SCALANCE M875 SIMATIC NET. Industrial Remote Communication Remote Networks SCALANCE M875. Vorwort. Gerätebeschreibung. Konfigurationsbeispiele 2

Transkript

1 Vorwort Gerätebeschreibung 1 SIMATIC NET Industrial Remote Communication Remote Networks Betriebsanleitung Konfigurationsbeispiele 2 Montage, Anschluss, Inbetriebnahme 3 Projektierung 4 Wartung und Diagnose 5 Technische Daten 6 Zulassungen 7 A Zusätzliche interne Routen B Training, Service & Support 12/2012 C79000-G8900-C258-02

2 Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Industry Sector Postfach NÜRNBERG DEUTSCHLAND Dokumentbestellnummer: C79000-G8900-C258 P 12/2012 Änderungen vorbehalten Copyright Siemens AG Alle Rechte vorbehalten

3 Vorwort Zweck dieser Dokumentation Dieses Handbuch begleitet Sie bei Projektierung, Montage, Inbetriebnahme und Betrieb des 3G-/UMTS-Routers. Gerätebezeichnung Nachfolgend wird auch mit seiner Kurzform "M875" bezeichnet. Gültigkeitsbereich der Dokumentation Das vorliegende Handbuch ist gültig für das Produkt: Firmware-Version Hardware-Erzeugnisstand 1.0 Bestellnummer: 6GK AA10-1AA2 6GK AA10-1CA2 (Variante für Japan) Neu in dieser Ausgabe Optimierung einiger Funktionen mit der oben genannten Firmware-Version Redaktionelle Überarbeitung Abgelöste Dokumentation Das vorliegende Handbuch ersetzt die Handbuch-Ausgabe 01/2012. Aktuelle Handbuchausgabe im Internet Die aktuelle Ausgabe dieses Handbuchs finden Sie auch auf den Internet-Seiten des Siemens Automation Customer Support unter der folgenden Beitrags-ID: ( Betriebsanleitung, 12/2012, C79000-G8900-C

4 Vorwort Verwendungszweck des Geräts ist ein 3G-/UMTS-Router mit HSPA und VPN-Funktion für industrielle Anwendungen. WARNUNG Beeinträchtigung von medizinischen Geräten und Datenträgern Das Gerät enthält einen Funksender, der gegebenenfalls medizinische elektronische Geräte wie Hörgeräte oder Herzschrittmacher in ihrer Funktion beeinträchtigen kann. Verwenden Sie das Gerät nicht in Bereichen, in denen der Betrieb von Funkeinrichtungen untersagt ist. Ihr Arzt oder der Hersteller solcher Geräte können Sie beraten. Damit keine Datenträger entmagnetisiert werden, lagern Sie keine Disketten, Kreditkarten oder andere magnetische Datenträger in der Nähe des Gerätes. Verbindungskosten Hinweis Beachten Sie, dass sowohl beim Aufbau einer Verbindung als auch bei dem Versuch, eine Verbindung aufzubauen, sowie zum Erhalt einer Verbindung kostenpflichtige Telegramme ausgetauscht werden. Firmware mit Open Source GPL/LGPL Die Firmware von M875 enthält Open-Source-Software unter GPL-/ LGPL-Bedingungen. Gemäß des Abschnitts 3b von GPL und des Abschnitts 6b von LGPL bieten wir Ihnen den Sourcecode an. Schreiben Sie an: Geben Sie als Betrefftext Ihrer "Open Source M875" an, um Ihre Nachricht leicht herauszufiltern. Firmware mit OpenBSD Die Firmware von M875 enthält Teile aus der OpenBSD-Software. Die Verwendung von OpenBSD-Software verpflichtet zum Abdruck des folgenden Copyright-Vermerks: * Copyright (c) 1982, 1986, 1990, 1991, 1993 * The Regents of the University of California. All rights reserved. * * Redistribution and use in source and binary forms, with or without * modification, are permitted provided that the following conditions * are met: 4 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

5 Vorwort * 1. Redistributions of source code must retain the above copyright * notice, this list of conditions and the following disclaimer. * 2. Redistributions in binary form must reproduce the above * copyright notice, this list of conditions and the following * disclaimer in the * documentation and/or other materials * provided with the distribution. * 3. All advertising materials mentioning features or use of this * software must display the following acknowledgement: * This product includes software developed by the University of * California, Berkeley and its contributors. * 4. Neither the name of the University nor the names of its * contributors may be used to endorse or promote products derived * from this software without specific prior written permission. * * THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS "AS IS" * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, * THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A * PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE * REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, * INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES * (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, * WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE * USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY * OF SUCH DAMAGE. Security-Hinweise Hinweis Siemens bietet für sein Automatisierungs- und Antriebsproduktportfolio Security- Mechanismen, um einen sicheren Betrieb der Anlage/Maschine zu unterstützen. Unsere Produkte werden auch unter dem Gesichtspunkt Industrial Security ständig weiterentwickelt. Wir empfehlen Ihnen daher, dass Sie sich regelmäßig über Aktualisierungen und Updates unserer Produkte informieren und nur die jeweils aktuellen Versionen bei sich einsetzen. Informationen dazu finden Sie unter: ( Hier können Sie sich für einen produktspezifischen Newsletter registrieren. Für den sicheren Betrieb einer Anlage/Maschine ist es darüber hinaus notwendig, die Automatisierungskomponenten in ein ganzheitliches Industrial Security-Konzept der gesamten Anlage/Maschine zu integrieren, das dem aktuellen Stand der Technik entspricht. Hinweise hierzu finden Sie unter: ( Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Betriebsanleitung, 12/2012, C79000-G8900-C

6 Vorwort Auffinden der Siemens-Literatur Die Bestellnummern für die hier relevanten Siemens-Produkte finden Sie in den folgenden Katalogen: SIMATIC NET Industrielle Kommunikation / Industrielle Identifikation, Katalog IK PI SIMATIC Produkte für Totally Integrated Automation und Micro Automation, Katalog ST 70 Die Kataloge sowie zusätzliche Informationen können Sie bei Ihrer Siemens-Vertretung anfordern. Die SIMATIC NET-Handbücher finden Sie auf den Internet-Seiten des Siemens Automation Customer Support: Link zum Customer Support ( Geben Sie dort die Beitrags-ID des jeweiligen Handbuchs als Suchbegriff ein. Die ID ist unter einigen Literaturstellen in Klammern angegeben. Alternativ finden Sie die SIMATIC NET-Dokumentation unter den Seiten des Produkt- Support: ( Navigieren Sie zur gewünschten Produktgruppe und nehmen Sie folgende Einstellungen vor: Beitragsliste Beitragstyp "Handbücher / Betriebsanleitungen" Die Dokumente der hier relevanten SIMATIC NET-Produkte finden Sie auch auf dem Datenträger, der dem Produkt beiliegt: Produkt-CD / Produkt-DVD oder SIMATIC NET Manual Collection 6 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

7 Inhaltsverzeichnis Vorwort Gerätebeschreibung Anbindung über Mobilfunk und Internet Funktionen Geräteansicht Schnittstellen LEDs für die Betriebsanzeige Service-Taster SET Voraussetzungen für den Betrieb Konfigurationsbeispiele Internetzugang über das Mobilfunknetz TELECONTROL über das Mobilfunknetz Direkte Kommunikation von Stationen über Mobilfunk Fernwartungslösungen Mobiler Zugang zu Anlagen und Anlagenteilen Anlagenzugang über eine Fernwartungszentrale Montage, Anschluss, Inbetriebnahme Sicherheitshinweise Anschließen Schritte zur Inbetriebnahme SIM-Karte einlegen Montieren Projektierung Einstellungen beim Admin-PC TCP/IP-Konfiguration unter Windows XP Erlaubte Zeichen Konfigurationsverbindung herstellen Grundsätzliches zur Konfiguration Spracheinstellung Startseite der Weboberfläche - Überblick System Systemzeit Logbuch Geräteidentifikation...50 Betriebsanleitung, 12/2012, C79000-G8900-C

8 Inhaltsverzeichnis 4.4 Netzwerk Intern Lokale Schnittstelle Lokale IP-Adressen DHCP-Server am lokalen Netz Lokaler Host-Name DNS-Server am lokalen Netz Zusätzliche interne Routen Netzwerk Extern Externe Schnittstelle UMTS/EDGE - Zugangsparameter Installationsmodus - Antennen ausrichten Volumenüberwachung Prüfen der Verbindung - Verbindungsüberwachung Host-Name durch DynDNS SRS - Siemens Remote Service NAT - Network Address Translation Sicherheit Firewall-Regeln Port-Weiterleitung Erweiterte Sicherheitsfunktionen Firewall-Logbuch IPsec-VPN - Virtual Private Network Erläuterungen zu VPN-Verbindungen Verbindungen - Roadwarrior-Modus Verbindungen anlegen Verbindungen bearbeiten IKE-Einstellungen Verbindungen - Standard-Modus Verbindungen anlegen Verbindungen bearbeiten IKE-Einstellungen Firewall-Regeln für VPN-Tunnel Zertifikate und Schlüssel verwalten Überwachung der VPN-Verbindungen Erweiterte Einstellungen Status Fernzugänge Passwort ändern HTTPS CSD SMS Service Center (SMSC) Alarm-SMS SMS over IP - SMS-Versand aus dem lokalen Netz SNMP Einstellungen SNMP Traps Betriebsanleitung, 12/2012, C79000-G8900-C258-02

9 Inhaltsverzeichnis 5 Wartung und Diagnose Aufruf der Wartungs-Webseiten Update - Aktualisieren der Firmware Konfigurationsprofile Neustart Remote Logging Firmware-Informationen Hardware-Informationen Snapshot Werkseinstellungen Technische Daten Zulassungen A Zusätzliche interne Routen B Training, Service & Support Glossar Index Betriebsanleitung, 12/2012, C79000-G8900-C

10 Inhaltsverzeichnis 10 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

11 Gerätebeschreibung Anbindung über Mobilfunk und Internet Bild 1-1 Beispiel zur Anbindung einer Station an die Zentrale über Internet und Mobilfunk Drahtlose Verbindung über das Mobilfunknetz Mit dem M875 können Sie einen drahtlosen Zugang zum Internet oder zu einem privaten Netzwerk herstellen. Dies ist an jedem Ort möglich, an dem ein Mobilfunknetz zur Verfügung steht, das paketorientierte Datendienste bereitstellt. Unter UMTS sind das die Datendienste HSPA Data Service oder UMTS Data Service. Unter GSM sind das die Datendienste EGPRS oder GPRS. Sie benötigen für die drahtlose Verbindung eine SIM-Karte eines Mobilfunkbetreibers mit den entsprechend freigeschalteten Datendiensten. So verbindet das M875 lokal angeschlossene Applikationen oder ganze Netzwerke mit dem Internet. Auch direkte Verbindungen über ein Intranet, an dem externe Gegenstellen angeschlossen sind, sind mit dem M875 möglich. Privater und öffentlicher VPN Das M875 kann über das öffentliche Mobilfunknetz ein Virtual Private Network (VPN) zwischen einem oder auch mehreren lokalen Netzen und einem oder auch mehreren entfernten Netzen aufbauen. Diese Verbindungen sind durch Internet Protocol Security (IPsec) gegen Zugriffe Dritter geschützt. Betriebsanleitung, 12/2012, C79000-G8900-C

12 Gerätebeschreibung 1.2 Funktionen Dabei ist die Kommunikation sowohl über einen öffentlichen als auch über einen privaten VPN-Tunnel möglich. Detailliert beschriebene Beispiele zu den Einsatzmöglichkeiten des M875 finden Sie im nachfolgenden Kapitel Konfigurationsbeispiele (Seite 19). Das Gerät erfüllt somit verschiedene Funktionen: Router zum Verbinden von Netzwerken über Mobilfunk Funkmodem für die flexible Datenkommunikation per UMTS, HSPA, EGPRS oder GPRS VPN-Router für sichere Datenübertragung in öffentlichen Netzen mit IPsec, 3DES- Datenverschlüsselung und AES-Verschlüsselung. Firewall zum Schutz vor unberechtigtem Zugriff. Der dynamische Paketfilter untersucht Telegramme anhand der Ursprungs- und Zieladresse (Stateful Inspection Firewall) und blockiert unerwünschten Datenverkehr (Anti-Spoofing). 1.2 Funktionen Projektierung Die Projektierung des Geräts erfolgt über eine Weboberfläche, die sich einfach mit einem Webbrowser anzeigen lässt. Sie können über folgende Wege auf die Weboberfläche zugreifen: Über die lokale Schnittstelle X2 Über die Mobilfunkverbindungen HSPA, UMTS, EGPRS und GPRS Voraussetzung hierfür sind der Zugang über DynDNS und eine öffentlich zugängliche IP- Adresse. Bild 1-2 Konfigurationsverbindungen 12 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

13 Gerätebeschreibung 1.2 Funktionen VPN-Funktionen Für den Aufbau eines VPN stehen folgende Funktionen zur Verfügung: Privater und öffentlicher VPN IPsec als VPN-Tunnelprotokoll IPsec-3DES-Verschüsselung mit 168 Bit IPsec-AES-Verschlüsselung mit 128, 192 und 256 Bit Paketauthentifizierung MD5 und SHA-1 Internet Key Exchange (IKE) mit Main Mode und Aggressive Mode Authentifizierung per Pre-shared Key (PSK), X.509v3-Zertifikate und CA Dead Peer Detection (DPD) Zusätzlich unterstützt das M875 den SOFTNET Security Client (SSC) ab Version 3.0 unter Windows XP und Windows 7. Firewall-Funktionen Das M875 bietet folgende Firewall-Funktionen, um das lokale Netz und sich selbst gegen Angriffe von außen zu schützen: Stateful Inspection Firewall Anti-Spoofing Port-Weiterleitung Weitere Funktionen Das M875 unterstützt folgende weitere Funktionen: DNS-Caching DHCP-Server NAT, NAT-T, 1:1-NAT NTP Remote Logging Schalteingang zum Auslösen von Alarm-SMS Schaltausgang zur Signalisierung bestehender VPN-Verbindungen Weboberfläche zur Konfiguration Versand von frei projektierbaren Alarm-SMS SMS-Versand aus dem lokalen Netz DynDNS-Client Fernzugang per HTTPS SNMP und SNMP-Traps Volumenüberwachung Betriebsanleitung, 12/2012, C79000-G8900-C

14 Gerätebeschreibung 1.3 Geräteansicht Installationsmodus zum Ausrichten der Antennen Angaben zur Geräteidentifikation 1.3 Geräteansicht Leuchtdioden DC5V, VPN, IN, OUT 2-Port-Switch mit den Ports "X2P1" und "X2P2" zum Anschluss ans lokale Netz, RJ45-Buchsen mit je 2 LEDs Anschlussklemmen für Schalteingang und Schaltausgang (Geräteunterseite) X1, USB-Anschluss (zurzeit ohne Funktion) Antennenbuchse "A2", Typ SMA (nur für die ergänzende Antenne) Leuchtdioden S, Q, C Antennenbuchse "A1", Typ SMA (für die erste angeschlossene Antenne) Service-Taster SET Anschlussklemmen für die Versorgungsspannung (Geräteoberseite) 14 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

15 Gerätebeschreibung 1.4 Schnittstellen 1.4 Schnittstellen Anschluss an das lokale Netz Für den LAN-Anschluss an das lokale Netz besitzt das M875 besitzt einen Switch mit den zwei Ports "X2P1" und "X2P2". Die beiden Ports können mit unterschiedlichen IP-Adressen projektiert werden. Schließen Sie Ihr lokales Netzwerk über Port X2P1 oder X2P2 an. Hinweis Einsatz des M875 nicht als Router zwischen internen Subnetzen Setzen Sie das M875 nicht als Router zwischen internen Subnetzen ein. Anschluss an das entfernte Netz Für die Funkverbindung in das entfernte Netz besitzt das M875 besitzt zwei SMA-Buchsen. Wenn Sie nur eine einzige Antenne anschließen, dann benutzen Sie die obere SMA-Buchse "A1" des M LEDs für die Betriebsanzeige Die Leuchtdioden (LEDs) auf dem M875 geben Auskunft über den Betriebszustand des Geräts. Bedeutung der LEDs auf der linken Geräteseite LED Zustand Bedeutung S (Status) Q (Quality) C (Connect) S, Q, C gleichzeitig Langsam blinkend PIN-Übergabe Schnell blinkend PIN-Fehler / SIM-Fehler An PIN-Übergabe erfolgreich Aus Nicht im GSM-Netz eingebucht Kurz aufblinkend Schlechte Signalstärke (CSQ < 6) Langsam blinkend Mittlere Signalstärke (CSQ= ) An, mit kurzen Unterbrechungen Gute Signalstärke (CSQ ) An Sehr gute Signalstärke (CSQ > 18) Aus Keine Verbindung Langsam blinkend EGPRS/GPRS-Verbindung aktiv An HSPA/UMTS-Verbindung aktiv Schnelles Lauflicht Geräteanlauf Langsames Lauflicht Überspielen neuer Firmware Synchrones, schnelles Blinken Fehler Betriebsanleitung, 12/2012, C79000-G8900-C

16 Gerätebeschreibung 1.6 Service-Taster SET Bedeutung der LEDs auf der rechten Geräteseite LED Zustand Bedeutung DCV5 VPN IN OUT An Aus An Aus An Aus An Aus Gerät eingeschaltet, Betriebsspannung liegt an. Gerät ausgeschaltet, Betriebsspannung fehlt. Mindestens eine VPN-Verbindung aufgebaut Keine VPN-Verbindung aufgebaut Schalteingang aktiv Schalteingang nicht aktiv Schaltausgang aktiv Schaltausgang nicht aktiv Bedeutung der beiden LEDs an den Anschlüssen X2P1 bzw. X2P2 LED Zustand Bedeutung Grüne LED (oben) Blinkend Aus RX/TX Datentransfer über die Ethernet-Verbindung Kein Datentransfer über die Ethernet-Verbindung Gelbe LED (unten) An Aus Link-Status Bestehende Ethernet-Verbindung zur lokalen Applikation bzw. zum lokalen Netz Keine Ethernet-Verbindung zur lokalen Applikation bzw. zum lokalen Netz 1.6 Service-Taster SET In dem mit SET beschrifteten kleinen Loch befindet sich ein Taster, der zum Neustart des Geräts dient. Bei Neustart wird das Gerät auf seine Werkseinstellungen zurückgesetzt. Sie können den Taster mit einem spitzen Gegenstand, z. B. eine aufgebogene Büroklammer, drücken. Weitere Informationen zum Zurücksetzen des Geräts finden Sie im Kapitel Werkseinstellungen (Seite 146). 16 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

17 Gerätebeschreibung 1.7 Voraussetzungen für den Betrieb 1.7 Voraussetzungen für den Betrieb Antenne Für den Betrieb des M875 benötigen Sie eine oder zwei Antennen, die an die Frequenzbänder des von Ihnen gewählten Mobilfunkbetreibers angepasst sind. Bei GPRS-Übertragung : 850 MHz, 900 MHz, 1800 MHz oder 1900 MHz Bei UMTS-Übertragung: 850 MHz, 1700 MHz, 1900 MHz oder 2100 MHz. Verwenden Sie nur Antennen aus dem Zubehörprogramm für das. Weitere Informationen finden Sie im Kapitel Anschließen (Seite 28). Spannungsversorgung Sie benötigen eine Spannungsversorgung mit einer Spannung zwischen DC 12 V und DC 30 V, die einen ausreichenden Strom liefern kann. Weitere Informationen finden Sie im Kapitel Anschließen (Seite 28). SIM-Karte Sie benötigen eine SIM-Karte Ihres Mobilfunkbetreibers mit der zugehörigen PIN (Personel Identification Number). Freischaltung für paketorientierte Datendienste Die SIM-Karte muss von Ihrem Mobilfunkbetreiber für die paketorientierten Datendienste HSPA (HSUPA und HSDPA), UMTS, EGPRS und GPRS freigeschaltet sein. Zugangsdaten zum Mobilfunknetz Folgende Zugangsdaten müssen vorliegen: Access Point Name (APN) Benutzername Passwort Weitere Informationen finden Sie im Kapitel UMTS/EDGE - Zugangsparameter (Seite 60). Betriebsanleitung, 12/2012, C79000-G8900-C

18 Gerätebeschreibung 1.7 Voraussetzungen für den Betrieb 18 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

19 Konfigurationsbeispiele 2 Der UMTS-Router bietet vielfältige Anwendungsmöglichkeiten in verschiedenen Einsatzgebieten. In diesem Kapitel finden Sie Konfigurationsbeispiele zu: Internetzugang über das Mobilfunknetz Direkte Kommunikation von Stationen zu Station über Mobilfunk mit VPN TELECONTROL über das Mobilfunknetz Mobiler Zugang auf Anlagen Anlagenzugang über eine Fernwartungszentrale Für alle Beispiele gilt, dass Sie sich zunächst mit den Sicherheitshinweisen vertraut machen und das Gerät in Betrieb nehmen, wie im Kapitel Montage, Anschluss, Inbetriebnahme (Seite 27) beschrieben. 2.1 Internetzugang über das Mobilfunknetz Mit dem M875 können Sie über das Mobilfunknetz auf das Internet zugreifen. Dadurch stehen Ihnen auch die Internetdienste, z. B. senden und empfangen oder die Informationen des World Wide Web, zur Verfügung. Vorgehensweise Um den Internetzugang über das Mobilfunknetz einzurichten, gehen Sie folgendermaßen vor: 1. Stellen Sie eine Konfigurationsverbindung her zwischen dem M875 und dem angeschlossenen PC. Siehe Kapitel Einstellungen beim Admin-PC (Seite 35). Betriebsanleitung, 12/2012, C79000-G8900-C

20 Konfigurationsbeispiele 2.2 TELECONTROL über das Mobilfunknetz 2. Stellen Sie eine Verbindung zum Mobilfunknetz her. Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60). 3. Um den Zugriff auf die gewünschten Internetdienste zu ermöglichen, richten Sie Firewall- Regeln ein. Siehe Kapitel Sicherheit (Seite 78). 4. Richten Sie Ihre Applikation für die Internetdienste ein, z. B. für das Senden/Empfangen von s. 2.2 TELECONTROL über das Mobilfunknetz Sie können das M875 dazu nutzen, Prozessdaten von entfernten Stationen über das Mobilfunknetz zur Zentrale zu übertragen. Die VPN-Funktion bietet den notwendigen Schutz bei der Datenübertragung im öffentlichen Mobilfunknetz. 20 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

21 Konfigurationsbeispiele 2.3 Direkte Kommunikation von Stationen über Mobilfunk Voraussetzungen Sie benötigen auf beiden Seiten einen VPN-fähigen Internetzugang, z. B. über das M875 und ein SCALANCE S6xx. Außerdem benötigen Sie für den Aufbau eines VPN-Tunnels von Ihrem Mobilfunkbetreiber zusätzliche Dienste, welche die direkte Kommunikation zwischen Mobilfunkroutern unterstützen. Erforderlich sind eine feste IP-Adresse für die Mobilfunkgeräte und/oder ein Zugang zum Internet über einen privaten APN. Vorgehensweise Um einen oder mehrere VPN-Tunnel zur Datenübertragung einzurichten, gehen Sie folgendermaßen vor: 1. Stellen Sie eine Konfigurationsverbindung her zwischen dem M875 und dem angeschlossenen Admin-PC. Siehe Kapitel Einstellungen beim Admin-PC (Seite 35). 2. Stellen Sie eine Verbindung zum Mobilfunknetz her. Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60). 3. Richten Sie die lokalen SINAUT-Applikationen für die Datenkommunikation ein. 4. Schließen Sie lokale SINAUT-Applikationen, z. B. TIM 4R-IE, an die lokale Schnittstelle des M875 an. Siehe Anschließen (Seite 28) und Kapitel Netzwerk Intern (Seite 51). 5. Stellen Sie eine VPN-Verbindung her. Siehe Kapitel Verbindungen - Standard-Modus (Seite 98). Voraussetzung: Feste IP-Adressen und privater APN. 2.3 Direkte Kommunikation von Stationen über Mobilfunk Betriebsanleitung, 12/2012, C79000-G8900-C

