Handbuch. WAGO-TO-PASS 761 GPRS-Modem, VPN-Router Version 1.0.0

Transkript

1 WAGO-TO-PASS 761 GPRS-Modem, VPN-Router

2 Pos: 1.2 /Dokumentation Impressum WAGO-TO-PASS 761 Pos: 1.1 /Alle Serien (Allgemeine Module)/Hinweise zur Impressum 2009 by WAGO Kontakttechnik GmbH & Co. KG Alle Rechte vorbehalten. WAGO Kontakttechnik GmbH & Co. KG Hansastraße 27 D Minden Tel.: +49 (0) 571/ Fax: +49 (0) 571/ Web: info@wago.com Technischer Support Tel.: +49 (0) 571/ Fax: +49 (0) 571/ support@wago.com Es wurden alle erdenklichen Maßnahmen getroffen, um die Richtigkeit und Vollständigkeit der vorliegenden Dokumentation zu gewährleisten. Da sich Fehler, trotz aller Sorgfalt, nie vollständig vermeiden lassen, sind wir für Hinweise und Anregungen jederzeit dankbar. documentation@wago.com Wir weisen darauf hin, dass die im verwendeten Soft- und Hardwarebezeichnungen und Markennamen der jeweiligen Firmen im Allgemeinen einem Warenzeichenschutz, Markenzeichenschutz oder patentrechtlichem Schutz unterliegen.

3 WAGO-TO-PASS 761 Inhaltsverzeichnis 3 Pos: 1.3 /Dokumentation allgemein/verzeichnisse/inhaltsverzeichnis - Überschrift Inhaltsverzeichnis Impressum... 2 Inhaltsverzeichnis Hinweise zu dieser Dokumentation Gültigkeitsbereich Symbole Darstellung der Zahlensysteme Schriftkonventionen Wichtige Erläuterungen Rechtliche Grundlagen Urheberschutz Änderungsvorbehalt Personalqualifikation Bestimmungsgemäße Verwendung der TO-PASS Modems Technischer Zustand der Geräte Sicherheitshinweise Hinweise zum Zubehör Firmware-Lizenbedingungen Firmware mit Open Source GPL/LGPL Firmware mit OpenBSD Haftungsausschluss Gerätebeschreibung Funktionen Konfiguration VPN-Funktionen Firewall-Funktionen Weitere Funktionen Lieferumfang Ansicht Anschlüsse Antenne Service (USB) /100-Base-T Betriebsspannung Digitalein-/ausgang Anzeigeelemente Bedienelemente SET-Taster Technische Daten Schnittstellen Funktionen Kommunikation Allgemeine Technische Daten Zulassungen Montieren... 33

4 4 Inhaltsverzeichnis WAGO-TO-PASS Einbau In Betrieb nehmen Voraussetzungen für den Betrieb Einlegen der SIM-Karte Parametrieren Konfigurations-Verbindung herstellen Die Startseite wird nicht angezeigt Status Überblick (Startseite) Konfiguration vornehmen Konfigurationsprofile System Systemzeit Status Logbuch Netzwerk Intern Grundeinstellungen Lokale IPs DHCP Domain Name Server DNS Erweiterte Einstellungen Zusätzliche interne Routen Netzwerk Extern EDGE/GPRS Erweiterte Einstellungen Prüfen der Verbindung DynDNS Sicherheit Paketfilter Port Weiterleitung Erweitert Firewall-Logbuch IPSec VPN Verbindungen VPN Roadwarrier Modus - Einstellungen bearbeiten VPN Roadwarrier Modus - IKE bearbeiten VPN Standard Modus Einstellungen bearbeiten VPN Standard Modus IKE bearbeiten Zertifikate Erweitert Status Zugang Passwort HTTPS SSH CSD Einwahl Wartung Update Konfigurations Profile Neustart

5 Pos: 1.4 /Dokumentation WAGO-TO-PASS 761 Inhaltsverzeichnis Remote Logging Alarm SMS SW Info HW Info Snapshot Werkeinstellung Glossar Abbildungsverzeichnis Tabellenverzeichnis

6 Pos: 2.2 /Alle Serien (Allgemeine Module)/Hinweise zur Dokumentation/Dokumentation Pos: 3 /Dokumentation Hinweise zu dieser Dokumentation WAGO-TO-PASS 761 Pos: 2.1 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Hinweis zur Dokumentation - Überschrift Hinweise zu dieser Dokumentation Hinweis Dokumentation aufbewahren! Diese Dokumentation ist Teil des Produkts. Bewahren Sie deshalb diese während der gesamten Lebensdauer des Gerätes auf. Geben Sie die Dokumentation an jeden nachfolgenden Besitzer oder Benutzer des Gerätes weiter. Stellen Sie darüber hinaus sicher, dass gegebenenfalls jede erhaltene Ergänzung in die Dokumentation mit aufgenommen wird. Pos: 2.3 /Serie 761 (TO-PASS)/Hinweise zur Dokumentation/Gültigkeit Dokumentation Modems Gültigkeitsbereich Die vorliegende Dokumentation gilt für das Modem (GPRS-Modem, VPN-Router).

7 Pos: 4.2 /Dokumentation WAGO-TO-PASS 761 Hinweise zu dieser Dokumentation 7 Pos: 4.1 /Alle Serien (Allgemeine Module)/Hinweise zur Symbole GEFAHR GEFAHR Warnung vor Personenschäden! Kennzeichnet eine unmittelbare Gefährdung mit hohem Risiko, die Tod oder schwere Körperverletzung zur Folge haben wird, wenn sie nicht vermieden wird. Warnung vor Personenschäden durch elektrischen Strom! Kennzeichnet eine unmittelbare Gefährdung mit hohem Risiko, die Tod oder schwere Körperverletzung zur Folge haben wird, wenn sie nicht vermieden wird. WARNUNG Warnung vor Personenschäden! Kennzeichnet eine mögliche Gefährdung mit mittlerem Risiko, die Tod oder (schwere) Körperverletzung zur Folge haben kann, wenn sie nicht vermieden wird. VORSICHT ACHTUNG ESD Hinweis Information Warnung vor Personenschäden! Kennzeichnet eine mögliche Gefährdung mit geringem Risiko, die leichte oder mittlere Körperverletzung zur Folge haben könnte, wenn sie nicht vermieden wird. Warnung vor Sachschäden! Kennzeichnet eine mögliche Gefährdung, die Sachschaden zur Folge haben könnte, wenn sie nicht vermieden wird. Warnung vor Sachschäden durch elektrostatische Aufladung! Kennzeichnet eine mögliche Gefährdung, die Sachschaden zur Folge haben könnte, wenn sie nicht vermieden wird. Wichtiger Hinweis! Kennzeichnet eine mögliche Fehlfunktion, die aber keinen Sachschaden zur Folge hat, wenn sie nicht vermieden wird. Weitere Information Weist auf weitere Informationen hin, die kein wesentlicher Bestandteil dieser Dokumentation sind (z. B. Internet).

8 Pos: 5 /Dokumentation Hinweise zu dieser Dokumentation WAGO-TO-PASS 761 Pos: 4.3 /Alle Serien (Allgemeine Module)/Hinweise zur Darstellung der Zahlensysteme Tabelle 1: Darstellungen der Zahlensysteme Zahlensystem Beispiel Bemerkung Dezimal 100 normale Schreibweise Hexadezimal 0x64 C-Notation Binär '100' ' ' in Hochkomma, Nibble durch Punkt getrennt Pos: 4.4 /Alle Serien (Allgemeine Module)/Hinweise zur Schriftkonventionen Tabelle 2: Schriftkonventionen Schriftart Bedeutung kursiv Namen von Pfaden und Dateien werden kursiv dargestellt z. B.: C:\Programme\WAGO-IO-CHECK Menü Menüpunkte werden fett dargestellt z. B.: Speichern > Ein Größer als Zeichen zwischen zwei Namen bedeutet die Auswahl eines Menüpunktes aus einem Menü z. B.: Datei > Neu Eingabe Bezeichnungen von Eingabe- oder Auswahlfeldern werden fett dargestellt z. B.: Messbereichsanfang Wert Eingabe- oder Auswahlwerte werden in Anführungszeichen dargestellt z. B.: Geben Sie unter Messbereichsanfang den Wert 4 ma ein. [Button] Schaltflächen-Beschriftungen in Dialogen werden fett dargestellt und in eckigen Klammern eingefasst z. B.: [Eingabe] [Taste] Tasten-Beschriftungen auf der Tastatur werden fett dargestellt und in eckigen Klammern eingefasst z. B.: [F5]

9 WAGO-TO-PASS 761 Wichtige Erläuterungen 9 Pos: 6 /Alle Serien (Allgemeine Module)/Wichtige Erläuterungen/Einleitung Wichtige Dieses Kapitel beinhaltet ausschließlich eine Zusammenfassung der wichtigsten Sicherheitsbestimmungen und Hinweise. Diese werden in den einzelnen Kapiteln wieder aufgenommen. Zum Schutz Ihrer Gesundheit und zur Vorbeugung von Sachschäden an Geräten ist es notwendig, die Sicherheitsrichtlinien sorgfältig zu lesen und einzuhalten. Pos: 7.1 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Wichtige Erläuterungen - Überschrift Wichtige Erläuterungen Pos: 7.2 /Alle Serien (Allgemeine Module)/Wichtige Erläuterungen/Rechtliche Rechtliche Grundlagen Pos: 7.3 /Alle Serien (Allgemeine Module)/Hinweise zur Dokumentation/Urheberschutz Urheberschutz Diese Dokumentation, einschließlich aller darin befindlichen Abbildungen, ist urheberrechtlich geschützt. Jede Weiterverwendung dieser Dokumentation, die von den urheberrechtlichen Bestimmungen abweicht, ist nicht gestattet. Die Reproduktion, Übersetzung in andere Sprachen sowie die elektronische und fototechnische Archivierung und Veränderung bedarf der schriftlichen Genehmigung der WAGO Kontakttechnik GmbH & Co. KG, Minden. Zuwiderhandlungen ziehen einen Schadenersatzanspruch nach sich. Pos: 7.4 /Alle Serien (Allgemeine Module)/Wichtige Änderungsvorbehalt Die WAGO Kontakttechnik GmbH & Co. KG behält sich Änderungen, die dem technischen Fortschritt dienen, vor. Alle Rechte für den Fall der Patenterteilung oder des Gebrauchmusterschutzes sind der WAGO Kontakttechnik GmbH & Co. KG vorbehalten. Fremdprodukte werden stets ohne Vermerk auf Patentrechte genannt. Die Existenz solcher Rechte ist daher nicht auszuschließen. Pos: 7.5 /Serie 761 (TO-PASS)/Wichtige Erläuterungen/Personalqualifikation Personalqualifikation Sämtliche Arbeitsschritte, die an den Geräten der Serie 761 durchgeführt werden, dürfen nur von Elektrofachkräften mit ausreichenden Kenntnissen im Bereich der Automatisierungstechnik vorgenommen werden. Diese müssen mit den aktuellen Normen und Richtlinien für die Geräte und das Automatisierungsumfeld vertraut sein. Alle Eingriffe in die Steuerung sind stets von Fachkräften mit ausreichenden Kenntnissen in der SPS-Programmierung durchzuführen. Pos: 7.6 /Serie 761 (TO-PASS)/Wichtige Erläuterungen/Bestimmungsgemäße Verwendung Bestimmungsgemäße Verwendung der TO-PASS Modems Die TO-PASS Modems dienen dazu, digitale und analoge Signale von Sensoren aufzunehmen und an übergeordnete Steuerungen weiterzuleiten und auszugeben. Zudem ist eine (Vor-)Verarbeitung möglich. Das Gerät ist für ein Arbeitsumfeld entwickelt, welches der Schutzklasse IP20 genügt. Es besteht Fingerschutz und Schutz gegen feste Fremdkörper bis

10 Pos: 7.7 /Serie 761 (TO-PASS)/Wichtige Pos: 7.9 /Dokumentation Wichtige Erläuterungen WAGO-TO-PASS ,5 mm, jedoch kein Schutz gegen Wasser. Der Betrieb des Gerätes in nasser und staubiger Umgebung ist nicht gestattet, sofern nicht anders angegeben. Aufgrund der erteilten Zulassungen dürfen die TO-PASS Modems nur in folgenden Ländern eingesetzt werden. Tabelle 3: Übersicht zugelassener Länder Land Austria Bulgaria Czech Republic Estonia France Greece Iceland Italy Lithuania Malta Norway Portugal Slovakia Spain Switzerland Land Belgium Cyprus Denmark Finland Germany Hungary Ireland Latvia Luxembourg Netherlands Poland Romania Slovenia Sweden United Kingdom Pos: 7.8 /Alle Serien (Allgemeine Module)/Wichtige Erläuterungen/Technischer Zustand der Technischer Zustand der Geräte Die Geräte werden ab Werk für den jeweiligen Anwendungsfall mit einer festen Hard- und Softwarekonfiguration ausgeliefert. Änderungen an Hard-, Soft- und Firmware sind ausschließlich im Rahmen der in den Handbüchern dokumentierten Möglichkeiten zulässig. Alle Veränderungen an der Hard- oder Software sowie der nicht bestimmungsgemäße Gebrauch der Komponenten bewirken den Haftungsausschluss der WAGO Kontakttechnik GmbH & Co. KG. Wünsche an eine abgewandelte bzw. neue Hard- oder Softwarekonfiguration richten Sie bitte an die WAGO Kontakttechnik GmbH & Co. KG.

11 WAGO-TO-PASS 761 Wichtige Erläuterungen 11 Pos: 7.10 /Serie 761 (TO-PASS)/Wichtige Erläuterungen/Sicherheitshinweise Sicherheitshinweise GEFAHR Wichtiger Hinweis! TO-PASS Modems sind offene Betriebsmittel. Sie dürfen ausschließlich in Gehäusen, Schränken oder in elektrischen Betriebsräumen aufgebaut werden. Der Zugang ist lediglich über Schlüssel oder Werkzeug von autorisiertem Fachpersonal möglich. WARNUNG Warnung vor Funkstrahlung! Verwenden Sie das TO-PASS Modem nie in Bereichen, in denen der Betrieb von Funkeinrichtungen untersagt ist. Das TO-PASS Modem enthält einen Funksender, der gegebenenfalls medizinische elektronische Geräte wie Hörgeräte oder Herzschrittmacher in ihrer Funktion beeinträchtigen kann. Ihr Arzt oder der Hersteller dieser Geräte können Sie beraten. GEFAHR ACHTUNG ACHTUNG Wichtiger Hinweis! Schalten Sie immer alle verwendeten Spannungsversorgungen für das Gerät ab, bevor Sie es montieren, Störungen beheben oder Wartungsarbeiten vornehmen. Nur zugelassene Stromversorgung einsetzen! Verwenden Sie nur eine externe Stromversorgung die EN entspricht. Die Ausgangsspannung der externen Stromversorgung darf 30 V DC nicht überschreiten. Der Ausgang der externen Stromversorgung muss kurzschlussfest sein. Das TO-PASS -Modem darf nur aus Stromversorgungen nach IEC/EN Abschnitt 2.5 "Stromquelle mit begrenzter Leistung" versorgt werden. Die externe Stromversorgung für das TO-PASS -Modem muss den Bestimmungen für NEC Klasse 2 Stromkreisen entsprechen, wie im National Electrical Code (ANSI/NFPA 70) festgelegt. Bei Anschluss an eine Batterie oder einen Akkumulator beachten Sie, dass zwischen dem Gerät und der Batterie oder Akkumulator eine allpolige Trennvorrichtung (Batteriehauptschalter) mit ausreichendem Trennvermögen sowie eine Sicherung mit ausreichendem Trennvermögen vorzusehen sind (z. B. Pudenz FKS Sicherungssatz 32 V, 3 A, Best.-Nr ). Wichtiger Hinweis! Die Komponenten sind unbeständig gegen Stoffe, die kriechende und isolierende Eigenschaften besitzen, z. B. Aerosole, Silikone, Triglyceride (Bestandteil einiger Handcremes). Kann nicht ausgeschlossen werden, dass diese Stoffe im Umfeld der Komponenten auftreten, ist die Komponente in ein Gehäuse einzubauen, das resistent gegen oben genannte Stoffe ist. Generell sind zur Handhabung der Geräte/Module saubere Werkzeuge und Materialien zu verwenden.

12 Pos: 7.11 /Dokumentation Wichtige Erläuterungen WAGO-TO-PASS 761 ACHTUNG ACHTUNG ACHTUNG ACHTUNG ESD Wichtiger Hinweis! Verschmutzte Kontakte sind mit ölfreier Druckluft oder mit Spiritus und einem Ledertuch zu reinigen. Wichtiger Hinweis! Verwenden Sie kein Kontaktspray, da im Extremfall die Funktion der Kontaktstelle beeinträchtigt werden kann. Wichtiger Hinweis! Vermeiden Sie die Verpolung der Daten- und Versorgungsleitungen, da dies zu Schäden an den Geräten führt. Warnung vor Entmagnetisierung! Um das Risiko einer Entmagnetisierung von Datenträgern zu verhindern wird empfohlen, Disketten, Kreditkarten und andere magnetische Datenträger nicht in der Nähe des TO-PASS Modems zu lagern. Wichtiger Hinweis! In den Geräten sind elektronische Komponenten integriert, die durch elektrostatische Entladung bei Berührung zerstört werden können.

13 Pos: 7.13 /Serie 761 (TO-PASS)/Wichtige Erläuterungen/Hinweis: Funkstörungen im Pos: 7.14 /Serie 761 (TO-PASS)/Wichtige Erläuterungen/Hinweis: Pos: 7.15 /Dokumentation WAGO-TO-PASS 761 Wichtige Erläuterungen 13 Pos: 7.12 /Serie 761 (TO-PASS)/Wichtige Erläuterungen/Hinweis: Hinweise zum Zubehör Hinweis Zubehör Das TO-PASS Modem darf nur mit einer Antenne aus dem Zubehörsortiment des TO-PASS Modems betrieben werden. Ausschließlich Fachpersonal darf das TO-PASS Modem und dessen Antenne installieren und warten. Die Einhaltung der Blitzschutznorm DIN EN Teil 1 bis 4 ist vorgeschrieben. Bei Arbeiten an der Antenne oder bei Arbeiten näher als unten angegeben muss der Sender ausgeschaltet sein. HF-Exposition Normalerweise arbeitet die am Sender dieses Gerätes angeschlossene Antenne in allen Richtungen mit 0 db Verstärkung. Die Composite Power im PCS-Modus ist bei Benutzung dieser Antenne geringer als 1 W ERP (effective radiated power). Die mit diesem mobilen Gerät benutzen internen/externen Antennen müssen mindestens 20 cm von Personen entfernt sein. Und sie dürfen nicht so platziert oder betrieben werden, dass sie in Verbund mit einer anderen Antenne oder Sender arbeiten. Hinweis Funkstörungen im Wohnbereich Dieses Gerät ist eine Einrichtung der Klasse A. Diese Einrichtung kann im Wohnbereich Funkstörungen verursachen; in diesem Fall kann vom Betreiber verlangt werden, angemessene Maßnahmen durchzuführen. Hinweis GPRS-Kosten Bitte beachten Sie, dass auch beim (Wieder-) Aufbau einer Verbindung, bei Verbindungsversuchen zur Gegenstelle (z. B. Server ausgeschaltet, falsche Zieladresse, etc.) sowie zum Erhalt einer Verbindung kostenpflichtige Datenpakete ausgetauscht werden.

14 Pos: 7.17 /Serie 761 (TO-PASS)/Wichtige Erläuterungen/Haftungsausschluss Wichtige Erläuterungen WAGO-TO-PASS 761 Pos: 7.16 /Serie 761 (TO-PASS)/Wichtige Firmware-Lizenbedingungen Firmware mit Open Source GPL/LGPL Die Firmware des TO-PASS -Modems enthält open Source Software unter GPL/LGPL Bedingungen. Gemäß des Abschnitts 3b von GPL und des Abschnitts 6b von LGPL bieten wir Ihnen den Quellkode an. Den Quellkode mit den Lizenzbedingungen der open Source Software erhalten Sie auf Wunsch von WAGO Kontakttechnik GmbH & Co. KG. Senden Sie Ihre Anforderung an support@wago.com mit dem Betreff Open Source TO-PASS VPN-Modem Firmware mit OpenBSD Die Firmware von TO-PASS -Modems enthält Teile aus der OpenBSD-Software. Die Verwendung von OpenBSD-Software verpflichtet zum Abdruck des folgenden Copyright-Vermerkes: Copyright (c) 1982, 1986, 1990, 1991, 1993 The Regents of the University of California. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: This product includes software developed by the University of California, Berkeley and its contributors. 4. Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS AS IS AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, * WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

15 Pos: 8 /Dokumentation WAGO-TO-PASS 761 Wichtige Erläuterungen Haftungsausschluss TO-PASS Modems kommunizieren über das GSM Netz (Global System for Mobile Communication). Es ist nicht auszuschließen, dass die vom TO-PASS Modem genutzten GSM-Dienste Störungen des Netzbetreibers unterliegen. Dies liegt nicht in der Hand der WAGO Kontakttechnik GmbH & Co. KG. WAGO Kontakttechnik GmbH & Co. KG lehnt daher jede Gewährleistung für die Ausführung von gesendeten oder empfangenen Befehlen von dem und an das TO-PASS Modem ab.

