# Fernwartung



## Lüdwig001 (24 September 2021)

Hallo zusammen,
ich habe ein Problem und ich hoffe ,dass Sie mir weiterhelfen können.
folgendes: Die Maschine soll am nächsten Freitag im Ausland versendet werden und wir müssen noch ein paar Modifikationen an dem Programm (Codesys) bringen.
Habt Ihr bitte Erfahrungen mit Fernwartung? 
Auf ihre Vorschläge ich würde mich sehr freuen


----------



## Gerhard Bäurle (24 September 2021)

Wahrscheinlich bekommst Du einige unterschiedliche Antworten. Hängt auch ein wenig von Eurem IT-KnowHow ab.

Ich würde, ohne die weiteren Umgebungsbedingungen zu kenne, eine portalbasierte Lösung empfehlen.
Du bestellst den Router, baust ihn ein – die Maschien braucht nachher nur Zugang zum Internet und verbindet sich mit dem Portal. Du als Programmierer ebenso. Kein weiteres Konfigurationsgedöhns.

Das ist wesentlcih sicherer, als handmade aufgebohrte Firewalls. Falls da die Kunden-IT überhaupt mitmacht.

Beispiele: https://mbconnectline.com/de/sichere-fernwartung/ (würde ich nehmen)









						Router & Gateways
					

Router Gateways - jetzt INSYS icom kontaktieren ▶️ Premiumhersteller ⭐ Zuverlässige Industrierouter für Ihre Maschinen ▶️ 30 Jahre Erfahrung




					www.insys-icom.com
				








__





						Ewon Technical Support - Talk2M Service
					






					www.ewon.biz


----------



## elmoklemme (24 September 2021)

Ohne die anderen zu kennen, kann ich den ewon cosy 131 empfehlen. Sehr einfach zu konfigurieren und tut seinen Dienst.


----------



## JSEngineering (24 September 2021)

Je nach Steuerung, Anlagentyp - und Modifikationsumfang - könnte man auch über ein Update per Datenträger nachdenken, so dass das vor Ort vom Betreiber eingespielt wird.


----------



## Lüdwig001 (27 September 2021)

Vielen Dank für die Vorschläge


----------



## Frohnius (27 September 2021)

ich löse das zum teil so, dass ich ein notebook in der anderen niederlassung an der sps lasse ... und per anydesk meine sachen erldige ...
ich hatte schon div. probleme online zu bleiben oder software downloads zu machen wenn mein vpn schwer unter last gerät ...


----------



## Process-Informatik GmbH (29 September 2021)

Vor Ort LTE-Gerät (wenn kein Internet-Anschluss vorhanden), bei Dir im Haus Tischgerät, beide bauen eine Verbindung zu einander auf, kein VPN-Tunnel, keine Anmeldung an Portalen. Nur Deine Geräte untereinander sind sichtbar, es kann kein Fremder zugreifen.
Egal ob Internet-Zugang vorhanden oder nicht, notfalls schließt man das Gerät direkt in eine Netzwerk-Leitung eines vorhandenen PCs und nutzt
dessen Internet-Zugang, aber Du hast eine "sehr lange Netzwerkleitung" zu Deiner Anlage und kannst damit kommunizieren.
Mehr dazu hier:


			https://www.process-informatik.de/connect-geraete.html/?lang=de_


----------



## Gerhard Bäurle (29 September 2021)

Process-Informatik GmbH schrieb:


> Vor Ort LTE-Gerät (wenn kein Internet-Anschluss vorhanden), bei Dir im Haus Tischgerät, beide bauen eine Verbindung zu einander auf, kein VPN-Tunnel, keine Anmeldung an Portalen. Nur Deine Geräte untereinander sind sichtbar, es kann kein Fremder zugreifen.


Das hört sich ja an wie im Paradies. Und ich dachte, das gibt es nur im alten Testament. 

Ernsthaft:

ACBT-Technologie (*A*UTO-*C*ONNECT and *B*YPASS *T*UNNEL) umgeht jede Firewall
Haltet Ihr so eine handgestrickte Pseudo-Technologie wirklich für sicherer als die etablierten Standards?

Ich kenne genügend IT-ler, die hauen Dir "umgeht jede Firewall" sofort um die Ohren.