22 Konfigurationsbeispiele 2.4 Fernwartungslösungen Sie können auch Steuerungen an das M875 anschließen und über das Mobilfunknetz ereignisgesteuerte Daten übertragen, z. B. zwischen einem Windpark und einem Umspannwerk. Die Kommunikation erfolgt dabei direkt zwischen den Mobilfunkgeräten, nicht über einen Server. Die VPN-Funktion bietet den notwendigen Schutz bei der Datenübertragung im öffentlichen Mobilfunknetz. Voraussetzungen Sie benötigen für den Aufbau eines VPN-Tunnels von Ihrem Mobilfunkbetreiber zusätzliche Dienste, welche die direkte Kommunikation zwischen Mobilfunkroutern unterstützen. Erforderlich sind eine feste IP-Adresse für die Mobilfunkgeräte und/oder ein Zugang zum Internet über einen privaten APN. Vorgehensweise Um die Datenübertragung über einen VPN-Tunnel einzurichten, gehen Sie folgendermaßen vor: 1. Richten Sie die angeschlossenen Steuerungen, z. B. CP 343-1, für die Datenkommunikation ein. 2. Stellen Sie jeweils eine Konfigurationsverbindung her zwischen dem M875 und dem angeschlossenen Admin-PC. Siehe Kapitel Einstellungen beim Admin-PC (Seite 35). 3. Stellen Sie eine Verbindung zum Mobilfunknetz her. Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60). 4. Schließen Sie je eine Steuerung, z. B. CP 343-1, an die lokale Schnittstelle des M875 an. Siehe Kapitel Anschließen (Seite 28) und Netzwerk Intern (Seite 51). 5. Stellen Sie eine VPN-Verbindung zwischen den beiden M875-Geräten her. Siehe Kapitel Verbindungen - Standard-Modus (Seite 98). Voraussetzung: Feste IP-Adressen und privater APN. 2.4 Fernwartungslösungen Mit dem können Sie folgende Fernwartungsaufgaben verwirklichen: Ferndiagnose Fernprogrammieren Zustandsüberwachung z. B. mit Condition Monitoring Systemen Sie können von unterwegs für Fernwartungsarbeiten über das M875 auf entfernte Anlagen zugreifen. Dazu benötigen Sie mobile Field-PGs, die mit einem UMTS-fähigen Mobiltelefon oder einer UMTS-fähigen Netzwerkkarte ausgestattet sind. Das Beispiel im Abschnitt Mobiler Zugang zu Anlagen und Anlagenteilen (Seite 23) beschreibt diesen Anwendungsfall. Eine andere Variante ist der Zugang über das M875 zu einer Anlage von einer Fernwartungszentrale aus. Sie haben die Möglichkeit, mehrere Subnetze der Zentrale mit mehreren Subnetzen einer Anlage zu koppeln. Dieser Anwendungsfall wird im Abschnitt Anlagenzugang über eine Fernwartungszentrale (Seite 24) beschrieben. 22 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

23 Konfigurationsbeispiele 2.4 Fernwartungslösungen Mobiler Zugang zu Anlagen und Anlagenteilen Vorgehensweise Um mobil über einen VPN-Tunnel auf eine Anlage zugreifen zu können, beachten Sie die nachfolgenden Punkte und die entsprechenden Kapitel in dieser Betriebsanleitung: 1. Stellen Sie eine Konfigurationsverbindung her zwischen dem M875 und dem angeschlossenen Admin-PC. Siehe Kapitel Einstellungen beim Admin-PC (Seite 35). 2. Stellen Sie eine Verbindung zum Mobilfunknetz her. Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60). 3. Schließen Sie die lokalen Applikationen an die lokale Schnittstelle des M875 an. Siehe Anschließen (Seite 28) und Kapitel Netzwerk Intern (Seite 51). 4. Richten Sie die angeschlossenen Applikationen der Anlage für die Datenkommunikation ein. Betriebsanleitung, 12/2012, C79000-G8900-C

24 Konfigurationsbeispiele 2.4 Fernwartungslösungen 5. Richten Sie beim M875 einen VPN-Tunnel im Roadwarrior-Modus ein. Siehe Kapitel Verbindungen - Roadwarrior-Modus (Seite 91). Hinweis: Diesen Schritt können Sie auch mit dem Security Configuration Tool durchführen. 6. Richten Sie auf der Seite des mobilen Zugangs im SOFTNET Security Client einen VPN- Tunnel ein. Hinweis: Diesen Schritt können Sie auch mit dem Security Configuration Tool durchführen. Für einen Verbindungsaufbau von einer entfernten Station mit SOFTNET Security Client zum M875 muss im M875 eine VPN-Verbindung im Roadwarrior-Modus mit IKE- Einstellungen "Main Mode" und Zertifikataustausch eingerichtet werden Anlagenzugang über eine Fernwartungszentrale Internet IP-Router IP-Router 2 24 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

25 Konfigurationsbeispiele 2.4 Fernwartungslösungen Vorgehensweise Um über eine Fernwartungszentrale auf eine Anlage zugreifen zu können, beachten Sie die nachfolgenden Punkte und die entsprechenden Kapitel in dieser Betriebsanleitung: 1. Stellen Sie eine Konfigurationsverbindung her zwischen dem M875 und dem angeschlossenen Admin-PC. Siehe Kapitel Einstellungen beim Admin-PC (Seite 35). 2. Stellen Sie eine Verbindung zum Mobilfunknetz her. Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60). 3. Schließen Sie die lokalen Applikationen an die lokale Schnittstelle des M875 an. Siehe Anschließen (Seite 28) und Kapitel Netzwerk Intern (Seite 51). 4. Richten Sie die angeschlossenen Applikationen der Anlage für die Datenkommunikation ein. 5. Projektieren Sie mit dem Security Configuration Tool im SCALANCE S623 die VPN- Verbindung für die Fernwartungszentrale. 6. Richten Sie einen VPN-Tunnel im Standard-Modus ein. Siehe Kapitel Verbindungen - Roadwarrior-Modus (Seite 91). Betriebsanleitung, 12/2012, C79000-G8900-C

26 Konfigurationsbeispiele 2.4 Fernwartungslösungen 26 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

27 Montage, Anschluss, Inbetriebnahme Sicherheitshinweise Sicherheitshinweise für den Geräteeinsatz Die folgenden Sicherheitshinweise sind für Aufstellung und Betrieb des Geräts und alle damit zusammenhängenden Arbeiten wie Montage, Anschließen oder Geräteaustausch zu beachten. WARNUNG Das Gerät ist für den Betrieb mit einer direkt anschließbaren Sicherheitskleinspannung (Safety Extra Low Voltage, SELV) durch eine Spannungsversorgung mit begrenzter Leistung (Limited Power Source, LPS) ausgelegt. Deshalb dürfen nur Sicherheitskleinspannungen (SELV) mit begrenzter Leistung (Limited Power Source, LPS) nach IEC / EN / VDE mit den Versorgungsanschlüssen verbunden werden oder das Netzteil für die Versorgung des Geräts muss NEC Class 2 gemäß National Electrical Code (r) (ANSI / NFPA 70) entsprechen. Wenn das Gerät an eine redundante Spannungsversorgung angeschlossen wird (zwei getrennte Spannungsversorgungen), müssen beide die genannten Anforderungen erfüllen. Externe Stromversorgung Verwenden Sie nur eine externe Stromversorgung, die der EN60950 entspricht. Die Ausgangsspannung der externen Stromversorgung darf DC 30 V nicht überschreiten. Der Ausgang der externen Stromversorgung muss kurzschlussfest sein. ACHTUNG Das darf nur aus Stromversorgungen nach IEC/EN Abschnitt 2.5 "Stromquelle mit begrenzter Leistung" versorgt werden. Die externe Stromversorgung für das muss den Bestimmungen für NEC Klasse 2 Stromkreisen entsprechen, wie im National Electrical Code (ANSI/NFPA 70) festgelegt. Beachten Sie das Kapitel Anschließen (Seite 28) sowie die Einbau- und Nutzungsvorschriften des jeweiligen Herstellers der Stromversorgung, der Batterie oder des Akkumulators. Betriebsanleitung, 12/2012, C79000-G8900-C

28 Montage, Anschluss, Inbetriebnahme 3.2 Anschließen Schalteingänge und Schaltausgänge Der Schalteingang und der Schaltausgang sind gegenüber den anderen Anschlüssen des M875 galvanisch getrennt. Wenn eine Installation, die am M875 angeschlossen ist, ein Signal des Schalteingangs oder Schaltausgangs mit der Versorgungspannung galvanisch verbindet, dann gilt: Eine Spannung von 60 V zwischen jedem Signal des Schalteingangs oder Schaltausgangs und jedem Anschluss der Versorgungsspannung darf nicht überschritten werden. 3.2 Anschließen Schnittstelle X2 Schließen Sie Ihr lokales Netzwerk über den Port X2P1 oder X2P2 an. Hinweis Einsatz des M875 nicht als Router zwischen internen Subnetzen Setzen Sie das M875 nicht als Router zwischen internen Subnetzen ein. Schließen Sie an der Ethernet-Schnittstelle X2 das lokale Netz mit den lokalen Applikationen an, z. B. eine programmierbare Steuerung, eine Maschine mit Ethernet-Schnittstelle zur Fernüberwachung oder einen PC. Um das M875 einzurichten, schließen Sie wahlweise an einen der beiden Anschlüsse den Admin-PC mit einem Webbrowser an. Verwenden Sie zum Anschließen ein gekreuztes Kabel oder ein Patch-Kabel mit RJ45- Stecker. Die Eigenschaften der Schnittstelle X2 finden Sie unter den technischen Daten. Schalteingang und Schaltausgang Das M875 hat einen Schalteingang und einen Schaltausgang. Die Anschlussklemmen befinden sich an der Geräteunterseite. Bild 3-1 Anschlüsse für Schalteingang und -ausgang an der Geräteunterseite 28 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

29 Montage, Anschluss, Inbetriebnahme 3.2 Anschließen Schalteingang I1 Die Anschlussklemmen des Schalteingangs sind mit I1+ und I1- gekennzeichnet. Bild 3-2 Schalteingang I1 Der Schalteingang dient zum Auslösen einer Alarm-SMS, siehe Kapitel Alarm-SMS (Seite 121). Schaltausgang O1 Die Anschlussklemmen des Schaltausgangs sind mit O1a und O1b gekennzeichnet. Bild 3-3 Schaltausgang O1 Der Schaltausgang signalisiert eine bestehende VPN-Verbindung. Wenn mindestens eine VPN-Verbindung aufgebaut ist, dann ist der Schaltausgang aktiv (Schalter geschlossen). Hinweis Beachten Sie die Belastbarkeit des Schaltausgangs. Die elektrischen Werte für den Schalteingang und Schaltausgang finden Sie im Kapitel Technische Daten (Seite 149). Betriebsanleitung, 12/2012, C79000-G8900-C

30 Montage, Anschluss, Inbetriebnahme 3.2 Anschließen USB-Schnittstelle X1 Hinweis Schnittstelle X1 ohne Funktion Schließen Sie an der USB-Schnittstelle keine Geräte an. Der Betrieb des M875 könnte gestört werden. Diese Schnittstelle ist für spätere Anwendungen reserviert und zurzeit ohne Funktion. SMA-Antennenbuchsen WARNUNG Bei Außenmontage Gefahr durch Blitzschlag Wenn Sie eine Antenne im Freien montieren, dann muss die Antenne zum Schutz vor Blitzschlag geerdet werden. Diese Arbeiten müssen von qualifiziertem Personal durchgeführt werden. ACHTUNG Geräteschaden durch falsches Zubehör Verwenden Sie nur Antennen aus dem Zubehörprogramm für das M875. Andere Antennen können die Produkteigenschaften stören oder zu Defekten führen. Für den Anschluss der Antenne stehen beim M875 zwei Antennenbuchsen vom Typ SMA zur Verfügung. Wenn Sie nur eine einzige Antenne anschließen, dann benutzen Sie die obere SMA-Buchse "A1" des M875. Falls mit einer einzelnen Antenne die volle Empfangsbandbreite nicht erreicht werden kann, z. B. wegen ungenügender Feldstärke oder Reflexionen, dann haben Sie die Möglichkeit, eine zweite Antenne unterstützend anzuschließen. Beachten Sie, dass auch mit zwei Antennen maximal nur die einfache Bandbreite des Frequenzbandes erreicht wird. Wenn Sie zwei Antennen anschließen, dann halten Sie einen Mindestabstand von 30 cm zwischen den Antennen ein. Die Antennen müssen eine Impedanz von ca. 50 Ohm haben. Das Stehwellenverhältnis VSWR (Voltage Standing Wave Ratio) der Antennen muss 1:2,5 oder besser sein. Beachten Sie die Betriebsanleitungen der verwendeten Antennen. 30 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

31 Montage, Anschluss, Inbetriebnahme 3.2 Anschließen Frequenzbänder in Europa, China, USA und weiteren Regionen Abhängig davon, welche Frequenzbänder Ihr Mobilfunkbetreiber verwendet, müssen Antennen auf folgende Frequenzen abgestimmt sein: In Europa, Amerika, Afrika, Asien und Australien: GSM 900 MHz DCS 1800 MHz UMTS 2100 MHz In den USA: GSM 850 MHz PCS 1900 MHz (auch für UMTS) Erkundigen Sie sich bei Ihrem Netzwerkbetreiber nach den passenden Frequenzen. Signalqualität Achten Sie bei der Installation auf eine gute Signalqualität von CSQ > 11. Wenn die LED "Q" auf der linken Gerätehälfte durchgehend oder mit nur kurzen Unterbrechungen leuchtet, dann ist eine gute Signalqualität gegeben. Große metallische Gegenstände, z. B. Stahlbeton, beeinträchtigen die Signalqualität. Schraubklemmen für die Spannungsversorgung Bild 3-4 Schraubklemmen für die Spannungsversorgung Betriebsanleitung, 12/2012, C79000-G8900-C

32 Montage, Anschluss, Inbetriebnahme 3.3 Schritte zur Inbetriebnahme Hinweis Das Netzteil des M875 ist nicht potenzialgetrennt. Das M875 arbeitet mit einer Gleichspannung von DC 12 V bis 30 V, nominell DC 24 V. Die Stromaufnahme beträgt etwa 450 ma bei 12 V. Schließen Sie eine entsprechende Spannungsversorgung an die Schraubklemmen an. Verwenden Sie nur Kupferleitungen. Draht: 0,5...3 mm 2 (AWG ) Litze: 0,5...2,5 mm 2 Anzugsdrehmoment Schraubklemmen: 0,6...0,8 Nm 3.3 Schritte zur Inbetriebnahme Um das M875-0 in Betrieb zu nehmen, gehen Sie in folgenden Schritten vor: Übersicht über die Inbetriebnahme 1. Beachten Sie die Voraussetzungen für den Betrieb des M875. Siehe Kapitel Voraussetzungen für den Betrieb (Seite 17). 2. Schließen Sie einen PC mit Webbrowser (Admin-PC) an die lokale Schnittstelle X2P1 an. Siehe Kapitel Einstellungen beim Admin-PC (Seite 35), Kapitel TCP/IP-Konfiguration unter Windows XP (Seite 36) und Kapitel Konfigurationsverbindung herstellen (Seite 38). 3. Tragen Sie über die Weboberfläche des M875 die PIN der SIM-Karte ein. Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60). 4. Trennen Sie das M875 von der Versorgungsspannung. Siehe Kapitel Anschließen (Seite 28). 5. Legen Sie die SIM-Karte in das Gerät ein. Siehe Kapitel SIM-Karte einlegen (Seite 33). 6. Schließen Sie die Antennen an und richten Sie die Antennen aus. Siehe Kapitel Anschließen (Seite 28) und Kapitel Installationsmodus - Antennen ausrichten (Seite 66). 7. Verbinden Sie das M875 mit der Versorgungsspannung. Siehe Kapitel Anschließen (Seite 28). 32 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

33 Montage, Anschluss, Inbetriebnahme 3.4 SIM-Karte einlegen 8. Richten Sie das M875 nach Ihren Anforderungen ein. Siehe Kapitel Projektierung (Seite 35). 9. Schließen Sie Ihre Applikation an die zweite lokale Schnittstelle an. Siehe Kapitel Anschließen (Seite 28). 3.4 SIM-Karte einlegen ACHTUNG Ausschalten der Spannungsversorgung vor SIM-Karten-Austausch Schalten Sie vor dem Einlegen oder Entnehmen der SIM-Karte die Spannungsversorgung des M875 aus. Öffnen Sie die Schublade für die SIM-Karte nicht während des Betriebs. Die SIM-Karte und das Gerät können dadurch beschädigt werden. Hinweis Zuerst PIN eintragen Tragen Sie über die Weboberfläche die PIN der SIM-Karte ein, bevor Sie die Karte ins Gerät einlegen. Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60). Bild 3-5 SIM-Karten-Schublade Betriebsanleitung, 12/2012, C79000-G8900-C

34 Montage, Anschluss, Inbetriebnahme 3.5 Montieren 1. Nachdem Sie die PIN der SIM-Karte eingetragen haben, trennen Sie das M875 vollständig von der Versorgungsspannung. Die Schublade für die SIM-Karte befindet sich auf der Geräterückseite. In der Gehäuseöffnung befindet sich direkt neben der Schublade für die SIM-Karte ein kleiner gelber Taster. 2. Drücken Sie zum Öffnen der Schublade mit einem spitzen Gegenstand, z. B. einem Bleistift, auf den gelben Taster. 3. Legen Sie die SIM-Karte so in die Schublade, dass die Karte hörbar einrastet und die vergoldeten Kontakte sichtbar bleiben. 4. Schieben Sie die Schublade mit der SIM-Karte vollständig ins Gehäuse zurück. 3.5 Montieren Das M875 ist zur Montage auf einer 35-mm-Hutschiene nach DIN EN vorgesehen. Auf der Rückseite des Geräts befindet sich eine entsprechende Halterung mit einem gefederten Riegel. Bild 3-6 Hutschienenmontage Montage 1. Hängen Sie die obere Rastführung des Geräts in die Hutschiene ein. 2. Drücken Sie das Gerät nach unten gegen die Hutschiene, bis der gefederte Riegel einrastet. Demontage 1. Ziehen Sie mit einem Schraubenzieher den gefederten Riegel auf der Rückseite des Geräts nach unten. 2. Nehmen Sie das Gerät von der Hutschiene ab. 34 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

35 4 4.1 Einstellungen beim Admin-PC Für die Projektierung des M875 benötigen Sie ein PC mit einem Webbrowser, der nachfolgend als Admin-PC bezeichnet wird. Die Projektierung erfolgt mithilfe der webbasierten Administrationsoberfläche des M875. Dazu stehen Ihnen folgende Möglichkeiten zur Verfügung: Projektierung über die lokale Schnittstelle X2P1 Dies ist für die Erstprojektierung erforderlich. Projektierung per Fernzugriff über HTTPS Voraussetzung dafür ist, dass der Fernzugriff vorab beim M875 eingerichtet wurde. Konfiguration über die lokale Schnittstelle Folgende Voraussetzungen für eine Konfiguration über die lokale Schnittstelle müssen erfüllt sein: Der Admin-PC muss entweder direkt an der Ethernet-Buchse des M875 angeschlossen sein oder über das lokale Netz direkten Zugriff auf das M875 haben. Der Netzwerkadapter des Admin-PC muss folgende TCP/IP-Konfiguration haben: IP-Adresse: Subnetzmaske: Statt der oben genannten IP-Adresse können Sie auch andere IP-Adressen aus dem Bereich x verwenden. Wenn Sie mit dem M875 auch auf das externe Netz zugreifen möchten, sind auf dem Admin-PC zusätzlich folgende Einstellungen erforderlich: Standardgateway: Der bevorzugter DNS-Server ist die Adresse des Domain Name Servers. Die IP-Adresse kann ebenfalls verwendet werden, da DNS-Weiterleitung vom M875 unterstützt wird. Fernkonfiguration Eine Fernkonfiguration über HTTPS ist nur möglich, wenn das M875 für Fernzugriffe konfiguriert ist. Gehen Sie zur Fernkonfiguration des Geräts vor, wie im Kapitel HTTPS (Seite 118) beschrieben. Betriebsanleitung, 12/2012, C79000-G8900-C

36 4.1 Einstellungen beim Admin-PC TCP/IP-Konfiguration unter Windows XP Einrichten der LAN-Verbindung Hinweis Der Weg, der zum Dialogfeld "Eigenschaften von Internet Protocol (TCP/IP)" führt, hängt von Ihren Windows-Einstellungen ab. Wenn Sie das Dialogfeld nicht finden, suchen Sie in der Windows-Hilfe nach "LAN-Verbindung" oder "Eigenschaften von Internet Protocol (TCP/IP)". Bild 4-1 Dialog "Eigenschaften von Internet Protocol (TCP/IP)" 1. Wählen Sie im Startmenü den Befehl "Einstellungen" > "Systemsteuerung" > "Netzwerkverbindungen". Der Dialog "Netzwerkverbindungen" wird geöffnet. 2. Wählen Sie eine LAN-Verbindung durch Doppelklick aus. Der Dialog "Status" der gewählten LAN-Verbindung wird geöffnet. 3. Wählen Sie das Register "Allgemein". 4. Klicken Sie auf die Schaltfläche "Eigenschaften". Der Dialog "Eigenschaften" der gewählten LAN-Verbindung wird geöffnet. 5. Wählen Sie das Register "Allgemein". 6. Aktivieren Sie die Option "Internet Protocol (TCP/IP)" unter dem Eintrag "Diese Verbindung verwendet folgende Elemente". 7. Aktivieren Sie die Option "Internet Protocol (TCP/IP)". 36 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

37 4.1 Einstellungen beim Admin-PC 8. Klicken Sie auf die Schaltfläche "Eigenschaften". Der Dialog "Eigenschaften von Internet Protocol (TCP/IP)" wird geöffnet. 9. Aktivieren Sie die Option "Folgende IP-Adresse verwenden". 10. Geben Sie folgende Werte ein: IP-Adresse: Subnetzmaske: Um die Einstellungen zu speichern, klicken Sie auf die Schaltfläche "OK". Bevorzugter DNS-Server Wenn Sie Adressen über einen Domain-Namen aufrufen, z. B. dann wird in einem Domain Name System (DNS) nachgeschlagen, welche IP-Adresse sich hinter dem Namen verbirgt. Als DNS-Server können Sie entweder die DNS-Adresse des Netzbetreibers oder die lokale IP-Adresse des M875 festlegen. Die lokale IP-Adresse des M875 ist werkseitig so konfiguriert sein, dass Host-Namen in IP- Adressen aufgelöst werden können. Nähe Informationen finden Sie im Kapitel DNS-Server am lokalen Netz (Seite 57). 1. Um den DNS-Server in der TCP/IP-Konfiguration Ihres Netzwerkadapters festzulegen, geben Sie im oben gezeigten Dialog folgende Werte ein: Standardgateway: Bevorzugter DNS-Server: Um die Einstellungen zu speichern, klicken Sie auf die Schaltfläche "OK" Erlaubte Zeichen Bei der Eingabe von Benutzernamen, Passwörtern, Host-Namen, APN und PIN sind folgende darstellbare ASCII-Zeichen erlaubt: Benutzernamen, Passwörter, PIN Wenn nicht anders erwähnt, sind folgende Zeichen erlaubt: a b c d e f g h I j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z ! $ % & ' ( ) * +,. / : ; < = [ \ ] ^ _ ` { } Host-Namen, APN Erlaubte Zeichen: a b c d e f g h I j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Betriebsanleitung, 12/2012, C79000-G8900-C

38 4.1 Einstellungen beim Admin-PC Konfigurationsverbindung herstellen Um das M875 zu konfigurieren, müssen Sie zunächst mit einem Webbrowser eine Verbindung zum Gerät herstellen. Gehen Sie dazu folgendermaßen vor: Webbrowser einrichten 1. Starten Sie den Webbrowser auf dem Admin-PC. Der Webbrowser muss SSL (HTTPS) unterstützen, z. B. MS Internet Explorer ab Version 7 oder Mozilla Firefox ab Version Stellen Sie den Browser so ein, dass er beim Starten nicht automatisch eine Verbindung wählt. Nehmen Sie z. B. im MS Internet Explorer die Einstellungen wie folgt vor: Wählen Sie im Menü den Befehl "Extras" > "Internetoptionen". Wählen Sie das Register "Verbindungen". Entfernen Sie die Einträge unter "DFÜ- und VPN-Einstellungen". Aktivieren Sie die Option "Keine Verbindung wählen". Startseite des M875 aufrufen 1. Geben Sie in der Adresszeile des Browsers die IP-Adresse des M875 vollständig ein. In der Werkseinstellung lautet die Adresse: Geben Sie am Ende der IP-Adresse des M875 den Schrägstrich ein. Eine Meldung zum Sicherheitszertifikat erscheint. 2. Quittieren Sie diese Meldung und setzen Sie das Laden der Seite fort. Hinweis Informationen zum Sicherheitszertifikat Da das Gerät nur über verschlüsselte Zugänge administrierbar ist, wird es mit einem selbst unterzeichneten Zertifikat ausgeliefert. Bei Zertifikaten mit Unterschriften, die dem Betriebssystem nicht bekannt sind, erscheint ein Sicherheitshinweis. Sie können sich das Zertifikat anzeigen lassen. Aus dem Zertifikat muss erkenntlich sein, dass es für die Siemens AG ausgestellt wurde. Die Weboberfläche wird über eine IP-Adresse adressiert und nicht über einen Namen, daher stimmt der im Sicherheitszertifikat angegebene Name nicht mit dem im Zertifikat überein. 38 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

39 4.1 Einstellungen beim Admin-PC Benutzername und Passwort eingeben Sie werden aufgefordert, den Benutzernamen und das Passwort anzugeben. Die Werkseinstellung lautet: Benutzername: Passwort: admin (kann nicht verändert werden.) scalance ACHTUNG Passwort ändern Ändern Sie das werkseitig eingestellte Passwort sofort nach der Inbetriebnahme. Dieses Passwort ist allgemein bekannt und bietet keinen ausreichenden Schutz. Wie Sie das Passwort ändern, wird im Kapitel Passwort ändern (Seite 116) beschrieben. Die Startseite wird angezeigt Nach Eingabe von Benutzername und Passwort erscheint im Webbrowser die Startseite des M875. Die Startseite gibt einen Überblick über den Betriebszustand des Geräts, siehe auch Kapitel Startseite der Weboberfläche - Überblick (Seite 42). Die Startseite wird nicht angezeigt Wenn der Browser auch nach mehreren Versuchen meldet, dass die Seite nicht angezeigt werden kann, versuchen Sie Folgendes: Überprüfen Sie die Hardware-Verbindung 1. Öffnen Sie die DOS-Eingabeaufforderung indem Sie den Menübefehl "Start" > "Programme" > "Zubehör" > "Eingabeaufforderung" wählen. Das Fenster "Eingabeaufforderung" erscheint. 2. Geben Sie den Befehl "ping " ein. 3. Um die Eingabe zu bestätigen, drücken Sie die Taste "Return". Bei korrektem Betrieb kommen innerhalb von wenigen Sekunden 4 Rückmeldungen. Wenn dies nicht der Fall ist: 4. Überprüfen Sie, ob das Netzwerkkabel, die Anschlüsse und die Netzwerkkarte richtig angeschlossen sind. Keinen Proxy-Server verwenden Gehen Sie - je nach Betriebssystem - folgendermaßen vor: 1. Wählen Sie den Menübefehl "Extras" > "Internetoptionen". 2. Wählen Sie das Register "Verbindungen". Betriebsanleitung, 12/2012, C79000-G8900-C

