Communicatie tussen office en industrieel netwerk - Netwerken

vrijdag 5 april 2013 13:23

Acties:

0 Henk 'm!

Topicstarter

Beste Mensen

Ik heb een probleem waar ik een goede en stabiele oplossing voor zoek.
Ik wil heb 2 seperate netwerken die ik NIET ZONDER apparatuur met elkaar wil verbinden.

Ik heb een PC waar 2 access databases op heb draaien die kan ik via een DNS-less connection wil benanderen vanuit het office netwerk.
Deze PC is nu aangesloten op het industriele netwerk. De PC Heeft 2 interne netwerk kaarten dus als dat alles was, dan kan de PC de scheiding van de 2 netwerken zijn.

Echter ik moet ik nog een service benaderen die op het industriele netwerk zit. Deze zit op het adress "192.168.1.1" en op poort 102.
Mijn vraag is kan ik op op mijn PC met 2 netwerk kaarten een adres met poort forwarden naar het industriele netwerk.

Ofwel ik verbind van --> naar:
Office PC --> PC industrieel netwerk kaar 1 -->forward naar PC industrieel netwerk kaar 2 -->
Service op een andere apparaat met adres "192.168.1.1:102".

Een andere oplossing zou kunnen zijn om een router tussen het office netwerk en het industriele netwerk te zetten.
Dan kan ik de service eenvoudig kunnen forwarden. Ik zit alleen met de deling van de database.
Het is een access database dus ik kan deze alleen benaderen via een folder deling. Volgens mijn is dit niet mogelijk
Ofwel?

Als een van de bovenstaande oplossing mogelijk is zou dat mooi zijn. Alternatieven zijn ook welkom.
Maar ik moet een goede scheiding hebben tussen het industriele netwerk en het office netwerk.
Het netwerk scheiden d.m.v. een andere ip-range/subnet is niet voldoende.

Een VPN kan een oplossing zijn maar dat is een beetje overkill als er oplossing is zoals hierboven omschreven.

vrijdag 5 april 2013 13:57

Acties:

0 Henk 'm!

Paul

Welke netwerkapparatuur (en dan vooral routers en firewalls) heb je nu?

Als beide netwerken één router delen dan is het gewoon een rule in de firewall zetten zodat je in het andere netwerk kunt, aan de andere kant van eht spectrum, als beide netwerken ieder op een eigen SpeedTouch uitkomen moet je veel meer werk verzetten.

De mooiste oplossing is altijd een router / firewall. Nu kun je daar met wat kunst en vliegwerk mogelijk (!) die industriële PC wel voor misbruiken maar de vraag is of je dat wilt en moet willen; die PC heeft andere, belangrijker taken te doen.

Om een gedegen advies te geven hebben we dus meer info nodig over je netwerk

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 5 april 2013 14:25

Acties:

0 Henk 'm!

eatualive

Topicstarter

Sorry misschien een beetje onduidelijk. Zie hieronder een toevoeging.

De industriele PC is van onszelf en het enigste wat het doet is data vergaderen van industriele PLC's.
Deze stoppen we in de database om vervolgens te en weer te geven aan de gebruiker.
Dit zijn 2 databases.

Daarnaast wordt er ook realtime data opgehaald die ik niet uit de database kan of wil halen maar direct van de PLC;s(PLC stuurt industrial machines aan). De Main PLC is dus de 192.168.1.1 met poort 102.

Het doel is, dat de klant dezelfde data op meerdere PC's kan uitlezen vanuit hun Office network.
Dus ik moet uit de twee databases kunnen lezen en ik moet direct de Main PLC kunnen benaderen.

Dus op moment hebben we 2 netwerken. 1 network van de klant 'Office' network. En 1 industrieeel network dat door ons is opgezet. Er zit nu nog geen koppeling tussen de twee netwerken maar die moet er dus nog komen. Dus ik heb nog geen router of firewalls omdat ze op moment nog fysiek gescheiden zijn.

