Durchreichen von Schnittstellen (USB, Netzwerk,...) via VPN

[freak1051]

Hallo Community,

Ich hoffe, dass ich die Anfrage ins richtige Forum schreibe.

Folgendes: Beim Teamviewer kann man aktuell bei der Installation auf "erweitert" (oder Ähnlich) gehen und sich einen VPN-Service einrichten.

Im Zuge meiner Technikerarbeit soll ich unsere Fernwartungsprozesse(im Bereich Automation/SPS) verbessern und dachte evtl. kann ich mir so etwas zu Nutze machen.

Folgendes ist der Plan: Ich baue in eine Maschine einen Einplatinen Pc/ Industrie-PC oder ähnliches ein. Auf diesem Installiere ich den TeamViewer mit der VPN Option.

Gibt es zusätzliche Software, mit der ich die Schnittstellen dieses PC´s durch die VPN-Verbindung schleusen kann. Als Bsp.:

Der Mini-PC hat eine zweite Netzwerkkarte verbaut (USB oder hart). Bisher müsste auf dem PC eine Entwicklungsumgebung sein, mit der ich per Teamviewer arbeite. Könnte ich die Schnittstelle nun durch dir VPN Verbindung schleusen und sagen wir auf meinem PC in der Ferne "mounten" ( Als Netzgerät oder eben USB) dann könnte ich mit meinem PC die Fernwartung betreiben, aber über VPN die netzwerkschnittstelle des Mini-/ Industrie-PC´s nutzen.

Gibt es da Möglichkeiten? bringt da Windows schon was mit? Auf den verbauten PC´s in der Maschine wäre Windows 10,

Das Gegenstück wäre Windows 7 oder 10.

vielen dank im Vorab für eure Hilfe

mfg

Daniel

 

[TheLastHotfix]

Servus freak1051,

schau Dir eventuall mal spice an > https://www.spice-space.org/usbredir.html
1st and foremost kostenfrei.

 

[Raijin]

Naja, ob man bei professioneller Fernwartung auf TeamViewer setzen sollte, sei mal dahingestellt. Wenn du mich fragst, wäre ein dediziertes VPN-Gateway im Netzwerk die deutlich bessere Lösung. Damit meine ich Geräte wie Cisco ASA5505, Watchguard, FortiGate oder auch über pfSense-Appliances oder dergleichen. TeamViewer ist gut für Notfall-Lösungen, da man weitestgehend unabhängig von etwaigen Firewalls eine Verbindung herstellen kann. Für eine Dauer-Lösung, die zudem evtl. sogar noch vom Kunden als Fernwartung bezahlt wird (Support-Vertrag, etc) darf es gerne auch eine geeignetere Lösung sein.

Da du eh einen "Kleinst-PC" in der Anlage verbauen willst, ist der Schritt zu einem VPN-Gateway nicht mehr weit. Auf eurer Seite wird dann ein Gegenstück als Server installiert - je nach Anzahl der VPNs evtl. ein größeres Modell mit mehr Bumms. Wenn das Budget sehr knapp ist, kann man als günstiges VPN-Gateway auch einen EdgeRouter oder einen MikroTik, o.ä. verwenden. Ein ER-X geht zB schon bei 50€ los und schafft IPsec VPN mit ~50+ Mbit/s - für Fernwartung meistens mehr als genug.


Wir setzen bei uns zB Cisco ASA5505 in den Anlagen ein, IPsec-Tunnel ins HQ mit einer großen ASA. zZt bauen wir von einer anderen Lösung auf Cisco um und haben derzeit ca. 150 Anlagen mit Cisco ausgerollt.

Allerdings setzt jede Lösung eine gewisses KnowHow der Materie voraus oder zumindest ein intensives Auseinandersetzen mit dem Thema. Je nachdem was für eine "Maschine" das nun ist, kann man durch potentiell unbefugten Zugriff ziemlich viel Unsinn treiben. Ein geeignetes Sicherheitskonzept muss also schon sein. Bei uns wird dies über eine Art Captive Portal sichergestellt. Ein Zugriff auf die VPNs bzw. die Anlagen ist erst nach Login möglich und dann auch nur auf die freigegebenen Anlagen im Nutzerprofil.

