# ferwartung über internet



## lorenz2512 (18 Dezember 2007)

hallo,
was muß man im pg einstellen um fernwartung machen zu können, port 102 ist freigeschaltet, über ftp kann auf den cp-it zugreifen, und über browser auch, was fehlt?


----------



## DELTALOGIC Support (18 Dezember 2007)

Hallo,

das kann man so pauschal nicht beantworten, da hier viele Informationen fehlen. Wie ist die Verbindung zwischen den beiden Standorten genau realisiert? Wie sind die beteiligten Geräte parametriert?

Wenn eine TCP/IP Verbindung zwischen PG und der SPS besteht, muss zunächst in der Hardwarekonfig als IP-Adresse des CPs die IP-Adresse parametriert sein, unter der der CP erreichbar ist. In "PG/PC Schnittstelle einstellen" kann dann der Eintrag "TCP/IP -> Name der Ethernetkarte" eingestellt werden. Step7 nutzt dann die in der HW Konfig parametrierte IP-Adresse und das Betriebsystem (bzw. der IP Stack) sorgt dafür, daß die Pakete über die richtige Netzwerkschnittstelle raus gehen.

Voraussetzung dafür ist allerdings, daß die Netzwerkeinstellungen (IP-Adressen und besonders die Routen und das Gateway) des PGs stimmen, denn sonst passiert es sehr schnell, daß die Pakete einen völlig falschen Weg nehmen.

Bernhard Götz


----------



## Forumaner (18 Dezember 2007)

Hallo Herr Götz,

der CP343-1 IT wurde bereits von lorenz2512 parametriert/projektiert.

Ich habe die IP und die Einloggdaten des CP. Damit kann ich wunderbar per FTP auf den CP zugreifen und auch Daten hin und her schaufeln.

Jetzt möchte ich per Internet mit Step7 auf seinen CP zugreifen und mir die Bausteine ansehen, also eine Fernwartung durchführen.
Ich kenne seine...
...IP vom Router
...IP vom CP
...seine Subnetmaske

Die Verbindung wird z.Zt. folgendermaßen aufgebaut:
FTP-Programm -> DSL-Router -> Internet -> DSL-Router -> CP343-1 IT

Somit müsste doch auch folgendes klappen: 
Step7 -> TCP/IP -> DSL-Router -> Internet -> DSL-Router -> CP343-1 IT

Wie gesagt, per FTP komme ich auf den CP343-1 IT, aber mit Step7 bekomme ich keine Verbindung aufgebaut.

Es muss doch irgendwie möglich sein so eine Verbindung ohne VPN und ohne TS-Adapter aufzubauen!

Wir sind für jeden Tipp dankbar!

Gruß,
Forumaner


----------



## DELTALOGIC Support (18 Dezember 2007)

Hallo,

funktioniert im Prinzip auch wie beschrieben, aber es sind ein paar Sachen zu beachten:

1. Die Portforwoardings am Router bei lorenz2512 müssen stimmen (am Besten testweise einmal die Firewall deaktivieren und alle eingehenden Verbindungen auf den CP umleiten)

2. In der HW Konfig auf Ihrer Seite muß die öffentliche IP Adresse von lorenz2512's Router als IP Adresse des CP 343-1 IT eingetragen werden. Diese HW Konfig darf natürlich NICHT an die Anlage übertragen werden.

Und bitte bei dieser Verbindung daran denken, daß das Alles total unsicher ist. Jeder kann ohne Passwort etc. zugreifen.

Bernhard Götz


----------



## lorenz2512 (19 Dezember 2007)

hallo,
danke für die antworten, folgende ports sind frei 20,21,80, 102, auf den webbrowser kann man zugreifen, http://www.lorenz-hattorf.ath.cx/index.htm,
ftp geht auch, ip adreese ist heute 80.128.101.44, ich weiss nicht wo es noch haken soll.


----------



## DELTALOGIC Support (19 Dezember 2007)

Guten Morgen,

was steht in den Logfiles des Routers? Wie ist Step7 parametriert? Ich kann das leider von hier aus nicht testen, ich kann nämlich nur auf einige wenige Standardanwendungen zugreifen. Zugriff auf die Internetseite im CP bekomme ich problemlos. Auffällig ist, daß die Sicherheitseinstellungen so gesetzt sin, daß der Router nach Aussen nicht einmal auf einen Ping reagiert.

Was versuchen Sie eigentlich genau mit Step7 zu machen und was passiert dabei?