Het koppelen van de twee netwerken is niet het problem. Het moet alleen gebeuren met iets van network apparatuur om te zorgen dat er geen enkele gebruiker van het office netwerk problemen kan veroorzaken in de productie lijn.

Het probleem is welke oplossing bied mij de mogelijkheid om zowel de databases te bereiken als de Main PLC.

In Mijn ogen zijn er 2 oplossing tenzij jullie een betere oplossing weten:

Oplossing 1: Ik gebruik een router, en ik forward het externe IP naar de Main PLC en dat gaat zeker werken. Alleen als ik een router gebruik hoe kan ik de databases benaderen. Als ik de database wil uitlezen dan heb ik een pad nodig zoals \\computernaam\share\database.mdb. Kan ik dit voor elkaar krijgen met een router?

Oplossing 2: Ik gebruik 1 netwerk kaart van de industriele PC en stel deze in zodat deze van het Office netwerk benaderd kan worden. Ik share de twee databases en ik ben klaar wat betreft het database gebeuren. Echter nu heb ik weer het probleem dat ik de Main PLC niet kan benaderen om daar de realtime data uit te lezen. Misschien kan het geforward worden intern op de PC. Maar hoe zou ik niet weten als het uberhaubt mogelijk is.

Ik hoop dat mijn probleem zo duidelijk is.

vrijdag 5 april 2013 14:50

Acties:

0 Henk 'm!

Paul

eatualive schreef op vrijdag 05 april 2013 @ 14:25:
Het koppelen van de twee netwerken is niet het probleem.

Jawel, want je bent hier aan het vragen hoe je dat moet doen

Sowieso, als je de juiste poorten open zet in de firewall en de router verkeer van ip (of subnet) A routeert naar ip (of subnet) B routeert dan is er niks dat je in de weg staat SMB / CIFS-shares te benaderen. Ieder groter bedrijf heeft diverse VLANs waardoor je (file)servers in een ander subnet staan dan je clients.

Kort gezegd is het dus geen probleem om \\ip.ad.re.s\sharenaam\map\file.ext te benaderen, \\computernaam\sharenaam\map\file.ext hangt af van je DNS-server, als je client 'computernaam' kan resolven is ook dat geen probleem.

Ik denk echter dat je een paar dingen door elkaar haalt. Hoewel je hier een router nodig hebt gok ik (omdat je het hebt over forwarden en externe IP-adressen) dat je van plan bent daar een huis-tuin-en-keuken router bedoeld voor je internetaansluiting voor te gebruiken? Dit is een router met NAT-functionaliteit, en die NAT wil je nu juist niet (of eigenlijk vooral: die heb je niet nodig).

Welke switches en routers gebruik je nu? Met een L3-switch die ACL's ondersteund ben je er al, maar een Cisco ASA of een PC'tje waarop je pfSense installeert kan ook; alles hangt af van je budget en eisen

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 5 april 2013 15:15

Acties:

0 Henk 'm!

eatualive

Topicstarter

Lol, vooruit dat is het probleem.

Maar ehh, Ik heb geen DNS server voor mijn industriele netwerk. Maar ik gebruik inderdaad als voorbeeld even een huis tuin een keuken router om dat ik hoop/dacht dat zoiets ook mogelijk moet zijn.

Maar ik heb op dit moment geen bijzondere switches routers. Ja er zitten wat industriele switches maar dat is niet managed ofzo. Dit is puur om alles qua Ethernet aan elkaar te verbinden. Er zit dus geen router. Het industrial network is puur met statishe ip-adressen.

Ja ik kan een proffesionele switch/router neerzetten maar mijn eisen zijn alleen dat ik die 2 'services' kan benaderen. Het is een eenvoudig programma wat er op draait dus switches van 500 euro of meer zijn overkill tenzij er echt geen andere oplossing is. Daanaast heb ik wel een IT-achtergrond maar het moet niet een switch zijn waar je via een terminal op moet inloggen om alles te configureren. Dit kan ik wel uitvogelen maar mijn colega;s moeten er ook meer kunnen werken. Dus dan is een webinterface al een must.