40 4.1 Einstellungen beim Admin-PC 3. Klicken Sie unter dem Eintrag "LAN-Einstellungen" auf die Schaltfläche "Einstellungen". Der Dialog "Einstellungen für lokales Netzwerk (LAN)" wird angezeigt. 4. Deaktivieren Sie unter dem Eintrag "Proxyserver" die Option "Proxyserver für LAN verwenden". Andere LAN-Verbindungen deaktivieren Falls andere LAN-Verbindungen auf dem Admin-PC aktiv sind, deaktivieren Sie diese für die Zeit der Konfiguration. Gehen Sie beim MS Internet Explorer (Version 7.0) folgendermaßen vor: 1. Wählen Sie im Startmenü den Befehl "Einstellungen" > "Systemsteuerung" > "Netzwerkverbindungen". Der Dialog "Netzwerkverbindungen" wird geöffnet. 2. Markieren Sie eine LAN-Verbindung. 3. Wählen Sie im Kontextmenü (rechte Maustaste) den Menübefehl "Deaktivieren" Grundsätzliches zur Konfiguration Um das M875 zu konfigurieren, steht Ihnen eine webbasierte Administrationsoberfläche zur Verfügung. Am linken Rand finden Sie die aufklappbare Navigation. Im Hauptfenster werden Ihnen die aufgerufenen Seiten entsprechend Ihrer Navigation angezeigt. Außerdem stehen Ihnen auf den einzelnen Seiten Klapplisten für die Auswahl und die üblichen Schaltflächen wie "Speichern", "Zurücksetzen", "Bearbeiten" etc. zur Verfügung. Grundsätzliches Vorgehen Gehen Sie zur Konfiguration des M875 grundsätzlich folgendermaßen vor: 1. Wählen Sie über die Navigation die gewünschte Webseite. 2. Nehmen Sie auf der aufgerufenen Seite Ihre Einstellungen vor. Mit der Schaltfläche "Zurücksetzen" wird die Anzeige wieder auf den Zustand, unter dem sie aufgerufen wurde, zurückgesetzt. Nicht gespeicherte Eingaben werden auf den Wert, der zuvor gespeichert war, zurückgesetzt. 3. Bestätigen Sie Ihre Eingaben durch Klicken auf die Schaltfläche "Speichern". Ihre Einstellungen werden damit vom Gerät übernommen. Hinweis Möglicherweise müssen Sie nach der Konfiguration des M875 die Netzwerk- Schnittstelle des lokal angeschlossenen Rechners oder Netzes anpassen. Tragen Sie bei der Eingabe von IP-Adressen die einzelnen Adressabschnitte ohne führende Nullen ein, z. B.: Betriebsanleitung, 12/2012, C79000-G8900-C258-02

41 4.1 Einstellungen beim Admin-PC Fehleingaben Das M875 prüft Ihre Eingaben. Beim Speichern werden Fehler automatisch erkannt, und das betroffene Eingabefeld wird mit einer roten Umrandung markiert. Konfigurationsprofile Sie können Ihre Einstellungen in Profilen speichern. Diese Profildateien können dann bei Bedarf neu geladen werden oder auf andere Geräte desselben Typs übertragen werden. Nähere Informationen finden Sie im Kapitel Konfigurationsprofile (Seite 137) Spracheinstellung Sie können sich die Web-Oberfläche des M875 in englischer und deutscher Sprache anzeigen lassen. Auf der Startseite befindet sich ganz oben rechts eine Klappliste mit folgenden Auswahlmöglichkeiten: Automatisch: Deutsch: Englisch: Das M875 wählt die Sprache der Administrationsoberfläche entsprechend den Einstellungen des benutzten Webbrowsers. Wenn der Webbrowser auf die deutsche Sprache eingestellt ist, wird auch die Oberfläche des M875 automatisch auf Deutsch angezeigt. In allen anderen Fällen wird die Oberfläche auf Englisch angezeigt. Das M875 verwendet die deutsche Sprache, unabhängig vom verwendeten Webbrowser. Das M875 verwendet die englische Sprache, unabhängig vom verwendeten Webbrowser. Spracheinstellung umschalten Zum Umschalten der Sprache gehen Sie wie folgt vor: 1. Öffnen Sie oben rechts aus der Startseite die Klappliste für die Spracheinstellung. 2. Klicken Sie auf die gewünschte Sprache. 3. Bestätigen Sie die Auswahl, indem Sie auf die Schaltfläche "Go" klicken. Falls die Sprache nicht sofort umgestellt wird, benutzen Sie die Aktualisieren-Funktion Ihres Webbrowsers (Funktionstaste "F5"). Betriebsanleitung, 12/2012, C79000-G8900-C

42 4.2 Startseite der Weboberfläche - Überblick 4.2 Startseite der Weboberfläche - Überblick Beschreibung der Oberfläche Die Startseite bietet einen Überblick über den aktuellen Betriebsstatus des M875, wie nachfolgende Abbildung zeigt: Aktualisierung der angezeigten Werte Die hier angezeigten Werte werden alle 30 Sekunden aktualisiert. Benutzen Sie zur spontanen Aktualisierung der angezeigten Werte die Funktionstaste "F5". Aktuelle Systemzeit Zeigt die aktuelle Systemzeit des M875 an, im Format: Jahr-Monat-Tag, Stunden:Minuten Verbunden seit Zeigt mit Datum und Uhrzeit an, seit wann die aktuelle Funkverbindung besteht. 42 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

43 4.2 Startseite der Weboberfläche - Überblick Externer Host-Name Zeigt den Host-Namen des M875 an (z. B. M875.mydns.org), wenn ein DynDNS-Dienst verwendet wird. Zugewiesene IP-Adresse Zeigt die IP-Adresse an, unter der das M875 im Mobilfunknetz zu erreichen ist. Diese IP- Adresse wird dem M875 vom Dienst des Netzwerkbetreibers zugewiesen. Verbindung Zeigt an, ob eine Funkverbindung besteht, und falls ja, welche: UMTS: IP-Verbindung über HSDPA+HSUPA, UMTS GPRS: IP-Verbindung über EGPRS oder GPRS Hinweis Verbindungsüberwachung nutzen Möglicherweise wird Ihnen eine IP-Datenverbindung und auch eine zugewiesene IP-Adresse angezeigt, obwohl die Verbindungsqualität nicht ausreicht, um Daten zu übertragen. Deshalb empfehlen wir, die Verbindungsüberwachung zu nutzen. Nähere Informationen finden Sie im Kapitel Prüfen der Verbindung - Verbindungsüberwachung (Seite 70). Signalstärke CSQ (dbm) Die Balkenanzeige und die darüber stehende Ziffer geben die Stärke des GSM-Signals als CSQ-Wert an. CSQ = 0 CSQ < 6 CSQ 6 10 CSQ CSQ > 18 Keine Verbindung zum GSM-Netz Schlechte Signalstärke Mittlere Signalstärke Gute Signalstärke Sehr gute Signalstärke Der dbm-wert wird in Klammern hinter dem CSQ-Wert angegeben. Wenn die Funktion "Installationsmodus" aktiviert ist, dann ist die Anzeige nicht aktiv. Verwendeter APN Zeigt den verwendeten APN (Access Point Name) der Funkverbindung an. IMSI Dieser Eintrag zeigt die Teilnehmerkennung an, die auf der verwendeten SIM-Karte gespeichert ist. Betriebsanleitung, 12/2012, C79000-G8900-C

44 4.2 Startseite der Weboberfläche - Überblick Anhand dieser Kennung (IMSI = International Mobile Subscriber Identity) erkennt der Mobilfunkbetreiber die Berechtigungen und vereinbarten Dienste der SIM-Karte. NTP-Synchronisation Zeigt an, ob die Systemzeit über NTP von einem NTP-Server bezogen wird. Der Dienst ist aktiviert. Der Dienst ist nicht aktiviert. DynDNS Zeigt an, ob ein DynDNS-Dienst aktiviert ist. Der Dienst ist aktiviert. Der Dienst ist nicht aktiviert. Informationen darüber, ob die Anmeldung bei einem DNS-Dienst erfolgreich war, finden Sie im Logbuch. Fernzugang HTTPS Zeigt an, ob Zugriffe auf die Weboberfläche des M875 aus der Ferne über das Funknetz erlaubt sind, siehe Kapitel HTTPS (Seite 118). Der Zugriff ist erlaubt. Der Zugriff ist nicht erlaubt. Fernzugang SSH Zeigt an, ob Zugriffe auf die SSH-Konsole des M875 aus der Ferne über das Funknetz erlaubt sind. Der Zugriff ist erlaubt. Der Zugriff ist nicht erlaubt. 44 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

45 4.2 Startseite der Weboberfläche - Überblick CSD-Einwahl Zeigt an, ob CSD-Service-Anrufe aus der Ferne erlaubt sind. Der Zugriff ist erlaubt. Der Zugriff ist nicht erlaubt. SNMP Zeigt an, ob der Zugriff über SNMP erlaubt ist. Der Zugriff über SNMP ist erlaubt. Der Zugriff über SNMP ist erlaubt. SNMP Trap Zeigt an, ob Alarmereignisse über SNMP Traps übermittelt werden. Ein oder mehrere Ereignisse werden übermittelt. Es werden keine Alarmereignisse übermittelt. Volumenüberwachung Zeigt an, ob die Volumenüberwachung ein- oder ausgeschaltet ist. Die Funktion ist eingeschaltet. Die Funktion ist ausgeschaltet. ID der aktuellen Funkzelle Dieser Eintrag zeigt die durch die Identifikationsnummer an, in welche Funkzelle sich das Gerät eingebucht hat (Cell ID). Anzahl WAN-Verbindungsversuche (24h) Dieser Zähler zeigt an, wie oft das M875 in den letzten 24 Stunden versucht hat, eine Verbindung zum Mobilfunknetz aufzubauen. Betriebsanleitung, 12/2012, C79000-G8900-C

46 4.3 System Gesendete Bytes und empfangene Bytes auf dieser Verbindung Diese Einträge zeigen die Anzahl der Bytes an, die während der bestehenden Verbindung zum Mobilfunknetz gesendet bzw. empfangen worden sind. Die Zähler werden beim Aufbau einer neuen Verbindung zurückgesetzt. Hinweis Diese Zahlen dienen nur als Anhaltspunkt für das Datenvolumen und können von der Abrechnung des Mobilfunkbetreibers deutlich abweichen. Gesendete Bytes und empfangene Bytes seit Laden der Werkseinstellungen Diese Einträge zeigen die Anzahl der Bytes an, die seit dem letzten Neustart bzw. Laden der Werkseinstellungen über das Mobilfunknetz gesendet bzw. empfangen worden sind. Die Zähler werden beim Laden der Werkseinstellungen zurückgesetzt. Datenvolumen (Bytes / aktueller Monat) Dieser Zähler gibt das Datenvolumen in Byte an, das seit Anfang des Monats über das M875 übertragen wurde. Maximales Datenvolumen (Bytes / Monat) Dieser Eintrag zeigt an, auf welchen Grenzwert die Volumenüberwachung gesetzt wurde. Anzahl der aktivierten Firewall-Regeln Diese Angabe zeigt an, wie viele Firewall-Regeln zurzeit aktiv sind. Firmware-Version Diese Angabe zeigt die Versionsnummer der aktuell installierten Firmware des M875 an. 4.3 System Systemzeit Die Systemzeit wird als Zeitstempel für alle Logbuch-Einträge benutzt und dient als Grundlage für alle zeitgesteuerten Funktionen. 46 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

47 4.3 System Sie können die Systemzeit des M875 selbst manuell einstellen, oder Sie lassen sie mit einem Zeitserver über NTP (Network Time Protocol) automatisch synchronisieren. Im Internet gibt es eine Reihe von NTP-Servern, von denen die aktuelle Uhrzeit bezogen werden kann. Aufruf der Webseite Wählen Sie in der Navigation "System" > "Systemzeit". Aktuelle Systemzeit Dieser Eintrag zeigt das derzeit eingestellte Datum und die Uhrzeit an. Systemzeit setzen Unter diesem Eintrag legen Sie Datum und Uhrzeit des Systems selbst manuell fest. In der Voreinstellung wird die Zeit des Admin-PC angezeigt, mit dem Sie mit dem M875 verbunden sind. 1. Geben Sie Datum und Uhrzeit ein. 2. Klicken Sie auf die Schaltfläche setzen. Die eingegebene Systemzeit wird oben unter "Aktuelle Systemzeit" angezeigt. Betriebsanleitung, 12/2012, C79000-G8900-C

48 4.3 System Lokale Zeitzone / Region NTP-Server übermitteln die UTC (Universal Time Coordinated), d.h. die koordinierte Weltzeit. Wählen Sie aus der Klappliste die Zeitzone, in der das M875 eingesetzt wird. Datum und Uhrzeit dieser Zeitzone werden als Systemzeit verwendet. NTP-Synchronisation aktivieren Hinweis Erhöhte Kosten durch zusätzliches Datenaufkommen Die Synchronisation der Systemzeit über NTP verursacht ein zusätzliches Datenaufkommen auf der Mobilfunkverbindung. Abhängig von Ihrem Teilnehmervertrag mit dem Mobilfunkbetreiber können damit erhöhte Kosten verbunden sein. Wenn Sie Datum und Uhrzeit über einen NTP-Zeitserver synchronisieren lassen wollen, wählen Sie "Ja" aus der Klappliste. Liste der NTP-Server Sie können mehrere NTP-Server festlegen. Um einen zusätzlichen NTP-Server festzulegen, klicken Sie auf die Schaltfläche "Neu". NTP-Server Geben Sie in das Eingabefeld die IP-Adresse eines NTP-Servers ein. Sie können auch den werkseitig eingestellten NTP-Server verwenden (siehe unten). Die Eingabe der NTP-Adresse als Host-Name (z. B. timeserver.org) ist nicht möglich. Polling-Intervall Die Zeitsynchronisation erfolgt automatisch spätestens alle 36 Stunden. Aus der Klappliste "Polling-Intervall" können Sie einen anderen Zeitabstand für die Synchronisation auswählen. Systemzeit dem lokalen Netz bereitstellen Das M875 selbst kann auch als NTP-Zeitserver für die Applikationen dienen, die an seiner lokalen Schnittstelle angeschlossen sind. Um diese Funktion zu aktivieren, wählen Sie "Ja" aus der Klappliste. Der NTP-Zeitserver im M875 ist über die eingestellte lokale IP-Adresse des M875 erreichbar. Nähere Informationen dazu finden Sie im Kapitel Lokale IP-Adressen (Seite 51). 48 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

49 4.3 System Werkseinstellungen Lokale Zeitzone: UTC NTP-Synchronisation aktivieren: Nein NTP-Server: Polling-Intervall: 1.1 Stunden Systemzeit dem lokalen Netz Nein bereitstellen: Logbuch Im Logbuch werden folgende wichtige Ereignisse im Betriebsablauf des M875 abgespeichert: Neustart Änderungen der Konfiguration Verbindungsaufbau Verbindungsunterbrechungen Signalstärke Betriebsmeldungen Das Logbuch wird bei Erreichen einer Dateigröße von 1 MB oder spätestens nach 24 Stunden im Logbuch-Archiv des M875 gespeichert. Aufruf der Webseite Wählen Sie in der Navigation "System" > "Logbuch". Betriebsanleitung, 12/2012, C79000-G8900-C

50 4.3 System Aktuelles Logbuch herunterladen und Logbuch-Archiv Wenn Sie auf die Schaltfläche "Download" klicken, öffnet sich ein Dialog zum Öffnen oder Speichern der aktuellen bzw. der archivierten Log-Dateien. Folgen Sie den Anweisungen des Dialogs. Bedeutung der Einträge im Logbuch Spalte A: Spalte B: Spalte C: Spalte D: Zeitstempel mit Datum und Uhrzeit Produktname Signalqualität (CSQ-Wert) GSM-Einbuchstatus STAT=- - -: Funktion nicht gestartet STAT=1: Im Heimatnetz eingebucht STAT=2: Nicht eingebucht; Netzsuche STAT=3: Einbuchen abgelehnt STAT=5: Eingebucht in Fremdnetz (Roaming) Spalte E: Angabe der Identifikation des Netzbetreibers mit dem 3-stelligen Ländercode (MCC) und dem 2- bis 3-stelligen Netzbetreibercode (MNC), z. B : 262 = Ländercode Deutschland, 01 = Netzbetreibercode T-Mobile Spalte F: Kodierter Betriebsstatus (für Siemens Customer Support) Spalte G: Kategorie der Logbuch-Meldung (für Siemens Customer Support) Spalte H: Interne Quelle der Logbuch-Meldung (für Siemens Customer Support) Spalte I: Interne Meldenummer (für Siemens Customer Support) Spalte J: Logbuch-Meldung im Klartext Spalte K - P: Zusatzinformationen zur Klartextmeldung, z. B. Cell-ID (ID der aktiven Funkzelle) Softwareversion (aktuelle Firmware-Version) TXS, RXS (übertragene IP-Pakete der aktuellen Verbindung) TX, RX (übertragene IP-Pakete seit letztem Laden der Werkseinstellungen) Geräteidentifikation Die Angaben zur Geräteidentifikation können von einer Management-Station über SNMP ausgelesen werden. Aufruf der Webseite Wählen Sie in der Navigation "System" > "Geräteidentifikation". Geben Sie in die Eingabefelder der Zeilen 1 bis 4 einen beliebigen Text ein. 50 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

51 4.4 Netzwerk Intern 4.4 Netzwerk Intern Lokale Schnittstelle Schnittstelle Die 2-Port-Schnittstelle dient zum Anschluss des lokalen Netzes an das M875. Die Eigenschaften der Schnittstelle X2 finden Sie unter den technischen Daten. Mithilfe von Autonegation wird automatisch erkannt, welche der beiden Übertragungsgeschwindigkeiten im Ethernet genutzt wird. Lokales Netz Das lokale Netz ist das Netzwerk der Station, das an der Ethernet-Schnittstelle des M875 angeschlossen wird. Das lokale Netz enthält mindestens eine lokale Applikation. Lokale Applikation Eine lokale Applikation ist eine Anwendungs-Software auf einer Netzwerkkomponente im lokalen Netz, z. B. eine programmierbare Steuerung, eine Maschine mit Ethernet- Schnittstelle zur Fernüberwachung, ein Notebook oder der Admin-PC Lokale IP-Adressen Bild 4-2 Konfiguration eines lokalen Netzes Betriebsanleitung, 12/2012, C79000-G8900-C

52 4.4 Netzwerk Intern Hinweis IP-Adressen und Netzmaske gemäß RFC 1918 Die werkseitig eingestellten IP-Adressen und Netzmasken können frei verändert werden, müssen jedoch der Spezifikation RFC 1918 folgen. Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Intern" > "Grundeinstellungen" > "Lokale IP- Adressen". IP-Adressen anlegen und verwalten Werkseitig ist das M875 unter der folgender Adresse erreichbar: IP-Adresse: Netzmaske: Sie können zusätzliche Adressen festlegen, unter denen das M875 von lokalen Applikationen erreichbar ist. Zusätzliche Adressen sind hilfreich, wenn z. B. das lokale Netz in Subnetze unterteilt wird. Dann können mehrere lokale Applikationen aus verschiedenen Subnetzen das M875 unter unterschiedlichen Adressen erreichen. 1. Klicken Sie auf die Schaltfläche "Neu". 2. Geben Sie die IP-Adresse und die Netzmaske in die Eingabefelder ein. 3. Speichern Sie Ihre Angaben durch Klicken auf die Schaltfläche "Speichern". 52 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

53 4.4 Netzwerk Intern Mit der Schaltfläche "Löschen" können Sie die zusätzlich angelegten Adressen löschen. Hinweis Geänderte Adressen bei DHCP Wenn Sie Adressen ändern und gleichzeitig die DHCP-Funktion des M875 nutzen, dann beachten Sie eventuell erforderliche Änderungen dort, siehe Kapitel DHCP-Server am lokalen Netz (Seite 53). Hinweis Einsatz des M875 nicht als Router zwischen internen Subnetzen Setzen Sie das M875 nicht als Router zwischen internen Subnetzen ein DHCP-Server am lokalen Netz Bild 4-3 Konfiguration eines lokalen Netzes Im M875 ist ein DHCP-Server integriert. Wenn der Server eingeschaltet ist, weist er den Applikationen, die an der lokalen Schnittstelle angeschlossen sind, folgende Parameter automatisch zu: IP-Adresse Netzmasken Gateway DNS-Server Die lokalen Applikationen müssen dazu so eingestellt sein, dass sie die IP-Adressen und die Konfigurationsparameter per DHCP beziehen dürfen. Betriebsanleitung, 12/2012, C79000-G8900-C

54 4.4 Netzwerk Intern Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Intern" > "Grundeinstellungen" > "DHCP" DHCP-Server starten 1. Wählen Sie aus der Klappliste "DHCP-Server starten" > "Ja". 2. Wählen Sie aus der Klappliste "Dynamischen IP-Adresspool aktiveren" > "Ja". 3. Klicken Sie unter "Liste der statischen Zuordnungen" auf "Neu". Folgende Optionen stehen zur Verfügung: Ja: Nein: Der DHCP-Server ist eingeschaltet. Der DHCP-Server ist ausgeschaltet. Lokale Netzmaske Tragen Sie hier die lokale Netzmaske ein, die den lokalen Applikationen zugewiesen wird. Standard-Gateway Tragen Sie hier das Standard-Gateway ein, das den lokalen Applikationen zugewiesen wird. DNS-Server Tragen Sie hier den DNS-Server ein, der den lokalen Applikationen zugewiesen wird. 54 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

55 4.4 Netzwerk Intern Dynamischen IP-Adresspool aktivieren Wählen Sie eine der beiden Optionen: Ja: Nein: Die IP-Adressen, die der DHCP-Server des M875 vergibt, werden aus einem dynamischen Adresspool entnommen. Nehmen Sie im unteren Bereich "Liste der statischen Zuordnungen" die Zuordnung der IP-Adressen zu den MAC-Adressen der lokalen Applikationen selbst vor. Bereichsanfang Tragen Sie die erste Adresse des dynamischen Adresspools in das Eingabefeld ein. Bereichsende Tragen Sie die letzte Adresse des dynamischen Adresspools in das Eingabefeld ein. Liste der statischen Zuordnungen Sie können für die MAC-Adressen der lokalen Applikationen korrespondierende IP-Adressen festlegen. Wenn eine lokale Applikation die Zuweisung einer IP-Adresse per DHCP anfordert, dann übermittelt die Applikation dabei ihre MAC-Adresse. Wenn Sie für diese MAC-Adresse eine IP-Adresse statisch zuordnen, dann wird diese IP-Adresse der lokalen Applikation zugewiesen. Geben Sie folgende Angaben in die entsprechenden Eingabefelder ein: MAC-Adresse des Client IP-Adresse des Client Werkseinstellungen DHCP-Server starten: Nein Lokale Netzmaske: Standard-Gateway: DNS-Server: Dynamischen IP-Adresspool Nein aktivieren: Bereichsanfang: Bereichsende: Betriebsanleitung, 12/2012, C79000-G8900-C

56 4.4 Netzwerk Intern Lokaler Host-Name Hinweis Firewall-Regeln erstellen Das Sicherheitskonzept des M875 erfordert für jede lokale Applikation, welche die Host- Name-Funktion nutzt, eine ausgehende Firewall-Regel. Nähere Informationen dazu finden Sie im Kapitel Firewall-Regeln (Seite 78). Das M875 kann aus dem lokalen Netz auch über einen Host-Namen adressiert werden. Legen Sie dazu einen Host-Namen fest, z. B.. Dann kann das Gerät unter diesem Namen, z. B. von einem Webbrowser, aufgerufen werden. Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Intern" > "Grundeinstellungen" > "DNS". Die Seite "Netzwerk Intern - Grundeinstellungen - DNS" erscheint. Host-Name Geben Sie in das Eingabefeld einen Host-Namen ein, unter dem das M875 aufgerufen wird, z. B. "SCALANCE". Suchpfad Hinweis DHCP Wenn Sie kein DHCP verwenden, dann müssen Sie im M875 und bei den lokal angeschlossenen Applikationen selbst identische Suchpfade eintragen. Wenn Sie DHCP verwenden, dann erhalten die lokal angeschlossenen Applikationen den im M875 eingetragenen Suchpfad automatisch. Werkseinstellungen Suchpfad: example.local Host-Name: SCALANCE 56 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