Mein Vorgehen an Ihrer Stelle wäre folgendes:

1. Im Lokalen Betrieb sicherstellen, daß die Aktion in Step7 auch wirklich so wie ich es erwarte über TCP/IP funktioniert (Erreichbare Teilnehmer z.B. funktioniert über TCP/IP nicht)

2. Firewall am Router abschalten

3. Router so konfigurieren, daß sämtliche eingehenden Verbindungen an den CP weitergeleitet werden

Wenn es dann funktioniert, kann begonnen werden Einschränkungen zu machen (Firewall wieder in Betrieb nehmen und so einstellen, daß es noch immer klappt, Portforwardings so einstellen, daß nur noch die benötigten gehen usw.). So weiß ich dann zunächst einmal, daß es grundsätzlich geht und vor allem, warum es nicht mehr funktioniert. Also immer nur eine Änderung machen und dann wieder probieren.

Bernhard Götz


----------



## lorenz2512 (19 Dezember 2007)

hallo,
neue ip 80.128.107.145, in dem logfile vom router steht nichts besonderes, ich hab jetzt dhcp ausgeschaltet.


----------



## DELTALOGIC Support (19 Dezember 2007)

DELTALOGIC Support schrieb:


> Wie ist Step7 parametriert?





DELTALOGIC Support schrieb:


> Was versuchen Sie eigentlich genau mit Step7 zu machen und was passiert dabei?



DHCP hat damit nix zu tun 

Bernhard Götz


----------



## DELTALOGIC Support (19 Dezember 2007)

Hallo,

ich hab inzwischen einen erweiterten Internetzugang. Bei Euch Beiden erstmal Finger weg vom Router. Ich komm schonmal auf die SPS drauf  ich melde mich in ein paar Minuten nochmal.

Bernhard Götz


----------



## lorenz2512 (19 Dezember 2007)

hallo,
es geht darum das marc auf meine cpu kommt, vorzugweise ohne vpn (da mein rechner nicht immer an ist), der router ist einer von t-online wenn jemand mit einem ftp clienten im passiv modus zugreift schmiert er ab, wenn marc zeit hat werden wir weiter probieren, als nächstes wir dann wohl die firewall ausgeschaltet.die ganze sache ist nicht kritisch, weil es ist nur ein versuch.


----------



## DELTALOGIC Support (19 Dezember 2007)

Hallo nochmal

Soo... das könnte die Lösung sein. Im Anhang einmal das Projekt, mit dem ich den OB1 von mir aus beobachten kann. Dieses Projekt bitte KEINENFALLS auf die SPS laden, ansonsten ist sie nicht mehr über den CP ansprechbar. Auch wenn sich die öffentliche IP-Adresse des Routers ändert, klappt es nicht mehr.

Bitte denken Sie daran, daß mit den Informationen hier jeder auf diese SPS zugreifen kann, der eine TCP/IP fähige S7 Programmiersoftware hat.

Bernhard Götz


----------



## DELTALOGIC Support (19 Dezember 2007)

Kann der Telekom Router eigentlich kein VPN? Für eine öfter genutzte Verbindung würde ich auf alle Fälle VPN oder eine andere gesicherte Verbindung empfehlen.

In Sachen Funktionalität ist die Routerseite so wie sie ist in Rodnung. In Sachen Sicherheit kann ich dazu nicht viel sagen.

Bernhard Götz


----------



## lorenz2512 (19 Dezember 2007)

hallo,
ah jetzt ist der groschen gefallen, die öffentliche ip muss in der hw bei meinen kollegen in den cp eingetragen werden.
das ist aber auch unschön, bei dynamischer ip.
zum schutz: man könnte ja noch die cpu mit passwort schützen, die ftp schnittstelle ist auch durch passwort geschützt, aber ist schon korrekt, wenn ich zu einem admin sagen würde schalte mal port 102 frei tritt der mich sonst wohin, wenn das jetzt durch getestet ist probieren wir mal vpn, denn wenn man immer ip wechseln muss ist das auch blöd.
vielen dank nochmal.


----------



## DELTALOGIC Support (19 Dezember 2007)

Ja, daß man die IP eintragen muss, ist nicht schön. Mit ACCON-S7-PG geht das ein Bisschen leichter  Aber irgendwoher muss jede Software die aktuelle öffentliche IP-Adresse wissen. Vieleicht unterstützt der Router ja entsprechende Mechanismen (z.B. DynDNS) um das zu vereinfachen.

