FAQ zur Kommunikation

Ähnliche Dokumente
Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition FAQ August Service & Support. Answers for industry.

FAQ Kommunikation über PROFIBUS

Service & Support. Anleitung zur Projektierung einer ISO-on-TCP-Verbindung. S7-300 / S7-400 Industrial Ethernet CPs.

FAQ Kommunikation über PROFIBUS

Service & Support. Security Status des CP1628 über die Online-Ansicht des Security Configuration Tool (SCT) ermitteln

Service & Support. Anleitung zur Projektierung einer UDP-Verbindung. S7-300 / S7-400 Industrial Ethernet CPs. FAQ Januar Answers for industry.

Dynamisches VPN mit FW V3.64

FAQ S7-Kommunikation über IE

FAQ Kommunikation über IE

Dynamisches VPN mit FW V3.64

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Deckblatt. Konfiguration eines CP342-5 als DP- Slave am CP342-5 als DP- Master PROFIBUS DP. FAQ Juni Service & Support. Answers for industry.

Technical Note 0409 ewon

VPN über IPSec. Internet. AK Nord EDV- Vertriebsges. mbh Stormstr Itzehoe. Tel.: +49 (0) Fax:: +49 (0)

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

Site-To-Site VPN Anleitung IAAS Smart <-> IAAS Premium. Version: 1.0

Anbindung einem ALL-VPN20

Port-Weiterleitung einrichten

HowTo SoftEther VPN Server (global)

Deckblatt. Konfiguration einer S7-300 CPU als DP-Slave am CP342-5 als DP-Master PROFIBUS DP. FAQ Mai Service & Support. Answers for industry.

Security + Firewall. 3.0 IPsec Client Einwahl. 3.1 Szenario

bintec Secure IPSec Client

Konfigurationsbeispiel

FAQ Kommunikation über IE

Collax Windows-L2TP/IPsec VPN Howto

Quick Reference Guide

1. IKEv2 zwischen bintec IPSec Client und Gateway mit Zertifikaten

IPSec-VPN site-to-site. Zyxel USG Firewall-Serie ab Firmware-Version Knowledge Base KB-3514 September Zyxel Communication Corp.

PHOENIX CONTACT

1. IPSec Verbindung zwischen 2 Gateways mit dynamischen IP Adressen

Installation eines ipsec-softwarezertifikats 1

HowTo: Einrichtung von L2TP over IPSec VPN

6. Konfiguration von Wireless LAN mit WPA PSK. 6.1 Einleitung

FAQ Kommunikation über PROFIBUS

Technical Note 0201 ewon

Firewall oder Router mit statischer IP

DI-804HV / DI-824VUP+ und D-LINK VPN Client

ESTOS XMPP Proxy

ESTOS XMPP Proxy

Stefan Dahler. 1. Konfiguration von Extended Routing. 1.1 Einleitung

HowTo SoftEther Site-2-Site (Client-Bridge)

Netzwerksicherheit mit Hilfe von IPSec

Collax Business Server NCP Secure Entry Client Interoperability Guide V Collax Business Server (V ) NCP Secure Entry Client 8.

Shellfire L2TP-IPSec Setup Windows Vista

IPSec-VPN mit Software-Client. ZyXEL USG Firewall-Serie ab Firmware Version Knowledge Base KB-3516 August Studerus AG

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

Konfigurationsbeispiel für die Domain business.mnet-voip.de. Swyx

und fordert sie auf sich anzumelden. Benutzername: admin Passwort: 1234

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

Inbetriebnahme Profinet mit Engineer. Inhaltsverzeichnis. Verwendete Komponenten im Beispiel:

adsl Privat unter Windows 2000

Service & Support. Vergabe der IP-Adresse über die serielle Schnittstelle und Zugriff auf das Web Based Management (WBM)

Shellfire VPN IPSec Setup Mac OS X

Modbus/TCP- Kommunikation über IE CP

Konfigurationsbeispiel USG & ZyWALL

VPN in 5 Minuten. bintec VPN Gateway. Konfigurationsanleitung für den FEC VPN Testzugang

1. IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS#12)

TeamViewer Handbuch Wake-on-LAN

Service & Support. Anleitung zur Projektierung einer S7- Verbindung. S7-300 / S7-400 Industrial Ethernet CPs. FAQ Januar Answers for industry.

