SIMATIC NET. EDGE/GPRS-Router SINAUT MD Vorwort, Inhaltsverzeichnis. Einsatz und Funktionen. Inbetriebnahme. Konfiguration. Lokale Schnittstelle

Transkript

1 Vorwort, Inhaltsverzeichnis Einsatz und Funktionen 1 SIMATIC NET EDGE/GPRS-Router Systemhandbuch Inbetriebnahme 2 Konfiguration 3 Lokale Schnittstelle 4 Externe Schnittstelle 5 Sicherheitsfunktionen 6 VPN-Verbindungen 7 Fernzugänge 8 Zustand, Logbuch und Diagnose 9 Weitere Funktionen 10 Technische Daten 11 Verwendete Standards und Zulassungen 12 C79000-G8900-C Glossar Ausgabe 01/2013

2 Rechtliche Hinweise Warnhinweiskonzept Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.!!! Gefahr bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Warnung bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Vorsicht mit Warndreieck bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Vorsicht ohne Warndreieck bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden. Achtung bedeutet, dass ein unerwünschtes Ergebnis oder Zustand eintreten kann, wenn der entsprechende Hinweis nicht beachtet wird. Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein. Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden. Bestimmungsgemäßer Gebrauch Beachten Sie Folgendes:! Marken Warnung Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Alle mit dem Schutzrechtsvermerk gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten. 2 Siemens AG Automation and Drives Postfach NÜRNBERG DEUTSCHLAND Dokumentbestell-Nr. C79000-G8900-C Ausgabe 01/2013 Copyright Siemens AG Änderungen vorbehalten

3 Externe Stromversorgung Verwenden Sie nur eine externe Stromversorgung die ebenfalls der EN60950 entspricht. Die Ausgangsspannung der externen Stromversorgung darf 30V DC nicht überschreiten. Der Ausgang der externen Stromversorgung muss kurzschlussfest sein.! Warnung Das darf nur aus Stromversorgungen nach IEC/EN Abschnitt 2.5 "Stromquelle mit begrenzter Leistung" versorgt werden. Die externe Stromversorgung für das muss den Bestimmungen für NEC Klasse 2 Stromkreisen entsprechen, wie im National Electrical Code (ANSI/NFPA 70) festgelegt. Beachten Sie die Abschnitte "Schraubklemmen für die Spannungsversorgung" und "Installationsvorschriften" dieser Dokumentation (Kapitel 2.7) sowie die Einbau- und Nutzungsvorschriften des jeweiligen Herstellers der Stromversorgung, der Batterie oder des Akkumulators. SIM-Karte Zur Installation der SIM-Karte muss das Gerät geöffnet werden. Trennen Sie das Gerät vor dem Öffnen von der Versorgungsspannung. Statische Aufladungen können das Gerät im geöffneten Zustand beschädigen. Entladen Sie die elektrische Aufladung Ihres Körpers vor dem Öffnen des Geräts. Berühren Sie dazu eine geerdete Oberfläche, z.b. das Metallgehäuse des Schaltschranks. Beachten Sie das Kapitel 2.7. Umgang mit Kabeln Ziehen Sie niemals einen Kabelstecker am Kabel aus seiner Buchse, sondern ziehen Sie am Stecker. Kabelstecker mit Schraubbefestigungen (Sub-D) müssen immer fest angeschraubt werden. Führen Sie die Kabel nicht ohne Kantenschutz über scharfe Ecken und Kanten. Sorgen Sie gegebenenfalls für eine ausreichende Zugentlastung der Kabel. Achten Sie darauf, dass aus Sicherheitsgründen der Biegeradius der Kabel eingehalten wird. Die Nichteinhaltung der Biegeradien des Antennenkabels führt zu Verschlechterung der Sende- und Empfangseigenschaften des Gerätes. Der minimale Biegeradius darf statisch den 5-fachen Kabeldurchmesser und dynamisch den 15-fachen Kabeldurchmesser nicht unterschreiten. C79000-G8900-C

4 Funkgerät! Warnung Verwenden Sie das Gerät niemals in Bereichen, in denen der Betrieb von Funkeinrichtungen untersagt ist. Das Gerät enthält einen Funksender, der gegebenenfalls medizinische elektronische Geräte wie Hörgeräte oder Herzschrittmacher in ihrer Funktion beeinträchtigen kann. Ihr Arzt oder der Hersteller solcher Geräte können Sie beraten. Damit keine Datenträger entmagnetisiert werden, lagern Sie keine Disketten, Kreditkarten oder andere magnetische Datenträger in der Nähe des Gerätes. Antennen-Montage! Warnung Das Einhalten der empfohlenen Strahlungsgrenzwerte der deutschen Strahlenschutzkommission ( vom 13./14. September 2001 muss gewährleistet sein. Montage einer Außenantenne Vorsicht Bei der Installation einer Antenne im Freien ist es zwingend erforderlich, dass die Antenne durch Fachpersonal fachgerecht montiert wird. Die Außenantenne muss zum Blitzschutz geerdet werden. Der Schirm der Außenantenne muss zuverlässig mit der Schutzerde verbunden werden. Bei der Installation sind den jeweiligen nationalen Installationsrichtlinien Folge zu leisten. In den USA ist dies der National Electric Code NFPA 70, Artikel 810. In Deutschland ist dies die Normenreihe VDE 0185 (DIN EN 62305) Teil 1 bis 4 bei Gebäuden mit Blitzschutzeinrichtung und die Normenreihe VDE 0855 (DIN EN ) bei Fehlen einer Blitzschutzeinrichtung. Hinweise und Warnungen zur Einhaltung von Sicherheits-, Telekom-, EMV und anderer Standards Vorsicht Beachten Sie die in die in Kapitel 12 aufgeführten Hinweise und Warnungen, bevor Sie das in Betrieb nehmen. 4 C79000-G8900-C236-05

5 Verbindungskosten bei (E-) GPRS Achtung Beachten Sie, dass auch beim (Wieder-) Aufbau einer Verbindung, bei Verbindungsversuchen zur Gegenstelle (z.b. Server ausgeschaltet, falsche Zieladresse, etc.) sowie zum Erhalt einer Verbindung kostenpflichtige Datenpakete ausgetauscht werden. Firmware mit Open Source GPL/LGPL Die Firmware von enthält Open-Source-Software unter GPL-/ LGPL-Bedingungen. Gemäß des Abschnitts 3b von GPL und des Abschnitts 6b von LGPL bieten wir Ihnen den Sourcecode an. Schreiben Sie an Geben Sie als Betriffttext Ihrer 'Open Source MD741' an, um Ihre Nachricht leicht herausfiltern zu können. Firmware mit OpenBSD Die Firmware von enthält Teile aus der OpenBSD-Software. Die Verwendung von OpenBSD-Software verpflichtet zum Abdruck des folgenden Copyright-Vermerkes: * Copyright (c) 1982, 1986, 1990, 1991, 1993 * The Regents of the University of California. All rights reserved. * * Redistribution and use in source and binary forms, with or without * modification, are permitted provided that the following conditions are met: * 1. Redistributions of source code must retain the above copyright * notice, this list of conditions and the following disclaimer. * 2. Redistributions in binary form must reproduce the above copyright * notice, this list of conditions and the following disclaimer in the * documentation and/or other materials provided with the distribution. * 3. All advertising materials mentioning features or use of this software * must display the following acknowledgement: * This product includes software developed by the University of California, * Berkeley and its contributors. * 4. Neither the name of the University nor the names of its contributors * may be used to endorse or promote products derived from this software * without specific prior written permission. * * THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE * ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, * WHETHER IN CONTRACT, STRICT * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF * SUCH DAMAGE. C79000-G8900-C

6 Vorwort Zweck dieser Dokumentation Diese Dokumentation begleitet Sie auf Ihrem Weg zum erfolgreichen Einsatz des GPRS/GSM-Modems. Sie führt in das Thema ein und gibt Ihnen eine Übersicht über das Einsatzgebiet der Hardware. Sie erläutert Ihnen, wie das Modem unter Berücksichtigung der Betriebsbedingungen in Betrieb genommen und konfiguriert wird. Die vorliegende Dokumentation zeigt die technischen Daten und die erfüllten Normen und Zulassungen für das GPRS/GSM-Modem MD Gültigkeitsbereich der Dokumentation Das vorliegende Handbuch ist gültig für das Produkt: GPRS/GSM-Modem Firmware-Version Hardware-Erzeugnisstand 2.x Bestellnummer 6NH9741-1AA00 Verwendungszweck: (E-)GPRS-VPN-Router für industrielle Anwendungen Service & Support Zusätzlich zu unserer Produkt-Dokumentation unterstützt Sie die umfassende Online-Info-Plattform rund um unseren Service & Support zu jeder Zeit von jedem Ort der Welt aus. Sie finden sie im Internet unter folgender Adresse: Dort finden Sie folgende Informationen: Neuigkeiten aus dem Support, Newsletter Produktinformationen, Produkt-Support, Applikationen & Tools Technisches Forum Zugang zu unserem weiteren Service & Support-Angebot: 6 C79000-G8900-C236-05

7 Vorwort Technical Consulting Engineering Support Field Service Telefon: +49 (0) Ersatzteile und Reparaturen Telefon: +49 (0) Optimierung und Modernisierung Technical Support Die kompetente Beratung bei technischen Fragen mit einem breiten Spektrum an bedarfsgerechten Leistungen rund um unsere Produkte und Systeme. Telefon: +49 (0) Kontaktdaten finden Sie im Internet unter folgender Adresse: SITRAIN - das Siemens-Training für Automation und Industrial Solutions Mit mehr als 300 verschiedenen Kursen deckt SITRAIN das gesamte Siemens- Produkt- und Systemspektrum im Bereich der Automatisierungs- und Antriebstechnik ab. Des Weiteren werden maßgeschneiderte Weiterbildungsmaßnahmen durchgeführt, die auf Ihre Anforderungen zugeschnitten sind. Ergänzend zu unserem klassischen Kursangebot bieten wir eine Kombination von verschiedenen Lernmedien und Sequenzen an. So können z. B. Selbstlernprogramme auf CD-ROM oder im Internet zur Vor- und Nachbereitung genutzt werden. Ausführliche Informationen zu unserem Schulungsangebot und Kontaktdaten unserer Kundenberater finden Sie unter folgender Internet-Adresse: Siemens-Literatur Die Bestellnummern für die hier relevanten Siemens-Produkte finden Sie in den folgenden Katalogen: C79000-G8900-C

8 Vorwort SIMATIC NET Industrielle Kommunikation / Industrielle Identifikation, Katalog IK PI SIMATIC Produkte für Totally Integrated Automation und Micro Automation, Katalog ST 70 Die Kataloge sowie zusätzliche Informationen können Sie bei Ihrer Siemens-Vertretung anfordern. Die SIMATIC NET-Handbücher finden Sie auf den Internet-Seiten des Siemens Customer Support für Automatisierung: Geben Sie dort die Beitrags-ID des jeweiligen Handbuchs als Suchbegriff ein. Die ID ist unter einigen Literaturstellen in Klammern angegeben. Die aktuelle Version dieser Dokumentation finden Sie unter der Beitrags-ID Alternativ finden Sie die SIMATIC NET-Dokumentation unter den Seiten des Produkt-Support: Navigieren Sie zur gewünschten Produktgruppe und nehmen Sie folgende Einstellungen vor: Beitragsliste Beitragstyp "Handbücher / Betriebsanleitungen" 8 C79000-G8900-C236-05

9 Inhaltsverzeichnis 1 Einsatz und Funktionen Einleitung Inbetriebnahme Sicherheitshinweise Schritt für Schritt Voraussetzungen für den Betrieb Gerätefront Service-Taster (SET) Betriebsanzeigen Anschlüsse Die SIM-Karte einlegen Hutschienenmontage Konfiguration TCP/IP Konfiguration des Netzwerkadapters unter Windows XP Erlaubte Zeichen bei Benutzernamen, Passwörtern und weiteren Eingaben Konfigurations-Verbindung herstellen Startseite der Web-Oberfläche Spracheinstellung Konfiguration vornehmen Konfigurationsprofile Passwort ändern Neustart Werkseinstellung laden Lokale Schnittstelle IP-Adressen der lokalen Schnittstelle DHCP Server zum lokalen Netz DNS zum lokalen Netz Lokaler Hostname Systemzeit / NTP Zusätzliche interne Routen Externe Schnittstelle Zugangsparameter zum EDGE/GPRS Installationsmodus - Antennen ausrichten Volumenüberwachung Verbindungsüberwachung Hostname durch DynDNS SRS Siemens Remote Service NAT - Network Address Translation C79000-G8900-C236-05

10 Inhaltsverzeichnis 6 Sicherheitsfunktionen Firewall-Regeln Port-Weiterleitung Erweiterte Sicherheitsfunktionen Firewall-Logbuch VPN-Verbindungen Erläuterungen zu VPN-Verbindungen VPN-Roadwarrior-Modus IPsec-VPN Standard-Modus VPN-Zertifikate laden Firewall-Regeln für VPN-Tunnel Überwachung der VPN-Verbindungen Erweiterte Einstellungen bei VPN-Verbindungen Status der VPN-Verbindungen Fernzugänge Fernzugang HTTPS Fernzugang SSH Fernzugang über Wählverbindung Zustand, Logbuch und Diagnose Logbuch Remote-Logging Snapshot Hardware-Informationen Software-Informationen Weitere Funktionen SMS Center (SMSC) Alarm-SMS SMS-Versand aus dem lokalen Netzwerk Software-Update Technische Daten Verwendete Standards und Zulassungen EG-Konformitätserklärung Konformität mit FM, UL und CSA Konformität mit FCC Glossar C79000-G8900-C236-05

11 Einsatz und Funktionen Einleitung Das bietet einen drahtlosen Anschluss zum Internet oder zu einem privaten Netzwerk. Das bietet diesen Anschluss an jedem Ort, an dem ein GSM-Netz (Global System for Mobile Communication = Mobilfunknetz) verfügbar ist, das als Dienste EGPRS (Enhanced General Packet Radio Service = EDGE) oder GPRS (General Packet Radio Service) bereitstellt. Voraussetzung dafür ist eine SIM-Karte eines GSM-Netzbetreibers mit entsprechend freigeschalteten Diensten. Das verbindet so eine lokal angeschlossene Applikation oder ganze Netzwerke über drahtlose IP-Verbindungen mit dem Internet. Möglich ist auch die direkte Verbindung mit einem Intranet, an dem wiederum die externen Gegenstellen angeschlossen sind. Das kann über die drahtlose IP-Verbindung ein VPN (Virtual Private Network) zwischen einer lokal angeschlossene Applikation oder einem Netzwerk und einem externen Netz aufbauen und diese Verbindung mittels IPsec (Internet Protocol Security) gegen Zugriffe Dritter schützen. Dazu vereinigt das Gerät folgende Funktionen: GPRS-Modem für die flexible Datenkommunikation per GPRS VPN-Router für sichere Datenübertragung über öffentliche Netze (IPSec Protokoll, 3DES-Datenverschlüsselung, AES Verschlüsselung) Firewall für den Schutz vor unberechtigtem Zugriff Der dynamische Paketfilter untersucht Datenpakete anhand der Ursprungsund Zieladresse (stateful packet inspection) und blockiert unerwünschten Datenverkehr (Anti-Spoofing). 11 C79000-G8900-C236-05

12 1 Einsatz und Funktionen Typische SINAUT-Anwendungsbeispiele S7-300 CPU TIM MD741-1 Leitstelle ST7cc DSL-Modem VPN-Router (E-)GPRS APN INTERNET VPN-Tunnel Abbildung 1-1 Verbindung zwischen CPU und Leitstelle CPU TIM MD741-1 Leitstelle STcc VPN-Tunnel TIM CPU Logische Verbindung TIM MD741-1 (E-)GPRS APN INTERNET DSL-Modem VPN-Router VPN-Tunnel Abbildung 1-2 Verbindung zwischen zwei CPUs 12 C79000-G8900-C236-05

13 1 Einsatz und Funktionen Konfiguration Die Konfiguration des Geräts erfolgt über eine Web-Oberfläche, die sich einfach mit einem Web-Browser anzeigen lässt. Der Zugriff kann über folgende Wege stattfinden: Die lokale Schnittstelle EGPRS/GPRS CSD (Circuit Switched Data = Datenwählverbindungen) des GSM Verbindung über GSM-CSD MD741-1 PC mit Web-Browser PC mit Web-Browser Verbindung über (E-)GPRS PC mit Web-Browser Abbildung 1-3 Konfigurationsverbindungen VPN-Funktionen Das bietet folgende VPN-Funktionen Protokoll: IPsec (Tunnelmode) IPsec 3DES Verschlüsselung mit 192 Bit IPsec AES Verschlüsselung mit 128, 192 und 256 Bit Paket-Authentifizierung: MD5, SHA-1 Internet Key Exchange (IKE) mit Main und Agressive Mode Authentisierung: Pre-Shared Key (PSK), X.509v3 -Zertifikate, CA NAT-T Dead Peer Detection (DPD) C79000-G8900-C

14 1 Einsatz und Funktionen Firewall-Funktionen Das bietet folgende Firewall-Funktionen, um das lokale Netz und sich selbst gegen Angriffe von Außen zu schützen: Stateful Inspection Firewall Anti-Spoofing Port Forwarding NAT Weitere Funktionen Das bietet folgende weitere Funktionen: DNS Cache DHCP Server NTP Remote Logging Schalteingang Schaltausgang Web-Oberfläche zur Konfiguration Versand von Alarm-SMS SSH-Konsole zur Konfiguration DynDNS-Client Datenwählverbindung zur Wartung und Fernkonfiguration 14 C79000-G8900-C236-05

15 Inbetriebnahme Sicherheitshinweise Sicherheitshinweise für den Geräteeinsatz Die folgenden Sicherheitshinweise sind für Aufstellung und Betrieb des Gerätes und alle damit zusammenhängenden Arbeiten wie Montage, Anschließen, Geräteaustausch oder Öffnen des Gerätes zu beachten. Allgemeine Hinweise für den Einsatz im Ex-Bereich! Warnung Explosionsgefahr beim Anschließen oder Abklemmen des Geräts EXPLOSIONSGEFAHR IN EINER LEICHT ENTZÜNDLICHEN ODER BRENNBAREN UMGEBUNG DÜRFEN KEINE LEITUNGEN AN DAS GERÄT ANGESCHLOSSEN ODER VOM GERÄT GETRENNT WERDEN.! Warnung Austausch von Komponenten EXPLOSIONSGEFAHR DER AUSTAUSCH VON KOMPONENTEN KANN DIE EIGNUNG FÜR CLASS I, DIVISION 2 ODER ZONE 2 BEEINTRÄCHTIGEN. 15 C79000-G8900-C236-05

16 2 Inbetriebnahme Hinweise für den Einsatz im Ex-Bereich gemäß ATEX!!! Warnung Anforderungen an den Schaltschrank Bei Einsatz in explosionsgefährdeter Umgebung entsprechend Class I, Division 2 oder Class I, Zone 2 muss das Gerät in einen Schaltschrank oder in ein Gehäuse eingebaut werden. Um die EU-Richtlinie 94/9 (ATEX 95) zu erfüllen, muss das Gehäuse mindestens die Anforderungen von IP54 nach EN erfüllt. Warnung Geeignete Kabel für Temperaturen über 70 C Wenn am Kabel oder an der Gehäusebuchse Temperaturen über 70 C auftreten oder die Temperatur an den Adernverzweigungsstellen der Leitungen über 80 C liegt, müssen besondere Vorkehrungen getroffen werden. Wenn das Gerät bei Umgebungstemperaturen von 50 C bis 70 C betrieben wird, dann müssen Sie Kabel mit einer zulässigen Betriebstemperatur von mindesten 80 C verwenden. Warnung Schutz vor transienter Überspannung Treffen Sie Maßnahmen, um transiente Überspannungen von mehr als 40% der Nennspannung zu verhindern. Das ist gewährleistet, wenn Sie die Geräte ausschließlich mit SELV (Sicherheitskleinspannung) betreiben. 2.2 Schritt für Schritt Gehen Sie bei der Inbetriebnahme des in folgenden Schritten vor: Schritt 1. Machen Sie sich zunächst mit den Voraussetzungen für den Betrieb des vertraut. Kapitel Lesen Sie sehr sorgfältig die Sicherheitshinweise und weitere Hinweise am Beginn dieses Dokuments und befolgen Sie diese unbedingt. 3. Machen Sie sich vertraut mit den Bedienelementen, Anschlüssen und Betriebsanzeigen des. 4. Schließen Sie einen PC mit Web-Browser (Admin-PC) an die lokale Schnittstelle (10/100 BASE-T) des SINAUT MD741-1 an , C79000-G8900-C236-05