57 4.4 Netzwerk Intern DNS-Server am lokalen Netz Bild 4-4 Konfiguration DNS-Funktion Das M875 stellt dem lokalen Netz einen DNS-Server zur Verfügung. Wenn Sie in Ihrer lokalen Applikation die IP-Adresse des M875 als DNS-Server eintragen, dann beantwortet das M875 DNS-Anfragen aus seinem Cache. Falls das M875 die IP- Adresse zu einer Domain-Adresse nicht kennt, dann leitet es die Anfrage an einen externen DNS-Server weiter. Wie lange das M875 eine Domain-Adresse im Cache behält, ist abhängig vom adressierten Host. Die DNS-Anfrage an einen externen DNS-Server liefert außer der IP-Adresse auch die Lebensdauer dieser Information zurück. Als externe DNS- Server können Server des Netzbetreibers, Server im Internet oder Server im privaten, externen Netz verwendet werden. Betriebsanleitung, 12/2012, C79000-G8900-C

58 4.4 Netzwerk Intern Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Intern" > "Grundeinstellungen" > "DNS". Benutzter Name-Server Wählen Sie aus der Klappliste, an welchen DNS-Server Anfragen weitergeleitet werden. Folgende Auswahl steht zur Verfügung: Betreiberdefiniert: Benutzerdefiniert: Beim Verbindungsaufbau der UMTS/GPRS-Verbindung übermittelt der Netzbetreiber automatisch eine oder mehrere DNS-Server-Adressen, welche verwendet werden. Sie wählen als Anwender Ihre bevorzugten DNS-Server aus. Die DNS-Server können mit dem Internet verbunden sein, oder es kann sich um private DNS-Server in Ihrem Netz handeln. Liste der benutzerdefinierten Name-Server Dieser Eintrag erscheint, wenn Sie die Option "Benutzerdefiniert" gewählt haben. 1. Um einen Name-Server anzulegen, klicken Sie auf die Schaltfläche "Neu". 2. Geben Sie in das Eingabefeld unter "IP-Adresse des Name-Servers" die IP-Adresse des gewünschten DNS-Servers ein. 3. Klicken Sie auf die Schaltfläche "Speichern". 58 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

59 4.4 Netzwerk Intern Werkseinstellungen Benutzter Name-Server: Betreiberdefiniert Liste der benutzerdefinierten Name-Server Bei neuem Eintrag: Zusätzliche interne Routen Wenn sich das lokale Netz in Subnetze aufteilt, können Sie zusätzliche Routen definieren, um Subnetze an das M875 zu koppeln. Beschreibung der Oberfläche 1. Wählen Sie in der Navigation "Netzwerk Intern" > "Erweiterte Einstellungen" > "Zusätzliche interne Routen". 2. Klicken Sie auf die Schaltfläche "Neu". Sie gelangen zur unten abgebildeten Seite. Eine zusätzliche interne Route einrichten 1. Geben Sie unter "Netzwerk" die IP-Adresse des Subnetzwerks in das Eingabefeld ein. 2. Geben Sie unter "Gateway" die IP-Adresse des Gateways ein, über welches das Subnetz angeschlossen ist. 3. Klicken Sie abschließend auf die Schaltfläche "Speichern". Zusätzliche Informationen finden Sie im Anhang Zusätzliche interne Routen (Seite 157). Betriebsanleitung, 12/2012, C79000-G8900-C

60 4.5 Netzwerk Extern Werkseinstellungen Vorgabe für neue Routen: Nein Netzwerk: /24 Gateway: Netzwerk Extern Externe Schnittstelle Die externe Schnittstelle des M875 verbindet das Gerät mit dem externen Netz. Dafür stehen die beiden Antennenbuchsen vom Typ SMA zur Verfügung. Zur Kommunikation wird an diesen Schnittstellen HSDPA, HSUPA, UMTS, EGPRS oder GPRS verwendet. Externe Netze Externe Netze sind z. B. das Internet oder ein privates Intranet. Externe Gegenstellen Externe Gegenstellen sind Netzwerkkomponenten im externen Netz, z. B. Webserver im Internet, Router im Intranet, ein zentraler Firmenserver oder ein Admin-PC. In den folgenden Kapiteln wird beschrieben, wie die externe Schnittstelle und die damit verbundenen Funktionen projektiert werden UMTS/EDGE - Zugangsparameter Bild 4-5 Konfiguration mit Zugang zum Internet 60 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

61 4.5 Netzwerk Extern Für den Zugang zum GSM-Netz und den Diensten HSPA, UMTS, E/GPRS sind folgende Zugangsparameter erforderlich: Die PIN schützt die SIM-Karte vor unbefugter Benutzung des Geräts. Benutzername und Passwort schützen den Zugang zum Mobilfunknetz. Der APN (Access Point Name) ist der Name des Übergangspunkts vom Mobilfunknetz zu weiteren verbundenen IP-Netzen, hier zum Internet. Sie erhalten diese Zugangsparameter von Ihrem Mobilfunkbetreiber. Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "UMTS/EDGE". Betriebsanleitung, 12/2012, C79000-G8900-C

62 4.5 Netzwerk Extern PIN Hinweis SIM-Karte ohne PIN Das M875 arbeitet auch mit SIM-Karten ohne PIN. In diesem Fall geben Sie "NONE" in das Eingabefeld ein. Wenn keine Eingabe erfolgt, wird das Eingabefeld der PIN nach dem Speichern rot umrandet. Die Funktion kann nicht ausgeführt werden. Bei Fehleingaben wird die SIM-Karte gesperrt Achten Sie darauf, die PIN korrekt einzugeben. Wenn Sie die PIN öfter als 3 Mal falsch eingeben, wird die SIM-Karte gesperrt. Zum Entsperren muss die Karte aus dem Gerät genommen, in ein Mobilfunktelefon eingesetzt werden und kann dann durch Eingabe der PUK wieder entsperrt werden. Setzen Sie sich gegebenenfalls mit Ihrem Mobilfunkbetreiber in Verbindung. Von Ihrem Netzwerkbetreiber haben Sie eine PIN zu Ihrer SIM-Karte erhalten. 1. Geben Sie die PIN zu Ihrer SIM-Karte in das Eingabefeld ein. 2. Bestätigen Sie Ihre Eingabe durch Klick auf die Schaltfläche "Speichern" (nicht "Ändern"). Ein grüner Punkt mit weißem Häkchen neben dem Eingabefeld zeigt an, dass die PIN erfolgreich im Gerät gespeichert wurde. Ein roter Punkt mit weißem Kreuz neben dem Eingabefeld zeigt an, dass die PIN falsch eingegeben wurde und / oder keine PIN im Gerät gespeichert wurde. PIN ändern Sie haben die Möglichkeit, die PIN, die von Ihrem Netzwerkbetreiber auf der SIM gespeichert ist, nachträglich durch eine eigene PIN zu ersetzen. Klicken Sie dazu auf die Schaltfläche "Ändern". Hinweis Erkundigen Sie sich bei Ihrem Mobilfunkbetreiber, ob diese Funktion unterstützt wird. 1. Geben Sie in das Eingabefeld "Neue PIN" Ihre eigene PIN ein. Die Eingabe wird durch verdeckte Zeichen angezeigt. 2. Wiederholen Sie die Eingabe im nächsten Eingabefeld. 3. Bestätigen Sie Ihre Eingabe durch Klick auf die Schaltfläche "Setzen". Eine Meldung erscheint mit der Information, dass die PIN entweder erfolgreich geändert wurde oder nicht geändert werden konnte. 4. Bestätigen Sie diese Meldung durch Klicken auf die Schaltfläche "OK". Dadurch gelangen Sie automatisch zurück zur Seite "Netzwerk Extern - UMTS/EDGE". 62 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

63 4.5 Netzwerk Extern Netzauswahl Wählen Sie aus der Klappliste den Typ des Mobilfunknetzes aus, der verwendet wird. Folgende Optionen stehen zur Auswahl: UMTS oder GSM: Nur GSM: Nur UMTS: Alle verfügbaren Dienste. Das Gerät versucht bevorzugt, eine Verbindung mit dem UMTS- Netz herzustellen. Die Dienste EGPRS und GPRS Das Gerät ignoriert das UMTS-Netz und baut eine Verbindung zu dem GSM-Dienst auf, der vor Ort die höchste Bandbreite zur Verfügung stellt. Der Dienst UMTS Das Gerät ignoriert die Dienste EGPRS und GPRS und baut eine Verbindung im UMTS-Netz auf. Roaming erlauben Legen Sie fest, ob sich das Gerät automatisch bei einem anderen Netz anmelden soll, falls das festgelegte GSM-Netz nicht erreichbar ist. Wählen Sie dazu aus der Klappliste eine der beiden Optionen: Ja: Nein: Das Gerät meldet sich automatisch bei einem verfügbaren Netz an. Das Gerät meldet sich nicht automatisch bei einem verfügbaren Netz an. Methode der Authentifizierung Wählen Sie aus der Klappliste eine Methode aus, nach dem Benutzername und Passwort des Geräts zum Kommunikationspartner übertragen werden sollen: Automatisch CHAP PAP Benutzername und Passwort werden automatisch mit einer der beiden folgenden Methoden übertragen. CHAP hat die höhere Priorität. Wenn der Kommunikationspartner CHAP nicht unterstützt, werden Benutzername und Passwort per PAP übertragen. Verschlüsselte Übertragung von Benutzername und Passwort über das Challenge Handshake Authentication Protocol ( CHAP) Unverschlüsselte Übertragung von Benutzername und Passwort über das Password Authentication Protocol (PAP) Modus der Betreiberauswahl Sie haben die Möglichkeit, die Zugangsparameter eines Mobilfunkbetreibers selbst manuell einzugeben, oder das M875 wählt die passenden Zugangsparameter aus einer Liste von Betreibern automatisch aus. Die automatische Auswahl erfolgt anhand der PLMN-Kennung auf der SIM-Karte, siehe unten. Betriebsanleitung, 12/2012, C79000-G8900-C

64 4.5 Netzwerk Extern Wählen Sie aus der Klappliste eine der beiden Optionen: Manuell: Automatisch: Geben Sie Benutzername, Passwort und APN für den Mobilfunkdienst händisch ein. Auf der Weboberfläche erscheint die "Liste der Mobilfunkbetreiber", wie oben abgebildet. Werkseitig sind bereits die Zugangsdaten von vier Netzwerkbetreibern eingestellt, siehe Tabelle unten. Liste der Mobilfunkbetreiber Tragen Sie hier die relevanten Daten Ihres Zugangs zum GSM-Netz ein. Betreiber Geben Sie in das Eingabefeld eine Bezeichnung für den Mobilfunkdienst an, z. B. "Mein GPRS-Zugang". Netz-ID (PLMN) Jeder Mobilfunkbetreiber hat eine weltweit einmalig vergebene Identifikationsnummer, die PLMN. Diese Kennung, hier Netz-ID genannt, ist auf der SIM-Karte gespeichert. Das M875 liest die PLMN automatisch von der SIM-Karte aus und wählt die entsprechenden Zugangsdaten aus der "Liste der Mobilfunkbetreiber". APN Der APN (Access Point Name) ist der DNS-Host-Name des Zugangspunkts eines Netzwerkbetreibers zu einem externen Paketdatennetz wie UMTS, GPRS etc. Geben Sie in das Eingabefeld den APN Ihres Mobilfunkbetreibers ein. Benutzername Geben Sie in das Eingabefeld den Benutzernamen ein, den Ihnen Ihr Mobilfunkbetreiber mitgeteilt hat. Einige Betreiber verzichten auf die Zugangskontrolle durch einen Benutzernamen. In diesem Fall tragen Sie in das Eingabefeld "guest" ein. Passwort Geben Sie in das Eingabefeld das Passwort des entsprechenden Anbieters ein. 64 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

65 4.5 Netzwerk Extern Einige Mobilfunkbetreiber verzichten auf die Zugangskontrolle durch ein Passwort. In diesem Fall tragen Sie in das Eingabefeld "guest" ein. Hinweis Suche nach APN, Benutzername und Passwort Informationen über diese Zugangsdaten erhalten Sie von Ihrem Mobilfunkbetreiber oder über das Internet. Geben Sie in eine Suchmaschine z. B. die Stichworte "APN Mobilfunkanbieter" ein. Das Suchergebnis liefert eine Übersicht verschiedener Betreiber mit den benötigten Zugangsparametern. Werkseinstellungen Vorbelegung bei manueller Auswahl des Mobilfunkbetreibers In den Werkseinstellungen ist der "Modus der Betreiberauswahl" mit "Manuell" vorbelegt. In diesem Fall sind folgende Werte vorbelegt: PIN: APN: Benutzername: Passwort: NONE NONE guest guest Vorbelegung bei automatischer Auswahl des Mobilfunkbetreibers Bei automatischer Auswahl des Mobilfunkbetreibers sind folgende Werte vorbelegt: 1. Betreiber: T-Mobile PLMN-Kennung: APN: internet.t-mobile Benutzername: guest Passwort: guest 2. Betreiber: Vodafone PLMN-Kennung: APN: web.vodafone.de Benutzername: guest Passwort: guest 3. Betreiber: Eplus PLMN-Kennung: APN: internet.eplus.de Benutzername: guest Betriebsanleitung, 12/2012, C79000-G8900-C

66 4.5 Netzwerk Extern Passwort: guest 4. Betreiber: O2 PLMN-Kennung: APN: internet Benutzername: guest Passwort: guest n. Betreiber: NONE PLMN-Kennung: NONE APN: NONE Benutzername: NONE Passwort: NONE Installationsmodus - Antennen ausrichten Zur optimalen Ausrichtung der Antenne, die an Buchse A1 angeschlossen ist, steht Ihnen der Installationsmodus zur Verfügung. Diese Funktion erleichtert es Ihnen, die Signalstärke an verschiedenen Antennenpositionen zu testen. Die Angaben auf der Seite "Installationsmodus" werden in Abständen von wenigen Sekunden aktualisiert. Dadurch erhalten Sie schnell Auskunft über die Signalqualität an den Testpositionen, um die optimale Position festlegen zu können. Für den Installationsmodus ist keine Mobilfunkverbindung notwendig. Hinweis Neustart beim Aktivieren und Deaktivieren Wenn Sie die Funktion "Installationsmodus" aktivieren oder deaktivieren, dann wird beim Klicken auf die Schaltfläche "Speichern" automatisch ein Neustart des Geräts durchgeführt. Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Installationsmodus". Werkseitig ist der Installationsmodus deaktiviert. 1. Um die Funktion zu aktiveren, wählen Sie aus der Klappliste eine Zeit aus, während der der Installationsmodus aktiviert ist (15 / 30 / 60 / 120 Minuten). 2. Klicken Sie auf die Schaltfläche "Speichern". Das M875 führt einen Neustart durch und die nachfolgend beschriebenen Einträge erscheinen. 3. Sie können die eingeschaltete Funktion durch Auswahl der Option "Nein" vorzeitig beenden. 66 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

67 4.5 Netzwerk Extern Status der aktuellen Funkzelle In diesem Bereich der Seite finden Sie Angaben, die sich auf die Mobilfunkzelle beziehen, in die sich das M875 aktuell eingebucht hat. Status der benachbarten Funkzellen In diesem Bereich der Seite finden Sie Angaben zu den benachbarten, verfügbaren Mobilfunkzellen. Angaben zur Funkzelle Signalstärke Die Balkenanzeige gibt die Stärke des GSM-Signals an. Die Ziffern über der Balkenanzeige geben den CSQ-Wert des Signals an. Der dbm-wert wird in Klammern hinter dem CSQ-Wert angegeben. ID der Funkzelle Kennung für die Funkzelle im Mobilfunknetz LAC (Location Area Code) Kennung für den aktuellen Aufenthaltsbereich des M875 innerhalb des Mobilfunknetzes ARFCN (Absolute Radio Frequency Channel Number) Anhand der ARFCN lassen sich die Uplink- und Downlink-Frequenzen berechnen. BSIC (Base Station Identity Code) Diese Kennung dient dazu, benachbarte Kanäle mit Überschneidung der Frequenzbänder unterscheiden zu können Volumenüberwachung Diese Funktion überwacht, wann ein festgelegter Grenzwert bei der Datenübertragung erreicht wird. Die Obergrenze, die Sie selbst festlegen, definiert das maximale Datenvolumen pro Monat. Das aktuelle Datenvolumen des jeweiligen Monats und die Obergrenze werden auf der Seite "System - Status" unter dem Eintrag "Überblick" angezeigt. Das M875 kann automatisch Nachrichten per SMS verschicken, sobald 80% und 100% des festgelegten Datenvolumens erreicht sind. Werkseitig ist die Volumenüberwachung ausgeschaltet. Betriebsanleitung, 12/2012, C79000-G8900-C

68 4.5 Netzwerk Extern Hinweis Das hier ermittelte Datenvolumen pro Monat kann aufgrund von Blockrundungen oder unterschiedlichen Abrechnungszeiträumen deutlich von der Abrechnung Ihres Mobilfunkbetreibers abweichen. Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Volumenüberwachung". Volumenüberwachung aktivieren Folgende Optionen stehen zur Verfügung: Ja: Nein: Die Volumenüberwachung ist eingeschaltet. Die Volumenüberwachung ist ausgeschaltet. 68 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

69 4.5 Netzwerk Extern Übertragene Bytes seit Monatsbeginn Dieser Zähler gibt das Datenvolumen in Byte an, das seit Anfang des Monats über das M875 übertragen wurde. Am Ersten eines Monats wird der Zähler automatisch zurückgesetzt. Wenn Sie auf die Schaltfläche "Zurücksetzen" klicken, wird der Zähler manuell auf 0 gesetzt. Maximales Datenvolumen in Byte pro Monat Geben Sie in das Eingabefeld den Grenzwert des monatlichen Datenvolumens in Byte ein. Werkseitig ist der Wert auf Byte eingestellt. SMS-Versand, wenn 80% des max. Datenvolumens erreicht sind Damit das M875 eine Warn-SMS verschickt, sobald 80 % des Datenvolumens erreicht sind, nehmen Sie folgende Einstellungen vor: 1. Aktivieren Sie die SMS-Funktion, indem Sie aus der Klappliste die Option "Ja" wählen. 2. Geben Sie die Rufnummer eines Teilnehmers ein, der SMS-Nachrichten empfangen kann. 3. Ändern Sie gegebenenfalls den werkseitig eingestellten Mitteilungstext. 4. Klicken Sie abschließend auf die Schaltfläche "Speichern". SMS-Versand, wenn 100% des max. Datenvolumens erreicht sind Damit das M875 eine Alarm-SMS verschickt, sobald 100 % des Datenvolumens erreicht sind, nehmen Sie folgende Einstellungen vor: 1. Aktivieren Sie die SMS-Funktion, indem Sie aus der Klappliste die Option "Ja" wählen. 2. Geben Sie die Rufnummer eines Teilnehmers ein, der SMS-Nachrichten empfangen kann. 3. Ändern Sie gegebenenfalls den werkseitig eingestellten Mitteilungstext. 4. Klicken Sie abschließend auf die Schaltfläche "Speichern". Werkseinstellungen Volumenüberwachung aktivieren: Nein (ausgeschaltet) Max. Datenvolumen in Byte seit Monatsbeginn: SMS-Versand, wenn 80% des max. Datenvolumens erreicht sind Aktivieren: Ja: Eingeschaltet Nein: Ausgeschaltet Rufnummer: Nachrichtentext: Rufnummer des Empfänger-Telefons Warning:Max_Data_Volume_nearly_ reached Betriebsanleitung, 12/2012, C79000-G8900-C

70 4.5 Netzwerk Extern SMS-Versand, wenn 100% des max. Datenvolumens erreicht sind Aktivieren: Ja: Eingeschaltet Nein: Ausgeschaltet Rufnummer: Nachrichtentext: Rufnummer des Empfänger-Telefons Alert:Max_Data_Volume_reached Prüfen der Verbindung - Verbindungsüberwachung Bild 4-6 Verbindungsüberwachung Mit der Funktion "Prüfen der Verbindung" überprüft das M875 seine Verbindung zum Mobilfunknetz und zu den angeschlossenen externen Netzen, z. B. dem Internet oder einem Intranet. Dazu sendet das M875 in regelmäßigen Abständen Ping-Pakete (ICMP) an bis zu vier projektierbare Gegenstellen. Der Versand von Ping-Paketen erfolgt unabhängig von den Nutzdatenverbindungen. Wenn das M875 von mindestens einer der Gegenstellen eine Antwort erhält, bedeutet das, dass das Gerät noch mit dem Mobilfunkdienst verbunden und somit betriebsbereit ist. Einige Mobilfunkbetreiber unterbrechen die Verbindungen bei Inaktivität. Dem wird durch die Funktion "Prüfen der Verbindung" vorgebeugt. Hinweis Erhöhte Kosten durch zusätzliches Datenaufkommen Durch das Versenden der Ping-Pakete steigt das Datenaufkommen auf der UMTS/GPRS- Verbindung. Abhängig von Ihrem Teilnehmervertrag mit dem Mobilfunkbetreiber, können damit erhöhte Kosten verbunden sein. 70 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

71 4.5 Netzwerk Extern Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Erweiterte Einstellungen" > "Prüfen der Verbindung". Prüfen der Verbindung Folgende Optionen stehen zur Verfügung: Ja: Nein: Die Verbindungsüberwachung ist eingeschaltet. Die Verbindungsüberwachung ist ausgeschaltet. Hinweis Neustart nach Ausschalten der Funktion Wenn die Verbindungsüberwachung eingschaltet ist und Sie deaktivieren die Funktion, dann müssen Sie das M875 neu starten, damit die Änderung übernommen wird. Betriebsanleitung, 12/2012, C79000-G8900-C

72 4.5 Netzwerk Extern Liste der Ziel-Hosts Hinweis Erreichbarkeit der Gegenstellen Um den Ping jederzeit beantworten zu können, müssen die Gegenstellen ständig erreichbar sein. Wählen Sie daher eine Gegenstelle, deren Erreichbarkeit Sie selbst beeinflussen können. Tragen Sie in die einzelnen Eingabefelder jeweils den Host-Namen einer Gegenstelle ein. Intervall für Verbindungsprüfung (Minuten) Legen Sie mit Ihrer Eingabe einen Zeitraum in Minuten fest, nach dem die Verbindungsprüfung wiederholt wird. Anzahl der erlaubten Fehlversuche Legen Sie mit Ihrer Eingabe die Anzahl der Fehlversuche fest, nach denen die ausgewählte "Aktion bei fehlerhafter Verbindung" (siehe unten) ausgelöst wird. Funktionsweise Wenn mindestens eine der Gegenstellen auf das Ping-Paket antwortet, gilt der Verbindungstest als bestanden. Wenn keine Gegenstelle antwortet, zählt das als Fehlversuch. Nach Ablauf des oben festgelegten Zeitraums wird die Verbindungsprüfung so oft wiederholt, bis die Anzahl der erlaubten Fehlversuche erreicht ist. Danach wird die gewählte "Aktion bei fehlerhafter Verbindung" (siehe unten) ausgelöst. Sobald eine Gegenstelle auf den Verbindungstest antwortet, wird der Zähler für Fehlversuche zurückgesetzt. Aktion bei fehlerhafter Verbindung Wählen Sie eine der folgenden Optionen aus der Klappliste: Verbindung erneuern: Neustart des M875: Nach Ablauf der erlaubten Fehlversuche baut das M875 die Verbindung zum UMTS/GPRS-Netz neu auf. Nach Ablauf der erlaubten Fehlversuche wird ein Neustart des M875 durchgeführt, siehe auch Kapitel Neustart (Seite 140). Werkseinstellungen Prüfen der Verbindung: Nein (ausgeschaltet) Host-Namen: - Intervall für Verbindungsprüfung: 5 (Minuten) Anzahl der erlaubten 3 (Fehlversuche) Fehlversuche: Aktion bei fehlerhafter Verbindung: Verbindung erneuern 72 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

73 4.5 Netzwerk Extern Host-Name durch DynDNS Bild 4-7 Konfiguration der DynDNS-Anbindung Auch wenn Applikationen keine feste IP-Adresse haben und nicht unter einem Host-Namen registriert sind, ist es möglich, sie im Internet erreichbar zu machen. Das geht mit einem Dynamischen Domain Name System (DynDNS). Wenn Sie das M875 bei einem DynDNS-Dienst anmelden, dann ist das Gerät aus dem externen Netz auch unter einem Host-Namen erreichbar, z. B. "myname.dyndns.org". Voraussetzungen Beachten Sie, dass nur öffentliche IP-Adressen per DynDNS-Dienst bekannt gegeben werden können. Außerdem muss die Erreichbarkeit der IP-Adresse aus dem Internet von Ihrem Netzwerkbetreiber freigegeben sein. DynDNS-Anbieter Das M875 ist kompatibel mit den DNS-Diensten, die von DynDNS.org bereitgestellt werden. Betriebsanleitung, 12/2012, C79000-G8900-C

74 4.5 Netzwerk Extern Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Erweiterte Einstellungen" > "DynDNS". Dieses Gerät an einem DynDNS-Server anmelden Wählen Sie aus der Klappliste "Ja". Folgende Optionen stehen zur Verfügung: Ja: Nein: Anmeldung an einen DynDNS-Dienst. Keine Anmeldung an einen DynDNS-Dienst. Benutzername und Passwort Geben Sie hier den Benutzernamen und das Passwort ein, dass Sie zur Nutzung des DynDNS-Service berechtigt. Ihr DynDNS-Anbieter teilt Ihnen diese Angaben mit. Host-Name des DynDNS-Servers Geben Sie hier den Host-Namen ein, den Sie für das M875 mit Ihrem DynDNS-Anbieter vereinbart haben, z. B. myname.dyndns.org. Hinweis Erfolgreiche Anmeldung Informationen darüber, ob die Anmeldung bei einem DNS-Dienst erfolgreich war, finden Sie im Logbuch. Werkseinstellungen Dieses Gerät an einem DynDNS Server anmelden: Nein (ausgeschaltet) Benutzername: guest Passwort: guest Host-Name des DynDNS-Servers: myname.dyndns.org 74 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

