Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Standortübergreifendes Routing ohne Default Gateway bei den Clients

Frage Netzwerke Router & Routing

Mitglied: ralf-beckmann

ralf-beckmann (Level 1) - Jetzt verbinden

14.05.2014, aktualisiert 14:12 Uhr, 2670 Aufrufe, 26 Kommentare, 1 Danke

Hallo zusammen,

einer unserer Kunden baut gerade ein standortübergreifendes, geroutetes Netz auf.
Hier gibt es seitens der SPS Welt ein Problem.
Ein Typ der SPS kann nicht mit einem Gateway versehen werden, soll aber mehrere Verbindungen mit anderen SPSen auf mehreren Standorten herstellen.
Wie könnte man das denn wohl am besten lösen?
26 Antworten
Mitglied: certifiedit.net
14.05.2014 um 12:53 Uhr
Hallo,

was ist denn ein Typ der SPS?

Komplett unabhängig: Du wirst ohne Routen nicht auf fremde Netze zugreifen können, anders funktioniert eine VPN leider nicht.

Grüße
Bitte warten ..
Mitglied: ralf-beckmann
14.05.2014 um 12:57 Uhr
Eine Siemens F-SPS. Laut Siemens können die nicht routen.
Im Kopf habe ich gerade das ganze standortübergreifend mittels VLANs zu lösen, dann sollte das funktionieren. Zumindest in meinem Kopf :D
Bitte warten ..
Mitglied: certifiedit.net
14.05.2014 um 12:59 Uhr
Ich würde gerne vom Gegenteil überzeugt werden, aber mMn geht auch das leider nicht.
Bitte warten ..
Mitglied: Lochkartenstanzer
14.05.2014, aktualisiert um 13:18 Uhr
Zitat von ralf-beckmann:


Ein Typ der SPS kann nicht mit einem Gateway versehen werden, soll aber mehrere Verbindungen mit anderen SPSen auf mehreren
Standorten herstellen.

Ohne Gateway geht das schlecht. wie soll die SPS denn sonst wissen, welchem System im lokalen IP-Netz sie das Paket geben muß, damit das weitergeleitet wird. Es könnte natürlich auch ICMP Router Advertisements auswerten, was ich aber aufgrund dem Kommentar oben nicht annehme.

Wie könnte man das denn wohl am besten lösen?

Mehre Möglichkeiten:

  • Stell einfach eine Kiste (z.B. RasPi) in Dein Netz, das 1:1-NAT von lokalen Adressen zu Adressen im VPN übersetzt.
  • Leg ein Layer2-VPN über Das Kundennetz. Das dürfte aber wegen der Broadcasts und ggf. IP-Konflikten meist zu Problemen führen.

lks
Bitte warten ..
Mitglied: AndiEoh
14.05.2014 um 13:19 Uhr
Hallo,

also "routen" müssen sie eigentlich nicht können sondern lediglich ein Default Gateway ermöglichen, das kann jeder Netzwerkdrucker....
Falls die tatsächlich nur ein flaches Netz können wäre noch D-NAT auf einer extra Maschine/Router möglich, das ist aber wirklich hässlich.

Gruß

Andi
Bitte warten ..
Mitglied: psannz
LÖSUNG 14.05.2014, aktualisiert um 14:12 Uhr
Zitat von ralf-beckmann:

Eine Siemens F-SPS. Laut Siemens können die nicht routen.
Im Kopf habe ich gerade das ganze standortübergreifend mittels VLANs zu lösen, dann sollte das funktionieren. Zumindest
in meinem Kopf :D

Sers,

mit Mikrotik lässt sich deine VLAN Idee umsetzen. Hier mal die Basis.

Alternativ - speziell wenn du auf Layer2 setzen musst - ist EoIP noch eine Möglichkeit.

Grüße,
Philip
Bitte warten ..
Mitglied: psannz
14.05.2014 um 17:47 Uhr
Wäre nett wenn du, @ralf-beckmann, nachdem für dich das Problem gelöst ist, uns noch berichten könntest auf welchem Wege du dein Problem nun in den Griff bekommen hast, und ob auch alles so geklappt hat wie du es dir vorgestellt hast.

