Do Projektu iAutomatyka dołączyli:

https://iautomatyka.pl/wp-content/uploads/2019/04/TITLE-TV.jpg

Wykorzystanie VPN aplikacji TeamViewer do połączenie ze zdalnym PLC

autor: Jacek_Z.

Praca Automatyka bardzo często wymaga wpierania wielu obiektów które często są mocno rozproszone – w mieście, w kraju i na świecie. W celu minimalizowania kosztów serwisu bardzo często wprowadzana jest usługa zdalnego wsparcia – odpadają koszty delegowania i podróży pracownika. Wykorzystując ogólnoświatową sieć, jaką stał się Internet, z dowolnego punktu na ziemi można połączyć się z dowolnym urządzeniem w innej części świata, dosłownie w kilka minut od zaistniałego problemu. Każda minuta postoju maszyny to straty, więc bardzo korzystne jest posiadanie zdalnego wsparcia. Inną kwestią jest ograniczanie kosztów przez firmy produkcyjne. Pracownicy pełnią wiele funkcji, w trakcie produkcji są operatorami, w czasie postojów pełnią funkcję służb utrzymania ruchu. Wielozadaniowość pracowników doprowadza do tego, że znają się na wszystkim ale nie są ekspertami w konkretnej dziedzinie. Dlatego przy bardziej skomplikowanych awariach, w szczególności gdy problem dotyczy zagadnień automatyki i sterowania, niezbędny staje się posilanie zewnętrznym wsparciem.

Kilka słów o aplikacji TeamViewer

Istnieje wiele rozwiązań które umożliwiają zdalny dostęp do systemów automatyki. Dedykowany hardware, który tworzy zdalny dostęp, połączenie z PLC, lub rozwiązania IT – przekierowywanie portów w celu zestawienia połączenia z zewnętrznego IP na sterownik lub inny element układu automatyki. Są to jednak rozwiązania stosunkowe drogie, wymagają zaangażowania działu IT. W sytuacji awaryjnej, gdy potrzebujemy szybkiego dostępu do PLC, przychodzi z pomocą aplikacja TeamViewer.


Najczęściej wykorzystywaną opcją aplikacji jest REMOTE CONTROL – po zestawieniu połączenie między dwoma komputerami HOST  (gospodarz) i GHOST  (połączenie jest inicjowane przez ghosta), ghost przejmuje zdalną kontrolę nad komputerem i wykonuje na nim operacje lub tylko jest widzem, który przekazuje operatorowi host’a co zrobić na zdalnym komputerze. Ta opcja bardzo często jest wykorzystywana do wsparcia operatorów aplikacji HMI/SCADA.

Drugą opcją jest FILE TRANSFER, głównie wykorzystywana do zdalnego przesyłania kopii aplikacji lub plików pomiędzy komputerem hosta i ghosta.

Najrzadziej wykorzystywaną funkcją jest VPN – Virtual Private Network. O ile cały TeamViewer jest intuicyjny i nie wymaga większego wprowadzenia, o tyle aby zainstalować VPN trzeba wykonać parę kliknięć.

Gdy VPN nie jest zainstalowany, do wyboru jest opcja – Zainstaluj VPN. VPN musi być zainstalowany na komputerze hosta i ghosta.

Ta opcja umożliwia zestawienie połączenie i przekierowanie adresu IP, tak aby zdalny komputer znalazł się w sieci lokalnej. Najprościej to ujmując – siedząc w biurze uruchamiam aplikację aby połączyć się on-line z PLC znajdującym się w innym mieście. Wszystkie ustawienia komunikacyjne driverów pozostają takie jakbym siedział podpięty bezpośrednio do sterownika PLC lub linii produkcyjnej.

TV ma 2 rodzaje licencji – o sposób licencjonowania jesteśmy pytani przy instalacji:

  • do użytku domowego (niekomercyjne),
  • do użytku komercyjnego, dostajemy program na 30 dni do testowania, po tym okresie program jest wyłączany, należy zakupić licencję,
  • opcja mieszana, do użytku komercyjnego i prywatnego, również po okresie próbnym wymagana jest licencja.

Niezależnie od wybranej opcji dostajemy pełną funkcjonalność. Po każdym zakończeniu połączenia wyświetlane jest podziękowanie za przestrzeganie zasad Fair Play. Jeśli zadeklarujemy przy instalacji wykorzystanie komercyjne, a potem się rozmyślimy, rodzi to pewien problem ponieważ numer ID jest przypisywany do naszej karty sieciowej na podstawie adresu MAC. Zmiana opcji przy dobrym uzasadnieniu jest możliwa tylko po przez kontakt z BOK TeamViewer.

Inną funkcjonalnością, o której nie wspomniałem, jest możliwość uruchamiania aplikacji z klucza USB bez instalacji. Przy instalacji oprócz pytań o sposób użytkowania ma też do wyboru opcje – uruchom bez instalacji lub zainstaluj.

Wykorzystanie VPN do połączenia ze zdalnym PLC

Od połączenia przez VPN ze zdalnym PLC dzieli nas kilka kroków, które musimy wykonać:

  • na obu komputerach musi być zainstalowany TeamViewer z VPN – najlepiej w tej samej wersji, host nie może mieć nowszej wersji w stosunku do ghosta,
  • musimy w rejestrach obu komputerów uaktywnić IP ROUTING,
  • musimy znać IP karty Ethernet PLC, karta w opcja musi mieć ustawiony IP komputera host jako Gateway.