16 Pos: 10 /Serie 761 (TO-PASS)/Gerätebeschreibung/Anwendung V 24V S Q C 0V V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b 16 Gerätebeschreibung WAGO-TO-PASS 761 Pos: 9 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Gerätebeschreibung - Überschrift Gerätebeschreibung Der TO-PASS VPN Router bietet einen drahtlosen Anschluss zum Internet oder zu einem privaten Netzwerk. Der TO-PASS VPN Router bietet diesen Anschluss an jedem Ort, an dem ein GSM-Netz (Global System for Mobile Communication = Mobilfunknetz) verfügbar ist, das als Dienste EGPRS (Enhanced General Packet Radio Service = EDGE) oder GPRS (General Packet Radio Service) bereitstellt. Voraussetzung dafür ist eine SIM-Karte eines GSM-Netzbetreibers mit entsprechend freigeschalteten Diensten. Der TO-PASS VPN Router verbindet so eine lokal angeschlossene Applikation oder ganze Netzwerke über drahtlose IP-Verbindungen mit dem Internet. Möglich ist auch die direkte Verbindung mit einem Intranet an dem wiederum die externen Gegenstellen angeschlossen sind. Der TO-PASS VPN Router kann über die drahtlose IP-Verbindung ein VPN (Virtual Private Network) zwischen einer lokal angeschlossene Applikation/ einem Netzwerk und einem externen Netz aufbauen und diese Verbindung mittels IPsec (Internet Protocol Security) gegen Zugriffe Dritter schützen. Szenarium 1 - Virtual Private Network (VPN) mit IPsec Lokales Netz Gegenüberliegendes Netz Admin-PC Admin-PC Lokale Applikation Lokale Applikation TO-PASS VPN SERVICE (USB) (E)GPRS APN INTERNET VPN-Gateway Externe Gegenstellen VPN-Tunnel Abbildung 1: Virtual Private Network (VPN) mit IPSec

17 Pos: 11 /Dokumentation V 24V 24V S Q C V S Q C 0V 0V V 0V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b WAGO-TO-PASS 761 Gerätebeschreibung 17 Szenarium 2 - Verbindung über EGPRS oder GPRS und ein direktes VPN zum externen Netz Lokales Netz Externes Netz Admin-PC Lokale Applikation Lokale Applikation TO-PASS VPN SERVICE (USB) (E)GPRS Drahtlose IP-Verbindung über (E)-GRPS APN Direktes VPN zum (E)-GRPS VPN-Gateway Externe Gegenstellen Abbildung 2: Verbindung über EGPRS oder GPRS und ein direktes VPN zum externen Netz Szenarium 3 - Verbindung über EGPRS oder GPRS und das Internet zum externen Netz Lokales Netz Externes Netz Admin-PC Lokale Applikation Lokale Applikation TO-PASS VPN SERVICE (USB) (E)GPRS APN INTERNET Router/ Firewall Externe Gegenstellen Drahtlose IP-Verbindung über (E)-GRPS Abbildung 3: Verbindung über EGPRS oder GPRS und das Internet zum externen Netz Lokale Applikationen könnten zum Beispiel eine programmierbare Steuerung, eine Maschine mit Ethernet-Schnittstelle zur Fernüberwachung, oder ein Notebook bzw. PC sein. Diese Applikationen benutzen der TO-PASS VPN Router, um Zugriff auf ein externes Netz zu erhalten, so als wenn sie direkt vor Ort an diesem externen Netz angeschlossen wären.

18 24V 24V 0V S Q C V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b 18 Gerätebeschreibung WAGO-TO-PASS 761 Pos: 12 /Serie 761 (TO-PASS)/Gerätebeschreibung/Funktionen Funktionen Um die Aufgaben in den beschriebenen Szenarien zu erfüllen, vereinigt das Gerät folgende Funktionen: EDGE-Modem für die flexible Datenkommunikation per EGPRS oder GPRS VPN-Router für sichere Datenübertragung über öffentliche Netze (IPSec Protokoll, 3DES-Datenverschlüsselung, AES Verschlüsselung) Firewall für den Schutz vor unberechtigtem Zugriff. Der dynamische Paketfilter untersucht Datenpakete anhand der Ursprungs- und Zieladresse (stateful inspection firewall) und blockiert unerwünschten Datenverkehr (Anti-Spoofing) Konfiguration Die Konfiguration des Gerätes erfolgt über eine Web-Oberfläche die sich einfach mit einem Web-Browser anzeigen lässt. Der Zugriff kann über folgende Wege stattfinden: die lokale Schnittstelle, EGPRS/GPRS oder CSD (Circuit Switched Data = Datenwählverbindungen) des GSM TO-PASS VPN Verbindung über GSM-CSD PC mit Web-Browser SERVICE (USB) PC mit Web-Browser Verbindung über (E)-GRPS Abbildung 4: Verbindung EGPRS CSD PC mit Web-Browser

19 Pos: 13 /Dokumentation WAGO-TO-PASS 761 Gerätebeschreibung VPN-Funktionen Der TO-PASS VPN Router bietet folgende VPN-Features: Protokoll: IPsec (Tunnelmode) IPsec 3DES Verschlüsselung mit 192 Bit IPsec AES Verschlüsselung mit 128, 192 und 256 Bit Paket-Authentifizierung: MD5, SHA-1 Internet Key Exchange (IKE) mit Main und Agressive Mode Authentisierung: Pre-Shared Key (PSK), X.509v3 Zertifikate, CA NAT-T Dead Peer Detection (DPD) Firewall-Funktionen Der TO-PASS VPN Router bietet folgende Firewall-Funktionen um das lokale Netz und sich selbst gegen Angriffe von Außen zu schützen: Stateful Inspection Firewall Anti-Spoofing Port Forwarding Weitere Funktionen Der TO-PASS VPN Router bietet folgende weitere Funktionen: DNS Cache DHCP Server NTP Remote Logging Schalteingang Schaltausgang Web-Oberfläche zur Konfiguration Versand von Alarm-SMS SSH-Konsole zur Konfiguration DynDNS-Client Datenwählverbindung zur Wartung und Fernkonfiguration

20 Pos: 15 /Dokumentation Gerätebeschreibung WAGO-TO-PASS 761 Pos: 14 /Serie 761 (TO-PASS)/Gerätebeschreibung/Lieferumfang Lieferumfang Der Lieferumfang des TO-PASS Modem umfasst nur das TO-PASS Modem. Geeignete Antennen sind als Zubehör erhältlich. Hinweis SIM-Karte Bitte beachten Sie, dass für den Betrieb jedes TO-PASS Modem eine SIM- Karte erforderlich ist. Sie erhalten die SIM-Karte bei den üblichen Anbietern wie z. B. T-Mobile, VODAFONE oder EPlus. Gerne ist WAGO Kontakttechnik GmbH & Co. KG behilflich bei der richtigen und für Ihre Anwendung wirtschaftlichsten Auswahl des Tarifes.

21 Pos: 17 /Serie 761 (TO-PASS)/Ansicht/Ansicht Pos: 18 /Dokumentation WAGO-TO-PASS 761 Gerätebeschreibung 21 Pos: 16 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Ansicht - Überschrift Ansicht 24V 24V 0V 0V 8 TO-PASS VPN 7 6 S POWER LAN VPN 1 5 Q C IN OUT 2 10/100 BASE-T 4 SERVICE (USB) I1+ I1- O1a O1b Abbildung 5: Frontansicht Position Beschreibung 1 Statusanzeigen 2 Ethernet-Anschluss 3 Anschlussklemmen für Digitalein- und ausgang 4 USB-Anschluss (reserviert für spätere Anwendungen) 5 Statusanzeigen 6 Antennenanschluss 7 SET-Taster (hinter Öffnung in Frontblende) 8 Anschlussklemmen für Versorgungsspannung

22 Pos: 19.4 /Dokumentation Gerätebeschreibung WAGO-TO-PASS 761 Pos: 19.1 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Anschlüsse - Überschrift Anschlüsse Pos: 19.2 /Serie 761 (TO-PASS)/Anschlüsse/Anschluss 761-5xx Antenne Der Schraubanschluss (SMA-Stecker) für die GSM-Antenne befindet sich auf der Oberseite des Gehäuses. Abbildung 6: Anschluss Antenne Hinweis Antenne Bei Außenmontage der Antenne muss die Antenne zwecks Blitzschutzes geerdet werden. Pos: 19.3 /Serie 761 (TO-PASS)/Anschlüsse/Anschluss Service Service (USB) SERVICE (USB) Abbildung 7: Anschluss Service USB Diese Schnittstelle ist beim TO-PASS VPN Router ohne Funktion und reserviert für spätere Anwendungen. ACHTUNG Anschluss Schließen Sie hier keine Geräte an. Der Betrieb des TO PASS VPN Router könnte gestört werden.

23 Pos: 19.7 /Dokumentation WAGO-TO-PASS 761 Gerätebeschreibung 23 Pos: 19.5 /Serie 761 (TO-PASS)/Anschlüsse/Anschluss /100-Base-T 10/100 BASE-T Abbildung 8: Anschluss 10/100-Base-T Am Anschluss 10/100-Base-T wird das lokale Netz mit den lokalen Applikationen angeschlossen, z.b. eine programmierbare Steuerung, eine Maschine mit Ethernet-Schnittstelle zur Fernüberwachung, ein Notebook bzw. PC. Zum Einrichten des TO-PASS VPN Router schließen Sie hier den Admin-PC mit Web-Browser an. Die Schnittstelle unterstützt Autonegation. Somit wird automatisch erkannt, ob 10 Mbit/s oder 100 Mbit/s Übertragungsgeschwindigkeit auf dem Ethernet genutzt wird. Das verwendete Anschlusskabel muss einen RJ-45-Stecker haben. Es kann Crossover oder Eins-zu-Eins verdrahtet sein. Pos: 19.6 /Serie 761 (TO-PASS)/Anschlüsse/Anschluss 761-5xx Betriebsspannung Tabelle 4: Anschlussbelegung Betriebsspannung 24V 24V 0V 0V Abbildung 9: Anschlussbelegung Betriebsspannung Anschluss Kurzbezeichnung Erläuterung 1 24 V Betriebsspannung 12 V V DC 2 24 V Betriebsspannung 12 V V DC (parallel zur Klemme 1) 3 0 V Betriebsspannung 0 V 4 0 V Betriebsspannung 0 V (parallel zur Klemme 3)

24 Pos: 20 /Dokumentation Gerätebeschreibung WAGO-TO-PASS 761 Pos: 19.8 /Serie 761 (TO-PASS)/Anschlüsse/Anschluss Digitalein-/ausgang Tabelle 5: Anschlussbelegung Digitalein-/ausgang I1+ I1- O1a O1b Abbildung 10: Anschlussbelegung Digitalein-/ausgang Anschluss Kurzbezeichnung Erläuterung 1 I1+ Digitaleingang + 2 I1- Digitaleingang - 3 O1a Digitalausgang Kontakt a 4 O1b Digitalausgang Kontakt b U in = 5 V V U max. = 30 V, I max. = 20 ma

25 WAGO-TO-PASS 761 Gerätebeschreibung 25 Pos: 21 /Serie 761 (TO-PASS)/Anzeigeelemente/Anzeigeelemente Anzeigeelemente Tabelle 6: Anzeigelemente linke Seite LED Zustand Bedeutung Ein PIN-Übergabe erfolgreich S (Status) Blinken 1 Hz PIN-Übergabe Blinken 4 Hz PIN-Fehler/SIM-Fehler Aus Nicht im GSM-Netz eingebucht Ein Signalstärke sehr gut (CSQ > 18) Q Ein mit kurzen Signalstärke gut (Quality) Unterbrechungen (CSQ = ) Signalstärke mittel Blinken 1 Hz S (CSQ = ) Q C Signalstärke schlecht Kurz aufblinkend (CSQ < 6) Aus Keine Verbindung Abbildung 11: Ein EGPRS-Verbindung aktiv Anzeigeelemente C (Connect) Ein mit kurzen linke Seite GPRS-Verbindung aktiv Unterbrechungen Blinken 4 Hz Service Ruf über CSD aktiv Synchrones Blinken 4 Hz Fehler S, Q,C Langsames Lauflicht Update Schnelles Lauflicht Booten

26 Pos: 22 /Dokumentation Gerätebeschreibung WAGO-TO-PASS 761 Tabelle 7: Anzeigelemente rechte Seite LED Zustand Bedeutung POWER Au0s Gerät ausgeschaltet, Betriebsspannung fehlt Ein Gerät eingeschaltet, Betriebsspannung liegt an Keine Ethernet-Verbindung zur Aus lokalen Applikation bzw. zum POWER lokalen Netz LAN LAN Ethernet-Verbindung zur VPN Ein lokalen Applikation bzw. zum IN lokalen Netz hergestellt OUT Ein mit kurzen Unterbrechungen Datentransfer über die Ethernet- Verbindung Abbildung 12: Anzeigeelemente rechte Seite VPN IN OUT Aus Ein Aus Ein Aus Ein Keine VPN-Verbindung aufgebaut Mindestens eine VPN- Verbindung aufgebaut Schalteingang nicht aktiv Schalteingang aktiv Schaltausgang nicht aktiv Schaltausgang aktiv

27 Pos: 25 /Dokumentation WAGO-TO-PASS 761 Gerätebeschreibung 27 Pos: 23 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Bedienelemente - Überschrift Bedienelemente Pos: 24 /Serie 761 (TO-PASS)/Bedienelemente/SET-Taster SET-Taster Auf der Frontseite des TO-PASS VPN Router befindet sich ein kleines Loch, hinter dem sich ein SET-Taster befindet. Benutzen Sie einen spitzen Gegenstand, z.b. eine aufgebogene Büroklammer, um den SET-Taster zu drücken. Hinweis Neustart Der TO-PASS VPN Router führt einen Neustart durch und lädt dabei die Werkseinstellungen, wenn Sie den SET-Taster länger als 5 s drücken.

28 28 Gerätebeschreibung WAGO-TO-PASS 761 Pos: 26 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Technische Daten - Überschrift Technische Daten Pos: 27 /Serie 761 (TO-PASS)/Technische Daten/Technische Daten TO-PASS VPN Schnittstellen Tabelle 8: Technische Daten Schnittstellen Applikations-Schnittstelle Übertragungsrate Service-Schnittstelle 10/100 Base-T (RJ-45-Buchse) Ethernet IEEE802 10/100 Mbit/s Auto Cross Over USB-A (reserviert für spätere Anwendungen) Funktionen Tabelle 9: Technische Daten Funktionen Sicherheits-Funktionen Weitere Funktionen Management VPN IPSec Stateful Inspection Firewall Anti-Spoofing Port Weiterleitung DNS Cache, DHCP Server, NTP, Remote Logging, Verbindungsüberwachung, Alarm-SMS Web-basierte Administrations- Oberfläche, ssh-konsole

29 WAGO-TO-PASS 761 Gerätebeschreibung Kommunikation Tabelle 10: Technische Daten Kommunikation EDGE/GPRS EDGE Multislot class 12/EDGE Multislot class 12 Coding schemes CS-1, CS-2, CS-3, CS-4 GSM Module EGPRS (EDGE) / Quad band EDGE (EGPRS) Multislot Class 12 Mobile Station Class B Modulation and Coding Scheme MCS 1 9 GPRS Multislot Class 12 Full PBCCH support Mobile Station Class B Coding Scheme 1 4 EDGE / GPRS Während der Datenübertragung über EGPRS oder GPRS wählt das Gerät automatisch zwischen folgenden Klassen aus: von EGPRS Multislot Class 12 (4 Tx slots) bis EGPRS Multislot Class 10 (2 Tx slots), von EGPRS Multislot Class 10 (2 Tx slots) bis EGPRS Multislot Class 8 (1 Tx), von GPRS Multislot Class 12 (4 Tx slots) bis GPRS Multislot Class 8 (1 Tx) von GPRS Multislot Class 10 (2 Tx slots) bis GPRS Multislot Class 8 (1 Tx) CSD / MTC V.110, RLP, non-transparent 2.4, 4.8, 9.6, 14.4kbps SMS (TX) Punkt zu Punkt, MO (abgehend) Max. Sendeleistung Class 4 (+33 dbm ±2 db) for EGSM850 (gemäß Ausgabe 99, V5) Class 4 (+33 dbm ±2 db) for EGSM900 Class 1 (+30 dbm ±2 db) for GSM1800 Class 1 (+30 dbm ±2 db) for GSM1900 Class E2 (+27 dbm ± 3 db) for GSM PSK Class E2 (+27 dbm ± 3 db) for GSM PSK Class E2 (+26 dbm +3 /-4 db) for GSM PSK Class E2 (+26 dbm +3 /-4 db) for GSM PSK Antennenanschluss Impedanz nominal: 50 Ohm, Buchse: SMA

30 30 Gerätebeschreibung WAGO-TO-PASS Allgemeine Technische Daten Tabelle 11: Allgemeine Technische Daten Spannungsversorgung DC 12 V V (DC 24 V nominal) Eingangsstrom typ. 365 ma ma Idle-Mode: 174 ma ma (Verbindung, kein Datentransfer) Burst: 1,26 A (Volle Sendeleistung) Burst Wiederholrate 4,62 ms Leistungsaufnahme typ. 4,4 W bei 12 V typ. 4,0 W bei 24 V typ. 5,5 W bei 60 V Stromaufnahme Siehe Tabelle unten Charakteristik [ma] Eingangsstrom I Burst bei 12V ,62ms Burst Wiederholrate Abbildung 13: Eingangsstrom 12 V [ms] [ma] I Burst bei 24V ,62ms Burst Wiederholrate [ms] Abbildung 14: Eingangsstrom 24 V [ma] I Burst bei 60V ,62ms Burst Wiederholrate [ms] Eingangsspannung Ausgangsspannung Ausgangsstrom Montageart Gehäusematerial Abbildung 15: Eingangsstrom 60 V Relais, DC 5 V V, potentialfrei max. DC 30 V max. 20 ma TS 35 Tragschiene PC

31 Pos: 28 /Dokumentation WAGO-TO-PASS 761 Gerätebeschreibung 31 Tabelle 11: Allgemeine Technische Daten Spannungsversorgung DC 12 V V (DC 24 V nominal) Anschlusstechnik Federzugverbindung Abmessungen (mm) B x H x T 45 x 114,5 x 99 Höhe ab Oberkante Tragschiene Gewicht ca. 280 g Betriebstemperatur -20 C C Lagertemperatur -40 C C Relative Feuchte (ohne 95 % Betauung) Schutzart IP 20 Tabelle 12: Stromaufnahme Stromaufnahme Eingangs- Spannung Verbunden, kein Daten- Transfer Kontinuierlicher Datentransfer bei geringer Signalqualität (1) Kontinuierlicher Datentransfer bei mittlerer Signalqualität (2) Burst Betriebsart [V] [ma] [ma] [ma] [ma] GSM-CSD EGPRS / GPRS (1) Gemessen bei GSM900 Power Level 5 (33 dbm Sendeleistung) (2) Gemessen bei GSM900 Power Level 10 (23 dbm Sendeleistung)

32 Pos: 29.3 /Alle Serien (Allgemeine Module)/Zulassungen/Standardzulassungen/CE Pos: 29.4 /Serie 761 (TO-PASS)/Zulassungen/Zulassungen Pos: 30 /Dokumentation Gerätebeschreibung WAGO-TO-PASS 761 Pos: 29.1 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Zulassungen - Überschrift Zulassungen Pos: 29.2 /Serie 761 (TO-PASS)/Zulassungen/Allgemeine Zulassungen ohne Folgende Zulassungen wurden für das Modem erteilt: R&TTE (GSM) EMV NSR Konformitätskennzeichnung Konform zur Richtlinie 99/05/EG Angewandte Norm: EN : v Konform zur Richtlinie 2004/108/EG Angewandte Normen: EN 55022:2006 Klasse A, EN 55024: A1: A2:2003 Konform zur Richtlinie 2006/95/EG Angewandte Norm: EN :2006 Das Gerät entspricht den europäischen Richtlinien ROHS.

33 Pos: 33 /Dokumentation WAGO-TO-PASS 761 Montieren 33 Pos: 31 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Montieren - Überschrift Montieren Pos: 32 /Serie 761 (TO-PASS)/Montieren/Montage Einbau 1 Das TO-PASS Modem ist für die Montage auf einer Tragschiene TS 35 (Tragschiene) vorgesehen. 2 Die Schutzart des TO-PASS Modem ist IP 20. Aus diesem Grunde empfiehlt sich der Einbau in einem Gehäuse oder Schaltschrank. 3 Das TO-PASS Modem ist ausgelegt für eine Umgebungstemperatur von 20 C bis +70 C. Bei höheren oder tieferen Temperaturen sind Kühlung bzw. Heizung vorzusehen. Wenden Sie sich dazu an WAGO Kontakttechnik GmbH & Co. KG.