Kortom ik zoek een oplossing voor een minimale prijs dat het probleem oplost. Als de data remote niet benaderd kan worden voor een paar dagen door een defect dan is dat geen ramp. Dan kunnen ze naar de industriele PC lopen en daar alles op zien. Een huis, tuin keuken router is voldoende. Echter als dat niet werkt dan zoek ik de eerst volgende oplossing die dit probleem voor mij kan oplossen.

Mijn vraag is wat zijn mij mogelijkheden of waar zou ik eens naar moeten kijken?
Mijn voorkeur gaat uit naar een router/switch t.o.v. een programmatje.

vrijdag 5 april 2013 15:31

Acties:

0 Henk 'm!

Paul

Aangezien je niet wilt dat men vanuit het office-netwerk kan prutsen op je productie-netwerk dien je daar wel iets tussen te zetten dat je voldoende vertrouwen geeft dat men er niet zomaar doorheen breekt. De firewall op een HTK-routertje is meestal dusdanig ondoorzichtig (of zelfs afwezig) dat je daar niet veel aan hebt.

Gezien de lage eisen aan beschikbaarheid en hoge eisen aan gebruiksvriendelijkheid zou pfSense op een afgedankte PC (met 2 of 3 netwerkkaarten) waarschijnlijk de beste keuze zijn.

Welke router heeft het office-netwerk? Kun je daar een static route aanmaken die wijst naar het productie-netwerk? Andere optie is pfSense als hoofd-router instellen in je office-netwerk, derde optie is op iedere werkplek handmatig static routes aanmaken

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 5 april 2013 15:54

Acties:

0 Henk 'm!

eatualive

Topicstarter

Hmm ik heb en zal waarschijnlijk geen toegang krijgen tot de router in het office netwerk.
Is van een groot bedrijf met veel policys etc etc.

Ik zal dan even moeten kijken naar optie 2 en 3.
Ik ga even spelen met de mogelijkheden, bedankt voor de hulp.

vrijdag 5 april 2013 16:49

Acties:

0 Henk 'm!

Paul

...in dat geval wil je waarschijnlijk niet zelf iets in elkaar zetten maar via de geëigende procedures een verzoek indienen voor toegang tot die systemen...

Ik ging er eigenlijk vanuit dat jij de beheerder was over die netwerken... Als je in ons netwerk je eigen routertje in gaat prikken komen wij (systeem- en netwerkbeheer) op gegeven moment ook met je babbelen (en met je leidinggevende, en mogelijk met HR...)

Als je toestemming krijgt om de boel te koppelen is het waarschijnlijk het simpelste om het productienetwerk aan te sluiten op de centrale router. Hoe je netwerkbeheerders dat vervolgens willen beveiligen is uiteraard aan hun. Hoe ze het willen koppelen overigens ook...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zondag 7 april 2013 16:28

Acties:

0 Henk 'm!

AndriesLouw

Je kunt op Windows iets gebruiken als stcppipe (beetje naar onderen scrollen), zo kun je een poort op het IP van het office-netwerk forwarden naar 192.168.1.1:102. Ook kun je hierbij de IP-source adressen opgeven die mogen connecten.

Voorbeeld:

code:

1	stcppipe.exe -a 192.168.2.2, 192.168.2.3 -b 192.168.2.1 -q 192.168.1.1 102 102

Dit zal 192.168.2.1:102 (IP-adres office netwerk) forwarden naar 192.168.1.1:102, waarbij alleen de IP-adressen 192.168.2.2 en 192.168.2.3 toegang hebben. Neem dus aan dat 192.168.2.* je office netwerk is.

Dit is wel hele basale forwarding, en is eigenlijk hetzelfde als een NAT-regel in iptables (unix). Bied dus niet meer veiligheid dan de lijst van IP-adressen die je toestaat.

Specificaties | AndriesLouw.nl

zondag 7 april 2013 19:27

Acties:

0 Henk 'm!

eatualive

Topicstarter

@paul helaas werkt het verzoek in dienen bij dit bedrijf niet. We hebben de laatste keer met een andere toepassing er een half jaar over gedaan. We willen onafhankelijk zijn van het office netwerk. We willen alles aanleveren en configureren tot aan de router die de scheiding maakt tussen de 2 netwerken.

