Collegamento Tra Wincc Scada E Plc-s7300 Via Internet Tramite Scalance

[jwcrot]

Buon giorno a tutti.

Dovrei realizzare un collegamento tra un PC di Supervisione (WinCC SCADA) ed un PLC S7-315. Le due componenti distano tra loro alcuni Km.

Vorrei poter utilizzare la rete internet per realizzare il collegamento.

Ho consultato il sito della Siemens e ho trovato un componente che potrebbe essere interessante: lo SCALANCE S 612/613.

Si tratta di un dispositivo in grado di realizzare un tunnel VPN sicuro tra due componenti.

Leggendo la documentazione non sono riuscito a capire se è necessario che entrambi o almeno uno due nodi (PC e PLC) siano publicati sulla rete, tramite l'ISP che fornisce l'accesso a internet, con un indirizzo IP statico.

Il mio desiderio sarebbe quello di poter connettere ad internet i due nodi con una semplice connessione senza dover richiedere il rilascio di un indirizzo IP statico.

Volevo chiedervi se qualcuno di voi ha già utilizzato questo dispositivo e se secondo voi è possibile realizzarlo con entrambi gli indirizzi IP di tipo dinamico.

In alternativa volevo chiedervi se qualcuno ha già avuto esperienza in un collegamento simile e ha avuto successo pur senza ricorrere alla VPN e all'utilizzo di dispositivi come lo SCALANCE S.

Grazie in anticipo per la collaborazione,

Buon lavoro a tutti,

Cristiano

[pigroplc]

trovi interessante documentazione al link: http://www.giancarlomariani.net/siemens/

per esempio, seguendo gli esempi riportati nel link ieri ho provato per la prima volta a collegarmi senza rete vpn ad un cliente anche se dai tecnici Siemens non avevo ricevuto risposte esaudienti.

pigroplc

[jwcrot]

Grazie per il suggerimento, sicuramente consulterò il link che mi hai mandato.

Nel collegamento che hai provato ieri, il tuo cliente disponeva di un indirizzo pubblico statico?

E il tuo collegamento a internet dispone di un indirizzo statico o dinamico?

Grazie mille,

Cristiano.

[cliff]

Se non hai un ip statico devi usare dei servizi che ti creano un nome pubblico, tipo Dyn-dns o no-ip ... ce ne sono molti in giro.

La soluzione migliore e' comunque sempre avere un ip statico nella parte ricevente (di solito il plc)

Considera che nella sezione remota (plc) devi aprire delle porte sul router e crearti delle regole di nat per far rimbalzare la porta sull'ip del plc locale.

Bye

[jwcrot]

Grazie cliff,

proverò a cercare i servizi che mi hai suggerito. Tuttavia, ti anticipo qualche domanda:

1) questi "servizi" sono software da installare su un PC? In questo caso solo dal lato del mio PC di supervisione. Dal lato PLC, invece, non serve nessun servizio aggiuntivo?

2) secondo te posso riuscire a realizzare la mia connessione tra WinCC e PLC, indipendentemente dal fatto che l'indirizzo sia statico o dinamico, anche senza ricorrere ad un dispositivo come lo SCALANCE?

3) il tipo di collegamento ad internet fornito dall' ISP (sia lato PC WinCC sia lato PLC) deve soddisfare qualche requisito particalare? Ovvero potrebbe esistere qualche limitazione che di fatto impedisce un collegamento punto-punto?

Grazie,

Cristiano

[pigroplc]

In aggiunta alla pagina 5 del documento Siemens dove si fa riferimento alla soluzione non protetta:

il progetto S7 offline deve essere modificato in modo da mettere l’indirizzo IP pubblico del router mentre EFFETTIVAMENTE nell'on line c'è l'indirizzo PRIVATO

Bisogna evidenziare che la cosa negativa è il fatto che tale soluzione non permette di cambiare la configurazione hardware del plc remoto in quanto si andrebbe a sovrascrivere l’indirizzo IP privato (es. 192.168.1.2).

Tutte le altre funzioni quali il trasferimento di modifiche o la visualizzazioni delle variabili comunque funziona correttamente.

Nelle prove effettuate sono stati rimossi sia il firewall che l’antivirus ma sembra che il collegamento non ne risenta, successivamente ho provato il collegamento con antivirus e firewall entrambi inseriti senza problemi.

impostare le proprietà nel Simatic manager TCP/IP(auto) e selezionare le proprietà "non assegnare l'indirizzo IP automaticamente"

il cliente dispone di un indirizzo internet statico, anche in ufficio dispongo di un indirizzo internet statico, non ho provato a casa dove invece è variabile.

