15
3 Netzwerke Koppeln
Hallo wieder zusammen,
habe mal wieder eine frage für Euch, erstmal ein Übersichtsbild
wir haben hier 3 Maschienen mit jeweils einen Anlagenrechner,
ich kann oder darf die IP´s der drei netze nicht ändern,
die anlage1 haben wir letztes Jahr bekommen, die Anlage wurde mit einem VPN Zugang
ausgestattet für Wartung und Service, wir haben jetzt vor die drei Netze irgend wie zu koppeln, so das man den VPN Zugang neu einbindet und so auf alle drei Netze von Außen zugreifen kann.
Ist das möglich, wenn ja welche komponenten brauche ich und welche Programme (Windows).
Über eine kleine Zeichnung währe ich sehr glücklich. Achso habe ich ja fast vergessen, das bild zeigt 3 Anlagen, im Herbst bekommen wir noch eine hinzu, bekommt die IP 10.10.24.x
mit besten dank im vorraus
habe von jemanden den vorschlag bekommen es so zu machen.
was sagen die experten??
habe mal wieder eine frage für Euch, erstmal ein Übersichtsbild
wir haben hier 3 Maschienen mit jeweils einen Anlagenrechner,
ich kann oder darf die IP´s der drei netze nicht ändern,
die anlage1 haben wir letztes Jahr bekommen, die Anlage wurde mit einem VPN Zugang
ausgestattet für Wartung und Service, wir haben jetzt vor die drei Netze irgend wie zu koppeln, so das man den VPN Zugang neu einbindet und so auf alle drei Netze von Außen zugreifen kann.
Ist das möglich, wenn ja welche komponenten brauche ich und welche Programme (Windows).
Über eine kleine Zeichnung währe ich sehr glücklich. Achso habe ich ja fast vergessen, das bild zeigt 3 Anlagen, im Herbst bekommen wir noch eine hinzu, bekommt die IP 10.10.24.x
mit besten dank im vorraus
habe von jemanden den vorschlag bekommen es so zu machen.
was sagen die experten??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 86772
Url: https://administrator.de/contentid/86772
Printed on: April 16, 2024 at 06:04 o'clock
15 Comments
Latest comment
http://img178.imageshack.us/img178/4236/firmabildzv6.jpg
Ist doch alles nicht so wild...
Wenn man davon ausgeht dass das was du als "Anlagen" bezeichnet verschiedene Subnetze sein sollen, kann man alles mit einem Router verbinden, um damit jeder mit jedem kommunizieren kann.
Damit jemand mit jemandem im Bedarfsfall nicht kommunizieren kann kann man auf dem Router per Firewall oder ACLs Regeln definieren, wer wen erreichen kann oder eben nicht.
Der VPN Zugang wird bei kleineren Firmen direkt über den Router realisiert (z. B. Draytec oder Netgear DSL Router mit eingebautem VPN Server), bei grösseren Firmen nimmt man da eher was grösseres.
Ist doch alles nicht so wild...
Wenn man davon ausgeht dass das was du als "Anlagen" bezeichnet verschiedene Subnetze sein sollen, kann man alles mit einem Router verbinden, um damit jeder mit jedem kommunizieren kann.
Damit jemand mit jemandem im Bedarfsfall nicht kommunizieren kann kann man auf dem Router per Firewall oder ACLs Regeln definieren, wer wen erreichen kann oder eben nicht.
Der VPN Zugang wird bei kleineren Firmen direkt über den Router realisiert (z. B. Draytec oder Netgear DSL Router mit eingebautem VPN Server), bei grösseren Firmen nimmt man da eher was grösseres.
Hi,
wieso die 3 Netze verbinden?
So wie es aussieht hast Du ein Private Net der Class A.
http://www.tcp-ip-info.de/tcp-ip-schulung/sld045.htm
Wichtig ist die Subnetmask, wenn diese auf 255.0.0.0 steht, sind deine 3 Anlagen bereits in einem Netz.
Du must dann nur noch die Anlagen mit dem Switch verbinden und die entsprechenden Rechte einrichten.
