Gebrauchsanleitung zur Installation Version: 2. DR 02 - DE.
Inhaltsverzeichnis Allgemeines... 3 2 Sicherheitshinweise... 4 3 Rechtliche Hinweise... 4 4 Hinweise zur Cyber-Security... 5 5 Funktionsübersicht... 6 6 Technische Voraussetzungen...8 7 Werkseitige Einstellungen...8 8 Installation...9 9 Erstinbetriebnahme... 0 Konten-Verwaltung...3 Copyright MB Connect Line GmbH 205 Jegliche Vervielfältigung dieses Dokuments, die Verwertung und Mitteilung seines Inhalts ist ohne unsere Zustimmung nicht gestattet. Zuwiderhandlungen verpflichten zu Schadenersatz. Alle Rechte vorbehalten. Diese Dokumentation beschreibt die Installation des Servers mymbconnect24.virtual. Herausgeber: MB Connect Line GmbH Fernwartungssysteme Winnettener Str. 6 9550 Dinkelsbühl Telefon: +49 (0) 700 622 666 32 / +49 (0) 700MBCONNECT Internet: www.mbconnectline.de Seite 2 von 7 Version: 2. DR 02 - DE 09.06.206
Allgemeines Zweck dieser Dokumentation Dieses Dokument unterstützt Sie bei der Installation des mymbconnect24.virtual-servers. Bitte aufmerksam lesen und sorgfältig aufbewahren. Gültigkeit Das Dokument ist gültig für die Softwareversion: mymbconnect24.virtual-server V 2. DR 0 Unterstützte Geräte mbnet Industrierouter Serie 8xx; ab Firmware: V 3.3.5 mbnet.mini Industrierouter Serie 8xx; ab Firmware: V.2.7 mbspider Datenmodem Serie 9xx; ab Firmware: V 2.2.0 Zusätzlich benötigte Software mbdialup => Remote Client zum Herstellen einer sicheren VPN-Verbindung zur Remote-Service-Plattform mbcheck => Das Programm überprüft unter anderem, ob mindestens einer der Ports 80TCP, 443TCP oder 94TCP in der Firewall freigeschaltet ist. Mindestens einer dieser Ports wird von mbdialup und dem Gerät (mbnet/mbspider) in Verbindung mit mbconnect24 benötigt. Abkürzungen und Begriffe RSP = Remote Service Plattform der mymbconnect24.vitual-server wird im Folgenden als RSP-Server bezeichnet. Versionshinweise Version Datum Kommentar V 2. 23.0.205 -- V 2. DR 0 02.02.206 Erweiterung des Kapitels "Erstinbetriebnahme": Konfiguration der WANSchnittstelle über die Console falls diese nicht automatisch korrekt konfiguriert wurde. V 2. DR 02 09.06.206 Ergänzender Hinweis im Kapitel Installation beim Betrieb eines VPN auf einem ESX. Weiterführende Dokumentation Erste Schritte mbconnect24 V2.0 Dieses Dokument beschreibt die ersten Schritte und Maßnahmen die notwendig sind, um ein Gerät (mbnet Router/ mbspider Datenmodem), über den Remote Client (mbdialup), mit dem Portalserver mbconnect24 zu verbinden. Aktuelle Handbücher und weitere Informationen Die aktuellen Handbücher und weitere Informationen zu Produkten rund um die sichere Fernwartung finden Sie im Downloadportal unter www.mbconnectline.com Allgemeines Seite 3 von 7
2 Sicherheitshinweise In der vorliegenden Gebrauchsanweisung werden folgende Warnhinweise verwendet: Ein Hinweis kennzeichnet zusätzliche Informationen und Hinweise z. B. zur Cybersicherheit, die den sicheren Umgang mit dem System erleichtern. 