# Fernwartung



## dirknico (11 Juli 2018)

Hallo!

Ich hatte schon in diversen anderen Themen fragen rund um unser Maschinennetzwerk gestellt - das ganze haben wir nun soweit zu unserer Zufriedenheit am laufen.

Zu Guter letzt haben wir nur noch das Thema Fernwartung, welches sich leider nicht so gestaltet wie ich mir das gedacht habe.

Also, wir haben ein Maschinennetzwerk von derzeit 9 Maschinen.
Zu jeder Maschine habe ich einen Router von deltalogic (EBW-E100), da jede Maschine einen anderen IP-Bereich hat.
Nun wurde alles so konfiguriert das ich von jeder Maschine jede andere erreichen kann, oder alles halt aus dem Maschinennetzwerk.

Jetzt wollten wir einen VPN-Zugang auf das Maschinennetzwerk um von dort aus auf unsere Maschinen zu kommen.
Das funktioniert auch schon, allerdings komme ich via VPN nicht auf die Maschinen, 
da ich nicht über den Router ins Maschinennetzwerk komme der die Routing-Informationen hat.

Was habe ich für Möglichkeiten bzw. wie habt ihr soetwas gelöst?

Zu erwähnen wäre noch das die Siemens / Beckhoff / etc. - Software auf 2 VM's laufen.


----------



## Sven Rothenpieler (12 Juli 2018)

Guten Morgen dirknico,

welchen VPN-Server nutzt du denn? Hattest du bereits Kontakt mit dem Deltalogic-Support?
Verstehe ich dich richtig, dass die Maschinen via Router untereinander kommunizieren können, du aber lediglich mit deinem Service-PC nicht auf die Anlage kommst? Kommst du denn auf die Router selbst, z. B. Webinterface?

Der Deltalogic-Support ist ebenfalls hier im Forum aktiv by the way.


----------



## weißnix_ (12 Juli 2018)

Skizziere doch mal das Netzwerk.


----------



## dirknico (12 Juli 2018)

> Verstehe ich dich richtig, dass die Maschinen via Router untereinander kommunizieren können, du aber lediglich mit deinem Service-PC nicht auf die Anlage kommst? Kommst du denn auf die Router selbst, z. B. Webinterface?


Nein, nicht ganz!
Bin ich in der Firma und mit meinem PG im Maschinennetzwerk komme ich auf sämtliche Anlagen -> alles ok.
Wenn ich nun aber von zu Hause via VPN ins Maschinennetzwerk gehe, komme ich nur noch auf die Router die am Maschinennetzwerk hängen, nicht aber auf die Anlageseite.
Da fehlen dann die Routing-Informationen, welcher IP-Bereich sich hinter welchem Router befindet.


----------



## winnman (12 Juli 2018)

lass das PG in der Firm am Maschinennetz und geh über VPN aufs PG (VNC, . . )


----------



## dirknico (12 Juli 2018)

> lass das PG in der Firm am Maschinennetz und geh über VPN aufs PG (VNC, . . )



leider nicht machbar......
- PG hat in der Firma keinen Internetzugang - das könnte man evtl. noch hinbekommen
- wenn ich es da lasse ist es nächsten Tag ganz weg


----------



## Sven Rothenpieler (13 Juli 2018)

dirknico schrieb:


> Wenn ich nun aber von zu Hause via VPN ins Maschinennetzwerk gehe, komme ich nur noch auf die Router die am Maschinennetzwerk hängen, nicht aber auf die Anlageseite.
> Da fehlen dann die Routing-Informationen, welcher IP-Bereich sich hinter welchem Router befindet.


Könnte es sein, dass die Firewall noch etwas blockiert? Welchen VPN-Server nutzt ihr? Eigenen oder z. B. Deltalogic Connectivity Service?


----------



## DELTALOGIC Support (13 Juli 2018)

Hallo dirknico,

ich hoffe wir habe den Aufbau aus Ihrer Beschreibung richtig verstanden. Um dies sicherzustellen und Missverständnisse zu vermeiden, hier eine kurze Erklärung wie wir uns den Aufbau vorstellen.

