27
VLAN oder NAT für Maschinennetzwerk
Hallo Gemeinde,
ich habe einen hAP ac lite RB952Ui-5ac2nD im Einsatz an einer Maschine.
Das Netzwerk der Maschine hat die IPs 192.168.20.xx /24
Diese Maschine hat eine
- Visu 192.168.20.1 LAN Port 3
- SPS 192.168.20.2 LAN Port 2
angeschlossen.
Port 4 dient als Anschluss für ein Notebook zu Servicezwecken
Port 5 soll nun der Kundenport werden ( aus einem anderen Netzwerk)
Port 1 ( Internet ) wird und soll nicht für Internet benutzt werden
Die Aufgabe mit der ich überfordert bin ist:
Der Kunde soll über seine IP z.B. 192.168.10.x auf unsere Teilnehmer SPS (192.168.20.2) und Visu (192.168.20.1) zugreifen können.
Das Ganze ist erforderlich, da der Kunde 5 Maschinen bekommt und die alle die gleiche Software also auch identische IP-Konfiguration haben.
Diese 5 Maschinen sollen auch nicht intern also 192.168.20.xx vernetzt werden.
Bisher hat das die IT gemacht, z.B. von Kundenseite. Ich denke über VLAN oder auch NAT Router.
Der Mikrotik kann das evtl. auch durch die richtigen Einstellungen übernehmen, so das der Kunde nichts extra beistellen müsste.
Hat schon mal einer von Euch eine solche Anforderung gehabt ?
Ich bin dankbar für Lösungsansätze.
Die IPs des Maschinennetzes auf denen der Kunde zugreifen sind 192.168.20.1 und 192.168.20.2.
( andere Netzwerkteilnehmer sind uninteressant für den Kunden )
Der Kunde schreibt eine Applikation zur Kommunikation mit den 192.168.20.1 und 192.168.20.2 Teilnehmern.
Die Kunden-IP der Applikation/ NIC lautet z.b. 192.168.10.77.
Darüber soll er jetzt auf die 4 gleichen Maschinen zugreifen können.
Ich dachte für den Port5 ( also da wo der Kunde angeschlossen wird ) z.B. 2 feste IPs zur Unterscheidung zu vergeben :
Maschine 1
192.168.20.1 <- 192.168.10.111
192.168.20.2 <- 192.168.10.112
Maschine 2
192.168.20.1 <- 192.168.10.121
192.168.20.2 <- 192.168.10.122
Maschine 3
192.168.20.1 <- 192.168.10.131
192.168.20.2 <- 192.168.10.132
.
.
..
Also wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.111 anspricht, dann greift er auf Maschine 1 192.168.20.1 zu.
wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.112 anspricht, dann greift er auf Maschine 1 192.168.20.2 zu.
wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.121 anspricht, dann greift er auf Maschine 2 192.168.20.1 zu.
wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.122 anspricht, dann greift er auf Maschine 2 192.168.20.2 zu.
wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.131 anspricht, dann greift er auf Maschine 3 192.168.20.1 zu.
Das wäre aus Kundensicht vielleicht der Königsweg, aber ich weiß nicht wie es umgesetzt werden kann.
Aktuelle erhält der Mikrotik eine default config.
- Port 1..5 Bridge
- WLAN 1 und 2 auf Bridge
- Firewall router
- IP-Adress 192.168.20.150 Mask /24
- DHCP Server range 192.168.20.140-192.168.20.149
- NAT
- WLAN auf
Ich wollte auf Port 2..4 ein VLAN einrichten und über Port 5 per DNAT an die Rechner in das lokale Vlan weiterleiten.
Ich scheitere daran, wahrscheinlich weil ich die IT-Jungs nicht verstehe.
Überall wo ich etwas versuche erscheint dann die Eingabemöglichkeit erst gar nicht.
Hat jemand einen Vorschlag zur Umsetzung hierzu ?
Ach ja, wenn man den Router RESET ausführt, bekommt man die Einstellung wieder restauriert falls es gar nicht funktioniert damit er nicht unbrauchbar wird ?
Gruß
Winnie
ich habe einen hAP ac lite RB952Ui-5ac2nD im Einsatz an einer Maschine.
Das Netzwerk der Maschine hat die IPs 192.168.20.xx /24
Diese Maschine hat eine
- Visu 192.168.20.1 LAN Port 3
- SPS 192.168.20.2 LAN Port 2
angeschlossen.
Port 4 dient als Anschluss für ein Notebook zu Servicezwecken
Port 5 soll nun der Kundenport werden ( aus einem anderen Netzwerk)
Port 1 ( Internet ) wird und soll nicht für Internet benutzt werden
Die Aufgabe mit der ich überfordert bin ist:
Der Kunde soll über seine IP z.B. 192.168.10.x auf unsere Teilnehmer SPS (192.168.20.2) und Visu (192.168.20.1) zugreifen können.
Das Ganze ist erforderlich, da der Kunde 5 Maschinen bekommt und die alle die gleiche Software also auch identische IP-Konfiguration haben.
Diese 5 Maschinen sollen auch nicht intern also 192.168.20.xx vernetzt werden.
Bisher hat das die IT gemacht, z.B. von Kundenseite. Ich denke über VLAN oder auch NAT Router.
Der Mikrotik kann das evtl. auch durch die richtigen Einstellungen übernehmen, so das der Kunde nichts extra beistellen müsste.
Hat schon mal einer von Euch eine solche Anforderung gehabt ?
Ich bin dankbar für Lösungsansätze.
Die IPs des Maschinennetzes auf denen der Kunde zugreifen sind 192.168.20.1 und 192.168.20.2.
( andere Netzwerkteilnehmer sind uninteressant für den Kunden )
Der Kunde schreibt eine Applikation zur Kommunikation mit den 192.168.20.1 und 192.168.20.2 Teilnehmern.
