Вопрос к народу с опытом:
Есть плк-ы которые смотрят в интернет. Скада опрашивает их через интервал времени. Вопрос в безопасности.
Кто как предохраняется? Кроме пароля в плк-браузере.
Не разломают ли контроллеры?

Сегодня пропала связь по 502 порту, хотя codesys подключался. После холодного сброса связь по модбасу восстановилась. Вот я и запереживал.
Пока на ум приходит только одна идея - зашить роутеры vpn серверами и с компа поднимать кучу соединений. Но позже буду делать http сервера на плк, так что 80 м портом всё равно светить придётся.

Опрос опять не идёт(
Как нибудь можно посмотреть через кодесис какие нить логи?

Опрос опять не идёт(
Как нибудь можно посмотреть через кодесис какие нить логи?

а что мешает в плк-браузере набрать команду filedir посмотреть названия файлов и потом в режиме онлайн вычитать файл и из плк с логом

Вопрос к народу с опытом:
Есть плк-ы которые смотрят в интернет. Скада опрашивает их через интервал времени. Вопрос в безопасности.
Кто как предохраняется? Кроме пароля в плк-браузере.
Не разломают ли контроллеры?



Опрос опять не идёт(
Поставьте фоирвол. Закройте все порты для всех, оставте только для ip скады.

Поставил роутер. Проблема в том что ip с которых соединяюсь программой опроса и codesys динамические.
Пробросил порты и включил защиты от атак.
Один день нормально. Сегодня работает только опрос по модбасу.
codesys не цепляется и на веб интерфейс роутера зайти тоже не могу.
"Запрос на установление соединения отклонен сервером".

Съездил на объект, перезагрузил роутер. Теперь со внешки могу на роутер зайти.
Там кодесисом соединяется по внешнему адресу.
Удалённо не соединяется ни в какую, причём только кодесисом. Порт проброшен 1200 TCP.
Пробовал внешний порт менять тоже, греша на провайдера, хотя поддержка ихняя клянется, что всё открыто.

ip плк - 192.168.0.2
ip роутера - 192.168.0.1

в codesys соединении tcpip(level 2)
Удалённо телнетом на 1200 цепляется.

Проблема при подключении кодесисом оказалась в блокированном роутером icmp, однако. Только метод проб и ошибок помог. Видимо ни кто здесь не подключал так ПЛК ?

Сыкотно плк мордой в интернет поворачивать. Для своих делал отдельную локалку.

Сыкотно плк мордой в интернет поворачивать. Для своих делал отдельную локалку.

Через впн делал?

Нет :) По удаленке захожу на ПК, на котором уже стоит CodeSys.
Собственно у ПК два интерфейса, один мордой в интернет, второй в локалку ПЛКшек.

Тут на объектах нет ПК, поэтому и необходимость подключения есть. Буду включать проброс 1200 и icmp на время отладки удалённо через веб интерфейс роутера.

Тут на объектах нет ПК, поэтому и необходимость подключения есть. Буду включать проброс 1200 и icmp на время отладки удалённо через веб интерфейс роутера.
icmp вам не нужен однозначно. Если к роутеру есть доступ по веб то к провайдеру нет вопросов. Смотрите настройки как самого роутера так и кодесус как правило больше проблем с кодесусем чем с роутером. А так все работает.

Если icmp не важен, не понятно как этот чек влияет на подключение именно кдс. Проверил не раз.
8724
Настройки подключения и прочее:
8726
8725

Я новичек в кдс. Если есть ещё какие настройки в нём, буду рад помощи.

Я новичек в кдс. Если есть ещё какие настройки в нём, буду рад помощи.
Примерно так 8732

и так пробовал

и так пробовал
Оставьте в списке только одно соединение.

Та же. С отключенными пингами не пашет всё равно. Отписал поизводителям вопрос.

Роутер какой используете.

роутер tpl 3220.

роутер tpl 3220.
Такой не курил я с делинком работаю.

Был дома dir 300. В них тоже есть блок внешнего пинга. По умолчанию отключен. tpl выбирал, потому что резервный инет тянет с переподключением.

Был дома dir 300. В них тоже есть блок внешнего пинга. По умолчанию отключен. tpl выбирал, потому что резервный инет тянет с переподключением.
А связь с ПЛК по каналу 3G

Основной - по выделенке, резервных нет ещё вообще.

Сам плк на чем сидит.

на витой к роутеру.

Ping на плк какой

смотря от куда. С ейчас замерил c роутера 13мс.
С проги читает 21 регистр по 16бит за 110мс по TCP502.

смотря от куда. С ейчас замерил c роутера 13мс.
С проги читает 21 регистр по 16бит за 110мс по TCP502.
Пинг хороший надо смотреть кодесус.

Совершенно верно, с отключенными пингами связи не будет. CODESYS перед установкой связи сначала пингует ПЛК, а после этого уже пытается подключиться по указанному порту (1200 обычно).

В этом можно убедиться, запустив tcpdump (windump).

Так как при удаленном подключении такое поведение приводит к проблемам, то существует недокументированная возможность отключения пинга.

Ссылки:
http://forum-de.codesys.com/viewtopic.php?f=2&t=1964&hilit=ping
http://www.vaeprosys.cz/dokumentace/ac500/English/CHM-Files/CAA-Merger-5/Remote_Programming/RP_Limitations_Access.htm
http://www.vaeprosys.cz/dokumentace/ac500/English/CHM-Files/CAA-Merger-5/Webserver/Examples__Variant_1.htm

К сожалению, указанные там ключи не совсем подходят для ПЛК Овен. Используя ProcessMonitor можно посмотреть, какие ключи открываются CODESYS.exe, Gateway.exe.
ПЛК используют TCP/IP (Level 2) драйвер, поэтому создаем ветку реестра

HKEY_LOCAL_MACHINE\SOFTWARE\3S-Smart Software Solutions GmbH\Gateway Server\Drivers\Standard\Settings\Tcp/Ip (Level 2)

И в ней создаем ключ Ping, типа DWORD, со значением 0. После этого все будет подключаться без пинга и достаточно будет только форвардинга порта 1200.

Пока эксперименты с ПЛК проводил, обучался - выставил его в инет. На роутере (openwrt) прокинул 1200 порт и все почти сразу заработало. "Почти" - это:
изначально не получалось зацепить кодесис. Снифером прослушал трафик и обнаружил запросы icmp. Но позже заметил странное поведение кодесис. Если открыть настройки связи, выбрать нужное соединение (ип) и жмакнуть кнопу update и ok то кодесис сразу же цепляется к ПЛК. В итоге выяснил, что есть ответ на пинг (icmp) или его нет - кодесис работает совершенно одинаково. Не понятно вообще для чего эта проверка.
Да, в качестве адреса на кодесис конечно нужно указать имя роутера в инете которое я привязывал через сервис DDNS. Последний сейчас стал платным и поэтому я перешел на no-ip.ogr