1) Konfigurieren Sie Ihr Netzwerk wie im nachfolgenden Schaubild dargestellt.

VPN Tracker für Mac OS X

Konfigurationsanleitung Fax over IP (T.38) und CAPI Fax Server (T.30) Graphical User Interface (GUI) Seite - 1 -

L2TP/IPsec VPN-Verbindung unter Windows 8 zur Synology DiskStation einrichten

Konfigurationsbeispiel USG

Port-Weiterleitung einrichten

Dokumentation VPN-Server unter Windows 2000 Server

NoSpamProxy 12.0 Anbindung an digiseal server 2.0. Encryption Large Files

Service & Support. Vergabe der IP-Adresse unter Verwendung des Primary Setup Tools (PST) Electrical Lean Switch. FAQ Juni Answers for industry.

Collax ios-vpn Howto. Inhalt

Zertifikate Radius 50

Anlagenplanung mit STEP 7 von Siemens

Installation KVV Webservices

P793H PPP/ACT LAN 4 PRESTIGE P793H

DATENÜBERTRAGUNG HACH LANGE LABORMESSGERÄTE VIA ETHERNET

Konfiguration der PV-Station mit integrierten W-LAN-Modem

Collax PPTP-VPN. Howto

Fitmachertage bei Siemens PROFINET. Fit in den Frühling mit Siemens PROFINET. Siemens AG Alle Rechte vorbehalten. Industry Sector.

VPN- Beispielkonfigurationen

How-To-Do. Hardware Konfiguration SLIO CPU 014

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

lldeckblatt Einsatzszenarien von SIMATIC Security-Produkten im PCS 7-Umfeld SIMATIC PCS 7 FAQ Mai 2013 Service & Support Answers for industry.

Wortmann AG. Terra Black Dwraf

ProSafe VPN Client Software. FVL328 (FWAG114, FWG114P, FVS328) mit dynamischer WAN-IP-Adresse. 16. Beispielkonfiguration Übersicht.

Konfiguration der PV-Station mit integrierten LAN-Modem

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

PCAN-Gateway Schnellstart-Anleitung

Konfiguration für den Betrieb über LAN Interface

VPN-Verbindung zwischen LANCOM und integrierten VPN-Client im MacOS X 10.6 Snow Leopard


Bedienungsanleitung Ethernet/Internet

BinTec X-Generation Router IPSec Security Pack 6.3.4

R&S GP-U gateprotect Firewall How-To

VPN-IPSec Verbindung zwischen IPhone und bintec Router mit Zertifikaten on Demand

HAMNET und Packetradio-Zugang via Internet über PPTP- VPN-Tunnel

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Site-to-Site VPN über IPsec

adsl Privat unter Windows 98 SE

VPN mit ZyXEL IPSec-Client. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie Firmware V2.2x 3.x. August 2012 / ALN

1) Konfigurieren Sie Ihr Netzwerk wie im nachfolgenden Schaubild dargestellt.

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Transkript:

FAQ zur Kommunikation Aufbau eines VPN-Tunnels zwischen PC-Station und SCALANCE S 61x über das Internet mit der Microsoft Management Console FAQ

Inhaltsverzeichnis Inhaltsverzeichnis... 2 1 Der IPSec-Tunnel... 4 2 Konfiguration - Übersicht... 6 2.1 Konfiguration des Gateways in der SPS... 7 2.2 Konfiguration des Gateways in der PC-Station... 7 3 Konfiguration der Standard DSL-Router... 9 3.1 Konfiguration des Standard DSL-Router A (an PC-Station angeschlossen)... 9 3.2 Konfiguration des Standard DSL-Router B (an SCALANCE S angeschlossen)9 4 Konfiguration des IPSec Kanals mit der Microsoft Management Console10 4.1 Snap-In hinzufügen... 10 4.2 IP-Sicherheitsrichtlinie erstellen... 13 4.3 Sicherheitsmethoden hinzufügen bzw. bearbeiten... 14 4.4 Sicherheitsregel für den Datenverkehr von der PC-Station zum SCALANCE S 61x hinzufügen... 15 4.4.1 IP-Filter anlegen... 16 4.4.2 Filteraktion anlegen und zuordnen... 18 4.4.3 Authentifizierungsmethode definieren... 21 4.4.4 Tunneleinstellungen definieren... 22 4.5 Sicherheitsregel für den Datenverkehr vom SCALANCE S 61x zur PC-Station hinzufügen... 23 4.5.1 IP-Filter anlegen... 23 4.5.2 Filteraktion zuordnen... 25 4.5.3 Authentifizierungsmethode... 26 4.5.4 Tunneleinstellungen definieren... 26 5 Konfiguration des SCALANCE S 61x... 29 6 VPN-Tunnel aufbauen... 34 6.1 IPSec Dienste überprüfen... 34 6.2 IPSec-Tunnel aufbauen... 36 6.3 Status des IPSec-Tunnels überprüfen... 36 7 Historie... 38 Dieser Beitrag stammt aus dem Internet der Siemens AG, Automation and Drives, Service & Support. Durch den folgenden Link gelangen Sie direkt zur Downloadseite dieses Dokuments. http://support.automation.siemens.com/ww/view/de/26098354 V1.0 19.07.2007 2/38