17 2 Inbetriebnahme 5. Tragen Sie über die Web-Oberfläche des die PIN (Persönliche Identifikations-Nummer der SIM-Karte ein. 6. Trennen Sie das von der Versorgungsspannung Legen Sie die SIM-Karte in das Gerät ein Schließen Sie die Antenne an Verbinden Sie das mit der Versorgungsspannung. 10. Richten Sie das nach Ihren Anforderungen ein bis Schließen Sie Ihre lokale Applikation an Voraussetzungen für den Betrieb Um das betreiben zu können, müssen die folgenden Informationen vorliegen und die folgenden Voraussetzungen erfüllt sein: Antenne Eine Antenne, angepasst auf die Frequenzbänder des von Ihnen gewählten GSM- Netzbetreibers: 850 MHz, 900 MHz, 1800 MHz oder 1900 MHz. Verwenden Sie nur Antennen aus dem Zubehör zum. Siehe Kapitel 2.7. Spannungsversorgung Eine Spannungsversorgung mit einer Spannung zwischen 12 V DC und 30 V DC, die einen ausreichenden Strom liefern kann. Siehe Kapitel 2.7. SIM-Karte Eine SIM-Karte des ausgewählten GSM-Netzbetreibers. PIN Die PIN (= Personel Identification Number) der SIM-Karte C79000-G8900-C

18 2 Inbetriebnahme EGPRS / GPRS Freischaltung Die SIM-Karte muss von Ihrem GSM-Netzbetreiber für die Dienste EGPRS oder GPRS freigeschaltet sein. Die EGPRS / GPRS Zugangsdaten müssen bekannt sein: Access Point Name (APN) Benutzername Passwort CSD 9600 bit/s Freischaltung Die SIM-Karte muss von Ihrem GSM-Netzbetreiber für den CSD-Dienst freigeschaltet sein, wenn Sie die Fernkonfiguration über Datenwählverbindungen nutzen möchten, siehe Kapitel Gerätefront 1) Anschlussklemmen der Stromversorgung 2) Service-Taster (SET) 3) Antennenbuchse Typ SMA 4) Betriebsanzeigen S, Q, C 5) X1 (Service; USB) ohne Funktion Abbildung 2-1 Gerätefront 6) X2 (10/100-Base-T - RJ45- Buchse) zum Anschluss des lokalen Netz 7) Betriebsanzeigen DC5V, LINK, VPN 18 C79000-G8900-C236-05

19 2 Inbetriebnahme 2.5 Service-Taster (SET) Auf der Frontseite des befindet sich ein kleines Loch (siehe B), das mit SET beschriftet ist und hinter dem sich ein Taster befindet. Benutzen Sie einen spitzen Gegenstand, z.b. eine aufgebogene Büroklammer, um den Taster zu drücken Wenn Sie den Taster länger als 5 sec drücken, führt das einen Neustart durch und lädt dabei die Werkseinstellungen. 2.6 Betriebsanzeigen Die Leuchtdioden (LEDs) auf dem geben Auskunft über den Betriebszustand des Geräts. Bedeutung der LEDs auf der linken Geräteseite: LED Zustand Bedeutung S (Status) Q (Quality) C (Connect) S, Q, C gemeinsam Langsam blinkend PIN-Übergabe Schnell blinkend PIN-Fehler / SIM-Fehler EIN PIN-Übergabe erfolgreich AUS Nicht im GSM-Netz eingebucht Kurz aufblinkend Signalstärke schlecht (CSQ < 6) Langsam blinkend Signalstärke mittel (CSQ= 6..10) EIN, mit kurzen Signalstärke gut (CSQ=11-18) Unterbrechungen EIN Signalstärke sehr gut (CSQ > 18) AUS Keine Verbindung Schnell blinkend Service Ruf über CSD aktiv EIN mit kurzen GPRS-Verbindung aktiv Unterbrechungen EIN EGPRS-Verbindung aktiv schnelles Lauflicht Booten langsames Lauflicht Update synchrones schnelles Fehler Blinken C79000-G8900-C

20 2 Inbetriebnahme Bedeutung der LEDs auf der rechten Geräteseite DC 5V LINK VPN LED Zustand Bedeutung EIN AUS EIN AUS EIN mit kurzen Unterbrechungen EIN AUS Gerät eingeschaltet, Betriebsspannung liegt an Gerät ausgeschaltet, Betriebsspannung fehlt Ethernet-Verbindung zur lokalen Applikation bzw. zum lokalen Netz hergestellt Keine Ethernet-Verbindung zur lokalen Applikation bzw. zum lokalen Netz Datentransfer über die Ethernet-Verbindung Mindestens eine VPN-Verbindung aufgebaut Keine VPN-Verbindung aufgebaut 2.7 Anschlüsse Die Anschlüsse des MD741-1 befinden sich an der Gerätefront X2 (10/100-Base-T) Am Anschluss 10/100-Base-T wird das lokale Netz, mit den lokalen Applikationen angeschlossen, z.b. eine programmierbare Steuerung eine Maschine mit Ethernet- Schnittstelle zur Fernüberwachung, ein Notebook bzw. PC. Zum Einrichten des schließen Sie hier den Admin-PC mit Web- Browser an. Die Schnittstelle unterstützt Autonegation. Somit wird automatisch erkannt, ob 10 Mbit/s oder 100 Mbit/s Übertragungsgeschwindigkeit auf dem Ethernet genutzt wird. Das verwendete Anschlusskabel muss einen RJ45-Stecker haben. Es kann ein Cross-over oder ein Patch-Kabel sein. X1 (Service; USB) Diese Schnittstelle ist beim ohne Funktion und reserviert für spätere Anwendungen. Schließen Sie hier keine Geräte an. Der Betrieb des könnte gestört werden. 20 C79000-G8900-C236-05

21 2 Inbetriebnahme SMA-Antennenbuchse Das hat eine Antennenbuchse vom Typ SMA zum Anschluss der Antenne. Die verwendete Antenne muss eine Impedanz von ca. 50 Ohm haben. Sie muss abgestimmt sein für GSM 900MHz und DCS 1800MHz oder GSM 850 MHz und PCS 1900 MHz, je nachdem, welche Frequenzbänder ihr GSM-Netzbetreiber verwendet. In Europa und China werden GSM 900MHz und DCS 1800MHz verwendet, in den USA verwendet man GSM 850 MHz and PCS 1900 MHz. Erkundigen Sie sich bei Ihrem Netzbetreiber. Die Anpassung (VSWR) der Antenne muss 1:2,5 oder besser sein. Achtung: Verwenden Sie nur Antennen aus dem Zubehörprogramm für das SINAUT MD Andere Antennen können die Produkteigenschaften stören oder sogar zu Defekten führen. Bei der Installation der Antenne ist auf eine ausreichend gute Signalqualität dazu achten (CSQ > 11). Nutzen Sie die Signalleuchten des, die Ihnen die Signalqualität anzeigen. Achten Sie darauf, dass sich keine großen metallischen Gegenstände (z.b. Stahlbeton) in der Nähe der Antenne befinden. Beachten Sie die Montage- und Gebrauchsanleitung der verwendeten Antenne.! Warnung When the antenna is installed outdoors it must be earthed for lightning protection. The outdoor antennas shield must be reliable connective to protective earth. The installation shall be done according the national installation codes (For US this is the National Electric Code NFPA 70, article 810). This work must be carried out by qualified personnel only. C79000-G8900-C

22 2 Inbetriebnahme Schraubklemmen für die Spannungsversorgung Abbildung 2-2 Schraubklemmen Versorgung (24V 0V) Das arbeitet mit einer Gleichspannung von DC V, nominell DC 24 V. Diese Versorgungsspannung wird an die Schraubklemmen der linken Gerätehälfte angeschlossen. Die Stromaufnahme beträgt etwa 510 ma bei 12 V und 230 ma bei 30 V. Warnung: Das Netzteil des ist nicht potentialgetrennt. Beachten Sie die Sicherheitshinweise am Anfang dieses Handbuchs. Installationsvorschriften Verwenden Sie nur Kupferleitungen. Draht: 0,5...3 mm 2 (AWG ) Litze: 0,5...2,5 mm 2 Anzugsmoment für Schraubklemmen: 0,6...0,8 Nm 22 C79000-G8900-C236-05

23 2 Inbetriebnahme 2.8 Die SIM-Karte einlegen Achtung: Bevor Sie die SIM-Karte einlegen, tragen Sie im über die Web- Oberfläche die PIN der SIM-Karte ein. Siehe Kapitel 5.1. Abbildung 2-3 SIM-Karten-Schublade 1. Nachdem Sie die PIN der SIM-Karte eingetragen haben, trennen Sie das vollständig von der Versorgungsspannung. 2. Die Schublade für die SIM-Karte befindet sich auf der Geräterückseite. In der Gehäuseöffnung befindet sich direkt neben der Schublade für die SIM- Karte ein kleiner gelber Taster. Drücken Sie auf diesen Taster mit einem spitzen Gegenstand, z.b. einem Bleistift. Bei Druck auf den Taster kommt die SIM-Karten-Schublade aus dem Gehäuse. 3. Legen Sie die SIM-Karte so in die Schublade, dass ihre vergoldeten Kontakte sichtbar bleiben. 4. Schieben Sie die Schublade mit der SIM-Karte vollständig in das Gehäuse. Achtung: Legen Sie die SIM-Karte auf keinen Fall im Betrieb ein oder entfernen Sie sie. Die SIM-Karte und das könnten beschädigt werden. C79000-G8900-C

24 2 Inbetriebnahme 2.9 Hutschienenmontage Das ist zur Montage auf Hutschienen nach DIN EN vorgesehen. Eine entsprechende Halterung befindet sich an der Geräterückseite. Montage Abbildung 2-4 Hutschienenmontage 1. Hängen Sie die obere Rastführung des Geräts in die Hutschiene ein. Demontage 2. Drücken Sie das Gerät nach unten gegen die Hutschiene, bis der gefederte Riegel einrastet. 1. Ziehen Sie mit einem Schraubenzieher den gefederten Riegel auf der Rückseite des Geräts nach unten. 2. Nehmen Sie das Gerät von der Hutschiene ab. 24 C79000-G8900-C236-05

25 Konfiguration 3 Fernkonfiguration Die Konfiguration der VPN-, Router- und Firewall-Funktionen erfolgt lokal oder aus der Ferne über die web-basierte Administrations-Oberfläche des SINAUT MD Eine Fernkonfiguration über HTTPS- oder CSD-Zugang ist nur möglich, wenn das für Fernzugriffe konfiguriert ist. Gehen Sie zur Fernkonfiguration des Geräts vor, wie in Kapitel 8 beschrieben ist. Konfiguration über die lokale Schnittstelle Die Voraussetzungen für die Konfiguration über die lokale Schnittstelle sind: Der Rechner (Admin-PC), mit dem Sie die Konfiguration vornehmen, muss entweder direkt an der Ethernet-Buchse des per Netzwerkkabel angeschlossen sein oder... über das lokale Netz direkten Zugriff auf das haben. Der Netzwerkadapter des Rechners (Admin-PC), mit dem Sie die Konfiguration vornehmen, muss folgende TCP/IP Konfiguration haben: IP-Adresse: Subnetzmaske: Statt der IP-Adresse können Sie auch andere IP-Adressen aus dem Bereich x verwenden. Wenn Sie über das mit dem Admin-PC über das SINAUT MD741-1 auch auf das externe Netz zugreifen möchten, sind zusätzlich folgende Einstellungen erforderlich: Standardgateway: Bevorzugter DNS-Server: Adresse des Domain Name Servers 25 C79000-G8900-C236-04

26 3 Konfiguration 3.1 TCP/IP Konfiguration des Netzwerkadapters unter Windows XP Einrichten der LAN-Verbindung Klicken Sie Start, Verbinden mit..., Alle Verbindungen anzeigen Klicken Sie dann auf LAN-Verbindung. Wählen Sie im Dialogfeld Eigenschaften von LAN-Verbindung die Registerkarte Allgemein und markieren Sie dort den Eintrag Internetprotokoll (TCP/IP). Öffnen Sie Eigenschaften durch klicken auf diese Schaltfläche. Es erscheint das Fenster Eigenschaften von Internetprotokoll TCP/IP (siehe Abbildung 3-1 ). Hinweis: Der Weg der zum Dialogfeld Eigenschaften von LAN-Verbindung führt hängt von Ihren Windows Einstellungen ab. Können Sie das Dialogfeld nicht finden, suchen Sie in der Windows-Hilfe nach LAN-Verbindung oder Eigenschaften von Internetprotokoll TCP/IP. Abbildung 3-1 Windows-Eigenschaften von Internet Protocol 26 C79000-G8900-C236-05

27 3 Konfiguration Geben Sie folgende Werte ein, um die Web-Oberfläche des zu erreichen: IP-Adresse: Subnetzmaske: Geben Sie zusätzlich folgende Werte ein, wenn Sie mit dem Admin-PC über das auf das externe Netz zugreifen wollen: Standardgateway: Bevorzugter DNS-Server: Bevorzugter DNS-Server Wenn Sie Adressen über einen Domain-Namen aufrufen (z. B. dann muss auf einem Domain Name Server (DNS) nachgeschlagen werden, welche IP-Adresse sich hinter dem Namen verbirgt. Als Domain Name Server können Sie festlegen: DNS-Adresse des Netzbetreibers, oder Lokale IP-Adresse des, sofern dieses zum Auflösen von Hostnamen in IP-Adressen konfiguriert ist (siehe Kapitel 4.3). Um den Domain Name Server in der TCP/IP-Konfiguration Ihres Netzwerkadapters festzulegen, gehen Sie wie zuvor beschrieben vor. 3.2 Erlaubte Zeichen bei Benutzernamen, Passwörtern und weiteren Eingaben Bei Eingaben von Benutzernamen, Passwörtern, Hostnamen, APN und PIN sind folgende darstellbare ASCII-Zeichen erlaubt: Benutzernamen, Passwörter, PIN a b c d e f g h I j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z ! $ % & ' ( ) * +,. / : ; < = [ \ ] ^ _ ` { } Host-Namen, APN a b c d e f g h I j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z C79000-G8900-C

28 3 Konfiguration 3.3 Konfigurations-Verbindung herstellen Web-Browser einrichten Gehen Sie wie folgt vor: 1. Starten Sie einen Web-Browser. (z.b. MS Internet Explorer ab Version 7 oder Mozilla Firefox ab Version 2; der Web-Browser muss SSL (d. h. HTTPS) unterstützen.) 2. Achten Sie darauf, dass der Browser beim Starten nicht automatisch eine Verbindung wählt. Nehmen Sie im MS Internet Explorer diese Einstellung wie folgt vor: Menü Extras, Internetoptionen..., Registerkarte Verbindungen: Unter DFÜ- und VPN- Einstellungen muss Keine Verbindung wählen aktiviert sein. Startseite des aufrufen 1. Geben Sie in der Adresszeile des Browsers die IP-Adresse des SINAUT MD741-1 vollständig ein. Gemäß Werkseinstellung lautet diese: Folge: Es erscheint ein Sicherheitshinweis. Abbildung 3-2 Sicherheitshinweis bestätigen 2. Quittieren Sie den entsprechenden Sicherheitshinweis mit Laden dieser Webseite fortsetzen 28 C79000-G8900-C236-05

29 3 Konfiguration Hinweis Da das Gerät nur über verschlüsselte Zugänge administrierbar ist, wird es mit einem selbst unterzeichneten Zertifikat ausgeliefert. Bei Zertifikaten mit Unterschriften, die dem Betriebssystem nicht bekannt sind, erfolgt ein Sicherheitshinweis. Sie können sich das Zertifikat anzeigen lassen. Aus dem Zertifikat muss erkenntlich sein, dass es für die Siemens AG ausgestellt wurde. Die Web-Oberfläche wird über eine IP-Adresse adressiert und nicht über einen Namen, daher stimmt der im Sicherheitszertifikat angegebene Name nicht mit dem im Zertifikat überein. Benutzername und Passwort eingeben 3. Sie werden aufgefordert, den Benutzernamen und das Passwort (Kennwort) anzugeben: Abbildung 3-3 Benutzernamen und Passwort eingeben Die werkseitige Voreinstellung lautet: Benutzername: Kennwort: admin sinaut Hinweis Sie sollten auf jeden Fall das Passwort (Kennwort) ändern. Die werkseitige Voreinstellung ist allgemein bekannt und ist kein ausreichender Schutz. Im Kapitel 3.8 ist beschrieben, wie das Passwort geändert werden kann. C79000-G8900-C

30 3 Konfiguration Die Startseite wird angezeigt Nach Eingabe von Benutzername und Passwort erscheint im Web-Browser die Startseite des mit einem Überblick über den Betriebszustand, siehe Kapitel 3.4. Die Startseite wird nicht angezeigt Sollte auch nach wiederholtem Versuch der Browser melden, dass die Seite nicht angezeigt werden kann, versuchen Sie Folgendes: Überprüfen Sie die Hardware-Verbindung. Dazu bei einem Windows-Rechner über die DOS-Eingabeaufforderung (Menü Start, Programme, Zubehör, Eingabeaufforderung) folgenden Befehl eingeben: ping Wenn innerhalb der vorgegebenen Zeitspanne die Meldung über den Rück- Empfang der 4 ausgesendeten Pakete nicht erscheint, überprüfen Sie das Kabel, die Anschlüsse und die Netzwerkkarte. Achten Sie darauf, dass der Browser keinen Proxy Server verwendet. Im MS Internet Explorer (Version 7.0) nehmen Sie diese Einstellung wie folgt vor: Menü Extras, Internetoptionen..., Registerkarte Verbindungen: Unter LAN- Einstellungen auf die Schaltfläche Einstellungen... klicken, im Dialogfeld Einstellungen für lokales Netzwerk (LAN) dafür sorgen, dass unter Proxyserver der Eintrag Proxyserver für LAN verwenden nicht aktiviert ist. Falls andere LAN-Verbindungen auf dem Rechner aktiv sind, deaktivieren Sie diese für die Zeit der Konfiguration. Unter Windows Menü Start, Verbinden mit..., Systemsteuerung, Alle Verbindungen anzeigen unter LAN oder Höchstgeschwindigkeits-Internet die betreffende Verbindung mit der rechten Maustaste klicken und im Kontextmenü Deaktivieren wählen. Geben Sie die Adresse des mit Schrägstrich ein: 30 C79000-G8900-C236-05

31 3 Konfiguration 3.4 Startseite der Web-Oberfläche Nach Aufrufen der Web-Oberfläche des und der Eingabe von Benutzernamen und Passwort erscheint ein Überblick über den aktuellen Betriebszustand des. Abbildung 3-4 Startseite / Überblick Hinweis Benutzen Sie die Funktion Aktualisieren des Web-Browsers, um die angezeigten Werte auf den aktuellen Stand zu bringen. Aktuelle Systemzeit Zeigt die aktuelle Systemzeit des an, im Format: Jahr Monat Tag, Stunden Minuten Verbunden seit Zeigt mit Datum und Uhrzeit an, seit wann die aktuelle Funkverbindung besteht Externer Hostname Zeigt den Hostnamen (z.b. md741.mydns.org) des an, wenn ein DynDNS-Dienst verwendet wird. C79000-G8900-C

32 3 Konfiguration Zugewiesene IP-Adresse Zeigt die IP-Adresse an, unter der das im EGPRS oder GPRS zu erreichen ist. Diese IP-Adresse wird dem vom EGPRS oder GPRS zugewiesen. Verbindung Zeigt an, ob eine Funkverbindung besteht, und falls ja, welche: EDGE-Verbindung (IP-Verbindung über EGPRS) GPRS-Vebindung (IP-Verbindung über GPRS) CSD-Verbindung (Service-Verbindung über CSD) Hinweis Verbindungsüberwachung nutzen Möglicherweise wird Ihnen eine IP-Datenverbindung und auch eine zugewiesene IP-Adresse angezeigt, obwohl die Verbindungsqualität nicht ausreicht, um Daten zu übertragen. Deshalb empfehlen wir, die Verbindungsüberwachung zu nutzen. Nähere Informationen finden Sie im Kapitel Prüfen der Verbindung - Verbindungsüberwachung (siehe Kapitel 5.4). Signalstärke CSQ (dbm) Die Balkenanzeige und die darüber stehende Ziffer geben die Stärke des GSM- Signals als CSQ-Wert an. CSQ = 0 Keine Verbindung zum GSM-Net CSQ < 6 Schlechte Signalstärke CSQ 6 10 Mittlere Signalstärke CSQ Gute Signalstärke CSQ > 18 Sehr gute Signalstärke Der dbm-wert wird in Klammern hinter dem CSQ-Wert angegeben. Wenn die Funktion "Installationsmodus" aktiviert ist, dann ist die Anzeige nicht aktiv. Verwendeter APN Zeigt den verwendeten APN (Access Point Name) der Funkverbindung an. 32 C79000-G8900-C236-05

