Technical Note 30 Endian4eWON einrichten für VPN Verbindung

Technical Note 30 Endian4eWON einrichten für VPN Verbindung TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 1 von 21

1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 2 2 Thema + Hinweis... 3 3 Aufbau der Verbindung... 4 4 Benötigte Komponenten... 4 5 Einstellungen bei DynDNS... 5 5.1 Hostname anlegen... 5 6 Einstellungen im DSL Router... 7 6.1 Einstellung für die Erreichbarkeit über das Internet einstellen... 7 6.2 Port Weiterleitung aktivieren... 7 7 Einstellung in Endian4eWON... 8 7.1 Netzwerkeinstellungen... 8 7.2 VPN Server einstellen... 11 8 Einstellungen im ewon vornehmen... 13 8.1 ewon als VPN Client einstellen... 13 9 Testen der Verbindung... 15 10 Beispielapplikation... 16 10.1 Zugriff auf eine SPS mit Ethernetanschluss über einen Laptop mit VPN Zugang.... 16 10.2 Einzelne Verbindungen zwischen den Clients freigeben bzw. sperren... 18 10.3 Systemzugriff vom VPN Client zur endian4ewon verhindern... 20 11 Kontaktdaten... 21 TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 2 von 21

2 Thema + Hinweis In dieser Technical Note wird erklärt, wie Sie eine VPN Verbindung zwischen dem VPN Server Endian4eWON sowie einem ewon Gerät, welches als VPN Client arbeitet, einrichten. Es wird nicht mehr erklärt, wie Sie die IP Adresse an Ihren ewon Geräten einstellen oder wie eine Modemverbindung konfiguriert und aufgebaut wird. Hier werden lediglich die Einstellungen gezeigt, welche zur Kommunikation zwischen Ihrem PC/Laptop und dem VPN Server benötigt werden. Sollten Sie Informationen zu erweiterten Einstellungen benötigen, sehen Sie sich bitte eine der vorherigen Technical Notes an. Es wird auch nicht erklärt, wie Sie die sonstigen Einstellungen der Endian4eWON Firewall oder sonstige IT Einstellungen in Ihrem Haus vornehmen müssen. Die hier gezeigte Verbindung dient lediglich als Beispiel einer möglichen Konstellation. Die hier gezeigten IP Adressen können natürlich von den IP Adressen, welche Ihnen verwendet werden abweichen. Passen Sie bitte die IP Adressen ggf. auf Ihren IP Adressbereich an. In den hier gezeigten Beispielen wird die IP Adresse mit einem Suffix gezeigt (z.b. 192.168.2.7/24). Dieser Suffix heißt: Classless Inter Domain Routing (CIDR). CIDR ist eine abgekürzte Schreibweise der Subnetzmaske. Zwei Beispiele hierfür: Die Notation 192.168.2.7/24 entspricht der Adresse 192.168.2.7 mit der Netzmaske 255.255.255.0. Die Notation 192.168.2.7/16 entspricht der Adresse 192.168.2.7 mit der Netzmaske 255.255.0.0. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 3 von 21

3 Aufbau der Verbindung INTERNET GPRS DSL Es wird eine VPN Verbindung zwischen einem ewon mit GPRS (als VPN Client) sowie der Endian4eWON (als VPN Server) über das Internet hergestellt. In dem ewon wird dafür eine standard SIM Karte mit freigeschaltetem Datendienst verwendet. Endian4eWON wird direkt hinter einen DSL Router geschaltet. Dieser ist, in unserem Fall, über eine dynamische IP Adresse bei DynDNS angemeldet, wodurch der DSL Anschluss über eine feste Internetadresse erreichbar ist. 4 Benötigte Komponenten Neben der erforderlichen Software (ebuddy), einem PC/Laptop und einer Netzwerkverbindung, sollten folgende Komponenten zur erfolgreichen Durchführung vorhanden sein: 1 ewon mit GPRS Modem mit VPN Funktionalität 1 DSL Router z.b. Speedport 1 Endian4eWON als VPN Server TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 4 von 21

5 Einstellungen bei DynDNS 5.1 Hostname anlegen Damit der DSL Anschluss nicht nur über eine sich immer wieder wechselnde IP Adresse erreicht werden kann, legen wir bei DynDNS einen Hostnamen an. Damit kann der Anschluss dann über eine Namensadresse (hier xxx.selfip.net) erreicht werden. Erstellen Sie sich zunächst einen kostenlosen Account bei DynDNS über den Punkt Create Account auf der Internetseite www.dyndns.org. Gehen Sie danach auf den Punkt Add Host Services. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 5 von 21

Geben Sie hier jetzt die gewünschte Hostname ein (hier xxx.selfip.net), und bestätigen Sie mit Add to Cart. Statusanzeige im DSL Router Danach erscheint der Warenkorb. Dort muss 0$ drinstehen, da der Dienst kostenlos ist. Bestätigen Sie dies nun mit Next und danach mit Activate Services. Damit ist der Dienst aktiviert. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 6 von 21

