# VPN-Verbindung INSYS MOROS



## Matze001 (5 Februar 2011)

Ein schönes Wochenede euch allen,

ich kämpfe gerade damit eine VPN-Verbindung mit dem INSYS Moros LAN herzustellen. Der Deltalogic-Support konnte mir schon weiterhelfen, nur bin
ich noch nicht am Ziel. 

Mein Stand ist wie folgt:

Nutze ich das Deltalogic-Portal und melde den Router als Client an, bekomme ich eine Verbindung, kann ihn anpingen, das Webinterface über Port 80 erreichen usw. 

Leider habe ich mehrere Stationen (an die 60) hinter dem Modem, auf die ich gern Zugriff hätte. Da über das Portal nur eine Verbindung zum Modem, nicht aber ins gesammte Netz dahinter geschaffen wird habe ich damit ein Problem.

Gibt es eine Möglichkeit dies über das Portal zu schaffen, oder muss ich den Server in dem Gerät konfigurieren? 

Über Port-Forwarding kann ich z.B. Port 102 an eine SPS weiterleiten,
was mache ich aber wenn ich mehrere erreichen will? Die Teleservice-Software von Deltalogic ist leider keine Lösung, da nur der Open-VPN-Client zum Einsatz kommen soll, keine weitere (kostenpflichtige) Software.

Bisher habe ich aber auch nur bei einer SPS keine Verbindung bekommen, weder mit der Demo von der Teleservice-Software, noch mit der Einstellung in der HW-Config im Projekt das die IP der SPS die IP des Routers sei.

Außerdem wäre es interessant ob ich mit der Server-Version auch Nutzer anlegen kann, um den Zugriff auf einzelne Geräte zu unterbinden oder nur für diese explizit Zugriffe zu erlauben.

Fragen über Fragen! 

Die Dokumente und der Support waren sehr hilfreich, aber noch bin ich nicht ganz am Ziel!

Grüße

Marcel


----------



## Ludewig (5 Februar 2011)

Insys hat doch einen eigenen Support?

http://www.insys-tec.de/support/


----------



## Sven Rothenpieler (7 Februar 2011)

Ludewig schrieb:


> Insys hat doch einen eigenen Support?
> 
> http://www.insys-tec.de/support/



Wie es aussieht liegt es aber nicht an dem Gerät selbst. Außerdem hat er erstens das Gerät von uns, also bekommt er auch unseren Support (wird Insys ihm wahrscheinlich auch sagen) und zweitens läuft es über unser VPN-Portal, wo ebenfalls wir wieder ins Spiel kommen. ;-)



			
				Matze001 schrieb:
			
		

> Über Port-Forwarding kann ich z.B. Port 102 an eine SPS weiterleiten,
> was mache ich aber wenn ich mehrere erreichen will? Die  Teleservice-Software von Deltalogic ist leider keine Lösung, da nur der  Open-VPN-Client zum Einsatz kommen soll, keine weitere  (kostenpflichtige) Software.



Warum soll keine weitere Software zum Einsatz kommen? Hast du dir die Demoversion mal angeschaut? Es ist im Prinzip nur ein Treiber, der in der PG/PC-Schnittstelle ausgewählt wird. Selbstverständlich kannst du aber auch ohne die Software auf deine SPSen zugreifen, in dem du die Änderungen der IP-Adressen direkt im Projekt bzw. der HW-Config durchführst. Davon ist aber DRINGENDST abzuraten. Wenn nämlich aus Versehen die HW-Konfig übertragen wird, bekommt die entsprechende SPS die IP-Adresse des Routers und ist somit aus der Ferne garnicht mehr erreichbar, d. h. es muss jemand vor Ort und alles "entkuddeln". Die ACCON-TeleService IE ist da wirklich von Vorteil und wenn man sich das mal durchrechnet auch 200 €, die sich mehr als lohnen... vor allem bei 60 Stationen.


----------



## INSYS_helper (7 Februar 2011)

Hallo Matze01,

ich stimme dem Support von Deltalogic zu.
Der zusätzlliche ACCON-Treiber schafft die Lösung, denn mit der OpenVPN-Verbindung mit dem MoRoS Gerät zum Deltalogic Server ist der MoRoS immer mit der festen OpenVPN-Adresse erreichbar, und auch nur diese IP-Adresse, d.h. die eigentlichen IP-Adressen der Steuerung sind remote nicht erreichbar, und dann können Sie nur einen Port nur an eine IP weiterleiten, mehr geht nicht. (Eine Lösung gibt es auch, aber dann nur mit eigenem OpenVPN-Server)

Hier die notwendigen Einstellungen im MoRoS in der aktuellen Konstellation:
Mit Portforwarding können Sie Ihre 60 SPSen erreichen. Dazu wird in den Regeln der ankommende Port unterschiedlich eingetragen:
Protokoll    Port        an IP-Adresse       an Port
TCP          102       z.B: 192.168.5.11     102
TCP          103       z.B: 192.168.5.12     102
TCP          104       z.B: 192.168.5.13     102
TCP          105       z.B: 192.168.5.14     102
usw. (eine Grenze ist bei 60 aber noch lange nicht erreicht)
Der unterschiedliche Port wird dann bei der PG/PC Schnittstelle eingestellt, und mit der MoRoS IP verknüpft.

Das wars grundsätzlich schon.

Falls es weiterhin nicht läuft ... einfach wieder melden. 

Gruß

INSYS Helper


----------



## Matze001 (7 Februar 2011)

Mahlzeit,

vielen Dank für die Antwort!

Ich finde leider keine Einstellung wo ich den Port entsprechend in der PC/PG-Schnittstelle einstellen kann. Liegt das vielleicht an der Demo vom Telenetclient?

