SIMATIC NET. Industrial Remote Communication Remote Networks SCALANCE M-800. Getting Started. Vorwort SCALANCE M-800.

Transkript

1 Vorwort SCALANCE M-800 mit WAN verbinden 1 SIMATIC NET Industrial Remote Communication Remote Networks SCALANCE M-800 Getting Started Getting Started SCALANCE M-800 als DHCP Server 2 VPN-Tunnel projektieren 3 NETMAP mit SCALANCE M Melden und Schalten per SMS 5 VRRPv3 projektieren 6 02/2018 C79000-G8900-C337-06

2 Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: Marken WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Division Process Industries and Drives Postfach NÜRNBERG DEUTSCHLAND Dokument-Bestellnummer: C79000-G8900-C337 P 02/2018 Änderungen vorbehalten Copyright Siemens AG Alle Rechte vorbehalten

3 Vorwort Zweck Anhand von Beispielen wird die Projektierung des SCALANCE M gezeigt. IP-Einstellungen der Beispiele Hinweis Die in den Beispielen verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Allgemeine Benennung Die Bezeichnung... steht für... SCT PST CP Security Configuration Tool Primary Setup Tool M87x SCALANCE M874-2 CP Advanced GX31, CP Advanced GX30, CP 1628 SCALANCE M874-3 SCALANCE M876-3 SCALANCE M876-4 M874 SCALANCE M874-2 SCALANCE M874-3 M876 SCALANCE M876-3 SCALANCE M876-4 M812 SCALANCE M812-1 M816 SCALANCE M816-1 M81x SCALANCE M812-1 SCALANCE M816-1 M826 SCALANCE M826-2 M-800 SCALANCE M874-2 SCALANCE M874-3 SCALANCE M876-3 SCALANCE M876-4 SCALANCE M812-1 SCALANCE M816-1 SCALANCE M826-2 Getting Started, 02/2018, C79000-G8900-C

4 Vorwort Weiterführende Dokumentation Betriebsanleitung "Industrial Remote Communication Remote Networks - SCALANCE M874" Dieses Dokument umfasst Informationen, mit denen Sie in der Lage sind, ein Gerät der Produktlinie SCALANCE M874 zu montieren und anzuschließen. Die Konfiguration sowie die Einbindung des Geräts in ein Netzwerk ist nicht Gegenstand dieser Anleitung Betriebsanleitung "Industrial Remote Communication Remote Networks - SCALANCE M81x" Dieses Dokument umfasst Informationen, mit denen Sie in der Lage sind, ein Gerät der Produktlinie SCALANCE M812, M816 zu montieren und anzuschließen. Die Konfiguration sowie die Einbindung des Geräts in ein Netzwerk ist nicht Gegenstand dieser Anleitung Projektierungshandbuch "Industrial Remote Communication Remote Networks - SCALANCE M-800 Web Based Management" Dieses Dokument soll Sie in die Lage versetzen das Gerät in Betrieb zu nehmen und zu bedienen. Es vermittelt die notwendigen Kenntnisse über die Konfiguration der Geräte. Im Projektierungshandbuch "Industrial Ethernet Security Grundlagen und Anwendung" erhalten Sie weitere Hinweise zum Arbeiten mit dem SCT (Security Configuration Tool). Sie finden dieses Dokument im Internet unter folgender Beitrags-ID: ( Im Handbuch "SIMATIC NET Industrial Ethernet Netzhandbuch" erhalten Sie Hinweise zu weiteren SIMATIC NET-Produkten, die Sie gemeinsam mit den Geräten dieser Produktlinie in einem Industrial Ethernet Netzwerk betreiben können. Dort finden Sie u. a. optische Leistungsdaten der Kommunikationspartner, die Sie für den Aufbau benötigen. Sie finden dieses Dokument im Internet unter folgender Beitrags-ID: ( SIMATIC NET-Handbücher Die SIMATIC NET-Handbücher finden Sie auf den Internetseiten des Siemens Industry Online Support: über die Suchfunktion: Link zum Siemens Industry Online Support ( Geben Sie die Beitrags-ID des jeweiligen Handbuchs als Suchbegriff ein. über die Navigation auf der linken Seite im Bereich "Industrielle Kommunikation": Link zum Bereich "Industrielle Kommunikation" ( Navigieren Sie zu der gewünschten Produktgruppe und nehmen Sie folgende Einstellungen vor: Register "Beitragsliste", Beitragstyp "Handbücher / Betriebsanleitungen" 4 Getting Started, 02/2018, C79000-G8900-C337-06

5 Vorwort Training, Service & Support Informationen zu Training, Service & Support finden Sie in dem mehrsprachigen Dokument "DC_support_99.pdf", welches sich auf dem mitgelieferten Datenträger mit Dokumentation befindet. SIMATIC NET-Glossar Erklärungen zu vielen Fachbegriffen, die in dieser Dokumentation vorkommen, sind im SIMATIC NET-Glossar enthalten. Sie finden das SIMATIC NET-Glossar im Internet unter folgender Adresse: ( Security-Hinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.b. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden. Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter folgender Adresse: Link: ( Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter folgender Adresse: Link: ( Firmware Die Firmware ist signiert und verschlüsselt. Es ist sichergestellt, dass nur von Siemens erstellte Firmware in das Gerät geladen werden kann. Getting Started, 02/2018, C79000-G8900-C

6 Vorwort Marken Folgende und eventuell weitere nicht mit dem Schutzrechtsvermerk gekennzeichnete Bezeichnungen sind eingetragene Marken der Siemens AG: SCALANCE, SINEMA, CP 343-1, CP 443-1, CP Getting Started, 02/2018, C79000-G8900-C337-06

7 Inhaltsverzeichnis Vorwort SCALANCE M-800 mit WAN verbinden Prinzipielles Vorgehen SCALANCE M-800 und Netzwerk einrichten SCALANCE M826 mit SHDSL verbinden IP-Einstellungen anpassen Konfiguration mit dem Primary Setup Tool (PST) Konfiguration mit DCP Discovery Das Web Based Management starten Am Web Based Management anmelden Geräteinformationen festlegen Uhrzeit einstellen Zusätzliche Konfigurationsschritte bei SCALANCE M87x und SCALANCE M81x Zugangsparameter für den SCALANCE M87x konfigurieren Zugangsparameter für den SCALANCE M81x konfigurieren DDNS-Hostnamen einrichten Zusätzliche Konfigurationsschritte beim SCALANCE M826 im 4-Draht-Betrieb SHDSL konfigurieren Zusätzliche Konfigurationsschritte beim SCALANCE M826 im Routing Modus IP-Subnetz anlegen Routen konfigurieren Zugriff erlauben SCALANCE M-800 als DHCP Server Dynamische IP-Adressvergabe projektieren DHCP-Optionen festlegen Statische IP-Adressvergabe projektieren VPN-Tunnel projektieren VPN-Tunnel zwischen SCALANCE M-800 und S Prinzipielles Vorgehen Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT V3.x konfigurieren VPN-Tunnel mit dem SCT V4.x konfigurieren SCALANCE M-800 konfigurieren Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT V3.x konfigurieren VPN-Tunnel mit dem SCT V4.x konfigurieren Getting Started, 02/2018, C79000-G8900-C

8 Inhaltsverzeichnis SCALANCE M-800 konfigurieren Firewall bei VPN-Verbindung Firewall-Regeln automatisch anlegen Firewall-Regeln manuell anlegen VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Prinzipielles Vorgehen Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT V3.x konfigurieren VPN-Tunnel mit dem SCT V4.x konfigurieren SCALANCE M-800 konfigurieren Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT V3.x konfigurieren VPN-Tunnel mit dem SCT V4.x konfigurieren SCALANCE M-800 konfigurieren VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Prinzipielles Vorgehen Zugriff auf den SINEMA RC Server konfigurieren IP-Masquerading aktivieren Zugriff erlauben Fernverbindung auf dem SINEMA RC Server konfigurieren Teilnehmergruppen anlegen Geräte anlegen Kommunikationsbeziehungen konfigurieren Fernverbindung auf dem M87x konfigurieren Gesicherte VPN-Verbindung mit Fingerabdruck Gesicherte VPN-Verbindung mit CA-Zertifikat VPN-Tunnel zwischen zwei M Prinzipielles Vorgehen VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen Tunnelverbindung projektieren VPN-Parameter projektieren Konfiguration abspeichern SCALANCE M81x (VPN-Sever) konfigurieren Zertifikat laden VPN-Gegenstelle konfigurieren VPN-Verbindung konfigurieren VPN-Authentifizierung konfigurieren Phase 1 und Phase 2 konfigurieren VPN aktivieren VPN-Verbindung aufbauen SCALANCE M87x (VPN-Client) konfigurieren Zertifikat laden VPN-Gegenstelle konfigurieren VPN-Verbindung konfigurieren VPN-Authentifizierung konfigurieren Phase 1 und Phase 2 konfigurieren VPN aktivieren VPN-Verbindung aufbauen Status der VPN-Verbindung anzeigen Getting Started, 02/2018, C79000-G8900-C337-06

9 Inhaltsverzeichnis 4 NETMAP mit SCALANCE M NETMAP für das lokale Netz VPN-Verbindung anlegen NETMAP-Regeln erstellen NETMAP für das entfernte Netz VPN-Verbindung anlegen NETMAP-Regeln erstellen NETMAP für das lokale und das entfernte Netz VPN-Verbindung anlegen NETMAP-Regeln erstellen Melden und Schalten per SMS Einleitung Ereignis-SMS generieren und senden Einleitung Ereignis projektieren SMS-Versand projektieren Befehl-SMS empfangen und auswerten Einleitung SINEMA RC Server sendet eine Weck-SMS Einstellungen auf dem SINEMA RC Server konfigurieren Empfang der Befehl-SMS auf dem M87x konfigurieren Servicetechniker sendet eine Befehl-SMS VPN-Verbindung mit Befehl-SMS starten Status der VPN-Verbindung mit Befehl-SMS abfragen VRRPv3 projektieren Einleitung VRRPv3 konfigurieren VRRPv3-Router anlegen VRRPv3-Router konfigurieren Virtuelle IP-Adresse festlegen Schnittstellenüberwachung konfigurieren Firewall-Regel für VRRPv3 anlegen VRRPv3 überprüfen Index Getting Started, 02/2018, C79000-G8900-C

10 Inhaltsverzeichnis 10 Getting Started, 02/2018, C79000-G8900-C337-06

11 SCALANCE M-800 mit WAN verbinden Prinzipielles Vorgehen Dieses Kapitel zeigt in einer Übersicht, wie ein SCALANCE M-800 mit den Werkseinstellungen in ein Netz eingebunden und konfiguriert wird. Dies kann ein Mobilfunknetz (SCALANCE M87x) oder ein leitungsgebundenes Netz sein (SCALANCE M812, SCALANCE M816 oder SCALANCE M826). Dem Gerät wird eine IP-Adresse zugewiesen. Die Konfiguration erfolgt über das Web Based Management (WBM). Aufbau für SCALANCE M874 und SCALANCE M81x Bild 1-1 Internetzugang über ein Mobilfunknetz mit dem SCALANCE M874-3 und über ADSL mit dem SCALANCE M812-1 Erforderliche Komponenten SCALANCE M-800 Optional, wenn das Gerät nicht direkt montiert wird: Profilschiene mit Montagematerial Eine Stromversorgung DC 24 V oder DC 12 V mit Kabelverbindung und Klemmblockstecker Ein Netzwerkkabel nach dem Standard IE FC RJ45 für Industrial Ethernet Ein PC für die Konfiguration Getting Started, 02/2018, C79000-G8900-C

12 SCALANCE M-800 mit WAN verbinden 1.1 Prinzipielles Vorgehen Zusätzlich beim SCALANCE M87x Eine geeignete Antenne Eine SIM-Karte ihres Mobilfunkbetreibers (Die entsprechenden Dienste z. B. Internet müssen freigeschaltet sein.) Zusätzlich beim SCALANCE M81x Freischaltung für ADSL Projektierungsschritte Die erforderlichen Projektierungsschritte hängen teilweise vom verwendeten Gerät ab. Wird der SCALANCE M826 im 2-Draht-Betrieb verwendet, ist nur der Projektierungsschritt "SCALANCE M-800 und das Netzwerk einrichten" erforderlich. Danach ist der SCALANCE M826 sofort betriebsbereit (Out-of-the-Box). 1. SCALANCE M-800 und das Netzwerk einrichten. Beachten Sie für den SCALANCE M826 die Zusatzinformationen im Kapitel "SCALANCE M826 mit SHDSL verbinden" 2. Bei Bedarf das Gerät mit dem Primary Setup Tool (PST) oder DCP Discovery konfigurieren. 3. Gegebenenfalls die IP-Konfiguration des PC anpassen. 4. Das Web Based Management starten. 5. Am Web Based Management anmelden. 6. Den SCALANCE M-800 konfigurieren. Geräteinformationen festlegen Uhrzeit einstellen Nur bei den Geräten SCALANCE M87x und SCALANCE M81x: Zugangsparameter konfigurieren Nur bei den Geräten SCALANCE M87x und SCALANCE M81x: DDNS-Hostname einrichten Nur beim SCALANCE M826 im 4-Draht-Betrieb: SHDSL konfigurieren Zugriff erlauben 12 Getting Started, 02/2018, C79000-G8900-C337-06

13 SCALANCE M-800 mit WAN verbinden 1.2 SCALANCE M-800 und Netzwerk einrichten 1.2 SCALANCE M-800 und Netzwerk einrichten Hinweis Beachten Sie die Sicherheitshinweise in der Betriebsanleitung, bevor Sie das Gerät in Betrieb nehmen. Vorgehensweise 1. Packen Sie den SCALANCE M-800 aus und überprüfen Sie das Gerät auf Beschädigungen. 2. Nur beim SCALANCE M87x: Setzen Sie die SIM-Karte ein. 3. Schließen Sie die Spannungsversorgung an. WARNUNG Nur Sicherheitskleinspannung verwenden Das Gerät SCALANCE M874 ist für den Betrieb mit Sicherheitskleinspannung ausgelegt. Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/ VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE M muss NEC Class 2 gemäß National Electrical Code (r) (ANSI / NFPA 70) entsprechen. 4. Verbinden Sie das Gerät mit dem Netzwerk. Der dazu erforderliche Handlungsschritt ist abhängig vom Gerät bzw. vom Typ des Netzwerks: SCALANCE M87x (Mobilfunknetz): Montieren Sie die Antenne. SCALANCE M81x (ADSL): Verbinden Sie das Gerät mit der DSL-Buchse am Splitter. SCALANCE M826 (SHDSL): Verdrahten Sie X1 mit X2, Detailinformationen hierzu finden Sie im Abschnitt "SCALANCE M826 mit SHDSL verbinden". 5. Schließen Sie einen Ethernet-Ports (P1, P2, P3, P4) an den PC an. 6. Schalten Sie das Gerät an. Nach dem Anschließen leuchtet die Fehler-LED (F) rot. 7. Schalten Sie jetzt den PC ein. Getting Started, 02/2018, C79000-G8900-C

14 SCALANCE M-800 mit WAN verbinden 1.3 SCALANCE M826 mit SHDSL verbinden 1.3 SCALANCE M826 mit SHDSL verbinden Der SCALANCE M826 kann auf zwei Arten betrieben werden: 2-Draht-Betrieb Im Auslieferungszustand sind die beiden SHDSL-Schnittstellen so eingestellt, dass zwei SCALANCE M826 über eine Punkt-zu-Punkt-Verbindung verbunden werden können. Die Schnittstelle X1 ist als CO (Central Office) und die Schnittstelle X2 als CPE (Customer Premises Equipment) konfiguriert. 4-Draht-Betrieb Beide SHDSL-Schnittstellen werden zu einer Verbindung mit höherer Übertragungsrate zusammengefasst. Die beiden Schnittstellen X1 und X2 des einen Geräts sind als CO und die beiden Schnittstellen X1 und X2 des anderen Geräts als CPE konfiguriert. Im Auslieferungszustand ist der SCALANCE M826 so konfiguriert, dass es keine Unterscheidung zwischen internem und externem Netz gibt. Der SCALANCE M826 ist eine transparente Bridge und verbindet Netzknoten, die sich im selben IP-Subnetz befinden. 2-Draht-Betrieb mit Werkseinstellungen (Out-of-the-Box) Bild 1-2 Die Admin-PCs repräsentieren Netzknoten, die an einer Ethernet-Schnittstelle des jeweiligen SCALANCE M826 angeschlossen sind. Die SCALANCE M826 sind miteinander über eine betriebseigene 2-Draht-Leitung verbunden 14 Getting Started, 02/2018, C79000-G8900-C337-06

15 SCALANCE M-800 mit WAN verbinden 1.3 SCALANCE M826 mit SHDSL verbinden Verwendete Einstellungen Bild 1-3 Werkseinstellungen für die Geräte der Beispielkonfiguration 4-Draht-Betrieb Bild 1-4 Die Admin-PCs repräsentieren Netzknoten, die an einer Ethernet-Schnittstelle des jeweiligen SCALANCE M826 angeschlossen sind. Die beiden SCALANCE M826 sind miteinander über zwei betriebseigenen 2-Draht-Leitungen verbunden Getting Started, 02/2018, C79000-G8900-C

16 SCALANCE M-800 mit WAN verbinden 1.3 SCALANCE M826 mit SHDSL verbinden Verwendete Einstellungen IP-Adresse Subnetzmaske Zentrale M Admin-PC Station M Admin-PC Im Routing-Modus In diesem Beispiel sollen drei verschiedene IP-Subnetze über das SCALANCE M826 miteinander verbunden werden. Für diese Verbindung muss jeweils eine SHDSL- Schnittstelle eines Geräts in der Rolle CO sein und die andere in CPE. Da die SCALANCE M826 im Routing-Modus arbeiten, gibt es eine Unterteilung in externe und interne Netze. Somit liegen die SHDSL-Schnittstellen und die Ethernet-Schnittstellen in verschiedenen IP- Subnetzen. In diesem Modus sind die Sicherheits-Funktionen (IPsec VPN, Firewall, NAT/NAPT) verfügbar. Bild 1-5 SCALANCE M826 im Routing-Modus: Die Netzknoten befinden sich in verschiedenen IP-Subnetzen. Die SHDSL-Schnittstellen sind über betriebseigene 2-Draht-Leitungen miteinander verbunden 16 Getting Started, 02/2018, C79000-G8900-C337-06

17 SCALANCE M-800 mit WAN verbinden 1.4 IP-Einstellungen anpassen Verwendete Einstellungen Interface Zentrale M826 SHDSL (extern) Ethernet (intern) Admin-PC Ethernet (intern) Station 1 M826 SHDSL (extern) Ethernet (intern) Admin-PC Ethernet (intern) Station 2 M826 SHDSL (extern) Ethernet (intern) Admin-PC Ethernet (intern) IP-Adresse Vlan Vlan Vlan Vlan Vlan Vlan IP-Einstellungen anpassen Einleitung Um mit dem Web Based Management auf einen SCALANCE M-800 zugreifen zu können, muss das Gerät über eine IP-Adresse verfügen. Sie haben folgende Möglichkeiten Geräten erstmalig eine IP-Adresse oder bereits zugewiesene IP-Adressen ändern: Primary Setup Tool (PST) DCP Discovery (ab Firmware-Version 4.3) SCALANCE M826 Der SCALANCE M826 wird ohne voreingestellte IP-Adresse ausgeliefert, weil es für dieses Gerät Anwendungsfälle gibt, die keine weitere Konfiguration erfordern ("Out-of-the-box"). In diesen Fällen ist kein Zugriff auf das Web Based Management und somit auch keine IP- Adresse erforderlich. Das Gerät wird aber versuchen, eine IP-Adresse von einem DHCP- Server zu beziehen, wenn einer im Netz verfügbar ist. In allen anderen Fällen muss dem Gerät erst eine IP-Adresse zugewiesen werden. Getting Started, 02/2018, C79000-G8900-C

18 SCALANCE M-800 mit WAN verbinden 1.4 IP-Einstellungen anpassen SCALANCE M87x und SCALANCE M81x Die Geräte SCALANCE M87x und SCALANCE M81x werden mit folgenden Werkseinstellungen ausgeliefert: IP-Adresse: Subnetzmaske: Wenn Sie auf einem angeschlossenen PC (in den Beispielen "Admin-PC" genannt) im Adressfeld eines Webbrowsers die IP-Adresse " " eingeben, gelangen Sie direkt in das WBM des Geräts. Allerdings kann eine Änderung der Werkseinstellungen aufgrund bereits konfigurierter Adressbereiche im vorhandenen Netzwerk erforderlich sein Konfiguration mit dem Primary Setup Tool (PST) Einleitung Der folgende Abschnitt beschreibt die Vorgehensweise bei der Verwendung des PST. Vorgehensweise 1. Starten Sie das Primary Setup Tool unter "Start > SIMATIC > Primary Setup Tool". Wenn im PC mehrere Netzwerkkarten eingebaut sind, wählen Sie unter "Einstellungen > Netzwerkkarte" den Netzwerk-Adapter, der mit dem SCALANCE M-800 verbunden ist. 2. Klicken Sie in der Funktionsleiste auf die Lupe, um den Suchlauf zu starten. Nach dem Suchlauf werden alle Geräte aufgelistet, die mit dem PST konfiguriert werden können. 3. Markieren Sie den Eintrag für die Ethernet-Schnittstelle des SCALANCE M Getting Started, 02/2018, C79000-G8900-C337-06

19 SCALANCE M-800 mit WAN verbinden 1.4 IP-Einstellungen anpassen 4. Markieren Sie das Optionsfeld "IP-Parameter zuordnen". 5. Tragen Sie in die Felder "IP-Adresse" und "Subnetzmaske" die gewünschten Werte ein. Bild 1-6 Benutzeroberfläche des Primary Setup Tool Führen Sie folgende Schritte durch, um die Parametrierung auf das Gerät zu übertragen: 1. Markieren Sie den Eintrag für den SCALANCE M Klicken Sie die zweite Schaltfläche von links ("Laden") oder wählen Sie das Menü Baugruppe > Laden. Bild 1-7 Übertragen der Parameter mit der Schaltfläche "Laden" Getting Started, 02/2018, C79000-G8900-C

20 SCALANCE M-800 mit WAN verbinden 1.4 IP-Einstellungen anpassen Konfiguration mit DCP Discovery Einleitung In dieser Beispielkonfiguration sollen die Netzwerkparameter des SCALANCE M826-2 im Anlagennetz angepasst werden. Der PC in der Service-Zentrale stellt dazu eine WAN-Verbindung zu einem SCALANCE M87x her und der Servicetechniker greift auf dessen WBM zu. Auf der WBM-Seite "DCP Discovery and Set via DCP" lässt er sich die Teilnehmer anzeigen, die das Protokoll DCP unterstützen und über die Schnittstelle des Geräts erreichbar sind, z. B. SCALANCE M Beim SCALANCE M826-2 wird der Gerätename, die IP-Adresse, die Subnetzmaske und die Gateway-Adresse angepasst. Die Identifizierung der Geräte vor Ort kann durch Blinken des jeweiligen Geräts erfolgen. 20 Getting Started, 02/2018, C79000-G8900-C337-06

