SIMATIC NET. Industrial Remote Communication - Remote Networks SINEMA Remote Connect. Vorwort. SINEMA RC-Server mit dem WAN verbinden 1

Transkript

1 Vorwort SINEMA RC-Server mit dem WAN verbinden 1 SIMATIC NET Industrial Remote Communication - Remote Networks Getting Started Geräte über eine csv-datei anlegen 2 OpenVPN-Tunnel zwischen SCALANCE S615 und 3 SINEMA RC-Server OpenVPN-Tunnel zwischen SINEMA RC Client und 4 SINEMA RC Server IPsecVPN-Tunnel zwischen SINEMA RC Server und 5 S623 11/2017 C79000-G8900-C394-04

2 Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt. GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes: Marken WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. Siemens AG Division Process Industries and Drives Postfach NÜRNBERG DEUTSCHLAND C79000-G8900-C P 10/2017 Änderungen vorbehalten Copyright Siemens AG Alle Rechte vorbehalten

3 Vorwort Zweck Anhand von Beispielen wird die Projektierung von gezeigt. IP-Einstellungen der Beispiele Hinweis Die in den Beispielen verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Allgemeine Benennung Die Bezeichnung... steht für... SINEMA RC SINEMA RC-Server S615 S623 -Server SCALANCE S615 SCALANCE S623 Weiterführende Dokumentation Betriebsanleitung " Client" Dieses Handbuch unterstützt Sie bei der Installation, Konfiguration und Bedienung der Anwendung SINEMA RC Client. Betriebsanleitung " Server" Dieses Handbuch unterstützt Sie bei der Installation, Konfiguration und Bedienung der Anwendung SINEMA RC-Server. Projektierungshandbuch "Industrial Remote Communication Remote Networks - SCALANCE S615 Web Based Management" Dieses Dokument soll Sie in die Lage versetzen das Gerät in Betrieb zu nehmen und zu bedienen. Es vermittelt die notwendigen Kenntnisse über die Konfiguration der Geräte. Getting Started "Industrial Remote Communication Remote Networks - SCALANCE S615" Dieses Dokument zeigt anhand von Beispielen die Projektierung des SCALANCE S615. Getting Started, 11/2017, C79000-G8900-C

4 Vorwort Im Handbuch "SIMATIC NET Industrial Ethernet Netzhandbuch" erhalten Sie Hinweise zu weiteren SIMATIC NET-Produkten, die Sie gemeinsam mit den Geräten dieser Produktlinie in einem Industrial Ethernet Netzwerk betreiben können. Dort finden Sie u. a. optische Leistungsdaten der Kommunikationspartner, die Sie für den Aufbau benötigen. Sie finden dieses Dokument im Internet unter folgender Beitrags-ID: ( Aktuelle Handbücher und weitere Informationen Die aktuellen Handbücher und weitere Informationen zu Telecontrol-Produkten finden Sie auf den Internetseiten des Siemens Industry Online Support: über die Suchfunktion: Link zum Siemens Industry Online Support ( Geben Sie die Beitrags-ID des jeweiligen Handbuchs als Suchbegriff ein. über die Navigation im Bereich "Telecontrol": Link zum Bereich "Telecontrol" ( Navigieren Sie zu der gewünschten Produktgruppe und nehmen Sie folgende Einstellungen vor: Register "Beitragsliste", Beitragstyp "Handbücher" Die Dokumente der hier relevanten Produkte finden Sie auch auf dem Datenträger, der manchen Produkten beiliegt: Produkt-CD / Produkt-DVD SIMATIC NET Manual Collection Security-Hinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.b. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden. Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter folgender Adresse: Link: ( 4 Getting Started, 11/2017, C79000-G8900-C394-04

5 Vorwort Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter folgender Adresse: Link: ( Training, Service & Support Informationen zu Training, Service & Support finden Sie in dem mehrsprachigen Dokument "DC_support_99.pdf", welches sich auf dem mitgelieferten Datenträger mit Dokumentation befindet. SIMATIC NET-Glossar Erklärungen zu vielen Fachbegriffen, die in dieser Dokumentation vorkommen, sind im SIMATIC NET-Glossar enthalten. Sie finden das SIMATIC NET-Glossar hier: SIMATIC NET Manual Collection oder Produkt-DVD Die DVD liegt einigen SIMATIC NET-Produkten bei. Im Internet unter folgender Beitrags-ID: ( Marken Folgende und eventuell weitere nicht mit dem Schutzrechtsvermerk gekennzeichnete Bezeichnungen sind eingetragene Marken der Siemens AG: SINEMA, SCALANCE Getting Started, 11/2017, C79000-G8900-C

6 Vorwort 6 Getting Started, 11/2017, C79000-G8900-C394-04

7 Inhaltsverzeichnis Vorwort SINEMA RC-Server mit dem WAN verbinden Prinzipielles Vorgehen SINEMA RC Server installieren Das Web Based Management starten Schnittstelle überprüfen Uhrzeit einstellen Geräte über eine csv-datei anlegen Einleitung Aufbau der csv-datei csv-datei anlegen csv-datei importieren OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server Prinzipielles Vorgehen Auf dem S615 den Zugriff zum SINEMA RC-Server konfigurieren Route konfigurieren IP-Masquerading aktivieren Zugriff erlauben Auf dem SINEMA RC Server die Fernverbindung konfigurieren Teilnehmergruppen anlegen Geräte anlegen Kommunikationsbeziehungen konfigurieren Auf dem S615 die Fernverbindung konfigurieren Gesicherte OpenVPN-Verbindung mit Fingerabdruck Gesicherte OpenVPN-Verbindung mit CA-Zertifikat Zertifikat laden OpenVPN-Verbindung zum SINEMA RC-Server projektieren OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server Prinzipielles Vorgehen Auf dem SINEMA RC Server einen Benutzer anlegen Auf dem Laptop des Servicetechnikers SINEMA RC Client installieren Mit SINEMA RC Client am SINEMA RC Server anmelden IPsecVPN-Tunnel zwischen SINEMA RC Server und S Prinzipielles Vorgehen Getting Started, 11/2017, C79000-G8900-C

8 Inhaltsverzeichnis 5.2 VPN-Tunnel mit SCT konfigurieren Projekt und Baugruppen mit dem SCT anlegen VPN-Gruppe konfigurieren Eigenschaften des S623 konfigurieren Eigenschaften des SINEMA RC Servers konfigurieren VPN-Verbindung konfigurieren Konfiguration in S623 laden und SINEMA RC-Konfiguration abspeichern Auf dem SINEMA RC Server die Fernverbindung konfigurieren IPsec-Profil anlegen Zertifikat laden Gerät anlegen Index Getting Started, 11/2017, C79000-G8900-C394-04

9 SINEMA RC-Server mit dem WAN verbinden Prinzipielles Vorgehen In diesem Beispiel wird der SINEMA RC-Server über das Web Based Management (WBM) konfiguriert. Auf das WAN/LAN wird über einen Router zugegriffen, der an dem WAN-Port des Servers angeschlossen wird. Aufbau Erforderliche Geräte/Komponenten 1 x PC ohne Betriebssystem 1x Router Im Router muss das PORT-Forwarding für das Web Based Management, OpenVPN und CA-Rollout mit TCP und UDP (TCP/443,UDP/1194,TCP/5443, TCP/6220) freigeschaltet sein. 1x PC zum Konfigurieren des SINEMA RC-Servers die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet Getting Started, 11/2017, C79000-G8900-C

10 SINEMA RC-Server mit dem WAN verbinden 1.1 Prinzipielles Vorgehen Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Name Interface IP-Adresse LAN SINEMA RC-Server WAN-Port (eth0) Gateway: IP-Adresse des Routers PC Ethernet Router LAN-Port WAN-Port Hinweis Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Projektierungsschritte 1. SINEMA RC-Server installieren (Seite 11) 2. Das Web Based Management starten (Seite 12) 3. Schnittstelle überprüfen (Seite 15) 4. Uhrzeit einstellen (Seite 16) 10 Getting Started, 11/2017, C79000-G8900-C394-04

