SIMATIC NET. Industrial Remote Communication Remote Networks VPN-Tunnel projektieren. Vorwort. VPN-Tunnel zwischen SCALANCE M-800 und S612

Transkript

1 Vorwort VPN-Tunnel zwischen SCALANCE M-800 und 1 S612 SIMATIC NET Industrial Remote Communication Remote Networks VPN-Tunnel zwischen SCALANCE M-800 und 2 Security-CPs VPN-Tunnel zwischen zwei M VPN-Tunnel mit SINEMA RC-Server 4 Getting Started 01/2019 C79000-G8900-C541-01

2 Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: Marken WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Global Services Information Technology MÜNCHEN DEUTSCHLAND Dokument-Bestellnummer: C79000-G8900-C541 P 01/2019 Änderungen vorbehalten Copyright Siemens AG Alle Rechte vorbehalten

3 Vorwort Zweck Anhand von Beispielen werden VPN-Verbindungen zu verschiedenen Endgeräten konfiguriert. IP-Einstellungen der Beispiele Hinweis Die in den Beispielen verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Allgemeine Benennung Die Bezeichnung... steht für... SCT Security Configuration Tool PST Primary Setup Tool Gerät M87x M81x M826 S615 M87x SCALANCE M874-2 SCALANCE M874-3 SCALANCE M876-3 SCALANCE M876-4 M81x SCALANCE M812-1 SCALANCE M816-1 M826 SCALANCE M826-2 M804PB SCALANCE M804PB S615 SCALANCE S615 Getting Started, 01/2019, C79000-G8900-C

4 Vorwort Die Bezeichnung... steht für... M-800 SCALANCE M874-2 SCALANCE M874-3 SCALANCE M876-3 SCALANCE M876-4 SCALANCE M812-1 SCALANCE M816-1 SCALANCE M826-2 SCALANCE M804PB SINEMA RC SINEMA Remote Connect Weiterführende Dokumentation Betriebsanleitung Diese Dokumente enthalten Informationen zu Montage, Anschließen und Zulassungen der Geräte. Die Konfiguration sowie die Einbindung der Geräte in ein Netzwerk ist nicht Gegenstand dieser Anleitung SCALANCE M874, M876 Beitrags-ID: ( SCALANCE M812, M816 Beitrags-ID: ( SCALANCE M804PB: Beitrags-ID: ( SCALANCE M826: Beitrags-ID: ( SCALANCE S615: Beitrags-ID: ( Projektierungshandbuch Web Based Management Dieses Dokument soll Sie in die Lage versetzen, Geräte über das Web Based Management in Betrieb zu nehmen und zu projektieren. SCALANCE M-800: Beitrags-ID: ( SCALANCE S615: Beitrags-ID: ( 4 Getting Started, 01/2019, C79000-G8900-C541-01

5 Vorwort Projektierungshandbuch Command Line Interface Dieses Dokument enthält die CLI-Befehle, die von den Geräten unterstützt werden. SCALANCE M-800 Beitrags-ID: ( SCALANCE S615 Beitrags-ID: ( Industrial Ethernet Security Grundlagen und Anwendung Dieses Dokument enthält Informationen zum Arbeiten mit dem SCT (Security Configuration Tool). Beitrags-ID: ( SIMATIC NET Industrial Ethernet Netzhandbuch Dieses Dokument enthält Informationen zu weiteren SIMATIC NET-Produkten, die Sie gemeinsam mit den Geräten dieser Produktlinie in einem Industrial Ethernet Netzwerk betreiben können Beitrags-ID: ( SIMATIC NET-Handbücher Die SIMATIC NET-Handbücher finden Sie auf den Internetseiten des Siemens Industry Online Support: über die Suchfunktion: Link zum Siemens Industry Online Support ( Geben Sie die Beitrags-ID des jeweiligen Handbuchs oder die Artikelnummer des Geräts als Suchbegriff ein. über die Navigation auf der linken Seite im Bereich "Industrielle Kommunikation": Link zum Bereich "Industrielle Kommunikation" ( Navigieren Sie zu der gewünschten Produktgruppe und nehmen Sie folgende Einstellungen vor: Register "Beitragsliste", Beitragstyp "Handbuch" Training, Service & Support Informationen zu Training, Service & Support finden Sie in dem mehrsprachigen Dokument "DC_support_99.pdf", welches sich auf dem mitgelieferten Datenträger mit Dokumentation befindet. Getting Started, 01/2019, C79000-G8900-C

6 Vorwort SIMATIC NET-Glossar Erklärungen zu vielen Fachbegriffen, die in dieser Dokumentation vorkommen, sind im SIMATIC NET-Glossar enthalten. Sie finden das SIMATIC NET-Glossar im Internet unter folgender Adresse: ( Security-Hinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen einen Bestandteil eines solchen Konzepts. Die Kunden sind dafür verantwortlich, unbefugten Zugriff auf ihre Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Diese Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und nur wenn entsprechende Schutzmaßnahmen (z. B. Firewalls und/oder Netzwerksegmentierung) ergriffen wurden. Weiterführende Informationen zu möglichen Schutzmaßnahmen im Bereich Industrial Security finden Sie unter Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter Firmware Die Firmware ist signiert und verschlüsselt. Es ist sichergestellt, dass nur von Siemens erstellte Firmware in das Gerät geladen werden kann. Marken Folgende und eventuell weitere nicht mit dem Schutzrechtsvermerk gekennzeichnete Bezeichnungen sind eingetragene Marken der Siemens AG: SCALANCE, SINEMA, KEY-PLUG, C-PLUG 6 Getting Started, 01/2019, C79000-G8900-C541-01

7 Inhaltsverzeichnis Vorwort VPN-Tunnel zwischen SCALANCE M-800 und S Prinzipielles Vorgehen Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen Tunnelverbindung projektieren Eigenschaften des S612 konfigurieren Konfiguration in S612 laden und M-800-Konfiguration abspeichern SCALANCE M-800 konfigurieren VPN aktivieren VPN-Gegenstelle konfigurieren VPN-Verbindung konfigurieren VPN-Authentifizierung konfigurieren Phase 1 und Phase 2 konfigurieren VPN-Verbindung aufbauen Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen Tunnelverbindung projektieren Eigenschaften des S612 konfigurieren Konfiguration in S612 laden und M-800-Konfiguration abspeichern SCALANCE M-800 konfigurieren Zertifikat laden VPN-Gegenstelle konfigurieren VPN-Verbindung konfigurieren VPN-Authentifizierung konfigurieren Phase 1 und Phase 2 konfigurieren VPN aktivieren VPN-Verbindung aufbauen Firewall bei VPN-Verbindung Firewall-Regeln automatisch anlegen Firewall-Regeln manuell anlegen VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs Prinzipielles Vorgehen Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT konfigurieren Projekt und Module mit den SCT anlegen Tunnelverbindung projektieren Konfiguration in CP laden und M-800-Konfiguration abspeichern SCALANCE M-800 konfigurieren VPN-Gegenstelle konfigurieren Getting Started, 01/2019, C79000-G8900-C

8 Inhaltsverzeichnis VPN-Verbindung konfigurieren VPN-Authentifizierung konfigurieren Phase 1 und Phase 2 konfigurieren VPN aktivieren VPN-Verbindung aufbauen Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT konfigurieren Projekt und Module mit den SCT anlegen Tunnelverbindung projektieren Konfiguration in CP laden und M-800-Konfiguration abspeichern SCALANCE M-800 konfigurieren Zertifikat laden VPN-Gegenstelle konfigurieren VPN-Verbindung konfigurieren VPN-Authentifizierung konfigurieren Phase 1 und Phase 2 konfigurieren VPN aktivieren VPN-Verbindung aufbauen VPN-Tunnel zwischen zwei M Prinzipielles Vorgehen VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen Tunnelverbindung projektieren VPN-Parameter projektieren Konfiguration abspeichern SCALANCE M81x (VPN-Sever) konfigurieren Zertifikat laden VPN-Gegenstelle konfigurieren VPN-Verbindung konfigurieren VPN-Authentifizierung konfigurieren Phase 1 und Phase 2 konfigurieren VPN aktivieren VPN-Verbindung aufbauen SCALANCE M87x (VPN-Client) konfigurieren Zertifikat laden VPN-Gegenstelle konfigurieren VPN-Verbindung konfigurieren VPN-Authentifizierung konfigurieren Phase 1 und Phase 2 konfigurieren VPN aktivieren VPN-Verbindung aufbauen Status der VPN-Verbindung anzeigen VPN-Tunnel mit SINEMA RC-Server Prinzipielles Vorgehen Fernverbindung auf dem SINEMA RC-Server konfigurieren Teilnehmergruppen anlegen Geräte anlegen Getting Started, 01/2019, C79000-G8900-C541-01

9 Inhaltsverzeichnis Benutzerkonto für Servicetechniker anlegen Kommunikationsbeziehungen konfigurieren Zertifikat exportieren Fernverbindung auf dem Gerät einrichten Zertifikat laden Route am SCALANCE S615 konfigurieren VPN-Verbindung zum SINEMA RC-Server projektieren Fernverbindung mit dem SINEMA RC Client aufbauen SINEMA RC Client installieren Mit SINEMA RC Client am SINEMA RC Server anmelden Getting Started, 01/2019, C79000-G8900-C

10 Inhaltsverzeichnis 10 Getting Started, 01/2019, C79000-G8900-C541-01

11 VPN-Tunnel zwischen SCALANCE M-800 und S Prinzipielles Vorgehen In dieser Beispielkonfiguration wird zwischen einem SCALANCE M874 und einem SCALANCE S612 eine gesicherte IPsec VPN-Verbindung aufgebaut. Die Station 1 ist über das SCALANCE M874 direkt mit dem WAN verbunden. In der Zentrale ist das Netz durch ein SCALANCE S612 abgesichert, der über einen DSL-Router mit dem WAN verbunden ist. Das SCALANCE S612 in der Zentrale ist der VPN-Server, der aus dem WAN über seine feste IP-Adresse erreichbar ist. Das SCALANCE M874 in der Station ist der VPN-Client, der bei Bedarf die Verbindung zum VPN-Server aufbaut. Beispiel 1: Gesicherter VPN-Tunnel mit PreShared Keys (PSK) Beispiel 2: Gesicherter VPN-Tunnel mit Zertifikaten Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: Zentrale 1 x S612 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1 x VPN-fähiger DSL-Router 1 x PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7. Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Getting Started, 01/2019, C79000-G8900-C

12 VPN-Tunnel zwischen SCALANCE M-800 und S Prinzipielles Vorgehen Station 1 1 x M874 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1 x geeignete Antennen 1 x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. 1 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1 x PC zur Konfiguration Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Hinweis Sie können auch ein anderes SCALANCE M-800 oder ein SCALANCE S615 verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnten Komponenten. Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen Zentrale LAN Station2 LAN Name Schnittstelle IP-Adresse S612 (VPN-Server) interner Port externer Port Default-Gateway ist die LAN-IP-Adresse des Routers: PC1 LAN-Port Router 1 LAN-Port WAN-Port Statische IP-Adresse vom Provider zugewiesen z. B M874 LAN-Port P (VPN-Client) (vlan1) WAN-Port Dynamische IP-Adresse vom Provider (ppp0) PC2 LAN-Port Getting Started, 01/2019, C79000-G8900-C541-01