21 SCALANCE M-800 mit WAN verbinden 1.4 IP-Einstellungen anpassen Voraussetzung Auf den Geräten ist die Firmware-Version V4.3 oder größer installiert. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System > DCP Discovery". 2. Klicken Sie auf "Durchsuchen", um den Suchlauf zu starten. Nach dem Suchlauf werden alle Geräte aufgelistet, die über die Schnittstelle erreichbar sind. Mithilfe der Tabelle können Sie die Konfiguration der Geräte überprüfen. Der SCALANCE M826 wird ohne voreingestellte IP-Adresse ausgeliefert, also besitzt im Moment die IP- Adresse Geben Sie in die Felder "IP-Adresse" und "Subnetzmaske" die gewünschten Werte ein. Die vergebene IP-Adresse muss zu ihrem Netzwerk passen und sollte innerhalb des Netzwerks eindeutig sein. 4. Klicken Sie auf "Einstellungen übernehmen". Der "Status der IP-Adresse" wechselt von "Discovered" nach "Configured". Getting Started, 02/2018, C79000-G8900-C

22 SCALANCE M-800 mit WAN verbinden 1.5 Das Web Based Management starten 1.5 Das Web Based Management starten Abhängig vom Gerät und vom dargestellten Beispiel wird dem Admin-PC folgende IP- Adresse zugewiesen: SCALANCE M87x und SCALANCE M81x IP-Adresse Subnetzmaske Admin-PC SCALANCE M826 IP-Adresse Subnetzmaske Admin-PC Admin-PC Vorgehensweise 1. Öffnen Sie auf dem Admin-PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Klicken Sie mit der rechten Maustaste auf das Symbol "LAN-Verbindung" und wählen Sie den Menübefehl "Eigenschaften". 4. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 22 Getting Started, 02/2018, C79000-G8900-C337-06

23 SCALANCE M-800 mit WAN verbinden 1.5 Das Web Based Management starten 5. Geben Sie die dem Admin-PC zugeordneten Werte aus der Tabelle in die dafür vorgesehenen Felder ein. Hinweis Die im folgenden Bild verwendete IP-Adresse für das Standardgateway muss angepasst werden, wenn für die IP-Adresse des SCALANCE M-800 nicht die Werkseinstellung verwendet wird. 6. Bestätigen Sie die Dialoge mit "OK" und schließen Sie die Systemsteuerung. Getting Started, 02/2018, C79000-G8900-C

24 SCALANCE M-800 mit WAN verbinden 1.5 Das Web Based Management starten 7. Geben Sie im Adressfeld des Internet-Browsers die IP-Adresse " " ein. Standardmäßig ist der Zugriff über HTTPS aktiviert. Wenn Sie über HTTP auf das Gerät zugreifen, wird die Adresse automatisch auf HTTPS umgeleitet. Eine Meldung zum Sicherheitszertifikat erscheint. Quittieren Sie diese Meldung und setzen Sie das Laden der Seite fort. Hinweis Informationen zum Sicherheitszertifikat Da das Gerät nur über verschlüsselte Zugänge administrierbar ist, wird es mit einem selbst unterzeichneten Zertifikat ausgeliefert. Bei Zertifikaten mit Unterschriften, die dem Betriebssystem nicht bekannt sind, erscheint ein Sicherheitshinweis. Sie können sich das Zertifikat anzeigen lassen. 8. Wenn eine einwandfreie Verbindung zum Gerät besteht, erscheint die Anmeldeseite des Web Based Managements (WBM). 24 Getting Started, 02/2018, C79000-G8900-C337-06

25 SCALANCE M-800 mit WAN verbinden 1.6 Am Web Based Management anmelden 1.6 Am Web Based Management anmelden Vorgehensweise 1. Melden Sie sich mit dem Benutzernamen "admin" und dem Passwort "admin" an. Sie werden aufgefordert, das Passwort zu ändern. 2. Bestätigen Sie den Dialog. Automatisch wird die WBM-Seite "Passwörter von Benutzern" geöffnet. 3. Tragen Sie bei "Aktuelles Benutzerpasswort" das Default-Passwort "admin" ein. 4. Geben Sie bei "Neues Passwort" das neue Passwort ein. Das neue Passwort muss mindestens 8 Zeichen lang sein und Großbuchstaben, Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten. 5. Wiederholen Sie das neue Passwort bei "Passwort bestätigen" zur Bestätigung. Beide Einträge müssen übereinstimmen. Getting Started, 02/2018, C79000-G8900-C

26 SCALANCE M-800 mit WAN verbinden 1.7 Geräteinformationen festlegen 6. Klicken Sie auf die Schaltfläche "Einstellungen übernehmen". 7. Der Basic Wizard startet, um Sie bei der Konfiguration der Geräteparameter zu unterstützen. Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Die Änderungen sind sofort wirksam. 1.7 Geräteinformationen festlegen Legen Sie zur besseren Identifikation des SCALANCE M-800 die allgemeinen Geräteinformationen fest. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System > Allgemein" und im Inhaltsbereich auf das Register "Gerät". 2. Tragen Sie bei "Systemname" einen Namen für das Gerät ein. 3. Tragen Sie bei "Systemkontakt" den für das Gerät zuständigen Ansprechpartner ein. 4. Tragen Sie bei "Gerätestandort" die Ortsbezeichnung des Aufstellungsorts ein, z.b. die Raumnummer. 5. Klicken Sie auf die Schaltfläche "Einstellungen übernehmen". Ergebnis Die allgemeinen Geräteinformationen des SCALANCE M-800 sind festgelegt. 26 Getting Started, 02/2018, C79000-G8900-C337-06

27 SCALANCE M-800 mit WAN verbinden 1.8 Uhrzeit einstellen 1.8 Uhrzeit einstellen Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten und für die Zeitstempel von Logbuch-Einträgen werden auf dem SCALANCE M-800 Datum und Uhrzeit geführt. Sie können die Systemzeit selbst manuell einstellen, oder Sie lassen sie mit einem Zeitserver automatisch synchronisieren. Im Internet gibt es eine Reihe von Zeitservern, von denen die aktuelle Uhrzeit präzise bezogen werden kann. Für dieses Beispiel wird der Zeitserver über NTP konfiguriert. Hinweis Manuelle Zeiteinstellung - Verhalten nach Unterbrechung der Spannungsversorgung Beachten Sie, dass die Uhrzeit auf Werkseinstellung zurückgesetzt wird, wenn die Spannungsversorgung unterbrochen wird. Nach Wiederkehr der Spannungsversorgung müssen Sie erneut die Systemzeit einstellen. Dadurch können Zertifikate ihre Gültigkeit verlieren. Synchronisation über Zeitserver Die Synchronisation der Systemzeit über einen öffentlichen Zeitserver verursacht ein zusätzliches Datenaufkommen auf der Verbindung. Je nach Teilnehmervertrag sind damit erhöhte Kosten verbunden. Voraussetzung Der NTP-Server ist erreichbar. Die IP-Adresse des NTP-Servers ist bekannt. Für dieses Beispiel wird einer der Zeitserver (z. B ) der Physikalisch- Technischen Bundesanstalt (PTB) in Braunschweig verwendet. Alternativ kann auch der Fully Qualified Domain Name (FQDN) angegeben werden, also beispielsweise "pool.ntp.org". Getting Started, 02/2018, C79000-G8900-C

28 SCALANCE M-800 mit WAN verbinden 1.8 Uhrzeit einstellen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System > Systemzeit" und im Inhaltsbereich auf das Register "NTP-Client". 2. Tragen Sie bei "Zeitzone" die lokale Zeitdifferenz zur Weltzeit (UTC) ein. Für mitteleuropäische Sommerzeit (MESZ) +02: Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 4. Tragen Sie bei "NTP-Server-Adresse" die IP-Adresse ein. 5. Ändern Sie bei Bedarf den Port bei "Port des NTP-Servers". Standardmäßig ist 123 eingestellt. 6. Tragen Sie bei "Poll-Intervall" den Zeitabstand für die Synchronisation ein. Standardmäßig ist 64 eingestellt. 7. Aktivieren Sie "NTP-Client". 8. Klicken Sie auf "Einstellungen übernehmen". 28 Getting Started, 02/2018, C79000-G8900-C337-06

29 SCALANCE M-800 mit WAN verbinden 1.9 Zusätzliche Konfigurationsschritte bei SCALANCE M87x und SCALANCE M81x Ergebnis Die Systemzeit über NTP ist eingestellt. Klicken Sie auf "Aktualisieren", um die WBM-Seite zu aktualisieren. 1.9 Zusätzliche Konfigurationsschritte bei SCALANCE M87x und SCALANCE M81x Zugangsparameter für den SCALANCE M87x konfigurieren Voraussetzung Die Dienste sind freigeschaltet, z. B. Internet. Folgende Daten liegen vor: PIN-Nummer APN Benutzernamen und Passwort für den APN PIN-Nummer eingeben 1. Klicken Sie im Navigationsbereich auf "Schnittstellen" > "Mobilfunk" und im Inhaltsbereich auf das Register "SIM". 2. Geben Sie bei "PIN" die PIN-Nummer ein. 3. Aktivieren Sie die Mobilfunkschnittstelle. 4. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

30 SCALANCE M-800 mit WAN verbinden 1.9 Zusätzliche Konfigurationsschritte bei SCALANCE M87x und SCALANCE M81x APN konfigurieren 1. Klicken Sie im Inhaltsbereich auf das Register "Mobilfunkanbieter". 2. Legen Sie die Zugangsdaten für den APN fest. Wenn ihr Mobilfunkanbieter in der Tabelle enthalten ist, ist keine weitere Konfiguration notwendig. oder Wählen Sie in "Länderliste" das Land aus, in dem das Gerät eingesetzt wird. Wählen Sie in "Anbieter-LIste" den entsprechenden Mobilfunkanbieter aus. Wenn ein Mobilfunkanbieter für ein Land mehrfach aufgeführt ist, wählen Sie den Eintrag mit der PLMNID aus, die zur SIM passt. oder Wenn ihr Mobilfunkanbieter nicht in der Tabelle und nicht in der Anbieter-Liste enthalten ist, aktivieren Sie den Eintrag "Manual". Wenn der Eintrag "Manual" aktiviert ist, werden automatisch alle anderen Einträge ignoriert Füllen Sie die Felder PLMNID, Name des Anbieters, APN, Benutzernahme (optional), Passwort (optional) und Passwort bestätigen (optional) aus. Um den Eintrag zu übernehmen, klicken Sie auf Sie mit "Erstellen" und auf "Einstellungen übernehmen". Ergebnis Die PIN-Nummer und der APN sind konfiguriert. Das M87x4 verbindet sich nach ca. 30 Sekunden mit dem Mobilfunknetz. Ob die Verbindung aufgebaut ist, können Sie unter "Information > Mobilfunk > Übersicht" prüfen. 30 Getting Started, 02/2018, C79000-G8900-C337-06

31 SCALANCE M-800 mit WAN verbinden 1.9 Zusätzliche Konfigurationsschritte bei SCALANCE M87x und SCALANCE M81x Dort sollte bei "Anbieter" der Name Ihres Mobilfunkanbieters erscheinen. Für eine funktionierende Verbindung sollte die Signalstärke höher als -104 dbm sein. Hinweis Diese Seite bietet die Möglichkeit der automatischen Aktualisierung. Klicken Sie auf das Symbol mit den zwei Pfeilen rechts oben im Anzeigebereich, um diese Funktion zu aktivieren. Die Seite "Signalrekorder" zeigt die Signalstärke zur Funkzelle an, in die das Gerät aktuell eingebucht ist. Mithilfe der grafischen Anzeige können Sie die Ausrichtung der Mobilfunkantenne prüfen und gegebenfalls korrigieren. Wenn es zu einem Wechsel der Funkzelle kommt, wird dieser durch eine vertikale schwarze Linie angezeigt. An der Linie werden die Funkzellen-ID (alt > neu) angezeigt. Wenn sich auch das Mobilfunknetz ändert, wird dies mit ausgegeben. Die Anzeige wird automatisch in einem Zyklus von 500 ms aktualisiert. Getting Started, 02/2018, C79000-G8900-C

32 SCALANCE M-800 mit WAN verbinden 1.9 Zusätzliche Konfigurationsschritte bei SCALANCE M87x und SCALANCE M81x Zugangsparameter für den SCALANCE M81x konfigurieren Voraussetzung Die Dienste sind freigeschaltet, z. B. Internet. Von ihrem DSL-Anbieter sind folgende Zugangsdaten bekannt: Benutzernamen und Passwort für den ADSL-Zugang DSL-Parameter 32 Getting Started, 02/2018, C79000-G8900-C337-06

33 SCALANCE M-800 mit WAN verbinden 1.9 Zusätzliche Konfigurationsschritte bei SCALANCE M87x und SCALANCE M81x ADSL konfigurieren 1. Klicken Sie im Navigationsbereich auf "Schnittstellen" > "DSL" 2. Aktivieren Sie die DSL-Schnittstelle. 3. Deaktivieren Sie PPPoE Passthrough, um die Zugangsdaten am SCALANCE M81x einzurichten. Die angeschlossenen Geräte können diese DSL-Verbindung nutzen. Wenn "PPPoE Passthrough aktivieren" eingestellt ist, sind die Zugangsdaten nicht konfigurierbar. In diesem Fall wird das SCALANCE M81x als Modem genutzt. Jedes einzelne angeschlossene Gerät sendet seine Zugangsdaten an das SCALANCE M81x und baut eine eigene Internetverbindung auf. 4. Tragen Sie den Benutzernamen und das Passwort für den ADSL-Zugang ein. 5. Tragen Sie die Einstellungen für VCI / VPI ein. Die Einstellungen erhalten Sie von Ihrem DSL-Anbieter. 6. Wählen Sie bei "Kapselung" das gewünschte Protokoll aus. 7. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

34 SCALANCE M-800 mit WAN verbinden 1.9 Zusätzliche Konfigurationsschritte bei SCALANCE M87x und SCALANCE M81x Ergebnis Die DSL-Verbindung ist eingerichtet. Das Gerät verbindet sich nach ca. 30 Sekunden mit dem Internet. Ob die Verbindung aufgebaut ist, können Sie unter "Information" > "Startseite" prüfen. Detailliertere Informationen zur Verbindung erhalten Sie unter "Information" > "DSL". 34 Getting Started, 02/2018, C79000-G8900-C337-06

35 SCALANCE M-800 mit WAN verbinden 1.9 Zusätzliche Konfigurationsschritte bei SCALANCE M87x und SCALANCE M81x DDNS-Hostnamen einrichten DDNS steht für "dynamic domain name system". Wenn Sie das SCALANCE M-800 bei einem DDNS-Dienst anmelden, dann ist das Gerät aus dem externen Netz auch unter einem Hostnamen erreichbar, z. B. "example.no-ip.com". Der DNS-Server des DDNS-Diensts verwaltet die Zuordnung IP-Adresse - Hostnamen. Der Client übermittelt dem DNS-Server seine aktuell zugewiesene IP-Adresse. Der DNS-Server registriert die aktuelle Zuordnung Hostname - IP-Adresse und teilt diese anderen Domain Name Servern im Internet mit. Damit ist das SCALANCE M-800 immer über seinen Hostnamen erreichbar. Voraussetzung Benutzername und Passwort, die Sie zur Nutzung des DDNS-Diensts berechtigen. Registrierter Hostname z. B. example.no-ip.com Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "DNS" und im Inhaltsbereich auf das Register "DDNS-Client" Tragen Sie bei "Host" den Hostnamen ein, den Sie für das Gerät mit Ihrem DDNS- Anbieter vereinbart haben, z. B. example.no-ip.com 4. Tragen Sie die Benutzerdaten bei "Benutzername" und bei "Passwort / Passwort bestätigen" ein, dass Sie zur Nutzung des DDNS-Diensts berechtigt. Ihr DDNS-Anbieter teilt Ihnen diese Angaben mit. Getting Started, 02/2018, C79000-G8900-C

36 SCALANCE M-800 mit WAN verbinden 1.10 Zusätzliche Konfigurationsschritte beim SCALANCE M826 im 4-Draht-Betrieb 5. Markieren Sie das entsprechende Optionskästchen in der Spalte "Aktiviert" für einen der beiden Dienste "No-IP" oder "DynDNS". 6. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Der DDNS-Client ist aktiviert. Der DDNS-Client auf dem SCALANCE M-800 synchronisiert die zugewiesene IP-Adresse mit dem im DDNS-Dienst registrierten Hostnamen Zusätzliche Konfigurationsschritte beim SCALANCE M826 im 4-Draht-Betrieb SHDSL konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Schnittstellen" > "SHDSL" > Konfiguration". 2. Lassen Sie bei "Port-Typ" "Switch-Port VLAN Hybrid" aktiviert. 3. Legen Sie die Rolle der Schnittstellen fest. Auf beiden Geräten müssen beide Schnittstellen jeweils die gleiche Rolle. M826 in der Zentrale M826 in der Station X1 X2 X1 X2 Central Office (CO) Central Office (CO) Customer Premises Equipment (CPE) Customer Premises Equipment (CPE) 4. Wählen Sie bei "Vordefinierte Profile" "Zuverlässig" aus. Die nachfolgenden Parameter werden automatisch eingestellt. 36 Getting Started, 02/2018, C79000-G8900-C337-06

37 im 4-Draht-Betrieb SCALANCE M-800 mit WAN verbinden 1.10 Zusätzliche Konfigurationsschritte beim SCALANCE M Klicken Sie auf "Einstellungen übernehmen". 6. Klicken Sie im Navigationsbereich auf "Schnittstellen > SHDSL > Übersicht". 7. Aktivieren Sie die PME Aggregation-Funktion. Wenn aktiviert, werden die SHDSL-Schnittstellen bzw. die 2-Drathleitungen zu einer einzigen Verbindung mit höherer Übertragungsrate zusammengefasst. 8. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

38 SCALANCE M-800 mit WAN verbinden 1.11 Zusätzliche Konfigurationsschritte beim SCALANCE M826 im Routing Modus Ergebnis Die SHDSL-Verbindung ist eingerichtet. Die Geräte handeln die Verbindungsparameter aus, d. h. die Geräte nehmen die Übertragungsrate, bei der zuverlässig Daten gesendet und empfangen werden können Zusätzliche Konfigurationsschritte beim SCALANCE M826 im Routing Modus IP-Subnetz anlegen Im Routing-Modus werden die Schnittstellen unterschiedlich behandelt. Ethernet-Schnittstelle: Anbindung des internen IP-Subnetzes (vlan 1) SHDSL-Schnittstelle: Anbindung des externen IP-Subnetzes (vlan 2) Die Ethernet-Schnittstelle bzw. das interne IP-Subnetz wurde bereits mit dem PST konfiguriert. Für dieses Konfigurationsbeispiel ist nur das IP-Subnetz für die SHDSL- Schnittstelle bzw. für das externe IP-Subnetz zu konfigurieren. Die Schritte sind bei allen Geräten durchzuführen. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnetze" und im Inhaltsbereich auf das Register "Konfiguration". 2. Wählen Sie bei "Schnittstelle (Name)" den Eintrag "vlan2" aus. 3. Bei "Schnittstellenname" können Sie einen Namen eingeben. 38 Getting Started, 02/2018, C79000-G8900-C337-06

39 SCALANCE M-800 mit WAN verbinden 1.11 Zusätzliche Konfigurationsschritte beim SCALANCE M826 im Routing Modus 4. Tragen Sie den dem M826 zugeordneten Wert aus der Tabelle "Verwendete Einstellungen (Seite 14)" ein. 5. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Die IP-Subnetze sind angelegt. Die IP-Subnetze werden im Register "Übersicht" angezeigt Routen konfigurieren Die Zentrale und die Stationen sind in verschiedenen IP-Subnetzen. Damit die Zentrale mit den Stationen kommunizieren kann, müssen im M826 die entsprechenden Routen angelegt werden. Getting Started, 02/2018, C79000-G8900-C

40 SCALANCE M-800 mit WAN verbinden 1.11 Zusätzliche Konfigurationsschritte beim SCALANCE M826 im Routing Modus M826 in der Zentrale: Routen konfigurieren 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Statische Routen". 2. Konfigurieren Sie die Routen mit folgenden Einstellungen: Route zur Station 1 Zielnetzwerk Subnetzmaske Gateway externe IP-Adresse des M826 in der Station 1 Administrative Distanz -1 Route zur Station 2 Zielnetzwerk Subnetzmaske Gateway externe IP-Adresse des M826 in der Station 2 Administrative Distanz Wenn Sie die Werte eingetragen haben, klicken Sie auf "Erstellen". 4. Zum Aktualisieren der Anzeige klicken Sie auf "Aktualisieren". 40 Getting Started, 02/2018, C79000-G8900-C337-06

41 SCALANCE M-800 mit WAN verbinden 1.12 Zugriff erlauben M826 in den Stationen: Routen konfigurieren 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Statische Routen". 2. Konfigurieren Sie die Route zur Zentrale mit folgenden Einstellungen: Zielnetzwerk Subnetzmaske Gateway externe IP-Adresse des M826 in der Zentrale Administrative Distanz Wenn Sie die Werte eingetragen haben, klicken Sie auf "Erstellen". 4. Zum Aktualisieren der Anzeige klicken Sie auf "Aktualisieren". Ergebnis Die Routen sind angelegt. Das SCALANCE M826 in der Zentrale kann mit den Stationen kommunizieren. Mit der Ping-Funktion lässt sich die Kommunikationsverbindung testen. Ist z. B. vom Admin- PC in der Zentrale der Admin-PC in der Station 1 erreichbar Zugriff erlauben Die Firewall ist standardmäßig aktiviert. Folgende Zugriffe sind dabei nicht erlaubt: Der Zugriff von intern nach extern. Der Zugriff von extern nach intern. Datenaustausch zwischen verschiedenen internen VLANs. Datenaustausch aus unterschiedlichen Zonen mit dem Gerät. Es gibt folgende Möglichkeiten den Zugriff zu erlauben: Global erlauben Die vordefinierte Firewall-Regeln geben an, welche der Zonen (VLAN1, VLAN2,... oder PPP) auf welche Dienste des SCALANCE M-800 zugreifen dürfen. Mit vordefinierten Regeln ist es nicht möglich, den Datenaustausch zwischen den Zonen (Intern VLAN1 nach extern PPP0) zu erlauben. Die Firewall-Regel für die Gegenrichtung wird mittels zustandsorientierte Paketüberprüfung (stateful packet inspection) erlaubt. Bestimmte Dienste erlauben Hier definieren Sie Firewall-Regeln, die für einen einzelnen Teilnehmer einzelne Dienste freischaltet oder für den Teilnehmer alle Dienste für den Zugriff auf die Station bzw. das Netz frei geben. In diesem Beispiel projektieren Sie die Firewall-Regeln, die nur dem Gerät mit der IP- Adresse den Zugriff auf das gesamte Internet erlaubt. Für den Zugriff werden die Dienste HTTP (TCP-Port 80) und DNS (UDP-Port 53) benötigt. Getting Started, 02/2018, C79000-G8900-C

42 SCALANCE M-800 mit WAN verbinden 1.12 Zugriff erlauben Vordefinierte Regeln 1. Klicken Sie im Navigationsbereich auf "Security" > "Firewall" und im Inhaltsbereich auf das Register "Vordefinierte IPv4-Regeln". 2. Klicken Sie auf "Einstellungen übernehmen". Internet-Zugriff einem bestimmten Gerät und einem bestimmten Dienst (HTTP) erlauben IP-Dienste HTTP und DNS anlegen 1. Klicken Sie im Navigationsbereich auf "Security" > "Firewall" und im Inhaltsbereich auf das Register "IP-Dienste". 2. Geben Sie bei "Servicename" z. B. "HTTP" ein und klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3. Konfigurieren Sie HTTP mit folgenden Einstellungen: Transport TCP Ziel-Port (Bereich) 80 (Standard-Port) 4. Klicken Sie auf "Einstellungen übernehmen". 5. In der Tabelle wird ein neuer Eintrag erstellt. 6. Geben Sie bei "Servicename" z. B. "DNS" ein und klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 42 Getting Started, 02/2018, C79000-G8900-C337-06

