#MB1V1 : Fernzugriff auf meine an den Router angeschlossenen Geräte (SPS, HMI,...)

Tutorial: #MB1V1 : Fernzugriff auf meine an den Router angeschlossenen Geräte (SPS, HMI,...)


Hinweis

Der Fernzugriff auf Geräte und Maschinen kann nur über die mbNET/mbNET.mini Industrierouter erfolgen.

Hat das mbNET/mbNET.mini die Internetverbindung aufgebaut und sich an Ihrem Konto angemeldet, wird dies mit einer grünen Status-LED in der Geräteübersicht gezeigt.

 

Durch Klick auf das „Verbinden“-Icon , stellen Sie eine Verbindung mit der jeweiligen Maschine her.

 

Nach dem Verbindungsaufbau wechselt die Status LED von grün auf orange. Das „Verbinden“-Icon wechselt von schwarz auf orange und rotiert. Der Zugriff auf die Maschine ist hergestellt.

 

Um die Verbindung zur Maschine abzubrechen, klicken Sie auf das rotierende „Verbinden“-Icon .


1. Was muss bei dem Zugriff auf eine Ethernet Komponente (z.B. SPS) beachtet werden?

2. Zugriff auf ein oder mehrere Geräte hinter dem mbNET via SimpleNAT

3. Zugriff auf ein oder mehrere Geräte hinter dem mbNET über Port Forwarding

4. LAN-Routen anlegen und verwenden

5. Über das TIA Portal mit einer Siemens SPS verbinden

6. Verbindung zu Omron SPS / HMI

7. Verbindung zu Beckhoff TwinCAT SPS

8. Verbindung zu Stöber Antrieb hinter einem mbNET / mbNET.mini

9. Zugriff auf ein oder mehrere Geräte hinter dem mbNET / mbNET.mini über einen Gateway Eintrag

 


1. Was muss bei dem Zugriff auf eine Ethernet Komponente (z.B. SPS) beachtet werden?

Folgendes muss generell beachtet werden, wenn man eine Kommunikation zu einer Komponente (z.B. SPS) via Ethernet mit einem mbNET aufbauen möchte:

  • Die Komponente muss vom mbNET aus erreichbar sein. Dies kann auf der Weboberfläche vom mbNET unter "Experte" ~> "Status" ~> "Diagnose" ~> "Ping" geprüft werden.
  • Die IP-Adresse der Komponente muss sich im selben Netzwerksegment wie die LAN-IP des mbNET befinden.

Beispiel:          LAN-IP des mbNET: 192.168.0.100/24 | IP-Adresse der Komponente: 192.168.0.1/24 =>> Netzwerksegment: 192.168.0.X/24

  • Ggf. müssen Sie als Gateway bei der Komponente die LAN-IP des mbNET konfigurieren. In diesem Fall ist es wichtig die Funktion "SNAT" in den Firewall-Einstellungen vom mbNET zu deaktivieren, da SNAT alle ausgehenden Pakete am LAN des Routers durch die Router LAN IP-Adresse ersetzt. Damit wird mit SNAT erreicht, dass der Kommunikationsteilnehmer kein Gateway benötigt. Da bei manchen Komponenten die Funktion SNAT technisch bedingt nicht möglich ist, muss dies deaktiviert und das entsprechende Gateway eingestellt werden. SNAT finden Sie in der Geräte "Verwaltung" unter dem Menüpunkt "Firewall":
  • Ggf. müssen Sie einen Timeout von 60 Sekunden bei der Komponente einstellen. Unsere Tests haben ergeben, dass dies die optimale Einstellung für die meisten Komponenten ist.

2. Zugriff auf ein oder mehrere Geräte hinter dem mbNET via SimpleNAT

Falls Sie von einem Netzwerk, in welchem sich auch ein mbNET / mbNET.mini lokal befindet, von der WAN Seite auf ein oder mehrere Geräte, welche LAN-seitig mit dem mbNET / mbNET.mini verbunden sind, zugreifen wollen, benötigen Sie hierfür eine oder mehrere SimpleNAT Regeln.