3 Rechtliche Hinweise Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von qualifiziertem Personal unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise, gehandhabt werden. Qualifiziertes Personal sind Personen, die aufgrund ihrer Ausbildung, Erfahrung und Unterweisung sowie Kenntnisse über einschlägige Normen, Bestimmungen und Unfallverhütungsvorschriften berechtigt worden sind, die jeweils erforderlichen Tätigkeiten auszuführen und dabei mögliche Gefahren erkennen und vermeiden können. Bestimmungsgemäßer Gebrauch Das Dokument ist gültig für die Softwareversion: mymbconnect24.virtual-server V 2. Haftungsbeschränkung Alle in dieser Anleitung enthaltenen technischen Informationen, Daten und Hinweise für die Installation, Betrieb und Pflege erfolgen unter Berücksichtigung unserer bisherigen Erfahrungen und Erkenntnisse nach bestem Wissen. Aus den Angaben, Abbildungen und Beschreibungen in dieser Anleitung können keine Ansprüche hergeleitet werden. Die MB Connect Line GmbH übernimmt keine Haftung für Schäden aufgrund: Nichtbeachtung der Anleitung nicht bestimmungsgemäßer Verwendung technischer Veränderungen Übersetzungen werden nach bestem Wissen durchgeführt. Wir übernehmen keine Haftung für Übersetzungsfehler, auch dann nicht, wenn die Übersetzung von uns oder in unserem Auftrag erfolgte. Verbindlich bleibt allein der ursprüngliche deutsche Text. Inhaltliche und technische Änderungen vorbehalten. Marken Die Verwendung eines hier nicht aufgeführten Waren- oder Firmenzeichens ist kein Hinweis auf die freie Verwendbarkeit desselben. Seite 4 von 7 Version: 2. DR 02 - DE 09.06.206
4 Hinweise zur Cyber-Security Beachten Sie folgende Sicherheitsempfehlungen, um nicht autorisierte Zugriffe auf das System zu unterbinden. Allgemein Stellen Sie in regelmäßigen Abständen sicher, dass Server und Geräte diese Empfehlungen und ggf. weitere interne Sicherheits-Richtlinien erfüllen. Bewerten Sie Ihre Anlage ganzheitlich im Hinblick auf Sicherheit. Nutzen Sie ein Zellenschutzkonzept mit entsprechenden Produkten. Verbinden Sie den RSP-Server nicht direkt mit dem Internet. Betreiben Sie den RSP-Server innerhalb eines geschützten Netzwerkbereichs. Zugang zum RSP-Server Beschränken Sie den Zugang zum RSP-Server auf qualifiziertes Personal. Der RSP-Server besitzt ein umfassendes System an Zugriffsrechten. Dieses System ermöglicht es Ihnen, Benutzern individuell und bedarfsgerecht den Zugriff auf bestimmte Programmobjekte zu erlauben oder zu verwehren. Physischer Zugang Beschränken Sie den physischen Zugang zum RSP-Server auf qualifiziertes Personal. Nutzen Sie die Sicherheitsmechanismen des Betriebssystems. Sicherheit der Software Halten Sie die Software aktuell. Informieren Sie sich regelmäßig über Sicherheitsupdates des Produkts. Informationen hierzu finden Sie unter: www.mbconnectline.com Informieren Sie sich regelmäßig über Produkt-Updates. Informationen hierzu finden Sie unter: http:// www.mbconnectline.com mymbconnect24.virtual beinhaltet eine Passwort-History. Prüfen Sie diese Informationen regelmäßig auf unautorisierte Zugriffe. Passwörter Definieren Sie Regeln für die Nutzung der Geräte und die Vergabe von Passwörtern. Ändern Sie regelmäßig die Passwörter, um die Sicherheit zu erhöhen. Verwenden Sie ausschließlich Passwörter mit hoher Passwortstärke. Vermeiden Sie schwache Passwörter wie z. B. "passwort", "23456789" oder dergleichen. Stellen Sie sicher, dass alle Passwörter geschützt und unzugänglich für unbefugtes Personal sind. Verwenden Sie ein Passwort nicht für verschiedene Benutzer und Systeme. Hinweise zur Cyber-Security Seite 5 von 7
