Связь PLC со SCADA через GPRS

[Oldman]

гворил с сисадмином нашим - говорит что связь быть должна, просто пинги отключены провайдером в виду исключения DDoS-атак (в этом ваша засада.комп не виден из сети)

[DonArchibaldos]

в этом ваша засада.комп не виден из сети

Oldman, не путайте человека. Могут быть просто отключены ICMP-запросы.

[DonArchibaldos]

при настройке портов есть особенность-скорость обмена на модеме и на виртуальном порту должна быть одинаковой

Не обязательно - если в модеме стоит галочка Allow driver control, драйвер сам выставит в модеме нужную скорость.

[Oldman]

путайте не путайте... попросите админа на час разрешить пингование и за это время попытайтесь соединится с модемом.на крайний случай сделайте это вечером када народ уйдёт.всё просто с этим модемом.

[samrg]

путайте не путайте... попросите админа на час разрешить пингование и за это время попытайтесь соединится с модемом.на крайний случай сделайте это вечером када народ уйдёт.всё просто с этим модемом.

было такое подозрение!
но отключить вряд ли получится - как я понял со слов сисадмина это на уровне провайдера всё. или ошибаюсь?

завтра еще попробуем на другом компе с белым IP, но динамическим сделать то же самое. просто попробовать

[Oldman]

на крайний случай подключите на свой моб. номер услугу статический IP или купите симку и вставьте в модем.денег это стоит не больших.

[samrg]

на крайний случай подключите на свой моб. номер услугу статический IP или купите симку и вставьте в модем.денег это стоит не больших.

вся проблема в том, что услуга статический IP нашими оператооами предоставляется только как серый статический IP...думаю это особо ничего не поменяет.

[Jackson]

как я понял со слов сисадмина это на уровне провайдера всё. или ошибаюсь?

Ошибаетесь. Могут меняться ИП, порты, но пинги должны ходить. Админ и зарезал все.

[samrg]

Собираюсь сейчас подключить услугу телематика от МТС.
Вопрос к san - при подключении M340 И vijeo citect напрямую по Ethernet - сервером является VC а клиентом M340. так? понимаю, что вопрос глупый

[san]

Собираюсь сейчас подключить услугу телематика от МТС.
Вопрос к san - при подключении M340 И vijeo citect напрямую по Ethernet - сервером является VC а клиентом M340. так? понимаю, что вопрос глупый

Нет, Сервером является M340 а Citect является клиентом. Чтоб поменять это, Вам нужен ОРС-Сервер, поддержующий Modbus/TCP Server, потому что, на сколько я знаю, Citect не поддерживает Modbus/TCP Server. Тогда, в этом случае, белый статический IP нужен только со стороны Citect и не надо особо заморачиваться, кроме как сделать все разрешения админу, возможно пробросить портфорвардинг по 502-му TCP-порту.
Драйвер MBSLAVE у Citect есть, но вот дляданного случая не думаю, что это пригодится.

[samrg]

Собираюсь сейчас подключить услугу телематика от МТС.
Вопрос к san - при подключении M340 И vijeo citect напрямую по Ethernet - сервером является VC а клиентом M340. так? понимаю, что вопрос глупый

Нет, Сервером является M340 а Citect является клиентом. Чтоб поменять это, Вам нужен ОРС-Сервер, поддержующий Modbus/TCP Server, потому что, на сколько я знаю, Citect не поддерживает Modbus/TCP Server. Тогда, в этом случае, белый статический IP нужен только со стороны Citect и не надо особо заморачиваться, кроме как сделать все разрешения админу, возможно пробросить портфорвардинг по 502-му TCP-порту.
Драйвер MBSLAVE у Citect есть, но вот дляданного случая не думаю, что это пригодится.

1. с помощью OFS можно реализовать это?
2. по поводу VPN-туннеля. Если я подключу эту услугу - получится ли связь напрямую? или надо будет всё-равно через OPC? и тот же вопрос по поводу OFS.

[samrg]

1) Я бы на Вашем месте смотрел в сторону VPN. Поговорите с представителями МОХА и провайдером по поводу VPN тунелирования. Если удастся пробросить тунель, тогда будет соединение через Modbus/TCP абсолютно прозрачно как для клиента так и для сервера.
Подобную задачу скоро планирую решать с использованием OpenVPN.
2) Можно поменять местами Клиента (на ПЛК) и Сервера(на VijeoCitect) и реализовать опять же таки по Modbus/TCP. Но связь будет прозрачной, что не очень хорошо. В этом случае наверняка надо будет заняться какими-то порт-форвардами на маршрутизаторе по месту белого IP.
3) Использование Modbus/RTU в этом случае мне вобще не нравится.

