SIMATIC NET. Industrial Ethernet Security SCALANCE S615 Getting Started. Vorwort. SCALANCE S615 mit dem WAN verbinden 1

Transkript

1 Vorwort SCALANCE S615 mit dem WAN verbinden 1 SIMATIC NET Industrial Ethernet Security VPN-Tunnel zwischen SCALANCE S615 und 2 SINEMA RC-Server NETMAP mit SCALANCE S615 3 VRRPv3 projektieren 4 Getting Started 02/2018 C79000-G8900-C390-03

2 Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: Marken WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Division Process Industries and Drives Postfach NÜRNBERG DEUTSCHLAND Dokument-Bestellnummer: C79000-G8900-C390 P 02/2018 Änderungen vorbehalten Copyright Siemens AG Alle Rechte vorbehalten

3 Vorwort Zweck Anhand von Beispielen wird die Projektierung des SCALANCE S615 gezeigt. IP-Einstellungen der Beispiele Hinweis Die in den Beispielen verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Allgemeine Benennung Die Bezeichnung... steht für... SINEMA RC SINEMA RC-Server S615 SINEMA Remote Connect SINEMA Remote Connect-Server SCALANCE S615 Weiterführende Informationen Zum Thema Remote Network gibt es außer dem Projektierungshandbuch, das Sie gerade lesen, noch folgende Dokumentationen: Projektierungshandbuch "Industrial Remote Communication Remote Networks - SCALANCE S615 Web Based Management" Dieses Dokument soll Sie in die Lage versetzen das Gerät in Betrieb zu nehmen und zu bedienen. Es vermittelt die notwendigen Kenntnisse über die Konfiguration der Geräte. Betriebsanleitung "Industrial Remote Communication - TeleControl SINEMA Remote Connect Client" Dieses Handbuch unterstützt Sie bei der Installation, Konfiguration und Bedienung der Anwendung SINEMA RC Client. Betriebsanleitung "Industrial Remote Communication - TeleControl SINEMA Remote Connect Server" Dieses Handbuch unterstützt Sie bei der Installation, Konfiguration und Bedienung der Anwendung SINEMA RC-Server. Getting Started, 02/2018, C79000-G8900-C

4 Vorwort Getting Started Industrial Remote Communication - TeleControl - SINEMA Remote Connect" Dieses Dokument zeigt anhand von Beispielen die Projektierung von SINEMA RC. Im Handbuch "SIMATIC NET Industrial Ethernet Netzhandbuch" erhalten Sie Hinweise zu weiteren SIMATIC NET-Produkten, die Sie gemeinsam mit den Geräten dieser Produktlinie in einem Industrial Ethernet Netzwerk betreiben können. Dort finden Sie u. a. optische Leistungsdaten der Kommunikationspartner, die Sie für den Aufbau benötigen. Sie finden dieses Dokument im Internet unter folgender Beitrags-ID: ( SIMATIC NET-Handbücher Die SIMATIC NET-Handbücher finden Sie auf den Internetseiten des Siemens Industry Online Support: über die Suchfunktion: Link zum Siemens Industry Online Support ( Geben Sie die Beitrags-ID des jeweiligen Handbuchs als Suchbegriff ein. über die Navigation auf der linken Seite im Bereich "Industrielle Kommunikation": Link zum Bereich "Industrielle Kommunikation" ( Navigieren Sie zu der gewünschten Produktgruppe und nehmen Sie folgende Einstellungen vor: Register "Beitragsliste", Beitragstyp "Handbücher" Training, Service & Support Informationen zu Training, Service & Support finden Sie in dem mehrsprachigen Dokument "DC_support_99.pdf", welches sich auf dem mitgelieferten Datenträger mit Dokumentation befindet. SIMATIC NET-Glossar Erklärungen zu vielen Fachbegriffen, die in dieser Dokumentation vorkommen, sind im SIMATIC NET-Glossar enthalten. Sie finden das SIMATIC NET-Glossar im Internet unter folgender Adresse: ( 4 Getting Started, 02/2018, C79000-G8900-C390-03

5 Vorwort Security-Hinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.b. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden. Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter folgender Adresse: Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter folgender Adresse: Firmware Die Firmware ist signiert und verschlüsselt. Es ist sichergestellt, dass nur von Siemens erstellte Firmware in das Gerät geladen werden kann. Marken Folgende und eventuell weitere nicht mit dem Schutzrechtsvermerk gekennzeichnete Bezeichnungen sind eingetragene Marken der Siemens AG: SCALANCE, SINEMA, KEY-PLUG, C-PLUG Getting Started, 02/2018, C79000-G8900-C

6 Vorwort 6 Getting Started, 02/2018, C79000-G8900-C390-03

7 Inhaltsverzeichnis Vorwort SCALANCE S615 mit dem WAN verbinden Prinzipielles Vorgehen SCALANCE S615 und Netzwerk einrichten Das Web Based Management starten Am Web Based Management anmelden IP-Einstellungen des S615 ändern Geräteinformationen festlegen Uhrzeit einstellen IP-Subnetz anlegen VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server Prinzipielles Vorgehen Zugriff auf den SINEM RC-Servers konfigurieren Route konfigurieren IP-Masquerading aktivieren Zugriff erlauben Fernverbindung auf dem SINEMA RC-Server konfigurieren Teilnehmergruppen anlegen Geräte anlegen Kommunikationsbeziehungen konfigurieren Fernverbindung auf dem S615 konfigurieren Gesicherte VPN-Verbindung mit Fingerabdruck Gesicherte VPN-Verbindung mit CA-Zertifikat Zertifikat laden VPN-Verbindung zum SINEMA RC-Server projektieren NETMAP mit SCALANCE S NETMAP für das lokale Netz VPN-Verbindung anlegen NETMAP-Regeln erstellen NETMAP für das entfernte Netz VPN-Verbindung anlegen NETMAP-Regeln erstellen NETMAP für das lokale und das entfernte Netz VPN-Verbindung anlegen NETMAP-Regeln erstellen Getting Started, 02/2018, C79000-G8900-C

8 Inhaltsverzeichnis 4 VRRPv3 projektieren Einleitung IP-Subnetz anlegen VRRPv3 konfigurieren VRRPv3-Router anlegen VRRPv3-Router konfigurieren Virtuelle IP-Adresse festlegen Schnittstellenüberwachung konfigurieren Firewall-Regel für VRRPv3 anlegen VRRPv3 überprüfen Getting Started, 02/2018, C79000-G8900-C390-03

9 SCALANCE S615 mit dem WAN verbinden Prinzipielles Vorgehen In diesem Beispiel wird dem SCALANCE S615, das sich im Zustand der Werkseinstellungen befindet, eine IP-Adresse zugewiesen. Im Anschluss wird das Gerät über das Web Based Management (WBM) konfiguriert. Der Zugriff auf das WAN über die Ethernet-Schnittstelle P5 des S615 angeschlossen wird. Aufbau Erforderliche Geräte/Komponenten 1x S615 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmblockstecker 1x PC zum Konfigurieren des S615 die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Getting Started, 02/2018, C79000-G8900-C

10 SCALANCE S615 mit dem WAN verbinden 1.1 Prinzipielles Vorgehen Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Interface IP-Adresse LAN1 S615 LAN-Port P1 (vlan1) WAN-Port P5 (vlan2) PC1 LAN-Port Gateway: IP-Adresse vlan1 Hinweis Die im Beispiel verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Projektierungsschritte 1. SCALANCE S615 und Netzwerk einrichten (Seite 11) 2. Das Web Based Management starten (Seite 12) 3. Am Web Based Management anmelden (Seite 15) 4. IP-Einstellungen des SCALANCE S615 ändern (Seite 17) 5. SCALANCE S615 konfigurieren Geräteinformationen festlegen (Seite 19) Uhrzeit einstellen (Seite 20) IP-Subnetz anlegen (Seite 23) 10 Getting Started, 02/2018, C79000-G8900-C390-03

11 SCALANCE S615 mit dem WAN verbinden 1.2 SCALANCE S615 und Netzwerk einrichten 1.2 SCALANCE S615 und Netzwerk einrichten Hinweis Machen Sie sich mit den Sicherheitshinweisen vertraut, bevor Sie das Gerät in Betrieb nehmen. Die Sicherheitshinweise finden Sie in der Betriebsanleitung. Vorgehensweise 1. Packen Sie zunächst das S615 aus und überprüfen Sie den unbeschädigten Zustand. 2. Montieren Sie die Spannungsversorgung. WARNUNG Nur Sicherheitskleinspannung verwenden Das Gerät SCALANCE S615 ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/ VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S615 muss NEC Class 2 gemäß National Electrical Code (r) (ANSI / NFPA 70) entsprechen. 3. Verdrahten Sie die S615, siehe Aufbau (Seite 9). 4. Schließen Sie das Gerät über die Ethernet-Ports an das lokale Netz an. 5. Schalten Sie das Gerät an. Nachdem Anschließen leuchtet die Fehler-LED (F) rot. 6. Schalten Sie jetzt den PC ein. Getting Started, 02/2018, C79000-G8900-C

