• Blaja
  • Archiv
  • Vzdálená správa PLC Simatic S7 přes internet s REX300

Vzdálená správa PLC Simatic S7 přes internet s REX300

  • středa, 22 září 2010 04:00

Logo automaty Vzdálená správa PLC Simatic S7 přes internet s REX300.

Připojení ze Step7 na PLC Simatic odkudkoliv z internetu je lákavé. Není to ale nikdy nic jednoduchého, hlavně z hlediska bezpečnosti. Podíváme se jak tohle zvládá modul REX300 pro vzdálenou správu PLC.

Společnost Helmholz nabízí v řadě REX300 velké množství modulů pro vzdálenou správu pro všechny možné druhy připojení, tedy analogový modem, IDSN, GSM přístup a internetové připojení. Vyzkoušeli jsme poslední jmenovaný, tedy REX300 700-873-WAN01 pro přímé připojení do internetu. Samotný přístroj zvládne všechny možné varianty připojení, hlavně co se týká šifrování a zabezpečení spojení. V našem testu vyzkoušíme jen jednoduché spojení pro každého, neboť vyšší zabezpečení vyžaduje instalaci certifikátů i na straně vzdáleného PC, znalost jeho IP tak, aby z jiného PC nebylo spojení možné atd. Na bezpečnost, je vzhledem k principu, kladen veliký důraz, což je jen dobře.


Nevelká krabice v sobě skrývá vlastní přístroj ve 40mm modulu PLC Simatic S7-300, samozřejmě použitelný i pro mnoho dalších typů a výrobců PLC, dále CD s ovladačem a další podporou, jeden ethernetový kabel a průvodce rychlého nastavení. Jako příslušenství můžete mít ještě adaptér na DIN lištu.

Některé technické parametry:

  • Vestavěný router: Dial In, Dial Out, callback function, DHCP server and client, firewall, DynDNS, NAT/PAT.
  • VPN: IPSec, PPTP, openVPN.
  • Autentifikace PPP: PAP, CHAP.
  • Autentifikace VPN: PSK, X.509 certificates
  • Šifrování VPN: AES, DES/3DES.
  • MPI/Profibus: RS485 - 9,6 kbps to 12 Mbps.
  • Konfigurace: přes web interface local/remote.

REX300 VPN/WAN router Helmholz 


Připojení k PLC přes cannon 9pin, který naparametrizujeme buď na Profibus/MPI pro Simatic S7, nebo jako sériový pro spoustu jiných PLC. Zelené svorečky obstarají v případě potřeby napájení 24VDC. Zbývají dva RJ45 konektory, jeden pro siť LAN a druhý pro WAN.

První doplnění pro vymezení pojmů pro všechny, kteří nejsou zrovna experty na síťě:

- Síť LAN zde představuje místní, interní síť pro připojení parametrizačního notebooku, dále nějakého OP panelu atd.

- Síť WAN je určena k připojení do internetu, tedy "nadřazené" sítě.

Pro nastavení a provoz si tedy připravíme dvě volné IP adresy, jednu pro WAN a druhou pro LAN síť.

REX300 VPN/WAN router Helmholz 

 

Dlouhá cesta ještě bude k tomuto obrázku, kde je již zachycena probíhající vzdálená komunikace dobrovolníků s naším PLC Simatic S7-315 2DP, neboť nelze být na dvou místech najednou. Jejich jména s poděkováním jsou uvedena na konci článku.

Než ale začneme, je nutné si nějak srozumitelně objasnit principiální věci ohledně této vzdálené správy, nejsme všichni IT specialisté, abychom dokázali posoudit, zda je tento typ vzdálené správy PLC pro nás vyhovující a hlavně průchodný, co do nastavení. To je velmi důležité, proto je nejvýš vhodné poradit se s odborníkem, správcem Vaší sítě.