33 3 Konfiguration IMSI Dieser Eintrag zeigt die Teilnehmerkennung an, die auf der verwendeten SIM- Karte gespeichert ist. Anhand dieser Kennung (IMSI = International Mobile Subscriber Identity) erkennt der Mobilfunkbetreiber die Berechtigungen und vereinbarten Dienste der SIM- Karte. NTP-Synchronisation Zeigt an, ob die Systemzeit über NTP von einem NTP-Server bezogen wird. : Der Dienst ist aktiviert. : Der Dienst ist nicht aktiviert. DynDNS Zeigt an, ob ein DynDNS-Dienst aktiviert ist. : Der Dienst ist aktiviert. : Der Dienst ist nicht aktiviert. Informationen darüber, ob die Anmeldung bei einem DNS-Dienst erfolgreich war, finden Sie im Logbuch. Fernzugang HTTPS Zeigt an, ob Zugriffe auf die Weboberfläche des aus der Ferne über das Funknetz erlaubt sind. Nähere Informationen finden Sie im Kapitel 8.1. : Der Dienst ist aktiviert. : Der Dienst ist nicht aktiviert. Fernzugang SSH Zeigt an, ob Zugriffe auf die SSH-Konsole des aus der Ferne über das Funknetz erlaubt sind. : Der Dienst ist aktiviert. : Der Dienst ist nicht aktiviert. C79000-G8900-C

34 3 Konfiguration CSD Einwahl Zeigt an, ob CSD-Serviceanrufe aus der Ferne erlaubt sind.. : Der Zugriff ist erlaubt. : Der Zugriff ist nicht erlaubt. Volumenüberwachung Zeigt an, ob die Volumenüberwachung ein- oder ausgeschaltet ist. : Die Funktion ist eingeschaltet. : Die Funktion ist ausgeschaltet. ID der aktuellen Funkzelle Dieser Eintrag zeigt die durch die Identifikationsnummer an, in welche Funkzelle sich das Gerät eingebucht hat (Cell ID). Anzahl WAN-Verbindungsversuche (24h) Dieser Zähler zeigt an, wie oft das in den letzten 24 Stunden versucht hat, eine Verbindung zum Mobilfunknetz aufzubauen. Gesendete Bytes und empfangene Bytes auf dieser Verbindung Diese Einträge zeigen die Anzahl der Bytes an, die während der bestehenden Verbindung zum Mobilfunknetz gesendet bzw. empfangen worden sind. Die Zähler werden beim Aufbau einer neuen Verbindung zurückgesetzt. Hinweis Diese Zahlen dienen nur als Anhaltspunkt für das Datenvolumen und können von der Abrechnung des Mobilfunkbetreibers deutlich abweichen. Gesendete Bytes und empfangene Bytes seit Laden der Werkseinstellungen Diese Einträge zeigen die Anzahl der Bytes an, die seit dem letzten Neustart bzw. Laden der Werkseinstellungen über das Mobilfunknetz gesendet bzw. empfangen worden sind. Die Zähler werden beim Laden der Werkseinstellungen zurückgesetzt. 34 C79000-G8900-C236-05

35 3 Konfiguration Datenvolumen (Bytes / aktueller Monat) Dieser Zähler gibt das Datenvolumen in Byte an, das seit Anfang des Monats über das übertragen wurde. Maximales Datenvolumen (Bytes / Monat) Dieser Eintrag zeigt an, auf welchen Grenzwert die Volumenüberwachung gesetzt wurde. Anzahl der aktivierten Firewall-Regeln Diese Angabe zeigt an, wie viele Firewall-Regeln zurzeit aktiv sind. Firmware-Version Diese Angabe zeigt die Versionsnummer der aktuell installierten Firmware des an. 3.5 Spracheinstellung Das unterstützt die Web-basierte Administrations-Oberfläche in englischer und deutscher Sprache. Abbildung 3-5 Sprachauswahl Automatisch Das wählt entsprechend den Einstellungen des benutzten Web- Browsers die Sprache der Administrations-Oberfläche: Deutsch, wenn der Web-Browser auf deutsche Sprache eingestellt ist Englisch, in allen anderen Fällen. C79000-G8900-C

36 3 Konfiguration Deutsch Das verwendet die deutsche Sprache, unabhängig vom verwendeten Web-Browser. Englisch Das verwendet die englische Sprache, unabhängig vom verwendeten Web-Browser. Zum Umschalten der Sprache betätigen Sie die Schaltfläche GO und laden Sie mit dem Web-Browser die Web-Seite neu. 3.6 Konfiguration vornehmen Zur Konfiguration des gehen Sie wie folgt vor: Konfiguration durchführen 1. Per Menü den gewünschten Einstellbereich aufrufen 2. auf der betreffenden Seite die gewünschten Einträge machen oder mit Zurücksetzen die aktuelle, nicht gespeicherte Eingabe wieder löschen. 3. mit Speichern bestätigen, so dass die Einstellungen vom Gerät übernommen werden. Abbildung 3-6 Menüleiste Hinweise Je nachdem, wie Sie den konfigurieren, müssen Sie gegebenenfalls anschließend die Netzwerkschnittstelle des lokal angeschlossenen Rechners bzw. Netzes entsprechend anpassen. Tragen Sie bei der Eingabe von IP-Adressen, die IP-Adress-Teilnummern immer ohne führende Nullen ein, z.b.: C79000-G8900-C236-05

37 3 Konfiguration Fehleingaben Das prüft Ihre Eingaben. Fehler werden beim Speichern erkannt und das betroffene Eingabefeld wird markiert. Abbildung 3-7 Markierte Fehleingabe 3.7 Konfigurationsprofile Die Einstellungen des können in Konfigurationsprofilen (Dateien) gespeichert werden und jederzeit neu geladen werden. Abbildung 3-8 Wartung > Konfigurations-Profile Profil hochladen Lädt ein zuvor erstelltes und auf den Admin-PC gespeichertes Konfigurationsprofil in das. Dateien mit Konfigurationsprofilen haben die Dateiendung *.tgz. Mit Durchsuchen können Sie auf dem Admin-PC nach Konfigurationsprofilen suchen, mit Absenden laden Sie das Konfigurationsprofil in das. Es wird dann in der Tabelle der gespeicherten Konfigurations-Profile angezeigt. C79000-G8900-C

38 3 Konfiguration Profil anlegen Speichert die aktuellen Einstellungen des in einem Konfigurationsprofil. Geben Sie zunächst einen Namen für das Profil in dem Eingabefeld ein. Mit Anlegen werden die Einstellungen in einem Profil mit diesem Namen gespeichert und dann in der Tabelle der gespeicherten Konfigurations-Profile angezeigt. Liste der gespeicherten Konfigurationsprofile In der dieser Liste werden alle im gespeicherten Konfigurationsprofile angezeigt. Die drei Schaltflächen neben dem jeweiligen Profil haben folgende Funktionen: Schaltfläche "Aktivieren" Das übernimmt die Einstellungen des ausgewählten Konfigurationsprofils und arbeitet mit diesem weiter. Schaltfläche "Download" Dialog zum Speichern des Konfigurationsprofils vom auf den Admin-PC. Schaltfläche "Löschen" Das Konfigurationsprofil wird gelöscht. Standard-Konfiguration Das Profil "Standard-Konfiguration" umfasst die Werkseinstellungen. Das Profil kann nicht gespeichert oder gelöscht werden. 3.8 Passwort ändern Der Zugang zum ist durch ein Zugangspasswort geschützt. Dieses Zugangspasswort schützt sowohl den Zugang über die lokale Schnittstelle auf die Web-Oberfläche und lokale Schnittstelle auf die SSH-Konsole wie auch den Zugang über EGPRS oder GPRS per https auf die Web-Oberfläche und EGPRS oder GPRS auf die SSH-Konsole 38 C79000-G8900-C236-05

39 3 Konfiguration Zugangspasswort (Werkseinstellung) Die Werkseinstellung für das lautet: Benutzername: admin (kann nicht verändert werden) Passwort: sinaut Achtung Werkseitiges Passwort sofort ändern Ändern Sie das Passwort sofort nach Inbetriebnahme. Die werkseitige Voreinstellung ist allgemein bekannt und bietet keinen ausreichenden Schutz. stellung ist allgemein bekannt und bietet keinen ausreichenden Schutz. Hinweis Der Benutzername für den SSH-Zugang weicht von dem Benutzernamen der webbasierten Administrations-Oberfläche ab. Benutzername: root (kann nicht verändert werden) Das Passwort entspricht dem Zugangspasswort für das wie oben festgelegt. Neues Zugangspasswort (mit Wiederholung) Um das Passwort zu ändern, geben Sie bei Neues Zugangspasswort das neu ausgewählte Passwort ein und wiederholen Sie die Eingabe im Feld Neues Zugangspasswort (Wiederholung). Mit Zurücksetzen werden Ihre noch nicht gespeicherten Eingaben verworfen. Mit Speichern wird das neue Passwort übernommen. C79000-G8900-C

40 3 Konfiguration 3.9 Neustart Obwohl das für den Dauerbetrieb ausgelegt ist, kann es bei solch einem komplexen System zu Störungen kommen, oftmals ausgelöst durch äußere Einwirkung. Ein Neustart kann diese Störungen beheben. Der Neustart setzt die Funktionen des zurück. Aktuelle Einstellungen entsprechend des Konfigurationsprofils ändern sich nicht. Nach dem Neustart arbeitet das mit diesen Einstellungen weiter. Abbildung 3-9 Wartung > Neustart Sofortiger Neustart Der Neustart wird sofort ausgeführt, wenn Sie auf Neustart klicken. Täglichen Neustart verwenden Der Neustart wird automatisch einmal am Tag ausgeführt, wenn Sie die Funktion mit Ja einschalten. Geben Sie den Zeitpunkt des täglichen Neustarts fest. Der Neustart erfolgt bei der angegebenen Systemzeit. Bestehende Verbindungen werden unterbrochen. Zeitpunkt des täglichen Neustarts Geben Sie in das Eingabefeld eine Uhrzeit im 24-Stunden-Format für den täglichen Neustart ein. Werkseinstellung Werkseitig hat das folgende Einstellungen: Täglichen Neustart verwenden: Nein Zeitpunkt des täglichen Neustarts: 01:00 40 C79000-G8900-C236-05

41 3 Konfiguration 3.10 Werkseinstellung laden Die Werkseinstellungen des lassen sich auf verschiedene Weisen wiederherstellen. Abbildung 3-10 Wartung > Werkseinstellung Zurücksetzen auf Werkseinstellung Das Betätigen der Schaltfläche Zurücksetzen lädt die werkseitigen Einstellungen, setzt die Passwörter zurück und löscht die gespeicherten Konfigurationsprofile und die archivierten Logbücher. Service-Taster (SET) Das Zurücksetzen auf Werkseinstellungen kann auch über den Service-Taster (SET) ausgelöst werden (siehe Kapitel 2.5). Auswirkungen des Zurücksetzens auf Werkseinstellungen Achtung Löschung von Daten Beachten Sie die folgenden Auswirkungen, bevor Sie das Gerät auf Werkseinstellungen zurücksetzen: Das Gerät wird auf Werkseinstellungen zurückgesetzt und führt einen Neustart durch. Dies kann einige Minuten dauern. Alle eingegebenen Konfigurationsdaten werden gelöscht. Dies beinhaltet auch Benutzernamen und Zugangspasswörter. Die PIN der SIM-Karte wird in den Konfigurationsdaten gelöscht. Angelegte Konfigurationsprofile werden gelöscht. C79000-G8900-C

42 3 Konfiguration Geladene Zertifikate werden gelöscht. Logbuch-Dateien werden gelöscht. Erreichbarkeit des Geräts Das Gerät ist wieder über die werkseitig eingestellte IP-Adresse zu erreichen. Hinweis Konfigurationsprofile vorab extern speichern Wenn Sie Ihre eingegebenen Daten nicht komplett verwerfen wollen, dann können Sie diese unter einem Konfigurationsprofil speichern, extern ablegen und nach dem Zurücksetzen auf Werkseinstellungen wieder laden. Informationen hierzu finden Sie im Kapitel Alternative: Rücksetzen auf Standard-Konfiguration Wenn Sie angelegte Konfigurationsprofile, Zertifikate und Log-Dateien nicht löschen wollen, dann können Sie statt des Zurücksetzens auf Werkseinstellungen alternativ das Gerät auf Standard-Konfiguration zurücksetzen. Informationen hierzu finden Sie im Kapitel C79000-G8900-C236-05

43 Lokale Schnittstelle 4 Die lokale Schnittstelle ist die Schnittstelle des zum Anschluss des lokalen Netzes. Die Schnittstelle ist am Gerät mit X2 gekennzeichnet. Es handelt sich um eine Ethernet-Schnittstelle mit 10Mbit/s oder 100Mbit/s Datenrate. Das lokale Netz ist das Netzwerk, das an der lokalen Schnittstelle des SINAUT MD741-1 angeschlossen ist. Das lokale Netz enthält mindestens eine lokale Applikation. Lokale Applikationen sind Netzwerkkomponenten im lokalen Netz, zum Beispiel, eine programmierbare Steuerung, eine Maschine mit Ethernet-Schnittstelle zur Fernüberwachung, ein Notebook bzw. PC oder der Admin-PC. Konfigurieren Sie entsprechend Ihren Anforderungen die lokale Schnittstelle und die damit verbundenen Funktionen wie in diesem Kapitel beschrieben. 4.1 IP-Adressen der lokalen Schnittstelle An dieser Stelle werden die IP-Adressen und die Netzmasken eingestellt unter der das von lokalen Applikationen erreichbar ist. Abbildung 4-1 Netzwerk Intern > Grundeinstellungen > Lokale IP-Adressen Werkseitig hat das folgende Einstellungen: IP-Adresse C79000-G8900-C

44 4 Lokale Schnittstelle Netzmaske Diese werkseitig eingestellte IP-Adressen und Netzmaske kann frei verändert werden, sollten jedoch den geltenden Empfehlungen (RFC 1918) folgen. Lokale Applikation Lokale Applikation Lokale Applikation MD741-1 Admin-PC Lokale IP und Netzmaske Abbildung 4-2 Darstellung lokales Netz Sie können weitere Adressen festlegen, unter denen das von lokalen Applikationen erreicht werden kann. Dies ist dann hilfreich, wenn z.b. das lokale Netz in Subnetze unterteilt wird. Dann können mehrere lokale Applikationen aus verschiedenen Subnetzen das unter unterschiedlichen Adressen erreichen. Neu Fügt weitere IP-Adressen und Netzmasken hinzu, die Sie wiederum ändern können. Löschen Entfernt die jeweilige IP-Adresse und Netzmaske. Der erste Eintrag kann nicht gelöscht werden. 4.2 DHCP Server zum lokalen Netz Das beinhaltet einen DHCP-Server (DHCP = Dynamic Host Configuration Protokoll). Ist der DHCP-Server eingeschaltet, weist er den Applikationen, die an der lokalen Schnittstelle des angeschlossen sind, automatisch die IP-Adressen, Netzmasken, das Gateway und den DNS-Server zu. Dazu muss bei den lokalen Applikationen das automatische Beziehen der IP-Adresse und der Konfigurationsparameter per DHCP aktiviert sein. 44 C79000-G8900-C236-05

45 4 Lokale Schnittstelle Lokale Applikation Lokale Applikation Lokale Applikation MD741-1 IP-Adressen und weiteres PC mit Web-Browser Abbildung 4-3 DHCP-Server-Funktion Abbildung 4-4 Netzwerk Intern > Grundeinstellungen > DHCP DHCP-Server starten Mit DHCP Server starten Ja schalten Sie den DHCP Server des SINAUT MD741-1 ein, mit Nein wird er ausgeschaltet. Lokale Netzwerkmaske Tragen Sie hier die lokale Netzmaske ein, die den lokalen Applikationen zugewiesen werden soll. Standard-Gateway Tragen Sie hier das Standard-Gateway ein, das den lokalen Applikationen zugewiesen werden soll. C79000-G8900-C

46 4 Lokale Schnittstelle DNS-Server Tragen Sie hier den DNS-Server ein, der den lokalen Applikationen zugewiesen werden soll. Dynamischen IP-Adresspool aktivieren Bei Ja werden die IP-Adressen, die der DHCP Server des vergibt aus einem dynamischen Adresspool entnommen, Bei Nein müssen die IP-Adressen unter Statische Zuordnung den MAC-Adressen der lokalen Applikationen zugeordnet werden. Bereichsanfang Gibt die erste Adresse des dynamischen Adresspools an. Bereichsende Gibt die letzte Adresse des dynamischen Adresspools an. Statische Zuordnung Bei Statischer Zuordnung der IP-Adressen, können Sie den MAC-Adressen lokaler Applikationen korrespondierende IP-Adressen festlegen. Fordert eine lokale Applikation per DHCP die Zuweisung einer IP-Adresse, übermittelt die Applikation bei der DHCP-Anfrage seine MAC-Adresse. Ist dieser MAC-Adresse eine IP-Adresse statisch zugeordnet, weist was der Applikation die korrespondierende IP-Adresse zu. MAC-Adresse des Clients MAC-Adresse der anfragenden lokalen Applikation IP-Adresse des Clients zugeordnete IP-Adresse Werkseinstellung Werkseitig hat das folgende Einstellungen: DHCP Server starten Nein Lokale Netzwerkmaske Default Gateway DNS Server Dynamischen IP-Adresspool aktivieren Nein Bereichsanfang Bereichsende C79000-G8900-C236-05

47 4 Lokale Schnittstelle 4.3 DNS zum lokalen Netz Das stellt dem lokalen Netz einen Domain Name Server (DNS) bereit. Tragen Sie in Ihrer lokalen Applikation die IP-Adresse des als Domain Name Server (DNS) ein, dann beantwortet das die DNS-Abfragen aus seinem Cache. Kennt es zu einer Domain-Adresse nicht die dazugehörige IP-Adresse, leitet das die Abfrage weiter an einen externen Domain Name Server (DNS). Die Zeitspanne, in der das eine Domain-Adresse im Cache behält, ist abhängig vom adressierten Host. Die DNS-Abfrage an einen externen Domain Name Server, liefert außer der IP-Adresse auch die Lebensdauer dieser Information zurück. DNS des Netzbetreiber DNS im Internet Entferntes Netz Privater DNS Lokale Applikation MD741-1 Router/ Firewall (E-)GPRS APN INTERNET DNS-Abfrage an MD741-1 DNS-Abfrage durch MD741-1 Abbildung 4-5 DNS-Funktion Als externe Domain Name Server (DNS) können Server des Netzbetreibers, Server im Internet oder Server im privaten externen Netz verwendet werden. Abbildung 4-6 Netzwerk Intern > Grundeinstellungen > DNS C79000-G8900-C

48 4 Lokale Schnittstelle Benutzter Nameserver Wählen Sie aus, bei welchem Domain Name Server (DNS) das nachfragen soll: Betreiberdefiniert Beim Verbindungsaufbau zum EGPRS oder GPRS übermittelt der Netzbetreiber automatisch eine oder mehrere DNS-Adressen. Diese werden dann verwendet. Benutzerdefiniert Sie wählen als Anwender Ihre(n) bevorzugten DNS aus. Die DNS können mit dem Internet verbunden sein oder es kann ein privater DNS in Ihrem Netz sein. Benutzter Name-Server Wenn Sie die Option Benutzerdefiniert gewählt haben, dann geben Sie die IP- Adresse des ausgewählten DNS als Server IP-Adresse ein. Mit Neu können Sie weitere DNS hinzufügen. Werkseinstellung Werkseitig hat das folgende Einstellungen: Benutzter Name-Server Betreiberdefiniert Nutzer definierter Nameserver - bei neuem Eintrag Lokaler Hostname Das kann aus dem lokalen Netz, auch über einen Hostnamen adressiert werden. Legen Sie dazu einen Hostnamen fest, z.b.. Das SINAUT kann dann zum Beispiel von einem Web-Browser als aufgerufen werden. 48 C79000-G8900-C236-05

49 4 Lokale Schnittstelle Abbildung 4-7 Netzwerk Intern > Grundeinstellungen > DNS Hinweis Das Sicherheitskonzept des macht es erforderlich, dass für jede lokale Applikation, die diese Hostname-Funktion nutzen soll, eine ausgehende Firewall-Regel erstellt wird. Siehe Kapitel 6.1. Wenn Sie kein DHCP, siehe Kapitel 4.2 verwenden, müssen im und in den lokalen Applikationen manuell identische Suchpfade eingetragen werden. Wenn Sie DHCP verwenden, erhalten die lokale Applikationen den im eingetragenen Suchpfad per DHCP. Werkseinstellung Werkseitig hat das folgende Einstellungen: Host-Name Suchpfad SINAUT example.local C79000-G8900-C