11 SINEMA RC-Server mit dem WAN verbinden 1.2 SINEMA RC Server installieren 1.2 SINEMA RC Server installieren ACHTUNG Installation formatiert die Festplatte Die Installation des SINEMA RC-Servers beinhaltet ein eigenes Betriebssystem. Wenn Sie einen PC verwenden, auf dem bereits ein Betriebssystem vorhanden ist, wird die Festplatte formatiert. Vorhandene Daten gehen dadurch verloren. Stellen Sie sicher, dass auf dem PC alle wichtigen Daten gesichert wurden. Voraussetzung PC ohne Betriebssystem. Die Festplatte sollte mindestens 60 GB groß sein. In der Boot-Reihenfolge ist die CD/DVD als erstes Boot-Medium eingestellt. Vorgehensweise 1. Schalten Sie den PC ein. 2. Legen Sie den Datenträger in das Laufwerk. Die Installation startet automatisch. 3. Im folgenden Dialog ist der Eintrag "Install/Update Server" markiert. Drücken Sie <Return>, um die Auswahl zu bestätigen. 4. Im folgenden Dialog ist der Eintrag "eth0" markiert. Drücken Sie <Return>, um die Auswahl zu bestätigen. 5. Geben Sie die WAN-IP-Adresse des SINEMA RC-Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)". Drücken Sie <Return>, um die Eingabe zu bestätigen. 6. Bei der Netzmaske lassen Sie den Eintrag unverändert. Drücken Sie <Return>, um die Eingabe zu bestätigen. 7. Geben Sie als Gateway die LAN-IP-Adresse des Routers ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)". Drücken Sie <Return>, um die Eingabe zu bestätigen. Das Betriebssystem und der SINEMA RC-Server werden installiert. Folgen Sie den weiteren Anweisungen am Bildschirm. Getting Started, 11/2017, C79000-G8900-C

12 SINEMA RC-Server mit dem WAN verbinden 1.3 Das Web Based Management starten 1.3 Das Web Based Management starten Nach der Installation ist der SINEMA RC-Server über die WAN-Schnittstelle unter der folgenden IP-Adresse erreichbar Der Konfigurations-PC erhält in dieser Beispielkonfiguration folgende IP-Adresseinstellung, um auf das Web Based Management des SINEMA RC-Servers zu zugreifen. IP-Adresse Subnetzmaske Gateway Vorgehensweise 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die Systemsteuerung. 2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern". 3. Klicken Sie mit der rechten Maustaste auf das Symbol "LAN-Verbindung" und wählen Sie den Menübefehl "Eigenschaften". 4. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)". 12 Getting Started, 11/2017, C79000-G8900-C394-04

13 SINEMA RC-Server mit dem WAN verbinden 1.3 Das Web Based Management starten 5. Geben Sie die Werte nach der obigen Tabelle ein. 6. Bestätigen Sie die Dialoge mit "OK" und schließen Sie die Systemsteuerung. Getting Started, 11/2017, C79000-G8900-C

14 SINEMA RC-Server mit dem WAN verbinden 1.3 Das Web Based Management starten 7. Geben Sie im Adressfeld des Webbrowsers " ein. Wenn eine einwandfreie Verbindung besteht, erscheint die Anmeldeseite des Web Based Managements (WBM). 8. Melden Sie sich nach der Installation mit dem Benutzernamen "admin" und dem Passwort "admin" an. 9. Nach dem Anmelden wird die WBM-Seite "Passwort ändern" geöffnet.legen Sie den Benutzernamen und das Passwort für den Administrator fest. Das neue Passwort muss mind. 8 Zeichen lang sein und Sonderzeichen, Groß- /Kleinschreibung sowie Zahlen enthalten, siehe Kapitel "Erlaubte Zeichen". Als Administrator können Sie Einstellungen des Geräts verändern (lesender und schreibender Zugriff auf die Konfigurationsdaten). 10.Klicken Sie auf die Schaltfläche "Speichern". Nach dem Speichern, sind Sie automatisch mit dem neu angelegten Administrator angemeldet.. 14 Getting Started, 11/2017, C79000-G8900-C394-04

15 SINEMA RC-Server mit dem WAN verbinden 1.4 Schnittstelle überprüfen 1.4 Schnittstelle überprüfen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "Netzwerkkonfiguration" und im Inhaltsbereich auf das Register "Schnittstellen". 2. Wählen Sie bei "Schnittstelle" "WAN". Die Konfiguration des Ports wird angezeigt. 3. Prüfen Sie die Einstellungen des WAN-Ports. IP-Adresse WAN-IP-Adresse des SINEMA RC Servers nach der Tabelle "Verwendete Einstellungen (Seite 9)" Netzmaske Netzmaske nach der Tabelle "Verwendete Einstellungen (Seite 9)" Standard-Gateway LAN-IP-Adresse des Routers nach der Tabelle "Verwendete Einstellungen (Seite 9)" 4. Aktivieren Sie "SINEMA RC befindet sich hinter einem NAT-Gerät", um die erforderliche externe WAN-IP-Adresse für das Gateway einzugeben. 5. Geben Sie bei WAN-IP-Adresse die WAN-IP-Adresse des Routers ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)". 6. Klicken Sie auf "Speichern". Getting Started, 11/2017, C79000-G8900-C

16 SINEMA RC-Server mit dem WAN verbinden 1.5 Uhrzeit einstellen 1.5 Uhrzeit einstellen Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten und für die Zeitstempel von Logbuch-Einträgen werden auf dem SINEMA RC-Server Datum und Uhrzeit geführt. Sie können die Systemzeit selbst manuell einstellen, oder Sie lassen sie mit einem Zeitserver automatisch synchronisieren. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "Datum & Uhrzeit-Einstellungen" und im Inhaltsbereich auf das Register "Manuell". 2. Klicken Sie auf "PC-Uhrzeit verwenden". Ergebnis Die Systemzeit über PC ist eingestellt. 16 Getting Started, 11/2017, C79000-G8900-C394-04

17 Geräte über eine csv-datei anlegen Einleitung In diesem Beispiel werden über eine csv-datei drei Geräte angelegt. Die csv-datei hat einen bestimmten Aufbau, siehe Kapitel "Aufbau der csv-datei (Seite 18)". Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden Einstellungen: Name des Geräts Einstellung S615_001 Verbindungsart 1 = Dauerhaft Teilnehmergruppe Station1 Netzwerk-Gateway Ja Lokale LAN-IP-Adresse Lokale LAN-IP-Adresse NAT für lokales Subnetz Virtuelle lokale LAN-IP-Adresse Zugeordnet der lokalen LAN-IP- Adresse 2 S615_002 Verbindungsart 1 = Dauerhaft Teilnehmergruppe Station2 Netzwerk-Gateway Nein Lokale LAN-IP-Adresse NAT für lokales Subnetz Virtuelle lokale LAN-IP-Adresse NAT für lokale Hosts Virtuelle lokale LAN-IP-Adresse Lokaler Host x y x = 2-20 y = 1-19 S615_003 Verbindungsart 1 = Dauerhaft Teilnehmergruppe Station1 Projektierungsschritte 1. csv-datei anlegen (Seite 20) 2. csv-datei importieren (Seite 22) Getting Started, 11/2017, C79000-G8900-C

18 Geräte über eine csv-datei anlegen 2.2 Aufbau der csv-datei 2.2 Aufbau der csv-datei Auf dem Datenträger finden Sie eine Vorlage der csv-datei. Die Einträge werden durch Semikolon getrennt. Einzustellende Werte Die Tabelle enthält die Einträge, die Sie in der csv-datei eintragen können. Weitere Informationen zu den Einträgen finden Sie im Kapitel "Neues Gerät anlegen" und Geräteinformationen. Der Eintrag... steht für... Device Name Name des Geräts GSM Number GSM-Nummer Type Gerätetyp Vendor Hersteller Location Standort Type of connection Verbindungsart Geben Sie die Nummer für die entsprechende Verbindungsart an. 1 = Dauerhaft: 2 = Digitaler Eingang 3 = Weck-SMS 4 = Weck-SMS: & Digitaler Eingang Provider Name des SMS-Gateway-Betreibers Comment Kommentar Group Teilnehmergruppe Voraussetzung ist, dass die Teilnehmergruppe bereits angelegt ist. Local subnet Lokale LAN-IP-Adresse Network mask Netzwerkmaske der lokalen LAN-IP-Adresse Network gateway Gerät ist ein Netzwerk-Gateway Wenn das Gerät ein Netzwerk-Gateway ist, geben Sie "Yes" an. 18 Getting Started, 11/2017, C79000-G8900-C394-04

19 Geräte über eine csv-datei anlegen 2.2 Aufbau der csv-datei Der Eintrag... steht für... Virtual subnet Virtuelle Subnetz-IP-Adresse Network mask Netzwerkmaske der virtuellen Subnetz-IP-Adresse Virtual subnet IP address Virtuelle Subnetz-Adresse Local host Lokaler Host VPN donnection mode VPN-Verbindungsmodus 1 = OpenVPN: Die Verbindung wird über OpenVPN aufgebaut. 2 = IPsec: Die Verbindung wird über IPsec aufgebaut Ipsec profile Name des IPsec-Profilx Voraussetzung ist, dass das IPsec-Profil bereits angelegt ist. Fixed IP Feste IP Adresse für OpenVPN- oder IPSec-Verbindungen Getting Started, 11/2017, C79000-G8900-C

