deen
IIoT / Industrie 4.0
Wireless
Industrial Ethernet
Feldbus
Mobilfunk
Fernzugriff
Virtual Private Network (VPN)

Kapitel 2:

Die Welt des Remote Access

Remote‑Access verstehen heißt: Netzwerke, Internet, Cloud und Automatisierung sicher zusammendenken.
In diesem Kapitel bekommst du eine fundierte, praxisnahe Einführung in Netzwerktechnik (LAN/WAN, IP, Subnetze, Gateways, Router) sowie in Internet/Cloud Computing und die Grundlagen rund um SPS, Automatisierung und HMI.

Ziel: Technische Zusammenhänge so erklären, dass Fernzugriff‑Architekturen in industriellen Umgebungen nachvollziehbar und planbar werden.

Alles, was du schon immer über das Arbeiten mit Netzwerken wissen wolltest

Kontext aus Kapitel 1:

In Kapitel 1 wird eine routerbasierte VPN‑Lösung beschrieben, bei der ein Ferntechniker auf Geräte zugreift, die hinter einem Fernzugriffsrouter angeschlossen sind.
Diese Geräte befinden sich typischerweise in einem eigenen lokalen Netzwerk (LAN), das in der Praxis häufig als Maschinen‑LAN bezeichnet wird.

Ein LAN ist ein Netzwerk für einen überschaubaren geografischen Bereich – etwa ein Gebäude, eine Fabrik oder eine industrielle Anlage wie eine Maschine.
Ein WAN verbindet mehrere LANs (und ggf. andere WANs) über größere Entfernungen.
Das Internet ist das bekannteste Beispiel für ein sehr großes WAN.

Wie Automatisierungsgeräte im Maschinen‑LAN typischerweise verbunden sind

Geräte wie SPS, Bedienpulte, HMI, Industrie‑Computer und weitere Automatisierungskomponenten (z. B. I/O‑Peripherie oder Antriebe) werden meist über Hubs oder Switches per Ethernet‑Kabel (drahtgebunden) verbunden.
Zur Kommunikation nutzen die meisten LANs TCP/IP.
Wesentlich dabei: In einem TCP/IP‑Netz braucht jedes Gerät eine eindeutige IP‑Adresse

IP Adresse verstehen:

Warum „32 Bit“ in der Praxis wichtig sind

IPv4 – vier Oktette, ein Prinzip

Die heute weit verbreitete IP‑Version ist IPv4.
Sie verwendet eine numerische 32‑Bit‑Adresse, aufgeteilt in vier Oktette, z. B. 5.39.46.101.
Das Grundprinzip zeigt Abbildung 2‑1.

ABBILDUNG_2-1

Eine IP‑Adresse besteht aus 32 Bit Information, gegliedert in vier 8‑Bit‑Abschnitte („Oktette“).

Bit Logik je Oktett (0–255)

icon Cyber-Securety

Ein Oktett hat 8 Bits. Jedes Bit ist „an“ (1) oder „aus“ (0). Durch Addieren der gesetzten Bit‑Werte entsteht die Dezimalzahl des Oktetts (0–255).

Die Bit‑Gewichtung im Oktett ist (von links nach rechts): 128, 64, 32, 16, 8, 4, 2, 1 (jeweils „an“ oder 0 „aus“). So kann jede Zahl von 0 bis 255 dargestellt werden, indem du die aktiven Bit‑Werte addierst.

Beispiel aus Abbildung 2‑1:
Das erste Oktett ist 5, weil nur 4 und 1 aktiv sind (0+0+0+0+0+4+0+1).
Das zweite Oktett ist 39, weil 32, 4, 2 und 1 aktiv sind (0+0+32+0+0+4+2+1).
Als Übung kannst du prüfen, ob du mit derselben Logik das dritte und vierte Oktett aus Abbildung 2‑1 berechnen kannst.

IP Kommunikation in der Praxis:

Subnetzmaske & Gateway

IP‑Adresse allein reicht nicht

Jedes IP‑fähige Gerät arbeitet neben der IP‑Adresse auch mit einer Subnetzmaske und in den meisten Fällen mit einem Gateway.

Die Subnetzmaske ist ebenfalls 32‑Bit‑basiert und dient dazu, aus der IP‑Adresse die Netzwerkadresse zu berechnen.
Damit „weiß“ ein Computer, ob eine Ziel‑IP im gleichen Netz liegt oder nicht.
Liegt das Ziel im selben Netz, erfolgt die Kommunikation direkt.
Liegt das Ziel in einem anderen Netz, wird über das Gateway kommuniziert.

Was ein Gateway technisch macht

icon Cyber-Securety

Ein Gateway hat zwei oder mehr IP‑Schnittstellen und stellt die Verbindung zwischen zwei oder mehr Netzwerken her.

Ein Ewon Cosy ist ein Beispiel für ein Gateway.
 

Beispiel 1:

Kommunikation im selben Netz

Gerät A soll mit Gerät B kommunizieren.
Obwohl beide Geräte im selben physischen Netzwerk stehen, ergibt sich die Zugehörigkeit zum gleichen Netz erst aus IP‑Adresse + Subnetzmaske.