34 Pos: 36 /Dokumentation In Betrieb nehmen WAGO-TO-PASS 761 Pos: 34 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/In Betrieb nehmen - Überschrift In Betrieb nehmen Pos: 35 /Serie 761 (TO-PASS)/Systemvoraussetzungen/Voraussetzungen Voraussetzungen für den Betrieb Um den TO-PASS VPN Router betreiben zu können, müssen die folgenden Informationen vorliegen und die folgenden Voraussetzungen erfüllt sein: Antenne Spannungs-Versorgung: SIM-Karte PIN EGPRS/GPRS Freischaltung: Eine Antenne, angepasst auf die Frequenzbänder des von Ihnen gewählten GSM-Netzbetreibers: MHz, MHz, MHz oder MHz. Verwenden Sie bitte nur Antennen aus dem Zubehör zum TO-PASS VPN Router. (Siehe Kapitel Hinweise zum Zubehör ) Eine Spannungsversorgung mit einer Spannung zwischen 12 VDC und 30 VDC, die einen ausreichenden Strom liefern kann. (Siehe Kapitel Sicherheitshinweise ) Eine SIM-Karte des ausgewählten GSM- Netzbetreibers. Die PIN der SIM-Karte Die SIM-Karte muss von Ihrem GSM- Netzbetreiber für die Dienste EGPRS oder GPRS freigeschaltet sein. Die EGPRS/GPRS Zugangsdaten müssen bekannt sein: - Access Point Name (APN) - Benutzername - Passwort CSD 9600 bit/s Freischaltung: Die SIM-Karte muss von Ihrem GSM- Netzbetreiber für den CSD-Dienst freigeschaltet sein, wenn Sie die Fernkonfiguration über Datenwählverbindungen nutzen möchten. (Siehe Kapitel CSD Einwahl ),

35 Pos: 38 /Dokumentation WAGO-TO-PASS 761 In Betrieb nehmen 35 Pos: 37 /Serie 761 (TO-PASS)/Inbetriebnahme/SIM-Karte einlegen Einlegen der SIM-Karte ACHTUNG Hinweis Vor Einlegen oder Entfernen der SIM-Karte Gerät ausschalten! Schalten Sie das Gerät aus, bevor Sie die SIM-Karte einlegen! Die SIM-Karte und das Modem können beschädigt werden. Hinweis zum Wechsel der SIM-Karte! Tragen Sie über die Web-Oberfläche die PIN der neuen SIM-Karte in den TO-PASS VPN Router ein, bevor Sie die SIM-Karte eingelegt haben. (siehe Kapitel EDGE/GPRS ) Wenn Sie mehrere SIM-Karten im Einsatz haben, ist es sinnvoll, alle SIM- Karten z. B. mit einem normalen Mobiltelefon auf dieselbe PIN zu setzen. Beachten Sie dabei Ihre Sicherheitsvorschriften für den Umgang mit SIM- Karten. Gehen Sie zum Einlegen der SIM-Karte folgendermaßen vor: 1. Nachdem Sie die PIN der SIM-Karte eingetragen haben, trennen Sie den TO-PASS VPN Router vollständig von der Versorgungsspannung. 2. Die Schublade für die SIM-Karte befindet sich auf der Rückseite des TO-PASS VPN Router. In der Gehäuseöffnung befindet sich direkt neben der Schublade für die SIM-Karte ein kleiner gelber Taster. Drücken Sie auf diesen Taster mit einem spitzen Gegenstand, z.b. einem Bleistift. Bei Druck auf den Taster öffnet sich die SIM-Karten-Schublade. Abbildung 16: Einlegen der SIM-Karte 3. Legen Sie die SIM-Karte so in die Schublade, dass ihre vergoldeten Kontakte sichtbar bleiben. 4. Schieben Sie dann die Schublade mit der SIM-Karte vollständig in das Gehäuse.

36 36 Parametrieren WAGO-TO-PASS 761 Pos: 39 /Alle Serien (Allgemeine Module)/Überschriften für alle Serien/Parametrieren - Überschrift Parametrieren Pos: 40 /Serie 761 (TO-PASS)/Parametrierung/Parametrieren Konfigurations-Verbindung herstellen Einrichten des Web-Browsers 1 Starten Sie einen Web-Browser. (z.b. MS Internet Explorer ab Version 7 oder Mozilla Firefox ab Version 2; der Web-Browser muss SSL (d. h. HTTPS) unterstützen.) 2 Achten Sie darauf, dass der Browser beim Starten nicht automatisch eine Verbindung wählt. Im MS Internet Explorer nehmen Sie diese Einstellung wie folgt vor: Menü Extras > Internetoptionen..., Registerkarte Verbindungen: Unter DFÜ- und VPN-Einstellungen muss Keine Verbindung wählen aktiviert sein. 3 In der Adresszeile des Browsers geben Sie die Adresse des TO-PASS VPN Router vollständig ein. Gemäß Werkseinstellung lautet diese: Es erscheint ein Sicherheitshinweis. Beim MS Internet Explorer 7 zum Beispiel dieser: Abbildung 17: Sicherheitshinweis 4 Drücken Sie die Schaltfläche [Ja] zur Bestätigung des Sicherheitshinweises.

37 WAGO-TO-PASS 761 Parametrieren 37 Hinweis Sicherheitszertifikat Da das Gerät nur über verschlüsselte Zugänge administrierbar ist, wird es mit einem selbst unterzeichneten Zertifikat ausgeliefert. Bei Zertifikaten mit Unterschriften, die dem Betriebssystem nicht bekannt sind, erfolgt ein Sicherheitshinweis. Sie können sich das Zertifikat anzeigen lassen. Aus dem Zertifikat muss erkenntlich sein, dass es für WAGO Kontakttechnik GmbH & Co. KG ausgestellt wurde. Die Web-Oberfläche wird über eine IP-Adresse adressiert und nicht über einen Namen, daher stimmt der im Sicherheitszertifikat angegebene Name nicht mit dem im Zertifikat überein. 5 Geben Sie den Benutzernamen und das Passwort (Kennwort) ein: Abbildung 18: Netzwerkkennwort Die werksseitige Voreinstellung lautet: Benutzername: Kennwort: admin wago Hinweis Hinweis Passwort Ändern Sie auf jeden Fall das Passwort (Kennwort). Die werksseitige Voreinstellung ist allgemein bekannt und ist kein ausreichender Schutz. Im Kapitel Passwort ist beschrieben, wie das Passwort geändert werden kann. Benutzername Der Benutzername admin ist voreingestellt und kann nicht verändert werden. 6 Im Web-Browser erscheint die Startseite des TO-PASS VPN Router mit einem Überblick über den Betriebszustand. (siehe Kapitel Status Überblick (Startseite) ).

38 38 Parametrieren WAGO-TO-PASS Die Startseite wird nicht angezeigt Sollte auch nach wiederholtem Versuch der Browser melden, dass die Seite nicht angezeigt werden kann, versuchen Sie Folgendes: 1 Überprüfen Sie die Hardware-Verbindung. Geben Sie bei einem Windows-Rechner über die DOS-Eingabeaufforderung Schaltfläche [Start] > Programme > Zubehör > Eingabeaufforderung folgenden Befehl ein: ping Wenn innerhalb der vorgegebenen Zeitspanne die Meldung über den Rück- Empfang der 4 ausgesendeten Pakete nicht erscheint, überprüfen Sie das Kabel, die Anschlüsse und die Netzwerkkarte. 2 Achten Sie darauf, dass der Browser keinen Proxy Server verwendet. Im MS Internet Explorer (Version 7.0) nehmen Sie diese Einstellung wie folgt vor: Menü Extras > Internetoptionen... > Registerkarte Verbindungen. Unter LAN-Einstellungen auf die Schaltfläche [Einstellungen...] klicken, im Dialogfeld Einstellungen für lokales Netzwerk (LAN) dafür sorgen, dass unter Proxyserver der Eintrag Proxyserver für LAN verwenden nicht aktiviert ist. 3 Falls andere LAN-Verbindungen auf dem Rechner aktiv sind, deaktivieren Sie diese für die Zeit der Konfiguration. Unter Windows Schaltfläche [Start] > Einstellungen > Systemsteuerung das Dialogfenster Systemsteuerung öffnen. Öffnen Sie dort mit Doppelklick das Dialogfenster Netzwerk- und DFÜ- Verbindungen Machen Sie einen Doppelklick auf die entsprechende LAN-Verbindung. Das Dialogfenster Status von LAN-Verbindung wird geöffnet. Drücken Sie zum Deaktivieren der LAN-Verbindung auf die Schaltfläche [Deaktivieren]. 4 Drücken Sie die Schaltfläche [Schließen] zum Speichern. 5 Geben Sie im Web-Browser die Adresse des TO-PASS VPN Router mit Slash ein:

39 WAGO-TO-PASS 761 Parametrieren Status Überblick (Startseite) Nach Aufrufen der Web-Oberfläche des TO-PASS VPN Router und der Eingabe von Benutzernamen und Passwort erscheint ein Überblick über den aktuellen Betriebszustand des TO-PASS VPN Router. Abbildung 19: Überblick Hinweis Aktualisieren Zum Aktualisieren der Werte drücken Sie im Web-Browser Ansicht > Aktualisieren. Tabelle 13: Überblick Schaltfläche Aktuelle Systemzeit Verbindung Externer Hostname Zugewiesene IP Funktion Zeigt die aktuelle Systemzeit des TO-PASS VPN Router an, im Format: Jahr Monat Tag, Stunden : Minuten Zeigt an, ob und welche Funkverbindung besteht: EDGE-Verbindung (IP-Verbindung über EGPRS) GPRS-Verbindung (IP-Verbindung über GPRS) CSD-Verbindung (Service-Verbindung über CSD Zeigt den Hostnamen (z.b. myto-pass.dns.org) des TO- PASS VPN Router an, wenn ein DynDNS-Dienst verwendet wird. Zeigt die IP-Adresse an, unter der der TO-PASS VPN Router im EGPRS oder GPRS zu erreichen ist. Diese IP-Adresse wird dem TO-PASS VPN Router vom EGPRS oder GPRS zugewiesen.

40 40 Parametrieren WAGO-TO-PASS 761 Tabelle 13: Überblick Schaltfläche Signal (CSQ Level) Remote HTTPS Remote SSH CSD Einwahl Funktion Gibt die Stärke des GSM-Signals als CSQ-Wert an. CSQ < 6: Signalstärke schlecht CSQ= : Signalstärke mittel CSQ= : Feldstärke gut CSQ > 18: Feldstärke sehr gut CSQ = 99: Keine Verbindung zum GSM-Netz Zeigt an, ob Zugriffe auf die Web-Oberfläche des TO- PASS VPN Router aus der Ferne über EGPRS, GPRS oder CSD erlaubt sind (siehe Kapitel HTTPS ). Weißer Haken auf grünem Punkt: Der Zugriff ist erlaubt. Weißes Kreuz auf rotem Punkt: Der Zugriff ist nicht erlaubt. Zeigt an, ob Zugriffe auf die SSH-Konsole des TO-PASS VPN Router aus der Ferne über EGPRS, GPRS oder CSD erlaubt sind (siehe Kapitel SSH ). Weißer Haken auf grünem Punkt: Der Zugriff ist erlaubt. Weißes Kreuz auf rotem Punkt: Der Zugriff ist nicht erlaubt. Zeigt an, ob CSD-Serviceanrufe aus der Ferne erlaubt sind (siehe Kapitel CSD Einwahl ). Weißer Haken auf grünem Punkt: CSD-Serviceanrufe sind möglich. Weißes Kreuz auf rotem Punkt: CSD-Serviceanrufe sind nicht möglich. Hinweis Verbindungsüberwachung Es kann vorkommen, dass eine EDGE- (EGPRS) oder GPRS-Verbindung und auch eine zugewiesene IP-Adresse angezeigt werden, die Verbindungsqualität aber dennoch nicht ausreicht, um Daten zu übertragen. Nutzen Sie deshalb die aktive Verbindungsüberwachung (siehe Kapitel Prüfen der Verbindung ).

41 WAGO-TO-PASS 761 Parametrieren Konfiguration vornehmen Zur Konfiguration gehen Sie wie folgt vor: Abbildung 20: Navigation Konfiguration durchführen 1 Rufen Sie in der Menüleiste Navigation den entsprechenden Einstellbereich auf. 2 Drücken Sie die Schaltfläche [Speichern], um Änderungen zu speichern. Diese werden vom Gerät übernommen. 3 Drücken Sie die Schaltfläche [Zurücksetzen], um Änderungen zu verwerfen. Diese werden nicht vom Gerät übernommen. Information Information Netzwerkschnittstelle anpassen Je nachdem, wie Sie den TO-PASS VPN Router konfigurieren, müssen Sie gegebenenfalls anschließend die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw. Netzes entsprechend anpassen. Einträge Tragen Sie bei der Eingabe von IP-Adressen, die IP-Adress-Teilnummern immer ohne führende Nullen ein, z.b.:

42 42 Parametrieren WAGO-TO-PASS 761 Fehleingaben Abbildung 21: Fehleingaben Der TO-PASS VPN Router prüft Ihre Eingaben. Grobe Fehler werden beim Speichern erkannt und das betroffene Eingabefeld wird markiert.

43 WAGO-TO-PASS 761 Parametrieren Konfigurationsprofile System Systemzeit Drücken Sie in der Navigationsleiste System > Systemzeit. Abbildung 22: System-Systemzeit/NTP Tabelle 14: System-Systemzeit/NTP Schaltfläche Funktion Systemzeit setzen Jahr Monat Tag Geben Sie hier die Systemzeit für den TO-PASS VPN Router ein. Diese Systemzeit wird: Stunde Minute als Zeitstempel für alle Logbuch-Einträge benutzt und dient als Zeitbasis für alle zeitgesteuerten Funktionen. Wählen Sie Jahr, Monat und Tag sowie Stunde und Minute. Drücken Sie die Schaltfläche [Setzen], um die Zeit zu speichern. Diese wird vom Gerät übernommen.

44 44 Parametrieren WAGO-TO-PASS 761 Tabelle 14: System-Systemzeit/NTP Schaltfläche Funktion Systemzeit setzen Lokale Zeitzone / Die NTP-Zeitserver übermitteln die UTC (Universal Region Time Coordinated), d.h. die koordinierte Weltzeit. Mit dem Auswahlfeld können Sie eine Stadt in der Nähe des Standortes auswählen, an dem den TO-PASS VPN Router arbeiten soll und legen Sie so die Zeitzone fest. Dann wird die Uhrzeit dieser Zeitzone als Systemzeit verwendet. NTP Synchronisation aktivieren Der TO-PASS VPN Router kann die Systemzeit auch über NTP (Network Time Protokoll) von einem Zeitserver beziehen. Im Internet gibt es eine Reihe von Zeitservern von denen die aktuelle Uhrzeit sehr präzise mittels NTP bezogen werden kann. Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja NTP Synchronisation ist aktiviert. Nein NTP Synchronisation ist nicht aktiviert. NTP Server zur Synchronisation NTP-Server Drücken Sie die Schaltfläche [Neu], um einen NTP- Server hinzuzufügen. Geben Sie dann die IP-Adresse eines NTP-Servers ein oder verwenden Sie den ab Werk voreingestellten NTP-Server. Sie können parallel mehrere NTP-Server angeben. Die Eingabe der NTP-Adresse als Hostname (z.b. timeserver.org) ist nicht möglich. Polling Intervall Die Zeitsynchronisation erfolgt zyklisch. Das Intervall, indem die Synchronisation stattfindet, bestimmt der TO-PASS VPN Router automatisch. Spätestens nach 36 Stunden findet erneut eine Synchronisation statt. Das Polling Intervall legt fest, wie lange der TO-PASS VPN Router mindestens bis zur nächsten Synchronisation wartet. Drücken Sie die Schaltfläche [Löschen], wenn Sie die Eingaben wieder löschen möchten. Information Weitere Kosten Die Synchronisation der Systemzeit über NTP verursacht ein zusätzliches Datenaufkommen auf der EGPRS oder GPRS-Schnittstelle. Je nach Teilnehmervertrag mit dem GSM-Netzbetreiber sind damit erhöhte Kosten verbunden.

45 WAGO-TO-PASS 761 Parametrieren 45 Tabelle 14: System-Systemzeit/NTP Schaltfläche Funktion Systemzeit setzen Systemzeit dem lokalen Der TO-PASS VPN Router kann selbst als NTP- Netz bereitstellen Zeitserver für die Applikationen dienen, die an seiner lokalen Netzwerkschnittstelle angeschlossen sind. Der NTP-Zeitserver im TO-PASS VPN Router ist über die eingestellte lokale IP-Adresse des TO-PASS VPN Router erreichbar (siehe Kapitel Lokale IPs ). Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Funktion ist aktiviert. Nein Funktion ist nicht aktiviert. Tabelle 15: System-Systemzeit/NTP-Werkseinstellung Werkseinstellung Lokale Zeitzone UTC NTP Synchronisation Nein aktivieren NTP-Server Polling Intervall 1.1 Stunden Systemzeit dem lokalen Nein Netz bereitstellen

46 46 Parametrieren WAGO-TO-PASS Status Drücken Sie in der Navigationsleiste System > Status. Abbildung 23: System-Status Information Aktualisieren Zum Aktualisieren der Werte drücken Sie im Web-Browser Ansicht > Aktualisieren. Tabelle 16: Status Schaltfläche Aktuelle Systemzeit NTP Synchronisation Funktion Zeigt die aktuelle Systemzeit des TO-PASS VPN Router an, im Format: Jahr Monat Tag, Stunden : Minuten Zeigt an, ob eine NTP-Synchronisation erfolgt. Weißer Haken auf grünem Punkt: NTP-Synchronisation aktiviert. Weißes Kreuz auf rotem Punkt: NTP-Synchronisation nicht aktiviert

47 WAGO-TO-PASS 761 Parametrieren 47 Tabelle 16: Status Schaltfläche Verbindung Verbunden seit Verwendeter APN Externer Hostname DynDNS Zugewiesene IP Signal (CSQ Level) IMSI Funktion Zeigt an ob, und welche Funkverbindung besteht: EDGE-Verbindung (IP-Verbindung über EGPRS) GPRS-Vebindung (IP-Verbindung über GPRS) CSD-Verbindung (Service-Verbindung über CSD) Hinweis Verbindungsüberwahung Es kann vorkommen, dass eine EDGE- (EGPRS) oder GPRS-Verbindung und auch eine zugewiesene IP-Adresse angezeigt werden, die Verbindungsqualität aber dennoch nicht ausreicht um Daten zu übertragen. Aus diesem Grunde empfehlen wir, die aktive Verbindungsüberwachung zu nutzen (siehe Kapitel Prüfen der Verbindung ). Zeigt an, wie lange die aktuelle Verbindung zum EGPRS oder GPRS besteht. Zeigt den verwendeten APN (= Access Point Name) des EGPRS oder GPRS an. Zeigt den Hostnamen (z.b. to-pass.mydns.org) des TO-PASS VPN Router an, wenn ein DynDNS-Dienst verwendet wird. Zeigt an, ob ein DynDNS-Dienst aktiviert ist. Weißer Haken auf grünem Punkt: DynDNS-Dienst aktiviert. Weißes Kreuz auf rotem Punkt: DynDNS-Dienst nicht aktiviert Zeigt die IP-Adresse an, unter der das TO-PASS VPN Router im EGPRS oder GPRS zu erreichen ist. Diese IP- Adresse wird dem TO-PASS VPN Router vom EGPRS oder GPRS-Dienst zugewiesen. Gibt die Stärke des GSM-Signals als CSQ-Wert an. CSQ < 6: Signalstärke schlecht CSQ= : Signalstärke mittel CSQ= : Feldstärke gut CSQ > 18: Feldstärke sehr gut CSQ = 99: Keine Verbindung zum GSM-Netz Zeigt die Teilnehmerkennung an, die auf der verwendeten SIM-Karte gespeichert ist. Anhand der IMSI (= International Mobile Subscriber Identity) erkennt der GSM-Netzbetreiber die Berechtigungen und vereinbarten Dienste der SIM-Karte.