Uiteindelijk zeg ik tegen de klant, geef mij een vrij statish ip adres en dan kunnen jullie via dat adress de gegevens benaderen met ons programma. Op deze manier houden wij ook controle m.b.t. de toegang to het industrieel netwerk.

Ik heb het een en ander doorgenomen en misschien gaan we toch kijken wat er mogelijk is met een proffesionele router.

@andriesLouw, Mmh misschien als dit werk kan dit de eenvoudige oplossing zijn die ik zoek. Ik ga dit testen zodra ik weer in nederland ben. In iedergeval bedankt voor de reacties.

maandag 8 april 2013 08:21

Acties:

0 Henk 'm!

Paul

eatualive schreef op zondag 07 april 2013 @ 19:27:
@paul helaas werkt het verzoek in dienen bij dit bedrijf niet. We hebben de laatste keer met een andere toepassing er een half jaar over gedaan.

Ah, het werkt dus wel alleen doen ze er wat lang over

Al snap ik dat je dat in de categorie 'werkt niet' zou kunnen gooien.

We willen onafhankelijk zijn van het office netwerk. We willen alles aanleveren en configureren tot aan de router die de scheiding maakt tussen de 2 netwerken.

Houd er rekening mee dat 'ze' dan alsnog ofwel een route aan moeten maken po de core router, of dat je met static routes op je werkstation moet gaan werken. En ik weet niet of dat laatste werkt als je geen local admin bent...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 8 april 2013 11:42

Acties:

0 Henk 'm!

Kompaan

Paul schreef op maandag 08 april 2013 @ 08:21:
Houd er rekening mee dat 'ze' dan alsnog ofwel een route aan moeten maken po de core router, of dat je met static routes op je werkstation moet gaan werken. En ik weet niet of dat laatste werkt als je geen local admin bent...

Tenzij je de portforwarding manier doet

zondag 14 april 2013 23:40

Acties:

0 Henk 'm!

serkoon

mekker.

Mag ik opmerken dat het vanuit een beveiligingsoogpunt alsnog erg onverstandig is om TCP/UDP-poort 102 (Siemens S7?) tussen het Office-netwerk en je PLC direct door te lussen?

Hoe je dat ook daadwerkelijk wil gaan oplossen, zij het met een router of op een PC, het gaat er uiteindelijk om dat er directe low-level industriële protocol-communicatie mogelijk gaat zijn vanuit het Office-LAN naar een PLC (op die ene poort). Dat lijkt me nou net niet wat je vanuit beveiligingsoogpunt wil. Veel veiliger zou zijn als er op de database-PC een stuk robuust geschreven en zo simpel mogelijk gehouden stuk software zou draaien die als tussenpersoon kan spelen tussen de Office-applicatie(s) en de PLC, zodat de directe communicatie met de PLC door een vertrouwd stuk software gebeurt.

Geen antwoord op de vraag, maar misschien wel goed om over na te denken.

maandag 15 april 2013 22:56

Acties:

0 Henk 'm!

Kompaan

serkoon schreef op zondag 14 april 2013 @ 23:40:
Mag ik opmerken dat het vanuit een beveiligingsoogpunt alsnog erg onverstandig is om TCP/UDP-poort 102 (Siemens S7?) tussen het Office-netwerk en je PLC direct door te lussen?

Hoe je dat ook daadwerkelijk wil gaan oplossen, zij het met een router of op een PC, het gaat er uiteindelijk om dat er directe low-level industriële protocol-communicatie mogelijk gaat zijn vanuit het Office-LAN naar een PLC (op die ene poort). Dat lijkt me nou net niet wat je vanuit beveiligingsoogpunt wil. Veel veiliger zou zijn als er op de database-PC een stuk robuust geschreven en zo simpel mogelijk gehouden stuk software zou draaien die als tussenpersoon kan spelen tussen de Office-applicatie(s) en de PLC, zodat de directe communicatie met de PLC door een vertrouwd stuk software gebeurt.