Gerät A verwendet 10.0.0.67 mit der Subnetzmaske 255.255.255.0.
Durch Maskierung entsteht die Netzwerkadresse 10.0.0.x.
Damit gilt: Jedes Gerät, dessen IP mit 10.0.0 beginnt (z. B. Gerät B), gehört zum selben Netzwerk und kann direkt mit Gerät A kommunizieren.

ABBILDUNG_2-2

Beispiel 2:

Kommunikation über Netzgrenzen hinweg

In Abbildung 2‑3 soll Gerät A mit Gerät E kommunizieren.
Gerät E liegt jedoch nicht im Netz von Gerät A, denn es hat die IP 10.1.0.19.
Folge: Gerät A muss die Nachricht an das Gateway senden, und das Gateway leitet sie an Gerät E weiter.

ABBILDUNG_2-3
Warum Gateways zwei IP Adressen „brauchen"

In beiden Abbildungen besitzt das Gateway zwei Verbindungen.
Jede Verbindung hat eine IP‑Adresse, die zu dem jeweiligen Netzwerk passt, mit dem sie verbunden ist.
Und für den industriellen Alltag gilt: Jedes Automatisierungsgerät im Maschinen‑LAN muss eine eindeutige IP‑Adresse haben.

Fernzugriff in der Architektur:

Maschinen LAN, Werks LAN („WAN“) und Router

Ohne Router keine Verbindung zwischen Netzen

Damit Fernzugriff möglich ist, wird das Maschinen‑LAN mit dem Werks‑LAN verbunden – in der Fernzugriffsterminologie häufig als WAN bezeichnet.
Diese Kopplung erfolgt über einen Router (siehe Abbildung 2‑4).
Ein Router verbindet ein LAN mit einem anderen LAN, das einen anderen Netzwerkadress‑Anteil nutzt.
Da der Fernzugriff über das Internet läuft, muss das WAN das Internet erreichen können – typischerweise über einen Werksrouter oder eine Firewall.

ABBILDUNG_2-4

IPv4 Grenzen und die Rolle von NAT

(Network Address Translation)

Warum private IP Adressen üblich sind

IPv4 ist begrenzt: Es gibt insgesamt nur etwas mehr als vier Milliarden eindeutige IPv4‑Adressen.
Um diese Begrenzung zu überbrücken, nutzt man in LANs häufig private IP‑Adressen.
Private IPs sind jedoch nicht über das Internet routbar.
Deshalb müssen sie für Internet‑Verkehr in öffentliche IP‑Adressen übersetzt werden – über NAT.

icon Cyber-Securety

Was NAT konkret tut

NAT ordnet privaten IP‑Adressen für ausgehenden Internet‑Verkehr öffentliche IP‑Adressen zu. In der Praxis übernimmt das meist der Router.

 

Private IP‑Bereiche im Überblick (für die Praxis) 

  • Bereich 1:10.0.0.0 – 10.255.255.255 → sehr große Netze (über 16 Mio. Hosts möglich).
  • Bereich 2:172.16.0.0 – 172.31.255.255 → mittlere bis große Netze (ca. 1 Mio. Hosts möglich).
  • Bereich 3:192.168.0.0 – 192.168.255.255 → kleine bis mittlere Netze (ca. 65.000 Hosts möglich).

Der weltweite Vorrat an eindeutigen IPv4‑Adressen war 2016 ausgeschöpft.
Viele Unternehmen stellen deshalb zunehmend auf IPv6 um.
IPv6 nutzt eine 128‑Bit‑Hexadezimaladresse und bietet 3,4 × 10^38 eindeutige Adressen – also über 340 Undezillionen.

Das Internet und Cloud Computing

Von ARPANET zu TCP/IP zum Internet

In den 1960er‑Jahren entwickelte die DARPA das ARPANET als erstes paketvermittelndes Netzwerk – den Vorläufer des Internets.
Ende der 1970er‑Jahre entstand TCP, anschließend IP.
Mit TCP/IP konnten sich ARPANET und weitere Netzwerke weltweit miteinander verbinden.
In den späten 1980er‑Jahren wurde dieses Verbundnetz als Internet bekannt.

Heute sind Internet und World Wide Web allgegenwärtig und verknüpfen Geräte und Netzwerke mit großen Mengen an Informationen und Ressourcen weltweit.
Für viele Millennials ist das Internet gefühlt beinahe unverzichtbar.

Cloud‑Meilensteine & große Anbieter

Im Jahr 2006 startete Amazon offiziell Amazon Web Services (AWS) – damit gewann der Begriff Cloud massiv an Bedeutung.
Zu den großen Cloud‑Anbietern zählen außerdem Microsoft Azure, Oracle Cloud, Google und IBM.

icon Cyber-Securety
Was „Cloud“ ursprünglich meinte – und wie NIST sie definiert

Ursprünglich stand „Cloud“ für das Netzwerk‑„Drumherum“, das LAN‑Internet‑Verbindungen ermöglicht (im Diagramm oft als Wolke dargestellt). Nach NIST umfasst Cloud Computing fünf Merkmale: On‑Demand‑Self‑Service, breiter Netzzugang, Ressourcen‑Pooling, schnelle Elastizität und gemessener Service.

