TeleR2 / TeleR4 / S7-Firewall

TeleR2 und TeleR4

TeleR²-Router PPPoE | Art.Nr. 9374-PPPOE
TeleR4-Router PPPoE | Art.Nr. 9374-4-PPPOE
S7-Firewall | Art.Nr. 9374-S7-Firewall

 Traeger Industry Components GmbH

© by TIS


Die TeleR sind skalierbare Router. Über das integrierte WEB-Interface lässt sich TeleR² / TeleR4 konfigurieren und bedienen.

Anwendungen für TeleR² / TeleR4 sind z.B. Gateway / Verbinden / Fernwarten von:

  • Automatisierungsnetzen
  • ProfiNet-Netzwerken
  • Standard-Ethernet Netzwerke.

Insbesondere unterstützt TeleR² / TeleR4 die Simatic-S7 Systeme von Siemens. Mit wenigen Handgriffen ist TeleR² / TeleR4 in der gewünschten Betriebsart einsatzbereit.

Für TeleR² / TeleR4 stehen je nach Betriebsart Erweiterungsmodule zur Verfügung.

In der Standardausführung ist TeleR² mit einem WAN Port und einem LAN Port und der TeleR4 mit einem WAN Port und 3 LAN-Ports, ausgeführt als Switch, bestückt.
Folgende Betriebsarten sind möglich.

Betriebsarten Ethernetgateway (bridge)
IP-Router
Anschluss an DSL/Kabelmoden (PPPoE)
Services DHCP Client/Server
PPPoE-Client
NTP Client/Server
OpenVPN Client/Server (VPN@Office)
DynDNS Client
Firewall
Anschlüsse 1 x WAN
1 / 3 x LAN-Port als Switch

Sie benötigen für die Konfiguration einen PC mit Webbrowser

Routen zwischen zwei Netzen

Damit TeleR² / TeleR4 zwischen zwei Netzen routen kann, müssen Sie folgende Einstellungen tätigen:

  1. Konfiguration
    1. Routing Mode einstellen
      • Büro, für Routing vom LAN zum Routinginterface
      • Maschine, für Routing vom Routinginterface zum LAN
    2. Routinginterface1): WAN/IP
    3. WAN/LAN IP-Adresse(n) einstellen
  2. Benutzer
    • WEB-Benutzer
      • Superuser (su) anlegen
        (verhindert ungewollten Zugriff)
Für die Verbindung zwischen den Netzen Routing einstellen

OVPN-Server

Im TeleR² / TeleR4 haben wir das populäre, unter Opensource veröffentlichte, OpenVPN implementiert. Detaillierte Informationen finden Sie unter http://www.openvpn.net. Mit OpenVPN stellen wir im TeleR² / TeleR4 ein neues Netzwerkinterface zur Verfügung. Dieses Interface wird quasi über einer Leitung (virtuelle Leitung) mit dem OpenVPN-Interface des Partnergerätes verbunden. Die Leitung wird mit Software realisiert. Dabei werden sämtliche Protokolle für dieses Interface, über einen eigenen UPD/TCP-Kanal, ausgetauscht. Man kann sagen es wird eine Telefonverbindung zwischen den Geräten per UDP / TCP hergestellt. Selbstverständlich ist die Verbindung verschlüsselt. Die Schlüssel sind im TeleR² / TeleR4 hinterlegt.

Gehen Sie wie folgt vor:

  1. Konfiguration
    1. Routing Mode: Maschine
      (Routing vom Routinginterface zum LAN)
    2. Routing Interface2): WAN/OVPN
  2. Open VPN
    1. OVPN-Mode: Server (UDP) oder Server (TCP)
    2. ggf. Standardport ändern
    3. IP-Pool: IP-Adressbereich für die OVPN-Verbindung
    4. Interface: Hier stellen Sie die zu erreichenden Interfaces ein
    5. ggf. Dienste am Interface aktivieren (Webinterface, Ping, SSH (nur für Entwickler))
    6. VPN-Benutzer anlegen

OVPN-Client

Im TeleR² / TeleR4 haben wir das populäre, unter Opensource veröffentlichte, OpenVPN implementiert. Detaillierte Informationen finden Sie unter http://www.openvpn.net. TeleR² / TeleR4 kann auch als OVPN Client betrieben werden.
Wenn dieser Modus aktiviert ist, wird automatisch eine OVPN-Verbindung zum OVPN-Server aufgebaut.
Sie können diesen Modus verwenden, wenn z.B. der TeleR² / TeleR4 nicht am WAN-Port Routing zum LAN unternehmen soll.

Gehen Sie wie folgt vor:

  1. Konfiguration
    1. Routing Mode: Büro3)
    2. Routing Interface4): WAN/OVPN
  2. Open VPN
    1. OVPN-Mode: Client (UDP) oder Client (TCP)
    2. ggf. Port anpassen
    3. unter Server-Adr. (nur Client) die IP-Adresse oder DNS des OVPN-Servers einstellen
    4. Benutzer und Passwort eintragen

OVPN-Software für PC

Auf unserer Webseite finden Sie als Download einen Open VPN Installer für Windows 32/64-bit. In diesem Paket ist eine Vorkonfiguration für unseren TeleR² / TeleR4 enthalten.
Open VPN Verbindungen können natürlich auch von Linux oder Mac Betriebssystemen aufgebaut werden.

  1. Open VPN Client Anwendung installieren
  2. Konfigurationsdaten installieren
  3. unter C:\Program Files\OpenVPN\config finden Sie normalerweise die Konfigdateien
    • öffnen Sie „TProf2config.ovpn“ und geben die OVPN-Server Daten ein
      1. remote „Server-IP-Adresse“
      2. Port „Server Port“, default 1194
      3. proto udp (default) oder tcp (wie OVPN-Servereinstellung)
  4. Starten Sie die OVPN-Client Anwendung als Admin
    1. in der Taskleiste unten rechts finden Sie die Anwendung
    2. Rechtsklick, gewünschtes Profil auswählen
      1. „Verbinden“ klicken
      2. anschließend Benutzer und Passswort eingeben
      3. bei Verbindungsaufbau werden alle nötigen Einstellungen gesetzt

2 TeleR verbinden

Es können zwei TeleR miteinander verbunden werden. Dabei wird der Tunnel zwischen den zwei Geräten aufgebaut und alle Nutzer des Firmennetzes können somit auf das entfernte Netz zugreifen.
Damit der Anwender diese Verbindung nutzen kann, muss er am PC oder im Router, lediglich das Routing richtig einstellen.

Beispiel:
TeleR IP-Adresse LAN im Haus: 192.168.0.100
TeleR IP-Adresse LAN an Maschinenseite: 192.168.3.50
IP-Adresse SPS: 192.168.3.10

Um zwei TeleR miteinander zu verbinden, gehen Sie wie folgt vor:

  1. den TeleR an der Maschinenseite als OpenVPN-Server einrichten
    1. Open VPN
      1. OVPN-Mode „Server (UDP)“ oder „Server(TCP)“ einstellen
      2. Interfaceberechtigungen einstellen (PING, Webinterface)
      3. VPN-Benutzer einrichten
    2. Konfiguration
      1. Routing-Mode: „Maschine“
      2. Routinginterface5): „WAN/OVPN“
      3. WAN/LAN Adresse(n) einstellen
      4. ggf. PPPoE einstellen
      5. ggf. DynDNS einstellen
  2. den TeleR im eigenen Haus als OpenVPN-Client einrichten
    1. Open VPN
      1. OVPN-Mode „Client (UDP)“ oder „Client (TCP)“ einstellen
      2. VPN-Server-Adresse, Benutzer und Passwort eingeben
    2. Konfiguration
    3. Routing Mode: „Büro“
    4. Routing Interface6) „WAN/OVPN“
    5. WAN/LAN Adresse(n) einstellen
    6. ggf. PPPoE einstellen
Für die Verbindung zwischen den Netzen Routing einstellen
Sie können die Konfiguration testen, indem Sie einen Ping z.B. auf den Netzwerkport des Zielnetzes ausführen (Interface „Ping“ erlauben muss gesetzt sein)

PPPoE

TeleR² / TeleR4 unterstützt das PPPoE-Protokoll. Legen Sie hier die Parameter zum Betrieb an einem DSL / Kabelmodem fest. Zur Übersicht und zur einfacheren Konfiguration sind hier auch die Einstellungen für Standardgateway und DNS möglich. In der Regel sollte hier auf „auto von PPPoE“ gestellt werden.

