# Fernwartung für mehrere S7



## Solaris (26 Mai 2008)

Hallo Fernwartungsfreunde,

die Funktion der Fernwartung für eine S7-315-Anlage  ist mir im Prinzip klar, scheint auch gut zu funktionieren. Wie kann ich nun mehrere S7 mit jeweils 1 CP343-1 Lean in einem Firmennetzwerk einzeln von außen über das I-NET ansprechen? Da muß doch irgendwas dazwischen was mir die einzelnen IP-Adressen unterscheidet? Oder wie kann ich das Portforwarding für Port 102 sonst auf mehrere S7 verteilen? Es soll dann noch ein VPN-Router davorgeschaltet werden. Wie kann man das elegant lösen?


Vielen Dank im Voraus


----------



## MSB (26 Mai 2008)

Wie kann man das elegant lösen:
Mit dem VPN-Router

Mit dem VPN-Router ist dann kein Port-Forwarding mehr nötig.

Mfg
Manuel


----------



## Solaris (20 Juni 2008)

Ich bin gerade am ausprobieren einer Online-Verbindung Step7 über I-Net auf 315-2DP mit CP343-1Lean ohne VPN-Tunnel. Ich kann online auf den CP über meinen Internet-Explorer zugreifen. Als nächsten Schritt will ich eine Verbindung mit Step7 aufbauen. Das will einfach nicht klappen. In der Hardware der CP ist  Routerbetrieb mit dem örtlichen Router eingestellt, was muß ich noch in Step7 einstellen? Nach Eingabe meiner Zielstationsdaten ist "kein Teilnehmer erreichbar", ich denke daß ich die Subnetze nicht richtig angelegt habe?


----------



## AUDSUPERUSER (20 Juni 2008)

PG-PC Schnittstelle richtig eingestellt?

Gruss
Audsuperuser


----------



## Solaris (20 Juni 2008)

Wenn ich während der Verbindungsaufnahme den Browser der CP betrachte dann passiert auch was, nur kein kompletter Verbindungsaufbau.


----------



## funkdoc (21 Juni 2008)

ne das ist blos der uplink traffic der S7OIEHSX.exe....
den brauchst du für die eigentliche S7 verbindung nicht beachten.

du musst bei den eigenschaften der schnittstelle umschalten auf router und ip adresse eingeben... oder hast du das schon gemacht?

grüsse


----------



## Solaris (21 Juni 2008)

Ja habe ich schon gemacht.:neutral:


----------



## JoopB (21 Juni 2008)

Wir haben ein VPN verbindung und wie kontte genau so online off wir bei die anlage sind. Die VPN geht via Internet nach eine von unsere site's wo unsere ICT abteillung sitz. Von daaraus wurde das signaal via unsere Intra net weiter geleitet nach unsere andere anlage. Wir und unsere machine bauers musten die VPN so einstellen das die Gateway von dass extern netzwerk benutz wurde. Wehn ich von hausse die VPN verbindung offend konte ich nich mit der selbe PC auf Internet. Siehe fur die einstellungen der PDF anhange.

Joop


----------



## Solaris (23 Juni 2008)

Momentan habe ich aber keine VPN-Verbindung, das sollte doch auch ohne gehen?


----------



## JoopB (23 Juni 2008)

Ich denke da dass nicht geht. Wehn Sie auf dass intra netz sitsen musst das gehn.


----------



## DELTALOGIC Support (23 Juni 2008)

Guten Morgen. 
Verbindungen mit Step7 über mehere CPs mit privaten IP-Adressen zu verschiedenen Steuerungen sind mit Step7 Hausmitteln nicht möglich. Die Verbindung müsste mit NAT und PAT am Router gemacht werden, und in Step7 kann der Zielport nicht ausgewählt werden.

Bitte denken Sie in dem Fall auch an die Sicherheit! Ohne VPN gibt es weder Passwortschutz noch Verschlüsselung.

Mit unserem ACCON-NetLink-PRO wäre das - die Sicherheitsprobleme sind aber die Gleichen - realisierbar. Das muß an Werbung reichen 

Mein Tipp: Benutzen Sie ein VPN.