13 VPN-Tunnel zwischen SCALANCE M-800 und S Prinzipielles Vorgehen Voraussetzung SCALANCE S612 SCALANCE S612 ist über den DSL-Router mit dem WAN verbunden. Der DSL-Router besitzt eine fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider beantragt und anschließend im DSL-Router hinterlegt werden. Hinweis Port-Forwarding am DSL-Router Damit die Pakete ungehindert zwischen PG/PC und SCALANCE S612 werden können, achten Sie darauf, dass das Port-Forwarding für OpenVPN und https mit TCP und UDP (TCP/443, UDP/1194, TCP/5443, TCP/6220) freigeschaltet ist und an das S612 weitergeleitet werden. SCALANCE M874 Das Gerät ist mit dem WAN verbunden, siehe Getting Started "SCALANCE M-800". Beim Base Bridge-Modus ist "802.1D Transparent Bridge" eingestellt. Das Gerät ist über den Konfigurations-PC erreichbar und Sie sind am WBM als Benutzer mit Administratorrechten angemeldet. Projektierungsschritte Beispiel 1: Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT konfigurieren 1. Projekt und Module anlegen (Seite 15) 2. Tunnelverbindung projektieren (Seite 18) 3. Eigenschaften des S612 konfigurieren (Seite 20) 4. Konfiguration in S612 laden und M-800-Konfiguration abspeichern (Seite 21) Das SCALANCE M-800 konfigurieren 1. VPN aktivieren (Seite 22) 2. VPN-Gegenstelle konfigurieren (Seite 23) 3. VPN-Verbindung konfigurieren (Seite 23) 4. VPN-Authentifizierung konfigurieren (Seite 24) 5. Phase 1 und Phase 2 konfigurieren (Seite 25) 6. VPN-Verbindung aufbauen (Seite 26) Getting Started, 01/2019, C79000-G8900-C

14 VPN-Tunnel zwischen SCALANCE M-800 und S Prinzipielles Vorgehen Beispiel 2: Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT konfigurieren 1. Projekt und Module anlegen (Seite 28) 2. Tunnelverbindung projektieren (Seite 30) 3. Eigenschaften des S612 konfigurieren (Seite 32) 4. Konfiguration in S612 laden und M-800-Konfiguration abspeichern (Seite 34) Das SCALANCE M-800 konfigurieren 1. Zertifikat laden (Seite 35) 2. VPN aktivieren (Seite 42) 3. VPN-Gegenstelle konfigurieren (Seite 38) 4. VPN-Verbindung konfigurieren (Seite 39) 5. VPN-Authentifizierung konfigurieren (Seite 40) 6. Phase 1 und Phase 2 konfigurieren (Seite 41) 7. VPN-Verbindung aufbauen (Seite 43) 14 Getting Started, 01/2019, C79000-G8900-C541-01

15 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK 1.2 Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen Vorgehensweise 1. Starten Sie die Projektierungssoftware Security Configuration Tool V4.x auf dem PC. 2. Wählen Sie den Menübefehl "Projekt > Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt und der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" wird geöffnet. Getting Started, 01/2019, C79000-G8900-C

16 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK 5. Tragen Sie die dem S612 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 11)" ein. Tragen Sie zusätzlich die MAC-Adresse ein, die auf der Frontseite des Security-Moduls aufgedruckt ist 6. Schließen Sie den Dialog mit "OK". 7. Erzeugen Sie mit dem Menübefehl "Einfügen > Baugruppe" ein zweites Modul 16 Getting Started, 01/2019, C79000-G8900-C541-01

17 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK 8. Tragen Sie die dem M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 11)" ein. Hinweis Die externe IP-Adresse ist irrelevant und kann auf Default-Einstellung belassen werden. 9. Schließen Sie den Dialog mit "OK". Getting Started, 01/2019, C79000-G8900-C

18 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK Ergebnis Das Security-Modul S612 und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt Tunnelverbindung projektieren Nur wenn das M-800 und das S612 der gleichen VPN-Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen > Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Baugruppen". 3. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und den S612. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Baugruppen sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht > Erweiterter Modus" in den Erweiterten Modus. 18 Getting Started, 01/2019, C79000-G8900-C541-01

19 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen. 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Getting Started, 01/2019, C79000-G8900-C

20 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK Eigenschaften des S612 konfigurieren Da der S612 über einen DSL-Router mit dem Internet verbunden ist, sind die Eigenschaften des S612 entsprechend zu konfigurieren. Vorgehensweise 1. Markieren Sie im Inhaltsbereich den "S612". 2. Wählen Sie den Menübefehl "Bearbeiten > Eigenschaften...". Klicken Sie auf das Register "Routing". 3. Tragen Sie bei "Standard-Router" die interne IP-Adresse des DSL-Routers " " ein. Klicken Sie auf "Übernehmen" 4. Klicken Sie auf das Register "VPN". 5. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Warte auf Gegenstelle (Responder)" aus. 6. Tragen Sie die WAN-IP-Adresse des DSL-Routers ein, z. B Getting Started, 01/2019, C79000-G8900-C541-01

21 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK 7. Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 8. Wählen Sie den Menübefehl "Projekt > Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Ergebnis Das Security-Projekt ist fertig konfiguriert. Die Einstellungen werden in der Konfigurationsdatei gespeichert Konfiguration in S612 laden und M-800-Konfiguration abspeichern Konfiguration in S612 laden 1. Markieren Sie im Inhaltsbereich das Security-Modul "S612" und wählen Sie den Menübefehl "Übertragen > An Baugruppe(n)...". Der folgende Dialog wird geöffnet. 2. Klicken Sie auf "Starten", um den Ladevorgang zu starten. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das Security-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. SCALANCE M-800-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und wählen Sie den Menübefehl "Übertragen > An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis. Ergebnis In das Projektverzeichnis wird folgende Datei abgespeichert: Konfigurationsdatei: Projektname.M-800.txt Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800. Folgen Sie den Anweisungen in der Konfigurationsdatei. Getting Started, 01/2019, C79000-G8900-C

22 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK SCALANCE M-800 konfigurieren VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" 22 Getting Started, 01/2019, C79000-G8900-C541-01

23 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK VPN-Gegenstelle konfigurieren M81x in der Zentrale: VPN-Gegenstelle konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. S Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie die VPN-Gegenstelle mit folgenden Einstellungen aus der Konfigurationsdatei: Remote-Modus Remote-Typ Standard Manuell Remote-Adresse /32 Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". WAN-IP-Adresse des DSL-Routers VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. Getting Started, 01/2019, C79000-G8900-C

24 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK 4. Konfigurieren Sie die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv1 Remote -Endpunkt S612 Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 5. Klicken Sie auf "Einstellungen übernehmen" VPN-Authentifizierung konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung Lokale-ID PSK kein Eintrag notwendig Remote-ID Externe IP-Adresse des S612, z. B PSK / PSK bestätigen Klicken Sie auf "Einstellungen übernehmen". Den Schlüssel, den Sie im SCT projektiert haben. 24 Getting Started, 01/2019, C79000-G8900-C541-01

25 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK Phase 1 und Phase 2 konfigurieren Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung Authentifizierung 3DES SHA1 Schlüsselableitung DH-Gruppe 2 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 DPD-Timeout [sek] 180 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie auf das Register "Phase 2". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Konfigurieren Sie für die Phase 2 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung Authentifizierung 3DES SHA1 Schlüsselableitung (DFS) DH-Gruppe 2 Lebensdauer [min] 1440 Getting Started, 01/2019, C79000-G8900-C

26 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK 4. Klicken Sie auf "Einstellungen übernehmen" VPN-Verbindung aufbauen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das M-800 baut den VPN-Tunnel zum S612 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet am Gerät die LED grün. Weitere Informationen erhalten Sie unter "Information > IPsec VPN". 26 Getting Started, 01/2019, C79000-G8900-C541-01

27 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit PSK In der Online-Ansicht des SCT können Sie den Kommunikationsstatus am S612 sehen. Getting Started, 01/2019, C79000-G8900-C

28 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten 1.3 Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen Vorgehensweise 1. Starten Sie die Projektierungssoftware Security Configuration Tool V4.x auf dem PC. 2. Wählen Sie den Menübefehl "Projekt > Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt und der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" wird geöffnet. 28 Getting Started, 01/2019, C79000-G8900-C541-01

29 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten 5. Tragen Sie die dem S612 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 11)" ein. Tragen Sie zusätzlich die MAC-Adresse ein, die auf der Frontseite des Security-Moduls aufgedruckt ist 6. Schließen Sie den Dialog mit "OK". 7. Erzeugen Sie mit dem Menübefehl "Einfügen > Baugruppe" ein zweites Modul 8. Tragen Sie die dem M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 11)" ein. Hinweis Die externe IP-Adresse ist irrelevant und kann auf Default-Einstellung belassen werden. Getting Started, 01/2019, C79000-G8900-C

30 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten 9. Schließen Sie den Dialog mit "OK". Ergebnis Das Security-Modul S612 und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt Tunnelverbindung projektieren Nur wenn das SCALANCE M und das S612 der gleichen Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. 30 Getting Started, 01/2019, C79000-G8900-C541-01

31 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen > Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich das SCALANCE M und den S612. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht > Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen. 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. Getting Started, 01/2019, C79000-G8900-C

32 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen Eigenschaften des S612 konfigurieren Da der S612 über einen DSL-Router mit dem Internet verbunden ist, sind die Eigenschaften des S612 entsprechend zu konfigurieren. Vorgehensweise 1. Markieren Sie im Inhaltsbereich den "S612". 2. Wählen Sie den Menübefehl "Bearbeiten > Eigenschaften...". Klicken Sie auf das Register "Routing". 3. Tragen Sie bei "Standard-Router" die interne IP-Adresse des DSL-Routers " " ein. Klicken Sie auf "Übernehmen" 4. Klicken Sie auf das Register "VPN". 5. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Warte auf Gegenstelle (Responder)" aus. 32 Getting Started, 01/2019, C79000-G8900-C541-01

33 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten 6. Tragen Sie die WAN-IP-Adresse des DSL-Routers ein, z. B Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 8. Wählen Sie den Menübefehl "Projekt > Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Ergebnis Das Security-Projekt ist fertig konfiguriert. Die Einstellungen werden in der Konfigurationsdatei gespeichert. Getting Started, 01/2019, C79000-G8900-C

