Links hierher Zu Buch hinzufügen PDF exportieren Seite umbenennen Buch erstellen Diese Seite zum Buch hinzufügen Buch erstellen Diese Seite aus Buch entfernen Buch anzeigen, ändern (0 Seite/n) Hilfe TeleR2 / TeleR4 / S7-Firewall TeleR²-Router PPPoE | Art.Nr. 9374-PPPOE TeleR4-Router PPPoE | Art.Nr. 9374-4-PPPOE S7-Firewall | Art.Nr. 9374-S7-Firewall © by TIS Einführung Die TeleR sind skalierbare Router. Über das integrierte WEB-Interface lässt sich TeleR² / TeleR4 konfigurieren und bedienen. Anwendungen für TeleR² / TeleR4 sind z.B. Gateway / Verbinden / Fernwarten von: Automatisierungsnetzen ProfiNet-Netzwerken Standard-Ethernet Netzwerke. Insbesondere unterstützt TeleR² / TeleR4 die Simatic-S7 Systeme von Siemens. Mit wenigen Handgriffen ist TeleR² / TeleR4 in der gewünschten Betriebsart einsatzbereit. Für TeleR² / TeleR4 stehen je nach Betriebsart Erweiterungsmodule zur Verfügung. Gerätevarianten In der Standardausführung ist TeleR² mit einem WAN Port und einem LAN Port und der TeleR4 mit einem WAN Port und 3 LAN-Ports, ausgeführt als Switch, bestückt. Folgende Betriebsarten sind möglich. Betriebsarten Ethernetgateway (bridge) IP-Router Anschluss an DSL/Kabelmoden (PPPoE) Services DHCP Client/Server PPPoE-Client NTP Client/Server OpenVPN Client/Server (VPN@Office) DynDNS Client Firewall Anschlüsse 1 x WAN 1 / 3 x LAN-Port als Switch Der erste Start Sie benötigen für die Konfiguration einen PC mit Webbrowser Spannungsversorgung an POW herstellen PC und TeleR-Router via Ethernetkabel verbinden IP-Adresse im IP-Bereich des TeleR2 / TeleR4 einstellen für WAN-Seite 192.168.1.x für LAN-Seite 192.168.2.x Im Browser die IP-Adresse des TeleR-Routers aufrufen für WAN-Seite 192.168.1.57 für LAN-Seite 192.168.2.1 Das Loginfenster mit „OK“ bestätigen Legen Sie unter WEB-Benutzer einen SuperUser (su) an Je nach Einsatz müssen Sie unterschiedliche Einstellungen tätigen Routen zwischen zwei Netzen OVPN-Server OVPN-Client PPPoE Profinet-Router IP-Address-Changer Firewall-Router mit IP-Address-Changer Verbindung zum TeleR aufbauen OVPN-Software für PC 2 TeleR verbinden Routing einstellen Einsatz Routen zwischen zwei Netzen Damit TeleR² / TeleR4 zwischen zwei Netzen routen kann, müssen Sie folgende Einstellungen tätigen: Konfiguration Routing Mode einstellen Büro, für Routing vom LAN zum Routinginterface Maschine, für Routing vom Routinginterface zum LAN Routinginterface1): WAN/IP WAN/LAN IP-Adresse(n) einstellen Benutzer WEB-Benutzer Superuser (su) anlegen (verhindert ungewollten Zugriff) Für die Verbindung zwischen den Netzen Routing einstellen OVPN-Server Im TeleR² / TeleR4 haben wir das populäre, unter Opensource veröffentlichte, OpenVPN implementiert. Detaillierte Informationen finden Sie unter http://www.openvpn.net. Mit OpenVPN stellen wir im TeleR² / TeleR4 ein neues Netzwerkinterface zur Verfügung. Dieses Interface wird quasi über einer Leitung (virtuelle Leitung) mit dem OpenVPN-Interface des Partnergerätes verbunden. Die Leitung wird mit Software realisiert. Dabei werden sämtliche Protokolle für dieses Interface, über einen eigenen UPD/TCP-Kanal, ausgetauscht. Man kann sagen es wird eine Telefonverbindung zwischen den Geräten per UDP / TCP hergestellt. Selbstverständlich ist die Verbindung verschlüsselt. Die Schlüssel sind im TeleR² / TeleR4 hinterlegt. Gehen Sie wie folgt vor: Konfiguration Routing Mode: Maschine (Routing vom Routinginterface zum LAN) Routing Interface2): WAN/OVPN Open VPN OVPN-Mode: Server (UDP) oder Server (TCP) ggf. Standardport ändern IP-Pool: IP-Adressbereich für die OVPN-Verbindung Interface: Hier stellen Sie die zu erreichenden Interfaces ein ggf. Dienste am Interface aktivieren (Webinterface, Ping, SSH (nur für Entwickler)) VPN-Benutzer anlegen OVPN-Client Im TeleR² / TeleR4 haben wir das populäre, unter Opensource veröffentlichte, OpenVPN implementiert. Detaillierte Informationen finden Sie unter http://www.openvpn.net. TeleR² / TeleR4 kann auch als OVPN Client betrieben werden. Wenn dieser Modus aktiviert ist, wird automatisch eine OVPN-Verbindung zum OVPN-Server aufgebaut. Sie können diesen Modus verwenden, wenn z.B. der TeleR² / TeleR4 nicht am WAN-Port Routing zum LAN unternehmen soll. Gehen Sie wie folgt vor: Konfiguration Routing Mode: Büro3) Routing Interface4): WAN/OVPN Open VPN OVPN-Mode: Client (UDP) oder Client (TCP) ggf. Port anpassen unter Server-Adr. (nur Client) die IP-Adresse oder DNS des OVPN-Servers einstellen Benutzer und Passwort eintragen OVPN-Software für PC Auf unserer Webseite finden Sie als Download einen Open VPN Installer für Windows 32/64-bit. In diesem Paket ist eine Vorkonfiguration für unseren TeleR² / TeleR4 enthalten. Open VPN Verbindungen können natürlich auch von Linux oder Mac Betriebssystemen aufgebaut werden. Open VPN Client Anwendung installieren Konfigurationsdaten installieren unter C:\Program Files\OpenVPN\config finden Sie normalerweise die Konfigdateien öffnen Sie „TProf2config.ovpn“ und geben die OVPN-Server Daten ein remote „Server-IP-Adresse“ Port „Server Port“, default 1194 proto udp (default) oder tcp (wie OVPN-Servereinstellung) Starten Sie die OVPN-Client Anwendung als Admin in der Taskleiste unten rechts finden Sie die Anwendung Rechtsklick, gewünschtes Profil auswählen „Verbinden“ klicken anschließend Benutzer und Passswort eingeben bei Verbindungsaufbau werden alle nötigen Einstellungen gesetzt 2 TeleR verbinden Es können zwei TeleR miteinander verbunden werden. Dabei wird der Tunnel zwischen den zwei Geräten aufgebaut und alle Nutzer des Firmennetzes können somit auf das entfernte Netz zugreifen. Damit der Anwender diese Verbindung nutzen kann, muss er am PC oder im Router, lediglich das Routing richtig einstellen. Beispiel: TeleR IP-Adresse LAN im Haus: 192.168.0.100 TeleR IP-Adresse LAN an Maschinenseite: 192.168.3.50 IP-Adresse SPS: 192.168.3.10 Um zwei TeleR miteinander zu verbinden, gehen Sie wie folgt vor: den TeleR an der Maschinenseite als OpenVPN-Server einrichten Open VPN OVPN-Mode „Server (UDP)“ oder „Server(TCP)“ einstellen Interfaceberechtigungen einstellen (PING, Webinterface) VPN-Benutzer einrichten Konfiguration Routing-Mode: „Maschine“ Routinginterface5): „WAN/OVPN“ WAN/LAN Adresse(n) einstellen ggf. PPPoE einstellen ggf. DynDNS einstellen den TeleR im eigenen Haus als OpenVPN-Client einrichten Open VPN OVPN-Mode „Client (UDP)“ oder „Client (TCP)“ einstellen VPN-Server-Adresse, Benutzer und Passwort eingeben Konfiguration Routing Mode: „Büro“ Routing Interface6) „WAN/OVPN“ WAN/LAN Adresse(n) einstellen ggf. PPPoE einstellen Für die Verbindung zwischen den Netzen Routing einstellen Sie können die Konfiguration testen, indem Sie einen Ping z.B. auf den Netzwerkport des Zielnetzes ausführen (Interface „Ping“ erlauben muss gesetzt sein) PPPoE TeleR² / TeleR4 unterstützt das PPPoE-Protokoll. Legen Sie hier die Parameter zum Betrieb an einem DSL / Kabelmodem fest. Zur Übersicht und zur einfacheren Konfiguration sind hier auch die Einstellungen für Standardgateway und DNS möglich. In der Regel sollte hier auf „auto von PPPoE“ gestellt werden. Konfiguration Routing-Mode einstellen Büro, für Routing vom LAN zum Routing Interface Maschine, für Routing vom Routing Interface zum LAN Routing