75 4.5 Netzwerk Extern SRS - Siemens Remote Service Hinweis Mithilfe der Dienstleistungen des "SIMATIC Remote Support Services" kann ein Fernzugriff auf Maschinen und Anlagen zur Verfügung gestellt werden. Zur Nutzung dieses Services sind zusätzliche Service-Vereinbarungen notwendig und Randbedingungen zu beachten. Bei Interesse am Siemens Remote Service wenden Sie sich an Ihren Siemens-Ansprechpartner vor Ort. Bei aktiviertem Siemens Remote Service übermittelt das M875 seine vom UMTS/EDGE- Dienst zugewiesene externe IP-Adresse an einen einstellbaren Ziel-Server. Die Übertragung erfolgt über das gesicherte HTTPS-Protokoll. Das Verfahren ist vergleichbar mit dem DynDNS-Dienst und erfordert einen entsprechenden Zugang auf der Server-Seite. Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Erweiterte Einstellungen" > "SRS". Siemens Remote Service verwenden Folgende Optionen stehen zur Auswahl: Ja: Nein: Siemens Remote Service verwenden. Siemens Remote Service nicht verwenden. Wählen Sie zur Verwendung des Siemens Remote Service die Option "Ja" in der Klappliste. Betriebsanleitung, 12/2012, C79000-G8900-C

76 4.5 Netzwerk Extern Intervall zur Aktualisierung (Sekunden) Geben Sie eine Zeitspanne in Sekunden ein, nach der die IP-Adresse des M875 an den unten festgelegten Ziel-Server übertragen wird. Siemens Remote Service Anmeldungen Klicken Sie zur Anmeldung am Siemens Remote Service auf die Schaltfläche "Neu". Zieladresse Geben Sie die IP-Adresse des Ziel-Servers ein. Gruppe Geben Sie den Gruppennamen ein. Benutzername Geben Sie den Benutzernamen für den Zugang am Ziel-Server ein. Passwort Geben Sie das Passwort für den Zugang am Ziel-Server ein. Hinweis Erlaubte Zeichen für Benutzername und Passwort: a b c d e f g h I j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Werkseinstellungen Siemens Remote Service verwenden: Nein (ausgeschaltet) Intervall zur Aktualisierung 900 (Sekunden): Zieladresse: Gruppe: group Benutzername: user Passwort: pass 76 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

77 4.5 Netzwerk Extern NAT - Network Address Translation NAT Das Gerät kann mit NAT bei ausgehenden Telegrammen die angegebenen Absender-IP- Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben. NAT wird benutzt, wenn die internen Adressen extern nicht weitergeleitet werden können oder sollen, z. B. weil ein privater Adressbereich wie x.x benutzt wird, oder weil die interne Netzstruktur verborgen werden soll. Dieses Verfahren wird auch IP-Masquerading genannt. Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Erweiterte Einstellungen" > "NAT". Auf der Seite "NAT" werden die festgelegten Regeln aufgelistet. Außerdem haben Sie die Möglichkeiten, neue Regeln zu setzen bzw. Regeln zu löschen. NAT im externen Netz verwenden Wählen Sie aus der Klappliste die Option "Ja". Folgende Optionen stehen zur Auswahl: Ja: Nein: NAT-Funktion ist eingeschaltet. NAT-Funktion ist eingeschaltet. NAT für folgende Netze verwenden Geben Sie in das Eingabefeld die Netzwerke an, für die NAT genutzt wird. Geben Sie einen Adressbereich in der CIDR-Schreibweise ein. Werkseinstellungen NAT im externen Netz verwenden: Ja (eingeschaltet) IP-Adressbereich (CIDR-Notation): /0 Betriebsanleitung, 12/2012, C79000-G8900-C

78 4.6 Sicherheit 4.6 Sicherheit Firewall-Regeln Zu den Sicherheitsfunktionen des M875 gehört eine Stateful Inspection Firewall. Dabei handelt es sich um eine Methode der Paketfilterung bzw. Paketüberprüfung. Die IP-Pakete werden anhand von Firewall-Regeln geprüft, in denen Folgendes festgelegt wird: Die erlaubten Protokolle IP-Adressen und Ports der erlaubten Quellen IP-Adressen und Ports der erlaubten Ziele Wenn ein IP-Paket den festgelegten Parametern entspricht, dann darf es die Firewall passieren. Zusätzlich wird festgelegt, wie mit IP-Paketen verfahren wird, welche die Firewall nicht passieren dürfen. Einfache Paketfiltertechniken benötigen pro Verbindung zwei Firewall-Regeln: Eine Regel für Anfragerichtung von der Quelle zum Ziel. Eine zweite Regel für die Antwortrichtung vom Ziel zur Quelle. Bei einer Stateful Inspection Firewall hingegen müssen Sie nur eine Firewall-Regel für die Anfragerichtung von der Quelle zum Ziel festlegen, da die zweite Regel implizit hinzugefügt wird. Der Paketfilter merkt sich, wenn z. B. Rechner "A" mit Rechner "B" kommuniziert und erlaubt nur dann Antworten darauf. Nach Eintreffen der Antwort oder nach einer festgelegten Zeitüberschreitung dürfen keine weiteren IP-Pakete von Rechner "B" passieren. Eine Anfrage von Rechner "B" ist somit ohne vorherige Anforderung durch Rechner "A" nicht möglich. Durch besondere Verfahren besteht die Möglichkeit, dass UPD-Daten und ICMP-Daten passieren dürfen, auch wenn diese Daten zuvor nicht angefordert wurden. 78 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

79 4.6 Sicherheit Aufruf der Webseite Wählen Sie in der Navigation "Sicherheit" > "Firewall-Regeln". Anlegen von Firewall-Regeln Werkseitig sind keine Firewall-Regeln gesetzt. Somit dürfen keine IP-Pakete passieren. Um Firewall-Regeln zu definieren, damit IP-Pakete passieren dürfen, gehen Sie wie folgt vor: 1. Klicken Sie im Bereich der eingehenden Firewall-Regeln auf die Schaltfläche "Neu". 2. Klicken Sie im Bereich der ausgehenden Firewall-Regeln auf die Schaltfläche "Neu". Hinweis Anzeige der Firewall-Regeln Wenn Sie so viele Firewall-Regeln anlegen, dass die Liste durch das Fenster des Webbrowsers begrenzt wird, dann aktualisieren Sie die Ansicht des Webbrowsers mit der Funktionstaste F5. Eingehende Firewall-Regeln In diesem Bereich legen Sie fest, wie mit IP-Paketen verfahren wird, die aus dem externen Netz empfangen werden. Der Absender der IP-Pakete gilt als Quelle. Die lokalen Applikationen am M875 gelten als Ziel. Folgende Angaben sind erforderlich: Betriebsanleitung, 12/2012, C79000-G8900-C

80 4.6 Sicherheit Protokoll Wählen Sie aus der Klappliste ein Protokoll aus, auf das diese Regel angewendet wird. Folgende Optionen stehen zur Auswahl: Alle (Bedeutung: TCP + UDP) TCP UDP ICMP Von IP-Adresse Tragen Sie in das Eingabefeld die IP-Adresse oder den IP-Bereich der externen Gegenstellen ein, von denen IP-Pakete empfangen werden dürfen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise. Der werkseitige Eintrag " /0" steht für alle Adressen. Von Port Legen Sie den Port einer externen Gegenstelle fest, von dem IP-Pakete empfangen werden dürfen. Geben Sie dazu die Portnummer in das Eingabefeld ein. Diese Angabe wird nur ausgewertet, wenn Sie als Protokoll "TCP", "UDP" oder "Alle" gewählt haben. Nach IP-Adresse Geben Sie in das Eingabefeld die IP-Adresse oder den IP-Bereich der lokalen Applikationen an, an die IP-Pakete gesendet werden dürfen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise. Der werkseitige Eintrag " /0" steht für alle Adressen. Nach Port Legen Sie den Port einer lokalen Applikation fest, an den IP-Pakete gesendet werden dürfen. Geben Sie dazu die Portnummer in das Eingabefeld ein. Diese Angabe wird nur ausgewertet, wenn Sie als Protokoll "TCP", "UDP" oder "Alle" gewählt haben. Aktion Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit den eintreffenden IP-Paketen verfahren wird: Erlauben: Die IP-Pakete dürfen passieren. Zurückweisen: Die IP-Pakete werden abgewiesen, und der Absender erhält eine entsprechende Rückmeldung. Verwerfen: Die IP-Pakete werden ohne Rückmeldung an den Absender gelöscht. 80 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

81 4.6 Sicherheit Log Legen Sie für jede Firewall-Regel einzeln fest, ob ein Ereignis bei Greifen der Regel im Firewall-Logbuch protokolliert wird. Nähere Informationen finden Sie im Kapitel Firewall-Logbuch (Seite 86). Wählen Sie die entsprechende Option aus der Klappliste. Ja: Nein: Logbuch-Eintrag. Kein Logbuch-Eintrag. Logbuch-Einträge für unbekannte eingehende Verbindungsversuche Legen Sie fest, ob die Verbindungsversuche, die nicht von den festgelegten Regeln erfasst werden, protokolliert werden. Wählen Sie die entsprechende Option aus der Klappliste. Ja: Nein: Logbuch-Eintrag Kein Logbuch-Eintrag Ausgehende Firewall-Regeln In diesem Bereich legen Sie fest, wie mit IP-Paketen verfahren wird, die vom lokalen Netz versendet werden. Eine lokale Applikation am M875, die IP-Pakete versendet, gilt als Quelle. Eine externe Gegenstelle, z. B. im Internet, gilt als Ziel. Protokoll Wählen Sie aus der Klappliste ein Protokoll aus, auf das diese Regel angewendet wird. Folgende Optionen stehen zur Auswahl: Alle (Bedeutung: TCP + UDP) TCP UDP ICMP Von IP-Adresse Tragen Sie in das Eingabefeld die IP-Adresse oder den IP-Bereich der lokalen Applikationen ein, die IP-Pakete ins externe Netz senden dürfen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise. Der werkseitige Eintrag " /0" steht für alle Adressen. Betriebsanleitung, 12/2012, C79000-G8900-C

82 4.6 Sicherheit Von Port Legen Sie den Port fest, von dem die lokale Applikation IP-Pakete senden darf. Geben Sie dazu die Portnummer in das Eingabefeld ein. Diese Angabe wird nur ausgewertet, wenn Sie als Protokoll "TCP", "UDP" oder "Alle" gewählt haben. Nach IP-Adresse Geben Sie in das Eingabefeld die IP-Adresse oder den IP-Bereich der externen Gegenstellen an, an die IP-Pakete gesendet werden dürfen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise. Der werkseitige Eintrag " /0" steht für alle Adressen. Nach Port Legen Sie fest, an welchen Port die externe Gegenstelle IP-Pakete senden darf. Geben Sie dazu die Portnummer in das Eingabefeld ein. Diese Angabe wird nur ausgewertet, wenn Sie als Protokoll "TCP", "UDP" oder "Alle" gewählt haben. Aktion Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit den ausgehenden IP-Paketen verfahren wird: Erlauben: Die IP-Pakete dürfen passieren. Zurückweisen: Die IP-Pakete werden abgewiesen, und der Absender erhält eine entsprechende Rückmeldung. Verwerfen: Die IP-Pakete werden ohne Rückmeldung an den Absender gelöscht. Log Legen Sie für jede Firewall-Regel einzeln fest, ob ein Ereignis bei Greifen der Regel im Firewall-Logbuch protokolliert wird. Nähere Informationen finden Sie im Kapitel Firewall-Logbuch (Seite 86). Wählen Sie die entsprechende Option aus der Klappliste: Ja: Nein: Logbuch-Eintrag Kein Logbuch-Eintrag Logbuch-Einträge für unbekannte ausgehende Verbindungsversuche Legen Sie fest, ob die Verbindungsversuche, die nicht von den festgelegten Regeln erfasst werden, protokolliert werden. Wählen Sie die entsprechende Option aus der Klappliste. Ja: Nein: Logbuch-Eintrag Kein Logbuch-Eintrag 82 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

83 4.6 Sicherheit Werkseinstellungen Eingehende Firewall-Regeln Eingehende Firewall-Regeln: Keine (alles gesperrt) Protokoll: Alle Von IP-Adresse: /0 Von Port: ANY Nach IP-Adresse: /0 Nach Port: ANY Aktion: Erlauben Log: Nein (ausgeschaltet) Logbuch-Einträge für unbekannte Nein (ausgeschaltet) eingehende Verbindungsversuche: Ausgehende Firewall-Regeln Ausgehende Firewall-Regeln: Keine (alles gesperrt) Protokoll: Alle Von IP-Adresse: /0 Von Port: ANY Nach IP-Adresse: /0 Nach Port: ANY Aktion: Erlauben Log: Nein (ausgeschaltet) Logbuch-Einträge für unbekannte Nein (ausgeschaltet) ausgehende Verbindungsversuche: Port-Weiterleitung Eine weitere Sicherheitsfunktion des M875 ist die Port-Weiterleitung. Für die Port- Weiterleitung müssen Sie ebenfalls Regeln erstellen. Wenn ein Telegramm aus dem externen Netz auf einem festgelegten Port eintrifft, wird der Header des Telegramms umgeschrieben. Durch die Regeln der Port-Weiterleitung kann das Telegramm an eine definierte IP-Adresse an einem definierten Port weitergeleitet werden. Dieses Verfahren wird auch Destination-NAT genannt. Die Port-Weiterleitung kann für die Protokolle TCP oder UDP konfiguriert werden. Betriebsanleitung, 12/2012, C79000-G8900-C

84 4.6 Sicherheit Hinweis Firewall-Regel für Port-Weiterleitung Damit ankommende Telegramme an die definierte IP-Adresse im lokalen Netz weitergeleitet werden, müssen Sie für diese IP-Adresse auch eine entsprechende eingehende Firewall- Regel einrichten. Nähere Informationen finden Sie im Kapitel Firewall-Regeln (Seite 78). Aufruf der Webseite Wählen Sie in der Navigation "Sicherheit" > "Port-Weiterleitung". Liste der Regeln zur Weiterleitung Definieren Sie anhand der nachfolgenden Parameter eine Regel zur Port-Weiterleitung. Um eine weitere Regel hinzuzufügen, klicken Sie auf die Schaltfläche "Neu". Um eine bestehende Regel zu entfernen, klicken Sie die Schaltfläche "Löschen". Speichern Sie Ihre Einstellungen durch Klicken auf die Schaltfläche "Speichern". Protokoll Wählen Sie aus der Klappliste ein Protokoll aus, auf das die Regel angewendet wird. Zur Auswahl stehen: TCP UDP Trifft ein auf Port Legen Sie fest, auf welchem Port die weiterzuleitenden Telegramme aus dem externen Netz eintreffen. Geben Sie dazu die Portnummer in das Eingabefeld ein. Wird weitergeleitet an IP-Adresse Legen Sie fest, an welche lokale Applikation die eintreffenden Telegramme weitergeleitet werden. Geben Sie dazu die IP-Adresse der lokalen Applikation in das Eingabefeld ein. 84 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

85 4.6 Sicherheit Wird weitergeleitet an Port Legen Sie den Port zur IP-Adresse der lokalen Applikation fest. Geben Sie dazu die Portnummer in das Eingabefeld ein. Logbuch-Eintrag Legen Sie fest, ob ein Ereignis bei Greifen der Regel im Firewall-Logbuch protokolliert wird. Nähere Informationen finden Sie im Kapitel Firewall-Logbuch (Seite 86). Wählen Sie die entsprechende Option aus der Klappliste. Ja: Nein: Logbuch-Eintrag Kein Logbuch-Eintrag Werkseinstellungen Protokoll: TCP Trifft ein auf Port: 80 Wird weitergleitet an IP-Adresse: Wird weitergeleitet an Port: 80 Logbuch-Eintrag: Nein (ausgeschaltet) Erweiterte Sicherheitsfunktionen Die erweiterten Sicherheitsfunktionen dienen dazu, das M875 und die angeschlossenen lokalen Applikationen gegen Angriffe zu schützen. Dabei wird von der Annahme ausgegangen, dass im normalen Betrieb eine bestimmte Anzahl von Verbindungen oder eine bestimmte Anzahl von Ping-Paketen nicht überschritten wird. Legen Sie für diese eingehenden und ausgehenden Pakete Obergrenzen fest. Wenn die festgelegten Obergrenzen überschritten werden, dann werden alle weiteren Pakete abgewiesen. Aufruf der Webseite Wählen Sie in der Navigation "Sicherheit" > "Erweitert". Die Seite "Sicherheit - Erweitert" erscheint mit den nachfolgend beschriebenen Einträgen (Werkseinstellungen) und Eingabemöglichkeiten. Werkseinstellungen Die Werkseinstellungen sind so gewählt, dass sie bei normalem Betrieb nie erreicht werden. Wenn allerdings ein Angriff stattfindet, dann können die unten angegebenen Obergrenzen sehr leicht überschritten werden. Wenn in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann geben Sie in die Eingabefelder entsprechende Werte ein. Betriebsanleitung, 12/2012, C79000-G8900-C

86 4.6 Sicherheit Maximale Anzahl neuer eingehender TCP-Verbindungen pro Sekunde: Maximale Anzahl neuer ausgehender TCP-Verbindungen pro Sekunde: Maximale Anzahl neuer eingehender Ping-Pakete pro Sekunde: 3 Maximale Anzahl neuer ausgehender Ping-Pakete pro Sekunde: 5 ICMP von extern: Verwerfen ICMP von extern Legen Sie fest, wie mit ICMP-Paketen verfahren wird, die aus dem externen Netz in Richtung des M875 gesendet werden. Hinweis Erhöhte Kosten durch zusätzliches Datenaufkommen Durch das Versenden und Beantworten der ICMP-Pakete steigt das Datenaufkommen auf der UMTS/GPRS-Verbindung. Abhängig von Ihrem Teilnehmervertrag mit dem Mobilfunkbetreiber können damit erhöhte Kosten verbunden sein. Wählen Sie aus der Klappliste eine der folgenden Optionen: Erlauben: Ping erlauben: Verwerfen: Alle Arten von ICMP-Paketen werden akzeptiert und beantwortet. Nur Ping-Pakete werden akzeptiert und beantwortet. Alle Arten von ICMP-Paketen werden geblockt Firewall-Logbuch Im Firewall-Logbuch wird eingetragen, wann einzelne Firewall-Regeln angewendet wurden. Dazu müssen Sie bei den einzelnen Firewall-Regeln und bei den Regeln zur Port- Weiterleitung die Log-Funktion aktivieren. Sie können sich das Firewall-Logbuch mit einem Texteditor ansehen oder die Log-Datei auf Ihrem Admin-PC abspeichern. Aufruf der Webseite Wählen Sie in der Navigation "Sicherheit" > "Firewall-Logbuch". Klicken Sie auf die Schaltfläche "Download". Ein Dialog zum Öffnen und Speichern der Log- Datei erscheint. Wählen Sie die gewünschte Option und folgen Sie den Anweisungen in den angezeigten Dialogfeldern. 86 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

87 4.7 IPsec-VPN - Virtual Private Network Hinweis Die Eintragungen im Firewall-Logbuch gehen bei einem Neustart verloren. 4.7 IPsec-VPN - Virtual Private Network VPN-Tunnel Bild 4-8 Konfigurationsbeispiel VPN-Verbindung Das M875 kann das lokale Netz über einen VPN-Tunnel mit einem befreundeten, entfernten Netz verbinden. Die Telegramme, die zwischen beiden Netzen ausgetauscht werden, werden verschlüsselt und sind durch den VPN-Tunnel gegen unerlaubte Manipulationen geschützt. So können auch ungeschützte, öffentliche Netze wie das Internet zum Transport der Daten verwendet werden, ohne die Vertraulichkeit oder Datenintegrität zu gefährden. Damit das M875 einen VPN-Tunnel aufbauen kann, muss das entfernte Netz über ein VPN- Gateway als Gegenstation verfügen Erläuterungen zu VPN-Verbindungen Das IPsec-Verfahren Das M875 verwendet für den VPN-Tunnel das IPsec-Verfahren im Tunnelmodus. Dabei werden die zu übertragenden Telegramme vollkommen verschlüsselt und mit einem neuen Header versehen, bevor sie zum VPN-Gateway der Gegenstelle gesendet werden. Von der Gegenstelle werden die empfangenen Telegramme entschlüsselt an den Empfänger weitergeleitet. Betriebsanleitung, 12/2012, C79000-G8900-C

88 4.7 IPsec-VPN - Virtual Private Network Roadwarrior-Modus und Standard-Modus Unterschieden werden zwei Modi der VPN-Verbindungen: Roadwarrior-Modus Im Roadwarrior-Modus kann das M875 bis zu 10 VPN-Verbindungen von Gegenstellen mit unbekannter Adresse annehmen. Diese Gegenstellen können z. B. Gegenstellen im mobilen Einsatz sein, die ihre IP-Adresse dynamisch beziehen. Parallel dazu können VPN-Verbindungen im Standard-Modus betrieben werden. Die VPN-Verbindung muss durch die Gegenstelle aufgebaut werden. Das M875 kann im Roadwarrior-Modus VPN-Verbindungen nur annehmen aber nicht aktiv aufbauen. Standard-Modus Im Standard-Modus muss die Adresse des VPN-Gateways der Gegenstelle bekannt sein, damit die VPN-Verbindung aufgebaut werden kann. Die VPN-Verbindung kann wahlweise durch das M875 oder durch das VPN-Gateway der Gegenstelle aufgebaut werden. Authentifizierungsverfahren Das M875 unterstützt drei Authentifizierungsverfahren: X.509-Zertifikat CA-Zertifikat Pre-shared Key (PSK) X.509-Zertifikat und CA-Zertifikat Bei den Authentifizierungsverfahren X.509-Zertifikat und CA-Zertifikat werden zur Authentifizierung Schlüssel verwendet, die zuvor durch eine zertifizierende Stelle (CA = Certification Authority) signiert wurden. Diese Verfahren gelten als besonders sicher. Eine CA kann ein Dienstleister sein, aber z. B. auch der Systemadministrator Ihres Projekts, sofern dieser über die notwendigen Software-Werkzeuge verfügt. Die CA erstellt für beide Gegenstellen einer VPN-Verbindung je eine Zertifikatsdatei (PKCS12) mit der Dateiendung ".p12". Diese Zertifikatsdatei enthält den öffentlichen und privaten Schlüssel der eigenen Station, das signierte Zertifikat der CA und den öffentlichen Schlüssel der CA. Bei dem Authentifizierungsverfahren X.509 gibt es zusätzlich für jede der beiden Gegenstellen noch eine Schlüsseldatei (*.pem, *.cer oder *.crt) mit dem öffentlichen Schlüssel der eigenen Station. Die beiden Verfahren unterscheiden sich beim Austausch der öffentlichen Schlüssel. Beim X.509-Zertifikat werden Schlüssel und Schlüsseldatei zwischen dem M875 und dem VPN- Gateway manuell ausgetauscht, z. B. per CD-ROM oder . Nähere Informationen zum Laden des Zertifikats finden Sie im Kapitel Zertifikate und Schlüssel verwalten (Seite 109). Beim CA-Zertifikat erfolgt der Schlüsselaustausch zwischen M875 und VPN-Gateway der Gegenstelle über die Datenverbindung beim Aufbau der VPN-Verbindung. Hier entfällt der manuelle Austausch von Schlüsseldateien. 88 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

89 4.7 IPsec-VPN - Virtual Private Network Pre-shared Key (PSK) Dieses Verfahren wird vor allem durch ältere IPsec-Implementierungen unterstützt. Dabei erfolgt die Authentifizierung mit einer zuvor verabredeten Zeichenfolge. Um eine hohe Sicherheit zu erzielen, verwenden Sie Zeichenfolgen aus ca. 30 nach dem Zufallsprinzip ausgewählten Klein- und Großbuchstaben sowie Ziffern. Lokale ID und ID der Gegenstelle Die Lokale ID und die ID der Gegenstelle werden vom IPsec genutzt, um beim Aufbau der VPN-Verbindung die Gegenstellen eindeutig zu identifizieren. Die eigene Lokale-ID bildet die Remote-ID der Gegenstelle und umgekehrt. Bei Authentifizierung mit X.509-Zertifikat oder CA-Zertifikat: Wenn Sie die Voreinstellung "NONE" belassen, dann werden als Lokale ID und ID der Gegenstelle automatisch die Distinguished Names aus dem eigenen Zertifikat und aus dem von der Gegenstelle übermittelten Zertifikat übernommen. Wenn Sie die Einträge für die Lokale ID oder die ID der Gegenstelle manuell ändern, dann passen Sie die Einträge der Gegenstelle entsprechend an. Der manuelle Eintrag für die IDs muss im ASN.1-Format erfolgen, z. B. "C=XY/O=XY Org/CN=xy.org.org". Bei Authentifizierung mit Pre-shared Key: Im Roadwarrior-Modus müssen Sie die ID der Gegenstelle manuell eintragen. Sie muss das Format eines Host-Namens oder das Format einer -Adresse haben und mit der Lokalen ID der Gegenstelle übereinstimmen. Wenn Sie die Lokale ID auf "NONE" belassen, dann wird die IP-Adresse als lokale ID verwendet. Wenn Sie die Lokale ID manuell eintragen, muss diese das Format eines Host- Namens oder das Format einer -Adresse haben und mit der ID der Gegenstelle übereinstimmen. 1:1 -NAT Beim Aufbau eines VPN-Tunnels kommt beim M875 eine besondere Variante des NAT zum Einsatz, das 1:1-NAT, auch Bi-directional NAT genannt. Diese Variante erlaubt den Verbindungsaufbau sowohl vom lokalen Netz ins externe Netz als auch vom externen Netz in das lokale Netz. Dazu werden beim M875 die Netzwerkadressen der Telegramme umgeschrieben. Sie können pro VPN-Verbindung und jeweils für die beiden Verbindungsrichtungen einzeln festlegen, ob die Funktion 1:1-NAT aktiviert wird. Dafür stehen auf der Seite "IPsec-VPN - Verbindungen bearbeiten" die entsprechenden Einstellungsmöglichkeiten zur Verfügung. IKE Abkürzungen IKE: Internet Key Exchange SA: Security Association (Sicherheitsbeziehung) Betriebsanleitung, 12/2012, C79000-G8900-C