----------



## Thomas_v2.1 (29 September 2021)

Gerhard Bäurle schrieb:


> Das hört sich ja an wie im Paradies. Und ich dachte, das gibt es nur im alten Testament.
> 
> Ernsthaft:
> 
> ...



Du weißt schon, dass deine von dir selbst oben verlinkten Geräte mit der "Portallösung" das gleiche Prinzip umsetzen.


----------



## Gerhard Bäurle (29 September 2021)

Thomas_v2.1 schrieb:


> Du weißt schon, dass deine von dir selbst oben verlinkten Geräte mit der "Portallösung" das gleiche Prinzip umsetzen.



Das Prinzip "umgeht jede Firewall" doch hoffentlich nicht.

Nebenbei: pi sagt ja, das sei was ganz anderes als bei den üblichen Verdächtigen, nicht ich.


----------



## Thomas_v2.1 (29 September 2021)

Deine anderen üblichen Verdächtigen geben doch auch nicht an, wie die Portallösung im Detail funktioniert. Ob da nun Portal oder ACBT steht ist völlig egal. Das Problem bei allen Lösung wie auch Teamviewer ist, dass nur ein ausgehender freier Port reicht um dann rückwärts ein Zugriff ins Netz zu bekommen. Nicht ohne Grund ist in vielen größeren Firmen mit ordentlicher IT der Einsatz jeglicher dieser "tollen Kisten" untersagt.


----------



## Gerhard Bäurle (29 September 2021)

Thomas_v2.1 schrieb:


> ... Nicht ohne Grund ist in vielen größeren Firmen mit ordentlicher IT der Einsatz jeglicher dieser "tollen Kisten" untersagt.


Hm, da gibt es auch andere Erfahrungswerte.


----------



## Frohnius (30 September 2021)

Thomas_v2.1 schrieb:


> Das Problem bei allen Lösung wie auch Teamviewer ist, dass nur ein ausgehender freier Port reicht um dann rückwärts ein Zugriff ins Netz zu bekommen. Nicht ohne Grund ist in vielen größeren Firmen mit ordentlicher IT der Einsatz jeglicher dieser "tollen Kisten" untersagt.


das ist völlig richtig ...
die teamviewer lösung hätte den vorteil, dass der pc vor ort einfach aus ist ... und nur dann eingeschalten wird (vom kunden) wenn es nötig ist ...


----------



## Process-Informatik GmbH (30 September 2021)

Das ist doch bei allen Geräten der Fall. 
Schaltet der End-Kunde sein Gerät das bei ihm steht (egal welcher Hersteller) aus, kann keine Verbindung aufgebaut werden. Somit hat er den Zugriff auf die Anlage fest im Griff. 
Ob er jetzt VPN-Tunnel oder Geräte verwaltet, letzt endlich hat er beides im Griff, außer es ist in der Maschine ein Netzwerk-unabhängiges Gerät wie über LTE verbaut von dem der Endkunde nichts weiß. Dann ist der Zugriff unabhängig des Endkunden. Außer die komplette Maschine ist aus.


----------



## kafiphai (30 September 2021)

Process-Informatik GmbH schrieb:


> bei Dir im Haus Tischgerät, beide bauen eine Verbindung zu einander auf, kein VPN-Tunnel, keine Anmeldung an Portalen. Nur Deine Geräte untereinander sind sichtbar,


Also das kann schon von Vorteil sein, wenn zB. der neue Netzwerk Teilnehmer(Waage, HMI etc.) zu Testzwecken noch am Schreibtisch liegt...
VPN in der VM bleibt halt auch nur in der VM....


----------



## JesperMP (30 September 2021)

Wir verwendet die Ewon Cosy.
Manchmal lehnen die Kunden-IT komplett den VPN Zugang für "Fremde" von aussen ab. Egal ob durch eigene VPN oder VPN Router von Maschinenhersteller. Einfach eine politischen IT Entscheidung.
Was uns manchmal gerettet habe ist dass unser Servicemonteur sein Handy als Mobil-Hotspot einschaltet, ein PC vorort die Mobil-Hotspot verbindet, und dann ein Teamviewer VPN für den Zugang auf die Maschine. Kein Verbindung zu Kunden-Firmennetz.
Man braucht dann nur eine lokalen SIM Karte, damit dass die Kosten für die Mobildaten nicht ruinierend werden.