Über SimpleNAT kann über eine freie WAN-IP-Adresse ein Netzwerkteilnehmer aus dem LAN Netzwerk direkt angesprochen und erreicht werden. Diese IP-Adresse wird dann zusätzlich zur WAN-Schnittstelle hinzugefügt und direkt auf die eingetragene LAN-IP-Adresse „genattet“, also 1:1 gespiegelt. Wichtig hierbei ist, dass bei WAN eine statische IP-Adresse konfiguriert ist.


Als Beispiel liegt folgender Netzwerkaufbau zugrunde:
Von ein oder mehreren PCs aus dem WAN soll auf drei Netzwerkteilnehmer über das mbNET / mbNET.mini zugegriffen werden.

Bei dem mbNET ist als statische WAN-IP 10.10.0.100 und als LAN-IP 192.168.0.100 konfiguriert.

Folgende Netzwerkteilnehmer sind im LAN vorhanden:

Industrie-PC mit IP 192.168.0.1                           SPS mit IP 192.168.0.2                           HMI mit IP 192.168.0.3

Folgende Netzwerkteilnehmer sind im WAN vorhanden:

PC1 mit 10.10.0.1                           PC2 mit 10.10.0.2                           PC3 mit 10.10.0.3

Um die SimpleNAT Regeln in der Gerätekonfiguration zu konfigurieren, müssen Sie zur Geräte Verwaltung navigieren und auf Firewall klicken:

 

Nun befinden Sie sich in den Firewall-Einstellungen des jeweiligen Gerätes und müssen mit dem Button (oben rechts) eine Neue Regel: SimpleNAT auswählen. Diese Regel wird wie folgt konfiguriert:

 

   Setzen Sie einen Haken bei Aktiv.

   Bei WAN-IP tragen Sie eine freie WAN-Ethernet-Adresse aus dem WAN-Netzwerk ein (hier: 10.10.0.11).

   Bei LAN-IP geben Sie die die LAN-IP-Adresse an, die Sie erreichbar machen wollen (hier: 192.168.0.1).

   Bei Kommentar können Sie die Regel für eine bessere Zuordnung kommentieren.

 


Hinweis

Nachdem die Einstellungen gespeichert wurden, muss die Konfiguration zum Gerät übertragen werden.

Da der Zugriff in diesem Beispiel auf drei Geräte hinter dem mbNET / mbNET.mini erfolgt, müssen in diesem Fall drei SimpleNAT Regeln definiert werden:

D.h. pro Gerät, auf welches zugegriffen werden muss, muss eine SimpleNAT Regel festgelegt werden.

3. Zugriff auf ein oder mehrere Geräte hinter dem mbNET über Port Forwarding

Folgender Netzwerkaufbau liegt zugrunde:

Ein PC im WAN soll über das mbNET auf die SPS (IP: 192.168.0.112) und auf verschiedene Dienste dahinter (hier: FTP und Web-Server) zugreifen können.

Hierzu muss auf dem mbNET für den FTP-Zugriff eine Forwarding Regel eingerichtet werden, welche alle Anfragen die an die IP-Adresse 172.25.15.90 und den fiktiven Port 2143 gerichtet werden, an die IP-Adresse 192.168.0.112 und den Port 21 weiterleitet.

Außerdem benötigt man für den Web-Zugriff eine weitere Forwarding Regel, welche alle Anfragen die an die IP-Adresse 172.25.15.90 und den fiktiven Port 2146 gerichtet werden, an die IP-Adresse 192.168.0.112 und den Port 80 weiterleitet.

