之前论坛有不少讲述外网建立到控制器的方法有软件VPN方式硬件出现过WANQ我了解的就这么多。那么到底如何简单实现连接到工业网络呢？当然在此重点不讨论远程桌面的连接或者单一设备因为这些有很多方式有时能协助远程诊断但并不是一个比较完整的方式。在此有几个思路需要说一下。

1、要求就是最大化软件的能力，比如我可以通过手机连接到工业WLAN上通过将手机的4g端口（如102）映射到我需要访问的控制器这样用到的硬件很普遍就是手机加一个端口转发的APP就可以了，理论上是可行的我也下载到了APP但是在手机没root前视似乎不能转发1024以下端口这样限制了应用，第二点我还遇到一个问题在WLAN建立后手机的数据连接会中断那么就不能实现双网转发，据说苹果系统可以做到，待研究～我不知道这是安卓系统的问题还是手机开发商限制了这个功能。

2、和第一点相反又相近，也是通过手机但是这次是手机热点，相同的是还是通过手机的4G网络不通的是现在手机的WLAN是做一个AP也就是通过电脑连接手机网络手机做端口转发实现将通讯端口转到PC上这个PC上再装一个端口映射小工具就可以监听通讯口把外网的通讯数据转到指定内外的控制器上实现通讯功能，这个应该是可以实现的，改天有时间我就测试这个思路。

以上两点思路都是通过手机4G网络实现将请求的数据直接转发到控制器上实现编程软件或者其他工具可以直接访问到远程的CPU。当然有人说了手机的IP的在变化的难道连一次改一次IP吗？答案是：是的，因为还不能通过域名的方式访问CPU，如果可以使用域名那么在手机上装一个花生壳动态域名解析就可以通过域名自动解析到手机的IP上，说到这里在此提一下花生壳和另外一个应用工具NAT123花生壳说实话在手机这方面没有NAT123做的好花生壳的功能有待提高，NAT123是个收费的可以转发任意端口功能强大设计的目的就是为了手机实现更多的功能包括服务器的功能，其实NAT123我感觉是个危险的工具他可以通过手机网络连接到WLAN然后在外面通过外网直接访问内网的数据是一个很危险的工具。神不知鬼不觉的可能会将内外数据外泄。

3、双NAT下的VPN建立，其实对于VPN而言一般都要有固定的IP当然有些VPN服务器已经用域名代替IP了当然VPN服务都是建在外网上的而NAT输入路由后的内外我们大多用户用公司的网络还是WIFI都是在内网也就是在NAT下，那么如何实现双NAT下的VPN呢，双NAT的最大问题就是这个服务器也在NAT下所以你对路由来讲没有任何网络管理或者支配的权限当然除了改路由器设置（我们不讨论路由器设置因为这个也简单也没啥意义（因为不可能每个人都会有改路由器的权限，专用通道后面再说））为什么要建立VPN呢因为你可以对单个设备做映射但是对工业网下所有的IPC HMI PLC都要有访问的话不在VPN下是不通的所以若能在两个内网之间能建立一条通道打通两个网络那么不是可以启用大多数基于TCP/IP的访问了？对于这个前段时间论坛万版主发布了一个WANQ虽然我没用但是看说明就是实现两个NAT的VPN连接，当然这是硬件方面另外网上也有其他的硬件解决商也是同一功能，当然硬件是在网络规划初期投入的那么临时性的还有比如我要多个用户接入分散的话如何解决这个问题呢？双NAT必须是C/S方式当然还有一种就是利用像花生壳这类第三方式实现也是很方便的（花生壳官网标识说明还是西门子的合作伙伴）也就是说用软件的话花生壳是个现成的方式，另外我还想如果基于C/S方式实现呢不需要花生壳（最多使用一下动态域名解析DDNS功能）也就是自己建立连接，当然我还是想通过一些工具来实现当然最好是傻瓜式的。

4、独立建立专用通道（VPN服务器）用于外网手机终端及电脑的VPN访问，当然这个是最正规的做法一人一个帐号通过VPN客户端连接VPN服务器，当然我感觉代价并不大如果用独立IP的话成本会提升一点。

5、虚拟系统，通过APP或者WEB NET插件连接虚拟系统登录，这个必将是趋势不怕死机不怕手机什么的虚拟系统提了这么多年感觉进步还是很慢，虚拟系统的好处就像电脑的休眠模式一样关机下次开机还是你当时关机前的状态什么都没变你可以继续进行之前的工作任务。一个虚拟的服务器（也可能叫云）可以连接好多用户可以监控的设备的状态还可以装个STEP7什么的都是可以的并且可以访问你AD权限的任意内外资源（基于域验证或者说邮件帐户）。