 

[freak1051]

@ TheLastHotfix: Verssteh ich das richtig: Ich kann über eine VPN Verbindung die USB´s damit sharen? Also PC A und PC B sind per tunnel miteinander Verbunden. PC B steckt jemand einen USB stick rein, und USB a Bekommt ihn im Explorer Angezeigt? ODER PC B Bkommt nen USB-Ethernet Adapter verpasst und der Nrtzwerkadapter wird mir in PC A angezeigt?

@Raijin: Der Teamviewer VPN ist nur mal zu Testzwecken um unsere IT auszuklammern. Sonst wird das Projekt ewig gehen. Selbst nutzen wir auch Cisco VPN.

Es geht mir eher um die Tatsache wir oben beschrieben:

PC in der Anlage ( Profinet mit 10-50 TN). Uber den Eigenen Ethernet Port verbunden mit Internet. USB-Ethernetadapter hängt am Maschinen Netz.

Nun geh ich per VPN auf den PC in der Anlage. Kann ich von diesem PC die Netzwerkkarte in PC A benutzen.

Momentan bräuchte ich ja SPS-Programme auf dem Mini PC damit ich auf die anlage komme. Dies ist Lizenztechnisch nicht möglich. Auf PC a habe ich die SPS-Software installiert, komme aber nicht direkt auf die Netzwerkschnittstelle des MINI PC.

Gibt's es Möglichkeiten dies zu ermöglichen?

 

[Raijin]

Sorry, ich verstehe dein Anliegen immer noch nicht so recht.

PC in der Anlage ( Profinet mit 10-50 TN). Uber den Eigenen Ethernet Port verbunden mit Internet. USB-Ethernetadapter hängt am Maschinen Netz.

Meinst du damit nun einen USB-Ethernetadapter im Sinne von eine Netzwerkkarte, die per USB an den PC angeklemmt wird oder meinst du damit einen USB-Adapter, der ein USB-Gerät über LAN zur Verfügung stellt, zB einen Print-Server, der einen USB-only-Drucker ins LAN bringt?

"USB via Netzwerk zur Verfügung stellen" würde entweder so ein USB-Adapter sein oder eine Software bzw. ein Treiber, der die lokalen Schnittstellen des PCs via Netzwerk zur Verfügung stellt. Ich vermute mal das ist es was das von TheLastHotfix verlinkte Tool macht, aber ich mag mich auch irren.

Nun geh ich per VPN auf den PC in der Anlage. Kann ich von diesem PC die Netzwerkkarte in PC A benutzen.

Man "nutzt" via VPN keine Netzwerkkarte, o.ä. In einem herkömmlichen VPN wird gewissermaßen ein laaaaaaaaaaanges LAN-Kabel bis zum Ziel gelegt und etwaige Netzwerke hinter diesem Gerät müssen geroutet oder geNATtet werden.

Momentan bräuchte ich ja SPS-Programme auf dem Mini PC damit ich auf die anlage komme. Dies ist Lizenztechnisch nicht möglich. Auf PC a habe ich die SPS-Software installiert, komme aber nicht direkt auf die Netzwerkschnittstelle des MINI PC.

Nu sind SPSen im Spiel, zuvor war noch die Rede von USB?


Ich bin mir nicht sicher wie TeamViewer-VPN überhaupt arbeitet. Daher weiß ich nicht ob man über ein TV-VPN überhaupt ein komplettes Subnetz hinter dem Ziel erreichen kann oder nicht. Üblicherweise funktioniert ein VPN so, dass man zwischen zwei Punkten einen VPN-Tunnel erstellt und die jeweiligen Endpunkte dann in die dahinterliegenden Subnetze routen (oder eben auch nicht), mit oder ohne NAT.


Beispiel mit OpenVPN:

Wenn du auf einem Mini-PC, o.ä. einen OpenVPN-Client erstellst, der sich aus der Anlage heraus auf einen OpenVPN-Server in deinem Büro verbindet, kannst du das Routing bzw. NAT am Server bzw. am Client so einstellen, dass du vom Büro aus direkt auf eine SPS zugreifen kannst. Mit direkt meine ich zB den Step7 --> SPS verbinden --> Bausteine ändern, hoch-/runterladen, LiveAnsicht, etc. Darüberhinaus kannst du jedes beliebige Netzwerkgerät über diese Verbindung erreichen, also zB auch Sensoren mit LAN.