Obecně je vždy problém, jak se dostat do PLC z internetu, když PLC nemá veřejnou IP a je za jedním nebo několika routery s veřejnou IP, které zajišťují přímé připojení do internetu pro desítky nebo stovky PC? Typický příklad jsou firmy, panelové domy atp. Router ví, že "zdola" přišel požadavek na data do internetu a příchozí pakety z té adresy přesměruje na PC odkud přišel požadavek. To je princip, tedy komunikace je řízená "zdola".  Pro vzdálenou správu je jedna z variant použít speciální "modem", který neustále lehce komunikuje se zřízeným serverem na internetu a udržují spolu spojení "zdola", tedy stejně jako když si z PC prohlížíte nějaký web. Pak se stačí na server odkudkoliv přihlásit a spojení na PLC je raz-dva. Jedna z dalších variant je i mobilní GSM síť a patřičný modem.

REX300 VPN/WAN router Helmholz 


Druhá varianta, kterou používá REX300, je varianta s forwardováním portů, při které má router nastaveno, že pokud přijde požadavek na data z internetu na jeho veřenou IP adresu s číslem portu, přesměruje pakety na vnitřní IP adresu PC, kterou má v sobě nastavenu k příslušnému portu. Tohle nastavení portů Vám musí udělat provider. A pokud používáte připojení přes více dalších routerů, tak nastavení není většinou nic jednoduchého. Relativně nejjednodužší je tohle nastavení portů při připojení přes ADSL modem a telefoní linku, kde ADSL modem má veřejnou IP a celé nastavení modemu máte v rukou Vy sami a nebo IT specialista.

Lehká poznámka, pokud před některým IT správcem a zároveň pracovníkem odpovědným za bezpečnost sítě a dat ve firmě pronesete něco o nutnosti forwardingu portu, začnou se mu ježit vlasy na hlavě a ..... Pro uklidnění, neplatí to obecně, navic REX podporuje VPN šifrování + datové certifikáty. Ovšem zdaleka nejlepší zabezpečení, je odpojení datového kabelu.

Takže ověříme si, že pro IP adresu WAN siťě, nám provider forwardoval patřičný port. Nástrojů na to je dost, například tento. My jsme nejdříve nastavili IP adresu vyhrazenou pro REX našemu PC a ověřili forwarding. Navíc je vhodné přes příkaz cmd a ipconfig získat přehled o IP adresách a DNS serveru našeho připojení. Budeme to potřebovat. Poté se adresa vrátí zase REXovi.

REX300 VPN/WAN router Helmholz 

 
REX300 nabízí možnost resetu do továrního nastavení, kterou využijeme. Nikdy totiž nevíme, jak to bylo a lépe je začít z "čisté vody".

REX300 VPN/WAN router Helmholz 

 

Celá konfigurace REXe probíhá přes webové rozhraní, takže se připojíme na defaultní IP a nastavíme si naši LAN adresu. Tady se budeme stále připojovat pro konfiguraci REXe, nebo, což bude ukázáno dále, pro připojení na PLC Simatic z PC ve vnitřní LAN síti.

Celé nejdůležitější nastavení REXe si ukážeme, neboť v návodu je to popsáno dost univerzálně. V menu vlevo a nahoře je zeleným zvýrazněním vidět, ve které části konfigurace routeru se právě nacházíme.

REX300 VPN/WAN router Helmholz 


Nastavení síťě WAN. Pro IP adresu 192.168.1.10 nám byl jen pro účely tohoto testu a na omezenou dobu forwardován providerem port.

Další lehká poznámka. Celé nastavení můžete vytvořit pomocí "Wizarda", ovšem srozumitelnější i vzhledem k pochopení principu, je naše nastavení "krok za krokem".

REX300 VPN/WAN router Helmholz 


Internetové připojení žádné, pro naši variantu se ve skutečnosti použije nastavení WAN siťě. Tohle je samozřejmě v manuálu zmíněno, jinak Vás to nenapadne a nikdy spojení nepojede.

REX300 VPN/WAN router Helmholz 


DNS server, vlastně překladač IP adres v internetu. Použijeme ten z nastavení připojení do internetu našeho providera.