43 SCALANCE M-800 mit WAN verbinden 1.12 Zugriff erlauben 7. Konfigurieren Sie DNS mit folgenden Einstellungen: Transport UDP Ziel-Port (Bereich) 53 (Standard-Port) 8. Klicken Sie auf "Einstellungen übernehmen". IP-Dienst nur einem bestimmten Gerät erlauben 1. Klicken Sie im Navigationsbereich auf "Security" > "Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3. Konfigurieren Sie die Firewall-Regel für HTTP mit folgenden Einstellungen: Aktion Von Nach Quelle (Bereich) Ziel (Bereich) Dienst Accept vlan1 (INT) ppp0 bzw. usb (das gewünschte Gerät) /0 (alle Adressen) HTTP 4. Klicken Sie auf "Einstellungen übernehmen". 5. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. Getting Started, 02/2018, C79000-G8900-C

44 SCALANCE M-800 mit WAN verbinden 1.12 Zugriff erlauben 6. Konfigurieren Sie die Firewall-Regel für DNS mit folgenden Einstellungen: Aktion Von Nach Quelle (Bereich) Ziel (Bereich) Dienst Accept vlan1 (INT) ppp0 bzw. usb (das gewünschte Gerät) /0 (alle Adressen) DNS 7. Klicken Sie auf "Einstellungen übernehmen". Einem internen Teilnehmer den Zugriff auf das Internet erlauben 1. Klicken Sie im Navigationsbereich auf "Security" > "Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3. Konfigurieren Sie die Firewall-Regel für HTTP mit folgenden Einstellungen: Aktion Von Zu Quelle (Bereich) Ziel (Bereich) Dienst Accept vlan1 (INT) ppp0 bzw. usb0 (abhängig vom Gerät) /0 (alle Adressen) /0 (alle Adressen) all 4. Klicken Sie auf "Einstellungen übernehmen". 44 Getting Started, 02/2018, C79000-G8900-C337-06

45 SCALANCE M-800 als DHCP Server 2 Wenn Sie das Gerät zum Verwalten von Netzwerkkonfiguration verwenden wollen, können Sie das Gerät als DHCP-Server einsetzen. Damit ist es möglich, den am internen Netz angeschlossenen Geräten automatisch IP-Adressen zuzuweisen. In diesem Beispiel werden die statische und die dynamische IP-Adressvergabe konfiguriert. Hinweis DHCP-Client und DHCP-Server Das Gerät kann entweder nur ein DHCP-Client oder nur ein DHCP-Server sein. SCALANCE M-800 als DHCP-Server Erforderliche Geräte/Komponenten SCALANCE M-800 als DHCP-Server 1x M874, 1x M812 oder M816 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmblockstecker 1x PC mit dem das SCALANCE M-800 verbunden ist. die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Getting Started, 02/2018, C79000-G8900-C

46 SCALANCE M-800 als DHCP Server 2.1 Dynamische IP-Adressvergabe projektieren Verwendete Einstellung Das SCALANCE M-800 erhält für die Beispielkonfiguration die folgende IP- Adresseinstellung: IP-Adresse Subnetzmaske: Voraussetzung Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Projektierungsschritte 1. Dynamische IP-Adressvergabe projektieren (Seite 46) 2. DHCP-Optionen festlegen (Seite 48) 3. Statische IP-Adressvergabe projektieren (Seite 50) 2.1 Dynamische IP-Adressvergabe projektieren Die Geräte, deren MAC-Adresse oder deren Client-ID nicht explizit angegeben wurde, erhalten eine beliebige IP-Adresse aus einem vorgegebenen Adressband. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "DHCP" und im Inhaltsbereich auf das Register "DHCP-Server". 2. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile mit einer eindeutigen Nummer (Pool ID) angelegt. 46 Getting Started, 02/2018, C79000-G8900-C337-06

47 SCALANCE M-800 als DHCP Server 2.1 Dynamische IP-Adressvergabe projektieren 3. Tragen Sie bei "Subnetz" den Netzadressbereich. Da das verwendete Gerät als Gateway und als DNS-Relay eingesetzt wird, muss die IP-Adresse in den Netzadressbereich gehören. In diesem Beispiel wird die Netzadresse: /24 (= / ) verwendet. 4. Tragen Sie bei "Untere IP-Adresse" die IP-Adresse ein, die den Anfang des dynamischen Adressbands festlegt und im Netzadressbereich liegt. 5. Tragen Sie bei "Obere IP-Adresse" die IP-Adresse ein, die das Ende des dynamischen Adressbands festlegt und im Netzadressbereich liegt. 6. Klicken Sie auf "Einstellungen übernehmen". 7. Aktivieren Sie "DHCP-Server", um den DHCP-Server zu aktivieren. 8. Aktivieren Sie "Adresse vor dem Anbieten mit ICMP-Echo prüfen", um die ping-funktion zu aktivieren. Mit dem ping prüft der DHCP-Server, ob die IP-Adresse schon vergeben ist. 9. Aktivieren Sie das Optionskästchen in der Spalte "Aktivieren", um den konfigurierten DHCP-Pool zu aktiviert. 10.Klicken Sie auf "Einstellungen übernehmen". Ergebnis Der DHCP-Server kann bis zu 100 IP-Adressen aus einem vorgegebenen Adressband vergeben. Vorausgesetzt, die angeschlossenen Geräte sind so konfiguriert, dass diese die IP-Adresse von einem DHCP-Server beziehen. Getting Started, 02/2018, C79000-G8900-C

48 SCALANCE M-800 als DHCP Server 2.2 DHCP-Optionen festlegen 2.2 DHCP-Optionen festlegen Über DHCP-Optionen lassen sich weitere Informationen an den DHCP-Client übermitteln. Die verschiedenen DHCP-Optionen sind im RFC 2132 definiert. Die DHCP-Optionen 1, 3, 6, 66 und 67 werden automatisch beim Erstellen des IPv4- Adressbands angelegt. Mit Ausnahme der Option 1 sind die Optionen löschbar. In diesem Beispiel werden folgende DHCP-Optionen angelegt. DHCP-Option Enthaltene Information 1 Netzmaske Subnetzmaske passend zur IP-Adresse 3 Standard- Gateway Für dieses Beispiel ist die Subnetzmaske: IP-Adresse des Standard-Gateways 6 DNS-Server IP-Adresse des DNS-Servers 66 TFTP-Server Adresse des TFTP-Servers Ohne diese Information bekommt der DHCP-Client nur eine IP- Adresse vom DHCP-Server zugewiesen und er kann nur mit den Teilnehmern im internen Netz kommunizieren. Ohne diese Information bekommt der DHCP-Client nicht automatisch einen DNS-Server zugeteilt. Um eine Namensauflösung zu ermöglichen, muss dem DHCP-Client ein DNS-Server bekannt sein. Dieser kann auch manuell konfiguriert werden. Damit wird dem DHCP-Client der TFTP-Server mitgeteilt, zu dem er sich verbinden soll. 67 Bootfile-Name Diese Datei verwendet der DHCP-Client beim Booten. 48 Getting Started, 02/2018, C79000-G8900-C337-06

49 SCALANCE M-800 als DHCP Server 2.2 DHCP-Optionen festlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "DHCP" und im Inhaltsbereich auf das Register "DHCP-Optionen". 2. Aktivieren Sie "Schnittstellen-IP verwenden" bei den DHCP-Optionen 3 und 6. Klicken Sie auf "Einstellungen übernehmen". Als Wert wird automatisch die IP-Adresse des Geräts eingetragen. 3. Tragen Sie bei "Optionswert" "42" ein. 4. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 5. Tragen Sie bei "Wert" die IP-Adresse des NTP-Servers ein. 6. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

50 SCALANCE M-800 als DHCP Server 2.3 Statische IP-Adressvergabe projektieren Ergebnis Die DHCP-Optionen sind konfiguriert. Wenn ein DHCP-Client eine IP-Adresse anfordert, erhält dieser zusätzlich zur Host-IP-Adresse die Informationen, die in den DHCP-Optionen hinterlegt sind. Siehe auch Statische IP-Adressvergabe projektieren (Seite 50) 2.3 Statische IP-Adressvergabe projektieren Für die Teilnehmer im dauernden Betrieb ist die statische IP-Adresszuweisung vorzuziehen, z. B. für einen lokalen NTP-Server. Die IP-Adresse des NTP-Servers wird in der DHCP- Option verwendet. Solange der NTP-Server unter der gleichen IP-Adresse erreichbar ist, funktioniert die DHCP- Option. Wenn sich die IP-Adresse ändert, enthält die DHCP-Option eine fehlerhafte Information. Für das Beispiel wird der MAC-Adresse des NTP-Servers die IP-Adresse zugeordnet. Damit erhält der NTP-Server immer die gleiche IP-Adresse. Der NTP-Server ist in dieser Beispielkonfiguration unter folgender IP-Adresseinstellung erreichbar: IP-Adresse Subnetzmaske Getting Started, 02/2018, C79000-G8900-C337-06

51 SCALANCE M-800 als DHCP Server 2.3 Statische IP-Adressvergabe projektieren Voraussetzung Der NTP-Server bezieht die IP-Adresse von einem DHCP-Server und die Identifikation erfolgt über die MAC-Adresse. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "DHCP" und im Inhaltsbereich auf das Register "Statische Zuordnung". 2. Wählen Sie bei "Pool-ID" die "1" aus. 3. Wählen Sie bei "Identifikationsmethode" den Eintrag "Ethernet MAC" aus. 4. Tragen Sie bei "Wert" die MAC-Adresse des NTP-Servers ein. 5. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 6. Tragen Sie bei "IP-Adresse" die IP-Adresse des NTP-Servers ein. 7. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Der NTP-Server erhält immer die IP-Adresse Getting Started, 02/2018, C79000-G8900-C

52 SCALANCE M-800 als DHCP Server 2.3 Statische IP-Adressvergabe projektieren 52 Getting Started, 02/2018, C79000-G8900-C337-06

53 3 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Prinzipielles Vorgehen In diesen Beispielen wird ein gesicherter VPN-Tunnel zwischen einem SCALANCE M-800 und einem SCALANCE S projektiert. Beispiel 1: Gesicherter VPN-Tunnel mit PreShared Keys (PSK) Beispiel 2: Gesicherter VPN-Tunnel mit Zertifikaten Aufbau Internes Netz 1 - Anschluss an SCALANCE M-800 Im internen Netz wird im Testaufbau ein Netzknoten durch einen Admin-PC realisiert, der an eine Ethernet-Schnittstelle des SCALANCE M-800 angeschlossen ist. Admin-PC: repräsentiert einen Teilnehmer des internen Netzwerks M-800: SCALANCE M-Modul zum Schutz des internen Netzwerks Anbindung an das externe, öffentliche Netzwerk: Drahtlos über die Antenne des M874 an das Mobilfunknetz. Kabelgebunden über die RJ45-Buchse des M81x an ADSL. Getting Started, 02/2018, C79000-G8900-C

54 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Internes Netz 2 - Anschluss an einen internen Port des SCALANCE S Im internen Netz wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC: repräsentiert einen Teilnehmer des internen Netzwerks S612: Security-Modul zum Schutz des internen Netzwerks Anbindung an das externe, öffentliche Netzwerk über DSL-Router Der Zugriff auf das Internet erfolgt über ein DSL-Modem bzw. einen DSL-Router, welche an den externen Port des Security-Moduls angeschlossen wird. Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: Anbindung an das Mobilfunknetz 1x M874 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x geeignete Antenne 1x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. Anbindung an ADSL 1x M812 oder 1x M816 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker ADSL-Zugang ist freigeschaltet 1x SCALANCE S612, (zusätzlich optional: eine entsprechend montierte Hutschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x PC mit dem das SCALANCE M-800 verbunden ist. 1x PC mit dem das SCALANCE S612 verbunden und auf dem das Projektierungswerkzeug "Security Configuration Tool" installiert ist. 1x DSL-Modem oder DSL-Router Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet 54 Getting Started, 02/2018, C79000-G8900-C337-06

55 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen interne Adresse Internes Netz 1 M Admin-PC Internes Netz 2 DSL-Router S612 interner Port PC externe Adresse Feste IP-Adresse, z. B Providerabhängig Alternativ kann auch der DDNS- Hostname verwendet werden. Feste IP-Adresse (WAN-IP-Adresse), z. B externer Port Voraussetzung SCALANCE S612 ist über den DSL-Router mit dem Internet verbunden. Im DSL-Router muss das PORT-Forwarding so eingestellt werden, dass die UDP-Pakete vom Internet, welche an die Ports 500 und 4500 des Routers adressiert sind, an die Ports 500 und 4500 des angeschlossenen SCALANCE S 612 (passives Modul) gesendet werden. Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden (Seite 11)". Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als "admin" angemeldet. Projektierungsschritte Beispiel 1: Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT V3.x konfigurieren 1. Projekt und Module anlegen (Seite 57) 2. Tunnelverbindung projektieren (Seite 60) 3. Eigenschaften des S612 konfigurieren (Seite 61) 4. Konfiguration in S612 laden und M-800-Konfiguration abspeichern (Seite 63) VPN-Tunnel mit dem SCT V4.x konfigurieren 1. Projekt und Module anlegen (Seite 65) 2. Tunnelverbindung projektieren (Seite 68) Getting Started, 02/2018, C79000-G8900-C

56 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Eigenschaften des S612 konfigurieren (Seite 69) 4. Konfiguration in S612 laden und M-800-Konfiguration abspeichern (Seite 71) Das SCALANCE M-800 konfigurieren 1. VPN aktivieren (Seite 72) 2. VPN-Gegenstelle konfigurieren (Seite 72) 3. VPN-Verbindung konfigurieren (Seite 73) 4. VPN-Authentifizierung konfigurieren (Seite 74) 5. Phase 1 und Phase 2 konfigurieren (Seite 75) 6. VPN-Verbindung aufbauen (Seite 76) Beispiel 2: Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT V3.x konfigurieren 1. Projekt und Module anlegen (Seite 78) 2. Tunnelverbindung projektieren (Seite 81) 3. Eigenschaften des S612 konfigurieren (Seite 82) 4. Konfiguration in S612 laden und M-800-Konfiguration abspeichern (Seite 84) VPN-Tunnel mit dem SCT V4.x konfigurieren 1. Projekt und Module anlegen (Seite 86) 2. Tunnelverbindung projektieren (Seite 89) 3. Eigenschaften des S612 konfigurieren (Seite 90) 4. Konfiguration in S612 laden und M-800-Konfiguration abspeichern (Seite 92) Das SCALANCE M-800 konfigurieren 1. Zertifikat laden (Seite 93) 2. VPN aktivieren (Seite 99) 3. VPN-Gegenstelle konfigurieren (Seite 95) 4. VPN-Verbindung konfigurieren (Seite 96) 5. VPN-Authentifizierung konfigurieren (Seite 97) 6. Phase 1 und Phase 2 konfigurieren (Seite 98) 7. VPN-Verbindung aufbauen (Seite 100) 56 Getting Started, 02/2018, C79000-G8900-C337-06

57 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT V3.x konfigurieren Projekt und Module anlegen Vorgehensweise 1. Starten Sie die Projektierungssoftware Security Configuration Tool V3.x auf dem PC. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt und der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" wird geöffnet. Getting Started, 02/2018, C79000-G8900-C

58 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Tragen Sie die dem S612 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 53)" ein. Tragen Sie zusätzlich die MAC-Adresse ein, die auf der Frontseite des Security-Moduls aufgedruckt ist 6. Schließen Sie den Dialog mit "OK". 7. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Modul" ein zweites Modul 58 Getting Started, 02/2018, C79000-G8900-C337-06

59 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Tragen Sie die dem M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 53)" ein. 9. Schließen Sie den Dialog mit "OK". Ergebnis Das Security-Modul S612 und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. Getting Started, 02/2018, C79000-G8900-C

60 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Tunnelverbindung projektieren Nur wenn das SCALANCE M-800 und das S612 der gleichen VPN-Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich das M-800 und den S612. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. 60 Getting Started, 02/2018, C79000-G8900-C337-06

61 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen. 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Eigenschaften des S612 konfigurieren Da der S612 über einen DSL-Router mit dem Internet verbunden ist, sind die Eigenschaften des S612 entsprechend zu konfigurieren. Getting Started, 02/2018, C79000-G8900-C

62 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Vorgehensweise 1. Markieren Sie im Inhaltsbereich den "S612". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". Klicken Sie auf das Register "Routing". 3. Tragen Sie bei "Standard-Router" die interne IP-Adresse des DSL-Routers " " ein. Klicken Sie auf "Übernehmen" 4. Klicken Sie auf das Register "VPN". 5. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Warte auf Gegenstelle (Responder)" aus. 6. Tragen Sie die WAN-IP-Adresse des DSL-Routers ein, z. B Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 8. Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. 62 Getting Started, 02/2018, C79000-G8900-C337-06

63 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Ergebnis Das Security-Projekt ist fertig konfiguriert. Die Einstellungen werden in der Konfigurationsdatei gespeichert: Konfiguration in S612 laden und M-800-Konfiguration abspeichern Konfiguration in S612 laden 1. Markieren Sie im Inhaltsbereich das Security-Modul "S612" und wählen Sie den Menübefehl "Übertragen" > "An Modul(e)...". Der folgende Dialog wird geöffnet. 2. Klicken Sie auf "Starten", um den Ladevorgang zu starten. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das Security-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. SCALANCE M-800-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen" > "An Modul(e)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis. Ergebnis In das Projektverzeichnis wird folgende Datei abgespeichert: Konfigurationsdatei: Projektname.M-800.txt Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800. Konfigurationsdatei IPSec VPN > Verbindungen > VPN Standard Modus - Einstellungen bearbeiten Adresse des VPN Gateways der Gegenstelle: Einstellungen im WBM Security > IPsec VPN > Remote-Endpunkt > Remote-Modus: Standard Security > IPsec VPN > Remote-Endpunkt > Remote-Adresse: /32 Getting Started, 02/2018, C79000-G8900-C

64 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Konfigurationsdatei Authentisierungsverfahren: Pre Shared Key Pre Shared Key: Remote ID: Lokale ID: Adresse des gegenüberliegenden Netzes: Netzmaske des gegenüberliegenden Netzes: Adresse des lokalen Netzes: Netzmaske des lokalen Netzes: Einstellungen im WBM Security > IPsec VPN > Authentifizierung > Authentifizierung: PSK Security > IPsec VPN > Authentifizierung > PSK und PSK bestätigen: Security > IPSec VPN > Authentifizierung > Remote-ID nicht benötigt. Im WBM wird externe IP-Adresse des S612 eingetragen. In diesem Beispiel ist das die Security > IPSec VPN > Authentifizierung > Lokale-ID nicht benötigt. Der Eintrag bleibt im WBM leer. Security > IPSec VPN > Remote-Endpunkt > Remote-Subnetz: /24 Security > IPSec VPN > Verbindungen > Lokales Subnetz: /24 IPSec VPN > Verbindungen > IKE Bearbeiten Phase 1 - ISAKMP SA -- ISAKMP-SA Verschlüsselung: 3DES-168 ISAKMP-SA Hash: SHA-1 ISAKMP-SA Modus: Main Mode -- ISAKMP-SA Lebensdauer (Sekunden): In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. Security > IPsec VPN > Verbindungen > Keying-Protokoll: IKEv1 Security > IPsec VPN > Phase 1 > Verschlüsselung: 3DES Security > IPsec VPN > Phase 1 > Authentifizierung: SHA-1 Security > IPsec VPN > Phase 1 > Lebensdauer [min]: 1440 Phase 2 - IPSec SA -- IPSec-SA Verschlüsselung: 3DES-168 IPSec-SA Hash: SHA-1 IPSec-SA Lebensdauer (Sekunden): In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. Perfect Forward Secrecy (PFS): Nein -- Security > IPsec VPN > Phase 2 > Verschlüsselung: 3DES Security > IPsec VPN > Phase 2 > Authentifizierung: SHA-1 Security > IPsec VPN > Phase 2 > Lebensdauer [min]: 1440 DH/PFS-Gruppe: DH NAT-T: An -- DPD-Verzögerung (Sekunden): Security > IPsec VPN > Phase 1 > Schlüsselableitung: DH-Gruppe 2 Security > IPsec VPN > Phase 2 > Schlüsselableitung: DH-Gruppe 2 DPD-Timeout (Sekunden): 60 Security > IPsec VPN > Phase 1 > DPD-Timeout [sec]: 60 DPD-Maximale Fehlversuche: Getting Started, 02/2018, C79000-G8900-C337-06

65 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S VPN-Tunnel mit dem SCT V4.x konfigurieren Projekt und Module anlegen Vorgehensweise 1. Starten Sie die Projektierungssoftware Security Configuration Tool V4.x auf dem PC. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt und der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" wird geöffnet. Getting Started, 02/2018, C79000-G8900-C

66 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Tragen Sie die dem S612 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 53)" ein. Tragen Sie zusätzlich die MAC-Adresse ein, die auf der Frontseite des Security-Moduls aufgedruckt ist 6. Schließen Sie den Dialog mit "OK". 7. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Baugruppe" ein zweites Modul 66 Getting Started, 02/2018, C79000-G8900-C337-06

67 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Tragen Sie die dem M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 53)" ein. 9. Schließen Sie den Dialog mit "OK". Ergebnis Das Security-Modul S612 und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. Getting Started, 02/2018, C79000-G8900-C

68 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Tunnelverbindung projektieren Nur wenn das M-800 und das S612 der gleichen VPN-Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Baugruppen". 3. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und den S612. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Baugruppen sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. 68 Getting Started, 02/2018, C79000-G8900-C337-06

69 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen. 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Eigenschaften des S612 konfigurieren Da der S612 über einen DSL-Router mit dem Internet verbunden ist, sind die Eigenschaften des S612 entsprechend zu konfigurieren. Getting Started, 02/2018, C79000-G8900-C

70 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Vorgehensweise 1. Markieren Sie im Inhaltsbereich den "S612". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". Klicken Sie auf das Register "Routing". 3. Tragen Sie bei "Standard-Router" die interne IP-Adresse des DSL-Routers " " ein. Klicken Sie auf "Übernehmen" 4. Klicken Sie auf das Register "VPN". 5. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Warte auf Gegenstelle (Responder)" aus. 6. Tragen Sie die WAN-IP-Adresse des DSL-Routers ein, z. B Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 8. Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. 70 Getting Started, 02/2018, C79000-G8900-C337-06

71 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Ergebnis Das Security-Projekt ist fertig konfiguriert. Die Einstellungen werden in der Konfigurationsdatei gespeichert. Konfiguration in S612 laden und M-800-Konfiguration abspeichern Konfiguration in S612 laden 1. Markieren Sie im Inhaltsbereich das Security-Modul "S612" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". Der folgende Dialog wird geöffnet. 2. Klicken Sie auf "Starten", um den Ladevorgang zu starten. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das Security-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. SCALANCE M-800-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis. Ergebnis In das Projektverzeichnis wird folgende Datei abgespeichert: Konfigurationsdatei: Projektname.M-800.txt Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800. Folgen Sie den Anweisungen in der Konfigurationsdatei. Getting Started, 02/2018, C79000-G8900-C

72 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S SCALANCE M-800 konfigurieren VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" VPN-Gegenstelle konfigurieren M81x in der Zentrale: VPN-Gegentelle konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. S Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 72 Getting Started, 02/2018, C79000-G8900-C337-06