5 Funktionsübersicht Die Remote-Service-Plattform (RSP) bietet Ihnen eine sichere und komfortable Plattform mit den folgenden Funktionen: Protokollieren und Auswerten zusammengefasste Protokollierung über Standortoder Unternehmensgrenzen hinweg speichern der Daten extern (Kundensystem) oder intern auf der Plattform Protokollierung redundant am Gerät oder/und Online zur Plattform Webbasierte Visualisierung frei konfigurierbare Dashboards zur individuellen grafischen Darstellung der Daten direkter Zugriff auf Windows-/Linux-Desktop per HTML5-Webbrowser (RDP und VNC) entsprechende Anzeigeelemente wie Zeigerinstrumente und Bargraphen werden als Bibliothek mitgeliefert barrierefreier Zugang für Smartphones und Tablets per mbweb2go Überwachen und Alarmieren Alarmmeldungen per SMS, E-Mail und/oder über das integrierte Nachrichtensystem Ereignisse und Alarme im Blickfeld, Zusammenfassung verschiedener Anlagen auf einem Dashboard Meldeprofile anhand von Kalenderfunktionen einstellbar Werte können aus Steuerungen oder über Sensoren erfasst werden, beispielsweise Temperatursensor am Analogeingang eines Datenmodems Fernwartung und Ferndiagnose projektorientierte Verwaltung der Maschinen, Anlagen und Router mehrere Benutzer können sich gleichzeitig mit einem Router verbinden und simultan arbeiten feine Abstufung der Zugriffsrechte auf IP-, Port- und Protokoll-Ebene über Benutzerfirewall im Portal Inbetriebnahme in wenigen Schritten ohne besonderes IT-Wissen automatische Konfiguration der Geräte (Industrie-Router und Datenmodems) M2M-Kommunikation Vernetzung von Anlagen untereinander über das Internet Zuordnung der Daten erfolgt innerhalb des Projektmanagements zentral auf dem Portal Kopplung von Netzwerken über Unternehmensgrenzen hinweg Zusammenfassung mehrerer Einheiten zu einer virtuellen Anlage, beispielsweise Pumpstationen Ersatz für Standleitungen vollautomatische Kommunikation ohne Bedienpersonal Kopplung von Steuerungen über Internet, beispielsweise S7-200 mit S7-500* * S7-200 und S7-500 sind eingetragene Warenzeichen der Siemens AG HINWEIS Der Ihnen zur Verfügung stehende Funktionsumfang ist abhängig von Ihrer erworbenen Lizenz. Nähere Informationen rund um die Portal-Lizenzen erhalten Sie von Ihrem Vertriebspartner. Seite 6 von 7 Version: 2. DR 02 - DE 09.06.206
mymbconnect24.virtual FREE.virtual PRO Anzahl Accounts (max. 5) Anzahl Geräte und Projekte 5 0 (max. 20000) Anzahl Standard-VPN-Clients (Fremdgeräte) (max. 20000) Anzahl aktiver Verbindungen 2 (max 250) Mehrere aktive Verbindungen auf ein Gerät - Anzahl mbweb2go-verbindungen 0 (max. 500) Anzahl M2M-Verbindungsgruppen (max. 500) mbsms-willkommenspaket - - Datenverbrauch von aktiven Verbindungen, mbweb2go-, M2M- und API-Abfragen pro Monat unbegrenzt unbegrenzt Garantierte Bandbreite unbegrenzt unbegrenzt Anzahl Benutzer 5 unbegrenzt Anzahl Benutzergruppen 250 Anzahl Mandanten 000 Benutzer/Geräte Komponenteneinstellungen (Firewall hinter dem Gerät) Verbindungsberichte Bearbeiten + Export Bearbeiten + Export Customizing Basic (nur Frontend-Logo) Customizing Advanced (Frontend Logo, Produktlogo, Farben, mbdialup, mbcheck etc.) - Lizenz Kunden-Datenbank-API - Lizenz Sicherheitsupdates - Portalupgrades - Datenerfassung & Überwachung.virtual FREE.virtual PRO 5 25 (max. 250) 50 k M (max. 5M) o. ext. Speicher Anzahl Dashboards 0 25 (max. 20000) Anzahl Alarmereignisse 0 25 (max. 20000) - Lizenz Anzahl Datenpunkte pro Gerät Anzahl gespeicherter Datenpunkte Externer Datenpunktspeicher über Lizenz erweiterbar Änderungen vorbehalten Funktionsübersicht Seite 7 von 7