12 SCALANCE S615 mit dem WAN verbinden 1.3 Das Web Based Management starten 1.3 Das Web Based Management starten Werkseitig ist das SCALANCE S615 unter der folgenden IP-Adresse erreichbar: IP-Adresse: Subnetzmaske: Der Admin-PC erhält in dieser Beispielkonfiguration folgende IP-Adresseinstellung, um auf das Web Based Management des S615 zu zugreifen. IP-Adresse Subnetzmaske Vorgehensweise 1. Öffnen Sie auf dem Admin-PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Klicken Sie mit der rechten Maustaste auf das Symbol "LAN-Verbindung" und wählen Sie den Menübefehl "Eigenschaften". 4. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 12 Getting Started, 02/2018, C79000-G8900-C390-03

13 SCALANCE S615 mit dem WAN verbinden 1.3 Das Web Based Management starten 5. Geben Sie die Werte nach der obigen Tabelle ein. 6. Bestätigen Sie die Dialoge mit "OK" und schließen Sie die Systemsteuerung. Getting Started, 02/2018, C79000-G8900-C

14 SCALANCE S615 mit dem WAN verbinden 1.3 Das Web Based Management starten 7. Geben Sie im Adressfeld des Internet-Browsers die IP-Adresse " " ein. Standardmäßig ist der Zugriff über HTTPS aktiviert. Wenn Sie über HTTP auf das Gerät zugreifen, wird die Adresse automatisch auf HTTPS umgeleitet. Eine Meldung zum Sicherheitszertifikat erscheint. Quittieren Sie diese Meldung und setzen Sie das Laden der Seite fort. Hinweis Informationen zum Sicherheitszertifikat Da das Gerät nur über verschlüsselte Zugänge administrierbar ist, wird es mit einem selbst unterzeichneten Zertifikat ausgeliefert. Bei Zertifikaten mit Unterschriften, die dem Betriebssystem nicht bekannt sind, erscheint ein Sicherheitshinweis. Sie können sich das Zertifikat anzeigen lassen. 8. Wenn eine einwandfreie Verbindung zum Gerät besteht, erscheint die Anmeldeseite des Web Based Managements (WBM). 14 Getting Started, 02/2018, C79000-G8900-C390-03

15 SCALANCE S615 mit dem WAN verbinden 1.4 Am Web Based Management anmelden 1.4 Am Web Based Management anmelden Vorgehensweise 1. Melden Sie sich mit dem Benutzernamen "admin" und dem Passwort "admin" an. Sie werden aufgefordert, das Passwort zu ändern. 2. Bestätigen Sie den Dialog. Automatisch wird die WBM-Seite "Passwörter von Benutzern" geöffnet. 3. Tragen Sie bei "Aktuelles Benutzerpasswort" das Default-Passwort "admin" ein. 4. Geben Sie bei "Neues Passwort" das neue Passwort ein. Das neue Passwort muss mindestens 8 Zeichen lang sein und Großbuchstaben, Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten. 5. Wiederholen Sie das neue Passwort bei "Passwort bestätigen" zur Bestätigung. Beide Einträge müssen übereinstimmen. Getting Started, 02/2018, C79000-G8900-C

16 SCALANCE S615 mit dem WAN verbinden 1.4 Am Web Based Management anmelden 6. Klicken Sie auf die Schaltfläche "Einstellungen übernehmen". 7. Der Basic Wizard startet, um Sie bei der Konfiguration der Geräteparameter zu unterstützen. Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Die Änderungen sind sofort wirksam. 16 Getting Started, 02/2018, C79000-G8900-C390-03

17 SCALANCE S615 mit dem WAN verbinden 1.5 IP-Einstellungen des S615 ändern 1.5 IP-Einstellungen des S615 ändern Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnetze" und im Inhaltsbereich auf das Register "Konfiguration". 2. Geben Sie die IP-Adresse für vlan1 nach der Tabelle "Verwendete Einstellungen (Seite 9)" ein. 3. Klicken Sie auf "Einstellungen übernehmen". In der Adresszeile des Webbrowsers wird die IP-Adresse automatisch angepasst. Der Webbrowser auf dem Admin-PC kann nicht mehr auf das Web Based Management zugreifen, da seine IP-Einstellungen nicht mehr passen. 4. Öffnen Sie auf dem Admin-PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 5. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 6. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". Getting Started, 02/2018, C79000-G8900-C

18 SCALANCE S615 mit dem WAN verbinden 1.5 IP-Einstellungen des S615 ändern 7. Geben Sie die Werte für den PC nach der Tabelle "Verwendete Einstellungen (Seite 9)" ein. 8. Bestätigen Sie die Dialoge mit "OK" und schließen Sie die Systemsteuerung. 9. Geben Sie im Adressfeld des Webbrowsers die IP-Adresse für vlan 1 ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)". Wenn eine einwandfreie Verbindung zum Gerät besteht, erscheint die Anmeldeseite des Web Based Managements (WBM). 10.Melden Sie sich mit dem Benutzernamen "admin" und dem geänderten Passwort an. 18 Getting Started, 02/2018, C79000-G8900-C390-03

19 SCALANCE S615 mit dem WAN verbinden 1.6 Geräteinformationen festlegen 1.6 Geräteinformationen festlegen Zur besseren Identifikation der SCALANCE S615 legen Sie allgemeine Geräteinformationen fest. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System > Allgemein" und im Inhaltsbereich auf das Register "Gerät". 2. Tragen Sie bei "Systemname" einen Namen für das Gerät ein. 3. Tragen Sie bei "Systemkontakt" den für das Gerät zuständigen Ansprechpartner ein. 4. Tragen Sie bei "Gerätestandort" die Ortsbezeichnung des Aufstellungsorts ein, z.b. die Raumnummer. 5. Klicken Sie auf die Schaltfläche "Einstellungen übernehmen". Ergebnis Die allgemeinen Geräteinformationen der SCALANCE S615 sind festgelegt. Getting Started, 02/2018, C79000-G8900-C

20 SCALANCE S615 mit dem WAN verbinden 1.7 Uhrzeit einstellen 1.7 Uhrzeit einstellen Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten und für die Zeitstempel von Logbuch-Einträgen werden auf dem SCALANCE S615 Datum und Uhrzeit geführt. Sie können die Systemzeit selbst manuell einstellen, oder Sie lassen sie mit einem Zeitserver automatisch synchronisieren. Für dieses Beispiel wird der Zeitserver über NTP konfiguriert. Hinweis Manuelle Zeiteinstellung - Verhalten nach Unterbrechung der Spannungsversorgung Beachten Sie, dass die Uhrzeit auf Werkseinstellung zurückgesetzt wird, wenn die Spannungsversorgung unterbrochen wird. Nach Wiederkehr der Spannungsversorgung müssen Sie erneut die Systemzeit einstellen. Dadurch können Zertifikate ihre Gültigkeit verlieren. Synchronisation über Zeitserver Die Synchronisation der Systemzeit über einen öffentlichen Zeitserver verursacht ein zusätzliches Datenaufkommen auf der Verbindung. Je nach Teilnehmervertrag sind damit erhöhte Kosten verbunden. Voraussetzung Im lokalen Netz ist ein NTP-Server erreichbar. Die IP-Adresse des NTP-Servers ist bekannt. Für dieses Beispiel wird ein lokaler Zeitserver mit der IP-Adresse verwendet. 20 Getting Started, 02/2018, C79000-G8900-C390-03

21 SCALANCE S615 mit dem WAN verbinden 1.7 Uhrzeit einstellen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System > Systemzeit" und im Inhaltsbereich auf das Register "NTP-Client". 2. Tragen Sie bei "Zeitzone" die lokale Zeitdifferenz zur Weltzeit (UTC) ein. Für mitteleuropäische Sommerzeit (MESZ) +02: Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 4. Tragen Sie bei "NTP-Server-Adresse" die IP-Adresse ein. 5. Ändern Sie bei Bedarf den Port bei "Port des NTP-Servers". Standardmäßig ist 123 eingestellt. 6. Tragen Sie bei "Poll-Intervall" den Zeitabstand für die Synchronisation ein. Standardmäßig ist 64 eingestellt. 7. Aktivieren Sie "NTP-Client". 8. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