Damit wir nicht aneinander vorbeireden, wäre es gut, wenn du ein konkretes Beispiel nennst was erreicht werden soll. Damit meine ich auch konkrete Angaben zu etwaigen Geräten, Sensoren, etc.. Bitte verwende zur Erklärung keine Lösungsansätze, sondern beschränke dich auf das eigentliche Ziel. Sonst haben wir mal wieder ein Paradebeispiel für ein XY-Problem und das ist wenig zielführend.

 

[freak1051]

Okay Folgender Versuchsaufbau.

Ich sitze in meiner Firma an meiner Workstation.

eine Anlage von uns steht beim Kunden. Wir werden in Zukunft so oder so Mini PC´s in den anlagen verbauen. somit möchte ich diese Ressource nuzten.

Wir arbeiten an unseren Worstations in einer Virtuellen Maschine. Im haus wird ein USB-Ethernet Adapter an die Workstation geklemmt, und die Anlage in Betrieb genommen.

Unsere Mini PC´s welche wir verwenden wollen, haben lediglich 1 LAN Schnittstelle und eine WLan Schnittstelle.

Die Netzverbidung soll wie folg aussehen:

SPS--> USB-Ethernet Adapter--> Mini PC

Mini PC-LAN-Schnittstelle--> Firmennetzwerk des Kunden (mit Internet zugriff)-->VPN Tunnel ( egal welcher Art)--> Firmennetzwerk meiner Firma--> Meine Workstation.

Nun Könnte ich ja (ob mit oder ohne Teamviewer VPN) auf den Mini PC zugreifen. Würde ich Änderungen machen wollen, brauche ich aber den Simatic Manager/Tia Portal auf dem Mini PC, damit ich auf die SPS komme.

Nun die frage: Ist es möglich per VPN auf den Mini PC zuzugreifen und dessen USB-lan Adapter zu nuzten um von meiner Workstation aus die CPU zu programmieren?

Ich muss ja in Tia/s7 eine IP-Adresse der CPU eingeben. Der USB-Ethernet Adapter am Mini-PC ist im Netzwerk der Maschine.
Der LAN-Port des Mini-PC ist im Netzwerk der Fremdfirma (Kunde). Die VPN-Verbindung auf den Mini-PC denke ich sollte nicht das Problem werden ( wenn ich auch noch nicht genau weiß wie genau, um Tipps dankbar)

Ziel ist es dass ich auf meiner Workstation den Simatic Manager/Tia Portal In der VM öffne, und durch den Tunnel auf den Mini-PC auf dessen USB-Ethernet Adapter ( also quasi seine 2te. Netzwerkkarte) zugreifen kann, und über diese Auf die CPU der Anlage zu schauen.

In unseren Anlagen sind hauptsächlich PrifiNet Geräte, einige davon mit eigenem Webserver ( den wir aber eigentlich nicht unbedingt benötigen), Simens CPU´s, Etc. Am Aller wichtigsten wäre, An meiner Workstation im Simatic/Tia das Programm der Anlage zu öffnen, und online auf die Anlage schauen zu können

Quasi das, was du mir Vorschlägst:

Beispiel mit OpenVPN:

Wenn du auf einem Mini-PC, o.ä. einen OpenVPN-Client erstellst, der sich aus der Anlage heraus auf einen OpenVPN-Server in deinem Büro verbindet, kannst du das Routing bzw. NAT am Server bzw. am Client so einstellen, dass du vom Büro aus direkt auf eine SPS zugreifen kannst. Mit direkt meine ich zB den Step7 --> SPS verbinden --> Bausteine ändern, hoch-/runterladen, LiveAnsicht, etc. Darüberhinaus kannst du jedes beliebige Netzwerkgerät über diese Verbindung erreichen, also zB auch Sensoren mit LAN.