Frage Wie wird ein VPN-Tunnel zwischen der PC-Station mit Windows XP SP2 und einem SCALANCE S 61x V2.1 über das Internet mit der Microsoft Management Console konfiguriert? Antwort Es ist möglich einen VPN-Tunnel von der PC-Station mit Windows XP SP2 zu einem SCALANCE S 61x V2.1 im Routing Modus über das Internet aufzubauen. Für die Konfiguration des VPN-Tunnels werden die Microsoft Management Console und das Security Configuration Tool verwendet. Voraussetzungen hierfür sind: Zur Unterstützung des Tunnelaufbaus über Internet im Routing Modus wird der SCALANCE S 61x mit der Firmware V2.1 und das Security Configuration Tool V2.1 benötigt. Unter folgender Beitrags-ID finden Sie das Download der Firmware V2.1 für den SCALANCE S 61x: 24457842. Die Standard DSL-Router A und B müssen die Funktionen NAT-T (network address translation-tranversal) und NAPT (network address port translation) unterstützen. Es wird eine feste externe IP-Adresse für den Standard DSL-Router B benötigt, die am passiven SCALANCE S 61x parametriert werden muss. Passiv bedeutet hier, dass der SCALANCE S 61x wartet bis die Gegenstelle den Tunnelaufbau initiiert. Es wird eine PC-Station mit Windows XP SP2 benötigt, welche den Tunnelaufbau initiiert. V1.0 19.07.2007 3/38

1 Der IPSec-Tunnel Der SCALANCE S verwendet für die Tunnelung das IPSec-Protokoll. Der Datenaustausch über einen IPsec-Tunnel im VPN hat folgende Eigenschaften: Authentizität - Nur derjenige kann einen Tunnel aufbauen, der die Berechtigung dazu hat Integrität - Die ausgetauschten Daten sind verfälschungssicher Vertraulichkeit - Die ausgetauschten Daten sind abhörsicher Es werden schlüsselbasierende oder zertifikatsbasierende Authentifizierungsmethoden unterstützt: Preshared-Key Certificate Der SCALANCE S unterstützt die folgenden Verfahren zur Integritätsprüfung: SHA-1 - Secure Hash Algorithm 1 MD5 - Message Digest Version 5 Außerdem unterstützt der SCALANCE S zwei Verschlüsselungs- Algorithmen: DES - Data Encryption Standard 3DES - Dreifach-DES AES - Advanced Encrypting Standard (Dieser Verschlüsselungs- Algorithmus wird nur in Phase 2 des Datenaustauschs über IPSec vom SCALANCE S unterstützt.) Der Datenaustausch über den IPSec-Tunnel erfolgt in zwei Phasen: Phase1 - Schlüsselaustausch (IKE, Internet Key Exchange) Phase2 - Datenaustausch (ESP, Encapsulating Security Payload) Das IKE-Protokoll dient der automatischen Schlüsselverwaltung für IPsec. Es verwendet den Diffie-Hellman-Schlüsselaustausch für einen sicheren Austausch von Schlüsseln über ein unsicheres Netzwerk. Der Schlüsselaustausch erfolgt über eines der folgenden Schlüsselaustausch- Verfahren: Main Mode - Aggressive Mode Im Folgenden werden die einzelnen Konfigurationsschritte beschrieben, welche Sie durchführen müssen, um den VPN Tunnel über das Internet aufbauen können. V1.0 19.07.2007 4/38

