Einrichtung einer gesicherten VPN-Verbindung zwischen Tablet (ios), SCALANCE S615 und SINEMA Remote Connect Server

Transkript

1 Projektierungsbeispiel 09/2015 Einrichtung einer gesicherten VPN-Verbindung zwischen Tablet (ios), SCALANCE S615 und SINEMA Remote Connect Server SINEMA Remote Connect, SCALANCE S615

2 Gewährleistung und Haftung Gewährleistung und Haftung Hinweis Die Anwendungsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Anwendungsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Anwendungsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Anwendungsbeispiele jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Anwendungsbeispiel und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang. Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Anwendungsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden. Weitergabe oder Vervielfältigung dieser Anwendungsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von der Siemens AG zugestanden. Securityhinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter Beitrags-ID: , V1.0, 09/2015 2

3 Inhaltsverzeichnis Inhaltsverzeichnis Gewährleistung und Haftung Aufgabenstellung und Lösung Aufgabe Lösungsmöglichkeit Gesamtübersicht SINEMA Remote Connect Merkmale der Lösung Konfiguration und Projektierung Einrichten der Umgebung Erforderliche Komponenten und IP-Adressenübersicht Router an den VPN-Clients Tablet SCALANCE S Router am VPN-Server SINEMA Remote Connect Server Fernzugriff auf dem SINEMA Remote Connect Server einrichten Teilnehmer und Kommunikationsbeziehungen definieren Zertifikate und Benutzerkonfiguration exportieren Fernverbindung auf dem S615 einrichten Zugriff auf den SINEMA Remote Connect Server freigeben Zertifikat laden VPN-Verbindung projektieren Fernverbindung auf dem Tablet einrichten Modifikation der Konfigurationsdatei.ovpn Übertragung der Konfigurationsdaten Aufbau der VPN-Verbindung Tunnelfunktion testen Historie Beitrags-ID: , V1.0, 09/2015 3

4 1 Aufgabenstellung und Lösung 1 Aufgabenstellung und Lösung 1.1 Aufgabe Die Aufgabe besteht darin, einem Servicemitarbeiter einen sicheren Fernzugriff auf den SINEMA Remote Connect Server und unterlagerten Geräten für Wartungs-, Steuerungs- und Diagnosezwecke bereitzustellen. Zur sicheren und zentralen Verwaltung der Tunnelverbindungen wird SINEMA Remote Connect verwendet. Dabei sind folgende Kundenanforderungen zu berücksichtigen: Verhindern von unerlaubtem Zugriff auf den SINEMA Remote Connect Server und unterlagerten Geräten. Verhindern von unerlaubtem Ausführen von Funktionen durch die Vergabe von Rechten. Zugriffskontrolle auf die unterlagerten Geräte. Absicherung gegen Datenmanipulation und Spionage. Flexibler Zugang des Servicemitarbeiters (unabhängig vom Ort). 1.2 Lösungsmöglichkeit Gesamtübersicht VPN-Server Die folgende Grafik zeigt eine Möglichkeit, die Kundenanforderung umzusetzen: Zentrale SINEMA Remote Connect Server Internet Router Statische WAN-IP-Adresse WAN Internet Router 1 Internet Router S615 VPN-Client Servicetechniker 2 Automatisierungszelle VPN Tunnel Industrial Ethernet VPN-Client Eine Automatisierungszelle (Teilnehmer wie z.b. SIMATIC Station, Panel, Antriebe, PCs) ist mithilfe des SCALANCE S615 angeschlossen. Der Servicetechniker nutzt ein mobiles Endgerät. Beitrags-ID: , V1.0, 09/2015 4

5 1 Aufgabenstellung und Lösung Die Kommunikation zwischen Servicetechniker und der Automatisierungszelle erfolgt über den SINEMA Remote Connect Server, der in der Zentrale steht. Abgesichert wird der Fernzugriff über zwei VPN-Tunnel: VPN-Tunnel 1 Der Clientzugriff von dem mobilen Endgerät (Tablet/ Smartphone) auf den SINEMA Remote Connect Server wird über die App OpenVPN Connect, eine VPN-Client-Software, hergestellt. VPN-Tunnel 2 Der Clientzugriff der Automatisierungszelle erfolgt über den SCALANCE S615. Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen routet der SINEMA Remote Connect Server zwischen den einzelnen VPN-Tunnels. Der Zugang zum SINEMA Remote Connect Server (VPN-Server) ist über die Nutzung einer statischen IP-Adresse fest definiert. Die Rollenverteilung beim Aufbau des VPN-Tunnels ist wie folgt festgelegt: Tabelle 1-1 Komponente Mobiles Endgerät SCALANCE S615 SINEMA Remote Connect Server VPN-Rolle Initiator (VPN-Client); startet die VPN-Verbindung Initiator (VPN-Client); startet die VPN-Verbindung Responder (VPN-Server); wartet auf VPN-Verbindung Beitrags-ID: , V1.0, 09/2015 5

