Fernwartungslösung Industrieanlagen
Hallo,
ich möchte mal bei uns in der Firma die Ferwartungslösungen für die Anlagen die wir verkaufen auf saubere Füße stellen.
Situation ist:
Industrie PC (Windows 10 Embeded Enterprise) mit zwei Netzwerkkarte. Eine für das interne Netz mit mehreren SPS, Frequenzumrichtern usw. die per TCP/IP im Supportfall angesprochen werden müssen. Und eine Netzwerkkarte für‘s Imternet. Standorte überall von USA, Iran, Ägypten, Türkei, China. Die Länder die „Spaßig“ sind.
Sicherheitstechnisch ist das ganze aber absolut uninteressant.
Aktuell verwenden wir Teamviewer.
Wünsch währe ein Industrie VPN Router der sich per VPN in ein externes Netz einwählt auf den wir uns dann verbinden können. Würde dann auf der Maschine mit Schlüsselschalter Freigabe funktionieren usw. Kostet aber unseren BWL‘ern zu viel.
Nen VPN Client der sich an unserer Firmenfirewall anmeldet will ich aber irgendwie auch nicht. Jetzt ist mein Gedanke nen kleinen Linux Server in ne DMZ und dann der Servicetechniker und die Maschine jeweils dann per VPN drauf schalten. Wobei ich mich noch frage wie die Techniker (0 Netzwerk Ahnung) wissen auf welche IP sie sich verbinden müssen.
Aber jetzt mal meine konkrete Frage habt ihr andere/bessere Ideen? Brauch nur mal nen kleinen Denkanstoß. Ich geh mal davon aus das die konkrete Umsetzung dann wieder nicht so das große Thema für mich wird.
Schon mal Danke
Klaus
ich möchte mal bei uns in der Firma die Ferwartungslösungen für die Anlagen die wir verkaufen auf saubere Füße stellen.
Situation ist:
Industrie PC (Windows 10 Embeded Enterprise) mit zwei Netzwerkkarte. Eine für das interne Netz mit mehreren SPS, Frequenzumrichtern usw. die per TCP/IP im Supportfall angesprochen werden müssen. Und eine Netzwerkkarte für‘s Imternet. Standorte überall von USA, Iran, Ägypten, Türkei, China. Die Länder die „Spaßig“ sind.
Sicherheitstechnisch ist das ganze aber absolut uninteressant.
Aktuell verwenden wir Teamviewer.
Wünsch währe ein Industrie VPN Router der sich per VPN in ein externes Netz einwählt auf den wir uns dann verbinden können. Würde dann auf der Maschine mit Schlüsselschalter Freigabe funktionieren usw. Kostet aber unseren BWL‘ern zu viel.
Nen VPN Client der sich an unserer Firmenfirewall anmeldet will ich aber irgendwie auch nicht. Jetzt ist mein Gedanke nen kleinen Linux Server in ne DMZ und dann der Servicetechniker und die Maschine jeweils dann per VPN drauf schalten. Wobei ich mich noch frage wie die Techniker (0 Netzwerk Ahnung) wissen auf welche IP sie sich verbinden müssen.
Aber jetzt mal meine konkrete Frage habt ihr andere/bessere Ideen? Brauch nur mal nen kleinen Denkanstoß. Ich geh mal davon aus das die konkrete Umsetzung dann wieder nicht so das große Thema für mich wird.
Schon mal Danke
Klaus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 379609
Url: https://administrator.de/forum/fernwartungsloesung-industrieanlagen-379609.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
32 Kommentare
Neuester Kommentar
Raspberry Pi im Industriegehäuse:
https://www.reichelt.de/?ARTICLE=167248&PROVID=2788&gclid=EAIaIQ ...
Noch besser natürlich als Fertigprodukt:
https://revolution.kunbus.de/shop/de/revpi-core?gclid=EAIaIQobChMI24iB2p ...
Aber da heulen deine BWLer dann vermutlich wieder....