34 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten Konfiguration in S612 laden und M-800-Konfiguration abspeichern Konfiguration in S612 laden 1. Markieren Sie im Inhaltsbereich das Security-Modul "S612" und wählen Sie den Menübefehl "Übertragen > An Baugruppe(n)...". Der folgende Dialog wird geöffnet. 2. Klicken Sie auf "Starten", um den Ladevorgang zu starten. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das Security-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. SCALANCE M-800-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen > An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Ergebnis In das Projektverzeichnis werden folgende Dateien abgespeichert: Konfigurationsdatei: Projektname.M-800.txt PKCS12-Datei: Projektname.Zeichenfolge.M-800.p12 Gegenstellenzertifikat: Projektname.Gruppe1.S612.cer Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800 einschließlich einer Information über die zusätzlich erzeugten Zertifikate. Folgen Sie den Anweisungen in der Konfigurationsdatei. 34 Getting Started, 01/2019, C79000-G8900-C541-01

35 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten SCALANCE M-800 konfigurieren Zertifikat laden Voraussetzung Auf dem SCALANCE M-800 ist die richtige Uhrzeit eingestellt, siehe Kapitel AUTOHOTSPOT. Zertifikate sind vorhanden. Die benötigten Zertifikate haben Sie im letzten Kapitel auf dem PC abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate für das SCALANCE M-800 auf den Admin-PC. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System > Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". 2. Tragen Sie in der Zeile "X509Cert" bei "Passwort" und bei "Password bestätigen" das Passwort ein, das Sie für die PKCS12-Datei festgelegt haben. 3. Aktivieren Sie das Passwort 4. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 01/2019, C79000-G8900-C

36 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten 5. Klicken Sie im Inhaltsbereich auf das Register "HTTP". 6. Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum Gegenstellenzertifikat. 7. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". 8. Wiederholen Sie die Schritte 5 und 6 für die PKCS12-Datei. 36 Getting Started, 01/2019, C79000-G8900-C541-01

37 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten Ergebnis Die Zertifikate sind geladen und werden unter "Security > Zertifikate" angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen. Getting Started, 01/2019, C79000-G8900-C

38 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten VPN-Gegenstelle konfigurieren M81x in der Zentrale: VPN-Gegenstelle konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. S Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie die VPN-Gegenstelle mit folgenden Einstellungen aus der Konfigurationsdatei: Remote-Modus Standard Remote-Typ Manuell Remote-Adresse /32 WAN-IP-Adresse des DSL-Routers Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". 38 Getting Started, 01/2019, C79000-G8900-C541-01

39 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv1 Remote -Endpunkt S612 Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 5. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 01/2019, C79000-G8900-C

40 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten VPN-Authentifizierung konfigurieren M81x in der Zentrale: VPN-Authentifizierung konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen aus der Konfigurationsdatei: Authentifizierung Lokales Zertifikat Remote-Zertifikat Remote-ID Remote Cert Projektname.Zeichenfolge.M-800.p12 Projektname.Gruppe1.S612.cer Remote ID aus der Konfigurationsdatei 3. Klicken Sie auf "Einstellungen übernehmen". 40 Getting Started, 01/2019, C79000-G8900-C541-01

41 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten Phase 1 und Phase 2 konfigurieren Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung Authentifizierung 3DES SHA1 Schlüsselableitung DH-Gruppe 2 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 DPD-Timeout [sek] 180 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie auf das Register "Phase 2". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Konfigurieren Sie für die Phase 2 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung Authentifizierung 3DES SHA1 Schlüsselableitung (DFS) DH-Gruppe 2 Lebensdauer [min] 1440 Getting Started, 01/2019, C79000-G8900-C

42 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten 4. Klicken Sie auf "Einstellungen übernehmen" VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" 42 Getting Started, 01/2019, C79000-G8900-C541-01

43 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten VPN-Verbindung aufbauen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das SCALANCE M-800 baut den VPN-Tunnel zum S612 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet am Gerät die LED grün. Weitere Informationen erhalten Sie unter "Information > IPsec VPN". Getting Started, 01/2019, C79000-G8900-C

44 VPN-Tunnel zwischen SCALANCE M-800 und S Gesicherter VPN-Tunnel mit Zertifikaten Sie können auch in der Online-Ansicht des SCTs den Status der Tunnelverbindung sehen. 44 Getting Started, 01/2019, C79000-G8900-C541-01

45 VPN-Tunnel zwischen SCALANCE M-800 und S Firewall bei VPN-Verbindung 1.4 Firewall bei VPN-Verbindung Es gibt folgende Möglichkeiten Firewall-Regeln für IPSec anzulegen: Automatisch Hier werden automatisch die Firewall-Regeln für die spezifizierte VPN-Verbindung angelegt. Manuell Hier definieren Sie eigene Firewall-Regeln für die spezifizierte VPN-Verbindung Firewall-Regeln automatisch anlegen Für das Beispiel wird der VPN-Tunnel verwendet, der im Kapitel "Gesicherter VPN-Tunnel mit Zertifikaten (Seite 64)". Die Geräte haben folgende IP-Adresseinstellung: interne Adresse Lokales Netzwerk SCALANCE M Entferntes Netzwerk S612 interner Port Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Phase 2". Die Einstellung "Auto-Firewallregeln" ist standardmäßig aktiviert. Getting Started, 01/2019, C79000-G8900-C

46 VPN-Tunnel zwischen SCALANCE M-800 und S Firewall bei VPN-Verbindung Ergebnis Wenn "Auto-Firewallregeln" aktiviert ist, sind folgende Firewall-Regeln aktiv. Für Aktion von / nach erlaubte Protokolle Quell-IP- Adressen Ziel-IP- Adressen Zulassen Internes Netz (VLAN1) / Entferntes Netz (IPsec-Tunnel x) Alle Dienste alle Ports bzw. alle ICMP-Pakettypen / /24 Zulassen Entferntes Netz (IPsec-Tunnel x) / Internes Netz (VLAN1) Alle Dienste alle Ports bzw. alle ICMP-Pakettypen / /24 Durch diese Firewall-Regeln ist der Datenverkehr zwischen internem Netz und entferntem Netz möglich, allerdings ist es für entfernte Clients nicht möglich, das Modem zu erreichen, obwohl diese auch zum Tunnelsubnetz gehören. Außer ICMP Echo Request sind keine Zugriffe auf die entfernte VPN-Gegenstelle erlaubt. Siehe auch Firewall-Regeln manuell anlegen (Seite 47) 46 Getting Started, 01/2019, C79000-G8900-C541-01

47 VPN-Tunnel zwischen SCALANCE M-800 und S Firewall bei VPN-Verbindung Firewall-Regeln manuell anlegen Voraussetzung Der IP-Dienst HTTP ist angelegt, siehe Kapitel "Zugriff erlauben" im Getting Started "SCALANCE M-800". Allen Teilnehmern aus dem entfernten Subnetz den HTTP-basierten Zugriff auf den SCALANCE M- 800 erlauben Im folgenden Beispiel wird eine ergänzende Firewall-Regel festgelegt, die zusätzlich zu den automatischen Firewall-Regeln gilt. 1. Klicken Sie im Navigationsbereich auf "Security > Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Konfigurieren Sie die Firewall-Regel für HTTP mit folgenden Einstellungen: Aktion Von Nach Accept IPSec VPN-1 Gerät Quelle (Bereich) /24 (alle Geräte des entfernten internen Netzes 2) Ziel (Bereich) Dienst (auf das gewünschte Gerät) HTTP 3. Klicken Sie auf "Einstellungen übernehmen". Das SCALANCE M ist durch den VPN- Tunnel via HTTP zu erreichen und ist über das WBM konfigurierbar. Einem bestimmten Gerät den TCP-basierten Zugriff durch den VPN-Tunnel erlauben Im folgenden Beispiel wird eine Firewall-Regel manuell festgelegt, die automatischen Firewall-Regeln sind deaktiviert. 1. Klicken Sie im Navigationsbereich auf "Security > Firewall" und im Inhaltsbereich auf das Register "IP-Dienste". 2. Tragen Sie bei "Name des Dienstes" "TCP all" ein und klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3. Konfigurieren Sie den Dienst mit folgender Einstellung: Transport TCP Getting Started, 01/2019, C79000-G8900-C

48 VPN-Tunnel zwischen SCALANCE M-800 und S Firewall bei VPN-Verbindung 4. Klicken Sie auf "Einstellungen übernehmen". 5. Klicken Sie im Navigationsbereich auf "Security > Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 6. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 7. Konfigurieren Sie die Firewall-Regel mit folgenden Einstellungen: Aktion Von Nach Accept vlan1 (INT) IPSec VPN-1 Quelle (Bereich) Ziel (Bereich) Dienst (nur das Gerät darf vom internen Netz 1 durch den VPN-Tunnel mit TCP kommunizieren) /0 (auf alle Adressen) TCP 8. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 9. Klicken Sie auf "Einstellungen übernehmen". 48 Getting Started, 01/2019, C79000-G8900-C541-01

49 VPN-Tunnel zwischen SCALANCE M-800 und 2 Security-CPs 2.1 Prinzipielles Vorgehen In dieser Beispielkonfiguration wird zwischen einem SCALANCE M874 und einem CP1628 eine gesicherte VPN-Verbindung aufgebaut. Die Zentrale ist über das SCALANCE M874 direkt mit dem WAN verbunden. In Station1 ist das Netz durch den CP1628 abgesichert, der über einen DSL-Router mit dem WAN verbunden ist. Das SCALANCE M874 in der Zentrale ist der VPN-Server, der aus dem WAN über seine feste IP-Adresse erreichbar ist. Der CP1628 in der Station ist der VPN-Client, der bei Bedarf die Verbindung zum VPN-Server aufbaut. Beispiel 1: Gesicherter VPN-Tunnel mit PreShared Keys (PSK) Beispiel 2: Gesicherter VPN-Tunnel mit Zertifikaten Getting Started, 01/2019, C79000-G8900-C

50 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.1 Prinzipielles Vorgehen Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: Zentrale 1 x M874 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1 x geeignete Antennen 1 x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. 1 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1 x PC zur Konfiguration Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Hinweis Sie können auch ein anderes SCALANCE M-800 oder S615-Gerät verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnten Komponenten. Station 1 1 x PC mit CP x VPN-fähiger DSL-Router 1x PC mit der Konfigurationssoftware Security Configuration Tool und STEP 7 Hinweis Anstelle von CP 1628 kann auch ein CP Advanced oder CP Advanced verwendet werden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnten Komponenten. Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen Zentrale LAN Name Schnittstelle IP-Adresse M874 LAN-Port: P (VPN-Server) (vlan1) WAN-Port (ppp0) Statische IP-Adresse vom Provider zugewiesen z. B Alternativ kann auch der DDNS- Hostname verwendet werden. PC1 LAN-Port Getting Started, 01/2019, C79000-G8900-C541-01