73 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Konfigurieren Sie die VPN-Gegenstelle mit folgenden Einstellungen aus der Konfigurationsdatei: Remote-Modus Standard Remote-Typ Manuell Remote-Adresse /32 WAN-IP-Adresse des DSL-Routers Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. Getting Started, 02/2018, C79000-G8900-C

74 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Konfigurieren Sie die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv1 Remote -Endpunkt S612 Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 5. Klicken Sie auf "Einstellungen übernehmen". VPN-Authentifizierung konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung PSK Lokale-ID kein Eintrag notwendig Remote-ID Externe IP-Adresse des S612, z. B PSK / PSK bestätigen Den Schlüssel, den Sie im SCT projektiert haben. 3. Klicken Sie auf "Einstellungen übernehmen". 74 Getting Started, 02/2018, C79000-G8900-C337-06

75 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Phase 1 und Phase 2 konfigurieren Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 2 Lebensdauer [min] 1440 DPD-Zeitraum [sec] 60 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie auf das Register "Phase 2". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". Getting Started, 02/2018, C79000-G8900-C

76 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Konfigurieren Sie für die Phase 2 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung (DFS) DH-Gruppe 2 Lebensdauer [min] Klicken Sie auf "Einstellungen übernehmen". VPN-Verbindung aufbauen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das M-800 baut den VPN-Tunnel zum S612 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet am Gerät die LED grün. Weitere Informationen erhalten Sie unter "Information" > "IPsec VPN". 76 Getting Started, 02/2018, C79000-G8900-C337-06

77 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 In der Online-Ansicht des SCT können Sie den Kommunikationsstatus am S612 sehen. Getting Started, 02/2018, C79000-G8900-C

78 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT V3.x konfigurieren Projekt und Module anlegen Vorgehensweise 1. Starten Sie die Projektierungssoftware Security Configuration Tool V3.x auf dem PC. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt und der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" wird geöffnet. 78 Getting Started, 02/2018, C79000-G8900-C337-06

79 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Tragen Sie die dem S612 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 53)" ein. Tragen Sie zusätzlich die MAC-Adresse ein, die auf der Frontseite des Security-Moduls aufgedruckt ist 6. Schließen Sie den Dialog mit "OK". 7. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Modul" ein zweites Modul Getting Started, 02/2018, C79000-G8900-C

80 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Tragen Sie die dem M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 53)" ein. 9. Schließen Sie den Dialog mit "OK". Ergebnis Das Security-Modul S612 und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. 80 Getting Started, 02/2018, C79000-G8900-C337-06

81 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Tunnelverbindung projektieren Nur wenn das SCALANCE M-800 und das S612 der gleichen Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und den S612. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. Getting Started, 02/2018, C79000-G8900-C

82 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen. 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Eigenschaften des S612 konfigurieren Da der S612 über einen DSL-Router mit dem Internet verbunden ist, sind die Eigenschaften des S612 entsprechend zu konfigurieren. 82 Getting Started, 02/2018, C79000-G8900-C337-06

83 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Vorgehensweise 1. Markieren Sie im Inhaltsbereich den "S612". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". Klicken Sie auf das Register "Routing". 3. Tragen Sie bei "Standard-Router" die interne IP-Adresse des DSL-Routers " " ein. Klicken Sie auf "Übernehmen" 4. Klicken Sie auf das Register "VPN". 5. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Warte auf Gegenstelle (Responder)" aus. 6. Tragen Sie die WAN-IP-Adresse des DSL-Routers ein, z. B Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 8. Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Getting Started, 02/2018, C79000-G8900-C

84 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Ergebnis Das Security-Projekt ist fertig konfiguriert. Die Einstellungen werden in der Konfigurationsdatei gespeichert: Konfiguration in S612 laden und M-800-Konfiguration abspeichern Konfiguration in S612 laden 1. Markieren Sie im Inhaltsbereich das Security-Modul "S612" und wählen Sie den Menübefehl "Übertragen" > "An Modul(e)...". Der folgende Dialog wird geöffnet. 2. Klicken Sie auf."starten", um den Ladevorgang zu starten. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das Security-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. SCALANCE M-800-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen" > "An Modul(e)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats, z. B. Di1S+Xo?. Ergebnis In das Projektverzeichnis werden folgende Dateien abgespeichert: Konfigurationsdatei: Projektname.M-800.txt PKCS12-Datei: Projektname.Zeichenfolge.M-800.p12 Gegenstellenzertifikat: Projektname.Gruppe1.S612.cer 84 Getting Started, 02/2018, C79000-G8900-C337-06

85 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800 einschließlich einer Information über die zusätzlich erzeugten Zertifikate. Konfigurationsdatei IPsec VPN > Zertifikate Gegenstellen Zertifikat hochladen: Configuration- 1.Gruppe1.S612.cer PKCS12 Datei (.p12) hochladen: Configuration- Einstellungen im WBM System > Laden & Speichern > HTTP > X509Cert : Laden IPsec VPN > Verbindungen > VPN Standard Modus - Einstellungen bearbeiten Adresse des VPN Gateways der Gegenstelle: Authentisierungsverfahren: X.509 Gegenstellenzertifikat Gegenstellen Zertifikat: Configuration- 1.Gruppe1.S612.cer Remote ID: U5A634732@GC4D8 Adresse des gegenüberliegenden Netzes: Netzmaske des gegenüberliegenden Netzes: Adresse des lokalen Netzes: Netzmaske des lokalen Netzes: Security > IPsec VPN > Remote-Endpunkt > Remote-Modus: Standard Security > IPsec VPN > Remote-Endpunkt > Remote-Adresse: /32 Security > IPsec VPN > Authentifizierung > Authentifizierung: Remote-Zert Security > IPsec VPN > Authentifizierung > Remote-Zertifikat: Configuration-1.Gruppe1.CP.cer Security > IPsec VPN > Authentifizierung > Remote-ID: U5A634732@GC4D8 Security > IPsec VPN > Remote-Endpunkt > Remote-Subnetz: /24 Security > IPsec VPN > Verbindungen > Lokales Subnetz: /24 IPsec VPN > Verbindungen > IKE Bearbeiten Phase 1 - ISAKMP SA -- ISAKMP-SA Verschlüsselung: 3DES-168 ISAKMP-SA Hash: SHA-1 ISAKMP-SA Modus: Main Mode -- ISAKMP-SA Lebensdauer (Sekunden): In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. Security > IPsec VPN > Verbindungen > Keying-Protokoll: IKEv1 Security > IPsec VPN > Phase 1 > Verschlüsselung: 3DES Security > IPsec VPN > Phase 1 > Authentifizierung: SHA-1 Security > IPsec VPN > Phase 1 > Lebensdauer [min]: 1440 Phase 2 - IPsec SA -- IPsec-SA Verschlüsselung: 3DES-168 IPsec-SA Hash: SHA-1 IPsec-SA Lebensdauer (Sekunden): In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. Perfect Forward Secrecy (PFS): Nein -- Security > IPsec VPN > Phase 2 > Verschlüsselung: 3DES Security > IPsec VPN > Phase 2 > Authentifizierung: SHA-1 Security > IPsec VPN > Phase 2 > Lebensdauer [min]: 1440 Getting Started, 02/2018, C79000-G8900-C

86 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Konfigurationsdatei DH/PFS-Gruppe: DH NAT-T: An -- DPD-Verzögerung (Sekunden): Einstellungen im WBM Security > IPsec VPN > Phase 1 > Schlüsselableitung: DH-Gruppe 2 Security > IPsec VPN > Phase 2 > Schlüsselableitung: DH-Gruppe 2 DPD-Timeout (Sekunden): 60 Security > IPsec VPN > Phase 1 > DPD-Timeout [sec]: 60 DPD-Maximale Fehlversuche: VPN-Tunnel mit dem SCT V4.x konfigurieren Projekt und Module anlegen Vorgehensweise 1. Starten Sie die Projektierungssoftware Security Configuration Tool V4.x auf dem PC. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt und der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" wird geöffnet. 86 Getting Started, 02/2018, C79000-G8900-C337-06

87 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Tragen Sie die dem S612 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 53)" ein. Tragen Sie zusätzlich die MAC-Adresse ein, die auf der Frontseite des Security-Moduls aufgedruckt ist 6. Schließen Sie den Dialog mit "OK". 7. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Baugruppe" ein zweites Modul Getting Started, 02/2018, C79000-G8900-C

88 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Tragen Sie die dem M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 53)" ein. 9. Schließen Sie den Dialog mit "OK". Ergebnis Das Security-Modul S612 und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. 88 Getting Started, 02/2018, C79000-G8900-C337-06

89 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Tunnelverbindung projektieren Nur wenn das SCALANCE M und das S612 der gleichen Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich das SCALANCE M und den S612. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. Getting Started, 02/2018, C79000-G8900-C

90 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen. 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Eigenschaften des S612 konfigurieren Da der S612 über einen DSL-Router mit dem Internet verbunden ist, sind die Eigenschaften des S612 entsprechend zu konfigurieren. 90 Getting Started, 02/2018, C79000-G8900-C337-06

91 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Vorgehensweise 1. Markieren Sie im Inhaltsbereich den "S612". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". Klicken Sie auf das Register "Routing". 3. Tragen Sie bei "Standard-Router" die interne IP-Adresse des DSL-Routers " " ein. Klicken Sie auf "Übernehmen" 4. Klicken Sie auf das Register "VPN". 5. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Warte auf Gegenstelle (Responder)" aus. 6. Tragen Sie die WAN-IP-Adresse des DSL-Routers ein, z. B Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 8. Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Getting Started, 02/2018, C79000-G8900-C

92 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Ergebnis Das Security-Projekt ist fertig konfiguriert. Die Einstellungen werden in der Konfigurationsdatei gespeichert. Konfiguration in S612 laden und M-800-Konfiguration abspeichern Konfiguration in S612 laden 1. Markieren Sie im Inhaltsbereich das Security-Modul "S612" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". Der folgende Dialog wird geöffnet. 2. Klicken Sie auf "Starten", um den Ladevorgang zu starten. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das Security-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. SCALANCE M-800-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats, z. B. Di1S+Xo?. Ergebnis In das Projektverzeichnis werden folgende Dateien abgespeichert: Konfigurationsdatei: Projektname.M-800.txt PKCS12-Datei: Projektname.Zeichenfolge.M-800.p12 Gegenstellenzertifikat: Projektname.Gruppe1.S612.cer 92 Getting Started, 02/2018, C79000-G8900-C337-06

93 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800 einschließlich einer Information über die zusätzlich erzeugten Zertifikate. Folgen Sie den Anweisungen in der Konfigurationsdatei SCALANCE M-800 konfigurieren Zertifikat laden Voraussetzung Auf dem SCALANCE M-800 ist die richtige Uhrzeit eingestellt, siehe Kapitel Uhrzeit einstellen (Seite 27). Zertifikate sind vorhanden. Die benötigten Zertifikate haben Sie im letzten Kapitel auf dem PC abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate für das SCALANCE M-800 auf den Admin-PC. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". 2. Tragen Sie in der Zeile "X509Cert" bei "Passwort" und bei "Password bestätigen" das Passwort ein, das Sie für die PKCS12-Datei festgelegt haben. 3. Aktivieren Sie das Passwort 4. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

94 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Klicken Sie im Inhaltsbereich auf das Register "HTTP". 6. Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum Gegenstellenzertifikat. 7. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". 8. Wiederholen Sie die Schritte 5 und 6 für die PKCS12-Datei. 94 Getting Started, 02/2018, C79000-G8900-C337-06

95 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Ergebnis Die Zertifikate sind geladen und werden unter "Security" > "Zertifikate"angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen. VPN-Gegenstelle konfigurieren M81x in der Zentrale: VPN-Gegenstelle konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. S Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. Getting Started, 02/2018, C79000-G8900-C

96 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Konfigurieren Sie die VPN-Gegenstelle mit folgenden Einstellungen aus der Konfigurationsdatei: Remote-Modus Standard Remote-Typ Manuell Remote-Adresse /32 WAN-IP-Adresse des DSL-Routers Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 96 Getting Started, 02/2018, C79000-G8900-C337-06

97 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Konfigurieren Sie die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv1 Remote -Endpunkt S612 Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 5. Klicken Sie auf "Einstellungen übernehmen". VPN-Authentifizierung konfigurieren M81x in der Zentrale: VPN-Authentifizierung konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen aus der Konfigurationsdatei: Authentifizierung Lokales Zertifikat Remote-Zertifikat Remote-ID Remote Cert Projektname.Zeichenfolge.M-800.p12 Projektname.Gruppe1.S612.cer Remote ID aus der Konfigurationsdatei 3. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

98 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 Phase 1 und Phase 2 konfigurieren Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 2 Lebensdauer [min] 1440 DPD-Zeitraum [sec] 60 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie auf das Register "Phase 2". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 98 Getting Started, 02/2018, C79000-G8900-C337-06

99 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Konfigurieren Sie für die Phase 2 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung (DFS) DH-Gruppe 2 Lebensdauer [min] Klicken Sie auf "Einstellungen übernehmen". VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" Getting Started, 02/2018, C79000-G8900-C

100 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S612 VPN-Verbindung aufbauen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das SCALANCE M-800 baut den VPN-Tunnel zum S612 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet am Gerät die LED grün. Weitere Informationen erhalten Sie unter "Information" > "IPsec VPN". Sie können auch in der Online-Ansicht des SCTs den Status der Tunnelverbindung sehen. 100 Getting Started, 02/2018, C79000-G8900-C337-06

101 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Firewall bei VPN-Verbindung Es gibt folgende Möglichkeiten Firewall-Regeln für IPSec anzulegen: Automatisch Hier werden automatisch die Firewall-Regeln für die spezifizierte VPN-Verbindung angelegt. Manuell Hier definieren Sie eigene Firewall-Regeln für die spezifizierte VPN-Verbindung. Getting Started, 02/2018, C79000-G8900-C

102 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Firewall-Regeln automatisch anlegen Für das Beispiel wird der VPN-Tunnel verwendet, der im Kapitel "Gesicherter VPN-Tunnel mit Zertifikaten (Seite 125)". Die Geräte haben folgende IP-Adresseinstellung: interne Adresse Lokales Netzwerk SCALANCE M Entferntes Netzwerk S612 interner Port Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 2". Die Einstellung "Auto-Firewallregeln" ist standardmäßig aktiviert. Ergebnis Wenn "Auto-Firewallregeln" aktiviert ist, sind folgende Firewall-Regeln aktiv. Für Aktion von / nach erlaubte Protokolle Quell-IP- Adressen Ziel-IP- Adressen Zulassen Internes Netz (VLAN1) / Entferntes Netz (IPsec-Tunnel x) Alle Dienste alle Ports bzw. alle ICMP-Pakettypen / /24 Zulassen Entferntes Netz (IPsec-Tunnel x) / Internes Netz (VLAN1) Alle Dienste alle Ports bzw. alle ICMP-Pakettypen / /24 Durch diese Firewall-Regeln ist der Datenverkehr zwischen internem Netz und entferntem Netz möglich, allerdings ist es für entfernte Clients nicht möglich, das Modem zu erreichen, obwohl diese auch zum Tunnelsubnetz gehören. Außer ICMP Echo Request sind keine Zugriffe auf die entfernte VPN-Gegenstelle erlaubt. Siehe auch Firewall-Regeln manuell anlegen (Seite 103) 102 Getting Started, 02/2018, C79000-G8900-C337-06

103 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Firewall-Regeln manuell anlegen Voraussetzung Der IP-Dienst HTTP ist angelegt, siehe Kapitel "Zugriff erlauben (Seite 41)". Allen Teilnehmern aus dem entfernten Subnetz den HTTP-basierten Zugriff auf den SCALANCE M- 800 erlauben Im folgenden Beispiel wird eine ergänzende Firewall-Regel festgelegt, die zusätzlich zu den automatischen Firewall-Regeln gilt. 1. Klicken Sie im Navigationsbereich auf "Security" > "Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Konfigurieren Sie die Firewall-Regel für HTTP mit folgenden Einstellungen: Aktion Von Nach Accept IPSec VPN-1 Gerät Quelle (Bereich) /24 (alle Geräte des entfernten internen Netzes 2) Ziel (Bereich) Dienst (auf das gewünschte Gerät) HTTP 3. Klicken Sie auf "Einstellungen übernehmen". Das SCALANCE M ist durch den VPN- Tunnel via HTTP zu erreichen und ist über das WBM konfigurierbar. Einem bestimmten Gerät den TCP-basierten Zugriff durch den VPN-Tunnel erlauben Im folgenden Beispiel wird eine Firewall-Regel manuell festgelegt, die automatischen Firewall-Regeln sind deaktiviert. 1. Klicken Sie im Navigationsbereich auf "Security" > "Firewall" und im Inhaltsbereich auf das Register "IP-Dienste". 2. Tragen Sie bei "Servicename" "TCP all" ein und klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3. Konfigurieren Sie den Dienst mit folgender Einstellung: Transport TCP Getting Started, 02/2018, C79000-G8900-C

104 3.1 VPN-Tunnel zwischen SCALANCE M-800 und S Klicken Sie auf "Einstellungen übernehmen". 5. Klicken Sie im Navigationsbereich auf "Security" > "Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 6. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 7. Konfigurieren Sie die Firewall-Regel mit folgenden Einstellungen: Aktion Von Nach Accept vlan1 (INT) IPSec VPN-1 Quelle (Bereich) Ziel (Bereich) Dienst (nur das Gerät darf vom internen Netz 1 durch den VPN-Tunnel mit TCP kommunizieren) /0 (auf alle Adressen) TCP 8. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 9. Klicken Sie auf "Einstellungen übernehmen". 104 Getting Started, 02/2018, C79000-G8900-C337-06

105 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Prinzipielles Vorgehen In diesen Beispielen wird ein gesicherter VPN-Tunnel zwischen einem SCALANCE M-800 und dem CP 1628 projektiert. Beispiel 1: Gesicherter VPN-Tunnel mit PreShared Keys (PSK) Beispiel 2: Gesicherter VPN-Tunnel mit Zertifikaten Anstelle von CP 1628 kann auch ein CP Advanced oder CP Advanced verwendet werden. Aufbau Internes Netz 1 - Anschluss an SCALANCE M-800 Im internen Netz wird im Testaufbau ein Netzknoten durch einen Admin-PC realisiert, der an eine Ethernet-Schnittstelle des SCALANCE M angeschlossen ist. Admin-PC: repräsentiert einen Teilnehmer des internen Netzwerks M-800: SCALANCE M-Modul zum Schutz des internen Netzwerks Anbindung an das externe, öffentliche Netzwerk. Drahtlos über die Antenne des M874 an das Mobilfunknetz. Kabelgebunden über die RJ45-Buchse des M81x an ADSL. Getting Started, 02/2018, C79000-G8900-C

106 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Internes Netz 2 - Anschluss an einen Port des CP 1628 Im internen Netz wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an den internen Port des Security-Moduls angeschlossen ist. PC1 mit Security-Modul 1: PC mit CP 1628 zum Schutz des internen Netzwerks PC2: PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7 Der PC repräsentiert einen Teilnehmer des internen Netzwerks. Anbindung an das externe, öffentliche Netzwerk über DSL-Router Der Zugriff auf das Internet erfolgt über ein DSL-Modem bzw. einen DSL-Router, welche an einen der beiden Ports des Security-Moduls angeschlossen wird. Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: Anbindung an das Mobilfunknetz 1x M874 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x geeignete Antenne 1x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. Anbindung an ADSL 1x M812 oder 1x M816 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker ADSL-Zugang ist freigeschaltet 1x PC mit CP x PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7. 1x DSL-Modem oder DSL-Router Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet 106 Getting Started, 02/2018, C79000-G8900-C337-06

107 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen interne Adresse Internes Netz 1 M Admin-PC Internes Netz 2 DSL-Router PC1 mit CP Für CP 1628: Die IP-Adresse der NDIS-Schnittstelle, z. B (wird im PC1 projektiert) Für CP Advanced oder CP Advanced: Die IP- Adresse der PROFINET- Schnittstelle. PC externe Adresse Feste IP-Adresse, z. B Providerabhängig Alternativ kann auch der DDNS-Hostname verwendet werden. Feste IP-Adresse (WAN-IP- Adresse), z. B Für CP 1628: Die IP-Adresse der Industrial Ethernet- Schnittstelle, z. B Für CP Advanced oder CP Advanced: Die IP-Adresse der GBit- Schnittstelle. Voraussetzung Der CP 1628 ist über den DSL-Router mit dem Internet verbunden. In den Eigenschaften des CPs ist die interne IP-Adresse des DSL-Routers als Standard- Gateway konfiguriert. Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden (Seite 11)". Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als "admin" angemeldet. Getting Started, 02/2018, C79000-G8900-C

108 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Projektierungsschritte Beispiel 1: Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT V3.x konfigurieren 1. Projekt und Module mit den SCT anlegen (Seite 109) 2. Tunnelverbindung projektieren (Seite 111) 3. Konfiguration in CP laden und M-800-Konfiguration abspeichern (Seite 113) VPN-Tunnel mit dem SCT V4.x konfigurieren 1. Projekt und Module mit den SCT anlegen (Seite 115) 2. Tunnelverbindung projektieren (Seite 117) 3. Konfiguration in CP laden und M-800-Konfiguration abspeichern (Seite 119) SCALANCE M-800 konfigurieren 1. VPN aktivieren (Seite 124) 2. VPN-Gegenstelle konfigurieren (Seite 119) 3. VPN-Verbindung konfigurieren (Seite 120) 4. VPN-Authentifizierung konfigurieren (Seite 122) 5. Phase 1 und Phase 2 konfigurieren (Seite 122) 6. VPN-Verbindung aufbauen (Seite 124) Beispiel 2: Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT V3.x konfigurieren 1. Projekt und Module mit den SCT anlegen (Seite 125) 2. Tunnelverbindung projektieren (Seite 127) 3. Konfiguration in CP laden und M-800-Konfiguration abspeichern (Seite 129) VPN-Tunnel mit dem SCT V3.x konfigurieren 1. Projekt und Module mit den SCT anlegen (Seite 131) 2. Tunnelverbindung projektieren (Seite 133) 3. Konfiguration in CP laden und M-800-Konfiguration abspeichern (Seite 135) SCALANCE M-800 konfigurieren 1. Zertifikat laden (Seite 136) 2. VPN aktivieren (Seite 142) 3. VPN-Gegenstelle konfigurieren (Seite 138) 4. VPN-Verbindung konfigurieren (Seite 139) 5. VPN-Authentifizierung konfigurieren (Seite 140) 6. Phase 1 und Phase 2 konfigurieren (Seite 141) 7. VPN-Verbindung aufbauen (Seite 143) 108 Getting Started, 02/2018, C79000-G8900-C337-06

109 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT V3.x konfigurieren Projekt und Module mit den SCT anlegen Vorgehensweise 1. Aktivieren Sie in den Objekteigenschaften des CP 1628 im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 3. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt. 4. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Der angelegte CP wird in der Liste der konfigurierten Module angezeigt. 5. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Modul" ein zweites Modul. Getting Started, 02/2018, C79000-G8900-C

110 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 6. Tragen Sie die dem SCALANCE M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 105)" ein. 7. Bestätigen Sie den Dialog mit "OK". Ergebnis Der CP und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. 110 Getting Started, 02/2018, C79000-G8900-C337-06

111 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Tunnelverbindung projektieren Nur wenn das SCALANCE M-800 und der CP der gleichen VPN-Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und den CP. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen Getting Started, 02/2018, C79000-G8900-C