6 1 Aufgabenstellung und Lösung SINEMA Remote Connect SINEMA Remote Connect ist eine Managementplattform für Remote Networks, welche zentral sichere Tunnelverbindungen verwaltet. So können weitverteilte Anlagen oder Maschinen über Fernzugriff komfortabel und sicher gewartet werden. Auch, wenn die Maschinen in fremden Netzwerken eingebunden sind. Zum Beispiel in den Anlagen bei Endkunden von Maschinenbauern. Bestandteile einer Lösung mit SINEMA Remote Connect sind: SINEMA Remote Connect als VPN-Server Endgeräte (VPN-Client): SCALANCE S615 (mit KEY-PLUG) SCALANCE M-800 (mit KEY-PLUG) SINEMA Remote Connect Client OpenVPN-Client SINEMA Remote Connect Server SINEMA Remote Connect Server ist eine Server-Applikation und bietet ein durchgängiges Verbindungsmanagement von verteilten Netzwerken über das Internet. Sie koordiniert den sicheren Verbindungsaufbau zwischen Anwendern, weitverteilten Anlagen und Maschinen. Folgende Funktionen übernimmt der SINEMA Remote Connect Server: Verwaltung und Aufbau verschlüsselter Verbindungen mit OpenVPN. Verifizierung über CA-Zertifikat oder Fingerprint. Nutzerverwaltung mit der Projektierung von Rechten. Aufbau permanent oder Event-basierter Verbindungen (Aufbau per Wake-up- SMS oder durch ein Signal am digitalen Eingang). Unterstützung von Routing und NAT zur Anbindung von Subnetzen hinter dem SCALANCE S615. Bereitstellung eines sicheren Fernzugriffs auf unterlagerte Netzwerke zu Wartungs-, Steuerungs- und Diagnosezwecken. Web Based Management (WBM) für die Konfiguration des Servers. Beitrags-ID: , V1.0, 09/2015 6

7 1 Aufgabenstellung und Lösung SCALANCE S615 Der SCALANCE S615 ist eine Security Baugruppe zur Absicherung von Geräten, Automatisierungszellen oder Netzsegmenten in Ethernet Netzwerken gegen äußere und innere Gefahren. Er bietet die gleichen Funktionalitäten und Eigenschaften wie die bisherigen SCALANCE M Varianten. Hinzu kommen einige spezifische LAN-Funktionen, welche eine optimale Anbindung an SINEMA Remote Connect ermöglichen. Der SCALANCE S615 zeichnet sich unter anderem durch folgende Funktionen aus: Unterstützung von VPN zur sicheren Authentifizierung der Netzteilnehmer, zur Verschlüsselung der Daten und Überprüfung der Datenintegrität. IPSec-VPN-Tunnel (Server- und Client-Funktionalität) OpenVPN zur Anbindung an SINEMA Remote Connect (Client-Funktion) Stateful Inspection Firewall mit Filterung von IP-basiertem Datenverkehr und Kommunikationsprotokollen. Unterstützung von NAT/NAPT; auch in Verbindung mit IPSec und OpenVPN. Unterstützung VLAN. Flexibler, rückwirkungsfreier und protokollunabhängiger Schutz. Unterstützung von mehreren VPN-Tunneln gleichzeitig. Einfachste Anbindung an SINEMA Remote Connect via Auto-Konfigurations- Schnittstelle (freischaltbar mit dem KEY-PLUG SINEMA REMOTE CONNECT). OpenVPN-Client OpenVPN-Connect OpenVPN Connect ist eine OpenVPN-Client-Applikation für gängige Smartphones und Tablets und kann über den jeweiligen App-Store kostenlos bezogen werden. Sie bietet unter anderen folgenden Funktionen: Einfacher Import von OpenVPN-Konfigurationsprofilen. Mehrstufige Authentifizierung durch statische und dynamische Protokolle. Verwendung von Mbed TLS (PolarSSL) für Verschlüsselung und SSL/TLS. Beitrags-ID: , V1.0, 09/2015 7

8 1 Aufgabenstellung und Lösung 1.3 Merkmale der Lösung Nutzerverwaltung und Verbindungsmanagement über eine zentrale Server- Applikation. Sichere und einfache Einwahl in die Anlagen von jedem Punkt der Welt. Kontrollierter und verschlüsselter Datenverkehr zwischen Anwendern, weitverteilten Anlagen und Maschinen über einen VPN-Tunnel. Verifizierung des SINEMA Remote Connect Servers über das CA-Zertifikat. Geringe Investitions- und Betriebskosten für das Überwachen und Steuern von remote angebundenen Unterstationen. Hohe Sicherheit für Maschinen und Anlagen durch Realisierung des Zellenschutzkonzepts. Problemlose Integration in vorhandene Netzwerke und Schutz von Geräten ohne eigene Security Funktionen. Einfachste Anbindung an SINEMA Remote Connect. Beitrags-ID: , V1.0, 09/2015 8

9 2 Konfiguration und Projektierung 2.1 Einrichten der Umgebung Erforderliche Komponenten und IP-Adressenübersicht Softwarepakete Diese Lösung basiert auf einer SINEMA Remote Connect Appliance und benötigt als Software den SINEMA Remote Connect Server. Installieren Sie diese Software auf einen PC ohne Betriebssystem. Beachten Sie die für die Installation nötigen Voraussetzungen. Während der Installation müssen Sie die IP-Adresse des Servers eingeben. Verwenden Sie dafür die IP-Adresse nach Tabelle 2-1. Das Tablet benötigt die OpenVPN Connect -App. Laden Sie diese kostenlose App aus dem Store und installieren Sie diese auf Ihrem Tablet. ACHTUNG Die Installation des SINEMA Remote Connect Servers beinhaltet ein eigenes Betriebssystem. Wenn Sie einen PC verwenden, auf dem bereits ein Betriebssystem vorhanden ist, wird die Festplatte formatiert und gespeicherte Daten gehen verloren. Erforderliche Geräte/Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: Ein PC, auf dem der SINEMA Remote Connect Server installiert ist. Ein Tablet mit dem Betriebssystem ios und der OpenVPN Connect -App. Dieses Beispiel wurde mit einem ipad (ios Version 8.4) und der OpenVPN Connect -App V1.0.5 build 177 erstellt. Ein SCALANCE S615. Ein KEY-PLUG SINEMA REMOTE CONNECT. Einen DSL-Zugang mit dynamischer WAN-IP-Adresse und einen DSL-Router mit WLAN-Funktionalität. Einen DSL-Zugang mit dynamischer WAN-IP-Adresse und einen DSL-Router. Einen DSL-Zugang mit statischer WAN-IP-Adresse und einen DSL-Router. Ein PC, auf dem ein Webbrowser und Texteditor (z.b. Notepad) installiert ist. Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Hinweis Sie können auch einen anderen Internet-Zugang (z.b. UMTS) verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt Erforderliche Geräte/Komponenten erwähnten Komponenten. Beitrags-ID: , V1.0, 09/2015 9