51 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.1 Prinzipielles Vorgehen Station1 LAN Name Schnittstelle IP-Adresse PC2 mit CP 1628 LAN-Port: (VPN-Client) CP1628: NDIS-Port (wird im PC2 projektiert) CP Advanced oder CP Advance: PROFINET-Port WAN-Port: CP1628: Industrial Ethernet- Schnittstelle CP Advanced oder CP Advance: Gigabit- Port Default-Gateway ist die LAN-IP- Adresse des Routers Router 1 LAN-Port WAN-Port Dynamische IP-Adresse vom Provider PC3 Ethernet (LAN) Voraussetzung CP 1628 CP 1628 ist konfiguriert. Weiterführende Informationen dazu finden CP 1628 ist über den DSL-Router mit dem WAN verbunden. Hinweis Port-Forwarding am DSL-Router Damit die Pakete ungehindert zwischen PG/PC und SCALANCE S612 werden können, achten Sie darauf, dass das Port-Forwarding für OpenVPN und https mit TCP und UDP (TCP/443, UDP/1194, TCP/5443, TCP/6220) freigeschaltet ist und an das S612 weitergeleitet werden. SCALANCE M874 Das Gerät ist mit dem WAN verbunden, siehe Getting Started "SCALANCE M-800". Das Gerät besitzt eine fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider beantragt und anschließend im Gerät hinterlegt werden. Beim Base Bridge-Modus ist "802.1D Transparent Bridge" eingestellt. Das Gerät ist über den Konfigurations-PC erreichbar und Sie sind am WBM als Benutzer mit Administratorrechten angemeldet. Getting Started, 01/2019, C79000-G8900-C

52 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.1 Prinzipielles Vorgehen Projektierungsschritte Beispiel 1: Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT konfigurieren 1. Projekt und Module mit den SCT anlegen (Seite 53) 2. Tunnelverbindung projektieren (Seite 55) 3. Konfiguration in CP laden und M-800-Konfiguration abspeichern (Seite 57) SCALANCE M-800 konfigurieren 1. VPN aktivieren (Seite 62) 2. VPN-Gegenstelle konfigurieren (Seite 58) 3. VPN-Verbindung konfigurieren (Seite 59) 4. VPN-Authentifizierung konfigurieren (Seite 60) 5. Phase 1 und Phase 2 konfigurieren (Seite 61) 6. VPN-Verbindung aufbauen (Seite 63) Beispiel 2: Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT konfigurieren 1. Projekt und Module mit den SCT anlegen (Seite 64) 2. Tunnelverbindung projektieren (Seite 66) 3. Konfiguration in CP laden und M-800-Konfiguration abspeichern (Seite 68) SCALANCE M-800 konfigurieren 1. Zertifikat laden (Seite 69) 2. VPN aktivieren (Seite 76) 3. VPN-Gegenstelle konfigurieren (Seite 72) 4. VPN-Verbindung konfigurieren (Seite 73) 5. VPN-Authentifizierung konfigurieren (Seite 74) 6. Phase 1 und Phase 2 konfigurieren (Seite 74) 7. VPN-Verbindung aufbauen (Seite 77) 52 Getting Started, 01/2019, C79000-G8900-C541-01

53 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK 2.2 Gesicherter VPN-Tunnel mit PSK VPN-Tunnel mit dem SCT konfigurieren Projekt und Module mit den SCT anlegen Vorgehensweise 1. Aktivieren Sie in den Objekteigenschaften des CP 1628 im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 3. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt. 4. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten > Security Configuration Tool". Der angelegte CP wird in der Liste der konfigurierten Module angezeigt. Getting Started, 01/2019, C79000-G8900-C

54 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK 5. Erzeugen Sie mit dem Menübefehl "Einfügen > Baugruppe" ein zweites Modul. 6. Tragen Sie die dem SCALANCE M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 49)" ein. 7. Bestätigen Sie den Dialog mit "OK". Ergebnis Der CP und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. 54 Getting Started, 01/2019, C79000-G8900-C541-01

55 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK Tunnelverbindung projektieren Nur wenn das SCALANCE M-800 und der CP der gleichen VPN-Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen > Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Baugruppen". 3. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und den CP. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht > Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen Getting Started, 01/2019, C79000-G8900-C

56 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. 7. Speichern Sie das Projekt mit dem Menübefehl "Projekt > Speichern" ab. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Die Einstellungen werden in der Konfigurationsdatei gespeichert. 56 Getting Started, 01/2019, C79000-G8900-C541-01

57 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK Konfiguration in CP laden und M-800-Konfiguration abspeichern Konfiguration in CP laden 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station > Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem > Laden in Baugruppe..." auf das Security-Modul. Für CP 1628: Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security- Modul automatisch und die neue Konfiguration ist aktiviert. Für CP Advanced oder CP Advanced: Starten Sie die S7-CPU nach dem Laden neu, um die neue Konfiguration zu aktivieren SCALANCE M-800-Konfiguration abspeichern 1. Öffnen Sie in STEP 7 das Security Configuration Tool über den Menübefehl "Bearbeiten > Security Configuration Tool". 2. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen > An Modul(e)...". 3. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis. Ergebnis In das Projektverzeichnis wird folgende Datei abgespeichert: Konfigurationsdatei: Projektname.M-800.txt Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800. Folgen Sie den Anweisungen in der Konfigurationsdatei. Getting Started, 01/2019, C79000-G8900-C

58 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK SCALANCE M-800 konfigurieren VPN-Gegenstelle konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B.CP Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie für die Beispielkonfiguration die VPN-Gegenstelle mit folgenden Einstellungen: Remote-Modus Standard Remote-Typ Manuell Remote-Adresse WAN-IP-Adresse des DSL-Routers Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". 58 Getting Started, 01/2019, C79000-G8900-C541-01

59 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie für die Beispielkonfiguration die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv1 Remote -Endpunkt CP1628 Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 5. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 01/2019, C79000-G8900-C

60 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK VPN-Authentifizierung konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung PSK Lokale-ID kein Eintrag notwendig Remote-ID Die IP-Adresse der VPN-Gegenstelle. PSK / PSK bestätigen Den Schlüssel, den Sie im SCT projektiert haben. 3. Klicken Sie auf "Einstellungen übernehmen". 60 Getting Started, 01/2019, C79000-G8900-C541-01

61 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK Phase 1 und Phase 2 konfigurieren Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 2 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 DPD-Timeout [sek] 180 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie auf das Register "Phase 2". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". Getting Started, 01/2019, C79000-G8900-C

62 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK 3. Konfigurieren Sie für die Phase 2 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung (DFS) DH-Gruppe 2 Lebensdauer [min] Klicken Sie auf "Einstellungen übernehmen" VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" 62 Getting Started, 01/2019, C79000-G8900-C541-01

63 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.2 Gesicherter VPN-Tunnel mit PSK VPN-Verbindung aufbauen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das M-800 baut den VPN-Tunnel zum CP 128 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet am Gerät die LED grün. Weitere Informationen erhalten Sie unter "Information > IPSec VPN". Getting Started, 01/2019, C79000-G8900-C

64 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten 2.3 Gesicherter VPN-Tunnel mit Zertifikaten VPN-Tunnel mit dem SCT konfigurieren Projekt und Module mit den SCT anlegen Vorgehensweise 1. Aktivieren Sie in den Objekteigenschaften des CP 1628 im Register "Security" das Optionskästchen "Security aktivieren". 2. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 3. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt. 4. Öffnen Sie in HW Konfig das Security Configuration Tool über den Menübefehl "Bearbeiten > Security Configuration Tool". Der angelegte CP wird in der Liste der konfigurierten Module angezeigt. 64 Getting Started, 01/2019, C79000-G8900-C541-01

65 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten 5. Erzeugen Sie mit dem Menübefehl "Einfügen > Baugruppe" ein zweites Modul. 6. Tragen Sie die dem SCALANCE M-800 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 49)" ein. 7. Bestätigen Sie den Dialog mit "OK". Ergebnis Der CP und das SCALANCE M-800 werden in der Liste der konfigurierten Module angezeigt. Getting Started, 01/2019, C79000-G8900-C

66 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten Tunnelverbindung projektieren Nur wenn das SCALANCE M-800 und der CP der gleichen Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen > Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich das SCALANCE M-800 und den CP. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht > Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen 66 Getting Started, 01/2019, C79000-G8900-C541-01

67 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen: Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. 7. Wählen Sie den Menübefehl "Projekt > Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen. Die Einstellungen werden in der Konfigurationsdatei gespeichert. Getting Started, 01/2019, C79000-G8900-C

68 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten Konfiguration in CP laden und M-800-Konfiguration abspeichern Konfiguration in CP laden 1. Schließen Sie das Security Configuration Tool. 2. Wählen Sie in HW Konfig das Menü "Station > Speichern und Übersetzen". 3. Laden Sie die neue Konfiguration über das Menü "Zielsystem > Laden in Baugruppe..." auf das Security-Modul. Für CP 1628: Wurde der Ladevorgang fehlerfrei abgeschlossen, startet das Security- Modul automatisch und die neue Konfiguration ist aktiviert. Für CP Advanced oder CP Advanced: Starten Sie die S7-CPU nach dem Laden neu, um die neue Konfiguration zu aktivieren. SCALANCE M-800-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich das "M-800" und wählen Sie den Menübefehl "Übertragen > An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M-800.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Ergebnis In das Projektverzeichnis werden folgende Dateien abgespeichert: Konfigurationsdatei: Projektname.M-800.txt PKCS12-Datei: Projektname.Zeichenfolge.M-800.p12 Gegenstellenzertifikat: Projektname.Gruppe1.CP.cer Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für das SCALANCE M-800 einschließlich einer Information über die zusätzlich erzeugten Zertifikate. Folgen Sie den Anweisungen in der Konfigurationsdatei. 68 Getting Started, 01/2019, C79000-G8900-C541-01

69 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten SCALANCE M-800 konfigurieren Zertifikat laden Voraussetzung Auf dem SCALANCE M-800 ist die richtige Uhrzeit eingestellt, siehe Kapitel AUTOHOTSPOT. Zertifikate sind vorhanden. Die benötigten Zertifikate haben Sie im letzten Kapitel auf dem PC abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate für das SCALANCE M-800 auf den Admin-PC. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System > Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". 2. Tragen Sie in der Zeile "X509Cert" bei "Passwort" und bei "Password bestätigen" das Passwort ein, das Sie für die PKCS12-Datei festgelegt haben. 3. Aktivieren Sie das Passwort 4. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 01/2019, C79000-G8900-C

70 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten 5. Klicken Sie im Inhaltsbereich auf das Register "HTTP". 6. Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum Gegenstellenzertifikat. 7. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". 8. Wiederholen Sie die Schritte 5 und 6 für die PKCS12-Datei. 70 Getting Started, 01/2019, C79000-G8900-C541-01

71 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten Ergebnis Die Zertifikate sind geladen und werden unter "Security > Zertifikate" angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen. Getting Started, 01/2019, C79000-G8900-C

72 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten VPN-Gegenstelle konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B.CP Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie für die Beispielkonfiguration die VPN-Gegenstelle mit folgenden Einstellungen: Remote-Modus Standard Remote-Typ Manuell Remote-Adresse WAN-IP-Adresse des DSL-Routers Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". 72 Getting Started, 01/2019, C79000-G8900-C541-01

