Zugriff Wechselrichter auf Siemens Web Monitor

Moderator: Securepoint

Gesperrt
Hose1979
Beiträge: 25
Registriert: Di 10.04.2012, 11:42

Zugriff Wechselrichter auf Siemens Web Monitor

Beitrag von Hose1979 »

Hallo zusammen,

ich habe ein Problem mit dem Zugriff eines Wechselrichters auf die Siemens Automation Plattform.

Der Wechselrichter (internes Netz) sendet turnusmäßig Daten an den Siemens Server im Web. Leider kommt bei diesem nichts an.

Folgende Regel habe ich angelegt:
IP-Wechselrichter > internet > any > allow

Das Live-Log zeigt mir keine gedroppten Pakete an.

tcpdump gibt mir folgende Infos, allerdings werde ich daraus auch nicht wirklich schlau.

999.9.9.999 = IP Wechselrichter

14:46:40.017726 IP 999.9.9.999.3209 > www.automation.siemens.com.80: . ack 970 win 0
14:46:40.424282 IP 999.9.9.999.3209 > www.automation.siemens.com.80: R 2887469499:2887469499(0) win 0
14:46:45.440096 IP 999.9.9.999.3208 > www.automation.siemens.com.80: S 2785042482:2785042482(0) win 0
14:46:45.440299 IP www.automation.siemens.com.80 > 999.9.9.999.3208: S 2836416728:2836416728(0) ack 2785042483 win 14600
14:46:45.443807 IP 999.9.9.999.3208 > www.automation.siemens.com.80: . ack 1 win 4380
14:46:45.450759 IP 999.9.9.999.3208 > www.automation.siemens.com.80: P 1:198(197) ack 1 win 4380
14:46:45.450891 IP www.automation.siemens.com.80 > 999.9.9.999.3208: . ack 198 win 15544
14:46:45.456243 IP 999.9.9.999.3208 > www.automation.siemens.com.80: P 198:337(139) ack 1 win 4380
14:46:45.456344 IP www.automation.siemens.com.80 > 999.9.9.999.3208: . ack 337 win 16616
14:46:45.596890 IP www.automation.siemens.com.80 > 999.9.9.999.3208: P 1:18(17) ack 337 win 16616

Klemme ich testweise einen UMTS-Router an den Wechselrichter, funktioniert die Datenübertragung einwandfrei.

Kann mir jemand einen Tipp geben, wie ich jetzt weiter verfahren könnte, um den Fehler zu finden?

Danke und Gruß
Malte

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ich vermute einfach mal, dass die zwar Port 80 verwenden, aber kein (gültiges) HTTP darüber schicken. Dann verwirft der Proxy die Pakete. Entweder sie deaktivieren den transparenten Proxy-Modus (Anwendungen -> HTTP-Proxy) oder sie tragen an gleicher Stelle eine Proxy-Ausnahme für die interne IP des Gerätes ein.

Hose1979
Beiträge: 25
Registriert: Di 10.04.2012, 11:42

Beitrag von Hose1979 »

Guten Morgen,

ich habe beides durchgetestet. Leider funktioniert es nachwievor nicht.

Haben Sie einen weiteren Ansatz?

Jul 16 09:58:42 196.1.1.1 HTTP Proxy dansguardian[12542]: 2012.7.16 9:58:42 - 999.9.9.999 http://www.automation.siemens.com/sinve ... verterData *EXCEPTION* Exception client IP match. POST 101 0 1 200 - -

Gruß
Malte

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Ja: Richtig machen ;)
Solange Sie diese Zeile im Log sehen, kommuniziert das Gerät über den Proxy.
Sie müssen

a) sicherstellen, dass auf dem Gerät selber kein Proxy eingetragen ist,

b) Unter "Anwendungen" -> "HTTP-Proxy" -> "Transparenter Proxy" -> "Ausnahmen" folgendes hinzufügen:
Quelle: 999.9.9.999/32
Ziel: /32

c) eine Firewall-Regel anlegen, die Port 53/udp und Port 80/tcp ins Internet erlaubt (ist standardmäßig vorhanden)

Hose1979
Beiträge: 25
Registriert: Di 10.04.2012, 11:42

Beitrag von Hose1979 »

Super. "Richtig machen" war ein guter Ansatz! ;)

Es funktioniert nun, wie gewünscht.

Vielen Dank für Ihre Hilfe.

Gruß
Malte

Gesperrt