6、说说前段时间在论坛西门子WINCC工程师推荐 WINCC OA UI工具的应用，这个工具我已经下载了并且连接到演示项目了，就是访问有点慢（访问国外网因素很多）给我的感觉是非常不错的一个工具最重要的一点他是可以定义端口了也就是我们可以使用为被应用占用的其他端口来建立连接这是非常好的并且是用域名访问（当然这点是肯定的），可以在家在宿舍监控到设备的运行状况了，就是有个缺点可能我还没发现不能像其他手机应用一样发送提示信息比如我在退出后一些定义的设备报警直接可以显示而不是我必须加载了这个应用不能加载个报警服务吗？如果是这样那就更好了。

7、论坛用户checkitout发了一个帖子博途上云的帖子Cloud Connector，我再想一个问题西门子能否针对这个做一个网关呢，实现路由功能，在PG/CP Interface里面添加一个路由接口协议定义远端s7online的IP地址或者域名自定义网关可以连接远程的特定控制器，当然也可以在远程电脑上装一个配套的路由网关两个相连后可以访问远端的控制器这样岂不是更好，当然这个工具应该是收费的需要授权的也可以西门子与花生壳定制这套软件多好啊，因为这样的话如果你不交钱直接可以在花生壳的管理端将你这条映射给切断当然即使有也要便宜点主要是花生壳能提供更强的性能支持。有人如果有想法自己也可以研究看能不能研究出来一个接口路由网关，我表示很感兴趣但是独立不能完成要看好多资料与书当然也并非搞IT软件的。

8、反向VPN的实现即使是硬件方式也是有必要的，一般的VPN是我个人PC连接到VPN服务器或VPN网关这样对客户的要求比较高不但要求有VPN网关并且要做配置可能我们只是临时性的连接那么怎么让客户付出最少而我们又能达成目的呢，这个就是反向VPN的方式可能还需要双网卡做桥接，思路是我个人拥有一个VPN服务器或者VPN网关而客户通过Windows自带连接工具创建VPN连接连接到我的VPN网关上我就可以对客户的网络进行穿透访问，这样即使我掏几百元钱也是值得的因为我随身携带只要具备条件或者插4G网卡也行客户可以连接到我的移到VPN上然后我就可以访问它的网络了。（这是目前我认为最好的一种思路）

9、对于单个Panel可以通过Smartsever方式实现连接，smart server一种是基于IE一种是基于客户端C/S模式可以访问HMI的界面同步显示也可以远程同步控制，这里有一点就是smart server不仅是一些面板如MP TP系列面板的远程访问方式而且是windows远程控制的一个方法，与VNC一样，在自己的PC安装了wincc flexible或者TIA WINCC V1X后默认会安装smart客户端应用程序，在默认情况下这个应用服务是暂停的如果启用这个服务那么你的PC也受其他smart client连接只要密码正确就可以连接控制你的电脑，另外紧致版HMI与MP系列面板也是支持在HMI上加装smart client选件，也就是说你的HMI可以控制任意开启了smart server的PC或HMI，另外手机上也可以下载到西门子的smart client APP那么可以说你的手机也可以控制HMI了，当然我这个帖子的主题是远程连接那么如何远程连接到HMI上呢，这也是比较容易的既然可以实现局域网上的远程连接那么在互联网上也是比较容易实现的，当然如果基于工业连接还是需要使用硬件来实现比如以下提到的SCLANCE S系列的安全模块，当然是基于网络访问的稳定性，手机也是支持VPN连接的并且硬件价格比不是很高对于企业而言一个VPN模块解决了很多事情那么为什么不用了?

10、今天我测试了一下用 scada 安卓APP连接PLC说实话非常简单很容易就获取到了变量的信息，用smart s7也可以获得CPU的数据只不过只支持DB的访问而且数据类型很少，用personal HMI也可以快速连接CPU就是有点卡感觉有bug或不兼容，另外还有S7 Android app看界面功能比smart s7要强但是我没连接上。

11、这几天用了一下Scalance S612安全模块（两个以太网口一个内网一个外网，有两种运行模式一种是路由模式：用于两个不同的网络比如互联网，另一种是桥接模式用于对于内外进行访问管理），感觉他非常好，远程连接的好帮手，他最主要的功能当然是VPN了新版的支持DDNS与PPPOE这样更适合在普通的互联网接入方式了不需要独立IP的支持也可以完成远程连接及访问，并且博途里面已经集成了Scalance S系列的配置环境不需要安装SCT工具也可以组态非常方便，而SCALANCE S613集成了三个以太网口与612相比多一个DMZ端口适用于网络服务器的搭建，你可以在工业网类除VPN外的用户建立如WEB ftp数据库等等其他支持的应用服务了。

12、……

    记录片……未完～～～再续。

    现在不具备有些条件与时间如果具备我将测试学习研究最好的连接方式，当然看来很多人并不注重这个远程连接。