Hierbei werden die folgenden Parameter für den Schlüsselaustausch (IKE, Internet Key Exchange) konfiguriert: Tabelle 1-1 IKE-Parameter IKE-Parameter Authentifizierungsmethode Verfahren zur Integritätsprüfung Verschlüsselungs-Algorithmus Schlüsselaustausch-Verfahren Diffie-Hellmann Preshared-Key SHA-1 3DES Main Mode DH2 Wert Für den Datenaustausch (ESP, Encapsulating Security Payload) werden die folgenden Parameter konfiguriert: Tabelle 1-2 ESP-Parameter ESP-Parameter Verfahren zur Integritätsprüfung Verschlüsselungs-Algorithmus Wert SHA-1 Dreifach-DES (3DES) V1.0 19.07.2007 5/38

VPN-Tunnel zwischen PC-Station mit Win XP SP2 und 2 Konfiguration - Übersicht Die Abbildung 2-1 zeigt den Aufbau der Konfiguration. Abbildung 2-1 Konfiguration Internet ISP 1 ISP 2 PC Station mit Windows XP SP2 und optional STEP 7 externe IP-Adresse vom ISP 1: 217.91.50.138 interne IP-Adresse: 192.168.2.1 Standard DSL-Router A Standard DSL-Router B feste externe IP-Adresse vom ISP2: 217.91.8.166 interne IP-Adresse: 192.168.2.1 SCALANCE S 61x CPU 315-2DP mit CP343-1 IP-Adresse: 140.80.0.3 Default Gateway: 140.80.0.2 geschützte Automatisierungszelle IP-Adresse: 192.168.2.7 Default Gateway: 192.168.2.1 VPN Tunnel (IPSec) externe IP-Adresse: 192.168.2.5 interne IP-Adresse: 140.80.0.2 Default Gateway: 192.168.2.1 V1.0 19.07.2007 6/38

2.1 Konfiguration des Gateways in der SPS Die CPU 315-2DP mit dem CP 343-1 befindet sich im internen Ethernet- Netz, welches durch den SCALANCE S 61x V2.1 geschützt wird. Hierbei ist der SCALANCE S 61x V2.1 Router bzw. Gateway für den CP 343-1. Deshalb müssen Sie in den Eigenschaften der Ethernet-Schnittstelle des CP 343-1 die interne IP-Adresse 140.80.0.2 des SCALANCE S 61x V2.1 als Router bzw. Gateway eintragen Abbildung 2-2. Gateway bzw. Router in der S7-300 Steuerung angeben interne IP-Adresse des SCALANCE S 61x 2.2 Konfiguration des Gateways in der PC-Station Die PC-Station mit der IP-Adresse 192.168.2.7 befindet sich im externen Ethernet-Netz des SCALANCE S 61x V2.1. Der Standard Router A ist Gateway bzw. Router für die PC-Station. Aus diesem Grund tragen Sie unter den Windows Netzwerkverbindungen in den Eigenschaften der Local Area Connection (LAN) die interne IP-Adresse 192.168.2.1 des Standard Router A für das "Default Gateway" ein. Des Weiteren wird der Standard Router A als DNS Server für die PC-Station verwendet. Abbildung 2-3 Default Gateway in der PC-Station angeben IP-Adresse der PC-Station interne IP-Adresse des Standard Router A V1.0 19.07.2007 7/38

Hinweis Wenn der Standard-Router A DHCP fähig ist, kann der PC seine IP- Adresse und DNS-Server Adresse automatisch vom Router A erhalten. V1.0 19.07.2007 8/38