Geen antwoord op de vraag, maar misschien wel goed om over na te denken.

Dit is dus het goede antwoord, direct PLCs aansturen vanuit Office Netwerk is idd niet wat je wilt.

dinsdag 16 april 2013 22:40

Acties:

0 Henk 'm!

eatualive

Topicstarter

Sorry, ik zit in het buitenland met slecht internet. Ik weet dat he niet helemaal safe is maar je kunt maar toegang krijgen tot 1 plc. Ik zit met het probleem dat het herontwikkelen teveel tijd en geld kost van de applicatie. Zieo omdat de ontwikkelomgeving te gelimiteerd is. En er is/kon geen rekening mee gehouden worden bij deze eerste versie van de applicatie.

Dit is dus de enigste oplossing.

Een Opc server kan het oplosse maar het moet ook via internet werken. En dat gaat niet lukken met het trage internet.

In de toekomst wil ik zoieo naar sql server gaan en realtime dat verwerking via een datbase. Maar in deze situatie ben ik aangeweze op een oplossing zoals ik het om schreven heb.

zaterdag 20 april 2013 21:20

Acties:

0 Henk 'm!

Iooryz

iooryz

Moeten er ook meerdere gebruikers tegelijkertijd bij kunnen en verschillende dingen kunnen doen? Anders zou je nog kunnen denken om de pc in het industriële netwerk met de 2e netwerkkaart in het officenetwerk te hangen en via remote desktop te benaderen.

maandag 22 april 2013 23:19

Acties:

0 Henk 'm!

Ethirty

Who...me?

Heb vorig jaar zoiets iets grootschaliger opgezet. Grote fabriekshal met op strategische punten een patchkastje met een managed switch. Hiertussen een glasring.

Op deze switch zitten vervolgens VOIP telefoons, machines, een gebouw beheer systeem etc, elk type in zijn eigen vlan. Alle verkeer tussen vlan's wordt via een firewall geregeld. Zo kunnen ze vanaf kantoor bepaalde machines uitlezen of aansturen en vanaf een speciaal aangewezen pc verlichting, roldeuren en klimaatsyteem beheren.

De persoon die met zijn laptop alle PLC's programmeert loopt met zijn laptop de hal in en heeft daar ook gewoon kantoor netwerk op een aantal punten. Door deze opzet is het allemaal erg flexibel. Af en toe komt er een machine met netwerkpoort bij en die is in een paar tellen beschikbaar in het hele pand.

Geen idee of je er nu wat aan hebt maar misschien voor later.

#team_UTC+1

An investment in knowledge always pays the best interest - Benjamin Franklin
You can call me McOverloper  Mini '12 i7/16/256  Air '13 i5/8/256  iPad mini 5 64GB  iPhone SE 128GB

vrijdag 26 april 2013 08:43

Acties:

0 Henk 'm!

eatualive

Topicstarter

@ looryz, ja er moeten ook meedere gebruikers op kunnen(Dat is eingelijk het hele problem anders was alles opgelost met een remote desktop verbinding zoals jij beschrijft.).

Ethirty, bedankt voor je reactie, Ben pas weer terug in Nederland en heb dus weer normal internet.
We zijn er nog niet uit maar ik denk dat een managed switch dan toch de oplossing is.

Ik ga kijken wat er mogelijk is.

zaterdag 18 mei 2013 15:49

Acties:

0 Henk 'm!

bigfoot1942

Je wilt 2 netwerken aan elkaar verbinden
-> router
Je wilt beveiliging, dus niet het hele office netwerk wat bij het hele indrustriele netwerk kan
-> router met access- rules
Je wilt e.e.a. grafisch, overzichtelijk en webbased kunnen inzien en configureren
-> firewall

Waarom zou je een switch willen? ik neem aan dat je dan een L3 switch bedoelt (met ingebouwde router functionaliteit)?
Is die switching functionaliteit dan niet overbodig?
Switches kunnen een (goede) GUI hebben, maar als het gaat om access lists en dergelijke kom je niet erg ver geloof ik (ik ken ze i.e.g. niet).