 

[Raijin]

Hm.. Als erstes möchte ich mal den "Mini-PC" ansprechen. Es klingt so als wenn die geplante Hardware sich nicht für diesen Zweck eignet. Wenn der PC 2x LAN benötigt, dann sollte man auch Hardware einsetzen, die eben 2x LAN bietet. Klar, wenn ihr einen Raspberry PI, o.ä. einsetzt, wird es schwierig, aber es stellt sich generell die Frage ob das so sinnvoll ist. Ein Rechner mit mini-ITX, der eben auch 2x LAN bietet, wäre wohl an dieser Stelle besser geeignet. Unzulänglichkeiten der Hardware mit USB-LAN-Adaptern auszugleichen halte ich in einer industriellen Umgebung für fragwürdig.

Ein weiteres Argument dafür ist die Verbindung Kundennetzwerk <-> Anlage. Die Schnittstelle, also der PC, der dazwischen sitzt, sollte entsprechend abgesichert sein, um unerwünschten oder gar unbefugten Zugriff zu unterbinden - sprich: Firewall. Denkbar wäre zum Beispiel eine Firewall mit pfSense oder dergleichen. Es stellt sich natürlich auch die Frage was der Mini-PC sonst noch so tun soll. Wenn er ausschließlich für das VPN verantwortlich ist, muss es noch nicht mal ein PC sein, sondern kann ein LAN-Router sein wie zB ein EdgeRouter oder ein MikroTik.

Und welches Betriebssystem schwebt euch bei dem PC vor? Windows ist zB denkbar schlecht als routende Schnittstelle geeignet, da die Routing-Fähigkeiten von Windows sich auf ein Minimum beschränken. Linux ist als Router deutlich besser geeignet.


Davon mal abgesehen greift man wie gesagt nicht auf einen Netzwerkadapter eines via VPN verbundenen Geräts "zu", sondern etwaige Verbindungen in nachgelagerte Subnetze an einer 2. LAN-Schnittstelle werden geroutet.


Beispiel:

Subnetz-Büro = 192.168.123.0/24
Subnetz-Anlage = 172.27.1.0/24
Subnetz-VPN-Tunnel = 10.11.12.0/24

VPN-Gateway-Büro = 192.168.123.254
VPN-Gateway-Büro_VPN_IP = 10.11.12.1

VPN-Gateway-Anlage = 172.27.1.254
VPN-Gateway-Anlage_VPN_IP = 10.11.12.13


PC-Büro - Route zur Anlage = Ziel 172.27.1.0/24 via Gateway 192.168.123.254
VPN-Gateway-Büro - Route zur Anlage = Ziel 172.27.1.0/24 via Gateway 10.11.12.13
VPN-Gateway-Anlage - Route ins Büro = Ziel 192.168.123.0/24 via Gateway 10.11.12.1


Sofern das VPN-Gateway-Anlage kein NAT macht, wird besagte Rückroute ins Büro benötigt damit die Clients im Anlagen-Netz antworten können. Alternativ kann das VPN-Gateway-Anlage auf den Traffic VPN-->Anlage via NAT maskieren. Im Büro startest du nun den Simatic Manager und wählst als Stations-IP die 172.27.1.123 an, die IP der SPS in der Anlage. Der PC routet dieses Subnetz an das VPN-Gateway-Büro und dieses leitet den Traffic durch das VPN zur Anlage. Die SPS wiederum antwortet an ihr Default Gateway bzw. "Router verwenden" (das müsste dann das VPN-Gateway-Anlage sein) oder aber die antwort geht sowieso an das VPN-Gateway-Anlage, weil dort u.U. per NAT maskiert wurde (SPS denkt also, der Mini-PC hätte selbst angefragt).

Allerdings muss man sich überlegen was man bei multiplen VPN-Tunneln macht. Bei mehreren Anlagen mit demselben Subnetz, müsste man eine NAT-Schicht einbauen, die ein Transfer-Subnetz jeweils auf eine spezifische Anlage mappt.



