Aprovechando que estoy desarrollando el Curso de Industria 4.0, he pensado que esta entrada puede ser interesante.
Porque en algún momento igual alguien ha tenido la necesidad de conectarse remotamente a un PLC con TIA Portal.
Evidentemente, hay que tomar esto que te voy a contar con precaución, y tomarlo solamente como un test para que veas que se puede hacer, y a partir de ahí, dar los pasos adecuados para que todo sea seguro de cara a las comunicaciones.
Contenido
Cómo conectarse remotamente a un PLC con TIA Portal
La primera pregunta que nos asalta es ¿se puede hacer?
La respuesta rapida es sí, y de forma sencilla.
La siguiente pregunta es, contestada la primea… ¿es seguro?
Y la respuesta en este caso es: depende.
Te cuento.
Hace unos días tuve la oportunidad de estar en un workshop ofrecido por Baimen y Siemens sobre variadores y servos, que fue realmente interesante.
Hablando durante la comida, hablamos de cómo la gente para poder acceder de forma remota, deja los PLC de forma expuesta a internet, lo cual es verdaderamente peligroso.
Literalmente puedes acceder con un movil a PLC a lo largo y ancho del mundo que están abiertos de par en par.
Lo cual, como puedes imaginar, no es una práctica muy recomendable.
La cuestión es que seguramente esa gente necesita acceder de forma remota a sus PLC, pero desde luego, ¡¡no así!!
¿Como puedes acceder remotamente de forma segura?
La respuesta es crear una VPN (Virtual Private Network).
Puedes buscar información en Internet sobre como funciona, pero a grandes rasgos se trata de crear un tunel privado entre tu dispositivo (pc, movil, portátil…) a una red que está fuera de tu alcance.
El uso más típico precisamente es el teletrabajo: poder acceder desde tu casa, a la red de la oficina de forma remota y segura.
Bueno, pues si esto es posible ¿es posible realizar una VPN para conectarte a un PLC con TIA Portal?
La respuesta es sí, sin problemas.
Usando OpenVPN puedes crear una VPN en poco tiempo y conectarte de forma sencilla.
El vídeo
En el siguiente video, te voy a enseñar cómo usando la conexión 4G de mi movil, puedo conectarme a un PLC S7-1200 que tengo en la oficina de mi casa.
¿Qué te ha parecido?
Espero que te haya gustado.
Como ves, una vez configurado, es realmente sencillo de trabajar con ello.
Y es infinitamente más seguro.
Ni que decir tiene, que esto para darle mayor seguridad, necesitarías tu firewall, tus dos redes separadas (la de la oficina y la de los PLC), crear reglas para que solo puedas acceder a ciertas IP, etc.
Pero eso ya es cosa más de IT.
Pero al menos, de esta forma, no puede acceder cualquiera sin grandes conocimientos tan solo sabiendo tu IP pública.
En el Curso de Industria 4.0 veremos como realizar lo visto en el video, así que si eres alumno ¡¡tranquilo que en unos días tienes cómo montarlo!!
Enseño a programar PLC de Siemens a través de mis cursos.
Más información sobre mi aquí
Puedes seguirme en cualquiera de las siguientes redes sociales.
53 Comentarios
Hola Iñigo, excelente, estoy en el curso de industria 4.0 y estoy bastante emocionado y contento con lo que he aprendido hasta el momento.
Para soporte técnico remoto de maquinaria que exportamos en mi trabajo he utilizado por varios años una pasarela de HMS la cual es compatible con una gran cantidad de dispositivos, desde HMIs, PLCs, VFD, etc. El modelo específico es el netbiter EC310 o el EC350, el primero se conecta a la red local de la planta y el segundo puede ser con red local o con una SIM con antena. De hecho hace no mucho hms adquirió a Ewon y ahora a los EC310 y EC350 recientes tienen impresas las letras Ewon.
Saludos
Muchas gracias Juan.
Sí, lo que vamos a realizar con la raspi, es muy casero, pero lo que se trata es de aprender un poco, qué es una VPN y ver que funciona.
Y a partir de ahí, buscar soluciones más industriales como las que comentas de Ewon.