90 4.7 IPsec-VPN - Virtual Private Network ISAKMP: Internet Security Association and Key Management Protocol IPsec: Internet Protocol Security Verbindungsaufbau Der Aufbau der VPN-Verbindung ist in zwei Phasen aufgeteilt. 1. Zunächst wird in Phase 1 die Sicherheitsbeziehung (SA) über das Protokoll ISAKMP aufgebaut. Phase 1 dient dem Schlüsselaustausch zwischen dem M875 und dem VPN- Gateway der Gegenstelle. 2. Danach wird in Phase 2 die SA über das Protokoll IPsec aufgebaut. Phase 2 stellt die eigentliche IPsec-Verbindung zwischen dem M875 und dem VPN-Gateway der Gegenstelle dar. ISAKMP-SA- und IPsec-SA-Verschlüsselung Das M875 unterstützt dabei die folgenden Verfahren: 3DES-168 AES-128 AES-192 AES-256 AES-128 ist ein häufig benutztes Verfahren und ist deshalb als Standard eingestellt. Hinweis Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl - desto sicherer ist der Algorithmus. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. NAT-T Eventuell befindet sich zwischen dem M875 und dem VPN-Gateway des entfernten Netzes ein NAT-Router. Nicht alle NAT-Router lassen IPsec-Telegramme passieren. Daher kann es erforderlich sein, die IPsec-Telegramme in UPD-Pakete einzukapseln, um den NAT-Router passieren zu können. Dead Peer Detection Wenn die Gegenstelle das Protokoll Dead Peer Detection (DPD) unterstützt, können die jeweiligen Partner erkennen, ob die IPsec-Verbindung noch gültig ist oder eventuell neu aufgebaut werden muss. Ohne DPD muss je nach Konfiguration bis zum Ablauf der SA- Lebensdauer gewartet oder die Verbindung manuell neu initiiert werden. Um zu prüfen, ob die IPsec-Verbindung noch gültig ist, sendet die Dead Peer Detection selber DPD-Anfragen zur Gegenstelle. Wenn die Gegenstelle nicht antwortet, wird die IPsec-Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen. 90 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

91 4.7 IPsec-VPN - Virtual Private Network Hinweis Durch das Versenden der DPD-Anfragen steigt die Anzahl der gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Anforderungen an das VPN-Gateway des entfernten Netzes Damit eine IPsec-Verbindung erfolgreich aufgebaut werden kann, muss die VPN- Gegenstelle IPsec mit folgender Konfiguration unterstützen: Authentifizierung über X.509-Zertifikate, CA-Zertifikate oder Pre-Shared Key ESP Diffie-Hellman Gruppe 1, 2 oder 5 3DES- oder AES-Verschlüsselung MD5- oder SHA-1-Hash-Algorithmen Tunnel Mode Quick Mode Main Mode SA Lifetime (1 Sekunde bis 24 Stunden) Wenn die Gegenstelle ein Rechner unter Windows 2000 ist, dann muss das Microsoft Windows 2000 High Encryption Pack oder mindestens das Service Pack 2 installiert sein. Wenn sich die Gegenstelle hinter einem NAT-Router befindet, dann muss die Gegenstelle NAT-T unterstützen. Oder aber der NAT-Router muss das IPsec-Protokoll kennen (IPsec/VPN Passthrough) Verbindungen - Roadwarrior-Modus Verbindungen anlegen Der Roadwarrior-Modus ermöglicht dem M875 die Annahme von VPN-Verbindungen, die von einer Gegenstelle mit unbekannter IP-Adresse eingeleitet werden. Die Gegenstelle muss sich korrekt authentifizieren. Auf die Identifikation der Gegenstelle anhand der IP- Adresse oder des Host-Namens der Gegenstelle wird im Roadwarrior-Modus verzichtet. Richten Sie das M875 in Absprache mit dem Systemadministrator der Gegenstelle ein. Betriebsanleitung, 12/2012, C79000-G8900-C

92 4.7 IPsec-VPN - Virtual Private Network Aufruf der Webseite Wählen Sie in der Navigation "IPsec VPN" > "Verbindungen". VPN-Verbindungen im Roadwarrior-Modus Aktiviert Folgende Optionen stehen zur Auswahl: Ja: Nein: Der Roadwarrior-Modus ist eingeschaltet. Der Roadwarrior-Modus ist ausgeschaltet. Name Der Name für die VPN-Verbindung im Roadwarrior-Modus ist festgelegt und kann nicht verändert werden. 92 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

93 4.7 IPsec-VPN - Virtual Private Network Verbindungen bearbeiten Verbindungseinstellungen Klicken Sie unter "Verbindungseinstellungen" auf die Schaltfläche "Bearbeiten" Die nachfolgend abgebildete Seite erscheint: Authentifizierungsverfahren Nähere Informationen zu den Authentifizierungsverfahren finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87). Wählen Sie - in Absprache mit dem Administrator der Gegenstelle - aus der Klappliste eine der drei folgenden Optionen: CA Zertifikat - X.509- Gegenstellenzertifikat: Pre-shared Key: Legt als Authentifizierungsverfahren ein in das M875 geladenes X.509-Gegenstellenzertifikat fest, das Sie aus der nachfolgenden Klappliste auswählen. Siehe auch Kapitel Zertifikate und Schlüssel verwalten (Seite 109). Bei dieser Option wird der Pre-shared Key, welcher auch dem Kommunikationspartner bekannt sein muss, eingegeben. Bei selbst ausgewählten Schlüsseln können Sie eine Zeichenfolge eingeben, die aus bis zu 30 Klein- und Großbuchstaben oder Ziffern besteht. Gegenstellenzertifikat Hinter der Klappliste finden Sie die Zertifikate der Gegenstelle, die bereits in das M875 geladen wurden. Wählen Sie das Zertifikat für die VPN-Verbindung aus. Betriebsanleitung, 12/2012, C79000-G8900-C

94 4.7 IPsec-VPN - Virtual Private Network ID der Gegenstelle Geben Sie in das Eingabefeld die ID der Gegenstelle ein, oder belassen Sie die Einstellung auf "NONE". Nähere Informationen finden Sie im Kapitel Erläuterungen zu VPN- Verbindungen (Seite 87). Lokale ID Geben Sie in das Eingabefeld die lokale ID oder belassen Sie die Einstellung auf "NONE". Nähere Informationen finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87) IKE-Einstellungen IKE-Einstellungen Richten Sie die IKE-Einstellungen in Absprache mit dem Administrator der Gegenstelle ein. Sie können für ISAKMP-SA und IPsec-SA unterschiedliche Verfahren festlegen. Nähere Informationen zur Verschlüsselung finden Sie im Kapitel Erläuterungen zu VPN- Verbindungen (Seite 87). Auf der Seite "IPsec-VPN - Verbindungen" im Bereich "VPN-Verbindungen im Roadwarrior- Modus" finden Sie unter "IKE-Einstellungen" die Schaltfläche "Bearbeiten". Wenn Sie darauf klicken, dann erscheint die nachfolgend abgebildete Seite: 94 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

95 4.7 IPsec-VPN - Virtual Private Network Phase 1 und Phase 2: ISAKMP-SA und IPsec-SA Verschlüsselung Hinweis Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl - desto sicherer ist der Algorithmus. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. Wählen Sie aus der Klappliste für Phase 1 und Phase 2 je eine der folgenden Optionen aus: 3DES-168 AES-128 AES-192 AES-256 Betriebsanleitung, 12/2012, C79000-G8900-C

96 4.7 IPsec-VPN - Virtual Private Network Hash (Prüfsumme) Um Prüfsummen (Hash) während der Phasen 1 (ISAKMP-SA) und 2 (IPsec-SA) zu berechnen, stehen drei Verfahren zur Verfügung: MD5 oder SHA-1 (automatische Erkennung) MD5 SHA-1 Wählen Sie aus den Klapplisten je ein Verfahren für Phase 1 und Phase 2 aus. Sie können unterschiedliche Verfahren für ISAKMP-SA und IPsec-SA festlegen. Modus Für die Aushandlung der ISAKMP-SA stehen zwei Verfahren zur Verfügung: Main Mode Aggressive Mode Wählen Sie aus der Klappliste einen Modus aus. Hinweis Bei Verwendung des Authentifizierungsverfahren Pre-shared Key müssen Sie im Roadwarrior-Modus "Aggressive Mode" einstellen und eine Remote ID festlegen. Lebensdauer (Sekunden) Die Schlüssel einer Verbindung werden in bestimmten Abständen erneuert, um den Aufwand eines Angriffs auf die Verbindung zu erhöhen. Geben Sie in das Eingabefeld einen Zeitraum in Sekunden ein, der die Lebensdauer der vereinbarten Schlüssel festlegt. Sie können die Zeiträume für ISAKMP-SA und IPsec-SA unterschiedlich festlegen. NAT-T Wählen Sie aus der Klappliste eine der drei folgenden Optionen: An: Aus: Erzwingen: Wird vom M875 ein NAT-Router erkannt, der die IPsec-Telegramme nicht passieren lässt, startet automatisch die UDP-Kapselung. Die NAT-T-Funktion ist ausgeschaltet. Bei Aushandlung der Verbindungsparameter der VPN-Verbindung wird darauf bestanden, dass während der Verbindung die Telegramme gekapselt übertragen werden. 96 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

97 4.7 IPsec-VPN - Virtual Private Network Dead Peer Detection (DPD) aktivieren Hinweis Durch das Versenden der DPD-Anfragen steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Die Dead Peer Detection ist eingeschaltet. Das M875 erkennt, unabhängig davon ob Nutzdaten übertragen werden, einen Verlust der Verbindung. Das Gerät wartet in diesem Fall auf den Neuaufbau der Verbindung durch die Gegenstellen. Die Dead Peer Detection ist ausgeschaltet. Wenn Sie "Ja" auswählen, erscheinen die folgenden drei Eingabefelder: Verzögerung nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein, nach der DPD-Anfragen gesendet werden. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist. Timeout nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein. Wenn auf die DPD- Anfragen keine Antwort erfolgt, dann wird nach Ablauf dieser Zeit die Verbindung zur Gegenstelle für ungültig erklärt. DPD: Maximale Anzahl an Fehlversuchn Geben Sie in das Eingabefeld die Anzahl der zulässigen Fehlversuche ein, bevor die IPsec- Verbindung als unterbrochen angesehen wird. Nähere Informationen zur Funktion NAT-T und Dead Peer Detection finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87). Werkseinstellungen im Roadwarrior-Modus Aktiviert: Name: Nein (Ausgeschaltet) Roadwarrior Verbindungseinstellungen Authentifizierungsverfahren: CA Zertifikat Gegenstellen Zertifikat: - Pre-shared Key: Verdeckte Zeichenfolge, die überschrieben wird. Remote ID: NONE Lokale ID: NONE Betriebsanleitung, 12/2012, C79000-G8900-C

98 4.7 IPsec-VPN - Virtual Private Network IKE-Einstellungen Phase 1: ISAKMP-SA Verschlüsselung: AES-128 Hash (Prüfsumme): MD5 Modus: Main Mode Lebensdauer (Sekunden): Phase 2: IPsec-SA Verschlüsselung: AES-128 Hash (Prüfsumme): MD5 Lebensdauer (Sekunden): NAT-T: An Dead Peer Detection (DPD) aktivieren: Ja Verzögerung nach DPD-Anfrage (Sekunden):150 Timeout nach DPD-Anfrage (Sekunden): 60 DPD: Maximale Anzahl an Fehlversuchen: Verbindungen - Standard-Modus Verbindungen anlegen Aufruf der Webseite Werkseitig sind keine Verbindungen im Standard-Modus angelegt. Wählen Sie in der Navigation "IPsec-VPN" > "Verbindungen". 98 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

99 4.7 IPsec-VPN - Virtual Private Network VPN-Verbindungen im Standard-Modus Um eine VPN-Verbindung hinzuzufügen, klicken Sie unter "VPN-Verbindungen im Standard- Modus" auf die Schaltfläche "Neu". Aktiviert Es ist möglich, jede einzelne Verbindung ein- oder auszuschalten. Wählen Sie aus der Klappliste: Ja: Nein: Der Standard-Modus ist eingeschaltet. Der Standard-Modus ist ausgeschaltet. Name Geben Sie in das Eingabefeld einen Namen für die VPN-Verbindung ein. Betriebsanleitung, 12/2012, C79000-G8900-C

100 4.7 IPsec-VPN - Virtual Private Network Verbindungen bearbeiten Aufruf der Webseite Klicken Sie unter "Verbindungseinstellungen" auf die Schaltfläche "Bearbeiten". Verbindungsname In diesem Feld erscheint der zuvor eingegebene Verbindungsname. Sie können den Namen hier ändern. Adresse des VPN-Gateways der Gegenstelle Geben Sie in das Eingabefeld die Adresse der Gegenstelle ein, entweder als Host-Name oder als IP-Adresse. Authentifizierungsverfahren Nähere Informationen zu den Authentifizierungsverfahren finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87). 100 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

101 4.7 IPsec-VPN - Virtual Private Network Wählen Sie - in Absprache mit dem Administrator der Gegenstelle - aus der Klappliste eine der drei folgenden Optionen: CA Zertifikat - X.509- Gegenstellenzertifikat: Pre-shared Key: Legt als Authentifizierungsverfahren ein in das M875 geladenes X.509-Gegenstellenzertifikat fest, das Sie aus der nachfolgenden Klappliste auswählen. Siehe auch Kapitel Zertifikate und Schlüssel verwalten (Seite 109). Bei dieser Option wird der Pre-shared Key, welcher auch dem Kommunikationspartner bekannt sein muss, eingegeben. Bei selbst ausgewählten Schlüsseln können Sie eine Zeichenfolge eingeben, die aus bis zu 30 Klein- und Großbuchstaben oder Ziffern besteht. Gegenstellenzertifikat Hinter der Klappliste finden Sie die Zertifikate der Gegenstelle, die bereits in das M875 geladen wurden. Wählen Sie das Zertifikat für die VPN-Verbindung aus. ID der Gegenstelle Geben Sie in das Eingabefeld die ID der Gegenstelle ein, oder belassen Sie die Einstellung auf "NONE". Nähere Informationen finden Sie im Kapitel Erläuterungen zu VPN- Verbindungen (Seite 87). Lokale ID Geben Sie in das Eingabefeld die lokale ID oder belassen Sie die Einstellung auf "NONE". Nähere Informationen finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87). Die Schaltfläche "ID aus SCALANCE S" Wenn Sie das Zertifikat eines Geräts SCALANCE S in das M875 geladen haben, dann können Sie durch Klicken auf die Schaltfläche "ID aus SCALANCE S" die Remote-ID aus dem Zertifikat auslesen. Der ausgelesene Wert wird dann automatisch als Remote-ID übernommen. IP-Adresse des entfernten Netzes Geben Sie in das Feld die IP-Adresse des entfernten Netzes. Das entfernte Netz kann auch nur ein einzelner Rechner sein. Betriebsanleitung, 12/2012, C79000-G8900-C

102 4.7 IPsec-VPN - Virtual Private Network Netzmaske des entfernten Netzes Geben Sie in das Feld die Netzwerkmaske des entfernten Netzes. Das entfernte Netz kann auch nur ein einzelner Rechner sein. 1:1-NAT für das entfernten Netz aktivieren Wählen Sie eine der beiden Optionen aus der Klappliste: Ja: Nein: 1:1-NAT ist für das entfernte Netz aktiviert. 1:1-NAT ist ausgeschaltet. Wenn Sie 1:1-NAT aktiviert haben, dann erfolgt die Adressumschreibung für die Telegramme, die aus dem lokalen Netz in ein entferntes Netz gesendet werden. Siehe auch nachfolgendes Eingabefeld. Adresse für 1:1-NAT zum entfernten Netz Geben Sie in das Eingabefeld eine Netzwerkadresse für Telegramme ein, die in ein entferntes Netz versendet werden. Adresse des lokalen Netzes Geben Sie in das Feld die IP-Adresse (z. B ) des lokalen Netzes. Das lokale Netz kann auch nur ein einzelner Rechner sein. Netzmaske des lokalen Netzes Geben Sie in das Feld die Netzwerkmaske (z. B ) des lokalen Netzes. Das lokale Netz kann auch nur ein einzelner Rechner sein. 1:1-NAT für das lokale Netz aktivieren Wählen Sie eine der beiden Optionen aus der Klappliste: Ja: Nein: 1:1-NAT ist für das lokale Netz aktiviert. 1:1-NAT ist ausgeschaltet. Wenn Sie 1:1-NAT aktiviert haben, dann erfolgt die Adressumschreibung für die Telegramme, die aus einem entfernten Netz in ein lokales Netz gesendet werden. Siehe auch nachfolgendes Eingabefeld. Adresse für 1:1-NAT im lokalen Netz Geben Sie in das Eingabefeld eine Netzwerkadresse für Telegramme ein, die vom entfernten Netz empfangen werden. 102 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

103 4.7 IPsec-VPN - Virtual Private Network Auf Verbindung durch die Gegenstelle warten Wählen Sie eine der beiden Optionen aus der Klappliste: Ja: Nein: Das M875 wartet darauf, dass das VPN-Gateway des entfernten Netzes den Aufbau der VPN-Verbindung einleitet. Das M875 leitet den Verbindungsaufbau selbst ein. Firewall-Regeln für VPN Tunnel Wenn Sie neben diesem Eintrag auf die Schaltfläche "Bearbeiten" klicken, erscheint die Maske, mit der Sie Firewall-Regeln für ein- und ausgehende Nachrichten festlegen. Nähere Informationen zu diesem Punkt finden Sie im Kapitel Firewall-Regeln für VPN- Tunnel (Seite 107) IKE-Einstellungen IKE - Schaltfläche "Bearbeiten" Richten Sie die IKE-Einstellungen in Absprache mit dem Administrator der Gegenstelle ein. Sie können für ISAKMP-SA und IPsec-SA unterschiedliche Verfahren festlegen. Nähere Informationen zur Verschlüsselung finden Sie im Kapitel Erläuterungen zu VPN- Verbindungen (Seite 87). Auf der Seite "IPsec-VPN - Verbindungen" im Bereich "VPN-Verbindungen im Standard- Modus" finden Sie unter "IKE-Einstellungen" die Schaltfläche "Bearbeiten". Wenn Sie darauf klicken, dann erscheint die nachfolgend abgebildete Seite. Betriebsanleitung, 12/2012, C79000-G8900-C

104 4.7 IPsec-VPN - Virtual Private Network Phase 1 und Phase 2: ISAKMP-SA und IPsec-SA Verschlüsselung Hinweis Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl - desto sicherer ist der Algorithmus. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. Wählen Sie aus der Klappliste für Phase 1 und Phase 2 je eine der folgenden Optionen aus: 3DES-168 AES Betriebsanleitung, 12/2012, C79000-G8900-C258-02

105 4.7 IPsec-VPN - Virtual Private Network AES-192 AES-256 Hash (Prüfsumme) Um Prüfsummen (Hash) während der Phasen 1 (ISAKMP-SA) und 2 (IPsec-SA) zu berechnen, stehen drei Verfahren zur Verfügung: MD5 oder SHA-1 (automatische Erkennung) MD5 SHA-1 Wählen Sie aus den Klapplisten je ein Verfahren für Phase 1 und Phase 2 aus. Sie können unterschiedliche Verfahren für ISAKMP-SA und IPsec-SA festlegen. Modus Für die Aushandlung der ISAKMP-SA stehen zwei Verfahren zur Verfügung: Main Mode Aggressive Mode Wählen Sie aus der Klappliste einen Modus aus. Lebensdauer (Sekunden) Die Schlüssel einer Verbindung werden in bestimmten Abständen erneuert, um den Aufwand eines Angriffs auf die Verbindung zu erhöhen. Geben Sie in das Eingabefeld einen Zeitraum in Sekunden ein, der die Lebensdauer der vereinbarten Schlüssel festlegt. Sie können die Zeiträume für ISAKMP-SA und IPsec-SA unterschiedlich festlegen. DH/PFS-Gruppe Das M875 unterstützt den Deffie-Hellmann-Schlüsselaustausch (DH) mit der Eigenschaft Perfect Forward Secrecy (PFS). Für den Schlüsselaustasuch stehen Ihnen drei DH-Gruppen zur Auswahl. Wählen Sie aus der Klappliste eine der drei folgenden Optionen: DH DH DH NAT-T Wählen Sie aus der Klappliste eine der drei folgenden Optionen: An: Aus: Wird vom M875 ein NAT-Router erkannt, der die IPsec-Telegramme nicht passieren lässt, startet automatisch die UDP-Kapselung. Die NAT-T-Funktion ist ausgeschaltet. Betriebsanleitung, 12/2012, C79000-G8900-C

106 4.7 IPsec-VPN - Virtual Private Network Erzwingen: Bei Aushandlung der Verbindungsparameter der VPN-Verbindung wird darauf bestanden, dass während der Verbindung die Telegramme gekapselt übertragen werden. Dead Peer Detection (DPD) aktivieren Hinweis Durch das Versenden der DPD-Anfragen steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Die Dead Peer Detection ist eingeschaltet. Das M875 erkennt, unabhängig davon ob Nutzdaten übertragen werden, einen Verlust der Verbindung. Das Gerät wartet in diesem Fall auf den Neuaufbau der Verbindung durch die Gegenstellen. Die Dead Peer Detection ist ausgeschaltet. Wenn Sie "Ja" auswählen, erscheinen die folgenden drei Eingabefelder: Verzögerung nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein, nach der DPD-Anfragen gesendet werden. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist. Timeout nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein. Wenn auf die DPD- Anfragen keine Antwort erfolgt, dann wird nach Ablauf dieser Zeit die Verbindung zur Gegenstelle für ungültig erklärt. DPD: Maximale Anzahl an Fehlversuchen Geben Sie in das Eingabefeld die Anzahl der zulässigen Fehlversuche ein, bevor die IPsec- Verbindung als unterbrochen angesehen wird. Nähere Informationen zur Funktion NAT-T und Dead Peer Detection finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87). Werkseinstellungen im Standard-Modus Aktiviert: Name: Nein (Ausgeschaltet) NewConnection 106 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

107 4.7 IPsec-VPN - Virtual Private Network Verbindungseinstellungen Adresse des VPN-Gateways der Gegenstelle NONE Authentifizierungsverfahren: X.509 Gegenstellenzertifikat Gegenstellenzertifikat: - Pre-shared Key Verdeckte Zeichenfolge, die überschrieben wird. ID der Gegenstelle: NONE Lokale ID: NONE IP-Adresse des entfernten Netzes: Netzmaske des entfernten Netzes: :1-NAT für das gegenüberliegende Netz: Nein (Ausgeschaltet) Adresse des lokalen Netzes: Netzmaske des lokalen Netzes: :1-NAT für das lokale Netz aktivieren: Nein (Ausgeschaltet) Auf Verbindung durch die Gegenstelle Nein warten: Firewall-Regeln für VPN-Tunnel: Keine Regeln gesetzt. IKE-Einstellungen ISAKMP-SA Verschlüsselung: 3DES-168 Hash (Prüfsumme): MD5 oder SHA-1 Modus: Main Mode Lebensdauer (Sekunden): IPsec-SA Verschlüsselung: 3DES-168 Hash (Prüfsumme): MD5 oder SHA-1 Lebensdauer (Sekunden): DH/PFS Gruppe DH NAT-T: An Dead Peer Detection (DPF) aktivieren: Ja Verzögerung nach DPD-Anfrage (Sekunden):150 Timeout nach DPD-Anfrage(Sekunden): 60 DPD: Maximale Anzahl an Fehlversuchen: Firewall-Regeln für VPN-Tunnel Die IPsec-VPN-Verbindung wird grundsätzlich als sicher angesehen. So ist der Datenverkehr über diese Verbindung standardmäßig nicht beschränkt. Es ist dennoch möglich, Firewall-Regeln für VPN-Verbindungen im Standard-Modus zu erstellen. Betriebsanleitung, 12/2012, C79000-G8900-C

108 4.7 IPsec-VPN - Virtual Private Network Aufruf der Webseite Wählen Sie in der Navigation "IPsec-VPN" > "Verbindungen". Gehen Sie zum Erstellen der Firewall-Regeln genauso vor, wie bereits im Kapitel Firewall- Regeln (Seite 78) beschrieben. 1. Klicken Sie im Bereich"VPN-Verbindungen im Standard-Modus" > unter "Verbindungseinstellungen" auf die Schaltfläche "Bearbeiten". 2. Klicken Sie hinter dem Eintrag "Firewall-Regeln für VPN-Tunnel" auf die Schaltfläche "Bearbeiten". Beachten Sie, dass die hier festgelegte Regel nur für die einzelne, ausgewählte VPN- Verbindung gilt. Werkseinstellungen Werkseitig sind keine Beschränkungen durch Firewall-Regeln eingestellt. 108 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