Aber das ist dann Betriebssystem und davon hast Du ja vorsichtshalber mal nix geschrieben.
Gruß
Helmut
wieso die 3 Netze verbinden?
So wie es aussieht hast Du ein Private Net der Class A.
http://www.tcp-ip-info.de/tcp-ip-schulung/sld045.htm
Wichtig ist die Subnetmask, wenn diese auf 255.0.0.0 steht, sind deine 3 Anlagen bereits in einem Netz.
Du must dann nur noch die Anlagen mit dem Switch verbinden und die entsprechenden Rechte einrichten.
Aber das ist dann Betriebssystem und davon hast Du ja vorsichtshalber mal nix geschrieben.
Gruß
Helmut
Danke für meldungen schon mal
ich habe das problem, das in den netzen siemens simatic steuerungen sind.
anlage 1
10.10.21.2-40 255.255.255.0
anlage 2
10.10.22.2-40 255.255.255.0
anlage 3
10.10.23.2-40 255.255.255.0
anlage 4
10.10.24.2-?? 255.255.255.0
ok aber ich möchte jetzt mal noch einen schritt weiter gehen, die fehler meldungen der Anlagen sind nur auf den jeweiligen Anlagenrechner zu sehen, wir möchten einen Melderechner schaffen der in der Warte Mechanik steht und der muß dann auf alle Anlagenrechner zugreifen können.
Und wie gesagt bei Störung soll man dann über VPN in die einzelnen Anlagen einblick kriegen.
ich habe das problem, das in den netzen siemens simatic steuerungen sind.
anlage 1
10.10.21.2-40 255.255.255.0
anlage 2
10.10.22.2-40 255.255.255.0
anlage 3
10.10.23.2-40 255.255.255.0
anlage 4
10.10.24.2-?? 255.255.255.0
ok aber ich möchte jetzt mal noch einen schritt weiter gehen, die fehler meldungen der Anlagen sind nur auf den jeweiligen Anlagenrechner zu sehen, wir möchten einen Melderechner schaffen der in der Warte Mechanik steht und der muß dann auf alle Anlagenrechner zugreifen können.
Und wie gesagt bei Störung soll man dann über VPN in die einzelnen Anlagen einblick kriegen.
Hallo,
vielleicht keannst du deine Infrastruktur mal ein wenig genauer beschreiben.
Du hast drei Produktslinien die du überwachen willst.
Also ein Linien Management System.
Sobald wir etwas mehr über deine Infrastruktur wissen kann man vielleicht ein konzept erarbeiten.
brammer
vielleicht keannst du deine Infrastruktur mal ein wenig genauer beschreiben.
Du hast drei Produktslinien die du überwachen willst.
Also ein Linien Management System.
Sobald wir etwas mehr über deine Infrastruktur wissen kann man vielleicht ein konzept erarbeiten.
brammer
Hi,
Na da hat sich doch wieder mal einer exact an die RFC 1918 gehalten.
Naja, wenigstens wurde eine Private Adresse verwendet.
Wenn Die Fehlermeldungen nur auf den Anlagen zu sehen sind, wie erhält der Melderechner die Fehlermeldungen?
Entweder hängst Du dir einen Server zwischen VPN und dein Netz und lässt diesen Routen.
Oder Du verwendest einen Router mit VPN Option und der Möglichkeit statische Routen einzutragen.
Gruß
Helmut
Na da hat sich doch wieder mal einer exact an die RFC 1918 gehalten.
Naja, wenigstens wurde eine Private Adresse verwendet.
Wenn Die Fehlermeldungen nur auf den Anlagen zu sehen sind, wie erhält der Melderechner die Fehlermeldungen?
Entweder hängst Du dir einen Server zwischen VPN und dein Netz und lässt diesen Routen.
Oder Du verwendest einen Router mit VPN Option und der Möglichkeit statische Routen einzutragen.
Gruß
Helmut
genau so sieht es aus sind produktionslinien,
sieht so aus das in den Anlagen mehrere Simatric´s (sind ip Träger)sind die durch das jeweilige netz verbnden und dies zur komunikation brauchen, pro Anlage ist ein Anlagenrechner Installiert wo auch die Visualisierungssteuerung drauf läuft (Wonderware Intouch).