22 SCALANCE S615 mit dem WAN verbinden 1.7 Uhrzeit einstellen Ergebnis Die Systemzeit über NTP ist eingestellt. Klicken Sie auf "Aktualisieren", um die WBM-Seite zu aktualisieren. 22 Getting Started, 02/2018, C79000-G8900-C390-03

23 SCALANCE S615 mit dem WAN verbinden 1.8 IP-Subnetz anlegen 1.8 IP-Subnetz anlegen Die Schnittstellen werden unterschiedlich behandelt. Ethernet-Schnittstelle P1 (vlan1): Anbindung an LAN Ethernet-Schnittstelle P5 (vlan 2): Anbindung an WAN Für dieses Konfigurationsbeispiel ist nur das IP-Subnetz für die Ethernet-Schnittstelle P5 zu konfigurieren. Das IP-Subnetz für die Ethernet-Schnittstelle P1 ist bereits konfiguriert. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnetze" und im Inhaltsbereich auf das Register "Konfiguration". 2. Wählen Sie bei "Schnittstellen" die "vlan2" aus. 3. Bei "Schnittstellenname" können Sie einen Namen eingeben. 4. Tragen Sie die IP-Adresse für vlan2 ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)" 5. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

24 SCALANCE S615 mit dem WAN verbinden 1.8 IP-Subnetz anlegen Ergebnis Die IP-Subnetze sind angelegt. Die IP-Subnetze werden im Register "Übersicht" angezeigt. 24 Getting Started, 02/2018, C79000-G8900-C390-03

25 VPN-Tunnel zwischen SCALANCE S615 und 2 SINEMA RC-Server 2.1 Prinzipielles Vorgehen In dieser Beispielkonfiguration sind zwei dezentrale Stationen mithilfe von SCALANCE S615 angeschlossen. Die Geräte kommunizieren über den SINEMA RC-Server, der in der Zentrale steht. Für die SCALANCE S615-Geräten wird je ein KEY-PLUG SINEMA Remote Connect benötigt. Mit dem KEY-PLUG wird die Anbindung von SCALANCE S615 an SINEMA RC freigeschaltet. Dazu müssen sich die Geräte am SINEMA RC-Server anmelden. Erst nach erfolgreicher Authentifizierung wird der VPN-Tunnel zwischen dem Gerät und dem SINEMA RC-Server aufgebaut. Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen verschaltet der SINEMA RC Server die einzelnen VPN-Tunnels. Aufbau Getting Started, 02/2018, C79000-G8900-C

26 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.1 Prinzipielles Vorgehen Zentrale - Anschluss an SINEMA RC Server Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an dem LAN-Port des SINEMA RC Servers angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 3 SINEMA RC Server Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an dem WAN-Port des SINEMA RC Servers angeschlossen wird. Station 1 / 2 - Anschluss an SCALANCE S615 Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an die Ethernet-Schnittstelle P1 des S615 angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 1/2 S615: SCALANCE S-Modul zum Schutz des internen Netzwerks 1/2 Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an die Ethernet- Schnittstelle P5 des S615 angeschlossen wird. Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: 2 x S615 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 2 x KEY-PLUG SINEMA RC 2 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 2 x PC die mit je einem SCALANCE S615 verbunden sind. 1 x PC, auf dem der SINEMA RC Server installiert ist. 1 x PC, der mit dem SINEMA RC Server verbunden ist. 3 x Router Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet 26 Getting Started, 02/2018, C79000-G8900-C390-03

27 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.1 Prinzipielles Vorgehen Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Station1 LAN1 Station2 LAN2 Zentrale LAN3 Name Interface IP-Adresse S615_1 LAN-Port P1 (vlan1) WAN-Port P5 (vlan2) Default-Gateway ist die LAN-IP-Adresse des Routers PC1 LAN-Port Router1 LAN-Port S615_2 PC2 LAN-Port P1 (vlan1) WAN-Port P5 (vlan2) Ethernet (LAN 2) Default-Gateway ist die LAN-IP-Adresse des Routers Router 2 LAN-Port SINEMA RC Server PC WAN-Port Ethernet (LAN3) Die WAN-IP-Adresse, über die der SINEMA RC Server erreichbar ist, ist in diesem Beispiel die WAN-IP- Adresse des Routers Default-Gateway ist die LAN-IP-Adresse des Routers Router 3 LAN-Port WAN-Port Hinweis Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Getting Started, 02/2018, C79000-G8900-C

28 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.1 Prinzipielles Vorgehen Voraussetzung SINEMA RC Server Der SINEMA RC Server ist mit dem WAN verbunden. Die Projektierungsschritte finden Sie im Getting Started "SINEMA Remote Connect". SCALANCE S615 Das S615 ist mit dem WAN verbunden, siehe "SCALANCE S615 mit dem WAN verbinden (Seite 9)". Die Projektierungsschritte gelten für alle Geräte und unterscheiden sich nur in den Einstellungen, siehe Tabelle "Verwendete Einstellungen (Seite 25). Das S615 ist über den PC1 bzw. PC2 erreichbar und Sie sind am WBM als "admin" angemeldet. Im SCALANCE S ist ein gütliger KEY-PLUG SINEMA Remote Connect gesteckt. Projektierungsschritte Zugriff auf den SINEMA RC Servers konfigurieren Um eine VPN-Verbindung zum SINEMA RC Server zu ermöglichen, muss auf dem S615 eine Route angelegt werden: 1. Route konfigurieren (Seite 29) Damit der PC über S615 auch auf das WBM des SINEMA RC Servers zugreifen kann, sind auf dem S615 folgende Schritte notwendig: 1. Basic-NAT aktivieren (Seite 30) 2. Zugriff erlauben (Seite 30) Fernverbindung auf dem SINEMA RC Server konfigurieren 1. Teilnehmergruppen anlegen (Seite 32) 2. Geräte anlegen (Seite 34) 3. Kommunikationsbeziehungen konfigurieren (Seite 36) Fernverbindung auf dem S615 konfigurieren Gesicherte VPN-Verbindung mit Fingerabdruck (Seite 38) Gesicherte OpenVPN-Verbindung mit CA-Zertifikat Zertifikat laden (Seite 42) VPN-Verbindung zum SINEMA RC Server projektieren (Seite 43) 28 Getting Started, 02/2018, C79000-G8900-C390-03

29 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.2 Zugriff auf den SINEM RC-Servers konfigurieren 2.2 Zugriff auf den SINEM RC-Servers konfigurieren Route konfigurieren Die Stationen und die Zentrale sind in verschiedenen IP-Subnetzen. Damit die Stationen mit der Zentrale kommunizieren können, wird im S615 die entsprechende Default-Route angelegt. Vorgehensweise 1. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)". 2. Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. 3. Klicken Sie im Navigationsbereich auf "Layer 3 > Statische Routen". 4. Konfigurieren Sie die Route zum Router mit folgenden Einstellungen: Zielnetzwerk Subnetzmaske Gateway Administrative Distanz (alle IP-Adressen) LAN-IP-Adresse des Routers nach der Tabelle "Verwendete Einstellungen (Seite 9)" 5. Wenn Sie die Werte eingetragen haben, klicken Sie auf "Erstellen". 6. Zum Aktualisieren der Anzeige klicken Sie auf "Aktualisieren". Ergebnis Die Route ist angelegt. Übersicht der Konfiguration am S615_1: Getting Started, 02/2018, C79000-G8900-C

30 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.2 Zugriff auf den SINEM RC-Servers konfigurieren Übersicht der Konfiguration am S615_2: IP-Masquerading aktivieren IP-Masquerading wird verwendet, damit die internen IP-Adressen extern nicht weitergeleitet werden. Zudem werden keine weiteren Routingeinstellungen im Router benötigt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3 > NAT" und im Inhaltsbereich auf das Register "Masquerading". 2. Aktivieren Sie "Masquerading aktivieren" bei vlan2. 3. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Auf dem WAN-Port vlan2 ist Masquerading aktiviert. Wenn ein Paket über diese Schnittstelle gesendet wird, wird die Quelladresse auf die dem vlan2 zugewiesenen IP Adresse umgeschrieben Zugriff erlauben Damit der PC auf den SINEMA RC Server zugreifen kann, wird am Gerät der Zugriff von vlan 1 nach vlan 2 freigeschaltet. 30 Getting Started, 02/2018, C79000-G8900-C390-03

