# Fernzugriff auf S7-1200 über VPN - Ping/Webserver funktioniert, TIA Portal nicht



## leoluk (10 April 2012)

Ich bin langsam am Verzweifeln. 
Ich versuche seit Tagen, über einen OpenVPN-Tunnel auf eine S7-1200-SPS zuzugreifen - so schwer kann das doch nicht sein?

Die VPN-Verbindung ist eine Netzwerkbrücke, mein Rechner und die SPS sind also im gleichen Subnetz (kein Router dazwischen). Ich kann die SPS anpingen, auf den Webserver zugreifen und mit libnodave Daten auslesen (ISO-on-TCP). Nur das TIA-Portal v11 (SP2) verweigert kategorisch den Dienst.

Wenn ich explizit einstelle, dass TIA Portal auf dem VPN-Interface verbindet, entsteht überhaupt kein Traffic sondern sofort ein Fehler.

Kann mir jemand helfen?


----------



## Matze001 (10 April 2012)

Infos!

TAP oder TUN (Bridge?)

Redirect-Gateway in der Client.ovpn ... vielleicht will TIA "gezwungen" werden, durch den Tunnel zu gehen. Mal testen.
Ich hab es mit 300ern (Step 7 5.5 SP1 und WinCCflex 2008 SP2/3) am laufen, funktioniert tadellos! Aber bei TIA weis ich nicht, ob wir hier die Ursache suchen müssen. Vielleicht musst du den Bridged-Mode nutzen, aber das wäre ein Rückschritt von Siemens... aber das kennen wir ja eigentlich schon.

Grüße

Marcel


----------



## leoluk (10 April 2012)

TAP (TUN funktioniert ebenfalls nicht). _redirect-gateway_ habe ich schon probiert.

Warum ist das so kompliziert? Von wegen mit TIA Portal wird alles einfacher und "integrierter". Mit Step7 5.5 hat es sogar dann noch funktioniert, wenn man das falsche Interface ausgewählt hatte, solange eine normale TCP/IP-Verbindung möglich war.


----------



## Matze001 (10 April 2012)

Vielleicht liegt es an dieser tollen "virtuellen Netzwerkkarte" in TIA. 

So Sachen wie das suchen der Steuerungen (Broadcast) geht wohl nur beim Bridged-Mode!
(lies mal die Doku von OVPN, die ist hier super!)

Grüße

Marcel


----------



## leoluk (10 April 2012)

TAP ist ja Bridged-Mode, ich kann von meinem Rechner problemlos auf sämtliche Rechner im Zielnetz zugreifen und umgekehrt ebenfalls. Broadcasts funktionieren, in meiner Netzwerkumgebung werden beispielsweise alle Rechner im Zielnetz angezeigt, ohne WINS-Server.


----------



## Matze001 (10 April 2012)

Wie sage ich das mal Vorsichtig? Ich hab schonmal einen Tag gebraucht um mich mit ner 1200er nur mit nem LAN-Kabel zu verbinden... und bin bis heute noch nicht dahinter gekommen warum die so gebockt hat. Da sieht es dann beim VPN nicht besser aus....

Grüße

Marcel


----------



## leoluk (10 April 2012)

Im lokalen Netz hat es auf Anhieb funktioniert, aber nur im gleichem Subnetz am gleichen Switch.
Der Zugriff von einem gerouteten Subnetz aus war schon ein unüberwindbares Hindernis, aber mit einem Bridged-VPN müsste es eigentlich klappen. Eigentlich.

Danke schonmal für die Hilfe! Bei so teurer Hard- und Software muss sowas doch möglich sein.


----------



## leoluk (11 April 2012)

Lösungsansatz: TIA Portal in einer virtuellen Maschine installieren, dann das virtuelle Netzwerkinterface mit der VPN-Brücke auf dem Host verbinden und dadurch einen "physikalischen" Adapter vortäuschen. Wenn das die Lösung ist, bin ich von Siemens doch ein wenig enttäuscht ^^


----------



## leoluk (11 April 2012)

Es funktioniert tatsächlich. Interessanterweise ist TIA Portal in der VM sogar deutlich schneller als auf dem echten Rechner.


----------



## Matze001 (11 April 2012)

Das ist es was ich meinte! Mit einer Brücke tut es.

Ich habe TIA noch nie ohne die Fesseln einer VM betreiben wollen, das hat seine Gründe!

Grüße

Marcel

P.S: Vllt. sniffst du mit Wireshark mal mit was da kommuniziert wird, dann KÖNNTE man vielleicht sehen was ihm fehlt um auch mit einem TAP-Device zu funktionieren.