  1. Konfiguration
    1. Routing-Mode einstellen
      • Büro, für Routing vom LAN zum Routing Interface
      • Maschine, für Routing vom Routing Interface zum LAN
    2. Routing Interface7): WAN/PPPoE oder WAN/OVPN
    3. PPPoE: aktivieren
      • Benutzerdaten vom Provider eingeben
      • ggf. Gateway einstellen z.B. auf „auto von PPPoE“ einstellen

Profinet-Router

TeleR² / TeleR4 kann optional als Profinet-Router betrieben werden (Option Profinet).
Dafür benötigen Sie 2 TeleR² / TeleR4.
Die ProfiNet-Verbindung wird über eine gesicherte OVPN-Verbindung realisiert. Die VPN-Verbindung kann über WAN/IP oder über WAN/PPPoE aufgebaut werden. Der als OVPN-Client eingerichtete Router, verbindet sich automatisch zum OVPN-Server.
Achtung: Es ist kein Echtzeitdatenaustausch möglich

So richten Sie eine ProfiNet - Verbindung mit 2 x TeleR² / TeleR4 ein: Um zwei TeleR miteinander zu verbinden, gehen Sie wie folgt vor:

  1. TeleR an der Maschinenseite als OpenVPN-Server einrichten
    1. Open VPN
      1. OVPN-Mode: „Server (UDP)“ oder „Server(TCP)“
      2. Interfaceberechtigungen einstellen (PING, Webinterface)
      3. VPN-Benutzer einrichten
    2. Konfiguration
      1. Routing-Mode: „Maschine“
      2. Routinginterface8) „WAN/IP“ oder „WAN/PPPoE“
      3. evtl. DynDNS / PPPoE aktivieren
  2. TeleR im eigenen Haus z.B. als OpenVPN-Client einrichten (Menü Open VPN)
    1. Open VPN
      1. OVPN-Mode: „Client (UDP)“ oder „Client (TCP)“
      2. VPN-Server, -Benutzer und Passwort eingeben
    2. Konfiguration
      1. Routing Mode: „Büro“
      2. Routing Interface9): „WAN/IP“ oder „WAN/PPPoE“
Für die Verbindung zwischen den Netzen Routing einstellen
Führen Sie einen Ping z.B. auf den Netzwerkport des Zielnetzes aus (Interface „Ping“ erlauben muss gesetzt sein)

IP-Address-Changer

Mit dem IP-Address-Changer können Netzwerkteilnehmer unterschiedlicher Subnetze miteinander verbunden werden ohne Änderung der Netzwerkkonfiguration der Netzwerkteilnehmer.

Weitere Informationen finden Sie unter Option IP-Address-Changer

Firewall-Router mit IP-Address-Changer

Sie können den TeleR mit einer S7-Firewall erweitern. Somit können Sie die Routing- und die Firewallfunktionen gleichzeitig nutzen.

Weitere Informationen finden Sie unter Option IP-Address-Changer

Beispiel:
SPS IP-Adresse: 192.168.1.85
Firmennetz IP-Bereich: 192.168.10.1 - 192.168.10.250
TeleR4 WAN IP: 192.168.10.57
TeleR4 LAN IP: 192.168.1.1

Die IP-Adresse der SPS kann nicht verändert werden und soll vom Firmennetzwerk erreichbar sein.
Die SPS soll unter der IP-Adresse: 192.168.10.30 zu erreichen sein.
Zugriffsberechtigte IP-Adresse: 192.168.10.25
Verfügbare Datenbereiche: lesend MB 0-20

Gehen Sie wie folgt vor:

  1. Konfiguration
    1. Routing-Mode einstellen
      • Maschine, für Routing vom Routing Interface zum LAN
    2. Routing Interface10):
      • z.B. WAN/IP, für IP-Routing
    3. WAN-LAN-Einstellungen
      1. WAN
        • IP-Adresse: 192.168.10.30
        • Subnet Mask: z.B. 255.255.255.0
      2. LAN
        • IP-Adresse: 192.168.1.1
        • Subnet Mask: z.B. 255.255.255.0
  2. S7 Firewall Einstellungen
    1. S7-Firewall Betrieb: S7-Firewall Router
    2. Firewall HMI/PG Stationen
      • Name: z.B. PC1
      • IP-Bereich: 192.168.10.25
      • Verbindungskanal z.B. OP/HMI
    3. Firewall SPS-Stationen
      • Name: z.B. Extruder
      • IP-Addr-Bereich: 192.168.10.30
    4. S7-Firewall Verbindungen
      • Name: z.B. MS
      • aktiv: Haken setzen
      • HMI/PG: PC1 auswählen
      • SPS: Extruder auswählen
      • bei Bedarf noch Haken bei PG-Vollfunktion und/oder Voller Zugriff setzen. In diesem Beispiel nicht gewünscht!
    5. Auf den Namen der erstellen Verbindung klicken, hier MS
      • Als Regel: „r:MB0,21“ eingeben. Somit können MB 0 - MB 20 gelesen werden
      • Alle weiteren gewünschten Datenbereiche, mit dem gewünschten Lese-/Schreibzugriff, freigeben
    6. S7-Firewall neustarten
  3. IP-Address-Changer
    1. aktiv: Haken setzen
    2. im ersten IP-Adresspaar, Haken bei aktiv setzen
    3. auf der WAN-Seite, 192.168.10.30 eingeben
    4. auf der LAN-Seite, 192.168.1.85 eingeben

Siehe auch Mögliche Ursache, wenn Sie keine Daten erhalten

Routing einstellen

Damit Sie das Anlagennetz über den PC erreichen können, gibt es mehrere Möglichkeiten:

  1. Eingabeaufforderung/Konsole als Administrator starten
    • lokales Routing hinzufügen:
      route add „Ziel-IP“ „Gateway“
      z.B. route add 192.168.3.10 192.168.3.50
    • oder gesamten IP-Bereich:
      route add „Ziel-IP-Bereich“ mask „Netmask“ „Gateway“
      z.B. route add 192.168.3.0 mask 255.255.255.0 192.168.3.50
    • Befehl route print gibt die aktuell gesetzten Routen aus
    • Testen Sie das Routing z.B. mit einen Ping zum Zielnetz
  2. In Ihrem Router / Switch, Routing zum TeleR² / TeleR4 WAN-IP eintragen
    • Testen Sie das Routing z.B. mit einen Ping zum Zielnetz

Konfigurationsmenü

Im Hauptmenü „Konfiguration“ finden Sie alle nötigen Einstellungen, für den Betrieb des TeleR² / TeleR4. Die Eingabeformulare sind in der Regel selbsterklärend.
Gerne nehmen wir aber Anregungen von Anwendern entgegen, um die Bedienung noch einfacher zu gestalten.

Im Auslieferzustand sind folgende IP-Adressen eingestellt:
WAN: 192.168.1.57
LAN: 192.168.2.1 ohne DHCP-Server
Sie haben folgende Optionen, per WEB-Browser TeleR² / TeleR4 anzusprechen:

  • Am PC eine IP-Adresse aus dem entsprechendem Netzsegment vergeben (z.B. 192.168.1.100 oder 192.168.2.100) und den PC entsprechend mit LAN oder WAN über Ethernet verbinden.
  • Im Browser http://192.168.1.57 bzw. http://192.168.2.1 eingeben

Konfiguration

Konfiguration

Parameter mögliche Einstellung Routingrichtung / Funktion
Gerätename „nach belieben“
ProfiNet ja /nein legt fest ob das TeleR² / TeleR4 als ProfiNet-Router verwendet werden soll.
legen Sie als Routinginterface WAN/OVPN fest!
Standard Gateway fest (wie vorgegeben)
von WAN über DHCP
von WAN über PPPoE
von LAN über DHCP
von Modem über PPP
1. DNS
2. DNS
Routing Mode Büro vom LAN zum Routinginterface
Maschine Routinginterface zum LAN
Routinginterface WAN/IP IP-Routing über WAN
WAN/PPPOE IP-Routing über PPPoE am WAN-Port
WAN/OVPN nur Routing über OVPN am WAN-Port

WAN/LAN Einstellungen

WAN/LAN Einstellungen
Der WAN/LAN-Port kann jeweils bis zu 3 verschiedene IP-Adressen und Subnetze erhalten.
Der Port kann auch als DHCP-Server oder Client betrieben werden. Die notwendigen Daten für die IP-Zuordnung werden hier eingegeben.

Für den Betrieb als DHCP/Server, können feste Zuordnungen MAC-IP-Adresse festgelegt werden (Siehe weiter unten, „DHCP feste Adressen„).

Weiter wird festgelegt, welche Services am Port zur Verfügung stehen Web-Konfig, Ping , SSH (nur für Entwickler)

DHCP-Server Betrieb

DHCP-Einstellungen:

  1. DHCP: Server
  2. Start-IP eintragen z.B. 192.168.2.100
  3. End-IP eintragen z.B. 192.168.2.150
  4. Subnet eintragen z.B. 255.255.255.0
  5. Router-IP: z.B. LAN-IP 192.168.2.1
  6. 1.DNS: DNS-Server-IP eintragen

Modem

Modemeinstellungen An die USB-Schnitstelle kann ein USB-Modem gesteckt werden, welches die Einwahl ins Internet vornimmt.
Eine Modemverbindung wird als PPP-Verbindung realisiert. So kann TeleR² / TeleR4 auch mit anderem Einwahlroutern verwendet werden. Somit ist TeleR² / TeleR4 ein idealer Ersatz z.B. für Teleservice IE von Siemens.