48 48 Parametrieren WAGO-TO-PASS 761 Tabelle 16: Status Schaltfläche Gesendete Bytes / Empfangene Bytes Gesendete Bytes / Empfangene Bytes seit Inbetriebnahme Remote HTTPS Remote SSH CSD Einwahl Anzahl aktivierter Firewall Regeln Aktuelle Systemversion Funktion Zeigt die Anzahl der Bytes an, die während der bestehenden Verbindung zum GPRS gesendet bzw. empfangen worden sind. Die Zähler werden bei Aufbau einer neuen Verbindung zurückgesetzt. Information Datenvolumen Diese Zahlen dienen nur als Anhaltspunkt für das Datenvolumen und können von der Abrechnung des GSM- Netzbetreibers deutlich abweichen. Zeigt die Anzahl der Bytes an, die seit dem letzten Laden der Werkseinstellung über GPRS gesendet bzw. empfangen worden sind. Die Zähler werden bei Laden der Werkseinstellung zurückgesetzt. Zeigt an, ob Zugriffe auf die Web-Oberfläche des TO-PASS VPN Router aus der Ferne über EGPRS oder GPRS erlaubt sind. Weißer Haken auf grünem Punkt: Der Zugriff ist erlaubt. Weißes Kreuz auf rotem Punkt: Der Zugriff ist nicht erlaubt. Zeigt an, ob Zugriffe auf die SSH-Konsole des TO-PASS VPN Router aus der Ferne über EGPRS oder GPRS erlaubt sind. Weißer Haken auf grünem Punkt: Der Zugriff ist erlaubt. Weißes Kreuz auf rotem Punkt: Der Zugriff ist nicht erlaubt. Zeigt an, ob CSD-Serviceanrufe aus der Ferne erlaubt sind. Weißer Haken auf grünem Punkt: CSD-Serviceanrufe sind möglich. Weißes Kreuz auf rotem Punkt: CSD-Serviceanrufe sind nicht möglich. Zeigt an wie viele Firewall-Regeln aktiviert sind. Zeigt die Versionsnummer der Software des TO-PASS VPN Router an.

49 WAGO-TO-PASS 761 Parametrieren Logbuch Drücken Sie in der Navigationsleiste System > Logbuch. Abbildung 24: System-Logbuch Im Logbuch werden wichtige Ereignisse im Betriebsablauf des TO-PASS VPN Router abgespeichert: Neustart Änderungen der Konfiguration Verbindungsaufbau Verbindungsunterbrechungen Signalstärke u.v.m. Das Logbuch wird bei Erreichen einer Dateigröße von 1 MByte, spätestens aber nach 24 Stunden im Logbuch Archiv des TO-PASS VPN Router gespeichert. Tabelle 17: Logbuch Schaltfläche Aktuelles Logbuch herunterladen Logbuch Archiv Funktion Drücken Sie die Schaltfläche [Download], wenn Sie das aktuelle Logbuch auf den Admin-PC laden möchten. Sie können das Verzeichnis auswählen, in dem die Datei dort gespeichert wird und die Datei dort betrachten. Drücken Sie die Schaltfläche [Download], wenn Sie archivierte Logbuch-Dateien auf den Admin-PC laden möchten. Sie können das Verzeichnis auswählen, in dem die Dateien dort gespeichert werden und die Dateien dort betrachten.

50 50 Parametrieren WAGO-TO-PASS 761 Beispiel: Abbildung 25: System-Logbuch Beispiel Tabelle 18: Logbuch Spalte Erklärung A Zeitstempel B WAGO-Produktnummer C Signalqualität (CSQ-Wert) D GSM Einbuchstatus STAT = --- = Funktion noch nicht gestartet STAT = 1 = Im Heimatnetz eingebucht STAT = 2 = Nicht eingebucht; Netzsuche STAT = 3 = Einbuchen abgelehnt STAT = 5 = Eingebucht in Fremdnetz (Roaming) E Angabe der Identifikation des Netzbetreibers mit dem 3-stelligen Ländercode (MCC) und dem 2-3-stelligen Netzbetreibercode (MNC). Beispiel: (262 = Ländercode / 01 = Netzbetreibercode) F Kodierter Betriebsstatus (für Kundendienst) G Kategorie des Logbuch-Meldung (für Kundendienst) H Interne Quelle des Logbuch-Meldung (für Kundendienst) I Interne Meldungsnummer (für Kundendienst) J Logbuch-Meldung im Klartext K Zusatzinfomationen zur Klartextmeldung, wie zum Beispiel: L - Cell-ID (Identifikationsnummer der aktiven GSM-Zelle) M - Softwareversion N - TXS, RXS (Übertragene IP-Pakete der aktuellen Verbindung) O P - TX, RX (Übertragene IP-Pakete seit letztem Werksneustart)

51 WAGO-TO-PASS 761 Parametrieren Netzwerk Intern Grundeinstellungen Lokale IPs Drücken Sie in der Navigationsleiste Netzwerk Intern > Grundeinstellungen > Lokale IPs. Abbildung 26: Netzwerk Intern-Lokale IPs An dieser Stelle werden die IP-Adressen und die Netzmasken eingestellt unter der der TO-PASS VPN Router von lokalen Applikationen erreichbar ist. Werksseitig hat der TO-PASS VPN Router folgende Einstellungen: IP Netzmaske Diese werksseitig eingestellte IP-Adressen und Netzmaske kann frei verändert werden, sollten jedoch den geltenden Empfehlungen (RFC 1918) folgen.

52 24V 24V 0V S Q C V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b 52 Parametrieren WAGO-TO-PASS 761 Lokale Applikationen Lokale Applikationen Lokale Applikationen TO-PASS VPN SERVICE (USB) Lokale IP und Netzmaske Admin-PC Abbildung 27: Netzwerk Intern-Lokale IPs Sie können weitere Adressen festlegen, unter denen der TO-PASS VPN Router von lokalen Applikationen erreicht werden kann. Dies ist dann hilfreich, wenn z.b. das lokale Netz in Subnetze unterteilt wird. Dann können mehrere lokale Applikationen aus verschiedenen Subnetzen den TO-PASS VPN Router unter unterschiedlichen Adressen erreichen. Tabelle 19: Lokale Ips Schaltfläche Neu Löschen Funktion Fügt weitere IP-Adressen und Netzmasken hinzu, die Sie wiederum ändern können. Drücken Sie die Schaltfläche [Neu], wenn Sie weitere IP- Adressen und Netzmasken hinzufügen möchten, die Sie wiederum ändern können. Entfernt die jeweilige IP-Adresse und Netzmaske. Der erste Eintrag kann nicht gelöscht werden. Drücken Sie die Schaltfläche [Löschen], wenn Sie die jeweilige IP-Adresse und Netzmaske löschen möchten.

53 24V 24V 0V S Q C V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b WAGO-TO-PASS 761 Parametrieren DHCP Drücken Sie in der Navigationsleiste Netzwerk Intern > Grundeinstellungen > DHCP. Abbildung 28: Netzwerk Intern DHCP Der TO-PASS VPN Router beinhaltet einen DHCP Server (DHCP = Dynamic Host Configuration Protokoll). Ist der DHCP Server eingeschaltet, weist er den Applikationen, die an der lokalen Schnittstelle des TO-PASS VPN Router angeschlossen sind, automatisch die IP-Adressen, Netzmasken, das Gateway und den DNS-Server zu. Dazu muss bei den lokalen Applikationen das automatische Beziehen der IP-Adresse und der Konfigurationsparameter per DHCP aktiviert sein. Lokale Applikationen Lokale Applikationen Lokale Applikationen TO-PASS VPN SERVICE (USB) IP-Adressen und weiteres PC mit Web-Browser Abbildung 29: Netzwerk Intern-DHCP

54 54 Parametrieren WAGO-TO-PASS 761 Tabelle 20: DHCP Schaltfläche Funktion DHCP Server starten Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Der DHCP Server des TO-PASS VPN Router wird eingeschaltet. Nein Der DHCP Server des TO-PASS VPN Router wird ausgeschaltet. Lokale Netzmaske Tragen Sie hier die lokale Netzmaske ein, die den lokalen Applikationen zugewiesen werden soll. Default Gateway Tragen Sie hier das Default Gateway ein, das den lokalen Applikationen zugewiesen werden soll. DNS Server Tragen Sie hier den DNS Server ein, der den lokalen Applikationen zugewiesen werden soll. Dynamischen IP- Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] Adresspool aktivieren umgeschaltet werden. Ja Die IP-Adressen, die der DHCP Server des TO-PASS VPN Router vergibt, werden aus einem dynamischen Adresspool entnommen. Nein Sie müssen die IP-Adressen unter Statische Zuordnungen den MAC-Adressen der lokalen Applikationen zuordnen. DHCP Bereichsanfang Gibt die erste Adresse des dynamischen Adresspools an. DHCP Bereichsende Gibt die letzte Adresse des dynamischen Adresspools an. Statische Zuordnung Bei Statischer Zuordnung der IP-Adressen, können Sie den MAC-Adressen lokaler Applikationen korrespondierende IP-Adressen festlegen. Fordert eine lokale Applikation per DHCP die Zuweisung einer IP-Adresse, übermittelt die Applikation bei der DHCP-Anfrage seine MAC-Adresse. Ist dieser MAC-Adresse eine IP-Adresse statisch zugeordnet, weist der TO-PASS VPN Router der Applikation die korrespondierende IP-Adresse zu. MAC-Adresse des Clients Applikation IP-Adresse des Clients -MAC-Adresse der anfragenden lokalen -zugeordnete IP-Adresse

55 WAGO-TO-PASS 761 Parametrieren 55 Tabelle 21: DHCP-Werkseinstellung Werkseinstellung DHCP Server starten Nein Lokale Netzwerkmaske Default Gateway DNS Server Dynamischen IP- Nein Adresspool aktivieren DHCP Bereichsanfang DHCP Bereichsende Domain Name Server DNS Drücken Sie in der Navigationsleiste Netzwerk Intern > Grundeinstellungen > DNS. Abbildung 30: Netzwerk Intern DNS Der TO-PASS VPN Router stellt dem lokalen Netz einen Domain Name Server (DNS) bereit. Tragen Sie in Ihrer lokalen Applikation die IP-Adresse des TO-PASS VPN Router als Domain Name Server (DNS) ein, dann beantwortet der TO-PASS VPN Router die DNS-Abfragen aus seinem Cache. Kennt es zu einer Domain-Adresse nicht die dazugehörige IP-Adresse, leitet der TO-PASS VPN Router die Abfrage weiter an einen externen Domain Name Server (DNS). Die Zeitspanne, in der der TO-PASS VPN Router eine Domain-Adresse im Cache behält, ist abhängig vom adressierten Host. Die DNS-Abfrage an einen externen Domain Name Server, liefert außer der IP-Adresse auch die Lebensdauer dieser Information zurück.

56 24V 24V 0V S Q C V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b 56 Parametrieren WAGO-TO-PASS 761 Entferntes Netz DNS des Netzbetreiber DNS im Internet Privater DNS Lokale Applikationen TO-PASS VPN SERVICE (USB) (E)GPRS APN INTERNET Router/ Firewall DNS-Abfrage an TO-PASS VPN DNS-Abfrage durch TO-PASS VPN Abbildung 31: Netzwerk Intern-DNS Als externe Domain Name Server (DNS) können Server des Netzbetreibers, Server im Internet oder Server im privaten externen Netz verwendet werden. Das TO-PASS VPN Router kann aus dem lokalen Netz auch über einen Hostnamen adressiert werden. Hinweis Sicherheitskonzept Das Sicherheitskonzept des TO-PASS VPN Router macht es erforderlich, dass für jede lokale Applikation, die eine Hostname-Funktion nutzen soll, eine ausgehende Firewall-Regel erstellt wird (siehe Kapitel Paketfilter ). Wenn Sie kein DHCP verwenden (siehe Kapitel DHCP ), müssen im TO-PASS VPN Router und in den lokalen Applikationen manuell identische Suchpfade eingetragen werden. Wenn Sie DHCP verwenden, erhalten die lokalen Applikationen den im TO-PASS VPN Router eingetragenen Suchpfad per DHCP. Tabelle 22: DNS Schaltfläche Hostname Suchpfad Funktion Legen Sie hier einen Hostnamen fest, z.b. TO-PASS. Der TO-PASS VPN Router kann dann z.b. von einem Web-Browser als TO-PASS aufgerufen werden. Hier können Sie den Namen der lokalen Rechner Domain eintragen. Sie können dann auf die lokale Schnittstelle nicht nur über sondern auch über zugreifen.

57 WAGO-TO-PASS 761 Parametrieren 57 Tabelle 22: DNS Schaltfläche Benutzter Nameserver Nutzer definierte Nameserver Funktion Hier können Sie wählen, bei welchen Domain Name Server (DNS) der TO-PASS VPN Router nachfragen soll: Mit den Auswahlfeldern kann zwischen [Provider definiert] und [Benutzer definiert] umgeschaltet werden. Provider definiert: Beim Verbindungsaufbau zum EGPRS oder GPRS übermittelt der Netzbetreiber automatisch eine oder mehrere DNS-Adressen. Diese werden dann verwendet. Benutzer definiert: Sie wählen als Anwender Ihre(n) bevorzugten DNS aus. Die DNS können mit dem Internet verbunden sein oder es kann ein privater DNS in Ihrem Netz sein. Wenn Sie im Auswahlfeld [Benutzer definiert] gewählt haben, geben Sie die IP-Adresse des ausgewählten DNS als Server IP-Adresse. Drücken Sie die Schaltfläche [Neu], um weitere DNS hinzuzufügen. Tabelle 23: DNS-Werkseinstellung Werkseinstellung Benutzter Nameserver Provider definiert Nutzer definierte - Nameserver - bei neuem Eintrag

58 58 Parametrieren WAGO-TO-PASS Erweiterte Einstellungen Zusätzliche interne Routen Drücken Sie in der Navigationsleiste Netzwerk Intern > Erweiterte Einstellungen > Zusätzliche interne Routen. Abbildung 32: Netzwerk Intern-Zusätzliche interne Routen Teilt sich das lokale Netz in Subnetze auf, können Sie zusätzliche Routen definieren. Siehe auch Kapitel Glossar. Tabelle 24: Zusätzliche interne Routen Schaltfläche Funktion Neu Fügt weitere Routen zu einem Netzwerk zu. Drücken Sie die Schaltfläche [Neu], wenn Sie weitere IP-Adressen des Subnetzes (Netzwerkes) und IP-Adressen des Gateways, über das das Subnetz angeschlossen ist, hinzufügen möchten. Sie können beliebig viele interne Routen festlegen. Löschen Entfernt weitere Routen des Netzwerkes. Drücken Sie die Schaltfläche [Löschen], wenn Sie weitere Adressen des Subnetzes (Netzwerkes) und IP-Adressen des Gateways, über das das Subnetz angeschlossen ist, löschen möchten. Tabelle 25: Zusätzliche interne Routen-Werkseinstellung Werkseinstellung Netzwerk /24 Gateway

59 24V 24V 0V S Q C V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b WAGO-TO-PASS 761 Parametrieren Netzwerk Extern EDGE/GPRS Drücken Sie in der Navigationsleiste Netzwerk Extern > EDGE/GRPS. Abbildung 33: Netzwerk Extern EDGE/GPRS Der TO-PASS VPN Router verwendet EGPRS oder GPRS zur Kommunikation mit dem externen Netz. Für den Zugang zu den Diensten EGPRS und GPRS und zum grundlegenden GSM-Funknetz sind Zugangsparameter erforderlich, die Sie von Ihrem GSM-Netzbetreiber erhalten. Die PIN schützt die SIM-Karte vor unbefugter Benutzung. Benutzername und Passwort schützen den Zugang zum EGPRS und GPRS und der APN (Access Point Name) definiert den Übergang vom EGPRS oder GPRS zu weiteren verbundenen IP-Netzen, z.b. einen öffentlichen APN zum Internet oder einen privaten APN zu einem Virtual Private Network (VPN). PIN Benutzername und Passwort APN (öffentlich) Lokale Applikationen SIM TO-PASS VPN SERVICE (USB) (E)GPRS INTERNET VPN APN (privat) Abbildung 34: Netzwerk Extern-EDGE/GRPS

60 60 Parametrieren WAGO-TO-PASS 761 Tabelle 26: EDGE/GRPS Schaltfläche Benutzername Passwort PIN APN Funktion Hier können Sie den Benutzernamen für EGPRS und GPRS eingeben. Einige GSM/GPRS-Netzbetreiber verzichten auf die Zugangskontrolle durch Benutzername und/oder Passwort. In diesem Fall tragen Sie in das jeweilige Feld guest ein. Geben Sie hier das Passwort für EGPRS und GPRS ein. Einige GSM/GPRS-Netzbetreiber verzichten auf die Zugangskontrolle durch Benutzername und/oder Passwort. In diesem Fall tragen Sie in das jeweilige Feld guest ein. Hier können Sie die PIN zu Ihrer SIM-Karte eingeben. Sie erhalten die PIN von Ihrem Netzbetreiber. Der TO-PASS VPN Router arbeitet auch mit PIN-losen SIM-Karten. In diesem Fall geben Sie NONE ein. Das Eingabefeld bleibt in diesem Fall leer. Hinweis PIN Das Eingabefeld der PIN wird nach dem Speichern rot umrandet, wenn keine Eingabe erfolgt. Geben Sie hier den Namen des Übergangs von EGPRS und GPRS zu weiteren Netzen ein. Sie finden den APN in den Unterlagen Ihres GSM/GPRS-Netzbetreibers, auf seiner Internetseite oder erfragen ihn bei dessen Hotline. Tabelle 27: EDGE/GRPS-Werkseinstellung Werkseinstellung Benutzername guest Passwort Passwort PIN NONE APN NONE

61 WAGO-TO-PASS 761 Parametrieren Erweiterte Einstellungen Prüfen der Verbindung Drücken Sie in der Navigationsleiste Netzwerk Extern > Erweiterte Einstellungen > Prüfen der Verbindung. Abbildung 35: Netzwerk Extern Prüfen der Verbindung Mit der Funktion Prüfen der Verbindung überprüft der TO-PASS VPN Router seine Verbindung zum EGPRS oder GPRS und zu den angeschlossenen externen Netzen, wie z.b. dem Internet oder einem Intranet. Dazu sendet der TO-PASS VPN Router in regelmäßigen Zeitabständen, Ping-Pakete (ICMP) an bis zu vier Gegenstellen (Ziel Hosts). Dies geschieht unabhängig von den Nutzdaten- Verbindungen. Erhält der TO-PASS VPN Router auf einen solchen Ping mindestens von einem der adressierten Gegenstellen eine Antwort, ist der TO-PASS VPN Router noch mit dem EGPRS oder GPRS verbunden und betriebsbereit. Einige Netzbetreiber unterbrechen Verbindungen bei Inaktivität. Dem wird durch die Funktion Prüfen der Verbindung ebenfalls vorgebeugt.

62 24V 24V 0V S Q C V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b 62 Parametrieren WAGO-TO-PASS 761 Ziel-Host im Internet Entferntes Netz Ping zur Verbindungsüberwachung Ziel-Host im Intranet Lokale Applikationen TO-PASS VPN SERVICE (USB) (E)GPRS APN INTERNET Router/ Firewall Nutzdaten-Verbindung Abbildung 36: Netzwerk Extern-Prüfen der Verbindung Hinweis Versenden der Ping-Pakete Durch das Versenden der Ping-Pakete (ICMP) steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Tabelle 28: Prüfen der Verbindung Schaltfläche Funktion Prüfen der Verbindung Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Die Funktion Prüfen der Verbindung ist eingeschaltet. Nein Die Funktion Prüfen der Verbindung ist ausgeschaltet. Ziel Hosts Hostname Hier können Sie bis zu vier Gegenstellen auswählen, die Ping-Pakete vom TO-PASS VPN Router erhalten können. Die Gegenstellen müssen ständig erreichbar sein und Ping beantworten. Hinweis Gegenstellen Vergewissern Sie sich, dass sich die ausgewählten Gegenstellen nicht belästigt fühlen.

63 WAGO-TO-PASS 761 Parametrieren 63 Tabelle 28: Prüfen der Verbindung Schaltfläche Funktion Intervall für Hier können Sie das Intervall festlegen mit dem die Ping- Verbindungsprüfung Pakete der Verbindungsüberwachung vom TO-PASS (Minuten) VPN Router versendet werden. Die Angabe erfolgt in Minuten. Anzahl der erlaubten Fehlversuche Aktion bei fehlerhafter Verbindung Tabelle 29: Prüfen der Verbindung-Werkseinstellung Werkseinstellung Prüfen der Verbindung Nein Hostname - Intervall für 5 Verbindungsprüfung (Minuten) Anzahl der erlaubten 3 Fehlversuche Aktion bei fehlerhafter Verbindung erneuern Verbindung Hier können Sie festlegen, wie oft es vorkommen darf, dass alle Ping-Pakete eines Intervalls nicht beantwortet werden, d.h. das bei vier Gegenstellen, die ein Ping-Paket erhalten haben, keine antwortet, bevor die festgelegte Aktion durchgeführt wird. Mit dem Auswahlfeld kann zwischen Verbindung erneuern und Neustart des WAGO TO-PASS umgeschaltet werden. Verbindung erneuern Der TO-PASS VPN Router stellt erneut die Verbindung zum EGPRS oder GPRS her, falls die gesendeten Ping-Pakete nicht beantwortet wurden. Neustart des WAGO TO-PASS Der TO-PASS VPN Router führt einen Neustart durch, falls die gesendeten Ping-Pakete nicht beantwortet wurden.