Mal sehen ob die dann auch noch heulen wenn der erste eure Anlagen gehackt hat ?! Auch wenns landläufig "uninteressant" ist sowas zu kapern hindert das niemanden daran es doch zu tun wie man ja bekanntlich weiss. Die ct' hat ja ausführlich darüber berichtet wie offen das überall im Industrie Umfeld ist.
Teamviewer geht im Firmenumfeld gar nicht mehr !! Sowas wäre grob fahrlässig und ein NoGo, denn nach deren Verkauf an ein dubioses US Finanzunternehmen kannst du sicher davon ausgehen das diese Daten die über deren Vermitllungsserver gehen unter Garantie nicht mehr sicher sind da nun US Recht gilt.
Aber das ist vermutlich für euch auch "uninteressant" da ihr das ja bedenkenlos nutzt.
https://www.reichelt.de/?ARTICLE=167248&PROVID=2788&gclid=EAIaIQ ...
Noch besser natürlich als Fertigprodukt:
https://revolution.kunbus.de/shop/de/revpi-core?gclid=EAIaIQobChMI24iB2p ...
Aber da heulen deine BWLer dann vermutlich wieder....
Mal sehen ob die dann auch noch heulen wenn der erste eure Anlagen gehackt hat ?! Auch wenns landläufig "uninteressant" ist sowas zu kapern hindert das niemanden daran es doch zu tun wie man ja bekanntlich weiss. Die ct' hat ja ausführlich darüber berichtet wie offen das überall im Industrie Umfeld ist.
Teamviewer geht im Firmenumfeld gar nicht mehr !! Sowas wäre grob fahrlässig und ein NoGo, denn nach deren Verkauf an ein dubioses US Finanzunternehmen kannst du sicher davon ausgehen das diese Daten die über deren Vermitllungsserver gehen unter Garantie nicht mehr sicher sind da nun US Recht gilt.
Aber das ist vermutlich für euch auch "uninteressant" da ihr das ja bedenkenlos nutzt.
Moin,
wie wäre es mit einem separaten VPN Server, auf den sich die Kundenanlagen einwählen, der aber nicht in eurem Firmennetz steht. Auf den wählen sich dann auch die Techniker ein. Zugriffe unter den Kunden per Firewall unterbinden. Nur die Techniker bekommen auf alle Zugriff. Dann könnte die Verbindung auf Wunsch auch dauerhaft sein.
Alternativ an jeder Anlage einen VPN Server, auf den sich dich Techniker einwählen.
Der Kunde kann durch trennen der Netzwerkverbindung (Kabel raus) unbefugte Zugriffe unterbinden.
Zu Modem Zeiten haben wir das so gemacht.
Gruß Looser
wie wäre es mit einem separaten VPN Server, auf den sich die Kundenanlagen einwählen, der aber nicht in eurem Firmennetz steht. Auf den wählen sich dann auch die Techniker ein. Zugriffe unter den Kunden per Firewall unterbinden. Nur die Techniker bekommen auf alle Zugriff. Dann könnte die Verbindung auf Wunsch auch dauerhaft sein.
Alternativ an jeder Anlage einen VPN Server, auf den sich dich Techniker einwählen.
Der Kunde kann durch trennen der Netzwerkverbindung (Kabel raus) unbefugte Zugriffe unterbinden.
Zu Modem Zeiten haben wir das so gemacht.
Gruß Looser
Moin,
ich kann dir eine Industrie Firewall empfehlen welche auch in einen Schaltschrank passt.
Von der kannst du deine Standortvernetzung aufbauen.
Bei uns wurde solch ein System schon Konzeptioniert. Sollte es sich hier nicht nur um 5 Standorte handeln ist das System interessant.
Bei Frage kannst du dich ja per PN melden.
schönen Sonntag!
Spirit
ich kann dir eine Industrie Firewall empfehlen welche auch in einen Schaltschrank passt.
Von der kannst du deine Standortvernetzung aufbauen.
Bei uns wurde solch ein System schon Konzeptioniert. Sollte es sich hier nicht nur um 5 Standorte handeln ist das System interessant.
Bei Frage kannst du dich ja per PN melden.
schönen Sonntag!