Parameter mögliche Einstellung Beschreibung
Wählmodus Ton
Impuls
Einwahlverfahren zum Internet. Standard ist Ton, nur alte Telefonanlagen erfordern Impuls
Nebenstelle Ja
Nein
Gibt an, ob der Betrieb an einer Telefonanlage erfolgt. Bei Ja sollte die Amtanwahl eingestellt werden
Amtanwahl Zahl Wird nur an Telefonanlagen benötigt, die eine Anwahl zum externen Telefonnetz erfordern
Klingelanzahl 0-5 Anzahl der Klingelzeichen. Bevor das Modem einen Anruf entgegen nimmt. 0 = Modem hebt nicht ab
Land Auswahl des Landes, in dem das Gerät betrieben wird Das Modem passt sich an die technischen Eigenschaften der Telefonleitung im jeweiligen Land an. In der Regel genügt eine Auswahl zwischen Europa/Germany und USA
max. Baudrate Maximale Verbindungsgeschwindigkeit, die das Modem verwendet Bei schwankender Leitungsqualität kann es effektiver sein, das Modem mit niedrigerer Geschwindigkeit zu betreiben. Dies spart automatisches Aushandeln neuer Modulation
lokale IP-Adresse IPv4 IP-Adressen bei Auto keine Einstellungen nötig
Partner IP-Adresse IPv4 IP-Adressen bei Auto keine Einstellungen nötig
Dienste am Interface Web-Config
Ping
SSH
Dienste die am Interface verfügbar sein sollen

ProfiNET-Router (nur bei ProfiNET-Option möglich)

Ist ProfiNet aktiviert, wird TeleR² / TeleR4 zum Verbinden / Fernwarten von ProfiNet-Netzwerken verwendet. Hier ein schematisches Beispiel:




Die ProfiNet-Verbindung wird über eine gesicherte VPN-Verbindung realisiert. Die VPN-Verbindung kann über WAN (TCP/IP) oder über WAN / PPPoE aufgebaut werden. So richten Sie eine ProfiNet - Verbindung mit 2 x TeleR² / TeleR4 ein:

  • ProfiNet-Option auf beiden Geräten aktivieren
  • eine Seite als OpenVPN-Server und die andere als OpenVPN-Client einrichten (siehe weiter unten)
  • evtl. DynDNS / PPPoE aktivieren

Einstellungen Konfiguration:

Parameter mögliche Einstellung Routingrichtung / Zweck
Gerätename „nach belieben“
ProfiNet ja legt fest ob das TeleR² / TeleR4
als ProfiNet-Router verwendet werden soll.
Routinginterface: WAN/OVPN fest!
Standard Gateway - fest (wie vorgegeben)
- von WAN über DHCP
- von WAN über PPPoE
- von LAN über DHCP
1. DNS
2. DNS
Routing Mode Büro ermöglicht Routing vom LAN zum Routinginterface, TeleR-Router im eigenen Haus
Maschine ermöglicht Routing vom Routinginterface zum LAN, TeleR-Router an der SPS-Seite
Routinginterface WAN/OVPN Routing über OVPN am WAN-Port

Die Geräte verbinden sich automatisch. Bei erfolgreicher Verbindung kann zwischen den beiden ProfiNet-Netzwerken kommuniziert werden.
Achtung!
Es ist kein Echtzeitdatenaustausch möglich.

Statische Routen

Statische Routen

Parameter mögliche Einstellung Funktion
Löschen Datensatz löschen
Editieren Datensatz editieren
Speichern Datensatz speichern
Name „nach belieben“ Dient z.B. zur Identifikation
Ziel 192.168.3.1 Ziel IP-Adresse oder Bereich, in den geroutet werden soll
Adr.-Typ net Gesamter IP-Bereich wird geroutet
host nur diese IP-Adresse wird geroutet
Netmask z.B. 255.255.255.0 Netmask der IP-Adresse bzw. des IP-Bereiches
Gateway z.B. 192.168.1.1 Gateway für Routing

Proxy Einstellungen

Proxy Einstellungen

Parameter mögliche Einstellung Funktion
Verwende Proxy ja/nein Proxy ein oder ausschalten
Adresse/Name z.B. 192.168.1.253 IP-Adresse oder DNS des Proxy-Servers
Port z.B. 25000 Port des Proxy-Servers
Auth-Mode Proxy Auth. Modes

Option IP-Address-Changer

  • Mit dem IP-Address-Changer können Netzwerkteilnehmer unterschiedlicher Subnetze miteinander verbunden werden ohne Änderung der Netzwerkkonfiguration der Netzwerkteilnehmer.

Anwendung:

  • z.B. Serienmaschinen, welche vom Hersteller immer dieselbe IP-Adresse besitzen, sollen in ein Netzwerk gebracht werden.
  • Maschinen / Geräte mit unterschiedlichem Subnetzt sollen miteinander kommunizieren.

Funktion:

  • Die Maschinen / Geräte, welche in ein anderes (gemeinsames neues) Subnetz gebracht werden sollen, sind an der LAN-Seite anzuschliessen (direkt oder über Switch).
  • Im TeleR2/R4 macht eine automatische Umsetzung von IP-Adressen auf WAN-Seite zu IP-Adressen auf der LAN-Seite. Dabei nimmt TeleR2/R4 quasi ein Proxy-IP-Adresse auf der WAN-Seite ein und verbindet diese simultan mit der zugewiesenen IP-Adresse auf der LAN-Seite.
  • Da TeleR2/R4 pro Interface (WAN/LAN) verschiedene IP-Adressen bzw. Subnetze erhalten kann, ist es möglich LAN-seitig unterschiedliche Subnetze zu mischen, solange keine IP-Adresse mehrfach vorkommt.

Hier ein Beispiel:
Es soll ein Datenerfassungssystem eingesetzt werden, welches von unterschiedlichen Maschinen die Daten abgreift. Das Erfassungssystem sitzt im Firmen- / Büronetzwerk.

  • Firmennetz: 192.168.3.0 Netmask 255.255.255.0
  • Maschinennetz 1: 192.168.1.0 Netmask 255.255.255.0
    zwei Maschinen: 192.168.1.10, 192.168.1.11
    • Zuordnung der IP-Adressen:
      192.168.3.15 –> 192.168.1.10
      192.168.3.16 –> 192.168.1.11
  • Maschinennetz 2: 192.168.2.0 Netmask 255.255.255.0
    eine Maschine: 192.168.2.5
    • Zuordnung der IP-Adressen:
      192.168.3.26 –> 192.168.2.5

Konfiguration sieht wie folgt aus:
Für die Verbindung müssen Sie lediglich folgende Einstellungen tätigen:

  • Routing Mode: Maschine11)
  • Routing Interface12): WAN/IP
  • WAN/LAN Einstellungen anpassen
    • WAN-IP: 192.168.3.x
  • für LAN 2 IP-Adressen festlegen:
    • erste IP-Adresse aus 192.168.1.x-Netz
    • zweite IP-Adresse aus 192.168.2.x-Netz
  • IP-Address-Changer Konfiguration

IP-Address-Changer
Die Netzteilnehmer können nun vom Firmennetz (LAN-Seite) 192.168.3.xxx aus angesprochen werden.

PPPOE-Einstellungen

PPPoE Einstellungen
Legen Sie hier die Parameter zum Betrieb an einem DSL / Kabelmodem fest. Zur Übersicht und zur einfacheren Konfiguration sind hier auch die Einstellungen für Standardgateway und DNS möglich. In der Regel sollte hier auf „auto von PPPoE“ gestellt werden.

Auch hier kann selektiert werden, welche Services am Interface zur Verfügung stehen.

Parameter mögliche Einstellung Zweck
PPPoE an WAN ja / nein Legt fest, ob am WAN Port PPPoE aktiv sein soll
PPPoE-Servicename optional wird Ihnen von Ihrem Internetprovider mitgeteilt. In der Regel frei
Benutzername wie vom Provider übermittelt
Kennwort wie vom Provider übermittelt

Telefonbuch


Parameter mögliche Einstellung Zweck
Name Name des Eintrags Beliebig
Telefonnummer Nummer des Teilnehmers Mit Mausklick auf die Nummer wird die
Verbindung aufgebaut
Baudrate (nicht bei ISDN) 1200- 56kBit maximale Verbindungsgeschwindigkeit mit
dem Partner
Benutzer Benutzer aus der DFÜ-Userliste Benutzer für den DFÜ-Zugang, wird unter
DFÜ-Benutzer verwaltet

Im Telefonbuch werden alle Anlagen mit Modemanschluss verwaltet. Der Verbindungsaufbau mit einem Partner geschieht einfach durch Mausklick auf die Telefonnummer.

Benutzer und Passwort werden in der DFÜ-Benutzer-Datenbank gepflegt. So ist es möglich einen Benutzer für mehrere Anlagen zu verwenden.

TeleR² / TeleR4 kann auch für andere DFÜ-PPP-Zugänge verwendet werden

Modem vor dem Start einstecken.
Sollten Sie das Telefonbuch trotzdem nicht angezeigt bekommen, leeren Sie den Cache Ihres Browsers

DynDNS Konfig

dyndns Einstellungen Wenn TeleR² / TeleR4 per Internet z.B. per OpenVPN erreicht werden soll, muss die Internet-IP-Adresse des Gerätes bekannt sein.
Sinnvoll ist hier nicht mit einer festen IP-Adresse zu arbeiten, da der Provider nach neuem Verbindungsaufbau (z.B. per PPPoE) evtl. eine neue IP-Adresse zuteilt.
Sinnvoller ist es hier, das Gerät immer mit gleichem Domainnamen anzusprechen.

Der Dienstleister DynDNS bietet hierfür im Internet einen Service an (http://www.dyndns.org). DynDNS = Dynamic DomainNameSever. Zum Betrieb des Services müssen Sie sich bei DynDNS anmelden. Näheres auf der Homepage von DynDNS. Bis zu 5 Dynamische IP-Adressen sind frei. Sollten Sie mehrere benötigen, können Sie bei DynDNS gegen Bezahlung, eine entsprechende Anzahl Domainnamen buchen. Der Preis ist sehr günstig ca. 30,- US$ im Jahr.