Die Kunden-IP der Applikation/ NIC lautet z.b. 192.168.10.77.
Darüber soll er jetzt auf die 4 gleichen Maschinen zugreifen können.
Ich dachte für den Port5 ( also da wo der Kunde angeschlossen wird ) z.B. 2 feste IPs zur Unterscheidung zu vergeben :
Maschine 1
192.168.20.1 <- 192.168.10.111
192.168.20.2 <- 192.168.10.112
Maschine 2
192.168.20.1 <- 192.168.10.121
192.168.20.2 <- 192.168.10.122
Maschine 3
192.168.20.1 <- 192.168.10.131
192.168.20.2 <- 192.168.10.132
.
.
..
Also wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.111 anspricht, dann greift er auf Maschine 1 192.168.20.1 zu.
wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.112 anspricht, dann greift er auf Maschine 1 192.168.20.2 zu.
wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.121 anspricht, dann greift er auf Maschine 2 192.168.20.1 zu.
wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.122 anspricht, dann greift er auf Maschine 2 192.168.20.2 zu.
wenn der Kunde über 192.168.10.77 den Teilnehmer 192.168.10.131 anspricht, dann greift er auf Maschine 3 192.168.20.1 zu.
Das wäre aus Kundensicht vielleicht der Königsweg, aber ich weiß nicht wie es umgesetzt werden kann.
Aktuelle erhält der Mikrotik eine default config.
- Port 1..5 Bridge
- WLAN 1 und 2 auf Bridge
- Firewall router
- IP-Adress 192.168.20.150 Mask /24
- DHCP Server range 192.168.20.140-192.168.20.149
- NAT
- WLAN auf
Ich wollte auf Port 2..4 ein VLAN einrichten und über Port 5 per DNAT an die Rechner in das lokale Vlan weiterleiten.
Ich scheitere daran, wahrscheinlich weil ich die IT-Jungs nicht verstehe.
Überall wo ich etwas versuche erscheint dann die Eingabemöglichkeit erst gar nicht.
Hat jemand einen Vorschlag zur Umsetzung hierzu ?
Ach ja, wenn man den Router RESET ausführt, bekommt man die Einstellung wieder restauriert falls es gar nicht funktioniert damit er nicht unbrauchbar wird ?
Gruß
Winnie
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7861511372
Url: https://administrator.de/forum/vlan-oder-nat-fuer-maschinennetzwerk-7861511372.html
Ausgedruckt am: 08.04.2025 um 01:04 Uhr
27 Kommentare
Neuester Kommentar
Letztlich ist das ja ganz stinknormales Routing. NAT brauchst du deshalb nicht und ist auch eher kontraproduktiv weil es dir Routing Einbahnstrassen schafft die man eher nicht will.
Auch die Default Konfig benötigst du in deinem Design nicht und solltest du in jedem Falle entfernen! Siehe dazu auch hier.
Ob VLAN oder nicht ist abhängig von der max. Anzahl deiner IP Netze. Wenn du mit 5 IP Netzen auskommst, und in naher Zukunft keine mehr dazukommen, dann kannst du natürlich eine direkte IP Adressierung auf den Routerports machen. Die limitieren dann in der Variante deine Netzanzahl.
Willst du etwas flexibler sein um später einmal mehr als 5 Netze zu bedienen bietet sich natürlich immer ein VLAN Setup an.
Die Zugriffsbeschränkung für den Kunden richtest du am besten ganz einfach über die Firewall Funktion ein. So kannst du ganz einfach beschränken das er von seinem 192.168.10.0 /24er Segment ausschliesslich nur auf das 192.168.20.0 /24er Maschinennetz kommt.
Eigentlich ein klassisches, einfaches, geroutetes Netz. Ist alles kein Hexenwerk! 😉
Auch die Default Konfig benötigst du in deinem Design nicht und solltest du in jedem Falle entfernen! Siehe dazu auch hier.
Ob VLAN oder nicht ist abhängig von der max. Anzahl deiner IP Netze. Wenn du mit 5 IP Netzen auskommst, und in naher Zukunft keine mehr dazukommen, dann kannst du natürlich eine direkte IP Adressierung auf den Routerports machen. Die limitieren dann in der Variante deine Netzanzahl.
Willst du etwas flexibler sein um später einmal mehr als 5 Netze zu bedienen bietet sich natürlich immer ein VLAN Setup an.
Die Zugriffsbeschränkung für den Kunden richtest du am besten ganz einfach über die Firewall Funktion ein. So kannst du ganz einfach beschränken das er von seinem 192.168.10.0 /24er Segment ausschliesslich nur auf das 192.168.20.0 /24er Maschinennetz kommt.
Eigentlich ein klassisches, einfaches, geroutetes Netz. Ist alles kein Hexenwerk! 😉
Moin,
Kannst du denn die IP Konfig der Maschinene ändern?
Wenn nicht kommst du um NAT und separate Netze, bewusst Mehrzahl, nicht umher.
Gruß
Spirit
Kannst du denn die IP Konfig der Maschinene ändern?
Wenn nicht kommst du um NAT und separate Netze, bewusst Mehrzahl, nicht umher.
Gruß
Spirit
Hi,
Er hat aber doch drei Maschinen und somit drei 192.168.20.0/24er Netze, also reicht ein einfaches Routing hier doch nicht.
Über NAT wird er hier wohl nicht rumkommen.
cu,
ipzipzap
Zitat von @aqui:
Letztlich ist das ja ganz stinknormales Routing. NAT brauchst du deshalb nicht und ist auch eher kontraproduktiv weil es dir Routing Einbahnstrassen schafft die man eher nicht will.
...
So kannst du ganz einfach beschränken das er von seinem 192.168.10.0 /24er Segment ausschliesslich nur auf das 192.168.20.0 /24er Maschinennetz kommt.