Sie haben neun Maschinen die jeweils an der lokalen Schnittstelle eines EBW-E100 hängt. Wir haben also neun lokale Netze bestehend aus einer Anlage und einem EBW. Die neun EBWs hängen mit der Lan(ext)-Schnittstelle im Maschinennetz und routen also zwischen Maschinennetz und den neun lokalen Anlagennetzen.
Im Maschienennetzt gibt es außerdem einen weiteren, zentralen Router (ich nennen ihn einfach mal Firmenrouter), welche die Routinginformationen zu den 9 lokalen Netzen enthält. Dieser Router ist bei den anderen Geräten im Maschinennetz als Gateway eingetragen. Deshalb ist der Zugriff von Geräten im Maschienennetz auf die Geräte in den 9 lokalen Netzen möglich.

Nun haben Sie einen VPN-Tunnel, welcher auf einem Gerät im Maschinennetz endet. Bei diesem Gerät handelt es sich aber nicht um den zentralen Firmenrouter. Deshalb fehlen Ihrem VPN-Client die Routinginformationen zu den 9 Netzen. Sie erreichen also lediglich die Geräte im Maschinennetz.
Ist diese Beschreibung soweit korrekt? Falls nein, wäre tatsächlich eine Skizze hilfreich, damit wir den genauen Aufbau kennen.

Wenn wir von dem oben beschriebenen Aufbau ausgehen, gibt es verschiedene Lösungsansätz.

Zum einen wäre es möglich, dem VPN-Client die erforderlichen Routinginformationen bereitzustellen. Dies müsste dann idealerweiße im VPN-Server passieren. Denn dieser teilt beim Verbindungsaufbau dem Client eventuell vorhandene Routinginformationen mit. Nutzen Sie einen eigenen VPN-Server, oder ein VPN-Portal von DELTA LOGIC oder einem anderen Hersteller?

Ein anderer Ansatz wäre, an den 9 EBWs ein IP-Forwarding für die angeschlossenen Anlagen einzurichten. IP-Forwarding-Regeln legen zusätzliche IP-Adressen an der LAN (ext)-Schnittstelle des Routers an. Pakete an eine dieser IP-Adressen werden dann an die mit ihr verknüpfte IP-Adresse im lokalen LAN weitergeleitet. Das heißt, dass die lokal angeschlossenen Anlagen hinter dem Router im Grunde eine eigene IP-Adresse im Maschinennetz bekommen. Somit sind keine Routingregeln möglich.

 Sie können sich zu dem Fall auch gerne direkt bei uns unter der 07171-916 112 oder über support@deltalogic.de melden.

Mit freundlichen Grüßen,
Daniel Behringer


----------



## dirknico (13 Juli 2018)

Unser Aufbau ist genau so wie in Beitrag 8 beschrieben.

Ich werde es jetzt zunächst einmal mit dem IP-Forwarding probieren, da bin ich wenigstens nicht auf die IT angewiesen.


----------



## dirknico (2 November 2018)

Das Thema ist zwar schon etwas älter, aber ich mache hier mal weiter.

Also wie gesagt der Aufbau ist so wie in Beitrag 8 beschrieben, an 2 Maschinen habe ich (zunächst nur Testweise!) das IP-Forwarding aktiviert.
Wir nutzen einen eigenen VPN-Server, keine Ahnung welchen, wird von einem externen Dienstleister betreut.
Ich habe jetzt also einen VPN-Zugang bekommen, mit dem ich mich in das Maschinennetzwerk reinkomme.

Ich kann mit meinem PG die die 9 EBW's per Web-Browser ansprechen, konfigurieren ect.
Ebenfalls komme ich auf die Webinterfaces der einzelnen Anlagenteile, sofern diese natürlich vorhanden sind.

Jetzt habe ich allerdings aufgrund der Maschinenvielfalt 2 virtuelle Maschinen (VM-Ware) laufen, auf denen die benötigte Software (Simatic-Manager, TIA, ect.) liegt.
Und genau hier liegt mein Problem. Mit den VM's komme ich eben nicht dahin wo ich hin muss, um die Maschinen entsprechend zu betreuen.


