Routing 2 IP-Netze Fernwartung Siemens-SPS
Hallo Forum,
ich habe ein Problen, das so oder ähnlich hier im Forum öfters auftaucht.
Bei meinem Kunden befindet sich ein Automatisierungssystem, auf dessen Steuerungskomponenten ich über eine VPN-Verbindung zugreifen möchte.
Das Kundennetz ist 192.168.0.x, Gateway 192.168.0.1
Das Steuerungsnetz ist 192.168.9.x
Der VPN-Zugang (Sophos/OpenVPN) ist eingerichtet.
Das Steuerungsnetz (Industrial Ethernet) sieht wie folgt aus:
(Die Steuerungskomponenten sind über einen Unmanaged Switch verbunden, 192.168.9.21 ist eine Simatic S7-1214)
Zum Routen zwischen den beiden Netzen setze ich einen Mikrotik hex ein.
Der Mikrotik wurde resettet:
und anschließend eingerichtet:
- 192.168.0.227 an ether1 (ether1 als LAN-Port)
- 192.168.9.1 an ether5 (ether5 als LAN-Port)
- Default Route 0.0.0.0/0 / Gateway 192.168.0.1
- DHCP-Server 192.168.9.0/24 / Gateway 192.168.0.1 / DNS-Server 192.168.0.162 und 192.168.0.150
(ohne Adresspool, mit statischen Adressen)
Die angeschlossenen Teilnehmer in beiden Netzerken werden beim IP-Scan erkannt.
VPN routet auf 192.168.0.227/32 , 192.168.0.228/32 und 192.168.9.0/24 und trägt in die Routingtabelle ein:
Der VPN-Zugang funktioniert, ich erreiche die Oberfläche des Mikrotik sowohl über die 192.168.0.227 als auch über die 192.168.9.1
Allerdings kann ich die anderen Teilnehmer im 192.168.9.x -Netz nicht erreichen.
Was fehlt, was habe ich übersehen oder falsch gemach?
Vielen Dank für Eure Unterstützung.
ich habe ein Problen, das so oder ähnlich hier im Forum öfters auftaucht.
Bei meinem Kunden befindet sich ein Automatisierungssystem, auf dessen Steuerungskomponenten ich über eine VPN-Verbindung zugreifen möchte.
Das Kundennetz ist 192.168.0.x, Gateway 192.168.0.1
Das Steuerungsnetz ist 192.168.9.x
Der VPN-Zugang (Sophos/OpenVPN) ist eingerichtet.
(Die Steuerungskomponenten sind über einen Unmanaged Switch verbunden, 192.168.9.21 ist eine Simatic S7-1214)
Zum Routen zwischen den beiden Netzen setze ich einen Mikrotik hex ein.
Der Mikrotik wurde resettet:
und anschließend eingerichtet:
- 192.168.0.227 an ether1 (ether1 als LAN-Port)
- 192.168.9.1 an ether5 (ether5 als LAN-Port)
- Default Route 0.0.0.0/0 / Gateway 192.168.0.1
- DHCP-Server 192.168.9.0/24 / Gateway 192.168.0.1 / DNS-Server 192.168.0.162 und 192.168.0.150
(ohne Adresspool, mit statischen Adressen)
Die angeschlossenen Teilnehmer in beiden Netzerken werden beim IP-Scan erkannt.
VPN routet auf 192.168.0.227/32 , 192.168.0.228/32 und 192.168.9.0/24 und trägt in die Routingtabelle ein:
Der VPN-Zugang funktioniert, ich erreiche die Oberfläche des Mikrotik sowohl über die 192.168.0.227 als auch über die 192.168.9.1
Allerdings kann ich die anderen Teilnehmer im 192.168.9.x -Netz nicht erreichen.
Was fehlt, was habe ich übersehen oder falsch gemach?
Vielen Dank für Eure Unterstützung.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 597828
Url: https://administrator.de/forum/routing-2-ip-netze-fernwartung-siemens-sps-597828.html
Ausgedruckt am: 12.05.2025 um 09:05 Uhr
11 Kommentare
Neuester Kommentar
Hallo
Im DHCP kann das Gateway von 192.168.9.x nicht 192.168.0.1 sein. Es ist der Routingpunkt von 192.168.9.x auf 192.168.0.x. Wahrscheinlich 192.168.9.1.
so long
Yumper
Im DHCP kann das Gateway von 192.168.9.x nicht 192.168.0.1 sein. Es ist der Routingpunkt von 192.168.9.x auf 192.168.0.x. Wahrscheinlich 192.168.9.1.
so long
Yumper
Allerdings kann ich die anderen Teilnehmer im 192.168.9.x -Netz nicht erreichen.