Im Groben geht das so:
Sie registrieren bei DynDNS den gewünschten Hostnamen. z.B. meineanlage.dynalias.com.
Für Ihren Zugang erhalten Sie Benutzer und Passwort.
Tragen Sie diese Daten in die Einstellung DynDNS-Konfig ein und setzen Sie „verwende DynDNS“ auf ja.

Der DynDNS frischt im angegebenen Zeitintervall die Daten bei DynDNS auf. Sollte der Provider eine neue IP-Adresse zuteilen, so wird das innerhalb dieses Intervalls dank DynDNS wieder korrigiert. Ihren TeleR² / TeleR4 erreichen Sie dann unter dem registrierten Namen z.B. testgeraet.dyndns.org
Diesen Domainnamen geben Sie in Ihrem Bürogerät beim VPN-Teilnehmer ein.

Parameter mögliche Einstellung Zweck
verwende DynDNS ja/nein Aktivieren bzw. Deaktivieren vom Service
DynDNS Hostname z.B. tesgeraet.dyndns.org registrierter Hostname
Update-Intervall 30 IP-Adress Ablgeich im eingestellten Minuten Intervall

DHCP Feste MAC / IP-Adresszuordnung

DHCP feste IP zuweisen
Wird der eingebaute DHCP-Server (am WAN oder LAN ) betrieben, kann es sinnvoll sein, bestimmten IP-Teilnehmern immer dieselbe IP-Adresse zuzuteilen. Hier können Sie festlegen welche MAC-Adresse, welche IP-Adresse erhält.

Datum/Uhrzeit/NTP-Client

Datum und Zeit einstellen
Hier können sie direkt die Uhrzeit ändern.

NTP-Client Einstellungen
Damit TeleR² / TeleR4 immer mit aktueller Uhrzeit arbeitet, haben wir einen NTP-Client implementiert. So kann sich TeleR² / TeleR4 automatisch über einem im Internet oder mit einem anderen im Netz verfügbaren TimeServer, Datum und Uhrzeit, synchronisieren.

Parameter mögliche Einstellung Zweck
NTP-Client-Betrieb ja / nein schaltet NTP-Client ein oder aus
Servicename IP-Adresse / Domainname
des NTP-Servers
Geben Sie hier die IP-Adresse bzw. den Domainnamen des gewünschten NTP-Servers ein.
Achten Sie darauf, dass dieser Server über den angegebenen Routingweg erreichbar ist
Zeitzone Zeitzone, in der TeleR² und TeleR4 betrieben wird notwendig, damit TeleR² / TeleR4 die korrekte Ortszeit besitzt

Systemtaster, System zurücksetzen

Den Konfigurationstaster finden Sie auf der Rückseite des Gerätes
 Systemtaster

Unter dem Punkt „Systemtaster“ haben Sie zwei Möglichkeiten, was beim Betätigen des Tasters erlaubt ist.

Es muss mindestens eine Option ausgewählt sein!
 Systemtasteroptionen

erlaube Werkseinstellungen Checked Das Gerät kann in den Auslieferungszustand gesetzt werden
erlaube Start im Standardeinstellung Checked Das Gerät bootet mit Netzwerk / IP-Adressen des Auslieferungszustandes

Achtung!
Benutzen Sie zum Konfigurieren einen der Switch Ports.
Setzen Sie das Gerät nie im laufenden Betrieb zurück.
Trennen Sie das Gerät vom Produktionsnetzwerk und führen den Reset in einer autarken Umgebung aus.

Der Konfigurationsrechner und das Gerät sollten währenddessen nicht am Firmennetzwerk angeschlossen sein.

Keine Sorge wir nehmen beim Betätigen noch keinen Werksreset vor.
Es sind nur die oben aktivierten Möglichkeiten verfügbar.

Grundeinstellung /Werkseinstellung

Grundeinstellung:

  • das Gerät bootet mit Netzwerk / IP-Adressen des Auslieferungszustandes (siehe Konfiguration)
  • Einstellungen können geändert werden
  • Netzwerkeinstellungen werden nach Neustart aktiv

Werkseinstellung:

  • alle Einstellungen werden gelöscht
  • Gerät startet im Auslieferungszustand

Ablauf:

  1. Büroklammer o.Ä. bereit legen
  2. Gerät stromlos machen
  3. wieder einschalten
  4. Power LED leuchtet im Dauerlicht
  5. wenn LED S1 aufleuchtet, den Taster mit Büroklammer gedrückt halten bis LED S1 ausgeht, dann Taster loslassen 13)
  6. Drücken Sie den Taster im gewünschten Modi

LED S1 Blink-Modi:

sehr langsames blinken ca. im 1/2 Sekunden Takt Grundeinstellung ausführen
sehr schnelles blinken (im 50ms Takt) Werkseinstellung ausführen

Routing Firewall Regeln

image019.jpg
Normalerweise ist das Routing auf alle Netzwerkteilnehmer erlaubt. Sobald ein Eintrag in dieser Tabelle existiert, wird ein Zugriff nur über die obigen Regeln möglich sein. In der Standardedition ist das Routing nur zum LAN bzw. von LAN möglich. Siehe Betriebsart. Der „Advanced-Betrieb“ erlaubt Regeln in beide Richtungen.

Open VPN Menü Im TeleR² / TeleR4 haben wir das populäre, unter Opensource veröffentlichte, OpenVPN implementiert. Detaillierte Informationen finden Sie unter http://www.openvpn.net.

Hier möchte ich kurz die Funktion des OpenVPN, wie es im TeleR² / TeleR4 implementiert ist, erläutern.
Grundsätzlich gibt es zwei Betriebsarten des OpenVPN: Server oder Client.
Als Server wird normalerweise das Gerät an der Anlage (Maschinen) konfiguriert.

Mit OpenVPN stellen wir im TeleR² / TeleR4 ein neues Netzwerkinterface zur Verfügung. Dieses Interface wird quasi über einer Leitung (virtuelle Leitung) mit dem OpenVPN-Interface des Partnergerätes verbunden. Die Leitung wird mit Software realisiert. Dabei werden sämtliche Protokolle für dieses Interface, über einen eigenen UPD/TCP-Kanal, ausgetauscht. Man kann sagen es wird eine Telefonverbindung zwischen den Geräten per UDP / TCP hergestellt. Selbstverständlich ist die Verbindung verschlüsselt. Die Schlüssel sind im TeleR²/TeleR4 hinterlegt.

Konfiguration des OVPN-Betriebs


Parameter mögliche Einstellung Zweck
OVPN-Mode kein OVPN
Server (UDP)
Client (UDP)
Server (TCP)
Client (TCP)
Legt die OVPN-Betriebsart des Gerätes fest. Im Serverbetrieb wartet TeleR² / TeleR4 auf ein Verbindung, im Clientbetrieb nimmt TeleR² / TeleR4 selbst den Verbindungsaufbau zum Partner vor
Port1024 - 65535 Portnummer auf welchem der OVPN-Service laufen soll, Standard 1194
IP-Pool
(nur für Server)
default: 10.111.111.0 Aus diesem Pool werden dem Partner (Client) die IP-Adresse zugeteilt
IP-Pool Netmask default:
255.255.255.0
zugehörige Netmask für den IP-Pool
Server Adresse
(nur im Clientbetrieb)
IP-Adresse oder Url des Servers Die Adresse des Servers. Kann in der Notation xxx.xxx.xxx.xxx oder im Klartext erfolgen (als Url). Wird nur im Clientbetrieb verwendet
Benutzer Benutzername Name des Users, mit dem er sich beim Server authentifiziert
Passwort Benutzerpasswort

Die Optionen Dienste am Interface legen fest, welche Services bei bestehender VPN-Verbindung zur Verfügung stehen

Dienst Beschreibung
Web-Config Erreichbarkeit des Webinterfaces über Port 80 bzw. 8080 deaktivieren/aktivieren
Ping Antwort auf Pinganfragen deaktivieren/aktivieren
SSH SSH-Zugang deaktivieren/aktivieren

Open VPN-Routing (Option)

Hier wird festgelegt, in welcher Form zum WAN / LAN-Port über VPN geroutet werden soll.

image028.jpg
aus: Routing zum Interface nicht möglich
===>: Routing vom VPN zum Interface
⇐==: Routing vom Interface zum VPN
⇐=⇒: Routing in beide Richtungen

Zugangsberechtigung

Wer darf nun eine OpenVPN-Verbindung aufbauen?
Wie kann der Zugang kontrolliert werden?

ACHTUNG: Prinzipiell kann jeder der das Zertifikat hat und die IP-Adresse des TeleR hat, eine VPN-Verbindung aufbauen und auf das Gerät zugreifen. In der Erweiterung „Advanced Router“ können Sie Ihre eigenen Zertifikate verwenden.
Das bringt mehr Sicherheit

VPN-Benutzer

image029.jpg
Hier verwalten Sie die Benutzer, die sich per OpenVPN verbinden dürfen.

VPN-Verbindungen

image030.jpg
In den VPN-Verbindungen können, ähnlich einem Telefonbuch, Ihre Maschinen verwaltet werden. Es wird die Serveradresse, das Protokoll, der Port und ein Verweis auf einen VPN-Benutzer eingegeben (Siehe vorher).