Estimado Iñigo, la conexión a PLC vía VPN la hago a menudo, con lo que no he podido es con la conexión a Panel de Operador. Hasta en momento no he podido Editar con el TIA portal WinnCC en forma remota.
Si es WinCC entiendo que te refieres al ordenador. Para eso, tendrás que realizar una conexión remota al PC, y por tanto, tienes que dar los permisos adecuados para ello en el PC donde vaya montado el WinCC.
saludos
Iñigo.
Ante todo decirte que me encantan tus blogs, y solo comentar que siempre es mas seguro utilizar algun router industrial como mbNET y conectar con MBConnect24.
SALUDOS.
Sí sí, evidentamente que a nivel profesional lo suyo es instalar un equipo industrial, probado, testado y con garantías.
La idea del post, y de la práctica que haremos en el curso, es a modo de entender qué es una VPN, para qué sirve, y para ver la importancia de no dejar el PLC abierto a Internet.
Saludos
Hola Iñigo.
Buenas tardes, es necesario programar el Rasberry para que identifique al PLC.
No. Sobre la raspberry solo hay que instalar openvpn, de tal forma que hace de intermediario entre tu PLC y tu PC que está fuera de la red.
¿Es decir que el PLC esta conectado directamente a la raspberry? ¿Y es la raspberry quien proporcional la salida del PLC a internet?
Es la que hace de intermediaria entre el plc y el equipo remoto.
Gracias, Saludos.
Muy práctico y seguro.SALUDOS
Sí, y aunque como hemos comentado, no es industrial, si sirve para aprender un poco sobre ello.
Hola Iñigo, ¿Existe alguna opción gratuita para conexiones VPN?.
Ya probe con Teamviewer pero no he podido establecer conexión, ¿podrías dar un tutorial de como usar Teamviewer VPN con Tia Portal para acceder a través de internet a un PLC?
Saludos desde Argentina.
OpenVPN es gratuito. Puedes usar ese. Teamviewer es para compartir el escritorio de forma remota, es diferente (al menos las versiones que yo he usado).
Hola buenas tardes. Tengo una duda que no tiene que ver mucho con este vídeo, pero como tengo el curso de comunicaciones y nose muy bien en qué parte entra mi duda. Nose bien como se llama cuando accedes al PLC desde el explorador metiendo la dirección IP, accedes a una pantalla d Siemens y del PLC. Desde esa pantalla se puede hacer algo remotamente o solo es para visualizar estando conectado con cable? De esto as hablado en algún apartado de tus cursos? Gracias.
Hablas de la web del plc. Se puede hacer de forma remota pero no es aconsejable exponer el plc a Internet. Para eso, lo mejor es una vpn y luego, acceder a la página web del plc.
Hola Iñigo, creo k no tiene mucho que ver con esta entrada en el blog, pero me gustaría saber las funciones y si también puede valer para manipular el PLC a distancia, la página que aparece cuando ponerlos en el explorador la IP del PLC (nose como se llama esta página). Gracias por las molestias
Eso es. Una vez que a través de la vpn estas dentro de la misma Red que el autómata, puedes acceder a la web del plc o directamente al plc.
Buen dia Iñigo,
gracias por compartir la informacion, me gustaria saber si el programa UltraVNC tambien me permite la conexion con el PLC o solo es para ver una pantalla remota, espero tus comentarios.
No, con ultravnc logicamente no puedes conectarte con el PLC. Puedes conectarte con las pantallas de Siemens si tienes smartserver en la pantalla de Siemens (que no todas tienen, dependiendo de la antigüedad y tipo de esta).
Hola,
tras mil vueltas o más…hemos comprado unos routers 4G Vitriko, industriales y robustos, ya llevan semanas y perfectos. PERO importante es pedirles la VPN de vitriko que simplifica infinitamente todo. Hemps probado tabien ewon, pero muy complicado y dos delos routers nos fallaron nada mas arrancar.
otra marca llamada teltonica hemos probado pero no va bien con la vpn.
la cosa que por fin tenemos instalado todo unos 15 plcs schneider y 3 siemens s70000 y todo perfecto, el scada tiene el cliente vpn y va perfecto, y nosotros con los portatiles vemos todo en todo momento….genial.
lastima que no nos hagan mas formacion en tema comunicaciones en el FP…..pues es basico.