20 Geräte über eine csv-datei anlegen 2.3 csv-datei anlegen 2.3 csv-datei anlegen Vorgehen 1. Öffnen Sie die csv-vorlage mit MS Excel oder mit einem Texteditor. 2. Geben Sie das erste Gerät an. S615_001;;;Siemens AG;Karlsruhe;1;;;Station1; ;;Yes;;;;;1;; S615_001;;;;;;;;; ;;; ;;;;1;; Für die Verbindungsart geben Sie die entsprechende Ziffer an: 1 für Dauerhaft Wenn das Gerät ein Netzwerk-Gateway ist, geben Sie "Yes" an. Ansonsten ist kein Eintrag notwendig. 3. Geben Sie das zweite Gerät an: S615_002;;;Siemens AG;Karlsruhe;1;;;Station2; ;;; ;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; S615_002;;;;;;;;;;;;;; ; ;1;; Bei "NAT für lokales Subnetz" ist für jede Zuordnung eine Zeile notwendig. 20 Getting Started, 11/2017, C79000-G8900-C394-04

21 Geräte über eine csv-datei anlegen 2.3 csv-datei anlegen 4. Geben Sie das dritte Gerät an. S615_003;;;Siemens AG;Karlsruhe;1;;;Station1;;;;;;;;;; In diesem Fall werden nur der Name, der Standort und die Gruppe des Geräts angelegt. Den Rest ist im WBM des SINEMA RC-Servers nachzutragen. 5. Speichern Sie die csv-datei ab. Ergebnis Die csv-datei ist mit den drei Geräten ist angelegt. Bild 2-1 csv-datei: Tabelleneditor Bild 2-2 csv-datei: Texteditor Getting Started, 11/2017, C79000-G8900-C

22 Geräte über eine csv-datei anlegen 2.4 csv-datei importieren 2.4 csv-datei importieren Voraussetzung Die csv-datei ist vorhanden und korrekt befüllt. Die aktivierte Lizenz ist ausreichend. Die Teilnehmergruppen "Station1" und "Station2" sind angelegt. Die Namen der Geräte sind noch nicht angelegt. Der angemeldete Benutzer besitzt das Recht "Geräte verwalten" Vorgehen 1. Klicken Sie auf der Seite der Geräteliste die Schaltfläche "Importieren". 2. Klicken Sie auf die Schaltfläche "Durchsuchen" und wählen Sie die csv-datei aus. 3. Klicken Sie auf "Importieren". Nach dem Importieren der Datei werden die Geräte auf dem Register "Geräteauswahl" aufgelistet 4. Aktivieren Sie bei "S615_001", "S615_002" und "S615_003" das Kontrollkästchen. 5. Klicken Sie auf "Fertigstellen". Ergebnis Nach dem Anlegen (Importieren) werden die Geräte in der Geräteliste angezeigt. Klicken Sie auf, um die Einstellungen zu prüfen. 22 Getting Started, 11/2017, C79000-G8900-C394-04

23 OpenVPN-Tunnel zwischen SCALANCE S615 und 3 SINEMA RC-Server 3.1 Prinzipielles Vorgehen In dieser Beispielkonfiguration sind zwei dezentrale Stationen mithilfe von SCALANCE S615 angeschlossen. Die Geräte kommunizieren über den SINEMA RC-Server, der in der Zentrale steht. Für die SCALANCE S615-Geräten wird je ein KEY-PLUG benötigt. Mit dem KEY-PLUG wird die Anbindung von SCALANCE S615 an SINEMA RC freigeschaltet. Dazu müssen sich die Geräte am SINEMA RC-Server anmelden. Erst nach erfolgreicher Authentifizierung wird der VPN-Tunnel zwischen dem Gerät und dem SINEMA RC-Server aufgebaut. Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen verschaltet der SINEMA RC Server die einzelnen VPN-Tunnels. Aufbau Getting Started, 11/2017, C79000-G8900-C

24 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.1 Prinzipielles Vorgehen Zentrale - Anschluss an SINEMA RC Server Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an dem LAN-Port des SINEMA RC Servers angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 3 SINEMA RC Server Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an dem WAN-Port des SINEMA RC Servers angeschlossen wird. Station 1 / 2 - Anschluss an SCALANCE S615 Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an die Ethernet-Schnittstelle P1 des S615 angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 1/2 S615: SCALANCE S-Modul zum Schutz des internen Netzwerks 1/2 Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an die Ethernet- Schnittstelle P5 des S615 angeschlossen wird. Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: 2 x S615 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 2 x KEY-PLUG SINEMA RC 2 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 2 x PC die mit je einem SCALANCE S615 verbunden sind. 1 x PC, auf dem der SINEMA RC Server installiert ist. 1 x PC, der mit dem SINEMA RC Server verbunden ist. 3 x Router Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet 24 Getting Started, 11/2017, C79000-G8900-C394-04

25 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.1 Prinzipielles Vorgehen Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Station1 LAN1 Station2 LAN2 Zentrale LAN3 Name Interface IP-Adresse S615_1 LAN-Port P1 (vlan1) WAN-Port P5 (vlan2) Default-Gateway ist die LAN-IP-Adresse des Routers PC1 LAN-Port Router1 LAN-Port S615_2 PC2 LAN-Port P1 (vlan1) WAN-Port P5 (vlan2) Ethernet (LAN 2) Default-Gateway ist die LAN-IP-Adresse des Routers Router 2 LAN-Port SINEMA WAN-Port RC Server Die WAN-IP-Adresse, über die der SINEMA RC Server erreichbar ist, ist in diesem Beispiel die WAN-IP-Adresse des Routers Default-Gateway ist die LAN-IP-Adresse des Routers PC3 Ethernet (LAN3) Router 3 LAN-Port WAN-Port Getting Started, 11/2017, C79000-G8900-C

26 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.1 Prinzipielles Vorgehen Hinweis Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Voraussetzung SINEMA RC Server Der SINEMA RC Server ist mit dem WAN verbunden, siehe "SINEMA RC Server mit dem WAN verbinden (Seite 9)". SCALANCE S615 Das SCALANCE S ist mit dem WAN verbunden. Die Projektierungsschritte finden Sie im Getting Started "SCALANCE S615". Die Projektierungsschritte gelten für alle Geräte und unterscheiden sich nur in den Einstellungen, siehe Tabelle "Verwendete Einstellungen (Seite 47)". Das SCALANCE S ist über den PC1/2 erreichbar und Sie sind am WBM als "admin" angemeldet. Im SCALANCE S ist ein gütliger KEY-PLUG gesteckt. Projektierungsschritte Auf dem S615 den Zugriff zum SINEMA RC Server konfigurieren Um eine VPN-Verbindung zum SINEMA RC Server zu ermöglichen, muss auf dem S615 eine Route angelegt werden: 1. Route konfigurieren (Seite 28) Damit der PC über S615 auf das WBM des SINEMA RC Servers zugreifen kann, sind auf dem S615 folgende Schritte notwendig: 1. Basic-NAT aktivieren (Seite 29) 2. Zugriff erlauben (Seite 29) Auf dem SINEMA RC Server die Fernverbindung konfigurieren 1. Teilnehmergruppen anlegen (Seite 31) 2. Geräte anlegen (Seite 32) 3. Kommunikationsbeziehungen konfigurieren (Seite 35) Auf dem S615 die Fernverbindung konfigurieren Gesicherte OpenVPN-Verbindung mit Fingerabdruck (Seite 37) Gesicherte OpenVPN-Verbindung mit CA-Zertifikat Zertifikat laden (Seite 41) OpenVPN-Verbindung zum SINEMA RC Server projektieren (Seite 42) 26 Getting Started, 11/2017, C79000-G8900-C394-04

27 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.1 Prinzipielles Vorgehen Getting Started, 11/2017, C79000-G8900-C

28 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.2 Auf dem S615 den Zugriff zum SINEMA RC-Server konfigurieren 3.2 Auf dem S615 den Zugriff zum SINEMA RC-Server konfigurieren Route konfigurieren Die Stationen und die Zentrale sind in verschiedenen IP-Subnetzen. Damit die Stationen mit der Zentrale kommunizieren können, wird im S615 die entsprechende Default-Route angelegt. Vorgehensweise 1. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". 2. Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. 3. Klicken Sie im Navigationsbereich auf "Layer 3 > Statische Routen". 4. Konfigurieren Sie die Route zum Router mit folgenden Einstellungen: Zielnetzwerk Subnetzmaske Gateway Administrative Distanz (alle IP-Adressen) LAN-IP-Adresse des Routers nach der Tabelle "Verwendete Einstellungen" 5. Wenn Sie die Werte eingetragen haben, klicken Sie auf "Erstellen". 6. Zum Aktualisieren der Anzeige klicken Sie auf "Aktualisieren". Ergebnis Die Route ist angelegt. 28 Getting Started, 11/2017, C79000-G8900-C394-04