Das problem was ich habe ist das wonderware nach ausage, nicht in verschiedene netzen arbeiten kann (komunikation) nur in ein netz, unsere idee war die netze ergendwie koppeln und so hätten wir dann nur ein netz wo meine Visualisierung drauf laufen könnte.
ich hoffe das versteht ihr so, oder braucht ihr noch mehr info.
ich war schon am überlegen in jedem rechner eine netzwerkkarte mehr einzusetzen und hätte so ein eigenes netz, auf alle rechner eine sql datenbank drauf und mit dem neuen rechner auf diese daten zugreifen, aber damit ist das VPN problem nicht gelöst. normal ist es kein problem, jede anlage eine billig flat (Statische IP) und VPN zu allen Anlagen fertig. aber diese Anlagen stehen in Kolumbien und da ist der Preis für einen Statische Zugang 2000 Doller, wollen KEINE 8TDoller im Monat ausgeben.
sieht so aus das in den Anlagen mehrere Simatric´s (sind ip Träger)sind die durch das jeweilige netz verbnden und dies zur komunikation brauchen, pro Anlage ist ein Anlagenrechner Installiert wo auch die Visualisierungssteuerung drauf läuft (Wonderware Intouch).
Das problem was ich habe ist das wonderware nach ausage, nicht in verschiedene netzen arbeiten kann (komunikation) nur in ein netz, unsere idee war die netze ergendwie koppeln und so hätten wir dann nur ein netz wo meine Visualisierung drauf laufen könnte.
ich hoffe das versteht ihr so, oder braucht ihr noch mehr info.
ich war schon am überlegen in jedem rechner eine netzwerkkarte mehr einzusetzen und hätte so ein eigenes netz, auf alle rechner eine sql datenbank drauf und mit dem neuen rechner auf diese daten zugreifen, aber damit ist das VPN problem nicht gelöst. normal ist es kein problem, jede anlage eine billig flat (Statische IP) und VPN zu allen Anlagen fertig. aber diese Anlagen stehen in Kolumbien und da ist der Preis für einen Statische Zugang 2000 Doller, wollen KEINE 8TDoller im Monat ausgeben.
wenn die netze gekoppelt sind, muß ich den simatrics namen geben wie A1S1 (Anlage1Simatic1) und soweiter, so kann ich mich mit ihnen verbinden aber nur wenn es ein netz ist, oder kann man ein neues netz erschaffen aus der koppelung, ich war schon am überlegen mit sql servern auf den jeweiligen Anlagenrechnern zu arbeiten.
Hi,
So wie von dir im Beitrag editiert, würde ich es machen.
Allerdings würde ich nicht 4 NIC in den ISA einbauen sondern nur 2, eine zum VPN und eine per Switch mit dem internen Netz verbinden.
Es geht aber auch so wie gezeichnet.
Gruß
Helmut
So wie von dir im Beitrag editiert, würde ich es machen.
Allerdings würde ich nicht 4 NIC in den ISA einbauen sondern nur 2, eine zum VPN und eine per Switch mit dem internen Netz verbinden.
Es geht aber auch so wie gezeichnet.
Gruß
Helmut
Achtung: Doppelthread zu:
produktion Netze Koppeln
Dort steht wie man es richtig macht...
@compispezi
Das klappt NICHT mit 2 Karten, denn wie du oben ja selber sehen kannst sind alle 10er Netze mit 24 Bit Masken ausgestattet. Damit ist jedes Anlagennetz ein eigenes IP Segment und muss auch geroutet werden über ein Layer 3 Device !!!
Verbindest du alle auf einem dummen L2 Switch können sie nicht mehr kommunizieren und ein remoter Zugang wäre ebenfalls unmöglich.
Der Tip mit nur 2 Karten ist also von gleich vorn herein zum Scheitern verurteilt
produktion Netze Koppeln
Dort steht wie man es richtig macht...
