# VPN-Verbindung CoDeSys->WAGO über GSM



## De4th4ngel (2 September 2013)

Hallo Allerseits,
ich benötige eure Hilfe.

Ich möchte über eine VPN-Verbindung (Ipsec) von meinem PC auf dem CodeSys 2.3 läuft auf eine WAGO 750-841 zugreifen.

Folgende Hardware wird benutzt:

Arbeitsplatz: 
PC (Win7)                                               interne IP: 192.168.0.2
GSM-Modem1 (Phoenix PSI-GSM/ETH)          interne IP: 192.168.0.1        öffentliche feste IP: XXX.xx.165.93

Anlage:
GSM-Modem2 (Phoenix PSI-GSM/ETH)          interne IP: 192.168.1.1        öffentliche feste IP: XXX.xx.165.95
WAGO 750-841                                        interne IP: 192.168.1.12


In der 750-841 ist als Gateway die 192.168.1.1 eingetragen.
Bei beiden Modems ist die öffentliche feste IP anpingbar und die Zertifikate sind richtig geladen.

Im Modem1 ist folgendes eingetragen:
remote host:                 XXX.xx.165.95
address remote network: 192.168.1.0/24
address local network:    192.168.0.0/24
remote connection:        initiate

Im Modem2 ist folgendes eingetragen:
remote host:                 nix
address remote network: 192.168.0.0/24
address local network:    192.168.1.0/24
remote connection:        accept

Meine Fragen:
1. Was muss ich in beiden Modems unter "Local Static Routes" eintragen? (Network und Gateway)
2. Was muss ich in CoDeSys in den Kommunikationsparametern einstellen, damit die VPN -Verbindung aufgebaut wird und ich auf die Steuerung zugreifen kann?
3. Muss ich die VPN-Verbindung manuell starten (Wie?) oder wird diese aus CoDeSys (nach Eintrag der korrekten Parametern) gestartet?

Vielen Dank für Eure Tips. Aber da ich zum erstenmal eine VPN-Verbindung benutze, brauch ich mal einen Denkanstoß.

Gruß Erik


----------



## Phoenix Contact (3 September 2013)

Hallo Erik, 

erstmal vielen Dank für deine Fragen. 
Ich versuche dich mal zu unterstützen. 

Ich werde erst einmal auf deine Fragen eingehen.

1. Was muss ich in beiden Modems unter "Local Static Routes" eintragen? (Network und Gateway)
Um eine VPN Verbindung aufzubauen, müssen dort keine Einträge vorgenommen werden. 

2. Was muss ich in CoDeSys in den Kommunikationsparametern einstellen, damit die VPN -Verbindung aufgebaut wird und ich auf die Steuerung zugreifen kann?
Grundsätzlich musst du für eine Kommunikation über ein VPN Tunnel auf deinem Windows die Netzwerk-Einstellungen so vornehmen, dass diese mit dem GSM-Modem in dem selben Netzwerk liegen. 
Ebenfalls musst du das Standard-Gateway eintragen, was gleichzeitig das GSM-Modem selbst ist. 
Dementsprechend auf der anderen Seite ebenfalls in der Steuerung Netzwerk und Standard-Gateway einrichten. Aber hast du ja bereits richtig gemacht.

3. Muss ich die VPN-Verbindung manuell starten (Wie?) oder wird diese aus CoDeSys (nach Eintrag der korrekten Parametern) gestartet?
Um die VPN-Verbindung manuell zu starten, müssen beide Seiten auf "Enable" geschaltet werden und jeweils auf "Accept" und "Initiate" eingestellt werden.
Die VPN-Verbindung findet nur zwischen den GSM-Modems statt. Über die Software CoDeSys kannst du am VPN Tunnel nichts beeinflussen. 

Die Software wird sich mit der Steuerung später so unterhalten, als ob sie räumlich nur zwei Netzwerke entfernt seien. Den VPN bekommt die Software überhaupt nicht mit. 

Die konfigurierten Netzwerke in den VPN-Einstellungen sehen gut aus. 
Ich vermute in den Internet-Key Exchange Settings eine Fehlkonfiguration.

Wenn du möchtest kannst mir deine Konfiguration zu folgenden E-Mail Adresse schicken: Interface-Service@phoenixcontact.com
Ich würde mal ein Blick rein werfen.
Ich vermute es würde hier sonst den Rahmen sprengen. 

Mit freundlichen Grüßen 
Eugen Klewno


----------



## De4th4ngel (3 September 2013)

Hallo Eugen,

Vielen Dank für deine ausführliche Antwort. 

Das sieht ja so aus, als ob ich schon auf dem richtigen Weg bin. 

Ich werde jetzt in den Adaptereinstellungen meiner Windows-Netzwerkkarte noch den Standard-Gateway (zum GSM-Modem1-> fehlt bis jetzt) eintragen und die Local Static Routes in den beiden Modems entfernen. Die VPN-Verbindung ist bereits auf "Enable" gestellt.

Sollte es noch Probleme geben, werde ich dir die beiden Config mal schicken. Ich nehme dein Angebot also gerne an. 

Vielen Dank erst einmal.

Gruß Erik


----------



## EvilIce (4 September 2013)

Hallo,

wir machen sowas ähnliches nur mit einem anderen VPN Tunnel. Sollte aber vom Prinzip gleich sein. 
Ich versuche mal kurz zu beschreiben wie unser Aufbau ist.

Wir haben im Netzwerk des Kunden einen Windows PC und unserer Steuerung. Auf dem Windows PC läuft Teamviewer VPN. 

Damit der Windows PC Pakete aus dem IP Bereich des VPN ins lokale Netzwerk leitet ist hier Routing aktiv. Dieses sollten ja deine VPN Modems übernehmen.
In der Steuerung ist nun als Standartgateway die lokale Adresse des Windows PC eingetragen.

Nun habe ich in meinem PC noch eine Route in das Lokale Netz des Kunden eingetragen.

Das geht über die Konsole mit diesem Befehl: Route add "NetzadresseKunde" MASK 255.255.255.0 "TeamviewerIPWindowsPC"
Dabei ist zu beachten das die Netzadresse verwendet wird und nicht die eigentliche IP. Als Beispiel 192.168.1.0 

In Codesys nutze ich nun einfach die IP der Steuerung. Wichtig ist noch das dein lokales Netzwerk im Büro und das vor Ort nicht den gleichen Adressbereich haben dürfen.

Das war eigentlich schon alles. Nun solltest du einen Ping an deine Steuerung vor Ort senden können. Ich hoffe das hat dir auch wenn es nicht genau deinem Problem entspricht geholfen.


----------



## De4th4ngel (4 September 2013)

Hallo EvilIce,

Danke für deine Tips.

Bei uns sitzt die SPS in einem Schaltschrank "in freier Wildbahn".  Sie hat also nur eine Verbindung zum GSM-Modem. In Zukunft wird aber auch eine Variante, wie du sie beschrieben hast, zum Tragen kommen.
Deshalb bin ich für deine Hinweise dankbar.

Ciao Erik


----------



## De4th4ngel (6 September 2013)

Damit das Thema hier abgeschlossen werden kann:

Der Fehler lag an den SIM-Karten. Beide hatten zwar eine öffentliche feste IP, damit konnte aber keine direkte Kommunikation zwischen den Karten aufgebaut werden.
Ich musste die IP ändern lassen und habe einen anderen Adressbereich bekommen, in dem die Karten gespiegelt werden. 

Somit läuft es auf Anhieb.

Für die Tips, besonders Eugen mit seinem Support, nochmal Dank.


----------