64 24V 24V 0V S Q C V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b 64 Parametrieren WAGO-TO-PASS DynDNS Drücken Sie in der Navigationsleiste Netzwerk Extern > Erweiterte Einstellungen > DynDNS. Abbildung 37: Netzwerk Extern DynDNS Dynamische Domain Name Server (DynDNS) ermöglichen es Applikationen im Internet unter einem Hostnamen (z.b. myhost.org) erreichbar zu sein, auch wenn diese Applikationen keine feste IP-Adresse haben und der Hostname nicht registriert ist. Wenn Sie den TO-PASS VPN Router bei einem DynDNS-Dienst anmelden, können Sie den TO-PASS VPN Router aus dem externen Netz auch unter einem Hostnamen erreichen, z.b. myto-pass.dyndns.org. Mehr Informationen zu DynDNS finden Sie im Kapitel Glossar. DynDNS Externes Netz INFO: IP-Adresse + Hostname Frage: IP zum Hostname Lokale Applikationen TO-PASS VPN Antwort:IP SERVICE (USB) (E)GPRS INTERNET APN Nutzdaten-Verbindung Router/ Firewall Abbildung 38: Netzwerk Extern-DynDNS

65 WAGO-TO-PASS 761 Parametrieren 65 Tabelle 30: Dyn DNS Schaltfläche Dieses Gerät an einem DynDNS Server anmelden DynDNS Benutzername DynDNS Passwort DynDNS Hostname Funktion Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Sie können einen DynDNS-Dienst verwenden. Nein Sie können keinen DynDNS-Dienst verwenden. Hier können Sie den Benutzernamen eingeben, der Sie zur Nutzung des DynDNS-Service berechtigt. Ihr DynDNS-Anbieter teilt Ihnen diese Angaben mit. Hier können Sie das Passwort eingeben, dass Sie zur Nutzung des DynDNS-Service berechtigt. Ihr DynDNS-Anbieter teilt Ihnen diese Angaben mit. Hier können Sie den Hostnamen eingeben, den Sie für den TO-PASS VPN Router mit Ihrem DynDNS- Anbieter vereinbart haben, z.b. myto-pass.dyndns.org. Tabelle 31: DynDNS-Werkseinstellung Werkseinstellung Dieses Gerät an einem Nein DynDNS Server anmelden DynDNS guest Benutzername DynDNS Passwort guest DynDNS Hostname myname.dyndns.org

66 66 Parametrieren WAGO-TO-PASS Sicherheit Paketfilter Drücken Sie in der Navigationsleiste Sicherheit > Paketfilter. Abbildung 39: Sicherheit-Paketfilter Der TO-PASS VPN Router beinhaltet eine Stateful Inspection Firewall. Stateful Inspection Firewall ist eine Methode zur Paketfilterung. Paketfilter lassen IP-Pakete nur dann passieren, wenn dies zuvor durch Firewall-Regeln definiert wurde. In der Firewall-Regel wird folgendes festgelegt: welches Protokoll (TCP, UDP, ICMP) passieren darf, die erlaubte Quelle der IP-Pakete (Von IP/Von Port) das erlaubte Ziel der IP-Pakete (Nach IP/Nach Port ) Gleichfalls wird hier festgelegt, wie mit IP-Paketen verfahren wird, die nicht passieren dürfen (verwerfen, zurückweisen). Bei einem einfachen Paketfilter müssen immer zwei Firewall-Regeln für eine Verbindung angelegt werden: 1 Eine Regel für die Anfragerichtung von der Quelle zum Ziel und 2 eine zweite Regel für die Antwortrichtung vom Ziel zur Quelle. Anders beim TO-PASS VPN Router mit Stateful Inspection Firewall. Hier wird nur für die Anfragerichtung von der Quelle zum Ziel eine Firewall- Regel angelegt. Die Firewall-Regel für die Antwortrichtung vom Ziel zur Quelle ergibt sich aus der Analyse der zuvor gesendeten Daten. Die Firewall-Regel für die Antworten wird nach Erhalt der Antworten bzw. nach Ablauf einer kurzen Zeitspanne wieder geschlossen. Antworten dürfen also nur passieren, wenn es zuvor eine Anfrage gab. So kann die Antwortregel nicht für unbefugte Zugriffe benutzt werden. Besondere Verfahren ermöglichen zudem, dass auch UDP- und

67 WAGO-TO-PASS 761 Parametrieren 67 ICMP-Daten passieren können, obwohl diese Daten zuvor nicht angefordert wurden. Firewall Regeln Eingehend Mit den Firewall-Regeln Eingehend wird festgelegt, wie mit IP-Paketen zu verfahren ist, die über EGPRS oder GPRS aus externen Netzen (z.b. Internet) empfangen werden. Quelle ist der Absender dieser IP-Pakete. Ziel sind die lokalen Applikationen am TO-PASS VPN Router. Entsprechend der Werkseinstellung ist zunächst keine eingehende Firewall-Regel gesetzt, d.h. es dürfen keine IP-Pakete passieren. Tabelle 32: Paketfilter-Firewall Regeln Eingehend Schaltfläche Funktion Neu Drücken Sie die Schaltfläche [Neu], um eine weitere Firewall-Regel hinzuzufügen, die Sie dann ausfüllen können. Protokoll Mit dem Auswahlfeld kann zwischen [Alle], [TCP], [UDP] und [ICMP] umgeschaltet werden. Hier können Sie das Protokoll auswählen, für das die Firewall-Regel gelten soll. Wenn Sie Alle wählen, gilt die Regel für alle drei Protokolle. Von IP Tragen Sie die IP-Adresse der externen Gegenstelle ein, die IP-Pakete zum lokalen Netz senden darf. Geben Sie dazu die IP-Adresse oder einen IP-Bereich der Gegenstelle an /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR- Schreibweise (siehe Kapitel Glossar ). Von Port Tragen Sie den Port ein, von dem die externe Gegenstelle IP-Pakete senden darf. (wird nur ausgewertet bei den Protokollen TCP und UDP) Nach IP Tragen Sie ein, an welche IP-Adresse im lokalen Netz IP-Pakete gesendet werden dürfen. Geben Sie dazu die IP-Adresse oder einen IP-Bereich der Applikation im lokalen Netz an /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR- Schreibweise (siehe Kapitel Glossar ). Nach Port Tragen Sie den Port ein, an den die externe Gegenstelle IP-Pakete senden darf.

68 68 Parametrieren WAGO-TO-PASS 761 Tabelle 32: Paketfilter-Firewall Regeln Eingehend Schaltfläche Funktion Aktion Mit dem Auswahlfeld kann zwischen [Erlauben], [Zurückweisen] und [Verwerfen] umgeschaltet werden. Hier können Sie auswählen, wie mit eintreffenden IP- Paketen zu verfahren ist: Erlauben Die Datenpakete dürfen passieren. Zurückweisen Die Datenpakete werden abgewiesen, der Absender erhält eine entsprechende Meldung. Verwerfen Die Datenpakete werden ohne Rückmeldung an den Absender verworfen. Log Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen Das Protokoll wird in das Firewall-Logbuch geschrieben (siehe Kapitel Firewall-Logbuch ). Firewall Regeln Ausgehend Mit den Firewall-Regeln Ausgehend wird festgelegt, wie mit IP-Paketen zu verfahren ist, die vom lokalen Netz empfangen werden. Quelle ist eine Applikation im lokalen Netz. Ziel ist eine externe Gegenstelle, z.b. im Internet oder in einem privaten Netz. Entsprechend der Werkseinstellung ist zunächst keine ausgehende Firewall-Regel gesetzt, d.h. es dürfen keine IP-Pakete passieren. Tabelle 33: Paketfilter-Firewall Regeln Ausgehend Schaltfläche Funktion Neu Drücken Sie die Schaltfläche [Neu], um eine weitere Firewall-Regel hinzuzufügen, die Sie dann ausfüllen können. Protokoll Mit dem Auswahlfeld kann zwischen [Alle], [TCP], [UDP] und [ICMP] umgeschaltet werden. Hier können Sie das Protokoll auswählen, für das die Firewall-Regel gelten soll. Wenn Sie Alle wählen, gilt die Regel für alle drei Protokolle.

69 WAGO-TO-PASS 761 Parametrieren 69 Tabelle 33: Paketfilter-Firewall Regeln Ausgehend Schaltfläche Funktion Von IP Tragen Sie die IP-Adresse der lokalen Applikation ein, die IP-Pakete zum externen Netz senden darf. Geben Sie dazu die IP-Adresse oder einen IP-Bereich der lokalen Applikation an /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR- Schreibweise (siehe Kapitel Glossar ). Von Port Tragen Sie den Port ein, von dem die lokale Applikation IP-Pakete senden darf. Geben Sie dazu die Portnummer an. (wird nur ausgewertet bei den Protokollen TCP und UDP) Nach IP Tragen Sie ein, an welche IP-Adresse im externen Netz IP-Pakete gesendet werden dürfen. Geben Sie dazu die IP-Adresse oder einen IP-Bereich der Applikation im Netz an /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR- Schreibweise (siehe Kapitel Glossar. Nach Port Tragen Sie den Port ein, an welchen Port die externe Gegenstelle IP-Pakete senden darf. Geben Sie dazu die Portnummer an. (wird nur ausgewertet bei den Protokollen TCP und UDP) Aktion Mit dem Auswahlfeld kann zwischen [Erlauben], [Zurückweisen] und [Verwerfen] umgeschaltet werden. Hier können Sie auswählen, wie mit eintreffenden IP- Paketen zu verfahren ist: Erlauben Die Datenpakete dürfen passieren. Zurückweisen Die Datenpakete werden abgewiesen, der Absender erhält eine entsprechende Meldung. Verwerfen Die Datenpakete werden ohne Rückmeldung an den Absender verworfen. Log Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen Das Protokoll wird in das Firewall-Logbuch geschrieben (siehe Kapitel Firewall-Logbuch ).

70 70 Parametrieren WAGO-TO-PASS 761 Log-Einträge für unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche protokolliert, die nicht von den festgelegten Regeln erfasst werden. Tabelle 34: Paketfilter-Werkseinstellung Werkseinstellung Firewall Regeln Eingehend Protokoll Alle Von IP /0 Von Port ANY Nach IP /0 Nach Port ANY Aktion Erlauben Log Nein (Ausgeschaltet) Log Einträge für Nein (Ausgeschaltet) unbekannte eingehende Verbindungsversuche Firewall Regeln Ausgehend Protokoll Alle Von IP /0 Von Port ANY Nach IP /0 Nach Port ANY Aktion Erlauben Log Nein (Ausgeschaltet) Log Einträge für Nein (Ausgeschaltet) unbekannte ausgehende Verbindungsversuche

71 WAGO-TO-PASS 761 Parametrieren Port Weiterleitung Drücken Sie in der Navigationsleiste Sicherheit > Port Weiterleitung. Abbildung 40: Sicherheit-Port Weiterleitung Ist eine Regel zur Port-Weiterleitung erstellt, dann werden Datenpakete, die aus dem externen Netz auf einem festgelegten IP-Port des TO-PASS VPN Router eintreffen, weitergeleitet. Die eingehenden Datenpakete werden dann weitergeleitet an eine festgelegte IP-Adresse und Port-Nummer im lokalen Netz. Die Port-Weiterleitung kann für TCP oder UDP konfiguriert werden. Bei Port-Weiterleitung geschieht Folgendes: Der Header eingehender Datenpakete aus dem externen Netz, die an die externe IP-Adresse des TO-PASS VPN Router sowie an einen bestimmten Port gerichtet sind, werden so umgeschrieben, dass sie ins interne Netz an einen bestimmten Rechner und zu einem bestimmten Port dieses Rechners weitergeleitet werden. D.h. die IP-Adresse und Port-Nummer im Header eingehender Datenpakete werden geändert. Dieses Verfahren wird auch Destination-NAT oder Port Forwarding genannt. Hinweis Datenpakete Damit ankommende Datenpakete an die festgelegte IP-Adresse im lokalen Netz weitergeleitet werden können, muss für diese IP-Adresse eine entsprechende eingehende Firewall-Regel im Paketfilter eingerichtet werden (siehe Kapitel Paketfilter.

72 72 Parametrieren WAGO-TO-PASS 761 Tabelle 35: Port Weiterleitung Schaltfläche Funktion Neu Fügt eine neue Weiterleitungs-Regel hinzu, die Sie dann ausfüllen können. Löschen Entfernt angelegte Weiterleitungs-Regeln wieder. Protokoll Mit dem Auswahlfeld kann zwischen [TCP] und [UDP] umgeschaltet werden. Hier können Sie das Protokoll auswählen, auf das sich die Regel beziehen soll. Eintreffend auf Port Geben Sie hier die Portnummer (z.b. 80) an, auf dem die Datenpakete aus dem externen Netz eintreffen, die weitergeleitet werden sollen. Weiterleiten an IP Geben Sie hier die IP-Adresse im lokalen Netz an, an den die eintreffenden Datenpakete weitergeleitet werden sollen. Weiterleiten an Port Geben Sie hier die Portnummer (z.b. 80) zur IP-Adresse im lokalen Netz an, an den die eintreffenden Datenpakete weitergeleitet werden sollen. Log Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Für jede einzelne Port-Weiterleitungs-Regel können Sie festlegen, ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen Das Protokoll wird in das Firewall-Logbuch geschrieben (siehe Kapitel Firewall-Logbuch ). Tabelle 36: Port Weiterleitung-Werkseinstellung Werkseinstellung Regeln zur Weiterleitung Protokoll TCP Eintreffend auf Port 80 Weiterleiten an IP Weiterleiten an Port 80 Log Nein (Ausgeschaltet)

73 WAGO-TO-PASS 761 Parametrieren Erweitert Drücken Sie in der Navigationsleiste Sicherheit > Erweitert. Abbildung 41: Sicherheit-Erweitert Die erweiterten Sicherheitsfunktionen dienen dazu, den TO-PASS VPN Router und die lokalen Applikationen gegen Angriffe zu schützen. Zum Schutz wird angenommen, dass nur eine bestimmte Anzahl von Verbindungen oder empfangener PING-Pakete im normalen Betrieb zulässig und erwünscht sind, und das bei einer plötzlichen Häufung ein Angriff stattfindet. Tabelle 37: Sicherheit-Erweitert Schaltfläche Funktion Maximale Zahl Hier können Sie die maximale Anzahl gleichzeitiger gleichzeitiger Verbindungen festlegen. Verbindungen Maximale Zahl neuer eingehender TCP- Verbindungen pro Sekunde Maximale Zahl neuer ausgehender TCP- Verbindungen pro Sekunde Maximale Zahl neuer eingehender Ping Pakete pro Sekunde Maximale Zahl neuer ausgehender Ping Pakete pro Sekunde Hier können Sie die maximale Anzahl neuer eingehender TCP-Verbindungen pro Sekunde festlegen. Hier können Sie die maximale Anzahl neuer ausgehender TCP-Verbindungen pro Sekunde festlegen. Hier können Sie die maximale Anzahl neuer eingehender Ping Pakete pro Sekunde festlegen. Hier können Sie die maximale Anzahl neuer ausgehender Ping Pakete pro Sekunde festlegen.

74 74 Parametrieren WAGO-TO-PASS 761 Tabelle 37: Sicherheit-Erweitert Schaltfläche Funktion ICMP von extern zum Mit dem Auswahlfeld kann zwischen [Erlauben], [Ping Gerät erlauben] und [Verwerfen] umgeschaltet werden. Mit dieser Option können Sie das Verhalten beim Empfang von ICMP-Paketen beeinflussen, die aus dem externen Netz in Richtung des TO-PASS VPN Router gesendet werden. Erlauben Alle Typen von ICMP-Pakete zum TO-PASS VPN Router werden akzeptiert. Ping Erlauben Nur Ping-Pakete (ICMP Typ 8) zum TO-PASS VPN Router werden akzeptiert. Verwerfen Alle ICMP-Pakete zum TO-PASS VPN Router werden verworfen. Die Voreinstellungen für die Eingabe der maximalen Anzahl sind so gewählt, dass sie bei normalem praktischem Einsatz nie erreicht werden. Bei Angriffen können sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zusätzlicher Schutz eingebaut ist. Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann können Sie die Werte entsprechend ändern. Tabelle 38: Erweitert-Werkseinstellung Werkseinstellung Maximale Zahl 4096 gleichzeitiger Verbindungen Maximale Zahl neuer 25 eingehender TCP- Verbindungen pro Sekunde Maximale Zahl neuer 75 ausgehender TCP- Verbindungen pro Sekunde Maximale Zahl neuer 3 eingehender Ping Pakete pro Sekunde Maximale Zahl neuer 5 ausgehender Ping Pakete pro Sekunde ICMP von extern zum Verwerfen Gerät

75 WAGO-TO-PASS 761 Parametrieren Firewall-Logbuch Drücken Sie in der Navigationsleiste Sicherheit > Firewall Logbuch. Abbildung 42: Sicherheit-Firewall Logbuch Im Firewall-Logbuch wird eingetragen, wann einzelne Firewall-Regeln angewendet wurden. Dazu muss zu den verschiedenen Firewall-Funktionen die LOG-Funktion aktiviert werden. Hinweis Neustart Das Firewall-Logbuch geht bei einem Neustart verloren.

76 24V 24V S Q C 0V V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b 76 Parametrieren WAGO-TO-PASS IPSec VPN Verbindungen Drücken Sie in der Navigationsleiste IPSec VPN > Verbindungen. Abbildung 43: IPSec VPN-Verbindungen Der TO-PASS VPN Router kann das lokale Netz über einen VPN-Tunnel mit einem befreundeten gegenüberliegenden Netz verbinden. Die IP-Datenpakete, die zwischen den beiden Netzen ausgetauscht werden, werden verschlüsselt und sind durch den VPN-Tunnel gegen unerlaubte Manipulationen geschützt. So können auch ungeschützte öffentliche Netze wie das Internet zum Transport der Daten verwendet werden, ohne die Vertraulichkeit oder Integrität der Daten zu gefährden. Lokales Netz Gegenüberliegendes Netz Admin-PC Admin-PC Lokale Applikation Lokale Applikation TO-PASS VPN SERVICE (USB) (E)GPRS APN INTERNET VPN-Gateway Externe Gegenstellen VPN-Tunnel Abbildung 44: IPSec VPN-Verbindung 1

77 WAGO-TO-PASS 761 Parametrieren 77 Damit der TO-PASS VPN Router einen VPN-Tunnel aufbauen kann, muss das gegenüberliegende Netz über ein VPN-Gateway als Gegenstation des TO-PASS VPN Router verfügen. Der TO-PASS VPN Router verwendet für den VPN-Tunnel das IPsec-Verfahren im Tunnelmodus. Dabei werden die zu übertragenden IP-Datenpakete vollkommen verschlüsselt und mit einem neuen Header versehen, bevor sie zum VPN-Gateway der Gegenstelle gesendet werden. Dort werden die empfangenen Datenpakete entschlüsselt und aus ihnen die ursprünglichen Datenpakete wiederhergestellt. Diese werden dann zum Ziel im gegenüberliegenden Netz weitergeleitet. Unterschieden werden zwei Modi der VPN-Verbindungen: 1 Im VPN Roadwarrier Modus kann der TO-PASS VPN Router VPN- Verbindungen von Gegenstellen mit unbekannter Adresse annehmen. Das können zum Beispiel Gegenstellen im mobilen Einsatz sein, die ihre IP- Adresse dynamisch beziehen. Die VPN-Verbindung muss durch die Gegenstelle aufgebaut werden. Es ist nur eine VPN-Verbindung im Roadwarrier Modus möglich. VPN-Verbindungen im Standard Modus können dazu parallel betrieben werden. 2 Im VPN Standard Modus muss die Adresse (IP-Adresse oder Hostname) des VPN-Gateways der Gegenstelle bekannt sein, damit die VPN- Verbindung aufgebaut werden kann. Die VPN-Verbindung kann wahlweise aufgebaut werden durch den TO-PASS VPN Router oder durch das VPN- Gateway der Gegenstelle. Der Aufbau der VPN-Verbindung ist in zwei Phasen aufgeteilt. Zunächst wird in der Phase 1 (ISAKMP = Internet Security Association and Key Management Protocol) die Sicherheitsbeziehung (SA = Security Association) für den Schlüsselaustausch zwischen dem TO-PASS VPN Router und dem VPN- Gateway der Gegenstelle aufgebaut. Danach wird dann in der Phase 2 (IPsec = Internet Protocol Security) die Sicherheitsbeziehung (SA = Security Association) für die eigentlichen IPsec- Verbindung zwischen dem TO-PASS VPN Router und dem VPN-Gateway der Gegenstelle aufgebaut. Anforderungen an das VPN-Gateway des gegenüberliegenden Netzes Damit eine IPsec-Verbindung erfolgreich aufgebaut werden kann, muss die VPN- Gegenstelle IPsec mit folgender Konfiguration unterstützen: Authentifizierung über X.509 Zertifikate, CA Zertifikate oder Pre-Shared Key (PSK) ESP Diffie-Hellman Gruppe 1, 2 oder 5 3DES oder AES encryption MD5 oder SHA-1 Hash Algorithmen Tunnel Mode