10 IP-Adressen Die Zuordnung der IP-Adressen ist für dieses Beispiel wie folgt festgelegt: SINEMA Remote Connect Server Dynamische WAN-IP S Statische WAN-IP WAN Dynamische WAN-IP Tabelle 2-1 Komponente Port IP-Adresse Router Subnetzmaske SINEMA Remote Connect Server PC (nicht in der Grafik.gezeigt) LAN Port LAN-Port Router am VPN-Server LAN-Port Router am VPN-Server WAN-Port Statische IP-Adresse vom Provider Router am VPN-Client (Tablet) Router am VPN-Client (Tablet) WAN-Port Dynamische IP- Adresse vom Provider - Vom Provider zugewiesen - Vom Provider zugewiesen LAN-Port Tablet WLAN Router am VPN-Client (S615) Router am VPN-Client (S615) WAN-Port Dynamische IP- Adresse vom Provider - Vom Provider zugewiesen LAN-Port SCALANCE S615 WAN-Port (P5) SCALANCE S615 LAN-Port (P1-4) Automatisierungsgerät LAN-Port Beitrags-ID: , V1.0, 09/

11 Hinweis Der PC dient zur Konfiguration des SINEMA Remote Connect Server und SCALANCE S615 über das Webbased Management. Dafür müssen dem PC- Netzwerkadapter mehrere IP-Adressen zugeordnet werden. In den erweiterten TCP/IP-Einstellungen der Netzwerkkarten-Konfiguration haben Sie die Möglichkeit, weitere IP-Adressen hinzuzufügen. Aufbau der Infrastruktur Verbinden Sie alle teilnehmenden Komponenten dieser Lösung miteinander. SINEMA Remote Connect Server WAN-Port LAN-Port WAN-Port P5 S615 LAN-Port LAN-Port WAN-Port WAN LAN-Port P1-P4 LAN-Port Tabelle 2-2 WAN-Port WLAN- Schnittstelle WLAN- Schnittstelle Komponente Lokaler Port Partner Partner Port SINEMA Remote Connect Server LAN-Port Router am VPN-Server LAN-Port Router am VPN-Client (Tablet) WLAN-Schnittstelle Tablet WLAN-Schnittstelle Router am VPN-Client (S615) LAN-Port S615 WAN-Port P5 SCALANCE S615 LAN-Port Automatisierungszelle Beitrags-ID: , V1.0, 09/

12 2.1.2 Router an den VPN-Clients VPN WLAN Falls auf Ihren Routern VPN-Verbindungen projektiert und aktiviert sind, beenden Sie diese. Der WLAN-Router dient zur Anbindung des Tablets über WLAN an das LAN- Netzwerk. Richten Sie auf dem WLAN-Router das WLAN ein. LAN-IP-Adressen Tablet Verwenden Sie an den LAN-Ports eine statische IP-Adresse nach den Vorgaben von Tabelle 2-1. Uhrzeit VPN WLAN Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten ist es wichtig, dass auf dem Tablet stets das aktuelle Datum und die aktuelle Uhrzeit geführt wird. Überprüfen Sie die Zeitangabe auf Ihrem Tablet und passen Sie diese gegeben falls an. Falls auf Ihrem Tablet weitere VPN-Verbindungen projektiert und aktiviert sind, beenden Sie diese. Richten Sie auf dem Tablet das WLAN entsprechend Ihrer Router-Konfiguration ein. Verwenden Sie eine statische IP-Adresse nach den Vorgaben von Tabelle 2-1. Beitrags-ID: , V1.0, 09/

13 2.1.4 SCALANCE S615 Werkseinstellung KEY-PLUG Um sicherzugehen, dass keine alten Konfigurationen und Zertifikate im SCALANCE S gespeichert sind, setzen Sie die Baugruppe auf Werkseinstellung zurück. Für den SCALANCE S615 wird der KEY-PLUG SINEMA REMOTE CONNECT benötigt. Mit dem KEY-PLUG wird die Anbindung von SCALANCE S615 an SINEMA Remote Connect freigeschaltet. Stellen Sie sicher, dass im SCALANCE S ein gültiger KEY-PLUG gesteckt ist. Webbased Management öffnen Verbinden Sie den PC mit einem LAN-Port des SCALANCE S615 (z.b. Port 2). Werkseitig hat das Gerät die IP-Adresse /24. Öffnen Sie das Webbased Management über die Adresse Webbased Management Login Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, sind die Login-Daten wie folgt festgelegt: Name: admin Password: admin 1. Tragen Sie Name und Passwort in die entsprechenden Eingabefelder ein. Klicken Sie die Schaltfläche Anmelden ( Login"). 2. Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, werden Sie aufgefordert, das Passwort zu ändern. 3. Geben Sie das alte und neue Passwort ein. Wiederholen Sie bei Password Confirmation" das Passwort, um es zu bestätigen. Beide Einträge müssen übereinstimmen. Beitrags-ID: , V1.0, 09/