73 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie für die Beispielkonfiguration die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv1 Remote -Endpunkt CP1628 Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 5. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 01/2019, C79000-G8900-C

74 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten VPN-Authentifizierung konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie für die Beispielkonfiguration die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung Lokales Zertifikat Remote-Zertifikat Remote-ID Remote Cert Projektname.Zeichenfolge.M-800.p12 Projektname.Gruppe1.CP.cer Remote ID aus der Konfigurationsdatei 3. Klicken Sie auf "Einstellungen übernehmen" Phase 1 und Phase 2 konfigurieren Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 74 Getting Started, 01/2019, C79000-G8900-C541-01

75 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 2 Lebensdauer [min] 1440 DPD-Zeitraum [sek] 60 DPD-Timeout [sek] 180 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie auf das Register "Phase 2". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Konfigurieren Sie für die Phase 2 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung 3DES Authentifizierung SHA1 Schlüsselableitung (DFS) DH-Gruppe 2 Lebensdauer [min] Klicken Sie auf "Einstellungen übernehmen". Getting Started, 01/2019, C79000-G8900-C

76 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" 76 Getting Started, 01/2019, C79000-G8900-C541-01

77 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten VPN-Verbindung aufbauen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das SCALANCE M-800 baut den VPN-Tunnel zum CP 1628 auf. Wenn der VPN-Tunnel aufgebaut ist, leuchtet am Gerät die LED grün. Weitere Informationen erhalten Sie unter "Information" > "IPsec VPN". Getting Started, 01/2019, C79000-G8900-C

78 VPN-Tunnel zwischen SCALANCE M-800 und Security-CPs 2.3 Gesicherter VPN-Tunnel mit Zertifikaten 78 Getting Started, 01/2019, C79000-G8900-C541-01

79 VPN-Tunnel zwischen zwei M Prinzipielles Vorgehen In dieser Beispielkonfiguration wir zwischen zwei SCALANCE M-800-Geräten eine gesicherte VPN-Verbindung mit Zertifikaten aufgebaut. Das SCALANCE M81x in der Zentrale ist der VPN-Server und ist aus dem WAN über seine feste IP-Adresse erreichbar. Das SCALANCE M87x in der Station ist der VPN-Client, der bei Bedarf die Verbindung zum VPN-Server aufbaut. Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: Zentrale 1x M812 oder 1x M816 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1 x PC zur Konfiguration 1 x ADSL-Zugang ist freigeschaltet Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Station 1 1 x M874 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1 x geeignete Antennen 1 x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. 1 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker Getting Started, 01/2019, C79000-G8900-C

80 VPN-Tunnel zwischen zwei M Prinzipielles Vorgehen 1 x PC zur Konfiguration Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Hinweis Sie können auch ein anderes SCALANCE M-800 oder SC-600-Gerät verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnten Komponenten. Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen Schnittstelle IP-Adresse Zentrale M81x (VPN- Server) ADSL (extern) Vlan 2 Feste IP-Adresse, z. B (VPN- Server) Providerabhängig Alternativ kann auch der DDNS-Hostname verwendet werden. Ethernet Vlan (intern) Admin-PC Ethernet (intern) Station 1 M87x Mobilfunk Vlan 2 Dynamische IP-Adresse vom Provider (VPN- Client) (extern) Ethernet Vlan (intern) Admin-PC Ethernet (intern) Hinweis Bei den Geräten, die sich im internen Netzwerk befinden, ist die IP-Adresse des internen Ports als Standard-Gateway einzutragen. 80 Getting Started, 01/2019, C79000-G8900-C541-01

81 VPN-Tunnel zwischen zwei M Prinzipielles Vorgehen Voraussetzung SCALANCE M87x/SCALANCE M81x Die Geräte sind mit dem WAN verbunden, siehe Getting Started "SCALANCE M-800". Das SCALANCE M81x besitzt eine fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider beantragt und anschließend im Gerät hinterlegt werden. Die Geräte sind über den Konfigurations-PC erreichbar und Sie sind am WBM als Benutzer mit Administratorrechten angemeldet. Das SCALANCE M87x/SCALANCE M81x ist über den Admin-PC erreichbar und Sie sind am WBM als "admin" angemeldet. Das Projektierungswerkzeug "Security Configuration Tool V4.x" ist installiert Projektierungsschritte 1. VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen (Seite 82) Tunnelverbindung projektieren (Seite 85) VPN-Parameter projektieren (Seite 86) M-800-Konfiguration abspeichern (Seite 88) 2. SCALANCE M81x (VPN-Sever) konfigurieren Zertifikat laden (Seite 89) VPN-Gegenstelle konfigurieren (Seite 91) VPN-Verbindung konfigurieren (Seite 91) VPN-Authentifizierung konfigurieren (Seite 92) Phase 1 und Phase 2 konfigurieren (Seite 93) VPN aktivieren (Seite 94) VPN-Verbindung aufbauen (Seite 94) 3. SCALANCE M87x (VPN-Client) konfigurieren Zertifikat laden (Seite 96) VPN-Gegenstelle konfigurieren (Seite 98) VPN-Verbindung konfigurieren (Seite 98) VPN-Authentifizierung konfigurieren (Seite 99) Phase 1 und Phase 2 konfigurieren (Seite 99) VPN aktivieren (Seite 101) VPN-Verbindung aufbauen (Seite 102) 4. Status der VPN-Verbindung anzeigen (Seite 103) Getting Started, 01/2019, C79000-G8900-C

82 VPN-Tunnel zwischen zwei M VPN-Tunnel mit dem SCT konfigurieren 3.2 VPN-Tunnel mit dem SCT konfigurieren Projekt und Module anlegen Vorgehensweise 1. Starten Sie die Projektierungssoftware Security Configuration Tool V4.x auf dem PC. 2. Wählen Sie den Menübefehl "Projekt" > "Neu". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt und der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" wird geöffnet. 82 Getting Started, 01/2019, C79000-G8900-C541-01

83 VPN-Tunnel zwischen zwei M VPN-Tunnel mit dem SCT konfigurieren 5. Tragen Sie die dem M87x zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 79)" ein. Die externe IP-Adresse ist beim M87x ist nicht relevant. Verwenden Sie bei IP-Adresse (ext) die Default-Einstellungen. 6. Schließen Sie den Dialog mit "OK". 7. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Baugruppe" ein zweites Modul Getting Started, 01/2019, C79000-G8900-C

84 VPN-Tunnel zwischen zwei M VPN-Tunnel mit dem SCT konfigurieren 8. Tragen Sie die dem M81x zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 79)" ein. 9. Schließen Sie den Dialog mit "OK". Ergebnis Die Geräte werden in der Liste der konfigurierten Module angezeigt. 84 Getting Started, 01/2019, C79000-G8900-C541-01

85 VPN-Tunnel zwischen zwei M VPN-Tunnel mit dem SCT konfigurieren Tunnelverbindung projektieren Nur wenn das SCALANCE M81x und das SCALANCE M87x der gleichen Gruppe zugeordnet sind, kann ein VPN-Tunnel für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue Gruppe. Die Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Module". 3. Markieren Sie im Inhaltsbereich die beiden Einträge. Ziehen Sie die Module per Drag&Drop in die "Gruppe1". Beide Module sind nun der "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. 5. Öffnen Sie die Gruppeneigenschaften der Gruppe1, indem Sie im Kontextmenü "Eigenschaften..." auswählen. Getting Started, 01/2019, C79000-G8900-C

86 VPN-Tunnel zwischen zwei M VPN-Tunnel mit dem SCT konfigurieren 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. 7. Schließen Sie den Dialog mit "OK". Ergebnis Die Konfiguration der Tunnelverbindung ist abgeschlossen VPN-Parameter projektieren In dieser Beispielkonfiguration ist das M81x (VPN-Server) "passiv". Das M81x wartet bis der Verbindungsaufbau von der Gegenstelle M87x initiiert wird. 86 Getting Started, 01/2019, C79000-G8900-C541-01

87 VPN-Tunnel zwischen zwei M VPN-Tunnel mit dem SCT konfigurieren Vorgehensweise VPN-Parameter für M81x (VPN-Server) projektieren 1. Markieren Sie im Inhaltsbereich den "M81xServer". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". Klicken Sie auf das Register "VPN". 3. Klicken Sie auf das Register "VPN". 4. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Warte auf Gegenstelle (Responder)" aus. 5. Tragen Sie die WAN-IP-Adresse z. B Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". VPN-Parameter für M87x (VPN-Client) projektieren 1. Markieren Sie im Inhaltsbereich den "M81xServer". 2. Wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". Klicken Sie auf das Register "VPN". 3. Klicken Sie auf das Register "VPN". 4. Wählen Sie bei "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Starte Verbindung zur Gegenstelle (Initiator/Responder)" aus. 5. Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 6. Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Ergebnis Das Security-Projekt ist fertig konfiguriert. Die Einstellungen werden in der Konfigurationsdatei gespeichert. Getting Started, 01/2019, C79000-G8900-C

88 VPN-Tunnel zwischen zwei M VPN-Tunnel mit dem SCT konfigurieren Konfiguration abspeichern Vorgehensweise 1. Markieren Sie im Inhaltsbereich das "M81xServer" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.M81xServer.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. 3. Markieren Sie im Inhaltsbereich das "M87xClient" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 4. Speichern Sie die Konfigurationsdatei "Projektname.M87xClient.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Ergebnis In das Projektverzeichnis werden folgende Dateien abgespeichert: Konfigurationsdatei: Projektname.Name der Baugruppe.txt PKCS12-Datei: Projektname.Zeichenfolge.Name der Baugruppe.p12 Gegenstellenzertifikat: Projektname.Gruppe1Braugruppenname.cer Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für die SCALANCE M-800-Geräte einschließlich einer Information über die zusätzlich erzeugten Zertifikate. Folgen Sie den Anweisungen in der Konfigurationsdatei. 88 Getting Started, 01/2019, C79000-G8900-C541-01

89 VPN-Tunnel zwischen zwei M SCALANCE M81x (VPN-Sever) konfigurieren 3.3 SCALANCE M81x (VPN-Sever) konfigurieren Zertifikat laden Die Zertifikate sind notwendig für die Authentifizierung des VPN-Teilnehmers und somit für den Aufbau einer gesicherten VPN-Verbindung. Die Information, welches Zertifikat auf welches Gerät zu laden ist, erhalten Sie in der Konfigurationsdatei. Voraussetzung Auf dem SCALANCE M-800 ist die richtige Uhrzeit eingestellt, siehe Kapitel AUTOHOTSPOT. Zertifikate sind vorhanden. Die benötigten Zertifikate haben Sie im letzten Kapitel auf dem PC abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate für das SCALANCE M-800 auf den Admin-PC. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". 2. Um die Datei erfolgreich in den SCALANCE M zuladen, geben Sie in der Zeile "X509Cert" bei "Passwort" und bei "Passwort bestätigen" das für die Datei festgelegte Passwort ein. Beim Speichern der Konfigurationsdateien des SCALANCE M aus dem Security Configuration Tool wurden Sie aufgefordert, ein Passwort für den privaten Schlüssel des Zertifikats zu vergeben oder den Projektnamen als solches zu verwenden. 3. Aktivieren Sie das Passwort 4. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 01/2019, C79000-G8900-C