31 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.2 Zugriff auf den SINEM RC-Servers konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3. Konfigurieren Sie die Firewall-Regel mit folgenden Einstellungen: Aktion Von Nach Quelle (Bereich) Ziel (Bereich) Dienst Accept vlan1 (intern) vlan2 (extern) (alle IP-Adressen) (alle IP-Adressen) all Der Dienst ist standardmäßig immer verfügbar 4. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Durch diese Firewall-Regel sind alle Dienste zwischen vlan1 und vlan2 uneingeschränkt möglich, z. B. HTTPS Getting Started, 02/2018, C79000-G8900-C

32 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Teilnehmergruppen anlegen Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Außerdem können Sie festlegen, ob die Kommunikation zwischen den Teilnehmern einer einzelnen Gruppe erlaubt oder verboten ist. Für diese Beispielkonfiguration werden folgende Gruppen angelegt. Station1 Station2 Service Die Gruppe Service wird für die Beispielkonfiguration "OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server" benötigt. Diese Beispiel finden Sie im Getting Started SINEMA RC Server. Voraussetzung Der SINEMA RC Server ist mit dem WAN verbunden Vorgehensweise 1. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers " ein, siehe Tabelle "Verwendete Einstellungen (Seite 25)". 2. Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. 3. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Teilnehmergruppen". Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. 4. Klicken Sie auf "Erstellen". Die Seite "Neue Teilnehmergruppe" wird geöffnet. 5. Geben Sie bei Gruppenname "Station1" ein. Aktivieren Sie die Einstellung "Mitglieder dürfen kommunizieren" und klicken Sie auf "Speichern". 6. Wiederholen Sie die Schritte 1-3 für die Gruppen "Station2" und "Service" 32 Getting Started, 02/2018, C79000-G8900-C390-03

33 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Ergebnis Die Teilnehmergruppen sind angelegt. Getting Started, 02/2018, C79000-G8900-C

34 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Geräte anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Im Inhaltsbereich werden die bereits angelegten Geräte aufgelistet. 2. Klicken Sie auf "Erstellen", um ein neues Gerät anzulegen. 3. Geben Sie den Gerätenamen für das Gerät an, z. B. "S615_1" für die Station 1 und "S615_2" für die Station Klicken Sie auf "Weiter". 5. Wählen Sie bei "VPN-Verbindungsmodus" "OpenVPN" aus. Klicken Sie auf "Weiter". 6. Aktivieren Sie den Parameter "Verbundene lokale Subnetze". 7. Aktivieren Sie den Parameter "Gerät ist ein Netzwerk-Gateway". 8. Konfigurieren Sie die Geräte mit folgenden Einstellungen und klicken Sie auf "Hinzufügen": Lokale LAN-IP-Adresse Netzmaske IP-Adresse für vlan1 nach der Tabelle "Verwendete Einstellungen". 9. Klicken Sie auf "Weiter". Das Register "Gruppenzugehörigkeit" wird angezeigt. 10.Aktivieren Sie die entsprechende Gruppe. Beim Gerät "S615_1" die Gruppe "Station1" Beim Gerät "S615_2" die Gruppe "Station2" 11.Klicken Sie auf "Weiter". Das Register "Passwort " wird angezeigt. 12.Legen Sie das Passwort für den Zugriff fest, z. B. An:t_010 für S615_1 und An:t_020 für S615_2. Das Passwort muss sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen. 13.Klicken Sie auf "Fertigstellen". Ergebnis Die Geräte werden bei den bereits angelegten Geräten aufgelistet. Gerätepasswort Geräte-ID Fingerabdruck Die Geräte-ID und den Fingerabdruck finden Sie bei den Geräteinformationen. Klicken Sie auf das Symbol, um die Geräteinformation zu öffnen. 34 Getting Started, 02/2018, C79000-G8900-C390-03

35 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Getting Started, 02/2018, C79000-G8900-C

36 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Kommunikationsbeziehungen konfigurieren Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen notwendig. Dabei kann für jede Richtung eine Kommunikationsbeziehung erstellt werden. Für diese Beispielkonfiguration werden folgende Kommunikationsbeziehungen angelegt: von Gruppe Service Station1 zur Zielgruppe Station1 Station2 Station2 In diesem Konfigurationsbeispiel geht die Kommunikation nur von der Gruppe "Station-1" zur Gruppe "Station-2". In die Gegenrichtung ist keine Kommunikation möglich. Für die Kommunikation von der Gruppe "Station2" zur Gruppe "Station1" ist eine weitere Kommunikationsbeziehung notwendig. Ebenso kann die Gruppe "Service" mit den Gruppen "Station1" und "Station2" kommunizieren, aber nicht umgekehrt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Teilnehmergruppen". Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. 2. Klicken Sie bei "Station1" in der Spalte "Aktionen" auf das Symbol. Die Seite "Zielgruppe" wird geöffnet. 3. Aktivieren Sie "Station2" und klicken Sie auf "Speichern". 4. Klicken Sie auf "Dialog verlassen". 5. Klicken Sie bei "Service" in der Spalte "Aktionen" auf das Symbol. Die Seite "Zielgruppe" wird geöffnet. 6. Aktivieren Sie "Station1" und "Station2". Klicken Sie auf "Speichern". 7. Klicken Sie auf "Dialog verlassen". Ergebnis Die Kommunikationsbeziehungen sind angelegt. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Kommunikationsbeziehungen". Im Inhaltsbereich werden die angelegten Beziehungen aufgelistet. 36 Getting Started, 02/2018, C79000-G8900-C390-03

37 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Getting Started, 02/2018, C79000-G8900-C

38 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren 2.4 Fernverbindung auf dem S615 konfigurieren Gesicherte VPN-Verbindung mit Fingerabdruck Voraussetzung Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet. Webbrowser 1 für den Zugriff auf das Web Based Management des SCALANCE S615. Webbrowser 2 für den Zugriff auf SINEMA RC Im S615 ist ein gültiger KEY-PLUG gesteckt. Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 ein, siehe Tabelle "Verwendete Einstellungen (Seite 25)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "System" > "SINEMA RC". Geben Sie bei "SINEMA RC Address" die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 25)". 2. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 25)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Klicken Sie bei "Aktionen" auf das Symbol, um die Geräteinformation zu öffnen. Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Geräte-ID. Klicken Sie mit der rechten Maustaste auf die Markierung und wählen Sie im Kontextmenü den Befehl zum Kopieren. 38 Getting Started, 02/2018, C79000-G8900-C390-03

39 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren 3. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Geräte-ID". Wählen Sie im Kontextmenü den Befehl zum Einfügen. Geben Sie bei "Geräte-Passwort" das Passwort an, das Sie für den Zugriff projektiert haben, An:t_010 für S615_1 und An:t_020 für S615_2. Aktivieren Sie "Auto-Firewall / NAT-Regeln". Wenn aktiviert wird, werden automatisch die entsprechenden NAT und Firewallregeln angelegt. Wählen Sie bei "Prüfungsart" "Fingerabdruck" aus. Getting Started, 02/2018, C79000-G8900-C

40 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren 4. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Klicken Sie bei "Fingerabdruck" auf das Symbol. 5. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Fingerabdruck". Wählen Sie im Kontextmenü den Befehl zum Einfügen. Aktivieren Sie "SINEMA RC aktivieren" und klicken Sie auf "Einstellungen übernehmen". 40 Getting Started, 02/2018, C79000-G8900-C390-03

41 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. Im Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC". Webbrowser für den Zugriff auf SINEMA RC: Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Getting Started, 02/2018, C79000-G8900-C

42 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Gesicherte VPN-Verbindung mit CA-Zertifikat Zertifikat laden Voraussetzung Auf dem S615 und auf dem SINEMA RC Server ist die richtige Uhrzeit eingestellt. Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet. Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 25)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "Sicherheit" > "Zertifikate". Klicken Sie bei "Aktionen" auf das Symbol, um das Zertifikate zu exportieren. 2. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 ein, siehe Tabelle "Verwendete Einstellungen (Seite 25)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "System" > "Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". Geben Sie bei "X509Cert" das Geräte-Passwort ein. Aktiveren Sie den Eintrag und klicken Sie auf "Einstellungen übernehmen". Klicken Sie im Inhaltsbereich auf das Register "HTTP". Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum exportierten Serverzertifikat. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". 42 Getting Started, 02/2018, C79000-G8900-C390-03

43 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Ergebnis Die Zertifikate sind geladen. Unter "Security > Zertifikate" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen VPN-Verbindung zum SINEMA RC-Server projektieren Voraussetzung Im S615 ist ein gültiger KEY-PLUG gesteckt. Getting Started, 02/2018, C79000-G8900-C