14 Uhrzeit einstellen 4. Klicken Sie auf die Schaltfläche Set Values um den Vorgang abzuschließen und das neue Passwort zu aktivieren. 5. Wenn Sie sich erfolgreich angemeldet haben, erscheint die Startseite. Ergebnis Das Passwort für den Benutzer admin" ist geändert. Melden Sie sich fortan mit dem geänderten Passwort an. Für den Aufbau einer sicheren Kommunikation ist es unerlässlich, dass auf dem SCALANCE stets die aktuelle Uhrzeit und Datum eingestellt ist. Anderenfalls werden die verwendeten Zertifikate als ungültig interpretiert und eine sichere VPN- Kommunikation ist nicht möglich. 1. Navigieren Sie in der Navigationsleiste zu System > System Time. 2. Klicken Sie auf die Schaltfläche Use PC Time, um die Zeiteinstellung des PCs zu übernehmen. 3. Übernehmen Sie die Einstellung mit Set Values. Ergebnis Das Datum und die Uhrzeit werden übernommen und im Feld System time angezeigt. Hinweis Sie haben auch die Möglichkeit, die Systemzeit mit einem NTP-Zeitserver automatisch synchronisieren zu lassen. Im Internet gibt es eine Reihe von Zeitservern, von denen die aktuelle Uhrzeit präzise bezogen werden kann. Beitrags-ID: , V1.0, 09/

15 IP-Einstellungen ändern Um den SCALANCE S615 in das Netzwerk der Beispielprojektierung zu integrieren, muss die LAN-Schnittstelle entsprechend geändert werden. 1. Klicken Sie im Navigationsbereich auf Layer 3" > Subnet" und im Inhaltsbereich auf das Register Configuration". 2. Geben Sie die IP-Adresse für die vlan1 nach der Fehler! Verweisquelle konnte nicht gefunden werden. ein. 3. Klicken Sie auf Set Values". Ergebnis In der Adresszeile des Webbrowsers wird die IP-Adresse automatisch angepasst. Durch die Mehrfach-IP-Adressen-Zuordnung kann der PC weiterhin auf das Web Based Management zugreifen. Beitrags-ID: , V1.0, 09/

16 IP-Subnetze anlegen Der SCALANCE S615 verfügt über fünf Ports, die wie folgt werksseitig eingestellt sind: Port 1-4: vlan 1 Für den Zugriff vom lokalen Netz (LAN) auf das Gerät. Port 5: vlan 2 Für den Zugriff vom externen Netz (WAN) zum Gerät. Die VLANs sind in verschiedenen IP-Subnetzen. Das IP-Subnetz für VLAN 1 wurde bereits im letzten Abschnitt konfiguriert. Zur Konfiguration des IP-Subnetzes für VLAN 2 gehen Sie wie folgt vor: 1. Klicken Sie im Navigationsbereich auf Layer 3" > Subnet" und im Inhaltsbereich auf das Register Configuration". 2. Wählen Sie bei Interface die vlan2 aus. Geben Sie die IP-Adresse für vlan2 nach der Fehler! Verweisquelle konnte nicht gefunden werden. ein. 3. Klicken Sie auf Set Values". Ergebnis Die IP-Subnetze sind angelegt und werden im Register Overview angezeigt. Beitrags-ID: , V1.0, 09/

17 2.1.5 Router am VPN-Server Statische IP-Adresse bei DSL-Router Der WAN-Zugriff der VPN-Clients auf den SINEMA Remote Connect Server (VPN-Server) erfolgt über eine fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider beantragt und anschließend im DSL-Router hinterlegt werden. Portforwarding am DSL-Router Damit die Tunnel-Pakete ungehindert zwischen Tablet, SCALANCE S615 und SINEMA Remote Connect Server ausgetauscht werden können, achten Sie darauf, dass das PORT-Forwarding für OpenVPN und https mit TCP und UDP (TCP/443,UDP/1194,TCP/5443) freigeschaltet ist und an den SINEMA Remote Connect Server weitergeleitet werden. Hinweis Diese Ports sind prinzipiell im SINEMA Remote Connect Server änderbar, die Portnummern stimmen also nur, wenn Sie die Einstellungen bei den Defaultwerten belassen. Für OpenVPN wird entweder nur UDP oder TCP genutzt. UDP ist - wenn möglich - immer vorzuziehen, da es schneller bzw. performanter ist. Beitrags-ID: , V1.0, 09/

18 2.1.6 SINEMA Remote Connect Server Webbased Management öffnen Schließen Sie den PC am lokalen Netzwerk des SINEMA Remote Connect Servers an (z.b. über die lokalen Ports am Router) und verbinden Sie sich mit der Web- Oberfläche des SINEMA Remote Connect Servers. Die IP-Adresse wurde während der Installation festgelegt. Öffnen Sie das Webbased Management über die Adresse Webbased Management Login Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, sind die Login-Daten wie folgt festgelegt: Name: admin Password: admin 1. Tragen Sie Name und Passwort in die entsprechenden Eingabefelder ein. Klicken Sie die Schaltfläche Anmelden ( Login"). 2. Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, werden Sie aufgefordert, das Passwort zu ändern. 3. Geben Sie das alte und neue Passwort ein. Das neue Passwort muss mind. 8 Zeichen lang sein und mindestens ein Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten. 4. Klicken Sie auf die Schaltfläche Speichern ( Save"), um den Vorgang abzuschließen und das neue Passwort zu aktivieren. Beitrags-ID: , V1.0, 09/