Interface7): WAN/PPPoE oder WAN/OVPN PPPoE: aktivieren Benutzerdaten vom Provider eingeben ggf. Gateway einstellen z.B. auf „auto von PPPoE“ einstellen Profinet-Router TeleR² / TeleR4 kann optional als Profinet-Router betrieben werden (Option Profinet). Dafür benötigen Sie 2 TeleR² / TeleR4. Die ProfiNet-Verbindung wird über eine gesicherte OVPN-Verbindung realisiert. Die VPN-Verbindung kann über WAN/IP oder über WAN/PPPoE aufgebaut werden. Der als OVPN-Client eingerichtete Router, verbindet sich automatisch zum OVPN-Server. Achtung: Es ist kein Echtzeitdatenaustausch möglich So richten Sie eine ProfiNet - Verbindung mit 2 x TeleR² / TeleR4 ein: Um zwei TeleR miteinander zu verbinden, gehen Sie wie folgt vor: TeleR an der Maschinenseite als OpenVPN-Server einrichten Open VPN OVPN-Mode: „Server (UDP)“ oder „Server(TCP)“ Interfaceberechtigungen einstellen (PING, Webinterface) VPN-Benutzer einrichten Konfiguration Routing-Mode: „Maschine“ Routinginterface8) „WAN/IP“ oder „WAN/PPPoE“ evtl. DynDNS / PPPoE aktivieren TeleR im eigenen Haus z.B. als OpenVPN-Client einrichten (Menü Open VPN) Open VPN OVPN-Mode: „Client (UDP)“ oder „Client (TCP)“ VPN-Server, -Benutzer und Passwort eingeben Konfiguration Routing Mode: „Büro“ Routing Interface9): „WAN/IP“ oder „WAN/PPPoE“ Für die Verbindung zwischen den Netzen Routing einstellen Führen Sie einen Ping z.B. auf den Netzwerkport des Zielnetzes aus (Interface „Ping“ erlauben muss gesetzt sein) IP-Address-Changer Mit dem IP-Address-Changer können Netzwerkteilnehmer unterschiedlicher Subnetze miteinander verbunden werden ohne Änderung der Netzwerkkonfiguration der Netzwerkteilnehmer. Weitere Informationen finden Sie unter Option IP-Address-Changer Firewall-Router mit IP-Address-Changer Sie können den TeleR mit einer S7-Firewall erweitern. Somit können Sie die Routing- und die Firewallfunktionen gleichzeitig nutzen. Weitere Informationen finden Sie unter Option IP-Address-Changer Beispiel: SPS IP-Adresse: 192.168.1.85 Firmennetz IP-Bereich: 192.168.10.1 - 192.168.10.250 TeleR4 WAN IP: 192.168.10.57 TeleR4 LAN IP: 192.168.1.1 Die IP-Adresse der SPS kann nicht verändert werden und soll vom Firmennetzwerk erreichbar sein. Die SPS soll unter der IP-Adresse: 192.168.10.30 zu erreichen sein. Zugriffsberechtigte IP-Adresse: 192.168.10.25 Verfügbare Datenbereiche: lesend MB 0-20 Gehen Sie wie folgt vor: Konfiguration Routing-Mode einstellen Maschine, für Routing vom Routing Interface zum LAN Routing Interface10): z.B. WAN/IP, für IP-Routing WAN-LAN-Einstellungen WAN IP-Adresse: 192.168.10.30 Subnet Mask: z.B. 255.255.255.0 LAN IP-Adresse: 192.168.1.1 Subnet Mask: z.B. 255.255.255.0 S7 Firewall Einstellungen S7-Firewall Betrieb: S7-Firewall Router Firewall HMI/PG Stationen Name: z.B. PC1 IP-Bereich: 192.168.10.25 Verbindungskanal z.B. OP/HMI Firewall SPS-Stationen Name: z.B. Extruder IP-Addr-Bereich: 192.168.10.30 S7-Firewall Verbindungen Name: z.B. MS aktiv: Haken setzen HMI/PG: PC1 auswählen SPS: Extruder auswählen bei Bedarf noch Haken bei PG-Vollfunktion und/oder Voller Zugriff setzen. In diesem Beispiel nicht gewünscht! Auf den Namen der erstellen Verbindung klicken, hier MS Als Regel: „r:MB0,21“ eingeben. Somit können MB 0 - MB 20 gelesen werden Alle weiteren gewünschten Datenbereiche, mit dem gewünschten Lese-/Schreibzugriff, freigeben S7-Firewall neustarten IP-Address-Changer aktiv: Haken setzen im ersten IP-Adresspaar, Haken bei aktiv setzen auf der WAN-Seite, 192.168.10.30 eingeben auf der LAN-Seite, 192.168.1.85 eingeben Siehe auch Mögliche Ursache, wenn Sie keine Daten erhalten Routing einstellen Damit Sie das Anlagennetz über den PC erreichen können, gibt es mehrere Möglichkeiten: Eingabeaufforderung/Konsole als Administrator starten lokales Routing hinzufügen: route add „Ziel-IP“ „Gateway“ z.B. route add 192.168.3.10 192.168.3.50 oder gesamten IP-Bereich: route add „Ziel-IP-Bereich“ mask „Netmask“ „Gateway“ z.B. route add 192.168.3.0 mask 255.255.255.0 192.168.3.50 Befehl route print gibt die aktuell gesetzten Routen aus Testen Sie das Routing z.B. mit einen Ping zum Zielnetz In Ihrem Router / Switch, Routing zum TeleR² / TeleR4 WAN-IP eintragen Testen Sie das Routing z.B. mit einen Ping zum Zielnetz Webinterface Im Hauptmenü „Konfiguration“ finden Sie alle nötigen Einstellungen, für den Betrieb des TeleR² / TeleR4. Die Eingabeformulare sind in der Regel selbsterklärend. Gerne nehmen wir aber Anregungen von Anwendern entgegen, um die Bedienung noch einfacher zu gestalten. Im Auslieferzustand sind folgende IP-Adressen eingestellt: WAN: 192.168.1.57 LAN: 192.168.2.1 ohne DHCP-Server Sie haben folgende Optionen, per WEB-Browser TeleR² / TeleR4 anzusprechen: Am PC eine IP-Adresse aus dem entsprechendem Netzsegment vergeben (z.B. 192.168.1.100 oder 192.168.2.100) und den PC entsprechend mit LAN oder WAN über Ethernet verbinden. Im Browser http://192.168.1.57 bzw. http://192.168.2.1 eingeben Konfiguration Parameter mögliche Einstellung Routingrichtung / Funktion Gerätename „nach belieben“ ProfiNet ja /nein legt fest ob das TeleR² / TeleR4 als ProfiNet-Router verwendet werden soll. legen Sie als Routinginterface WAN/OVPN fest! Standard Gateway fest (wie vorgegeben) von WAN über DHCP von WAN über PPPoE von LAN über DHCP von Modem über PPP 1. DNS 2. DNS Routing Mode Büro vom LAN zum Routinginterface Maschine Routinginterface zum LAN Routinginterface WAN/IP IP-Routing über WAN WAN/PPPOE IP-Routing über PPPoE am WAN-Port WAN/OVPN nur Routing über OVPN am WAN-Port WAN/LAN Einstellungen Der WAN/LAN-Port kann jeweils bis zu 3 verschiedene IP-Adressen und Subnetze erhalten. Der Port kann auch als DHCP-Server oder Client betrieben werden. Die notwendigen Daten für die IP-Zuordnung werden hier eingegeben. Für den Betrieb als DHCP/Server, können feste Zuordnungen MAC-IP-Adresse festgelegt werden (Siehe weiter unten, „DHCP feste Adressen„). Weiter wird festgelegt, welche Services am Port zur Verfügung stehen Web-Konfig, Ping , SSH (nur für Entwickler) DHCP-Server Betrieb DHCP-Einstellungen: DHCP: Server Start-IP eintragen z.B. 192.168.2.100 End-IP eintragen z.B. 192.168.2.150 Subnet eintragen z.B. 255.255.255.0 Router-IP: z.B. LAN-IP 192.168.2.1 1.DNS: DNS-Server-IP eintragen Modem An die USB-Schnitstelle kann ein USB-Modem gesteckt werden, welches die Einwahl ins Internet vornimmt. Eine Modemverbindung wird als PPP-Verbindung realisiert. So kann TeleR² / TeleR4 auch mit anderem Einwahlroutern verwendet werden. Somit ist TeleR² / TeleR4 ein idealer Ersatz z.B. für Teleservice IE von Siemens. Parameter mögliche Einstellung Beschreibung Wählmodus Ton Impuls Einwahlverfahren zum Internet. Standard ist Ton, nur alte Telefonanlagen erfordern Impuls Nebenstelle Ja Nein Gibt an, ob der Betrieb an einer Telefonanlage erfolgt. Bei Ja sollte die Amtanwahl eingestellt werden Amtanwahl Zahl Wird nur an Telefonanlagen benötigt, die eine Anwahl zum externen Telefonnetz erfordern Klingelanzahl 0-5 Anzahl der Klingelzeichen. Bevor das Modem einen Anruf entgegen nimmt. 