Das du den Mikrotik Port im .9.0er netz pingen und erreichen kannst zeigt das generell dein Routing und VPN Umfeld fehlerfrei funktioniert. Die Screenshots zeigen das auch eindeutig. Diese Infrastruktur ist also OK. Der Fehler kann dann nur noch an den Endgeräten im .9.0er Netz liegen. Da wäre dann...- Fehlendes oder falsches Gateway ! Das lässt leider die DHCP Server Konfig vermuten: (Zitat) "DHCP-Server 192.168.9.0/24 / Gateway 192.168.0.1 / DNS-Server 192.168.0.162 und 192.168.0.150" !!! die .0.1 darf ja im .9.0er IP Netz niemals das Gateway sein, das wäre IP technischer Blödsinn. Dort muss natürlich als Gateway an die .9.0er Clients die 192.168.9.1 verteilt werden ! Ansonsten kann die Rückroute niemals ja niemals klappen. Wie sollten auch Clients im .9.0er Netz ein Gateway erreichen könne was gar nicht in ihrem eigenen IP Netz liegt ?! Siehe dazu auch Tutorial zu den IP Routing Grundlagen ! Kollege @yumper hat es oben schon angesprochen.
- Sollte das ein Vertipper sein, ist es meist die lokale Firewall wenn die Clients Windows Rechner sind. Diese blockt generell ICMP (Ping) und auch alles was von fremden IP Netzen kommt (VPN etc.) Hier muss die FW also angepasst werden.
Moin Debil57,
warum nimmst du zum Routen noch einen Mikrotik, das macht aus meiner Sicht keinen Sinn und macht deinen Plan nur unnötig kompliziert.
Richte auf deiner Sophos eine neue Interne DMZ ein mit z.B. lokaler IP 192.168.9.1 und stecke den Port genau da ein wo jetzt dein Microtik richtung Steuerungsnetz hängt.
Grüsse aus BaWü
Alex
warum nimmst du zum Routen noch einen Mikrotik, das macht aus meiner Sicht keinen Sinn und macht deinen Plan nur unnötig kompliziert.
Richte auf deiner Sophos eine neue Interne DMZ ein mit z.B. lokaler IP 192.168.9.1 und stecke den Port genau da ein wo jetzt dein Microtik richtung Steuerungsnetz hängt.
Grüsse aus BaWü
Alex
Der Einwand ist bereichtigt. Der TO verfährt hier aber sicher nach dem Motto "Warum einfach machen wenn es umständlich auch geht..."
Die Segmentierung über die Sophos wäre in der Tat der sinnvollere Weg. Erspart sie doch zusätzliche Hardware und zusätzliches Management.
Die Segmentierung über die Sophos wäre in der Tat der sinnvollere Weg. Erspart sie doch zusätzliche Hardware und zusätzliches Management.
Hallo,
erstmal vielen Dank für Eure schnellen Antworten.
Habe das Gateway auf 192.168.9.1 geändert (war ein Vertipper),
aber es hat sich nichts geändert, 192.168.9.1 erreichbar, die anderen 192.168.9.x nicht erreichbar.
Die Sophos-Firewall ist für den gesamten 192.168.9.x freigeschaltet.
Woran könnte es noch liegen?
Das andere Thema (ohne Mikrotik) kann ich noch nicht testen, warte auf den Kunden, der die Sophos administriert.
erstmal vielen Dank für Eure schnellen Antworten.
Habe das Gateway auf 192.168.9.1 geändert (war ein Vertipper),
aber es hat sich nichts geändert, 192.168.9.1 erreichbar, die anderen 192.168.9.x nicht erreichbar.
Die Sophos-Firewall ist für den gesamten 192.168.9.x freigeschaltet.
Woran könnte es noch liegen?
Das andere Thema (ohne Mikrotik) kann ich noch nicht testen, warte auf den Kunden, der die Sophos administriert.
Hallo,
erstmal vielen Dank für Eure schnellen Antworten.
Habe das Gateway auf 192.168.9.1 geändert (war ein Vertipper),
aber es hat sich nichts geändert, 192.168.9.1 erreichbar, die anderen 192.168.9.x nicht erreichbar.
Die Sophos-Firewall ist für den gesamten 192.168.9.x freigeschaltet.
Woran könnte es noch liegen?
Das andere Thema (ohne Mikrotik) kann ich noch nicht testen, warte auf den Kunden, der die Sophos administriert.
erstmal vielen Dank für Eure schnellen Antworten.
Habe das Gateway auf 192.168.9.1 geändert (war ein Vertipper),
aber es hat sich nichts geändert, 192.168.9.1 erreichbar, die anderen 192.168.9.x nicht erreichbar.
Die Sophos-Firewall ist für den gesamten 192.168.9.x freigeschaltet.