29 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.2 Auf dem S615 den Zugriff zum SINEMA RC-Server konfigurieren IP-Masquerading aktivieren IP-Masquerading wird verwendet, damit die internen IP-Adressen extern nicht weitergeleitet werden. Zudem werden keine weiteren Routingeinstellungen im Router benötigt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3 > NAT" und im Inhaltsbereich auf das Register "Masquerading". 2. Aktivieren Sie "Masquerading aktivieren" bei vlan2. 3. Klicken Sie auf "Einstellungen übernehmen". Ergebnis Auf dem WAN-Port vlan2 ist Masquerading aktiviert. Wenn ein Paket über diese Schnittstelle gesendet wird, wird die Quelladresse auf die dem vlan2 zugewiesenen IP Adresse umgeschrieben Zugriff erlauben Damit der PC auf den SINEMA RC Server zugreifen kann, wird am Gerät der Zugriff von vlan 1 nach vlan 2 freigeschaltet. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security > Firewall" und im Inhaltsbereich auf das Register "IP-Regeln". 2. Klicken Sie auf "Erstellen". In der Tabelle wird ein neuer Eintrag erstellt. 3. Konfigurieren Sie die Firewall-Regel mit folgenden Einstellungen: Aktion Von Nach Quelle (Bereich) Ziel (Bereich) Dienst Accept vlan1 (intern) vlan2 (extern) (alle IP-Adressen) (alle IP-Adressen) all Der Dienst ist standardmäßig immer verfügbar 4. Klicken Sie auf "Einstellungen übernehmen". Getting Started, 11/2017, C79000-G8900-C

30 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.2 Auf dem S615 den Zugriff zum SINEMA RC-Server konfigurieren Ergebnis Durch diese Firewall-Regel sind alle Dienste zwischen vlan1 und vlan2 uneingeschränkt möglich, z. B. HTTPS 30 Getting Started, 11/2017, C79000-G8900-C394-04

31 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren 3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren Teilnehmergruppen anlegen Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Außerdem können Sie festlegen, ob die Kommunikation zwischen den Teilnehmern einer einzelnen Gruppe erlaubt oder verboten ist. Für diese Beispielkonfiguration werden folgende Gruppen angelegt. Station1 Station2 Service Die Gruppe Service wird für die Beispielkonfiguration "OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server (Seite 47)" benötigt. Voraussetzung Der SINEMA RC Server ist mit dem WAN verbunden Vorgehensweise 1. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers " ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". 2. Melden Sie sich mit den Benutzerdaten des Administrators an, siehe Kapitel "Das Web Based Management starten". 3. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Teilnehmergruppen". Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. 4. Klicken Sie auf "Erstellen". Die Seite "Neue Teilnehmergruppe" wird geöffnet. 5. Geben Sie bei Gruppenname "Station1" ein. Aktivieren Sie die Einstellung "Mitglieder dürfen kommunizieren" und klicken Sie auf "Speichern". 6. Wiederholen Sie die Schritte 1-3 für die Gruppen "Station2" und "Service" Getting Started, 11/2017, C79000-G8900-C

32 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren Ergebnis Die Teilnehmergruppen sind angelegt Geräte anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Im Inhaltsbereich werden die bereits angelegten Geräte aufgelistet. 2. Klicken Sie auf "Erstellen", um ein neues Gerät anzulegen. 3. Geben Sie den Gerätenamen für das Gerät an, z. B. "S615_1" für die Station 1 und "S615_2" für die Station Klicken Sie auf "Weiter". 5. Wählen Sie bei "VPN-Verbindungsmodus" "OpenVPN" aus. Klicken Sie auf "Weiter". 6. Aktivieren Sie den Parameter "Verbundene lokale Subnetze". 7. Aktivieren Sie den Parameter "Gerät ist ein Netzwerk-Gateway". 8. Konfigurieren Sie die Geräte mit folgenden Einstellungen und klicken Sie auf "Hinzufügen": Lokale LAN-IP-Adresse Netzmaske IP-Adresse für vlan1 nach der Tabelle "Verwendete Einstellungen (Seite 47)". 9. Klicken Sie auf "Weiter". Das Register "Gruppenzugehörigkeit" wird angezeigt. 32 Getting Started, 11/2017, C79000-G8900-C394-04

33 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren 10.Aktivieren Sie die entsprechende Gruppe. Beim Gerät "S615_1" die Gruppe "Station1" Beim Gerät "S615_2" die Gruppe "Station2" 11.Klicken Sie auf "Weiter". Das Register "Passwort " wird angezeigt. 12.Legen Sie das Passwort für den Zugriff fest, z. B. An:t_010 für S615_1 und An:t_020 für S615_2. Das Passwort muss sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen. 13.Klicken Sie auf "Fertigstellen". Ergebnis Die Geräte werden bei den bereits angelegten Geräten aufgelistet. Gerätepasswort Geräte-ID Fingerabdruck Die Geräte-ID und den Fingerabdruck finden Sie bei den Geräteinformationen. Klicken Sie auf das Symbol, um die Geräteinformation zu öffnen. Getting Started, 11/2017, C79000-G8900-C

34 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren 34 Getting Started, 11/2017, C79000-G8900-C394-04

35 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren Kommunikationsbeziehungen konfigurieren Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen notwendig. Dabei kann für jede Richtung eine Kommunikationsbeziehung erstellt werden. Für diese Beispielkonfiguration werden folgende Kommunikationsbeziehungen angelegt: von Gruppe Service Station1 zur Zielgruppe Station1 Station2 Station2 In diesem Konfigurationsbeispiel geht die Kommunikation nur von der Gruppe "Station-1" zur Gruppe "Station-2". In die Gegenrichtung ist keine Kommunikation möglich. Für die Kommunikation von der Gruppe "Station2" zur Gruppe "Station1" ist eine weitere Kommunikationsbeziehung notwendig. Ebenso kann die Gruppe "Service" mit den Gruppen "Station1" und "Station2" kommunizieren, aber nicht umgekehrt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Teilnehmergruppen". Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. 2. Klicken Sie bei "Station1" in der Spalte "Aktionen" auf das Symbol. Die Seite "Zielgruppe" wird geöffnet. 3. Aktivieren Sie "Station2" und klicken Sie auf "Speichern". 4. Klicken Sie auf "Dialog verlassen". 5. Klicken Sie bei "Service" in der Spalte "Aktionen" auf das Symbol. Die Seite "Zielgruppe" wird geöffnet. 6. Aktivieren Sie "Station1" und "Station2". Klicken Sie auf "Speichern". 7. Klicken Sie auf "Dialog verlassen". Ergebnis Die Kommunikationsbeziehungen sind angelegt. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Kommunikationsbeziehungen". Im Inhaltsbereich werden die angelegten Beziehungen aufgelistet. Getting Started, 11/2017, C79000-G8900-C

36 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren 36 Getting Started, 11/2017, C79000-G8900-C394-04

37 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren 3.4 Auf dem S615 die Fernverbindung konfigurieren Gesicherte OpenVPN-Verbindung mit Fingerabdruck Voraussetzung Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet. Webbrowser 1 für den Zugriff auf das Web Based Management des SCALANCE S615. Webbrowser 2 für den Zugriff auf SINEMA RC Im S615 ist ein gültiger KEY-PLUG gesteckt. Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "System" > "SINEMA RC". Geben Sie bei "SINEMA RC Address" die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". 2. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Klicken Sie bei "Aktionen" auf das Symbol, um die Geräteinformation zu öffnen. Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Geräte-ID. Klicken Sie mit der rechten Maustaste auf die Markierung und wählen Sie im Kontextmenü den Befehl zum Kopieren. Getting Started, 11/2017, C79000-G8900-C

38 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren 3. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Geräte-ID". Wählen Sie im Kontextmenü den Befehl zum Einfügen. Geben Sie bei "Geräte-Passwort" das Passwort an, das Sie für den Zugriff projektiert haben, An:t_010 für S615_1 und An:t_020 für S615_2. Aktivieren Sie "Auto-Firewall / NAT-Regeln". Wenn aktiviert wird, werden automatisch die entsprechenden NAT und Firewallregeln angelegt. Wählen Sie bei "Prüfungsart" "Fingerabdruck" aus. 38 Getting Started, 11/2017, C79000-G8900-C394-04

39 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren 4. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Klicken Sie bei "Fingerabdruck" auf das Symbol. 5. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Fingerabdruck". Wählen Sie im Kontextmenü den Befehl zum Einfügen. Aktivieren Sie "SINEMA RC aktivieren" und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. Im Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC". Getting Started, 11/2017, C79000-G8900-C

40 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren Webbrowser für den Zugriff auf SINEMA RC: Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". 40 Getting Started, 11/2017, C79000-G8900-C394-04

41 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren Gesicherte OpenVPN-Verbindung mit CA-Zertifikat Zertifikat laden Voraussetzung Auf dem S615 und auf dem SINEMA RC Server ist die richtige Uhrzeit eingestellt. Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet. Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "Sicherheit" > "Zertifikate". Klicken Sie bei "Aktionen" auf das Symbol, um das Zertifikate zu exportieren. 2. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. Klicken Sie im Navigationsbereich auf "System" > "Laden & Speichern" und im Inhaltsbereich auf das Register "Passwörter". Geben Sie bei "X509Cert" das Geräte-Passwort ein. Aktiveren Sie den Eintrag und klicken Sie auf "Einstellungen übernehmen". Klicken Sie im Inhaltsbereich auf das Register "HTTP". Klicken Sie bei "X509Cert" auf die Schaltfläche "Laden". Das Dialogfenster zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum exportierten Serverzertifikat. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". Getting Started, 11/2017, C79000-G8900-C