Bernhard Götz


----------



## Solaris (23 Juni 2008)

Wenn ich das jetzt richtig verstanden habe brauche ich für eine Fernwartung über das Internet:

1. eine VPN-Verbindung (muß nicht unbedingt, nur für die Sicherheit)
2. einen Programmieradapter wie zum Beispiel ACCON-NetLink-PRO (hat Siemens sowas eigentlich auch?)
3. für jede weitere SPS einen weiteren Ethernet-Programmieradapter


Haben diese Ethernet-Programmieradapter alle eine einstellbare IP? Wie kann ich dann eine Fernverbindung aufbauen (wie werden mehrere NetLink im gleichen Netz unterschieden), was ist anders als bei einem direktem Anschluß einer Ethernet-CP an einen Router?

Sorry das ich so bohre aber nu will ich das genau wissen




> Verbindungen mit Step7 über mehere CPs mit privaten IP-Adressen zu verschiedenen Steuerungen sind mit Step7 Hausmitteln nicht möglich. Die Verbindung müsste mit NAT und PAT am Router gemacht werden, und in Step7 kann der Zielport nicht ausgewählt werden.


 
ACCON-NetLink-PRO könnte das?


----------



## DELTALOGIC Support (23 Juni 2008)

Hallo,

jetzt wird es sehr aufwändig. Ich probiers mal möglichst einfach:

In einem normalen Firmennetzwerk wird jeder Teilnehmer (völlig egal ob PC, NetLink-PRO, Ethernet CP oder was auch immer) über seine eigene TCP/IP Adresse angesprochen. Die Adressen, die diese Geräte normalerweise haben, sind aber im Internet gesperrt. Deswegen kann man nicht einfach vom Internet aus auf die Geräte zugreifen.

Um das zu lösen, braucht man einen Router. Dieser hat dann auf der Internetseite eine öffentliche IP-Adresse, über die nacher alle gewünschten Geräte angesprochen werden können. Der Router muss also die Anfragen von der Internetseite an das entsprechende Gerät im Firmennetzwerk weitergeben. Er entscheidet dabei anhand der Portnummer, auf der er die Anfrage bekommt, für welches Gerät diese Anfrage ist und leitet sie weiter. Aber vorsicht - diese Weiterleitungen kann der Router nicht von selber, das muss parametriert werden. Hilfe von jemandem, der sich mit TCP/IP auskennt ist von Vorteil.

Soo... beim Siemens CP ist die Portnummer immer 102. Diese kann auch nicht verändert werden, so daß folglich je Router mit Internetverbindung nur ein CP von Aussen adressiert werden kann.

Beim ACCON-NetLink-PRO kann man im Treiber die Portnummer verändern, so dass genau diese Beschränkung aufgehoben ist. Der Router bekommt also die Anfragen von der PC-Seite für verschiedene Anlagen immer auf der gleichen IP-Adresse, aber an verschiedene Ports und leitet entprechend weiter.

Soo... und jetzt noch ein paar direkte Antworten:



Solaris schrieb:


> brauche ich für eine Fernwartung über das Internet:


Nicht unbedingt, aber es bietet sich an. Man kann Fernwartung auch über Telefon (Analog, ISDN, GSM, GPRS, UMTS) oder sogar auf kürzere Entfernungen mit direkten Funkverbindungen (433MHz, W-LAN...) machen.



Solaris schrieb:


> 1. eine VPN-Verbindung (muß nicht unbedingt, nur für die Sicherheit)


Oder um das Adressierungsproblem zu lösen.



Solaris schrieb:


> 2. einen Programmieradapter wie zum Beispiel ACCON-NetLink-PRO (hat Siemens sowas eigentlich auch?)


Hat Siemens nicht. Es gibt noch ein paar andere ähnliche Adapter, ich kann aber nicht sagen, ob bei denen der Port einstellbar ist



Solaris schrieb:


> 3. für jede weitere SPS einen weiteren Ethernet-Programmieradapter


Ja 



Solaris schrieb:


> Haben diese Ethernet-Programmieradapter alle eine einstellbare IP?


Wenn nicht würde ich mich beim Hersteller beschweren  denn ein IP Gerät ohne einstellbare IP ist sinnlos.



Solaris schrieb:


> Wie kann ich dann eine Fernverbindung aufbauen


Sie stellen in PG/PC-Schnittstelle einstellen den ACCON-NetLink-PRO als Adapter ein. In den Eigenschaften stellen Sie die öffentliche IP-Adresse und den Port über den der NetLink-PRO erreichbar ist, ein und machen dann in Step7 Ihre Arbeit.



