ralf.beckmann
Goto Top

Standortübergreifendes Routing ohne Default Gateway bei den Clients

Hallo zusammen,

einer unserer Kunden baut gerade ein standortübergreifendes, geroutetes Netz auf.
Hier gibt es seitens der SPS Welt ein Problem.
Ein Typ der SPS kann nicht mit einem Gateway versehen werden, soll aber mehrere Verbindungen mit anderen SPSen auf mehreren Standorten herstellen.
Wie könnte man das denn wohl am besten lösen?

Content-Key: 238044

Url: https://administrator.de/contentid/238044

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.05.2014 um 12:53:32 Uhr
Goto Top
Hallo,

was ist denn ein Typ der SPS?

Komplett unabhängig: Du wirst ohne Routen nicht auf fremde Netze zugreifen können, anders funktioniert eine VPN leider nicht.

Grüße
Mitglied: ralf.beckmann
ralf.beckmann 14.05.2014 um 12:57:57 Uhr
Goto Top
Eine Siemens F-SPS. Laut Siemens können die nicht routen.
Im Kopf habe ich gerade das ganze standortübergreifend mittels VLANs zu lösen, dann sollte das funktionieren. Zumindest in meinem Kopf :D
Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.05.2014 um 12:59:44 Uhr
Goto Top
Ich würde gerne vom Gegenteil überzeugt werden, aber mMn geht auch das leider nicht.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 14.05.2014 aktualisiert um 13:18:12 Uhr
Goto Top
Zitat von @ralf.beckmann:


Ein Typ der SPS kann nicht mit einem Gateway versehen werden, soll aber mehrere Verbindungen mit anderen SPSen auf mehreren
Standorten herstellen.

Ohne Gateway geht das schlecht. wie soll die SPS denn sonst wissen, welchem System im lokalen IP-Netz sie das Paket geben muß, damit das weitergeleitet wird. Es könnte natürlich auch Kommentar oben nicht annehme.

Wie könnte man das denn wohl am besten lösen?

Mehre Möglichkeiten:

  • Stell einfach eine Kiste (z.B. RasPi) in Dein Netz, das 1:1-NAT von lokalen Adressen zu Adressen im VPN übersetzt.
  • Leg ein Layer2-VPN über Das Kundennetz. Das dürfte aber wegen der Broadcasts und ggf. IP-Konflikten meist zu Problemen führen.

lks
Mitglied: AndiEoh
AndiEoh 14.05.2014 um 13:19:26 Uhr
Goto Top
Hallo,

also "routen" müssen sie eigentlich nicht können sondern lediglich ein Default Gateway ermöglichen, das kann jeder Netzwerkdrucker....
Falls die tatsächlich nur ein flaches Netz können wäre noch D-NAT auf einer extra Maschine/Router möglich, das ist aber wirklich hässlich.

Gruß

Andi
Mitglied: psannz
Lösung psannz 14.05.2014 aktualisiert um 14:12:43 Uhr
Goto Top
Zitat von @ralf.beckmann:

Eine Siemens F-SPS. Laut Siemens können die nicht routen.
Im Kopf habe ich gerade das ganze standortübergreifend mittels VLANs zu lösen, dann sollte das funktionieren. Zumindest
in meinem Kopf :D

Sers,

mit Mikrotik lässt sich deine VLAN Idee umsetzen. Hier mal die Basis.

Alternativ - speziell wenn du auf Layer2 setzen musst - ist EoIP noch eine Möglichkeit.

Grüße,
Philip
Mitglied: psannz
psannz 14.05.2014 um 17:47:25 Uhr
Goto Top
Wäre nett wenn du, @ralf-beckmann, nachdem für dich das Problem gelöst ist, uns noch berichten könntest auf welchem Wege du dein Problem nun in den Griff bekommen hast, und ob auch alles so geklappt hat wie du es dir vorgestellt hast.