Benutzerverwaltung In der Benutzerverwaltung verwalten Sie die User, die mit welchem Recht das WEB-Interface bedienen dürfen.
Weiter werden hier die Zugangsdaten für Benutzer gepflegt, welche eine DFÜ-Verbindung (Modem) aufbauen dürfen.

WEB-Benutzer

Hier die Maske für die Eingabe der WEB-Interface Benutzer. Pro Benutzer können verschiedene Berechtigungen vergeben werden. Grundsätzlich dar nur ein Anwender mit „SU“ änderungen vornehmen.U1 – U5 darf das Interface nur bedienen. In den TeleR² / TeleR4-Erweiterungsmodulen besitzen „U1“ – „U5“ nochgenauer spezifizierte Bedienungsrechte.

Web Benutzer erstellen
Benutzerlevel:
SU = Super User, darf alle Einstellungen tätigen
U1-5 darf nur bestimmte Einstellungen sehen bzw. ändern

DFÜ-Benutzer

Hier die Maske für die Eingabe der DFÜ-Interface Benutzer. Der Benutzer erhält nur den Zugang, wenn aktiv auf „ja“ steht. Weiter steht der Zusatz „Dial in & out“ oder nur „Dial out“ zur Verfügung.

Wählt sich ein User ein, so werden alle Einträge geprüft, die auf „Dial in & out“ stehen. Andere Benutzer erhalten keinen Zugang. Im Telefobuch erfolgt die Zuordnung

image033.jpg

Wartung Hier finden Sie alle Einstellungen, die für die Wartung des TeleR benötigt werden.
Neue Firmware

  1. Entzippen Sie die heruntergeladene Datei
  2. TeleR² / TeleR4 vom Netz trennen und am PC anschließen
  3. ggf. am PC IP-Adresse einstellen
  4. WEB-Interface aufrufen
  5. Firmware Upload: Datei *.bin auswählen
  6. Speichern
  7. mit „ja“ bestätigen
  8. LED S1 blinkt sehr schnell
  9. warten bis LED S1 im Dauerlicht

Anzeige des Geräte Zustandes. Hier z.B. mit aufgebauter OVPN-Verbindung.

Systemstatus

Netzwerkstatus

Netzwerkstatus
Zeigt alle aktuell vergeben IP-Adressen und Linkstati der einzelnen Ports an.
Zudem finden Sie hier noch die aktuellen gesetzten Routen.

HMI-Meldemodul

HMI Modul
Mit dem HMI-Meldemodul lassen sich Email-Nachrichten (Störmeldungen und Wartungsmeldugen) automatisch ohne Programmieraufwand in der SPS ereignisabhängig an praktisch beliebig viele Empfänger versenden. Das System ordnet die Meldungen automatisch den jeweiligen Empfängern zu und versendet die Nachricht über den richtigen Provider.
Bitte beachten:
Durch den Versand von Email-Nachrichten entstehen ggf. zusätzliche Kosten (Telefongebühren, Gebühren für Internetzugang etc.). Die Höhe der jeweiligen Gebühren erfahren Sie bei Ihrem Provider. Damit das HMI-Modul richtig arbeiten kann, müssen einige Grundeinstellungen gemacht werden.
Folgende Punkte sind einzurichten:

  • Emailserver
  • Emailempfänger
  • SPS-Verbindungen
  • SPS-Variablen
  • Normierungen (optional)
  • Meldungen
  • Grundeinstellung HMI-Option aktiv schalten
  • Email-Versand aktivieren

Auch das HMI-Modul ist durch Zugangsschutz per WEB-Browser gesichert. Die notwendigen Rechte dafür werden bei den entsprechenden Punkten angegeben.

Einrichten der Emailserver bzw. des Email Kontos

Email Server einrichten

Damit der TeleR² / TeleR4 eine Email versenden kann, wird ein Emailkonto bzw. ein Server benötigt, der die Meldungen empfängt und weiterleitet.

Eingabefelder

Bezeichnung Beschreibung / Zweck
Nr. Fortlaufende Nummer.
Name Benutzerdefinierter Name zur Identifikation des email-Servers
Adresse Beinhaltet die Hostadresse des Emailservers.
Format: Protokoll:Serveradresse:Port
z.B. smtps:
mail.testserver.de:465
smtps = Simple Mail Transfer Protocol Secure über SSL/TLS (verschlüsselte Verbindung). Der Standardport von smtps ist 465
smtp = Simple Mail Transfer Protocol (unverschlüsselte Verbindung). Der Standartport ist 25 oder 587. Hinweis: Sollte nicht mehr verwendet werden
Den Port erfahren Sie von Ihrem email-Provider

Achten Sie darauf, dass die entsprechenden Einträge für den DNS-Server, Gateway bzw. Routen gesetzt sind, damit ein reibungsloser Email-Versand gewährleistet ist
EMail Email-Adresse die als Absender eingetragen wird. Diese Adresse sollte nach Möglichkeit echt sein, da ansonsten eventuell Antispamfilter diese Meldungen eliminieren
Benutzer Benutzername zur Authentifizierung am email-Server
Passwort Benutzerpasswort für die Authentifizierung am email-Server

Steht eine Email zum Versand an, versucht TeleR² / TeleR4 erstmal über die aktuellen Möglichkeiten (eingestellter DNS und Gateway) den entsprechenden Server zu erreichen. Gelingt dies nicht, wird eine Internetverbindung unter der Einstellung Konfiguration → PPPoE/DSL oder Konfigurationsansicht → Internet → Provider aufgebaut und dann versucht den Server zu finden. Diese Verbindung wird auch verwendet, wenn die Internetverbindung auf manuell steht. Wurde die Verbindung zum Internet so aufgebaut, wird diese nach 2 Minuten Leerlauf (keine Email liegt an) bzw. spätestens nach 10 Minuten getrennt.

Einrichten der Email-Empfänger

Eailempfänger anlegen

Im nächsten Schritt legen Sie die Empfänger der Email-Nachrichten fest.

Eingabefelder

Feld Beschreibung
Name freie wählbarer Anzeigename
Email Emailadresse des Empfängers
Server wählen Sie den gewünschten Emailserver für den Versand an diesen Empfänger
G0 – G9 Meldegruppen.
Jeder Empfänger kann keiner oder mehreren Meldegruppen zugehören. Weiter unten können Sie für jede Meldung verschiedene Meldegruppen, ähnlich wie hier, zuordnen. So kann eine Meldung auf die relevanten Empfänger problemlos verteilt werde.

Meldung erzeugen

Für den Zugriff auf die SPS werden Verbindungen benötig. Verbindungen werden zur Zeit für die SIMATIC S7 über TCP/IP unterstützt.
Anschließend projektieren Sie die gewünschten Variablen.
Nun können Sie für die Ausgabe noch Normierungen festlegen.
Anschließend setzen Sie Ihre gewünschten Meldungen zusammen.

Projektieren der SPS-Verbindungen

SPS Verbindung projektieren

Feld Beschreibung
Name eigene Bezeichnung der SPS
Anschluß Verbindungsart zur SPS (hier TCP/IP)
aktiv Kommunikation zur SPS
Zyklus legt die Zeitperiode fest, nach welcher mit der SPS Daten ausgetauscht werden sollen
Adr. SMS-Status ist für die Rückkopplung des Zustands des HMI-Moduls bestimmt. Wenn Sie in der SPS den den Kommunikationsstatus und den SMS-Versand überwachen wollen, geben Sie dort die Adresse eines „Wortes an“. Z.B. Datenbaustein oder Merker. TeleR² / TeleR4 schreibt dann bei jedem Kommunikationszyklus ins niederwertige Byte die maximale Anzahl der Sendeversuche für anstehende Meldungen. Übersteigt die Zahl 254, so wird hier immer 254 gestetzt. Den Hintergrund für dieses Vorgehen erkläre ich später. Ist die Anzahl der Sendeversuche > 0, so ist das Absetzen einer Meldung gescheitert. So kann die SPS den SMS-Versand überwachen.
Nun sollte aber auch überwacht werden, ob TeleR² / TeleR4 mit der SPS kommuniziert. Dies kann einfach geschehen. Beschreiben Sie das Zählerbyte in Ihrem SPS regelmäßig mit 0xFF. Nach der vorgegebenen Zykluszeit muß dort ein anderer Wert als 0xff stehen. Bemessen Sie aber diese Zeit großzügig, da sich der Zyklus verschieben kann, wenn es bei anderen Steuerungen zu Kommunikationsproblemen kommt.
Das höherwertige Byte ist für spätere Erweiterungen reserviert. Dieses wir im Moment mit „0“ überschrieben.
Beispiel: Wenn Sie MW 200 verwenden, steht im MB201 der Zählerstand und in MB200 der Wert 0

Projektieren der Variablen

 Variablen projektieren

Legen Sie nun die gewünschten Variablen an, welche angezeigt bzw. verarbeitet werden sollen.

