TCP/IP-Verbindung durch Router / Firewall und ????

Lipperlandstern

Lipperlandstern

Level-3
Beiträge
6.350
Reaktionspunkte
1.940
Ich bin grade bei einem Kunden (Konzern) und meine CPU (1500er) soll eine Verbindung durch Firmennetz zu einer anderen CPU(MasterPLC) aufbauen.

Das klappt vor und hinten nicht. Weder die TCP/IP noch die S7-Verbindung. Da es funktioniert wenn beide CPUs direkt verbunden sind gehe ich davon aus das es am Firmennetz liegt. Vereinbart ist der Port 3001 für die TCP/IP-Verbindung und natürlich 102 für die S7-Verbindung. Da meine CPU die passive CPU ist habe ich keine Daten von Verbindungspartner eingestellt. Ich habe die Verbindung als statische Verbindung in der CPU angelegt

Router und Firewall sollen richtig eingestellt sein. Das kann ich aber nicht kontrollieren. Es gibt auch schon Verbindungen zu andern CPUs von der MasterPLC.

Angeblich kann man die IP meiner CPU sehe aber man kann sie nicht anpingen.

Neuste Theorie war heute ,da meine CPU nur einen Hardwarestand von 3 hat und das nur mit Hardwarestand 4 funktioniert. Naja. Zum Glück hat eine 2. CPU die Version 4 aber auch da war keine Verbindung möglich.


Jemand noch eine Idee woran das liegen kann ?
 
"Simuliere" mit deinem PG/Notebook die 1500-CPU und teste das Netzwerk:
Gib deinem PG/Notebook die selbe IP-Konfiguration (IP-Adresse + Netmask + Gateway/Router-Adresse) wie die 1500-CPU haben soll und stecke in den selben Netzwerk-Port anstatt deiner 1500-CPU und teste Ping zur Ziel-SPS (wenn möglich auch mal mit deinem TIA mit der Ziel-SPS verbinden oder mindestens suchen).
- Wenn Ping nicht funktioniert, dann ist das Kunde-Netzwerk oder die Ziel-SPS schuld. Sind in der Ziel-SPS irgendwelche IP-Filter oder andere Firewall-Einstellungen aktiv?
- Wenn Ping zur Ziel-SPS funktioniert, dann liegt es wohl an deiner 1500-CPU.

Zahlendreher/Tippfehler bei den IP-Adessen kannst du ausschließen?
 
Also Tippfehler kann ich auf meiner Seite ausschließen. Das wurde von mehreren Leuten mehrfach kontrolliert.

Was gibt es denn an einer CPU ( 1516F-3 ) für Einstellungen für IP-Filter bzw. Firewall ?

Aber da die CPUs sich verbinden wenn sie direkt angeschlossen sind schließe ich das mal aus ?

Das mit dem Notebook probiere ich mal aus. Ist zwar bei Todesstrafe verboten aber am Samstag sollte das keinen Interessieren 😂

Warum kann ich eigentlich keinen Ping von der CPU absetzen ? In Classic ging das zumindest wenn man einen CP eingesetzt hat.
 
PN/DP schrieb:
"Simuliere" mit deinem PG/Notebook die 1500-CPU und teste das Netzwerk:
Gib deinem PG/Notebook die selbe IP-Konfiguration (IP-Adresse + Netmask + Gateway/Router-Adresse) wie die 1500-CPU haben soll und stecke in den selben Netzwerk-Port anstatt deiner 1500-CPU und teste Ping zur Ziel-SPS (wenn möglich auch mal mit deinem TIA mit der Ziel-SPS verbinden oder mindestens suchen).
- Wenn Ping nicht funktioniert, dann ist das Kunde-Netzwerk oder die Ziel-SPS schuld. Sind in der Ziel-SPS irgendwelche IP-Filter oder andere Firewall-Einstellungen aktiv?
- Wenn Ping zur Ziel-SPS funktioniert, dann liegt es wohl an deiner 1500-CPU.

Zahlendreher/Tippfehler bei den IP-Adessen kannst du ausschließen?
Zum Vergrößern anklicken....
Ich habe mal einen PC angeschlossen und mit einer Software (Herkules) war es problemlos möglich eine Verbindung zur Kunden-CPU aufzubauen. 😤. Auch ein Ping funktionierte.

Warum klappt das mit der CPU nicht über das Firmennetzwerk ?
 
Einstellungen 🧐🧐🧐

Spielt bei der TCP/IP- Verbindung der Profinetname eine Rolle ? Der ist von der CPU automatisch vergeben und enthält einige Sonderzeichen. Vielleicht hat da die Firmen-IT irgendwie Probleme mit.
 
Lipperlandstern schrieb:
Aber ohne den ganzen IT-Kram in der Mitte klappt die Verbindung.