To je vše ohledně nastavení sítě, ostatní nastavení (Hosts a DynDNS službu) pro náš test nepoužijeme, tedy je nepotřebujeme nijak aktivovat.

REX300 VPN/WAN router Helmholz 


Konečně se dostaneme k nastavení spojení z REX300 na PLC Simatic S7. Jediné co je potřeba tady nastavit, je číslo našeho forwardovaného portu a jeho uvolnění přes REX firewall. Standardně je totiž port samozřejmě jiný. 

REX300 VPN/WAN router Helmholz 


Abychom se při prvních pokusech s dálkovou správou REX300 ještě nemuseli plést s nastavením firewallových "propustí", povolíme veškerou komunikaci. Vždy totiž po zprovoznění REX300 můžeme nastavení "přitvrdit", neboť ne vždy vše pojede na první pokus, a pak nevíme jestli nás drží firewall, nebo máme špatně něco jiného.

REX300 VPN/WAN router Helmholz 


Připojíme síťové kabely a v systémových informacích už vidíme naše nastavení. Pokud je něco jinak není to dobře a překontrolujeme proto zpětně celé nastavení sitě.

REX300 VPN/WAN router Helmholz 


Ve statusu interfaces jsou vidět i počty příchozích a odchozích datových paketů. Dále jsou dostupné další detailní výpisy spojení, pro případné IT specialisty. 

REX300 VPN/WAN router Helmholz 


Internetové připojení musíme ověřit, jinak nemá smysl pokračovat dále. Pingneme si na nějakou adresu v internetu a ihned vidíme co a jak. Pokud je vše OK máme nastavení REX300 hotovo.

Samozřejmě že jen pro naši variantu, pro další a další varianty připojení a hlavně zabezpečení je nastavení vždy trochu jiné, ale pro začátek a ověření funkce to stačí.

Opětovná lehká poznámka: Na zabezpečené spojení doporučuji podrobně přečíst detailní návod krok za krokem, nebo vyhledat pomoc síťového specialisty, a nebo přímo technický support společnosti Helmholz.

REX300 VPN/WAN router Helmholz 


Jako u každého routeru je možné a velmi vhodné, si nastavení REXe uložit do souboru.

REX300 VPN/WAN router Helmholz 


A teď už se můžeme plně věnovat Step7 a vzdálenému spojení s PLC Simatic. Samozřejmě, že budeme potřebovat "ovladač" přímo do Step7, tedy do PG/PC interface, bez něj nám ani nikomu jinému nic nepojede. Ten najdeme na přiloženém CD, doporučuji ale zkontrolovat poslední verzi na internetu, používal jsem verzi 2.8.4.1. Instalátor ovladače je společný i pro některé další NETLink adaptéry.

REX300 VPN/WAN router Helmholz 


Vyhledáme interface NET Link-S7-NET PRO Family ... a přidáme jej klasicky mezi naše instalované moduly.

REX300 VPN/WAN router Helmholz 


Celá instalace interface musí proběhnout až do zdárného konce. Jakékoliv přerušení povede k nefunkčnosti ovladače.

REX300 VPN/WAN router Helmholz 


Konečně hotovo. Spustíme Step7 a v nastavení interface připojení vybereme NETLink PRO Family s připojením Profibus, nebo MPI, podle fyzického spojení REX300 a PLC Simatic.

Nastavíme ve vlastnostech IP adresu REXe, ale tu vnitřní tedy LAN. Poté už se standardně ve Step 7 připojíme na CPU, jako by bylo u nás na stole. Funguje to okamžitě.

Jedná se ale o připojení z vnitřní sítě a k vůli tomu jsme REXe přece neinstalovali, takže najdeme někoho ochotného (navíc znalého PLC a Step7) k našim pokusům, nebo sbalíme notebook pod paži a vyrazíme hledat připojení do internetu mimo naši oblast. Jen ne blízko k sousedovi, který může být pod stejným routerem stejného providera jako my.