Een FortiGate 20C (heel net dingetje) kost € 330 ex.
Heeft een mooie GUI, juist om toegang tussen netwerken te kunnen finetunen, op een mooie, grafisch inzichtelijke manier. Is dat niet meer wat je zoekt?

zaterdag 18 mei 2013 16:03

Acties:

0 Henk 'm!

Freeaqingme

eatualive schreef op dinsdag 16 april 2013 @ 22:40:
Ik zit met het probleem dat het herontwikkelen teveel tijd en geld kost van de applicatie. Zieo omdat de ontwikkelomgeving te gelimiteerd is. En er is/kon geen rekening mee gehouden worden bij deze eerste versie van de applicatie.

Wat kost het als een virus (lang leve BYOD en mensen die geen virusscanners draaien) op het office netwerk komt welke zoek naar dergelijke PLC's en vervolgens manipuleert? Is de klant zich daar van bewust?

[ Voor 3% gewijzigd door Freeaqingme op 18-05-2013 16:03 ]

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

zaterdag 18 mei 2013 17:07

Acties:

0 Henk 'm!

Ethirty

Who...me?

bigfoot1942 schreef op zaterdag 18 mei 2013 @ 15:49:
Een FortiGate 20C (heel net dingetje) kost € 330 ex.
Heeft een mooie GUI, juist om toegang tussen netwerken te kunnen finetunen, op een mooie, grafisch inzichtelijke manier. Is dat niet meer wat je zoekt?

FortiGate is mooi spul, we doen daar vrij veel mee, maar na een paar keer ons neus flink gestoten te hebben zetten wij de instapmodellen niet meer weg. Liepen zelfs met een simpele config om de haverklap vast (CPU en geheugen issues).

Wij zetten tegenwoordig minstens een 60C in als we met VLAN's moeten werken, die haalt tenminste ook 1Gbps throughput ipv de slechts 20Mbps die een 20C haalt. Plaats dan op zijn minst een 40C, die doet al 200Mbps.

#team_UTC+1

An investment in knowledge always pays the best interest - Benjamin Franklin
You can call me McOverloper  Mini '12 i7/16/256  Air '13 i5/8/256  iPad mini 5 64GB  iPhone SE 128GB

zaterdag 18 mei 2013 18:07

Acties:

0 Henk 'm!

Freeaqingme

Fortigate 60c is wel leuk speelgoed. Ik betwijfel alleen of dat gaat werken in deze situatie. Als je door een NAT-setup heen moet werken, en een gateway welke vrij dicht zit, is de kans ook ruim aanwezig dat onbekende tunnels niet worden doorgelaten. Dan heb je aan weerszijden mooi speelgoed staan, maar dan is het wat jammer dat er geen tunnel doorheen komt.

offtopic:
Overigens kan een 60c ook vastlopen, zeker bij meerdere admin users welke allemaal zware dashboards hebben, maar dat gebeurt - in ieder geval bij ons - zelden

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

zaterdag 18 mei 2013 18:10

Acties:

0 Henk 'm!

AK47

Houdt er wel rekening mee dat firewalls (en dan vooral de kleinere varianten) niet altijd even geschikt zijn om te gebruiken als default gateway van de clients. Dus om een firewall als inter-VLAN router neer te zetten kan een slecht idee zijn.

Dit heeft te maken met de maximale grootte van de ARP-table in firewalls.

Nu werd Fortinet genoemd en hierbij moet je rekening houden met een maximale ARP-table van 2000 entries bij de <= 100 modellen: http://docs.fortinet.com/...rtigate-max-values-50.pdf

Wanneer je kijkt naar de Palo Alto 3000 series: http://media.paloaltonetw...nts/specsheet-pa-3000.pdf zie je dat je "maar" maximaal 1500 ARP entries kan hebben op de 3020 en 2500 op de 3050.