78 78 Parametrieren WAGO-TO-PASS 761 Quick Mode Main Mode SA Lifetime (1 Sekunde bis 24 Stunden) Ist die Gegenstelle ein Rechner unter Windows 2000, muss dazu das Microsoft Windows 2000 High Encryption Pack oder mindestens das Service Pack 2 installiert sein. Befindet sich die Gegenstelle hinter einem NAT-Router, so muss die Gegenstelle NAT-T unterstützen. Oder aber der NAT-Router muss das IPsec- Protokoll kennen (IPsec/VPN Passthrough) VPN Roadwarrier Modus - Einstellungen bearbeiten Drücken Sie in der Navigationsleiste IPSec VPN > Verbindungen. Abbildung 45: IPSec VPN-Verbindungen Detail 1 Der VPN Roadwarrier Modus ermöglicht dem TO-PASS VPN Router die Annahme einer VPN-Verbindung, die von einer Gegenstelle mit unbekannter IP- Adresse eingeleitet wird. Die Gegenstelle muss sich korrekt authentifizieren; auf die Identifikation der Gegenstelle anhand der IP-Adresse oder des Hostnamens der Gegenstelle wird bei dieser VPN-Verbindung aber verzichtet. Drücken Sie in der Navigationsleiste IPSec VPN > Verbindungen. Drücken Sie dann im VPN Roadwarrier Modus unter Einstellungen die Schaltfläche [Bearbeiten]. Abbildung 46: IPSec VPN-Verbindungen Detail 2

79 WAGO-TO-PASS 761 Parametrieren 79 Es erscheint folgendes Fenster. Abbildung 47: IPSec VPN-Verbindung bearbeiten 1 Richten Sie den TO-PASS VPN Router entsprechend den Absprachen mit dem Systemadministrator der Gegenstelle ein. Tabelle 39: IPSec VPN-Verbindungen_VPN Roadwarrior Modus-Einstellungen bearbeiten Schaltfläche Funktion Authentifizierungsverfahren [X.509 Gegenstellenzertifikat] und [Pre Shared Key] Mit den Auswahlfeld kann zwischen [CA Zertifikat], umgeschaltet werden. Hier können Sie das Authentifizierungsverfahren entsprechend Ihren Vereinbarungen mit dem Administrator der Gegenstelle auswählen. X.509 Gegenstellenzertifikat, CA Zertifikat Bei den Authentifizierungsverfahren X.509 Gegenstellenzertifikat und CA Zertifikat werden zur Authentifikation Schlüssel verwendet, die zuvor durch eine zertifizierende Stelle (CA = Certification Authority) signiert wurden. Diese Verfahren gelten als besonders sicher. Eine CA kann ein Dienstleister sein, aber z.b. auch der System- Administrator Ihres Projektes, sofern dieser über die notwendigen Software-Werkzeuge verfügt. Die CA erstellt für beide Gegenstellen einer VPN-Verbindung je eine Zertifikatsdatei (PKCS12) mit der Dateiendung *p12. Diese Zertifikatsdatei enthält den öffentlichen und privaten Schlüssel der eigenen Station, das signierte Zertifikat der CA und den öffentlichen Schlüssel der CA. Für das Authentifizierungsverfahren X.509 gibt es zusätzlich für jede der beiden Gegenstellen noch eine Schlüsseldatei (*.pem oder *.crt) mit dem öffentlichen Schlüssel der eigenen Station.

80 80 Parametrieren WAGO-TO-PASS 761 Tabelle 39: IPSec VPN-Verbindungen_VPN Roadwarrior Modus-Einstellungen bearbeiten Schaltfläche Funktion CA Zertifikat Der Austausch der öffentlichen Schlüssel zwischen dem TO-PASS VPN Router und dem VPN- Gateway der Gegenstelle erfolgt über die Datenverbindung beim Aufbau der VPN-Verbindung. Ein manueller Austausch von Schlüsseldateien entfällt. X.509 Gegenstellenzertifikat Pre Shared Key (PSK) Der Austausch der öffentlichen Schlüssel (Datei mit Endung *.pem oder *.crt) zwischen dem TO-PASS VPN Router und dem VPN- Gateway der Gegenstelle erfolgt manuell, zum Beispiel per CD-ROM oder per . Zum Laden des Zertifikates gehen Sie vor, wie im Kapitel Zertifikate beschrieben. Dieses Verfahren wird vor allem durch ältere IPsec Implementierungen unterstützt. Dabei erfolgt die Authentifikation mit einer zuvor verabredeten Zeichenfolge. Um eine hohe Sicherheit zu erzielen, sollte die Zeichenfolge aus ca. 30 nach dem Zufallsprinzip ausgewählten Klein- und Großbuchstaben sowie Ziffern bestehen. Gegenstellen Zertifikat Haben Sie als Authentifizierungsverfahren X.509 Gegenstellenzertifikat gewählt, wird hier die Liste der Zertifikate der Gegenstellen angezeigt, die Sie bereits in den TO-PASS VPN Router geladen haben. Remote ID Lokale ID Wählen Sie das Zertifikat für die VPN-Verbindung aus. Die Lokale ID und die Remote ID werden vom IPsec genutzt, um beim Aufbau der VPN-Verbindung die Gegenstellen eindeutig zu identifizieren. Die eigene Lokale ID bildet die Remote ID der Gegenstelle und umgekehrt. Bei Authentifizierung mit X.509 Gegenstellenzertifikat oder CA Zertifikat: Belässt man die Werkseinstellung NONE, so werden als Lokale ID und Remote ID automatisch die Distinguished Names aus dem eigenen Zertifikat und aus dem von der Gegenstelle übermittelten Zertifikat übernommen.

81 WAGO-TO-PASS 761 Parametrieren 81 Tabelle 39: IPSec VPN-Verbindungen_VPN Roadwarrior Modus-Einstellungen bearbeiten Schaltfläche Funktion Ändert man manuell den Eintrag für die Lokale ID oder die Remote ID, so müssen die korrespondierenden Einträge der Gegenstelle angepasst werden. Der manuelle Eintrag für Lokale oder Remote ID muss im ASN.1-Format erfolgen, z.b. "C=XY/O=XY Org/CN=xy.org.org" Bei Authentifizierung mit Pre die Remote ID eingetragen werden. Im Road Warrier Modus, muss manuell Shared Key Die Remote ID muss das Format eines (PSK): Hostnames (z.b. RemoteStation.de) oder das Format einer -adresse haben und mit der Lokalen ID der Gegenstelle übereinstimmen. Die Lokale ID kann auf NONE belassen werden. In diesem Fall wird die IP-Adresse als lokale IP- Adresse verwendet. Trägt man eine Lokale ID ein, muss diese das Format eines Hostnames (z.b. RemoteStation.de) oder das Format einer -adresse haben und mit der Remote ID der Gegenstelle übereinstimmen. Tabelle 40: IPSec VPN-Verbindungen_VPN Roadwarrior Modus-Einstellungen bearbeiten- Werkseinstellung Werkseinstellung Aktiviert Nein (Ausgeschaltet) Authentifizierungsverfahren CA Zertifikat Gegenstellen Zertifikat - Remote ID NONE Lokale ID NONE

82 82 Parametrieren WAGO-TO-PASS VPN Roadwarrier Modus - IKE bearbeiten Drücken Sie in der Navigationsleiste IPSec VPN > Verbindungen. Drücken Sie dann im VPN Roadwarrier Modus unter IKE die Schaltfläche [Bearbeiten]. Abbildung 48: IPSec VPN-Verbindungen Detail 3 Es erscheint folgendes Fenster. Abbildung 49: IPSec VPN-IKE Einstellungen 1 Definieren Sie hier die Eigenschaften der VPN-Verbindung entsprechend Ihren Anforderungen und den Absprachen mit dem Administrator der Gegenstelle.

83 WAGO-TO-PASS 761 Parametrieren 83 Tabelle 41: IPSec VPN-Verbindungen_VPN Roadwarrior Modus-IKE bearbeiten Schaltfläche Funktion Phase 1 ISAKMP SA ISAKMP-SA Mit den Auswahlfeld kann zwischen [3DES-168], [AES- Verschlüsselung 128], [AES-192] und [AES-256] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verschlüsselungsverfahren für die ISAKMP-SA verwendet werden soll. AES-128 ist das am häufigsten benutzte Verfahren und ist deshalb als Standard voreingestellt. Das Verfahren kann für ISAKMP-SA unterschiedlich festgelegt werden. Hinweis Verschlüsselungsalgorithmus Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl -, desto sicherer ist er. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. ISAKMP-SA Hash ISAKMP-SA Modus ISAKMP-SA Lebensdauer (Sekunden) Mit den Auswahlfeld kann zwischen [MD5 oder SHA-1], [MD5] und [SHA-1] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verfahren zur Berechnung von Prüfsummen/Hash während der ISAKMP-Phase verwendet werden soll. MD5 oder SHA-1 ist die automatische Erkennung. Das Verfahren kann für ISAKMP-SA unterschiedlich festgelegt werden. Mit den Auswahlfeld kann zwischen [Main Mode] und [Agressive Mode] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verfahren zur Aushandlung der ISAKMP-SA verwendet werden soll. Hinweis Authentifizierungsverfahren Bei Verwendung des Authentifizierungsverfahren Pre-Shared Key muss im Road Warrier Modus der Agressive mode eingestellt werden. Legen Sie die Lebensdauer der für die ISAKMP-SA vereinbarten Schlüssel fest (in Sekunden). Die Lebensdauer kann für ISAKMP-SA unterschiedlich festgelegt werden.

84 84 Parametrieren WAGO-TO-PASS 761 Tabelle 41: IPSec VPN-Verbindungen_VPN Roadwarrior Modus-IKE bearbeiten Schaltfläche Funktion Phase 2 IPSec SA IPSec-SA Mit den Auswahlfeld kann zwischen [3DES-168], [AES- Verschlüsselung 128], [AES-192] und [AES-256] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verschlüsselungsverfahren für die IPSec-SA verwendet werden soll. AES-128 ist das am häufigsten benutzte Verfahren und ist deshalb als Standard voreingestellt. Das Verfahren kann für IPSec-SA unterschiedlich festgelegt werden. Hinweis Verschlüsselungsalgorithmus Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl -, desto sicherer ist er. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. IPSec-SA Hash IPSec-SA Lebensdauer (Sekunden) Mit den Auswahlfeld kann zwischen [MD5] oder SHA-1], [MD5] und [SHA-1] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verfahren zur Berechnung von Prüfsummen/Hash während der IPSec-Phase verwendet werden soll. MD5 oder SHA-1 ist die automatische Erkennung. Das Verfahren kann für IPSec-SA unterschiedlich festgelegt werden. Die Schlüssel einer IPsec Verbindung werden in bestimmten Abständen erneuert, um den Aufwand eines Angriffs auf eine IPsec Verbindung zu erhöhen. Legen Sie die Lebensdauer der für die IPSec-SA vereinbarten Schlüssel fest (in Sekunden). Die Lebensdauer kann für IPSec-SA unterschiedlich festgelegt werden.

85 WAGO-TO-PASS 761 Parametrieren 85 Tabelle 41: IPSec VPN-Verbindungen_VPN Roadwarrior Modus-IKE bearbeiten Schaltfläche Funktion NAT-T Aktiviere Dead Peer Detection Eventuell befindet sich zwischen dem TO-PASS VPN Router und den VPN-Gateway des gegenüberliegenden Netzes ein NAT-Router. Nicht alle NAT-Router lassen IPsec Datenpakete passieren. Daher ist es eventuell erforderlich die IPsec Datenpakete in UPD Pakete einzukapseln, um den NAT-Router passieren zu können. Mit dem Auswahlfeld kann zwischen [An], [Aus] und [Erzwingen] umgeschaltet werden. An Wird vom TO-PASS VPN Router ein NAT-Router erkannt, der die IPsec Datenpakete nicht passieren lässt, startet automatisch die UDP-Kapselung. Aus Die NAT-T-Funktion ist ausgeschaltet. Erzwingen Bei Aushandlung der Verbindungsparameter der VPN-Verbindung wird darauf bestanden, dass während der Verbindung die Datenpakete gekapselt übertragen werden. Wenn die Gegenstelle das Dead Peer Detection (DPD) Protokoll unterstützt, können die jeweiligen Partner erkennen, ob die IPsec Verbindung noch gültig ist oder nicht und evtl. neu aufgebaut werden muss. Ohne DPD muss je nach Konfiguration bis zum Ablauf der SA Lebensdauer gewartet oder die Verbindung manuell neu initiiert werden. Um zu prüfen, ob die IPsec Verbindung noch gültig ist sendet die Dead Peer Detection selber DPD-Anfragen zur Gegenstelle. Gibt es keine Antwort, wird die IPsec Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen. Hinweis Kosten Durch das Versenden der DPD- Anfragen steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Die Dead Peer Detection ist eingeschaltet. Der TO-PASS VPN Router erkennt unabhängig von der Übertragung von Nutzdaten einen Verlust der Verbindung und wartet in diesem Fall auf den Neuaufbau der Verbindung durch die Gegenstellen. Nein Die Dead Peer Detection ist ausgeschaltet.

86 86 Parametrieren WAGO-TO-PASS 761 Tabelle 41: IPSec VPN-Verbindungen_VPN Roadwarrior Modus-IKE bearbeiten Schaltfläche Funktion DPD Verzögerung Zeitspanne in Sekunden, nach welcher DPD-Anfragen (Sekunden) gesendet werden sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist. DPD Timeout (Sekunden) DPD Maximale Fehlversuche Zeitspanne in Sekunden, nach der die Verbindung zur Gegenstelle für tot erklärt werden soll, wenn auf die DPD-Anfragen keine Antwort erfolgte. Anzahl der zulässigen Fehlversuche bevor die IPsec Verbindung als unterbrochen angesehen wird. Tabelle 42: IPSec VPN-Verbindungen_VPN Roadwarrior Modus-IKE bearbeiten-werkseinstellung Werkseinstellung Phase 1 ISAKMP SA ISAKMP-SA AES-128 Verschlüsselung ISAKMP-SA Hash MD5 ISAKMP-SA Modus Main Mode ISAKMP-SA Lebensdauer (Sekunden) Phase 2 IPSec SA IPSec-SA AES-128 Verschlüsselung IPSec-SA Hash MD5 IPSec-SA Lebensdauer (Sekunden) NAT-T An Aktiviere Dead Peer Ja Detection DPD - Verzögerung 150 (Sekunden) DPD - Timeout 60 (Sekunden) DPD - Maximale 5 Fehlversuche

87 WAGO-TO-PASS 761 Parametrieren VPN Standard Modus Einstellungen bearbeiten Drücken Sie in der Navigationsleiste IPSec VPN > Verbindungen. Drücken Sie dann unter VPN Standard Modus die Schaltfläche [Neu]. Abbildung 50: IPSec VPN-Verbindungen Detail 4 Angezeigt werden die bereits angelegten VPN-Verbindungen. Sie können jede einzelne Verbindung aktivieren (Aktiviert = Ja) oder deaktivieren (Aktiviert = Nein). Drücken Sie die Schaltfläche [Neu], um weitere VPN-Verbindungen hinzuzufügen. Drücken Sie unter Einstellungen die Schaltfläche [Bearbeiten] oder unter IKE die Schaltfläche [Bearbeiten], um die VPN-Verbindung einzurichten Drücken Sie die Schaltfläche [Löschen], um die VPN-Verbindung zu entfernen. Drücken Sie in der Navigationsleiste IPSec VPN > Verbindungen. Drücken Sie dann im VPN Standard Modus unter Einstellungen die Schaltfläche [Bearbeiten]. Abbildung 51: IPSec VPN-Verbindung bearbeiten Detail 1

88 24V SERVICE (USB) 24V S Q C 0V V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b 88 Parametrieren WAGO-TO-PASS 761 Es erscheint folgendes Fenster. Abbildung 52: IPSec VPN-Verbindung bearbeiten 2 Tabelle 43: IPSec VPN-Verbindungen-VPN Standard Modus-Einstellungen bearbeiten Schaltfläche Funktion Verbindungsname Geben Sie der neuen Verbindung hier einen Verbindungsnamen. Remote Host Geben Sie hier die Adresse der Gegenstelle an, entweder als Hostname (z.b. myadress.com) oder als IP-Adresse. Lokales Netz Gegenüberliegendes Netz Admin-PC Adresse der Gegenstelle Admin-PC Lokale Applikation Lokale Applikation TO-PASS VPN (E)GPRS APN INTERNET VPN-Gateway Externe Gegenstellen VPN-Tunnel Abbildung 53: IPSec VPN-Verbindung 2

89 WAGO-TO-PASS 761 Parametrieren 89 Tabelle 43: IPSec VPN-Verbindungen-VPN Standard Modus-Einstellungen bearbeiten Schaltfläche Funktion Authentisierungsverfahren [X.509 Gegenstellenzertifikat] und [Pre Shared Key] Mit den Auswahlfeld kann zwischen [CA Zertifikat], umgeschaltet werden. Hier können Sie das Authentifizierungsverfahren entsprechend Ihren Vereinbarungen mit dem Administrator der Gegenstelle auswählen. X.509 Gegenstellenzertifikat, CA Zertifikat Bei den Authentifizierungsverfahren X.509 Gegenstellenzertifikat und CA Zertifikat werden zur Authentifikation Schlüssel verwendet, die zuvor durch eine zertifizierende Stelle (CA = Certification Authority) signiert wurden. Diese Verfahren gelten als besonders sicher. Eine CA kann ein Dienstleister sein, aber z.b. auch der System- Administrator Ihres Projektes, sofern dieser über die notwendigen Software-Werkzeuge verfügt. Die CA erstellt für beide Gegenstellen einer VPN-Verbindung je eine Zertifikatsdatei (PKCS12) mit der Dateiendung *p12. Diese Zertifikatsdatei enthält den öffentlichen und privaten Schlüssel der eigenen Station, das signierte Zertifikat der CA und den öffentlichen Schlüssel der CA. Für das Authentifizierungsverfahren X.509 gibt es zusätzlich für jede der beiden Gegenstellen noch eine Schlüsseldatei (*.pem oder *.crt) mit dem öffentlichen Schlüssel der eigenen Station. CA Zertifikat Der Austausch der öffentlichen Schlüssel zwischen dem TO-PASS VPN Router und dem VPN-Gateway der Gegenstelle erfolgt über die Datenverbindung beim Aufbau der VPN-Verbindung. Ein manueller Austausch von Schlüsseldateien entfällt. X.509 Gegenstellenzertifikat Der Austausch der öffentlichen Schlüssel (Datei mit Endung *.pem oder *.crt) zwischen dem TO-PASS VPN Router und dem VPN-Gateway der Gegenstelle erfolgt manuell, zum Beispiel per CD- ROM oder per . Zum Laden des Zertifikates gehen Sie vor, wie im Kapitel Zertifikate beschrieben.

90 90 Parametrieren WAGO-TO-PASS 761 Tabelle 43: IPSec VPN-Verbindungen-VPN Standard Modus-Einstellungen bearbeiten Schaltfläche Funktion Pre Shared Dieses Verfahren wird vor allem durch Key (PSK) ältere IPsec Implementierungen unterstützt. Dabei erfolgt die Authentifikation mit einer zuvor verabredeten Zeichenfolge. Um eine hohe Sicherheit zu erzielen, sollte die Zeichenfolge aus ca. 30 nach dem Zufallsprinzip ausgewählten Klein- und Großbuchstaben sowie Ziffern bestehen. Remote ID Lokale ID Die Lokale ID und die Remote ID werden vom IPsec genutzt, um beim Aufbau der VPN-Verbindung die Gegenstellen eindeutig zu identifizieren. Bei Authentifizierung mit X.509 Gegenstellenzertifikat oder CA Zertifikat: Bei Authentifizierung mit Pre Shared Key (PSK): Belässt man die Werkseinstellung NONE, so werden als Lokale ID und Remote ID automatisch die Distinguished Names aus dem eigenen Zertifikat und aus dem von der Gegenstelle übermittelten Zertifikat übernommen und verwendet. Ändert man manuell den Eintrag für die Lokale ID oder die Remote ID, so müssen die korrespondierenden Einträge der Gegenstelle angepasst werden. Die eigene Lokale ID muss mit der Remote ID der Gegenstelle übereinstimmen und umgekehrt. Die Einträge für Lokale oder Remote ID müssen im ASN.1-Format erfolgen, z.b. "C=XY/O=XY Org/CN=xy.org.org" Belässt man die Werkseinstellung NONE, so werden automatisch als Lokale ID die eigene IP-Adresse und als Remote ID die IP-Adresse der Gegenstelle übernommen. Ändert man manuell den Eintrag für die Lokale ID oder für die Remote ID, so müssen die Einträge das Format eines Hostnames (z.b. RemoteStation.de) oder das Format einer -adresse haben. Die eigene Lokale ID muss mit der Remote ID der Gegenstelle übereinstimmen und umgekehrt.