@compispezi
Das klappt NICHT mit 2 Karten, denn wie du oben ja selber sehen kannst sind alle 10er Netze mit 24 Bit Masken ausgestattet. Damit ist jedes Anlagennetz ein eigenes IP Segment und muss auch geroutet werden über ein Layer 3 Device !!!
Verbindest du alle auf einem dummen L2 Switch können sie nicht mehr kommunizieren und ein remoter Zugang wäre ebenfalls unmöglich.
Der Tip mit nur 2 Karten ist also von gleich vorn herein zum Scheitern verurteilt
Hi,
ISA läuft meines Wissens auf Windows Server und dort kann man ja wohl unter Routing und RAS die statischen Routen eintragen.
Gruß
Helmut
ISA läuft meines Wissens auf Windows Server und dort kann man ja wohl unter Routing und RAS die statischen Routen eintragen.
Gruß
Helmut
Aber nur dann wenn der ISA Server auch 4 Karten hat (oder eine mit 4 virtuellen Interfaces, wenn man eine benutzt im ISA), nämlich für jedes der 4 10er IP Subnetze eine.
Dann wäre aber auch das Eintragen von statischen Routen kompletter Blödsinn, denn die 4 IP Netze sind dann ja am Server direkt angeschlossen so das statische Routen überflüssiger Unsinn wären, da der Server ja dann direkt routen kann, da er alle Netze kennt.
Statische Routen sind nur nötig auf Routern für Netze die der Router nicht kennt und eine Wegefindung dafür benötigt !
Alle 4 IP Netze auf einem Layer 2 Switch zu betreiben ist IP technisch nicht möglich, denn dann helfen auch noch so viele statische Routen nicht, da sich die Netze untereinander nicht sehen durch die unterschiedlichen IP Netzadressen und eine Kommunikation ohne Router unmöglich ist !
Dann wäre aber auch das Eintragen von statischen Routen kompletter Blödsinn, denn die 4 IP Netze sind dann ja am Server direkt angeschlossen so das statische Routen überflüssiger Unsinn wären, da der Server ja dann direkt routen kann, da er alle Netze kennt.
Statische Routen sind nur nötig auf Routern für Netze die der Router nicht kennt und eine Wegefindung dafür benötigt !
Alle 4 IP Netze auf einem Layer 2 Switch zu betreiben ist IP technisch nicht möglich, denn dann helfen auch noch so viele statische Routen nicht, da sich die Netze untereinander nicht sehen durch die unterschiedlichen IP Netzadressen und eine Kommunikation ohne Router unmöglich ist !
Wenn mans ganz simpel halten will und eine Trennung der Anlagen auf IP Ebene nicht notwendig ist (soll ja vorkommen dass es Leute gerne einfach haben..), kaufe man einfach nen Dreytec VPN DSL Router, erweitere die LAN Ports mit nem Switch und verbinde alle Geräte mit dem Switch und aus die Maus. Die Netze werden dann mit nem simplen Ändern der Netzmaske auf 255.0.0.0 miteinander verschwägert und leben glücklich zusammen bis der Switchtod sie scheidet...
Über den Dreytec greift der Supporter Ihres Vertrauens per VPN zu (oder man macht gar ne RDP oder ULtraVNC Verbindung auf nen internen Management-PC und braucht garkein VPN... noch einfacher) und alle sind glücklich (ausser Microsaft da sie keinen ISA losgeworden sind..).
Über den Dreytec greift der Supporter Ihres Vertrauens per VPN zu (oder man macht gar ne RDP oder ULtraVNC Verbindung auf nen internen Management-PC und braucht garkein VPN... noch einfacher) und alle sind glücklich (ausser Microsaft da sie keinen ISA losgeworden sind..).
"Draytek" schreibt man den Hersteller...aber das nur nebenbei !
Das wäre in der Tat auch ein gangbarer Weg um es alles simpel zu halten. Allerdings muss er dafür alle Endgeräte anfassen in der Adressierunng.
Ggf. ist diese Design aber auch aus Sicherheitsgründen so gewollt, was auch Sinn macht.