----------



## leoluk (11 April 2012)

Ich hab mal mit tcpdump auf dem VPN-Gateway mitgeschnitten was passiert: ("sps.dmz" ist die SPS, "192.168.1.101" der Rechner in der VM)


```
13:14:56.807264 08:00:27:a8:86:65 > 01:0e:cf:00:00:00, ethertype 802.1Q (0x8100), length 60:
        0x0000:  0000 8892 fefe 0500 0400 0001 0080 0004  ................
        0x0010:  ffff 0000 0000 0000 0000 0000 0000 0000  ................
        0x0020:  0000 0000 0000 0000 0000 0000 0000       ..............
          (PROFINET DCP, Ident Req, Xid:0x4000003, All)
```

Zuerst sendet der Rechner ein PROFINET-Ident-Request an die Broadcast-MAC.

Die SPS antwortet dann mit ihrem Profinet-Namen:


```
13:14:57.070778 00:1c:06:07:db:9a > 08:00:27:a8:86:65, ethertype 802.1Q (0x8100), length 122:        0x0000:  0000 8892 feff 0501 0400 0001 0000 005c  ...............\
        0x0010:  0205 0014 0000 0201 0202 0203 0204 0205  ................
        0x0020:  0206 0101 0102 033d 0201 0009 0000 5337  .......=......S7
        0x0030:  2d31 3230 3000 0202 000e 0000 7370 7378  -1200.......spsx
        0x0040:  6161 3035 6361 3037 0203 0006 0000 002a  aa05ca07.......*
        0x0050:  010d
```

Dann kommt ein unbeantworteter Broadcast von TIA Portal:


```
13:15:02.481442 08:00:27:a8:86:65 > Broadcast snap ui/C len=35
```

...und dann versucht TIA Portal erstmal, die SPS unter der hinterlegten IP anzupingen:


```
13:15:03.493089 IP 192.168.1.101 > sps.dmz: icmp 40: echo request seq 10
13:15:03.539032 IP sps.dmz> 192.168.1.101: icmp 40: echo reply seq 10
```


Ab dann beginnt normale ISO-TCP-Kommunikation:


```
13:15:03.594763 IP 192.168.1.101.1072 > sps.dmz.iso-tsap: S 4021209567:4021209567(0) win 64240 <mss 1336,nop,nop,sackOK>13:15:03.596560 IP sps.dmz.iso-tsap > 192.168.1.101.1072: S 7379248:7379248(0) ack 4021209568 win 4096 <mss 1336>
13:15:03.642385 IP 192.168.1.101.1072 > sps.dmz.iso-tsap: . ack 1 win 64240
13:15:03.643556 IP 192.168.1.101.1072 > sps.dmz.iso-tsap: P 1:23(22) ack 1 win 64240
```

Auf dem TAP-Device passiert nichts davon, außer dem einen Broadcast ohne Funktion.
Es findet schlicht und einfach kein Versuch statt, über das TAP-Device zu kommunizieren.


----------



## Kemmann (10 Juli 2012)

Guten Morgen,
Auf welchem Betriebssystem läuft das bei dir?  Ich würde das gern unter Windows XP nutzen, zumal die Siemens-Lösung mit dem CP1242-7 und TS-Gateway oder Teleservice Control nicht unter XP läuft.
schonmal vielen Dank im Voraus!


----------



## jmeier (5 September 2012)

Hallo die Idee mit der Virtuellen Maschine ist Super!
Bei mir hapert es mit der Realisierung. Die VPN Verbindung unter Windows 7 ist kein Problem.
TIA 11 in der VirtualBox unter XP läuft auch Reibungslos. Nur bei der Verbindung der Netzwerkarte der VB mit dem VPN Tunnel bekomm ich irgendwie nicht hin. Anpingen der SPS aus der VB ist möglich. Das Problem ist nur das Subnetz der VB nicht identisch ist mit dem der SPS. Wenn ich dies angleiche kann ich die SPS nichteinmal mehr Anpingen. Wo ist mein Fehler?

Mit freundlichen Grüßen jmeier

So hab noch eine Lösung gefunden! VPN Tunnel via PPTP zum anderen Netzwerk herstellen. Ping sollte somit auf die SPS möglich sein. Da TIA V11 diese Verbindug leider nicht als Netwerkkarte findet kann man sich jetzt noch nicht mit der SPS verbinden. Wenn man jetzt das Glück hat zwei Netzwerkkarten zu besitzen. Verbindet man die eine mit dem Internet um den VPN-Tunnel aufbauen zu können. Den VPN-Tunnel gibt man für die Gemeinsame Nutzung der Internet Verbindug frei und wällt als Heimnetzverbindung die zweite Netzwerkkarte. Jetzt kann man unter TIA die zweite Netzwerkkarte wählen, diese nutzt nun den VPN Tunnel um auf die SPS zuzugreifen. Beim suchen erreichbarer Teilnehmer findet TIA leider immer noch nicht die SPS aber eine direkte Verbindung ist Problemlos möglich.


----------

