Support Allgemein

Übersicht: Dongle, Windows Installation, Windows Sicherheit, Treiber unter Windows 7, Treiber unter Windows 10, Treiber unter Windows XP, Rockwell Steuerungen, S7-1500, BACnet Stationssuche, Rockwell SPS Stationssuche, Zertifikatwissen, Installation unter docker, tcpdump short usage, Betrachtungen zur SSL Bibliothek, der Verschlüsselungsbibliothek.

Antwort:

Prüfen Sie zuerst in der Lizenzübersicht mithilfe der Liste der Dongles nach ob der Dongle überhaupt erkannt wird.
Der Dongle muss stecken wenn die Software startet. Normalerweise startet die Software beim Rechnerstart. Auf jeden Fall startet sie bevor ein Anwender eingeloggt ist.
Sie können den Windows Dienst "ConfigServer" oder den Linux Daemon "ConfigServer" neu starten. Sie können auch den ganzen Rechner neu starten.

Antwort:

Das tritt auf wenn das System nicht regelmäßig automatisch aktualisiert wurde. Ältere Windows Versionen wie Windows 7 vor 2014, Windows Server 2012 mit Updates vor 2014, Windows Server 2008 mit Updates vor 2014 erfordern die Aktualisierung die Microsoft etwa seit Oktober 2014 anbietet.
Am Beispiel von Windows Server 2012 gehen Sie bitte so vor (in dieser Reihenfolge):

Andere Windows Versionen benötigen manchmal andere Updates. Ebenfalls sind die Updates von der installierten Sprache abhängig. Fragen Sie gegebenenfalls bei Mircrosoft nach Details.
Die Microsoft Standardbibliotheken die die Tani Software nutzt werden vom Microsoft Windows Update aktuell gehalten.

Ab 2019 werden für viele Softwareaktualisierungen SHA2 Signaturen verlangt. Das muss in Windows 7 SP1 und älteren Versionen per Hand mit der Installation von KB 4474419 und KB4490628 installiert werden.

Antwort:

Anleitung um Tani OPC Server und PlcEngine als Ausnahmen zur Virus Überprüfung hinzuzufügen


Datenschutz und Sicherheit - Windows-Sicherheit
Viruses and threat protection
Viren- und Bedrohungsschutz
Settings for viruses & threat protection
Einstellungen für Viren & Bedrohungsschutz - Einstellungen verwalten
Viruses and threat protection
unten Ausschlüsse - Ausschlüsse hinzufügen oder entfernen
Add exclusions
Ausschlüsse hinzufügen

Ordner

c:\Program Files\Tani
c:\Windows\System32\Tani
Ordner

Nach diesen Einstellungen ist es manchmal erforderlich, Tani -Software erneut zu installieren.


Firewall

shown entries of the firewall
die angezeigten Einträge der Firewall werden bei der Installation hinzugefügt, wenn Sie die Option ausgewählt haben.

Anleitung um Tani OPC Server und PlcEngine Dienste verzögert zu starten

gerade bei Virtuellen Maschinen jedoch auch bei reellen PCs kommt es vor, dass beim Start der Tani Dienste das Netzwerk noch nicht hochgelaufen ist. Aus diesem Grund sollte der Hochlauf der Tani Software verzögert gestartet werden.

Tani ConfigServer Service - Automatisch (verzögerter Start)
Tani Logger Service - manueller Start
PLC Engine Service - manueller Start
marked entries of the firewall

Antwort:

Installieren Sie das Update KB3033929.
Microsoft und alle Anbieter von Zertifikaten haben das unsichere SHA1 Verfahren gestoppt. Ältere Windows Versionen unterstützen aber nur SHA1. So erkennt ein älteres Windows die aktuellen Treiber Zertifikate nur mit diesem Update. Windows fordert von Treibern seit Windows 7 verbindlich Zertifikate.

Antwort:

Schalten Sie Secure Boot im BIOS ab.
Windows 10 lässt unter Secure Boot nur Treiber zu die über das Microsoft Signatur und Testlabor gelaufen sind. Diese Prüfungen sind für Massenhersteller ausgelegt, die Zertifizierungskosten sind dementsprechend hoch.

Antwort:

Das tritt auf wenn nicht die letzten Aktualisierungen installiert sind. Installieren Sie die Aktualisierungen und wiederholen die Treiberinstallation. Alternativ können Sie die Treiber per Hand über die Netzwerksteuerung installieren: Öffnen Sie in der Systemsteuerung die Netzwerkeinstellungen. Öffnen Sie eine Netzwerkkarte, wählen Sie "Eigenschaften". Fügen Sie ein Protokoll hinzu (Installieren, Protokoll, Datenträger, Durchsuchen). Der Treiber liegt im Verzeichnis indem Sie die den OPC Server oder die PLC Engine Collect installiert haben (Tani, H1 Treiber, H1). Wählen Sie die .inf Datei., Betätigen Sie "öffnen" und danach mehrfach Ok.

Antwort:

Das ganze Feld kann einfach mittels Browsing bearbeitet werden. Bei sehr grossen Feldern (mehrere zig Kilobytes) ist es besser nicht das gesamte Feld sondern nur den benötigten Teil zu bearbeiten. Start und Anzahl wird über die Item Syntax angegeben. Lautet die Variable "GrossesFeld" und ist 10K gross so wird mit "GrossesFeld[1000.100]" ab Element 1000 insgesamt 100 Elemente gelesen oder geschrieben. Genauso werden Teile aus Feldern in Strukturen bearbeitet. Ein einzelnes Element des Feldes wird mit "GrossesFeld[1000]" bearbeitet

Antwort:

Der OPC Server prüft die SPS alle 10 Sekunden auf Änderungen. Wird eine Änderung erkannt so aktualisiert der Server alles nötige. Trotzdem ist es nicht empfehlenswert in die SPS zu schreiben wenn intensiv am SPS Programm gearbeitet wird. Lesen ist aber immer unkritisch.