0 = Modem hebt nicht ab Land Auswahl des Landes, in dem das Gerät betrieben wird Das Modem passt sich an die technischen Eigenschaften der Telefonleitung im jeweiligen Land an. In der Regel genügt eine Auswahl zwischen Europa/Germany und USA max. Baudrate Maximale Verbindungsgeschwindigkeit, die das Modem verwendet Bei schwankender Leitungsqualität kann es effektiver sein, das Modem mit niedrigerer Geschwindigkeit zu betreiben. Dies spart automatisches Aushandeln neuer Modulation lokale IP-Adresse IPv4 IP-Adressen bei Auto keine Einstellungen nötig Partner IP-Adresse IPv4 IP-Adressen bei Auto keine Einstellungen nötig Dienste am Interface Web-Config Ping SSH Dienste die am Interface verfügbar sein sollen ProfiNET-Router (nur bei ProfiNET-Option möglich) Ist ProfiNet aktiviert, wird TeleR² / TeleR4 zum Verbinden / Fernwarten von ProfiNet-Netzwerken verwendet. Hier ein schematisches Beispiel: Die ProfiNet-Verbindung wird über eine gesicherte VPN-Verbindung realisiert. Die VPN-Verbindung kann über WAN (TCP/IP) oder über WAN / PPPoE aufgebaut werden. So richten Sie eine ProfiNet - Verbindung mit 2 x TeleR² / TeleR4 ein: ProfiNet-Option auf beiden Geräten aktivieren eine Seite als OpenVPN-Server und die andere als OpenVPN-Client einrichten (siehe weiter unten) evtl. DynDNS / PPPoE aktivieren Einstellungen Konfiguration: Parameter mögliche Einstellung Routingrichtung / Zweck Gerätename „nach belieben“ ProfiNet ja legt fest ob das TeleR² / TeleR4 als ProfiNet-Router verwendet werden soll. Routinginterface: WAN/OVPN fest! Standard Gateway - fest (wie vorgegeben) - von WAN über DHCP - von WAN über PPPoE - von LAN über DHCP 1. DNS 2. DNS Routing Mode Büro ermöglicht Routing vom LAN zum Routinginterface, TeleR-Router im eigenen Haus Maschine ermöglicht Routing vom Routinginterface zum LAN, TeleR-Router an der SPS-Seite Routinginterface WAN/OVPN Routing über OVPN am WAN-Port Die Geräte verbinden sich automatisch. Bei erfolgreicher Verbindung kann zwischen den beiden ProfiNet-Netzwerken kommuniziert werden. Achtung! Es ist kein Echtzeitdatenaustausch möglich. Statische Routen Parameter mögliche Einstellung Funktion Datensatz löschen Datensatz editieren Datensatz speichern Name „nach belieben“ Dient z.B. zur Identifikation Ziel 192.168.3.1 Ziel IP-Adresse oder Bereich, in den geroutet werden soll Adr.-Typ net Gesamter IP-Bereich wird geroutet host nur diese IP-Adresse wird geroutet Netmask z.B. 255.255.255.0 Netmask der IP-Adresse bzw. des IP-Bereiches Gateway z.B. 192.168.1.1 Gateway für Routing Proxy Einstellungen Parameter mögliche Einstellung Funktion Verwende Proxy ja/nein Proxy ein oder ausschalten Adresse/Name z.B. 192.168.1.253 IP-Adresse oder DNS des Proxy-Servers Port z.B. 25000 Port des Proxy-Servers Auth-Mode Option IP-Address-Changer Mit dem IP-Address-Changer können Netzwerkteilnehmer unterschiedlicher Subnetze miteinander verbunden werden ohne Änderung der Netzwerkkonfiguration der Netzwerkteilnehmer. Anwendung: z.B. Serienmaschinen, welche vom Hersteller immer dieselbe IP-Adresse besitzen, sollen in ein Netzwerk gebracht werden. Maschinen / Geräte mit unterschiedlichem Subnetzt sollen miteinander kommunizieren. Funktion: Die Maschinen / Geräte, welche in ein anderes (gemeinsames neues) Subnetz gebracht werden sollen, sind an der LAN-Seite anzuschliessen (direkt oder über Switch). Im TeleR2/R4 macht eine automatische Umsetzung von IP-Adressen auf WAN-Seite zu IP-Adressen auf der LAN-Seite. Dabei nimmt TeleR2/R4 quasi ein Proxy-IP-Adresse auf der WAN-Seite ein und verbindet diese simultan mit der zugewiesenen IP-Adresse auf der LAN-Seite. Da TeleR2/R4 pro Interface (WAN/LAN) verschiedene IP-Adressen bzw. Subnetze erhalten kann, ist es möglich LAN-seitig unterschiedliche Subnetze zu mischen, solange keine IP-Adresse mehrfach vorkommt. Hier ein Beispiel: Es soll ein Datenerfassungssystem eingesetzt werden, welches von unterschiedlichen Maschinen die Daten abgreift. Das Erfassungssystem sitzt im Firmen- / Büronetzwerk. Firmennetz: 192.168.3.0 Netmask 255.255.255.0 Maschinennetz 1: 192.168.1.0 Netmask 255.255.255.0 zwei Maschinen: 192.168.1.10, 192.168.1.11 Zuordnung der IP-Adressen: 192.168.3.15 –> 192.168.1.10 192.168.3.16 –> 192.168.1.11 Maschinennetz 2: 192.168.2.0 Netmask 255.255.255.0 eine Maschine: 192.168.2.5 Zuordnung der IP-Adressen: 192.168.3.26 –> 192.168.2.5 Konfiguration sieht wie folgt aus: Für die Verbindung müssen Sie lediglich folgende Einstellungen tätigen: Routing Mode: Maschine11) Routing Interface12): WAN/IP WAN/LAN Einstellungen anpassen WAN-IP: 192.168.3.x für LAN 2 IP-Adressen festlegen: erste IP-Adresse aus 192.168.1.x-Netz zweite IP-Adresse aus 192.168.2.x-Netz IP-Address-Changer Konfiguration Die Netzteilnehmer können nun vom Firmennetz (LAN-Seite) 192.168.3.xxx aus angesprochen werden. PPPOE-Einstellungen Legen Sie hier die Parameter zum Betrieb an einem DSL / Kabelmodem fest. Zur Übersicht und zur einfacheren Konfiguration sind hier auch die Einstellungen für Standardgateway und DNS möglich. In der Regel sollte hier auf „auto von PPPoE“ gestellt werden. Auch hier kann selektiert werden, welche Services am Interface zur Verfügung stehen. Parameter mögliche Einstellung Zweck PPPoE an WAN ja / nein Legt fest, ob am WAN Port PPPoE aktiv sein soll PPPoE-Servicename optional wird Ihnen von Ihrem Internetprovider mitgeteilt. In der Regel frei Benutzername wie vom Provider übermittelt Kennwort wie vom Provider übermittelt Telefonbuch Parameter mögliche Einstellung Zweck Name Name des Eintrags Beliebig Telefonnummer Nummer des Teilnehmers Mit Mausklick auf die Nummer wird die Verbindung aufgebaut Baudrate (nicht bei ISDN) 1200- 56kBit maximale Verbindungsgeschwindigkeit mit dem Partner Benutzer Benutzer aus der DFÜ-Userliste Benutzer für den DFÜ-Zugang, wird unter DFÜ-Benutzer verwaltet Im Telefonbuch werden alle Anlagen mit Modemanschluss verwaltet. Der Verbindungsaufbau mit einem Partner geschieht einfach durch Mausklick auf die Telefonnummer. Benutzer und Passwort werden in der DFÜ-Benutzer-Datenbank gepflegt. So ist es möglich einen Benutzer für mehrere Anlagen zu verwenden. TeleR² / TeleR4 kann auch für andere DFÜ-PPP-Zugänge verwendet werden Modem vor dem Start einstecken. Sollten Sie das Telefonbuch trotzdem nicht angezeigt bekommen, leeren Sie den Cache Ihres Browsers DynDNS Konfig Wenn TeleR² / TeleR4 per Internet z.B. per OpenVPN erreicht werden soll, muss die Internet-IP-Adresse des Gerätes bekannt sein. Sinnvoll ist hier nicht mit einer festen IP-Adresse zu arbeiten, da der Provider nach neuem Verbindungsaufbau (z.B. per PPPoE) evtl. eine neue IP-Adresse zuteilt. Sinnvoller ist es hier, das Gerät immer mit gleichem Domainnamen anzusprechen. Der Dienstleister DynDNS bietet hierfür im Internet einen Service an (http://www.dyndns.org). DynDNS = Dynamic DomainNameSever. Zum Betrieb des Services müssen Sie sich bei DynDNS anmelden. Näheres auf der Homepage von DynDNS. Bis zu 5 Dynamische IP-Adressen sind frei. Sollten Sie mehrere benötigen, können Sie bei DynDNS gegen Bezahlung, eine entsprechende Anzahl Domainnamen buchen. Der Preis ist sehr günstig ca. 30,- US$ im Jahr. Im Groben geht das so: Sie registrieren bei DynDNS den gewünschten Hostnamen. z.B. meineanlage.dynalias.com. Für Ihren Zugang erhalten Sie Benutzer und Passwort. Tragen Sie diese Daten in die Einstellung DynDNS-Konfig ein und setzen Sie „verwende DynDNS“ auf ja. Der DynDNS frischt