Spirit
Moin,
würde es ggf. auch umgekehrt gehen? Du stellst dir "irgendwo" einen VPN-Server hin. Deine Industrie-Anlagen wählen sich darauf automatisch ein. Die Techniker benötigen dann "nur" den OpenVPN-Client und schon sind die auch in dem Netz drin. Du müsstest jetzt nur dafür sorgen das jeder Techniker ggf. seine IP bekommt und/oder per Firewall dafür sorgen das er/sie nur Zugriff auf "seine" Maschinen hat. Da die Rechner selbst ebenfalls nur die VPN-IP haben hast du auch (per default) kein Routing ins Interne Netz drin...
Und du kannst es jetzt ja sogar noch so machen das du bei dir nen DNS pflegst den du verwendest - so das sich die Tech nich merken müssen welche IP der Kasten hat - ist dann halt "DieSuperMaschineVonKundenX" im DNS ;)
würde es ggf. auch umgekehrt gehen? Du stellst dir "irgendwo" einen VPN-Server hin. Deine Industrie-Anlagen wählen sich darauf automatisch ein. Die Techniker benötigen dann "nur" den OpenVPN-Client und schon sind die auch in dem Netz drin. Du müsstest jetzt nur dafür sorgen das jeder Techniker ggf. seine IP bekommt und/oder per Firewall dafür sorgen das er/sie nur Zugriff auf "seine" Maschinen hat. Da die Rechner selbst ebenfalls nur die VPN-IP haben hast du auch (per default) kein Routing ins Interne Netz drin...
Und du kannst es jetzt ja sogar noch so machen das du bei dir nen DNS pflegst den du verwendest - so das sich die Tech nich merken müssen welche IP der Kasten hat - ist dann halt "DieSuperMaschineVonKundenX" im DNS ;)
Hallo
Wir setzen weltweit dazu Cisco Router ein, meist die 8xx.
Diese werden von muss fertig konfiguriert und bauen aktiv den Tunnel zu uns auf...
Das ganze nennt sich bei Cisco
EZVPN.
Hat den Vorteil das wir vor Ort keinen dedizierten Internetzugang benötigen sondern in den meisten Fällen eine IP per DHCP aus dem Kundennetz beziehen uns der Kunde den Router nur dann einschaltet wenn er Support benötigt.
Brammer
Wir setzen weltweit dazu Cisco Router ein, meist die 8xx.
Diese werden von muss fertig konfiguriert und bauen aktiv den Tunnel zu uns auf...
Das ganze nennt sich bei Cisco
EZVPN.
Hat den Vorteil das wir vor Ort keinen dedizierten Internetzugang benötigen sondern in den meisten Fällen eine IP per DHCP aus dem Kundennetz beziehen uns der Kunde den Router nur dann einschaltet wenn er Support benötigt.
Brammer
Hallo,
Iran ist kein Problem...
Das größte Problem ist es so eine Lösung nach zu rüsten... einen Router nach zu liefern ist fast unmöglich...
Ist der Router dagegen fest im der Maschine oder Anlage bei Lieferung eingebaut ist er Bestandteil der Anlage... das geht...
Ansonsten geht das Zollrechtlich nicht....
Brammer
Iran ist kein Problem...
Das größte Problem ist es so eine Lösung nach zu rüsten... einen Router nach zu liefern ist fast unmöglich...
Ist der Router dagegen fest im der Maschine oder Anlage bei Lieferung eingebaut ist er Bestandteil der Anlage... das geht...
Ansonsten geht das Zollrechtlich nicht....
Brammer
Zitat von @wiesi200:
Ja, entsprechend der Lösung die ich eh schon angedacht habe. Ich hät aber Webserver installiert und dann irgendwie versucht auszulesen wer sich aktuell beim VPN Server angemeldet hat und diese Info's dann dort dargestellt.
Somit könnte man sehr leicht sehen auf welche Maschinen man zugreifen kann da online.
Vielleicht könnte man dann noch eine kleine Datenbank drauf einrichten die dann Fehler/Statusmeldungen von den Maschinen bekommen, natürlich fals Kunde das wünscht.
