UMTS Router für eing. Datenverbindung gesucht

Zitat

Original geschrieben von mondlaub24
Teamviewer ist natürlich möglich - aber die speziellen Einstellungen, wie man auf die
SPS kommt hab ich nicht raus. Wobei man bei Teamviewer auf einen Dienst im Internet
zurückgreift, was man bei einer VPN Verbindung mit VNC lokal auf dem Recher nicht hat.

Eine dritte Instanz (wie oben von mir als Variante 1. beschrieben) halte ich in solcher Umgebung für riskant, da der öffentliche Server allen Angriffen aus dem Netz ausgesetzt ist und daher besonderen Pflege- und Wartungsaufwand erfordert und dennoch nicht wirklich sicher ist (wie wir nicht erst seit Snowden wissen)
Funktionieren würde das ScreenSharing des HMI aber schon problemlos über Teamviewer. Dazu braucht's aber eigentlich keinen eigenen Router. Da man nicht von außen erreichbar sein muss, könnte man auch die vorhandenen Router des Firmennetzes (?) ins Inet dafür nutzen.

Zitat

So absurd es auch klingen mag - mit einem UMTS Router in der Anlage, der eine Verbindung zum 100 Meter entfernten Masten auf dem Schornstein des Werksgeländes aufbaut - kein Problem, solange man das nicht der IT bekannt macht.

Die wären aber ziemlich unterbelichtet, wenn sie das nicht mitbekommen würden. Da taucht plötzlich eine neue IP auf, die sich auf Anfrage als Router zu erkennen gibt. Das kann man schließlich nicht verbergen, wenn man's nutzen will... wer kontrolliert denn da den DHCP-Server des internen Subnetzes?

Auch ein installierter Teamviewer hätte uneingeschränkten Zugriff auf alles, was der remote-PC auch darf. Ich glaube nicht, dass die IT-Sicherheit das kalt ließe
Eine 1:1-Verbindung wäre dagegen lokal begrenzt, da aus dem Netz heraus nicht erkennbar ist, ob die Aktivitäten vom PC-Bediener vor Ort oder über remote stattfinden.

Nur so am Rande: Wir reden hier über hidden access auf ein Firmennetz. Das nennt man in anderen Kreisen ein Angriffsszenario :eek:

Hallo Leidensgenossen,

irgendwie bin ich beruhigt, daß andere Firmen auch an den gleichen sturen ITlern bei der Fernwartung scheitern.
...aber wehe die Maschine läuft nicht.

Ansonsten setzen wir derzeit meist folgenden Aufbau ein:

In unserer Firma steht ein MOROS- LAN Router als OpenVPN Server mit fester öffentlicher IP am Firmen-DSL.

Externe Teilnehmer:

- MOROS oder Phoenix- UMTS -Router als OpenVPN Client / per Schlüsselschalter zuschaltbar, 1 oder 2
SIM-Karten gesteckt ==> hier nur ausgehende Verbindung
- Netze: Telekom, Vodafone oder Eplus ==> meist als Prepaid (Aufladung per Internet) nach Ablauf der Garantie
kann dieser Zugang auf Kundenwunsch weiter gepflegt werden (min. 1 jährliche Aufladung)

Natürlich laufen die Maschinen als autarkes Netz bzw. wird die externe LAN- Verbindung für die Dauer der Fernwartung händisch gekappt.

Für besonders wichtige Anlagen haben wir auch schon Remote- Rechner mit "Vollausstattung" realisiert, d.h.
die komplette Software für SPS, HMI, FU, Servos .... wurde auf dem Remote- PC installiert.
Hier konnte dann bei Bedarf per Teamviewer zugegriffen werden. Diese Lösung ist sehr komfortabel aber auch die teuerste.
Teamviewer -VPN direkt auf eine S7- Steuerung wurde übrigens hier schon einmal realisiert:

http://www.sps-forum.de/faq/57223-teamviewer-vpn.html

Leider haben wir es bis jetzt noch nicht geschafft eine durchgehende Lösung zu realisieren, da die Voraussetzungen bei den Kunden zu unterschiedlich sind.

