Cybersecurity a vzdálená správa – bezpečný přístup na PLC přes internet
13.01.2022Digitalizace procesů, data v cloudu nebo přístupy na dálku přes internet jsou dnes novým standardem....
Datum 01.12.2017
O průmyslových routerech eWON pro vzdálenou správu už jste možná slyšeli. Abyste si dokázali lépe představit, co vlastně v praxi umí, sepsali jsme pro vás tuhle obsáhlou recenzi zaměřenou na eWON Flexy – modulární router, který si sestavíte podle vašich požadavků. V první části otestujeme startovací sadu IIoT Starter Kit, která je ideální pro ty z vás, kteří si Flexy řešení chtějí vyzkoušet. V druhé části recenze vyzkoušíme funkčnost jednoho z mnoha rozšiřujících modulů, který má čtyři analogové vstupy, osm digitálních a dva výstupní reléové. V poslední třetině se zaměříme na vzdálený přístup na LOGO! s routerem eWON Flexy.
Co vlastně obsahuje startovací sada eWON Flexy pro vzdálenou správu PLC, HMI a dalších zařízení a jak se připojíte třeba ke vzdálenému PLC Simatic S7-1200 a HMI Siemens? Vše jsme pro vás vyzkoušeli.
Jak již název napovídá, Flexy znamená celkové přizpůsobení požadavkům aplikace a zákazníka pro maximální využití celé sestavy routeru eWON. K těmto routerům je k dispozici velké množství různých manuálů, popisů a dalších textů, je důležité se orientovat v tom, co potřebujete a co zrovna ne. Proto vám ukážeme v podstatě to nejdůležitější pro sestavení zabezpečeného spojení mezi notebookem s TIA Portal a vzdáleným PLC Simatic S7-1200 a HMI KTP400. Je totiž vhodné začít od začátku s malou sestavou, a pokud si tu rozchodíme, jednoduše pak přidáváme další potřebné moduly do základní části.
Celý eWON Flexy router se skládá ze základní jednotky, do které se zasouvají jednotlivé moduly podle toho, s čím a jak potřebujete komunikovat. Tedy WAN, Wi-Fi, sériové porty a pro vzdálené ovládání také moduly digitálních vstupů a výstupů. Rozměrově má 80 x 89 x 134 mm, napájení 12-24 V DC.
Disponuje těmito komunikačními protokoly: MODBUS/RTU, MODBUS/TCP, Unitelway, DF1, PPI, MPI (S7), PROFIBUS (S7), FINS Hostlink, FINS TCP, EtherNet/IP™, ISO TCP, Mitsubishi FX, Hitachi EH, ASCI. V oblasti alarmů zvládá hlídání analogových i dvoustavových hodnot.
Základní jednotka existuje ve třech verzích: s integrovaným LAN ethernetovým přepínačem, dále LAN portem a MPI portem a opět LAN portem a sériovou komunikací. Každá z nich se ještě vyrábí v jednoduché verzi jen jako gateway (označení začíná 1) nebo v plné variantě s možností routování (označení začíná 2). Do každé jednotky můžete vložit čtyři moduly, jejich varianty najdete zde.
Moduly pro vložení do základní jednotky jsou nabízeny v osmi verzích: 2x sériový port, ethernet WAN, DI / AI / DO jednotky, GSM, Wi-Fi, PSTN a USB. Je vhodné kouknout do manuálu, některé moduly se dají vložit jen do určitých slotů, jiné zase do každého. Vše je ovšem mechanicky klíčováno, takže to nelze pokazit, leda byste na to šli silou malého lva. Ve startovací sadě ovšem všechny tyhle moduly pochopitelně nejsou, její obsah najdete zde.
Začneme základní sestavou eWON Flexy. Hlavní jednotka s 4x LAN switchem, do ní vložíme WAN síťový modul. Pojmy jako LAN a WAN můžou být u některých zařízení jiné. V podstatě se vždy jedná o to samé, pouze každý výrobce používá to svoje. Takže například “Machine LAN” znamená vlastně LAN, tedy síť, kde jsou fyzicky připojeny stroje s PLC. Pojmem “Company LAN” se někdy rozumí síť WAN, tedy síť, kde připojíme eWON do internetu. Veřejná IP adresa není samozřejmě nutná. Obě sítě nejsou nijak spojeny, ale umí routování.
Na stole máme naši dílenskou sestavu, PLC S7-1200 s periferií IM151, dále HMI Siemens panel KTP400 a ethernetový přepínač. V síti není router, tedy ani DHCP server, každé zařízení má svou jedinečnou IP adresu, obdobně jako to bývá na strojích ve fabrice. Do této LAN sítě jsme ještě připojili eWON Flexy modrým kabelem. A připojení do internetu, tedy jiné sítě, obstaral černý kabel do modulu v prvním slotu.