42 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren Ergebnis Die Zertifikate sind geladen. Unter "Security > Zertifikate" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status "Gültig" besitzen OpenVPN-Verbindung zum SINEMA RC-Server projektieren Voraussetzung Im S615 ist ein gültiger KEY-PLUG gesteckt. 42 Getting Started, 11/2017, C79000-G8900-C394-04

43 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren Vorgehensweise 1. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Klicken Sie im Navigationsbereich auf "System > SINEMA RC". Geben Sie bei "SINEMA RC Address" die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". 2. Wechseln Sie in den Webbrowser für den Zugriff auf SINEMA RC. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Klicken Sie bei "Aktionen" auf das Symbol, um die Geräteinformation zu öffnen. Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Geräte-ID. Klicken Sie mit der rechten Maustaste auf die Markierung und wählen Sie im Kontextmenü den Befehl zum Kopieren. 3. Wechseln Sie in den Webbrowser für den Zugriff auf das Web Based Management des SCALANCE S615. Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Geräte-ID". Wählen Sie im Kontextmenü den Befehl zum Einfügen. Geben Sie bei "Geräte-Passwort" das Passwort an, das Sie für den Zugriff projektiert haben,an:t_010 für S615-1 und An:t_020 für S Aktivieren Sie "Auto Firewall / NAT-Regeln". Wenn aktiviert wird, werden automatisch die entsprechenden NAT und Firewallregeln angelegt. Wählen Sie bei "Verification Type "CA-Zertifikat" aus. Wäheln Sie bei "CA-Zertifikatdas Serverzertifikat aus. Nur geladene Zertifikate sind auswählbar. Getting Started, 11/2017, C79000-G8900-C

44 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren Aktivieren Sie "SINEMA RC aktivieren" und klicken Sie auf "Einstellungen übernehmen". Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. Webbrowser 1: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC". 44 Getting Started, 11/2017, C79000-G8900-C394-04

45 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren Webbrowser 2: Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Getting Started, 11/2017, C79000-G8900-C

46 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren 46 Getting Started, 11/2017, C79000-G8900-C394-04

47 OpenVPN-Tunnel zwischen SINEMA RC Client und 4 SINEMA RC Server 4.1 Prinzipielles Vorgehen Dieses Beispiel erweitert die Beispielkonfiguration "OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC Server (Seite 23)". Ein Servicetechniker startet auf seinem Laptop den SINEMA RC Client und meldet sich mit seinen Benutzerdaten am SINEMA RC Server an. Nach erfolgreicher Authentifizierung wird der VPN-Tunnel zwischen dem SINEMA RC Client und dem SINEMA RC Server aufgebaut. Aufbau Getting Started, 11/2017, C79000-G8900-C

48 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.1 Prinzipielles Vorgehen Zentrale - Anschluss an SINEMA RC Server Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an dem LAN-Port des SINEMA RC Servers angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 3 SINEMA RC Server Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an dem WAN-Port des SINEMA RC Servers angeschlossen wird. Station 1 / 2 - Anschluss an SCALANCE S615 Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an die Ethernet-Schnittstelle P1 des S615 angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 1/2 S615: SCALANCE S-Modul zum Schutz des internen Netzwerks 1/2 Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an die Ethernet- Schnittstelle P5 des S615 angeschlossen wird. Servicetechnier - Anschluss an SINEMA RC Client Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an die Ethernet- Schnittstelle des Laptops angeschlossen wird. Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten: 2 x S615 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial) 2 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker 2 x PC die mit je einem SCALANCE S615 verbunden sind. 1 x PC, auf dem der SINEMA RC Server installiert ist. 1 x PC, der mit dem SINEMA RC Server verbunden ist. 1 x Laptop 4 x Router Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet 48 Getting Started, 11/2017, C79000-G8900-C394-04

49 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.1 Prinzipielles Vorgehen Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Station-1 LAN1 Station-2 LAN2 Zentrale LAN3 Name Interface IP-Adresse S615-1 LAN-Port P1 (vlan1) WAN-Port P5 (vlan2) Default-Gateway ist die LAN-IP-Adresse des Routers PC1 LAN-Port Router1 LAN-Port S615-2 LAN-Port P1 PC2 (vlan1) WAN-Port P5 (vlan2) Ethernet (LAN 2) Default-Gateway ist die LAN-IP-Adresse des Routers Router 2 LAN-Port SINEMA WAN-Port RC Server Die WAN-IP-Adresse, über die der SINEMA RC Server erreichbar ist, ist in diesem Beispiel die WAN-IP-Adresse des Routers Default-Gateway ist die LAN-IP-Adresse des Routers PC3 Ethernet (LAN3) Router 3 LAN-Port WAN-Port Getting Started, 11/2017, C79000-G8900-C

50 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.1 Prinzipielles Vorgehen Name Interface IP-Adresse Servicetechniker Laptop Ethernet Default-Gateway ist die LAN-IP-Adresse des Routers Router 4 LAN-Port WAN-Port WAN-IP-Adresse wird vom Provider zugwiesen Hinweis Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Voraussetzung SINEMA RC Server Der SINEMA RC Server ist mit dem WAN verbunden, siehe "SINEMA RC Server mit dem WAN verbinden (Seite 9)". Der SINEMA RC Server ist über den PC3 erreichbar. SINEMA RC Client Das Laptop ist mit dem WAN verbunden. Projektierungsschritte 1. Auf dem SINEMA RC Server einen Benutzer anlegen (Seite 51) Auf dem Laptop des Servicetechnikers 1. SINEMA RC Client installieren (Seite 53) 2. SINEMA RC Client am SINEMA RC Server anmelden (Seite 55) 50 Getting Started, 11/2017, C79000-G8900-C394-04

51 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.2 Auf dem SINEMA RC Server einen Benutzer anlegen 4.2 Auf dem SINEMA RC Server einen Benutzer anlegen Der Zugriff über den SINEMA RC Client wird in dieser Beispielkonfiguration von einem Servicetechniker übernommen. Für die Anmeldung benötigt der Servicetechniker einen Benutzernamen und ein Passwort. Der Administrator in der Zentrale legt die Benutzerdaten an. Voraussetzung Der SINEMA RC Server ist über den PC3 erreichbar. Die Teilnehmergruppe "Service" ist angelegt, siehe Kapitel "Teilnehmergruppen anlegen (Seite 31)". Benutzer anlegen 1. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers " ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". 2. Melden Sie sich mit den Benutzerdaten des Administrators an, siehe Kapitel "Das Web Based Management starten". 3. Klicken Sie im Navigationsbereich auf "Benutzerkonten" > "Benutzer und Rollen". Im Inhaltsbereich werden die bereits angelegten Benutzer aufgelistet. 4. Klicken Sie auf "Erstellen". Die Seite "Neuer Benutzer" wird geöffnet. 5. Geben Sie den Benutzernamen ein, z. B. Service. 6. Wählen Sie bei "Login-Methode" "Passwort" ein und klicken Sie auf "Weiter". 7. Das Register "Rechte" wird angezeigt. Legen Sie die Rechte für den Servicetechniker fest und klicken Sie auf "Weiter". 8. Das Register "Gruppenzugehörigkeiten" wird angezeigt. Aktivieren Sie die Teilnehmergruppe "Service". 9. Klicken Sie auf "Weiter". Das Register "VPN-Verbindungsmodus" wird angezeigt. 10.Aktivieren Sie den VPN-Verbindungsmodus "OpenVPN". 11.Klicken Sie auf "Weiter". Das Register "Passwort" wird angezeigt. 12.Legen Sie das Passwort für den Benutzer fest, z. B. Di1S+Xo? und klicken Sie auf "Fertigstellen". Getting Started, 11/2017, C79000-G8900-C

52 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.2 Auf dem SINEMA RC Server einen Benutzer anlegen Ergebnis Der Benutzer "Service" ist angelegt. In der Spalte "Status" sehen Sie, ob der Benutzer gerade online ist oder nicht. Wenn der Benutzer angemeldet ist, kann er im Navigationsbereich nur auf die Einträge zugreifen, für die er die Rechte hat. 52 Getting Started, 11/2017, C79000-G8900-C394-04