Und ich wüsste nicht was ich an der CPU noch einstellen könnte. IP-Adresse, Subnet, Router und in diesem Fall passiver Verbindungsaufbau.
Zum Vergrößern anklicken....
Ich auch nicht. IP-Adresse, Subnet, Router muss reichen. Und falls die CPU irgendwelche IP-Filter/Firewall-Einstellungen hat, ich kenne die CPU aber nicht. Ich würde mal testweise "aktiver" Verbindungsaufbau ausprobieren, nicht dass der Partner auch auf "passiv" steht. Mit Notebook und Herkules ging ja ein Verbindungsaufbau. Bei eigener "passiver" Verbindungsaufbau würde ich mal den Partner-Port auf 0 projektieren. Bei "aktiv" muss natürlich der Partner-Port korrekt angegeben werden.

Lipperlandstern schrieb:
Spielt bei der TCP/IP- Verbindung der Profinetname eine Rolle ?
Zum Vergrößern anklicken....
nein, der sollte völlig egal sein, auch unzulässige Zeichen dürfen da nicht stören.

Lipperlandstern schrieb:
Der ist von der CPU automatisch vergeben und enthält einige Sonderzeichen. Vielleicht hat da die Firmen-IT irgendwie Probleme mit.
Zum Vergrößern anklicken....
Der Name sollte nur Buchstaben a-z, Ziffern 0-9 und Bindestrich (Minus) enthalten.
Aus der TIA Hilfe:
Grundsätzliches zur Vergabe eines Namens an ein PROFINET IO-Device
Regeln für den Gerätenamen
Der Gerätename unterliegt folgenden Einschränkungen:
  • Beschränkung auf 240 Zeichen insgesamt (Kleinbuchstaben, Ziffern, Bindestrich oder Punkt)
  • Ein Namensbestandteil innerhalb des Gerätenamens, d. h. eine Zeichenkette zwischen zwei Punkten, darf maximal 63 Zeichen lang sein.
  • Keine Sonderzeichen wie Umlaute, Klammern, Unterstrich, Schrägstrich, Blank etc. Der Bindestrich ist das einzige erlaubte Sonderzeichen.
  • Der Gerätename darf nicht mit dem Zeichen "-" beginnen und auch nicht mit diesem Zeichen enden.
  • Der Gerätename darf nicht mit Ziffern beginnen.
  • Der Gerätename darf nicht die Form n.n.n.n haben (n = 0, ... 999).
  • Der Gerätename darf nicht mit der Zeichenfolge "port-xyz" oder "port-xyz-abcde" beginnen (a, b, c, d, e, x, y, z = 0, ... 9).
Zum Vergrößern anklicken....
 
Ich hatte ja schon mit diesen Einstellungen einer Verbindung zur Kunden-CPU. Da war halt Router, Firewall und was weiß ich nicht alles überbrückt 😎.

Also dachte ich es liegt am Netzwerk. Aber als ich heute eine Verbindung mit Hercules herstellen konnte kam ich wieder ins grübeln was es dann noch sein könnte.
Erstmal fiel mir da der Profinetname ein. Der enthält zwar keine Sonderzeichen (habe ich grade gecheckt) aber er ist ziemlich lang.

Bei Adressdetails „ Partner“ habe ich nichts eingetragen.

Ich werde Montag mal vorschlagen das ich der aktive Part bin. Vielleicht klappt das dann ja irgendwie.
 
Habe ich tatsächlich heute auch mal gemacht. Da wurde auch einiges mitgeschrieben. Ich habe auch viel von den Ports 102 und 3001 gelesen aber ich habe keine Ahnung auf was ich da achten muss.
 
Du kannst z.B. nach Protokollen filtern und der MAC Adresse / IP der CPUs
Da kannst du schauen, ob die TCP Pakete gesendet und empfangen werden (Also sich überhaupt etwas tut) oder unter Umständen vorher iergendwo schon "verloren" / geblockt werden

 

Similar threads

S
TIA Anlegen einer neuen ISO-on-TCP Verbindung
2 3 4
Antworten
75
Aufrufe
4K
SPS_NEU
S
S
TIA TRCV_C: Daten aus anderem Subnetz empfangen / Fehler 80C4
Antworten
4
Aufrufe
986
MFreiberger
M
J
TIA keine TCP Verbindung herstellbar TIA V17 CPU 1513
Antworten
16
Aufrufe
1K
Rabi
R
M
TIA TCON Verbindungsproblem UDP
Antworten
13
Aufrufe
1K
Michakron
M
P
Step 7 [Closed] SC636-2C: Keine Online-Verbindung zur SPS möglich
Antworten
1
Aufrufe
341
Pintol
P
Zurück
Oben