Solaris schrieb:


> (wie werden mehrere NetLink im gleichen Netz unterschieden),


Wie bereits Oben geschrieben, jeder NetLink-PRO bekommt seine eigene IP-Adresse.



Solaris schrieb:


> was ist anders als bei einem direktem Anschluß einer Ethernet-CP an einen Router?


Beim Ethernet CP steht nur Port 102 zur Verfügung, beim NetLink PRO können beliebige Ports (von den Well Known Ports 0–1023 würde ich aber die Finger lassen) verwendet werden.



Solaris schrieb:


> ACCON-NetLink-PRO könnte das?


Bingo...

... und damit es keine Missverständnisse gibt:
Der ACCON-NetLink-PRO selber bleibt fest auf seinem Port 7777 eingestellt. In der Treibersoftware auf der PC-Seite hingegen kann der Port beliebig eingestellt werden. Der Router wird so parametriert, daß er z.B. Anfragen an Port 7775 auf seiner externen IP-Adresse an NetLink-PRO(1) Port 7777, Anfragen an Port 7776 an NetLink-PRO(2) usw. weiterleitet.

Im aktuellen Handbuch zum ACCON-NetLink-PRO ist das Them ab Seite 29 (Ziemlich Unten: Fernwartung mit ACCON-NetLink-PRO) angeschnitten. Daher stammt auch die angehängte Grafik.

Ich hoffe das ist so verständlich genug.

Bernhard Götz


----------



## Ralle (23 Juni 2008)

@Deltalogic Support



DELTALOGIC Support schrieb:


> ... und damit es keine Missverständnisse gibt:
> Der ACCON-NetLink-PRO selber bleibt fest auf seinem Port 7777 eingestellt. In der Treibersoftware auf der PC-Seite hingegen kann der Port beliebig eingestellt werden. Der Router wird so parametriert, daß er z.B. Anfragen an Port 7775 auf seiner externen IP-Adresse an NetLink-PRO(1) Port 7777, Anfragen an Port 7776 an NetLink-PRO(2) usw. weiterleitet.
> 
> Bernhard Götz



Die Beschreibung sagt nur das es geht, mehr leider auch nicht.

Wie kommt man zu dieser Porteinstellung für den Treiber, die finde ich nicht oder ist das erst in einem der ganz neuen Treiber enthalten? 

PS: Bestände nicht auch die Möglichkeit (wenn räumlich kein Problem) die SPS per MPI miteinander zu verbinden und dann über nur einen NetLinkPro zu arbeiten?


----------



## Solaris (23 Juni 2008)

Genau so eine eindeutige Aussage habe ich gesucht. Vielen Dank für die ausführliche Beschreibung. Soweit habe ich das jetzt auch verstanden.


:sm5:


----------



## DELTALOGIC Support (23 Juni 2008)

Ralle schrieb:


> Wie kommt man zu dieser Porteinstellung für den Treiber, die finde ich nicht oder ist das erst in einem der ganz neuen Treiber enthalten?


Dann wolln wir mal...

Die Einstellmöglichkeit ist schon länger drin, trotzdem sollte möglichst der aktuelle Treiber verwendet werden.



Ralle schrieb:


> PS: Bestände nicht auch die Möglichkeit (wenn räumlich kein Problem) die SPS per MPI miteinander zu verbinden und dann über nur einen NetLinkPro zu arbeiten?


Natürlich geht das. Ist nicht anders als wenn man lokal ohne Fernwartung mit dem ACCON-NetLink-PRO arbeitet.

Und jetzt lass ich Bilder sprechen 

Bernhard Götz


----------



## Ralle (23 Juni 2008)

Ah, Fernwartung und Port fehlen bei mir, hab ich doch nen alten Treiber??? Muß ich gleich mal testen.

So, mit Version 2.5 geht es. Hatte die schon auf der Platte, aber wohl aus irgend einem Grund noch nicht installiert.
So lange hab ich doch meinen NetLinkPro noch nicht .


----------



## Solaris (23 Juni 2008)

Müssen die eingesetzten VPN-Router bestimmte Dinge können oder reicht die normale VPN-Funktionalität aus? 