53 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.3 Auf dem Laptop des Servicetechnikers 4.3 Auf dem Laptop des Servicetechnikers SINEMA RC Client installieren Die Installation läuft weitestgehend automatisch. Die SETUP-Routine erkennt eigenständig, ob außer SINEMA RC Client selbst noch weitere Programmkomponenten installiert werden müssen. Die Installationsroutine führt die dazu notwendigen Aktionen bei Bedarf aus. Hinweis Sie können pro PC nur einen SINEMA RC Client installieren. Hinweis Mehrere OpenVPN-Clients Wird der Client parallel mit anderen OpenVPN-Clients installiert, kann die einwandfreie Funktion nicht gewährleistet werden. Es wird empfohlen, nur den als OpenVPN-Client zu installieren Voraussetzung Auf folgenden Betriebssystem kann der SINEMA RC Client installiert werden: Microsoft Windows 7 Professional 32/64 Bit + Service Pack 1 Microsoft Windows 7 Enterprise 32/64 Bit + Service Pack 1 Microsoft Windows 7 Ultimate 32/64 Bit + Service Pack 1 Microsoft Windows 8.1 Professional 64 Bit Microsoft Windows Server 2008 R2 64 Bit + Service Pack 1 (Voraussetzung: NET 3.5 oder höher ist installiert) Microsoft Windows 10 Professional 64 Bit Bitte beachten Sie, dass der Client V1.0 SP3 derzeit kein secure boot unterstützt. Der Parameter "nointegritychecks on" muss gesetzt sein. Microsoft Windows Server Bit Vorgehensweise 1. Melden Sie sich am Betriebssystem Windows als Administrator an. Öffnen Sie den Windows Explorer und doppelklicken Sie auf die Datei "Setup.exe" im Stammverzeichnis der Installations-DVD. Alternativ starten Sie das Programm aus dem Windows-Menü "Start > Ausführen". Wenn die Autorun-Funktion für Ihr DVD-Laufwerk aktiviert ist, startet die Installation automatisch. 2. Wählen Sie die Sprache für den Setup-Assistenten von SINEMA RC Client und klicken Sie auf "Weiter". Getting Started, 11/2017, C79000-G8900-C

54 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.3 Auf dem Laptop des Servicetechnikers 3. Klicken Sie auf die Schaltfläche "Open-Source-Lizenzvereinbarung", um die Lizenzvereinbarung anzuzeigen. Wählen Sie nach dem Lesen der Lizenzvereinbarung die Option "Ich akzeptiere die Bedingungen der obigen Lizenzvereinbarung sowie die Bedingungen der Open-Source-Lizenzvereinbarung" und klicken Sie auf "Weiter". 4. Ein Dialogfeld wird geöffnet, das die Liste der zu installierenden Programme enthält. Belassen Sie die Vorauswahl der Komponenten. Dazu gehören:.net Framework Open VPN Automation License Manager (ALM) 5. Wenn Sie weitere Informationen über den ALM wünschen, dann klicken Sie auf die Schaltfläche "Liesmich" rechts im Dialogfeld. 6. Wählen Sie die Schaltfläche "Speichern unter", um den aktuellen Speicherplatz des Computers anzuzeigen. 7. Klicken Sie auf die Schaltfläche "Durchsuchen", wenn Sie das Standard-Zielverzeichnis ändern und die Anwendung an anderer Stelle installieren möchten. 8. Wählen Sie den gewünschten Speicherort und klicken Sie auf die Schaltfläche "Weiter". Hinweis Speicherbedarf Ist auf dem Laufwerk nicht genügend freier Speicherplatz verfügbar, klicken Sie auf die Schaltfläche "Durchsuchen", um einen anderen Installationsort auszuwählen. Das Dialogfeld "Systemeinstellungen" wird geöffnet. 9. Akzeptieren Sie die Änderungen der Systemeinstellungen. Folgen Sie den weiteren Angaben, die Sie durch den kompletten weiteren Installationsvorgang führen. Dieser Vorgang kann mehrere Minuten dauern. Am Ende wird ein Abschlussfenster für das Setup angezeigt. Es enthält eine Statusmeldung über die erfolgreiche Installation des SINEMA RC Client. Im Setup-Fenster haben Sie die Möglichkeit, den Computer sofort oder später neu zu starten. Wählen Sie die gewünschte Option und klicken Sie auf die Schaltfläche "Fertigstellen", um die Installation zu beenden. Ergebnis Nach dem Neustart finden Sie auf Ihrem Desktop eine neue Verknüpfung "SINEMA RC Client" und im Startmenü ein neuer Eintrag "Alle Programme > Siemens Automation > SIMATIC > SINEMA RC Client". Zusätzlich wird die Netzwerkschnittstelle "TAP Windows Adapter V9" installiert. Über diese Schnittstelle baut der SINEMA RC Client die VPN-Verbindung zum SINEMA RC Server auf. 54 Getting Started, 11/2017, C79000-G8900-C394-04

55 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.3 Auf dem Laptop des Servicetechnikers Mit SINEMA RC Client am SINEMA RC Server anmelden Voraussetzung Der Laptop und der SINEMA RC Server sind mit dem WAN verbunden. Benutzer "Service" ist angelegt, siehe "Auf dem SINEMA RC Server einen Benutzer anlegen (Seite 51)". Vorgehensweise 1. Doppelklicken Sie auf Ihrem Desktop das Symbol "SINEMA RC Client". Der SINEMA RC Client startet. 2. Geben Sie bei IP-Adresse die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)". 3. Geben Sie sich bei Benutzernamen "Service" und bei Passwort z. B. Di1S+Xo? ein. Klicken Sie auf die Schaltfläche "Anmelden". Nach erfolgreicher Anmeldung wird die Startseite angezeigt. 4. Klicken Sie auf die Schaltfläche "VPN Tunnel aufbauen". Ergebnis Der SINEMA RC Client lädt die OpenVPN-Datei vom SINEMA RC Server herunter. Die Datei enthält die Parameter, die für die VPN-Verbindung zum SINEMA RC Server notwendig sind. Nach dem Herunterladen baut der SINEMA RC Client mit diesen Parametern die VPN- Verbindung auf. Der SINEMA RC Client prüft in regelmäßigen Abständen, ob ein gültiger License Key vorhanden ist. Falls nicht, z. B. wenn Sie während des Betriebs den USB-Dongle entfernen, erhalten Sie eine Systemmeldung. Getting Started, 11/2017, C79000-G8900-C

56 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.3 Auf dem Laptop des Servicetechnikers Der Benutzer "Service" ist Mitglied der Teilnehmergruppe "Service". Alle Geräte, die dieser Gruppe zugeordnet sind, werden angezeigt. 56 Getting Started, 11/2017, C79000-G8900-C394-04

57 IPsecVPN-Tunnel zwischen SINEMA RC Server und 5 S Prinzipielles Vorgehen In diesem Beispiel wird die Konfiguration aus "OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC Server" erweitert. Die Security-Baugruppe SCALANCE S623 und der SINEMA RC Server bilden die beiden Endpunkte eines VPN-Tunnels. Der VPN-Tunnel wird hierbei zwischen der DMZ-Schnittstelle der SCALANCE S623 Baugruppe und der WAN- Schittstelle des SINEMA RC Servers aufgebaut. Auf dem SINEMA RC Server sind die Security-Baugruppen Teilnehmer in der gleichen Gruppe, so dass das SCALANCE S623 mit dem SCALANCE S615 Daten austauschen kann. Aufbau Getting Started, 11/2017, C79000-G8900-C

58 IPsecVPN-Tunnel zwischen SINEMA RC Server und S Prinzipielles Vorgehen Zentrale - Anschluss an SINEMA RC Server Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an dem LAN-Port des SINEMA RC Servers angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 3 SINEMA RC Server Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an dem WAN-Port des SINEMA RC Servers angeschlossen wird. Station 1 - Anschluss an SCALANCE M87x Im internen Netz wird im Testaufbau ein Netzknoten durch einen Admin-PC realisiert, der an eine Ethernet-Schnittstelle des SCALANCE M-800 angeschlossen ist. Admin-PC: repräsentiert einen Teilnehmer des internen Netzwerks 1 M-800: SCALANCE M-Modul zum Schutz des internen Netzwerks 1 Anbindung an das externe, öffentliche Netzwerk: Drahtlos über die Antenne des M874 an das Mobilfunknetz. Station 2 - Anschluss an SCALANCE S615 Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an die Ethernet-Schnittstelle P1 des S615 angeschlossen ist. PC: repräsentiert einen Teilnehmer im internen Netzwerk 2 S615: SCALANCE S-Modul zum Schutz des internen Netzwerks 2 Anbindung an das externe Netzwerk über einen Router Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an die Ethernet- Schnittstelle P5 des S615 angeschlossen wird. Automatisierungszelle 1 - Anschluss an SCALANCE S623 Internes Netzwerk - Anschluss an der internen Schnittstelle der Security-Baugruppe In den beiden internen Netzwerken befindet sich jeweils ein PC, der an der internen Schnittstelle der Security-Baugruppe angeschlossen ist. PC4: Repräsentiert einen Teilnehmer des internen Netzwerks 4 Externes Netzwerk - Anschluss an der externen Schnittstelle der Security-Baugruppe Der Zugriff auf das Internet erfolgt über ein DSL-Modem bzw. einen DSL-Router, welche an der externen Schnittstelle der Security-Baugruppe angeschlossen wird. 58 Getting Started, 11/2017, C79000-G8900-C394-04