Danke dir schon mal im Voraus.
Bitte warten ..
Mitglied: ralf-beckmann
14.05.2014 um 17:49 Uhr
Alles klar, das dauert aber noch ein wenig. Die Netzwerktechnik beim Kunden ist noch in der Ausschreibung.
Bitte warten ..
Mitglied: brammer
15.05.2014 um 07:40 Uhr
Hallo,

Kannst bitte mal die genaue Typenbezeichnung der Siemens SPS posten?
Laur unseres Siemens Vertrieblers gibt es keine SPS die nicht mit einem Gateway umgehen kann...

Bei der S7 muss z.B. der Haken gesetzt werden bei "Router verwenden" dort wird dann die Gateway IP Adresse eingetragen....

Brammer
Bitte warten ..
Mitglied: ralf-beckmann
15.05.2014 um 08:24 Uhr
Das betrifft auch nicht die SPS an sich, sondern da wird eine sichere Verbindung aufgebaut zwischen den SPSen und das Sicherheitsprotokoll der F-Technik kann das nicht.
Bitte warten ..
Mitglied: brammer
15.05.2014, aktualisiert um 12:53 Uhr
Hallo,

Mitte 2014 und Siemens hat IPv4 immer noch nicht begriffen....

Das lässt mich hoffen...das ich mich bis zur Rente nicht mehr mit IPv6 im Maschinennetz beschäftigen muss... also noch gut über 20 Jahre



Lässt sich nun auf der SPS ein Gateway eintragen oder nicht?
Und, was soll das

Sicherheitsprotokoll der F-Technik

den für ein Protokoll sein?

brammer
Bitte warten ..
Mitglied: ralf-beckmann
15.05.2014 um 13:15 Uhr
Das ist ein proprietäres Protokoll zwischen den F-Baugruppen, und das ist laut Siemens nicht routingfähig.
Bitte warten ..
Mitglied: Lochkartenstanzer
15.05.2014 um 13:29 Uhr
Zitat von ralf-beckmann:

Das ist ein proprietäres Protokoll zwischen den F-Baugruppen, und das ist laut Siemens nicht routingfähig.

Wird doch nicht etwa NetBEUI oder gar ArcNET sein?

lks
Bitte warten ..
Mitglied: ralf-beckmann
15.05.2014 um 13:31 Uhr
Ich glaube dann muesste ich eine Vorstandsbeschwerde auslösen :DDD
Bitte warten ..
Mitglied: aqui
15.05.2014, aktualisiert um 15:11 Uhr
Das ist ein proprietäres Protokoll zwischen den F-Baugruppen, und das ist laut Siemens nicht routingfähig.
Aber es ist ein Ethernet Frame, richtig ? Oder machen die auf dem Ethernet was Siemens proprietäres ?
Auch wenn dem so ist ist das doch überhaupt kein Problem das über ein geroutetes Netzwerk zu übertragen.

Was du brauchst ist einen kleiner Router (oder auch ein großer) der VPLS als Feature versteht. Das ist eine Layer 2 Emulation über geroutete Layer 3 Netze hinweg !
So kannst du alle SPS über alle Standorte über ein VPLS VLAN im Layer 2 transparent verbinden und dann "sehen" sich alle SPSen wieder weil sie "denken" sie sind in einem gemeinsamen Ethernet Segment. Es ist quasi sowas wie ein Layer 2 VPN.
Ein simpler Klassiker und der o.a. genannte Mikrotik 750 macht dir das für popelige 35 Euro pro Standort !