Das mag jetzt alles kompliziert wirken, aber VPNs sind nun mal nicht ohne bzw. man muss sich intensiv mit Subnetting, Routing und NAT beschäftigen. Mag sein, dass es mit TeamViewer-VPN "einfacher" geht, aber ich weiß nicht ob man überhaupt durch ein TV-VPN routen kann oder ob es ein reines client2client VPN ist. So oder so muss aber der VPN-Endpunkt in der Anlage weiter-routen und ggfs NATten, dafür wäre Windows wie gesagt relativ ungeeignet. Microsoft schreibt dazu offiziell, dass "Routing die Aufgabe von Routern ist, nicht aber von Servern". Daher ist selbst Windows-Server nur bedingt als Router einsetzbar. Linux ist hier der Weg, den man gehen sollte.

Nach obigem Prinzip arbeiten unsere Fernwartungs-VPNs. Alle Ciscos bei den Kunden verbinden sich auf unsere große Cisco-Kiste im HQ. Dort wird dann jedem VPN-Tunnel ein virtuelles Subnetz zugewiesen bzw. geNATtet, da alle unsere Anlagen dasselbe Subnetz verwenden. So erreicht man dann zB über 10.11.1.200 einen PC bei Kunde 1, während 10.11.2.200 den gleichen PC bei Kunde 2 ansteuert und folglich 10.11.123.200 den PC bei Kunde 123 meint. Ich kann aus dem Büro heraus ohne überhaupt einen Gedanken an VPN zu verschwenden direkt auf diese Subnetze zugreifen und direkt in die Kundenanlage schauen - vorheriger Login zur Authorisation vorausgesetzt, da wir ein Captive Portal vorgeschaltet haben, das zB die Putzfrau oder den Putzmann außen vor hält, selbst wenn sie Zugriff auf eine LAN-Dose hätten.

 

[freak1051]

Die Problematik an Linux ist: Wir sind Programmierer, keine IT´ler. Unser It´ler sind Windws IT´ler. Also kennt sich keiner so gut mit Linux aus, dass es ohne Langwieriges gebastel zum Erfolg führt. Deshalb nur Plattform Windows. Hier dann 7 und 10.

Ein Open VPN Server wäre möglich, nur wird unsere IT das nicht zulassen. Deshalb der Gedanke, den Teamviewer zu verwenden.

Wir stehen öfter im Zwispalt, Firmeneigene IT, die sage es ist nicht sicher, und 100 unterschiedliche Kundenspezifische VPN-Lösungen und damit verbundener Kundendruck.

Wie gesagt. grundsätzlich bin ich an 2 "Problemen" dran.

1. Gibt es eine Möglichkeit die 2te Netzwerkkarte durch den Tunnel zu reichen. (mal egal ob es USB-Adapter sind, oder ne 2te Onboard. Aktuell läuft das Projekt als Prototyp. Wenn man die Ressource WinPC in unseren Anlagen anfägt besser auszunutzen wird der Schritt in einen I-PC kein weiter sein). Und diese Problematik (versteh ich das richtig) kann ich über die CMD über eine Routing Tabelle machen.

Gibt's da evtl auch GUI Lösungen. Wie gesagt, ich bin interessiert in solchen dingen, Muss dann aber detallierte Anleitungen für den rest schrieben. Und da machen es Gui´s meist einfacher wie CMD-Einstellungen.


2. Die eleganteste, bestenfalls kostenlose Lösung einen Tunnel zu erstellen

hier Entweder über vorhanden Möglichkeiten (teamviewer)

oder einem Server-Client System, wo der Server jede einzelne Workstation sein könnte. (Programm öffnen und Daten des gegenparts eingeben, oder ähnlich?!?!)

oder eine Serverlösung die auf unseren Firmen Servern laufen muss, wo ich dann den It´schen Segen unserer Firma bräuchte.

 

[Raijin]

Ich kenne die Rangeleien zwischen verschiedenen IT-Gewerken nur zu gut. Allerdings kann man den Sicherheitsbedenken, die die IT einem OpenVPN- / IPsec-Server gegenüber hätte, 1:1 die Sicherheit der Daten bei der Übermittlung über einen unabhängigen Dritten, der zudem noch im Besitz sämtlicher Crypto-Keys ist und zumindest in der Theorie alles mitlesen kann. Das ist es nämlich was TeamViewer tun könnte.