im angegebenen Zeitintervall die Daten bei DynDNS auf. Sollte der Provider eine neue IP-Adresse zuteilen, so wird das innerhalb dieses Intervalls dank DynDNS wieder korrigiert. Ihren TeleR² / TeleR4 erreichen Sie dann unter dem registrierten Namen z.B. testgeraet.dyndns.org Diesen Domainnamen geben Sie in Ihrem Bürogerät beim VPN-Teilnehmer ein. Parameter mögliche Einstellung Zweck verwende DynDNS ja/nein Aktivieren bzw. Deaktivieren vom Service DynDNS Hostname z.B. tesgeraet.dyndns.org registrierter Hostname Update-Intervall 30 IP-Adress Ablgeich im eingestellten Minuten Intervall DHCP Feste MAC / IP-Adresszuordnung Wird der eingebaute DHCP-Server (am WAN oder LAN ) betrieben, kann es sinnvoll sein, bestimmten IP-Teilnehmern immer dieselbe IP-Adresse zuzuteilen. Hier können Sie festlegen welche MAC-Adresse, welche IP-Adresse erhält. Datum/Uhrzeit/NTP-Client Hier können sie direkt die Uhrzeit ändern. Damit TeleR² / TeleR4 immer mit aktueller Uhrzeit arbeitet, haben wir einen NTP-Client implementiert. So kann sich TeleR² / TeleR4 automatisch über einem im Internet oder mit einem anderen im Netz verfügbaren TimeServer, Datum und Uhrzeit, synchronisieren. Parameter mögliche Einstellung Zweck NTP-Client-Betrieb ja / nein schaltet NTP-Client ein oder aus Servicename IP-Adresse / Domainname des NTP-Servers Geben Sie hier die IP-Adresse bzw. den Domainnamen des gewünschten NTP-Servers ein. Achten Sie darauf, dass dieser Server über den angegebenen Routingweg erreichbar ist Zeitzone Zeitzone, in der TeleR² und TeleR4 betrieben wird notwendig, damit TeleR² / TeleR4 die korrekte Ortszeit besitzt Systemtaster, System zurücksetzen Den Konfigurationstaster finden Sie auf der Rückseite des Gerätes Unter dem Punkt „Systemtaster“ haben Sie zwei Möglichkeiten, was beim Betätigen des Tasters erlaubt ist. Es muss mindestens eine Option ausgewählt sein! erlaube Werkseinstellungen Das Gerät kann in den Auslieferungszustand gesetzt werden erlaube Start im Standardeinstellung Das Gerät bootet mit Netzwerk / IP-Adressen des Auslieferungszustandes Achtung! Benutzen Sie zum Konfigurieren einen der Switch Ports. Setzen Sie das Gerät nie im laufenden Betrieb zurück. Trennen Sie das Gerät vom Produktionsnetzwerk und führen den Reset in einer autarken Umgebung aus. Der Konfigurationsrechner und das Gerät sollten währenddessen nicht am Firmennetzwerk angeschlossen sein. Keine Sorge wir nehmen beim Betätigen noch keinen Werksreset vor. Es sind nur die oben aktivierten Möglichkeiten verfügbar. Grundeinstellung /Werkseinstellung Grundeinstellung: das Gerät bootet mit Netzwerk / IP-Adressen des Auslieferungszustandes (siehe Konfiguration) Einstellungen können geändert werden Netzwerkeinstellungen werden nach Neustart aktiv Werkseinstellung: alle Einstellungen werden gelöscht Gerät startet im Auslieferungszustand Ablauf: Büroklammer o.Ä. bereit legen Gerät stromlos machen wieder einschalten Power LED leuchtet im Dauerlicht wenn LED S1 aufleuchtet, den Taster mit Büroklammer gedrückt halten bis LED S1 ausgeht, dann Taster loslassen 13) Drücken Sie den Taster im gewünschten Modi LED S1 Blink-Modi: sehr langsames blinken ca. im 1/2 Sekunden Takt Grundeinstellung ausführen sehr schnelles blinken (im 50ms Takt) Werkseinstellung ausführen Routing Firewall Regeln Normalerweise ist das Routing auf alle Netzwerkteilnehmer erlaubt. Sobald ein Eintrag in dieser Tabelle existiert, wird ein Zugriff nur über die obigen Regeln möglich sein. In der Standardedition ist das Routing nur zum LAN bzw. von LAN möglich. Siehe Betriebsart. Der „Advanced-Betrieb“ erlaubt Regeln in beide Richtungen. Open-VPN Im TeleR² / TeleR4 haben wir das populäre, unter Opensource veröffentlichte, OpenVPN implementiert. Detaillierte Informationen finden Sie unter http://www.openvpn.net. Hier möchte ich kurz die Funktion des OpenVPN, wie es im TeleR² / TeleR4 implementiert ist, erläutern. Grundsätzlich gibt es zwei Betriebsarten des OpenVPN: Server oder Client. Als Server wird normalerweise das Gerät an der Anlage (Maschinen) konfiguriert. Mit OpenVPN stellen wir im TeleR² / TeleR4 ein neues Netzwerkinterface zur Verfügung. Dieses Interface wird quasi über einer Leitung (virtuelle Leitung) mit dem OpenVPN-Interface des Partnergerätes verbunden. Die Leitung wird mit Software realisiert. Dabei werden sämtliche Protokolle für dieses Interface, über einen eigenen UPD/TCP-Kanal, ausgetauscht. Man kann sagen es wird eine Telefonverbindung zwischen den Geräten per UDP / TCP hergestellt. Selbstverständlich ist die Verbindung verschlüsselt. Die Schlüssel sind im TeleR²/TeleR4 hinterlegt. Konfiguration des OVPN-Betriebs Parameter mögliche Einstellung Zweck OVPN-Mode kein OVPN Server (UDP) Client (UDP) Server (TCP) Client (TCP) Legt die OVPN-Betriebsart des Gerätes fest. Im Serverbetrieb wartet TeleR² / TeleR4 auf ein Verbindung, im Clientbetrieb nimmt TeleR² / TeleR4 selbst den Verbindungsaufbau zum Partner vor Port1024 - 65535 Portnummer auf welchem der OVPN-Service laufen soll, Standard 1194 IP-Pool (nur für Server) default: 10.111.111.0 Aus diesem Pool werden dem Partner (Client) die IP-Adresse zugeteilt IP-Pool Netmask default: 255.255.255.0 zugehörige Netmask für den IP-Pool Server Adresse (nur im Clientbetrieb) IP-Adresse oder Url des Servers Die Adresse des Servers. Kann in der Notation xxx.xxx.xxx.xxx oder im Klartext erfolgen (als Url). Wird nur im Clientbetrieb verwendet Benutzer Benutzername Name des Users, mit dem er sich beim Server authentifiziert Passwort Benutzerpasswort Die Optionen Dienste am Interface legen fest, welche Services bei bestehender VPN-Verbindung zur Verfügung stehen Dienst Beschreibung Web-Config Erreichbarkeit des Webinterfaces über Port 80 bzw. 8080 deaktivieren/aktivieren Ping Antwort auf Pinganfragen deaktivieren/aktivieren SSH SSH-Zugang deaktivieren/aktivieren Open VPN-Routing (Option) Hier wird festgelegt, in welcher Form zum WAN / LAN-Port über VPN geroutet werden soll. aus: Routing zum Interface nicht möglich ===>: Routing vom VPN zum Interface ⇐==: Routing vom Interface zum VPN ⇐=⇒: Routing in beide Richtungen Zugangsberechtigung Wer darf nun eine OpenVPN-Verbindung aufbauen? Wie kann der Zugang kontrolliert werden? ACHTUNG: Prinzipiell kann jeder der das Zertifikat hat und die IP-Adresse des TeleR hat, eine VPN-Verbindung aufbauen und auf das Gerät zugreifen. In der Erweiterung „Advanced Router“ können Sie Ihre eigenen Zertifikate verwenden. Das bringt mehr Sicherheit VPN-Benutzer Hier verwalten Sie die Benutzer, die sich per OpenVPN verbinden dürfen. VPN-Verbindungen In den VPN-Verbindungen können, ähnlich einem Telefonbuch, Ihre Maschinen verwaltet werden. Es wird die Serveradresse, das Protokoll, der Port und ein Verweis auf einen VPN-Benutzer eingegeben (Siehe vorher). Benutzerverwaltung In der Benutzerverwaltung verwalten Sie die User, die mit welchem Recht das WEB-Interface bedienen dürfen. Weiter werden hier die Zugangsdaten für Benutzer gepflegt, welche eine DFÜ-Verbindung (Modem) aufbauen dürfen. WEB-Benutzer Hier die Maske für die Eingabe der WEB-Interface Benutzer. Pro Benutzer können verschiedene Berechtigungen vergeben werden. Grundsätzlich dar nur ein Anwender mit „SU“ änderungen vornehmen.U1 – U5 