----------



## Thomas_v2.1 (30 September 2021)

Frohnius schrieb:


> das ist völlig richtig ...
> die teamviewer lösung hätte den vorteil, dass der pc vor ort einfach aus ist ... und nur dann eingeschalten wird (vom kunden) wenn es nötig ist ...


Trotzdem ein Sicherheitsrisiko, weil z.B. über Teamviewer VPN der Lieferant sich alles ins Netzwerk routen lassen kann. Gut, wenn er einmal Zugriff auf einen PC im Netzwerk hat, kann er sich da remote theoretisch alles mögliche installieren. Da sehe ich ein vom Kunden bereitgestellten VPN Zugang auf ausgewählte IP Adressen und Ports besser, weil sich das viel genauer auf einzelne Dienste einschränken lässt. Der Kunde soll nur eine SPS programmieren können, dann bekommt er nur Zugang auf diese IP und Port 102.

Ich kenne einen Betrieb der hat sich aufgrund des Wildwuchses mit diesem Kästchen dazu entschieden, selber einige eWONs anzuschaffen die er administriert. Wird eine neue Anlage in Betrieb genommen, richtet er dem Lieferanten einen entsprechenden Zugang auf seinen Geräten ein. Das finde ich einigermaßen komfortabel für den Lieferanten, bietet Sicherheit für den Betrieb, weil er die Kontrolle darüber hat wann und auf welche Geräte der Lieferant Zugriff bekommt.


----------



## Frohnius (1 Oktober 2021)

Thomas_v2.1 schrieb:


> Trotzdem ein Sicherheitsrisiko, weil z.B. über Teamviewer VPN der Lieferant sich alles ins Netzwerk routen lassen kann.


ja das ist klar - jeder zugang bringt ein sicherheitsrisiko mit ... und wenn es gefrustete mitarbeiter sind ...
von daher hast du recht und deine ist lösung sicherlich die bessere.


----------



## Ralle (1 Oktober 2021)

Wir nutzen für einige Kunden Sinema.
Ein Router im Schaltschrank (S615 glaube ich), der sich auf einen xtra Sinema-Server in unserrr Firma verbindet. Der Kunde muß in seiner Firewall 3 definierte Ports freischalten, der Router telefoniert aber ausschließlich raus zu unser Server, rein geht nichts, er ist nur über den Sinema-Server ansprechbar. Dann hängt unsere Anlage an diesem Router Will ich Online gene, muß ich auf meinem PC einen Client starten, der verbindet mich mit dem Sinema-Server in unserwr Firma, dann kann ich zur Anlage verbinden.  Die Einrichtung ist immer ein wenig kompliziert, wenn man kein Spezailist auf dem Netzwerkgebiet ist und das nur alle maar Monate mal macht. Aber wenn man mal eine Anlage dran hängen hat, kann man dort nachsehen.


----------



## blackpeat (4 Oktober 2021)

Ralle schrieb:


> Wir nutzen für einige Kunden Sinema.
> Ein Router im Schaltschrank (S615 glaube ich), der sich auf einen xtra Sinema-Server in unserrr Firma verbindet. Der Kunde muß in seiner Firewall 3 definierte Ports freischalten, der Router telefoniert aber ausschließlich raus zu unser Server, rein geht nichts, er ist nur über den Sinema-Server ansprechbar. Dann hängt unsere Anlage an diesem Router Will ich Online gene, muß ich auf meinem PC einen Client starten, der verbindet mich mit dem Sinema-Server in unserwr Firma, dann kann ich zur Anlage verbinden.  Die Einrichtung ist immer ein wenig kompliziert, wenn man kein Spezailist auf dem Netzwerkgebiet ist und das nur alle maar Monate mal macht. Aber wenn man mal eine Anlage dran hängen hat, kann man dort nachsehen.


Die S615 kann man auch so konfigurieren das sie nur wenn der DI, den der Router hat, eine Verbindung aufbaut. So kann der Kunde bestimmen wann eine Verbindung aufgebaut werden soll. Wir hatten das man bei einem Kunden da gab es am Schaltschrank einen Schlüsselschalter wenn der gedreht wurde hat sich erst die Verbindung aufgebaut.