Als Ziel-IP muss die WAN-IP-Adresse eingetragen werden, unter Ziel-Port der fiktive Port (hier: Port 2143 und 2146), unter an IP weiterleiten die IP-Adresse der SPS (hier: 192.168.0.112) und an Port weiterleiten der jeweilige Port des zu erreichenden Dienstes (hier: Port 21 und 80). Als Schnittstelle muss bei den Forwarding Regeln WAN Ethernet ausgewählt werden. Wenn das Feld Ursprungs-IP und Urspungs-Port leer ist, wird jegliche Kommunikation von allen Teilnehmern erlaubt. Wenn Sie die Kommunikation nur für bestimmte Teilenhmer erlauben möchten, müssen Sie die Ursprungs-IP oder den Urspungs-Port entsprechend eintragen.

Wenn zum Beispiel nun eine Verbindung zu dem FTP-Server der SPS mittels FileZilla hergestellt werden soll, muss im FileZilla Client unter Server die WAN-IP des mbNET, der Benutzernamen und das Passwort des FTP-Servers sowie der fiktive Port (hier: 2143) eingetragen werden:


Hinweis

Bitte verwenden Sie als fiktiven Port keinen standardisierten Port.

 

4. LAN-Routen anlegen und verwenden

Die Maschinennetzwerke werden immer komplexer und segmentierter. Die Fernwartung war seither immer nur auf ein Netzwerksegment an der LAN Schnittstelle begrenzt. Die ExtendedRouting Funktion bietet nun die Möglichkeit unterschiedliche Netze über weitere an der LAN Schnittstelle angeschlossene Router zu erreichen. D.h. besteht in der Anlage schon ein Managed Switch mit Routing Funktion, so können im mbNET dessen Netzwerksegmente eingetragen werden und die Fernwartung weiß somit, welches Netzwerksegment über welchen Managed Switch/Router zu erreichen ist.


Hinweis

Als Managed Switch/Router können Sie beispielsweise unser Produkt mbNETFIX verwenden.


In diesem Dokument wird beschrieben, wie Sie eine entsprechende LAN-Route in rsp.mbCONNECT24 (V2) für ein mbNET (ab Version V3.7.0) anlegen.


Folgender Netzwerkaufbau liegt in diesem Beispiel zugrunde:

  1. Um die Netzwerke als LAN-Routen anzulegen, müssen Sie zur Geräte „Verwaltung“ wechseln und auf das Symbol bei „LAN“ klicken:
  2. Nun befinden Sie sich in den LAN Einstellungen. Bitte wechseln Sie zum Reiter „Routen“:
  3. Mit  legen Sie eine neue Route an:

Als „Netzwerk“ geben Sie den Netzbereich in CIDR Schreibweise an, welches Sie erreichen möchten.
Unter „Gateway“ muss die IP-Adresse der Komponente eingetragen werden, welche die Bereiche bzw. die Routen in das andere Netz kennt und weiterleiten kann (z.B. eine Firewall oder ein Managed Switch / Router, wie der mbNETFIX).
Mit „Speichern“ bestätigen Sie die Einstellungen.

 

Nachdem anschließend die Konfiguration zum Gerät übertragen wurde, ist es möglich die eingetragenen Netzwerke zu erreichen, nachdem eine aktive VPN Verbindung zum mbNET hergestellt wurde.


5. Über das TIA Portal mit einer Siemens SPS verbinden

Falls Sie Ihre Siemens SPS oder Ihr Panel im TIA-Portal nicht finden können oder generell eine Verbindung im TIA Portal via mbNET / mbNET.mini aufbauen möchten, muss folgendes beachtet werden:

Es muss eine aktive VPN Verbindung via mbDIALUP zum mbNET bestehen.

Konnektivität:

Wenn Ihre SPS oder Panel via Ethernet an dem mbNET / mbNET.mini  angeschlossen sind, aktivieren Sie „Router verwenden“ (in den „Eigenschaften“ Ihrer Komponente unter „Allgemein“ -> „PROFINET Schnittstelle“ -> „Ethernet Adressen“) und geben Sie im Feld „Router-Adresse“ die LAN-IP des mbNET / mbNET.mini  ein:

Hier im Beispiel ist die SPS-IP „192.168.10.10“ und die LAN-IP des mbNET / mbNET.mini „192.168.10.101“.