Individuelle Kunden-VPNs wiederum sind eine Sache des Selbstbewusstseins. Kundenspezifische VPNs werden bei uns kategorisch abgelehnt. Wenn ein Kunde Fernwartung möchte, bekommt er unsere Firewall und das war's. Wir haben mehrere Hundert VPN-Kunden, und da ist es weder technisch noch verwalterisch tragbar, Dutzende oder gar Hunderte von Individuallösungen anzubieten. Kunde will VPN? Dann kriegt er unser VPN, sonst nix.

1. Gibt es eine Möglichkeit die 2te Netzwerkkarte durch den Tunnel zu reichen.

Wie gesagt, man erreicht nicht die Netzwerkkarte, sondern nutzt sie indirekt durch das Routing. Eben dieses Routing muss in Windows erstmal aktiviert werden (Stichwort: IP-Forwarding), da Windows out-of-the-box gerouteten Traffic einfach ins Leere laufen lässt.

Eine GUI ist mir für sowas nicht bekannt. Mag sein, dass es im www Tools gibt, die Router-Funktionen auf Windows abbilden, aber da ich grundsätzlich gegen Windows-Router bin - Microsoft selbst im übrigen auch -, stecke ich da nicht so tief drin.

2. Die eleganteste, bestenfalls kostenlose Lösung einen Tunnel zu erstellen

Ich kann nur dringend zu einer sauberen Lösung raten, auch wenn das evtl. einen höheren Initialaufwand und Kosten bedeutet. Wenn ihr als Programmierer nicht die notwendigen Kenntnisse, Fähigkeiten und Mittel habt, ist das Projekt bei euch auch in den falschen Händen, sorry.


TeamViewer-VPN ist eben eher eine Notlösung, wenn man kurzfristig irgendwie ein VPN braucht. Für feste Installationen im professionellen Bereich ist es in meinen Augen ungeeignet.

 

[freak1051]

Okay,

soweit einverstanden.

Bedeutet: Aktuell zum Teten tut es die Teamviewer Lösung, da die ip-Forwarding Geschichte von Windows nichts damit zu tun hat.

Folglich könnte ich sofern ich das Forwarding hinbekomme im Feld diese Lösung testen. Wird sie sich beweisen wäre der 2te schritt eine Gescheite VPN Lösung zu suchen.

Jap leider haben wird das Problem dass jeder Kunde eigene VPN lösungen hat, und die durchsetzen will. Ob das daran liegt, dass die Anlagen falsch verkauft werden, oder eher vertrieb kein Infostand darüber hat, welchen aufwand denn dafür betrieben wird, dass alles glatt läuft weiß ich nicht. Wir haben Kunden, die in Land A andere VPN Lösungen nutzen, als in Land B. Abgesehen vom IT-Verwaltungsaufwand ist es auch ein riesiger Verwaltungsaufwand diese ganzen Daten/Anleitungen/Programme/Tools/Token-Apps etc. zu verwalten.



Ich sehe dennoch die Vorteile, die du erwähnst von einem einheitlichen System. Werde das definiv Antriggern. Leider bei PKW Konzernen... die sind eigen

Dennoch werd ich zu Versuchszwecken den "billigen" weg gehen über TeamViewer VPN, um die praktibilität zu testen. Man müsste wenn es klappt ja dann auch den Service leuten keine 3000€ PC´s zur verfügung stellen, auf denen VM Ware inkl. dicker Vm läuft.... Der PC wäre ja nut Mittel zum zweck...

Danke dennoch mal für die Vielen Infos

 

[Raijin]

Bedeutet: Aktuell zum Teten tut es die Teamviewer Lösung, da die ip-Forwarding Geschichte von Windows nichts damit zu tun hat.

Folglich könnte ich sofern ich das Forwarding hinbekomme im Feld diese Lösung testen. Wird sie sich beweisen wäre der 2te schritt eine Gescheite VPN Lösung zu suchen.

Weit gefehlt, IP-Forwarding muss in jedem Fall aktiviert werden, wenn Windows eine Netzwerkverbindung durchreichen soll, also routen!

Büro-PC <--TV-VPN--> Mini-PC <--LAN--> Anlage

Out-of-the-box wird Windows keine Pakete aus dem VPN-Subnetz bzw. dem dahinterliegenden Büro-Subnetz an das lokale LAN zur Anlage weiterleiten - das ist nämlich Routing und ist ab Werk deaktiviert. Daher muss IP-Forwarding im Windows des Mini-PC so oder so aktiviert werden. Da es sich aber lediglich um einen simplen Eintrag in der Registry handelt, ist das halb so wild.


HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ --> IPEnableRouter=1

Es kann sein, dass man zuvor noch den RAS/Routing Dienst starten muss, da bin ich mir gerade nicht so sicher.

Allerdings wird die Anlage an dieser Stelle noch nicht antworten können, weil keine Rückroute ins Büro-Subnetz besteht. Ein Ping Büro<--Mini-PC-->Anlage würde an der Anlage nämlich mit der Absende-IP aus dem Büro ankommen und die kennt die Anlage vermutlich gar nicht. Daher wäre es zumindest für den Vorabtest sinnvoll, temporär ein NAT bzw. Masquerade am Anlagen-LAN-Port des Mini-PC einzurichten. Dann denkt die SPS der Mini-PC würde sich verbinden wollen und nicht ein unbekanntes Gerät aus einem unbekannten Subnetz.
Google --> "windows nat masquerade" oder so ähnlich.


Und wozu meinst du braucht man dafür PCs für 3000€? Ein EdgeRouter-X, der als VPN-Gateway dienen kann, kostet 50€ und die Hardware des Büro-PCs ist unerheblich bzw. richtet sich nach den verwendeten Programmen, zB Simatic Manager.

 

[freak1051]

Und wozu meinst du braucht man dafür PCs für 3000€? Ein EdgeRouter-X, der als VPN-Gateway dienen kann, kostet 50€ und die Hardware des Büro-PCs ist unerheblich bzw. richtet sich nach den verwendeten Programmen, zB Simatic Manager.

Wir lassen alles in Ner VM laufen. Also werden (leider) ziemlich dicke Laptops Benötigt.. ZBook, 32 GB ram, 500 M.2 SSD 6700HQ...

 

[Raijin]

Hä? Die Entwickler-Laptops oder auch die Laptops der Service-Leute sind doch egal. Es geht doch nur um eine VPN-Verbindung.

HQ - OpenVPN oder IPsec Server - kann ein vollwertiger Server sein oder auch das Gegenstück zum EdgeRouter, o.ä. in der Anlage

Anlage - EdgeRouter-X oder vergleichbar @ 50€


Der Anwender im HQ greift über den VPN-Server durch den VPN-Tunnel hindruch auf die Anlage zu und öffnet zB den Simatic Manager mit dem Projekt, gibt als Stationsadresse die geNATte IP der entfernten SPS ein. Nun kann er direkt auf die SPS zugreifen. Oder aber er macht VNC auf, gibt die geNATtete IP des entfernten PCs ein und landet auf dessen Desktop.



Du schreibst ja in deinem Eingangspost, dass es um eine Technikerarbeit geht und du die Fernwartungsprozesse verbessern willst. Krücken via TeamViewer sind tendenziell eher für Notfälle, weil man durch die jeweils ausgehende Internetverbindung die Firewalls auf beiden Seiten größtenteils ignorieren kann. Letztendlich ist es deine Sache was du machst, aber ich würde eher auf eine adäquate Lösung setzen wie sie vielerorts zum Einsatz kommt.

 

[freak1051]

Des war der Zustand bisher.

Und wie gesagt, ich werde es erstmals via TeamViewer im kleinen Feld im haus testen und Vorstellen. Wenns dan zusage gibt, dann wird ich mich im zweiten schritt zur IT gehen und mit denen reden, was für die nen vernünftiger Weg wäre einen VPN Tunnel aufzubauen. Ob das eine Zahl-Variante ist über Dienstleister oder IM HQ n Server läuft. Denke da kommt es auch etwas auf die Kundschaft drauf an. Automobiler sind manchmal etwas besonders, schwierig und sprunghaft. da kanns sein das bei den einen Anlagen TeamViewer sowieso verboten ist und bei anderen nur auschließlich zugelassen. Aber erstmals mache ich ne Machbarkeitsprüfung und stell es vor, im Zweiten schritt wählen wir, evtl. in Verbindung mit den Kunden einen VPN Tunnel aus.