Deze firewalls lijken het qua throughput wel te kunnen trekken, maar qua aantal clients welke je direct kan termineren op deze firewalls zijn ze beperkt.

Bottomline: werk je met veel clients, zorg dan dat deze getermineerd worden op een routing-switch, deze hebben doorgaans grotere ARP-tables. Tussen de firewall en routing switch maak je een point-to-point blok. Eventueel kun je met meerdere VRF's werken wanneer je verkeer tussen de VLAN's wil laten lopen via de firewall.

zondag 19 mei 2013 16:07

Acties:

0 Henk 'm!

bigfoot1942

Mis ik wat, of zitten jullie veel tever door te denken? TS geeft aan dat hij de netwerken wil verbinden - en alleen ip range scheiding is niet voldoende. Qua niveau dus iets boven simpel switches doorkoppelen, of een server / desktop met 2 netwerkkaarten.

Ik mag dan aannemen dat het niet high performance is (dus 1Gb lijkt me nogal overkill) en verder verwacht ik niet dat het office netwerk meer dan 1000 mac adressen) bevat, anders zullen ze toch al wel een firewall hebben waarop je kan aankoppelen (+ beheerder die die even kan inregelen). VPN en Nat traversal lijken me ook absoluut niet relevant?

Ik zou t nog steeds met een 20C doen denk ik, er gaat nog niet eens internet verkeer overheen. Puur enkele users (meer dan 1, maar <10) welke bij de PLC's moeten kunnen...

T stikt zo wel van de aannames, misschien kan de TS iets meer duidelijkheid geven over de omgeving, benodigde bandbreedte en financiële middelen?

zondag 19 mei 2013 18:57

Acties:

0 Henk 'm!

Paul

TS kan of wil die info niet geven, hij is immers niet de netwerkbeheerder.

Hij wil met dit topic juist die netwerkbeheerder (die waarschijnlijk al alle middelen ter beschikking heeft om precies de benodigde beschermde openingen te maken die nodig zijn) omzeilen omdat die er te lang over doet.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 20 mei 2013 13:28

Acties:

0 Henk 'm!

bigfoot1942

tenzij het bedrijf daarvoor te klein is, uiteraard...

maandag 20 mei 2013 16:15

Acties:

0 Henk 'm!

Midas.e

Is handig met dinges

Down and dirty mogelijkheid, geef je pc waar alles op komt met de 2 netwerk kaarten een multihomed setup. 192.168.1.x is je industrieel netwerk, geen gateway instellen, andere interface met hopelijk een andere range zet je static in het netwerk zonder gateway(wel zeker weten dat ie niet in de dhcp scope zit), pc heeft geen gateway dus zou ook weinig rottigheid kunnen uithalen.
Nadeel? hij hangt wel direct in het productie en het kantoor netwerk. iets wat ik niet zou willen maar daar een aparte firewall/router combo neerzetten. ja dat kan met PFsense en dan alleen naar je pc firewall openzetten, rest van het netwerk hoeven ze vanaf het bedrijfsnetwerk niet bij.

Maar nogmaals, dit is echt down and dirty oplossingen, zonder meer informatie kan ik er verder niets van maken.

Hacktheplanet / PVOutput

maandag 20 mei 2013 19:43

Acties:

0 Henk 'm!

Paul

bigfoot1942 schreef op maandag 20 mei 2013 @ 13:28:
tenzij het bedrijf daarvoor te klein is, uiteraard...

Lijkt me niet: eatualive in "Communicatie tussen office en industrieel netwerk"

Hij wil echt de boel omzeilen...

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 23 mei 2013 15:53

Acties:

0 Henk 'm!

bigfoot1942

Als je toestemming hebt om enige hardware in te zetten/aan te schaffen moet je manager ook een ondersteuningsaanvraag richting systeembeheer durven afschieten.
Dit ziet systeembeheer niet als een geintje verwacht ik. Als je t op eigen initiatief zou doen zou ik me goed kunnen voorstellen dat ze een ontslag op staande voet zouden proberen...