Hinweis

Die SPS-IP und die LAN-IP müssen sich im selben Netzwerkbereich (hier: „192.168.10.x“) befinden!

Sie können mithilfe eines "Ping" überprüfen, ob das mbNET / mbNET.mini die Steuerung erreichen kann.

Öffnen Sie hierzu die Web-Oberfläche des Routers und öffnen den "Experte" Modus im oberen rechten Menü.

Navigieren Sie anschließend zu "Status -> Diagnose -> Ping" und tragen Sie die IP-Adresse der Steuerung ein.

Übertragung:

Um ein Projekt in die SPS oder in das Panel zu laden, muss der Button „Laden in Gerät“ betätigt werden:

Verwenden Sie hierzu nicht den Button „Verbinden“!

Stellen Sie als "Timeout" auf der HMI / SPS eine Zeit von mindestens 60 Sekunden ein. Unsere Tests haben ergeben, dass dies die optimalste Einstellung ist.


Hinweis

Der nächste Part beschreibt die Vorgehensweise OHNE die Funktion SEARCHoverIP. Für mehr Informationen dazu, klicken Sie hier

Deaktivieren Sie die Option „Alle kompatiblen Teilnehmer anzeigen“ unter „Online“ -> „Erweitert"  -> "Online verbinden…“. Die Suche aller kompatiblen Teilnehmer über das mbNET / mbNET.mini ist eine systembedingte, technische Sackgasse.

Nachdem Ihre Steuerung gefunden wurde, können Sie sich nun mit dieser verbinden.


6. Verbindung zu Omron SPS / HMI

Bitte beachten Sie folgendes, wenn Sie auf eine Omron NS-series HMI oder andere Omron Geräte (wie z.B. eine SPS) über das mbNET / mbNET.mini zugreifen möchten:

 

Konfiguration der Omron Komponente:

Die IP Adresse der Komponente muss sich im selben Netzwerksegment wie das mbNET / mbNET.mini befinden.

Beispiel:          LAN-IP des mbNET / mbNET.mini: 192.168.127.200/24 | IP-Adresse der Komponente: 192.168.127.1/24 =>> Netzwerksegment: 192.168.127.X/24

Als Standardgateway muss die LAN-IP Adresse des mbNET / mbNET.mini konfiguriert werden. Im nächsten Abschnitt erfahren Sie, wie die VPN-IP Adresse "Ihres Computers" herausgefunden werden kann.

Ermittlung der VPN-IP Adresse:

  • Melden Sie sich mit Ihren Zugangsdaten an Ihrem Account an, indem Sie eine VPN-Verbindung in mbDIALUP herstellen.
  • Öffnen Sie die "Eingabeaufforderung" in Windows (CMD).
  • Tippen Sie den Befehl '"ipconfig" ein und drücken Sie "Enter" auf Ihrer Tastatur.
  • Merken Sie sich die VPN-IP Adresse bei "Ethernet adapater mbDIALUP:". In diesem Beispiel lautet diese 10.0.X.X (X = zensiert). Dies ist die VPN-IP Adresse des Benutzer, mit dem Sie in mbDIALUP angemeldet sind. Dies bedeutet, dass diese VPN-IP Adresse dem mbDIALUP "TAP-Windows Adapter V9" auf Ihrem Computer zugewiesen wurde. Die VPN-IP Adresse eines Benutzers ist einzigartig. Falls sich verschiedene Benutzer auf dem ein und denselben Computer mit mbDIALUP anmelden, muss beachtet werden, dass die VPN-IP Adresse für jeden Benutzer unterschiedlich ist und diese sich somit ändern kann.
  • Fügen Sie die jeweilige VPN-IP Adresse zur "Umsetzungstabelle" hinzu und verwenden Sie dabei eine unbenutze "Node Addresse", welche Sie sich für die Zukunft merken sollten.