Antwort:

Es gibt zwei Varianten

Die Variablen (Datenbausteine, Ein und Ausgänge, Merker) der Steuerung werden mit dem modernen Protokoll in der S7 1200 und S7 1500 online aus der Steuerung gelesen. Mit dem alten Protokoll oder einer S7 300/400 nutzen Sie die Itemsyntax zum Ansprechen der Variablen oder Sie importieren die Symbole aus dem Step7 oder TIA Programm.

Antwort:

Schalten Sie in der Firewall den Broadcast UDP Empfang für Port 47808 ein. In einer Linux Firewall sieht die Regel so aus:

iptables -I 1 INPUT -p udp -m pkttype --pkt-type broadcast -m udp --dport 47808 -j ACCEPT

Alle Firewall Standardoberflächen unterstützen das. Sie finden das oft unter "Broadcast" unter "Externe Zone".
Die BACnet Stationssuchanfragen werden mit einem Broadcast zurückgemeldet. Deshalb arbeitet die Stationssuche nur in einem Subnetz.
Zur Suche in entfernten Netzen nutzen Sie bitte BBMD.
Ohne die Stationssuche muss das Geräte ID manuell angegeben werden.

Antwort:

Schalten Sie in der Firewall den Broadcast UDP Empfang für Port 44818 mit Broadcast Antwortverfolgung ein. In einer Linux Firewall sieht die Regel so aus:

ipset -exist create udprec hash:ip,port timeout 3
iptables -A INPUT -p udp -m set --match-set udprec dst,dst -j ACCEPT
iptables -A OUTPUT -d 255.255.255.255/32 -p udp -m udp --dport 44818 -j SET --add-set udprec src,src --exist

Dieses Regelwerk definiert eine Regel udprec. Wird eine Suchanfrage über Broadcast gestellt wo werden drei Sekunden lang UDP Telegramme auf dem Port angenommen. Diese Telegramme sind die Antworten der Rockwell Steuerungen.
Alle Firewall Standardoberflächen unterstützen das. Sie finden das oft unter "Broadcast" unter "Externe Zone".
Die Stationssuche arbeitet natürlich nur in einem Subnetz, Broadcasts werden von Routern nicht weitergeleitet.

Antwort:

Es gibt viele Dateinamen und Dateiformate bei Zertifikaten. Die Tani Produkte nutzen Zertifikate im .pem Format.
Mehr Informationen zu den Formaten und deren Umwandlung steht (in Englisch) unter Zertifikatdetails

Antwort:

Alle Tani Produkte arbeiten unter Docker, Kubernetes und in anderen ähnlichen virtuellen Umgebungen. Dieses Beispiel installiert und betreibt die PLC Engine in einem Docker Container mit Ubuntu im Container. Es ist getestet auf Hosts mit Suse Leap 15.2 und den Linux Subsystem unter Windows 10.
Die Konfigurationsdateien werden in den Container gespiegelt. Die benötigten Ports werden freigeschaltet.
Beispiel herunterladen: Dockerfile

Antwort:

tcpdump is a Linux command line tool for recordings on a network. In general doing a network recording is an administrative task. It requires root rights. sometimes the tool need to be installed before, all distributions are offering tcpdump.
First the correct network adapter need to be choosen. The command
tcpdump --list-interfaces or tcpdump -D
lists the adapters.
then the recording can be started.
tcpdump --interface eth0 or tcpdump -i eth0
starts the recording on eth0. Use one of the adapters of the adapters list. You can record on all adapters with
tcpdump --interface any but it is not recommended doing so.
Recording filters reduce the load and increases the security. host filters for an IP address are
tcpdump -i eth0 host 192.168.2.2 or tcpdump -i eth0 port 102
Multiple adapters and hosts and ports can be given.
Saving the recording to a file
tcpdump -i eth0 -w recording.pcapng
Ideally adapters, host and port addresses and a file name are given, combine wtof or and colons. Example
tcpdump -i eth0 (host 192.168.2.2 or host 192.168.2.3) (port 102 or port 4840) -w recording.pcapng
More options are available in the Linux manpages.
The files can be shown easily with Wireshark, so copy it to another machine with a graphical screen and handle it there.

Antwort:

Die SSL Bibliotheken werden für alle Dinge eingesetzt die Verschlüsselungen brauchen. Viele Software braucht das wie OPC UA, die Siemens S7 1500 Protokolle, MQTT, HTTPS und die Verbindung zwischen der grafischen Konfiguration und dem Softwarekern.
Sicherheisdinge unterliegen ständigen Änderungen. Benutzte Verfahren werden gehackt und irgendwann entfernt. Das kann die Kompatibilität beeinflussen. Oft fordern Versicherungen und Regierungen alte Verfahren nicht mehr zu nutzen.
Seit Juni 2023 nutzt die Tani Software die SSL version 3.1, die vorherige Version war 1.1.1. Das kann Unannehmlichkeiten erzeugen, aber Sicherheit steht da gegen Bequemlichkeit. SSL 1.x wird nicht mehr unterstützt, es gibt keine Sicherheitsupdates mehr. Alle Software muss auf die Version 3.0 als Minimum wechseln.
Beachten Sie das modernene Sicherheitssysteme wie Firewalls alte SSL 1.x Dinge blockieren können. Das liegt nicht in der Hand von Tani. Die einzige Lösung besteht in dem Einsatz aktueller und unterstützter Software.