112 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. 7. Speichern Sie das Projekt mit dem Menübefehl "Projekt" > "Speichern" ab. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Die Einstellungen werden in der Konfigurationsdatei gespeichert. 112 Getting Started, 02/2018, C79000-G8900-C337-06

113 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Konfiguration in CP laden und M-800-Konfiguration abspeichern Konfiguration in CP laden 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. Für CP 1628: Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security- Modul automatisch und die neue Konfiguration ist aktiviert. Für CP Advanced oder CP Advanced: Starten Sie die S7-CPU nach dem Laden neu, um die neue Konfiguration zu aktivieren SCALANCE M-800-Konfiguration abspeichern 1. Öffnen Sie in STEP 7 das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". 2. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen" > "An Modul(e)...". 3. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis. Ergebnis In das Projektverzeichnis wird folgende Datei abgespeichert: Konfigurationsdatei: Projektname.M-800.txt Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800. Konfigurationsdatei IPSec VPN > Verbindungen > VPN Standard Modus - Einstellungen bearbeiten Adresse des VPN Gateways der Gegenstelle: Authentisierungsverfahren: Pre Shared Key Pre Shared Key: Remote ID: U @GEA32 Lokale ID: U269159D5@GEA32 Adresse des gegenüberliegenden Netzes: Einstellungen im WBM Security > IPsec VPN > Remote-Endpunkt > Remote-Modus: Standard Security > IPsec VPN > Remote-Endpunkt > Remote-Adresse: /32 Security > IPsec VPN > Authentifizierung > Authentifizierung: PSK Security > IPsec VPN > Authentifizierung > PSK und PSK bestätigen: Security > IPSec VPN > Authentifizierung > Remote-ID nicht benötigt. Im WBM wird externe IP-Adresse des S612 eingetragen. In diesem Beispiel ist das die Security > IPSec VPN > Authentifizierung > Lokale-ID nicht benötigt. Der Eintrag bleibt im WBM leer. Security > IPSec VPN > Remote-Endpunkt > Remote-Subnetz: /24 Getting Started, 02/2018, C79000-G8900-C

114 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Konfigurationsdatei Netzmaske des gegenüberliegenden Netzes: Adresse des lokalen Netzes: Netzmaske des lokalen Netzes: Einstellungen im WBM Security > IPSec VPN > Verbindungen > Lokales Subnetz: /24 IPSec VPN > Verbindungen > IKE Bearbeiten Phase 1 - ISAKMP SA -- ISAKMP-SA Verschlüsselung: 3DES-168 ISAKMP-SA Hash: SHA-1 ISAKMP-SA Modus: Main Mode -- ISAKMP-SA Lebensdauer (Sekunden): In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. Security > IPsec VPN > Verbindungen > Keying-Protokoll: IKEv1 Security > IPsec VPN > Phase 1 > Verschlüsselung: 3DES Security > IPsec VPN > Phase 1 > Authentifizierung: SHA-1 Security > IPsec VPN > Phase 1 > Lebensdauer [min]: 1440 Phase 2 - IPSec SA -- IPSec-SA Verschlüsselung: 3DES-168 IPSec-SA Hash: SHA-1 IPSec-SA Lebensdauer (Sekunden): In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. Perfect Forward Secrecy (PFS): Nein -- Security > IPsec VPN > Phase 2 > Verschlüsselung: 3DES Security > IPsec VPN > Phase 2 > Authentifizierung: SHA-1 Security > IPsec VPN > Phase 2 > Lebensdauer [min]: 1440 DH/PFS-Gruppe: DH NAT-T: An -- DPD-Verzögerung (Sekunden): Security > IPsec VPN > Phase 1 > Schlüsselableitung: DH-Gruppe 2 Security > IPsec VPN > Phase 2 > Schlüsselableitung: DH-Gruppe 2 DPD-Timeout (Sekunden): 60 Security > IPsec VPN > Phase 1 > DPD-Timeout [sec]: 60 DPD-Maximale Fehlversuche: Getting Started, 02/2018, C79000-G8900-C337-06

115 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs VPN-Tunnel mit dem SCT V4.x konfigurieren Projekt und Module mit den SCT anlegen Vorgehensweise 1. Aktivieren Sie in den Objekteigenschaften des CP 1628 im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 3. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt. 4. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Der angelegte CP wird in der Liste der konfigurierten Module angezeigt. Getting Started, 02/2018, C79000-G8900-C

116 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 5. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Baugruppe" ein zweites Modul. 6. Tragen Sie die dem SCALANCE M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 105)" ein. 7. Bestätigen Sie den Dialog mit "OK". Ergebnis Der CP und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. 116 Getting Started, 02/2018, C79000-G8900-C337-06

117 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Tunnelverbindung projektieren Nur wenn das SCALANCE M-800 und der CP der gleichen VPN-Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Baugruppen". 3. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und den CP. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen Getting Started, 02/2018, C79000-G8900-C

118 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. 7. Speichern Sie das Projekt mit dem Menübefehl "Projekt" > "Speichern" ab. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Die Einstellungen werden in der Konfigurationsdatei gespeichert. 118 Getting Started, 02/2018, C79000-G8900-C337-06

119 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Konfiguration in CP laden und M-800-Konfiguration abspeichern Konfiguration in CP laden 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. Für CP 1628: Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security- Modul automatisch und die neue Konfiguration ist aktiviert. Für CP Advanced oder CP Advanced: Starten Sie die S7-CPU nach dem Laden neu, um die neue Konfiguration zu aktivieren SCALANCE M-800-Konfiguration abspeichern 1. Öffnen Sie in STEP 7 das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". 2. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen" > "An Modul(e)...". 3. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis. Ergebnis In das Projektverzeichnis wird folgende Datei abgespeichert: Konfigurationsdatei: Projektname.M-800.txt Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800. Folgen Sie den Anweisungen in der Konfigurationsdatei SCALANCE M-800 konfigurieren VPN-Gegenstelle konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. S Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. Getting Started, 02/2018, C79000-G8900-C

120 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 4. Konfigurieren Sie für die Beispielkonfiguration die VPN-Gegenstelle mit folgenden Einstellungen: Remote-Modus Standard Remote-Typ Manuell Remote-Adresse /32 WAN-IP-Adresse des DSL-Routers Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 120 Getting Started, 02/2018, C79000-G8900-C337-06

121 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 4. Konfigurieren Sie für die Beispielkonfiguration die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv1 Remote -Endpunkt CP1628 Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 5. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

122 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs VPN-Authentifizierung konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung PSK Lokale-ID kein Eintrag notwendig Remote-ID Die IP-Adresse der VPN-Gegenstelle. PSK / PSK bestätigen Den Schlüssel, den Sie im SCT projektiert haben. 3. Klicken Sie auf "Einstellungen übernehmen". Phase 1 und Phase 2 konfigurieren Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 122 Getting Started, 02/2018, C79000-G8900-C337-06

123 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 2 Lebensdauer [min] 1440 DPD-Zeitraumt [sec] 60 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie auf das Register "Phase 2". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Konfigurieren Sie für die Phase 2 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung (DFS) DH-Gruppe 2 Lebensdauer [min] Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

124 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" VPN-Verbindung aufbauen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen". 124 Getting Started, 02/2018, C79000-G8900-C337-06

125 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Ergebnis Das M-800 baut den VPN-Tunnel zum CP 128 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet am Gerät die LED grün. Weitere Informationen erhalten Sie unter "Information" > "IPSec VPN" Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT V3.x konfigurieren Projekt und Module mit den SCT anlegen Vorgehensweise 1. Aktivieren Sie in den Objekteigenschaften des CP 1628 im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 3. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt. 4. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Der angelegte CP wird in der Liste der konfigurierten Module angezeigt. 5. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Modul" ein zweites Modul. Getting Started, 02/2018, C79000-G8900-C

126 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 6. Tragen Sie die dem SCALANCE M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 105)" ein. 7. Bestätigen Sie den Dialog mit "OK". Ergebnis Der CP und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. 126 Getting Started, 02/2018, C79000-G8900-C337-06

127 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Tunnelverbindung projektieren Nur wenn das SCALANCE M-800 und der CP der gleichen Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden.. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und den CP. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen Getting Started, 02/2018, C79000-G8900-C

128 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen: Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. 7. Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Die Einstellungen werden in der Konfigurationsdatei gespeichert. 128 Getting Started, 02/2018, C79000-G8900-C337-06

129 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Konfiguration in CP laden und M-800-Konfiguration abspeichern Konfiguration in CP laden 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. Für CP 1628: Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security- Modul automatisch und die neue Konfiguration ist aktiviert. Für CP Advanced oder CP Advanced: Starten Sie die S7-CPU nach dem Laden neu, um die neue Konfiguration zu aktivieren. SCALANCE M-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats, z. B. Di1S+Xo?. Ergebnis In das Projektverzeichnis werden folgende Dateien abgespeichert: Konfigurationsdatei: Projektname.M-800.txt PKCS12-Datei: Projektname.Zeichenfolge.M-800.p12 Gegenstellenzertifikat: Projektname.Gruppe1.CP.cer Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800 einschließlich einer Information über die zusätzlich erzeugten Zertifikate. Konfigurationsdatei IPsec VPN > Zertifikate Gegenstellen Zertifikat hochladen: Configuration- 1.Gruppe1.S612.cer PKCS12 Datei (.p12) hochladen: Configuration- Einstellungen im WBM System > Laden & Speichern > HTTP > X509Cert : Laden IPsec VPN > Verbindungen > VPN Standard Modus - Einstellungen bearbeiten Adresse des VPN Gateways der Gegenstelle: Authentisierungsverfahren: X.509 Gegenstellenzertifikat Gegenstellen Zertifikat: Configuration- 1.Gruppe1.S612.cer Security > IPsec VPN > Remote-Endpunkt > Remote-Modus: Standard Security > IPsec VPN > Remote-Endpunkt > Remote-Adresse: /32 Security > IPsec VPN > Authentifizierung > Authentifizierung: Remote-Zert Security > IPsec VPN > Authentifizierung > Remote-Zertifikat: Configuration-1.Gruppe1.CP.cer Getting Started, 02/2018, C79000-G8900-C

130 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Konfigurationsdatei Remote ID: Adresse des gegenüberliegenden Netzes: Netzmaske des gegenüberliegenden Netzes: Adresse des lokalen Netzes: Netzmaske des lokalen Netzes: Einstellungen im WBM Security > IPsec VPN > Authentifizierung > Remote-ID: Security > IPsec VPN > Remote-Endpunkt > Remote-Subnetz: /24 Security > IPsec VPN > Verbindungen > Lokales Subnetz: /24 IPsec VPN > Verbindungen > IKE Bearbeiten Phase 1 - ISAKMP SA -- ISAKMP-SA Verschlüsselung: 3DES-168 ISAKMP-SA Hash: SHA-1 ISAKMP-SA Modus: Main Mode -- ISAKMP-SA Lebensdauer (Sekunden): In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. Security > IPsec VPN > Verbindungen > Keying-Protokoll: IKEv1 Security > IPsec VPN > Phase 1 > Verschlüsselung: 3DES Security > IPsec VPN > Phase 1 > Authentifizierung: SHA-1 Security > IPsec VPN > Phase 1 > Lebensdauer [min]: 1440 Phase 2 - IPsec SA -- IPsec-SA Verschlüsselung: 3DES-168 IPsec-SA Hash: SHA-1 IPsec-SA Lebensdauer (Sekunden): In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. Perfect Forward Secrecy (PFS): Nein -- Security > IPsec VPN > Phase 2 > Verschlüsselung: 3DES Security > IPsec VPN > Phase 2 > Authentifizierung: SHA-1 Security > IPsec VPN > Phase 2 > Lebensdauer [min]: 1440 DH/PFS-Gruppe: DH NAT-T: An -- DPD-Verzögerung (Sekunden): Security > IPsec VPN > Phase 1 > Schlüsselableitung: DH-Gruppe 2 Security > IPsec VPN > Phase 2 > Schlüsselableitung: DH-Gruppe 2 DPD-Timeout (Sekunden): 60 Security > IPsec VPN > Phase 1 > DPD-Timeout [sec]: 60 DPD-Maximale Fehlversuche: Getting Started, 02/2018, C79000-G8900-C337-06

131 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs VPN-Tunnel mit dem SCT V4.x konfigurieren Projekt und Module mit den SCT anlegen Vorgehensweise 1. Aktivieren Sie in den Objekteigenschaften des CP 1628 im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 3. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt. 4. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten" > "Security Configuration Tool". Der angelegte CP wird in der Liste der konfigurierten Module angezeigt. Getting Started, 02/2018, C79000-G8900-C

132 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 5. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Baugruppe" ein zweites Modul. 6. Tragen Sie die dem SCALANCE M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 105)" ein. 7. Bestätigen Sie den Dialog mit "OK". Ergebnis Der CP und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. 132 Getting Started, 02/2018, C79000-G8900-C337-06

133 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Tunnelverbindung projektieren Nur wenn das SCALANCE M-800 und der CP der gleichen Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden.. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und den CP. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen Getting Started, 02/2018, C79000-G8900-C

134 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen: Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. 7. Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Die Einstellungen werden in der Konfigurationsdatei gespeichert. 134 Getting Started, 02/2018, C79000-G8900-C337-06

135 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Konfiguration in CP laden und M-800-Konfiguration abspeichern Konfiguration in CP laden 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station" > "Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem" > "Laden in Baugruppe..." auf das Security-Modul. Für CP 1628: Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security- Modul automatisch und die neue Konfiguration ist aktiviert. Für CP Advanced oder CP Advanced: Starten Sie die S7-CPU nach dem Laden neu, um die neue Konfiguration zu aktivieren. SCALANCE M-800-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats, z. B. Di1S+Xo?. Ergebnis In das Projektverzeichnis werden folgende Dateien abgespeichert: Konfigurationsdatei: Projektname.M-800.txt PKCS12-Datei: Projektname.Zeichenfolge.M-800.p12 Gegenstellenzertifikat: Projektname.Gruppe1.CP.cer Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800 einschließlich einer Information über die zusätzlich erzeugten Zertifikate. Folgen Sie den Anweisungen in der Konfigurationsdatei. Getting Started, 02/2018, C79000-G8900-C

136 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs SCALANCE M-800 konfigurieren Zertifikat laden Voraussetzung Auf dem SCALANCE M-800 ist die richtige Uhrzeit eingestellt, siehe Kapitel Uhrzeit einstellen (Seite 27). Zertifikate sind vorhanden. Die benötigten Zertifikate haben Sie im letzten Kapitel auf dem PC abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate für das SCALANCE M-800 auf den Admin-PC. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". 2. Tragen Sie in der Zeile "X509Cert" bei "Passwort" und bei "Password bestätigen" das Passwort ein, das Sie für die PKCS12-Datei festgelegt haben. 3. Aktivieren Sie das Passwort 4. Klicken Sie auf "Einstellungen übernehmen". 136 Getting Started, 02/2018, C79000-G8900-C337-06

137 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 5. Klicken Sie im Inhaltsbereich auf das Register "HTTP". 6. Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum Gegenstellenzertifikat. 7. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". 8. Wiederholen Sie die Schritte 5 und 6 für die PKCS12-Datei. Getting Started, 02/2018, C79000-G8900-C

138 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Ergebnis Die Zertifikate sind geladen und werden unter "Security" > "Zertifikate" angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen. VPN-Gegenstelle konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. S Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 138 Getting Started, 02/2018, C79000-G8900-C337-06

139 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 4. Konfigurieren Sie für die Beispielkonfiguration die VPN-Gegenstelle mit folgenden Einstellungen: Remote-Modus Standard Remote-Typ Manuell Remote-Adresse /32 WAN-IP-Adresse des DSL-Routers Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. Getting Started, 02/2018, C79000-G8900-C

140 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 4. Konfigurieren Sie für die Beispielkonfiguration die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv1 Remote -Endpunkt CP1628 Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 5. Klicken Sie auf "Einstellungen übernehmen". VPN-Authentifizierung konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie für die Beispielkonfiguration die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung Lokales Zertifikat Remote-Zertifikat Remote-ID Remote Cert Projektname.Zeichenfolge.M-800.p12 Projektname.Gruppe1.CP.cer Remote ID aus der Konfigurationsdatei 3. Klicken Sie auf "Einstellungen übernehmen". 140 Getting Started, 02/2018, C79000-G8900-C337-06

141 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Phase 1 und Phase 2 konfigurieren Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 2 Lebensdauer [min] 1440 DPD-Zeitraum [sec] 60 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie auf das Register "Phase 2". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". Getting Started, 02/2018, C79000-G8900-C

142 3.2 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 3. Konfigurieren Sie für die Phase 2 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung (DFS) DH-Gruppe 2 Lebensdauer [min] Klicken Sie auf "Einstellungen übernehmen". VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" 142 Getting Started, 02/2018, C79000-G8900-C337-06

143 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server VPN-Verbindung aufbauen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das SCALANCE M-800 baut den VPN-Tunnel zum CP 1628 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet am Gerät die LED grün. Weitere Informationen erhalten Sie unter "Information" > "IPsec VPN". 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Prinzipielles Vorgehen In dieser Beispielkonfiguration sind zwei dezentrale Stationen mithilfe von SCALANCE M87x angeschlossen. Die Geräte kommunizieren über den SINEMA RC Server, der in der Zentrale steht. Die Adressierung des SINEMA RC erfolgt über eine WAN-IP-Adresse, die von einem Provider bezogen wird. Alternativ können Sie den SINEMA RC Server auch über einen fest definierten Namen (FQDN) adressieren. Für die SCALANCE M87x-Geräten wird je ein KEY-PLUG SINEMA Remote Connect benötigt. Mit dem KEY-PLUG wird die Anbindung von SCALANCE M87x an SINEMA RC freigeschaltet. Getting Started, 02/2018, C79000-G8900-C

144 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Dazu müssen sich die Geräte am SINEMA RC Server anmelden. Erst nach erfolgreicher Authentifizierung wird der VPN-Tunnel zwischen dem Gerät und dem SINEMA RC Server aufgebaut. Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen verschaltet der SINEMA RC Server die einzelnen VPN-Tunnels. Aufbau Zentrale - Anschluss an SINEMA RC Server Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an dem LAN-Schnittstelle des SINEMA RC Servers angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 3 SINEMA RC Server Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an dem WAN- Schnittstelle des SINEMA RC Servers angeschlossen wird. 144 Getting Started, 02/2018, C79000-G8900-C337-06

145 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Station 1 / 2 - Anschluss an SCALANCE M87x Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an die Ethernet-Schnittstelle P1 des M-800 angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 1/2 M-87x: SCALANCE M-Modul zum Schutz des internen Netzwerks 1/2 Anbindung an das externe, öffentliche Netzwerk Drahtlos über die Antenne des M87x an das Mobilfunknetz. (ab FW 4.0) Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: 2 x M874 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 2 x KEY-PLUG SINEMA RC 2 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 2 x PC die mit je einem SCALANCE M874 verbunden sind. 2 x geeignete Antennen 2 x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. 1 x PC, auf dem der SINEMA RC Server installiert ist. 1 x PC, der mit dem SINEMA RC Server verbunden ist. 1 x Router Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Hinweis Sie können auch ein SCALANCE M876 verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnten Komponenten. Getting Started, 02/2018, C79000-G8900-C

146 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Station-1 LAN1 Station-2 LAN2 Zentrale LAN3 Name Schnittstelle IP-Adresse M874-2 #1 LAN- Schnittstelle P1 PC1 (vlan1) WAN- Schnittstelle (ppp0) LAN- Schnittstelle M874-2 #2 LAN- Schnittstelle P1 PC2 SINEMA RC Server PC3 Router 3 (vlan1) WAN- Schnittstelle (ppp0) Ethernet (LAN 2) WAN- Schnittstelle Ethernet (LAN3) LAN- Schnittstelle WAN- Schnittstelle Dynamische IP-Adresse vom Provider Dynamische IP-Adresse vom Provider Die WAN-IP-Adresse, über die der SINEMA RC Server erreichbar ist, ist in diesem Beispiel die WAN-IP-Adresse des Routers Das Default-Gateway ist die LAN-IP-Adresse des Routers Alternativ kann der SINEMA RC Server auch über einen definierten Hostnamen (FQDN) adressiert werden Statische IP-Adresse vom Provider, z. B Getting Started, 02/2018, C79000-G8900-C337-06

147 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Hinweis Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Voraussetzung SINEMA RC Server Der SINEMA RC Server ist mit dem WAN verbunden. Die Projektierungsschritte finden Sie im Getting Started "SINEMA Remote Connect". Hinweis Port-Forwarding am Router Durch die Nutzung eines Routers als Gateway müssen Sie die folgenden Ports am Router freischalten und die Datenpakete an den SINEMA RC Server weiterleiten: TCP 443 TCP 5443 UDP 1194 VPN-fähige Router Wenn Ihr Router selbst VPN-fähig ist, stellen Sie sicher, dass sich die Ports nicht überschneiden oder diese Funktion deaktiviert ist Weiterführende Informationen dazu finden Sie in der Dokumentation des Routers. SCALANCE M874 Das M874 ist mit dem WAN verbunden, siehe "SCALANCE M800 mit dem WAN verbinden". Die Projektierungsschritte gelten für alle Geräte und unterscheiden sich nur in den Einstellungen, siehe Tabelle "Verwendete Einstellungen (Seite 143)". Das M874 ist über den PC1 bzw. PC2 erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Im SCALANCE M ist ein gültiger KEY-PLUG SINEMA Remote Connect gesteckt. Projektierungsschritte Zugriff auf den SINEMA RC Servers konfigurieren Damit der PC über M874 auch auf das WBM des SINEMA RC Servers zugreifen kann, sind auf dem M874 folgende Schritte notwendig: 1. IP-Masquerading aktivieren (Seite 148) 2. Zugriff erlauben (Seite 149) Getting Started, 02/2018, C79000-G8900-C

148 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Fernverbindung auf dem SINEMA RC Server konfigurieren 1. Teilnehmergruppen anlegen (Seite 150) 2. Geräte anlegen (Seite 151) 3. Kommunikationsbeziehungen konfigurieren (Seite 154) Fernverbindung auf dem M874 konfigurieren Gesicherte VPN-Verbindung mit Fingerabdruck (Seite 155) Gesicherte VPN-Verbindung mit CA-Zertifikat Zertifikat laden (Seite 159) VPN-Verbindung zum SINEMA RC Server projektieren (Seite 160) Zugriff auf den SINEMA RC Server konfigurieren IP-Masquerading aktivieren IP-Masquerading wird verwendet, damit die internen IP-Adressen extern nicht weitergeleitet werden. Zudem werden keine weiteren Routingeinstellungen im Router benötigt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "Masquerading". 2. Aktivieren Sie "Masquerading aktivieren" an der WAN-Schnittstelle. M874, M876-3: ppp0 M876-4: usb0 M826-2: vlan1 3. Klicken Sie auf "Einstellungen übernehmen" Ergebnis An der WAN-Schnittstelle ist Masquerading aktiviert. Wenn ein Paket über diese Schnittstelle gesendet wird, wird die Quelladresse auf die der WAN-Schnittstelle zugewiesenen IP-Adresse umgeschrieben. 148 Getting Started, 02/2018, C79000-G8900-C337-06

149 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Zugriff erlauben Damit der PC auf den SINEMA RC Server zugreifen kann, wird am Gerät der Zugriff von vlan1 auf die WAN-Schnittstelle freigeschaltet. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3. Konfigurieren Sie die Firewall-Regel mit folgenden Einstellungen: Action From To Source (Range) Destination (Range) Service Accept vlan1 (intern) extern M874, M876-3: ppp0 M876-4: usb (alle IP-Adressen) (alle IP-Adressen) all Der Dienst ist standardmäßig immer verfügbar 4. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Durch diese Firewall-Regel sind alle Dienste zwischen vlan1 und ppp0 bzw usb0 uneingeschränkt möglich, z. B. HTTPS Getting Started, 02/2018, C79000-G8900-C