Madre mia, ya no se ni escribir 🙂
por si interesa: https://vitriko.eu/productos/routers-3g-4g/routers-industriales/router-industrial-4g-libratum-set/
y la VPN importantisima por el tema seguridad, no hay que abrir puertos. muy facil.
Iñigo……estoy viendo toda la informacion que tienes online, vides etc….
eres un crack mas que nada, por compartir todo esto con los que no somos tan agiles.
GRACIAS y ….sigo engancahdo 😉
el plc que esta en la oficina esta conectado a una red local, o a un router directamente?
En mi caso, sí.
Hola Iñigo, en que módulo y unidad del curso industria 4.0 se encuentra el ejemplo de la conexión con la rasberry?
Saludos
Si está bueno el.video gracias, para poder al crear el certificado, hay que habilitar algún puerto específico para la comunicación con PLC Siemens? Podrías facilitarme la información de ser así, gracias.
Tienes que abrir el puerto de la VPN, luego ya debería comunicar sin problemas.
Muchas gracias por su información muy ilustrativa.
¿Cómo podría hacer si quiero conectar mi equipo remoto (PLC) mediante la red celular a internet y acceder desde un punto remoto?. ¿Puedo usar un movil con acceso de datos a internet para conectar el PLC y poder acceder a éste a través de internet?
Por poder, seguro que se puede, pero no creo que ni sea muy seguro, ni industrialmente muy elegante que digamos. Para usar tarjetas SIM existen equipos adecuados para ello. No te puedo aconsejar sobre ello porque ni lo he hecho nunca, ni creo que sea la forma correcta de hacerlo.
Hola!
Estuve revisando el tema y comento que logré hacer lo indicado creando una VPN:
En una PC con Windows 10 instalé OpenVPN y creé las configuraciones del servidor VPN, así como las de un cliente VPN. En el servidor VPN se redirigió el puerto necesario 1194 a la IP privada del servidor VPN y la conecté a internet mediante mi proveedor estándar.
En otra PC con Windows 7 se instaló también OpenVPN y se configuró un cliente, previamente con los archivos generados en el servidor VPN. En el Cliente VPN se tiene que deshabilitar el firewall para que se pueda realizar la conexión.
La descripción es resumida, el procedimiento es un poco largo y tedioso y tuve que hacer varios intentos hasta que por fin logré establecer la VPN.
Cuando se establece este túnel, el Servidor VPN asigna una IP «virtual» de trabajo al cliente que se conecta. De esta forma el servidor se comunica con el cliente y es a esta IP donde debe apuntar la aplicación, por ejemplo un OPC haciendo polling en Modbus TCP.
A continuación probé justamente corriendo un maestro Modbus TCP en el cliente VPN y un esclavo Modbus TCP en el servidor VPN, apuntando a la IP que se asignó para el cliente mediante la VPN. Se conectaron ambas PCs a internet y listo! Se logró establecer la comunicación Modbus TCP entre las dos PCs mediante la VPN creada.
El siguiente paso fue conectar el Cliente VPN a internet mediante mi equipo móvil con un mi SIM estándar, compartiendo datos a la PC con el Cliente VPN y también se logró establecer la VPN creada, así como la comunicación Modbus TCP.
El tema de la seguridad se resuelve justamente con la VPN, ya que ésta ofrece el cifrado y protocolos de seguridad necesarios para este fin. Industrialmente no es la aplicación final, al menos en lo que respecta al cliente VPN. Por otra parte, la forma de establecer la VPN mediante OpenVPN no funciona necesariamente para todos los gateways industriales. El equipo elegido debe poder configurarse y funcionar como cliente en OpenVPN (veo que muchos fabricantes lo soportan). Este punto es el que aun me falta probar, pero al menos ya tengo la certeza de que se puede hacer.
Buen aporte!
Hola Iñigo, una consulta, para que sirven específicamente los módulos SCALANCE M de Siemens y el sistema SINEMA Remote Connect.
Justo esta semana he estado en una presentación de Siemens sobre los dispositivos Scalance y Sinema. Básicamente es el sistema de routers con su firewall, nateado etc que presenta Siemens somo solución para las redes industriales, con la gracia que además pueden trabajar con su sistema de acceso remoto seguro a través de Sinema. Solo tengo referencia lo que nos contaron, no he trabajado con ello, pero me gustó porque tiene muy muy buena pinta.