вот это и планирую сделать.
если будет VPN-Туннель - нужен будет OPC Сервер?

[san]

1) OFS к сожалению также не поддерживает Modbus/TCP Server. Нужно искать другой. Их много, по моему есть даже бесплатные, но лучше брать брендовые плантые.
2) Если будет VPN-тунель, то связь должна быть прозрачной. Как там через IPsec - я не знаю, туда не копал. Но если будет OpenVPN, то идея такая:
- тунель открывается VPN Client со стороны (2g/3G to Ethernet TCP/IP)-роутера ПЛК к роутеру VPN Server (со стороны SCADA) и поддерживается открытым всё время; то есть нужен белый IP только VPN Server-у;
- дальше SCADA соединяется с ПЛК как будто они находятся в разных локальных сетях (в настройках указывается адрес шлюза, тоесть VPN-роутера, подключенного в своей подсети)
Для реализации нужен:
2.1) (2g/3G to Ethernet TCP/IP)-роутер с поддержкой OpenVPN со стороны подсети удаленного ПЛК+Ethernet
2.2) любой роутер с поддержкой OpenVPN со стороны подсети SCADA
По поводу п.2.1 - такой девайс сейчас имеется и у меня, но производитель его снял с производства. Тем не менее есть альтернативные с более мощным потенциалом, например вот такой жирнючий девайс который еще и шлюзит на Modbus RTU.
По п.2.2 можно взять любой девайс на рынке поддерживающий прошивку ww.dd-wrt.com (статьи на эту тему). Да и по п.2.1 можно что-то подобное найти. На этой неделе надеюсь купят вот это приступлю к экспериментам: прошивать, настраивать...
До этого года 3 назад пробовал конфигурацию: GPRS-Ethernet роутер с OpenVPN -> ПК с openVPN. Получилось соедениться с VIPA S7 по TCP/IP. Это было на сделано в попыхах и, учитывая что выхлопа никакого не было, так и заглохло. Мороки очень много, но если до конца расколупать, то думаю, что это стоит того.

[samrg]

1) OFS к сожалению также не поддерживает Modbus/TCP Server. Нужно искать другой. Их много, по моему есть даже бесплатные, но лучше брать брендовые плантые.
2) Если будет VPN-тунель, то связь должна быть прозрачной. Как там через IPsec - я не знаю, туда не копал. Но если будет OpenVPN, то идея такая:
- тунель открывается VPN Client со стороны (2g/3G to Ethernet TCP/IP)-роутера ПЛК к роутеру VPN Server (со стороны SCADA) и поддерживается открытым всё время; то есть нужен белый IP только VPN Server-у;
- дальше SCADA соединяется с ПЛК как будто они находятся в разных локальных сетях (в настройках указывается адрес шлюза, тоесть VPN-роутера, подключенного в своей подсети)
Для реализации нужен:
2.1) (2g/3G to Ethernet TCP/IP)-роутер с поддержкой OpenVPN со стороны подсети удаленного ПЛК+Ethernet
2.2) любой роутер с поддержкой OpenVPN со стороны подсети SCADA
По поводу п.2.1 - такой девайс сейчас имеется и у меня, но производитель его снял с производства. Тем не менее есть альтернативные с более мощным потенциалом, например вот такой жирнючий девайс который еще и шлюзит на Modbus RTU.
По п.2.2 можно взять любой девайс на рынке поддерживающий прошивку ww.dd-wrt.com (статьи на эту тему). Да и по п.2.1 можно что-то подобное найти. На этой неделе надеюсь купят вот это приступлю к экспериментам: прошивать, настраивать...
До этого года 3 назад пробовал конфигурацию: GPRS-Ethernet роутер с OpenVPN -> ПК с openVPN. Получилось соедениться с VIPA S7 по TCP/IP. Это было на сделано в попыхах и, учитывая что выхлопа никакого не было, так и заглохло. Мороки очень много, но если до конца расколупать, то думаю, что это стоит того.

спасибо большое за развернутый ответ!
немного расстроен - ожидал, что всё будет намного проще.

[san]

спасибо большое за развернутый ответ!
немного расстроен - ожидал, что всё будет намного проще.

Решил внимательно почитать мануалку на ваш OnCell G3100. Похоже OnCell VPN Вам подойдет. Так как задача сродна моей, все таки попробую разобраться.

[samrg]

спасибо большое за развернутый ответ!
немного расстроен - ожидал, что всё будет намного проще.

Решил внимательно почитать мануалку на ваш OnCell G3100. Похоже OnCell VPN Вам подойдет. Так как задача сродна моей, все таки попробую разобраться.