----------



## Thomas_v2.1 (2 November 2018)

Hast du deine VPN-Client Software auch auf den virtuellen Maschinen installiert, und baust von dort aus die Verbindung auf?


----------



## dirknico (2 November 2018)

Nein, die Verbindung wird nur auf der realen Maschine aufgebaut


----------



## Thomas_v2.1 (2 November 2018)

Ich würde sagen, die einfachste Lösung ist wenn du deinen VPN-Client in deiner virtuellen Maschine installierst.

Vermutlich wird es da auch eine Lösung über Anpassung der Netzwerkparameter in VM-Ware geben. Wie und ob das geht hängt aber dann von der VPN-Software ab die du verwendest, die meisten installieren dir einen Netzwerktreiber den du dann vermutlich auch auf deiner VM-Ware Schnittstelle (wenn die VM auf Bridged steht) aktivieren musst.


----------



## dirknico (2 November 2018)

OK, danke

Habe jetzt den Client auf der virtuellen Maschine installiert.
Verbindung aufgebaut, funktioniert soweit.
Jetzt kann ich über das IP-Forwarding z.B. die CPU über das WebIf erreichen, nicht jedoch über den Simatic-Manager.
Das wird daran liegen, das der Simatic-Manager die projektierte IP sucht (die kann er nicht finden), nicht jedoch die IP-Forwarding-Adresse........


----------



## Thomas_v2.1 (3 November 2018)

Kannst du nochmal eine aktuelle Übersicht über deine Netzwerkkonstellation mit den verwendeten IP-Adressen geben?
Evtl. reicht es aus auf deinem Rechner einen entsprechenden Eintrag in der Routing-Tabelle hinzuzufügen. U.U. ist dazu auch die VPN-Software in der Lage das für dich zu übernehmen, welche hast du denn da im Einsatz?


----------



## dirknico (5 November 2018)

Ich habe hier den *PulseSecureAppLauncher *im Einsatz.
Das Netzwerk sieht wie folgt aus:


----------



## DELTALOGIC Support (5 November 2018)

Hallo Dirknico,
Sie liegen hier richtig mit Ihrer Annahme. Beim Verbindungsausbau aus dem Simatic Manager (oder TIA-Portal) wird versucht, die IP-Adresse aus dem Projekt zu erreichen. Bei IP-Forwarding (oder Port-Forwarding) ist diese IP der SPS allerdings nicht direkt ansprechbar. Stattdessen ist die SPS über eine "stellvertretende" IP-Adresse erreichbar.

Mit welcher Siemens Software arbeiten Sie?

Ab dem TIA-Portal Version 13 SP1 hat Siemens eine Möglichkeit geschaffen, beim Verbindungsaufbau per Hand die IP-Adresse des Zielgerätes anzugeben.
Bei älteren Versionen des TIA-Portals oder des SIMATIC Managers STEP7 ist dies nach unserem Kenntnisstand jedoch nicht ohne Weiteres möglich. Um deshalb eine IP-Änderung im S7-Projekt zu verbindern, haben wir die Software ACCON-TeleSerivce IE entwickelt.
https://www.deltalogic.de/produkte/software/accon-teleservice-ie
Mit diesem Tool können die notwendigen Adressierungsdaten direkt in der PG/PC-Schnittstelle gesetzt werden.

Falls Sie hierzu Fragen haben, können Sie sich gerne bei uns melden. Auch zum oben genannten Weg, der manuellen IP-Adresseingabe in den aktuellen Versionen des TIA-Portals, können wir Ihnen Tipps geben.

Mit freundlichen Grüßen,
Daniel Behringer


----------



## Thomas_v2.1 (5 November 2018)

dirknico schrieb:


> Ich habe hier den *PulseSecureAppLauncher *im Einsatz.
> Das Netzwerk sieht wie folgt aus:



Die Software kenne ich leider nicht, da kann ich dir nicht großartig weiterhelfen.