91 24V SERVICE (USB) 24V S Q C 0V V VPN TO-PASS POWER LAN VPN IN OUT 10/100 BASE-T I1+ I1- O1a O1b WAGO-TO-PASS 761 Parametrieren 91 Tabelle 43: IPSec VPN-Verbindungen-VPN Standard Modus-Einstellungen bearbeiten Schaltfläche Funktion Hinweis Wichtiger Hinweis! Wenn bei Pre-Shared Secret Key (PSK) nicht die IP-Adresse als Remote ID verwendet wird, muss als ISAKMP-SA Modus der Agressive mode eingestellt werden. Adresse des gegenüberliegenden Netzes Tragen Sie hier die IP-Adresse (z.b ) des gegenüberliegenden Netzes ein. Das gegenüberliegende Netz kann auch nur ein einzelner Rechner sein. Lokales Netz Gegenüberliegendes Netz Admin-PC Adresse des lokalen Netzes Adresse des gegenüberliegenden Netzes Admin-PC Lokale Applikation Lokale Applikation TO-PASS VPN (E)GPRS APN INTERNET VPN-Gateway Externe Gegenstellen VPN-Tunnel Abbildung 54: IPSec VPN-Verbindung 3 Netzmaske des gegenüberliegenden Netzes Adresse des lokalen Netzes Netzmaske des lokalen Netzes Auf Verbindung durch die Gegenstelle warten Firewall Regeln für VPN Tunnel Tragen Sie hier die Netzwerkmaske (z.b ) des gegenüberliegenden Netzes ein. Das gegenüberliegende Netz kann auch nur ein einzelner Rechner sein. Tragen Sie hier die IP-Adresse (z.b ) des lokalen Netzes ein. Das lokale Netz kann auch nur ein einzelner Rechner sein. Tragen Sie hier die Netzwerkmaske (z.b ) des lokalen Netzes ein. Das lokale Netz kann auch nur ein einzelner Rechner sein. Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Der TO PASS VPN Router wartet darauf, dass das VPN-Gateway des gegenüberliegenden Netzes den Aufbau der VPN-Verbindung einleitet. Nein Der TO PASS VPN Router leitet den Verbindungsaufbau ein Siehe Kapitel VPN Standard Modus Einstellungen bearbeiten

92 92 Parametrieren WAGO-TO-PASS 761 Tabelle 44: IPSec VPN-Verbindungen-VPN Standard Modus-Einstellungen bearbeiten- Werkseinstellung Werkseinstellung Verbindungsname NewConnection Remote Host NONE Authentisierungsverfahren CA Zertifikat Gegenstellen Zertifikat - Remote ID NONE Lokale ID NONE Adresse des gegenüberliegenden Netzes Netzmaske des gegenüberliegenden Netzes Adresse des lokalen Netzes Netzmaske des lokalen Netzes Auf Verbindung durch Nein die Gegenstelle warten Firewall Regeln für Bearbeiten VPN Tunnel VPN Standard Modus - Einstellungen bearbeiten - Firewall Regeln für VPN Tunnel Drücken Sie in der Navigationsleiste IPSec VPN > Verbindungen. Drücken Sie dann im VPN Standard Modus unter Einstellungen die Schaltfläche [Bearbeiten]. Abbildung 55: IPSec VPN-Verbindung bearbeiten 1-Detail 1

93 WAGO-TO-PASS 761 Parametrieren 93 Es erscheint folgendes Fenster. Abbildung 56: IPSec VPN-Verbindung bearbeiten 2-Detail Drücken Sie unter Firewall Regeln für VPN Tunnel die Schaltfläche [Bearbeiten]. Es erscheint folgendes Fenster. Abbildung 57: IPSec VPN-Firewall Regeln bearbeiten Die IPsec VPN-Verbindung wird grundsätzlich als sicher angesehen. So ist der Datenverkehr über diese Verbindung standardmäßig nicht beschränkt. Es ist aber möglich, Firewall-Regeln für die VPN-Verbindung zu erstellen.

94 94 Parametrieren WAGO-TO-PASS 761 Gehen Sie bei der Einrichtung der Firewall-Regeln für die VPN-Verbindung vor, wie bei der Einrichtung der Paketfilter-Funktion der allgemeinen Firewall (siehe Kapitel Paketfilter ). Die hier festgelegten Regeln, gelten aber nur für die jeweilige VPN-Verbindung. Tabelle 45: IPSec VPN-Firewall Regeln bearbeiten-werkseinstellung Werkseinstellung Firewall Regeln für Keine Beschränkungen VPN Tunnel VPN Standard Modus IKE bearbeiten Drücken Sie in der Navigationsleiste IPSec VPN > Verbindungen. Drücken Sie dann im VPN Standard Modus unter IKE die Schaltfläche [Bearbeiten]. Abbildung 58: IPSec VPN-Verbindung bearbeiten Detail 2 Es erscheint folgendes Fenster. Abbildung 59: IPSec VPN-IKE Einstellungen 2

95 WAGO-TO-PASS 761 Parametrieren 95 Definieren Sie hier die Eigenschaften der VPN-Verbindung entsprechend Ihren Anforderungen und den Absprachen mit dem Administrator der Gegenstelle. Tabelle 46: IPSec VPN-Verbindungen-VPN Standard Modus-IKE bearbeiten Schaltfläche Funktion Phase 1 ISAKMP SA ISAKMP-SA Mit den Auswahlfeld kann zwischen [3DES-168], [AES- Verschlüsselung 128], [AES-192] und [AES-256] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verschlüsselungsverfahren für die ISAKMP-SA verwendet werden soll. AES-128 ist das am häufigsten benutzte Verfahren und ist deshalb als Standard voreingestellt. Das Verfahren kann für ISAKMP-SA unterschiedlich festgelegt werden. Hinweis Verschlüsselungsalgorithmus Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl -, desto sicherer ist er. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. ISAKMP-SA Hash ISAKMP-SA Modus ISAKMP-SA Lebensdauer (Sekunden) Mit den Auswahlfeld kann zwischen [MD5 oder SHA-1], [MD5] und [SHA-1] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verfahren zur Berechnung von Prüfsummen/Hash während der ISAKMP-Phase verwendet werden soll. MD5 oder SHA-1 ist die automatische Erkennung. Das Verfahren kann für ISAKMP-SA unterschiedlich festgelegt werden. Mit den Auswahlfeld kann zwischen [Main Mode] und [Agressive Mode] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verfahren zur Aushandlung der ISAKMP-SA verwendet werden soll. Legen Sie die Lebensdauer der für die ISAKMP-SA vereinbarten Schlüssel fest (in Sekunden). Die Lebensdauer kann für ISAKMP-SA unterschiedlich festgelegt werden.

96 96 Parametrieren WAGO-TO-PASS 761 Tabelle 46: IPSec VPN-Verbindungen-VPN Standard Modus-IKE bearbeiten Schaltfläche Funktion Phase 2 IPSec SA IPSec-SA Mit den Auswahlfeld kann zwischen [3DES-168], Verschlüsselung [AES-128], [AES-192] und [AES-256] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verschlüsselungsverfahren für die IPSec-SA verwendet werden soll. AES-128 ist das am häufigsten benutzte Verfahren und ist deshalb als Standard voreingestellt. Das Verfahren kann für IPSec-SA unterschiedlich festgelegt werden. Hinweis Verschlüsselungsalgorithmus Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl -, desto sicherer ist er. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. IPSec-SA Hash IPSec-SA Lebensdauer (Sekunden) DH/PFS-Gruppe Mit den Auswahlfeld kann zwischen [MD5 oder SHA-1], [MD5] und [SHA-1] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle, welches Verfahren zur Berechnung von Prüfsummen/Hash während der IPSec-Phase verwendet werden soll. MD5 oder SHA-1 ist die automatische Erkennung. Das Verfahren kann für IPSec-SA unterschiedlich festgelegt werden. Die Schlüssel einer IPsec Verbindung werden in bestimmten Abständen erneuert, um den Aufwand eines Angriffs auf eine IPsec Verbindung zu erhöhen. Legen Sie die Lebensdauer der für die IPSec-SA vereinbarten Schlüssel fest (in Sekunden). Die Lebensdauer kann für IPSec-SA unterschiedlich festgelegt werden. Mit den Auswahlfeld kann zwischen [DH-1 768], [DH ] und [DH ] umgeschaltet werden. Vereinbaren Sie mit dem Administrator der Gegenstelle die DH-Gruppe für den Schlüsselaustausch.

97 WAGO-TO-PASS 761 Parametrieren 97 Tabelle 46: IPSec VPN-Verbindungen-VPN Standard Modus-IKE bearbeiten Schaltfläche Funktion NAT-T Aktiviere Dead Peer Detection Eventuell befindet sich zwischen dem TO-PASS VPN Router und den VPN-Gateway des gegenüberliegenden Netzes ein NAT-Router. Nicht alle NAT-Router lassen IPsec Datenpakete passieren. Daher ist es eventuell erforderlich die IPsec Datenpakete in UPD Pakete einzukapseln, um den NAT-Router passieren zu können. Mit dem Auswahlfeld kann zwischen [An], [Aus] und [Erzwingen] umgeschaltet werden. An Wird vom TO-PASS VPN Router ein NAT-Router erkannt, der die IPsec Datenpakete nicht passieren lässt, startet automatisch die UDP-Kapselung. Aus Die NAT-T-Funktion ist ausgeschaltet. Erzwingen Bei Aushandlung der Verbindungsparameter der VPN-Verbindung wird darauf bestanden, dass während der Verbindung die Datenpakete gekapselt übertragen werden. Wenn die Gegenstelle das Dead Peer Detection (DPD) Protokoll unterstützt, können die jeweiligen Partner erkennen, ob die IPsec Verbindung noch gültig ist oder nicht und evtl. neu aufgebaut werden muss. Ohne DPD muss je nach Konfiguration bis zum Ablauf der SA Lebensdauer gewartet oder die Verbindung manuell neu initiiert werden. Um zu prüfen, ob die IPsec Verbindung noch gültig ist sendet die Dead Peer Detection selber DPD-Anfragen zur Gegenstelle. Gibt es keine Antwort, wird die IPsec Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen. Hinweis Wichtiger Hinweis! Durch das Versenden der DPD- Anfragen steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Die Dead Peer Detection ist eingeschaltet. Der TO-PASS VPN Router erkennt unabhängig von der Übertragung von Nutzdaten einen Verlust der Verbindung und wartet in diesem Fall auf den Neuaufbau der Verbindung durch die Gegenstellen. Nein Die Dead Peer Detection ist ausgeschaltet.

98 98 Parametrieren WAGO-TO-PASS 761 Tabelle 46: IPSec VPN-Verbindungen-VPN Standard Modus-IKE bearbeiten Schaltfläche Funktion DPD Verzögerung Zeitspanne in Sekunden, nach welcher DPD-Anfragen (Sekunden) gesendet werden sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist. DPD Timeout (Sekunden) DPD Maximale Fehlversuche Zeitspanne in Sekunden, nach der die Verbindung zur Gegenstelle für tot erklärt werden soll, wenn auf die DPD-Anfragen keine Antwort erfolgte. Anzahl der zulässigen Fehlversuche bevor die IPsec Verbindung als unterbrochen angesehen wird. Tabelle 47: IPSec VPN-Verbindungen-VPN Standard Modus-IKE bearbeiten-werkseinstellung Werkseinstellung Phase 1 ISAKMP SA ISAKMP-SA AES-128 Verschlüsselung ISAKMP-SA Hash MD5 ISAKMP-SA Modus Main Mode ISAKMP-SA Lebensdauer (Sekunden) Phase 2 IPSec SA IPSec-SA AES-128 Verschlüsselung IPSec-SA Hash MD5 IPSec-SA Lebensdauer (Sekunden) DH/PFS Gruppe DH NAT-T An Aktiviere Dead Peer Ja Detection DPD - Verzögerung 150 (Sekunden) DPD - Timeout 60 (Sekunden) DPD - Maximale 5 Fehlversuche

99 WAGO-TO-PASS 761 Parametrieren Zertifikate Drücken Sie in der Navigationsleiste IPSec VPN > Zertifikate. Abbildung 60: IPSec VPN-Zertifikate Laden und verwalten von Zertifikaten und Schlüsseln. Tabelle 48: IPSec VPN-Zertifikate Schaltfläche Funktion Gegenstellen Zertifikat Laden Sie hier Schlüsseldateien (*.pem, *.crt) mit hochladen Gegenstellen-Zertifikaten und öffentlichen Schlüsseln von Gegenstellen in den TO-PASS VPN Router. Die Dateien müssen dazu auf dem Admin-PC gespeichert sein. Ein Gegenstellen-Zertifikat wird nur beim Authentifizierungsverfahren mit X.509 Zertifikat benötigt.

100 100 Parametrieren WAGO-TO-PASS 761 Tabelle 48: IPSec VPN-Zertifikate Schaltfläche Funktion PKCS12 Datei (.p12) Laden Sie hier die Zertifikats-Datei (PKCS12-Datei) mit hochladen der Dateiendung.p12 in den TO-PASS VPN Router. Die Zertifikats-Datei muss dazu auf dem Admin-PC gespeichert sein. Hinweis Wichtiger Hinweis! Befindet sich bereits eine Zertifikats- Datei im Gerät, muss diese vor dem Laden einer neuen Datei gelöscht werden. Passwort Gegenstellen Zertifikate (.cer,.crt,.pem) Eigene Zertifikate (.p12) Die Zertifikats-Datei (PKCS12-Datei) ist mit einem Passwort geschützt. Geben Sie hier das Passwort ein, das Sie mit der Zertifikats-Datei erhalten haben. An dieser Stelle werden alle geladenen Gegenstellen- Zertifikate in einer Liste angezeigt. Drücken Sie die Schaltfläche [Löschen], wenn Sie die Gegenstellen-Zertifikate, die nicht mehr benötigt werden, wieder entfernen wollen. An dieser Stelle wird der Name und Zustand der geladenen Zertifikats-Datei (PKCS12-Datei) angezeigt. Drücken Sie die Schaltfläche [Löschen], wenn Sie die geladene Zertifikats-Datei wieder entfernen wollen. CA-Zertifikat Weißer Haken auf grünem Punkt: CA-Zertifikat ist vorhanden. Weißes Kreuz auf rotem Punkt: CA-Zertifikat fehlt. Maschinen Zertifikat Weißer Haken auf grünem Punkt: Maschinen Zertifikat ist vorhanden. Weißes Kreuz auf rotem Punkt: Maschinen Zertifikat fehlt. Privater Schlüssel Weißer Haken auf grünem Punkt: Passwort ist richtig. Weißes Kreuz auf rotem Punkt: Passwort ist falsch.

101 WAGO-TO-PASS 761 Parametrieren Erweitert Drücken Sie in der Navigationsleiste IPSec VPN > Erweitert. Abbildung 61: IPSec VPN-Erweitert Einstellen spezieller Wartezeiten und Intervalle bei VPN-Verbindungen. Tabelle 49: IPSec VPN-Erweitert Schaltfläche Funktion NAT-T Keepalive Ist NAT-T aktiviert (siehe Kapitel VPN Standard Intervall (Sekunden) Modus Einstellungen bearbeiten ), dann werden periodisch Keepalive Datenpakete vom TO-PASS VPN Router durch die VPN-Verbindung gesendet. Dies soll verhindern, dass ein NAT-Router zwischen TO-PASS VPN Router und der Gegenstelle in Ruhephasen ohne Datenverkehr, die Verbindung unterbricht. Das Intervall zwischen den Keepalive Datenpaketen können Sie hier ändern. Phase 1 Timeout (Sekunden) Phase 2 Timeout (Sekunden) Das Phase 1 Timeout bestimmt, wie lange der TO-PASS VPN Router abwartet, bis ein Authentifizierungsverfahren der ISAKMP-SA abgeschlossen ist. Wird das eingestellte Timeout überschritten, wird das Authentifizierungsverfahren abgebrochen und neu gestartet. Das Timeout können Sie hier ändern. Das Phase 2 Timeout bestimmt, wie lange der TO-PASS VPN Router abwartet, bis ein Authentifizierungsverfahren der IPsec-SA abgeschlossen ist. Wird das eingestellte Timeout überschritten, wird das Authentifizierungsverfahren abgebrochen und neu gestartet. Das Timeout können Sie hier ändern.

102 102 Parametrieren WAGO-TO-PASS 761 Tabelle 49: IPSec VPN-Erweitert Schaltfläche Funktion DynDNS Tracking Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Diese Einstellung gilt für folgendes Szenario: Die VPN-Zentrale hat keine statische öffentlich IP und die dynamische IP der VPN-Zantrale wird über einen DynDNS Dienst referenziert. Ja Mittels DynDNS Tracking wird die jeweils aktuelle dynamische IP Adresse der VPN-Zentrale überprüft und bei einem erkannten IP-Wechsel der VPN- Tunnel zur neuen dynamischen IP der VPN-Zentrale aufgebaut. Nein Es wird kein DynDNS Tracking durchgeführt. Tabelle 50: IPSec VPN-Erweitert-Werkseinstellung Werkseinstellung NAT-T Keepalive 60 Intervall (Sekunden) Phase 1 Timeout 15 (Sekunden) Phase 2 Timeout 10 (Sekunden) DynDNS Tracking Nein Status Drücken Sie in der Navigationsleiste IPSec VPN > Status. Abbildung 62: IPSec VPN-Status

103 WAGO-TO-PASS 761 Parametrieren 103 Anzeige des Status der aktivierten VPN-Verbindungen und Möglichkeit eine Protokolldatei auf den Admin-PC zu laden. Tabelle 51: IPSec VPN-Status Schaltfläche Funktion Aktivierte VPN Zeigt an, ob eine Sicherheitsbeziehung (SA = Security Verbindungen Association) aktiviert ist. Weißer Haken auf grünem Punkt: Jeweilige Sicherheitsbeziehung ist erfolgreich aufgebaut Weißes Kreuz auf rotem Punkt: Sicherheitsbeziehung besteht nicht VPN Protokoll herunterladen Mit dieser Funktion können Sie die VPN-Protokolldatei auf den Admin-PC herunterladen Zugang Passwort Drücken Sie in der Navigationsleiste Zugang > Passwort. Abbildung 63: Zugang -Passwort Der Zugang zum TO-PASS VPN Router ist durch ein Zugangspasswort geschützt. Dieses Zugangspasswort schützt sowohl den Zugang über die lokale Schnittstelle auf die Web-Oberfläche und lokale Schnittstelle auf die SSH-Konsole wie auch den Zugang über EGPRS oder GPRS per https auf die Web-Oberfläche und EGPRS oder GPRS auf die SSH-Konsole

104 104 Parametrieren WAGO-TO-PASS 761 Tabelle 52: Zugang-Passwort Schaltfläche Neues Zugangspasswort Funktion Hier können Sie ein neues Zugangspasswort vergeben. Hinweis Passswort Bitte ändern Sie das Passwort sofort nach Inbetriebnahme. Die werksseitige Voreinstellung ist allgemein bekannt und bietet keinen ausreichenden Schutz. Neues Zugangspasswort (Wiederholung) Hier wiederholen Sie die Eingabe des neuen Zugangspasswortes Drücken Sie die Schaltfläche [Speichern], um das neue Passwort zu übernehmen. Drücken Sie die Schaltfläche [Zurücksetzen], um ihre nicht gespeicherten Eingaben zu verwerfen. Hinweis Benutzername Der Benutzername admin ist voreingestellt und kann nicht verändert werden HTTPS Drücken Sie in der Navigationsleiste Zugang > HTTPS. Abbildung 64: Zugang-HTTPS Der HTTPS-Fernzugang (= HyperText Transfer Protocol Secure) ermöglicht über EGPRS, GPRS oder CSD einen gesicherten Zugriff aus einem externen Netz auf die Web-Oberfläche des TO-PASS VPN Router. Die Konfiguration des TO-PASS VPN Router über den HTTPS-Fernzugang erfolgt dann genauso wie die Konfiguration per Web-Browser über die lokale Schnittstelle.