6 Technische Voraussetzungen Die folgenden Mindestvoraussetzungen sind für den Betrieb notwendig: ESXI-Server (ab Version 5.0.0) Min. 2 vcpus Min. 2 GB RAM Min. 20 GB freier Festplattenspeicher Netzwerkanbindung (VMXNET 3 oder E000 basierende Netzwerkadapter) 7 Werkseitige Einstellungen Benutzernamen und Passwörter Das Produkt wird mit folgendem Benutzernamen und Passwort ausgeliefert: Webinterface: Benutzername: admin Passwort: admin Ändern Sie, aus Sicherheitsgründen, unbedingt die Standard-Zugangsdaten! Die Änderungen können auf dem Webinterface (Backend) unter >Benutzerverwaltung< vorgenommen werden. Konsole: Benutzername: console Passwort: console Ändern Sie, aus Sicherheitsgründen, unbedingt die Standard-Zugangsdaten! Die Änderungen können auf dem Webinterface (Backend) unter >Fernzugang / Zugangseinstellungen< vorgenommen werden. IP-Adressen: Das Gerät ist werkseitig auf folgende IP-Adressen eingestellt: LAN IP-Adresse: 92.68.0. WAN IP: DHCP Seite 8 von 7 Version: 2. DR 02 - DE 09.06.206
8 Installation Der mbconnect24.virtual-server ist für den Einsatz auf ESX(I)-Servern vorgesehen. Für die Installation der virtuellen Maschine befindet sich auf dem mitgelieferten Datenträger eine OVA-Datei, die die VM enthält. Stellen Sie eine Verbindung zum ESX(i)-Server her, und wählen Sie die zu importierende OVA-Datei aus (diese befindet sich auf dem mitgelieferten Datenträger). Bestätigen Sie eine eventuell auftretende Sicherheitsabfrage mit "Ja". 2 Ändern Sie, wenn Sie möchten, den voreingestellten Namen der Installation und legen Sie gegebenenfalls das Festplattenformat fest. Wir empfehlen die THIN-Bereitstellung. 3 Wählen Sie nun das Netzwerk an das die VM angeschlossen werden soll. 4 Überprüfen Sie vor dem Start der VM noch einmal die Werte für Arbeitsspeicher, CPU etc. und passen Sie diese nach Ihrem Ermessen an. Beachten Sie beim Anpassen der Werte die technischen Mindestvoraussetzungen: Min. 2 vcpus Min. 2 GB RAM Min. 20 GB freier Festplattenspeicher Netzwerkanbindung (VMXNET 3 oder E000 basierende Netzwerkadapter) Erklärung der Netzwerkadapter NW-Adapter = LAN; NW-Adapter 2 = WAN; NW-Adapter 3 = VPN Wählen Sie für die Netzwerkadapter entweder den Treiber E000 oder VMXNET3 aus. Wenn Sie auf einem ESX ein VPN betreiben und den VPN-Port nutzen möchten, muss der "Promiscuous-Modus" am vswitch aktiviert sein. Installation Seite 9 von 7
Starten Sie, nach dem Anpassen der Ressourcen, die VM. Beachten Sie dabei die folgenden Informationen: WAN-IP: DHCP LAN-IP: 92.68.0. / 24 STATISCH Ist die VM ordnungsgemäß gestartet, wird eine ähnliche Ausgabe angezeigt: Hier sehen Sie u. a. noch einmal die Werte für die WAN- und die LAN-IP, über die Ihr mymbconnect24.virtual-server erreichbar ist. Falls die WAN-Schnittstelle automatisch nicht korrekt konfiguriert wurde, können Sie dies nun manuell durchführen. Geben Sie dazu E in die Eingabeaufforderung ein. Wählen Sie den Menüpunkt 2. um die WAN-Schnittstelle zu konfigurieren. Seite 0 von 7 Version: 2. DR 02 - DE 09.06.206 Tragen Sie hier die notwendigen Daten ein und speichern Sie Ihre Eingaben.