Bye Uwe

Zitat

Original geschrieben von mondlaub24
Ich muss nochmal nachfragen :

In der Bedienungsanleitung des Huawei b246 a steht nichts von DYNDNS.

Das ist aber - zumindest mein letzter Stand - Vorraussetzung für eingehende
Verbindungen.

Lieg ich damit richtig ?

Alles anzeigen

Hallo,

Dyndns ist nur dafür da, das man die wechselnden IP Adressen mit bekommt und sich nur einen Namen merken muss. Voraussetzung für eingehende Verbindungen ist Dyndns nicht.
Der "bekannteste" Anbieter den die meisten Router unterstützen http://dyn.com/dns/ ist nur noch gegen Bezahlung brauchbar.

Gruß
Thomas

Schnuri hat's ja schon auf den Punkt gebracht. Ich ergänze mal:
Wie der Name dynamischer Domain-Name-Service sagt, geht es hier um die Zuordnung eines Domain-Namens (DNS-Server) zur wechselnden (dynamisch vergebenen) IP-Nummer Deines Anschlusses im öffentlichen Netz.
Man kann einen Server im Netz aber auch genauso gut direkt über seine IP ansprechen.
bspw kannst Du statt http://www.heise.de auch einfach die IP-Nummer 193.99.144.85 in Deinen Browser eingeben.

Deine eigene IP erhälst Du, indem Du einen anderen Server (üblicherweise eine Webseite) im Netz anrufst. Dabei sendest Du Deine aktuelle IP und der Server (aka Webseite) weiß damit, wohin er die Antwort schicken soll.
Der Anbieter DYNDNS übermittelt diese IP an die DNS-Server im Internet, womit Du über einen Domain-Namen erreichbar bist.

Voraussetzung für eingehende Verbindungen ist also eine öffentliche IP-Adresse. Ob man die mit einem Domain-namen verknüpft oder nicht, ist Geschmackssache.
Prinzipiell kann man jeden Router zunächst über seine IP erreichen - auch Deinen Huawai

Neben dieser IP-Adresse muss für jeden Dienst aber auch eine entsprechende 'Kennung' mitgesendet werden, wofür die Verbindung aufgebaut werden soll (welche Art von Daten, von/für welches Programm). Dies sind die Ports. Webseiten werden bspw mit der Port-nummer 80 'markiert' Bei Port-Nr.80 wissen die beteiligten Rechner, dass es sich um http-Inhalte handelt.

Ein wesentlicher Teil von Firewalls (in Routern) basiert nun darauf, bestimmte Ports zu sperren und andere zu erlauben. Das kann man gewöhnlich selbst einstellen. Das Mobilfunknetz ist dagegen selbst durch Router der Anbieter abgeschottet, auf die man leider kaum Einfluss hat (außer Wahl des APN oder andere 'Sondererlaubnisse' durch den jeweiligen Vertrag)

Zusammengefasst brauchst Du für eingehende Verbindungen also Deine IP und die Erlaubnis aller Router auf dem Weg zu Dir, den jeweiligen Porteingang nutzen zu dürfen.

So, das war jetzt ein wenig ausführlich und vereinfachend beschrieben aber hoffentlich verständlich genug

Zitat

Original geschrieben von mondlaub24
Frage dazu : Gibt es Lösungen, wo eine ausgehende (VPN) Verbindung sich direkt mit meinem Steuerungrechner verbindet ? Insys hat wohl dafür einen separaten Dienst !?

Guck dir mal OpenVPN an - das kann die VPN-Verbindung wahlweise über TCP oder UDP herstellen, und die Richtung kannst du selbst wählen.

Dein Problem wäre mit einem Raspberry Pi, OpenVPN und einem UMTS-Stick lösbar. Der OpenVPN-Client auf dem Raspberry Pi verbindet sich per Mobilfunk mit dem OpenVPN-Dienst auf deinem PC (nur dort benötigst du sowas wie DynDNS und eine Portweiterleitung, die du auch nur bei Bedarf aktivieren musst), sobald die Verbindung hergestellt ist, kannst du dann über die VPN-Verbindung mit dem Raspberry Pi und den Netzen dahinter kommunizieren.