50 4 Lokale Schnittstelle 4.5 Systemzeit / NTP Die Systemzeit des kann manuell gesetzt werden oder mit einem Zeitserver automatisch synchronisiert werden. Abbildung 4-8 System > Systemzeit/NTP Aktuelle Systemzeit Dieser Eintrag zeigt das derzeit eingestellte Datum und die Uhrzeit an. Systemzeit setzen An dieser Stelle setzen Sie die Systemzeit für das. Diese Systemzeit wird: als Zeitstempel für alle Logbuch-Einträge benutzt und dient als Zeitbasis für alle zeitgesteuerten Funktionen. Wählen Sie Jahr, Monat und Tag sowie Stunde und Minute. Lokale Zeitzone / Region Die NTP-Zeitserver übermitteln die UTC (= Universal Time Coordinated), d.h. die koordinierte Weltzeit. Wählen Sie eine Stadt in der Nähe des Standortes aus, an dem das arbeiten soll und legen Sie so die Zeitzone fest. Dann wird die Uhrzeit dieser Zeitzone als Systemzeit verwendet. NTP-Synchronisation aktivieren Das kann die Systemzeit auch über NTP (= Network Time Protocol) von einem Zeitserver beziehen. Im Internet gibt es eine Reihe von Zeitservern von denen die aktuelle Uhrzeit sehr präzise mittels NTP bezogen werden kann. 50 C79000-G8900-C236-05

51 4 Lokale Schnittstelle NTP-Server Klicken Sie auf Neu, um einen NTP Server hizuzufügen und geben Sie die IP- Adresse eines solchen NTP-Servers ein oder verwenden Sie den ab Werk voreingestellten NTP-Server. Sie können parallel mehrere NTP-Server angeben. Die Eingabe der NTP-Adresse als Hostname (z.b. timeserver.org) ist nicht möglich. Polling Intervall Die Zeitsynchronisation erfolgt zyklisch. Das Intervall indem die Synchronisation stattfindet bestimmt das automatisch. Spätestens nach 36 Stunden findet erneut eine Synchronisation statt. Das Polling-Intervall legt fest, wie lange das mindestens bis zur nächsten Synchronisation wartet. Achtung Die Synchronisation der Systemzeit über NTP verursacht ein zusätzliches Datenaufkommen auf der EGPRS oder GPRS-Schnittstellen. Je nach Teilnehmervertrag mit dem GSM-Netzbetreiber sind damit erhöhte Kosten verbunden. Systemzeit dem lokalen Netz bereitstellen Das kann selber als NTP-Zeitserver für die Applikationen dienen, die an seiner lokalen Netzwerkschnittstelle angeschlossen sind. Zur Aktivierung dieser Funktion wählen Sie Ja. Der NTP-Zeitserver im ist über die eingestellte lokale IP- Adresse des erreichbar, siehe Kapitel 4.1. Werkseinstellung Werkseitig hat das folgende Einstellungen: Lokale Zeitzone NTP Synchronisation aktivieren UTC Nein NTP-Server Polling Intervall Systemzeit dem lokalen Netz bereitstellen 1.1 Stunden Nein C79000-G8900-C

52 4 Lokale Schnittstelle 4.6 Zusätzliche interne Routen Teilt sich das lokale Netz in Subnetze auf, können Sie zusätzliche Routen definieren. Siehe auch Glossar. Abbildung 4-9 Netzwerk Intern > Erweiterte Einstellungen > Zusätzliche interne Routen Wollen Sie eine weitere Route zu einem Subnetz festlegen, klicken Sie Neu. Geben Sie folgendes an: die IP-Adresse des Subnetzes (Netzwerkes), ferner die IP-Adresse des Gateways, über das das Subnetz angeschlossen ist. Sie können beliebig viele interne Routen festlegen. Wollen Sie eine interne Route löschen, klicken Sie Löschen. Werkseinstellung Werkseitig hat das folgende Einstellungen: Zusätzliche interne Routen - Vorgabe für neue Routen: Nein Netzwerk: /24 Gateway: C79000-G8900-C236-05

53 Externe Schnittstelle 5 Die externe Schnittstelle des verbindet das mit dem externen Netz. Zur Kommunikation wird EGPRS, GPRS oder GSM auf dieser Schnittstelle verwendet. Externe Netze sind das Internet oder ein privates Intranet. Externe Gegenstellen sind Netzwerkkomponenten im externen Netz, z.b. Web- Server im Internet, Router im Intranet, ein zentraler Firmenserver, ein Admin-PC und vieles mehr. Konfigurieren Sie entsprechend Ihren Anforderungen die externe Schnittstelle und die damit verbundenen Funktionen wie in diesem Kapitel beschrieben. 5.1 Zugangsparameter zum EDGE/GPRS Für den Zugang zu den Diensten EDGE und GPRS und zum grundlegenden GSM- Funknetz sind Zugangsparameter erforderlich, die Sie von Ihrem GSM- Netzbetreiber (Provider) erhalten. PIN Benutzername und Passwort APN (öffentlich) INTERNET Lokale Applikation SIM MD741-1 (E-)GPRS VPN APN (privat) Abbildung 5-1 Zugangsparameter C79000-G8900-C

54 5 Externe Schnittstelle Die PIN schützt die SIM-Karte vor unbefugter Benutzung des Modems. Benutzername und Passwort schützen den Zugang zum GSM-Netz (GPRS). Der APN (Access Point Name) definiert den Übergang vom GSM-Netz zu weiteren verbundenen IP-Netzen, z. B. den Übergang von einem öffentlichen APN zum Internet oder von einem privaten APN zu einem Virtual Private Network (VPN). Abbildung 5-2 Netzwerk Extern > EDGE/GPRS - Betreiberauswahl automatisch PIN Geben Sie hier die PIN zu Ihrer SIM-Karte ein. Sie erhalten die PIN von Ihrem Netzbetreiber. Das arbeitet auch mit PIN-losen SIM-Karten, in diesem Fall geben Sie NONE ein. Das Eingabefeld bleibt in diesem Fall leer. Hinweis Wenn keine Eingabe erfolgt, wird das Eingabefeld der PIN nach dem Speichern rot umrandet. Ein grüner Punkt mit weißem Häkchen neben dem Eingabefeld zeigt an, dass die PIN erfolgreich im Gerät gespeichert wurde. Ein roter Punkt mit weißem Kreuz neben dem Eingabefeld zeigt an, dass die PIN falsch eingegeben wurde und / oder keine PIN im Gerät gespeichert wurde. PIN ändern Sie haben die Möglichkeit, die PIN, die von Ihrem Netzwerkbetreiber auf der SIM gespeichert ist, nachträglich durch eine eigene PIN zu ersetzen. Klicken Sie dazu auf die Schaltfläche "Ändern". 54 C79000-G8900-C236-05

55 5 Externe Schnittstelle Hinweis Erkundigen Sie sich bei Ihrem Mobilfunkbetreiber, ob diese Funktion unterstützt wird. 1. Geben Sie in das Eingabefeld "Neue PIN" Ihre eigene PIN ein. 2. Die Eingabe wird durch verdeckte Zeichen angezeigt. 3. Wiederholen Sie die Eingabe im nächsten Eingabefeld. 4. Bestätigen Sie Ihre Eingabe durch Klick auf die Schaltfläche "Setzen". 5. Eine Meldung erscheint mit der Information, dass die PIN entweder erfolgreich geändert wurde oder nicht geändert werden konnte. 6. Bestätigen Sie diese Meldung durch Klicken auf die Schaltfläche "OK". Dadurch gelangen Sie automatisch zurück zur Seite "Netzwerk Extern EDGE/GPRS". Roaming erlauben Legen Sie fest, ob sich das Gerät automatisch bei einem anderen Netz anmelden soll, falls das festgelegte GSM-Netz nicht erreichbar ist. Wählen Sie dazu aus der Klappliste eine der beiden Optionen: Ja: Das Gerät meldet sich automatisch bei einem verfügbaren Netz an. Nein: Das Gerät meldet sich nicht automatisch bei einem verfügbaren Netz an. Methode der Authentifizierung Wählen Sie aus der Klappliste eine Methode aus, nach dem Benutzername und Passwort des Geräts zum Kommunikationspartner übertragen werden sollen: Automatisch CHAP PAP Benutzername und Passwort werden automatisch mit einer der beiden folgenden Methoden übertragen. CHAP hat die höhere Priorität. Wenn der Kommunikationspartner CHAP nicht unterstützt, werden Benutzername und Passwort per PAP übertragen. Verschlüsselte Übertragung von Benutzername und Passwort über das Challenge Handshake Authentication Protocol (CHAP) Unverschlüsselte Übertragung von Benutzername und Passwort über das Password Authentication Protocol (PAP) C79000-G8900-C

56 5 Externe Schnittstelle Modus der Betreiberauswahl - Manuell Wenn Sie als Modus der Betreiberauswahl Manuell auswählen, dann geben Sie Benutzername, Passwort und APN für den GPRS-Dienst manuell ein. Modus der Betreiberauswahl - Automatisch Wenn Sie als Modus der Betreiberauswahl Automatisch auswählen, dann werden die Zugangsdaten für den GPRS-Dienst automatisch anhand der Netz-ID der SIM- Karte aus der Liste der Betreiber ausgewählt. In der Liste können Sie mehrere Einträge angelegen. Hinweis Nur die Standard APNs der Betreiber werden automatisch eingetragen! Mit Neu fügen Sie einen neuen Eintrag hinzu. Mit Löschen entfernen Sie Einträge. Betreiber Geben Sie in das Eingabefeld eine Bezeichnung für den Mobilfunkdienst an, z. B. "Mein GPRS-Zugang". Netz-ID (PLMN) (nur bei Betreiberauswahl Automatisch) Geben Sie hier die Identifikationsnummer (Netz-ID) des Netzbetreibers ein. Jeder GSM/GPRS-Netzbetreiber hat eine weltweit einmalig vergebene Identifikations- Nummer, welche als Public Land Mobile Network (PLMN) bezeichnet wird. PLMN setzt sich zusammen aus (MCC) und (MNC). Sie finden die Netz-ID in den Unterlagen Ihres GSM/GPRS-Netzbetreibers oder auf dessen Internetseiten. Die Netz-ID ist auf der SIM-Karte gespeichert. Das liest die Netz-ID von der SIM-Karte und wählt die entsprechenden GPRS-Zugangsdaten aus der Liste der Betreiber. APN Geben Sie hier den Namen des Übergangs von EGPRS und GPRS zu weiteren Netzen ein. Sie finden den APN in den Unterlagen Ihres GSM/GPRS-Netzbetreibers, auf dessen Internetseite oder erfragen den APN bei der Hotline Ihres GSM/GPRS- Netzbetreibers. Benutzername Geben Sie hier den Benutzername für EGPRS und GPRS ein. Einige GSM/GPRS- Netzbetreiber verzichten auf die Zugangskontrolle durch Benutzername und/oder Passwort. In diesem Fall tragen Sie in das jeweilige Feld gast ein. 56 C79000-G8900-C236-05

57 5 Externe Schnittstelle Passwort Geben Sie hier das Passwort für EGPRS und GPRS ein. Einige GSM/GPRS- Netzbetreiber verzichten auf die Zugangskontrolle durch Benutzername und/oder Passwort. In diesem Fall tragen Sie in das jeweilige Feld gast ein. Werkseinstellung Werkseitig hat das folgende Einstellungen: Modus der Betreiberauswahl Manuell Modus der Betreiberauswahl - Manuell PIN APN Benutzername Passwort NONE NONE guest guest Modus der Betreiberauswahl - Automatisch 1. Betreiber T-Mobile PLMN ID APN Benutzername Passwort internet.t-mobile guest guest 2. Betreiber Vodafone PLMN ID APN Benutzername Passwort web.vodafone.de guest guest 3. Betreiber Eplus PLMN ID APN Benutzername Passwort internet.eplus.de guest guest C79000-G8900-C

58 5 Externe Schnittstelle 4. Betreiber O2 PLMN ID APN Benutzername Passwort internet guest internet n. Betreiber O2 PLMN ID APN Benutzername Passwort NONE NONE NONE NONE 5.2 Installationsmodus - Antennen ausrichten Zur optimalen Ausrichtung der Antenne, die an Buchse A1 angeschlossen ist, steht Ihnen der Installationsmodus zur Verfügung. Diese Funktion erleichtert es Ihnen, die Signalstärke an verschiedenen Antennenpositionen zu testen. Die Angaben auf der Seite "Installationsmodus" werden in Abständen von wenigen Sekunden aktualisiert. Dadurch erhalten Sie schnell Auskunft über die Signalqualität an den Testpositionen, um die optimale Position festlegen zu können. Für den Installationsmodus ist keine Mobilfunkverbindung notwendig. Hinweis Neustart beim Aktivieren und Deaktivieren Wenn Sie die Funktion "Installationsmodus" aktivieren oder deaktivieren, dann wird beim Klicken auf die Schaltfläche "Speichern" automatisch ein Neustart des Geräts durchgeführt. 58 C79000-G8900-C236-05

59 5 Externe Schnittstelle Abbildung 5-2 Netzwerk Extern > Installationsmodus Werkseitig ist der Installationsmodus deaktiviert. 1. Um die Funktion zu aktiveren, wählen Sie aus der Klappliste eine Zeit aus, während der der Installationsmodus aktiviert ist (15 / 30 / 60 / 120 Minuten). 2. Klicken Sie auf die Schaltfläche "Speichern". Das führt einen Neustart durch und die nachfolgend beschriebenen Einträge erscheinen. 3. Sie können die eingeschaltete Funktion durch Auswahl der Option "Nein" vorzeitig beenden. Status der aktuellen Funkzelle In diesem Bereich der Seite finden Sie Angaben, die sich auf die Mobilfunkzelle beziehen, in die sich das aktuell eingebucht hat. Status der benachbarten Funkzellen In diesem Bereich der Seite finden Sie Angaben zu den benachbarten, verfügbaren Mobilfunkzellen. Angaben zur Funkzelle Signalstärke Die Balkenanzeige gibt die Stärke des GSM-Signals an. Die Ziffern über der Balkenanzeige geben den CSQ-Wert des Signals an. Der dbm-wert wird in Klammern hinter dem CSQ-Wert angegeben. ID der Funkzelle Kennung für die Funkzelle im Mobilfunknetz C79000-G8900-C

60 5 Externe Schnittstelle LAC (Location Area Code) Kennung für den aktuellen Aufenthaltsbereich des innerhalb des Mobilfunknetzes ARFCN (Absolute Radio Frequency Channel Number) Anhand der ARFCN lassen sich die Uplink- und Downlink-Frequenzen berechnen. BSIC (Base Station Identity Code) Diese Kennung dient dazu, benachbarte Kanäle mit Überschneidung der Frequenzbänder unterscheiden zu können. 5.3 Volumenüberwachung Diese Funktion überwacht, wann ein festgelegter Grenzwert bei der Datenübertragung erreicht wird. Die Obergrenze, die Sie selbst festlegen, definiert das maximale Datenvolumen pro Monat. Das aktuelle Datenvolumen des jeweiligen Monats und die Obergrenze werden auf der Seite "System - Status" unter dem Eintrag "Überblick" angezeigt. Das kann automatisch Nachrichten per SMS verschicken, sobald 80% und 100% des festgelegten Datenvolumens erreicht sind. Werkseitig ist die Volumenüberwachung ausgeschaltet. Hinweis Das hier ermittelte Datenvolumen pro Monat kann aufgrund von Blockrundungen oder unterschiedlichen Abrechnungszeiträumen deutlich von der Abrechnung Ihres Mobilfunkbetreibers abweichen. Abbildung 5-3 Netzwerk extern > Volumenüberwachung 60 C79000-G8900-C236-05

61 5 Externe Schnittstelle Volumenüberwachung aktivieren Folgende Optionen stehen zur Verfügung: Ja: Die Volumenüberwachung ist eingeschaltet. Nein: Die Volumenüberwachung ist ausgeschaltet. Übertragene Bytes seit Monatsbeginn Dieser Zähler gibt das Datenvolumen in Byte an, das seit Anfang des Monats über das übertragen wurde. Am Ersten eines Monats wird der Zähler automatisch zurückgesetzt. Wenn Sie auf die Schaltfläche "Zurücksetzen" klicken, wird der Zähler manuell auf 0 gesetzt. Maximales Datenvolumen in Byte pro Monat Geben Sie in das Eingabefeld den Grenzwert des monatlichen Datenvolumens in Byte ein. Werkseitig ist der Wert auf Byte eingestellt. SMS-Versand, wenn 80% des max. Datenvolumens erreicht sind Damit das eine Warn-SMS verschickt, sobald 80 % des Datenvolumens erreicht sind, nehmen Sie folgende Einstellungen vor: 1. Aktivieren Sie die SMS-Funktion, indem Sie aus der Klappliste die Option "Ja" wählen. 2. Geben Sie die Rufnummer eines Teilnehmers ein, der SMS-Nachrichten empfangen kann. 3. Ändern Sie gegebenenfalls den werkseitig eingestellten Mitteilungstext. 4. Klicken Sie abschließend auf die Schaltfläche "Speichern". SMS-Versand, wenn 100% des max. Datenvolumens erreicht sind Damit das eine Alarm-SMS verschickt, sobald 100 % des Datenvolumens erreicht sind, nehmen Sie folgende Einstellungen vor: 1. Aktivieren Sie die SMS-Funktion, indem Sie aus der Klappliste die Option "Ja" wählen. 2. Geben Sie die Rufnummer eines Teilnehmers ein, der SMS-Nachrichten empfangen kann. C79000-G8900-C

62 5 Externe Schnittstelle 3. Ändern Sie gegebenenfalls den werkseitig eingestellten Mitteilungstext. 4. Klicken Sie abschließend auf die Schaltfläche "Speichern". Werkseinstellungen Werkseitig hat das folgende Einstellungen: Volumenüberwachung aktivieren: Max. Datenvolumen in Byte seit Monatsbeginn: Nein (ausgeschaltet) SMS-Versand, wenn 80% des max. Datenvolumens erreicht sind Aktivieren: Ja: Eingeschaltet Nein: Ausgeschaltet Rufnummer: Nachrichtentext: Rufnummer des Empfänger-Telefons Warning:Max_Data_Volume_nearly_ reached SMS-Versand, wenn 100% des max. Datenvolumens erreicht sind Aktivieren: Ja: Eingeschaltet Nein: Ausgeschaltet Rufnummer: Nachrichtentext: Rufnummer des Empfänger-Telefons Alert:Max_Data_Volume_reached 5.4 Verbindungsüberwachung Mit der Funktion Prüfen der Verbindung überprüft das seine Verbindung zum EGPRS oder GPRS und zu den angeschlossenen externen Netzen, wie z.b. dem Internet oder einem Intranet. Dazu sendet das SINAUT MD741-1 in regelmäßigen Zeitabständen, Ping-Pakete (ICMP) an bis zu vier Gegenstellen (Ziel-Hosts). Dies geschieht unabhängig von den Nutzdaten- Verbindungen. Erhält das auf einen solchen Ping mindestens von einem der adressierten Gegenstellen eine Antwort, ist das noch mit dem EGPRS oder GPRS verbunden und betriebsbereit. Einige Netzbetreiber unterbrechen Verbindungen bei Inaktivität. Dem wird durch die Funktion Prüfen der Verbindung ebenfalls vorgebeugt. 62 C79000-G8900-C236-05

63 5 Externe Schnittstelle Ping zur Verbindungsüberwachung Ziel-Host im Internet Ziel-Host im Intranet Entferntes Netz Lokale Applikation MD741-1 Router/ Firewall (E-)GPRS INTERNET APN Nutzdaten-Verbindung Abbildung 5-3 Verbindungsüberwachung Achtung Durch das Versenden der Ping-Pakete (ICMP) steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Abbildung 5-4 Netzwerk Extern > Erweiterte Einstellungen > Prüfen der Verbindung Prüfen der Verbindung Bei Ja ist die Funktion eingeschaltet. Zielhosts - Hostname Wählen Sie bis zu vier Gegenstellen aus, die das anpingen kann. Die Gegenstellen müssen ständig erreichbar sein und den Ping beantworten. Hinweis Vergewissern Sie sich, dass die ausgewählten Gegenstellen nicht gestört werden. C79000-G8900-C