44 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Klicken Sie im Navigationsbereich auf "System > SINEMA RC". Geben Sie bei "SINEMA RC Address" die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 25)". 2. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Klicken Sie bei "Aktionen" auf das Symbol, um die Geräteinformation zu öffnen. Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Geräte-ID. Klicken Sie mit der rechten Maustaste auf die Markierung und wählen Sie im Kontextmenü den Befehl zum Kopieren. 3. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Geräte-ID". Wählen Sie im Kontextmenü den Befehl zum Einfügen. Geben Sie bei "Geräte-Passwort" das Passwort an, das Sie für den Zugriff projektiert haben, An:t_010 für S615-1 und An:t_020 für S Aktivieren Sie "Auto Firewall / NAT-Regeln". Wenn aktiviert wird, werden automatisch die entsprechenden NAT und Firewallregeln angelegt. Wählen Sie bei "Verification Type "CA-Zertifikat" aus. Wäheln Sie bei "CA-Zertifikatdas Serverzertifikat aus. Nur geladene Zertifikate sind auswählbar. 44 Getting Started, 02/2018, C79000-G8900-C390-03

45 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Aktivieren Sie "SINEMA RC aktivieren" und klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

46 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. Webbrowser 1: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC". Webbrowser 2: Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". 46 Getting Started, 02/2018, C79000-G8900-C390-03

47 VPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Getting Started, 02/2018, C79000-G8900-C

48

49 NETMAP mit SCALANCE S615 3 In diesen Beispielen werden zwei verschiedene IP-Subnetze über SCALANCE M-800 miteinander verbunden. Zwischen beiden SCALANCE M-Geräten ist ein VPN-Tunnel aufgebaut. Die VPN-Verbindung wird vom M876 aus initiiert. Über den aufgebauten VPN- Tunnel werden die Adressen mit NETMAP umgesetzt. Bei dieser Umsetzung wird der Subnetzanteil der IP-Adresse geändert und der Hostanteil bleibt bestehen. NETMAP kann sowohl die Quell-IP-Adresse als auch die Ziel-IP-Adresse umsetzen. Lokales Netz - Anschluss an SCALANCE M-800 Im lokalen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an eine Ethernet-Schnittstelle des SCALANCE M-800 angeschlossen ist. PC: repräsentiert einen Teilnehmer des lokalen Netzwerks M-800: SCALANCE M-Modul zum Schutz des internen Netzwerks Anbindung an das externe Netzwerk: Drahtlos über die Antenne des M87x an das Mobilfunknetz. Getting Started, 02/2018, C79000-G8900-C

50 NETMAP mit SCALANCE S615 Entferntes Netz - Anschluss an M-800 Im entfernten Netz wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an eine Ethernet-Schnittstelle des SCALANCE M-800 angeschlossen ist. PC: repräsentiert einen Teilnehmer des entfernten Netzwerks M-800: SCALANCE M-Modul zum Schutz des externen Netzwerks Anbindung an das externe Netzwerk Kabelgebunden über die RJ45-Buchse des M816 an ADSL Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: Anbindung an das Mobilfunknetz 1x M876 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x geeignete Antenne 1x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. Anbindung an ADSL 1x M816 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker ADSL-Zugang ist freigeschaltet 2x PCs, die mit den SCALANCE M-800 verbunden sind. Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Hinweis Sie können auch andere SCALANCE M-800 Geräte verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnten Komponenten. 50 Getting Started, 02/2018, C79000-G8900-C390-03

51 NETMAP mit SCALANCE S615 Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Station IP-Subnetz 1 Zentrale IP-Subnetz 2 Name Schnittstelle IP-Adresse M876 LAN-Schnittstelle P1 (vlan1) WAN-Schnittstelle (ppp0) PC1 LAN-Schnittstelle M816 PC2 LAN-Schnittstelle P1 (vlan1) WAN-Schnittstelle (ppp0) Ethernet (LAN 2) Dynamische IP-Adresse vom Provider Das Gerät ist aber über einen dynamischen DNS-Dienst erreichbar, z. B. example.no-ip.com Feste IP-Adresse (WAN-IP-Adresse), z. B Beispiele Zu NETMAP gibt es folgende Beispiele 1. NETMAP für das lokale Netz (Seite 52) 2. NETMAP für das entfernte Netz (Seite 57) 3. NETMAP für das lokale und das entfernte Netz (Seite 62) Getting Started, 02/2018, C79000-G8900-C

52 NETMAP mit SCALANCE S NETMAP für das lokale Netz 3.1 NETMAP für das lokale Netz Beim NETMAP des lokalen Netzes wird die Quell-IP-Adresse 1 z. B umgesetzt. Bei dieser Umsetzung wird der Subnetzanteil der IP-Adresse geändert und der Hostanteil bleibt bestehen. In diesem Beispiel ist der Subnetzanteil Dieser Subnetzanteil wird durch ersetzt. Die Quell-IP-Adresse wird vom M876 2 umgesetzt und an das Ziel 3 weitergeleitet. Bei eingehenden Anfragen 3 wird die Ziel-IP-Adresse durch ersetzt. Die Ziel-IP-Adresse wird vom M876 2 umgesetzt und an das Ziel 1 weitergeleitet. Es sind nur die NETMAP-Regeln für die Anfragerichtung notwendig. Die NETMAP-Regeln für die Antworten werden implizit hinzugefügt. Wenn PC1 eine Anfrage an PC2 sendet, wird die Antwort darauf umgesetzt. Das gilt aber nicht für die Anfragen von PC2 an PC1. Dazu werden auf dem M876 (Initiator) die folgenden NETMAP-Regeln angelegt: Lokales Netz > Entferntes Netz: Das Quell-IP-Subnetz /24 wird durch /24 ersetzt. Entferntes Netz > Lokales Netz: Das Ziel-IP-Subnetz /24 wird durch /24 ersetzt Zusätzlich kommunizieren die beiden Geräte über einen VPN-Tunnel. 52 Getting Started, 02/2018, C79000-G8900-C390-03

53 NETMAP mit SCALANCE S NETMAP für das lokale Netz Voraussetzung Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden". Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Projektierungsschritte Zum Erstellen der NETMAP-Regeln sind folgende Schritte sind erforderlich: 1. VPN-Verbindung anlegen (Seite 53) 2. NETMAP-Regeln erstellen (Seite 55) VPN-Verbindung anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie "IPsec VPN aktivieren" und klicken Sie auf "Einstellungen übernehmen". 3. Klicken Sie im Inhaltsbereich auf das Register "Remote-Endpunkt" und legen Sie die VPN-Gegenstelle mit folgenden Einstellungen an: Name Remote- Endpunkt Am M816 M876 Am M876 M816 Remote-Modus Standard Standard Remote-Typ Manuell Manuell Remote-Adresse Erreichbar über einen dynamischen DNS-Dienst z. B. example.no-ip.com Remote-Subnetz / /24 Feste IP-Adresse (WAN-IP-Adresse) des M816, z. B Klicken Sie im Inhaltsbereich auf das Register "Verbindungen" und legen Sie die VPN- Verbindung mit folgenden Einstellungen an. Am M816 Am M876 Verbindungsname M816_to_M876 M876_to_M816 Betrieb Deaktiviert Deaktiviert Keying-Protokoll IKv2 IKv2 Remote-Endpunkt M876 M816 Lokales Subnetz / /24 Getting Started, 02/2018, C79000-G8900-C

54 NETMAP mit SCALANCE S NETMAP für das lokale Netz 5. Klicken Sie im Inhaltsbereich auf das Register "Authentifizierung" und konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen. Am M816 Authentifizierung PSK PSK Lokale-ID - - Remote-ID - - Am M876 PSK / PSK bestätigen z. B z. B Klicken Sie im Inhaltsbereich auf das Register "Phase 1" und konfigurieren Sie die folgenden Einstellungen. DPD Verschlüsselung Authentifizierung M816 / M876 aktiviert AES256 CBC (M87x) AES256 (M81x) SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 Aggressive -Mode nein 7. Klicken Sie im Inhaltsbereich auf das Register "Phase 2" und konfigurieren Sie die folgenden Einstellungen. M816 / M876 Verschlüsselung AES256 CBC (M87x) AES256 (M816) Authentifizierung SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 Ergebnis Die VPN-Verbindung auf den Geräten ist konfiguriert. Um die VPN-Verbindung aufzubauen, klicken Sie im Inhaltsbereich auf das Register "Verbindungen". Wählen Sie bei "Betrieb" Folgendes aus und klicken auf "Einstellungen übernehmen" Betrieb Am M816 Warten (Responder) Am M876 Starten (Initiator) Das M876 baut den VPN-Tunnel zum M816 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet an den Geräten die LED grün. 54 Getting Started, 02/2018, C79000-G8900-C390-03