Danke dir schon mal im Voraus. face-smile
Mitglied: ralf.beckmann
ralf.beckmann 14.05.2014 um 17:49:52 Uhr
Goto Top
Alles klar, das dauert aber noch ein wenig. Die Netzwerktechnik beim Kunden ist noch in der Ausschreibung.
Mitglied: brammer
brammer 15.05.2014 um 07:40:58 Uhr
Goto Top
Hallo,

Kannst bitte mal die genaue Typenbezeichnung der Siemens SPS posten?
Laur unseres Siemens Vertrieblers gibt es keine SPS die nicht mit einem Gateway umgehen kann...

Bei der S7 muss z.B. der Haken gesetzt werden bei "Router verwenden" dort wird dann die Gateway IP Adresse eingetragen....

Brammer
Mitglied: ralf.beckmann
ralf.beckmann 15.05.2014 um 08:24:37 Uhr
Goto Top
Das betrifft auch nicht die SPS an sich, sondern da wird eine sichere Verbindung aufgebaut zwischen den SPSen und das Sicherheitsprotokoll der F-Technik kann das nicht.
Mitglied: brammer
brammer 15.05.2014 aktualisiert um 12:53:45 Uhr
Goto Top
Hallo,

Mitte 2014 und Siemens hat IPv4 immer noch nicht begriffen....

Das lässt mich hoffen...das ich mich bis zur Rente nicht mehr mit IPv6 im Maschinennetz beschäftigen muss... also noch gut über 20 Jahre face-smile


Lässt sich nun auf der SPS ein Gateway eintragen oder nicht?
Und, was soll das

Sicherheitsprotokoll der F-Technik

den für ein Protokoll sein?

brammer
Mitglied: ralf.beckmann
ralf.beckmann 15.05.2014 um 13:15:30 Uhr
Goto Top
Das ist ein proprietäres Protokoll zwischen den F-Baugruppen, und das ist laut Siemens nicht routingfähig.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 15.05.2014 um 13:29:02 Uhr
Goto Top
Zitat von @ralf.beckmann:

Das ist ein proprietäres Protokoll zwischen den F-Baugruppen, und das ist laut Siemens nicht routingfähig.

Wird doch nicht etwa NetBEUI oder gar ArcNET sein? face-smile

lks
Mitglied: ralf.beckmann
ralf.beckmann 15.05.2014 um 13:31:25 Uhr
Goto Top
Ich glaube dann muesste ich eine Vorstandsbeschwerde auslösen :DDD
Mitglied: aqui
aqui 15.05.2014 aktualisiert um 15:11:14 Uhr
Goto Top
Das ist ein proprietäres Protokoll zwischen den F-Baugruppen, und das ist laut Siemens nicht routingfähig.
Aber es ist ein Ethernet Frame, richtig ? Oder machen die auf dem Ethernet was Siemens proprietäres ?
Auch wenn dem so ist ist das doch überhaupt kein Problem das über ein geroutetes Netzwerk zu übertragen.

Was du brauchst ist einen kleiner Router (oder auch ein großer) der VPLS als Feature versteht. Das ist eine Layer 2 Emulation über geroutete Layer 3 Netze hinweg !
So kannst du alle SPS über alle Standorte über ein VPLS VLAN im Layer 2 transparent verbinden und dann "sehen" sich alle SPSen wieder weil sie "denken" sie sind in einem gemeinsamen Ethernet Segment. Es ist quasi sowas wie ein Layer 2 VPN.
Ein simpler Klassiker und der o.a. genannte Mikrotik 750 macht dir das für popelige 35 Euro pro Standort !