109 4.7 IPsec-VPN - Virtual Private Network Zertifikate und Schlüssel verwalten Aufruf der Webseite Wählen Sie in der Navigation " IPsec-VPN" > "Zertifikate". Gegenstellenzertifikat hochladen Sie benötigen ein Gegenstellenzertifikat nur, wenn Sie beim Authentifizierungsverfahren die Option "X.509 Gegenstellenzertifikat" gewählt haben. Damit Sie ein entsprechendes Zertifikat hochladen können, muss die entsprechende Schlüsseldatei (*.pem, *.cer oder *.crt) auf dem Admin-PC gespeichert sein. 1. Klicken Sie auf die Schaltfläche "Durchsuchen..." Ein Dialog für die Dateiauswahl öffnet sich. 2. Wählen Sie eine Schlüsseldatei aus und klicken Sie im Dialog auf die Schaltfläche "Öffnen". Auf der Weboberfläche erscheint im Eingabefeld die Pfadangabe. 3. Klicken Sie auf die Schaltfläche "Absenden", um die Schlüsseldatei in das M875 zu laden. Betriebsanleitung, 12/2012, C79000-G8900-C

110 4.7 IPsec-VPN - Virtual Private Network PKCS12-Datei (.p12) hochladen PKCS steht für "Public Key Cryptography Standards" und bezeichnet eine Reihe von kryptografischen Spezifikationen. Die Spezifikation PKCS#12 definiert ein Dateiformat, das dazu benutzt wird, private Schlüssel mit dem zugehörigen Zertifikat passwortgeschützt zu speichern. Hinweis Wenn sich bereits eine Zertifikatsdatei im Gerät befindet, muss diese Datei vor dem Laden einer neuen Datei gelöscht werden. Siehe auch unten unter "Eigene Zertifikate". Damit Sie eine PKCS12-Datei hochladen können, muss die entsprechende Datei (*.p12) auf dem Admin-PC gespeichert sein. 1. Klicken Sie auf die Schaltfläche "Durchsuchen...". Ein Dialog für die Dateiauswahl öffnet sich. 2. Wählen Sie die PKCS12-Datei aus und klicken Sie im Dialog auf die Schaltfläche "Öffnen". Auf der Weboberfläche erscheint im Eingabefeld die Pfadangabe. 3. Geben Sie in das Eingabefeld das Passwort zur PKCS12-Datei ein. 4. Klicken Sie auf die Schaltfläche "Absenden", um die Datei in das M875 zu laden. Gegenstellenzertifikate (*.pem, *.cer, *.crt) An dieser Stelle werden alle geladenen Gegenstellenzertifikate in einer Liste angezeigt. Durch Klicken auf die Schaltfläche "Löschen" können Sie Zertifikate, die nicht mehr benötigt werden, entfernen. Eigene Zertifikate (.p12) An dieser Stelle werden Name und Zustand der geladenen PKCS12-Datei angezeigt. Ein weißer Haken auf grünem Punkt zeigt an, dass der jeweilige Bestandteil der Zertifikatsdatei vorhanden ist. Ein weißes Kreuz auf rotem Punkt zeigt an, dass der jeweilige Bestandteil fehlt. Wenn Sie auf die Schaltfläche "Löschen" klicken, wird die aktuelle PKCS12-Datei aus dem M875 gelöscht Überwachung der VPN-Verbindungen Mit der Funktion "Überwachung" überprüft das M875 aufgebaute VPN-Verbindungen. Dazu sendet das M875 über die VPN-Verbindung in regelmäßigen Zeitabständen Ping-Pakete (ICMP) an eine oder mehrere Gegenstellen (Ziel-Hosts). Dies geschieht unabhängig von den Nutzdaten. 110 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

111 4.7 IPsec-VPN - Virtual Private Network Wenn das M875 auf einen Ping mindestens von einer der adressierten Gegenstellen eine Antwort erhält, dann ist die VPN-Verbindung noch funktionsbereit. Wenn keine der Gegenstellen auf den Ping antwortet, dann wird nach einer einstellbaren Wartezeit der Ping wiederholt. Enden alle Wiederholungen erfolglos, wird der VPN-Client im M875 neu gestartet. Das führt zu einem Neuaufbau aller bestehenden VPN-Verbindungen. Die Einstellungen für die Überwachung gelten für alle VPN-Verbindungen. Hinweis Senden Sie die Ping-Pakete direkt an die interne Schnittstelle des VPN-Gateways und nicht an einen Host hinter dem Gateway. Falls dieser Host nicht erreichbar ist, spricht die Tunnelüberwachung an. Aufruf der Webseite Wählen Sie in der Navigation "IPsec-VPN" > "Überwachung". VPN-Überwachung verwenden Hinweis Erhöhte Kosten durch zusätzliches Datenaufkommen Durch das Versenden der Ping-Pakete steigt das Datenaufkommen. Abhängig von Ihrem Teilnehmervertrag mit dem Mobilfunkbetreiber, können damit erhöhte Kosten verbunden sein. Betriebsanleitung, 12/2012, C79000-G8900-C

112 4.7 IPsec-VPN - Virtual Private Network Ja: Nein: VPN-Überwachung ist eingeschaltet. VPN-Überwachung ist ausgeschaltet. Wenn Sie "Ja" auswählen, erscheinen auf der Seite die nachfolgend genannten Einträge. Intervall für Verbindungsprüfung (Minuten) Legen Sie fest, in welchen Zeitabständen Ping-Pakete über die überwachten VPN- Verbindungen (VPN-Tunnel) gesendet werden. Geben Sie das Zeitintervall in Minuten an. Wartezeit bis zur Wiederholung Legen Sie die Wartezeit fest, nach welcher bei einer erfolglosen Ping-Prüfung (keine Antwort auf den Ping) die Prüfung wiederholt wird. Geben Sie die Wartezeit in Minuten in das Eingabefeld ein. Anzahl der erfolglosen Verbindungsprüfungen bis zum Neustart des VPN-Client Legen Sie fest, wie oft die Ping-Prüfung durchgeführt wird, bevor der VPN-Client im M875 neu gestartet wird. Geben Sie die Anzahl der Prüfungen in das Eingabefeld ein. Liste der Ziel-Hosts Im Bereich "Liste der Ziel-Hosts" legen Sie fest, welche Ihrer VPN-Verbindungen nach oben eingestelltem Muster überwacht werden. Klicken Sie auf Schaltfläche "Neu", um die Überwachung für eine bestimmte VPN- Verbindung festzulegen. Name des Tunnels Wählen Sie aus der Klappliste die VPN-Verbindung (VPN-Tunnel) aus, die überwacht wird. IP-Adresse des Host Geben Sie in dieses Feld die IP-Adresse des Ziel-Host ein. IP-Adresse des Client Geben Sie in dieses Feld als Absender-IP eine beliebige ungenutzte IP-Adresse aus dem lokalen Netzbereich der jeweiligen VPN-Verbindung an. Wenn Sie auf die Schaltfläche "Löschen" klicken, wird diese VPN-Verbindung aus der Überwachung herausgenommen. 112 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

113 4.7 IPsec-VPN - Virtual Private Network Werkseinstellungen VPN-Überwachung verwenden: Nein Intervall für Verbindungsprüfung (Minuten): 5 Wartezeit bis zur Wiederholung: 1 Anzahl der erfolglosen 3 Verbindungsprüfungen bis zum Neustart des VPN-Client: Name des Tunnels: - IP-Adresse des Host: IP-Adresse des Client: Erweiterte Einstellungen Aufruf der Webseite Wählen Sie in der Navigation "IPsec-VPN" > "Erweitert". Betriebsanleitung, 12/2012, C79000-G8900-C

114 4.7 IPsec-VPN - Virtual Private Network Keepalive-Intervall für NAT-T (Sekunden) Wenn die Funktion NAT-T aktiviert ist, dann werden periodisch Keepalive-Telegramme vom M875 durch die VPN-Verbindung gesendet. Das verhindert, dass ein NAT-Router zwischen M875 und der Gegenstelle in Ruhephasen ohne Datenverkehr die Verbindung unterbricht. Geben Sie in das Eingabefeld ein Intervall in Sekunden ein, in dem die Keepalive- Telegramme versendet werden. Phase 1 Timeout (Sekunden) Mit dieser Einstellung legen Sie fest, wie lange das M875 abwartet, bis ein Authentifizierungsverfahren der ISAKMP-SA abgeschlossen ist. Bei Zeitüberschreitung wird das Authentifizierungsverfahren abgebrochen und neu gestartet. Geben Sie eine Zeitspanne in Sekunden ein. Phase 2 Timeout (Sekunden) Mit dieser Einstellung legen Sie fest, wie lange das M875 abwartet, bis ein Authentifizierungsverfahren der IPsec-SA abgeschlossen ist. Bei Zeitüberschreitung wird das Authentifizierungsverfahren abgebrochen und neu gestartet. Geben Sie eine Zeitspanne in Sekunden ein. Maximale Anzahl der Verbindungsaufbauversuche bis zum Neustart des VPN-Client Wenn ein VPN-Verbindungsaufbau fehlschlägt, dann versucht das M875 automatisch, die Verbindung erneut aufzubauen. Nach der hier festgelegten Anzahl von erfolglosen Versuchen wird der VPN-Client durch den M875 neu gestartet. Danach leitet das M875 den VPN-Verbindungsaufbau neu ein. Geben Sie in das Feld die Anzahl der erfolglosen Versuche ein, bevor das M875 seinen VPN-Client neu startet. Maximale Anzahl der Verbindungsaufbauversuche nach Neustart des VPN-Client bis zum Neustart des Geräts Wenn der VPN-Verbindungsaufbau auch nach Neustart des VPN-Client nicht gelingt, wird das M875 ebenfalls automatisch neu gestartet und leitet dann den Verbindungsaufbau wieder ein. Geben Sie in das Feld die Anzahl der erneuten VPN-Verbindungsversuche nach Neustarts des VPN-Client ein, bevor auch das M875 neu gestartet wird. DynDNS-Tracking Beim DNS-Tracking überprüft das M875 regelmäßig, ob das VPN-Gateway der Gegenstelle noch erreichbar ist. Aktivieren Sie diese Funktion insbesondere dann, wenn das VPN- Gateway der Gegenstelle die IP-Adresse von einem DynDNS-Dienst bezieht, und wenn außerdem keine Dead Peer Detection verwendet wird. Wählen Sie eine der beiden Optionen: 114 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

115 4.7 IPsec-VPN - Virtual Private Network Ja: Nein: Die Funktion DynDNS-Tracking ist aktiviert. Die Funktion DynDNS-Tracking ist nicht aktiviert. Wenn sie "Ja" gewählt haben, erscheint der nachfolgende Eintrag. Intervall für DynDNS-Tracking (Minuten) Legen Sie ein Intervall fest, in dem geprüft wird, ob die Gegenstelle noch erreichbar ist. Geben Sie eine Zeitspanne in Minuten ein. Neustart des VPN-Client bei DPD Wenn das M875 auf seine DPD-Anfragen von einer Gegenstelle keine Antwort erhält, dann wird die IPsec-Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen. Sie können festlegen, ob in so einem Fall, das M875 neu gestartet wird. Bedenken Sie, dass bei einem Neustart nicht nur die fehlgeschlagene Verbindung, sondern alle vorhandenen VPN-Verbindungen unterbrochen werden. Wählen Sie eine der beiden Optionen: Ja: Nein: Das Gerät wird neu gestartet, sobald DPD festgestellt wird. Das Gerät wird bei DPD nicht neu gestartet. Werkseinstellungen Keepalive-Intervall für NAT-T (Sekunden): 60 Phase 1 Timeout (Sekunden): 15 Phase 2 Timeout (Sekunden): 10 Maximale Anzahl der Verbindungsaufbauversuche bis 5 zum Neustart des VPN-Client: Maximale Anzahl der Verbindungsaufbauversuche nach 2 Neustart des VPN-Client bis zum Neustart des Geräts: DynDNS-Tracking: Nein Intervall für DynDNS-Tracking (Minuten): 5 Neustart des VPN-Client bei DPD: Nein Status Auf der Seite "IPsec-VPN - Status" wird Ihnen der Status der aktiven VPN-Verbindungen angezeigt. Außerdem haben Sie hier die Möglichkeit, eine Protokolldatei auf den Admin-PC zu laden. Betriebsanleitung, 12/2012, C79000-G8900-C

116 4.8 Fernzugänge Aufruf der Webseite Wählen Sie in der Navigation "IPsec-VPN" > "Status". Liste der aktiven VPN-Verbindungen Unter diesem Eintrag werden die aktiven VPN-Verbindungen mit Namen, Gegenstelle und Ihrer Sicherheitsbeziehungen ISAKMP und IPsec aufgelistet. Die Sicherheitsbeziehung ist erfolgreich aufgebaut. Die Sicherheitsbeziehung ist nicht aufgebaut. Anzahl der VPN-Verbindungsversuche (24h) Dieser Eintrag zeigt an, wie oft in den letzten 24 Stunden versucht wurde, eine VPN- Verbindung aufzubauen. VPN-Protokoll herunterladen Informationen zum Aufbau und Abbau von VPN-Verbindungen werden in einer Log-Datei protokolliert. Um auf diese Informationen zuzugreifen, gehen Sie folgendermaßen vor: 1. Klicken Sie auf die Schaltfläche "Download". Ein Dialog zum Öffnen und Speichern von Dateien wird geöffnet. 2. Folgen Sie den Anweisungen des Dialogs, um die Log-Datei mit dem VPN-Protokoll auf dem Admin-PC zu speichern. 4.8 Fernzugänge Passwort ändern Der Zugang zum M875 ist durch ein Passwort geschützt. Dieses Passwort schützt folgende Zugangswege: Über die lokale Schnittstelle auf die Weboberfläche und die SSH-Konsole. Über die Mobilfunkverbindung per HTTPS auf die Weboberfläche. ACHTUNG Werkseitiges Passwort sofort ändern Ändern Sie das werkseitig eingestellte Passwort sofort nach der Inbetriebnahme. Dieses Passwort ist allgemein bekannt und bietet keinen ausreichenden Schutz. 116 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

117 4.8 Fernzugänge Passwort ändern Um das Zugangspasswort zu ändern, gehen Sie wie folgt vor: 1. Wählen Sie in der Navigation "Fernzugänge" > "Passwort". 2. Geben Sie ein neues Passwort in das Eingabefeld "Neues Zugangspasswort" ein. 3. Geben Sie das neue Passwort noch einmal in das Eingabefeld "Neues Zugangspasswort wiederholen" ein. 4. Bestätigen Sie Ihre Eingabe durch Klicken auf die Schaltfläche "Speichern". Die Meldung "Passwort geändert" erscheint. 5. Bestätigen Sie diese Meldung durch Klicken auf die Schaltfläche "OK". Ein Dialog erscheint, der Sie auffordert, sich erneut anzumelden. 6. Geben Sie den Benutzernamen "admin" und Ihr neu festgelegtes Passwort ein. 7. Bestätigen Sie Ihre Eingabe durch Klicken auf die Schaltfläche "OK". Werkseinstellungen Benutzername: admin (Kann nicht verändert werden.) Passwort: scalance Betriebsanleitung, 12/2012, C79000-G8900-C

118 4.8 Fernzugänge HTTPS Bild 4-9 Konfiguration mit HTTPS-Zugriff Der HTTPS-Fernzugang bietet über eine Mobilfunkverbindung einen gesicherten Zugriff auf die Weboberfläche des M875. Der Fernzugang über HTTPS (Secure HyperText Transfer Protocol) ermöglicht einen gesicherten Zugriff aus einem externen Netz auf die Weboberfläche des M875. Um diese Möglichkeit zu nutzen, muss Sie zunächst, wie unten beschrieben, aktiviert worden sein. Dann können Sie das M875 über den HTTPS-Fernzugang genau so per Webbrowser projektieren, wie im Kapitel Netzwerk Intern (Seite 51) beschrieben. 118 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

119 4.8 Fernzugänge Aufruf der Webseite Wählen Sie in der Navigation "Fernzugänge" > "HTTPS". HTTPS-Fernzugang aktivieren Legen Sie fest, ob der Fernzugang per HTTPS aktiviert wird. Wählen Sie eine der beiden Optionen aus der Klappliste: Ja: Nein: Der Zugriff auf die Weboberfläche des M875 per HTTPS aus dem externen Netz ist gestattet. Der Zugriff auf die Weboberfläche des M875 per HTTPS aus dem externen Netz ist nicht gestattet. Die Werkseinstellung ist "Nein". Port für HTTPS-Fernzugang Werkseitig ist der Standard-Port 443 festgelegt. Sie können die Portnummer im Eingabefeld ändern. Bedenken Sie dabei, dass dann die externe Gegenstelle, die den Fernzugriff ausübt, bei der Adressenangabe hinter der IP- Adresse auch die Portnummer angeben muss. Beispiel: Wenn das M875 über das Internet unter der IP-Adresse zu erreichen ist, und wenn außerdem für den Fernzugang die Portnummer 442 festgelegt wurde, dann muss bei der externen Gegenstelle im Webbrowser Folgendes angegeben werden: Hinweis Der Standard-Port für den HTTPS-Zugang bleibt zusätzlich zum neu gewählten Port offen. Betriebsanleitung, 12/2012, C79000-G8900-C

120 4.8 Fernzugänge Firewall-Regeln Um eine neue Firewall-Regel für den HTTPS-Fernzugang zu erstellen, klicken Sie auf die Schaltfläche "Neu". Um eine bestehende Regel zu entfernen, klicken Sie auf die Schaltfläche "Löschen". Klicken Sie zum Speichern Ihrer Einstellungen auf die Schaltfläche "Speichern". Von IP-Adresse Geben Sie in das Eingabefeld die IP-Adresse des Rechners ein, dem ein Fernzugriff gestattet ist. Die werkseitige Einstellung lautet " /0" und steht stellvertretend für "alle IP- Adressen". Um einen Adressbereich anzugeben, verwenden Sie die CIDR-Schreibweise. Aktion Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit den Zugriffen auf den angegebenen HTTPS-Port verfahren wird: Erlauben: Zurückweisen: Verwerfen: Die IP-Pakete dürfen passieren. Die IP-Pakete werden abgewiesen, und der Absender erhält eine entsprechende Rückmeldung. Die IP-Pakete werden ohne Rückmeldung an den Absender gelöscht. Logbuch-Eintrag Legen Sie für jede Firewall-Regel einzeln fest, ob ein Ereignis bei Greifen der Regel im Firewall-Logbuch protokolliert wird. Wählen Sie die entsprechende Option aus der Klappliste. Nähere Informationen finden Sie im Kapitel Firewall-Logbuch (Seite 86). Nein: Ja: Kein Logbuch-Eintrag Logbuch-Eintrag Werkseinstellungen HTTPS-Fernzugang aktivieren: Nein (ausgeschaltet) Port für HTTPS-Fernzugang: 443 Firewall-Regeln Von IP-Adresse: /0 Aktion: Erlauben Log: Nein (ausgeschaltet) 120 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

121 4.9 SMS CSD CSD (Circuit Switched Data) wird nicht unterstützt. 4.9 SMS Service Center (SMSC) Das M875 nutzt den Short Message Service (SMS) von GSM. Damit die SMS-Funktion zuverlässig arbeitet, müssen Sie - abhängig von Ihrem Vertrag - ein bestimmtes Service Center Ihres Mobilfunkbetreibers festlegen. Tragen Sie dazu eine entsprechende Rufnummer auf der Weboberfläche des M875 ein. Diese Rufnummer erhalten Sie von Ihrem Mobilfunkbetreiber. Wenn Sie keine Rufnummer eintragen, wird automatisch das Standard-Service-Center Ihres Mobilfunkbetreibers verwendet. Aufruf der Webseite Wählen Sie in der Navigation "SMS" > "SMS Center (SMSC)". Rufnummer des SMSC Geben Sie in das Eingabefeld die Rufnummer des bevorzugten SMS Service Centers ein Alarm-SMS Das M875 kann kurze Alarmmeldungen per SMS versenden. Der Versand einer Alarm-SMS kann durch zwei Ereignisse ausgelöst werden: Ereignis 1: Der Schalteingang wird gesetzt. Ereignis 2: Es besteht keine UMTS/GPRS-Verbindung. Für die beiden Ereignisse wird jeweils eine eigene Rufnummer festgelegt, an welche die Alarmmeldung geschickt wird. Sie können den Text der Alarmmeldung frei festlegen. Betriebsanleitung, 12/2012, C79000-G8900-C

122 4.9 SMS Aufruf der Webseite Wählen Sie in der Navigation "SMS" > "Alarm-SMS". Alarm-SMS bei Ereignis 1: Schalteingang wird aktiv Wenn am Schalteingang eine ausreichende Schaltspannung angelegt wird, ist die Voraussetzung für Ereignis 1 erfüllt. Somit kann z. B. eine lokale Applikation, die am Schalteingang angeschlossen ist, außerhalb der IP-Datenverbindung eine Alarmmeldung per SMS veranlassen. Alarm-SMS bei Ereignis 2: Keine GPRS-Verbindung Wenn die Mobilfunkverbindung trotz mehrfacher Versuche nicht aufgebaut werden kann, dann ist die Voraussetzung für Ereignis 2 erfüllt. Bei aktivierter Funktion Alarm-SMS, wird eine SMS versendet. Aktivieren Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Die Funktion ist aktiviert. Die Funktion ist nicht aktiviert. Rufnummer Tragen Sie in das Eingabefeld die Rufnummer des Endgeräts ein, an das die Alarm-SMS gesendet wird. 122 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

123 4.9 SMS Das Endgerät muss SMS-Empfang über GSM oder Festnetz unterstützen. Nachrichtentext Tragen Sie in das Eingabefeld den Text ein, der als Alarmmeldung verschickt wird. Werkseinstellungen Alarm-SMS bei Ereignis 1: Schalteingang wird aktiv: Nein (ausgeschaltet) Rufnummer: - Nachrichtentext: - Alarm-SMS bei Ereignis 2: Keine GPRS-Verbindung: Nein (ausgeschaltet) Rufnummer: - Nachrichtentext: SMS over IP - SMS-Versand aus dem lokalen Netz Mit der Funktion SMS-Versand können Anwendungen, die an der lokalen Schnittstelle des M875 angeschlossen sind, SMS-Nachrichten über das GSM-Netz verschicken. Dazu muss die lokale Anwendung eine TCP/IP-Verbindung zum M875 aufbauen. Über diese TCP/IP-Verbindung sendet die lokale Anwendung den Nachrichtentext in einem bestimmten Telegrammformat an das M875. Das M875 verpackt den Nachrichtentext in ein SMS-Format und verschickt die SMS über das GSM-Netz. Telegrammformat für die SMS-Nachricht Die Nachricht, die von der lokalen Anwendung verschickt wird, muss dem folgenden Telegrammformat entsprechen: Benutzername#Passwort#CommandCode#Seq-Num;Rufnummer;Nachricht: Beispiel: User#Password#105#01; ;mein SMS Text: Benutzername Der Benutzername muss dem für diese Funktion festgelegten Benutzernamen entsprechen, siehe unten "Beschreibung der Oberfläche". Passwort Das Passwort muss dem für diese Funktion festgelegten Passwort entsprechen, siehe unten "Beschreibung der Oberfläche". CommandCode Dieser Teil des Telegramms gibt das Kommando zum SMS-Versand aus dem lokalen Netz. Der Wert 105 ist festgelegt und darf nicht verändert werden. Betriebsanleitung, 12/2012, C79000-G8900-C

124 4.9 SMS Seq-Num Der Telegrammteil "Seq-Num" ist die Sequenznummer und dient der Zuordnung mehrerer, gleichzeitiger Anfragen. Diese Funktion wird zurzeit nicht unterstützt. Daher muss immer "01" verwendet werden. Rufnummer Die Rufnummer des SMS-Empfängers darf maximal 40 Zeichen lang sein. Internationale Nummern (z. B. "+49" oder "0049") sind zulässig. Nachricht Der Nachrichtentext darf maximal 160 Zeichen lang sein. Folgende Zeichen dürfen im SMS-Text nicht vorkommen: # Trennungszeichen der ersten Kommandoebene ; Trennungszeichen der zweiten Kommandoebene : Bestimmt das Ende der Nachricht Aufruf der Webseite Wählen Sie in der Navigation "SMS" > "SMS over IP". SMS-Versand aus dem lokalen Netzwerk aktivieren Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Die Funktion ist aktiviert. Die Funktion ist nicht aktiviert. 124 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