Woran könnte es noch liegen?
Das andere Thema (ohne Mikrotik) kann ich noch nicht testen, warte auf den Kunden, der die Sophos administriert.
Doppelpost ??
OK dann gehe (wenn du bei der externen MT Lösung bleiben willst) einmal strategisch und Schritt für Schritt vor um den Fehler genau einzugrenzen !
Das Resultat dieser Ping Schritte postetst du dann hier.
Zudem solltest du einmal die Firmware des MT updaten, die ist uralt. Die aktuelle Stable ist bei 6.47.2 !
OK dann gehe (wenn du bei der externen MT Lösung bleiben willst) einmal strategisch und Schritt für Schritt vor um den Fehler genau einzugrenzen !
- Statische Route ins .9.0er Netz auf der Sophos checken.
- Default Route (0.0.0.0/0) auf dem Mikrotik zur Sophos IP 192.168.0.1 checken.
- Client PC ins .9.0er Netz anschliessen
- Check mit ipvonfig /all ob eine korrekte 9er IP und Gateway (192.168.9.1, Mikrotik) auf dem .9.0er Client PC bezogen wurde. DNS Server sollte die IP 192.168.0.160 oder .0.152 haben auf dem Client.
- Ist die IP, Gateway und DNS korrekt dann einmal das Mikrotik Gateway an eth5, 192.168.9.1 in diesem Netz pingen. Klappt das ?
- Wenn ja, jetzt das Mikrotik Interface an eth1 192.168.0.227 pingen. Klappt das ?
- Wenn ja, jetzt das Internet Router Interface 192.168.0.1 pingen. Klappt das ?
- Wenn ja, dann eine nackte Internet IP wie z.B. 8.8.8.8 pingen. Klappt das ?
- Kneift einer dieser Pings gehst du per WinBox auf den Mikrotik und dort unter Tools --> Ping und pingst von dort mal den Router und den Test PC sowie, Kameras, Roboter und Servo IPs.
Das Resultat dieser Ping Schritte postetst du dann hier.
Zudem solltest du einmal die Firmware des MT updaten, die ist uralt. Die aktuelle Stable ist bei 6.47.2 !
Moin debil57,
Ich empfehle dir zu warten und es sauber und unkomplizierter über die Sophos einzurichten.
Hast du Admin Zugang zu der Sophos?
Grüsse aus BaWü
Alex
Das andere Thema (ohne Mikrotik) kann ich noch nicht testen, warte auf den Kunden, der die Sophos administriert.
Ich empfehle dir zu warten und es sauber und unkomplizierter über die Sophos einzurichten.
Hast du Admin Zugang zu der Sophos?
Grüsse aus BaWü
Alex
Hallo MysticFoxDE,
die Admin-Rechte hat nur der Kunde, aber der hat "keine Zeit", ausserdem hat mein Thema für ihn keine hohe Prio.
Müsste er denn viel machen, um die DMZ einzurichten?
Grüsse aus dem Sauerland
Debil57
die Admin-Rechte hat nur der Kunde, aber der hat "keine Zeit", ausserdem hat mein Thema für ihn keine hohe Prio.
Müsste er denn viel machen, um die DMZ einzurichten?
Grüsse aus dem Sauerland
Debil57
Hallo aqui,
vielen Dank für die Strategie.
Bin allerdings erst in der nächsten Woche beim Kunden.
Poste dann die Ergebnisse.
Unabhängig davon, ob ich mich für die Lösung ohne MT entscheide, möchte ich herausfinden, warum die Lösung mit MT nicht funktioniert (um zu lernen)
Grüsse aus dem Sauerland
Debil57
vielen Dank für die Strategie.
Bin allerdings erst in der nächsten Woche beim Kunden.
Poste dann die Ergebnisse.
Unabhängig davon, ob ich mich für die Lösung ohne MT entscheide, möchte ich herausfinden, warum die Lösung mit MT nicht funktioniert (um zu lernen)
Grüsse aus dem Sauerland
Debil57
Moin Debil57,
Wenn dieser sich auch nur halbwegs gut mit einer Sophos auskennt, dann ist die Sache in < 5 Minuten erledigt.
- Interface einrichten.
- Paar Firewallregeln neuschreiben/umbiegen.
- Umstecken
Fertig.
Grüsse aus BaWü
Alex
Müsste er denn viel machen, um die DMZ einzurichten?
Wenn dieser sich auch nur halbwegs gut mit einer Sophos auskennt, dann ist die Sache in < 5 Minuten erledigt.
- Interface einrichten.
- Paar Firewallregeln neuschreiben/umbiegen.
- Umstecken
Fertig.
Grüsse aus BaWü
Alex