Wo ist also dein wirkliches Problem ?
Mitglied: erco123
erco123 21.05.2014 um 18:48:47 Uhr
Goto Top
Also, du kannst bei der Siemens F-CPU ein Gateway eingeben, so wie weiter oben schon geschrieben. Was nicht funktioniert ist eine Profinet (F) Kopplung über den VPN. Ich hoffe mal stark, das du keine sicheren Signale über die Standorte verteilen willst. Dies macht ja auch keinen Sinn.
Datenübertragung über den VPN auf andere SPSen z.B. mittles FB14 und FB15 ist aber problemlos möglich.
Mitglied: ralf.beckmann
ralf.beckmann 22.05.2014 um 08:09:43 Uhr
Goto Top
Sauber. Das habe ich gebraucht. Und genau das ist die Anforderung. Es MÜSSEN sichere Signale über mehrere Standorte geschickt werden, das hat selbst der TÜV im Vorfeld schon abgenommen, nur Siemens kam erst ganz spät damit um die Ecke, obwohl die in die Planung involviert waren.
Also keine Chance???
Mitglied: erco123
erco123 23.05.2014 um 01:03:17 Uhr
Goto Top
Darf ich mal fragen, was die Anwendung ist? Ich kann mir nämlich absolut keine Anwendung vorstellen, wo es Sinn macht "sichere" Signale um den Planeten zu schicken...
Prinzipiell ist aber eine sicherheitsgerichtete Kommunikation zwischen F-CPUs ja möglich, allerdings heißt es von Siemens:
"Sicherheitsgerichtete CPU-CPU-Kommunikation ist nicht über öffentliche Netzwerke zulässig."
Mitglied: ralf.beckmann
ralf.beckmann 23.05.2014 aktualisiert um 08:12:07 Uhr
Goto Top
Es gibt mehrere Bedienplätze einer Leitzentrale mit einer Sicherheitsstoppfunktion und F-SPS, die flexibel 18 Gewerken zugeordet werden, je nachdem welche man überwachen will/muss. Heißt, bei der aktuell in Überwachung befindlichen Steuerung wird zwischen der F-SPS und der Zentrale und des Gewerks eine Verbindung aufgebaut, die eine Sicherheitsfunktion (Not-Halt) verknüpft.
Es ist ja keine öffentliche Leitung zwischen den Standorten. Sind betriebseigene Glasfasern, allerdings standortbezogen geroutet.
Mitglied: erco123
erco123 23.05.2014 um 10:21:57 Uhr
Goto Top
Ahh OK. Dann sieht das schon ganz anders aus.
Kannst du nicht die zentrale SPS mit entsprechenden CPs ausstatten, und die "physikalisch" direkt mit den einezelnen Standorten verbinden? Alternativ sofern freie Adern in den LWL Strecken, vorhanden sind ein eigenes "sicheres" Netzwerk dafür aufbauen?
Mitglied: ralf.beckmann
ralf.beckmann 23.05.2014 um 11:31:44 Uhr
Goto Top
Genau das geht halt nicht, weil die die Hardware und die Netze mehrfach redundant ausgelegt sind und sich das Netz durch halb Rheinland-Pfalz ziehen von den Strecken her.
Also technisch sicher machbar, aber nicht gewünscht...Und würde sicher auch richtig teuer seitens der Hardware.
Mitglied: aqui
aqui 23.05.2014 um 14:39:26 Uhr
Goto Top
Und würde sicher auch richtig teuer seitens der Hardware.
Nein, das ist Unsinn. Am einfachsten erledigt das ein Mikrotik 750er Router:
Mikrotik RB750 - Quick Review
Kostets 30 Euro und supportet VPLS. Damit wäre das sehr preiswert über ganz Rheinland Pfalz zu lösen...wenn man denn will !
Mitglied: erco123
erco123 23.05.2014 um 14:53:11 Uhr
Goto Top
Möglichkeit wäre das bestimmt.
Ich kann mir aber nicht vorstellen, das diese Lösung offiziell irgendwie freigegben ist.

Eine professionellere, und vorallem Industrielle Lösung wäre wohl ein Router wie z.B. hier beschrieben.
http://www.insys-icom.de/bausteine.net/f/10325/CG_de_Verbinden_zweier_S ...
Dieser unterstützt offizielle S7-Verbindungen...