Es gibt noch eine Möglichkeit mit Windows Bordmitteln um Step7 der CPU eine andere IP-Adresse vorzutäuschen, und zwar in dem du einen Loopback-Adapter mit der IP-Adresse der SPS auf deinem PG hinzufügst.
Das habe ich aber bisher nur beim Verbinden mit Step7 über einen SSH-Tunnel mittels putty gelöst, dort war das kein Problem. Ich hatte mir ein kleines Tool geschrieben, welches mit einem Mausklick alle relevanten Einstellungen vorgenommen und Verbindungen aufgebaut hat.

Wenn du Glück hast, dann funktioniert das auch mit deiner VPN-Software zusammen, ausprobieren kostet nichts.
Du benötigst als erstes bei Windows einen Loopback-Adapter. Diesen fügst du über den Windows Geräte-Manager hinzu. Bei Windows 7 wählst du im Geräte-Manager im Kontextmenü "Legacyhardware hinzufügen", und wählst "Hardware manuell aus einer Liste auswählen und installieren".
Aus der Liste "Gängige Hardwaretypen" wählst du "Netzwerkadapter", anschließend die Adapter von Hersteller "Microsoft" und dann den "Microsoft Loopbackadapter".

Bei den Netzwerkeinstellungen dieses Adapters stellst du die IP-Adresse deiner SPS ein. Wenn du den Fernzugriff nicht mehr benötigst oder vor Ort auf der Anlage bist, dann kannst du den Adapter ganz einfach deaktivieren.

Jetzt musst du noch noch deiner VPN-Software entsprechend beibringen, dass sie alles zu dieser IP-Adresse durch den VPN-Tunnel schicken soll. Da kann ich dir leider mit deiner Software nicht weiterhelfen, meistens gibt es aber irgendwo eine Option, welches Subnetz oder welcher IP-Adressbereich durch den Tunnel geschickt werden soll.

Wenn dir das zu aufwändig ist, dann kannst du ja das von Deltalogic nehmen. Ist ja auch nicht so teuer.


----------



## Wincctia (5 November 2018)

Hallo Beisammen, 


habe aber ich auch schon ab und an genutzt. Könnte Dir bei Step7 Classic was helfen

SIMATIC Manager: Ändern der Zugangsadresse


----------



## dirknico (6 November 2018)

DELTALOGIC Support schrieb:


> Hallo Dirknico,
> Sie liegen hier richtig mit Ihrer Annahme. Beim Verbindungsausbau aus dem Simatic Manager (oder TIA-Portal) wird versucht, die IP-Adresse aus dem Projekt zu erreichen. Bei IP-Forwarding (oder Port-Forwarding) ist diese IP der SPS allerdings nicht direkt ansprechbar. Stattdessen ist die SPS über eine "stellvertretende" IP-Adresse erreichbar.
> 
> Mit welcher Siemens Software arbeiten Sie?
> ...




Habe den ACCON-TeleService IE gestern mal installiert und probiert. Das funktioniert soweit ganz gut, ich denke den können wir einsetzen.
Schön ist hier das ich von meinem Host aus die VPN-Verbindung aufbauen kann und über die VM-Ware auf die einzelnen Maschinen komme.

Wie gestaltet sich das ganze jetzt mit anderen Steuerungen?
Ich bräuchte nun noch einen Weg um auf PILZ (PNOZ Multi) und Beckhoff (CX1020) zu kommen.
Beide Steuerungen liegen im jeweiligen Maschinennetzwerk, IP-Forwarding ist ebenfalls aktiviert.


----------



## Thomas_v2.1 (6 November 2018)

dirknico schrieb:


> Wie gestaltet sich das ganze jetzt mit anderen Steuerungen?


Meine Loopbackadapter-Lösung ist universell einsetzbar, wenn es über VPN funktioniert. Ich habe das über SSH auch nicht nur für Step7 sondern auch auf andere Dinge verwendet.


----------



## mbi (2 Januar 2019)

au sorry nicht zu ende gelesen  schon eine stufe weiter

hallo
VM Netzwerkschnittstelle ist auf NAT?
Auf das Web Interface kommst du auf dem Host oder Guest?
gruss mbi


----------