Cloud‑Servicemodelle (Web‑kompatibel erklärt)
  • IaaS (Infrastructure as a Service): Bereitstellung von Rechen‑, Speicher‑ und Netzwerkressourcen; Betriebssysteme und Anwendungen werden vom Kunden genutzt, die Cloud‑Infrastruktur selbst bleibt außerhalb seiner Kontrolle (z. B. AWS).
  • PaaS (Platform as a Service): Bereitstellung einer Plattform zur Ausführung/Deployments unterstützter Anwendungen; Infrastrukturverwaltung bleibt beim Anbieter (z. B. IBM Bluemix).
  • SaaS (Software as a Service): Zugriff auf Anwendungen, die in der Cloud laufen; keine Kontrolle über die Infrastruktur (z. B. Gmail).
  • CaaS (Connectivity as a Service): Inter‑Netzwerk‑Konnektivität als Dienst – skalierbar und wirtschaftlich insbesondere für KMU, ohne komplexe Multi‑Vendor‑Beziehungen (z. B. Ewon Talk2M).

Zum Verständnis hilft dieses Bild: Das Internet ist die Route, die Cloud (und das Web) sind die Ziele, die über diese Route erreichbar sind.

Automatisierungsgeräte ohne Ethernet Schnittstelle anbinden

Protokollvielfalt ist Realität – Interoperabilität ist die Aufgabe

In industriellen Umgebungen gibt es viele Protokolle, weil die Anwendungen stark spezialisiert sind.
Viele dieser Protokolle sind jedoch proprietär und nicht standardisiert, was die Interoperabilität in vernetzten Industrieumgebungen erschwert.

Ethernet hilft – und TCP/IP transportiert transparent

Gut für die Praxis: Die meisten Automatisierungsgeräte verfügen inzwischen über Ethernet‑Ports. Dadurch lassen sich SPS‑/Automatisierungsprotokolle (wie in Tabelle 2‑1) dank TCP/IP häufig transparent über Router übertragen.

Wenn Geräte „alt“ sind: Seriell statt Ethernet

Ältere Automatisierungsgeräte ohne Ethernet‑Port besitzen meist serielle Schnittstellen – typischerweise RS232 oder RS485.
Für den Fernzugriff auf solche Geräte sollte der LAN/WAN‑Router idealerweise zusätzlich als Protokoll‑Gateway fungieren und Ethernet‑Protokolle in serielle Pendants übersetzen.
Daraus folgt: Ein Automatisierungsrouter sollte Gateway‑Funktionalität integriert anbieten und die in Tabelle 2‑1 genannten Protokolle unterstützen.

Unterstützte SPS‑Protokolle
  • Allen Bradley – Rockwell Automation: DF1 (seriell) / Ethernet Industrial Protocol, EIP (Ethernet)
  • Siemens, VIPA: MPI/Profibus (seriell) / ISOTCP (Ethernet)
  • Schneider: Modbus/Unitelway (seriell) / Modbus (Ethernet)
  • Omron: Fins Hostlink (seriell) / Fins TCP/UDP (Ethernet)
  • Mitsubishi: Programming‑Protokoll (seriell) / MC‑Protokoll (Ethernet)
  • Hitachi: H‑Protokoll (seriell) / H‑Protokoll (Ethernet)

Die Geschichte der SPS

Warum SPS überhaupt erfunden wurden

SPS sind heute branchenübergreifend etabliert, doch die ersten SPS‑Systeme wurden für US‑Automobilhersteller entwickelt.
Vor der Einführung von SPS wurden Fertigungsprozesse durch viele fest verdrahtete Relais und Zeitschaltuhren gesteuert.
Diese Technik funktionierte, aber bei jeder Prozessänderung mussten oft Tausende Komponenten neu verdrahtet werden – ein kosten- und zeitintensiver Aufwand.

Historischer Auslöser (1968)

1968 suchte die Automatikgetriebe‑Abteilung von General Motors nach einer besseren Möglichkeit, Änderungen in Produktionsprozessen umzusetzen.
Bedford Associates aus Massachusetts erhielt den Auftrag und entwickelte die erste SPS, die als Modular Digital Controller (Modicon) bekannt wurde.
Dick Morley, einer der Entwickler, wird von „Manufacturing Automation“ als „Vater“ der SPS bezeichnet.

Programmierung damals und heute

Merke: Frühe SPS nutzten Kontaktplan‑Logik (Ladder Logic), angelehnt an die Schaltpläne der zuvor verwendeten analogen Steuertechnik. 
Moderne SPS lassen sich auf unterschiedliche Weise programmieren – ihr Zweck bleibt jedoch die zuverlässige, programmierbare Steuerung von Fertigungsprozessen.

Zu Kapitel 3

nach oben
Kontakt
Ansprechpartner
Anfrageformular