Spalte Verwendung
Name zur freien Verwendung
Verbindung ordnen Sie die Variable einer SPS-Verbindung zu
Adresse die eigentliche Adresse in der SPS nach folgenden Regeln:
Datenbereich Datentyp
Eingang Ausgang Merker Datenbaustein
E 1.0, I 1.0 A 1.0, Q 1.0 M10.1 DB1.DBX 1.0 Bit(Boolean)
EB 1, IB 1 AB 4, QB 4 MB 20 DB2.DBB 20 BYTE
EW 4, IW 4 AW 6, QW 6 MW 100 DB4.DBW 0 WORD
ED 4, ID 4 AD 6, QD 6 MD 100 DB4.DBD 10 DWORD
Timer Zähler
T1 —— Timer
—– Z1, C1 Zähler
Datentyp Auswahl des Datentyps zur richtigen Konvertierung:
Boolean (Bit)
unsigned int (Wort ohne Vorzeichen)
signed int (Wort mit Vorzeichen)
DWORD (Doppelwort ohne Vorzeichen)
signed DWORD (Doppelwort mit Vorzeichen)
real (Fließpunktzahl)

Zur richtigen Anzeige und Verarbeitung der Variablen muss gegebenfalls eine Umrechnung erfolgen. Diese Umrechnung kann mit Normierungen erfolgen. Sie können hier die notwendigen Umrechnungen definieren und später den Meldungen zuordnen. Da eine Normierung normalerweise häufiger vorkommt, ist es sinnvoll, diese zentral zu verwalten.


Spalte Beschreibung
Name frei vergebarer Name
Normierungen zur Zeit werden zwei Normierungsarten unterstützt, entweder „linear“ oder „Texte“
linear bedeutet, daß der Wert von der SPS umgerechnet werden muss. In diesem Fall sind die Felder „SPS-Wert1“, „HMI-Wert 1“, “SPS-Wert 2“, “HMI-Wert 2“ auszufüllen
Texte heißt, Sie wollen den Werten aus der SPS Zustandstexte zuordnen. Dies kann z.B. der Zustand eines mehrstufigen Antriebs sein
Einheit /Zustand Bei Normierung „linear“ steht hier der Text für die Einheitenbezeichnung (z.B. °C, %, Stück…)
Bei Normierung „Texte“ werden hier die Zustände aufgezählt nach folgender Syntax: <Vergleich><Wert>:<Text>
Für jeden Zustand ist eine neue Zeile einzugeben.
<Vergleich> ist optional. Wird <Vergleich> nicht angegeben, heißt dies auf Gleichheit prüfen.
Beispiel für Antrieb:
0:AUS
1:Stufe1
2:Stufe2

Für Vergleiche kann man auch folgende Zustände definieren:
Eine Temperatur soll überwacht werden. Es soll nur ein Text ausgegeben werden, ob der Wert im Limit liegt oder ob eine Grenzverletzung vorliegt. Der Wert ist im Limit, wenn dieser zwischen 20 und 30 liegt. Dies sieht wie folgt aus:
>=20: normal
⇐30: normal
<20: zu niedrig
>30: zu hoch
>60: viel zu hoch
Als Zahl geben Sie hier die Werte ein, welche aus der Umrechnung der Felder „SPS-Wert1“, „HMI-Wert 1“, “SPS-Wert 2“, “HMI-Wert 2“ resultieren
Umrechnung Zur Umrechnung des Zahlenwertes der SPS für die Darstellung als physikalische Größe im HMI-Modul ist eine Zuordnung des SPS-Wertes und des HMI-Wertes notwendig.
Der angezeigte Wert berechnet sich: w = m * x + t;
w = der angezeigte Wert
m = (HMI-Wert2 – HMIWert1)/(SPS-Wert2 – SPSWert1)
t = (HMI-Wert1 – m * SPS-Wert1)
x = der momentane SPS-Wert
zum Beispiel sollen die SPS-Werte 0 – 1000 in der Anzeige 0 bis 100 entsprechen (s.h. Zeile 3 im Bild)
SPS-Wert1 SPS-Wert, der dem HMI-Wert1 entspricht. (0)
HMI-Wert 1 HMI-Wert, der dem SPS-Wert1 entspricht (0)
SPS-Wert 2 SPS-Wert, der dem, HMI-Wert2 entspricht (1000)
HMI-Wert 2 HMI-Wert, der SPS-Wert2 entpricht (100)

Meldungen konfigurieren


Die eigentlichen Meldungen werden separat konfiguriert. Dort wird der Zusammenhang zwischen Variable, Normierung und Meldegruppe getroffen. Woraus die eigentliche Meldung resultiert. Die Reihenfolge der Meldungen wird nach Eingabe der Zeilennummer vorgenommen.

Spalte Verwendung
Zeile festlegen der Reihenfolge
Text zur freien Verwendung und zur Information des Benutzers/Anlagenbetreibers
melden verarbeiten der Zeile und weiterleiten an Meldegruppe(n)
Variable Hier ordnen Sie der Meldung eine der projektierten Variablen zu. Wird keine Variable zugeordnet, so wird nur der Text dargestellt
Delay Die Zeit in Sekunden, für welche eine Grenzwertverletzung mindestens anliegen muß, bis diese gemeldet wird. So kann ein Messwert entprellt werden. Wenn die Bedingung / Vergleichsoperation zur Ermittlung einer Grenzwertverletzung bzw. zum Feststellen der Meldebedingungen dient.
Mögliche Vergleiche: ==, >=, , <> und * * bedeutet keine Limitüberwachung, also nur Darstellung
G0 – G9 Die Zuordnung zu den einzelnen Meldegruppen, so wird die jeweilige Meldung einer Gruppe von Empfängern zugewiesen

HMI Modul konfigurieren

Um die Meldeverarbeitung überhaupt zu aktivieren müssen grundsätzliche Einstellungen getroffen werden. Bevor Sie diese Einstellungen aktivieren, sollten die Medlungen prokjektiert sein.
Die Bedeutung der einzelnen Zeilen:

Zeile Verwendung
Anlagenname Dieser Text wird im SMS-Kopf dem Empfänger mitgesendet, so dass dieser den Absender identifizieren kann
Sendezeit eintragen Bei „ja“ wird im SMS-Kopf die Sendezeit eingetragen, Wichtig: Uhrzeit richtig einstellen
Meldezeit eintragen Bei „ja“ wird zu jeder Meldung die Zeit eingetragen, zu der die Meldung auftrat. Dadurch wird der SMS/Email-Text zwar länger und umfangreicher. Dafür kann jedoch zu jeder Meldung der Zeitpunkt des Auftretens nachvollzogen werden
SMS Server aktivieren nicht unterstüzt ja / nein
max. Anzahl der Sendeversuche SMS nicht unterstüzt Damit kann die Anzahl der maximalen Sendeversuche pro SMS-Empfänger festgelegt werden. Somit ist es möglich, bei Versandproblemen überhöhte Kosten für erfolglose SMS-Sendungen zu minimieren
SMS-Absendekennung für UCP nicht unterstüzt Beim UCP-Protokoll muss dem SMS-Server die Telefonnummer des Absenders mitgegeben werden
Email Service aktivieren ja /nein
max. Anzahl der Sendeversuche Email Damit kann die Anzahl der maximalen Sendeversuche pro EMail-Empfänger festgelegt werden

Email-Meldepuffer

 Meldepuffer

Auf der Seite Email-Meldepuffer sind die im Moment anstehenden und noch nicht versendeten Meldungen zu sehen. Die Spalte „Tx-Versuch“ zeigt die Anzahl der Versuche, die bereits unternommen wurden, um die email abzusetzen. Diese ist größer 0, wenn z.B. der DNS-Server nicht gefunden wurde oder die email-Server Konfiguration fehlerhaft ist. Die größte Anzahl der Versuche wird der SPS gemeldet (siehe oben).

Ein Klick auf das Symbol löscht alle Meldungen in der Liste. Die Meldungen werden nicht versendet!
Zu Testzwecken entfernen Sie das Netzwerkkabel, so können Sie die Funktion der Anlage testen.

Meldungen betrachten

 Meldungen betrachten

Im Menüpunkt Meldungen betrachten können Sie den aktuellen Zustand der Meldungen betrachten. Dort werden alle Meldezustände der projektierten Meldungen angezeigt. Also auch diese, welche keine email erzeugen können. Dadurch kann schon ohne SPS-Programmiersoftware ein Zustand über die Anlage gewonnen werden. Das Meldefenster wird alle 3 Sekunden aktualisiert. Rot hinterlegte Felder bedeuten, daß eine Grenzwertverletzung vorliegt.