19 Uhrzeit einstellen 5. Wenn Sie sich erfolgreich angemeldet haben, erscheint die Startseite. Ergebnis Das Passwort für den Benutzer admin" ist geändert. Melden Sie sich fortan mit dem geänderten Passwort an. Für den Aufbau einer sicheren Kommunikation ist es unerlässlich, dass auf dem SINEMA Remote Connect Server stets die aktuelle Uhrzeit und Datum eingestellt ist. Anderenfalls werden die verwendeten Zertifikate als ungültig interpretiert und eine sichere VPN-Kommunikation ist nicht möglich. 1. Navigieren Sie in der Navigationsleiste zu System > Datum und Uhrzeit". ( System > System Time ). 2. Klicken Sie auf die Schaltfläche PC-Uhrzeit verwenden ( Use PC Time ), um die Zeiteinstellung des PCs zu übernehmen. Ergebnis Das Datum und die Uhrzeit werden übernommen und im Feld Systemzeit ( System time ) angezeigt. Hinweis Sie haben auch die Möglichkeit, die Systemzeit mit einem NTP-Zeitserver automatisch synchronisieren zu lassen, sodass die aktuelle Uhrzeit präzise bezogen werden kann. Beitrags-ID: , V1.0, 09/

20 Schnittstelle überprüfen 3. Klicken Sie im Navigationsbereich auf Security > Netzwerk ( Security" > Network") und im Inhaltsbereich auf das Register Schnittstellen" ( Interfaces ). 4. Wählen Sie bei Port" WAN". Die Konfiguration des Ports wird angezeigt. Prüfen Sie die Einstellungen des WAN-Ports. Aktivieren Sie SINEMA RC befindet sich hinter einem NAT-Gerät" ( SINEMA RC is located behind a NAT device ), um die erforderlich externe WAN-IP- Adresse für den Router einzugeben. Geben Sie bei WAN-IP-Adresse die WAN-IP-Adresse des Routers ein. 5. Sichern Sie die Einstellungen mit Sichern ( Save ). Hinweis Belassen Sie die Default- Einstellungen, wenn sich der SINEMA Remote Connect Server in einem lokalen Netzwerk befindet. Beitrags-ID: , V1.0, 09/

21 2.2 Fernzugriff auf dem SINEMA Remote Connect Server einrichten Damit der Servicetechniker mit seinem Tablet über den SINEMA Remote Connect Server auf die Automatisierungszelle zugreifen kann, müssen sich die Endgeräte (Tablet und SCALANCE S615) am Server anmelden. Erst nach erfolgreicher Authentifizierung wird der jeweilige VPN-Tunnel zwischen dem Endgerät und dem SINEMA Remote Connect Server aufgebaut. Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen verschaltet der SINEMA Remote Connect Server die einzelnen VPN-Tunnels und ermöglicht somit den Zugriff. Dafür sind folgende Projektierungsschritte nötig: Teilnehmergruppen definieren. SCALANCE S615 als Gerät implementieren. Servicetechniker als Benutzer anlegen. Kommunikationsbeziehungen festlegen. Zertifikate und Benutzerkonfiguration laden. Webbased Management öffnen Schließen Sie den PC am lokalen Netzwerk des SINEMA Remote Connect Servers an (z.b. über die lokalen Ports am Router) und öffnen Sie das Webbased Management über die Adresse Melden Sie sich als Benutzer admin und dem entsprechendem Passwort an. Hinweis: Nur als Benutzertyp admin" haben Sie Schreibrechte auf die Konfiguration im SINEMA Remote Connect Server. Beitrags-ID: , V1.0, 09/

22 2.2.1 Teilnehmer und Kommunikationsbeziehungen definieren Teilnehmergruppen definieren Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Für diese Beispielkonfiguration werden folgende Gruppen angelegt. Station : Gerät SCALANCE S615. Service : Benutzerkonto für den Servicetechniker mit dem Tablet. 1. Klicken Sie im Navigationsbereich auf Fernverbindungen" > Teilnehmergruppen" ( Remote connections > Participant groups ). Klicken Sie auf Erstellen" ( Create ). 2. Die Seite Neue Teilnehmergruppe" ( New participant group ) wird geöffnet. Tragen Sie bei Gruppenname ( Group name ) Station" und (optional) eine Beschreibung ein. Klicken Sie auf Erstellen" ( Create ). Beitrags-ID: , V1.0, 09/

23 3. Die Teilnehmergruppe Station wurde angelegt und erscheint im Inhaltsbereich. Klicken Sie auf Erstellen" ( Create ). 4. Tragen Sie bei Gruppenname ( Group name ) Service" (optional) eine Beschreibung ein. Klicken Sie auf Erstellen" ( Create ). Ergebnis Die beiden Teilnehmergruppen sind nun angelegt und erscheinen im Inhaltsbereich. Beitrags-ID: , V1.0, 09/

24 SCALANCE S615 als Gerät einfügen Für die Integration des SCALANCE S615 folgen Sie diesen Schritten: 1. Klicken Sie im Navigationsbereich auf Fernverbindungen" > Geräte" ( Remote connections > Devices ). Klicken Sie auf Erstellen" ( Create ), um ein neues Gerät anzulegen. 2. Die Seite Neues Gerät" ( New device ) wird geöffnet. Geben Sie den Gerätenamen für das Gerät an, z. B. S615". Klicken Sie auf Weiter" ( Continue ). Beitrags-ID: , V1.0, 09/

25 3. Aktivieren Sie die Option Verbundene lokale Subnetze" ( Connect local subnets ) und konfigurieren Sie die Parameter gemäß Tabelle 2-1. Fügen Sie das Gerät mit Hinzufügen ( Add ) hinzu. Klicken Sie auf Weiter" ( Continue ). 4. Das Register Gruppenzugehörigkeit" ( Group memberships ) wird angezeigt. Aktivieren Sie die Teilnehmergruppe Station. Klicken Sie auf Weiter" ( Continue ). Beitrags-ID: , V1.0, 09/

