TP 1500 Confort - Profinet Lan (X3)

[luca31989]

Bongiorno a tuti,

 

inizio a dirvi che ho appena iniziato a programmare con Siemens ma ho una buona conosceza su alre marche.

Ho sviluppato un progetto con TIA v17 che vede come protagonisti un Siemens S7-1511, un HMI TP 1500 Confort con vari disposivi Profinet. A questo progettto ho la necessità di connettermi da remoto offrendo il servizio di teleassistenza. Purtroppo per policy aziendali del cliente, non posso mettere moduli aggiuntivi come Secomea (o marche similari), tantomeno switch managed. Controllando il retro del pannello, ho notato che ha tre porte di rete con due interfaccie distinte dove X1 connettore P1 e X1connettore P2 sono assegati all'interfaccia di rete 1; il connettore X3 è assegnata all'interfaccia di rete 2. E' possibile utilizzare la seconda interfaccia di rete come bridge o altra modalità in modo tale da poter raggiungere la rete connessa sull'interfaccia 1 per fare teleassistenza? Ho notato una certa assomiglianza con Windows, è possibile installare software di terze parti per raggiungere lo scopo? sapreste indicarmi qualche software in merito? Che altre alternative ho senza fare entrare il cliente direttamente nella mia rete modificando tutti gli indirizzi IP?

 

Vi ringrazio anticipatamente

luca31989

[batta]

Non ho mai provato, ma non credo che dalla porta della seconda scheda di rete si possa fare un bridge per accedere ai dispositivi collegati sulla prima scheda di rete.
Ma, se ciò fosse possibile, quale sarebbe la differenza tra questa soluzione e l'installazione di un dispositivo tipo Secomea o simili?
Di fatto, il pannello operatore (ammesso che riesca a farlo) diventerebbe a tutti gli effetti un dispositivo per accedere alla rete del PLC.
Purtroppo, il cliente deve capire una cosa molto semplice: se vuole che tu possa fare teleassistenza, deve permetterti di connetterti. Se non puoi connetterti, non puoi fare assistenza remota.
Una soluzione potrebbe essere l'installazione sul PC di una CP15xx. Accedendo alla CP, raggiungi anche i dispositivi sulla rete della CPU.
Però ricadiamo sempre nel problema che tu avresti un accesso (per quanto indiretto) alla rete del PLC.
E, in ogni caso, per accedere alla rete della CP dovrai installare il succitato Secomea (o simile).

[drn5]

Con gli IT manager è la solita storia. Senza offesa per la categoria, ma ne avrò trovato 1 su 50 che non abbia fatto menate...

In Windows CE il bridge è possibile, ma non lo vedo come soluzione al problema.

Se l'impianto è un isola a sè senza collegamento alla rete aziendale un router dei soliti con collegamento alla rete cellulare può essere la soluzione per non passare dalla loro rete.

Non mi sembra ci siano altre alternative. Sennò prendi i mezzi e ci metti il tempo che ci metti a essere da loro... sicuramente ti vorranno solo se serve senza abusare del "tanto ti colleghi...cosa ci vuole?!"

[luca31989]

Ciao a tutti,

 

in tanto grazie per aver risposto, scusandomi per il ritardo delle mie risposte inizio a rispondervi;

 

Quote

Ma, se ciò fosse possibile, quale sarebbe la differenza tra questa soluzione e l'installazione di un dispositivo tipo Secomea o simili?

Di fatto nulla, sono le loro regole aziendali e sul firewall che ci stanno complicando a vita.

 

Quote

Se l'impianto è un isola a sè senza collegamento alla rete aziendale un router dei soliti con collegamento alla rete cellulare può essere la soluzione per non passare dalla loro rete.

 

Magari fosse così semplice, tra le loro regole vige il fatto che non si può assolutamente usare sim per assistenza remota. Si deve necessariamente passare dalla loro rete con credenziali da loro fornite (che scandono ogni mese).

Quote

In Windows CE il bridge è possibile, ma non lo vedo come soluzione al problema.

---

 

Mi sapresti dire come per cortesia?

 

Un grazie a tutti

Ciao

Luca

[batta]

Insomma, vogliono che ti colleghi, ma non ti permettono di collegarti. Sono propro forti!

[batta]

Io sono lontanissimo dall'essere un esperto di reti ma, anche se lo fossi, con queste persone non perderei tempo per trovare una soluzione, ma la farei trovare a loro: volete che faccia teleassistenza? Ditemi come.
Devono capire che la teleassistenza non sei tu a volerla, ma sono loro. La prima volta che si trovano con la linea ferma e invece che risolvere in 15 minuti servono ore o giorni, vedrai che le loro policy le rivedono. E, se non le rivedono, non è certo un tuo problema.

[anydream]

Il 25/8/2022 alle 16:46 , luca31989 ha scritto:

non posso mettere moduli aggiuntivi come Secomea (o marche similari), tantomeno switch managed.

 

Posso capire se la policy aziendale vieta l'installazione di dispositivi che aprono connessioni vpn verso l'esterno della rete e chiedano che tutti gli accessi remoti siano entranti e passino attraverso qualche forma di autenticazione sul loro sistema di sicurezza. Non mi è chiaro perché vietare uno switch managed.

 

Il 25/8/2022 alle 16:46 , luca31989 ha scritto:

Che altre alternative ho senza fare entrare il cliente direttamente nella mia rete modificando tutti gli indirizzi IP?

Per avere i tuoi indirizzi separati da quelli della rete aziendale (che è una buona pratica di sicurezza) serve mettere un router tra le due reti.

(Se non consentono l'installazione di un router tra le due reti per me vale quanto scritto nell'ultimo messaggio da Batta)

Questo router avrà la sua porta WAN sulla rete aziendale e le porte LAN sulla tua rete industriale.

 

A questo punto mi vengono in mente due possibilità che consentono al cliente di darti accesso solo su richiesta:

1) configurano (e attivano su richiesta di assistenza) il firewall aziendale in modo da rendere la porta WAN del tuo router accessibile direttamente da internet (tramite NAT o similare)  => in questo caso il tuo router deve funzionare anche da VPN gateway e con il tuo PC ti colleghi alla tua VPN

2) ti danno accesso alla loro rete aziendale (limitando probabilmente l'accesso al solo indirizzo associato alla porta WAN router) tramite una loro VPN. In altre parole tu avrai la possibilità di raggiungere l'interfaccia WAN del tuo router non direttamente da internet ma solo dopo aver attivato la loro VPN. In questo caso configurando le rotte di instradamento (tramite comandi route) sul PC dovresti essere in grado di raggiungere la tua rete industriale.