59 IPsecVPN-Tunnel zwischen SINEMA RC Server und S Prinzipielles Vorgehen Verwendete Einstellungen Station1 LAN1 Station2 LAN2 Zentrale LAN3 SINEMA WAN-Port RC Server Die WAN-IP-Adresse, über die der SINEMA RC Server erreichbar ist, ist in diesem Beispiel die WAN-IP-Adresse des Routers Default-Gateway ist die LAN-IP-Adresse des Routers PC3 Ethernet (LAN3) Router 3 LAN-Port WAN-Port S623 Externer Port P1 Interner Port (LAN4) P2 Automatisierungszelle LAN4 Name Interface IP-Adresse S615_1 LAN-Port P1 (vlan1) WAN-Port P5 (vlan2) Default-Gateway ist die LAN-IP-Adresse des Routers PC1 LAN-Port Router1 LAN-Port S615_2 PC2 LAN-Port P1 (vlan1) WAN-Port P5 (vlan2) Ethernet (LAN 2) Default-Gateway ist die LAN-IP-Adresse des Routers Router 2 LAN-Port Getting Started, 11/2017, C79000-G8900-C

60 IPsecVPN-Tunnel zwischen SINEMA RC Server und S Prinzipielles Vorgehen Name Interface IP-Adresse PC4 Ethernet (LAN4) Hinweis Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt. Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Voraussetzung SINEMA RC Server Der SINEMA RC Server ist mit dem WAN verbunden, siehe "SINEMA RC Server mit dem WAN verbinden (Seite 9)". Sie sind am SINEMA RC Server angemeldet. SCALANCE S615 Das SCALANCE S ist mit dem WAN verbunden. Die Projektierungsschritte finden Sie im Getting Started "SCALANCE S615". Die Projektierungsschritte gelten für alle Geräte und unterscheiden sich nur in den Einstellungen, siehe Tabelle "Verwendete Einstellungen (Seite 57)". Das SCALANCE S ist über den PC1/2 erreichbar und Sie sind am WBM als "admin" angemeldet. Im SCALANCE S ist ein gütliger KEY-PLUG gesteckt. SCALANCE S623 Das SCALANCE S623 ist mit dem WAN verbunden. Die Projektierungsschritte finden Sie im Getting Started "Security einrichten". Die Projektierungsschritte gelten für alle Geräte und unterscheiden sich nur in den Einstellungen, siehe Tabelle "Verwendete Einstellungen (Seite 57)". Das SCALANCE S623 ist über den PC 4 erreichbar. Auf dem PC4 ist das Security Configuration Tool V4.x installiert. 60 Getting Started, 11/2017, C79000-G8900-C394-04

61 IPsecVPN-Tunnel zwischen SINEMA RC Server und S Prinzipielles Vorgehen Projektierungsschritte VPN-Tunnel mit SCT konfigurieren 1. Projekt und Baugruppe mit dem SCT anlegen (Seite 62) 2. VPN-Gruppe konfigurieren (Seite 65) 3. Eigenschaften des SCALANCE S623 konfigurieren (Seite 66) 4. Eigenschaften des SINEMA RC Servers konfigurieren (Seite 67) 5. VPN-Verbindung konfigurieren (Seite 68) 6. Konfiguration in SCALANCE S623 laden und SINEMA RC-Konfiguration abspeichern (Seite 70) Auf dem SINEMA RC Server die Fernverbindung konfigurieren 1. IPsec-Profil anlegen (Seite 71) 2. Zertifikat laden (Seite 72) 3. Gerät anlegen (Seite 74) Getting Started, 11/2017, C79000-G8900-C

62 IPsecVPN-Tunnel zwischen SINEMA RC Server und S VPN-Tunnel mit SCT konfigurieren 5.2 VPN-Tunnel mit SCT konfigurieren Projekt und Baugruppen mit dem SCT anlegen Vorgehensweise 1. Starten Sie die Projektierungssoftware Security Configuration Tool V4.x auf dem PC. 2. Wählen Sie den Menübefehl "Projekt" > "Neu...". 3. Legen Sie im folgenden Dialog einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle "Administrator" zugewiesen. 4. Bestätigen Sie den Dialog mit "OK". Ein neues Projekt ist angelegt und der Dialog "Auswahl einer Baugruppe oder Softwarekonfiguration" wird geöffnet. 62 Getting Started, 11/2017, C79000-G8900-C394-04

63 IPsecVPN-Tunnel zwischen SINEMA RC Server und S VPN-Tunnel mit SCT konfigurieren 5. Geben Sie die dem SINEMA RC zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 57)" ein. Das VPN-Gerät steht stellvertretend für den SINEMA RC Server. 6. Schließen Sie den Dialog mit "OK". 7. Erzeugen Sie mit dem Menübefehl "Einfügen" > "Baugruppe" ein zweite Baugruppe. Getting Started, 11/2017, C79000-G8900-C

64 IPsecVPN-Tunnel zwischen SINEMA RC Server und S VPN-Tunnel mit SCT konfigurieren 8. Geben Sie die dem SCALANCE S623 zugeordneten Werte aus der Tabelle "Verwendete Einstellungen (Seite 57)" ein. Tragen Sie zusätzlich die MAC-Adresse ein, die auf der Frontseite der Security-Baugruppe aufgedruckt ist. 9. Schließen Sie den Dialog mit "OK". Ergebnis Das VPN-Gerät und die Security-Baugruppe SCALANCE S623 werden in der Liste der konfigurierten Baugruppen angezeigt. 64 Getting Started, 11/2017, C79000-G8900-C394-04

65 IPsecVPN-Tunnel zwischen SINEMA RC Server und S VPN-Tunnel mit SCT konfigurieren VPN-Gruppe konfigurieren Nur, wenn der SINEMA RC Server und die Security-Baugruppe S623 der gleichen VPN- Gruppe zugeordnet sind, kann eine VPN-Verbindung für die gesicherte Kommunikation aufgebaut werden. Vorgehensweise 1. Selektieren Sie im Navigationsbereich den Ordner "VPN-Gruppen" und erzeugen Sie mit dem Menübefehl "Einfügen" > "Gruppe" eine neue VPN-Gruppe. Die VPN-Gruppe erhält automatisch den Namen "Gruppe1". 2. Markieren Sie im Navigationsbereich den Eintrag "Alle Baugruppen". 3. Markieren Sie im Inhaltsbereich das VPN-Gerät "SINEMARC" und die Security- Baugruppe S623. Ziehen Sie die Baugruppen per Drag&Drop in die "Gruppe1". Beide Baugruppen sind nun der VPN-Gruppe "Gruppe 1" zugeordnet. 4. Wechseln Sie mit dem Menübefehl "Ansicht" > "Erweiterter Modus" in den Erweiterten Modus. Getting Started, 11/2017, C79000-G8900-C

66 IPsecVPN-Tunnel zwischen SINEMA RC Server und S VPN-Tunnel mit SCT konfigurieren 5. Öffnen Sie die VPN-Gruppeneigenschaften der VPN-Gruppe "Gruppe 1", indem Sie im Kontextmenü den Befehl "Eigenschaften..." auswählen. 6. Konfigurieren Sie für diese Beispielkonfiguration die Gruppeneigenschaften mit folgenden Einstellungen. Die Verwendung von abweichenden Parametern kann dazu führen, dass die beiden Tunnelpartner keine VPN-Verbindung miteinander aufbauen können. Ergebnis Die Konfiguration der VPN-Verbindung ist abgeschlossen Eigenschaften des S623 konfigurieren Die Security-Baugruppe S623 baut über die DMZ-Schnittstelle die VPN-Verbindung zum SINEMA RC Server auf. Dazu sind die Eigenschaften des S623 entsprechend zu konfigurieren. 66 Getting Started, 11/2017, C79000-G8900-C394-04

