Связь контроллера и оператора, Вопрос новичка о взаимодействии 2 и 3 уровней Опции

[Simmk700]

Здравствуйте. Просьба помочь в такой очень интересной теме. Возможно, и поднималась на форуме, но пока не нашел ответа.
Итак - самый оптимальный, на ваш взгляд, способ взаимодействия между 2 и 3 уровнем АСУТП. Занимаемся БМ котельными. От АСУ ТП и всем, что связано с сетями, я, к сожалению, человек далекий - не стоит удивляться вопросам..

Что пока придумано - 3G модем + симкарта со статическим IP + контроллер с Web-сервером. Что нравится в этом решении - все просто, оператору надо минимум знаний, умений, сил и средств (фактически, компьютер с браузером), никаких скада и проч. Что не нравится - не все продают статические IP, не за горами тот день, когда возможно начнутся проблемы с этой услугой. Пробовал сервисы Dyn DNS, но пока потерпел крах, хотя не исключаю, что и из-за кривых рук - но, как я понял, этой штуке в любом случае нужен "белый" IP, пусть даже динамический.

Собственно, вопрос - как по вашему нормально организовать связь между ПЛК с маршрутизатором и 3G модемом и оператором. У обоих предполагается наличие выхода в Интернет и серые IP. Наличие SCADA или Web сервера не так принципиально - возможны варианты, как говорится. Сложности с самой сетью.

[Simmk700]

Здравствуйте. Просьба помочь в такой очень интересной теме. Возможно, и поднималась на форуме, но пока не нашел ответа.
Итак - самый оптимальный, на ваш взгляд, способ взаимодействия между 2 и 3 уровнем АСУТП. Занимаемся БМ котельными. От АСУ ТП и всем, что связано с сетями, я, к сожалению, человек далекий - не стоит удивляться вопросам..

Что пока придумано - 3G модем + симкарта со статическим IP + контроллер с Web-сервером. Что нравится в этом решении - все просто, оператору надо минимум знаний, умений, сил и средств (фактически, компьютер с браузером), никаких скада и проч. Что не нравится - не все продают статические IP, не за горами тот день, когда возможно начнутся проблемы с этой услугой. Пробовал сервисы Dyn DNS, но пока потерпел крах, хотя не исключаю, что и из-за кривых рук - но, как я понял, этой штуке в любом случае нужен "белый" IP, пусть даже динамический.

Собственно, вопрос - как по вашему нормально организовать связь между ПЛК с маршрутизатором и 3G модемом и оператором. У обоих предполагается наличие выхода в Интернет и серые IP. Наличие SCADA или Web сервера не так принципиально - возможны варианты, как говорится. Сложности с самой сетью.

[manjey73]

Сервер на стороне с белым IP - VPN сервер
на объекте - модем 3G, роутер с VPN клиентом - оборудование
у оператора - VPN клиент, потом подключение по сети VPN в web морду или по портам и т.д.

Если компания крупная и не умрет, VPN сервер(а) можно поднимать у себя.

[Simmk700]

Сервер на стороне с белым IP - VPN сервер
на объекте - модем 3G, роутер с VPN клиентом - оборудование
у оператора - VPN клиент, потом подключение по сети VPN в web морду или по портам и т.д.

Спасибо за совет, но пока ничего не получилось, только внешний IP поменялся, после подключения к VPN. После подключения к VPN и оператор и устройство должны в одно сети оказаться ?? и искать друг друга будут по локальным адресам типа 192.168... ? Пока что не понятно абсолютно, как происходит взаимодействие двух компьютеров, подключенных к VPN.

[manjey73]

В вашем посте информации НОЛЬ.
Какой VPN вы подключаете, на какой сервер подключаете, куда подключаете, зачем подключаете, и т.д. и т.п.

А на вопрос отвечу. Да, все ВПН клиенты начинают входить в одну подсеть, например 10.48.0.х - х у каждого клиента свой. И выглядит это как обычная сеть. Соответственно в настройках SCADA оператора (x=2, сервер х=1) настраивается подключение к ПЛК1 - 10.48.0.3 (х=3) к ПЛК2 - 10.48.0.4 и так далее.