26 5. Das Register Passwort" ( Password ) wird angezeigt. Legen Sie das Passwort für den Zugriff fest. Das Passwort muss sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen. Dieses Passwort wird später bei der Projektierung des SCALANCE S615 wieder benötigt (siehe Kapitel 2.3.3). Klicken Sie auf Weiter" ( Continue ). 6. Das Register Geräteübersicht" ( Device ) wird angezeigt. Alle Informationen werden hier zusammengefasst. Klicken Sie auf Beenden" ( Finish ). Beitrags-ID: , V1.0, 09/

27 Ergebnis Der SCALANCE S615 ist als neues Gerät im SINEMA Remote Connect Server hinterlegt. Geräte-ID ermitteln Die Geräte-ID und falls kein CA-Zertifikat verwendet wird - der Fingerabdruck sind Informationen, mit welchen sich der SCALANCE S615 beim Verbindungsaufbau am SINEMA Remote Connect Server authentifiziert. Da in diesem Beispiel das CA-Zertifikat verwendet wird, ist lediglich die Geräte-ID interessant. 1. Klicken Sie im Navigationsbereich auf Fernverbindungen" > Geräte" ( Remote connections > Devices ). Der SCALANCE S615 wird angezeigt. 2. Klicken Sie bei Aktionen" ( Actions ) auf das Symbol, um die Geräteinformation zu öffnen. 3. Die Geräteinformationen ( Device information ) werden angezeigt. Notieren Sie sich den Eintrag bei Geräte-ID oder kopieren Sie den Eintrag und speichern den Wert in einer Textdatei in Ihrem lokalen Verzeichnis. 4. Schließen Sie den Dialog mit Dialog verlassen ( Exit dialog ). Beitrags-ID: , V1.0, 09/

28 Benutzerkonto für Servicetechniker einfügen Der Zugriff über das Tablet wird in diesem Beispiel von einem Servicetechniker übernommen. Dafür benötigt der Servicetechniker einen Benutzernamen und ein Passwort. 1. Klicken Sie im Navigationsbereich auf Benutzerkonten" > Benutzer und Rollen" ( User accounts > Users and roles ). Klicken Sie auf Erstellen" ( Create ). Die Seite Neuer Benutzer" ( New User ) wird geöffnet. 2. Geben Sie den Benutzernamen ein, z. B. MobileService, und klicken Sie auf Weiter" ( Continue ). Beitrags-ID: , V1.0, 09/

29 3. Das Register Rechte" ( Rights ) wird angezeigt. Sie haben folgende Möglichkeit, dem Benutzer Rechte zu geben Rechtezuordnung über Rollenzuweisung: Wählen Sie eine bereits angelegte Rolle aus. Die zugehörigen Rechte werden dem Benutzer automatisch zugewiesen; für zusätzliche Rechte klicken Sie auf das Kontrollkästchen. Rechtezuordnung ohne Rollenzuweisung: Wenn Sie keine Rolle gewählt haben, aktivieren Sie die entsprechenden Rechte durch Klicken der Kontrollkästchen. Vergeben Sie an dieser Stelle die von Ihnen gewünschten Rechte. Klicken Sie auf Weiter" ( Continue ). 4. Das Register Gruppenzugehörigkeit" ( Group memberships ) wird angezeigt. Ordnen Sie den neuen Benutzer der Teilnehmergruppe Service zu. Klicken Sie auf Weiter" ( Continue ). Beitrags-ID: , V1.0, 09/

30 5. Im nächsten Schritt definieren Sie das Passwort für den neuen Benutzer. Das Passwort muss mind. 8 Zeichen lang sein und mindestens ein Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten. Dieses Passwort wird später bei der Projektierung des Tablets wieder benötigt (siehe Kapitel 2.4.2). Schließen Sie die Benutzererstellung mit Beenden ( Finish ) ab. Hinweis: Das vergebene Passwort kann zu einem späteren Zeitpunkt vom neuen Benutzer selbst angepasst werden. Ergebnis Der Benutzer MobileService ist angelegt und erscheint jetzt als neuer Benutzer. Beitrags-ID: , V1.0, 09/

31 Kommunikationsbeziehungen festlegen Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen notwendig. Dabei kann für jede Richtung eine Kommunikationsbeziehung erstellt werden. In diesem Konfigurationsbeispiel geht die Kommunikation nur von der Gruppe Service" zur Gruppe Station". In die Gegenrichtung ist keine Kommunikation möglich. Um das zu ermöglichen, führen Sie folgende Schritte aus: 1. Klicken Sie im Navigationsbereich auf Fernverbindungen" > Teilnehmergruppen" ( Remote connections > Participant groups ). Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. Klicken Sie bei "Service" in der Spalte Aktionen" ( Actions ) auf das Pfeil- Symbol. 2. Die Seite Zielgruppe" ( Destination groups ) wird geöffnet. Aktivieren Sie Station" und klicken Sie auf Speichern" ( Save ). 3. Klicken Sie auf Dialog verlassen" ( Exit dialog ). Ergebnis Die Teilnehmer der Gruppe Service können nun mit den Teilnehmern der Gruppe Station kommunizieren nicht umgekehrt. Beitrags-ID: , V1.0, 09/