Wenn mann die Hits dieses Threads betrachtet dann ist das Interesse doch relativ groß und es gibt wohl noch einige unklare Dinge bei der Problematik Fernwartung. Oder sehe ich das falsch?


----------



## Ralle (23 Juni 2008)

Solaris schrieb:


> Müssen die eingesetzten VPN-Router bestimmte Dinge können oder reicht die normale VPN-Funktionalität aus?
> 
> Wenn mann die Hits dieses Threads betrachtet dann ist das Interesse doch relativ groß und es gibt wohl noch einige unklare Dinge bei der Problematik Fernwartung. Oder sehe ich das falsch?



*ACK*

So eine Anleitung für die FAQ zum Thema Fernwartung via VPN wär mal nicht übel.


----------



## DELTALOGIC Support (23 Juni 2008)

Hallo,

die müssen nix besonderes können. Es ist allerdings dringend empfehlenswert, das Ganze mit dem IT Verantwortlichen abzusprechen.

Für diejenigen, die tatsächlich einen eigenen Router per DSL ans Internet anbinden dürfen, hab ich bald ein Gerät. 

Für besonders ungeduldige und nur exklusiv für die Freunde aus dem SPS Forum:

07171-916-112

Bernhard Götz


----------



## funkdoc (24 Juni 2008)

nur so mal dazugeschrieben...

wenn man mehrere CPUs über ein VPN erreichen will, sollte man CPUs mit PN port einsetzen. da ist dann jede CPU mit der IP direkt durch den VPN tunnel erreichbar und kann so schön ferngewartet werden.... ohne weitere hardware oder einstellungen.

grüsse


----------



## DELTALOGIC Support (24 Juni 2008)

Guten Morgen,

das ist bei einer CPU mit extra Ethernet CP oder ACCON-NetLink-PRO genauso. Die komplizierte Portforwording Geschichte braucht man, wenn KEIN VPN verwendet wird.

Bernhard Götz


----------



## Solaris (24 Juni 2008)

Was wäre denn zum Beispiel eine CPU mit "PN port"?


----------



## vierlagig (24 Juni 2008)

Solaris schrieb:


> Was wäre denn zum Beispiel eine CPU mit "PN port"?


 
315-2 PN/DP z.B.


----------



## Solaris (24 Juni 2008)

Wenn ich das richtig verstehe dann arbeitet eine 315-2 PN/DP genauso wie eine 315-2DP mit CP 343-1, von der Ethernet-Funktionalität her betrachtet?


----------



## Ralle (24 Juni 2008)

Ne, nur was die S7-Kommunikation betrifft, es geht also das, was du suchst (Fernwartung via Ste7-Manager). Ansonsten gibts da schon Unterschiede, u.a., was die reine TCP-Kommunikation mit einem PC betrifft. Hatten wir letztens in einem anderen Fred hier.


----------



## Solaris (24 Juni 2008)

Als nächster Schritt wäre ja eine Verbindung der SPSen mit einer zentralen Betriebsdatenerfassung (Scada o.ä.) über die (gleiche) Ethernet-Verbindung denkbar. Die Betriebsdatenerfassung natürlich nur auf Kundenseite.


----------



## Gerhard Bäurle (24 Juni 2008)

Solaris schrieb:


> Müssen die eingesetzten VPN-Router bestimmte Dinge können oder reicht die normale VPN-Funktionalität aus?



Hallo,

wie ist denn "normale" VPN-Funktionalität definiert? 

Wichtige Sicherheitsfeatures nach meiner Ansicht:  

Firewall mit IP-Filter, NAT (Network Address Translation) 
 und Port-Forwarding.
VPN auf Basis von IPSec (OpenVPV wird von Fachleuten als 
zu unsicher eingeschätzt). 
Verschlüsselungsverfahren AES und DES/3DES oder höher. 
Verschlüsselung sollte hardwarebasiert erfolgen (wesentlich 
schneller als reine Softwarelösungen)
Benutzer-Authentisierung über Pre-Shared-Key (PSK) oder 
X.509-Zertifikate.

Wer nach VPN-Routern sucht, wird auch bei *Hirschmann* und
*Innominate* fündig. 

Speziell für die Fernwartung von Anlagen mit S7-Steuerungen
ist auch der Industrie-Router *mbNET* von MB Connect Line 
interessant, das dieser auch mit integrierter *MPI-/Profibus*-
Schnittstelle verfügbar ist, über den auf S7-300- und S7-400-
Steuerungen direkt zugegriffen werden kann.