Nel router del plc remoto deve essere impostata la funzione port forwarding, nella riga di configurazione del port forwarding bisogna impostare:

protocollo TCP/IP

external port 102

internal IP (mettere l'indirizzo nella config. ON LINE del plc es 192.168.1.2)

internal port 102

spero di essere stato esaudiente

pigroplc

[pigroplc]

Ah, dimenticavo, non ho utilizzato alcun componente SCALANCE!

pigroplc

[jwcrot]

Grazie pigroplc,

mi pare di aver capito che tu hai utilizzato la configurazione indicata per effettuare della teleassistenza con S7.

Pensi che possa cambiare qualcosa se, come nel mio caso, è necessario che sia WinCC ad accedere al PLC?

Nella configurazione del driver di WinCC è necessario specificare l'indirizzo IP del PLC.

Se ho capito bene qui dovrò impostare l'indirizzo IP pubblico (a questo punto, correggimi se sbaglio, credo sia indispensabile che sia anche statico) del router collocato in prossimità del PLC e non quello privato del PLC. E' così?

Es:

WinCC

IP: 192.168.0.1

Router lato WinCC

IP privato: 192.168.0.2

IP publico (non necessariamente statico): 151.80.67.202

Router Lato PLC

IP publico STATICO: 84.84.84.84

IP privato: 192.168.0.3

PLC

IP: 192.168.0.4

WinCC non deve puntare a 192.168.0.4 ma a 84.84.84.84: è così?

Grazie per la collaborazione.

Modificato: 19 gennaio 2009 da jwcrot

[pigroplc]

riassumendo:

>mi pare di aver capito che tu hai utilizzato la configurazione indicata per effettuare della teleassistenza con S7.

esatto, teleassistenza con il plc

>Pensi che possa cambiare qualcosa se, come nel mio caso, è necessario che sia WinCC ad accedere al PLC?

direi di no, ferma restando l'impostazione dell'interfaccia PG/PC da effettuare per accedere al collegamento denominato S7ONLINE.

>Nella configurazione del driver di WinCC è necessario specificare l'indirizzo IP del PLC.

>Se ho capito bene qui dovrò impostare l'indirizzo IP pubblico (a questo punto, correggimi se sbaglio, credo sia indispensabile che sia anche statico) del router >collocato in prossimità del PLC e non quello privato del PLC. E' così?

allora, IP statico del router es 84.84.84.84

IP statico privato del plc es 192.168.0.2 nella configurazione hardware ONLINE

IP statico privato del pc es 192.168.0.1 nella configurazione delle reti di comunicazione (start\risorse di rete\visualizza connessioni di rete\connessione alla rete locale\ecc ecc)

IP del router lato pc non mi interessa, basta che ci sia aperta la porta 102!!!!!!!!!!!!!!!! io mi collego anche da casa con ip dinamico

>WinCC non deve puntare a 192.168.0.4 ma a 84.84.84.84: è così?

esatto!

pigroplc

[JumpMan]

IP del router lato pc non mi interessa, basta che ci sia aperta la porta 102!!!!!!!!!!!!!!!! io mi collego anche da casa con ip dinamico

Per favore mi spieghi sta cosa?

Dal lato plc ho capito che devo redirigere la porta 102 verso l'IP del PLC, ma dal lato PC cosa devo fare ?

Aprire la porta 102 cosa vuol dire ?

[pigroplc]

Condizioni di base:

PLC collegato alla rete aziendale con indirizzo IP statico e router che supporta la funzione di port forwarding.

nelle pagine di configurazione del router devi trovare una voce "port forwarding setting".

dovrebbe esserci un pulsante di aggiunta da selezionare col mouse

appare la possibilità di compilare le seguenti voci:

Name: Jumpman_machine

protocol: TCP

External port: 102

internal IP (metti quello del PLC!)

internal port:102

Le pagine video cambiano da router a router, ma i parametri sono sempre gli stessi.

Spero sia chiaro..... altrimenti chiedi!

pigroplc

[JumpMan]

Si si, questa che hai rispiegato ora era l'unica cosa chiara fin dall'inizio, ma nella frase che ti ho evidenziato hai scritto che nel router lato pc deve essere aperta la porta 102.

La devo aprire anche in uscita?