но OPC сервер всё же придется покупать?(

P.S Кто-то может подсказать бесплатный OPC Сервер с поддержкой Modbus TCP Server?

[samrg]

San, по поводу драйвера MBSLAVE - что это?
Если я буду осуществлять связь SCADA с M340 путем создания виртуального COM-порта - смогу ли я с этого виртуального COM-порта напрямую Скадой считывать данные? используя MODBUS RTU. теоретически возможно такое?
ПРосто с покупкой OPC скорее всего не выйдет у нас ничего(

[san]

MBSLAVE - это драйвер Modbus RTU Slave для SCADA Citect.
Я почитаю еще раз мануал, может у меня появятся идеи.

[samrg]

Может кто-то подсказать по поводу OPC Modbus Universal MasterOPC Server ? Поддерживает Mobdus TCP server?

[san]

1) У Вас сисадмин рубит в настройках VPN?
2) Вы со своим сисадмином дружите?
3) Похоже вас спасет VPN на базе IPSec с NAT traversal.
Первые 2 пункта связаны с тем, что с IPSec ваще не работал, так что могу только по теории о чем-то рассуждать. Судя по тому, что нарыл в инете NAT traversal (NAT-t) делает IPSec прозрачным и независимым от доп-услуг провайдеров, сетевых экранов, так как пакует посылки IPSec в UDP/TCP пакеты http://ru.wikipedia.org/wiki/NAT_traversal . Ваш роутер вроде как поодерживает этот функционал http://www.moxa.com/doc/man/OnCell_G310 ... ual_v7.pdf (стр. 11-6).
Но... я могу ошибаться. Если хотите можем попробовать. Очень хорошо бы было, если бы в данное общение залез опытный сетевик, так как это все именно в их компетенции.

[san]

Вот статейка на эту тему. Забыл сказать, что со стороны SCADA тоже нужна поддержка IPsec и NAT traversal. Первое есть встроенное в Видовс, но лучше все-таки купить маршрутизатор с этими функциями.

[san]

Еще один способ, поддерживающий данным девайсом - используя сервис OnCell Central Ethernet Device Connection с ПО OnCell Central Management Software. Пробовали данный функционал?
Повторюсь, в любом из приведенных случаев приедется делать порт-форвардинг на шлюзе/файрволе/... на входе в локальной сети офиса с ПК, как заметили уже высше. Наверняка у вса NAT есть.

[samrg]

Еще один способ, поддерживающий данным девайсом - используя сервис OnCell Central Ethernet Device Connection с ПО OnCell Central Management Software. Пробовали данный функционал?
Повторюсь, в любом из приведенных случаев приедется делать порт-форвардинг на шлюзе/файрволе/... на входе в локальной сети офиса с ПК, как заметили уже высше. Наверняка у вса NAT есть.

этот способ пока не пробовали.
сегодня купим симку со статическим IP и будем пробовать. о результатах тут отпишусь.

представитель техподдержки MOXA ответил мне на письмо:

"Выбирать тип соединения следует в зависимости от сетевых ролей контроллера и SCADA. Если контроллер выступает в роли сервера, то достаточно иметь статический белый IP на модеме с включенной функцией Virtual Server (проброс портов). Если же SCADA выступает в роли сервера, то на мой взгляд больше подойдет частная APN."

то есть теоретически получается, что я смогу организовать связь по ModbusTCP напрямую или через OFS?

[samrg]

всё заработало!

сделали следующим образом - купили симку с белым статическим IP(такое нашли только в билайне) , виртуальный COM-port подняли не родной софтиной,а Nport Windows Driver Manager (по рекомендации одного человека с форума МОХА), ПЛК M340 соединили по RS-485, MOBDUS RTU. скаду настроили также.как если бы плк был подклчеен напрямую к СОМ-порту. режим модема - RealCOM.
чуть позже выложу методичку настройки соединения

[san]

Честно говоря, вроде как Ваш девайс можно было поднять и с использованием и Modbus/TCP и без белого IP. С белым IP Modbus/TCP вобще без проблем бы заработал, но вот тут уже пришлось бы решать вопросы безопасности. Ну да ладно, получилось, и хорошо. С чем и поздравляю!
Кстати, в своих экспериментах через OpenVPN туннель получилось проложить. С одной стороны WiFI Router с прошивкой, поддерживающий OpenVPN (хотя если нужен только один сервер, можно обойтись только компом) а с другой - GPRS router. Последний будет менятся, думаю попробуем обычный маршрутизатор с поддержкой 3G/GPRS и прошивкой с OpenVPN.