Excelente información cada día me motiva a aprender màs
Hola buenos dias…!! Espero que andes bien. Y te estés cuidando.
Me fue mí clara y útil tu explicación, por eso te lo agradesco. Yo tengo un 1200 1212c acdcrly funcionando con webserver (pero solo en casa) red local. Quería saber si está configuración me serviría para poder acceder de forma remota a mí web server…? Muchas gracias por tu tiempo.
Sí claro. Una VPN lo que hace es conectarte a tu red local sin tener que exponer tus PLC a Internet.
Muy buen blog, saludos desde Ecuador. Por favor serian tan amables de solventar mis dudas por favor; La verdad es que me interesa mucho la aplicabilidad que tiene poder acceder al PLC desde otra ubicación… mi pregunta es: ¿Se puede acceder a mas de un PLC a la vez, es decir se que la VPN sirve pra comunicar 1 PLC con el TIA Portal, pero que se debería hacer para poder tener varias comunicaciones entre PLC t TIA portal (+ de 2)?
Si quieres acceder de forma remota, tal vez tengas que irte a soluciones comerciales, bien de Siemens (Sinema Connect) o bien de otros fabricantes.
Hola Iñigo, muy bueno tu video, pero me podrias por favor de decir cual openvpn descrgo, ya que estube buscando y encuentro solo de pago… gracias
Hola Iñigo,
¿No sería necesario configurar en el PLC la opción de utilizar router e introducir la IP del router para que esta conexión VPN pueda funcionar?
Un saludo
Ummm, en principio no, porque con el VPN lo que haces es que sea el PC con el que te conectas, sea el que se incluya en la red del PLC, y por tanto, el PLC no sabe que tu PC está físiamente fuera de la red.
Tienes toda la razón, no hace falta, probado y funcionando en un S7-1500.
Hola Iñigo. Actualmente con mi empresa tengo una conexión VPN con la red de control y he estado tratando de conectarme a una HMI (TP1200) sin éxito. Si le hago un ping a la dirección IP esta me responde sin problemas pero al generar la conexión Online con el TIA Portal me aparece un mensaje diciendo que debe asignar una IP en la misma subnet del dispositivo y al decirle que si genera un adición fallida. Puedes aconsejarme que hacer para poder conectarme al dispositivo?… Muchas gracias.
TEso te lo tendrá que solventar el departamento de IT, ver qué es lo que está pasando, si funcionan todos los puertos etc. Yo ahí no te puedo ayudar.
buenas tardes me gusto tu video , solo un detalle como se conectaría una pc que no tiene un puerto ethernet a un plc ?
Pues poniéndole una tarjeta ethernet. Lo siento pero a una pregunta tan general, es la respuesta mas especifica que te puedo dar.
Hola Iñigo.
He estado viendo tus videos, interesantes. Mi pregunta es: puedo prescindir de la raspberry y comunicarme al PLC directamente? , Entiendo que la raspberry sirve como un enlace entre la dirección de red del PLC y la dirección distinta de la PC remota. Se puede prescindir de este elemento o es necesario para hacer el enlace entre estas dos distintas direcciones de red?.
O la rasberry sirve como elemento de seguridad de acceso?
A ver, el tema es la seguridad. Para conectarte remotamente al PLC sin VPN ni nada de nada, tienes que exponer el PLC a internet, con lo que eso conlleva de seguridad. Si tu te puedes conectar al PLC, yo desde mi casa también sabiendo la IP. Respondiendo a tu pregunta.. ¿se puede? sí. ¿Debes? JAMÁS.
Saludos, talvez mi comentario no tiene mucho que ver con este tema, la pregunta es: Puedo tener el wincc rt profesional V10 corriendo en una pc1 y tener otra pc2 con mysql community y hacer que los datos de wincc de la pc1 sean adquiridos por la pc2 con mysql, esto para que otros programas terceros puedan acceder a la base de datos de mysql, tambien por la arquitectura de la red existente?
wincc rt profesional V16, correccion por favor
Pues no lo he hecho nunca, así que no sabría decirte.