Dokumentation für die Version 1.19

Einführung

S7-Firewall ist eine skalierbare „SPS-Firewall“, die nicht nur IP/MAC-Adressen filtert. Für frei definierbare Verbindungen kann der Zugriff auf beliebige Datenbereiche der SPS eingeschränkt / festgelegt werden. S7-Firewall kann beliebig zwischen SPS- und Bedien- / Programmierebene eingebaut werden. S7-Firewall erkennt die Einbaurichtung automatisch. Es werden nur konfigurierte Verbindungen zugelassen.
 Vereinfachte Darstellung Verbindungen

Hardwareausführung

Unsere S7-Firewall basiert auf unseren TeleR4

Netzwerkeinstellungen

 Netzwerkeinstellungen

Parameter mögliche Einstellung Zweck
Standard Gateway fest (wie vorgegeben) über DHCP
1. DNS
2. DNS
1-3. IP-Adresse mit NetmaskIP-Adresse / NetmaskWenn Netmask 0.0.0.0 wird die Netmask automatisch berechnet, je nach A,B,C-B Netz.
z.B. 192.168.0.x → 255.255.255.0
10.x.x.x → 255.0.0.0
Bei Verwendung fester IP-Adressen ist mindestens die 1. IP-Adresse zu konfigurieren. Ansonsten startet das Gerät mit der Werkeinstellung
DHCP nein kein DHCP verwenden
Die restlichen DHCP-Parameter werden nicht verwendet
ClientDas Netzwerkinterface wird als DHCP-Client und bezieht die IP-Adresse automatisch von einem DHCP-Server. Die restlichen DHCP-Parameter werden nicht verwendet
Server Das Netzwerkinterface betreibt einen DHCP-Server. Die restlichen HCP-Parameter sind zu parametrieren.
Start-IP Start-IP-Adresse Start-IP-Adresse beim Betrieb als DHCP-Server
End-IP End-IP-Adresse End-IP-Adresse beim betrieb als DHCP-Server
Subnet Subnetadresse Adresse des Subnets für die Vergabe der IP-Adressen als DHCP-Server
Domain Frei Name der Domain bei der Verwendung als DHCP-Server
Router-IP IP-Adresse Ist die IP-Adresse, die beim Betrieb als DHCP-Server als Gateway weitergegeben wird

Der WAN/LAN-Port hat gemeinsame IP-Adressen
Es können bis zu 3 verschiedene IP-Adressen und Subnetze konfiguriert werden. Der Port kann auch als DHCP-Server oder Client betrieben werden. Die notwendigen Daten für die IP-Zuordnung werden hier eingegeben. Für den Betrieb als DHCP/Server können feste Zuordnungen MAC-IP-Adresse festgelegt werden. (Siehe „DHCP feste Adressen). Weiter wird festgelegt, welche Services am Port zur Verfügung stehen (Web-Konfig), Ping , SSH (nur für Entwickler)

Web-Benutzer

Hier die Maske für die Eingabe der WEB-Interface Benutzer. Pro Benutzer können verschiedene Berechtigungen vergeben werden. Grundsätzlich darf nur ein Anwender mit „SU„ Änderungen vornehmen. U1 – U5 darf das Interface nur bedienen. In den S7-Firewall-Erweiterungsmodulen besitzen „U1“ – „U5„ noch genauer spezifizierte Bedienungsrechte.
 Web-Benutzer einrichten

S7-Firewall-Einstellungen

Die SPS-Firewall-Verbindungen ergeben sich aus der Kombination aus HMI/PG-Station und SPS-Station
 Schaubild Firewallverbindungen

S7-Firewall Betrieb

S7-Firwall Betrieb

Modi Beschreibung
aus keine Firewall aktiv
S7-Firewall Router WAN-Port und LAN-Ports haben getrennte IP-Netze. Alle Funktionen und gekaufte Optionen des TeleR4 nutzbar
S7-Firewall Classic WAN-Port und LAN-Ports sind ein IP-Netz. Nur IP-Adress-Bereiche die in der WAN-Seite eingegeben wurden, werden behandelt.
Z.B. IP-WAN 192.168.2.15
IP-LAN:192.168.3.3
Wenn ein Gerät mit der IP 192.168.3.6 angeschlossen wird, wird dieses solange nicht behandelt, bis im WAN eine 192.168.3.xxx Adresse eingegeben wird

Eingabe der HMI/PG-Stationen

 Einstellungsmöglichkeiten der Stationen
 Einstellungsmöglichkeiten der Stationen

Parameter mögliche Einstellung Zweck
Nr. automatisch fortlaufende Nummer
Name frei vom Benutzer einzugeben Name der Station
aktiv ja (x) Verbindungen mit dieser Station werden von der Firewall verarbeitet
nein () Verbindungen mit dieser Station werden nicht verarbeitet, d.h sie werden geblockt
IP-Adresse IP-Adresse des HMI / PG-Gerätes Identifikation des Absenders Eingabe unbedingt notwendig
Eingabe eines Bereiches möglich z.B. gesamte Netz 192.168.0.1-192.168.0.255
MAC-Adresse MAC-Adresse des HMI / PG-Gerätes Identifiziert das HMI/PG zusätzlich über die MAC-Adresse. 00:00:00:00:00:00 bedeutet, dass die MAC-Adresse nicht geprüft wird. Bei ungleich 0 muss die MAC-Adresse der Station mit der Eingabe übereinstimmen
Verbindungskanal verwendeter Kanal der Verbindung:
In der Simatic S7 stehen PG- und OP-Kanäle zur Verfügung. Dieser Kanal wird als zusätzliches Merkmal zur Identifikation des Absenders verwendet. Auf jedem der beiden Kanäle sind sowohl PG- als auch OP-Funktionen möglich.
OP/HMI Bediengeräte / WinCC etc. verwenden in der Regel OP-Kanäle. Dieser Kanal ist für HMI-Geräte auch der empfohlene.
PG Die Siemens PG-Software verwendet grundsätzlich den PG-Kanal. Leider ist verschiedene Software am Markt im Einsatz, welche nicht über das Knowhow verfügt, diesen Kanal einzustellen. Dies herauszufinden geht über das LOG-File. Eine vernünftige HMI-Software, respektive der zugehörige Softwaretreiber versorgt die Einstellbarkeit dieses Kanals.
SPS Der SPS-Kanal entspricht dem „other“ bzw. „sonstige“ Kanal in der SPS
PG | OP/HMI Soll z.B. vom selben Rechner aus PG und HMI laufen (IP/MAC PG/HMI identisch) bleibt nur noch der PG/OP-Kanal zur Identifikation des Absenders.
PG | SPS PG- oder SPS-Kanal erlauben
OP | SPS OP- oder SPS-Kanal erlauben
PG | OP | SPS PG- oder OP- oder SPS-Kanal erlauben
S7 over TSAP Eine S7-Verbindung die über TSAP definiert wird
RFC 1006 with TSAP Reine RFC 1006 Verbindung über TSAP.
Achtung: hier ist keine Firewalregel anwendbar. Der gesamte RFC-1006-Traffic wird ungeprüft durchgeleitet!
lokaler TSAP String nur bei S7 over TSAP und RFC 1006 with TSAP.
Eingabe eines byte/hexadezimalen Wertes: z.B. HEX-TSAP 02.00 → %02%00
Hinweis: auch ein Leerzeichen gilt als Zeichen
entfernter TSAP String nur bei S7 over TSAP und RFC 1006 with TSAP.
Eingabe eines byte/hexadezimalen Wertes: z.B. HEX-TSAP 02.00 → %02%00
Hinweis: auch ein Leerzeichen gilt als Zeichen

Eingabe der SPS-Stationen

 SPS-Stationen

Parameter mögliche Einstellung Zweck
Nr. automatisch fortlaufende Nummer
Name frei vom Benutzer einzugeben Name der Station
aktiv ja (x) Verbindungen mit dieser Station werden von der Firewall verarbeitet
nein() Verbindungen mit dieser Station werden nicht verarbeitet, d.h. sie werden geblockt
IP-Adresse IP-Adresse der SPS-Station Identifikation des Absenders
Eingabe unbedingt notwendig

Eingabe der S7-Firewall Verbindungen

Die Verbindungen werden aus der Kombination HMI/PG-Station und SPS-Station gebildet. Jede HMI/SPS-Station kann mehrfach verwendet werden. Bei Änderung von Mac- oder IP-Adresse muss diese nur zentral in der HMI/PG-Station bzw. SPS-Station geändert werden. Jeder Verbindung wird eine Verbindungsregel zugeordnet.
Ist „erlaube PG-Vollfunktion“ selektiert, so ist diese Verbindung ein Vollzugriff. In Zukunft wird dieser Zugriff näher unterteilt werden können (Definierte Bausteine lesen / schreiben, SPS Start/Stop, Urllöschen , Systemdaten (lesen/schreiben).

 S7-Verbindungen

Parameter mögliche Einstellung Zweck
Nr. automatisch fortlaufende Nummer
Name frei vom Benutzer einzugeben Name der Verbindung Dient zugleich als „Link„ zum Öffnen und Bearbeiten des Regelscripts.
aktiv ja (x) diese Verbindung wird von der Firewall verarbeitet
nein () diese Verbindung wird nicht verarbeitet, d.h. sie wird geblockt
erlaube PG-Vollfunktion(x) Diese Verbindung ist eine PG-Verbindung und darf alle Funktionen ausführen
nein () Diese Verbindung ist eine Eingeschränkte Verbindung. Es sind nur Zugriffe auf die freigegebenen Funktion und Datenbereiche, wie im zugehörigen Regelscript definiert, erlaubt.

Das Regelscript

Im Regelscript werden die Datenbereiche bzw. mögliche Zugriffe für die jeweilige Verbindung festgelegt. Das Script kann über den Link des Namens der Verbindung erreicht werden.