105 WAGO-TO-PASS 761 Parametrieren 105 Tabelle 53: Zugang-HTTPS Schaltfläche HTTPS Fernzugang aktivieren Port für HTTPS Fernzugang Firewallregeln Neu Löschen Von IP (extern) Funktion Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Der Zugriff auf die Web-Oberfläche des TO-PASS VPN Router per HTTPS aus dem externen Netz ist gestattet. Nein Der Zugriff per HTTPS ist nicht gestattet. Sie können einen anderen Port festlegen. Wenn Sie jedoch einen anderen Port festgelegt haben, dann muss die externe Gegenstelle, die den Fernzugriff ausübt, bei der Adressenangabe hinter der IP-Adresse die Port- Nummer angeben. Beispiel: Ist dieser TO-PASS VPN Router über die Adresse über das Internet zu erreichen, und ist für den Fernzugang die Port-Nummer 442 festgelegt, dann muss bei der externen Gegenstelle im Web-Browser angegeben werden:https: // :442 Fügt eine neue Firewall-Regel für den SSH-Fernzugang hinzu, die Sie dann ausfüllen können. Drücken Sie die Schaltfläche [Neu], wenn Sie eine neue Firewall-Regel hinzufügen möchten. Entfernt eine angelegte Firewall-Regel für den SSH- Fernzugang wieder. Drücken Sie die Schaltfläche [Löschen], wenn Sie die angelegte Firewall-Regel löschen möchten. Geben Sie hier die Adresse(n) des/der Rechner(s) an, dem/denen Fernzugang erlaubt ist. Bei den Angaben haben Sie folgende Möglichkeiten: - IP-Adresse oder - Adressenbereich: /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR- Schreibweise (siehe Kapitel Glossar ).

106 106 Parametrieren WAGO-TO-PASS 761 Tabelle 53: Zugang-HTTPS Schaltfläche Aktion Log Funktion Mit dem Auswahlfeld kann zwischen [Erlauben], [Zurückweisen] und [Verwerfen] umgeschaltet werden. Hier können Sie auswählen, wie bei Zugriffen auf den angegebenen HTTPS Port verfahren wird: Erlauben Die Datenpakete dürfen passieren. Zurückweisen Die Datenpakete werden zurückgewiesen, so dass der Absender eine Information über die Zurückweisung erhält. Verwerfen Die Datenpakete dürfen nicht passieren. Sie werden verworfen, so dass der Absender keine Information erhält über deren Verbleib. Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen Das Protokoll wird in das Firewall-Logbuch geschrieben (siehe Kapitel Firewall-Logbuch ). Tabelle 54: Zugang-HTTPS -Werkseinstellung Werkseinstellung HTTPS Fernzugang Nein aktivieren Port für HTTPS 443 Fernzugang Firewallregeln Von IP (extern) /0 Aktion Erlauben Log Nein

107 WAGO-TO-PASS 761 Parametrieren SSH Drücken Sie in der Navigationsleiste Zugang > SSH. Abbildung 65: Zugang-SSH Der SSH-Fernzugang (= Secured SHell) ermöglicht über EGPRS, GPRS oder CSD einen gesicherten Zugriff aus einem externen Netz auf das Dateisystem des TO-PASS VPN Router. Dazu muss mit einem SSH-fähigen Programm eine Verbindung von der externen Gegenstelle zum TO-PASS VPN Router aufgebaut werden. Verwenden Sie den SSH-Fernzugang nur, wenn Sie mit dem LINUX Dateisystem vertraut sind. Hinweis Über den SSH-Fernzugang ist es möglich, das Gerät so falsch zu konfigurieren, dass es zum Service eingeschickt werden muss. Kontaktieren Sie in diesem Fall bitte Ihren Händler oder Distributor. Tabelle 55: Zugang-SSH Schaltfläche SSH Fernzugang aktivieren Funktion Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Der Zugriff auf das Dateisystem des TO-PASS VPN Router per SSH aus dem externen Netz ist gestattet. Nein Der Zugriff per SSH ist nicht gestattet.

108 108 Parametrieren WAGO-TO-PASS 761 Tabelle 55: Zugang-SSH Schaltfläche Port für SSH Fernzugang Funktion Sie können einen anderen Port festlegen. Wenn Sie jedoch einen anderen Port festgelegt haben, dann muss die externe Gegenstelle, die den Fernzugriff ausübt, bei der Adressenangabe hinter der IP-Adresse die Port- Nummer angeben. Beispiel: Ist dieser TO-PASS VPN Router über die Adresse über das Internet zu erreichen, und ist für den Fernzugang der Port festgelegt, dann muss bei der externen Gegenstelle im SSH-Client (z.b. PUTTY) diese Port-Nummer angegeben werden: ssh -p Beispiel Konsole: Abbildung 66: Zugang-SSH-Konsole Firewallregeln Neu Löschen Von IP (extern) Fügt eine neue Firewall-Regel für den HTTPS- Fernzugang hinzu, die Sie dann ausfüllen können. Drücken Sie die Schaltfläche [Neu], wenn Sie eine neue Firewall-Regel hinzufügen möchten. Entfernt eine angelegte Firewall-Regel für den HTTPS- Fernzugang wieder. Drücken Sie die Schaltfläche [Löschen], wenn Sie die angelegte Firewall-Regel löschen möchten. Geben Sie hier die Adresse(n) des/der Rechner(s) an, dem/denen Fernzugang erlaubt ist. Bei den Angaben haben Sie folgende Möglichkeiten: - IP-Adresse oder -Adressenbereich: /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR- Schreibweise (siehe Kapitel Glossar.

109 WAGO-TO-PASS 761 Parametrieren 109 Tabelle 55: Zugang-SSH Schaltfläche Aktion Log Funktion Mit dem Auswahlfeld kann zwischen [Erlauben], [Zurückweisen] und [Verwerfen] umgeschaltet werden. Hier können Sie auswählen, wie bei Zugriffen auf den angegebenen SSH Port verfahren wird: Erlauben Die Datenpakete dürfen passieren. Zurückweisen Die Datenpakete werden zurückgewiesen, so dass der Absender eine Information über die Zurückweisung erhält. Verwerfen Die Datenpakete dürfen nicht passieren. Sie werden verworfen, so dass der Absender keine Information erhält über deren Verbleib. Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel das Ereignis protokolliert werden soll Log auf Ja setzen oder nicht Log auf Nein setzen Das Protokoll wird in das Firewall-Logbuch geschrieben (siehe Kapitel Firewall-Logbuch ). Tabelle 56: Zugang-SSH -Werkseinstellung Werkseinstellung SSH Fernzugang Nein aktivieren Port für SSH 22 Fernzugang Firewallregeln Von IP (extern) /0 Aktion Erlauben Log Nein

110 110 Parametrieren WAGO-TO-PASS CSD Einwahl Drücken Sie in der Navigationsleiste Zugang > CSD Einwahl. Abbildung 67: Zugang-CSD Einwahl Der Zugang CSD Einwahl ermöglicht den Zugriff auf die Web-Oberfläche des TO-PASS VPN Router über eine Daten-Wählverbindung (CSD = Circuit Switched Data). Rufen Sie dazu den TO-PASS VPN Router mit einem analogen Modem auf der Datenrufnummer oder mit einem GSM-Modem auf der Sprachoder Datenrufnummer seiner SIM-Karte an. Der TO-PASS VPN Router nimmt den Ruf an, wenn die Rufnummer des Telefonanschlusses von dem aus Sie den Anruf tätigen in der Liste der zugelassenen Nummern im TO-PASS VPN Router gespeichert ist und die Rufnummer vom Telefonnetz übertragen wird (CLIP Funktion). Die Einwahl muss mit einem PPP-Client erfolgen, zum Beispiel über eine Windows DFÜ-Verbindung. Folgen Sie unter Windows dem Assistenten für neue Verbindungen und richten Sie als Verbindung mit dem Netzwerk am Arbeitsplatz eine DFÜ-Verbindung ein. Tabelle 57: Zugang-CSD Schaltfläche CSD Einwahl aktivieren Funktion Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Der Zugriff auf die Web-Oberfläche des TO-PASS VPN Router per Daten-Wählverbindung ist gestattet. Nein Der Zugriff per Daten-Wählverbindung ist nicht gestattet.

111 WAGO-TO-PASS 761 Parametrieren 111 Tabelle 57: Zugang-CSD Schaltfläche Funktion PPP Benutzername Hier können Sie einen Benutzernamen und ein Passwort PPP Passwort auswählen, mit dem sich ein PPP-Client (z.b. Windows DFÜ-Verbindung) am TO-PASS VPN Router anmelden muss. Den gleichen Benutzernamen und das gleiche Passwort müssen Sie beim PPP-Client eintragen. Zugelassene Rufnummern (Clip-Prüfung) Neu Fügt eine neue zugelassenen Rufnummer für den CSD- Fernzugang hinzu, die Sie dann ausfüllen können. Drücken Sie die Schaltfläche [Neu], wenn Sie eine neue Rufnummer hinzufügen möchten. Löschen Entfernt eine Rufnummer für den CSD-Fernzugang wieder. Drücken Sie die Schaltfläche [Löschen], wenn Sie die Rufnummer löschen möchten. Rufnummer Geben Sie die Rufnummer des Telefonanschlusses an, von dem aus die Daten-Wählverbindung aufgebaut wird. Der Telefonanschluss muss die Rufnummernübermittlung (CLIP Calling Line Identification Presentation) unterstützen und die Funktion muss eingeschaltet sein. Die im TO-PASS VPN Router eingetragene Rufnummer muss exakt mit der gemeldeten Rufnummer übereinstimmen und gegebenenfalls auch die Länderkennung und Vorwahl umfassen, z.b Wenn mehrere Rufnummern einer Nebenstellenanlage zugangsberechtigt sein sollen, können sie das Zeichen * als Joker verwenden, z.b *. Alle Rufnummern die mit beginnen werden dann akzeptiert. Hinweis Firewall Regeln Firewall-Regeln, die für den HTTPSbzw. SSH-Zugang eingetragen sind, gelten auch für den CSD-Zugang. Als Quell-IP-Adresse ( von IP ) für den CSD-Zugang ist festgelegt.

112 112 Parametrieren WAGO-TO-PASS 761 Tabelle 58: Zugang-CSD -Werkseinstellung Werkseinstellung CSD Einwahl Nein aktivieren PPP Benutzername service PPP Passwort service Zugelassene * Rufnummern Wartung Update Drücken Sie in der Navigationsleiste Wartung > Update. Abbildung 68: Wartung-Update Mit der Update Funktion können Sie eine neue Betriebssoftware in den TO-PASS VPN Router laden und diese Software aktivieren. Bei einem sofortigen Update wird die neue Software entpackt. Dieser Vorgang kann einige Minuten dauern. Danach beginnt der eigentliche Update-Vorgang, der durch ein Lauflicht der LEDs angezeigt wird. Die Einstellungen des TO-PASS VPN Router werden übernommen, sofern diese Einstellungen in der neuen Software-Version noch so wirken, wie vor dem Update.

113 WAGO-TO-PASS 761 Parametrieren 113 Tabelle 59: Zugang-CSD Schaltfläche Zeitpunkt festlegen Update Zeitpunkt festlegen Update Datei auswählen Absenden Funktion Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Update zeitgesteuert - Die neue Betriebssoftware wird aktiviert, an dem festgelegten Update Zeitpunkt. Dazu muss die Software zuvor geladen werden. Nein Update sofort - Die neue Betriebssoftware wird aktiviert, direkt nachdem Sie die Software geladen und auf die Schaltfläche [Absenden] geklickt haben. Wenn Sie das Update zeitgesteuert durchführen lassen wollen, geben Sie den Zeitpunkt an, an dem die neue Betriebssoftware aktiviert werden soll. Geben Sie Jahr Monat Tag Stunde Minute an. Drücken Sie die Schaltfläche [Durchsuchen], um die neue Betriebssoftware auszuwählen. Die Betriebssoftware für den TO-PASS VPN Router trägt zum Beispiel folgende Bezeichnung: TOPASS_ _vxy.tgz Laden Sie die Firmware mit Öffnen in das Gerät. Drücken Sie die Schaltfläche [Absenden]. Die Betriebssoftware wird entweder sofort aktiviert oder die Betriebssoftware wird zum vorgegebenen Zeitpunkt aktiviert.

114 114 Parametrieren WAGO-TO-PASS Konfigurations Profile Drücken Sie in der Navigationsleiste Wartung > Konfigurations Profile. Abbildung 69: Wartung-Konfigurations Profile Die Einstellungen des TO-PASS VPN Router können in Konfigurationsprofilen (Dateien) gespeichert werden und jederzeit neu geladen werden. Tabelle 60: Wartung-Konfigurations Profile Schaltfläche Funktion Profil hochladen Lädt ein zuvor erstelltes und auf den Admin-PC gespeichertes Konfigurationsprofil in den TO-PASS VPN Router. Dateien mit Konfigurationsprofilen haben die Dateiendung *.tgz. Drücken Sie die Schaltfläche [Durchsuchen], um auf dem Admin-PC nach Konfigurationsprofilen zu suchen. Drücken Sie die Schaltfläche [Absenden], um das Konfigurationsprofil in den TO-PASS VPN Router zu laden. Es wird dann in der Tabelle der gespeicherten Konfigurations-Profile angezeigt. Profil anlegen Speichert die aktuellen Einstellungen des TO-PASS VPN Router in einem Konfigurationsprofil. Geben Sie zunächst einen Namen für das Profil in dem Eingabefeld ein. Drücken Sie die Schaltfläche [Anlegen], um die Einstellungen in einem Profil mit diesem Namen zu speichern und dann in der Tabelle der gespeicherten Konfigurations-Profile anzuzeigen.

115 WAGO-TO-PASS 761 Parametrieren 115 Tabelle 60: Wartung-Konfigurations Profile Schaltfläche Funktion Gespeicherte Konfigurations-Profile Name Die Tabelle der gespeicherten Konfigurationsprofile zeigt alle Profile an, die in dem TO-PASS VPN Router gespeichert sind. Aktivieren Der TO-PASS VPN Router übernimmt die Einstellungen des ausgewählten Konfigurationsprofils und arbeitet mit diesen weiter. Drücken Sie die Schaltfläche [Aktivieren], wenn Sie die Einstellungen übernehmen möchten. Download Lädt das Profil auf den Admin-PC. Drücken Sie die Schaltfläche [Download], wenn Sie das Profil auf den Admin-PC laden möchten. Löschen Das Konfigurationsprofil wird gelöscht. Das Profil Standard Konfiguration enthält die Werkseinstellungen und kann nicht gelöscht werden. Drücken Sie die Schaltfläche [Löschen], wenn Sie das Konfigurationsprofil löschen möchten Neustart Drücken Sie in der Navigationsleiste Wartung > Neustart. Abbildung 70: Wartung-Neustart Obwohl der TO-PASS VPN Router für den Dauerbetrieb ausgelegt ist, kann es bei solch einem komplexen System zu Störungen kommen, oftmals ausgelöst durch äußere Einwirkung. Ein Neustart kann diese Störungen beheben. Der Neustart setzt die Funktionen des TO-PASS VPN Router zurück. Aktuelle Einstellungen entsprechend des Konfigurationsprofils ändern sich nicht. Nach

116 116 Parametrieren WAGO-TO-PASS 761 dem Neustart arbeitet der TO-PASS VPN Router mit diesen Einstellungen weiter. Tabelle 61: Wartung-Neustart Schaltfläche Funktion Sofortiger Neustart Drücken Sie die Schaltfläche [Neustart], wenn Sie den Neustart sofort ausführen möchten. Täglichen Neustart Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] verwenden umgeschaltet werden. Ja Der Neustart wird automatisch einmal am Tag ausgeführt. Nein Es wird kein Neustart ausgeführt. Zeitpunkt des täglichen Neustarts Wenn Sie [Ja] gewählt haben, wird der Neustart automatisch einmal am Tag ausgeführt. Hier können Sie den Zeitpunkt eingeben, wann der tägliche Neustart erfolgen soll. Bestehende Verbindungen werden unterbrochen. Tabelle 62: Wartung-Neustart-Werkseinstellung Werkseinstellung Sofortiger Neustart Neustart Täglichen Neustart Nein verwenden Zeitpunkt des täglichen 01:00 Neustarts

117 WAGO-TO-PASS 761 Parametrieren Remote Logging Drücken Sie in der Navigationsleiste Wartung > Remote Logging. Abbildung 71: Wartung-Remote Logging Der TO-PASS VPN Router kann das System Logbuch einmal am Tag per FTP (= File Transfer Protocol) an einen FTP Server übertragen. Übertragen wird das aktuelle System Logbuch sowie die System Log-Dateien im Archiv. Nach erfolgreicher Übertragung werden die übertragenen System Logbücher im TO-PASS VPN Router gelöscht. Schlägt die Übertragung fehl, versucht der TO-PASS VPN Router nach 24 Stunden erneut die Daten zu übertragen. Tabelle 63: Wartung-Remote Logging Schaltfläche Funktion Remote Logging (FTP Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] Upload) verwenden umgeschaltet werden. Ja Sie könnenn die Remote Logging-Funktion verwenden. Nein Sie können die Remote Logging-Funktion nicht verwenden. Uhrzeit Hier können Sie die Uhrzeit festlegen, zu der die Logbücher übertragen werden sollen. FTP Server Hier können Sie die Adresse des FTP Servers festlegen, zu dem die Log-Dateien übertragen werden sollen. Die Adresse kann als Hostname (z.b. ftp.server.de) oder als IP-Adresse angegeben werden.

118 118 Parametrieren WAGO-TO-PASS 761 Tabelle 63: Wartung-Remote Logging Schaltfläche Funktion Benutzername Hier können Sie den Benutzernamen für die Anmeldung am FTP Server festlegen. Passwort Hier können Sie das Passwort für die Anmeldung am FTP Server festlegen. Tabelle 64: Wartung-Remote Logging -Werkseinstellung Werkseinstellung Remote Logging (FTP Nein Upload) verwenden Uhrzeit 00:00 FTP Server NONE Benutzername Guest Passwort Guest Alarm SMS Drücken Sie in der Navigationsleiste Wartung > Alarm SMS. Abbildung 72: Wartung-Alarm SMS

119 WAGO-TO-PASS 761 Parametrieren 119 Der TO-PASS VPN Router kann kurze Alarm-Meldungen über SMS (= Short Message Service) des GSM-Netzes versenden. Zwei Ereignisse können den Versand einer Alarm-Meldung über SMS auslösen: Ereignis 1: Schalteingang wird aktiv Ereignis 2: Keine GPRS-Verbindung Zu jedem der beiden Ereignisse kann eine eigene Rufnummer angegeben werden, an die die Alarm-Meldung geschickt wird. Ebenso kann der Text der Alarm- Meldung frei festgelegt werden. Es stehen folgende Zeichen zur Verfügung: A-Z a-z ,!? Tabelle 65: Wartung-Alarm SMS Schaltfläche Funktion SMS Service Center Rufnummer Alarm SMS Ereignis 1: Schalteingang Alarm SMS Ereignis 2: Keine GPRS- Verbindung Damit die SMS-Funktion sicher funktioniert, tragen Sie hier die Rufnummer des Service Center ein. Ohne Eintrag an dieser Stelle wird das Standard SMS Service Center Ihres Netzbetreibers verwendet. Durch das Fehlen des Eintrags kann es zu Fehlfunktionen kommen. Der Schalteingang wechselt von inaktiv auf aktiv, d.h. am Schalteingang wird eine ausreichende Schaltspannung angelegt. Diese Funktion kann zum Beispiel genutzt werden, um außerhalb der IP- Datenverbindungen Alarm-Meldungen der lokalen Applikationen zu versenden. Aktivieren Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Die Alarm-Meldung wird bei dem Ereignis abgesendet. Nein Die Alarm-Meldung wird bei dem Ereignis nicht abgesendet. Rufnummer Hier können Sie die Rufnummer des Endgerätes eintragen, an die die Alarm- Meldung über SMS gesendet werden soll. Das Endgerät muss SMS-Empfang über GSM oder Festnetz unterstützen. Text Hier können Sie den Text eintragen, der als Alarm-Meldung verschickt wird. Die GPRS-Verbindung kommt trotz mehrfacher Versuche nicht zustande. Der TO-PASS VPN Router versendet daraufhin eine Alarm-Meldung.

120 120 Parametrieren WAGO-TO-PASS 761 Tabelle 65: Wartung-Alarm SMS Schaltfläche Funktion Aktivieren Rufnummer Text Mit dem Auswahlfeld kann zwischen [Ja] und [Nein] umgeschaltet werden. Ja Die Alarm-Meldung wird bei dem Ereignis abgesendet. Nein Die Alarm-Meldung wird bei dem Ereignis nicht abgesendet. Hier können Sie die Rufnummer des Endgerätes eintragen, an die die Alarm- Meldung über SMS gesendet werden soll. Das Endgerät muss SMS-Empfang über GSM oder Festnetz unterstützen. Hier können Sie den Text eintragen, der als Alarm-Meldung verschickt wird. Tabelle 66: Wartung-Alarm SMS Werkseinstellung Werkseinstellung SMS Service Center - Rufnummer Alarm SMS Ereignis 1: Aktivieren Nein Schalteingang Rufnummer - Text - Alarm SMS Ereignis 2: Aktivieren Nein Keine GPRS- Rufnummer - Verbindung Text -

121 WAGO-TO-PASS 761 Parametrieren SW Info Drücken Sie in der Navigationsleiste Wartung > SW Info. Abbildung 73: Wartung-Software Info Anzeige wichtiger Informationen zur Software Identifikation. Bei Anfragen an unseren Kundendienst werden diese Informationen in vielen Fällen benötigt. Zusätzlich werden geplante Updates angezeigt.