Eigentlich ein klassisches, einfaches, geroutetes Netz. Ist alles kein Hexenwerk! 😉
Letztlich ist das ja ganz stinknormales Routing. NAT brauchst du deshalb nicht und ist auch eher kontraproduktiv weil es dir Routing Einbahnstrassen schafft die man eher nicht will.
...
So kannst du ganz einfach beschränken das er von seinem 192.168.10.0 /24er Segment ausschliesslich nur auf das 192.168.20.0 /24er Maschinennetz kommt.
Eigentlich ein klassisches, einfaches, geroutetes Netz. Ist alles kein Hexenwerk! 😉
Er hat aber doch drei Maschinen und somit drei 192.168.20.0/24er Netze, also reicht ein einfaches Routing hier doch nicht.
Über NAT wird er hier wohl nicht rumkommen.
cu,
ipzipzap
Hi.
Dein NAT-Ansatz ist schon richtig ...
Wenn ich deinen Text richtig verstanden habe, hast du für jede Maschine einen ac-lite des Maschinen-Herstellers, der eben "nur" 5 Ports hat.
Dann braucht es also einen übergeordneten NAT-fähigen Switch/Router mit entsprechend vielen Ports.
An diesem schließt du jeweils Port 5 der ac-lite an - also z.B Port 1 -> Maschine 1, 2 > 2, etc ...
... und richtest in diesem entsprechend dein NAT zu den Maschinen ein ...
Alternativ dazu einen Switch mit > 11 Ports - 5 x 3 je Maschine + Internet + Kundennetz ...
... auf diesem dann 3 x VLAN - je pro Maschine und je 1 VLAN Internet und Kundennetz ...
Dazu dann die NAT-Routen in die VLANs.
Ich fände den übergeordneten Switch mit den 3 Maschinen ac-lite und NAT aber übersichtlicher und sicher auch einfacher und unabhängiger mit dem Maschinen-Hersteller zu koordinieren ...
@aqui wird das aber nach nochmaligem Lesen deines Eingangsbeitrags sicher genauer beschreiben ...
Dein NAT-Ansatz ist schon richtig ...
Wenn ich deinen Text richtig verstanden habe, hast du für jede Maschine einen ac-lite des Maschinen-Herstellers, der eben "nur" 5 Ports hat.
Dann braucht es also einen übergeordneten NAT-fähigen Switch/Router mit entsprechend vielen Ports.
An diesem schließt du jeweils Port 5 der ac-lite an - also z.B Port 1 -> Maschine 1, 2 > 2, etc ...
... und richtest in diesem entsprechend dein NAT zu den Maschinen ein ...
Alternativ dazu einen Switch mit > 11 Ports - 5 x 3 je Maschine + Internet + Kundennetz ...
... auf diesem dann 3 x VLAN - je pro Maschine und je 1 VLAN Internet und Kundennetz ...
Dazu dann die NAT-Routen in die VLANs.
Ich fände den übergeordneten Switch mit den 3 Maschinen ac-lite und NAT aber übersichtlicher und sicher auch einfacher und unabhängiger mit dem Maschinen-Hersteller zu koordinieren ...
@aqui wird das aber nach nochmaligem Lesen deines Eingangsbeitrags sicher genauer beschreiben ...
Das Problem lässt sich erst Ziel führend lösen wenn wir wissen, ob der TO die Maschinen mit separaten IPs konfigurieren kann.
Ansonsten kommt er z.b. mit einem zentralen NAT device nicht weit. Dieses müsste ja selbst auf verschiedenen Interfaces das selbe Subnetz nutzen. Das geht, wie bekannt sein sollte, nur mit separaten Routing Domains. Mir fällt da als erstes Fortinet ein.
Edit:
Ich habe es jetzt nochmal gelesen. Wenn pro Maschine ein Mikrotik verwendet wird geht das natürlich mit NAT dort. Dann muss das Routing zu dem entsprechenden 1:1 NAT Netz angelegt werden.
Ansonsten kommt er z.b. mit einem zentralen NAT device nicht weit. Dieses müsste ja selbst auf verschiedenen Interfaces das selbe Subnetz nutzen. Das geht, wie bekannt sein sollte, nur mit separaten Routing Domains. Mir fällt da als erstes Fortinet ein.
Edit:
Ich habe es jetzt nochmal gelesen. Wenn pro Maschine ein Mikrotik verwendet wird geht das natürlich mit NAT dort. Dann muss das Routing zu dem entsprechenden 1:1 NAT Netz angelegt werden.
Zitat von @Spirit-of-Eli:
Das Problem lässt sich erst Ziel führend lösen wenn wir wissen, ob der TO die Maschinen mit separaten IPs konfigurieren kann.
Das Problem lässt sich erst Ziel führend lösen wenn wir wissen, ob der TO die Maschinen mit separaten IPs konfigurieren kann.
Ich würde hier davon ausgehen. das er die Maschinen-Setups nicht ändern kann - inkl. der jeweiligen ac-lite des Maschinen-Herstellers.
Aber selbst wenn, wäre eine Koordination mit dem Hersteller notwendig - für jede Maschine neu ...
Das bedeutet. das die Standardkonfiguration des Herstellers nicht mehr zu den Support-Anforderungen/Vorgaben des Herstellers passt und jede Support-Anfrage ggf. schon mit der Begründung des geänderten Setups auf den Kunden zurückfallt und ggf. Mehrkosten anfallen...
Bleibt m.E. der übergeordnete Switch mit je 1 VLAN ("Routing Domains?) je Maschine und ein jeweiliges NAT dorthin wie vom TO vorgeschlagen ...