darf das Interface nur bedienen. In den TeleR² / TeleR4-Erweiterungsmodulen besitzen „U1“ – „U5“ nochgenauer spezifizierte Bedienungsrechte. Benutzerlevel: SU = Super User, darf alle Einstellungen tätigen U1-5 darf nur bestimmte Einstellungen sehen bzw. ändern DFÜ-Benutzer Hier die Maske für die Eingabe der DFÜ-Interface Benutzer. Der Benutzer erhält nur den Zugang, wenn aktiv auf „ja“ steht. Weiter steht der Zusatz „Dial in & out“ oder nur „Dial out“ zur Verfügung. Wählt sich ein User ein, so werden alle Einträge geprüft, die auf „Dial in & out“ stehen. Andere Benutzer erhalten keinen Zugang. Im Telefobuch erfolgt die Zuordnung Wartung Hier finden Sie alle Einstellungen, die für die Wartung des TeleR benötigt werden. Neue Firmware Entzippen Sie die heruntergeladene Datei TeleR² / TeleR4 vom Netz trennen und am PC anschließen ggf. am PC IP-Adresse einstellen WEB-Interface aufrufen Firmware Upload: Datei *.bin auswählen Speichern mit „ja“ bestätigen LED S1 blinkt sehr schnell warten bis LED S1 im Dauerlicht Systemstatus Anzeige des Geräte Zustandes. Hier z.B. mit aufgebauter OVPN-Verbindung. Netzwerkstatus Zeigt alle aktuell vergeben IP-Adressen und Linkstati der einzelnen Ports an. Zudem finden Sie hier noch die aktuellen gesetzten Routen. Optionale Funktionen HMI-Meldemodul Mit dem HMI-Meldemodul lassen sich Email-Nachrichten (Störmeldungen und Wartungsmeldugen) automatisch ohne Programmieraufwand in der SPS ereignisabhängig an praktisch beliebig viele Empfänger versenden. Das System ordnet die Meldungen automatisch den jeweiligen Empfängern zu und versendet die Nachricht über den richtigen Provider. Bitte beachten: Durch den Versand von Email-Nachrichten entstehen ggf. zusätzliche Kosten (Telefongebühren, Gebühren für Internetzugang etc.). Die Höhe der jeweiligen Gebühren erfahren Sie bei Ihrem Provider. Damit das HMI-Modul richtig arbeiten kann, müssen einige Grundeinstellungen gemacht werden. Folgende Punkte sind einzurichten: Emailserver Emailempfänger SPS-Verbindungen SPS-Variablen Normierungen (optional) Meldungen Grundeinstellung HMI-Option aktiv schalten Email-Versand aktivieren Auch das HMI-Modul ist durch Zugangsschutz per WEB-Browser gesichert. Die notwendigen Rechte dafür werden bei den entsprechenden Punkten angegeben. Einrichten der Emailserver bzw. des Email Kontos Damit der TeleR² / TeleR4 eine Email versenden kann, wird ein Emailkonto bzw. ein Server benötigt, der die Meldungen empfängt und weiterleitet. Eingabefelder Bezeichnung Beschreibung / Zweck Nr. Fortlaufende Nummer. Name Benutzerdefinierter Name zur Identifikation des email-Servers Adresse Beinhaltet die Hostadresse des Emailservers. Format: Protokoll:Serveradresse:Port z.B. smtps:mail.testserver.de:465 smtps = Simple Mail Transfer Protocol Secure über SSL/TLS (verschlüsselte Verbindung). Der Standardport von smtps ist 465 smtp = Simple Mail Transfer Protocol (unverschlüsselte Verbindung). Der Standartport ist 25 oder 587. Hinweis: Sollte nicht mehr verwendet werden Den Port erfahren Sie von Ihrem email-Provider Achten Sie darauf, dass die entsprechenden Einträge für den DNS-Server, Gateway bzw. Routen gesetzt sind, damit ein reibungsloser Email-Versand gewährleistet ist EMail Email-Adresse die als Absender eingetragen wird. Diese Adresse sollte nach Möglichkeit echt sein, da ansonsten eventuell Antispamfilter diese Meldungen eliminieren Benutzer Benutzername zur Authentifizierung am email-Server Passwort Benutzerpasswort für die Authentifizierung am email-Server Steht eine Email zum Versand an, versucht TeleR² / TeleR4 erstmal über die aktuellen Möglichkeiten (eingestellter DNS und Gateway) den entsprechenden Server zu erreichen. Gelingt dies nicht, wird eine Internetverbindung unter der Einstellung Konfiguration → PPPoE/DSL oder Konfigurationsansicht → Internet → Provider aufgebaut und dann versucht den Server zu finden. Diese Verbindung wird auch verwendet, wenn die Internetverbindung auf manuell steht. Wurde die Verbindung zum Internet so aufgebaut, wird diese nach 2 Minuten Leerlauf (keine Email liegt an) bzw. spätestens nach 10 Minuten getrennt. Einrichten der Email-Empfänger Im nächsten Schritt legen Sie die Empfänger der Email-Nachrichten fest. Eingabefelder Feld Beschreibung Name freie wählbarer Anzeigename Email Emailadresse des Empfängers Server wählen Sie den gewünschten Emailserver für den Versand an diesen Empfänger G0 – G9 Meldegruppen. Jeder Empfänger kann keiner oder mehreren Meldegruppen zugehören. Weiter unten können Sie für jede Meldung verschiedene Meldegruppen, ähnlich wie hier, zuordnen. So kann eine Meldung auf die relevanten Empfänger problemlos verteilt werde. Meldung erzeugen Für den Zugriff auf die SPS werden Verbindungen benötig. Verbindungen werden zur Zeit für die SIMATIC S7 über TCP/IP unterstützt. Anschließend projektieren Sie die gewünschten Variablen. Nun können Sie für die Ausgabe noch Normierungen festlegen. Anschließend setzen Sie Ihre gewünschten Meldungen zusammen. Projektieren der SPS-Verbindungen Feld Beschreibung Name eigene Bezeichnung der SPS Anschluß Verbindungsart zur SPS (hier TCP/IP) aktiv Kommunikation zur SPS Zyklus legt die Zeitperiode fest, nach welcher mit der SPS Daten ausgetauscht werden sollen Adr. SMS-Status ist für die Rückkopplung des Zustands des HMI-Moduls bestimmt. Wenn Sie in der SPS den den Kommunikationsstatus und den SMS-Versand überwachen wollen, geben Sie dort die Adresse eines „Wortes an“. Z.B. Datenbaustein oder Merker. TeleR² / TeleR4 schreibt dann bei jedem Kommunikationszyklus ins niederwertige Byte die maximale Anzahl der Sendeversuche für anstehende Meldungen. Übersteigt die Zahl 254, so wird hier immer 254 gestetzt. Den Hintergrund für dieses Vorgehen erkläre ich später. Ist die Anzahl der Sendeversuche > 0, so ist das Absetzen einer Meldung gescheitert. So kann die SPS den SMS-Versand überwachen. Nun sollte aber auch überwacht werden, ob TeleR² / TeleR4 mit der SPS kommuniziert. Dies kann einfach geschehen. Beschreiben Sie das Zählerbyte in Ihrem SPS regelmäßig mit 0xFF. Nach der vorgegebenen Zykluszeit muß dort ein anderer Wert als 0xff stehen. Bemessen Sie aber diese Zeit großzügig, da sich der Zyklus verschieben kann, wenn es bei anderen Steuerungen zu Kommunikationsproblemen kommt. Das höherwertige Byte ist für spätere Erweiterungen reserviert. Dieses wir im Moment mit „0“ überschrieben. Beispiel: Wenn Sie MW 200 verwenden, steht im MB201 der Zählerstand und in MB200 der Wert 0 Projektieren der Variablen Legen Sie nun die gewünschten Variablen an, welche angezeigt bzw. verarbeitet werden sollen. Spalte Verwendung Name zur freien Verwendung Verbindung ordnen Sie die Variable einer SPS-Verbindung zu Adresse die eigentliche Adresse in der SPS nach folgenden Regeln: Datenbereich Datentyp Eingang Ausgang Merker Datenbaustein E 1.0, I 1.0 A 1.0, Q 1.0 M10.1 DB1.DBX 1.0 Bit(Boolean) EB 1, IB 1 AB 4, QB 4 MB 20 DB2.DBB 20 BYTE EW 4, IW 4 AW 6, QW 6 MW 100 DB4.DBW 0 WORD ED 4, ID 4 AD 6, QD 6 MD 100 DB4.DBD 10 DWORD Timer Zähler T1 —— Timer —– Z1, C1 Zähler Datentyp Auswahl des Datentyps zur richtigen Konvertierung: Boolean (Bit) unsigned int (Wort ohne Vorzeichen) signed int (Wort mit Vorzeichen) DWORD (Doppelwort ohne