Herunterladen Inhalt Inhalt Diese Seite drucken

Fernwartung 1-Topologie; Fernwartung 2-Topologie - Insevis S7-IIoT-Gateway Handbuch

Inhaltsverzeichnis

Werbung

openVPN

Fernwartung 1-Topologie

Sichere Client/Server Verbindung einer S7-Insel zu einem PC
Voraussetzungen:
Auf dem PC muss openVPN installiert sein.
Die exportierte Datei „servername_clienname.tar.gz" entpacken (z.b. Win-7z).
Die Datei "client.conf" umbenennen in einen aussagefähigen Clientnamen mit Endung „.ovpn" (z.B. Maschine_xy.ovpn)
Alle 4 entpackten Dateien verschieben nach C:\Program Files (x86)\openVPN\config\clientname\...
oder die Importfunktion von openVPN-GUI nutzen
Starten der VPN-Verbindung über die openVPN-GUI („Maschine_xy – verbinden).
Hinweise:
In der Praxis ist das innerhalb eines statisch konfigurieren Firmennetzes denkbar.
(Selten wird ein IIoT-Gateway über eine feste IP-Adresse über das Internet direkt erreichbar sein.)
Die Option „Route LAN Net" der Serverkonfiguration ermöglicht dem PC Zugriff auf die SPS
(... und auf weitere Komponenten am LAN-Port des IIoT-Gateways. Ohne diese Option ist nur die Oberfläche des IIoT-
Gateways erreichbar.
Die Option „Route LAN Net" der Clientkonfiguration ist in diesem Fall nicht sinnvoll.
Z.B. ist in dieser Konfiguration auch ein Zugriff von Mobilgeräten auf das NodeRed-Dashboard möglich.

Fernwartung 2-Topologie

Sichere Fernwartung mehrerer S7-Inseln über openVPN durch eine Zentrale
erlaubt.
Voraussetzungen:
Die IP-Adressenvergabe im Firmennetz erfolgt statisch,
ein lokales Netz für das IIoT-Gateway als openVPN-Server und
je ein lokales Netz für das IIoT-Gateway als openVPN-Client wird festgelegt.
Hinweise
Erfolgt die Kommunikation über "richtiges" Internet, ist für den Server eine globale IP Adresse notwendig
(z.B. per DynDNS) und diese ist auch als „Public Router IP" einzutragen. Im Router ist ein entsprechendes
Port-Forwarding zu konfigurieren (siehe jeweiliges Router-Handbuch).
Die externe Adresse des Servers ist für die Funktion des Servers unbedeutend, aber der WebConfigurator muss diese
richtig in die Client-Konfigurationen einbauen.
Wird der openVPN-Server am WAN-Port per DHCP konfiguriert, muss ein Nameserver vorhanden sein.
U.U übernimmt auch der DHCP-Server automatisch die Device-FQN des IIoT-Gateways.
Diese muss dann im Server als „Public router IP" eingestellt werden
Wenn sich die IP-Adressen ändern, muss die Konfiguration wiederholt werden.
INSEVIS Gesellschaft für industrielle Systemelektronik und Visualisierung mbH • Am Weichselgarten 7 • D-91058 Erlangen
Handbuch Gateway, Rev. 04 / 2020
WebConfigurator
Ersetzt man in der Site-To-Site-open-VPN-Topologie die Client-Insel durch einen PC, ergibt
sich ein Remote-Zugriff auf die Konfigurationsoberfläche des IIoT-Gateways (über den WAN-
Port(!) sowie auf die dahinterliegende(n) SPS(en) ( – mit geringen Einschränkungen – man
kann das entfernte Netz nicht durchsuchen sondern muss es kennen).
Dieses Szenario ergibt sich, wenn man in der Site-To-Site-open-VPN-Topologie auf der
Serverseite einen PC einfügt.
Dieser PC hat damit Remote-Zugriff auf die SPS(en) des entferneten Netzes ( – mit
geringen Einschränkungen – man kann das entfernte Netz nicht durchsuchen sondern
muss es kennen).
Befindet sich die Server-Seite z.B. in einem Home-Office, welches keiner Firmen-IT-
Verwaltung unterliegt, kann man hier sogar über das Internet tunneln, sofern die Client-
IIoT-Gateways „normalen" Internet-Zugang haben und die lokale Sicherheitsstrategie dies
39

Werbung

Inhaltsverzeichnis
loading

Inhaltsverzeichnis