Das Problem sind die Ziel-Netze wenn der TO denn darauf zugreifen möchte. Diese sind ja nicht eindeutig. Das NAT auf seiner Seite hilft höchstens wenn er pro Maschine noch eine separate Routing Instanz mit NAT betreiben würde.
Ich habe das selbe Thema hier. Unsere Kollegen nutzen einen Jumphost an den Maschinen mit zwei Schnittstellen um die Baugruppen zu administrieren.
Ich habe das selbe Thema hier. Unsere Kollegen nutzen einen Jumphost an den Maschinen mit zwei Schnittstellen um die Baugruppen zu administrieren.
Moin,
Wir haben diverse Hermle Maschinen, die einen Insys-Router haben.
Per Portforwarding greifen wir auf gezielte Dienste innerhalb des Herstellernetzes zu.
Der Router selbst macht per se NAT.
Funktioniert. Nicht komfortabel, aber OK
Und aus eurer Sicht: ihr habt einen Standard und gut! ICH würde an eurer Stelle bei NAT bleiben.
Wir haben diverse Hermle Maschinen, die einen Insys-Router haben.
Per Portforwarding greifen wir auf gezielte Dienste innerhalb des Herstellernetzes zu.
Der Router selbst macht per se NAT.
Funktioniert. Nicht komfortabel, aber OK
Und aus eurer Sicht: ihr habt einen Standard und gut! ICH würde an eurer Stelle bei NAT bleiben.
1
Zitat von @MirkoKR:
Wenn ich deinen Text richtig verstanden habe, hast du für jede Maschine einen ac-lite des Maschinen-Herstellers...
nicht ganz: Der hAP ac lite oder auch vom TO mit RB952Ui-5ac2nD bezeichnet, ist kein Gerät eines Maschinenherstellers, sondern ein WLAN-AccessPoint von Mikrotik mit 5 LAN-Ports. Dieser ist, dank RouterOS, ein vollwertiger Router (wenn man mag). Übergeordnete Router oder vorgelagertes NAT braucht es also nicht.Wenn ich deinen Text richtig verstanden habe, hast du für jede Maschine einen ac-lite des Maschinen-Herstellers...
Der vom TO beschriebene Ansatz ist doch ein DST-NAT von 10.x auf 20.x, wobei 10.x variiert und 20.x immer gleich und nur auf dem jeweiligen Router erreichbar ist. Die 3, 5 (oder mehr) Router, jeder für eine Maschine, sind alle im VLAN für das Netz 10.x, das (erst) über die Bridge nach 20.x geNATed wird. Oder mit den Worten, des Kollegen @Spirit-of-Eli:
Das NAT auf seiner Seite hilft höchstens wenn er pro Maschine noch eine separate Routing Instanz mit NAT betreiben würde.
was IMO genau ist, was der TO beschreibt: Jeder hAP ac lite macht Routing und NAT für die jeweilige Maschine unter 20.x.Die einzige Frage, die sich an diesem Punkt stellt, ist, welche Frage der TO denn eigentlich hat. Wie Du eine Frage richtig stellst
Das Setup ist nachvollziehbar beschrieben. Vermutlich geht es um die konkrete Einrichtung auf den hAPs. Das bitte macht man als Netzwerk/Mikrotik-Laie für (wahrscheinlich) teure Maschinen vielleicht besser nicht selbst, sondern setzt die IT ein, die das ja offenbar bereits funktionsfähig konfiguriert hat.
Bisher hat das die IT gemacht
Warum also nicht weiter? Ein Grund, die IT abzulösen könnte vielleicht sein, dass das Konstrukt ja schon eher schräg ist und man das, wie Kollege @aqui beschreibt, ja mit sauberem Routing ohne NAT lösen könnte, dann auch mit einem zentralen Administrationszugriff, denn auch die hAPs wollen ja mal ein Update sehen. Hier war wohl eher Kollege Bequem am Werk, der es smart fand, die Konfiguration der hAPs einfach kopieren zu können. Aber auch in diesem Falle sollte man das als Nicht-Netzwerker nicht über ein Forum zu lösen versuchen. Klar, wir haben Fachkräftemangel, aber ganz soweit ist es wohl/hoffentlich noch nicht. Vielleicht mag der TO den Hintergrund seiner Anfrage noch näher erläutern?Viele Grüße, commodity
1Zitat von @commodity:
Zitat von @MirkoKR:
Wenn ich deinen Text richtig verstanden habe, hast du für jede Maschine einen ac-lite des Maschinen-Herstellers...
nicht ganz: Der hAP ac lite oder auch vom TO mit RB952Ui-5ac2nD bezeichnet, ist kein Gerät eines Maschinenherstellers, sondern ein WLAN-AccessPoint von Mikrotik mit 5 LAN-Ports.Wenn ich deinen Text richtig verstanden habe, hast du für jede Maschine einen ac-lite des Maschinen-Herstellers...
Das ist schon klar, aber wahrscheinlich vom Maschinen-Hersteller geliefert und Teil seines Support-Spezifischen Standard-Setups.
Den zu tauschen/ersetzen könnte Support-Probleme bringen ...
Hallo zusammen,
vielen lieben Dank für so viele Antworten.
Ich versuch es etwas besser hinzukriegen.
Wir stellen die Maschinen her. Es sind Serienmaschinen d.h. die haben alle die gleiche Visu und SPS-Software.
( wir verwenden für die Maschinen Programmierung Siemens TIA Portal sind also Steuerungsleute keine IT'ler )
Den Mikrotik setzen wir eigentlich für uns als SWITCH ein und haben wir eingerichtet. Das war leicht, da wir von der Defaulteinstellung nicht wirklich abweichen.
Die Anbindung zur Datenerfassung ist Kundenaufgabe und mehr oder weniger umfangreich.