Eine serielle (RS-232/RS-485) Schnittstelle und LAN 
ist standardmäßig vorhanden. Die Fernwartung ist damit
nicht auf Siemens begrenzt, es ist auch der Zugriff 
auf andere Geräte der Anlage wie Panels, Umrichter 
usw. möglich.

Anwendungsmöglichkeiten:


----------



## Solaris (24 Juni 2008)

Ich dachte fürs Erste zum ausprobieren an etwas einfacheres wie zum Beispiel:

Linksys AG241 

Internetanbindung per integriertem DSL-Modem 
Anschlüsse 
4 x RJ-45 (LAN) 
1 x RJ-45 (DMZ) 
1 x Power 

Features NAT, DMZ, SPI-Firewall, 5 VPN Tunnel und VPN-Passthrough für IPSec, DoS Schutz, UPnP, Portfilter, IP- und MAC Adressenfilter, E-Mail Benachrichtigung 

Reset, Power-Schalter, DMZ Port


----------



## Solaris (24 Juni 2008)

Was mache ich eigentlich wenn ich 20 Kunden habe mit Fernwartung und 20 VPN-Verbindungen verwalten will? Ich weiß das es Router gibt die 99 VPN-Verbindungen händeln können, in der Firma haben wir aber nur 5 auf dem Router. Muß ich dann jedesmal den Router umprogrammieren? Das gibt schon im Vorfeld die rote Karte vom Admin.


----------



## DELTALOGIC Support (24 Juni 2008)

Hallo,

der Router ist kein VPN Server. Er kann nur VPN Verbindungen "durchgeben".

Ich persönlich würde auf der PC Seite die VPN Verbindung mit PC Software machen. Dann kann einfach auf dem PC die korrekte Verbindung ausgewählt werden und der lokale Router ins Internet muss VPN Verbindungen nur "durgeben" und muss selbst kein VPN Client sein.

Bernhard Götz


----------



## Solaris (24 Juni 2008)

Mit der Software ist dann so etwas gemeint?



http://openvpn.net/


----------



## funkdoc (24 Juni 2008)

ja unter anderem...

du kannst auch VPN auf der client sowie auf der server seite ohne extra software einrichten. unter windows eine arbeit von 5 min.

was ich nicht ganz verstanden hab ist deine frage mit 20 kunden und dem verwalten von 20 verbindungen....

im prinzip braucht dein VPN router nur eine verbindung handeln können pro Kunde versteht sich.

man kommt auch ohne VPN router aus, für einfache sachen.
was allerdings der Kundennetzrouter mit öffentlicher IP erreichbar, können muss ist dass er das GRE protokoll von aussen durchlässt.

natürlich für mehr sicherheit und geschwindigkeit sollte man spiezelle software und router einsetzen.

grüsse


----------



## Ralle (24 Juni 2008)

funkdoc schrieb:


> ja unter anderem...
> 
> du kannst auch VPN auf der client sowie auf der server seite ohne extra software einrichten. unter windows eine arbeit von 5 min.
> 
> ...



Eine HOWTO für die 5min-Arbeit wäre echt Klasse!


----------



## funkdoc (24 Juni 2008)

tjha da kommt drauf an welches windows man einsetzt...

für vista hab ich kein plan

EDIT aber da schreibe ich jetzt nichts mehr dazu... einfach mal nach XP und der einrichtung von VPN googln...kommen genug treffer

grüsse


----------



## Ralle (24 Juni 2008)

funkdoc schrieb:


> tjha da kommt drauf an welches windows man einsetzt...
> 
> für vista hab ich kein plan



Wer setzt das wirklich ein, interessant ist sicher zuerst XP, evtl. auch w2k.


----------



## Gerhard Bäurle (24 Juni 2008)

Solaris schrieb:


> Was mache ich eigentlich wenn ich 20 Kunden habe mit Fernwartung und 20 VPN-Verbindungen verwalten will?



Unter VPN (Virtual Private Network) versteht man ja ein in sich
geschlossenes virtuelles Teilnetz. Die hier transportierten Daten-
pakete sind vom Rest des Netzwerks abgekapselt. Dein *ausgehender*
Router gehört da normalerweise zum Rest des Netzwerkes.