Proto úplně první je nezbytné rozmyslet si topologii a IP adresy. Jakmile se v tom spletete, obtížně se pak chyba hledá. Proto máme tento nákres topologie s IP adresami tak, jak nám vše fungovalo. Připomene si také pojmy, které se můžou splést. Talk2M je služba, která jede na internetovém serveru a vytváří VPN spojení mezi vzdáleným PLC a Talk2M serverem. Software eCatcher spustíme na PC, ten se připojí k účtu na serveru Talk2M a sestaví VPN tunel z PC do serveru Talk2M a dále do požadovaného PLC. Tohle je velmi důležité. I když router a DHCP server přidělí ethernet modulu IP adresu (nebo si ji nastavíme podle správce sítě), nebudeme její hodnotu dále potřebovat. LAN adresu eWONu (192.168.1.121) naopak potřebovat dále budeme a musíme si ji nastavit. Z výroby je totiž přednastavena na 10.0.0.53, zjistíme ji také nahlédnutím do manuálu.
Pro nastavení LAN adresy v eWON Flexy slouží utilita výrobce eBuddy, ale my si nastavení ukážeme klasicky přes webový server eWONu. Pro méně zkušené uživatele je nutné upravit IP adresu síťového rozhraní v notebooku, abychom byli ve stejné síti s routerem eWON Flexy.
Pak již je to jednoduché, přes webové rozhraní stačí změnit tovární LAN adresu na naši požadovanou, uložit a znovu se připojit.
WAN adresu ponecháme buď na DHCP serveru nebo ji nastavíme podle správce sítě.
Ještě je vhodné si poznamenat, eventuálně upravit, název našeho eWON routeru. A to je zatím vše.
V používaném PC s TIA Portal musíme pro vytvoření VPN spojení mít instalovánu utilitu eCatcher. Je to zdarma a raz dva.
Je nutné spojit eCatcher s naším účtem na serveru Talk2M. Jestliže účet nemáme, jednoduše jej vytvoříme. Jeho provoz je pro jedno aktivní připojení zdarma, nemusíte mít žádné obavy. My jsme účet před touto recenzí taky neměli.
Pro vytvoření účtu po nás server vyžadoval jen tyto údaje a aktivaci jsme provedli přes odkaz v aktivačním emailu, bylo to zase raz dva.
Připojíme se pomocí eCatcheru na náš nový účet na serveru Talk2M. Je vidět, že nemáme v našem účtu přiřazený náš eWON Flexy router. Tak přidáme nový.
Tady budeme potřebovat znát jeho jméno, jak jsme upozornili výše.
Nyní zbývá jen aktivace eWON Flexy routeru. Ideální je to pomocí aktivačního klíče, ten kopírujeme do schránky nebo si jej někde poznačíme.
Nyní se musíme přihlásit opět do samotného routeru a přes Wizard do něj vložit aktivační klíč. To je vlastně to, podle čeho se pozná fyzický eWON Flexy s eWON Flexy konfigurovaným v našem účtu Talk2M. Tahle aktivace se provede jen jednou, pak již o sobě zařízení ví neustále.
Fyzický eWON Flexy okamžitě po aktivaci vyzkouší sestavit a otestovat VPN spojení na Talk2M. Podařilo se mu to na první pokus.
Tak a v eCatcheru vidíme náš eWON Flexy router, jak je online připojen do internetu. Je aktivní spojení mezi routerem a serverem Talk2M. Možná se vám to zdá trochu komplikované, ale věřte, že se jedná o nastavení, které se většinou provede jen jednou.
Tak a nyní přes položku vlastnosti definujeme, co nám na LAN síti eWON Flexy routeru fyzicky visí, tedy na co se chceme připojit.
Definujeme naše PLC S7-1200 s jeho IP adresou a HMI panel. V podstatě přidáme jen jméno a platnou IP adresu, viz obrázek topologie na začátku článku.
A je to. Povel “připojit” naváže spojení s námi definovanými účastníky, S7-1200 a HMI.
Na konec jedna maličkost, opět zkušení uživatelé to znají – eCatcher vytvořil VPN síťové spojení, ale v TIA Portal jej podle toho názvu neuvidíme. V podrobnostech najdeme popis, že se jedná o TAP-Windows Adapter V9. Zapamatovat!
V TIA Portal je to již jako obvykle, pro online přístup vybereme TAP-Windows Adapter V9 a jedeme online.
Můžeme běžně pracovat jak se vzdáleným PLC, tak s HMI panelem, tedy upload, a nahrávat změny do PLC nebo HMI. Vzhledem k rychlostem připojení je to jako bychom byli u sestavy fyzicky na dohled.
Jako bonus jsme vyzkoušeli na dálku také zálohu z HMI panelu. Stačí znát jeho typ a IP adresu a následně tyto údaje zadat do nástroje ProSave.
ProSave okamžitě našel vzdálený HMI panel.
A bez potíží za kratší čas provedl zálohu celého HMI panelu do souboru, tak jak jsme požadovali.
Závěr první části recenze:
Původně jsme se ani nechtěli věnovat nastavení tak podrobně, ovšem v množství manuálů a různých popisů jsme se i my občas trochu ztratili, tak proto. Odkazy na dva nejdůležitější pdf soubory pro práci s eWON Flexy najdete níže. V druhé části recenze si ukážeme rozšíření sestavy eWON Flexy o modul digitálních/analogových signálů. Pokud pochopíte, jak funguje základní spojení s eWON Flexy, pak můžete do sestavy přidávat co je libo a věnovat se jen detailnímu nastavení funkce každého modulu.
Druhou a třetí část recenze najdete na webu foxon.cz.