Bei einer einzigen Anlage steckt sich der Kunde an Schaltschrank an unser Maschinennetz direkt ein und adressiert über 192.168.20.x die SPS oder Visu. So kann ich auch in unserem Hause die Anbindung einfach vorführen.
( z.B. OPC-UA oder Webseite )
Bei einer Vorführung würde ich dann z.b. den Zugriff auf 3 Maschinen zeigen können.
Wie commodity feststellt ich benötige die Hilfe zur konkreten Einrichtung auf den hAPs.
Auch wie em-pie schreibt, die Maschine ist Standard, nur die Einstellung an das kundenspezifische Netzwerk würden wir auf dem Mikrotik vornehmen, wenn er z.B. andere IP's hat. ( wenn sein eben nicht 192.168.10.xx ist).
Mit Respekt viele Grüße an alle
vielen lieben Dank für so viele Antworten.
Ich versuch es etwas besser hinzukriegen.
Wir stellen die Maschinen her. Es sind Serienmaschinen d.h. die haben alle die gleiche Visu und SPS-Software.
( wir verwenden für die Maschinen Programmierung Siemens TIA Portal sind also Steuerungsleute keine IT'ler )
Den Mikrotik setzen wir eigentlich für uns als SWITCH ein und haben wir eingerichtet. Das war leicht, da wir von der Defaulteinstellung nicht wirklich abweichen.
Die Anbindung zur Datenerfassung ist Kundenaufgabe und mehr oder weniger umfangreich.
Bei einer einzigen Anlage steckt sich der Kunde an Schaltschrank an unser Maschinennetz direkt ein und adressiert über 192.168.20.x die SPS oder Visu. So kann ich auch in unserem Hause die Anbindung einfach vorführen.
( z.B. OPC-UA oder Webseite )
Bei einer Vorführung würde ich dann z.b. den Zugriff auf 3 Maschinen zeigen können.
Wie commodity feststellt ich benötige die Hilfe zur konkreten Einrichtung auf den hAPs.
Auch wie em-pie schreibt, die Maschine ist Standard, nur die Einstellung an das kundenspezifische Netzwerk würden wir auf dem Mikrotik vornehmen, wenn er z.B. andere IP's hat. ( wenn sein eben nicht 192.168.10.xx ist).
Mit Respekt viele Grüße an alle
Das ein Maschinenhersteller die Vernetzung seiner internen Komponenten (SPS usw.) immer identisch konfiguriert/ausliefert, ist doch normal und Standard.
Die üblichen Integration in das Produktionsnetzwerk des Anwenders erfolgt dann immer über ein NAT-Router/Firewall. Dort ist meist noch eine VPN-Funktion für den externen Support integriert.
Alles handelsüblichen und im Einsatz.
ZB. die MGuard-Serie von Phoenix Contact: https://www.phoenixcontact.com/de-de/produkte/router-fl-mguard-2102-1357 ...
https://www.phoenixcontact.com/de-de/industrielle-fernkommunikation/fern ...
Jürgen
Die üblichen Integration in das Produktionsnetzwerk des Anwenders erfolgt dann immer über ein NAT-Router/Firewall. Dort ist meist noch eine VPN-Funktion für den externen Support integriert.
Alles handelsüblichen und im Einsatz.
ZB. die MGuard-Serie von Phoenix Contact: https://www.phoenixcontact.com/de-de/produkte/router-fl-mguard-2102-1357 ...
https://www.phoenixcontact.com/de-de/industrielle-fernkommunikation/fern ...
Jürgen
Nachdem ich deinen letzten Post gelesen habe, möchte ich noch eine Anmerkung machen.
Ich glaube kaum, dass ein MikroTik-Router den harten Industrie-Standards für Feldgeräte genügt: Staub, Feuchtigkeit, Temperatur usw. Redundante Stromversorgung mit 24VDC.
IT und OT basieren zwar beide häufig auf TCP/IP, dann hören die Gemeinsamkeiten aber meist schon auf.
Ob du dir mit der IT-Lösung von MikroTik - auch wenn sie netzwerktechnisch funktioniert - wirklich einen Gefallen tust, weiß ich nicht.
Jürgen
Ich glaube kaum, dass ein MikroTik-Router den harten Industrie-Standards für Feldgeräte genügt: Staub, Feuchtigkeit, Temperatur usw. Redundante Stromversorgung mit 24VDC.
IT und OT basieren zwar beide häufig auf TCP/IP, dann hören die Gemeinsamkeiten aber meist schon auf.
Ob du dir mit der IT-Lösung von MikroTik - auch wenn sie netzwerktechnisch funktioniert - wirklich einen Gefallen tust, weiß ich nicht.
Jürgen
Hallo chiefteddy,
danke, es sollte aber mit der bereits eingesetzten Hardware gelöst werden.
Fernzugriff haben wir schon über den PC mit zusätzlicher NIC und Teamviewer VPN.
Mit mguard haben wir leider negative Erfahrungen machen müssen.
Die Mobilfunkfunktion einer Router Serie hat nicht mit einer O2 B2B Karte funktioniert.
Der Router meinte sich immer wieder neu verbinden zu müssen.
Nach endlosen geopferten Stunden stand dann ein Firmwarebug routerseitig fest.
Das Firmwareupdate hatte jedoch keine Priorität in den Augen des Herstellers und hat 1,5 Jahre gedauert.
Seit dem ist Phoenix in dieser Richtung für uns keine Option mehr.
Gruß
Winnie
danke, es sollte aber mit der bereits eingesetzten Hardware gelöst werden.
Fernzugriff haben wir schon über den PC mit zusätzlicher NIC und Teamviewer VPN.
Mit mguard haben wir leider negative Erfahrungen machen müssen.
Die Mobilfunkfunktion einer Router Serie hat nicht mit einer O2 B2B Karte funktioniert.
Der Router meinte sich immer wieder neu verbinden zu müssen.