125 4.9 SMS Benutzername Legen Sie im Eingabefeld einen Benutzernamen fest, der im Telegramm enthalten sein muss, siehe oben "Telegrammformat". Passwort Legen Sie im Eingabefeld ein Passwort fest, das im Telegramm enthalten sein muss, siehe oben "Telegrammformat". Port-Nummer Legen Sie im Eingabefeld ein TCP/IP-Port fest, auf dem das M875 die TCP/IP-Verbindung zum SMS-Versand entgegen nimmt. Firewall-Regeln Damit die TCP/IP-Verbindung zum SMS-Versand aufgebaut werden kann, muss Sie beim M875 eine Firewall-Regel einrichten. Klicken Sie dazu auf die Schaltfläche "Neu". Werkseitig ist die Firewall-Regel für den SMS-Versand so eingestellt, dass alle Telegramme aus dem lokalen Netz passieren dürfen. Von IP-Adresse (intern) Dieser Eintrag legt die Quelle für die TCP/IP-Verbindung zum SMS-Versand fest. Geben Sie in das Eingabefeld die IP-Adresse der lokal angeschlossenen Applikation ein, die SMS-Befehle an das M875 senden darf. Um einen Adressbereich anzugeben, verwenden Sie die CIDR-Schreibweise. Aktion Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit Telegrammen über TCP/IP der zuvor unter "Von IP-Adresse (intern)" angegebenen Teilnehmer verfahren wird. Erlauben: Zurückweisen: Verwerfen: Die IP-Pakete dürfen passieren. Die IP-Pakete werden abgewiesen, und der Absender erhält eine entsprechende Rückmeldung. Die IP-Pakete werden ohne Rückmeldung an den Absender gelöscht. Logbuch-Eintrag Legen Sie für jede Firewall-Regel einzeln fest, ob ein Ereignis bei Greifen der Regel im Firewall-Logbuch protokolliert wird. Wählen Sie die entsprechende Option aus der Klappliste. Nähere Informationen finden Sie im Kapitel Firewall-Logbuch (Seite 86). Nein: Kein Logbuch-Eintrag Betriebsanleitung, 12/2012, C79000-G8900-C

126 4.10 SNMP Ja: Logbuch-Eintrag Werkseinstellungen SMS-Versand aus lokalem Netz aktivieren: Nein (ausgeschaltet) Benutzername: User Passwort: Password Port-Nummer: Firewall-Regeln: - Von IP-Adresse (intern): /0 Aktionen: Erlauben Logbuch-Eintrag: Nein Ausführliches Applikationsbeispiel Die ausführliche Beschreibung eines Beispiels mit einer SIMATIC S7-Station finden Sie auf den Seiten des Siemens Automation Customer Support unter folgender Adresse: ( Im Beispiel wird die Funktion anhand des EDGE/GPRS-Routers SINAUT MD741-1 beschrieben. Diese Informationen können Sie auf das übertragen SNMP Einstellungen SNMP-Parameter SNMP (Simple Network Management Protocol) ist ein Netzwerkprotokoll, mit dem einzelne Netzwerkteilnehmer, wie auch das M875, von einer Managementstation aus überwacht und gesteuert werden können. Bei den einzelnen Netzwerkteilnehmern werden sogenannte Agenten eingesetzt. Diese Programme sind in der Lage, den Zustand des Teilnehmers zu erfassen, Einstellungen vorzunehmen oder Aktionen auszulösen. Über SNMP kann die Managementstation mit den einzelnen Agenten kommunizieren. Dabei können folgende Parameter vom M875 abgefragt werden: 126 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

127 4.10 SNMP Angaben zur Geräteidentifikation IP-Adresse des externen Netzwerks PIN der SIM-Karte MAC-Adresse Netzwerkbetreiber APN IMSI IMEI CSQ-Wert ID der aktuellen Funkzelle ID der benachbarten Funkzelle Host-Name Maximales Datenvolumen 80%-Warnschwelle des max. Datenvolumens Übertragene Bytes seit Monatsbeginn Hardware-ID Software-Version Firmware-Version Folgende Parameter können beim M875 über SNMP geändert werden: Maximales Datenvolumen PIN der SIM-Karte Zugangspasswort Angaben zur Geräteidentifikation Das M875 unterstützt die Version SNMPv2. Hinweis SNMP nur über VPN Die SNMP-Funktionalitäten können nur über eine bestehende VPN-Verbindung genutzt werden. Aufruf der Webseite Wählen Sie in der Navigation "SNMP" > "Einstellungen". Betriebsanleitung, 12/2012, C79000-G8900-C

128 4.10 SNMP SNMP-Zugriff aktivieren Legen Sie fest, ob der Zugriff über SNMP aktiviert wird. Ja: Nein: Der Zugriff über SNMP ist aktiviert. Der Zugriff über SNMP ausgeschaltet. Port für SNMP-Zugriff Geben Sie in das Eingabefeld die Nummer des Ports ein, über den der SNMP-Zugriff ermöglicht wird. Lesen-Schreiben-Community Legen Sie einen Community String (Passwort) für den SNMP-Zugriff mit Lese- und Schreibrechten fest. Nur-Lesen-Community Legen Sie einen Community String (Passwort) für den SNMP-Zugriff mit Leserechten fest. Hinweis Community Strings (Passwörter) ändern Ändern Sie die werkseitig eingestellten Passwörter. Diese Passwörter sind allgemein bekannt und bieten keinen ausreichenden Schutz. Firewall-Regeln Damit die TCP/IP-Verbindung für den SNMP-Zugriff aufgebaut werden kann, müssen Sie beim M875 eine Firewall-Regel einrichten. Klicken Sie dazu auf die Schaltfläche "Neu". Werkseitig ist die Firewall-Regel für den SNMP-Zugriff so eingestellt, dass alle Anfragen passieren dürfen. Von IP-Adresse (extern) Dieser Eintrag legt die Quelle der SNMP-Anfragen fest. Geben Sie in das Eingabefeld die IP-Adresse der Applikation ein, die per SNMP auf das M875 zugreifen darf. Um einen Adressbereich anzugeben, verwenden Sie die CIDR-Schreibweise. Aktion Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit SNMP-Anfragen der zuvor unter "Von IP-Adresse (extern)" angegebenen Teilnehmer verfahren wird. 128 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

129 4.10 SNMP Erlauben: Zurückweisen: Verwerfen: Die IP-Pakete dürfen passieren. Die IP-Pakete werden abgewiesen, und der Absender erhält eine entsprechende Rückmeldung. Die IP-Pakete werden ohne Rückmeldung an den Absender gelöscht. Logbuch-Eintrag Legen Sie für jede Firewall-Regel einzeln fest, ob ein Ereignis bei Greifen der Regel im Firewall-Logbuch protokolliert wird. Wählen Sie die entsprechende Option aus der Klappliste. Nähere Informationen finden Sie im Kapitel Firewall-Logbuch (Seite 86). Nein: Ja: Kein Logbuch-Eintrag Logbuch-Eintrag Werkseinstellungen SNMP-Zugriff aktivieren: Nein (ausgeschaltet) Port für SNMP-Zugriff: 161 Lesen-Schreiben-Community: private Nur-Lesen-Community: public Firewall-Regeln: Keine Regeln gesetzt. Management über SIMATIC NET oder SINEMA Server Der SIMATIC NET IE SNMP OPC-Server und auch der SINEMA Server bieten viele komfortable Möglichkeiten des Netzwerkmanagements. SIMATIC NET IE SNMP OPC-Server Die SNMP OPC-Server Software ermöglicht die Diagnose und Parametrierung von beliebigen SNMP-Geräten. Der Datenaustausch mit diesen Geräten wird von dem OPC- Server über das SNMP Protokoll abgewickelt. Sämtliche Informationen können in OPCkompatible Systeme, z. B. in das HMI-System WinCC, integriert werden. Eine kombinierte Prozess- und Netzwerkdiagnose im HMI-System wird dadurch ermöglicht. Betriebsanleitung, 12/2012, C79000-G8900-C

130 4.10 SNMP SINEMA Server SINEMA Server erkennt automatisch die im Netzwerk vorhanden Geräte und ermittelt die Topologie des Netzwerks. Informationen wie Gerätename, IP- und MAC-Adresse, Hersteller, Status und unterstützte Protokolle werden über die im Netzwerk erkannten Geräte gesammelt. SINEMA Server ermöglicht die Überwachung, Wartung und Diagnose der im Netzwerk vorhandenen Geräte. Änderungen von Betriebszuständen und Fehler im Netzwerk werden als Ereignis erkannt und Alarme für die erkannten Ereignisse werden automatisch generiert. Die gesammelten Geräteinformationen, die ermittelte Topologie, die Alarme und Netzwerkstatistik werden mit Hilfe eines Webbrowsers und/oder von integriert in HMI-/ SCADA-Systemen angezeigt. Die Netzwerkstatistik zeigt den Zustand der im Netzwerk vorhandenen Geräte basierend auf den Ereignissen und Gerätetypen. Download der MIB-Dateien Die MIB-Dateien für das M875 stehen auf den Seiten des Siemens Automation Customer Support unter folgender Adresse zum Download bereit: ( SNMP Traps Beim Eintreten bestimmter Ereignisse kann das M875 Alarmtelegramme (Traps) an die Management-Station verschicken. Dafür stehen beim M875 sechs verschiedene Ereignistypen zur Verfügung. Legen Sie für jeden Ereignistyp einzeln fest, ob ein Alarmtelegramm verschickt werden soll. Zusätzlich zu den einstellbaren Ereignissen verschickt das M875 über SNMP automatisch ein Alarmtelegramm, wenn ein VPN-Tunnel aufgebaut oder abgebaut wird. 130 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

131 4.10 SNMP Aufruf der Webseite Wählen Sie in der Navigation "SNMP" > "SNMP Traps". SNMP Traps aktivieren Legen Sie fest, ob bei ausgewählten Ereignissen Alarmtelegramme verschickt werden. Ja: Nein: Alarmtelegramme werden verschickt. Alarmtelegramme werden nicht verschickt. Ziel-Host Geben Sie die IP-Adresse der Management-Station ein, an welche die Alarmtelegramme verschickt werden sollen. Ziel-Port Geben Sie in das Eingabefeld die Port-Nummer des Ziel-Host ein. Betriebsanleitung, 12/2012, C79000-G8900-C

132 4.10 SNMP Ziel-Name Falls erforderlich, geben Sie den Namen des Telegramm-Empfängers ein. Sonst können Sie den werkseitig eingestellten Namen beibehalten. Ziel-Community Falls erforderlich, geben Sie die Ziel-Community des Telegramm-Empfängers ein. Sonst können Sie die werkseitig eingestellte Community beibehalten. Ereignis: Gerät sendet Keepalive-Telegramme Das M875 kann periodisch Keepalive-Telegramme versenden. Im nächsten Eingabefeld "Keepalive-Intervall (Minuten)" können Sie das Intervall für das Versenden der Keepalive- Telegramme festlegen. Legen Sie hier fest, ob das M875 ein Alarmtelegramm an die Management-Station verschicken soll, wenn ein Keepalive-Telegramm verschickt wird. Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Alarmtelegramm wird bei Eintreten des Ereignisses verschickt. Es wird kein Alarmtelegramm verschickt. Keepalive-Intervall (Minuten) Geben Sie in das Eingabefeld ein Intervall in Minuten ein, in dem die Keepalive-Telegramme versendet werden. Ereignis: 80% des max. Datenvolumens (Bytes/Monat) Volumen erreicht Legen Sie fest, ob ein Alarmtelegramm verschickt werden soll, wenn 80 % des festgelegten maximalen Datenvolumens pro Monat erreicht wurden, siehe auch Kapitel Volumenüberwachung (Seite 67). Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Alarmtelegramm wird bei Eintreten des Ereignisses verschickt. Es wird kein Alarmtelegramm verschickt. Ereignis: 100% des max. Datenvolumens (Bytes/Monat) Volumen erreicht Legen Sie fest, ob ein Alarmtelegramm an die Managementstation verschickt werden soll, wenn das festgelegte maximale Datenvolumen pro Monat erreicht wurde. Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Alarmtelegramm wird bei Eintreten des Ereignisses verschickt. Es wird kein Alarmtelegramm verschickt. 132 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

133 4.10 SNMP Ereignis: Verbindung hergestellt Legen Sie fest, ob ein Alarmtelegramm an die Managementstation verschickt werden soll, wenn das M875 eine Verbindung zum Mobilfunknetz aufbaut und abbaut. Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Alarmtelegramm wird bei Eintreten des Ereignisses verschickt. Es wird kein Alarmtelegramm verschickt. Ereignis: Änderung am Schalteingang Legen Sie fest, ob ein Alarmtelegramm verschickt werden soll, wenn am Schalteingang eine Änderung eintritt. Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Alarmtelegramm wird bei Eintreten des Ereignisses verschickt. Es wird kein Alarmtelegramm verschickt. Ereignis: Änderung eines Konfigurationsprofils Legen Sie fest, ob ein Alarmtelegramm verschickt werden soll, wenn die Konfiguration des M875 verändert wurde. Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Alarmtelegramm wird bei Eintreten des Ereignisses verschickt. Es wird kein Alarmtelegramm verschickt. Werkseinstellungen SNMP Traps aktivieren: Nein (ausgeschaltet) Ziel-Host: Ziel-Port: 162 Ziel-Name: public Ziel-Community: public Ereignis: Gerät sendet Keepalive-Telegramme: Nein (ausgeschaltet) Keepalive-Intervall (Minuten) 600 Ereignis: 80% des max. Datenvolumens erreicht: Nein (ausgeschaltet) Ereignis: 100% des max. Datenvolumens Nein (ausgeschaltet) erreicht: Ereignis: Verbindung hergestellt Nein (ausgeschaltet) Ereignis: Änderung am Schalteingang Nein (ausgeschaltet) Ereignis: Änderung eines Konfigurationsprofils Nein (ausgeschaltet) Betriebsanleitung, 12/2012, C79000-G8900-C

134 4.10 SNMP 134 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

135 Wartung und Diagnose Aufruf der Wartungs-Webseiten Für Wartungs- und Diagnosezwecke stehen Ihnen die Webseiten des M875 zur Verfügung. Informationen über Voraussetzungen und Aufruf der Webseiten von einem Admin-PC aus finden Sie im Kapitel Einstellungen beim Admin-PC (Seite 35). Die einzelnen Funktionen sind in den nachfolgenden Kapiteln beschrieben. 5.2 Update - Aktualisieren der Firmware Mit der Update-Funktion können Sie die Firmware-Version für das M875 aktualisieren. Nach dem Laden der entsprechenden Dateien in das M875 wird die neue Firmware entpackt. Dieser Vorgang kann einige Minuten dauern. Danach beginnt der eigentliche Aktualisierungsvorgang, der durch ein Lauflicht der LEDs angezeigt wird. Nach der Aktualisierung führt das Gerät automatisch einen Neustart durch. Die Einstellungen des M875 bleiben erhalten, sofern diese Einstellungen in der neuen Firmware-Version noch so wirken, wie vor der Aktualisierung. Hinweis Keine Einstellungen während des Aktualisierungsvorgangs vornehmen In der Zeitspanne vom Entpacken der Firmware und dem eigentlichen Aktualisieren bis zum Neustart des Geräts ist die Administrationsoberfläche nicht gesperrt. Nehmen Sie trotzdem während dieser Zeitspanne keinen Einstellungen an der Oberfläche vor, da nicht sichergestellt werden kann, dass diese Einstellungen korrekt übernommen werden. Gerät nicht ausschalten Schalten Sie das Gerät während des Aktualisierungsvorgangs nicht aus. Es besteht die Möglichkeit, dass die Aktualisierung zu einem festgelegten Zeitpunkt automatisch durchgeführt wird. Dazu müssen Sie die neue Firmware, wie unten beschrieben, zunächst in das Gerät laden. Betriebsanleitung, 12/2012, C79000-G8900-C

136 Wartung und Diagnose 5.2 Update - Aktualisieren der Firmware Aufruf der Webseite Wählen Sie in der Navigation "Wartung" > "Update". Zeitpunkt festlegen Wählen Sie aus der Klappliste eine der folgenden Optionen: Ja: Nein: Die Aktualisierung der neuen Firmware erfolgt zeitgesteuert zum unten festgelegten Zeitpunkt. Dazu muss die Firmware vorab geladen worden sein, siehe unten "Update-Datei auswählen". Die Aktualisierung der Firmware wird ausgeführt, nachdem Sie die entsprechenden Firmware-Dateien geladen haben und auf die Schaltfläche "Absenden" geklickt haben. Firmware Update-Zeitpunkt festlegen Geben Sie Datum und Uhrzeit für die zeitgesteuerte Aktualisierung ein. 136 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

137 Wartung und Diagnose 5.3 Konfigurationsprofile Firmware Update-Datei auswählen Um das Datenvolumen zur Aktualisierung der Firmware möglichst gering zu halten, sind die Firmware-Dateien für das M875 genau auf den jeweiligen Aktualisierungsschritt zugeschnitten. Wenn Sie z. B. die Firmware von Version 2.0 auf 2.1 aktualisieren, wählen Sie die entsprechende Firmware-Datei "M875_v2.0-v2.1.tgz". Gehen Sie wie folgt vor, um eine neue Firmware-Version auf den M875 zu laden: 1. Klicken Sie auf die Schaltfläche "Durchsuchen". Ein Dialog öffnet sich. 2. Wählen Sie die entsprechende Firmware-Datei aus, z. B. "M875_v2.0-v2.1.tgz". 3. Klicken Sie im Dialog auf die Schaltfläche "Öffnen". Der Dialog schließt sich und die Pfadangabe erscheint im Eingabefeld. Schaltfläche "Absenden" Klicken Sie auf die Schaltfläche "Absenden". Die Firmware wird, je nach Einstellung, sofort oder zum festgelegten Zeitpunkt aktualisiert. Nach der Aktualisierung der Firmware führt das Gerät automatisch einen Neustart durch. Hinweis Aktualisierung überprüfen Überprüfen Sie nach dem Neustart auf der Startseite "Status" unter dem Punkt "Aktuelle Systemversion", ob die aktuelle Firmware-Version erfolgreich installiert wurde. 5.3 Konfigurationsprofile Sie können Ihre Einstellungen im M875 in Konfigurationsdateien speichern. Diese Profile können dann bei Bedarf neu geladen werden oder auf andere Geräte desselben Typs übertragen werden. Beachten Sie dabei, dass die PIN der SIM-Karte nicht im Konfigurationsprofil gespeichert wird. Betriebsanleitung, 12/2012, C79000-G8900-C

138 Wartung und Diagnose 5.3 Konfigurationsprofile Aufruf der Webseite Wählen Sie in der Navigation "Wartung" > "Konfigurationsprofile". Profil hochladen Mit dieser Funktion wird ein zuvor erstelltes und auf dem Admin-PC gespeichertes Konfigurationsprofil in das M875 geladen. Dateien mit Konfigurationsprofilen haben die Dateiendung "tgz". 1. Klicken Sie auf die Schaltfläche "Durchsuchen", um auf dem Admin-PC nach Konfigurationsprofilen zu suchen. Der Dialog "Datei hochladen" wird geöffnet. 2. Wählen Sie die gewünschte Konfigurationsdatei mit der Endung "tgz" durch Doppelklick aus. Der Pfad der Konfigurationsdatei wird im Eingabefeld angezeigt. 3. Klicken Sie auf die Schaltfläche "Absenden", um das Profil in das M875 zu laden. Das Konfigurationsprofil wird in der "Liste der gespeicherten Konfigurationsprofile" weiter unten auf der Seite angezeigt. Das hochgeladene Profil wird noch nicht verwendet. Damit das Gerät mit diesem Profil arbeitet, müssen Sie es in der Liste noch aktivieren, siehe unten. 138 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

139 Wartung und Diagnose 5.3 Konfigurationsprofile Profil anlegen Mit dieser Funktion legen Sie ein neues Profil mit den aktuellen Einstellungen des M875 an. 1. Geben Sie einen Namen für das Profil in das Eingabefeld ein. 2. Klicken Sie auf die Schaltfläche "Anlegen". Das neue Konfigurationsprofil wird in der "Liste der gespeicherten Konfigurationsprofile" angezeigt. Liste der gespeicherten Konfigurationsprofile In der dieser Liste werden alle im M875 gespeicherten Konfigurationsprofile angezeigt. Die drei Schaltflächen neben dem jeweiligen Profil haben folgende Funktionen: Schaltfläche "Aktivieren" Das M875 übernimmt die Einstellungen des ausgewählten Konfigurationsprofils und arbeitet mit diesem weiter. Schaltfläche "Download" Dialog zum Speichern des Konfigurationsprofils vom M875 auf den Admin-PC. Schaltfläche "Löschen" Das Konfigurationsprofil wird gelöscht. Standard-Konfiguration Das Profil "Standard-Konfiguration" umfasst die Werkseinstellungen. Das Profil kann nicht gespeichert oder gelöscht werden. Betriebsanleitung, 12/2012, C79000-G8900-C

140 Wartung und Diagnose 5.4 Neustart Zurücksetzen auf Standard-Konfiguration ACHTUNG Löschung von Daten Beachten Sie die folgenden Auswirkungen, bevor Sie das Gerät auf die Standard- Konfiguration zurücksetzen: Alle eingegebenen Konfigurationsdaten werden gelöscht. Dies beinhaltet auch Benutzernamen und Zugangspasswörter. Die PIN der SIM-Karte wird in den Konfigurationsdaten gelöscht. Das Gerät lädt die Werkseinstellungen und führt einen Neustart durch. Dies kann einige Minuten dauern. Erreichbarkeit des Geräts Das Gerät ist wieder über die werkseitig eingestellte IP-Adresse zu erreichen. Nicht gelöschte Daten Angelegte Konfigurationsprofile bleiben erhalten. Geladene Zertifikate bleiben erhalten. Logbuch-Dateien bleiben erhalten. Vorgehensweise 1. Klicken Sie in der "Liste der gespeicherten Konfigurationsprofile" in der Zeile "Standard- Konfiguration" auf die Schaltfläche "Aktivieren". 2. Ändern Sie das werkseitig eingestellte Passwort, siehe Kapitel Passwort ändern (Seite 116). 3. Tragen Sie die PIN der SIM-Karte erneut ein, siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60). Hinweis Wenn Sie das Gerät über die Weboberfläche oder über den SET-Taster auf seine Werkseinstellungen zurücksetzen, dann werden auch alle angelegten Konfigurationsprofile, Zertifikate und Logbuch-Dateien gelöscht. Informationen hierzu finden Sie im Kapitel Werkseinstellungen (Seite 146). 5.4 Neustart Obwohl das M875 für den Dauerbetrieb ausgelegt ist, kann es bei einem so komplexen System wie diesem zu Störungen kommen. Störungen werden meist durch äußere Einwirkung verursacht. Ein Neustart kann solche Störungen beheben. Beim Neustart werden bestehende Verbindungen unterbrochen. 140 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

141 Wartung und Diagnose 5.4 Neustart Die Einstellungen des aktuellen Konfigurationsprofils ändern sich nicht. Nach dem Neustart arbeitet das M875 mit diesen Einstellungen weiter. Sie können beim M875 einstellen, dass einmal am Tag zu einer bestimmten Uhrzeit automatisch ein Neustart durchgeführt wird. Aufruf der Webseite Wählen Sie in der Navigation "Wartung" > "Neustart". Sofortiger Neustart Wenn Sie auf die Schaltfläche "Neustart" klicken, wird der Neustart sofort ausgeführt. Täglichen Neustart verwenden Wählen Sie aus der Klappliste: Ja: Nein: Das M875 führt täglich zum unten angegebenen Zeitpunkt einen Neustart durch. Kein täglicher Neustart. Zeitpunkt des täglichen Neustarts Geben Sie in das Eingabefeld eine Uhrzeit im 24-Stunden-Format für den täglichen Neustart ein. Werkseinstellungen Täglichen Neustart verwenden: Nein Zeitpunkt des täglichen Neustarts: 01:00 Betriebsanleitung, 12/2012, C79000-G8900-C

142 Wartung und Diagnose 5.5 Remote Logging 5.5 Remote Logging Das M875 kann das System-Logbuch einmal am Tag automatisch per File Transfer Protocol (FTP) an einen FTP-Server übertragen. Dabei werden das aktuelle System-Logbuch sowie die archivierten Log-Dateien übertragen. Nach erfolgreicher Übertragung werden die Logbücher im M875 gelöscht. Wenn die Übertragung fehlschlägt, versucht das M875 nach 24 Stunden erneut, die Log-Dateien zu übertragen. Noch nicht übertragene Log-Dateien werden unter "Aktive Uploads" angezeigt. Aufruf der Webseite Wählen Sie in der Navigation "Wartung" > "Remote Logging". Remote Logging (FTP Upload) verwenden Legen Sie fest, ob die Funktion verwendet wird. Wählen Sie eine der beiden Optionen aus der Klappliste: Ja: Die Funktion ist eingeschaltet. Nein: Die Funktion ist ausgeschaltet. Uhrzeit Geben Sie eine Uhrzeit im 24-Stunden-Format ein, zu der die Logbücher übertragen werden. 142 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

143 Wartung und Diagnose 5.5 Remote Logging FTP Server Legen Sie einen FTP-Server fest, an den die Log-Dateien übertragen werden. Die Adresse kann als Host-Name, z. B. ftp.server.de, oder als IP-Adresse angegeben werden. Benutzername Legen Sie einen Benutzernamen für die Anmeldung am FTP-Server fest. Passwort Legen Sie ein Passwort für die Anmeldung am FTP-Server fest. Aktive Uploads Hier werden die Log-Dateien angezeigt, die beim nächsten Zyklus an den FTP-Server übertragen werden. Werkseinstellungen Remote Logging (FTP Upload) verwenden: Nein (ausgeschaltet) Uhrzeit: 00:00 FTP-Server: NONE Benutzername: guest Passwort: guest Betriebsanleitung, 12/2012, C79000-G8900-C

144 Wartung und Diagnose 5.6 Firmware-Informationen 5.6 Firmware-Informationen Über die Navigation "Wartung" > "Firmware-Info" gelangen Sie zur Seite "Firmware- Informationen": Informationen zum Eintrag "Geplante Updates" finden Sie im Kapitel Update - Aktualisieren der Firmware (Seite 135). 144 Betriebsanleitung, 12/2012, C79000-G8900-C258-02