Deaktivierung von SNAT:

Um mit der Omron Komponente zu kommunzieren, deaktivieren Sie bitte die SNAT Funktion am mbNET / mbNET.mini. SNAT finden Sie in der Geräte "Verwaltung"  im Menü "Firewall":

 

 

Kommunikations-Einstellungen für die Omron Komponente:

Bitte konfigurieren Sie die Kommunikations-Einstellungen für die Omron Komponente wie in der folgenden Grafik veranschaulicht:


7. Verbindung zu Beckhoff TwinCAT SPS

Folgendes ist zu beachten, wenn Sie mit der Beckhoff TwinCAT SPS arbeiten:

1. SNAT am mbNET/mbNET.mini deaktivieren und die IP-Adresse des mbNET/mbNET.mini als Gateway in der Steuerung eintragen.

2. Wenn man sich mit dem PC (Twincat) per Fernwartung auf die SPS verbindet, wird diese Verbindung in der SPS gespeichert. Die SPS bemerkt das die Verbindung per Fernwartung besteht (IP: 192.168.10.200). Will man anschliessend mit einem anderen PC (Twincat) per Fernwartung zugreifen, erstellt die SPS erneut eine Verbindung. Die SPS hat nun zwei Verbindungen über die Fernwartung (IP: 192.168.10.200), somit kann die Verbindung nicht eindeutig bestimmt werden und diese geht nicht, weder mit der alten noch der neuen Verbindung. Löscht man alle Verbindungen manuell, kann man sich anschliessend wieder per Twincat verbinden.

In manchen Fällen kann auch folgender Hinweis zur Einstellung in der Registry hilfreich sein:

Einstellmöglichkeiten in der Registry und TwinCAT PLC Control.ini

In der Registry und in der Datei TwinCAT PLC Control.ini werden die Einstellungen zur Datenübertragung per Remote Access vorgenommen. Bei Modemverbindungen mit geringer Übertragungsrate oder schlechter Leitungsqualität kann es sinnvoll sein, die zu übertragenden Datenblöcke zu verkleinern. Soll aus dem TwinCAT PLC Control ein SPS Projekt per ADS über die Modemverbindung in die Steuerung übertragen werden, so kann die Größe der Datenblöcke durch folgende Einstellungen angepasst werden:

Registry

MaxBlockSize

HKEY_LOCAL_MACHINE\SOFTWARE\BECKHOFF\TwinCAT\Plc MaxBlockSize (DWORD)

Default (auch wenn kein Key in der Registry) ist als Paketgröße 16 KByte angenommen. Die kleinste Blockgröße ist 512 Bytes.

Dies bedeutet, dass große zu ladende SPS-Projekt in Blöcke unterteilt werden.

Bei langsamen Verbindungen sollte man kleinere Blöcke konfigurieren.

ConnectionTimeoutMSec

HKEY_LOCAL_MACHINE\SOFTWARE\BECKHOFF\TwinCAT\Plc ConnectionTimeoutMSec (DWORD)

Default Wert ist dez 8000 (entspricht 8 Sekunden) Bei langsamen Verbindungen sollte dieser Wert erhöht werden.

 

TwinCAT PLC Control.ini

Die Datei "TwinCAT PLC Control.ini" befindet sich im Verzeichnis "..\TwinCAT\PLC"

[TwinCAT PLC Control]

FileTransferBlockSize=16384

Default (auch wenn kein Key in der INI Datei) ist 1024, bei einem CX9000 werden meist 16K eingestellt, um die Anzahl der Blöcke zu minimieren.


8. Verbindung zu Stöber Antrieb hinter einem mbNET / mbNET.mini

Das obige Beispiel zeigt einen Stöber Antriebsregler verbunden mit einem mbNET.mini Router. Diese Beschreibung erklärt, welche Einstellungen notwendig sind, um mit der DriveControlSuite per Fernwartung auf den Antriebsregler zuzugreifen.