Der VPN-Client ist normalerweise der Rechner, von dem aus 
der Fernzugriff erfolgen soll. Dort musst Du Deine 20 Verbindungen 
einrichten.

Der Router an der Anlage ist der VPN-Server. Da jede VPN-Verbindung
im Router gewissen Ressourcen (Speicher) benötigt, ist die Anzahl der 
Verbindungen meist begrenzt. Hier muss eventuell geprüft werden,
wieviele gleichzeitige Verbindungen erforderlich sind.


----------



## Solaris (24 Juni 2008)

> was ich nicht ganz verstanden hab ist deine frage mit 20 kunden und dem verwalten von 20 verbindungen....


 

Ich dachte mir das so daß ich für 20 Kunden auch 20 verschiedene VPN-Verbindungen einrichten muß da ich ja 20 verschiedene öffentliche IP-Adressen habe. Sollte ich jetzt falsch liegen dann bitte ich um Aufklärung.


----------



## funkdoc (24 Juni 2008)

na ich schätze mal nur einer sollte ....

zum einrichten von win standart vpn server und client
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php


----------



## Gerhard Bäurle (24 Juni 2008)

Solaris schrieb:


> Ich dachte mir das so daß ich für 20 Kunden auch 20 verschiedene VPN-Verbindungen einrichten muß da ich ja 20 verschiedene öffentliche IP-Adressen habe. Sollte ich jetzt falsch liegen dann bitte ich um Aufklärung.



Ja, die werden aber normalerweise im PC (VPN-Client) verwaltet, 
Dein lokaler Router leitet nur durch.


----------



## Solaris (24 Juni 2008)

Danke, das habe ich jetzt verstanden. Es gibt doch aber auch noch die Möglichkeit der VPN-Verbindung Router zu Router? Wenn ich die Software/PC-Version des VPN-Client benutze dann werde ich bestimmt nicht durch unseren Firmenrouter/Firewall eine VPN-Verbindung bekommen, oder doch?

Netzwerke können manchmal sehr verzwickt funktionieren, oder garnicht


----------



## funkdoc (24 Juni 2008)

warum sollte es denn nicht funktionieren...

nochmal VPN router sind keine VPN server.

ein VPN router ist blos ein router der das GRE protokoll eingehend aber auch ausgehend handeln kann.

der tunnel zwischen client und server bleibt auch ein tunnel, verschlüsselt oder auch nicht. der VPN router( meist in hardware fiewalls integriert) leitet hier nur um.


----------



## Solaris (24 Juni 2008)

> nochmal VPN router sind keine VPN server


 

Wenn 2 Router zueinander eine VPN-Verbindung aufbauen können dann muß doch einer von beiden einen VPN-Server laufen haben (intern), abgesehen von der Variante mit dem PC-VPN-Server?


----------



## funkdoc (24 Juni 2008)

ja dann ist es aber kein router im herkömmlichen sinn.

ein router wird blos seinen namen gerecht... dieser tut nur "routen"


----------



## Gerhard Bäurle (24 Juni 2008)

Solaris schrieb:


> Danke, das habe ich jetzt verstanden. Es gibt doch aber auch noch die Möglichkeit der VPN-Verbindung Router zu Router?



Ja, z. B. die *mbNET*-Geräte können auch als VPN-Client konfiguriert werden.

Bei dieser Lösung spart man sich das VPN-Gefummel auf den 
Fernwartungs-PC, hat aber auch eine Sicherheitslücke, wenn 
solche PCs andererseits noch mit einem unsicheren Netzwerk 
verbunden sind. 



Solaris schrieb:


> Wenn ich die Software/PC-Version des VPN-Client benutze dann werde ich bestimmt nicht durch unseren Firmenrouter/Firewall eine VPN-Verbindung bekommen, oder doch?



Für den Firmenrouter sehen allen Datenpakete "gleich" aus, er
interessiert sich nicht für den Inhalt. Für alle anderen Router im 
öffentlichen Netz gilt das übrigens auch. Ein bischen Theorie 
dazu gbt es auch bei *Wikipedia*.


----------



## Gerhard Bäurle (24 Juni 2008)

Solaris schrieb:


> Wenn 2 Router zueinander eine VPN-Verbindung aufbauen können dann muß doch einer von beiden einen VPN-Server laufen haben (intern), abgesehen von der Variante mit dem PC-VPN-Server?