6 Einstellungen im DSL Router 6.1 Einstellung für die Erreichbarkeit über das Internet einstellen Zunächst muss die Erreichbarkeit des DSL Anschlusses eingestellt werden. Diese stellen wir so ein, dass der Router über eine Internet Adresse (xxx.selfip.net) über den Dienst von DynDNS erreichbar ist. Stellen Sie unter dem Punkt Dynamisches DNS als Anbieter dyndns.org ein. Geben Sie die Hostnamen ein, den Sie bei DynDNS festgelegt haben. Sowie Ihre Zugangsdaten zu DynDNS. xxx.selfip.net 6.2 Port Weiterleitung aktivieren Damit alle eingehenden Anfragen aus dem Internet über den VPN Port 1194 auch beim Endian4eWON ankommen, müssen diese an die IP Adresse des Endian4eWON weitergeleitet werden. Dies wird unter dem Punkt Regel Definition eingestellt. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 7 von 21

7 Einstellung in Endian4eWON 7.1 Netzwerkeinstellungen Endian4eWON hat einen WAN und einen LAN Port. Den WAN Port verbinden Sie mit dem DSL Router. An den LAN Port schließen Sie Ihren PC zur Konfiguration der Endian4eWON an. Zunächst müssen die Netzwerkeinstellung in der Endian4eWON vorgenommen werden. Folgen Sie dazu dem Assistenten der Netzwerkkonfiguration. Statische IP Adresse WAN seitig fest vorgeben. Hier können Sie den Punkt nichts aktivieren. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 8 von 21

Statische IP Adresse LAN seitig eingeben. Sie muss sich von der WAN IP unterscheiden! (Hier als Beispiel 172.16.10.150) Statische IP Adresse WAN seitig eingeben. Den Router als Gateway eintragen TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 9 von 21

Den Router als DNS Server eintragen Konfiguration übernehmen TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 10 von 21

7.2 VPN Server einstellen Als nächstes wird der VPN Server in Endian4eWON eingestellt. Dazu müssen Sie zunächst den Server aktivieren, sowie IP Adressen für die VPN Verbindung als Anfangs und Endadresse festlegen. Laden Sie sich das CA Zertifikat herunter. Sie erhalten daraufhin eine Datei efw xxx.cer. Bitte speichern Sie diese auf Ihrem PC. Diese wird benötigt, um in jedes ewon eingeladen zu werden, welches sich mit Endian4eWON verbinden soll. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 11 von 21

Stellen Sie dann unter dem Punkt Erweitert den Port 1194 und als Protokoll UDP ein. Aktivieren Sie den Punkt DHCP Antworten aus dem Tunnel blockieren. Erstellen Sie dann für jedes ewon ein eigenes Konto. Dazu müssen Sie nur einen Namen sowie ein Passwort angeben. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 12 von 21

8 Einstellungen im ewon vornehmen 8.1 ewon als VPN Client einstellen Damit ewon weiß, wie es sich mit Endian4eWON verbinden soll, müssen Sie dies in den VPN Systemeinstellungen einstellen. Bitte stellen Sie vorab sicher, dass ewon einen aktiven Zugang ins Internet hat! Hierzu klicken Sie auf: Konfiguration Systemeinstellung Kommunikation Netzwerk Verbindungen VPN In dem Punkt Allgemein stellen Sie die Daten wie folgt ein: Bestätigen Sie Ihre Einstellungen mit einem Klick auf Aktualisieren Konfiguration. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 13 von 21

Anschließend klicken Sie auf Ausgehend. Aktivieren Sie VPN Verbindung aufbauen. Stellen Sie die VPN WAN Adresse auf Ihren bei DynDNS eingestellten Hostnamen ein. Dies kann sowohl IP Adresse als auch Hostname sein. Den Punkt Verbindung zu stellen Sie auf ENDIAN4EWON VPN Server. Geben Sie danach den definierten Benutzernamen und das Passwort ein. Beides haben Sie zuvor in Endian4eWON als Konto angelegt. xxx.selfip.net Öffnen Sie nun die Zertifikats Datei efw xxx.cer. Kopieren Sie den unten markierten Teil in das Feld CA Zertifikat. ACHTUNG: Beginnend ab: [] BEGIN CERTIFICATE [] Löschen Sie die vorhandenen Werte im ewon. Bestätigen Sie Ihre Einstellungen mit einem Klick auf Aktualisieren Konfiguration und starten Sie Ihr ewon neu. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 14 von 21

9 Testen der Verbindung Um die Verbindung zwischen ewon und der Endian4eWON zu testen, können Sie in der Diagnose vom ewon nachschauen, ob das ewon eine VPN Adresse von der Endian4eWON zugewiesen bekommen hat. Warten Sie zuvor bis die MDM LED wieder grün leuchtet. Wenn dies der Fall ist, besteht eine VPN Verbindung zwischen ewon und Endian4eWON. Hierzu klicken Sie auf: Diagnose Status Status TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 15 von 21