32 2.2.2 Zertifikate und Benutzerkonfiguration exportieren Zertifikat für SCALANCE S615 Die gesicherte OpenVPN-Verbindung dieses Beispiels verwendet zur Authentifizierung das CA- Zertifikat. Dieses muss aus dem SINEMA Remote Connect Server exportiert werden, da es für die Projektierung des SCALANCE S615 benötigt wird. 1. Klicken Sie im Navigationsbereich auf Sicherheit" > Zertifikate" ( Security > Certificates ). Klicken Sie bei Aktionen" ( Actions ) auf das entsprechende Symbol, um das Zertifikat zu exportieren. 2. Speichern Sie das Zertifikat in ein lokales Verzeichnis auf dem PC. Beitrags-ID: , V1.0, 09/

33 Benutzerkonfiguration für Servicetechniker (Tablet) Beim Anlegen eines Benutzers wird automatisch eine Konfigurationsdatei mit der Endung *.ovpn generiert. Die Datei enthält verschiedene Parameter, die für eine Verbindung mit dem Server notwendig sind. Die Datei muss in den Teilnehmer im entfernten Netzwerk geladen werden, das zu dem SINEMA Remote Connect Server eine VPN-Verbindung aufbaut. 1. Melden Sie sich als Administrator am Webbased Management ab und loggen Sie sich mit den eben erstellten, neuen Benutzerdaten erneut an. 2. Klicken Sie im Navigationsbereich auf Mein Konto" > Benutzerzertifikat ( My account > User certificate ). Wechseln Sie in das Register Exporte ( Exports ). 3. Laden Sie durch einen Klick auf das entsprechende Format alle angezeigten Zertifikate in ein lokales Verzeichnis auf Ihrem PC. Dazu gehören: a. PKCS#12: Container im Personal Information Exchange Format (PFX). b. PEM: Zertifikat und Schlüssel als Base64-kodierten ASCII-Text. c. OVPN: OpenVPN-Konfiguration für Benutzer. Ergebnis Es wurden alle benötigten Zertifikate im lokalen Verzeichnis gespeichert. Beitrags-ID: , V1.0, 09/

34 2.3 Fernverbindung auf dem S615 einrichten Für einen erfolgreichen Aufbau des VPN-Tunnels zwischen SCALANCE S615 und dem SINEMA Remote Connect Server sind folgende Projektierungsschritte nötig: Verbindung zwischen den VLANs freigeben. Zertifikat in das Gerät laden. VPN-Verbindung projektieren. Webbased Management öffnen Verbinden Sie den PC mit einem LAN-Port des SCALANCE S615 (z.b. Port 2) und öffnen Sie das Webbased Management über die Adresse Melden Sie sich als Benutzer admin und dem entsprechendem Passwort an Zugriff auf den SINEMA Remote Connect Server freigeben Da zwischen Station und Zentrale ein öffentliches Netz liegt und die IP-Subnetze sich unterscheiden, müssen Sie eine entsprechende Route anlegen. Klicken Sie im Navigationsbereich auf Layer 3" > Routes" und konfigurieren Sie die Route zum Router mit folgenden Einstellungen: Destination Network: (alle IP-Adressen) Subnetmask: Gateway: LAN-IP-Adresse des Routers, der mit dem WAN-Port 5 verbunden ist. Beitrags-ID: , V1.0, 09/

35 2.3.2 Zertifikat laden Die gesicherte OpenVPN-Verbindung dieses Beispiels verwendet zur Authentifizierung das CA- Zertifikat. Dieses wurde aus SINEMA Remote Connect Server exportiert und muss nun in den SCALANCE S615 geladen werden. Mit diesem Server-Zertifikat verifiziert der SCALANCE den SINEMA Remote Connect Server bei der Initialisierung des VPN-Tunnels. 1. Klicken Sie im Navigationsbereich auf System" > Load & Save" und im Inhaltsbereich auf das Register HTTP". Klicken Sie bei X509Cert" auf die Schaltfläche Load". 2. Das Dialogfenster zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum exportierten Serverzertifikat. Klicken Sie im Dialogfenster auf die Schaltfläche Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit OK". Ergebnis Die Zertifikate sind geladen. Unter Security" > Certificates" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status valid" besitzen. Beitrags-ID: , V1.0, 09/

36 2.3.3 VPN-Verbindung projektieren Durch den Einsatz eines gültigen KEY-PLUGs wird die Auto-Konfigurations- Schnittstelle freigeschaltet und eine einfache Verbindungsprojektierung zu SINEMA Remote Connect wird ermöglicht. 1. Klicken Sie im Navigationsbereich auf System" > SINEMA RC". Geben Sie bei SINEMA RC Address" die IP-Adresse des SINEMA Remote Connect Servers ein. Hinweis: Ist der SINEMA Remote Connect Server nur über ein öffentliches Netz erreichbar, tragen Sie hier die statische WAN-IP-Adresse des Routers ein. Unter Device-ID tragen Sie den Wert der Geräte-ID ein, die der SCALANCE S615 im SINEMA Remote Connect Server erhalten hat (siehe Kapitel 2.2.1). Geben Sie bei Device Password" das Passwort an, das Sie für den Zugriff projektiert haben (siehe Kapitel 2.2.1). Aktivieren Sie Auto Firewall / NAT Rules" um automatisch die entsprechenden NAT und Firewallregeln anzulegen. Wählen Sie bei Verification Type CA Certificate" aus. Beitrags-ID: , V1.0, 09/

37 Wählen Sie bei CA Certificate" das geladene Serverzertifikat aus. Beitrags-ID: , V1.0, 09/

38 2. Aktivieren Sie Enable SINEMA RC" und klicken Sie auf Set Values". Beitrags-ID: , V1.0, 09/

39 Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA Remote Connect Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM unter Information" > SINEMA RC" prüfen. Beitrags-ID: , V1.0, 09/