150 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Fernverbindung auf dem SINEMA RC Server konfigurieren Teilnehmergruppen anlegen Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Außerdem können Sie festlegen, ob die Kommunikation zwischen den Teilnehmern einer einzelnen Gruppe erlaubt oder verboten ist. Für diese Beispielkonfiguration werden folgende Gruppen angelegt. Station1 Station2 Service Die Gruppe Service wird für die Beispielkonfiguration "OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server" benötigt. Diese Beispiel finden Sie im Getting Started SINEMA RC Server. Voraussetzung Der SINEMA RC Server ist mit dem WAN verbunden Vorgehensweise 1. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers " ein, siehe Tabelle "Verwendete Einstellungen (Seite 143)". 2. Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. 3. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Teilnehmergruppen". Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. 4. Klicken Sie auf "Erstellen". Die Seite "Neue Teilnehmergruppe" wird geöffnet. 5. Geben Sie bei Gruppenname "Station1" ein. Aktivieren Sie die Einstellung "Mitglieder dürfen kommunizieren" und klicken Sie auf "Speichern". 6. Wiederholen Sie die Schritte 1-3 für die Gruppen "Station2" und "Service" 150 Getting Started, 02/2018, C79000-G8900-C337-06

151 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Ergebnis Die Teilnehmergruppen sind angelegt Geräte anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Im Inhaltsbereich werden die bereits angelegten Geräte aufgelistet. 2. Klicken Sie auf "Erstellen", um ein neues Gerät anzulegen. 3. Geben Sie den Gerätenamen für das Gerät an, z. B. "M874_1" für die Station 1 und "M874_2" für die Station Klicken Sie auf "Weiter" 5. Wählen Sie bei "VPN-Verbindungsmodus" "OpenVPN" aus. Klicken Sie auf "Weiter". 6. Aktivieren Sie den Parameter "Verbundene lokale Subnetze". 7. Aktivieren Sie den Parameter "Gerät ist ein Netzwerk-Gateway". 8. Konfigurieren Sie die Geräte mit folgenden Einstellungen: Lokale LAN-IP-Adresse Netzmaske IP-Adresse für vlan1 nach der Tabelle "Verwendete Einstellungen (Seite 143)". 9. Klicken Sie auf "Weiter". Das Register "Gruppenzugehörigkeit" wird angezeigt. 10.Aktivieren Sie die entsprechende Gruppe. Beim Gerät "M874_1" die Gruppe "Station1" Beim Gerät "M874_2" die Gruppe "Station2" Getting Started, 02/2018, C79000-G8900-C

152 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server 11.Klicken Sie auf "Weiter". Das Register "Passwort " wird angezeigt. 12.Legen Sie das Passwort für den Zugriff fest, z. B. An:t_010 für M874_1 und An:t_020 für M874_2. Das Passwort muss sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen. 13.Klicken Sie auf "Beenden". Ergebnis Die Geräte werden bei den bereits angelegten Geräten aufgelistet. Gerätepasswort Geräte-ID Fingerabdruck Die Geräte-ID und den Fingerabdruck finden Sie bei den Geräteinformationen. Klicken Sie auf das Symbol, um die Geräteinformation zu öffnen. 152 Getting Started, 02/2018, C79000-G8900-C337-06

153 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Getting Started, 02/2018, C79000-G8900-C

154 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Kommunikationsbeziehungen konfigurieren Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen notwendig. Dabei kann für jede Richtung eine Kommunikationsbeziehung erstellt werden. Für diese Beispielkonfiguration werden folgende Kommunikationsbeziehungen angelegt: von Gruppe Service Station1 zur Zielgruppe Station1 Station2 Station2 In diesem Konfigurationsbeispiel geht die Kommunikation nur von der Gruppe "Station-1" zur Gruppe "Station-2". In die Gegenrichtung ist keine Kommunikation möglich. Für die Kommunikation von der Gruppe "Station2" zur Gruppe "Station1" ist eine weitere Kommunikationsbeziehung notwendig. Ebenso kann die Gruppe "Service" mit den Gruppen "Station1" und "Station2" kommunizieren, aber nicht umgekehrt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Teilnehmergruppen". Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. 2. Klicken Sie bei "Station1" in der Spalte "Aktionen" auf das Symbol. Die Seite "Zielgruppe" wird geöffnet. 3. Aktivieren Sie "Station2" und klicken Sie auf "Speichern". 4. Klicken Sie auf "Dialog verlassen". 5. Klicken Sie bei "Service" in der Spalte "Aktionen" auf das Symbol. Die Seite "Zielgruppe" wird geöffnet. 6. Aktivieren Sie "Station1" und "Station2". Klicken Sie auf "Speichern". 7. Klicken Sie auf "Dialog verlassen". Ergebnis Die Kommunikationsbeziehungen sind angelegt. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Kommunikationsbeziehungen". Im Inhaltsbereich werden die angelegten Beziehungen aufgelistet. 154 Getting Started, 02/2018, C79000-G8900-C337-06

155 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Fernverbindung auf dem M87x konfigurieren Gesicherte VPN-Verbindung mit Fingerabdruck Voraussetzung Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet. Webbrowser 1 für den Zugriff auf das Web Based Management des SCALANCE M874. Webbrowser 2 für den Zugriff auf SINEMA RC. Im M87x ist ein gültiger KEY-PLUG gesteckt. Getting Started, 02/2018, C79000-G8900-C

156 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE M874. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des SCALANCE M874 ein, siehe Tabelle "Verwendete Einstellungen (Seite 143)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "System" > "SINEMA RC". Geben Sie bei "SINEMA RC Address" die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 143)". 2. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 143)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Klicken Sie bei "Aktionen" auf das Symbol, um die Geräteinformation zu öffnen. Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Geräte-ID. Klicken Sie mit der rechten Maustaste auf die Markierung und wählen Sie im Kontextmenü den Befehl zum Kopieren. 3. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE M874. Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Device-ID". Wählen Sie im Kontextmenü den Befehl zum Einfügen. Geben Sie bei "Device Password" das Passwort an, das Sie für den Zugriff projektiert haben, An:t_010 für M874-1 und An:t_020 für M Aktivieren Sie "Auto Firewall / NAT Rules". Wenn aktiviert wird, werden automatisch die entsprechenden NAT und Firewallregeln angelegt. Wählen Sie bei "Verification Type" "Fingerprint" aus. 156 Getting Started, 02/2018, C79000-G8900-C337-06

157 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server 4. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Fingerabdruck. Klicken Sie mit der rechten Maustaste auf die Markierung und wählen Sie im Kontextmenü den Befehl zum Kopieren. 5. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE M874. Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Fingerprint". Wählen Sie im Kontextmenü den Befehl zum Einfügen. Aktivieren Sie "Enable SINEMA RC". Klicken Sie auf "Set Values". Getting Started, 02/2018, C79000-G8900-C

158 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Ergebnis Das Gerät baut einen VPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. Im Webbrowser für den Zugriff auf das Web Based Management des SCALANCE M874: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC". Webbrowser für den Zugriff auf SINEMA RC: Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". 158 Getting Started, 02/2018, C79000-G8900-C337-06

159 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Gesicherte VPN-Verbindung mit CA-Zertifikat Zertifikat laden Voraussetzung Auf dem M874 und auf dem SINEMA RC Server ist die richtige Uhrzeit eingestellt. Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet. Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 143)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "Sicherheit" > "Zertifikate". Klicken Sie bei "Aktionen" auf das Symbol, um das Zertifikate zu exportieren. 2. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE M874. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des M874 ein, siehe Tabelle "Verwendete Einstellungen (Seite 143)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "System" > "Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". Geben Sie bei "X509Cert" das Geräte-Passwort ein. Aktiveren Sie den Eintrag und klicken Sie auf "Einstellungen übernehmen". Klicken Sie im Inhaltsbereich auf das Register "HTTP". Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum exportierten Serverzertifikat. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". Getting Started, 02/2018, C79000-G8900-C

160 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Ergebnis Die Zertifikate sind geladen. Unter "Security > Zertifikate" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen. VPN-Verbindung zum SINEMA RC Server projektieren Voraussetzung Im M87x ist ein gültiger SINEMA RC KEY-PLUG gesteckt. 160 Getting Started, 02/2018, C79000-G8900-C337-06

161 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE M874 Klicken Sie im Navigationsbereich auf "System > SINEMA RC". Geben Sie bei "SINEMA RC Address" die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 143)". 2. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Klicken Sie bei "Aktionen" auf das Symbol, um die Geräteinformation zu öffnen. Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Geräte-ID. Klicken Sie mit der rechten Maustaste auf die Markierung und wählen Sie im Kontextmenü den Befehl zum Kopieren. 3. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE M874 Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Geräte-ID". Wählen Sie im Kontextmenü den Befehl zum Einfügen. Geben Sie bei "Geräte-Passwort" das Passwort an, das Sie für den Zugriff projektiert haben, An:t_010 für M874-1 und An:t_020 für M Aktivieren Sie "Auto Firewall / NAT-Regeln". Wenn aktiviert wird, werden automatisch die entsprechenden NAT und Firewallregeln angelegt. Wählen Sie bei "Verification Type "CA-Zertifikat" aus. Wählen Sie bei "CA-Zertifikat das Serverzertifikat aus. Nur geladene Zertifikate sind auswählbar. Getting Started, 02/2018, C79000-G8900-C

162 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Aktivieren Sie "SINEMA RC aktivieren" und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das Gerät baut einen VPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. Webbrowser 1: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC". 162 Getting Started, 02/2018, C79000-G8900-C337-06

163 3.3 VPN-Tunnel zwischen SCALANCE M87x und SINEMA RC Server Webbrowser 2: Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Getting Started, 02/2018, C79000-G8900-C

164 3.4 VPN-Tunnel zwischen zwei M VPN-Tunnel zwischen zwei M Prinzipielles Vorgehen In diesem Beispiel wird zwischen zwei SCALANCE M-800-Geräten eine gesicherte VPN- Verbindung mit Zertifikaten aufgebaut. In dieser Beispielkonfiguration ist das SCALANCE M81x in der Zentrale der VPN-Server und dieser ist aus dem WAN über seine feste IP-Adresse erreichbar. Das SCALANCE M87x in der Station ist der VPN-Client, der bei Bedarf die Verbindung zum VPN-Server aufbaut. Aufbau Internes Netz 1 / 2 - Anschluss an SCALANCE M Im internen Netz wird im Testaufbau ein Netzknoten durch einen Admin-PC bzw. SIMATIC Station realisiert, der an eine Ethernet-Schnittstelle des SCALANCE M-800 angeschlossen ist. Admin-PC: repräsentiert einen Teilnehmer des internen Netzwerks M87x\M81x: SCALANCE M-Modul zum Schutz des internen Netzwerks Anbindung an das externe, öffentliche Netzwerk: Drahtlos über die Antenne des M87x an das Mobilfunknetz. Kabelgebunden über die RJ45-Buchse des M81x an ADSL. 164 Getting Started, 02/2018, C79000-G8900-C337-06

165 3.4 VPN-Tunnel zwischen zwei M-800 Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: Anbindung an das Mobilfunknetz 1x M874 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x geeignete Antenne 1x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. Anbindung an ADSL 1x M812 oder 1x M816 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker ADSL-Zugang ist freigeschaltet 1x PC mit dem das SCALANCE M verbunden ist. Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen Interface Zentrale M81x ADSL (extern) Ethernet (intern) Admin-PC Ethernet (intern) Station 1 M87x Mobilfunk (extern) Ethernet (intern) Admin-PC Ethernet (intern) Vlan 2 IP-Adresse Feste IP-Adresse, z. B (VPN- Server) Providerabhängig Alternativ kann auch der DDNS-Hostname verwendet werden. Vlan Vlan Dynamische IP-Adresse (VPN-Client) Vlan Getting Started, 02/2018, C79000-G8900-C

166 3.4 VPN-Tunnel zwischen zwei M-800 Hinweis Bei den Geräten, die sich im internen Netzwerk befinden, ist die IP-Adresse des internen Ports als Standard-Gateway einzutragen. Voraussetzung Das SCALANCE M87x/SCALANCE M81x ist mit dem WAN verbunden, siehe "SCALANCE M mit dem WAN verbinden (Seite 11)". Das SCALANCE M87x/SCALANCE M81x ist über den Admin-PC erreichbar und Sie sind am WBM als "admin" angemeldet. Das Projektierungswerkzeug "Security Configuration Tool V4.x" ist installiert Projektierungsschritte 1. VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen (Seite 167) Tunnelverbindung projektieren (Seite 170) VPN-Parameter projektieren (Seite 171) M-800-Konfiguration abspeichern (Seite 172) 2. SCALANCE M81x (VPN-Sever) konfigurieren Zertifikat laden (Seite 173) VPN-Gegenstelle konfigurieren (Seite 175) VPN-Verbindung konfigurieren (Seite 175) VPN-Authentifizierung konfigurieren (Seite 176) Phase 1 und Phase 2 konfigurieren (Seite 177) VPN aktivieren (Seite 178) VPN-Verbindung aufbauen (Seite 179) 3. SCALANCE M87x (VPN-Client) konfigurieren Zertifikat laden (Seite 179) VPN-Gegenstelle konfigurieren (Seite 181) VPN-Verbindung konfigurieren (Seite 182) VPN-Authentifizierung konfigurieren (Seite 182) Phase 1 und Phase 2 konfigurieren (Seite 183) VPN aktivieren (Seite 185) VPN-Verbindung aufbauen (Seite 186) 4. Status der VPN-Verbindung anzeigen (Seite 186) 166 Getting Started, 02/2018, C79000-G8900-C337-06

167 3.4 VPN-Tunnel zwischen zwei M VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen Vorgehensweise 1. Starten Sie die Projektierungssoftware Security Configuration Tool V4.x auf dem PC. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt und der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" wird geöffnet. Getting Started, 02/2018, C79000-G8900-C

168 3.4 VPN-Tunnel zwischen zwei M Tragen Sie die dem M87x zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 164)" ein. Die externe IP-Adresse ist beim M87x ist nicht relevant. Verwenden Sie bei IP-Adresse (ext) die Defaulteinstellungen. 6. Schließen Sie den Dialog mit "OK". 7. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Baugruppe" ein zweites Modul 168 Getting Started, 02/2018, C79000-G8900-C337-06

169 3.4 VPN-Tunnel zwischen zwei M Tragen Sie die dem M81x zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 164)" ein. 9. Schließen Sie den Dialog mit "OK". Ergebnis Die Geräte werden in der Liste der konfigurierten Module angezeigt. Getting Started, 02/2018, C79000-G8900-C

170 3.4 VPN-Tunnel zwischen zwei M Tunnelverbindung projektieren Nur wenn das SCALANCE M81x und das SCALANCE M87x der gleichen Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich die beiden Einträge. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen. 170 Getting Started, 02/2018, C79000-G8900-C337-06

171 3.4 VPN-Tunnel zwischen zwei M Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. 7. Schließen Sie den Dialog mit "OK". Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen VPN-Parameter projektieren In dieser Beispielkonfiguration ist das M81x (VPN-Server) "passiv". Das M81x wartet bis der Verbindungsaufbau von der Gegenstelle M87x initiiert wird. Getting Started, 02/2018, C79000-G8900-C

172 3.4 VPN-Tunnel zwischen zwei M-800 Vorgehensweise VPN-Parameter für M81x (VPN-Server) projektieren 1. Markieren Sie im Inhaltsbereich den "M81xServer". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". Klicken Sie auf das Register "VPN". 3. Klicken Sie auf das Register "VPN". 4. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Warte auf Gegenstelle (Responder)" aus. 5. Tragen Sie die WAN-IP-Adresse z. B Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". VPN-Parameter für M87x (VPN-Client) projektieren 1. Markieren Sie im Inhaltsbereich den "M81xServer". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". Klicken Sie auf das Register "VPN". 3. Klicken Sie auf das Register "VPN". 4. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Starte Verbindung zur Gegenstelle (Initiator/Responder)" aus. 5. Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 6. Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Ergebnis Das Security-Projekt ist fertig konfiguriert. Die Einstellungen werden in der Konfigurationsdatei gespeichert Konfiguration abspeichern Vorgehensweise 1. Markieren Sie im Inhaltsbereich das "M81xServer" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M81xServer.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats, z. B. Di1S+Xo?. 3. Markieren Sie im Inhaltsbereich das "M87xClient" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 4. Speichern Sie die Konfigurationsdatei "Projektname.M87xClient.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats, z. B. Di1S+Xo?. 172 Getting Started, 02/2018, C79000-G8900-C337-06

173 3.4 VPN-Tunnel zwischen zwei M-800 Ergebnis In das Projektverzeichnis werden folgende Dateien abgespeichert: Konfigurationsdatei: Projektname.Name der Baugruppe.txt PKCS12-Datei: Projektname.Zeichenfolge.Name der Baugruppe.p12 Gegenstellenzertifikat: Projektname.Gruppe1Braugruppenname.cer Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für die SCALANCE M-800-Geräte einschließlich einer Information über die zusätzlich erzeugten Zertifikate. Folgen Sie den Anweisungen in der Konfigurationsdatei SCALANCE M81x (VPN-Sever) konfigurieren Zertifikat laden Die Zertifikate sind notwendig für die Authentifizierung des VPN-Teilnehmers und somit für den Aufbau einer gesicherten VPN-Verbindung. Die Information, welches Zertifikat auf welches Gerät zu laden ist, erhalten Sie in der Konfigurationsdatei. Voraussetzung Auf dem SCALANCE M-800 ist die richtige Uhrzeit eingestellt, siehe Kapitel Uhrzeit einstellen (Seite 27). Zertifikate sind vorhanden. Die benötigten Zertifikate haben Sie im letzten Kapitel auf dem PC abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate für das SCALANCE M-800 auf den Admin-PC. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". 2. Um die Datei erfolgreich in den SCALANCE M zuladen, geben Sie in der Zeile "X509Cert" bei "Passwort" und bei "Passwort bestätigen" das für die Datei festgelegte Passwort ein. Beim Speichern der Konfigurationsdateien des SCALANCE M aus dem Security Configuration Tool wurden Sie aufgefordert, ein Passwort für den privaten Schlüssel des Zertifikats zu vergeben oder den Projektnamen als solches zu verwenden. 3. Aktivieren Sie das Passwort Getting Started, 02/2018, C79000-G8900-C

174 3.4 VPN-Tunnel zwischen zwei M Klicken Sie auf "Einstellungen übernehmen". 5. Klicken Sie im Inhaltsbereich auf das Register "HTTP". 6. Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. 7. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". 8. Wiederholen Sie die Schritte 5 und 6 für die PKCS12-Datei. 174 Getting Started, 02/2018, C79000-G8900-C337-06

175 3.4 VPN-Tunnel zwischen zwei M-800 Ergebnis Die Zertifikate sind geladen und werden unter "Security" > "Zertifikate" angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen VPN-Gegenstelle konfigurieren In dieser Beispielkonfiguration ist das M81x in der Zentrale der VPN-Server, der Verbindung von VPN-Gegenstellen mit beliebiger IP-Adresse annimmt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. VPN_Client_M87x. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie die VPN-Gegenstelle mit folgenden Einstellungen aus der Konfigurationsdatei: Remote-Modus Remote-Typ Standard Beliebig Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". Nimmt die Verbindung von VPN-Gegenstellen mit beliebiger IP- Adresse aus dem Remote-Subnetz an. Das durch den VPN-Tunnel erreichbare Subnetz VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Getting Started, 02/2018, C79000-G8900-C

176 3.4 VPN-Tunnel zwischen zwei M-800 Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Konfigurieren Sie die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv2 Remote -Endpunkt VPN_Client_M87x Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 4. Klicken Sie auf "Einstellungen übernehmen" VPN-Authentifizierung konfigurieren Für eine sichere Kommunikation über VPN müssen sich alle VPN-Partner gegenseitig authentisieren. In dieser Beispielkonfiguration wird das Zertifikat der VPN-Gegenstelle verwendet. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung Lokales Zertifikat Remote-Zertifikat Remote-ID Remote-Zert. Die genauen Bezeichnungen für die Zertifikate und die Remote-ID finden Sie in der jeweiligen Konfigurationsdatei. 3. Klicken Sie auf "Einstellungen übernehmen". 176 Getting Started, 02/2018, C79000-G8900-C337-06

177 3.4 VPN-Tunnel zwischen zwei M Phase 1 und Phase 2 konfigurieren Die Einstellungen müssen auf beiden Geräten übereinstimmen. Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung AES 128 Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 2880 DPD-Zeitraum [sec] 60 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 2". 2. Lassen Sie das Optionskästchen "Default-Chiffre" aktiviert. Wenn aktiviert, wird beim Verbindungsaufbau eine vorgegebene Liste an den VPN- Verbindungspartner übermittelt. In der Liste sind Kombinationen aus den drei Algorithmen (Encryption, Authentication, Key Derivation) enthalten. Um eine VPN- Verbindung aufzubauen, muss der VPN-Verbindungspartner mindestens eine dieser Kombinationen unterstützen. Die Auswahl ist abhängig vom Schlüsselaustauschverfahren. 3. Aktivieren Sie das Optionskästchen "DPD". Getting Started, 02/2018, C79000-G8900-C

178 3.4 VPN-Tunnel zwischen zwei M Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung Authentifizierung AES128 SHA1 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] Aktivieren Sie "Auto-Firewallregeln". Für die VPN-Verbindung wird automatisch die Firewall-Regel angelegt 6. Klicken Sie auf "Einstellungen übernehmen" VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" 178 Getting Started, 02/2018, C79000-G8900-C337-06

179 3.4 VPN-Tunnel zwischen zwei M VPN-Verbindung aufbauen Das M81x (VPN-Server) wird als Responder projektiert. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Warten" aus und klicken Sie auf "Einstellungen übernehmen" SCALANCE M87x (VPN-Client) konfigurieren Zertifikat laden Die Zertifikate sind notwendig für die Authentifizierung des VPN-Teilnehmers und somit für den Aufbau einer gesicherten VPN-Verbindung. Die Information, welches Zertifikat auf welches Gerät zu laden ist, erhalten Sie in der Konfigurationsdatei. Voraussetzung Auf dem SCALANCE M-800 ist die richtige Uhrzeit eingestellt, siehe Kapitel Uhrzeit einstellen (Seite 27). Zertifikate sind vorhanden. Die benötigten Zertifikate haben Sie im letzten Kapitel auf dem PC abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate für das SCALANCE M-800 auf den Admin-PC. Getting Started, 02/2018, C79000-G8900-C

180 3.4 VPN-Tunnel zwischen zwei M-800 Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". 2. Um die Datei erfolgreich in den SCALANCE M zuladen, geben Sie in der Zeile "X509Cert" bei "Passwort" und bei "Passwort bestätigen" das für die Datei festgelegte Passwort ein. Beim Speichern der Konfigurationsdateien des SCALANCE M aus dem Security Configuration Tool wurden Sie aufgefordert, ein Passwort für den privaten Schlüssel des Zertifikats zu vergeben oder den Projektnamen als solches zu verwenden. 3. Aktivieren Sie das Passwort 4. Klicken Sie auf "Einstellungen übernehmen". 5. Klicken Sie im Inhaltsbereich auf das Register "HTTP". 6. Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. 180 Getting Started, 02/2018, C79000-G8900-C337-06