So oder so sollten man hier aber nicht weitermachen denn dies ist wieder ein Doppelpost zu:
Produktions Netzwerk
Das wäre in der Tat auch ein gangbarer Weg um es alles simpel zu halten. Allerdings muss er dafür alle Endgeräte anfassen in der Adressierunng.
Ggf. ist diese Design aber auch aus Sicherheitsgründen so gewollt, was auch Sinn macht.
So oder so sollten man hier aber nicht weitermachen denn dies ist wieder ein Doppelpost zu:
Produktions Netzwerk
ich darf am netzwerk nichts aendern, bedingt durch die siuemens steuerung.
daher ist es nicht so einfach.
daher ist es nicht so einfach.
Mit der o.a. Anleitung musst du auch am Netzwerk nichts ändern, das ist ja gerade der Sinn dieser Beschreibung bzw. dieses vorgestellten Designs !!
Von jedem der Hallensubnetze ziehst du lediglich ein Netzwerk Kabel auf den zentralen Serverraum Switch und das wars... Das ist reine Verkabelung, an der logischen und IP Adresseinstellung muss nichts verändert werden...wozu auch sie ist ja gar nicht so schlecht..???
Technisch am besten ist es nur wenn du zentral routest und das mit einem einfachen L3 Routing Switch im Serverraum.
Wenn das aus irgendwelchen unerfindlichen Gründen, die nicht nachvollziehbar sind, nicht geht, bleibt dir eh nur die Möglichkeit das über einen Server zu machen. Dann am besten über die Möglichkeit einer Netzkarte im Server die 802.1q tagged Links supportet um dir das Installieren zahlloser (und eigentlich überflüssiger) Netzwerkkarten zu ersparen.
(Natürlich funktioniert es auch mit separaten Karten ist nur ebenfalls überflüssiger technischer Overkill, der nicht sein muss bei Verwendung von VLAN Switches.
Einfache VLAN fähige Layer 2 Netzwerk Switches benötigst du aber in jedem Falle, sonst ist dein Vorhaben technisch so überhaupt nicht umzusetzen.
Es sei denn du kaufst für jedes der Subnetze einzelne Switches was natürlich aus Investitionssicht vollkommener Blödsinn ist, denn genau dafür nutzt man ja VLANs !!!
Du solltest aber besser diesen Thread schliessen und besser alles über:
Produktions Netzwerk
abwickeln, sonst posten wir in 3 Monaten noch alles doppelt zu diesem Thread !!!!
Von jedem der Hallensubnetze ziehst du lediglich ein Netzwerk Kabel auf den zentralen Serverraum Switch und das wars... Das ist reine Verkabelung, an der logischen und IP Adresseinstellung muss nichts verändert werden...wozu auch sie ist ja gar nicht so schlecht..???
Technisch am besten ist es nur wenn du zentral routest und das mit einem einfachen L3 Routing Switch im Serverraum.
Wenn das aus irgendwelchen unerfindlichen Gründen, die nicht nachvollziehbar sind, nicht geht, bleibt dir eh nur die Möglichkeit das über einen Server zu machen. Dann am besten über die Möglichkeit einer Netzkarte im Server die 802.1q tagged Links supportet um dir das Installieren zahlloser (und eigentlich überflüssiger) Netzwerkkarten zu ersparen.
(Natürlich funktioniert es auch mit separaten Karten ist nur ebenfalls überflüssiger technischer Overkill, der nicht sein muss bei Verwendung von VLAN Switches.
Einfache VLAN fähige Layer 2 Netzwerk Switches benötigst du aber in jedem Falle, sonst ist dein Vorhaben technisch so überhaupt nicht umzusetzen.
Es sei denn du kaufst für jedes der Subnetze einzelne Switches was natürlich aus Investitionssicht vollkommener Blödsinn ist, denn genau dafür nutzt man ja VLANs !!!
Du solltest aber besser diesen Thread schliessen und besser alles über:
Produktions Netzwerk
abwickeln, sonst posten wir in 3 Monaten noch alles doppelt zu diesem Thread !!!!