P.s. il mio pc ha win2000 e zone-alarm, non ho trovato opzioni per aprire porte in zone alarm...

[pigroplc]

Rileggendo il mio post mi sono accorto del disguido, dopo aver digitato sarebbe meglio rileggere.....

Dal lato del tuo PC, cioè in remoto NON DEVI FARE NIENTE.

L'impostazione della porta 102 resta inteso che deve essere fatta a livello di router.

Scusa per l'inesattezza

pigroplc

[JumpMan]

Ok grazie del chiarimento, è tutto molto semplice... solo che a me non ha funzionato, mi sfugge qualcosa e non so cosa!

Purtroppo non ho più avuto tempo di provare, vedrò se riesco a fare qualche prova prima che parta il camion

La config della CP nel PLC era 192.168.1.100 con router (192.168.1.0)

Il router lato cliente era configurato per redirigere la porta 102 verso il plc (192.168.1.100)

Nel mio pc avevo configurato (nell'hardware) la CP con l'IP (statico) del cliente (xxx.xxx.xxx.xxx) senza router

Non c'è stato verso!

Preciso che nel mio caso non uso wincc, volevo semplicemente andare online con il plc.

[pigroplc]

qualche considerazione presa dai miei appunti per il collegamento SENZA l'utilizzo della VPN:

il progetto S7 offline deve essere modificato in modo da mettere l’indirizzo IP pubblico del router.

Bisogna evidenziare che la cosa negativa è il fatto che tale soluzione non permette di cambiare la

configurazione hardware del plc remoto in quanto si andrebbe a sovrascrivere l’indirizzo IP privato

Tutte le altre funzioni quali il trasferimento di modifiche o la visualizzazioni delle variabili comunque funziona correttamente.

Nelle prove effettuate sono stati rimossi sia il firewall che l’antivirus ma sembra che il collegamento non ne risenta, successivamente ho provato il collegamento con antivirus e firewall entrambi inseriti senza problemi.

nella configurazione dell'interfaccia PG/PC devi spuntare la voce TCP/IP(auto) e deve apparirti sotto scritto: parametrizzazione IE-PG dei CP NDIS con protocollo TCP/IP (RFC-1006)), quindi nelle proprietà del collegamento devi mettere il segno di spunta del radio button "non assegnare l'indirizzo IP automaticamente"

pigroplc

[marbera]

Ciao,

i vari problemi che hai elencato ( e che sono stati discussi, cioè portforwarding, ip staticio/ip dinamico,firewall

etc.. sono problemi tipici e ben noti nel mondo delle reti

Nel mondo dell'automazione questi problemi sono nuovi, e vengono spesso approciati più in base all'esperienza pratica ,che alla teoria e ad una comprensione (anche da parte dei tecnici di supporto)

La maggior parte di questi problemi sono la conseguenza di un modo "tradizionale" di fare tele assistenza cioè quiello di creare un collegamento punto a punto da una sorgente il PC a una destinazione la macchina remota

Mi occupo di reti da qualche anno, e I sono scontrato con questi problemi x un bel po di tempo... e la cosa che ho realizzato e che è un caos e che non si può chiedere ai tecnici di automazione di diventare esperti di reti

per fortuna da un pò di tempo esistono soluzioni nuove, che si basano suill'idea di avere un server centrale di riferimento, e sia il PC che il PLC (o pannello o azionamento ) si connettono a questo server

questa soluzione ha diversi vantaggi:

-non serve Ip statico o pubblico (basta una normale connessione ad internet per navigare)

-le connessioni a internet sono solamenti uscenti (e quindi non c'è bisogno di aprire porte del firewall)

-il PLC vede la connessione come se fosse locale diretta (quindi non bisogno di cambiare la conf di S7)

etc..

-si possono avere piu PLC , pannelli nella stessa sottorete (mentre coln il port forwarding la stessa porta es5900 si può forwardare 1 solo volta nella maggiora parte dei router)

-non richiede configurazioni al router del cliente

secondo me questi vantaggi fanno risparmiare un sacco di tempo, problemi, e soprattutto si evita di gestire ogni progetto con un caso a se e si riesce ad avere una soluzione generale

io personalmente conosco bene la soluzione gate-manager ma ce ne sono anche altre sulla stessa idea

mentre tutte le soluzioni firewasll/vpn come scalance, innominate etc... si portano dietro tutti i problemi citati sopra...

il mio consiglio e per il prossimo lavoro, di darci un occchio

Marco