----------



## Lars Weiß (4 Oktober 2021)

Männers, ist einem von euch das BDEW-Whitepaper "Anforderungen an sichere Steuerungs - und Telekommunikationssysteme" ein Begriff? Kapitel 4.4.4 Sichere Fern-Zugänge, das empfehle ich auch immer wieder gerne solchen Auftragnehmern, die mich fragen "wo denn hier die Fritzbox stehe".


----------



## Ralle (4 Oktober 2021)

Lars Weiß schrieb:


> Männers, ist einem von euch das BDEW-Whitepaper "Anforderungen an sichere Steuerungs - und Telekommunikationssysteme" ein Begriff? Kapitel 4.4.4 Sichere Fern-Zugänge, das empfehle ich auch immer wieder gerne solchen Auftragnehmern, die mich fragen "wo denn hier die Fritzbox stehe".


Ja und, es geht um konkrete Systeme, die man nutzen kann oder? Im Whitepapaer steht ja nur, was das dann alles können sollte.
Wenn man sich nur mit so etwas beschäftigt, mag das super sein, aber so nebenbei liest das eher niemand, rate ich mal.


----------



## Lars Weiß (4 Oktober 2021)

Ralle schrieb:


> Ja und, es geht um konkrete Systeme, die man nutzen kann oder? Im Whitepapaer steht ja nur, was das dann alles können sollte.
> Wenn man sich nur mit so etwas beschäftigt, mag das super sein, aber so nebenbei liest das eher niemand, rate ich mal.


Nein, das liest niemand, aber darum geht es mir nicht.
In den vorhergegangenen Posts ging es u.a. darum, das der Weg für die Fernwartung nach Außen (egal ob Teamviewer oder Fernwartungsrouter) immer ein Sicherheitsrisiko ist, worüber man sich im klaren sein muss. Der sicherere Weg ist es, wenn man den Empfehlungen folgt, einen VPN-Zugang zur Verfügung zu stellen und dessen Rechte über entsprechende Policies einzuschränken.


----------



## Ralle (4 Oktober 2021)

Lars Weiß schrieb:


> Nein, das liest niemand, aber darum geht es mir nicht.
> In den vorhergegangenen Posts ging es u.a. darum, das der Weg für die Fernwartung nach Außen (egal ob Teamviewer oder Fernwartungsrouter) immer ein Sicherheitsrisiko ist, worüber man sich im klaren sein muss. Der sicherere Weg ist es, wenn man den Empfehlungen folgt, einen VPN-Zugang zur Verfügung zu stellen und dessen Rechte über entsprechende Policies einzuschränken.


Warum ist der Weg nach außen ein Risiko, wenn dieser ebenfalls über ein VPN-Tunnel erfolgt, z.Bsp. bei Sinema? Ist das per se unsicher? Von außen kommt doch gar niemand da ran?


----------



## Lars Weiß (5 Oktober 2021)

Ralle schrieb:


> Warum ist der Weg nach außen ein Risiko, wenn dieser ebenfalls über ein VPN-Tunnel erfolgt, z.Bsp. bei Sinema? Ist das per se unsicher? Von außen kommt doch gar niemand da ran?



Natürlich nicht per se. Aber in den "fremden" VPN-Tunnel schaust du halt nicht rein und kannst folglich auch nicht sagen was da durchgetunnelt wird. Diesem Risiko musst du dir bewusst sein. Der könnte ja seinen Tunnel nach Timbuktu aufbauen wollen? Weiß der Kunde das? Liegt dem Router eine Info bei, wohin der telefonieren will? Domain, Ports, Dienste? In der Regel nicht. Wenn ich diese Fragen stelle, dann lautet die Antwort in der Regel "Der braucht Internet".


----------



## Ralle (5 Oktober 2021)

@Lars Weiß 
Ok, der Sinema (mit S615) hat intern natürlich das Ziel hinterlegt und der Kunde kann sich das anschauen bzw. wenn er will darin umbauen. Wenn e es vermasselt (und das ist einfach) geht halt die Fernwartung nciht mehr.


----------