Nach endlosen geopferten Stunden stand dann ein Firmwarebug routerseitig fest.
Das Firmwareupdate hatte jedoch keine Priorität in den Augen des Herstellers und hat 1,5 Jahre gedauert.
Seit dem ist Phoenix in dieser Richtung für uns keine Option mehr.
Gruß
Winnie
Ich bin da im Team des Kollegen @chiefteddy
Nehmt Hardware, die industrietauglich ist. Ich kenne natürlich die Einsatzgebiete eurer Anlagen nicht, aber wenn ich bei uns mal mit ner Wärmebildkamera in die Schaltschränke schaue…
45-55 Grad sind da keine Seltenheit. „Billige“ Hardware kann da problematisch werden, weil sich dann (gelötete) Verbindungen dehnen etc…
Bzgl. Phoenix: hattet ihr (damals) Kontakt zum Hersteller aufgenommen?
Schaut euch - wie gesagt - mal Indusys (Made in Germany) an. Die laufen.
Und holt euch (einmalig) nen IT (oder OT) Experten und richtet mit ihm den Router in der Basis ein. Ihr seit S7 Experten und habt da euer KnowHow…
Wenn dann das sichere Grundgerüst einmal steht, schaut denen über die Schulter, um den Router dann für die Kundennetze zu modifizieren.
Tipp: lasst das mit TeamViewer. Es gibt bessere Lösungen - z.B. VPN oder die Dinger von ewon…
Nehmt Hardware, die industrietauglich ist. Ich kenne natürlich die Einsatzgebiete eurer Anlagen nicht, aber wenn ich bei uns mal mit ner Wärmebildkamera in die Schaltschränke schaue…
45-55 Grad sind da keine Seltenheit. „Billige“ Hardware kann da problematisch werden, weil sich dann (gelötete) Verbindungen dehnen etc…
Bzgl. Phoenix: hattet ihr (damals) Kontakt zum Hersteller aufgenommen?
Schaut euch - wie gesagt - mal Indusys (Made in Germany) an. Die laufen.
Und holt euch (einmalig) nen IT (oder OT) Experten und richtet mit ihm den Router in der Basis ein. Ihr seit S7 Experten und habt da euer KnowHow…
Wenn dann das sichere Grundgerüst einmal steht, schaut denen über die Schulter, um den Router dann für die Kundennetze zu modifizieren.
Tipp: lasst das mit TeamViewer. Es gibt bessere Lösungen - z.B. VPN oder die Dinger von ewon…
Hallo Gemeinde,
wir hatten Kontakt mit Phoenix als Lieferant und dadurch mit dem Hersteller.
Zu dem Zeitpunkt waren mehrere Router gekauft und vorher mit einer normalen SIM-Karte getestet.
EWON-Wachendorff ist bekannt. Und kann nur sagen: es funktioniert gut.
Es gibt weitere wie IXON.....
Alles bekannt und hat seine Berechtigung.
Wir haben den großen Vorteil das unsere Schaltschränke direkt in der Maschine integriert sind und die stehen in einer definierten Produktionsumgebung die es den Komponenten natürlich einfach macht. Seit 2020 haben wir ca 200 Systeme mit Mikrotik ausgeliefert und keinen Ausfall. ( jedoch schon einmal einen Visu PC Ausfall )
Wir möchten die Kosten für unsere Kunden flach halten. Und weil die Mikrotik's es sicherlich können müssten.
Weiterhin könnten Bestandskunden die schon über 192.168.20.xx Daten abrufen ohne große eigene Investitionen bei weiteren Anlagen profitieren.
Ich denke mit entsprechender Unterstützung hier im Forum kann ich zum Ziel kommen.
Gruß
Winnie
wir hatten Kontakt mit Phoenix als Lieferant und dadurch mit dem Hersteller.
Zu dem Zeitpunkt waren mehrere Router gekauft und vorher mit einer normalen SIM-Karte getestet.
EWON-Wachendorff ist bekannt. Und kann nur sagen: es funktioniert gut.
Es gibt weitere wie IXON.....
Alles bekannt und hat seine Berechtigung.
Wir haben den großen Vorteil das unsere Schaltschränke direkt in der Maschine integriert sind und die stehen in einer definierten Produktionsumgebung die es den Komponenten natürlich einfach macht. Seit 2020 haben wir ca 200 Systeme mit Mikrotik ausgeliefert und keinen Ausfall. ( jedoch schon einmal einen Visu PC Ausfall )
Wir möchten die Kosten für unsere Kunden flach halten. Und weil die Mikrotik's es sicherlich können müssten.
Weiterhin könnten Bestandskunden die schon über 192.168.20.xx Daten abrufen ohne große eigene Investitionen bei weiteren Anlagen profitieren.
Ich denke mit entsprechender Unterstützung hier im Forum kann ich zum Ziel kommen.
Gruß
Winnie
Rat mit Erfahrung ist ja immer was feines, aber wenn der TO, der offensichtlich Bedürfnisse und Umfeld seiner Maschinen kennt und selbst schon Erfahrung mit verschiedenen Anbindungen hat nun auf die hAPs setzt, hat das offenbar Gründe und es wäre sicherlich hilfreicher, auf seine Fragestellung einzugehen, statt (dann: Thema verfehlt) erstmal die HW tauschen zu wollen.
Mikrotik wird im Übrigen weltweit eingesetzt, gern auch in Südostasien, wo die klimatischen Extreme wahrscheinlich diejenigen bundesdeutscher Schaltschränke eher übertreffen. Ich würde an dieser Stelle eher der Erfahrung des Ingenieurs vertrauen, der die Maschinen entwickelt/baut/betreibt. Die deutsche IT ist nicht zuletzt deshalb so abgehängt, weil sie so unflexibel (und vom Handel/Marketing geprägt) ist, wie man auch hier häufig lesen kann. Es geht IMO oft mehr darum, Verantwortung von sich/vom Team abzuwälzen als um eine konstruktive, zielführende und zügige Lösung des Problems. Und es spricht schon Bände, dass viele Kollegen in D immer noch die Hände heben, wenn sie ein RouterOS-Gerät vor sich haben.