90 VPN-Tunnel zwischen zwei M SCALANCE M81x (VPN-Sever) konfigurieren 5. Klicken Sie im Inhaltsbereich auf das Register "HTTP". 6. Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. 7. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". 8. Wiederholen Sie die Schritte 5 und 6 für die PKCS12-Datei. Ergebnis Die Zertifikate sind geladen und werden unter "Security" > "Zertifikate" angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen. 90 Getting Started, 01/2019, C79000-G8900-C541-01

91 VPN-Tunnel zwischen zwei M SCALANCE M81x (VPN-Sever) konfigurieren VPN-Gegenstelle konfigurieren In dieser Beispielkonfiguration ist das M81x in der Zentrale der VPN-Server, der Verbindung von VPN-Gegenstellen mit beliebiger IP-Adresse annimmt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. VPN_Client_M87x. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie die VPN-Gegenstelle mit folgenden Einstellungen aus der Konfigurationsdatei: Remote-Modus Remote-Typ Standard Beliebig Remote-Subnetz /24 5. Klicken Sie auf "Einstellungen übernehmen". Nimmt die Verbindung von VPN-Gegenstellen mit beliebiger IP- Adresse aus dem Remote-Subnetz an. Das durch den VPN-Tunnel erreichbare Subnetz VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. Getting Started, 01/2019, C79000-G8900-C

92 VPN-Tunnel zwischen zwei M SCALANCE M81x (VPN-Sever) konfigurieren 3. Konfigurieren Sie die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv2 Remote -Endpunkt VPN_Client_M87x Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 4. Klicken Sie auf "Einstellungen übernehmen" VPN-Authentifizierung konfigurieren Für eine sichere Kommunikation über VPN müssen sich alle VPN-Partner gegenseitig authentisieren. In dieser Beispielkonfiguration wird das Zertifikat der VPN-Gegenstelle verwendet. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung Lokales Zertifikat Remote-Zertifikat Remote-ID Remote-Zert. Die genauen Bezeichnungen für die Zertifikate und die Remote-ID finden Sie in der jeweiligen Konfigurationsdatei. 3. Klicken Sie auf "Einstellungen übernehmen". 92 Getting Started, 01/2019, C79000-G8900-C541-01

93 VPN-Tunnel zwischen zwei M SCALANCE M81x (VPN-Sever) konfigurieren Phase 1 und Phase 2 konfigurieren Die Einstellungen müssen auf beiden Geräten übereinstimmen. Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung AES 128 Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 2880 DPD-Zeitraum [sec] 60 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 2". 2. Lassen Sie das Optionskästchen "Default-Chiffre" aktiviert. Wenn aktiviert, wird beim Verbindungsaufbau eine vorgegebene Liste an den VPN- Verbindungspartner übermittelt. In der Liste sind Kombinationen aus den drei Algorithmen (Encryption, Authentication, Key Derivation) enthalten. Um eine VPN- Verbindung aufzubauen, muss der VPN-Verbindungspartner mindestens eine dieser Kombinationen unterstützen. Die Auswahl ist abhängig vom Schlüsselaustauschverfahren. 3. Aktivieren Sie das Optionskästchen "DPD". Getting Started, 01/2019, C79000-G8900-C

94 VPN-Tunnel zwischen zwei M SCALANCE M81x (VPN-Sever) konfigurieren 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung Authentifizierung AES128 SHA1 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] Aktivieren Sie "Auto-Firewallregeln". Für die VPN-Verbindung wird automatisch die Firewall-Regel angelegt 6. Klicken Sie auf "Einstellungen übernehmen" VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" VPN-Verbindung aufbauen Das M81x (VPN-Server) wird als Responder projektiert. 94 Getting Started, 01/2019, C79000-G8900-C541-01

95 VPN-Tunnel zwischen zwei M SCALANCE M81x (VPN-Sever) konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Warten" aus und klicken Sie auf "Einstellungen übernehmen". Getting Started, 01/2019, C79000-G8900-C

96 VPN-Tunnel zwischen zwei M SCALANCE M87x (VPN-Client) konfigurieren 3.4 SCALANCE M87x (VPN-Client) konfigurieren Zertifikat laden Die Zertifikate sind notwendig für die Authentifizierung des VPN-Teilnehmers und somit für den Aufbau einer gesicherten VPN-Verbindung. Die Information, welches Zertifikat auf welches Gerät zu laden ist, erhalten Sie in der Konfigurationsdatei. Voraussetzung Auf dem SCALANCE M-800 ist die richtige Uhrzeit eingestellt, siehe Kapitel AUTOHOTSPOT. Zertifikate sind vorhanden. Die benötigten Zertifikate haben Sie im letzten Kapitel auf dem PC abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate für das SCALANCE M-800 auf den Admin-PC. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". 2. Um die Datei erfolgreich in den SCALANCE M zuladen, geben Sie in der Zeile "X509Cert" bei "Passwort" und bei "Passwort bestätigen" das für die Datei festgelegte Passwort ein. Beim Speichern der Konfigurationsdateien des SCALANCE M aus dem Security Configuration Tool wurden Sie aufgefordert, ein Passwort für den privaten Schlüssel des Zertifikats zu vergeben oder den Projektnamen als solches zu verwenden. 3. Aktivieren Sie das Passwort 4. Klicken Sie auf "Einstellungen übernehmen". 96 Getting Started, 01/2019, C79000-G8900-C541-01

97 VPN-Tunnel zwischen zwei M SCALANCE M87x (VPN-Client) konfigurieren 5. Klicken Sie im Inhaltsbereich auf das Register "HTTP". 6. Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. 7. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". 8. Wiederholen Sie die Schritte 5 und 6 für die PKCS12-Datei. Ergebnis Die Zertifikate sind geladen und werden unter "Security" > "Zertifikate" angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen. Getting Started, 01/2019, C79000-G8900-C

98 VPN-Tunnel zwischen zwei M SCALANCE M87x (VPN-Client) konfigurieren VPN-Gegenstelle konfigurieren In dieser Beispielkonfiguration ist das M87x in der Station der VPN-Client, der Verbindung, der die Verbindung zum VPN-Server mit fester IP-Adresse aufbaut. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Remote-Endpunkt". 2. Tragen Sie bei "Name Remote-Endpunkt" den Namen der VPN-Gegenstelle (Tunnelendpunkt) ein, z. B. VPN_Server_M81x. 3. Klicken Sie auf "Erstellen". In der Tabelle wird eine neue Zeile angelegt. 4. Konfigurieren Sie die VPN-Gegenstelle mit folgenden Einstellungen aus der Konfigurationsdatei: Remote-Modus Standard Remote-Typ Manuell Remote-Adresse Feste externe IP-Adresse des M81x, z. B Remote-Subnetz /24 Das durch den VPN-Tunnel erreichbare Subnetz 5. Klicken Sie auf "Einstellungen übernehmen" VPN-Verbindung konfigurieren Voraussetzung VPN-Gegenstelle ist angelegt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Tragen Sie bei "Verbindungsname" einen Namen für die VPN-Verbindung ein. 3. Konfigurieren Sie die VPN-Verbindung mit folgenden Einstellungen: Betrieb Deaktiviert Keying-Protokoll IKEv2 Remote -Endpunkt VPN_Server_M81x Name der VPN-Gegenstelle Lokales Subnetz /24 Das lokale Subnetz 1 in CIDR-Schreibweise. 4. Klicken Sie auf "Einstellungen übernehmen". 98 Getting Started, 01/2019, C79000-G8900-C541-01

99 VPN-Tunnel zwischen zwei M SCALANCE M87x (VPN-Client) konfigurieren VPN-Authentifizierung konfigurieren Für eine sichere Kommunikation über VPN müssen sich alle VPN-Partner gegenseitig authentisieren. In dieser Beispielkonfiguration wird das Zertifikat der VPN-Gegenstelle verwendet. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Authentifizierung". 2. Konfigurieren Sie die VPN-Authentifizierung mit folgenden Einstellungen: Authentifizierung Lokales Zertifikat Remote-Zertifikat Remote-ID Remote-Zert. Die genauen Bezeichnungen für die Zertifikate und die Remote-ID finden Sie in der jeweiligen Konfigurationsdatei. 3. Klicken Sie auf "Einstellungen übernehmen" Phase 1 und Phase 2 konfigurieren Die Einstellungen müssen auf beiden Geräten übereinstimmen. Phase 1 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 1". 2. Deaktivieren Sie das Optionskästchen "Default-Chiffre". 3. Aktivieren Sie das Optionskästchen "DPD". Getting Started, 01/2019, C79000-G8900-C

100 VPN-Tunnel zwischen zwei M SCALANCE M87x (VPN-Client) konfigurieren 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung AES 128 Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] 2880 DPD-Zeitraum [sec] 60 Aggressive Mode nein 5. Klicken Sie auf "Einstellungen übernehmen". Phase 2 konfigurieren 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Phase 2". 2. Lassen Sie das Optionskästchen "Default-Chiffre" aktiviert. Wenn aktiviert, wird beim Verbindungsaufbau eine vorgegebene Liste an den VPN- Verbindungspartner übermittelt. In der Liste sind Kombinationen aus den drei Algorithmen (Encryption, Authentication, Key Derivation) enthalten. Um eine VPN- Verbindung aufzubauen, muss der VPN-Verbindungspartner mindestens eine dieser Kombinationen unterstützen. Die Auswahl ist abhängig vom Schlüsselaustauschverfahren. 3. Aktivieren Sie das Optionskästchen "DPD". 4. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen aus der Konfigurationsdatei: Verschlüsselung AES128 Authentifizierung SHA1 Schlüsselableitung DH-Gruppe 14 Lebensdauer [min] Getting Started, 01/2019, C79000-G8900-C541-01

101 VPN-Tunnel zwischen zwei M SCALANCE M87x (VPN-Client) konfigurieren 5. Aktivieren Sie "Auto-Firewallregeln". Für die VPN-Verbindung wird automatisch die Firewall-Regel angelegt 6. Klicken Sie auf "Einstellungen übernehmen" VPN aktivieren Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > IPsec VPN" und im Inhaltsbereich auf das Register "Allgemein". 2. Aktivieren Sie die Einstellung "IPsec VPN". 3. Klicken Sie auf "Einstellungen übernehmen" Getting Started, 01/2019, C79000-G8900-C