10.48.0.3, .4 - роутеры перед ПЛК с пробросами портов.
Или настраивается ПЛК1 - 192.168.1.3, ПЛК2 - 192.168.2.4 и так далее. 192.168.х.х - сети за роутерами 10.48.0.3 и 0.4 и соответствующие настройки маршрутизации на сети после роутеров.

[Simmk700]

В вашем посте информации НОЛЬ.
Какой VPN вы подключаете, на какой сервер подключаете, куда подключаете, зачем подключаете, и т.д. и т.п.

А на вопрос отвечу. Да, все ВПН клиенты начинают входить в одну подсеть, например 10.48.0.х - х у каждого клиента свой. И выглядит это как обычная сеть. Соответственно в настройках SCADA оператора (x=2, сервер х=1) настраивается подключение к ПЛК1 - 10.48.0.3 (х=3) к ПЛК2 - 10.48.0.4 и так далее.

10.48.0.3, .4 - роутеры перед ПЛК с пробросами портов.
Или настраивается ПЛК1 - 192.168.1.3, ПЛК2 - 192.168.2.4 и так далее. 192.168.х.х - сети за роутерами 10.48.0.3 и 0.4 и соответствующие настройки маршрутизации на сети после роутеров.

Спасибо, но для особо тупых просьба еще раз точнить..
Что у меня есть на сегодняшний день:
Локальная сеть 1:
192.168.1.3 - контроллер Siemens S7-1200
192.168.1.250 - компьютер1, Windows 7, подключен к Интернету с серым IP (через NAT)
на компьютере создано VPN соедиение к VPN серверу
В этой сети на самом компьютере1 я набираю "192.168.1.3" - открывается Web страница контроллера.

Далее есть VPN-сервер - обычный компьютер пока что с Windows 7 и постоянным белым IP.
Вроде 89.250.100.100 В нем разрешено подключение VPN-клиентов Логин1, Логин2.
Диапазон IP адресов VPN_сети задан вроде 10.6.1.2(6)

Есть удаленный компьютер2, подключен к интернету, серый IP, NAT на базе Windows 7.

Что получается:
Компьютер1 подключается к VPN-соединению по адресу 89.250.100.100,
получает IP 10.6.1.3
Но со стороны VPN-сервера этот IP НЕ пингуется никак..
Все, в этому уже ступор - на VPN-сервере видно входящее соединение, у компьютера1 активно VPN-соединение, а связи между ними получается нет, маршрутизацию с 10.6.1.3 на 192.168.1.3 тоже не настроить..

А хотелось бы, чтобы это выглядело так:
К VPN-серверу подключаются компьютер1 (10.6.1.3), компьютер 2(10.6.1.4), *у самого сервера как я понимаю 10.6.1.2*,
на компьютере1 установлен маршрут 10.6.1.3 > 192.168.1.3 (т.е. чтобы на с компьютера2 попадать через компьютер1 на ПЛК контроллер).

p.s. я - сейчас офисный планктон и только учусь этому делу, как и программированию ПЛК.

[manjey73]

У вас есть возможность обратиться к IT специалистам в собственном офисе ?
Потому как объяснять все по буквам для меня сложно, так как я сам офисный планктон.

1. Разрешить PING на клиентах в общественных сетях в брендмаурере. По умолчанию он запрещен. По этому вы и не можете пинговать VPN клиентов даже с сервера.

2. Настроить корректно маршруты.

Вы в очередной раз не указали какой VPN вы используете ???
Не знаю, как Ipsec или l2tp, так как я не IT-шник, с ними не связывался. А OpenVPN самостоятельно может передавать и строить маршруты а так же объединять клиентов в одну сеть. Для работы PING не нужен, нужны открытые порты Modbus (502 или что вы используете). Так же открыты в брендмаурере для общественных сетей.
На сервере должна быть разрешена связь между клиентами.

Сервер 10.6.1.1 , клиенты 1.2, 1.3, 1.4 и так далее, если строится одна сеть.
Есть вариации, но там сложнее.

Если контроллеры у вас в разных локальных сетях, где кроме ПЛК еще есть свои компьютеры, то адреса этих сетей должны быть разными.
Сеть 1 - 192.168.1.Х, Сеть 2 - 192.168.2.Х и так далее.

Сообщение отредактировал manjey73 - 28.2.2016, 10:17