internet <-> Router <-> Netzwerk 192.168.1.x <-> PC mit 2 NW-Karten <-> Netzwerk 192.168.2.x <-> SPS

Bei diesem Setup sollte es technisch möglich sein, ein "durchrouten" zu machen - in Deinem letzten Beitrag klingt es aber ein bisschen so, als ob der PC direkt aus dem Internet erreichbar sein sollte (also DMZ ohne Router dazwischen) - DANN ist es natürlich nicht mehr so einfach möglich (und auch nicht sinnvoll/sicher) auch aus dem Netz 192.168.1.x auf diesen Rechner zuzugreifen. Falls dies dem Admin vorschwebt, kann ich seine Bedenken durchaus verstehen.
Wir  haben in der Vergangenheit die Systeme, sofern denn eine Möglichkeit zur Einwahl von außen sein musste, prinzipiell so aufgebaut:




Die grünen Bereiche werden von der lokalen IT verwaltet, der rote Bereich ist nur für die Maschinen bzw. Rechner, die Bedienaufgaben haben.


----------



## PN/DP (15 Dezember 2015)

Jetzt ist da aber ein Lieferanten-PC mit einer Netzwerkkarte im grünen Office-Netz und eine Netzwerkkarte im roten Maschinennetz.
Technisch ist es kein Problem, vom grünen Office-Netz via dem Lieferanten-PC in das Maschinennetz zu gelangen. Dazu muß lediglich auf dem Lieferanten-PC das Routing zwischen den Netzwerkkarten aktiviert werden und beim zugreifenden PC eine Route hinzugefügt werden und in der Ziel-SPS der Lieferanten-PC (IP Maschinennetz) als Gateway eingetragen werden.

Ich kann fast nicht glauben, daß der Admin das nicht weiß... Vielleicht will er nicht diskutieren und sagt deshalb einfach "geht nicht". 

Harald


----------



## Morymmus (15 Dezember 2015)

@Harald

Ich weiss, das mein Bild nicht die Situation des TE zeigt - wie gesagt, so haben wir in der Vergangenheit so etwas aufgebaut.
eigentlich könnte man auch eine entsprechende Route in dem Firmen-Gesamtrouter eintragen:

```
Wenn 192.168.2.x dann route an Maschinennetz, sonst route ins Internet.
```

Diese  Lösung lässt Zugriffe zwischen den Netzen zu (konfigurierbar) ohne das Office-Netz gleich mit Maschinen-Traffic zu fluten.


----------



## PN/DP (15 Dezember 2015)

Ich sehe als Problem, daß nicht jeder Office-PC (und Einwahl-Gast) in das Maschinen-Netz zugreifen darf (dann bräuchte man die Netze auch nicht so strikt trennen). Deshalb wird der Admin in dem Router Regeln einrichten, wer wohin darf.
Jetzt kommt ein Lieferant und packt zwischen das Office-Netz und das Maschinen-Netz noch einen eigenen Router "für Jedermann" und sagt dem Admin, daß der auf dem Lieferanten-Router nix zu administrieren hat ...

Harald


----------



## Morymmus (15 Dezember 2015)

@Harald 
*ACK*

Aber deshalb plant man so etwas ja auch mit der IT und nicht an denen vorbei


----------



## Deep Blue (15 Dezember 2015)

PN/DP schrieb:


> Ich kann fast nicht glauben, daß der Admin das nicht weiß... Vielleicht will er nicht diskutieren und sagt deshalb einfach "geht nicht".
> 
> Harald



Nach einem klärenden Gepräch zwischen uns sagte der Admin nun "...natürlich würde das gehen. Aber das ist eben nichts für eine Firma sondern für den Heimgebrauch.". Dann hätte er das auch gleich sagen können das er dazu keinen Bock hat :-x Dies ist die einzige SPS mit einem anderen IP-Bereich. Generell haben alle Steuerungen den gleichen Bereich wie das Firmennetz. Das ist zwar nicht in meinem Sinn, aber vereinfacht die Kommunikation zwischen der Office-Welt und Automation erheblich.

Wie habt ihr es denn bei euch? Alleine vom Sicherheitsaspekt halte ich eine Trennung für sinnvoll. Hat wohl alles so sein "Für und wieder".


----------



## Morymmus (15 Dezember 2015)

Also bei uns gilt: eine Anlage, die nicht unbedingt ans Netz muss bleibt autark.

Wenn Vernetzung sein muss, dann wie oben in meiner Skizze gezeigt.
Auf den Routern laufen natürlich die üblichen Sicherheitsdinge wie z.B. Firewall etc

gesendet von meinem Moto G mit Tapatalk


----------



## holgermaik (15 Dezember 2015)

Routen von einen IP Bereich in einen anderen auf einem PC würde bei uns eine glatte Abmahnung nach sich ziehen. Ist strengstens untersagt! Nicht umsonst sind die Bereiche getrennt.
Verbindung gibt es nur über IT Gateway und Firewall. Natürlich selektiert nach Rechten für einzelne Benutzer.
Holger


----------



## Deep Blue (16 Dezember 2015)

Das vor diesem Rechner noch ein Rechenzentrum sitzt mit allen möglichen Sicherheitseinrichtungen etc. sollte ich noch erwähnen. Dem Anlagenhersteller soll im Fehlerfall über eine gesicherte VPN Verbindung sowohl der begrenzte Zugriff auf den Rechner wie auch auf die SPS ermöglicht werden.
Weiterhin muß es aus jedem Punkt des Firmennetzes für die Technik möglich sein auf auf Monitor und SPS zu kommen.

Daher verstehe ich " strengstens untersagt" von holgermail nicht. Die Leitung ist doch save. Der angemeldete Benutzer auf dem Bedienrechner hat nur begrenzte Zugriffe.


----------



## holgermaik (16 Dezember 2015)

Die Leitung von "Außen" ist eine Sache. Allerdings gibt es ja auch innerhalb einer Firma verschiedene Netze für unterschiedliche Zielgruppen.
Wenn du Netze unkontrolliert verbindest (ohne Firewall, Zugriffskontrolle,...) wie du es ja mit deinen 2 Netzwerkkarten möchtest, hat plötzlich die Sekretärin Zugriff auf das Netz der Maschine X von ihrem Office PC. Um genau das zu verhindern, ist ein Routen bei uns nur durch die IT zulässig.


> Generell haben alle Steuerungen den gleichen Bereich wie das Firmennetz


 ohne Worte


----------