55 NETMAP mit SCALANCE S NETMAP für das lokale Netz NETMAP-Regeln erstellen Voraussetzung Die VPN-Verbindung M876_to_M816 ist konfiguriert, siehe VPN-Verbindung anlegen (Seite 53). Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "NETMAP". 2. Legen Sie die NETMAP-Regel für die ausgehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Quelle vlan1 IPsec M876_to_M816 Quell-IP-Subnetz /24 Quell-IP-Subnetz Umsetzung /24 Ziel-IP-Subnetz /24 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 4. Legen Sie die NETMAP-Regel für die eingehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Ziel IPsec M876_to_M816 vlan1 Quell-IP-Subnetz /24 Ziel-IP-Subnetz /24 Ziel-IP-Subnetz Umsetzung /24 5. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 6. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

56 NETMAP mit SCALANCE S NETMAP für das lokale Netz Ergebnis Die Regeln für die aus- und eingehenden Anfragen sind angelegt. 56 Getting Started, 02/2018, C79000-G8900-C390-03

57 NETMAP mit SCALANCE S NETMAP für das entfernte Netz 3.2 NETMAP für das entfernte Netz Beim NETMAP des entfernten Netzes wird die Ziel-IP-Adresse 1 z. B umgesetzt. In diesem Beispiel ist der Subnetzanteil und wird durch ersetzt. Dadurch ist das entfernte Netz zusätzlich zur auch über die zu erreichen. Die Ziel-IP-Adresse wird vom M876 2 umgesetzt und an das Ziel 3 weitergeleitet. Bei eingehenden Anfragen 3 wird die Quell-IP-Adresse durch ersetzt. Die Quell-IP-Adresse wird vom M876 2 umgesetzt und an das Ziel 1 weitergeleitet. Es sind nur die NETMAP-Regeln für die Anfragerichtung notwendig. Die NETMAP-Regeln für die Antworten werden implizit hinzugefügt. Wenn PC1 eine Anfrage an PC2 sendet, wird die Antwort darauf umgesetzt. Das gilt aber nicht für die Anfragen von PC2 an PC1. Dazu werden auf dem M876 (Initiator) die folgenden NETMAP-Regeln angelegt: Lokales Netz > Entferntes Netz: Das Ziel-IP-Subnetz /24 wird durch /24 ersetzt. Entferntes Netz > Lokales Netz: Das Quell-IP-Subnetz /24 wird durch /24 ersetzt Zusätzlich sollen die beiden Geräte über einen VPN-Tunnel miteinander kommunizieren. Getting Started, 02/2018, C79000-G8900-C

58 NETMAP mit SCALANCE S NETMAP für das entfernte Netz Voraussetzung Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden". Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als "admin" angemeldet. Projektierungsschritte Folgende Schritte sind erforderlich 1. VPN-Verbindung anlegen (Seite 58) 2. NETMAP-Regeln erstellen (Seite 60) VPN-Verbindung anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie "IPsec VPN aktivieren" und klicken Sie auf "Einstellungen übernehmen". 3. Klicken Sie im Inhaltsbereich auf das Register "Remote-Endpunkt" und legen Sie die VPN-Gegenstelle mit folgenden Einstellungen an: Name Remote- Endpunkt Am M816 M876 Am M876 M816 Remote-Modus Standard Standard Remote-Typ Manuell Manuell Remote-Adresse Erreichbar über einen dynamischen DNS-Dienst z. B. example.no-ip.com Remote-Subnetz / /24 Feste IP-Adresse (WAN-IP-Adresse) des M816, z. B Klicken Sie im Inhaltsbereich auf das Register "Verbindungen" und legen Sie die VPN- Verbindung mit folgenden Einstellungen an. Am M816 Am M876 Verbindungsname M816_to_M876_2 M876_to_M816_2 Betrieb Deaktiviert Deaktiviert Keying-Protokoll IKv2 IKv2 Remote-Endpunkt M876 M816 Lokales Subnetz / /24 58 Getting Started, 02/2018, C79000-G8900-C390-03

59 NETMAP mit SCALANCE S NETMAP für das entfernte Netz 5. Klicken Sie im Inhaltsbereich auf das Register "Authentication" und konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen. Am M816 Authentifizierung PSK PSK Lokale-ID - - Remote-ID - - Am M876 PSK / PSK bestätigen z. B z. B Klicken Sie im Inhaltsbereich auf das Register "Phase 1" und konfigurieren Sie die folgenden Einstellungen. DPD Verschlüsselung Authentifizierung M816 / M876 aktiviert AES256 CBC (M87x) AES256 (M81x) SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 Aggressive -Mode nein 7. Klicken Sie im Inhaltsbereich auf das Register "Phase 2" und konfigurieren Sie die folgenden Einstellungen. M816 / M876 Verschlüsselung AES256 CBC (M87x) AES256 (M81x) Authentifizierung SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 Ergebnis Die VPN-Verbindung auf den Geräten ist konfiguriert. Um die VPN-Verbindung aufzubauen, klicken Sie im Inhaltsbereich auf das Register "Verbindungen". Wählen Sie bei "Betrieb" Folgendes aus und klicken auf "Einstellungen übernehmen" Betrieb Am M816 Warten (Responder) Am M876 Starten (Initiator) Das M876 baut den VPN-Tunnel zum M816 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet an den Geräten die LED grün. Getting Started, 02/2018, C79000-G8900-C

60 NETMAP mit SCALANCE S NETMAP für das entfernte Netz NETMAP-Regeln erstellen Voraussetzung Die VPN-Verbindung M876_to_M816_2 ist konfiguriert, siehe VPN-Verbindung anlegen (Seite 58). Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "NETMAP". 2. Legen Sie die NETMAP-Regel für die ausgehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Ziel vlan1 IPsec M876_to_M816_2 Quell-IP-Subnetz /24 Ziel-IP-Subnetz /24 Ziel-IP-Subnetz Umsetzung /24 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 4. Legen Sie die NETMAP-Regel für die eingehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Quelle IPsec M876_to_M816_2 vlan1 Quell-IP-Subnetz /24 Quell-IP-Subnetz Umsetzung /24 Ziel-IP-Subnetz /24 5. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 6. Klicken Sie auf "Einstellungen übernehmen". 60 Getting Started, 02/2018, C79000-G8900-C390-03

61 NETMAP mit SCALANCE S NETMAP für das entfernte Netz Ergebnis Die Regeln für die aus- und eingehenden Anfragen sind angelegt. Getting Started, 02/2018, C79000-G8900-C

62 NETMAP mit SCALANCE S NETMAP für das lokale und das entfernte Netz 3.3 NETMAP für das lokale und das entfernte Netz In diesem Beispiel werden die NETMAP-Regeln aus NETMAP für das lokale Netz (Seite 52)und aus NETMAP für das entfernte Netz (Seite 57) kombiniert. Allerdings gibt es bei den ausgehenden Anfragen eine Besonderheit. Ausgehende Anfragen, deren Quell-IP- Adresse von zur umgesetzt werden, müssen als Ziel-IP- Adresse sowohl die als auch die haben können. Für das Umsetzen der Ziel-IP-Adresse ist eine weitere NETMAP-Regel notwendig. Die Adressen werden vom M876 2 umgesetzt und an das Ziel 3 weitergeleitet. Bei der eingehenden Anfrage werden beide IP-Adressen ausgetauscht. Lokales Netz > Entferntes Netz: Das Quell-IP-Subnetz /24 wird durch /24 ersetzt. Das Ziel-IP-Subnetz /24 wird durch /24 ersetzt. Bei Anfragen mit dem Ziel-IP-Subnetz /24 wird das Quell-IP-Subnetz /24 wird durch /24 ersetzt. 62 Getting Started, 02/2018, C79000-G8900-C390-03

63 NETMAP mit SCALANCE S NETMAP für das lokale und das entfernte Netz Entferntes Netz > Lokales Netz: Das Ziel-IP-Subnetz /24 wird durch /24 ersetzt Das Quell-IP-Subnetz /24 wird durch /24 ersetzt Zusätzlich sollen die beiden Geräte über einen VPN-Tunnel miteinander kommunizieren. Voraussetzung Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden". Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Projektierungsschritte Folgende Schritte sind erforderlich 1. VPN-Verbindung anlegen (Seite 64) 2. NETMAP-Regeln erstellen (Seite 66) Getting Started, 02/2018, C79000-G8900-C