181 3.4 VPN-Tunnel zwischen zwei M Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". 8. Wiederholen Sie die Schritte 5 und 6 für die PKCS12-Datei. Ergebnis Die Zertifikate sind geladen und werden unter "Security" > "Zertifikate" angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen VPN-Gegenstelle konfigurieren In dieser Beispielkonfiguration ist das M87x in der Station der VPN-Client, der Verbindung, der die Verbindung zum VPN-Server mit fester IP-Adresse aufbaut. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. VPN_Server_M81x. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie die VPN-Gegenstelle mit folgenden Einstellungen aus der Konfigurationsdatei: Remote-Modus Standard Remote-Typ Manuell Remote-Adresse Feste externe IP-Adresse des M81x, z. B Remote-Subnetz /24 Das durch den VPN-Tunnel erreichbare Subnetz 5. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

182 3.4 VPN-Tunnel zwischen zwei M VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Konfigurieren Sie die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv2 Remote -Endpunkt VPN_Server_M81x Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 4. Klicken Sie auf "Einstellungen übernehmen" VPN-Authentifizierung konfigurieren Für eine sichere Kommunikation über VPN müssen sich alle VPN-Partner gegenseitig authentisieren. In dieser Beispielkonfiguration wird das Zertifikat der VPN-Gegenstelle verwendet. 182 Getting Started, 02/2018, C79000-G8900-C337-06

183 3.4 VPN-Tunnel zwischen zwei M-800 Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung Lokales Zertifikat Remote-Zertifikat Remote-ID Remote-Zert. Die genauen Bezeichnungen für die Zertifikate und die Remote-ID finden Sie in der jeweiligen Konfigurationsdatei. 3. Klicken Sie auf "Einstellungen übernehmen" Phase 1 und Phase 2 konfigurieren Die Einstellungen müssen auf beiden Geräten übereinstimmen. Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". Getting Started, 02/2018, C79000-G8900-C

184 3.4 VPN-Tunnel zwischen zwei M Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung AES 128 Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 2880 DPD-Zeitraum [sec] 60 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 2". 2. Lassen Sie das Optionskästchen "Default-Chiffre" aktiviert. Wenn aktiviert, wird beim Verbindungsaufbau eine vorgegebene Liste an den VPN- Verbindungspartner übermittelt. In der Liste sind Kombinationen aus den drei Algorithmen (Encryption, Authentication, Key Derivation) enthalten. Um eine VPN- Verbindung aufzubauen, muss der VPN-Verbindungspartner mindestens eine dieser Kombinationen unterstützen. Die Auswahl ist abhängig vom Schlüsselaustauschverfahren. 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung AES128 Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] Getting Started, 02/2018, C79000-G8900-C337-06

185 3.4 VPN-Tunnel zwischen zwei M Aktivieren Sie "Auto-Firewallregeln". Für die VPN-Verbindung wird automatisch die Firewall-Regel angelegt 6. Klicken Sie auf "Einstellungen übernehmen" VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" Getting Started, 02/2018, C79000-G8900-C

186 3.4 VPN-Tunnel zwischen zwei M VPN-Verbindung aufbauen Das M87x (VPN-Client) wird als Initiator der VPN-Tunnel projektiert und baut die VPN- Verbindung zum SCALANCE M87x (VPN-Server) auf. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen" Status der VPN-Verbindung anzeigen Die Geräte sind konfiguriert und mit dem Internet verbunden. Das M87x (VPN-Client) startet den Verbindungsaufbau zum M81x (VPN-Server). Um den Status der VPN-Verbindung anzuzeigen, gibt es folgende Möglichkeiten: Statusanzeige im WBM LED-Anzeige Statusanzeige im WBM Klicken Sie im Navigationsbereich auf "Information " > "IPsec VPN". Bei "Status" wird der Status der konfigurierten VPN-Verbindung angezeigt. LED-Anzeige Wenn die VPN-Verbindung aufgebaut ist, leuchtet am Gerät die LED grün. 186 Getting Started, 02/2018, C79000-G8900-C337-06

187 NETMAP mit SCALANCE M In diesen Beispielen werden zwei verschiedene IP-Subnetze über SCALANCE M-800 miteinander verbunden. Zwischen beiden SCALANCE M-Geräten ist ein VPN-Tunnel aufgebaut. Die VPN-Verbindung wird vom M876 aus initiiert. Über den aufgebauten VPN- Tunnel werden die Adressen mit NETMAP umgesetzt. Bei dieser Umsetzung wird der Subnetzanteil der IP-Adresse geändert und der Hostanteil bleibt bestehen. NETMAP kann sowohl die Quell-IP-Adresse als auch die Ziel-IP-Adresse umsetzen. Lokales Netz - Anschluss an SCALANCE M-800 Im lokalen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an eine Ethernet-Schnittstelle des SCALANCE M-800 angeschlossen ist. PC: repräsentiert einen Teilnehmer des lokalen Netzwerks M-800: SCALANCE M-Modul zum Schutz des internen Netzwerks Anbindung an das externe Netzwerk: Drahtlos über die Antenne des M87x an das Mobilfunknetz. Getting Started, 02/2018, C79000-G8900-C

188 NETMAP mit SCALANCE M-800 Entferntes Netz - Anschluss an M-800 Im entfernten Netz wird im Testaufbau der Netzknoten jeweils durch einen PC realisiert, der an eine Ethernet-Schnittstelle des SCALANCE M-800 angeschlossen ist. PC: repräsentiert einen Teilnehmer des entfernten Netzwerks M-800: SCALANCE M-Modul zum Schutz des externen Netzwerks Anbindung an das externe Netzwerk Kabelgebunden über die RJ45-Buchse des M816 an ADSL Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: Anbindung an das Mobilfunknetz 1x M876 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1x geeignete Antenne 1x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. Anbindung an ADSL 1x M816 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker ADSL-Zugang ist freigeschaltet 2x PCs, die mit den SCALANCE M-800 verbunden sind. Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Hinweis Sie können auch andere SCALANCE M-800 Geräte verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnten Komponenten. 188 Getting Started, 02/2018, C79000-G8900-C337-06

189 NETMAP mit SCALANCE M-800 Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Station IP-Subnetz 1 Zentrale IP-Subnetz 2 Name Schnittstelle IP-Adresse M876 LAN-Schnittstelle P1 (vlan1) WAN-Schnittstelle (ppp0) PC1 LAN-Schnittstelle M816 PC2 LAN-Schnittstelle P1 (vlan1) WAN-Schnittstelle (ppp0) Ethernet (LAN 2) Dynamische IP-Adresse vom Provider Das Gerät ist aber über einen dynamischen DNS- Dienst erreichbar, z. B. example.no-ip.com Feste IP-Adresse (WAN-IP-Adresse), z. B Beispiele Zu NETMAP gibt es folgende Beispiele 1. NETMAP für das lokale Netz (Seite 190) 2. NETMAP für das entfernte Netz (Seite 194) 3. NETMAP für das lokale und das entfernte Netz (Seite 199) Getting Started, 02/2018, C79000-G8900-C

190 NETMAP mit SCALANCE M NETMAP für das lokale Netz 4.1 NETMAP für das lokale Netz Beim NETMAP des lokalen Netzes wird die Quell-IP-Adresse 1 z. B umgesetzt. Bei dieser Umsetzung wird der Subnetzanteil der IP-Adresse geändert und der Hostanteil bleibt bestehen. In diesem Beispiel ist der Subnetzanteil Dieser Subnetzanteil wird durch ersetzt. Die Quell-IP-Adresse wird vom M876 2 umgesetzt und an das Ziel 3 weitergeleitet. Bei eingehenden Anfragen 3 wird die Ziel-IP-Adresse durch ersetzt. Die Ziel-IP-Adresse wird vom M876 2 umgesetzt und an das Ziel 1 weitergeleitet. Es sind nur die NETMAP-Regeln für die Anfragerichtung notwendig. Die NETMAP-Regeln für die Antworten werden implizit hinzugefügt. Wenn PC1 eine Anfrage an PC2 sendet, wird die Antwort darauf umgesetzt. Das gilt aber nicht für die Anfragen von PC2 an PC1. Dazu werden auf dem M876 (Initiator) die folgenden NETMAP-Regeln angelegt: Lokales Netz > Entferntes Netz: Das Quell-IP-Subnetz /24 wird durch /24 ersetzt. Entferntes Netz > Lokales Netz: Das Ziel-IP-Subnetz /24 wird durch /24 ersetzt Zusätzlich kommunizieren die beiden Geräte über einen VPN-Tunnel. 190 Getting Started, 02/2018, C79000-G8900-C337-06

191 NETMAP mit SCALANCE M NETMAP für das lokale Netz Voraussetzung Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden (Seite 45)". Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Projektierungsschritte Zum Erstellen der NETMAP-Regeln sind folgende Schritte sind erforderlich: 1. VPN-Verbindung anlegen (Seite 191) 2. NETMAP-Regeln erstellen (Seite 193) VPN-Verbindung anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie "IPsec VPN aktivieren" und klicken Sie auf "Einstellungen übernehmen". 3. Klicken Sie im Inhaltsbereich auf das Register "Remote-Endpunkt" und legen Sie die VPN-Gegenstelle mit folgenden Einstellungen an: Name Remote- Endpunkt Am M816 M876 Am M876 M816 Remote-Modus Standard Standard Remote-Typ Manuell Manuell Remote-Adresse Erreichbar über einen dynamischen DNS-Dienst z. B. example.no-ip.com Remote-Subnetz / /24 Feste IP-Adresse (WAN-IP-Adresse) des M816, z. B Klicken Sie im Inhaltsbereich auf das Register "Verbindungen" und legen Sie die VPN- Verbindung mit folgenden Einstellungen an. Am M816 Am M876 Verbindungsname M816_to_M876 M876_to_M816 Betrieb Deaktiviert Deaktiviert Keying-Protokoll IKv2 IKv2 Remote-Endpunkt M876 M816 Lokales Subnetz / /24 Getting Started, 02/2018, C79000-G8900-C

192 NETMAP mit SCALANCE M NETMAP für das lokale Netz 5. Klicken Sie im Inhaltsbereich auf das Register "Authentifizierung" und konfigurieren Sie die VPN-Authentifizierung mit folgende Einstellungen. Am M816 Authentifizierung PSK PSK Lokale-ID - - Remote-ID - - Am M876 PSK / PSK bestätigen z. B z. B Klicken Sie im Inhaltsbereich auf das Register "Phase 1" und konfigurieren Sie die folgenden Einstellungen. DPD Verschlüsselung Authentifizierung M816 / M876 aktiviert AES256 CBC (M87x) AES256 (M81x) SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 Aggressive -Mode nein 7. Klicken Sie im Inhaltsbereich auf das Register "Phase 2" und konfigurieren Sie die folgenden Einstellungen. M816 / M876 Verschlüsselung AES256 CBC (M87x) AES256 (M816) Authentifizierung SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 Ergebnis Die VPN-Verbindung auf den Geräten ist konfiguriert. Um die VPN-Verbindung aufzubauen, klicken Sie im Inhaltsbereich auf das Register "Verbindungen". Wählen Sie bei "Betrieb" Folgendes aus und klicken auf "Einstellungen übernehmen" Betrieb Am M816 Warten (Responder) Am M876 Starten (Initiator) Das M876 baut den VPN-Tunnel zum M816 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet an den Geräten die LED grün. 192 Getting Started, 02/2018, C79000-G8900-C337-06

193 NETMAP mit SCALANCE M NETMAP für das lokale Netz NETMAP-Regeln erstellen Voraussetzung Die VPN-Verbindung M876_to_M816 ist konfiguriert, siehe VPN-Verbindung anlegen (Seite 191). Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "NETMAP". 2. Legen Sie die NETMAP-Regel für die ausgehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Quelle vlan1 IPsec M876_to_M816 Quell-IP-Subnetz /24 Quell-IP-Subnetz Umsetzung /24 Ziel-IP-Subnetz /24 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 4. Legen Sie die NETMAP-Regel für die eingehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Ziel IPsec M876_to_M816 vlan1 Quell-IP-Subnetz /24 Ziel-IP-Subnetz /24 Ziel-IP-Subnetz Umsetzung /24 5. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 6. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

194 NETMAP mit SCALANCE M NETMAP für das entfernte Netz Ergebnis Die Regeln für die aus- und eingehenden Anfragen sind angelegt. 4.2 NETMAP für das entfernte Netz 194 Getting Started, 02/2018, C79000-G8900-C337-06

195 NETMAP mit SCALANCE M NETMAP für das entfernte Netz Beim NETMAP des entfernten Netzes wird die Ziel-IP-Adresse 1 z. B umgesetzt. In diesem Beispiel ist der Subnetzanteil und wird durch ersetzt. Dadurch ist das entfernte Netz zusätzlich zur auch über die zu erreichen. Die Ziel-IP-Adresse wird vom M876 2 umgesetzt und an das Ziel 3 weitergeleitet. Bei eingehenden Anfragen 3 wird die Quell-IP-Adresse durch ersetzt. Die Quell-IP-Adresse wird vom M876 2 umgesetzt und an das Ziel 1 weitergeleitet. Es sind nur die NETMAP-Regeln für die Anfragerichtung notwendig. Die NETMAP-Regeln für die Antworten werden implizit hinzugefügt. Wenn PC1 eine Anfrage an PC2 sendet, wird die Antwort darauf umgesetzt. Das gilt aber nicht für die Anfragen von PC2 an PC1. Dazu werden auf dem M876 (Initiator) die folgenden NETMAP-Regeln angelegt: Lokales Netz > Entferntes Netz: Das Ziel-IP-Subnetz /24 wird durch /24 ersetzt. Entferntes Netz > Lokales Netz: Das Quell-IP-Subnetz /24 wird durch /24 ersetzt Zusätzlich sollen die beiden Geräte über einen VPN-Tunnel miteinander kommunizieren. Voraussetzung Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden (Seite 11)". Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als "admin" angemeldet. Projektierungsschritte Folgende Schritte sind erforderlich 1. VPN-Verbindung anlegen (Seite 195) 2. NETMAP-Regeln erstellen (Seite 197) VPN-Verbindung anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie "IPsec VPN aktivieren" und klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

196 NETMAP mit SCALANCE M NETMAP für das entfernte Netz 3. Klicken Sie im Inhaltsbereich auf das Register "Remote-Endpunkt" und legen Sie die VPN-Gegenstelle mit folgenden Einstellungen an: Name Remote- Endpunkt Am M816 M876 Am M876 M816 Remote-Modus Standard Standard Remote-Typ Manuell Manuell Remote-Adresse Erreichbar über einen dynamischen DNS-Dienst z. B. example.no-ip.com Remote-Subnetz / /24 Feste IP-Adresse (WAN-IP-Adresse) des M816, z. B Klicken Sie im Inhaltsbereich auf das Register "Verbindungen" und legen Sie die VPN- Verbindung mit folgenden Einstellungen an. Am M816 Am M876 Verbindungsname M816_to_M876_2 M876_to_M816_2 Betrieb Deaktiviert Deaktiviert Keying-Protokoll IKv2 IKv2 Remote-Endpunkt M876 M816 Lokales Subnetz / /24 5. Klicken Sie im Inhaltsbereich auf das Register "Authentication" und konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen. Am M816 Am M876 Authentifizierung PSK PSK Lokale-ID - - Remote-ID - - PSK / PSK bestätigen z. B z. B Getting Started, 02/2018, C79000-G8900-C337-06

197 NETMAP mit SCALANCE M NETMAP für das entfernte Netz 6. Klicken Sie im Inhaltsbereich auf das Register "Phase 1" und konfigurieren Sie die folgende Einstellungen. DPD Verschlüsselung Authentifizierung M816 / M876 aktiviert AES256 CBC (M87x) AES256 (M81x) SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 Aggressive -Mode nein 7. Klicken Sie im Inhaltsbereich auf das Register "Phase 2" und konfigurieren Sie die folgenden Einstellungen. M816 / M876 Verschlüsselung AES256 CBC (M87x) AES256 (M81x) Authentifizierung SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 Ergebnis Die VPN-Verbindung auf den Geräten ist konfiguriert. Um die VPN-Verbindung aufzubauen, klicken Sie im Inhaltsbereich auf das Register "Verbindungen". Wählen Sie bei "Betrieb" Folgendes aus und klicken auf "Einstellungen übernehmen" Betrieb Am M816 Warten (Responder) Am M876 Starten (Initiator) Das M876 baut den VPN-Tunnel zum M816 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet an den Geräten die LED grün NETMAP-Regeln erstellen Voraussetzung Die VPN-Verbindung M876_to_M816_2 ist konfiguriert, siehe VPN-Verbindung anlegen (Seite 195). Getting Started, 02/2018, C79000-G8900-C

198 NETMAP mit SCALANCE M NETMAP für das entfernte Netz Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "NETMAP". 2. Legen Sie die NETMAP-Regel für die ausgehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Ziel vlan1 IPsec M876_to_M816_2 Quell-IP-Subnetz /24 Ziel-IP-Subnetz /24 Ziel-IP-Subnetz Umsetzung /24 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 4. Legen Sie die NETMAP-Regel für die eingehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Quelle IPsec M876_to_M816_2 vlan1 Quell-IP-Subnetz /24 Quell-IP-Subnetz Umsetzung /24 Ziel-IP-Subnetz /24 5. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 6. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Die Regeln für die aus- und eingehenden Anfragen sind angelegt. 198 Getting Started, 02/2018, C79000-G8900-C337-06

199 NETMAP mit SCALANCE M NETMAP für das lokale und das entfernte Netz 4.3 NETMAP für das lokale und das entfernte Netz In diesem Beispiel werden die NETMAP-Regeln aus NETMAP für das lokale Netz (Seite 190)und aus NETMAP für das entfernte Netz (Seite 194) kombiniert. Allerdings gibt es bei den ausgehenden Anfragen eine Besonderheit. Ausgehende Anfragen, deren Quell-IP- Adresse von zur umgesetzt wird, müssen als Ziel-IP-Adresse sowohl die als auch die haben können. Für das Umsetzen der Ziel-IP-Adresse ist eine weitere NETMAP-Regel notwendig. Die Adressen werden vom M876 2 umgesetzt und an das Ziel 3 weitergeleitet. Bei den eingehenden Anfrage werden beide IP-Adressen ausgetauscht. Lokales Netz > Entferntes Netz: Das Quell-IP-Subnetz /24 wird durch /24 ersetzt. Das Ziel-IP-Subnetz /24 wird durch /24 ersetzt. Bei Anfragen mit dem Ziel-IP-Subnetz /24 wird das Quell-IP-Subnetz /24 wird durch /24 ersetzt. Getting Started, 02/2018, C79000-G8900-C

200 NETMAP mit SCALANCE M NETMAP für das lokale und das entfernte Netz Entferntes Netz > Lokales Netz: Das Ziel-IP-Subnetz /24 wird durch /24 ersetzt Das Quell-IP-Subnetz /24 wird durch /24 ersetzt Zusätzlich sollen die beiden Geräte über einen VPN-Tunnel miteinander kommunizieren. Voraussetzung Das SCALANCE M-800 ist mit dem WAN verbunden, siehe "SCALANCE M-800 mit dem WAN verbinden (Seite 11)". Das SCALANCE M-800 ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Projektierungsschritte Folgende Schritte sind erforderlich 1. VPN-Verbindung anlegen (Seite 200) 2. NETMAP-Regeln erstellen (Seite 202) VPN-Verbindung anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie "IPsec VPN aktivieren" und klicken Sie auf "Einstellungen übernehmen". 3. Klicken Sie im Inhaltsbereich auf das Register "Remote-Endpunkt" und legen Sie die VPN-Gegenstelle mit folgenden Einstellungen an: Name Remote- Endpunkt Am M816 M876 Am M876 M816 Remote-Modus Standard Standard Remote-Typ Manuell Manuell Remote-Adresse Erreichbar über einen dynamischen DNS-Dienst z. B. example.no-ip.com Remote-Subnetz / /24 Feste IP-Adresse (WAN-IP-Adresse) des M816, z. B Getting Started, 02/2018, C79000-G8900-C337-06

201 NETMAP mit SCALANCE M NETMAP für das lokale und das entfernte Netz 4. Klicken Sie im Inhaltsbereich auf das Register "Verbindungen" und legen Sie die VPN- Verbindung mit folgenden Einstellungen an. Am M816 Am M876 Verbindungsname M816_to_M876 M876_to_M816 Betrieb Deaktiviert Deaktiviert Keying-Protokoll IKv2 IKv2 Remote-Endpunkt M876 M816 Lokales Subnetz / /24 5. Klicken Sie im Inhaltsbereich auf das Register "Authentifizierung" und konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen. Am M816 Authentifizierung PSK PSK Lokale-ID - - Remote-ID - - Am M876 PSK / PSK bestätigen z. B z. B Klicken Sie im Inhaltsbereich auf das Register "Phase 1" und konfigurieren Sie die folgenden Einstellungen. DPD Verschlüsselung Authentifizierung M816 / M876 aktiviert AES256 CBC (M87x) AES256 (M81x) SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 Aggressive -Mode nein 7. Klicken Sie im Inhaltsbereich auf das Register "Phase 2" und konfigurieren Sie die folgenden Einstellungen. M816 / M876 Verschlüsselung AES256 CBC (M87x) AES256 (M816) Authentifizierung SHA512 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 1440 Getting Started, 02/2018, C79000-G8900-C

202 NETMAP mit SCALANCE M NETMAP für das lokale und das entfernte Netz Ergebnis Die VPN-Verbindung auf den Geräten ist konfiguriert. Um die VPN-Verbindung aufzubauen, klicken Sie im Inhaltsbereich auf das Register "Verbindungen". Wählen Sie bei "Betrieb" Folgendes aus und klicken auf "Einstellungen übernehmen" Betrieb Am M816 Warten (Responder) Am M876 Starten (Initiator) Das M876 baut den VPN-Tunnel zum M816 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet an den Geräten die LED grün NETMAP-Regeln erstellen Voraussetzung Die VPN-Verbindung M876_to_M816_2 ist konfiguriert, siehe VPN-Verbindung anlegen (Seite 200). Die NETMAP-Regeln für das lokale Netz (Seite 197)sind angelegt. Die NETMAP-Regeln für das entfernte Netz (Seite 193) sind angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "NETMAP". 2. Legen Sie die NETMAP-Regel für die ausgehenden Anfragen mit folgenden Einstellungen fest: Typ Quell-Schnittstelle Ziel-Schnittstelle Source vlan1 IPSec M876_to_M816_2 Quell-IP-Subnetz /24 Quell-IP-Subnetz Umsetzung /16 Ziel-IP-Subnetz /24 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile den Einstellungen angelegt. 4. Klicken Sie auf "Einstellungen übernehmen". 202 Getting Started, 02/2018, C79000-G8900-C337-06

203 NETMAP mit SCALANCE M NETMAP für das lokale und das entfernte Netz Ergebnis Die Regeln für die aus- und eingehenden Anfragen sind angelegt. Getting Started, 02/2018, C79000-G8900-C

204 NETMAP mit SCALANCE M NETMAP für das lokale und das entfernte Netz 204 Getting Started, 02/2018, C79000-G8900-C337-06