Mal sehen, ich lass das jetzt noch ein paar Tage offen fall's noch jemand ne andere Idee hat.
Aber schon mal Danke
Ja, entsprechend der Lösung die ich eh schon angedacht habe. Ich hät aber Webserver installiert und dann irgendwie versucht auszulesen wer sich aktuell beim VPN Server angemeldet hat und diese Info's dann dort dargestellt.
Somit könnte man sehr leicht sehen auf welche Maschinen man zugreifen kann da online.
Vielleicht könnte man dann noch eine kleine Datenbank drauf einrichten die dann Fehler/Statusmeldungen von den Maschinen bekommen, natürlich fals Kunde das wünscht.
Mal sehen, ich lass das jetzt noch ein paar Tage offen fall's noch jemand ne andere Idee hat.
Aber schon mal Danke
Nur ein Gedanke:
Wenn Du den vorhandenen Industrie-PC ein wenig pimpst und einen Syslog-Server drauf laufen läßt...und deine Anlagen an den reporten, bekommst Du die Meldungen schön über den Fernzugriff angezeigt.
Oder Du setzt den Syslog-Server auf den VPN-Server und sammelst so von allen Kunden ein....was aber ziemlich unübersichtlich werden könnte.
Vielleicht auf dem VPN-Server besser nur nen Webserver, der sich die Infos von den einzelnen Syslog-Servern per VPN abholt.
Erfordert aber, dass die Kunden eine online-Verbindung gestatten (zumindest lesend).
Mit der Methode kannst Du dann auch den Kunden einwandfrei identifizieren, weil Du den Kunden mit seinem Syslog einmalig am Webserver eintragen musst.
Der Zugriff in die andere Richtung müsste dann durch eine einfache Bestätigung am Industrie-PC in der Anlage "freigeschaltet" werden.
bekommst Du die Meldungen schön über den Fernzugriff angezeigt.
Sogar mit einem Web GUI auf dem o.a. RasPi:Netzwerk Management Server mit Raspberry Pi
Das größte Problem ist es so eine Lösung nach zu rüsten... einen Router nach zu liefern ist fast unmöglich...
Ist der Router dagegen fest im der Maschine oder Anlage bei Lieferung eingebaut ist er Bestandteil der Anlage... das geht...
Ansonsten geht das Zollrechtlich nicht....
Etwas OT .... Es gab mal einen Fall, da konnte man einen LiIo Akku für einen Gabelstapler nicht liefern, eingebaut im Stapler ging es... Lieferte man halt einen kompletten Gabelstapler mit Akku. Uwe
Ist der Router dagegen fest im der Maschine oder Anlage bei Lieferung eingebaut ist er Bestandteil der Anlage... das geht...
Ansonsten geht das Zollrechtlich nicht....
Etwas OT .... Es gab mal einen Fall, da konnte man einen LiIo Akku für einen Gabelstapler nicht liefern, eingebaut im Stapler ging es... Lieferte man halt einen kompletten Gabelstapler mit Akku. Uwe
Abend,
ich arbeite auch in einem kleineren Dienstleitungsunternehmen was mit Industrieanlagen handelt und deren Service übernimmt.
Wir haben uns schlußendlich für MGuard Firewalls von Phoenix Contact enschieden.
Die Firewall ist im PCI Schacht des IPCs verbaut, bekommt von dort Strom und ist im stealth Modus geschalten.
Software haben wir uns in Indien für Knapp 2000€ Schreiben lassen.
Kunde wählt Telediagnose, Schaltet Telediagnose ein. Mguard verbindet sich zur Mguard Cloud und übermittelt die Maschinennummer mit.
Techniker sieht im Pool, dass Maschine mit der Maschinennummer xyz online geht. Techniker Verbindet sich mittels VPN Client in die Mguard Cloud und wählt die Anlage aus.
via PcAnywhere, bzw bei neuren Anlagen VNC kann der Techniker auf die Maschine zugreifen.
vielleicht hilft es dir.