Zurück zur Fragestellung:
Mir ist immer noch nicht klar, was der TO sich (noch) wünscht. Die hAPs sind ja offenbar funktionsfähig im Einsatz. Die haben also auch eine Konfiguration. Das Prinzip (NAT) ist klar (und vorgegeben). Wenn man den nächsten hAP mit der Konfiguration versieht und ihm dann auf dem Netz 10.x eine eigene IP gibt (z.B. über DHCP in diesem Netz), ist die nächste Maschine erreichbar und gut. Entsprechend läuft das dann im Kundennetz. Wenn das eine IP vergibt und der hAP für das Kundennetz DHCP-Client ist, bekommt er die IP direkt, anderenfalls wird sie eben für das Interface eingetragen.
Hilfe gibt's dann hier:
https://help.mikrotik.com/docs/display/ROS/DHCP
https://help.mikrotik.com/docs/display/ROS/IP+Addressing
Viele Grüße, commodity
Mikrotik wird im Übrigen weltweit eingesetzt, gern auch in Südostasien, wo die klimatischen Extreme wahrscheinlich diejenigen bundesdeutscher Schaltschränke eher übertreffen. Ich würde an dieser Stelle eher der Erfahrung des Ingenieurs vertrauen, der die Maschinen entwickelt/baut/betreibt. Die deutsche IT ist nicht zuletzt deshalb so abgehängt, weil sie so unflexibel (und vom Handel/Marketing geprägt) ist, wie man auch hier häufig lesen kann. Es geht IMO oft mehr darum, Verantwortung von sich/vom Team abzuwälzen als um eine konstruktive, zielführende und zügige Lösung des Problems. Und es spricht schon Bände, dass viele Kollegen in D immer noch die Hände heben, wenn sie ein RouterOS-Gerät vor sich haben.
Zurück zur Fragestellung:
Mir ist immer noch nicht klar, was der TO sich (noch) wünscht. Die hAPs sind ja offenbar funktionsfähig im Einsatz. Die haben also auch eine Konfiguration. Das Prinzip (NAT) ist klar (und vorgegeben). Wenn man den nächsten hAP mit der Konfiguration versieht und ihm dann auf dem Netz 10.x eine eigene IP gibt (z.B. über DHCP in diesem Netz), ist die nächste Maschine erreichbar und gut. Entsprechend läuft das dann im Kundennetz. Wenn das eine IP vergibt und der hAP für das Kundennetz DHCP-Client ist, bekommt er die IP direkt, anderenfalls wird sie eben für das Interface eingetragen.
Hilfe gibt's dann hier:
https://help.mikrotik.com/docs/display/ROS/DHCP
https://help.mikrotik.com/docs/display/ROS/IP+Addressing
Viele Grüße, commodity
Ich würde an dieser Stelle eher der
Erfahrung des Ingenieurs vertrauen,
Erfahrung des Ingenieurs vertrauen,
Hallo @commodity,
da spricht ein deutscher Ingenieur mit langjähriger Erfahrung bei der Gerät- und Anlagenentwicklung.
Wir entwickeln im Bereich Sondermaschinen (und wirklich extremen Anforderungen). Bei uns steht der Kundenwunsch im Vordergrund. Der muss die Lösung aber auch bezahlen wollen.
Wenn der Kunde billig haben will, bekommt er auch nur billig! Dann soll er sich hinterher aber auch nicht beschweren.
Jürgen
Der Standard-Temperaturbereich in der Industrie reicht von -40 bis +50°C. Da liegt der MikroTik-Router mit +60°C noch gut im Rennen. Im erweiterten Temperaturbereich bis +70°C ist er raus.
Bei den heutigen klimatischen Entwicklungen gehe ich heute immer vom erweiterten Temperaturbereich aus.
Aber das muss jeder Produktentwickler selber entscheiden.
Jürgen
Bei den heutigen klimatischen Entwicklungen gehe ich heute immer vom erweiterten Temperaturbereich aus.
Aber das muss jeder Produktentwickler selber entscheiden.
Jürgen
Zitat von @chiefteddy:
da spricht ein deutscher Ingenieur mit langjähriger Erfahrung bei der Gerät- und Anlagenentwicklung.
Immer wieder wunderbar, wie sich hier die geballte Kompetenz tummelt da spricht ein deutscher Ingenieur mit langjähriger Erfahrung bei der Gerät- und Anlagenentwicklung.
Wir entwickeln im Bereich Sondermaschinen (und wirklich extremen Anforderungen).
Kurz gesagt, offenbar anderen Anforderungen als der TO sie hat Wenn der Kunde billig haben will, bekommt er auch nur billig! Dann soll er sich hinterher aber auch nicht beschweren.
Dein Ingenieur-Ego ist vielleicht entwicklungs-aufgeschlossener als Dein Administrator-Ego? Vielleicht auch nicht. Ich weiß es nicht.Wer als Administrator heute noch Mikrotik als "billig" labelt muss einiges verpennt haben. Die Dinger laufen - überall in der Welt - wie Hulle, was ja auch der TO hier bestätigt. Ich nenne das Preis-Wert. Und auch günstig im Unterhalt und nachhaltig obendrein, weil die Dinger nicht schon nach wenigen Jahren EOL sind und neues her muss. Vom Nutzen des Systems für den Admin mal ganz abgesehen
Ich würde mir wünschen, wenn deutsche Ingenieure und Administratoren sich - statt sie in gestanden deutschem Habitus zu bashen - mehr Gedanken (und konstruktive Sorgen) darüber machen würden, warum solch eine intelligente Technologieentwicklung wie RouterOS trotz längst etablierten Marktes in Lettland möglich war/ist, während Deutschland mit Netzwerk-Innovationsriesen wie LANCOM, AVM, D-Link und Securepoint gesegnet ist... Na, freuen wir uns über den immerhin renommierten Maschinenbau
Viele Grüße, commodity
An welcher Stelle habe ich MikroTik als "billig" eingestuft?