So brauchst du auf der Mobilfunk-Seite keine öffentlichen IPs, kein DynDNS, keine Portweiterleitungen usw. da du auf der Seite lediglich eine einzelne ausgehende Verbindung hast, um eingehende Verbindungen musst du dich dann nur noch auf deiner Seite kümmern.

Statt einem Raspberry Pi wäre auch beispielsweise ein PC Engines ALIX möglich, oder auch ein Notebook. Raspberry Pi wäre aber wahrscheinlich die günstigste Variante.

Zitat

Original geschrieben von mondlaub24
-> In der Praxis handelt es sich um einen hidden access. Der dient aber nicht um Angriffe auf das Firmennetz durchzuführen...
Mit den Rohdaten einer Firma kann ich ohne die vorhandenen Hintergrundkenntnissen zu Abläufen, Prozessen in der Praxis eher weniger anfangen.

Sollte nur als Denkanstoß dienen, da es viele Firmen gibt, bei denen man sein Handy beim Pförtner abgeben muss und das auch kontrolliert wird

Zitat

Frage an gallium -> konntest Du schonmal eine IP Cam über den T-Mobile APN testen ?

Wie schon erwähnt, bevorzuge ich für den unmittelbaren Zugriff aus Sicherheitsgründen die 1:1-Datenverbindung über CSD.
Für LiveCam reicht die damit erzielbare Bandbreite natürlich nicht. Auch sonst sehe ich bei den üblichen UMTS-Drosselung-Datenmengen Probleme für eine kontinuierliche Livebild-Übertragung.

Für ad hoc Cam-Lösungen nutze ich ein einfaches Smartphone, dessen Kamera (Einzelbild) bei bestimmten Ereignissen, zu bestimmten Zeiten oder auf externes Kommando hin ausgelöst wird. Die Bilder werden dann automatisch in einer dropbox gespeichert und sind damit von überall auf der Welt einsehbar (entsprechende Zugangsberechtigung vorausgesetzt)

Für den Generationswechsel meiner alten Siemens-Handys habe ich mal so ein GSM-Modul ins Auge gefasst. Interssant finde ich dabei die komfortable Schnittstellen-Ausstattung (SPI, I2C, serielle UART und GPIO) und den industrie-tauglichen Arbeitstemperaturbereich. Selbstverständlich ist auch die Implementation des AT-Befehlssatzes. Inwieweit sich die gebotene Java-Unterstützung auf die CSD-Verbindungen anwenden lässt werde ich mir gelegentlich in Ruhe anschauen.

Falls jemand mit solchen Modulen schon Erfahrungen gesammelt hat oder ein spezielles empfehlen kann, wäre ich dankbar für entsprechende Tipps :top:

h52
grundsätzlich haben VPN-Lösungen über Mobilfunk immer den Nachteil, dass die Initiative vom GSM-Client ausgehen muss, da man von außen erst mal nicht ran kommt. Wenn da bei einem Firmennetzwerk jemand meint, etwas umkonfigurieren zu müssen, ist Deine 'Tür' zur Außenwelt plötzlich weg.
Eine 1:1 Verbindung ist dagegen ein in sich geschlossenes System, auf das Netzwerk-Admin-DAUs keinen Zugriff haben und dies auch nicht sehen können (erspart dumme Fragen :p )
Außerdem kannst Du die Verbindung autark von außen aufbauen, ohne dass für die angesprochene SIM-Karte Kosten anfallen. (abgerechnet wird die Datenmenge des Anrufenden von außen) Für Service-Fälle, die überwiegend im standby arbeiten, ein nicht zu unterschätzender Vorteil.

Übrigens ist ein RaspPi in einer industriellen Umgebung nicht eben gut aufgehoben
Ich empfehle da eher auf Arduino-Basis zu wechseln.
Da gibt's bspw von Olimex sehr schöne Industrie-taugliche Boards.
BTW hatte ich kürzlich so ein Basic-Board gekauft, um einen kindertauglichen Aufbau zum Begreifen von Automatisierungstechnik zusammen zu stellen.