10 Beispielapplikation 10.1 Zugriff auf eine SPS mit Ethernetanschluss über einen Laptop mit VPN Zugang. INTERNET GPRS DSL VPN IP: 172.16.0.101 LAN: 192.168.10.106 SUB: 255.255.255.0 LAN: 172.16.4.1 SUB: 255.255.0.0 LAN: 192.168.0.1 SUB: 255.255.255.0 VPN IP: 172.16.0.100 VPN IP: 172.16.0.1 LAN: 192.168.10.10 SUB: 255.255.255.0 GW: 19.168.10.106 LAN: 172.16.4.100 SUB: 255.255.0.0 GW: 172.16.4.1 WAN: 192.168.0.150 SUB: 255.255.255.0 GW: 192.168.0.1 Auf dem Laptop ist eine VPN Client Software von Endian4eWON (über www.wachendorff.de/wp/ herunterladen) installiert. Mit dieser wird eine VPN Verbindung zur Endian4eWON aufgebaut. Das ewon baut seinerseits auch eine VPN Verbindung zu Endian4eWON auf. Alle Einstellung müssen eingestellt werden wie auf den vorherigen Seiten beschrieben, um eine VPN Verbindung aufzubauen. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 16 von 21

Zusätzlich muss in Endian4eWON der Datenverkehr zwischen den allen Clients freigegeben werden. Auf dem Laptop muss eine Route installiert werden, damit der PC die Strecke zur LAN Seite des ewon kennt. Gehen Sie dazu in die Eingabeaufforderung des Laptops und schreiben Sie folgenden Text: route add 192.168.10.0 MASK 255.255.255.0 172.16.0.101 Mit dieser Zeile weisen Sie ihren Laptop an, dass er über das ewon die LAN IP der SPS erreicht. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 17 von 21

10.2 Einzelne Verbindungen zwischen den Clients freigeben bzw. sperren Wenn Sie die endian4ewon so einstellen, wie in 10.1 beschrieben, dann haben Sie den freien Zugriff von einem VPN Client zu jedem anderen. Wenn dies nicht so gewünscht ist, können Sie individuelle Rechte vergeben, welche Clients untereinander Zugriff haben. Stellen Sie dazu zunächst die Grundeinstellungen ein: Grund IP Adresse des Netzwerks IP Adresse der endian4ewon Danach geben Sie Ihren VPN Clients statische IP Adressen Benutzer Grund IP Adresse des Netzwerks IP Adressen der VPN Clients. Wichtig hierbei: eine andere CDIR nehmen! TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 18 von 21

Nun können Sie in den Firewall Regeln eine neue Regel erstellen, die Ihnen den Zugriff von einem Client zu einem anderen freigeben. Sie können dabei genau die Benutzer festlegen, die miteinander kommunizieren dürfen. Stellen Sie Richtlinie hier auf Gestatten. Alle andere Clients, die nicht in einer Regel aufgeführt sind und eine andere CDIR haben wie das LAN Netzwerk der endian4ewon haben, haben keinen Zugriff untereinander. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 19 von 21

10.3 Systemzugriff vom VPN Client zur endian4ewon verhindern Jeder VPN Client, der sich in das Netzwerk einloggt, kann die IP Adresse der endian4ewon anpingen, sowie im Web Browser den Zugriff auf die endian4ewon starten. Natürlich ist dieser Zugriff über Passwort gesichert. Aber es gibt auch die Möglichkeit, diesen Zugriff komplett zu verhindern. Sie können im Bereich Systemzugriff eine oder mehrere Regeln erstellen, um den Zugriff zu verhindern. Geben Sie dazu die IP Adresse an, welche keinen Zugriff haben darf, und stellen Sie die Richtlinie auf Ablehnen. Damit ist die endian4ewon für den betreffenden VPN Client nicht mehr sichtbar. Hinweis: Diese Funktion basiert auf den statischen IP Einstellungen unter Punkt 10.2. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 20 von 21

11 Kontaktdaten Weitere Informationen und Hilfestellungen finden Sie auf der Homepage von Wachendorff Prozesstechnik GmbH & Co. KG (www.wachendorff.de/wp) Unsere Anwendungsberatung und Support erreichen Sie unter: Tel.: 0049 (0) 6722 9965 966 Email: eea@wachendorff.de Hinweis: Diese Technical Note dient als Beispiel einer funktionierenden Anwendung. Eine Haftung ist für Sach und Rechtsmängel dieser Dokumentation, insbesondere für deren Richtigkeit, Fehlerfreiheit, Freiheit von Schutz und Urheberrechten Dritter, Vollständigkeit und/oder Verwendbarkeit außer bei Vorsatz oder Arglist ausgeschlossen. TN_030_Endian4eWON.doc Angaben ohne Gewähr Irrtümer und Änderungen vorbehalten. Seite 21 von 21