205 Melden und Schalten per SMS Einleitung Ein SCALANCE M87x soll wichtige Informationen über den Anlagenstatus, Alarmmeldungen oder Warnhinweise als Ereignis-SMS an einen Servicemitarbeiter oder eine Zentrale schicken können. Umgekehrt sollen Befehl-SMS von dem Gerät empfangen und interpretiert werden können. Beispiele Zu SMS gibt es folgende Beispielkonfigurationen 1. Das SCALANCE M87x generiert eine Ereignis-SMS und sendet diese an bestimmte Empfänger. 2. Das SCALANCE M87x empfängt eine Befehl-SMS und wertet die Befehl-SMS aus. 5.2 Ereignis-SMS generieren und senden Einleitung Ein Servicetechniker möchte aus der Ferne die Verbindung an der Ethernet-Schnittstelle überwachen. Wenn die Ethernet-Schnittstelle von "Link up" nach "Link down" wechselt, soll er eine entsprechende Ereignis-SMS erhalten (Ereignis Link). Zudem möchte er den digitalen Eingang überwachen. Jedes Mal, wenn die Tür in der Station geöffnet wird (Ereignis Tür), wechselt am digitalen Eingang das Signal von 0 (LOW) nach 1 (HIGH) (Steigende Flanke). Getting Started, 02/2018, C79000-G8900-C

206 Melden und Schalten per SMS 5.2 Ereignis-SMS generieren und senden Voraussetzung Das SCALANCE M87x ist mit dem WAN verbunden, siehe "SCALANCE M87x mit dem WAN verbinden (Seite 11)". Die Zugangsparameter für das SCALANCE M87x sind konfiguriert, Das SCALANCE M87x ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Projektierungsschritte Folgende Schritte sind erforderlich: 1. Ereignis projektieren (Seite 206) 2. SMS-Versand konfigurieren (Seite 207) Ereignis projektieren Fehlerkontrolle Link Change aktivieren 1. Klicken Sie im Navigationsbereich auf "System" > "Fehlerkontrolle" und im Inhaltsbereich auf das Register "Link Change". 2. Wählen Sie bei P1 und P2 den Eintrag "Down" aus. 3. Klicken Sie auf "Einstellungen übernehmen". SMS beim Ereignis aktivieren 1. Klicken Sie im Navigationsbereich auf "System" > "Ereignisse" und im Inhaltsbereich auf das Register "Konfiguration". 2. Aktivieren Sie beim Ereignis "Link Change" und "Digitaler Eingang" "SMS" 3. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Ereignis Link: Wenn die Ethernet-Schnittstellen die Verbindung zum Teilnehmer verliert, führt dies zum Aufleuchten der Fehler-LED am Gerät und zum Senden einer Ereignis-SMS. Ereignis Tür: Bei jedem Schaltvorgang am digitalen Eingang wird eine Ereignis-SMS gesendet. Damit die SMS gesendet wird, müssen Sie noch den SMS-Versand projektieren. 206 Getting Started, 02/2018, C79000-G8900-C337-06

207 Melden und Schalten per SMS 5.2 Ereignis-SMS generieren und senden SMS-Versand projektieren SMS-Versand projektieren 1. Klicken Sie im Navigationsbereich auf "System" > "SMS". 2. Ändern Sie auf dem Register "Allgemein" nur dann die Rufnummer der SMS-Zentrale, wenn Sie nicht die Standard-SMS-Zentrale verwenden. Die Standard-SMS-Zentrale ist auf der SIM-Karte hinterlegt. 3. Klicken Sie auf das Register "Ereignis-SMS". 4. Aktivieren Sie die Funktion "Ereignis-SMS aktivieren". 5. Geben Sie bei "Rufnummer" die vollständige Telefonnummer des Empfängers ein, das heißt inklusive der Landesvorwahl, z. B. +49xxxxxxxx. 6. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile mit einer eindeutigen Nummer angelegt. Sie können auch mehrere Empfänger festlegen. Dazu wiederholen Sie die Schritte 5 und Aktivieren Sie beim gewünschten Empfänger die Einstellung "Senden". Nur wenn die Einstellung aktiviert ist, erhält der Empfänger eine Ereignis-SMS. 8. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Der Servicetechniker ist als Empfänger konfiguriert. Wenn die Ethernet-Schnittstelle von "Link up" nach "Link down" wechselt, generiert das Gerät eine Ereignis-SMS und sendet diese an die konfigurierten Empfänger. Getting Started, 02/2018, C79000-G8900-C

208 Melden und Schalten per SMS 5.3 Befehl-SMS empfangen und auswerten SMS-Nachricht für den Digitalen Eingang anpassen 1. Geben Sie den gewünschten SMS-Text ein. Als SMS-Text sind maximal 160 Zeichen erlaubt. Bei "Steigender Flanke" z. B. Tür auf. Bei "Fallender Flanke" z. B. Tür zu. Hinweis Erlaubte Zeichen für den SMS-Text In dem Text sind folgende Zeichen erlaubt: A...Z a...z Leerzeichen! % & / ( ) = * + < > ', Damit der Servicetechniker bei beiden Schaltvorgängen eine Ereignis-SMS erhält, wählen Sie bei "Sendeoption" "Beide" aus. 3. Klicken Sie auf "Einstellungen übernehmen". 5.3 Befehl-SMS empfangen und auswerten Einleitung Diese Beispielkonfiguration basiert auf dem Kapitel "VPN-Tunnel zwischen einem M87x und einem SINEMA RC-Server (Seite 143)". Der Aufbau des VPN-Tunnel soll über eine Befehl- SMS erfolgen. Die Beispielkonfiguration enthält folgende Beschreibungen. Der SINEMA RC Server sendet zum Wecken einer Station eine . Die wird über einen SMTP-Server an ein SMS-Gateway gesendet. Der SMS-Gateway wandelt die in eine Weck-SMS um und überträgt diese an das Gerät M87x. Wenn die SMS akzeptiert wird, baut das Gerät die Verbindung zum SINEMA RC Server auf. Der Servicetechniker sendet eine Weck-SMS an das M87x in der Station 2. Das Gerät startet die VPN-Verbindung und baut den VPN-Tunnel zu SINEMA RC-Server auf. Um zu prüfen, ob die VPN-Verbindung zum SINEMA RC Server noch besteht, prüft er mit einer Befehl-SMS den Status ab. 208 Getting Started, 02/2018, C79000-G8900-C337-06

209 Melden und Schalten per SMS 5.3 Befehl-SMS empfangen und auswerten Voraussetzung Beispielkonfiguration VPN-Tunnel zwischen einem M87x und einem SINEMA RC-Server (Seite 143) Projektierungsschritte Der SINEMA RC Server sendet eine Weck-SMS 1. Einstellungen auf dem SINEMA RC Server V1.2 konfigurieren SMS & konfigurieren (Seite 210) Geräteeinstellungen ändern (Seite 211) 2. Empfang der Befehl-SMS auf dem M87x konfigurieren (Seite 212) Servicetechniker sendet eine Befehl-SMS 1. VPN-Verbindung mit Befehl-SMS starten (Seite 212) 2. Status der VPN-Verbindung mit Befehl-SMS abfragen (Seite 213) Getting Started, 02/2018, C79000-G8900-C

210 Melden und Schalten per SMS 5.3 Befehl-SMS empfangen und auswerten SINEMA RC Server sendet eine Weck-SMS Einstellungen auf dem SINEMA RC Server konfigurieren SMS & konfigurieren Voraussetzung Der SINEMA RC Server V1.2 ist mit dem WAN verbunden Der SINEMA RC Server V1.2 ist über den PC3 erreichbar und Sie sind am WBM als Benutzer mit der Rolle "admin" angemeldet. Vorgehen 1. Klicken Sie im Navigationsbereich auf "System > SMS & " und im Inhaltsbereich auf "SMS-Gateway-Betreiber". 2. Eine Liste, mit bereits vorhandenen SMS-Gateway-Betreibern, wird angezeigt. Standardmäßig sind bereits die Daten von vier Netzwerkbetreibern eingestellt. In dieser Beispielkonfiguration ist der entsprechende SMS-Gateway-Betreiber in der Liste enthalten. 3. Klicken Sie beim SMS-Gateway-Betreiber in den "Aktionen" auf "SMS-Gateway-Betreiber bearbeiten". 4. Konfigurieren Sie folgende Einstellungen: Sendernummer Adresse Identifikation, die in der übertragen wird. -Adresse des Empfängers der SMS Die -Adresse setzt sich in der Regel zusammen aus der Rufnummer der SIM-Karte und dem SMS-Gateway-Namen. Erkundigen Sie sich bei Ihrem Netzwerkbetreiber, ob dazu der Versand eine Aktivierungs-SMS erforderlich ist. Weiterführende Informationen dazu finden Sie in der Betriebsanleitung des SINEMA RC Servers. 1. Klicken Sie auf "Speichern". 2. Klicken Sie im Inhaltsbereich auf "Einstellungen". 210 Getting Started, 02/2018, C79000-G8900-C337-06

211 Melden und Schalten per SMS 5.3 Befehl-SMS empfangen und auswerten 3. Konfigurieren Sie folgende Einstellungen: Liefermethode Absender SMTP-Relay-Server SMTP-Relay-Port Transport Layer Security (TLS) Server erfordert Authentifizierung SMTP-Relay-Server -Adresse des Benutzerkontos des SMTP-Relay-Servers Geben Sie den Namen oder die IP-Adresse des SMTP-Relay- Servers an, der die empfangenen s weiterleitet. Geben Sie den Port an, auf welchem der SMTP-Relay-Server Verbindungen entgegennimmt. Standardmäßig ist Port 587 eingestellt, um ausschließlich von authentifizierten Benutzern Mails entgegenzunehmen. Opportunistisch Einige SMTP-Relay-Server erfordern eine Anmeldung. Geben Sie den Benutzernamen und das Passwort ein. Einige Anbieter verwenden als Benutzernamen die -Adresse. Weitere Informationen dazu erhalten Sie von ihrem Anbieter. 4. Klicken Sie auf "Speichern". Ergebnis Die Einstellungen für SMS und -Versand sind konfiguriert. Zum Testen können Sie eine versenden. Klicken Sie im Inhaltsbereich auf "Test ". Geben Sie dazu Empfänger, Betreff und einen Text ein. Klicken Sie anschließend auf die Schaltfläche "Senden". Geräteeinstellungen ändern Vorgehen 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Im Inhaltsbereich werden die bereits angelegten Geräte aufgelistet. 2. Klicken Sie beim Eintrag "M874_2" in den Aktionen auf "Geräteeinstellungen ändern". 3. Ändern Sie die folgenden Geräteeinstellungen: Verbindungsart SMS-Gateway-Betreiber GSM-Nummer Weck-SMS Wählen Sie den SMS-Gateway-Betreiber aus. Rufnummer des Endgeräts ein, an das eine Weck-SMS gesendet wird 4. Klicken Sie auf "Speichern". 5. Klicken Sie auf "Dialog verlassen". Getting Started, 02/2018, C79000-G8900-C

212 Melden und Schalten per SMS 5.3 Befehl-SMS empfangen und auswerten Empfang der Befehl-SMS auf dem M87x konfigurieren Voraussetzung Das SCALANCE M87x ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "SMS" und im Inhaltsbereich auf das Register "Befehl-SMS". 2. Aktivieren Sie "Befehl-SMS aktivieren". 3. Geben Sie bei "Rufnummer / Absenderkennung" die "Sendernummer" ein, die Sie bei "SMS & konfigurieren" festgelegt haben. Die Sendenummer ist zur Identifikation. Nur wenn die Sendernummer enthalten ist, nimmt das Gerät die Befehl-SMS entgegen. 4. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile mit einer eindeutigen Nummer angelegt. 5. Aktivieren Sie "Relay" und "System". 6. Klicken Sie auf "Einstellungen übernehmen" Servicetechniker sendet eine Befehl-SMS VPN-Verbindung mit Befehl-SMS starten Voraussetzung Das SCALANCE M87x ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "SMS" und im Inhaltsbereich auf das Register "Befehl-SMS". 2. Aktivieren Sie "Befehl-SMS aktivieren". 3. Geben Sie bei "Rufnummer / Absenderkennung" die "Rufnummer" des Servicetechnikers ein. Die Rufnummer ist notwendig, damit das Gerät die Befehl-SMS vom Mobilfunktelefon des Servicetechnikers akzeptiert. 4. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile mit einer eindeutigen Nummer angelegt. 5. Aktivieren Sie "Relay" und "System". 212 Getting Started, 02/2018, C79000-G8900-C337-06

213 Melden und Schalten per SMS 5.3 Befehl-SMS empfangen und auswerten 6. Klicken Sie auf "Einstellungen übernehmen" 7. Der Servicetechniker sendet eine Befehl-SMS, um die Verbindung zum SINEMA RC- Server zu starten. SYS SRC UP <Adresse des SINEMA RC Servers> z. B. SYS SRC UP Ergebnis Das Gerät baut die Verbindung zum SINEMA RC-Server auf Status der VPN-Verbindung mit Befehl-SMS abfragen Voraussetzung Das SCALANCE M87x ist über den Admin-PC erreichbar und Sie sind am WBM als Benutzer der Rolle "admin" angemeldet. Das Versenden vom Gerät an den Servicetechniker ist konfiguriert, siehe SMS-Versand projektieren (Seite 207). Das Gerät akzeptiert die Befehl-SMS vom Mobilfunktelefon des Servicetechnikers, siehe Empfang der Befehl-SMS auf dem M87x konfigurieren (Seite 212). Vorgehensweise 1. Der Servicetechniker sendet eine Befehl-SMS. um den Status der VPN- Verbindung zum SINEMA RC-Server abzufragen. SYS SRC STATUS <Adresse des SINEMA RC Servers> z. B. SYS SRC STATUS Ergebnis Der Servicetechniker bekommt vom Gerät eine entsprechende Antwort-SMS an die Rufnummern, die unter."ereignis-sms" angegeben sind. Getting Started, 02/2018, C79000-G8900-C

214 Melden und Schalten per SMS 5.3 Befehl-SMS empfangen und auswerten 214 Getting Started, 02/2018, C79000-G8900-C337-06

215 VRRPv3 projektieren Einleitung In diesem Kapitel wird anhand einer Beispielkonfiguration die Funktion von VRRPv3 gezeigt. Mit dem Virtual Router Redundancy Protocol v3 (VRRPv3) kann dem Ausfall eines Routers in einem Netzwerk begegnet werden. Für den Aufbau der Routerredundanz werden mehrere Geräte zu einer logischen Gruppe zusammengefasst, die zusammen den virtuellen Router bilden. Um die Geräte eindeutig einer logischen Gruppe zuordnen zu können, wird in jedem Gerät eine VRID konfiguriert. Die Geräte einer logischen Gruppe müssen die gleiche VRID haben. Dabei wird ein Gerät zum Master-Router erklärt und die anderen werden Backup-Router. Diesem Master-Router werden eine virtuelle IP-Adresse und eine MAC-Adresse zugeordnet. Der gesamte Datenverkehr wird über den Master-Router abgewickelt. Wenn der Master-Router ausfällt, werden die virtuelle IP-Adresse und die MAC-Adresse an den Backup-Router übertragen, der die Rolle des Master-Routers übernimmt. Innerhalb von drei Sekunden wird damit die Kommunikation wieder hergestellt. In dieser Beispielkonfiguration soll die Station 1 redundant an das Internet angekoppelt werden, um auch bei Ausfall eines Routers die Datenkommunikation in und aus diesen Netzwerken zu gewährleisten. Aufbau Für den Aufbau der Routerredundanz werden ein SCALANCE M816 und ein SCALANCE M874-2 zu einer logischen Gruppe (VRID) zusammengefasst. Dabei wird das SCALANCE M816 zum Master-Router und das SCALANCE M874-2 zum Backup-Router. Nach außen erscheint die logische Gruppe als ein einziger virtueller Router. Die Station 1 (vlan1) ist über die Schnittstelle P1 und das Internet ist über die WAN- Schnittstelle (ppp0) der Geräte angebunden. Im Normalbetrieb wird der gesamte Datenverkehr wird über die WAN-Schnittstelle des Master-Routers abgewickelt. Wenn am Master-Router eine dieser Schnittstellen ausfällt, ist der Datenverkehr über den Master-Router nicht mehr möglich. Die Verbindung über die Schnittstellen P1 und ppp0 wird deshalb überwacht. Wenn sich am Master-Router der Status einer überwachten Schnittstelle von "up" nach "down" ändert, wird die Priorität des Master-Routers verringert. An den Backup-Router werden die virtuelle IP-Adresse und MAC-Adresse übertragen, der die Aufgaben des Master-Routers übernimmt. Ist die Verbindung über das SCALANCE M816 wieder möglich, wird die ursprüngliche Priorität des VRRP-Routers wieder hergestellt. Das SCALANCE M816 übernimmt wieder seine Rolle als Master-Router. Auf den Geräten ist standardmäßig die Firewall aktiviert. Damit die eingehenden VRRP- Pakete an das Gerät weitergeleitet werden, ist eine Firewall-Regel zu projektieren. Getting Started, 02/2018, C79000-G8900-C

216 VRRPv3 projektieren 6.1 Einleitung Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: VLAN / VRID Router-Status Gerätename Schnittstelle IP-Adresse vlan1 / 1 Master M816 P Backup M874 P Virtuelle IP-Adresse (Zugeordnete IP-Adresse) (VRID 1) Mit dem PC konfigurieren Sie die Geräte über das Web Based Management. Dafür müssen Sie dem PC- Netzwerkadapter die IP-Adresse zuordnen. In den erweiterten TCP/IP- Einstellungen der Netzwerkkarten-Konfiguration haben Sie die Möglichkeit, weitere IP- Adressen hinzuzufügen. PC IP-Adresse Gateway PC VRID1:Virtuelle IP-Adresse : Getting Started, 02/2018, C79000-G8900-C337-06

217 VRRPv3 projektieren 6.2 VRRPv3 konfigurieren Hinweis Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Voraussetzung Das SCALANCE M87x/SCALANCE M81x ist mit dem WAN verbunden, siehe "SCALANCE M mit dem WAN verbinden (Seite 11)". Das SCALANCE M87x/SCALANCE M81x ist über den Admin-PC erreichbar und Sie sind am WBM als "admin" angemeldet. Projektierungsschritte Zum Projektieren von VRRPV3 sind folgende Schritte auf beiden Geräten erforderlich 1. VRRPv3 konfigurieren 2. Firewall-Regel anlegen 3. VRRPv3 überprüfen 6.2 VRRPv3 konfigurieren VRRPv3-Router anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Router". 2. Aktivieren Sie die Einstellung "VRRPv3". Bestätigen Sie die Meldung mit OK. Im Kapitel "Firewallregel für VRRP anlegen (Seite 221)" wird das Vorgehen beschrieben. 3. Aktivieren Sie die Einstellung "VRID-Tracking". 4. Klicken Sie auf "Einstellungen übernehmen". 5. Wählen Sie bei "Schnittstelle" den Eintrag "vlan1" aus. 6. Tragen Sie bei "VRID" die 1 ein und klicken Sie auf "Erstellen". Getting Started, 02/2018, C79000-G8900-C

218 VRRPv3 projektieren 6.2 VRRPv3 konfigurieren Ergebnis Auf den Geräten ist eine logische Gruppe angelegt VRRPv3-Router konfigurieren In diesem Abschnitt werden die VRRPv3-Router konfiguriert. Dabei wird das M816 als Master-Router und das M874 als Backup-Router projektiert. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Konfiguration". 2. Wählen Sie bei "Schnittstelle / VRID" den Eintrag "vlan1 / 1" aus. 3. Konfigurieren Sie den virtuellen Router VRID 1 mit folgenden Einstellungen: M816 M874 Schnittstelle / VRID vlan1 / 1 vlan1 / 1 Primäre Adresse Da auf diesem VLAN nur ein Subnetz konfiguriert, ist keine Angabe erforderlich. Der Eintrag ist dann Priorität Priorität verringern Klicken Sie auf "Einstellungen übernehmen". Ergebnis Die virtuellen Router sind angelegt. Die Projektierung ist auf beiden Geräten gleich. Übersicht der Konfiguration am M816: 218 Getting Started, 02/2018, C79000-G8900-C337-06

219 VRRPv3 projektieren 6.2 VRRPv3 konfigurieren Übersicht der Konfiguration am M874: Virtuelle IP-Adresse festlegen Damit die angeschlossenen Geräte den Wechsel nicht mitbekommen, wird eine virtuelle IP- Adresse vergeben. Diese virtuelle IP-Adresse wird bei den Geräten als Gateway-Adresse eingetragen. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Adresskonfiguration". 2. Wählen Sie bei "Schnittstelle / VRID" den Eintrag "vlan1 / 1" aus. 3. Geben Sie bei "Zugeordnete IP-Adresse" die IP-Adresse " ". 4. Klicken Sie auf "Erstellen". 5. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 02/2018, C79000-G8900-C

220 VRRPv3 projektieren 6.2 VRRPv3 konfigurieren Ergebnis Die entsprechende virtuelle IP-Adresse ist festgelegt Schnittstellenüberwachung konfigurieren Die Schnittstellen P1 und ppp0 sollen überwacht werden. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Schnittstellenüberwachung". 2. Wählen Sie bei "Schnittstelle" die Schnittstelle "P1" aus. 3. Geben Sie bei "Track-ID" die ID 1 ein. 4. Klicken Sie auf die Schaltfläche "Erstellen". 5. Wiederholen Sie für die Schnittstelle "ppp0" die Schritte 2 bis Wählen Sie bei "Track-ID" die "1" aus. 7. Geben Sie bei "Track-Schnittstellenzähler" die "1" ein und klicken Sie auf "Einstellungen übernehmen". Ergebnis Die Schnittstellen werden überwacht. Der "Track-Schnittstellenzähler" 1 bedeutet, dass wenn an einer Schnittstelle der Verbindung-Status von "up" nach "down" wechselt, wird die Priorität des zugeordneten VRRP-Routers verringert. Um welchen Wert die Priorität verringert wird, konfigurieren Sie auf der Seite "Layer 3 > VRRPv3 > Konfiguration". Wenn sich der Verbindung-Status wieder von "down" nach "up" ändert, wird die ursprüngliche Priorität wiederhergestellt 220 Getting Started, 02/2018, C79000-G8900-C337-06

221 VRRPv3 projektieren 6.3 Firewall-Regel für VRRPv3 anlegen 6.3 Firewall-Regel für VRRPv3 anlegen Damit die eingehenden VRRP-Pakete an das Gerät weitergeleitet werden, ist folgende Firewallregel zu konfigurieren. Vorgehensweise IP-Protokoll anlegen 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Firewall" und im Inhaltsbereich auf das Register "IP-Protokoll". 2. Geben Sie bei "Protokollname" "VRRP" ein. 3. Klicken Sie auf "Einstellungen übernehmen". In der Tabelle wird ein neuer Eintrag erzeugt. 4. Geben Sie bei "Protokollnummer" "112" ein. 5. Klicken Sie auf "Einstellungen übernehmen". IP-Regeln anlegen 1. Klicken Sie im Navigationsbereich auf "Security > Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. Getting Started, 02/2018, C79000-G8900-C

222 VRRPv3 projektieren 6.4 VRRPv3 überprüfen 3. Konfigurieren Sie die Firewall-Regel für VRID1 mit folgenden Einstellungen: Aktion Accept Von vlan1 /1 Nach Gerät Quelle (Bereich) /0 (alle Adressen) Ziel (Bereich) /32 Dienst VRRP 4. Klicken Sie auf "Einstellungen übernehmen". 5. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 6. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Die IP-Regeln sind angelegt. 6.4 VRRPv3 überprüfen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "VRRPv3" und im Inhaltsbereich auf das Register "Router". 222 Getting Started, 02/2018, C79000-G8900-C337-06

223 VRRPv3 projektieren 6.4 VRRPv3 überprüfen Ergebnis Übersicht der Konfiguration am M816: Übersicht der Konfiguration am M874: Bei Master-Adresse wird IP-Adresse des M816 angezeigt. Getting Started, 02/2018, C79000-G8900-C