 

REX300 VPN/WAN router Helmholz 


Ochotný kolega z technického supportu společnosti Helmholz až v Německu vyzkoušel první připojení a poslal i dva screnshoty z nastavení interface. Mockrát děkujeme za podporu.

Pro připojení přes MPI stačí zvolit jen MPI variantu v PG/PC interface, nastavení IP adresy a portu je shodné s Profibus připojením (viz. dále). Samozřejmě přehodit fyzicky kabel na správný konektor PLC.

REX300 VPN/WAN router Helmholz 


Parametry spojení v nastavení stanice, kde IP adresa je venkovní adresa našeho providera + náš forwardovaný port pro naši WAN IP adresu REX300. To vše v nastavení Step7 u externích spolupracovníků.

Oba screnshoty jsou v němčině a stříbrná Windows.

REX300 VPN/WAN router Helmholz 


Tím druhým ochotným kolegou byl pan Jaroslav Peterka ze společnosti Foxon, který se následně věnoval dalším jednodenním pokusům s dálkovým spojením z jeho PC a Step7 na náš Simatic S7, přesně podle mých pokynů přes Skype, za což mu patří také veliký dík.

Celková zkušební sestava, kdy už vše jede k oboustrané spokojenosti. Připojení je opravdu velmi rychlé a není znatelný rozdíl mezi místním a vzdáleným PLC. 

REX300 VPN/WAN router Helmholz 


Jak bylo zmíněno v úvodu, REX300 podporuje mnohem více druhů komunikací vzdálené správy a všechny jsou v jedné sestavě neustále funkční v centrále společnosti. Stačí se na ni připojit a vše si zkusit. Na celou sestavu navíc míří neustále web kamera, takže sledujete své připojení opravdu "na živo", jen v noci jsou vidět pouze obrysy PLC a poblikávání LED diod. Pokud nevěříte, zkuste to tady.

Tento list sestavy je ke stažení v pdf formátu na konci článku, nebo se kliknutím zvětší do čitelné podoby.

REX300 VPN/WAN router Helmholz 


Závěr: 

Pomocí forwarding portu jsme vlastně vytvořili "díru" z internetu přes routery až na náš REX300. Společnost Helmholz ve svém REXu nabízí VPN nástroje a nastavení tak, aby tento typ připojení byl opravdu bezpečný, připojení fungovalo jen z určitého počítače atd. Nastavení a instalace následných bezpečnostních certifikátů pro zabezpečené spojení už ale není úplně jednoduchou záležitostí, ale v návodu k REX300 je vše podrobně krok za krokem vysvětleno, takže trochu trpělivosti a bude to. Pokud se přece jenom někde ztratíte, stačí se obrátit na technickou podporu Helmholz buď u nás, nebo přímo u výrobce v Německu.

Nebo použít druhou variantu "zabezpečení", kterou už jsem mimochodem několikrát viděl, a sice praktikovat výše vedené nastavení s tím, že WAN konektor nebude fyzicky připojen do REXe a připojí se jen v případě potřeby po telefonické domluvě s programátorem na nezbytnou dobu. Jak praví expert, "nejbezpečnější připojení do internetu je žádné připojení".

Jaroslav Blažek


Doplňující odkazy k článku: 

Společnost Helmholz Česká republika, kontakt, podpora: http://helmholz.cz/

Popis REX300 v češtině: http://helmholz.cz/index.php?stranka=produkty&produkt=rex-300

Společnost Helmholz, manuály, podpora : http://www.helmholz.de/

Helmholz testovací sestava Simatic S7 s adresami v pdf: helmholz_test_web

 

Blaja automation portal

 

Pro psaní komentářů se přihlašte

Kontakt

email : blaja @blaja.cz
email reklama: info @blaja.cz
email adresy bez mezery 
před zavináčem

Jaroslav Blažek
Štěpánská 1888
755 01 Vsetín
+420 608 180 209