64 5 Externe Schnittstelle Intervall für Verbindungsprüfung (Minuten) Legt das Intervall fest mit dem die Ping-Pakete der Verbindungsüberwachung vom versendet werden. Die Angabe erfolgt in Minuten. Anzahl der erlaubten Fehlversuche Das sendet gleichzeitig an alle festgelegten Gegenstellen (Ziel- Hosts) Ping-Pakete. Antwortet mindestens eine Gegenstelle ist der Verbindungstest bestanden. Antwortet keine der Gegenstellen, handelt es sich um einen Fehlversuch. Nach Ablauf des eingestellten Intervalls wird der Vorgang wiederholt. Antwortet jetzt eine der Gegenstellen wird der Fehlversuchzähler zurückgesetzt. Ist die Anzahl der erlaubten Fehlversuche erreicht, wird die Aktion bei fehlerhafter Verbindung ausgelöst. Aktion bei fehlerhafter Verbindung Werkseinstellung Verbindung erneuern Das stellt erneut die Verbindung zum EGPRS oder GPRS her, falls die gesendeten Ping-Pakete nicht beantwortet wurden. Neustart des MD741-1 Das führt einen Neustart durch, falls die gesendeten Ping- Pakete nicht beantwortet wurden. Werkseitig hat das folgende Einstellungen: Prüfen der Verbindung Hostname - Nein (Ausgeschaltet) Intervall für Verbindungsprüfung Anzahl der erlaubten Fehlversuche Aktion bei fehlerhafter Verbindung 5 (Minuten) 3 (Fehlversuche) Verbindung erneuern 5.5 Hostname durch DynDNS Dynamische Domain Name Server (DynDNS) ermöglichen es Applikationen im Internet unter einem Hostnamen (z.b. myhost.org) erreichbar zu sein, auch wenn diese Applikationen keine feste IP-Adresse haben und der Hostname nicht registriert ist. Wenn Sie das bei einem DynDNS-Dienst anmelden, können Sie das aus dem externen Netz auch unter einem Hostnamen erreichen, z.b. mysinaut.dyndns.org. 64 C79000-G8900-C236-05

65 5 Externe Schnittstelle INFO: IP-Adresse + Hostname DynDNS Frage: IP zum Hostname Externes Netz Lokale Applikation MD741-1 Antwort: IP (E-)GPRS APN INTERNET Router/ Firewall Nutzdaten-Verbindung Abbildung 5-5 Dyn-DNS-Anbindung Mehr Informationen zu DynDNS finden Sie im Glossar. Abbildung 5-6 Netzwerk Extern > Erweiterte Einstellungen > DynDNS Dieses Gerät an einem DynDNS Server anmelden Wählen Sie Ja, wenn Sie einen DynDNS-Dienst verwenden wollen. Benutzername / Passwort Geben Sie hier den Benutzernamen und das Passwort ein, dass Sie zur Nutzung des DynDNS-Service berechtigt. Ihr DynDNS-Anbieter teilt Ihnen diese Angaben mit. Hostname des DynDNS-Servers Geben Sie hier den Hostnamen ein, den Sie für das mit Ihrem DynDNS-Anbieter vereinbart haben, z.b. mysinaut.dyndns.org. C79000-G8900-C

66 5 Externe Schnittstelle Werkseinstellung Werkseitig hat das folgende Einstellungen: Das Gerät an einem DynDNS Server anmelden Benutzername Passwort Hostname Nein (ausgeschaltet) guest guest myname.dyndns.org 5.6 SRS Siemens Remote Service Hinweis Mit Hilfe der Dienstleistungen des "SIMATIC Remote Support Services" kann ein Fernzugriff auf Maschinen und Anlagen zur Verfügung gestellt werden. Zur Nutzung dieses Services sind zusätzliche Service-Vereinbarungen notwendig und Randbedingungen zu beachten. Bei Interesse am Siemens Remote Service wenden Sie sich an Ihren Siemens-Ansprechpartner vor Ort. Bei aktiviertem Siemens Remote Service übermittelt das seine vom EDGE/GPRS-Dienst zugewiesene externe IP-Adresse an einen einstellbaren Ziel-Server. Die Übertragung erfolgt über das gesicherte HTTPS-Protokoll. Das Verfahren ist vergleichbar mit dem DynDNS-Dienst und erfordert einen entsprechenden Zugang auf der Server-Seite. Abbildung 5-7 Netzwerk Extern > Erweiterte Einstellungen > SRS Mit Neu fügen Sie weitere Ziel-Server hinzu. Mit Löschen entfernen Sie bestehende Einträge. Siemens Remote Service verwenden Wählen Sie Ja, wenn Sie den Siemens Remote Service verwenden wollen. 66 C79000-G8900-C236-05

67 5 Externe Schnittstelle Wenn Sie den Siemens Remote Service nicht verwenden wollen, dann wählen Sie Nein. Intervall zur Aktualisierung (Sekunden) Geben Sie das Intervall in Sekunden an, mit dem die zugewiesene IP-Adresse des an den eingestellten Ziel-Server übertragen werden soll. Siemens Remote Service Anmeldungen Geben Sie hier die Zieladresse und die Zugangsdaten eines oder mehrer Ziel- Server an: Zieladresse Geben Sie die IP-Adresse des Ziel-Servers an. Gruppe Geben Sie den Gruppennamen ein. Benutzername Geben Sie den Benutzernamen für den Zugang am Ziel-Server ein. Passwort Geben Sie das Passwort für den Zugang am Ziel-Server ein. Werkseinstellung Werkseitig hat das folgende Einstellungen: Siemens Remote Service verwenden Intervall zur Aktualisierung Nein (ausgeschaltet) 900 Sekunden Zieladresse Gruppe Benutzername Passwort group user pass C79000-G8900-C

68 5 Externe Schnittstelle 5.7 NAT - Network Address Translation Das Gerät kann mit NAT bei ausgehenden Telegrammen die angegebenen Absender-IP-Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben. NAT wird benutzt, wenn die internen Adressen extern nicht weitergeleitet werden können oder sollen, z. B. weil ein privater Adressbereich wie x.x benutzt wird, oder weil die interne Netzstruktur verborgen werden soll. Dieses Verfahren wird auch IP-Masquerading genannt. Abbildung 5-7 Netzwerk Extern > Erweiterte Einstellungen > NAT NAT im externen Netz verwenden Wählen Sie aus der Klappliste die Option "Ja". Folgende Optionen stehen zur Auswahl: Ja: NAT-Funktion ist eingeschaltet. Nein: NAT-Funktion ist ausgeschaltet. NAT für folgende Netze verwenden Geben Sie in das Eingabefeld die Netzwerke an, für die NAT genutzt wird. Geben Sie einen Adressbereich in der CIDR-Schreibweise ein. Werkseinstellungen Werkseitig hat das folgende Einstellungen: NAT im externen Netz verwenden: Ja (eingeschaltet) IP-Adressbereich (CIDR-Notation): /0 68 C79000-G8900-C236-05

69 Sicherheitsfunktionen Firewall-Regeln Das beinhaltet eine Stateful Inspection Firewall. Stateful Inspection Firewall ist eine Methode zur Paketfilterung. Paketfilter lassen IP-Pakete nur dann passieren, wenn dies zuvor durch Firewall-Regeln definiert wurde. In der Firewall-Regel wird folgendes festgelegt, welches Protokoll (TCP, UDP, ICMP) passieren darf, die erlaubte Quelle der IP-Pakete (Von IP / Von Port) das erlaubte Ziel der IP-Pakete (Nach IP / Nach Port) Gleichfalls wird hier festgelegt, wie mit IP-Pakete verfahren wird, die nicht passieren dürfen, z.b. werden sie verworfen oder zurückgewiesen. Bei einem einfachen Paketfilter müssen immer zwei Firewall-Regeln für eine Verbindung angelegt werden: Eine Regel für die Anfragerichtung von der Quelle zum Ziel und eine zweite Regel für die Antwortrichtung vom Ziel zur Quelle. Anders ist das beim mit Stateful Inspection Firewall. Hier wird nur für die Anfragerichtung von der Quelle zum Ziel eine Firewall-Regel angelegt. Die Firewall-Regel für die Antwortrichtung vom Ziel zur Quelle ergibt sich aus der Analyse der zuvor gesendeten Daten. Die Firewall-Regel für die Antworten wird nach Erhalt der Antworten bzw. nach Ablauf einer kurzen Zeitspanne wieder geschlossen. Antworten dürfen also nur passieren, wenn es zuvor eine Anfrage gab. So kann die Antwortregel nicht für unbefugte Zugriffe benutzt werden. Besondere Verfahren ermöglichen zudem, dass auch UDP- und ICMP-Daten passieren können, obwohl diese Daten zuvor nicht angefordert wurden. C79000-G8900-C

70 6 Sicherheitsfunktionen Abbildung 6-1 Sicherheit > Firewall-Regeln Firewall-Regeln, eingehend Mit den Firewall-Regeln Eingehend wird festgelegt, wie mit IP-Paketen zu verfahren ist, die über EGPRS oder GPRS aus externen Netzen (z.b. Internet) empfangen werden. Quelle ist der Absender dieser IP-Pakete. Ziel sind die lokalen Applikationen am. Entsprechend der Werkseinstellung ist zunächst keine eingehende Firewall-Regel gesetzt, d.h. es dürfen keine IP-Pakete passieren. Neu Fügt eine weitere Firewall-Regel hinzu, die Sie dann ausfüllen können. Löschen Entfernt angelegte Firewall-Regeln wieder. Protokoll Wählen Sie das Protokoll aus, für das diese Regel gelten soll. Zur Auswahl stehen TCP, UDP, ICMP. Wenn Sie Alle wählen, gilt die Regel für alle drei Protokolle. Von IP-Adresse Tragen Sie die IP-Adresse der externen Gegenstelle ein, die IP-Pakete zum lokalen Netz senden darf. Geben Sie dazu die IP-Adresse oder einen IP-Bereich der Gegenstelle an /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise - siehe Glossar Von Port Tragen Sie den Port ein, von dem die externe Gegenstelle IP-Pakete senden darf (wird nur ausgewertet bei den Protokollen TCP und UDP). 70 C79000-G8900-C236-05

71 6 Sicherheitsfunktionen Nach IP-Adresse Tragen Sie ein, an welche IP-Adresse im lokalen Netz IP-Pakete gesendet werden dürfen. Geben Sie dazu die IP-Adresse oder einen IP-Bereich der Applikation im lokalen Netz an /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise - siehe Glossar. Nach Port Tragen Sie den Port ein, an den die externe Gegenstelle IP-Pakete senden darf. Aktion Wählen Sie aus, wie mit eintreffenden IP-Paketen zu verfahren ist: Erlauben Die Datenpakete dürfen passieren, Zurückweisen Die Datenpakete werden abgewiesen, der Absender erhält eine entsprechende Meldung, Verwerfen Die Datenpakete werden ohne Rückmeldung an den Absender verworfen. Firewall Regeln, ausgehend Mit den Firewall-Regeln Ausgehend wird festgelegt, wie mit IP-Paketen zu verfahren ist, die vom lokalen Netz empfangen werden. Quelle ist eine Applikationen im lokalen Netz. Ziel ist eine externe Gegenstelle z.b. im Internet oder in einem privaten Netz. Entsprechend der Werkseinstellung ist zunächst keine ausgehende Firewall-Regel gesetzt, d.h. es dürfen keine IP-Pakete passieren. Neu Fügt eine weitere Firewall-Regel hinzu, die Sie dann ausfüllen können. Protokoll Wählen Sie das Protokoll aus, für das diese Regel gelten soll. Zur Auswahl stehen TCP, UDP, ICMP. Wenn Sie Alle wählen, gilt die Regel für alle drei Protokolle. Von IP-Adresse Tragen Sie die IP-Adresse der lokalen Applikation ein, die IP-Pakete zum externen Netz senden darf. Geben Sie dazu die IP-Adresse oder einen IP-Bereich der lokalen Applikation an /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise - siehe Glossar. C79000-G8900-C

72 6 Sicherheitsfunktionen Von Port Tragen Sie den Port ein, von dem die lokale Applikation IP-Pakete senden darf. Geben Sie dazu die Portnummer an. (wird nur ausgewertet bei den Protokollen TCP und UDP) Nach IP-Adresse Tragen Sie ein, an welche IP-Adresse im lokalen Netz IP-Pakete gesendet werden dürfen. Geben Sie dazu die IP-Adresse oder einen IP-Bereich der Applikation im lokalen Netz an /0 bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise - siehe Glossar. Nach Port Tragen Sie den Port ein, an den die externe Gegenstelle IP-Pakete senden darf. Aktion Wählen Sie aus, wie mit abgehenden IP-Paketen zu verfahren ist: Erlauben Die Datenpakete dürfen passieren, Zurückweisen Die Datenpakete werden abgewiesen, der Absender erhält eine entsprechende Meldung, Verwerfen Die Datenpakete werden ohne Rückmeldung an den Absender verworfen. Firewall Regeln Ein-/ Ausgehend Log Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel das Ereignis protokolliert werden soll - Log auf Ja setzen oder nicht - Log auf Nein setzen (werkseitige Voreinstellung) Das Protokoll wird in das Firewall-Logbuch, siehe Kapitel 6.4 geschrieben. Log-Einträge für unbekannte Verbindungsversuche Damit werden alle Verbindungsversuche protokolliert, die nicht von den festgelegten Regeln erfasst werden. Werkseinstellung Werkseitig hat das folgende Einstellungen: 72 C79000-G8900-C236-05

73 6 Sicherheitsfunktionen Firewall eingehend Firewall-Regeln, eingehend Protokoll - (Alles gesperrt) Alle Von IP-Adresse /0 Von Port Any Nach IP-Adresse /0 Nach Port Aktion Log Log-Einträge für unbekannte Verbindungsversuche Any Erlauben Nein (Ausgeschaltet) Nein (Ausgeschaltet) Firewall ausgehend Firewall-Regeln, ausgehend Protokoll - (Alles gesperrt) Alle Von IP-Adresse /0 Von Port Any Nach IP-Adresse /0 Nach Port Aktion Log Log-Einträge für unbekannte Verbindungsversuche Any Erlauben Nein (Ausgeschaltet) Nein (Ausgeschaltet) 6.2 Port-Weiterleitung Ist eine Regel zur Port-Weiterleitung erstellt, dann werden Datenpakete, die aus dem externen Netz auf einem festgelegten IP-Port des eintreffen, weitergeleitet. Die eingehenden Datenpakete werden dann an eine festgelegte IP-Adresse und Port-Nummer im lokalen Netz weitergeleitet. Die Port- Weiterleitung kann für TCP oder UDP konfiguriert werden. C79000-G8900-C

74 6 Sicherheitsfunktionen Bei Port-Weiterleitung geschieht folgendes: Der Header eingehender Datenpakete aus dem externen Netz, die an die externe IP-Adresse des sowie an einen bestimmten Port gerichtet sind, werden so umgeschrieben, dass sie ins interne Netz an einen bestimmten Rechner und zu einem bestimmten Port dieses Rechners weitergeleitet werden. D. h. die IP-Adresse und Port-Nummer im Header eingehender Datenpakete werden geändert. Dieses Verfahren wird auch Destination-NAT oder Port Forwarding genannt. Hinweis Damit ankommende Datenpakete an die festgelegte IP-Adresse im lokalen Netz weitergeleitet werden können, muss für diese IP-Adresse eine entsprechende eingehende Firewall-Regel eingerichtet werden. Siehe Kapitel 6.1. Abbildung 6-2 Sicherheit > Port-Weiterleitung Neu Fügt eine neue Weiterleitungs-Regel hinzu, die Sie dann ausfüllen können. Löschen Entfernt angelegte Weiterleitungs-Regeln wieder. Protokoll Geben Sie hier das Protokoll (TCP oder UDP) an, auf das sich die Regel beziehen soll. Trifft ein auf Port Geben Sie hier die Portnummer (z.b. 80) an, auf dem die Datenpakete aus dem externen Netz eintreffen, die weitergeleitet werden sollen. Wird weitergeleitet an IP-Adresse Geben Sie hier die IP-Adresse im lokalen Netz an, an den die eintreffenden Datenpakete weitergeleitet werden sollen. Wird weitergeleitet an Port 74 C79000-G8900-C236-05

75 6 Sicherheitsfunktionen Geben Sie hier die Portnummer (z.b. 80) zur IP-Adresse im lokalen Netz an, an den die eintreffenden Datenpakete weitergeleitet werden sollen. Logbuch-Eintrag Legen Sie fest, ob ein Ereignis bei Greifen der Regel im Firewall-Logbuch protokolliert wird. Nähere Informationen finden Sie im Kapitel 6.4. Wählen Sie die entsprechende Option aus der Klappliste. Ja: Logbuch-Eintrag Nein: Kein Logbuch-Eintrag Werkseinstellung Werkseitig hat das folgende Einstellungen: Regeln zur Weiterleitung - Protokoll Alle Weiterleiten an IP-Adresse Weiterleiten an Port 80 Log Nein (Ausgeschaltet) 6.3 Erweiterte Sicherheitsfunktionen Die erweiterten Sicherheitsfunktionen dienen dazu das und die lokalen Applikationen gegen Angriffe zu schützen. Zum Schutz wird angenommen, dass nur eine bestimmte Anzahl von Verbindungen oder empfangener Ping-Pakete im normalen Betrieb zulässig und erwünscht sind, und das bei einer plötzlichen Häufung ein Angriff stattfindet. Abbildung 6-3 Sicherheit > Erweitert C79000-G8900-C

76 6 Sicherheitsfunktionen Maximale Zahl Die Einträge... Maximale Zahl neuer eingehender TCP-Verbindungen pro Sekunde Maximale Zahl neuer ausgehender TCP-Verbindungen pro Sekunde Maximale Zahl neuer eingehender Ping-Pakete pro Sekunde Maximale Zahl neuer ausgehender Ping-Pakete pro Sekunde... legen Obergrenzen fest. Die Voreinstellungen (siehe Abbildung) sind so gewählt, dass sie bei normalem praktischem Einsatz nie erreicht werden. Bei Angriffen können sie dagegen leicht erreicht werden, so dass durch die Begrenzung ein zusätzlicher Schutz eingebaut ist. Sollten in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann können Sie die Werte entsprechend ändern. ICMP von extern zum MD741-1 Mit dieser Option können Sie das Verhalten beim Empfang von ICMP-Paketen beeinflussen, die aus dem externen Netz in Richtung des gesendet werden. Sie haben folgende Möglichkeiten: Verwerfen: Alle ICMP-Pakete zum werden verworfen. Ping Erlauben: Nur Ping-Pakete (ICMP Typ 8) zum werden akzeptiert. Erlauben: Alle Typen von ICMP-Pakete zum werden akzeptiert. Werkseinstellung Werkseitig hat das folgende Einstellungen: Maximale Zahl neuer eingehender TCP-Verbindungen pro Sekunde 25 Maximale Zahl neuer ausgehender TCP-Verbindungen pro Sekunde 75 Maximale Zahl neuer eingehender Ping Pakete pro Sekunde 3 Maximale Zahl neuer ausgehender Ping Pakete pro Sekunde 5 ICMP von extern zum MD741-1 Verwerfen 76 C79000-G8900-C236-05

77 6 Sicherheitsfunktionen 6.4 Firewall-Logbuch Im Firewall-Logbuch wird eingetragen, wann einzelne Firewall-Regeln angewendet wurden. Dazu muss zu den verschiedenen Firewall-Funktionen die LOG-Funktion aktiviert werden. Abbildung 6-4 Sicherheit > Firewall-Logbuch Hinweis Das Firewall-Logbuch geht bei einem Neustart verloren. C79000-G8900-C

78 VPN-Verbindungen Erläuterungen zu VPN-Verbindungen Das IPsec-Verfahren Das verwendet für den VPN-Tunnel das IPsec-Verfahren im Tunnelmodus. Dabei werden die zu übertragenden Telegramme vollkommen verschlüsselt und mit einem neuen Header versehen, bevor sie zum VPN-Gateway der Gegenstelle gesendet werden. Von der Gegenstelle werden die empfangenen Telegramme entschlüsselt an den Empfänger weitergeleitet. Roadwarrior-Modus und Standard-Modus Unterschieden werden zwei Modi der VPN-Verbindungen: Roadwarrior-Modus Im Roadwarrior-Modus kann das bis zu 10 VPN- Verbindungen von Gegenstellen mit unbekannter Adresse annehmen. Diese Gegenstellen können z. B. Gegenstellen im mobilen Einsatz sein, die ihre IP- Adresse dynamisch beziehen. Parallel dazu können VPN-Verbindungen im Standard-Modus betrieben werden. Die VPN-Verbindung muss durch die Gegenstelle aufgebaut werden. Das kann im Roadwarrior-Modus VPN-Verbindungen nur annehmen aber nicht aktiv aufbauen. Standard-Modus Im Standard-Modus muss die Adresse des VPN-Gateways der Gegenstelle bekannt sein, damit die VPN-Verbindung aufgebaut werden kann. Die VPN- Verbindung kann wahlweise durch das oder durch das VPN- Gateway der Gegenstelle aufgebaut werden. 78 C79000-G8900-C236-04