67 IPsecVPN-Tunnel zwischen SINEMA RC Server und S VPN-Tunnel mit SCT konfigurieren Vorgehensweise 1. Selektieren Sie die Security-Baugruppe S623 im Inhaltsbereich und wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". 2. Klicken Sie auf das Register "Schnittstellen". 3. Aktivieren Sie im Bereich "DMZ-Port (X3)" das Kontrollkästchen "Schnittstelle aktivieren". 4. Wählen Sie in der Klappliste "IP-Zuweisung" den Eintrag "PPPoE" aus und klicken Sie auf "Übernehmen". 5. Geben Sie im Register "Internetverbindung" die Daten ein, mit denen Sie sich bei Ihrem Internet Service Provider (ISP) authentifizieren. 6. Klicken Sie auf "Übernehmen". 7. Klicken Sie auf das Register "VPN". 8. Wählen Sie in der Klappliste "Erlaubnis zur Initiierung des Verbindungsaufbaus" den Eintrag "Starte Verbindung zur Gegenstelle (Intiator/Responder)" aus. 9. Geben Sie in das Eingabefeld "WAN-IP-Adresse / FQDN" die IP-Adresse des SINEMA RC-Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 57)". 10.Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 11.Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Ergebnis Die Security-Baugruppe S623 ist fertig konfiguriert. Die Einstellungen werden im Security- Projekt gespeichert Eigenschaften des SINEMA RC Servers konfigurieren Die Geräte SCALANCE S615 sollen über den SINEMA RC Server mit dem SCALANCE S623 kommunizieren. Mit dem Security Configuration Tool konfigurieren Sie die VPN- Verbindung zwischen einem SCALANCE S623 und dem SINEMA RC Server. Um die Kommunikation über diesen VPN-Tunnel mit den anderen Geräten zu ermöglichen, sind diese für die VPN-Tunnelkommunikation freizugeben. Die Freigabe der Geräte konfigurieren Sie in den Eigenschaften des VPN-Geräts "SINEMARC". Vorgehensweise 1. Selektieren Sie im Inhaltsbereich das VPN-Gerät "SINEMARC" und wählen Sie den Menübefehl "Bearbeiten" > "Eigenschaften...". 2. Klicken Sie auf das Register "VPN" und klicken Sie auf die Schaltfläche "Hinzufügen". 3. Geben Sie bei "Durch Tunnel erreichbare Subnetze" die Teilnehmer ein, die in die Tunnelkommunikation mit einbezogen werden soll. Getting Started, 11/2017, C79000-G8900-C

68 IPsecVPN-Tunnel zwischen SINEMA RC Server und S VPN-Tunnel mit SCT konfigurieren 4. Klicken Sie auf die Schaltfläche "Hinzufügen" und konfigurieren Sie die Geräte mit folgenden Einstellungen: Netz-ID Netzmaske Kommentar IP-Adresse (vlan 1) der S615-Geräte, siehe Tabelle "Verwendete Einstellungen (Seite 57)". S615_1 bzw. S615_2 5. Klicken Sie auf "Übernehmen" und schließen Sie den Dialog mit "OK". 6. Wählen Sie den Menübefehl "Projekt" > "Speichern". Speichern Sie das Security-Projekt unter dem gewünschten Namen ab. Ergebnis Das VPN-Gerät "SINEMARC" ist fertig konfiguriert. Die Einstellungen werden im Security- Projekt gespeichert VPN-Verbindung konfigurieren Vorgehensweise 1. Klicken Sie im Navigationsbereich unter "VPN-Gruppen" auf "Gruppe1". 2. Selektieren Sie im Inhaltsbereich die Security-Baugruppe S623. Im Detailfenster werden Details zu den VPN-Partnern angezeigt. 3. Wählen Sie als "Lokale Schnittstelle" den Eintrag "DMZ-Port (dynamisch)" aus. 68 Getting Started, 11/2017, C79000-G8900-C394-04

69 IPsecVPN-Tunnel zwischen SINEMA RC Server und S VPN-Tunnel mit SCT konfigurieren 4. Wenn Sie im Inhaltsbereich das VPN-Gerät "SINEMARC" wählen, dann wird automatisch als "Partner-Schnittstelle" der Eintrag "DMZ-Port (dynamisch)" von S623 angezeigt. 5. Wählen Sie bei "Initiator/Responder" den Eintrag "Responder" aus. Die Verbindung wird von der Security-Baugruppe S623 zum SINEMA RC Server aufgebaut. Getting Started, 11/2017, C79000-G8900-C

70 IPsecVPN-Tunnel zwischen SINEMA RC Server und S VPN-Tunnel mit SCT konfigurieren Konfiguration in S623 laden und SINEMA RC-Konfiguration abspeichern Konfiguration in S623 laden 1. Markieren Sie im Inhaltsbereich die Security-Baugruppe "S623" und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". Der folgende Dialog wird geöffnet. 2. Klicken Sie auf "Starten", um den Ladevorgang zu starten. Wurde der Ladevorgang fehlerfrei abgeschlossen, wird das Security-Modul automatisch neu gestartet und die neue Konfiguration aktiviert. SINEMA RC-Konfiguration abspeichern 1. Markieren Sie im Inhaltsbereich den SINEMA RC Server und wählen Sie den Menübefehl "Übertragen" > "An Baugruppe(n)...". 2. Speichern Sie die Konfigurationsdatei "Projektname.SINEMARC.txt" in Ihr Projektverzeichnis und vergeben Sie ein Passwort für den privaten Schlüssel des Zertifikats. Ergebnis In das Projektverzeichnis werden folgende Dateien abgespeichert: Konfigurationsdatei: Projektname.SINEMARC.txt PKCS12-Datei: Projektname.Zeichenfolge.SINEMARC.p12 Gegenstellenzertifikat: Projektname.Gruppe1.SINEMARC.cer Die Konfigurationsdatei enthält die exportierten Konfigurationsinformationen für den SINEMA RC Server einschließlich einer Information über die zusätzlich erzeugten Zertifikate. Folgen Sie den Anweisungen in der Konfigurationsdatei. 70 Getting Started, 11/2017, C79000-G8900-C394-04

71 IPsecVPN-Tunnel zwischen SINEMA RC Server und S Auf dem SINEMA RC Server die Fernverbindung konfigurieren 5.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren IPsec-Profil anlegen In dem IPsec-Profil S623 konfigurieren Sie die Einstellungen für die Phase 1 und Phase 1. Voraussetzung Sie sind am Web Based Management des SINEMA RC Servers angemeldet. Die Konfigurationsdatei: Projektname.SINEMARC.txt ist geöffnet. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Sicherheit" > "VPN-Grundeinstellungen" und im Inhaltsbereich auf das Register "IPsec-Profile". 2. Klicken Sie auf die Schaltfläche "Erstellen". 3. Geben Sie bei "Profilname" einen Namen für das IPsec-Profil ein. 4. Wählen Sie beim "Schlüsselaustausch-Verfahren" "IKEv1" aus. 5. Konfigurieren Sie die Phase 1 mit folgenden Einstellungen: Konfigurationsdatei Verschlüsselung: AES-256 Hash: SHA-1 DH-Group: Group2 Lebensdauer: In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. Einstellungen im WBM Verschlüsselungsalgorithmus: AES-256 CBC Hash-Algorithmus: SHA-1 Schlüsselableitung: DH-Gruppe 2 (1024 bits) Lebensdauer (min): Wählen Sie bei Protokoll "ESP" aus. 7. Konfigurieren Sie die Phase 2 mit folgenden Einstellungen: Konfigurationsdatei Einstellungen im WBM Verschlüsselung: AES-128 Verschlüsselungsalgorithmus: AES-128 CBC Hash: SHA-1 Hash-Algorithmus: SHA-1 -- Schlüsselableitung: Keine SA Lebensdauer: Lebensdauer (min): 2880 In der Textdatei ist der Wert in Sekunden angegeben. Im WBM muss der Wert in Minuten eingegeben werden. 8. Klicken Sie auf "Erstellen". Getting Started, 11/2017, C79000-G8900-C

72 IPsecVPN-Tunnel zwischen SINEMA RC Server und S Auf dem SINEMA RC Server die Fernverbindung konfigurieren Ergebnis Das IPsec-Profil wird auf dem Register "IPsec-Proflie" aufgelistet Zertifikat laden Voraussetzung Zertifikate sind vorhanden. Die benötigten Zertifikate haben Sie im letzten Kapitel auf dem PC abgespeichert und ein Passwort für den privaten Schlüssel vergeben. Übertragen Sie die Zertifikate für den SINEMA RC-Server auf den PC 4. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Sicherheit" > "Zertifikatsverwaltung" und im Inhaltsbereich auf das Register "Gerätezertifikate". Im Inhaltsbereich werden die bereits geladenen Zertifikate aufgelistet. 2. Klicken Sie auf die Schaltfläche "Importieren". 3. Klicken Sie auf die Schaltfläche "Datei auswählen" und wählen Sie die PKCS12-Datei Projektname.Zeichenfolge.SINEMARC.p12 aus. 4. Geben Sie bei "Passwort" und bei "Passwort bestätigen" das Passwort ein, das Sie für die PKCS12-Datei festgelegt haben. 72 Getting Started, 11/2017, C79000-G8900-C394-04

73 IPsecVPN-Tunnel zwischen SINEMA RC Server und S Auf dem SINEMA RC Server die Fernverbindung konfigurieren 5. Klicken Sie auf die Schaltfläche "Weiter". Auf dem Register "Zertifikat aktivieren" werden Details des Zertifikats angezeigt. 6. Um das Zertifikat endgültig zu importieren, klicken Sie auf die Schaltfläche "Importieren". Ergebnis Die PKCS12-Datei ist auf dem SINEMA RC-Server importiert. Diese Zertifikatsdatei enthält das Teilnehmerzertifikat und das signierte Zertifikat der Zertifizierungsstelle. Getting Started, 11/2017, C79000-G8900-C