Vorzeichen) signed DWORD (Doppelwort mit Vorzeichen) real (Fließpunktzahl) Zur richtigen Anzeige und Verarbeitung der Variablen muss gegebenfalls eine Umrechnung erfolgen. Diese Umrechnung kann mit Normierungen erfolgen. Sie können hier die notwendigen Umrechnungen definieren und später den Meldungen zuordnen. Da eine Normierung normalerweise häufiger vorkommt, ist es sinnvoll, diese zentral zu verwalten. Spalte Beschreibung Name frei vergebarer Name Normierungen zur Zeit werden zwei Normierungsarten unterstützt, entweder „linear“ oder „Texte“ linear bedeutet, daß der Wert von der SPS umgerechnet werden muss. In diesem Fall sind die Felder „SPS-Wert1“, „HMI-Wert 1“, “SPS-Wert 2“, “HMI-Wert 2“ auszufüllen Texte heißt, Sie wollen den Werten aus der SPS Zustandstexte zuordnen. Dies kann z.B. der Zustand eines mehrstufigen Antriebs sein Einheit /Zustand Bei Normierung „linear“ steht hier der Text für die Einheitenbezeichnung (z.B. °C, %, Stück…) Bei Normierung „Texte“ werden hier die Zustände aufgezählt nach folgender Syntax: <Vergleich><Wert>:<Text> Für jeden Zustand ist eine neue Zeile einzugeben. <Vergleich> ist optional. Wird <Vergleich> nicht angegeben, heißt dies auf Gleichheit prüfen. Beispiel für Antrieb: 0:AUS 1:Stufe1 2:Stufe2 Für Vergleiche kann man auch folgende Zustände definieren: Eine Temperatur soll überwacht werden. Es soll nur ein Text ausgegeben werden, ob der Wert im Limit liegt oder ob eine Grenzverletzung vorliegt. Der Wert ist im Limit, wenn dieser zwischen 20 und 30 liegt. Dies sieht wie folgt aus: >=20: normal ⇐30: normal <20: zu niedrig >30: zu hoch >60: viel zu hoch Als Zahl geben Sie hier die Werte ein, welche aus der Umrechnung der Felder „SPS-Wert1“, „HMI-Wert 1“, “SPS-Wert 2“, “HMI-Wert 2“ resultieren Umrechnung Zur Umrechnung des Zahlenwertes der SPS für die Darstellung als physikalische Größe im HMI-Modul ist eine Zuordnung des SPS-Wertes und des HMI-Wertes notwendig. Der angezeigte Wert berechnet sich: w = m * x + t; w = der angezeigte Wert m = (HMI-Wert2 – HMIWert1)/(SPS-Wert2 – SPSWert1) t = (HMI-Wert1 – m * SPS-Wert1) x = der momentane SPS-Wert zum Beispiel sollen die SPS-Werte 0 – 1000 in der Anzeige 0 bis 100 entsprechen (s.h. Zeile 3 im Bild) SPS-Wert1 SPS-Wert, der dem HMI-Wert1 entspricht. (0) HMI-Wert 1 HMI-Wert, der dem SPS-Wert1 entspricht (0) SPS-Wert 2 SPS-Wert, der dem, HMI-Wert2 entspricht (1000) HMI-Wert 2 HMI-Wert, der SPS-Wert2 entpricht (100) Meldungen konfigurieren Die eigentlichen Meldungen werden separat konfiguriert. Dort wird der Zusammenhang zwischen Variable, Normierung und Meldegruppe getroffen. Woraus die eigentliche Meldung resultiert. Die Reihenfolge der Meldungen wird nach Eingabe der Zeilennummer vorgenommen. Spalte Verwendung Zeile festlegen der Reihenfolge Text zur freien Verwendung und zur Information des Benutzers/Anlagenbetreibers melden verarbeiten der Zeile und weiterleiten an Meldegruppe(n) Variable Hier ordnen Sie der Meldung eine der projektierten Variablen zu. Wird keine Variable zugeordnet, so wird nur der Text dargestellt Delay Die Zeit in Sekunden, für welche eine Grenzwertverletzung mindestens anliegen muß, bis diese gemeldet wird. So kann ein Messwert entprellt werden. Wenn die Bedingung / Vergleichsoperation zur Ermittlung einer Grenzwertverletzung bzw. zum Feststellen der Meldebedingungen dient. Mögliche Vergleiche: ==, >=, ⇐ , <> und * * bedeutet keine Limitüberwachung, also nur Darstellung G0 – G9 Die Zuordnung zu den einzelnen Meldegruppen, so wird die jeweilige Meldung einer Gruppe von Empfängern zugewiesen Um die Meldeverarbeitung überhaupt zu aktivieren müssen grundsätzliche Einstellungen getroffen werden. Bevor Sie diese Einstellungen aktivieren, sollten die Medlungen prokjektiert sein. Die Bedeutung der einzelnen Zeilen: Zeile Verwendung Anlagenname Dieser Text wird im SMS-Kopf dem Empfänger mitgesendet, so dass dieser den Absender identifizieren kann Sendezeit eintragen Bei „ja“ wird im SMS-Kopf die Sendezeit eingetragen, Wichtig: Uhrzeit richtig einstellen Meldezeit eintragen Bei „ja“ wird zu jeder Meldung die Zeit eingetragen, zu der die Meldung auftrat. Dadurch wird der SMS/Email-Text zwar länger und umfangreicher. Dafür kann jedoch zu jeder Meldung der Zeitpunkt des Auftretens nachvollzogen werden SMS Server aktivieren nicht unterstüzt ja / nein max. Anzahl der Sendeversuche SMS nicht unterstüzt Damit kann die Anzahl der maximalen Sendeversuche pro SMS-Empfänger festgelegt werden. Somit ist es möglich, bei Versandproblemen überhöhte Kosten für erfolglose SMS-Sendungen zu minimieren SMS-Absendekennung für UCP nicht unterstüzt Beim UCP-Protokoll muss dem SMS-Server die Telefonnummer des Absenders mitgegeben werden Email Service aktivieren ja /nein max. Anzahl der Sendeversuche Email Damit kann die Anzahl der maximalen Sendeversuche pro EMail-Empfänger festgelegt werden Email-Meldepuffer Auf der Seite Email-Meldepuffer sind die im Moment anstehenden und noch nicht versendeten Meldungen zu sehen. Die Spalte „Tx-Versuch“ zeigt die Anzahl der Versuche, die bereits unternommen wurden, um die email abzusetzen. Diese ist größer 0, wenn z.B. der DNS-Server nicht gefunden wurde oder die email-Server Konfiguration fehlerhaft ist. Die größte Anzahl der Versuche wird der SPS gemeldet (siehe oben). Ein Klick auf das Symbol löscht alle Meldungen in der Liste. Die Meldungen werden nicht versendet! Zu Testzwecken entfernen Sie das Netzwerkkabel, so können Sie die Funktion der Anlage testen. Meldungen betrachten Im Menüpunkt Meldungen betrachten können Sie den aktuellen Zustand der Meldungen betrachten. Dort werden alle Meldezustände der projektierten Meldungen angezeigt. Also auch diese, welche keine email erzeugen können. Dadurch kann schon ohne SPS-Programmiersoftware ein Zustand über die Anlage gewonnen werden. Das Meldefenster wird alle 3 Sekunden aktualisiert. Rot hinterlegte Felder bedeuten, daß eine Grenzwertverletzung vorliegt. S7-Firewall Dokumentation für die Version 1.19 Einführung S7-Firewall ist eine skalierbare „SPS-Firewall“, die nicht nur IP/MAC-Adressen filtert. Für frei definierbare Verbindungen kann der Zugriff auf beliebige Datenbereiche der SPS eingeschränkt / festgelegt werden. S7-Firewall kann beliebig zwischen SPS- und Bedien- / Programmierebene eingebaut werden. S7-Firewall erkennt die Einbaurichtung automatisch. Es werden nur konfigurierte Verbindungen zugelassen. Hardwareausführung Unsere S7-Firewall basiert auf unseren TeleR4 Netzwerkeinstellungen Parameter mögliche Einstellung Zweck Standard Gateway fest (wie vorgegeben) über DHCP 1. DNS 2. DNS 1-3. IP-Adresse mit NetmaskIP-Adresse / NetmaskWenn Netmask 0.0.0.0 wird die Netmask automatisch berechnet, je nach A,B,C-B Netz. z.B. 192.168.0.x → 255.255.255.0 10.x.x.x → 255.0.0.0 Bei Verwendung fester IP-Adressen ist mindestens die 1. IP-Adresse zu konfigurieren. Ansonsten startet das Gerät mit der Werkeinstellung DHCP nein kein DHCP verwenden Die restlichen DHCP-Parameter werden nicht verwendet ClientDas Netzwerkinterface wird als DHCP-Client und bezieht die IP-Adresse automatisch von einem DHCP-Server. Die restlichen DHCP-Parameter werden nicht verwendet Server Das Netzwerkinterface betreibt einen DHCP-Server. Die restlichen