79 7 VPN-Verbindungen Authentifizierungsverfahren Das unterstützt drei Authentifizierungsverfahren: X.509-Zertifikat CA-Zertifikat Pre-shared Key (PSK) X.509-Zertifikat und CA-Zertifikat Bei den Authentifizierungsverfahren X.509-Zertifikat und CA-Zertifikat werden zur Authentifizierung Schlüssel verwendet, die zuvor durch eine zertifizierende Stelle (CA = Certification Authority) signiert wurden. Diese Verfahren gelten als besonders sicher. Eine CA kann ein Dienstleister sein, aber z. B. auch der Systemadministrator Ihres Projekts, sofern dieser über die notwendigen Software- Werkzeuge verfügt. Die CA erstellt für beide Gegenstellen einer VPN-Verbindung je eine Zertifikatsdatei (PKCS12) mit der Dateiendung ".p12". Diese Zertifikatsdatei enthält den öffentlichen und privaten Schlüssel der eigenen Station, das signierte Zertifikat der CA und den öffentlichen Schlüssel der CA. Bei dem Authentifizierungsverfahren X.509 gibt es zusätzlich für jede der beiden Gegenstellen noch eine Schlüsseldatei (*.pem, *.cer oder *.crt) mit dem öffentlichen Schlüssel der eigenen Station. Die beiden Verfahren unterscheiden sich beim Austausch der öffentlichen Schlüssel. Beim X.509-Zertifikat werden Schlüssel und Schlüsseldatei zwischen dem und dem VPN-Gateway manuell ausgetauscht, z. B. per CD-ROM oder . Nähere Informationen zum Laden des Zertifikats finden Sie im Kapitel 7.4. Beim CA-Zertifikat erfolgt der Schlüsselaustausch zwischen und VPN-Gateway der Gegenstelle über die Datenverbindung beim Aufbau der VPN- Verbindung. Hier entfällt der manuelle Austausch von Schlüsseldateien. Pre-shared Key (PSK) Dieses Verfahren wird vor allem durch ältere IPsec-Implementierungen unterstützt. Dabei erfolgt die Authentifizierung mit einer zuvor verabredeten Zeichenfolge. Um eine hohe Sicherheit zu erzielen, verwenden Sie Zeichenfolgen aus ca. 30 nach dem Zufallsprinzip ausgewählten Klein- und Großbuchstaben sowie Ziffern. Lokale ID und ID der Gegenstelle Die Lokale ID und die ID der Gegenstelle werden vom IPsec genutzt, um beim Aufbau der VPN-Verbindung die Gegenstellen eindeutig zu identifizieren. Die eigene Lokale-ID bildet die Remote-ID der Gegenstelle und umgekehrt. C79000-G8900-C

80 7 VPN-Verbindungen Bei Authentifizierung mit X.509-Zertifikat oder CA-Zertifikat: Wenn Sie die Voreinstellung "NONE" belassen, dann werden als Lokale ID und ID der Gegenstelle automatisch die Distinguished Names aus dem eigenen Zertifikat und aus dem von der Gegenstelle übermittelten Zertifikat übernommen. Wenn Sie die Einträge für die Lokale ID oder die ID der Gegenstelle manuell ändern, dann passen Sie die Einträge der Gegenstelle entsprechend an. Der manuelle Eintrag für die IDs muss im ASN.1-Format erfolgen, z. B. "C=XY/O=XY Org/CN=xy.org.org". Bei Authentifizierung mit Pre-shared Key: Im Roadwarrior-Modus müssen Sie die ID der Gegenstelle manuell eintragen. Sie muss das Format eines Host-Namens oder das Format einer -Adresse haben und mit der Lokalen ID der Gegenstelle übereinstimmen. Wenn Sie die Lokale ID auf "NONE" belassen, dann wird die IP-Adresse als lokale ID verwendet. Wenn Sie die Lokale ID manuell eintragen, muss diese das Format eines Host-Namens oder das Format einer -Adresse haben und mit der ID der Gegenstelle übereinstimmen. 1:1 -NAT Beim Aufbau eines VPN-Tunnels kommt beim eine besondere Variante des NAT zum Einsatz, das 1:1-NAT, auch Bi-directional NAT genannt. Diese Variante erlaubt den Verbindungsaufbau sowohl vom lokalen Netz ins externe Netz als auch vom externen Netz in das lokale Netz. Dazu werden beim die Netzwerkadressen der Telegramme umgeschrieben. Sie können pro VPN-Verbindung und jeweils für die beiden Verbindungsrichtungen einzeln festlegen, ob die Funktion 1:1-NAT aktiviert wird. Dafür stehen auf der Seite "IPsec-VPN - Verbindungen bearbeiten" die entsprechenden Einstellungsmöglichkeiten zur Verfügung. IKE Abkürzungen IKE: Internet Key Exchange SA: Security Association (Sicherheitsbeziehung) ISAKMP: Internet Security Association and Key Management Protocol IPsec: Internet Protocol Security 80 C79000-G8900-C236-05

81 7 VPN-Verbindungen Verbindungsaufbau Der Aufbau der VPN-Verbindung ist in zwei Phasen aufgeteilt. 1. Zunächst wird in Phase 1 die Sicherheitsbeziehung (SA) über das Protokoll ISAKMP aufgebaut. Phase 1 dient dem Schlüsselaustausch zwischen dem und dem VPN-Gateway der Gegenstelle. 2. Danach wird in Phase 2 die SA über das Protokoll IPsec aufgebaut. Phase 2 stellt die eigentliche IPsec-Verbindung zwischen dem und dem VPN-Gateway der Gegenstelle dar. ISAKMP-SA- und IPsec-SA-Verschlüsselung Das unterstützt dabei die folgenden Verfahren: 3DES-168 AES-128 AES-192 AES-256 AES-128 ist ein häufig benutztes Verfahren und ist deshalb als Standard eingestellt. Hinweis Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl - desto sicherer ist der Algorithmus. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. NAT-T Eventuell befindet sich zwischen dem und dem VPN-Gateway des entfernten Netzes ein NAT-Router. Nicht alle NAT-Router lassen IPsec- Telegramme passieren. Daher kann es erforderlich sein, die IPsec-Telegramme in UPD-Pakete einzukapseln, um den NAT-Router passieren zu können. C79000-G8900-C

82 7 VPN-Verbindungen Dead Peer Detection Wenn die Gegenstelle das Protokoll Dead Peer Detection (DPD) unterstützt, können die jeweiligen Partner erkennen, ob die IPsec-Verbindung noch gültig ist oder eventuell neu aufgebaut werden muss. Ohne DPD muss je nach Konfiguration bis zum Ablauf der SA-Lebensdauer gewartet oder die Verbindung manuell neu initiiert werden. Um zu prüfen, ob die IPsec-Verbindung noch gültig ist, sendet die Dead Peer Detection selber DPD-Anfragen zur Gegenstelle. Wenn die Gegenstelle nicht antwortet, wird die IPsec-Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen. Hinweis Durch das Versenden der DPD-Anfragen steigt die Anzahl der gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Anforderungen an das VPN-Gateway des entfernten Netzes Damit eine IPsec-Verbindung erfolgreich aufgebaut werden kann, muss die VPN- Gegenstelle IPsec mit folgender Konfiguration unterstützen: Authentifizierung über X.509-Zertifikate, CA-Zertifikate oder Pre-Shared Key ESP Diffie-Hellman Gruppe 1, 2 oder 5 3DES- oder AES-Verschlüsselung MD5- oder SHA-1-Hash-Algorithmen Tunnel Mode Quick Mode Main Mode SA Lifetime (1 Sekunde bis 24 Stunden) Wenn die Gegenstelle ein Rechner unter Windows 2000 ist, dann muss das Microsoft Windows 2000 High Encryption Pack oder mindestens das Service Pack 2 installiert sein. Wenn sich die Gegenstelle hinter einem NAT-Router befindet, dann muss die Gegenstelle NAT-T unterstützen. Oder aber der NAT-Router muss das IPsec-Protokoll kennen (IPsec/VPN Passthrough). 82 C79000-G8900-C236-05

83 7 VPN-Verbindungen 7.2 VPN-Roadwarrior-Modus Der Roadwarrior-Modus ermöglicht dem die Annahme einer VPN-Verbindung, die von einer Gegenstelle mit unbekannter IP-Adresse eingeleitet wird. Die Gegenstelle muss sich korrekt authentifizieren. Auf die Identifikation der Gegenstelle anhand der IP-Adresse oder des Hostnamens der Gegenstelle wird bei dieser VPN-Verbindung aber verzichtet. Abbildung 7-1 IPSec-VPN > Verbindungen Richten Sie das entsprechend den Absprachen mit dem Systemadministrator der Gegenstelle ein. Abbildung 7-4 IPSec-VPN > Verbindungen > Roadwarrior-Modus > Verbindungseinstellungen > Bearbeiten Authentifizierungsverfahren Nähere Informationen zu den Authentifizierungsverfahren finden Sie im Kapitel 7.1. Wählen Sie - in Absprache mit dem Administrator der Gegenstelle - aus der Klappliste eine der drei folgenden Optionen: CA Zertifikat - X.509-Gegenstellenzertifikat: Legt als Authentifizierungsverfahren ein in das geladenes X.509- Gegenstellenzertifikat fest, das Sie aus der nachfolgenden Klappliste auswählen. Siehe auch Kapitel 7.4. Pre-shared Key: Bei dieser Option wird der Pre-shared Key, welcher auch dem Kommunikationspartner bekannt sein muss, eingegeben. Bei selbst ausgewählten Schlüsseln können Sie eine Zeichenfolge eingeben, die aus bis zu 30 Klein- und Großbuchstaben oder Ziffern besteht. C79000-G8900-C

84 7 VPN-Verbindungen Gegenstellenzertifikat Ist als Authentifizierungsverfahren X.509-Zertifikat gewählt, wird hier die Liste der Zertifikate der Gegenstellen angezeigt, die bereits in das geladen wurden. Das Zertifikat für die VPN-Verbindung ist auszuwählen. ID der Gegenstelle Geben Sie in das Eingabefeld die ID der Gegenstelle ein, oder belassen Sie die Einstellung auf "NONE". Lokale ID Geben Sie in das Eingabefeld die lokale ID oder belassen Sie die Einstellung auf "NONE". Roadwarrior-Modus - IKE bearbeiten Definition der Eigenschaften der VPN-Verbindung entsprechend den Anforderungen und den Absprachen mit dem Administrator der Gegenstelle. Abbildung 7-2 IPSec-VPN > Verbindungen > Roadwarrior-Modus > IKE-Einstellungen > Bearbeiten 84 C79000-G8900-C236-05

85 7 VPN-Verbindungen ISAKMP-SA Verschlüsselung, IPSec-SA Verschlüsselung Auswahlfeld um das, mit dem Administrator der Gegenstelle, vereinbarte Verschlüsselungsverfahren für die ISAKMP-SA und die IPSec-SA einzustellen. Das unterstützt die folgenden Verfahren: 3DES-168 AES-128 AES-192 AES-256 3DES-168 ist ein häufig benutztes Verfahren und ist deshalb als Standard voreingestellt. Das Verfahren kann für ISAKMP-SA und IPSec-SA unterschiedlich festgelegt werden. Hinweis: Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl -, desto sicherer ist er. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. ISAKMP-SA Hash, IPSec-SA Hash Auswahlfeld um das Verfahren, dass zur Berechnung von Prüfsummen/ Hash während der ISAKMP-Phase und der IPSec-Phase verwendet werden soll, festzulegen. Zur Auswahl stehen: MD5 oder SHA-1 (Automatische Erkennung) MD5 SHA-1 Das Verfahren kann für ISAKMP-SA und IPSec-SA unterschiedlich festgelegt werden. C79000-G8900-C

86 7 VPN-Verbindungen ISAKMP-SA Modus Auswahlfeld um das Verfahren, dass zur Aushandlung der ISAKMP-SA verwendet werden soll, festzulegen. Zur Auswahl stehen: Main mode Aggressive mode Hinweis Bei Verwendung des Authentifizierungsverfahren Pre-Shared Key muss im Roadwarrior-Modus der "Aggressive Mode eingestellt werden. ISAKMP-SA Lebensdauer, IPSec-SA Lebensdauer Die Schlüssel einer IPsec-Verbindung werden in bestimmten Abständen erneuert, um den Aufwand eines Angriffs auf eine IPsec-Verbindung zu erhöhen. Eingabefeld, um die Lebensdauer der für die ISAKMP-SA und IPSec-SA vereinbarten Schlüssel festzulegen (in Sekunden). Die Lebensdauer kann für ISAKMP-SA und IPSec-SA unterschiedlich festgelegt werden. NAT-T Eventuell befindet sich zwischen dem und den VPN-Gateway des gegenüberliegenden Netzes ein NAT-Router. Nicht alle NAT-Router lassen IPsec Datenpakete passieren. Daher ist es eventuell erforderlich die IPsec- Datenpakete in UPD-Pakete einzukapseln, um den NAT-Router passieren zu können. An Wird vom ein NAT-Router erkannt, der die IPsec-Datenpakete nicht passieren lässt, startet automatisch die UDP-Kapselung. Erzwingen: Bei Aushandlung der Verbindungsparameter der VPN-Verbindung wird darauf bestanden, dass während der Verbindung die Datenpakete gekapselt übertragen werden. Aus: Die NAT-T-Funktion ist ausgeschaltet. 86 C79000-G8900-C236-05

87 7 VPN-Verbindungen Dead Peer Detection (DPD) aktivieren Hinweis Durch das Versenden der DPD-Anfragen steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Ja Die Dead Peer Detection ist eingeschaltet. Das erkennt unabhängig von der Übertragung von Nutzdaten einen Verlust der Verbindung und wartet in diesem Fall auf den Neuaufbau der Verbindung durch die Gegenstellen. Nein Die Dead Peer Detection ist ausgeschaltet Verzögerung nach DPD-Anfrage (Sekunden) Zeitspanne in Sekunden, nach welcher DPD-Anfragen gesendet werden sollen. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist. Timeout nach DPD-Anfrage (Sekunden) Zeitspanne in Sekunden, nach der die Verbindung zur Gegenstelle für ungültig erklärt werden soll, wenn auf die DPD-Anfragen keine Antwort erfolgte. DPD Maximale Anzahl an Fehlversuchen Anzahl der zulässigen Fehlversuche bevor die IPsec-Verbindung als unterbrochen angesehen wird. Werkseinstellung Werkseitig hat das folgende Einstellungen: Name Aktiviert Authentifizierungsverfahren Remote ID Lokale ID Any Nein (Ausgeschaltet) X.509-Zertifikat NONE NONE Gegenstellen Zertifikat - ISAKMP-SA Verschlüsselung IPSec-SA Verschlüsselung 3DES-168 3DES-168 C79000-G8900-C

88 7 VPN-Verbindungen ISAKMP-SA Hash IPSec-SA Hash ISAKMP-SA Modus MD5 MD5 Main ISAKMP-SA Lebensdauer (Sekunden) IPSec-SA Lebensdauer (Sekunden) NAT-T Dead Peer Detection aktivieren Ein Ja Verzögerung nach DPD-Anfrage (Sekunden) 150 Timeout nach DPD-Anfrage (Sekunden) 60 DPD Maximale Anzahl an Fehlversuchen 5 88 C79000-G8900-C236-05

89 7 VPN-Verbindungen 7.3 IPsec-VPN Standard-Modus Angezeigt werden die bereits angelegten VPN-Verbindungen. Es ist möglich jede Verbindung einzeln zu aktivieren (Aktiv = Ja) oder zu deaktivieren (Aktiv = Nein). Mit Neu können weitere VPN-Verbindungen hinzufügt, mit Einstellungen Bearbeiten und IKE Bearbeiten können diese eingerichtet und mit Löschen können Verbindungen entfernt werden. Abbildung 7-3 IPSec-VPN > Verbindungen > Standard-Modus VPN-Standard-Modus - Verbindungseinstellungen bearbeiten Abbildung 7-4 IPSec-VPN > Verbindungen > Standard-Modus > Verbindungseinstellungen > Bearbeiten Verbindungsname Für die neue Verbindung ist hier ein Verbindungsnamen einzugeben. Adresse des VPN-Gateways der Gegenstelle Eingabefeld für die Adresse der Gegenstelle, entweder als Hostname (z.b. myadress.com) oder als IP-Adresse. C79000-G8900-C

90 7 VPN-Verbindungen Lokales Netz Gegenüberliegendes Netz Admin-PC Adresse der Gegenstelle Admin-PC MD741-1 Lokale Applikation (E-)GPRS INTERNET VPN-Gateway Externe Gegenstellen APN Lokale Applikation VPN-Tunnel Abbildung 7-5 Remote Host > Adresse der Gegenstelle Authentifizierungsverfahren Nähere Informationen zu den Authentifizierungsverfahren finden Sie im Kapitel Wählen Sie - in Absprache mit dem Administrator der Gegenstelle - aus der Klappliste eine der drei folgenden Optionen: CA Zertifikat - X.509-Gegenstellenzertifikat: Pre-shared Key: Legt als Authentifizierungsverfahren ein in das geladenes X.509- Gegenstellenzertifikat fest, das Sie aus der nachfolgenden Klappliste auswählen. Siehe auch Kapitel Bei dieser Option wird der Pre-shared Key, welcher auch dem Kommunikationspartner bekannt sein muss, eingegeben. Bei selbst ausgewählten Schlüsseln können Sie eine Zeichenfolge eingeben, die aus bis zu 30 Kleinund Großbuchstaben oder Ziffern besteht. Gegenstellenzertifikat Hinter der Klappliste finden Sie die Zertifikate der Gegenstelle, die bereits in das geladen wurden. Wählen Sie das Zertifikat für die VPN-Verbindung aus. 90 C79000-G8900-C236-05

91 7 VPN-Verbindungen ID der Gegenstelle Geben Sie in das Eingabefeld die ID der Gegenstelle ein, oder belassen Sie die Einstellung auf "NONE". Lokale ID Geben Sie in das Eingabefeld die lokale ID oder belassen Sie die Einstellung auf "NONE". Die Schaltfläche "ID aus SCALANCE S" Wenn Sie das Zertifikat eines Geräts SCALANCE S in das geladen haben, dann können Sie durch Klicken auf die Schaltfläche "ID aus SCALANCE S" die Remote-ID aus dem Zertifikat auslesen. Der ausgelesene Wert wird dann automatisch als Remote-ID übernommen. IP-Adresse des entfernten Netzes Geben Sie in das Feld die IP-Adresse des entfernten Netzes. Das entfernte Netz kann auch nur ein einzelner Rechner sein. Netzmaske des entfernten Netzes Geben Sie in das Feld die Netzwerkmaske des entfernten Netzes. Das entfernte Netz kann auch nur ein einzelner Rechner sein. 1:1-NAT für das entfernten Netz aktivieren Wählen Sie eine der beiden Optionen aus der Klappliste: Ja: 1:1-NAT ist für das entfernte Netz aktiviert. Nein: 1:1-NAT ist ausgeschaltet. Wenn Sie 1:1-NAT aktiviert haben, dann erfolgt die Adressumschreibung für die Telegramme, die aus dem lokalen Netz in ein entferntes Netz gesendet werden. Siehe auch nachfolgendes Eingabefeld. Adresse für 1:1-NAT zum entfernten Netz Geben Sie in das Eingabefeld eine Netzwerkadresse für Telegramme ein, die in ein entferntes Netz versendet werden. C79000-G8900-C

92 7 VPN-Verbindungen Adresse des lokalen Netzes Geben Sie in das Feld die IP-Adresse (z. B ) des lokalen Netzes. Das lokale Netz kann auch nur ein einzelner Rechner sein. Netzmaske des lokalen Netzes Geben Sie in das Feld die Netzwerkmaske (z. B ) des lokalen Netzes. Das lokale Netz kann auch nur ein einzelner Rechner sein. 1:1-NAT für das lokale Netz aktivieren Wählen Sie eine der beiden Optionen aus der Klappliste: Ja 1:1-NAT ist für das lokale Netz aktiviert. Nein: 1:1-NAT ist ausgeschaltet. Wenn Sie 1:1-NAT aktiviert haben, dann erfolgt die Adressumschreibung für die Telegramme, die aus einem entfernten Netz in ein lokales Netz gesendet werden. Siehe auch nachfolgendes Eingabefeld. Adresse für 1:1-NAT im lokalen Netz Geben Sie in das Eingabefeld eine Netzwerkadresse für Telegramme ein, die vom entfernten Netz empfangen werden. Auf Verbindung durch die Gegenstelle warten Wählen Sie eine der beiden Optionen aus der Klappliste: Ja Das wartet darauf, dass das VPN-Gateway des entfernten Netzes den Aufbau der VPN-Verbindung einleitet. Nein: Das leitet den Verbindungsaufbau selbst ein. Firewall-Regeln für VPN Tunnel Wenn Sie neben diesem Eintrag auf die Schaltfläche "Bearbeiten" klicken, erscheint die Maske, mit der Sie Firewall-Regeln für ein- und ausgehende Nachrichten festlegen. Nähere Informationen zu diesem Punkt finden Sie im Kapitel C79000-G8900-C236-05