40 2.4 Fernverbindung auf dem Tablet einrichten Modifikation der Konfigurationsdatei.ovpn Die.ovpn-Datei wird nun für die Nutzung mit der App OpenVPN-Connect angepasst. 1. Öffnen Sie die Datei MobileService.ovpn und mit einem Editor (z.b. Notepad++). Beitrags-ID: , V1.0, 09/

41 2. Entfernen Sie aus der Datei MobileService.ovpn das pkcs12-zertifikat. 3. Fügen Sie stattdessen die Tags <ca> und </ca> ein. 4. Kopieren Sie aus der Datei das ca-zertifikat in die Zwischenablage. Hinweis: Das ca-zertifikat ist das letzte Zertifikat in der Beitrags-ID: , V1.0, 09/

42 5. Fügen Sie den Inhalt der Zwischenablage zwischen den eben erstellten Tags <ca> und </ca> der Datei MobileService.ovpn ein. Beitrags-ID: , V1.0, 09/

43 6. Speichern Sie die Änderungen in der Datei MobileService.ovpn. Beitrags-ID: , V1.0, 09/

44 2.4.2 Übertragung der Konfigurationsdaten Der Fernzugriff zwischen Tablet und SINEMA Remote Connect Server wird über eine OpenVPN-Verbindung abgesichert. Initiator der Verbindung ist die OpenVPN-Connect -App, die auf dem Tablet installiert ist. Öffnen Sie diese App auf Ihrem Tablet. Das.p12-Zertifikat und die modifizierte Konfigurationsdatei müssen auf das Tablet übertragen werden. Die OpenVPN-Connect -App bietet folgende Möglichkeiten an: Import über einen OpenVPN Access Server. Synchronisation der Daten über itunes. Übertragung über ; achten Sie in diesem Fall für eine sichere Übertragung z.b. über eine geeignete Verschlüsselung. 1. Importieren Sie die benötigten Dateien z.b. per itunes. MobileService.ovpn 2. Wenn Sie die Datei MobileService.ovpn öffnen, werden Sie gefragt, ob Sie diese mit der App öffnen wollen. Bestätigen Sie dies. In der OpenVPN-Connect -App wird Ihnen die neue Konfiguration zum Übernehmen angeboten. Klicken Sie auf das grüne Plus-Symbol. Beitrags-ID: , V1.0, 09/

45 3. Das Profil wird geöffnet. Zertifikat installieren Die Authentifizierung der Teilnehmer erfolgt über das P12-Zertifikat. Dieses muss auf dem Tablet installiert werden. 1. Klicken Sie auf das Zertifikat 2. Der Dialog zum Installieren öffnet sich. Tippen Sie auf Installieren ( Install ). 3. Bestätigen Sie die Warnung mit erneutes Tippen auf Installieren ( Install ). Beitrags-ID: , V1.0, 09/

46 4. Starten Sie die Installation mit erneutes Tippen auf Installieren ( Install ). 5. Das Passwort für das Zertifikat wird benötigt. Tragen Sie in das entsprechende Feld das Passwort ein, welches Sie für den neuen Benutzer in SINEMA Remote Connect Server definiert haben (siehe Kapitel 0). Tippen Sie auf Weiter ( Next ). Beitrags-ID: , V1.0, 09/

47 6. Ihr installiertes Zertifikat wird angezeigt. Tippen Sie auf Fertig ( Done ). 7. Das.p12-Zertifikat wurde installiert und kann nun verwendet werden. Beitrags-ID: , V1.0, 09/

48 VPN-Verbindung einrichten 1. Öffnen Sie die OpenVPN-Connect -App und das neu importierte Profil. Um das eben installierte Zertifikat diesem Profil zuzuordnen, klicken Sie auf Nicht ausgewählt ( None selected ) bei Zertifikate ( Certificates ). 2. Markieren Sie das benötigte Zertifikat und wechseln Sie zurück zu OpenVPN. 3. Die Projektierung der OpenVPN-Verbindung ist damit abgeschlossen. Beitrags-ID: , V1.0, 09/

49 2.4.3 Aufbau der VPN-Verbindung Sind alle Komponenten projektiert, kann der VPN-Tunnel zwischen Tablet ( OpenVPN-Connect -App) und SINEMA Remote Connect Server initialisiert werden. Schieben Sie dafür den Schalter bei Verbindung ( Connection ) nach rechts. Sobald die Verbindung aufgebaut wurde, wird der Status als Verbunden ( Connected ) angezeigt. Ergebnis Nun können Sie mit dem Tablet das Webbased Management des SINEMA Remote Connect Servers öffnen und sich als Benutzer MobileService einloggen. Je nach Rechte-Vergabe haben Sie nun verschiedene Möglichkeiten des Fernzugriffs. Beitrags-ID: , V1.0, 09/

50 3 Tunnelfunktion testen 3 Tunnelfunktion testen Nach Kapitel 2 ist die Inbetriebsetzung der Konfiguration abgeschlossen und der SCALANCE S615 und das Tablet haben je einen VPN-Tunnel zum SINEMA Remote Connect Server zur sicheren Kommunikation aufgebaut. Der SINEMA Remote Connect Server verschaltet diese entsprechend der Projektierung. Durch die Festlegung der Kommunikationsbeziehungen und Rechte hat der Servicetechniker mit dem Tablet nun die Möglichkeit, auf die Geräte hinter dem SCALANCE S615 zuzugreifen (nicht umgekehrt). Die aufgebaute Tunnelverbindung können Sie z.b. durch Öffnen der internen Webseite einer PROFINET CPU testen, welche sich im LAN-Netzwerk des SCALANCE S615 befindet. 4 Historie Tabelle 4-1 Version Datum Änderung V1.0 09/2015 Erste Ausgabe Beitrags-ID: , V1.0, 09/