ПЛК210 Межсетевой экран

[ezone]

Добрый день.
Помогите разобраться пожалуйста.
Есть ПЛК210-02, сетевые интерфейсы сконфигурированы по схеме2: Eth1+Eth2 - мостовой WAN, Eth3 и Eth4 - LAN (более подробно в приложенной схеме топологии сети).
Из схемы интересует щит N7, Задача: из АРМ, на котором крутится Masterscada 4D достучаться по OPC UA до остальных ПЛК (N1-N6).
Что сделал:
1) В общих настройках межсетевого экрана выставил "принимать перенаправление трафика" и "принимать входящий трафик и перенаправление в зоне wan"
2) Во вкладке "перенаправление портов" создал правило TCP/UDP "от 192.168.1.100 (адрес АРМ) в lan порт 2015 через любой порт и адрес маршрутизатора в wan 192.168.0.5 (адрес wan одного из ПЛК) порт 4840".
3) Игрался с правилами для трафика - пробросы портов 4840 с адресов ПЛК wan на 2015 адрес АРМ - без толку

В какой-то момент (по-моему, правила для трафика были в данный момент отключены, а только перенаправление портов было активно) получилось MS считать список переменных, которыми светит ПЛК, но обмена с переменными не шло. Дальнейшие попытки настройки межсетевого экрана и возврат к тем же настройкам результата не дали - больше увидеть ПЛК через OPC UA не получилось

топология сети-Модель.png

[Евгений Кислов]

Добрый день.
Я предлагаю решать задачу постепенно.
Давайте вы мосты настроите как LAN и в такой конфигурации для начала добьетесь наличия связи по OPC UA?

[ezone]

Если использовать мастер настройки, то мне подходит схема под номером 2. Как настроить 3 отдельных подсети LAN (2 порта - мост, другие 2 порта - 2 подсети) без мастера настройки мне знаний не хватает.
Да и другая Masterscada 4D, которая находится в подсети WAN (по схеме N6) прекрасно работает со всеми ПЛК через OPC UA

[Евгений Кислов]

Если использовать мастер настройки, то мне подходит схема под номером 2. Как настроить 3 отдельных подсети LAN (2 порта - мост, другие 2 порта - 2 подсети) без мастера настройки мне знаний не хватает.
Да и другая Masterscada 4D, которая находится в подсети WAN (по схеме N6) прекрасно работает со всеми ПЛК через OPC UA

Хорошо.
Тогда что будет, если в N7 временно отключить панель и коммутатор, повторить схему из N6 (с мостом на трех интерфейсах) и подключить АРМ напрямую к мосту?

[ezone]

В подсети, где коммутатор стоит будет висеть еще куча устройств, которые необходимо диспетчеризировать, и я бы не хотел пускать их в сеть контроллеров, Но и АРМ должен иметь доступ к этим устройствам. Если собрать схему 3: Eth1 и Eth2 в мост, на Eth3 посадить АРМ, а модуль расширения, панельку и оставшиеся устройства через коммутатор посадить на Eth4, не возникнет ли тогда проблем с опросом по Modbus TCP и прямому доступу по web с АРМа на эту "кучу устройств"?

[Евгений Кислов]

В подсети, где коммутатор стоит будет висеть еще куча устройств, которые необходимо диспетчеризировать, и я бы не хотел пускать их в сеть контроллеров, Но и АРМ должен иметь доступ к этим устройствам. Если собрать схему 3: Eth1 и Eth2 в мост, на Eth3 посадить АРМ, а модуль расширения, панельку и оставшиеся устройства через коммутатор посадить на Eth4, не возникнет ли тогда проблем с опросом по Modbus TCP и прямому доступу по web с АРМа на эту "кучу устройств"?

Чтобы не возникло проблем - нужно будет в ПЛК настроить маршрутизацию между интерфейсами.
Я для начала предлагаю разобраться с проблемой, которая есть в данный момент (с OPC UA).
То, что я описал выше - я предлагаю сделать не навсегда, а только чтобы провести тест и локализовать проблему.

[ezone]

Через мастер настройки сконфигурировал на ПЛК N7 схему 3. Eth1 и Eth2 - в общую сеть ПЛК, на Eth3 посадил АРМ. Всё работает, все ПЛК видятся и обмениваются через OPC UA

[Евгений Кислов]

Т.е. со схемой 3 нет проблем, а со схемой 2 - есть.
В схеме 2 АРМ и ПЛК находятся в разных подсетях, поэтому требуется настроить перенаправление трафика.
Посмотрите пример:
https://ftp.owen.ru/CoDeSys3/99_Foru...Forwarding.pdf

Если информации в нем окажется недостаточно - то в сети много манулов на тему настройки маршрутизации для OpenWRT.