Voraussetzungen:

  • mbDIALUP (mindestens Version 3.7R1.0) Software installiert auf dem Service Computer
  • DriveControlSuite Version V6.2-G installiert auf dem Service Computer
  • ein mbCONNECT24 V2 Konto
  • mbNET (mindestens Firmware 3.7.0) oder mbNET.mini (mindestens Firmware 1.9.0) Router fertig konfiguriert und online in Ihrem mbCONNECT24 Konto
  • Sie sind mit mbDIALUP und dem Router verbunden

Weitere Dokumente:

Erste Schritte >> Erste_Schritte_RSP-mbCONNECT24-V2-3-0_de.pdf

Zum Download hier: https://www.mbconnectline.com/de/support/downloads/rsp-mbconnect24.html

Wichtig:

  • Die IP-Adresse des Antriebsreglers muß im selben IP-Adressbereich liegen wie der Router. Siehe hierzu auch das obige Beispiel. Beide sind hier im Netzwerkbereich 192.168.0.x/255.255.255.0.
  • Im Router kann auch die Funktion SNAT verwendet werden. Dadurch ist dann im Antriebsregler kein Gatewayeintrag notwendig. Wird SNAT im Router nicht verwendet, so muß zwingend die Router IP-Adresse als Gateway Adresse im Antriebsregler eingetragen werden.

 

Einstellungen im Antriebsregler:

Stellen Sie die Parameter passend zu diesem Beispiel wie folgt ein:

A164[0]: 192.168.0.10

A165[0]: 255.255.255.0

A166[0]: 0:Manuell

Diese Einstellungen müssen Sie lokal am Antriebsregler durchführen, idealerweise während der Inbetriebnahmephase des Reglers.

 

Verbindung zum Antriebsregler herstellen:

Verbinden Sie sich mit mbDIALUP zu Ihrem Account und wählen Sie Ihren Router aus dem Projekt welcher am Antriebsregler angeschlossen ist.

Um eine transparente IP-Verbindung zu den Teilnehmer am Router LAN-Netzwerk herzustellen, klicken Sie auf das Blitz-Symbol.

Wenn die Verbindung hergestellt ist, wechselt die Kreisfarbe neben dem Router-Namen auf Orange.

Starten Sie die Software DriveControlSuite und wählen Sie den Menüpunkt “Zuordnung”. Klicken Sie dann auf „Online-Verbindung herstellen“.

Es erscheint dann folgendes Fenster. Wählen Sie „Direktverbindung (manuell) und tragen Sie die IP-Adresse des Antriebsreglers ein. In unserem Beispiel ist das die 192.168.0.10. Klicken Sie dann auf OK.

Danach erscheint der verbundene Antriebsregler im Menü „Zuordnung“. Sie können nun alle gewohnten Funktionen ausführen, als wären Sie lokal verbunden.

9. Zugriff auf ein oder mehrere Geräte hinter dem mbNET / mbNET.mini über einen Gateway Eintrag

Beide SPS‘n sollen über den PC2 per eigener IP-Adresse erreichbar sein. Ein Portforwarding (DNAT) ist hier nicht möglich, da speziell hier bei einer Siemens SPS die Portzuweisung im PC2 nicht einstellbar ist.

  1. Einstellungen der Geräte:
    1. SPS1: IP: 192.168.0.112/24, Gateway: -----
    2. SPS2: IP: 192.168.0.114/24, Gateway: -----
    3. PC2: IP: 172.25.15.74/16, Gateway: 172.25.15.90
  2. Router IP-Addressen LAN und WAN einstellen.

  3. In den Firewall Einstellungen sicherstellen, dass die SNAT (LAN) Funktion selektiert ist.
  4. Geben Sie in den Firewall Einstellungen für jedes SPS Gerät jeweils das ICMP Protokoll frei.

Nun kann die WAN seitige PC2 auf beide LAN seitigen SPS'n zugreifen bzw. diese anpingen.