HCP-Parameter sind zu parametrieren. Start-IP Start-IP-Adresse Start-IP-Adresse beim Betrieb als DHCP-Server End-IP End-IP-Adresse End-IP-Adresse beim betrieb als DHCP-Server Subnet Subnetadresse Adresse des Subnets für die Vergabe der IP-Adressen als DHCP-Server Domain Frei Name der Domain bei der Verwendung als DHCP-Server Router-IP IP-Adresse Ist die IP-Adresse, die beim Betrieb als DHCP-Server als Gateway weitergegeben wird Der WAN/LAN-Port hat gemeinsame IP-Adressen Es können bis zu 3 verschiedene IP-Adressen und Subnetze konfiguriert werden. Der Port kann auch als DHCP-Server oder Client betrieben werden. Die notwendigen Daten für die IP-Zuordnung werden hier eingegeben. Für den Betrieb als DHCP/Server können feste Zuordnungen MAC-IP-Adresse festgelegt werden. (Siehe „DHCP feste Adressen). Weiter wird festgelegt, welche Services am Port zur Verfügung stehen (Web-Konfig), Ping , SSH (nur für Entwickler) Web-Benutzer Hier die Maske für die Eingabe der WEB-Interface Benutzer. Pro Benutzer können verschiedene Berechtigungen vergeben werden. Grundsätzlich darf nur ein Anwender mit „SU„ Änderungen vornehmen. U1 – U5 darf das Interface nur bedienen. In den S7-Firewall-Erweiterungsmodulen besitzen „U1“ – „U5„ noch genauer spezifizierte Bedienungsrechte. S7-Firewall-Einstellungen Die SPS-Firewall-Verbindungen ergeben sich aus der Kombination aus HMI/PG-Station und SPS-Station S7-Firewall Betrieb Modi Beschreibung aus keine Firewall aktiv S7-Firewall Router WAN-Port und LAN-Ports haben getrennte IP-Netze. Alle Funktionen und gekaufte Optionen des TeleR4 nutzbar S7-Firewall Classic WAN-Port und LAN-Ports sind ein IP-Netz. Nur IP-Adress-Bereiche die in der WAN-Seite eingegeben wurden, werden behandelt. Z.B. IP-WAN 192.168.2.15 IP-LAN:192.168.3.3 Wenn ein Gerät mit der IP 192.168.3.6 angeschlossen wird, wird dieses solange nicht behandelt, bis im WAN eine 192.168.3.xxx Adresse eingegeben wird Eingabe der HMI/PG-Stationen Parameter mögliche Einstellung Zweck Nr. automatisch fortlaufende Nummer Name frei vom Benutzer einzugeben Name der Station aktiv ja (x) Verbindungen mit dieser Station werden von der Firewall verarbeitet nein () Verbindungen mit dieser Station werden nicht verarbeitet, d.h sie werden geblockt IP-Adresse IP-Adresse des HMI / PG-Gerätes Identifikation des Absenders Eingabe unbedingt notwendig Eingabe eines Bereiches möglich z.B. gesamte Netz 192.168.0.1-192.168.0.255 MAC-Adresse MAC-Adresse des HMI / PG-Gerätes Identifiziert das HMI/PG zusätzlich über die MAC-Adresse. 00:00:00:00:00:00 bedeutet, dass die MAC-Adresse nicht geprüft wird. Bei ungleich 0 muss die MAC-Adresse der Station mit der Eingabe übereinstimmen Verbindungskanal verwendeter Kanal der Verbindung: In der Simatic S7 stehen PG- und OP-Kanäle zur Verfügung. Dieser Kanal wird als zusätzliches Merkmal zur Identifikation des Absenders verwendet. Auf jedem der beiden Kanäle sind sowohl PG- als auch OP-Funktionen möglich. OP/HMI Bediengeräte / WinCC etc. verwenden in der Regel OP-Kanäle. Dieser Kanal ist für HMI-Geräte auch der empfohlene. PG Die Siemens PG-Software verwendet grundsätzlich den PG-Kanal. Leider ist verschiedene Software am Markt im Einsatz, welche nicht über das Knowhow verfügt, diesen Kanal einzustellen. Dies herauszufinden geht über das LOG-File. Eine vernünftige HMI-Software, respektive der zugehörige Softwaretreiber versorgt die Einstellbarkeit dieses Kanals. SPS Der SPS-Kanal entspricht dem „other“ bzw. „sonstige“ Kanal in der SPS PG | OP/HMI Soll z.B. vom selben Rechner aus PG und HMI laufen (IP/MAC PG/HMI identisch) bleibt nur noch der PG/OP-Kanal zur Identifikation des Absenders. PG | SPS PG- oder SPS-Kanal erlauben OP | SPS OP- oder SPS-Kanal erlauben PG | OP | SPS PG- oder OP- oder SPS-Kanal erlauben S7 over TSAP Eine S7-Verbindung die über TSAP definiert wird RFC 1006 with TSAP Reine RFC 1006 Verbindung über TSAP. Achtung: hier ist keine Firewalregel anwendbar. Der gesamte RFC-1006-Traffic wird ungeprüft durchgeleitet! lokaler TSAP String nur bei S7 over TSAP und RFC 1006 with TSAP. Eingabe eines byte/hexadezimalen Wertes: z.B. HEX-TSAP 02.00 → %02%00 Hinweis: auch ein Leerzeichen gilt als Zeichen entfernter TSAP String nur bei S7 over TSAP und RFC 1006 with TSAP. Eingabe eines byte/hexadezimalen Wertes: z.B. HEX-TSAP 02.00 → %02%00 Hinweis: auch ein Leerzeichen gilt als Zeichen Eingabe der SPS-Stationen Parameter mögliche Einstellung Zweck Nr. automatisch fortlaufende Nummer Name frei vom Benutzer einzugeben Name der Station aktiv ja (x) Verbindungen mit dieser Station werden von der Firewall verarbeitet nein() Verbindungen mit dieser Station werden nicht verarbeitet, d.h. sie werden geblockt IP-Adresse IP-Adresse der SPS-Station Identifikation des Absenders Eingabe unbedingt notwendig Eingabe der S7-Firewall Verbindungen Die Verbindungen werden aus der Kombination HMI/PG-Station und SPS-Station gebildet. Jede HMI/SPS-Station kann mehrfach verwendet werden. Bei Änderung von Mac- oder IP-Adresse muss diese nur zentral in der HMI/PG-Station bzw. SPS-Station geändert werden. Jeder Verbindung wird eine Verbindungsregel zugeordnet. Ist „erlaube PG-Vollfunktion“ selektiert, so ist diese Verbindung ein Vollzugriff. In Zukunft wird dieser Zugriff näher unterteilt werden können (Definierte Bausteine lesen / schreiben, SPS Start/Stop, Urllöschen , Systemdaten (lesen/schreiben). Parameter mögliche Einstellung Zweck Nr. automatisch fortlaufende Nummer Name frei vom Benutzer einzugeben Name der Verbindung Dient zugleich als „Link„ zum Öffnen und Bearbeiten des Regelscripts. aktiv ja (x) diese Verbindung wird von der Firewall verarbeitet nein () diese Verbindung wird nicht verarbeitet, d.h. sie wird geblockt erlaube PG-Vollfunktion(x) Diese Verbindung ist eine PG-Verbindung und darf alle Funktionen ausführen nein () Diese Verbindung ist eine Eingeschränkte Verbindung. Es sind nur Zugriffe auf die freigegebenen Funktion und Datenbereiche, wie im zugehörigen Regelscript definiert, erlaubt. Das Regelscript Im Regelscript werden die Datenbereiche bzw. mögliche Zugriffe für die jeweilige Verbindung festgelegt. Das Script kann über den Link des Namens der Verbindung erreicht werden. Syntax des Regelscripts erste(s) Zeichen Funktion Rest der Zeile # die Zeile ist ein Kommentar freier Text Doppelschrägstrich (kein Zeichen, es folgt gleich Operand/Bereich) der folgende Bereich ist nur zum lesen (readonly) Operand / Bereich siehe weiter unten r: w: der folgende Bereich ist nur zum schreiben (writeonly) rw: der folgende Bereich lesbar und schreibbar (read/write) In eine Regelzeile kann ein einzelner Operand, oder ich ein Bereich eingegeben werden. Beispiel für die Eingabe von einzelnen Operanden: (Quelle aus Siemens STEP-S7 PG-Software) Erlaubter Operand Datentyp Beispiel(Mnemonik Deutsch) Beispiel (Mnemonik Englisch) Eingang I Ausgang I Merker BYTE EB 1 I AB 10 I MB 10 IB 1 I QB 10 I MB 10 Eingang I Ausgang I Merker WORDEW 1 I AW 10 I MW 10 IW 1 I QW 10 I MW 10 Eingang I Ausgang I Merker DWORDED 1 I AD 10 I MD 10 ID 1 I QD 10 I MD 10 Peripherie (Eingang I Ausgang) BYTE PB 0 I PEB 0 I PAB 1 PB 0 I PIB 0 I PQB 1 Peripherie (Eingang I Ausgang) WORD PW 0 I PEW 0 I PAW 1PW 0 I PIW 0 I PQW 1 Peripherie (Eingang I Ausgang) DWORD PW 0 I PED 0 I PAD 1PD 0 I PID 0 I PQD 1 Zeiten TIMER T 1 T 1 Zähler COUNTER Z 1 C 1 Datenbaustein BOOL DB1.DBX 1.0 DB1.DBX 1.0 Datenbaustein BYTE DB1.DBB 1 DB1.DBB 1 Datenbaustein WORD DB1.DBW 1 DB1.DBW 1 Datenbaustein DWORD DB1.DBD 1 DB1.DBD 1 Hinweis: Die Eingabe von „DB0. ..