93 7 VPN-Verbindungen VPN Standard Modus - IKE bearbeiten Definition der Eigenschaften der VPN-Verbindung entsprechend den Anforderungen und den Absprachen mit dem Administrator der Gegenstelle. Abbildung 7-6 IPSec-VPN > Verbindungen > Standard-Modus > IKE-Einstellungen > Bearbeiten ISAKMP-SA Verschlüsselung, IPSec-SA Verschlüsselung Auswahlfeld für das Verschlüsselungsverfahren, das für die ISAKMP-SA und die IPSec-SA verwendet werden soll. Das unterstützt die folgenden Verfahren: 3DES-168 AES-128 AES-192 AES-256 3DES-168 ist ein häufig benutztes Verfahren und ist deshalb als Standard voreingestellt. Das Verfahren kann für ISAKMP-SA und IPSec-SA unterschiedlich festgelegt werden. C79000-G8900-C

94 7 VPN-Verbindungen Hinweis: Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl -, desto sicherer ist er. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist. ISAKMP-SA Hash, IPSec-SA Hash Auswahlfeld für das Verfahren zur Berechnung von Prüfsummen/Hash während der ISAKMP-Phase und der IPSec-Phase. Zur Auswahl stehen: MD5 oder SHA-1 (Automatische Erkennung) MD5 SHA-1 Das Verfahren kann für ISAKMP-SA und IPSec-SA unterschiedlich festgelegt werden. ISAKMP-SA Modus Auswahlfeld für das Verfahren zur Aushandlung der ISAKMP-SA. Zur Auswahl stehen: Main mode Aggressive mode DH/PFS-Gruppe Auswahlfeld für die DH-Gruppe, verwendet für den Schlüsselaustausch. ISAKMP-SA Lebensdauer, IPSec-SA Lebensdauer Die Schlüssel einer IPsec Verbindung werden in bestimmten Abständen erneuert, um den Aufwand eines Angriffs auf eine IPsec-Verbindung zu erhöhen. Eingabefeld, um die Lebensdauer der für die ISAKMP-SA und IPSec-SA vereinbarten Schlüssel festzulegen (in Sekunden). Die Lebensdauer kann für ISAKMP-SA und IPSec-SA unterschiedlich festgelegt werden. 94 C79000-G8900-C236-05

95 7 VPN-Verbindungen DH/PFS-Gruppe Das unterstützt den Deffie-Hellmann-Schlüsselaustausch (DH) mit der Eigenschaft Perfect Forward Secrecy (PFS). Für den Schlüsselaustausch stehen Ihnen drei DH-Gruppen zur Auswahl. Wählen Sie aus der Klappliste eine der drei folgenden Optionen: DH DH DH NAT-T Wählen Sie aus der Klappliste eine der drei folgenden Optionen: An: Wird vom ein NAT-Router erkannt, der die IPsec-Telegramme nicht passieren lässt, startet automatisch die UDP-Kapselung. Aus: Die NAT-T-Funktion ist ausgeschaltet. Erzwingen: Bei Aushandlung der Verbindungsparameter der VPN-Verbindung wird darauf bestanden, dass während der Verbindung die Telegramme gekapselt übertragen werden. Dead Peer Detection (DPD) aktivieren Hinweis Durch das Versenden der DPD-Anfragen steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Nein: Die Dead Peer Detection ist eingeschaltet. Das erkennt, unabhängig davon ob Nutzdaten übertragen werden, einen Verlust der Verbindung. Das Gerät wartet in diesem Fall auf den Neuaufbau der Verbindung durch die Gegenstellen. Die Dead Peer Detection ist ausgeschaltet. Wenn Sie "Ja" auswählen, erscheinen die folgenden drei Eingabefelder: Verzögerung nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein, nach der DPD- Anfragen gesendet werden. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist. C79000-G8900-C

96 7 VPN-Verbindungen Timeout nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein. Wenn auf die DPD-Anfragen keine Antwort erfolgt, dann wird nach Ablauf dieser Zeit die Verbindung zur Gegenstelle für ungültig erklärt. DPD: Maximale Anzahl an Fehlversuchen Geben Sie in das Eingabefeld die Anzahl der zulässigen Fehlversuche ein, bevor die IPsec-Verbindung als unterbrochen angesehen wird. Werkseinstellungen im Standard-Modus Werkseitig hat das folgende Einstellungen: Aktiviert: Name: Nein (Ausgeschaltet) NewConnection Verbindungseinstellungen Adresse des VPN-Gateways der Gegenstelle NONE Authentifizierungsverfahren: X.509 Gegenstellenzertifikat Gegenstellenzertifikat: - Pre-shared Key ID der Gegenstelle: Lokale ID: Verdeckte Zeichenfolge, die überschrieben wird. NONE NONE IP-Adresse des entfernten Netzes: Netzmaske des entfernten Netzes: :1-NAT für das gegenüberliegende Netz: Nein (Ausgeschaltet) Adresse des lokalen Netzes: Netzmaske des lokalen Netzes: :1-NAT für das lokale Netz aktivieren: Nein (Ausgeschaltet) 96 C79000-G8900-C236-05

97 7 VPN-Verbindungen Auf Verbindung durch die Gegenstelle warten: Firewall-Regeln für VPN-Tunnel: Nein Keine Regeln gesetzt. IKE-Einstellungen ISAKMP-SA Verschlüsselung: Hash (Prüfsumme): Modus: 3DES-168 MD5 oder SHA-1 Main Mode Lebensdauer (Sekunden): IPsec-SA Verschlüsselung: Hash (Prüfsumme): 3DES-168 MD5 oder SHA-1 Lebensdauer (Sekunden): DH/PFS Gruppe DH NAT-T: Dead Peer Detection (DPF) aktivieren: An Ja Verzögerung nach DPD-Anfrage (Sekunden): 150 Timeout nach DPD-Anfrage(Sekunden): 60 DPD: Maximale Anzahl an Fehlversuchen: 5 C79000-G8900-C

98 7 VPN-Verbindungen 7.4 VPN-Zertifikate laden Laden und Verwalten von Zertifikaten und Schlüsseln. Abbildung 7-7 IPSec-VPN > Zetifikate Gegenstellenzertifikat hochladen Feld zum Laden der Schlüsseldateien (*.pem,*.cer oder *.crt) mit Gegenstellenzertifikaten und öffentlichen Schlüsseln von Gegenstellen in das. Die Dateien müssen dazu auf dem Admin-PC gespeichert sein. Ein Gegenstellenzertifikat wird nur beim Authentifizierungsverfahren mit X.509- Zertifikat benötigt. PKCS12 Datei (.p12) hochladen Feld zum Laden der Zertifikats-Datei (PKCS12-Datei) mit der Dateiendung.p12 in das. Die Zertifikats-Datei muss dazu auf dem Admin-PC gespeichert sein. Achtung Befindet sich bereits eine Zertifikats-Datei im Gerät, muss diese vor dem Laden einer neuen Datei gelöscht werden. Passwort Die Zertifikats-Datei (PKCS12-Datei) ist mit einem Passwort geschützt. Eingabefeld für das Passwort der Zertifikats-Datei. 98 C79000-G8900-C236-05

99 7 VPN-Verbindungen Gegenstellenzertifikate (*.pem,*.cer, *.crt) An dieser Stelle werden alle geladenen Gegenstellenzertifikate in einer Liste angezeigt. Mit Löschen können Gegenstellenzertifikate, die nicht mehr benötigt werden, wieder entfernen werden. Eigene Zertifikate (.p12) An dieser Stelle wird der Name und Zustand der geladenen Zertifikats-Datei (PKCS12-Datei) angezeigt. Ein weißer Haken auf grünem Punkt zeigt an, dass der jeweilige Bestandteil der Zertifikats-Datei vorhanden ist, ein weißes Kreuz auf rotem Punkt zeigt an, dass der jeweilige Bestandteil fehlt oder dass das eingegebene Passwort falsch ist. 7.5 Firewall-Regeln für VPN-Tunnel Die Oberfläche zum Einrichten der Firewall-Regeln für VPN-Tunnel befindet sich unter IPsec-VPN > Verbindungen: Abbildung 7-8 IPsec-VPN > Verbindungen > VPN-Verbindungen im Standard-Modus > Verbindungseinstellungen > Bearbeiten > Firewall-Regeln für VPN-Tunnel C79000-G8900-C

100 7 VPN-Verbindungen IPsec VPN Firewall-Regeln bearbeiten Abbildung 7-9 IPsec-VPN > Verbindungen > VPN-Verbindungen im Standard-Modus > Verbindungseinstellungen > Bearbeiten > Firewall-Regeln für VPN-Tunnel > Bearbeiten Funktion Die IPsec-VPN-Verbindung wird grundsätzlich als sicher angesehen. So ist der Datenverkehr über diese Verbindung standardmäig nicht beschränkt. Es ist aber möglich Firewall-Regeln für die VPN-Verbindung zu erstellen Werkseinstellung Werkseitig hat das folgende Einstellungen: Firewall-Regeln für VPN-Tunnel Keine Beschränkungen 100 C79000-G8900-C236-05

101 7 VPN-Verbindungen 7.6 Überwachung der VPN-Verbindungen Abbildung 7-10 IPsec-VPN > Überwachung Funktion Mit der Überwachung der VPN-Verbindungen überprüft das aufgebaute VPN-Verbindungen. Dazu sendet das über die VPN- Verbindung in regelmäßigen Zeitabständen Ping-Pakete (ICMP) an ein oder mehrere Gegenstellen (Ziel-Hosts). Dies geschieht unabhängig von den Nutzdaten. Für jede VPN-Verbindung kann eine eigene Überwachung eingerichtet werden. Ziel-Hosts MD Ping Ping Antwort Client-IP VPN-Verbindung Host-IP Antwort Abbildung 7-11 IPsec VPN > Überwachung der VPN-Verbindung Hinweis Ping nicht auf einen Host hinter dem VPN-Gateway ausführen! Hier spricht die Tunnelüberwachung an, wenn ein Host z. B. wegen ShutDown nicht mehr erreichbar ist. Pingen Sie die interne IP-Schnittstelle des VPN-Gateway an! Erhält das auf einen Ping mindestens von einer der adressierten Gegenstellen eine Antwort, ist die VPN-Verbindung noch funktionsbereit. Antwortet keine der Gegenstellen auf den Ping, wird nach einer einstellbaren Verzögerung der Ping wiederholt. Enden alle Wiederholungen erfolglos, wird der VPN-Client im neu gestartet. Dies verursacht einen Neuaufbau aller bestehenden VPN-Verbindungen. C79000-G8900-C

102 7 VPN-Verbindungen Achtung Durch das Versenden der Ping-Pakete (ICMP) steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen. VPN-Überwachung verwenden Ja: VPN-Überwachung eingeschaltet Nein: VPN-Überwachung ausgeschaltet Intervall für Verbindungsprüfung (Minuten) An dieser Stelle wird festgelegt, in welchen Zeitintervallen die Ping-Pakete über die überwachten VPN-Verbindungen (VPN-Tunnel) gesendet werden. Die Angabe erfolgt in Minuten. Verzögerung bis zur Wiederholung (Minuten) An dieser Stelle wird die Wartezeit festgelegt, nach welcher bei einer erfolglosen Ping-Prüfung (keine Antwort auf den Ping) der Ping wiederholt wird. Die Angabe erfolgt in Minuten. Anzahl der erfolglosen Verbindungsprüfungen bis zum Neustart des VPN-Client An dieser Stelle wird die Anzahl der erfolglosen Ping-Wiederholungen festgelegt, nach denen der VPN-Client im neu gestartet wird Ziel-Hosts Name des Tunnels Legen Sie hier fest, welche VPN-Verbindungen (VPN-Tunnel) überwacht werden sollen. Fügen Sie mit "Neu" eine weitere VPN-Verbindung hinzu und entfernen Sie eine VPN-Verbindung mit "Löschen". IP-Adresse des Hosts Wählen Sie hier über deren IP-Adresse die Gegenstelle (Ziel-Hosts) aus. IP-Adresse des Clients Geben Sie hier als Absender-IP eine beliebige ungenutzte IP-Adresse aus dem lokalen Netzbereich der jeweiligen VPN-Verbindung an. 102 C79000-G8900-C236-05

103 7 VPN-Verbindungen Werkseinstellung Werkseitig hat das folgende Einstellungen: VPN-Überwachung verwenden Nein Intervall für Verbindungsprüfung (Minuten) 5 Verzögerung bis zur Wiederholung (Minuten) 1 Anzahl der erfolglosen Verbindungsprüfungen bis zum Neustart des VPN-Client Erweiterte Einstellungen bei VPN-Verbindungen Einstellen spezieller Funktionen, Wartezeiten und Intervalle bei VPN- Verbindungen. Abbildung 7-12 IPsec-VPN > Erweitert Keepalive-Intervall für NAT-T (Sekunden) Wenn NAT-T aktiviert ist, dann werden periodisch Keepalive-Datenpakete vom durch die VPN-Verbindung gesendet. Dies soll verhindern, dass ein NAT-Router zwischen und der Gegenstelle in Ruhephasen ohne Datenverkehr die Verbindung unterbricht. Das Intervall zwischen den Keepalive-Datenpaketen kann hier geändert werden. Phase 1 Timeout (Sekunden) Das Phase 1 Timeout bestimmt, wie lange das abwartet, bis ein Authentifizierungsverfahren der ISAKMP-SA abgeschlossen ist. Wird das eingestellte Timeout überschritten, wird das Authentifizierungsverfahren abgebrochen und neu gestartet. Das Timeout kann hier geändert werden. C79000-G8900-C

104 7 VPN-Verbindungen Phase 2 Timeout (Sekunden) Das Phase 2 Timeout bestimmt, wie lange das abwartet, bis ein Authentifizierungsverfahren der IPsec-SA abgeschlossen ist. Wird das eingestellte Timeout überschritten, wird das Authentifizierungsverfahren abgebrochen und neu gestartet. Das Timeout kann hier geändert werden. Maximale Anzahl der Verbindungsaufbauversuche bis zum Neustart des VPN- Client Wenn ein VPN-Verbindungsaufbau fehlschlägt, dann wird der Verbindungsaufbau vom wiederholt. Geben Sie hier die Anzahl der erfolglosen Versuche ein, bevor das seinen VPN-Client neu startet, um dann erneut den Verbindungsaufbau einzuleiten. Maximale Anzahl der Verbindungsaufbauversuche nach Neustart des VPN-Client bis zum Neustart des Geräts Wenn ein VPN-Verbindungsaufbau fehlschlägt, dann wird der Verbindungsaufbau vom wiederholt. Geben Sie hier die Anzahl der erfolglosen Versuche ein, bevor das nach erfolglosem Neustart des VPN- Client einen Neustart macht, um dann erneut den Verbindungsaufbau einzuleiten. DynDNS-Tracking Bezieht das VPN-Gateway der Gegenstelle die IP-Adresse von einem DynDNS- Dienst und wird keine Dead Peer Detection verwendet, ist es sinnvoll, wenn das regelmäßig überprüft, of das VPN-Gateway der Gegenstelle noch erreichbar ist. Das DynDNS Tracking übernimmt diese Funktion. Mit Ja, wird die Funktion aktiviert, mit Nein deaktiviert. Intervall für DynDNS-Tracking (Minuten) Stellen Sie hier ein, in welchen Abständen geprüft werden soll, ob die Gegenstelle noch erreichbar ist. Neustart des VPN-Client bei DPD Wenn das auf seine DPD-Anfragen von einer Gegenstelle keine Antwort erhält, dann wird die IPsec-Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen. Sie können festlegen, ob in so einem Fall, das neu gestartet wird. Bedenken Sie, dass bei einem Neustart nicht nur die fehlgeschlagene Verbindung, sondern alle vorhandenen VPN-Verbindungen unterbrochen werden. 104 C79000-G8900-C236-05

105 7 VPN-Verbindungen Wählen Sie eine der beiden Optionen: Ja: Das Gerät wird neu gestartet, sobald DPD festgestellt wird. Nein: Das Gerät wird bei DPD nicht neu gestartet. Werkseinstellungen Werkseitig hat das folgende Einstellungen: Keepalive-Intervall für NAT-T (Sekunden): 60 Phase 1 Timeout (Sekunden): 15 Phase 2 Timeout (Sekunden): 10 Maximale Anzahl der Verbindungsaufbauversuche bis zum Neustart des VPN-Client: Maximale Anzahl der Verbindungsaufbauversuche nach Neustart des VPN-Client bis zum Neustart des Geräts: DynDNS-Tracking: 5 2 Nein Intervall für DynDNS-Tracking (Minuten): 5 Neustart des VPN-Client bei DPD: Nein C79000-G8900-C

106 7 VPN-Verbindungen 7.8 Status der VPN-Verbindungen Anzeige des Status der aktivierten VPN-Verbindungen und Möglichkeit eine Protokolldatei auf den Admin-PC zu laden. Abbildung 7-13 IPsec-VPN > Status Aktivierte VPN-Verbindungen Ein weißer Haken auf grünem Punkt zeigt an, dass die jeweilige Sicherheitsbeziehung (SA = Security Association) erfolgreich aufgebaut ist. Ein weißes Kreuz auf rotem Punkt zeigt an, dass die Sicherheitsbeziehung nicht besteht. Anzahl der VPN-Verbindungsversuche (24h) Dieser Eintrag zeigt an, wie oft in den letzten 24 Stunden versucht wurde, eine VPN-Verbindung aufzubauen. VPN-Protokoll herunterladen Mit dieser Funktion können die VPN-Protokolldatei auf den Admin-PC herunterladen werden. 106 C79000-G8900-C236-05

107 Fernzugänge Fernzugang HTTPS Der HTTPS-Fernzugang (= HyperText Transfer Protocol Secure) ermöglicht über EGPRS, GPRS oder CSD einen gesicherten Zugriff aus einem externen Netz auf die Web-Oberfläche des. Die Konfiguration des über den HTTPS-Fernzugang erfolgt dann genauso wie die Konfiguration per Web-Browser über die lokale Schnittstelle (siehe Kapitel 3). Abbildung 8-1 Fernzugänge > HTTPS HTTPS-Fernzugang aktivieren Ja Der Zugriff auf die Web-Oberfläche des per HTTPS aus dem externen Netz ist gestattet. Nein Der Zugriff per HTTPS ist nicht gestattet. 107 C79000-G8900-C236-04

108 8 Fernzugänge Port für HTTPS-Fernzugang Standard: 443 (Werkseinstellung) Es kann ein anderer Port festgelegt werden. Wenn jedoch ein anderer Port festgelegt wird, dann muss die externe Gegenstelle, die den Fernzugriff ausübt, bei der Adressenangabe hinter der IP-Adresse die Port-Nummer angeben. Beispiel: Ist dieses über die Adresse über das Internet zu erreichen, und ist für den Fernzugang die Port-Nummer 442 festgelegt, dann muss bei der externen Gegenstelle im Web-Browser angegeben werden: Firewall-Regeln für den HTTPS-Fernzugang Neu Fügt eine neue Firewall-Regel für den HTTPS-Fernzugang hinzu, die dann auszufüllen ist. Löschen Entfernt eine angelegte Firewall-Regel für den HTTPS-Fernzugang wieder. Von IP-Adresse (extern) Eingabefeld für die Adresse(n) des/der Rechner(s), dem/denen Fernzugang erlaubt ist. Bei den Angaben gibt es folgende Möglichkeiten: IP-Adresse oder -Adressenbereich: /0 bedeutet alle Adressen. Um einen Bereich anzugeben, wird die CIDR-Schreibweise verwendet. Aktion Auswahlfeld, mit dem festgelegt wird, wie bei Zugriffen auf den angegebenen HTTPS Port verfahren wird: Annehmen bedeutet, die Datenpakete dürfen passieren. Zurückweisen bedeutet, die Datenpakete werden zurückgewiesen, so dass der Absender eine Information über die Zurückweisung erhält. Verwerfen bedeutet, die Datenpakete dürfen nicht passieren. Sie werden verworfen, so dass der Absender keine Information erhält über deren Verbleib. Log Für jede einzelne Firewall-Regel kann festgelegt werden, ob bei Greifen der Regel das Ereignis protokolliert werden soll - Log auf Ja setzen, oder nicht - Log auf Nein setzen (werkseitige Voreinstellung). Das Protokoll wird in das Firewall-Logbuch geschrieben. 108 C79000-G8900-C236-05