64 NETMAP mit SCALANCE S NETMAP für das lokale und das entfernte Netz VPN-Verbindung anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie "IPsec VPN aktivieren" und klicken Sie auf "Einstellungen übernehmen". 3. Klicken Sie im Inhaltsbereich auf das Register "Remote-Endpunkt" und legen Sie die VPN-Gegenstelle mit folgenden Einstellungen an: Name Remote- Endpunkt Am M816 M876 Am M876 M816 Remote-Modus Standard Standard Remote-Typ Manuell Manuell Remote-Adresse Erreichbar über einen dynamischen DNS-Dienst z. B. example.no-ip.com Remote-Subnetz / /24 Feste IP-Adresse (WAN-IP-Adresse) des M816, z. B Klicken Sie im Inhaltsbereich auf das Register "Verbindungen" und legen Sie die VPN- Verbindung mit folgenden Einstellungen an. Am M816 Am M876 Verbindungsname M816_to_M876 M876_to_M816 Betrieb Deaktiviert Deaktiviert Keying-Protokoll IKv2 IKv2 Remote-Endpunkt M876 M816 Lokales Subnetz / /24 5. Klicken Sie im Inhaltsbereich auf das Register "Authentifizierung" und konfigurieren Sie die VPN-Authentifizierung mit folgende Einstellungen. Am M816 Am M876 Authentifizierung PSK PSK Lokale-ID - - Remote-ID - - PSK / PSK bestätigen z. B z. B Getting Started, 02/2018, C79000-G8900-C390-03

65 NETMAP mit SCALANCE S NETMAP für das lokale und das entfernte Netz 6. Klicken Sie im Inhaltsbereich auf das Register "Phase 1" und konfigurieren Sie die folgenden Einstellungen. DPD Verschlüsselung Authentifizierung M816 / M876 aktiviert AES256 CBC (M87x) AES256 (M81x) SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 Aggressive -Mode nein 7. Klicken Sie im Inhaltsbereich auf das Register "Phase 2" und konfigurieren Sie die folgenden Einstellungen. Verschlüsselung Authentifizierung M816 / M876 AES256 CBC (M87x) AES256 (M816) SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 Ergebnis Die VPN-Verbindung auf den Geräten ist konfiguriert. Um die VPN-Verbindung aufzubauen, klicken Sie im Inhaltsbereich auf das Register "Verbindungen". Wählen Sie bei "Betrieb" Folgendes aus und klicken auf "Einstellungen übernehmen" Betrieb Am M816 Warten (Responder) Am M876 Starten (Initiator) Das M876 baut den VPN-Tunnel zum M816 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet an den Geräten die LED grün. Getting Started, 02/2018, C79000-G8900-C

66 NETMAP mit SCALANCE S NETMAP für das lokale und das entfernte Netz NETMAP-Regeln erstellen Voraussetzung Die VPN-Verbindung M876_to_M816_2 ist konfiguriert, siehe VPN-Verbindung anlegen (Seite 64). Die NETMAP-Regeln für das lokale Netz (Seite 60)sind angelegt. Die NETMAP-Regeln für das entfernte Netz (Seite 55) sind angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "NETMAP". 2. Legen Sie die NETMAP-Regel für die ausgehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Source vlan1 IPSec M876_to_M816_2 Quell-IP-Subnetz /24 Quell-IP-Subnetz Umsetzung /16 Ziel-IP-Subnetz /24 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 4. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Die Regeln für die aus- und eingehenden Anfragen sind angelegt. 66 Getting Started, 02/2018, C79000-G8900-C390-03

67 VRRPv3 projektieren Einleitung In diesem Kapitel wird anhand einer Beispielkonfiguration die Funktion von VRRPv3 gezeigt. Mit dem Virtual Router Redundancy Protocol v3 (VRRPv3) kann dem Ausfall eines Routers in einem Netzwerk begegnet werden. Für den Aufbau der Routerredundanz werden mehrere Geräte zu einer logischen Gruppe zusammengefasst, die zusammen den virtuellen Router bilden. Um die Geräte eindeutig einer logischen Gruppe zuordnen zu können, wird in jedem Gerät eine VRID konfiguriert. Die Geräte einer logischen Gruppe müssen die gleiche VRID haben. Dabei wird ein Gerät zum Master-Router erklärt und die anderen werden Backup-Router. Diesem Master-Router werden eine virtuelle IP-Adresse und eine MAC-Adresse zugeordnet. Der gesamte Datenverkehr wird über den Master-Router abgewickelt. Wenn der Master-Router ausfällt, werden die virtuelle IP-Adresse und die MAC-Adresse an den Backup-Router übertragen, der die Rolle des Master-Routers übernimmt. Innerhalb von drei Sekunden wird damit die Kommunikation wieder hergestellt. Die angeschlossenen Geräte bekommen von der Routerübernahme nichts mit, da sich an der virtuellen IP-Adresse, die in den Teilnehmern als Gatewayadresse projektiert wurde, nichts ändert. In dieser Beispielkonfiguration sollen die Stationen 1 und 2 redundant angekoppelt werden, um auch bei Ausfall eines Routers die Datenkommunikation in und aus diesen IP-Subnetzen zu gewährleisten. Aufbau Für den Aufbau der Routerredundanz werden die Stationen über 2 SCALANCE S615 miteinander verbunden. Dafür werden auf beiden Geräten zwei VRID (1 und 2) konfiguriert. Innerhalb dieser Gruppen (VRID 1 und 2) ist das "S615_1" der Master-Router und das "S615_2" der Backup-Router. Die Station 1 (vlan1) ist über die Schnittstelle P1 und die Station 2 (vlan2) über die Schnittstelle P5 der SCALANCE S615 angebunden. Im Normalbetrieb wird der gesamte Datenverkehr über die Schnittstellen des Master-Routers abgewickelt. Wenn am Master-Router eine dieser Schnittstellen ausfällt, ist der Datenverkehr über den Master-Router nicht mehr möglich. Die Verbindung über die Schnittstellen P1 und P5 wird deshalb überwacht. Wenn sich am Master-Router der Status einer überwachten Schnittstelle von "up" nach "down" ändert, wird die Priorität des Master-Routers verringert. An den Backup-Router werden die virtuelle IP-Adresse und MAC-Adresse übertragen, der die Aufgaben des Master-Routers übernimmt. Ist die Verbindung über das "S615_1" wieder möglich, wird die ursprüngliche Priorität des VRRP-Routers wieder hergestellt. Das "S615_1" übernimmt wieder seine Rolle als Master- Router. Getting Started, 02/2018, C79000-G8900-C

68 VRRPv3 projektieren 4.1 Einleitung Auf den Geräten ist standardmäßig die Firewall aktiviert. Damit die eingehenden VRRP- Pakete an das Gerät weitergeleitet werden, ist eine Firewall-Regel zu projektieren. Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: VLAN / VRID Router- Status Gerätename Schnittstelle IP-Adresse Virtuelle IP-Adresse vlan1 / 1 Master S615_1 P Backup S615_2 P vlan 2 / 2 Master S615_1 P Backup S615_2 P (Zugeordnete IP-Adresse) (VRID 1) (VRID 2) 68 Getting Started, 02/2018, C79000-G8900-C390-03

69 VRRPv3 projektieren 4.1 Einleitung Mit dem PC konfigurieren Sie die Geräte über das Web Based Management. Dafür müssen Sie dem PC-Netzwerkadapter die IP-Adresse zuordnen. In den erweiterten TCP/IP- Einstellungen der Netzwerkkarten-Konfiguration haben Sie die Möglichkeit, weitere IP- Adressen hinzuzufügen. PC IP-Adresse Gateway PC VRID 1: Virtuelle IP-Adresse: PC VRID 2: Virtuelle IP-Adresse: Hinweis Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Voraussetzung Die SCALANCE S615 sind mit dem WAN verbunden, siehe "SCALANCE S615 mit dem WAN verbinden (Seite 9)". Die SCALANCE S615 sind über den PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Projektierungsschritte Die Schritte sind immer an beiden Geräten durchzuführen, außer es wird ausdrücklich darauf hingewiesen. 1. IP-Subnetz anlegen (Seite 70) 2. VRRPv3 konfigurieren (Seite 72) 3. Firewall-Regel anlegen (Seite 77) 4. VRRPv3 überprüfen (Seite 79) Getting Started, 02/2018, C79000-G8900-C