102 VPN-Tunnel zwischen zwei M SCALANCE M87x (VPN-Client) konfigurieren VPN-Verbindung aufbauen Das M87x (VPN-Client) wird als Initiator der VPN-Tunnel projektiert und baut die VPN- Verbindung zum SCALANCE M87x (VPN-Server) auf. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "IPsec VPN" und im Inhaltsbereich auf das Register "Verbindungen". 2. Wählen Sie bei "Betrieb" "Starten" aus und klicken Sie auf "Einstellungen übernehmen". 102 Getting Started, 01/2019, C79000-G8900-C541-01

103 VPN-Tunnel zwischen zwei M Status der VPN-Verbindung anzeigen 3.5 Status der VPN-Verbindung anzeigen Die Geräte sind konfiguriert und mit dem Internet verbunden. Das M87x (VPN-Client) startet den Verbindungsaufbau zum M81x (VPN-Server). Um den Status der VPN-Verbindung anzuzeigen, gibt es folgende Möglichkeiten: Statusanzeige im WBM LED-Anzeige Statusanzeige im WBM Klicken Sie im Navigationsbereich auf "Information " > "IPsec VPN". Bei "Status" wird der Status der konfigurierten VPN-Verbindung angezeigt. LED-Anzeige Wenn die VPN-Verbindung aufgebaut ist, leuchtet am Gerät die LED grün. Getting Started, 01/2019, C79000-G8900-C

104 VPN-Tunnel zwischen zwei M Status der VPN-Verbindung anzeigen 104 Getting Started, 01/2019, C79000-G8900-C541-01

105 VPN-Tunnel mit SINEMA RC-Server Prinzipielles Vorgehen In dieser Beispielkonfiguration soll ein Servicetechniker zu Wartungszwecken auf zwei dezentrale Stationen zugreifen. Die Station 1 ist über ein SCALANCE S615 und die Station 2 über ein SCALANCE M876 angeschlossen. Der Servicetechniker nutzt einen PG/PC. Die Kommunikation geht über einen SINEMA RC Server, der in der Zentrale steht. Die Station 2 ist über das SCALANCE M876 direkt mit dem WAN verbunden, die anderen jeweils über einen Router. Der Servicetechniker und die Geräte bauen die OpenVPN-Verbindung zum SINEMA RC Server auf, der über eine statische IP-Adresse erreichbar ist. Der Servicetechniker verwendet für den Aufbau der VPN-Verbindung den SINEMA RC Client, eine OpenVPN- Client-Software. Beim Verbindungsaufbau authentifizieren sich die Geräte mit dem CA-Zertifikat am SINEMA RC Server. Nach dem Verbindungsaufbau müssen sich die Geräte und der Servicetechniker am SINEMA RC-Server anmelden. Erst nach erfolgreicher Anmeldung wird der VPN-Tunnel zwischen den Geräten, dem Servicetechniker und dem SINEMA RC-Server aufgebaut. Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen verschaltet der SINEMA RC Server die einzelnen VPN-Tunnels. Getting Started, 01/2019, C79000-G8900-C

106 VPN-Tunnel mit SINEMA RC-Server 4.1 Prinzipielles Vorgehen Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: Zentrale 1 x PC, auf dem der SINEMA RC Server installiert ist. 1 x PC zur Konfiguration des SINEMA RC Servers 1 x VPN-fähiger DSL-Router Station 1 1 x S615 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1 x KEY-PLUG SINEMA RC 1 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1 x PC zur Konfiguration Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. 1 x VPN-fähiger DSL-Router Station 2 1 x M876 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 1 x geeignete Antennen 1 x SIM-Karte ihres Mobilfunkanbieters. Die entsprechenden Dienste z. B. Internet sind freigeschaltet. 1 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 1 x PC zur Konfiguration Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Servicetechniker 1 x PG/PC auf dem der "SINEMA RC Client" installiert ist. 1 x DSL-Router mit dynamischer WAN-IP-Adresse Hinweis Sie können auch ein anderes SCALANCE M-800 oder SC-600-Gerät verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnten Komponenten. 106 Getting Started, 01/2019, C79000-G8900-C541-01

107 VPN-Tunnel mit SINEMA RC-Server 4.1 Prinzipielles Vorgehen Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Zentrale LAN Station1 LAN Station2 LAN Servicetechniker Name Schnittstelle IP-Adresse SINEMA RC LAN-Port Server WAN-Port (VPN-Server) Die WAN-IP-Adresse, über die der SINEMA RC Server erreichbar ist, ist in diesem Beispiel die WAN-IP-Adresse des Routers Default-Gateway ist die LAN-IP-Adresse des Routers PC1 LAN-Port Router 1 LAN-Port WAN-Port Statische IP-Adresse vom Provider zugewiesen z. B S615 LAN-Port P (VPN-Client) (vlan1) WAN-Port P (vlan2) Default-Gateway ist die LAN-IP-Adresse des Routers PC2 LAN-Port Router 2 LAN-Port WAN-Port Dynamische IP-Adresse vom Provider M874 LAN-Port P (VPN-Client) (vlan1) WAN-Port Dynamische IP-Adresse vom Provider (ppp0) PC3 LAN-Port PG /PC LAN-Port Default-Gateway ist die LAN-IP-Adresse des Routers Router 3 LAN-Port WAN-Port Dynamische IP-Adresse vom Provider Getting Started, 01/2019, C79000-G8900-C

108 VPN-Tunnel mit SINEMA RC-Server 4.1 Prinzipielles Vorgehen Hinweis Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Voraussetzung SINEMA RC Server Der SINEMA RC Server ist über den DSL-Router mit dem WAN verbunden. Die Projektierungsschritte finden Sie im Getting Started "SINEMA Remote Connect". Der DSL-Router besitzt eine fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider beantragt und anschließend im DSL-Router hinterlegt werden. SCALANCE S615/M876 Die Geräte sind mit dem WAN verbunden, siehe Getting Started "SCALANCE M-800" und Getting Started "SCALANCE S615". Die Projektierungsschritte gelten für alle Geräte und unterscheiden sich nur in den Einstellungen, siehe Tabelle "Verwendete Einstellungen (Seite 105)". Die Geräte sind über den Konfigurations-PC erreichbar und Sie sind am WBM als Benutzer mit Administratorrechten angemeldet. In den Geräten ist ein gültiger KEY-PLUG SINEMA Remote Connect gesteckt. SCALANCE S615 ist über den DSL-Router mit dem WAN verbunden. Hinweis Port-Forwarding am DSL-Router Damit die Pakete ungehindert zwischen PG/PC (SINEMA Remote Connect Client), SCALANCE S615 und SINEMA Remote Connect Server ausgetauscht werden können, achten Sie darauf, dass das PORT-Forwarding für OpenVPN und https mit TCP und UDP (TCP/443, UDP/1194, TCP/5443, TCP/6220) freigeschaltet ist und an den SINEMA Remote Connect Server weitergeleitet werden. 108 Getting Started, 01/2019, C79000-G8900-C541-01

109 VPN-Tunnel mit SINEMA RC-Server 4.1 Prinzipielles Vorgehen Projektierungsschritte Fernverbindung auf dem SINEMA RC Server konfigurieren 1. Teilnehmergruppen anlegen (Seite 110) 2. Geräte anlegen (Seite 111) 3. Benutzerkonto für Servicetechniker anlegen (Seite 113) 4. Kommunikationsbeziehungen konfigurieren (Seite 114) 5. Zertifikat exportieren (Seite 116) Fernverbindung auf dem Gerät einrichten 1. Zertifikat laden (Seite 117) 2. Route am SCALANCE S615 konfigurieren (Seite 118) 3. VPN-Verbindung zum SINEMA RC projektieren (Seite 119) Fernverbindung mit dem SINEMA RC Client aufbauen 1. SINEMA RC Client installieren (Seite 122) 2. Mit SINEMA RC Client am SINEMA RC Server anmelden (Seite 124) Getting Started, 01/2019, C79000-G8900-C

110 VPN-Tunnel mit SINEMA RC-Server 4.2 Fernverbindung auf dem SINEMA RC-Server konfigurieren 4.2 Fernverbindung auf dem SINEMA RC-Server konfigurieren Teilnehmergruppen anlegen Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Außerdem können Sie festlegen, ob die Kommunikation zwischen den Teilnehmern einer einzelnen Gruppe erlaubt oder verboten ist. Für diese Beispielkonfiguration werden folgende Gruppen angelegt. Station1: SCALANCE S615 Station2: SCALANCE M876 Service: Für den Servicetechniker Voraussetzung Der SINEMA RC Server ist mit dem WAN verbunden Seite aufrufen 1. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers " ein, siehe Tabelle "Verwendete Einstellungen (Seite 105)". 2. Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. 3. Wählen Sie im Navigationsbereich "Fernverbindungen > Teilnehmergruppen". 4. Klicken Sie auf "Erstellen". Die Seite "Neue Teilnehmergruppe" wird geöffnet. Teilnehmergruppe anlegen 1. Geben Sie bei "Gruppenname" den Namen "Station1" ein. 2. Sie können optional eine Beschreibung eingeben. 3. Aktivieren Sie die Option "Mitglieder dürfen untereinander kommunizieren". 4. Aktivieren Sie die Netzwerkschnittstelle, die durch den VPN-Tunnel erreichbar ist, und klicken Sie auf "Speichern". 110 Getting Started, 01/2019, C79000-G8900-C541-01

111 VPN-Tunnel mit SINEMA RC-Server 4.2 Fernverbindung auf dem SINEMA RC-Server konfigurieren Ergebnis Die Teilnehmergruppe "Station1" ist angelegt. Legen Sie nun die Teilnehmergruppen "Station2" und "Service" an. Hierfür klicken Sie auf "Erstellen" und wiederholen Sie die oben beschriebenen Schritte Geräte anlegen Seite aufrufen 1. Wählen Sie im Navigationsbereich "Fernverbindungen > Geräte". 2. Klicken Sie auf "Erstellen", um ein neues Gerät anzulegen. Geräteinformationen eingeben 1. Geben Sie einen Gerätenamen ein, z. B. S615. Folgende Zeichen sind zulässig: a-z, A-Z, 0-9 und _. Das Leerzeichen ist nicht erlaubt. "conn" kann nicht als Namen verwendet werden. 2. Geben Sie ein Passwort ein und bestätigen Sie dieses Passwort. Das Passwort muss sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen. 3. Optional können Sie den Hersteller des Geräts eingeben. 4. Wählen Sie den Typ des Geräts aus der Liste aus. Getting Started, 01/2019, C79000-G8900-C