Opis rozwiązania będę robił bazując na zestawieniu połączenia ze sterownikiem SLC500 produkcji Allen-Bradley, ale dla sterowników innych producentów droga do zestawienia połączenia będzie taka sama, z wyjątkiem szczegółów konfiguracji driverów komunikacyjnych.

Ustawienie karty Ethernet PLC

Niestety ustawienie Gateway Adress w większości przypadków PLC wymaga restartu sterownika lub przejścia w tryb PROG, dlatego warto wcześniej mieć przygotowaną taką konfigurację.

Zmiana w rejestrach komputerów Host i Ghost

Z linii poleceń PC uruchamiamy edycję pliku rejestru Windows [regedit] – HKEY_LOCAL_MACHINE/ SYSTEM/ CurrentControlSet/services/ Tcpip/ Parameters – będziemy modyfikować parametr IPEnableRouter.


Aby IP routing działał IPEnableRouter musi mieć wartość 1.

Zmiany muszą być wprowadzone na obu komputerach. Aby wprowadzona zmiana zadziała, należy zrestartować komputery.

Uruchomienie połączenia VPN

Aby dokonać połączenia ze zdalnym komputerem, który ma dostęp do PLC, musimy znać jego ID oraz hasło.

W pole Partner ID wpisujemy numer ID zdalnego komputera, zaznaczamy opcję VPN i klikamy przycisk Connect to partner (w wersji polskiej Połącz). Zostaniemy poproszeni o podanie hasła – może to być hasło przedefiniowane dla zdalnego nadzoru (menu Opcje) lub hasło jednorazowe definiowane dla każdej sesji (restart programu).

Jeśli podaliśmy właściwe hasło, mamy połączenie VPN. Klikając na pop-up TeamViewer możemy się odczytać istotne informacje o adresach IP, które będą wykorzystane przy konfiguracji przekierowywania IP do/z PLC.

Uruchomienie routingu IP

Uruchamiamy konsolę linii poleceń Windows: cmd. Wpisujemy polecenie „route” zgodnie ze składnią:

  • route add xxx.xxx.xxx.xxx mask 255.255.255.255 yyy.yyy.yyy.yyy metric 1,
  • xxx.xxx.xxx.xxx – adres IP zdalnego PLC,
  • yyy.yyy.yyy.yyy – adres IP VPN zdalnego komputera, odczytany z pop-up TeamViewera.

Po wpisanym poleceniu całość zatwierdzamy wciśnięciem Enter – jeśli wszystko zadziałało, otrzymamy potwierdzenie z systemu w następnej linijce: OK!

Możemy dokonać teraz dodatkowego sprawdzenia łączności z PLC lub innym komponentem automatyki wykonując PING z linii poleceń. Jeśli sterownik odpowiedział możemy przejść do ustawienia komunikacji.

Konfiguracja drivera komunikacyjnego

W przypadku sterowników Allen-Bradley możemy użyć jednego z dwóch driverów komunikacyjnych – Ethernet lub Ethernet/IP.

Konfiguracja drivera Ethernet w program RSLinx ogranicza się do wejścia do Communication w głównym menu i wybrania Configure Drivers… i  wyboru z listy dostępnych driverów: Ethernet Devices. W pojawiającym się oknie wpisujemy adres IP sterownika PLC. Zatwierdzamy OK.

Tą samą drogą dodajemy driver dla Ethernet/IP.

Po wybraniu drivera Ethernet/IP, w pojawiającym się oknie wybieramy – Browse Remote Subnet, wpisujemy IP sterownika oraz maskę, zgodnie z tym co wpisywaliśmy przy zestawienie routingu.

Mission complete. Może połączyć się on-line ze sterownikiem.

Może to być każde inne urządzenie, bądź aparat automatyki wyposażony w interfejs Ethernet – metodologia pozostaje ta sama.

Cyber bezpieczeństwo

Aplikacja TeamViewer w wielu firmach jest zakazana ponieważ w prosty sposób daje dostęp z zewnątrz do wewnętrznych struktur sieci z pominięciem systemowych i administracyjnych zabezpieczeń. Dodatkowo możliwość uruchomienia z klucza USB, zwiększa niebezpieczeństwo niedozorowanego dostępu do sieci wewnętrznej z zewnątrz. Jeśli jednak zdecydujemy się na zastosowanie tego rozwiązania powinniśmy wziąć kilka opcji zwiększających bezpieczeństwo pod uwagę – nie stosować opcji Uruchamiaj z Windows, program uruchamiamy tylko wtedy gdy naprawdę jest potrzebne połączenie. Zdalne połączenie powinno być pod ścisłym nadzorem pracownika firmy która daje dostęp – należy zawsze patrzeć na wirtualne ręce serwisanta wykonującego pracę. Jeśli jednak zdecydujemy się na to by aplikacja była aktywna non-stop, ważnym elementem aplikacji jest uaktywnienie listy ID, które mogą się łączyć z udostępnionym komputerem przez TeamViewer. Zablokuje to wszystkie próby nieautoryzowanego dostępu.

Artykuł został nagrodzony w Konkursie iAutomatyka –  edycja Kwiecień 2019

Nagrodę Zasilacz EPSITRON + głośnik + zestaw gadżetów dostarcza ambasador konkursu, firma WAGO.



Utworzono: / Kategoria: , , ,

Reklama

Newsletter

Zapisz się i jako pierwszy otrzymuj nowości!



PRZECZYTAJ RÓWNIEŻ



NAJNOWSZE PUBLIKACJE OD UŻYTKOWNIKÓW I FIRM

Reklama



POLECANE FIRMY I PRODUKTY