“ ist aufgrund interner Benutzung nicht erlaubt. Beispiel für die Eingabe von Bereichen, mit Anzahl der Einheiten: ab Merker 60, 10 Byte: MB60, 10 ab DB10, Datenwort 2, 5 Worte: DB10.DW2, 5 Hinter dem Komma folgt die Anzahl der gewünschten Einheiten (je nach Adressart, BOOL, BYTE, WORD, DWORD) Beispiel für die Eingabe von Bereichen mit „von“ – „bis„: Merker Byte 70 bis Merker Byte 200: MB 70 – MB 200 Ausgang A 10.2 bis Ausgang 14.7: A 10.2 – A14.7 Einfach nach Startoperanden mit ‚-‚ den Endoperanden (Endadresse) angeben. Die Endadresse wird inkludiert! Mögliche Ursache, wenn Sie keine Daten erhalten Im Firewall Log finden Sie die Ursache, warum Sie aktuell keine Daten erhalten haben oder schreiben konnten. In diesem Beispiel ist der erlaubter Datenbereich: MB 0 - MB 20 Daten lesen ohne Firewall: Alle Daten können ohne Probleme gelesen und geschrieben werden. Als Regel, wurde der Datenbereich r:MB 0 - MB 20 eingestellt, lesender Zugriff. Alle Daten können gelesen, aber nicht beschrieben werden. Liest ein Gerät, eine Software oder irgend ein anderer Teilnehmer z.B. folgende Daten, kann es sein, dass trotz erlaubtem MB 20 keine Daten übermittelt werden. Ursache: Durch Datenoptimierungen kann es vorkommen, dass bestimmte Bereiche gelesen werden, die gar nicht angegeben sind. In diesem Beispiel wurde das Merkerbyte 0 und das Merkerbyte 20-21 einzeln abgefragt. Somit kam es trotz erlaubtem MB 20 zur Ablehnung der Anweisung, da das Lesen von MB21 nicht gestattet ist. Fügt man r:MB 20,2 zur Firewallregel hinzu, können diese Datenbereiche gelesen werden. Montage Auf der Rückseite befinden sich vier Schraubenlöcher. Montieren Sie die mitgelieferte Hutschienenhalterung, dass die Feder nach unten zeigt. Montage: Hacken Sie erst unten in die Hutschiene ein und drücken/ziehen dann vorsichtig den TeleR2 / TeleR4 in die Halterung. Demontage: Zum demontieren heben Sie den TeleR2 / TeleR4 an und kippen ihn leicht nach vorne. Technische Daten Anschluss Daten LAN/WAN TeleR²: 1 x WAN + 1 x LAN Ethernet 10/100 Mbit TeleR4: 1 x WAN + 3 x LAN 10/100 Mbits Switch Spannungsversorgung 10V - 30V DC DIN/DOUT Input Low: Eine Eingangsspannung von kleiner als 5-6V wird als Low-Signal erkannt. Input High: Eine Eingangsspannung von größer als 5-6V wird als High-Signal erkannt. Die maximale Eingangsspannung beträgt 30V. Der Eingangsstrom wird auf maximal 4mA begrenzt. Output Low: Der Ausgang ist hochohmig. Output High: Es wird die Betriebsspannung (10-30V) minus ca. 0,5V nach außen geschaltet. Diese ist mit maximal 180mA belastbar, dann setzt die Strombegrenzung ein und die Spannung fällt ab. USB 2.0 Sonstiges Maße 55mm x 70mm x 120mm (B xH x L) Lieferumfang DIN Rail Mounting / Hutsschienenmontage Gummifüße für Betrieb als Tischgerät Inklusive IP-Address-Changer: Bringt Teilnehmer mit derselben IP-Adresse in ein anderes gemeinsames Netzwerk Gehäuse Alugehäuse Temperaturbereich -25°C - +75°C Spannungsanschluss Pin Nr. Kurzform Bezeichnung Richtung 1 POW + 10-30V DC Spannung Eingang 2 POW - Masse Eingang Für die Spannungsversorgung des Gerätes wird entweder das mitgelieferte Steckernetzteil oder eine vor Ort vorhandene Spannungsversorgung von 10-30V/DC mit min. 350mA Strom an dem grünen 2poligen Stecker angeschlossen. Bei dem mitgelieferten Steckernetzteil sind die Spannungspole durch farbige Aderndhülsen gekennzeichnet. Der PLUS-Pol mit der Farbe „Rot“, der MINUS-Pol mit der Farbe „blau“. Es wird der PLUS-Pol an der oberen Schraubklemme und der MINUS-Pol an der unteren (äußeren) Schraubklemme angeschlossen. Die „Power“ - LED leuchtet. Nach einer kuren Initialisierungsphase leuchtet die „S1“ - LED im Dauerlicht und das Gerät ist betriebsbereit. Kaufmännische Daten Artikelnummer Bezeichnung Zusatztext 9374-PPPoE Zolltarifnummer: 85176200 TeleR2 1 x WAN, 1 x LAN inkl. Hutschienenmontage 1 x DOUT, 1 x DIN inkl. IP-Address-Changer Herkunft: DE 9374-4-PPPoE Zolltarifnummer: 85176200 TeleR4 1 x WAN, 3 x LAN inkl. Hutschienenmontage 1 x DOUT, 1 x DIN inkl. IP-Address-Changer Herkunft: DE 9374-S7-Firewall Zolltarifnummer: 85176200 S7-Firewall 1 x WAN, 3 x LAN inkl. Hutschienenmontage 1 x DOUT, 1 x DIN Herkunft: DE Optionen 9374-O-CVPN VPN-User Control VPN-User per HTTP-Befehl aktivieren/deaktivieren 9374-O-EMAIL E-Mail Konfigurierbares Meldesystem auf WEB-Basis zum Versenden von Meldungen und Berichten per E-Mail 9374-O-NOTIFY m2mNotify via CoDaBix Konfigurierbares Meldesystem auf WEB-Basis zum Versenden von Meldungen über das CoDaBix an mobile Apps 9374-O-PN-ROUTER ProfiNet-Router Ausgewählte ProfiNet-Stationen über Modem/DSL/Internet mit VPN koppeln - Fernwartung Simatic-S7-ProfiNet über Internet mit VPN/Modem - ProfiNet-Telegramme Routing 9374-O-S7FW S7-Firewall Skalierbare „SPS-Firewall“ weit über IP-/MAC-Adressen-Filterung hinaus, es können komplette oder einzelne Prozessdatenbereiche geschützt werden, sogar bis auf einzelne Bits der Steuerung 9374-O-Userroute Userroute Benutzer spezifisches Routing: Für jeden einzelnen Benutzer festlegbar, auf welche Geräte (IP-Adressen) und mit welchem Port zugegriffen werden darf Zubehör 9374-SW 5 Port Industrial Switch 10/100MBit Hutschinenmontage 12-48V DC 1) , 2) , 4) , 5) , 6) , 7) , 8) , 9) , 10) , 12) WAN/IP: IP-Routing über WAN WAN/PPPoE: IP-Routing über PPPoE am WAN-Port WAN/OVPN: nur Routing über OVPN am WAN-Port 3) Routing vom LAN zum Routinginterface 11) Routing vom Routinginterface zum LAN 13) Nun blinkt die LED S1 abwechselnd in zwei verschiedenen Modi Inhaltsverzeichnis Einführung Gerätevarianten Der erste Start Einsatz Routen zwischen zwei Netzen OVPN-Server OVPN-Client OVPN-Software für PC 2 TeleR verbinden PPPoE Profinet-Router IP-Address-Changer Firewall-Router mit IP-Address-Changer Routing einstellen Webinterface Konfiguration WAN/LAN Einstellungen DHCP-Server Betrieb Modem ProfiNET-Router (nur bei ProfiNET-Option möglich) Statische Routen Proxy Einstellungen Option IP-Address-Changer PPPOE-Einstellungen Telefonbuch DynDNS Konfig DHCP Feste MAC / IP-Adresszuordnung Datum/Uhrzeit/NTP-Client Systemtaster, System zurücksetzen Grundeinstellung /Werkseinstellung Routing Firewall Regeln Open-VPN Konfiguration des OVPN-Betriebs Open VPN-Routing (Option) Zugangsberechtigung VPN-Benutzer VPN-Verbindungen Benutzerverwaltung WEB-Benutzer DFÜ-Benutzer Wartung Systemstatus Netzwerkstatus Optionale Funktionen HMI-Meldemodul Einrichten der Emailserver bzw. des Email Kontos Einrichten der Email-Empfänger Meldung erzeugen Projektieren der SPS-Verbindungen Projektieren der Variablen Meldungen konfigurieren Email-Meldepuffer Meldungen betrachten S7-Firewall Einführung Hardwareausführung Netzwerkeinstellungen Web-Benutzer S7-Firewall-Einstellungen S7-Firewall Betrieb Eingabe der HMI/PG-Stationen Eingabe der SPS-Stationen Eingabe der S7-Firewall Verbindungen Das Regelscript Mögliche Ursache, wenn Sie keine Daten erhalten Montage Technische Daten Spannungsanschluss Kaufmännische Daten