Würde das jetzt ja gerne mal im Versuch ausprobieren... hab aber leider keine F-CPUs hier... face-sad
Mitglied: aqui
aqui 23.05.2014 um 15:13:06 Uhr
Goto Top
das diese Lösung offiziell irgendwie freigegben ist.
WAS bitte meinst du genau damit ??
VPLS ist eine weltweit standardtisierte Layer 2 Bridging Tunneltechnologie wie PPTP, IPsec oder ähnlich. Ethernet Pakete die damit übertragen werden "denken" sie laufen über eine einfache Bridge !

Was soll also "offiziell freigegeben" bitte bedeuten ?!? Es ist ja sicher auch offiziell freigegeben diese Frames über einen Switch oder ein Kupferkabel zu übertragen.
Oder meinst du das das firmenintern "freigegeben" sein muss solche Anwendung...das ist dann natürlich eine andere Sache...wäre aber genauso unverständlich wenn es schnell und unkompliziert dein Problem bzw. deine Anforderung löst ?!
Mitglied: erco123
erco123 23.05.2014 aktualisiert um 16:41:52 Uhr
Goto Top
Schon klar. Aber hier geht es um Schutz von Personen. Wenn der TO hier z.B. Not-Halt Funktionen realisieren will, die ggf. Personen vor Verletzungen oder Tod schützen müssen würde ich dies nicht auf Basis eines 50€ Routerboards aufbauen wollen.
Die dafür eingesetzten Komponeneten sind alle geprüft und zertifiziert und erfüllen die notwendige Kategorie um es für solche Anwendungen zu verwenden. Für Safety Anwendungen hab ich auch keine geeigneten Router gefunden. Dies ist auch so nicht gewünscht/vorgesehen. Macht für mich auch wenig sinn, da ja kein direkter Einblick in die Anlage möglich ist.... aber dennoch - wenn so was realisiert wird, dann bitte mit Industrie-Komponenten und nicht mit Routerboards...
Schätzungsweise reden wir momentan von Anlagen im Gesamtwert >50 Millionen Euro, da kommt es auf ein paar Euro für ne Industielle Lösung sicher nicht an.
Mitglied: aqui
aqui 23.05.2014 aktualisiert um 17:20:51 Uhr
Goto Top
würde ich dies nicht auf Basis eines 50€ Routerboards aufbauen wollen.
Das mag psychologisch natürlich richtig sein technisch ist das diskussionswürdig. Aber so oder so... dafür gibts ja dann auch den 300 Euro Cisco Router der das exakt genauso macht aber den TO vielleicht etwas ruhiger schlafen lässt un puncto Verlässlichkeit und Nachhaltigkeit, denn wer Cisco kauft macht ja bekanntlich nix falsch !
Das Cisco alle Zertifizierungen usw. hat steht ja außer Frage und die Mehrkosten spielen da dann bei dem o.a. Gesamtvolumen auch keinerlei Rolle mehr, klar. Im Gegenteil da kann man dann ja auch ein 1000 Euro Modell nehmen um ganz sicher zu gehen und wirklich alle Anforderungen an diese Infrastruktur sicher zu supporten. Inklusive Wartung usw.

Generell ist diese Anforderung an so eine geartete Netzwerk Infrastruktur it einer Layer 2 Emulation über WAN Links ja mit der richtigen Netzwerkhardware und diesen Mechanismen vollkommen einfach und problemlos zu lösen. Mal ganz abgesehen von den Einzelkosten der Komponenten ist das ja ein simples Allerweltsszenario im SP Bereich.
Die grundlegende Frage die hier aber immer mehr durchkommt ist ob man das denn wirklich will oder eben deine obigen anderen Argumente generell dagegen sprechen.
Dann aber muss man den Umkehrschluss ziehen und sagen das das grundlegende Konzept schlicht falsch ist und die Infrastruktur Planung ja generell vollkommen falsch ist und neu überdacht werden muss !