Wo ist also dein wirkliches Problem ?
Bitte warten ..
Mitglied: erco123
21.05.2014 um 18:48 Uhr
Also, du kannst bei der Siemens F-CPU ein Gateway eingeben, so wie weiter oben schon geschrieben. Was nicht funktioniert ist eine Profinet (F) Kopplung über den VPN. Ich hoffe mal stark, das du keine sicheren Signale über die Standorte verteilen willst. Dies macht ja auch keinen Sinn.
Datenübertragung über den VPN auf andere SPSen z.B. mittles FB14 und FB15 ist aber problemlos möglich.
Bitte warten ..
Mitglied: ralf-beckmann
22.05.2014 um 08:09 Uhr
Sauber. Das habe ich gebraucht. Und genau das ist die Anforderung. Es MÜSSEN sichere Signale über mehrere Standorte geschickt werden, das hat selbst der TÜV im Vorfeld schon abgenommen, nur Siemens kam erst ganz spät damit um die Ecke, obwohl die in die Planung involviert waren.
Also keine Chance???
Bitte warten ..
Mitglied: erco123
23.05.2014 um 01:03 Uhr
Darf ich mal fragen, was die Anwendung ist? Ich kann mir nämlich absolut keine Anwendung vorstellen, wo es Sinn macht "sichere" Signale um den Planeten zu schicken...
Prinzipiell ist aber eine sicherheitsgerichtete Kommunikation zwischen F-CPUs ja möglich, allerdings heißt es von Siemens:
"Sicherheitsgerichtete CPU-CPU-Kommunikation ist nicht über öffentliche Netzwerke zulässig."
Bitte warten ..
Mitglied: ralf-beckmann
23.05.2014, aktualisiert um 08:12 Uhr
Es gibt mehrere Bedienplätze einer Leitzentrale mit einer Sicherheitsstoppfunktion und F-SPS, die flexibel 18 Gewerken zugeordet werden, je nachdem welche man überwachen will/muss. Heißt, bei der aktuell in Überwachung befindlichen Steuerung wird zwischen der F-SPS und der Zentrale und des Gewerks eine Verbindung aufgebaut, die eine Sicherheitsfunktion (Not-Halt) verknüpft.
Es ist ja keine öffentliche Leitung zwischen den Standorten. Sind betriebseigene Glasfasern, allerdings standortbezogen geroutet.
Bitte warten ..
Mitglied: erco123
23.05.2014 um 10:21 Uhr
Ahh OK. Dann sieht das schon ganz anders aus.
Kannst du nicht die zentrale SPS mit entsprechenden CPs ausstatten, und die "physikalisch" direkt mit den einezelnen Standorten verbinden? Alternativ sofern freie Adern in den LWL Strecken, vorhanden sind ein eigenes "sicheres" Netzwerk dafür aufbauen?
Bitte warten ..
Mitglied: ralf-beckmann
23.05.2014 um 11:31 Uhr
Genau das geht halt nicht, weil die die Hardware und die Netze mehrfach redundant ausgelegt sind und sich das Netz durch halb Rheinland-Pfalz ziehen von den Strecken her.
Also technisch sicher machbar, aber nicht gewünscht...Und würde sicher auch richtig teuer seitens der Hardware.
Bitte warten ..
Mitglied: aqui
23.05.2014 um 14:39 Uhr
Und würde sicher auch richtig teuer seitens der Hardware.
Nein, das ist Unsinn. Am einfachsten erledigt das ein Mikrotik 750er Router:
http://www.administrator.de/wissen/mikrotik-rb750-quick-review-124700.h ...
Kostets 30 Euro und supportet VPLS. Damit wäre das sehr preiswert über ganz Rheinland Pfalz zu lösen...wenn man denn will !
Bitte warten ..
Mitglied: erco123
23.05.2014 um 14:53 Uhr
Möglichkeit wäre das bestimmt.
Ich kann mir aber nicht vorstellen, das diese Lösung offiziell irgendwie freigegben ist.

Eine professionellere, und vorallem Industrielle Lösung wäre wohl ein Router wie z.B. hier beschrieben.
http://www.insys-icom.de/bausteine.net/f/10325/CG_de_Verbinden_zweier_S ...
Dieser unterstützt offizielle S7-Verbindungen...