112 VPN-Tunnel mit SINEMA RC-Server 4.2 Fernverbindung auf dem SINEMA RC-Server konfigurieren 5. Bei den Geräten M800 Mobile, RTU 303xC, RM1224 nehmen Sie folgende Einstellungen vor: Wählen Sie den SMS-Gateway-Betreiber aus. Die SMS-Gateway-Betreiber konfigurieren Sie unter "System > & SMS". Geben Sie die GSM-Nummer des Endgeräts ein, an das eine Weck-SMS gesendet wird. 6. Wenn nötig, geben Sie den Montageort des Geräts ein. 7. Wenn nötig, tragen Sie einen Kommentar ein. OpenVPN-Verbindung einrichten 1. Wählen Sie bei VPN-Protokoll "OpenVPN" aus. 2. Wählen Sie die Verbindungsart "Dauerhaft" aus der Liste aus. Gesamtzugriff konfigurieren 1. Wählen Sie bei "Teilnehmergruppen" den Eintrag "Station1" aus und klicken Sie auf die Schaltfläche "Hinzufügen". 2. Klicken Sie auf "Weiter". Die Seite "Netzwerkeinstellungen" wird geöffnet. Einstellungen übernehmen 1. Aktivieren Sie die Option "Gerät ist ein Netzwerk-Gateway". 2. Klicken Sie auf "Fertigstellen", um die Konfiguration abzuschließen. Ergebnis Das Gerät S615 ist angelegt. Legen Sie nun das Gerät M876 an. Hierfür klicken Sie auf "Erstellen" und wiederholen Sie die oben beschriebenen Schritte. Dabei ordnen Sie das Gerät M876 der Teilnehmergruppe "Station2" zu. Siehe auch Prinzipielles Vorgehen (Seite 105) 112 Getting Started, 01/2019, C79000-G8900-C541-01

113 VPN-Tunnel mit SINEMA RC-Server 4.2 Fernverbindung auf dem SINEMA RC-Server konfigurieren Benutzerkonto für Servicetechniker anlegen Für die Anmeldung benötigt der Servicetechniker einen Benutzernamen und ein Passwort. Voraussetzung Die Teilnehmergruppe "Service" ist angelegt, siehe Kapitel "Teilnehmergruppen anlegen". Seite aufrufen 1. Wählen Sie im Navigationsbereich "Benutzerkonten > Benutzer und Rollen". Im Inhaltsbereich werden die bereits angelegten Benutzer aufgelistet. 2. Klicken Sie auf "Erstellen". Die Seite "Neuer Benutzer" wird geöffnet. Benutzer anlegen 1. Geben Sie den Benutzernamen ein, z. B. Service. 2. Geben Sie optional den Namen und die Kontaktdaten des Benutzers. 3. Wählen Sie bei "Anmeldeverfahren" "Passwort" ein und klicken Sie auf "Weiter". Das Register "Rechte" wird angezeigt. 4. Legen Sie die Rechte für den Servicetechniker fest und klicken Sie auf "Weiter". Das Register "Gruppenzugehörigkeiten" wird angezeigt. 5. Aktivieren Sie die Teilnehmergruppe "Service" und klicken Sie auf "Weiter". Das Register "VPN-Verbindungsmodus" wird angezeigt. 6. Aktivieren Sie den VPN-Verbindungsmodus "OpenVPN" und klicken Sie auf "Weiter". Das Register "Passwort" wird angezeigt. 7. Legen Sie das Passwort für den Benutzer fest und bestätigen Sie es. Klicken Sie auf "Fertigstellen". Getting Started, 01/2019, C79000-G8900-C

114 VPN-Tunnel mit SINEMA RC-Server 4.2 Fernverbindung auf dem SINEMA RC-Server konfigurieren Ergebnis Der Benutzer "Service" ist angelegt. In der Spalte "Status" sehen Sie, ob der Benutzer gerade online ist oder nicht. Wenn der Benutzer angemeldet ist, kann er im Navigationsbereich nur auf die Einträge zugreifen, für die er die Rechte hat Kommunikationsbeziehungen konfigurieren Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen notwendig. Dabei kann für jede Richtung eine Kommunikationsbeziehung erstellt werden. Für diese Beispielkonfiguration werden folgende Kommunikationsbeziehungen angelegt: von Gruppe Service Station1 zur Zielgruppe Station1 Station2 Station2 In diesem Konfigurationsbeispiel geht die Kommunikation nur von der Gruppe "Station1" zur Gruppe "Station2". In die Gegenrichtung ist keine Kommunikation möglich. Für die Kommunikation von der Gruppe "Station2" zur Gruppe "Station1" ist eine weitere Kommunikationsbeziehung notwendig. Ebenso kann die Gruppe "Service" mit den Gruppen "Station1" und "Station2" kommunizieren, aber nicht umgekehrt. Voraussetzung Teilnehmergruppen Service, Station1 und Station2 sind angelegt. Seite aufrufen 1. Wählen Sie im Navigationsbereich "Fernverbindungen > Teilnehmergruppen". Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. 114 Getting Started, 01/2019, C79000-G8900-C541-01

115 VPN-Tunnel mit SINEMA RC-Server 4.2 Fernverbindung auf dem SINEMA RC-Server konfigurieren Kommunikationsbeziehungen zuordnen 1. Klicken Sie bei "Station1" in der Spalte "Aktionen" auf das Symbol. Die Seite "Zielgruppen / Station1" wird geöffnet. 2. Aktivieren Sie "Station2" und klicken Sie auf "Speichern". 3. Klicken Sie auf "Dialog verlassen ". 4. Klicken Sie bei "Service" in der Spalte "Aktionen" auf das Symbol. Die Seite "Zielgruppe" wird geöffnet. 5. Aktivieren Sie "Station1" und "Station2" und klicken Sie auf "Speichern". 6. Klicken Sie auf "Dialog verlassen ". Ergebnis Die Kommunikationsbeziehungen sind angelegt. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Kommunikationsbeziehungen". Im Inhaltsbereich werden die angelegten Beziehungen aufgelistet. Getting Started, 01/2019, C79000-G8900-C

116 VPN-Tunnel mit SINEMA RC-Server 4.2 Fernverbindung auf dem SINEMA RC-Server konfigurieren Zertifikat exportieren In diesem Konfigurationsbeispiel wird zur Authentifizierung das CA-Zertifikat verwendet. Das CA-Zertifikat müssen Sie aus dem SINEMA Remote Connect Server exportieren, da es für die Projektierung der Geräte benötigt wird. Seite aufrufen 1. Wählen Sie im Navigationsbereich "Sicherheit > Zertifikatsverwaltung". Die Seite "Zertifikatsverwaltung" wird geöffnet. Zertifikat exportieren 1. Klicken Sie bei "Aktionen" auf das Symbol, um das Zertifikat zu exportieren. 2. Speichern Sie die Zertifikate in ein lokales Verzeichnis ab. 116 Getting Started, 01/2019, C79000-G8900-C541-01

117 VPN-Tunnel mit SINEMA RC-Server 4.3 Fernverbindung auf dem Gerät einrichten 4.3 Fernverbindung auf dem Gerät einrichten Zertifikat laden In diesem Konfigurationsbeispiel authentifiziert sich das Gerät mit dem CA-Zertifikat am SINEMA RC Server. Das CA-Zertifikat haben Sie bereits aus SINEMA RC Server exportiert, siehe im Kapitel "Zertifikat exportieren (Seite 116)". Nun müssen Sie das CA-Zertifikat in das Gerät laden. Voraussetzung Auf den Geräten ist die richtige Uhrzeit eingestellt. Seite aufrufen 1. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 " Adresse>" ein, siehe Tabelle "Verwendete Einstellungen (Seite 105)". 2. Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. 3. Wählen Sie im Navigationsbereich "System > Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". Zertifikat laden 1. Geben Sie bei "X509Cert" das Geräte-Passwort ein. Aktiveren Sie den Eintrag und klicken Sie auf "Einstellungen übernehmen". 2. Klicken Sie im Inhaltsbereich auf das Register "HTTP". 3. Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. 4. Navigieren Sie zum exportierten Serverzertifikat. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. 5. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". Getting Started, 01/2019, C79000-G8900-C

118 VPN-Tunnel mit SINEMA RC-Server 4.3 Fernverbindung auf dem Gerät einrichten Ergebnis Das Zertifikat ist geladen. Unter "Security > Zertifikate" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen Route am SCALANCE S615 konfigurieren Der DSL-Router in Station1 wird als Gateway eingesetzt, um vom SCALANCE S615 auf den SINEMA RC Server zuzugreifen. Deshalb wird am SCALANCE S615 eine Route zum SINEMA RC Server mit dem DSL-Router als Gateway konfiguriert. Seite aufrufen 1. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 " Adresse>" ein, siehe Tabelle "Verwendete Einstellungen". 2. Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. 3. Wählen Sie im Navigationsbereich "Layer 3 > Statische Routen". Route konfigurieren 1. Konfigurieren Sie die Route zum Router mit folgenden Einstellungen: Zielnetzwerk Statische IP-Adresse des SINEMA RC-Servers Subnetzmaske Gateway LAN-IP-Adresse des Routers nach der Tabelle "Verwendete Einstellungen" Administrative Distanz Wenn Sie die Werte eingetragen haben, klicken Sie auf "Erstellen". 3. Um die Anzeige zu aktualisieren, klicken Sie auf "Aktualisieren". 118 Getting Started, 01/2019, C79000-G8900-C541-01

119 VPN-Tunnel mit SINEMA RC-Server 4.3 Fernverbindung auf dem Gerät einrichten Ergebnis Die Route ist angelegt VPN-Verbindung zum SINEMA RC-Server projektieren Voraussetzung Im Gerät ist ein gültiger KEY-PLUG gesteckt. Der KEY-PLUG schaltet die Funktion SINEMA RC frei. Nun wird die Verbindungsprojektierung zu SINEMA Remote Connect möglich. Seite aufrufen 1. Wählen Sie im Navigationsbereich "System > SINEMA RC". VPN-Verbindung zum Server projektieren 1. Deaktivieren Sie das Optionskästchen "SINEMA RC Server". 2. Geben Sie bei "SINEMA RC-Adresse" die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 105)". 3. Wählen Sie bei "CA-Zertifikat" das für das Gerät gültige Zertifikat aus. 4. Geben Sie bei "Geräte-ID" die entsprechende ID ein. Die Geräte-ID finden Sie am SINEMA RC Server im Register "Geräteübersicht" unter "Fernverbindungen > Geräte". Klicken Sie beim zutreffenden Gerät in der Spalte "Aktionen" auf das Symbol. 5. Geben Sie bei "Geräte-Passwort" das Passwort an, das Sie für den Zugriff projektiert haben. Bestätigen Sie das Passwort. Getting Started, 01/2019, C79000-G8900-C

120 VPN-Tunnel mit SINEMA RC-Server 4.3 Fernverbindung auf dem Gerät einrichten 6. Aktivieren Sie "Auto Firewall/NAT Regeln", um automatisch die benötigten NAT- und Firewallregeln anzulegen. 7. Aktivieren Sie das Optionskästchen "SINEMA RC aktivieren" und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. 120 Getting Started, 01/2019, C79000-G8900-C541-01

121 VPN-Tunnel mit SINEMA RC-Server 4.3 Fernverbindung auf dem Gerät einrichten Webbrowser 1: Wählen Sie im Navigationsbereich "Information > SINEMA RC". Webbrowser 2: Wählen Sie im Navigationsbereich "Fernverbindungen > Geräte". Getting Started, 01/2019, C79000-G8900-C