9 Erstinbetriebnahme Melden Sie sich mittels eines Webrowsers am LANBackend an. Standard-IP: 92.68.0. Benutzername: admin Passwort: admin HINWEI S Ändern Sie unbedingt und unverzüglich die Standard-Zugangsdaten! Die Änderung können Sie im Menü System > Benutzerverwaltung vornehmen. HINWEI S Das Sperren dieses Benutzers führt zum Ausschluss aus dem Server-Backend. Eine Anmeldung am System ist nicht mehr möglich. Erstinbetriebnahme Seite von 7
Zur Konfiguration des Servers stehen Ihnen die folgenden Einrichtungsassistenten zur Verfügung: WAN Assistent Mit Hilfe dieses Assistenten können die WAN Einstellungen vorgenommen werden. Die im Feld "feste öffentliche IP-Adresse" eingetragene Adresse ist die IP auf die sich die Geräte verbinden, die im Portal angelegten wurden. 2 Registrierungs Assistent Assistent zur Registrierung des mymbconnect24.virtual-servers Der Registrierungscode befindet sich auf dem Lieferschein Ihrer Bestellung. 3 Zertifikat Assistent Dieser Assistent unterstützt Sie beim Eintragen der Zertifikate Seite 2 von 7 Version: 2. DR 02 - DE 09.06.206
0 Konten-Verwaltung Hier legen Sie ein Account für das Frontend an. Starten Sie unter Kontrollzentrum > Assistent den Konto Assistent Feldname Beschreibung E-Mail Tragen Sie hier die E-Mailadresse des Accountadministrators ein. Name Tragen Sie hier den Firmennamen des Accountadministrators ein. Konto Wählen Sie einen aussagekräftigen eindeutigen Namen für dieses Konto. Dieser Name wird später von Geräten und Benutzern im Frontend verwendet. Die Anmeldung am Portal erfolgt durch die Kombination aus Benutzername (wird über das Frontend festgelegt) und Kontoname in der Form "benutzername"@"kontoname". Verwenden Sie für den Kontonamen keine Sonderzeichen! Beispiel: Sie geben "mueller" als Kontoname ein. Benutzer des Frontends werden sich dann später mit admin@mueller anmelden. "admin" ist der automatisch angelegte Benutzer für das Frontend. Max. Anzahl Gerä- Geben Sie die maximale Anzahl an Geräten ein, die ein Kontoinhaber über das te Frontend anlegen darf. Konten-Verwaltung Seite 3 von 7
Feldname Beschreibung Max. Anzahl aktiver Verbindungen Als aktive Verbindung bezeichnet man eine Verbindung von einem PC-Client zu einem Gerät über das Portal. Die Anzahl der aktiven Verbindungen entscheidet darüber, ob verschiedene Benutzer, die sich gleichzeitig auf dem Portal einwählen können, sich mit verschiedenen Geräten gleichzeitig verbinden können. Beispiel: Sie stellen aktive Verbindung ein. Programmierer A wählt sich per Zugangssoftware auf dem Portal ein. Er sieht seine Geräte in der Übersicht des Frontends. Sind diese mit dem Internet und dem Portal verbunden, erscheint ein grünes Symbol. Er möchte eine Fernwartung an Gerät durchführen. Die Verbindung zu Gerät wird in dem Augenblick aktiv, wenn Programmierer A sich über das "Verbinden"-Symbol mit der Gegenstelle verbindet. Der Status des Gerätes wechselt jetzt in der Übersicht von grün auf gelb. Programmierer B wählt sich ebenfalls auf dem Portal ein. Er sieht, dass sein Kollege mit Gerät verbunden ist. Er kann sich jetzt allerdings nicht mit Gerät 2 verbinden, weil nur aktive Verbindung zugelassen wird. Durch Klick auf die Schaltfläche "Weiter >" gelangen Sie zu Schritt 2. Feldname Beschreibung Straße PLZ Ort Land Geben Sie die Anschrift des Kontoinhabers an. Dies ist in aller Regel derjenige, der später das Frontend (Benutzer "admin") des Kontos verwaltet. Vorname Nachname Durch Klick auf die Schaltfläche "Weiter >" gelangen Sie zu Schritt 3. Seite 4 von 7 Version: 2. DR 02 - DE 09.06.206
Feldname Beschreibung VPN Port Legen Sie fest auf welchen TCP Port der OpenVPN Server reagieren soll. Der Standard von 94 ist die offizielle IANA-Portnummer für OpenVPN. IP Breich Wählen Sie den für Sie passenden IP-Bereich für das VPN-Netzwerk aus. Sie haben die Möglichkeit aus den verschiedenen privat verwendbaren IP-Adressbereichen zu wählen, welche nach RFC98 festgelegt wurden. Die Standardeinstellung ist "0.0.0.0 bis 0.255.255.255" und ist für die meisten Anwendungsfälle geeignet. Anzahl Benutzer und Geräte Wählen Sie den für Sie passenden IP-Bereich für das VPN-Netzwerk aus (25 IPAdressen, Netzmaske / 24 bis 32763 IP-Adressen, Netzmaske / 7). Durch Klick auf die Schaltfläche "Weiter >" gelangen Sie zu Schritt 4. Konten-Verwaltung Seite 5 von 7
In Schritt 4 erhalten Sie eine Übersicht der Kontodaten. Durch Klick auf die Schaltfläche "Erledigt" werden Ihre Einstellungen gespeichert und Sie werden automatisch auf die Kontoverwaltung weitergeleitet. Seite 6 von 7 Version: 2. DR 02 - DE 09.06.206
Die Anzahl der Accounts ist abhängig von der jeweils erworbenen Lizenz. Konten-Verwaltung Seite 7 von 7