本文适用于eCatcher成功建立与Ewon设备的VPN连接,但是无法访问到Ewon网关LAN一侧设备的情况。导致这个问题有多个原因,包括网络重叠(IP冲突)、Ecatcher防火墙设置和NatItf设置等,本文提供了这几种情况的解决办法。
适用产品
- Ewon Cosy
- Ewon Flexy
- Ecatcher
- M2Web
故障 / 现象
局域网设备连接到Ewon,但无法访问。ping失败,显示“no route to host”。尝试在浏览器中连接像HMI这样的设备画面无法加载。
解决方法
-
网卡冲突
安装eCatcher之后计算机会出现“Talk2m-eCatcher”网卡,流量通过此网卡进行VPN连接。
Fig 1. Talk2m Network Adapter
在某些情况下,您的PC可能会将流量发送到错误的适配器。如果您能够ping通Ewon的VPN IP地址(示例如下),但无法ping通LAN IP,则可能存在此问题。
Fig 2. Ewon VPN IP Address
解决方法:
尝试禁用任何不用于互联网连接或Talk2m的网卡,最常见的罪魁祸首是其他VPN客户端,如OpenVPN或PLC仿真软件,如西门子PLCSIM。
-
网络重叠
当尝试eCatcher连接时,本地网络和Ewon的局域网应该在不同的子网中,以便远程访问连接到Ewon局域网的所有设备。当这两个网络有重叠时,你会看到以下错误消息:
Fig 3. Network overlap 1
Fig 4. Network overlap 2
解决方法:
解决这个问题请确保运行eCatcher的PC的网络和Ewon的局域网在不同的子网中:- 更改PC的IP地址
- 更改 Ewon 的IP地址和 LAN一侧设备的IP地址
- 更改防火墙等级
-
防火墙等级过高
eCatcher中的防火墙设置可以设置为不同的安全级别,包括“标准”和“高”。当选择“高安全性”时,连接的用户只能访问Ewon局域网下列出的设备。因此,如果正在访问的LAN设备没有在eCatcher上声明,它将无法访问。
解决方法:
解决这个问题您有两种选择:- 降低防火墙安全等级. eCatcher中点击 Ewon → Properties → Configure LAN Devices & Firewall
Fig 5. 防火墙等级设置为 "Standard"
- 不改变防火墙等级情况下声明设备. 在eCatcher中点击 Ewon → Properties → Configure LAN Devices & Firewall → Add LAN Device
- 降低防火墙安全等级. eCatcher中点击 Ewon → Properties → Configure LAN Devices & Firewall
-
NatItf 参数不合适
参数 NatItf 设置会影响设备如何通过VPN进行远程连接,NAT on LAN (Plug’n Route) 只要求设备IP地址和Ewon网关的LAN一侧在一个子网之中。 NAT and TF on WAN需要将设备的网关设置为Ewon网关的LAN地址。
解决方法:
- Cosy设置如下, 通过浏览器打开配置页面 Setup → System → Storage → Tabular Edition → Edit COM cfg 搜索 NatItf, 双击 value 表格, 参数设置为 3 (Plug'n Route), 点击保存, 重启设备。
Fig 6. Cosy设置 NatItf 参数
- Flexy设置如下, 通过浏览器打开配置页面 Setup → System → Communication → Networking → Routing, 点击下拉框 "Apply NAT and TF to connection:" 选择 NAT on LAN (Plug'n Route)并更新
Fig 7. Flexy设置 NatItf参数
- Cosy设置如下, 通过浏览器打开配置页面 Setup → System → Storage → Tabular Edition → Edit COM cfg 搜索 NatItf, 双击 value 表格, 参数设置为 3 (Plug'n Route), 点击保存, 重启设备。
-
RTEnIpFwrd 禁用
RTEnIpFwrd参数,它允许流量从Ewon网关的WAN口路由到其LAN口,从而允许通过VPN访问LAN设备。如果设置为0,LAN侧设备将不允许被访问。
解决方法:
- 连接Ewon网关通过浏览器打开配置页面 Setup → System → Storage → Tabular Edition → Edit COM cfg 搜索 RtEnIpFwrd, 双击 value 表格, 参数设置为1,保存,重启Ewon网关。
- 重启之后, 检查参数是否生效为1. 如果未生效,检查Ewon网关是否有WAN端口,如果全部以太网端口都设置为LAN端口,则不能修改RTEnIpFwrd。
-
不能通过M2Web访问设备
如果可以通过eCatcher访问LAN设备,但不能通过M2Web访问,那么在eCatcher中配置设备的方式可能存在问题。
解决方法:
确保在eCatcher中的设备配置中启用了M2Web访问。在eCatcher中点击Ewon → Properties → Configure LAN Devices & Firewall, 在设备列表中选择 Properties 或如果列表中没有设备点击按钮添加设备,确保 "Visible in M2Web" 选项被选中, 并检查 protocol, port, home page等其它参数设置正确。
-
局域网IP不匹配
在eCatcher的设备属性中LAN & Firewall位置,有一个标记为“Modify LAN Subnet”的按钮。如果点击此按钮更改设备的LAN地址,eCatcher将根据此处设置的IP地址添加路由,但更改不会传播到Ewon网关。在这种情况下,将无法再连接Ewon的LAN设备。
解决方法:
确保使用此按钮访问的菜单中显示的LAN IP与设备本身设置的LAN IP匹配。如果需要更改Ewon的LAN局域网IP,可以通过eBuddy或Ewon本身的web界面进行更改,更改也会发送到eCatcher以更正路由信息。