 Editor Firewallregel
Syntax des Regelscripts

erste(s) Zeichen Funktion Rest der Zeile
# die Zeile ist ein Kommentar freier Text
Doppelschrägstrich
(kein Zeichen, es folgt gleich Operand/Bereich) der folgende Bereich ist nur zum lesen (readonly) Operand / Bereich siehe weiter unten
r:
w: der folgende Bereich ist nur zum schreiben (writeonly)
rw: der folgende Bereich lesbar und schreibbar (read/write)

In eine Regelzeile kann ein einzelner Operand, oder ich ein Bereich eingegeben werden.
Beispiel für die Eingabe von einzelnen Operanden: (Quelle aus Siemens STEP-S7 PG-Software)

Erlaubter Operand Datentyp Beispiel(Mnemonik Deutsch) Beispiel (Mnemonik Englisch)
Eingang I Ausgang I Merker BYTE EB 1 I AB 10 I MB 10 IB 1 I QB 10 I MB 10
Eingang I Ausgang I Merker WORDEW 1 I AW 10 I MW 10 IW 1 I QW 10 I MW 10
Eingang I Ausgang I Merker DWORDED 1 I AD 10 I MD 10 ID 1 I QD 10 I MD 10
Peripherie (Eingang I Ausgang) BYTE PB 0 I PEB 0 I PAB 1 PB 0 I PIB 0 I PQB 1
Peripherie (Eingang I Ausgang) WORD PW 0 I PEW 0 I PAW 1PW 0 I PIW 0 I PQW 1
Peripherie (Eingang I Ausgang) DWORD PW 0 I PED 0 I PAD 1PD 0 I PID 0 I PQD 1
Zeiten TIMER T 1 T 1
Zähler COUNTER Z 1 C 1
Datenbaustein BOOL DB1.DBX 1.0 DB1.DBX 1.0
Datenbaustein BYTE DB1.DBB 1 DB1.DBB 1
Datenbaustein WORD DB1.DBW 1 DB1.DBW 1
Datenbaustein DWORD DB1.DBD 1 DB1.DBD 1

Hinweis: Die Eingabe von „DB0. ..“ ist aufgrund interner Benutzung nicht erlaubt.
Beispiel für die Eingabe von Bereichen, mit Anzahl der Einheiten:
ab Merker 60, 10 Byte: MB60, 10
ab DB10, Datenwort 2, 5 Worte: DB10.DW2, 5
Hinter dem Komma folgt die Anzahl der gewünschten Einheiten (je nach Adressart, BOOL, BYTE, WORD, DWORD)
Beispiel für die Eingabe von Bereichen mit „von“ – „bis„:
Merker Byte 70 bis Merker Byte 200: MB 70 – MB 200
Ausgang A 10.2 bis Ausgang 14.7: A 10.2 – A14.7
Einfach nach Startoperanden mit ‚-‚ den Endoperanden (Endadresse) angeben. Die Endadresse wird inkludiert!

Mögliche Ursache, wenn Sie keine Daten erhalten

Im Firewall Log finden Sie die Ursache, warum Sie aktuell keine Daten erhalten haben oder schreiben konnten.

In diesem Beispiel ist der erlaubter Datenbereich: MB 0 - MB 20

Daten lesen ohne Firewall:
Beispiel Daten lesen ohne Firewall
Alle Daten können ohne Probleme gelesen und geschrieben werden.

Beispiel Daten lesen mit Firewall
Als Regel, wurde der Datenbereich r:MB 0 - MB 20 eingestellt, lesender Zugriff.
Alle Daten können gelesen, aber nicht beschrieben werden.
Beispiel Daten lesen mit Firewall, schreiben nicht erlaubt

Liest ein Gerät, eine Software oder irgend ein anderer Teilnehmer z.B. folgende Daten, kann es sein, dass trotz erlaubtem MB 20 keine Daten übermittelt werden.
Beispiel Daten lesen mit Firewall mit nicht erlaubtem MB 21
Ursache:
Beispiel Daten Ablehnung durch die Firewall
Durch Datenoptimierungen kann es vorkommen, dass bestimmte Bereiche gelesen werden, die gar nicht angegeben sind. In diesem Beispiel wurde das Merkerbyte 0 und das Merkerbyte 20-21 einzeln abgefragt.
Somit kam es trotz erlaubtem MB 20 zur Ablehnung der Anweisung, da das Lesen von MB21 nicht gestattet ist.

Fügt man r:MB 20,2 zur Firewallregel hinzu, können diese Datenbereiche gelesen werden.

Hutschienenmontage Auf der Rückseite befinden sich vier Schraubenlöcher. Montieren Sie die mitgelieferte Hutschienenhalterung, dass die Feder nach unten zeigt.

Montage:
Hacken Sie erst unten in die Hutschiene ein und drücken/ziehen dann vorsichtig den TeleR2 / TeleR4 in die Halterung.

Demontage:
Zum demontieren heben Sie den TeleR2 / TeleR4 an und kippen ihn leicht nach vorne.

Anschluss Daten
LAN/WAN TeleR²: 1 x WAN + 1 x LAN Ethernet 10/100 Mbit
TeleR4: 1 x WAN + 3 x LAN 10/100 Mbits Switch
Spannungsversorgung 10V - 30V DC
DIN/DOUT Input Low: Eine Eingangsspannung von kleiner als 5-6V wird als Low-Signal erkannt.
Input High: Eine Eingangsspannung von größer als 5-6V wird als High-Signal erkannt. Die maximale Eingangsspannung beträgt 30V. Der Eingangsstrom wird auf maximal 4mA begrenzt.
Output Low: Der Ausgang ist hochohmig.
Output High: Es wird die Betriebsspannung (10-30V) minus ca. 0,5V nach außen geschaltet. Diese ist mit maximal 180mA belastbar, dann setzt die Strombegrenzung ein und die Spannung fällt ab.
USB 2.0
Sonstiges
Maße 55mm x 70mm x 120mm (B xH x L)
Lieferumfang DIN Rail Mounting / Hutsschienenmontage
Gummifüße für Betrieb als Tischgerät
Inklusive IP-Address-Changer: Bringt Teilnehmer mit derselben IP-Adresse in ein anderes gemeinsames Netzwerk
Gehäuse Alugehäuse
Temperaturbereich -25°C - +75°C

Spannungsanschluss


Pin Nr. Kurzform Bezeichnung Richtung
1 POW + 10-30V DC Spannung Eingang
2 POW - Masse Eingang

Für die Spannungsversorgung des Gerätes wird entweder das mitgelieferte Steckernetzteil oder eine vor Ort vorhandene Spannungsversorgung von 10-30V/DC mit min. 350mA Strom an dem grünen 2poligen Stecker angeschlossen. Bei dem mitgelieferten Steckernetzteil sind die Spannungspole durch farbige Aderndhülsen gekennzeichnet.

Der PLUS-Pol mit der Farbe „Rot“, der MINUS-Pol mit der Farbe „blau“. Es wird der PLUS-Pol an der oberen Schraubklemme und der MINUS-Pol an der unteren (äußeren) Schraubklemme angeschlossen.
Die „Power“ - LED leuchtet. Nach einer kuren Initialisierungsphase leuchtet die „S1“ - LED im Dauerlicht und das Gerät ist betriebsbereit.

Artikelnummer Bezeichnung Zusatztext
9374-PPPoE
Zolltarifnummer: 85176200
TeleR2 1 x WAN, 1 x LAN
inkl. Hutschienenmontage
1 x DOUT, 1 x DIN
inkl. IP-Address-Changer
Herkunft: DE
9374-4-PPPoE
Zolltarifnummer: 85176200
TeleR4 1 x WAN, 3 x LAN
inkl. Hutschienenmontage
1 x DOUT, 1 x DIN
inkl. IP-Address-Changer
Herkunft: DE
9374-S7-Firewall
Zolltarifnummer: 85176200
S7-Firewall 1 x WAN, 3 x LAN
inkl. Hutschienenmontage
1 x DOUT, 1 x DIN
Herkunft: DE
Optionen
9374-O-CVPN VPN-User Control VPN-User per HTTP-Befehl aktivieren/deaktivieren
9374-O-EMAIL E-Mail Konfigurierbares Meldesystem auf WEB-Basis zum Versenden von Meldungen und Berichten per E-Mail
9374-O-NOTIFY m2mNotify via CoDaBix Konfigurierbares Meldesystem auf WEB-Basis zum Versenden von Meldungen über das CoDaBix an mobile Apps
9374-O-PN-ROUTER ProfiNet-Router Ausgewählte ProfiNet-Stationen über Modem/DSL/Internet mit VPN koppeln - Fernwartung Simatic-S7-ProfiNet über Internet mit VPN/Modem - ProfiNet-Telegramme Routing
9374-O-S7FW S7-Firewall Skalierbare „SPS-Firewall“ weit über IP-/MAC-Adressen-Filterung hinaus, es können komplette oder einzelne Prozessdatenbereiche geschützt werden, sogar bis auf einzelne Bits der Steuerung
9374-O-Userroute Userroute Benutzer spezifisches Routing: Für jeden einzelnen Benutzer festlegbar, auf welche Geräte (IP-Adressen) und mit welchem Port zugegriffen werden darf
Zubehör
9374-SW 5 Port Industrial Switch 10/100MBit
Hutschinenmontage
12-48V DC
1) , 2) , 4) , 5) , 6) , 7) , 8) , 9) , 10) , 12) WAN/IP: IP-Routing über WAN
WAN/PPPoE: IP-Routing über PPPoE am WAN-Port
WAN/OVPN: nur Routing über OVPN am WAN-Port
3) Routing vom LAN zum Routinginterface
11) Routing vom Routinginterface zum LAN
13) Nun blinkt die LED S1 abwechselnd in zwei verschiedenen Modi