Also, immer schön bei der Wahrheit bleiben!
Und wenn du den 2. Post liest, habe ich meine Meinung mit Fakten aus dem Datenblatt begründet.
Ausbildung und Berufserfahrung sind die Grundlage für qualitatives Arbeiten. Aber in einer "Geiz ist geil"-Welt ist das ja unwichtig.
Aber lassen wir es dabei.
Jürgen
Also, immer schön bei der Wahrheit bleiben!
Und wenn du den 2. Post liest, habe ich meine Meinung mit Fakten aus dem Datenblatt begründet.
Ausbildung und Berufserfahrung sind die Grundlage für qualitatives Arbeiten. Aber in einer "Geiz ist geil"-Welt ist das ja unwichtig.
Aber lassen wir es dabei.
Jürgen
Und den Kontext Deiner Antwort
Und sprichst dann von Wahrheit?? Was für ein bemerkenswertes Missverständnis! Na dann.
Oder es ist genau der Habitus, den ich meinte.
Viele Grüße, commodity
Wenn der Kunde billig haben will
auf einen Post, der sich direkt auf das Gerät/den Hersteller bezogwenn der TO ...nun auf die hAPs setzt ... Mikrotik wird im Übrigen weltweit eingesetzt ... viele Kollegen in D immer noch die Hände heben, wenn sie ein RouterOS-Gerät vor sich haben
hast Du (wirklich) nicht als Labeln des Gerätes gemeint? Und sprichst dann von Wahrheit?? Was für ein bemerkenswertes Missverständnis! Na dann.Oder es ist genau der Habitus, den ich meinte.
Viele Grüße, commodity
Nochmal: IT und OT sind verschiedene Welten mit unterschiedlichen Anforderungen! Natürlich routet ein IT-Router genauso wie ein Router im OT.
Aber gerade die unterschiedlichen Anforderungen, die NICHT in der Netzwerkfunktionalität liegen, machen den Unterschied! Und natürlich gibt es im OT auch einige Netzwerk-Besonderheiten, die es im IT nicht gibt (zB. weiter Protokolle)
Und allein die Zertifizierung (zB. UL) macht eine Industrie-Komponente teurer.
Und ohne zertifizierte Geräte bekommst du bei vielen Unternehmen nicht mal den Fuß über die Schwelle!
Jürgen
PS. Die empfohlene Betriebstemperatur für einen hEX sind 25°C.
Aber gerade die unterschiedlichen Anforderungen, die NICHT in der Netzwerkfunktionalität liegen, machen den Unterschied! Und natürlich gibt es im OT auch einige Netzwerk-Besonderheiten, die es im IT nicht gibt (zB. weiter Protokolle)
Und allein die Zertifizierung (zB. UL) macht eine Industrie-Komponente teurer.
Und ohne zertifizierte Geräte bekommst du bei vielen Unternehmen nicht mal den Fuß über die Schwelle!
Jürgen
PS. Die empfohlene Betriebstemperatur für einen hEX sind 25°C.
@chiefteddy: Was meinst Du denn überhaupt mit OT und IT?
1Die empfohlene Betriebstemperatur für einen hEX sind 25°C.
Das ist die optimale MTBF Temperatur. Arbeiten kann er von -40º bis 60º.
Hallo @aqui,
wenn du meinen früheren Post gelesen hättest, würdest du wissen, dass mir das bekannt ist.
Die 25°C sind die optimale Betriebstemperatur, bei der die Ausfallwahrscheinlichkeit am geringsten ist. Überschläglich: Erhöhung der Betriebstemperatur um 10K --> Verdopplung der Ausfallwahrscheinlichkeit.
Jürgen
wenn du meinen früheren Post gelesen hättest, würdest du wissen, dass mir das bekannt ist.
Die 25°C sind die optimale Betriebstemperatur, bei der die Ausfallwahrscheinlichkeit am geringsten ist. Überschläglich: Erhöhung der Betriebstemperatur um 10K --> Verdopplung der Ausfallwahrscheinlichkeit.
Jürgen
Hallo @ipziozap,
OT steht für Operational technology.
Vereinfacht ausgedrückt beschreibt IT die Vernetzung im Büro/Verwaltung und OT die Vernetzung in der Produktion/Fertigung.
https://en.wikipedia.org/wiki/Operational_technology
Mit zunehmendem Einfluss von TCP/IP in der Produktion verschwimmen die Grenzen etwas. Trotzdem gibt es noch entscheidende Unterschiede zw. IT und OT. Gerade auch was die Hardware-Anforderungen betrifft.
Von Echtzeitfähigkeit, Redundanz und spez. Feldbus-Protokollen ganz zu schweigen.
Jürgen
OT steht für Operational technology.
Vereinfacht ausgedrückt beschreibt IT die Vernetzung im Büro/Verwaltung und OT die Vernetzung in der Produktion/Fertigung.
https://en.wikipedia.org/wiki/Operational_technology
Mit zunehmendem Einfluss von TCP/IP in der Produktion verschwimmen die Grenzen etwas. Trotzdem gibt es noch entscheidende Unterschiede zw. IT und OT. Gerade auch was die Hardware-Anforderungen betrifft.
Von Echtzeitfähigkeit, Redundanz und spez. Feldbus-Protokollen ganz zu schweigen.
Jürgen