Würde das jetzt ja gerne mal im Versuch ausprobieren... hab aber leider keine F-CPUs hier...
Bitte warten ..
Mitglied: aqui
23.05.2014 um 15:13 Uhr
das diese Lösung offiziell irgendwie freigegben ist.
WAS bitte meinst du genau damit ??
VPLS ist eine weltweit standardtisierte Layer 2 Bridging Tunneltechnologie wie PPTP, IPsec oder ähnlich. Ethernet Pakete die damit übertragen werden "denken" sie laufen über eine einfache Bridge !

Was soll also "offiziell freigegeben" bitte bedeuten ?!? Es ist ja sicher auch offiziell freigegeben diese Frames über einen Switch oder ein Kupferkabel zu übertragen.
Oder meinst du das das firmenintern "freigegeben" sein muss solche Anwendung...das ist dann natürlich eine andere Sache...wäre aber genauso unverständlich wenn es schnell und unkompliziert dein Problem bzw. deine Anforderung löst ?!
Bitte warten ..
Mitglied: erco123
23.05.2014, aktualisiert um 16:41 Uhr
Schon klar. Aber hier geht es um Schutz von Personen. Wenn der TO hier z.B. Not-Halt Funktionen realisieren will, die ggf. Personen vor Verletzungen oder Tod schützen müssen würde ich dies nicht auf Basis eines 50€ Routerboards aufbauen wollen.
Die dafür eingesetzten Komponeneten sind alle geprüft und zertifiziert und erfüllen die notwendige Kategorie um es für solche Anwendungen zu verwenden. Für Safety Anwendungen hab ich auch keine geeigneten Router gefunden. Dies ist auch so nicht gewünscht/vorgesehen. Macht für mich auch wenig sinn, da ja kein direkter Einblick in die Anlage möglich ist.... aber dennoch - wenn so was realisiert wird, dann bitte mit Industrie-Komponenten und nicht mit Routerboards...
Schätzungsweise reden wir momentan von Anlagen im Gesamtwert >50 Millionen Euro, da kommt es auf ein paar Euro für ne Industielle Lösung sicher nicht an.
Bitte warten ..
Mitglied: aqui
23.05.2014, aktualisiert um 17:20 Uhr
würde ich dies nicht auf Basis eines 50€ Routerboards aufbauen wollen.
Das mag psychologisch natürlich richtig sein technisch ist das diskussionswürdig. Aber so oder so... dafür gibts ja dann auch den 300 Euro Cisco Router der das exakt genauso macht aber den TO vielleicht etwas ruhiger schlafen lässt un puncto Verlässlichkeit und Nachhaltigkeit, denn wer Cisco kauft macht ja bekanntlich nix falsch !
Das Cisco alle Zertifizierungen usw. hat steht ja außer Frage und die Mehrkosten spielen da dann bei dem o.a. Gesamtvolumen auch keinerlei Rolle mehr, klar. Im Gegenteil da kann man dann ja auch ein 1000 Euro Modell nehmen um ganz sicher zu gehen und wirklich alle Anforderungen an diese Infrastruktur sicher zu supporten. Inklusive Wartung usw.

Generell ist diese Anforderung an so eine geartete Netzwerk Infrastruktur it einer Layer 2 Emulation über WAN Links ja mit der richtigen Netzwerkhardware und diesen Mechanismen vollkommen einfach und problemlos zu lösen. Mal ganz abgesehen von den Einzelkosten der Komponenten ist das ja ein simples Allerweltsszenario im SP Bereich.
Die grundlegende Frage die hier aber immer mehr durchkommt ist ob man das denn wirklich will oder eben deine obigen anderen Argumente generell dagegen sprechen.
Dann aber muss man den Umkehrschluss ziehen und sagen das das grundlegende Konzept schlicht falsch ist und die Infrastruktur Planung ja generell vollkommen falsch ist und neu überdacht werden muss !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
Standortübergreifendes Routing (2)

Frage von flabs zum Thema Router & Routing ...

Netzwerkgrundlagen
gelöst Routing mit entferntem Gateway (4)

Frage von agowa338 zum Thema Netzwerkgrundlagen ...

Windows Server
Server in Domäne als Gateway für LDAP Clients (18)

Frage von speedy26gonzales zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...