Grüße
MS
ich arbeite auch in einem kleineren Dienstleitungsunternehmen was mit Industrieanlagen handelt und deren Service übernimmt.
Wir haben uns schlußendlich für MGuard Firewalls von Phoenix Contact enschieden.
Die Firewall ist im PCI Schacht des IPCs verbaut, bekommt von dort Strom und ist im stealth Modus geschalten.
Software haben wir uns in Indien für Knapp 2000€ Schreiben lassen.
Kunde wählt Telediagnose, Schaltet Telediagnose ein. Mguard verbindet sich zur Mguard Cloud und übermittelt die Maschinennummer mit.
Techniker sieht im Pool, dass Maschine mit der Maschinennummer xyz online geht. Techniker Verbindet sich mittels VPN Client in die Mguard Cloud und wählt die Anlage aus.
via PcAnywhere, bzw bei neuren Anlagen VNC kann der Techniker auf die Maschine zugreifen.
vielleicht hilft es dir.
Grüße
MS
Zitat von @aqui:
Das bekommt man aber auch mit 200 Euro und dem o.a. Raspberry mit OpenVPN viel einfacher hin.
Das bekommt man aber auch mit 200 Euro und dem o.a. Raspberry mit OpenVPN viel einfacher hin.
und vorallem ohne die Daten direkt mit der mGuard Cloud zu teilen.
Zitat von @certifiedit.net:
und vorallem ohne die Daten direkt mit der mGuard Cloud zu teilen.
Zitat von @aqui:
Das bekommt man aber auch mit 200 Euro und dem o.a. Raspberry mit OpenVPN viel einfacher hin.
Das bekommt man aber auch mit 200 Euro und dem o.a. Raspberry mit OpenVPN viel einfacher hin.
und vorallem ohne die Daten direkt mit der mGuard Cloud zu teilen.
Nun, das nennt sich Arbeitsteilung. Jeder macht das was er gut kann. Der VPN-Dienstleister das VPN und der Maschinenbauer die Maschine.
Man kann als "Pension/Gästehaus/Hotel" für das Frühstück die Brötchen selbst backen oder sie vom Bäcker oder Discounter holen, je nach Qualitätsanspruch und Wirtschaftlichkeit.
Aber das muß jeder selbst entscheiden.
lks
PS. Ich
Zitat von @aqui:
Das bekommt man aber auch mit 200 Euro und dem o.a. Raspberry mit OpenVPN viel einfacher hin.
Das bekommt man aber auch mit 200 Euro und dem o.a. Raspberry mit OpenVPN viel einfacher hin.
ich wüsste nicht das es noch einfacher geht , die frage ist ja schlussendlich wieviel mehraufwand hat der Kunde ?. Muss der Kunde erst 3 Programme öffnen oder einfach nur einen Button mit "VPN Aktivieren" drücken. Je einfacher soetwas aufgebaut ist, desto besser. Gerade in gegenenden wie Indien und Naher Osten wo die Maschinenbediener keine bis garkeine Ausbildung haben. Aber ich gebe dir da recht, günstig sind die Mguard Firewall nicht, deswegen werden die beim Nachrüsten auch mitberechnet.
das setzt aber vorraus das dein Steuerungsrechner eine Verbindung zum Internet hat - was ich ggf. aber gar nicht unbedingt will. Nehme ich ne VPN-Verbindung dazwischen ist das kein Ding - ggf. sogar über nen anderen Server so das der Steuerungsrechner (oder was auch immer) eben nie eine Verbindung zum Internet hat...
Und wenn dein Kollegenkreis nich zufällig in der Entwicklungsabteilung von TeamViewer sitzt dann wissen die auch nich mehr als du oder ich...
Und wenn dein Kollegenkreis nich zufällig in der Entwicklungsabteilung von TeamViewer sitzt dann wissen die auch nich mehr als du oder ich...
Hallo @wiesi200
Gruß,
Dani
Hab es aber hier noch nicht als gelöst markiert da noch das eine oder andere Detail erledigt werden muss.
Gibt es hierzu schon Neuigkeiten?Gruß,
Dani