Ansonsten haben wir den Server nun dazu überredet zu funktionieren.
Ich bin leider nicht auf dem neusten Stand, aber lasse etwas hören 
wenn ich weis wie es gelaufen ist.

Schöne Grüße!

Marcel


----------



## INSYS_helper (8 Februar 2011)

Guten Morgen!

In der PG/PC-Schnittstelle des ACCON-TeleService wird ein Standort erstellt, wo dann in den Eigenschaften eine IP-Adresse (welche die OpenVPN Adresse des MoRoS ist) und ein Port eingestellt werden kann. Beim MoRoS existiert dann wieder die Portumsetzung auf 102 mit den dazugehörenden Portforwarding Regeln.

Gruß

INSYS Helper


----------



## Matze001 (8 Februar 2011)

Hallo und danke für die Hilfe!

Ich hatte leider den falschen Button angeklickt!
Bei "Netzadresse ändern" kann man den Port nicht angeben.

Nun klappt es! Vielen Dank!

Inwiefern ist die Demo vom Teleservice eingeschränkt? Ist es eine Laufzeitbegrenzung in Tagen, Anzahl der Verbindungen oder oder oder?

Schöne Grüße

Marcel​


----------



## INSYS_helper (8 Februar 2011)

Hallo!

Freut mich, dass es nun funktioniert. Welche Einschränkungen die Demoversion hat, weis ich leider auch nicht genau.

Hier bitte ich bei Deltalogic selbst nach zufragen.

Gruß

INSYS Helper

PS: Falls irgendwann auf an eine eigene OpenVPN-Serverlösung gedacht wird, einfach wieder melden. Idealerweise dann direkt bei uns im Supportteam unter support@insys-tec.de


----------



## Rainer Hönle (8 Februar 2011)

Matze001 schrieb:


> Inwiefern ist die Demo vom Teleservice eingeschränkt? Ist es eine Laufzeitbegrenzung in Tagen, Anzahl der Verbindungen oder oder oder?​



Anzahl der Tage, an denen das Programm verwendet wird.


----------



## Matze001 (9 Februar 2011)

Danke an Alle für die Antworten!

Das Problem ist nun gelöst. Wir arbeiten mit der Server-Version und befinden uns somit direkt im Maschinennetzwerk, ohne Portforwarding, Telenet-client und sonstigen Spielereien!

Es macht Spass wenn etwas funktioniert! Danke an Alle!

Grüße

Marcel


----------



## Matze001 (19 August 2011)

So weil es so schön ist, liegt mal wieder ein Moros auf meinem Schreibtisch.

Ich habe nun folgendes:

D-Link Router mit Portforwarding 1194 auf IP vom Moros
Externe IP wird per DHCP bezogen (noch)
Intern ist DHCP ebenfalls aktiv
Der OPEN-VPN-Server ist aktiv, es werden Zertifikate genutzt

Mit o.g. Konstellation bekomme ich eine VPN-Verbindung aufgebaut.
Sowohl wenn ich im Externen Netz hänge, als auch wenn ich komplett aus 
dem Internet komme. Soweit ist ja alles schön.

Da ich bei meinem Router keinem Client eine Statische IP trotz DHCP verpassen kann
(einige Router können einer MAC eine feste IP zuweisen), müsste ich dem Gerät selbst eine feste IP geben (was auch einfach ist), damit die Portforwardingregel immer gültig ist, und das Modem nicht zufällt eine andere IP bekommt, und somit keine Fernwartung mehr möglich ist.

Mein Problem ist nun, sobald ich bei LAN(EXT) von DHCP auf feste IP umstelle,
kann ich nur die IP und das Subnetz wählen. Den DHCP-Server finde ich auch noch
unter Server-Dienste. Aber wo kann ich mein Gateway eintragen?

Denn sobald ich eine feste IP einstelle, bekomme ich keine VPN-Verbindung mehr zu stande, und kann auch hinter dem Moros nicht mehr auf das Internet zugreifen. Auf das Externe Netzt vor dem Moros aber schon. Somit fehlt also der Gateway Eintrag, und die Pakete verlaufen sich.

Grüße

Marcel


----------



## DELTALOGIC Support (19 August 2011)

*Gateway LAN-ext*

Der Gateway lässt sich in den Menüpunkten "LAN (ext)" -> "Routing" eintragen. Wie im angehängten Bild zu sehen (Default Route setzen zu Gateway).

Grüße


----------



## Matze001 (19 August 2011)

Danke! Super schneller Support! Und sofort funktionert es!

Ihr seid spitze Jungs!

Grüße

Marcel


----------



## Matze001 (8 Oktober 2011)

Und weil es so schön ist, schieb ich das Thema mal wieder nach Oben.

Das Szenario ist wie folgt:

Internet -> ADSL-Router (Kunde) -> Netzwerk (Kunde) -> Moros (Meins) -> Maschinennetzwerk (Meins)

Alles klappt, alles ist schön,.... ABER .... wenn ich den Dyndns-Client konfiguriere tut der nicht. Laut Insys-Support sollte zumindest die IP an der Lan(EXT) Schnittstelle übermittelt werden, es tut aber gar nix. 

Aber auch wenn ich die IP von der Lan(EXT) bekommen würde, würde es mir mit dieser Konstellation nicht viel bringen, da diese IP statisch ist.

Gibt es eine Möglichkeit die öffentliche IP Adresse zu bekommen? Wegen mir auch mit nem Umweg über die Sandbox o.ä.? Denn es ist mir leider nicht Möglich dies in den ADSL Router des Kunden zu verlagern (kein Zugriff auf die Einstellungen, und dies ist auch nicht erwünscht, weder vom Kunden, noch von mir). Das der Dyndns-Client nur die Lan(ext) IP ausgeben kann finde ich etwas schwach 

Grüße 

Marcel


----------