Soll ich das Projekt oben wieder löschen?

Bernhard Götz


----------



## lorenz2512 (19 Dezember 2007)

hallo,
nein ruhig stehen lassen, das könnte anderen weiterhelfen, und wenn ich die ip ändere ist eh alles hinfällig und die cpu schütze, auserdem wer spass hat soll drauf zugreifen ist eh nur ein test, und ich bin nicht so beliebt wie zotos


----------



## Forumaner (19 Dezember 2007)

Vielen Dank Herr Götz,

Mit Ihrem Projekt geht es wirklich ganz einfach, aber ich muss auch sagen, dass ich gestern auch schon fast so weit war, nur dass ich in "Erreichbare Teilnehmer anzeigen" keinen Teilnehmer gefunden habe und ich kein Projekt erstellt habe. 
So wie es aussieht, muss man mindestens eine CPU und den CP projektieren, damit man auf die entfernte SPS via Internet zugreifen kann.
Anschließend kann man dann die aktuelle Konfiguration vom AG aufs PG laden.

Das Problem ist soweit gelöst, jetzt stellt sich nur noch die Frage, wie man das Routing auf die SPS eleganter ohne VPN hinbekommt.
Vielleicht kommt man nicht drumherum und ich muss ein Script schreiben, welches mir die DynDns-Adresse zum CP in eine IP umwandelt; das wäre schön ein kleiner eleganter Fortschritt.

Ansonsten können wir wohl mit der Sache so leben, wenn nicht der Port 102 offen bleiben müsste...

Gruß,
Forumaner

EDIT:
Ich habe auf die Schnelle ein Programm gefunden, mit der man Anhand der Domain die IP bekommt.
IP-Adresse.exe: http://e314.de/zylom/index.php?id=10
Vor "IP von Domain oder Computername" trägt man die URL von lorenz ein und man bekommt im oberen Bildschirm die IP zur Domain angezeigt.

Kennt noch jemand solche Programme, die nicht den "kompletten" Bildschirm ausfüllen?


----------



## DELTALOGIC Support (19 Dezember 2007)

Daß der Port 102 geöffnet sein muß, ist eben einfach so. Daran lässt sich nichts ändern, ansonsten kann keine eingehende Verbindung aufgebaut werden.

DynDNS löst die Adressproblematik auf der SPS Seite, aber in Step7 kann leider nur eine IP-Adresse und keine Domäne eingegeben werden. Dieser Schritt ist auch automatisch schwer zu lösen, daher bleibt hier nicht viel anderes übrig, als die IP-Adresse manuell zu ermitteln und einzutragen.

Start->Programme->Eingabeaufforderung

ping www.deltalogic.de und Enter eingeben

Bernhard Götz


----------



## Forumaner (19 Dezember 2007)

DELTALOGIC Support schrieb:


> Start->Programme->Eingabeaufforderung
> 
> ping www.deltalogic.de und Enter eingeben



Oder so wie von Ihnen beschrieben ohne "externem" Programm.
Dann müsste man nur für die Domain eine eindeutige Adresse wählen, wenn man mehrere CP's an verschiedenen Orten ansprechen möchte...
Vorteil: Es ist so auf jeden Fall leichter den richtigen CP auf Anhieb in den Weiten des WWW zu finden! 

Gruß,
Forumaner


----------



## johnij (2 Januar 2008)

Forumaner schrieb:


> Vielen Dank Herr Götz,
> 
> Gruß,
> Forumaner
> ...


----------



## mst (24 Juli 2008)

Hallo Leute,

ich möchte hierzu noch eine Frage stellen.

Ich hatte mal das Problem bei einem Kunden der mir auf der Firewall den Port 102 auf die SPS geroutet hat, was ja kein Problemm ist. Er wollte ursprünglich einen anderen Port nehmen.
Soweit ich das jetzt mitbekommen habe kann man den Port 102 in Step7 nicht ändern.

Jetzt stell ich mir die Frage (Aufruf an die Scripter) ob man nicht ein Toll schreiben kann, das bei einem lokalen Aufruf von Port 102 auf eine andere Adresse od. Domain mit eventuell einen anderem Port weiter routet (wie eine Firewall – eben nur lokal).

Dann könnte man in den Einstellungen zu diesem Tool einfach die Kunden spezifischen Daten eingeben und in Step7 einfach in jedem Projekt die IP: 127.0.0.1 eintragen.

Nur so ne Idee.


----------