Der VPN-Router and er Anlage ist in der Regel der Server. 
Als VPN-Client kommt der Fernwartunsg-Rechner in Frage
- oder ein VPN-Router, der als VPN-Cleint parametriert ist.


----------



## funkdoc (24 Juni 2008)

ich denke das verwirrspiel liefert der name VPN router.

in wirklichkeit ist der VPN router eine VPN, Firewall und Router lösung.

das VPN ist bei solchen geräten ein VPN endpunkt aslo ein vpn server.

es ist kaum vorstellbar dass da eine stetige verbindung zwischen eurem firmennetz und dem firmennetz des kunden zulässig ist.
ich bin zwar kein it spezialist aber nach meinem dafürhalten würd ich vpn verbindungen in mein firmennetz nur unmittelbar nach telefonischer absprache erlauben.es wäre ein zu hohes risiko, auch wenn man den maschinenhersteller der blos ne fernwartung machen will, vertraut. es sind dann die netze sozusagen gekoppelt. eine anfrage aus dem eigenen 10.x.x.x netz wird ungehindert an das kundennetz 192.168.x.x weitergegeben.
wenn man nicht weiss wie vertrauenswürdig da manche leute in fremden firmen sind, würd ich keine konstante VPN zulassen.


----------



## Gerhard Bäurle (24 Juni 2008)

funkdoc schrieb:


> es ist kaum vorstellbar dass da eine stetige verbindung zwischen eurem firmennetz und dem firmennetz des kunden zulässig ist.



Genau. Folgende Vorgehensweise ist praktikabel:

1. Die Firewall des Routers an der Anlage wird so konfiguriert, 
dass sie nur ausgehenden Datenverkehr zulässt, d. h. von außen 
werden nur "Antworten" auf vorher gestellte "Fragen" akzeptiert.

2. Im Servicefall wird die VPN-Verbindung vom Anlagenrouter 
aufgebaut. Das oben erwähnte mbNET-Gerät hat dazu einen 
Taster an der Frontseite (manuell) oder man kann einen der
digitalen Eingänge des Gerätes mit einem Signal einer SPS
ansteuern.

3. Die Mitarbeiter der Service-Zentrale bekommen z. B. per 
E-Mail mitgeteilt, dass Fernwartungsbedarf besteht und können
über die von der Anlage aufgebauten Verbindung zugreifen.

Damit besteht nur dann eine externe Verbindung, wenn sie auch
wirklich benötigt ist und das Personal an der Anlage kann je nach 
Anforderung bez. Arbeits-/Maschinensicherheit während der 
Fernwartungssitzung geeignete Maßnahmen ergreifen.


----------



## funkdoc (24 Juni 2008)

hi gerhard

noch kurz eine frage?

kann man bei dieser mbNET VPN firewall auch netzintern und extern  filtern (weil da firewall dabeisteht), was bringt einem die USB schnittstelle und wieviel kostet so ein teil in etwa?

grüsse


----------



## Gerhard Bäurle (25 Juni 2008)

Hallo funkdoc,



funkdoc schrieb:


> kann man bei dieser mbNET VPN firewall auch netzintern und extern  filtern (weil da firewall dabeisteht)



Ich bin mir nicht ganz sicher, aber über den IP-Filter müsste das 
möglich sein.



funkdoc schrieb:


> was bringt einem die USB schnittstelle



Damit können sämtliche Einstellungen des Gerätes auf einen 
USB-Stick oder eine externe Festplatte gesichert werden - 
oder Daten im Netzwerk verfügbar gemacht werden. 



funkdoc schrieb:


> und wieviel kostet so ein teil in etwa?



Die Variante mit VPN-Unterstützung, MPI-/Profibus-Schnittstelle
und Analog-Modem kostet ca. 1.200,- EUR.

Anmerkung zu Modem:
Ein Modem ist standardmäßig integriert. Der Grund dafür ist 
die Failover-Funktionalität für die externe Anbindung. Falls 
die Primär-Anbindung über Internet nicht verfügbar ist, wird 
automatisch auf die Sekundäranbindung Modem umgeschaltet. 
Durch diese Redundanz erreicht man eine hohe Ausfallsicherheit 
für die Fernwartungsverbindung.

Genaue Preise bitte bei *Herrn Belle* anfragen.


----------

