Af en toe hebben we klanten met IT-afdelingen die alleen VPN-verbindingen toestaan naar een computer die op zijn beurt verbonden is met het rest van het automatiseringsnetwerk waar de PLC’s en HMI’s zich bevinden. Het probleem is natuurlijk dat ze geen Rockwell-licentie op hun computer hebben, dus het maken van bewerkingen aan het PLC-programma of het troubleshooten is moeilijk.
Heeft iemand van jullie hiermee te maken gehad en een goede oplossing gevonden? Ons bedrijf heeft eerder een licentie overgezet naar de externe machine, maar we geven de voorkeur aan een andere aanpak en willen dat niet opnieuw doen. Momenteel overweeg ik om VPN-software op hun machine te installeren (als ze dat toelaten) zodat ze via een remote sessie toegang krijgen tot ons netwerk, zodat ze onze licenties kunnen zien, en vervolgens simpelweg hun verbinding blokkeren zodra we klaar zijn met ons werk.
De algemeen aanbevolen aanpak is om een jump box in de industriële DMZ te hebben met de programmeersoftware, en dat de contractanten VPN naar de jump box verbinden. Dat gezegd hebbende, hebben veel plaatsen geen IDMZ, laat staan jump boxes.
Een ander idee is dat RDP naar een remote PC met RA-software erop soms een dialoogvenster toont dat vraagt om “Inloggen bij Factorytalk”; je moet het PC-naam controleren uitschakelen in het Factorytalk Services Platform om dit te omzeilen.
Vaak heb ik gemerkt dat het krijgen van een licentieserver op hun netwerk of mijn laptop toevoegen aan het netwerk de enige manieren zijn waarop ik er toegang toe krijg. Het werkt allebei goed.
Schande over hun IT voor het zo uit te rollen. (Het is niet eens technisch gezien een VPN, het is een punt-naar-punt tunnel zoals SSH) Behoorlijke netwerkbeheerders zouden L2TP/IPSec op de router zelf implementeren voor het automatiseringsnetwerk.
Bedankt voor je reactie, de huidige klant waar ik me zorgen over maak, heeft wel een jump box met Rockwell-software erop, alleen geen geldige licentie op dit moment.
Ik ben me bewust van het RDP-probleem, al wist ik niet van die oplossing, dus bedankt voor de informatie.