109 8 Fernzugänge Werkseinstellung Werkseitig hat das folgende Einstellungen: HTTPS-Fernzugang aktivieren Nein (Ausgeschaltet) Port für HTTPS-Fernzugang 443 Vorgabe für neue Regel: Von IP-Adresse (extern) /0 Aktion Log Annehmen Nein (Ausgeschaltet) 8.2 Fernzugang SSH Der SSH-Fernzugang (= Secured SHell) ermöglicht über EGPRS, GPRS oder CSD einen gesicherten Zugriff aus einem externen Netz auf das Dateisystem des. Dazu muss mit einem SSH-fähigen Programm eine Verbindung von der externen Gegenstelle zum aufgebaut werden. Der SSH-Fernzugang sollte von Anwendern verwendet werden, die mit dem LINUX Dateisystem vertraut sind. Werkseitig ist diese Option ausgeschaltet. Abbildung 8-2 Fernzugänge > SSH Vorsicht Über den SSH-Fernzugang ist es möglich, das Gerät so falsch zu konfigurieren, dass es zum Service eingeschickt werden muss. C79000-G8900-C

110 8 Fernzugänge SSH-Fernzugang aktivieren Ja Der Zugriff auf das Dateisystem des per SSH aus dem externen Netz ist gestattet. Nein Der Zugriff per SSH ist nicht gestattet. Port für SSH-Fernzugang Standard: 22 (Werkseinstellung) Es kann ein anderer Port festlegt werden. Wenn jedoch ein anderer Port festgelegt wird, dann muss die externe Gegenstelle, die den Fernzugriff ausübt, bei der Adressenangabe vor der IP-Adresse die Port-Nummer angeben, die hier festgelegt ist. Beispiel: Ist dieses über die Adresse aus dem externen Netz zu erreichen, und ist für den Fernzugang der Port festgelegt, dann muss bei der externen Gegenstelle im SSH-Client (z. B. PUTTY) diese Port- Nummer angegeben werden: ssh -p Firewall-Regeln für den SSH-Fernzugang Neu Fügt eine neue Firewall-Regel für den SSH-Fernzugang hinzu, die dann auszufüllen ist. Löschen Entfernt eine angelegte Firewall-Regel für den SSH-Fernzugang wieder. Von IP-Adresse Eingabefeld für die Adresse(n) des/der Rechner(s), dem/denen Fernzugang erlaubt ist. Bei den Angaben haben Sie folgende Möglichkeiten: IP-Adresse oder -Adressenbereich: /0 bedeutet alle Adressen. Um einen Bereich anzugeben, wird die CIDR-Schreibweise benutzt. Aktion Auswahlfeld, wie bei Zugriffen auf den angegebenen SSH-Port verfahren wird: Annehmen bedeutet, die Datenpakete dürfen passieren. 110 C79000-G8900-C236-05

111 8 Fernzugänge Zurückweisen bedeutet, die Datenpakete werden zurückgewiesen, so dass der Absender eine Information über die Zurückweisung erhält. Verwerfen bedeutet, die Datenpakete dürfen nicht passieren. Sie werden verworfen, so dass der Absender keine Information erhält über deren Verbleib. Log Für jede einzelne Firewall-Regel kann festlegt werden, ob bei Greifen der Regel das Ereignis protokolliert werden soll - Log auf Ja setzen oder nicht - Log auf Nein setzen (werkseitige Voreinstellung). Das Protokoll wird in das Firewall-Logbuch geschrieben. Werkseinstellung Werkseitig hat das folgende Einstellungen: SSH-Fernzugang aktivieren Nein (Ausgeschaltet) Port für SSH-Fernzugang 22 Vorgabe für neue Regel: Von IP (extern) /0 Aktion Log Annehmen Nein (Ausgeschaltet) 8.3 Fernzugang über Wählverbindung Der Zugang CSD-Einwahl ermöglicht den Zugriff auf die Web-Oberfläche des über eine Daten-Wählverbindung (CSD = Circuit Switched Data). Dazu ist das mit einem analogen Modem auf der Datenrufnummer oder mit einem GSM-Modem auf der Sprach- oder Datenrufnummer seiner SIM-Karte anzurufen. Abbildung 8-3 Fernzugänge > CSD-Einwahl C79000-G8900-C

112 8 Fernzugänge Das nimmt den Ruf an, wenn die Rufnummer des Telefonanschlusses von dem aus der Anruf getätigt wird, in der Liste der zugelassenen Nummern im gespeichert ist und die Rufnummer vom Telefonnetz übertragen wird (CLIP Funktion) Die Einwahl muss mit einem PPP-Client erfolgen. CSD-Einwahl aktivieren Ja Der Zugriff auf die Web-Oberfläche des per Daten- Wählverbindung ist gestattet. Nein Der Zugriff per Daten-Wählverbindung ist nicht gestattet. PPP-Benutzername / PPP-Passwort Eingabefelder für Benutzernamen und Passwort, mit dem sich ein PPP-Client (z.b. Windows DFÜ-Verbindung) am anmelden muss. Der gleiche Benutzername und das gleiche Passwort müssen vom PPP-Client verwendet werden. Zugelassene Rufnummern Eingabefeld für die Rufnummer des Telefonanschlusses, von dem aus die Daten- Wählverbindung aufgebaut wird. Der Telefonanschluss muss die Rufnummernübermittlung (CLIP Calling Line Identification Presentation) unterstützen und die Funktion muss eingeschaltet sein. Die im eingetragene Rufnummer muss exakt mit der gemeldeten Rufnummer übereinstimmen und gegebenenfalls auch die Länderkennung und Vorwahl umfassen, z.b Wenn mehrere Rufnummern einer Nebenstellenanlage zugangsberechtigt sein sollen, kann das Zeichen * als Joker verwenden werden, z.b *. Alle Rufnummern die mit beginnen werden dann akzeptiert. 112 C79000-G8900-C236-05

113 8 Fernzugänge Hinweis Firewall-Regeln, die für den HTTPS- bzw. SSH-Zugang eingetragen sind, gelten auch für den CSD-Zugang. Als Quell-IP-Adresse ( von IP ) für den CSD-Zugang ist festgelegt. Neu Fügt eine neue zugelassene Rufnummer für den CSD-Fernzugang hinzu, die dann auszufüllen ist. Löschen Entfernt eine Rufnummer für den CSD-Fernzugang wieder. Werkseinstellung Werkseitig hat das folgende Einstellungen: CSD-Einwahl aktivieren PPP-Benutzername PPP-Passwort Nein (Ausgeschaltet) service service Zugelassene Rufnummern * C79000-G8900-C

114 Zustand, Logbuch und Diagnose Logbuch Abbildung 9-1 System > Logbuch Logbuch Im Logbuch werden wichtige Ereignisse im Betriebsablauf des abgespeichert: Neustart Änderungen der Konfiguration Verbindungsaufbau Verbindungsunterbrechungen Signalstärke und Betriebsmeldungen Das Logbuch wird bei Erreichen einer Dateigröße von 1 MByte, spätestens aber nach 24 Stunden, im Logbuch-Archiv des gespeichert. C79000-G8900-C

115 9 Zustand, Logbuch und Diagnose Aktuelles Logbuch herunterladen Download - das aktuelle Logbuch wird auf den Admin-PC geladen. Der Anwender kann das Verzeichnis auswählen, in dem die Datei gespeichert wird, und die Datei dort betrachten. Logbuch-Archiv Download - Archivierte Logbuch-Dateien werden auf den Admin-PC geladen. Der Anwender kann das Verzeichnis auswählen, in dem die Dateien gespeichert werden, und die Dateien dort betrachten. Beispiel: Abbildung 9-2 Beispiel - Logbuch Einträge im Logbuch Spalte A: Zeitstempel Spalte B: Produktnummer 3173xx Spalte C: Signalqualität (CSQ-Wert) Spalte D: C79000-G8900-C

116 9 Zustand, Logbuch und Diagnose GSM Einbuchstatus STAT = --- = Funktion noch nicht gestartet STAT = 1 = Im Heimatnetz eingebucht STAT = 2 = Nicht eingebucht; Netzsuche STAT = 3 = Einbuchen abgelehnt STAT = 5 = Eingebucht in Fremdnetz (Roaming) Spalte E: Angabe der Identifikation des Netzbetreibers mit dem 3-stelligen Ländercode (MCC) und dem 2-3-stelligen Netzbetreibercode (MNC). Beispiel: (262 = Ländercode / 01 = Netzbetreibercode) Spalte F: Kodierter Betriebsstatus (für Kundendienst) Spalte G: Kategorie der Logbuch-Meldung (für Kundendienst) Spalte H: Interne Quelle der Logbuch-Meldung (für Kundendienst) Spalte I: Interne Meldungsnummer (für Kundendienst) Spalte J: Logbuch-Meldung im Klartext Spalten K-P: Zusatzinfomationen zur Klartextmeldung, wie zum Beispiel: Cell-ID (Identifikationsnummer der aktiven GSM-Zelle) Softwareversion TXS, RXS (Übertragene IP-Pakete der aktuellen Verbindung) TX, RX (Übertragene IP-Pakete seit letztem Werksneustart) 116 C79000-G8900-C236-05

117 9 Zustand, Logbuch und Diagnose 9.2 Remote-Logging Das kann das System-Logbuch einmal am Tag per FTP (= File Transfer Protocol) an einen FTP Server übertragen. Übertragen wird das aktuelle System Logbuch sowie die System Log-Dateien im Archiv. Nach erfolgreicher Übertragung werden die übertragenen System Logbücher im gelöscht. Schlägt die Übertragung fehl, versucht das nach 24 Stunden erneut die Daten zu übertragen. Abbildung 9-3 Wartung > Remote-Logging Remote-Logging (FTP Upload) verwenden Mit Ja wird die Funktion eingeschaltet. Uhrzeit Legt die Uhrzeit fest zu der die Logbücher übertragen werden sollen. FTP Server Legt die Adresse des FTP Servers fest, zu dem die Log-Dateien übertragen werden sollen. Die Adresse kann als Hostname (z.b. ftp.server.de) oder als IP- Adresse angegeben werden. Benutzername Legt den Benutzernamen für die Anmeldung am FTP Server fest. C79000-G8900-C

118 9 Zustand, Logbuch und Diagnose Passwort Legt das Passwort für die Anmeldung am FTP Server fest. Aktive Uploads Hier werden die Log-Dateien angezeigt, die beim nächsten Zyklus an den FTP Server übertragen werden. Werkseinstellung Werkseitig hat das folgende Einstellungen: Remote-Logging (FTP Upload) verwenden Nein (Ausgeschaltet) Uhrzeit 00:00 FTP Server Benutzername Passwort NONE guest guest 9.3 Snapshot Diese Funktion dient für Support-Zwecke. Der Service-Snapshot speichert wichtige Logdateien und aktuelle Geräte- Einstellungen, die zur Fehlerdiagnose relevant sein könnten in einer Datei. Abbildung 9-4 Wartung > Snapshot Wenn Sie sich bei einem Problem mit dem an unsere Hotline wenden, wird diese möglicherweise um die Snapshot-Datei bitten. 118 C79000-G8900-C236-05

119 9 Zustand, Logbuch und Diagnose Hinweis Diese Datei enthält die Zugangsparameter zu EGPRS und GPRS sowie die Adressen der Gegenstelle. Nicht enthalten sind Benutzername und Passwort für den Zugang zum. Snapshot-Datei auf PC laden Wenn Sie auf die Schaltfläche "Download" klicken, dann öffnet sich ein Dialog zum Öffnen oder Speichern der Snapshot-Dateien. Folgen Sie den Anweisungen des Dialogs. Erweiterte Diagnose (erfordert Neustart) Hinweis Diese Funktion nur nach Aufforderung durch die Hotline aktivieren Aktivieren Sie "Erweiterte Diagnose" nur nach Aufforderung durch die Hotline. Durch die häufigen Schreibzugriffe bei aktivierter erweiterter Diagnose auf den nicht flüchtigen Speicher des kann sich dessen Lebensdauer verringern. Bei aktivierter erweiterter Diagnose werden die Logbuch-Informationen häufiger in die Logbücher geschrieben. Außerdem werden Zusatzinformationen gespeichert. Dies hilft bei einer gezielten Problemanalyse. Werkseinstellung Werkseitig hat das folgende Einstellungen: Erweiterte Diagnose Aus (Aktivieren) C79000-G8900-C

120 9 Zustand, Logbuch und Diagnose 9.4 Hardware-Informationen Anzeige wichtiger Informationen zur Hardware-Identifikation. Abbildung 9-5 Wartung > Hardware-Informationen 9.5 Software-Informationen Anzeige wichtiger Informationen zur Software-Identifikation. Zusätzlich werden geplante Updates angezeigt. Abbildung 9-6 Wartung > Software Info 120 C79000-G8900-C236-05

121 Weitere Funktionen SMS Center (SMSC) Das nutzt auch den Short Message Service (SMS) des GSM- Netzes. Sie können ein spezielles SMS Center festlegen. Abbildung 10-1 SMS > SMS Center (SMSC) Rufnummer des SMSC Damit die SMS-Funktion sicher funktioniert, tragen Sie hier die Rufnummer des Service Center (SMSC) ein. Ohne Eintrag an dieser Stelle wird das Standard- SMSC Ihres Netzbetreibers verwendet Alarm-SMS Das kann kurze Alarm-Meldungen über SMS (= Short Message Service) des GSM-Netzes versenden. Der Versand einer Alarm-SMS kann durch folgendes Ereignis ausgelöst werden: Ereignis 1: Keine GPRS-Verbindung Zum Ereignis können Sie eine eigene Rufnummer angeben, an welche die Alarm- Meldung geschickt wird. Den Text der Alarm-Meldung können Sie frei festlegen. Folgende Zeichen stehen zur Verfügung: a b c d e f g h I j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z ,!? 121 C79000-G8900-C236-04

122 10 Weitere Funktionen Abbildung 10-2 SMS > Alarm-SMS Alarm SMS bei Ereignis 1: Keine GPRS-Verbindung Ereignis 1: Die GPRS-Verbindung kommt trotz mehrfacher Versuche nicht zustande. Das versendet daraufhin eine Alarm-Meldung. Einstellungen Aktivieren Bei Ja wird beim Ereignis die Alarm-Meldung abgesendet, bei Nein nicht. Rufnummer Tragen Sie hier die Rufnummer des Endgeräts ein, an das die Alarm-Meldung über SMS gesendet werden soll. Das Endgerät muss SMS-Empfang über GSM oder Festnetz unterstützen. Nachrichtentext Tragen Sie hier den Text ein, der als Alarm-Meldung verschickt wird. Werkseinstellung Werkseitig hat das folgende Einstellungen: SMS Service Center Rufnummer - Alarm SMS bei Ereignis 1: Keine GPRS- Verbindung Nein (ausgeschaltet) Rufnummer - Text C79000-G8900-C236-05

123 10 Weitere Funktionen 10.3 SMS-Versand aus dem lokalen Netzwerk Mit der Funktion SMS-Versand können Anwendungen, die an der lokalen Schnittstelle des angeschlossen sind, SMS über das GSM-Netz verschicken. Abbildung 10-3 SMS > SMS over IP Zum Versand einer SMS muss die Anwendung an der lokalen Schnittstelle eine TCP/IP-Verbindung zum aufbauen. Über diese TCP/IP-Verbindung sendet die Anwendung den Text der SMS an das, das den Text in eine SMS verpackt und verschickt. Telegrammformat für die SMS-Nachricht Der Text muss in einem Telegramm über die TCP/IP-Verbindung an das SINAUT MD741-1 übermittelt werden, das folgendem Format entspricht: Benutzername#Passwort#CommandCode#Seq-Num;Rufnummer;Nachricht: Beispiel: benutzer#passwort#105#01; ;mein SMS Text: Benutzername Geben Sie den Benutzernamen zur Prüfung der Sendeberechtigung einer SMS ein. Maximal 10 Zeichen. Passwort Geben Sie das zugehörige Passwort zum Benutzernamen ein. Maximal 10 Zeichen. CommandCode Kommando zum SMS-Versand aus dem lokalen Netz. Dieser Wert ist fest 105 und darf nicht verändert werden. C79000-G8900-C

124 10 Weitere Funktionen Seq-Num Die Sequenznummer dient der Zuordnung mehrerer Anfragen gleichzeitig. Die Funktion wird derzeit nicht unterstützt. Die Sequenznummer besteht aus 2 nummerischen Zeichen von 01 bis 99 Rufnummer Rufnummer des SMS-Empfängers mit maximal 40 Zeichen. Internationale Nummern (+49...) sind zulässig. Nachricht SMS-Text mit maximal 160 Zeichen Folgende verbotene Zeichen dürfen im SMS-Text nicht vorkommen: # Trennungszeichen der ersten Kommandoebene ; Trennungszeichen der zweiten Kommandoebene : Bestimmt das Ende der Nachricht SMS-Versand aus dem lokalen Netzwerk aktivieren Wählen Sie Ja, um SMS aus dem lokalen Netzwerk versenden zu können. Wählen Sie Nein, wenn Sie keine SMS aus dem lokalen Netzwerk versenden wollen. Benutzername Benutzername, der im Telegramm enthalten sein muss, bevor der Text per SMS versendet wird (siehe oben: "Telegrammformat"). Maximal 10 Zeichen. Passwort Passwort, das im Telegramm enthalten sein muss, bevor der Text per SMS versendet wird (siehe oben: "Telegrammformat"). Maximal 10 Zeichen. Port-Nummer TCP/IP-Port, auf dem das die TCP/IP-Verbindung zum SMS- Versand entgegen nimmt. 124 C79000-G8900-C236-05

125 10 Weitere Funktionen Firewall-Regeln Damit die TCP/IP-Verbindung zum SMS-Versand aufgebaut werden kann, muss am eine Firewall-Regel eingerichtet werden. Mit Neu fügen Sie Quellen ("Von IP") für die TCP/IP-Verbindung zum SMS- Versand hinzu. Mit Löschen entfernen Sie Verbindungen. Von IP-Adresse (Intern) Tragen Sie die IP-Adresse des Kommunikationspartners ein, die IP-Pakete zum lokalen Netz senden darf. Geben Sie dazu die IP-Adresse oder einen IP-Bereich der Gegenstelle an bedeutet alle Adressen. Um einen Bereich anzugeben, benutzen Sie die CIDR-Schreibweise, siehe Glossar. Aktionen Die Klappliste unter Aktionen bezieht sich jeweils auf die TCP/IP-Verbindung der IP-Adresse, die links neben der Klappliste steht. Zur Auswahl stehen drei Möglichkeiten: "Erlauben" Gibt die TCP/IP-Verbindung für den SMS-Versand frei. "Zurückweisen" Die Datenpakete werden zurückgewiesen und der Absender erhält eine Information über die Zurückweisung. "Verwerfen" Die Datenpakete dürfen nicht passieren und werden verworfen. Der Absender erhält keine Information über deren Verbleib. Log Für jede einzelne Firewall-Regel können Sie festlegen, ob das Ereignis protokolliert werden soll (Log = Ja) oder ob die werkseitige Voreinstellung beibehalten wird (Log = Nein). Das Protokoll wird in das Firewall-Logbuch geschrieben. Werkseinstellung Werkseitig hat das folgende Einstellungen: Benutzername Passwort User Password Portnummer Firewall-Regeln Nicht aktiv C79000-G8900-C

126 10 Weitere Funktionen Von IP Aktionen Log Erlauben Nein 10.4 Software-Update Mit der Update-Funktion können Sie eine neue Betriebs-Software in das SINAUT MD741-1 laden und diese Software aktivieren. Bei einem sofortigen Update wird die neue Software entpackt. Dieser Vorgang kann einige Minuten dauern. Danach beginnt der eigentliche Update-Vorgang, der durch ein Lauflicht der LEDs angezeigt wird. Die Einstellungen des werden übernommen, sofern diese Einstellungen in der neuen Software-Version noch so wirken, wie vor dem Update. Abbildung 10-4 Wartung > Update Firmware Update-Zeitpunkt aktivieren Nein Update sofort - Die neue Betriebs-Software wird aktiviert, direkt nachdem Sie die Software geladen und auf die Schaltfläche Absenden geklickt haben. Ja Update zeitgesteuert - Die neue Betriebs-Software wird aktiviert, an dem festgelegten Update-Zeitpunkt. Dazu muss die Software zuvor geladen werden. 126 C79000-G8900-C236-05