70 VRRPv3 projektieren 4.2 IP-Subnetz anlegen 4.2 IP-Subnetz anlegen Der SCALANCE S615 verfügt über fünf Ports, die wie folgt werksseitig eingestellt sind: P1 bis P 4: vlan 1 Für den Zugriff vom lokalen Netz (LAN) auf das Gerät. P 5: vlan 2 Für den Zugriff vom externen Netz (WAN) zum Gerät. Die VLANs sind in verschiedenen IP-Subnetzen. Um den SCALANCE S615 in das Netzwerk des Anwendungsbeispiels zu integrieren, werden die Einstellungen entsprechend angepasst. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnetze" und im Inhaltsbereich auf das Register "Konfiguration". 2. Geben Sie die IP-Adresse für das interne Netzwerk ("vlan1") nach der Tabelle "Verwendete Einstellungen (Seite 67)" ein. 3. Klicken Sie auf "Einstellungen übernehmen". In der Adresszeile des Webbrowsers wird die IP-Adresse automatisch angepasst. Durch die Mehrfach-IP-Adressen-Zuordnung kann der PC weiterhin auf das WebBased Management zugreifen. 4. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnetze" und im Inhaltsbereich auf das Register "Konfiguration". 5. Wählen Sie bei "Schnittstellen (Name)" den Eintrag "vlan2 (EXT)" aus. 6. Geben Sie die IP-Adresse für "vlan2 (EXT)" nach der Tabelle "Verwendete Einstellungen (Seite 67)" ein. 7. Klicken Sie auf "Einstellungen übernehmen". 70 Getting Started, 02/2018, C79000-G8900-C390-03

71 VRRPv3 projektieren 4.2 IP-Subnetz anlegen Ergebnis In beiden SCALANCE S615 sind die IP-Subnetze angelegt und werden im Register "Übersicht" angezeigt. Übersicht der Konfiguration am S615_1: Übersicht der Konfiguration am S615_2: Getting Started, 02/2018, C79000-G8900-C

72 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren 4.3 VRRPv3 konfigurieren VRRPv3-Router anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Router". 2. Aktivieren Sie die Einstellung "VRRPv3". Bestätigen Sie die Meldung mit OK. Im Kapitel "Firewallregel für VRRP anlegen (Seite 77)" wird das Vorgehen beschrieben. 3. Aktivieren Sie die Einstellung "VRID-Tracking". 4. Klicken Sie auf "Einstellungen übernehmen". 5. Wählen Sie bei "Schnittstelle" den Eintrag "vlan1" aus. 6. Tragen Sie bei "VRID" die 1 ein und klicken Sie auf "Erstellen". 7. Wählen Sie bei "Schnittstelle" den Eintrag "vlan2" aus. 8. Tragen Sie bei "VRID" die 2 ein und klicken Sie auf "Erstellen". 9. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Auf den Geräten sind zwei logische Gruppen angelegt. 72 Getting Started, 02/2018, C79000-G8900-C390-03

73 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren VRRPv3-Router konfigurieren In diesem Abschnitt werden die VRRPv3-Router konfiguriert. Dabei wird das S615_1 als Master-Router und das S615_2 als Backup-Router projektiert. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Konfiguration". 2. Wählen Sie bei "Schnittstelle / VRID" den Eintrag "vlan1 / 1" aus. 3. Konfigurieren Sie den virtuellen Router VRID 1 mit folgenden Einstellungen: S615_1 S615_2 Schnittstelle / VRID vlan1 / 1 vlan1 / 1 Primäre Adresse Da auf diesem VLAN nur ein Subnetz konfiguriert, ist keine Angabe erforderlich. Der Eintrag ist dann Priorität Priorität verringern Klicken Sie auf "Einstellungen übernehmen". 5. Konfigurieren Sie den virtuellen Router VRID 1 mit folgenden Einstellungen: S615_1 S615_2 Schnittstelle / VRID vlan2 / 2 vlan2 / 2 Primäre Adresse Da auf diesem VLAN nur ein Subnetz konfiguriert, ist keine Angabe erforderlich. Der Eintrag ist dann Priorität Priorität verringern Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

74 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren Ergebnis Die virtuellen Router sind angelegt. Die Projektierung ist auf beiden Geräten gleich. Übersicht der Konfiguration am S615_1: Übersicht der Konfiguration am S615_2: 74 Getting Started, 02/2018, C79000-G8900-C390-03

75 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren Virtuelle IP-Adresse festlegen Damit die angeschlossenen Geräte den Wechsel nicht mitbekommen, wird für jede VRID eine virtuelle IP-Adresse vergeben. Diese virtuelle IP-Adresse wird bei den Geräten als Gateway-Adresse eingetragen. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Adresskonfiguration". 2. Wählen Sie bei "Schnittstelle / VRID" den Eintrag "vlan1 / 1" aus. 3. Geben Sie bei "Zugeordnete IP-Adresse" die IP-Adresse " ". 4. Klicken Sie auf "Erstellen". 5. Wählen Sie bei "Schnittstelle / VRID" den Eintrag "vlan2 / 2" aus. 6. Geben Sie bei "Zugeordnete IP-Adresse" die IP-Adresse " ". 7. Klicken Sie auf "Erstellen". 8. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Die entsprechenden virtuellen IP-Adressen sind festgelegt. Getting Started, 02/2018, C79000-G8900-C

76 VRRPv3 projektieren 4.3 VRRPv3 konfigurieren Schnittstellenüberwachung konfigurieren Die Schnittstellen P1 und P5 sollen überwacht werden. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Schnittstellenüberwachung". 2. Wählen Sie bei "Schnittstelle" die Schnittstelle "P1" aus. 3. Geben Sie bei "Track-ID" die ID 1 ein. 4. Klicken Sie auf die Schaltfläche "Erstellen". 5. Wiederholen Sie für die Schnittstelle "P5" die Schritte 2 bis Wählen Sie bei "Track-ID" die "1" aus. 7. Geben Sie bei "Track-Schnittstellenzähler" die "1" ein und klicken Sie auf "Einstellungen übernehmen". Ergebnis Die Schnittstellen werden überwacht. Der "Track-Schnittstellenzähler" 1 bedeutet, dass wenn an einer Schnittstelle der Verbindung-Status von "up" nach "down" wechselt, wird die Priorität des zugeordneten VRRP-Routers verringert. Um welchen Wert die Priorität verringert wird, konfigurieren Sie auf der Seite "Layer 3 > VRRPv3 > Konfiguration". Wenn sich der Verbindung-Status wieder von "down" nach "up" ändert, wird die ursprüngliche Priorität wiederhergestellt 76 Getting Started, 02/2018, C79000-G8900-C390-03

77 VRRPv3 projektieren 4.4 Firewall-Regel für VRRPv3 anlegen 4.4 Firewall-Regel für VRRPv3 anlegen Damit die eingehenden VRRP-Pakete an das Gerät weitergeleitet werden, sind folgende Firewallregeln zu konfigurieren. Vorgehensweise IP-Protokoll anlegen 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Firewall" und im Inhaltsbereich auf das Register "IP-Protokoll". 2. Geben Sie bei "Protokollname" "VRRP" ein. 3. Klicken Sie auf "Einstellungen übernehmen". In der Tabelle wird ein neuer Eintrag erzeugt. 4. Geben Sie bei "Protokollnummer" "112" ein. 5. Klicken Sie auf "Einstellungen übernehmen". IP-Regeln anlegen 1. Klicken Sie im Navigationsbereich auf "Security > Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3. Konfigurieren Sie die Firewall-Regel für VRID1 mit folgenden Einstellungen: Aktion Accept Von vlan1 (INT) Nach Gerät Quelle (Bereich) /0 (alle Adressen) Ziel (Bereich) /32 Dienst VRRP 4. Klicken Sie auf "Einstellungen übernehmen". 5. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 6. Konfigurieren Sie die Firewall-Regel für VRID2 mit folgenden Einstellungen: Aktion Accept Von vlan2 (EXT) Nach Gerät Quelle (Bereich) /0 (alle Adressen) Ziel (Bereich) /32 Dienst VRRP 7. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

78 VRRPv3 projektieren 4.4 Firewall-Regel für VRRPv3 anlegen Ergebnis Die IP-Regeln sind angelegt. 78 Getting Started, 02/2018, C79000-G8900-C390-03

79 VRRPv3 projektieren 4.5 VRRPv3 überprüfen 4.5 VRRPv3 überprüfen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Router". Ergebnis Übersicht der Konfiguration am S615_1: Übersicht der Konfiguration am S615_2: Bei Master-Adresse wird IP-Adresse des S615_1 angezeigt. Getting Started, 02/2018, C79000-G8900-C