3 Konfiguration der Standard DSL-Router 3.1 Konfiguration des Standard DSL-Router A (an PC-Station angeschlossen) Am Standard DSL-Router A befindet sich auf der auf der aktiven Seite, d.h. die PC-Station initiiert den Aufbau des VPN-Tunnels. Daher müssen im Standard DSL-Router A keine PORT-Forwarding Regeln für die IPSec- Pakete der PC-Station konfiguriert werden. Optional kann aber bei festen IP-Adressen an der PC-Station das PORT- Forwarding so eingestellt werden, dass die UDP-Pakte vom Internet, welche an die Ports 500 und 4500 des Routers adressiert sind, an die Ports 500 und 4500 der angeschlossenen PC-Station gesendet werden. Dies bedeutet: Am Standard DSL-Router A wird die IP-Adresse 192.168.2.7 der PC-Station angegeben Abbildung 3-1. Portweiterleitung Standard DSL-Router A IP-Address of PC-Station 3.2 Konfiguration des Standard DSL-Router B (an SCALANCE S angeschlossen) Am Standard DSL-Router B muss das PORT-Forwarding so eingestellt werden, dass die UDP-Pakte vom Internet, welche an die Ports 500 und 4500 des Routers adressiert sind, an die Ports 500 und 4500 des angeschlossenen SCALANCE S 61x gesendet werden. Die bedeutet: Am Standard DSL-Router B wird die externe IP-Adresse 192.168.2.5 des SCALANCE S 61x angegeben. Abbildung 3-2 Portweiterleitung Standard Router B externe IP-Adresse des SCALANCE S 61x V1.0 19.07.2007 9/38

4 Konfiguration des IPSec Kanals mit der Microsoft Management Console Für die Konfiguration des IPSec-Tunnels in der PC-Station verwenden Sie die Microsoft Management Console (MMC). Sie öffnen die MMC über das Windows START Menü Run... mit dem Befehl mmc Abbildung 4-1 Mircrosoft Management Console öffnen 4.1 Snap-In hinzufügen Zunächst werden folgende Snap-In über das Menü Datei Snap-In hinzufügen/entfernen... in den Konsolenstamm der MMC eingefügt: IP-Sicherheitsmonitor [IP Security Monitor] IP-Sicherheitsrichtlinienverwaltung [IP Security Policy Management] Dienste [Services] Es öffnet sich das Fenster Snap-In hinzufügen/entfernen. Über den Button Hinzufügen gelangen Sie in das Fenster Eigenständiges Snap-In hinzufügen. Hier wählen Sie das entsprechende Snap-In aus und fügen es durch die Betätigung des Buttons Hinzufügen hinzu. V1.0 19.07.2007 10/38

Abbildung 4-2 Snap-In hinzufügen Zunächst wählen Sie im Fenster Eigenständiges Snap-In hinzufügen das Snap-In IP-Sicherheitsmonitor aus und fügen es über die Button Hinzufügen hinzu. Abbildung 4-3 Snap-In IP-Sicherheitsmonitor hinzufügen V1.0 19.07.2007 11/38

Anschließend fügen Sie das Snap-In IP-Sicherheitsrichtlinienverwaltung hinzu. Hierbei geben Sie bei der Auswahl des zu verwaltenden Computers bzw. der zu verwaltenden Domäne den lokalen Computer an. Abbildung 4-4 Snap-In IP-Sicherheitsrichtlinienverwaltung hinzufügen Auch beim Hinzufügen des Snap-In Dienste geben Sie bei der Auswahl des zu verwaltenden Computers den lokalen Computer an. Abbildung 4-5 Snap-In Dienste hinzufügen Nachdem Sie die notwendigen Snap-In hinzugefügt haben, beenden Sie das Fenster Eigenständiges Snap-In hinzufügen durch Betätigung des Buttons Schließen und das Fenster Snap-In hinzufügen/entfernen durch Betätigung des Buttons OK. Nun sind die hinzugefügten Snap-In im Konsolenstamm der MMC enthalten, so dass eine neue IP-Sicherheitsrichtlinie erstellt werden kann. V1.0 19.07.2007 12/38

Abbildung 4-6 Konsolenstamm mit eingefügten Snap-In 4.2 IP-Sicherheitsrichtlinie erstellen Zum Erstellen einer neuen IP-Sicherheitsrichtlinie markieren Sie im Konsolenstamm das Snap-In IP-Sicherheitsrichtlinien auf Lokaler Computer und erstellen über das Menü Aktion IP-Sicherheitsrichtlinie erstellen... eine neue IP-Sicherheitsrichtlinie. Abbildung 4-7 IP-Sicherheitsrichtlinie erstellen Es öffnet sich der Assistent zum Erstellen einer neuen IP- Sicherheitsrichlinie. Zunächst vergeben Sie der neuen IP- Sicherheitsrichtlinie einen Namen. In diesem Beispiel wird der Name "VPNtunnel_PC_ScalanceS" vergeben Abbildung 4-8 IP-Sicherheitsregel Namen vergeben V1.0 19.07.2007 13/38

Im nächsten Schritt deaktivieren Sie die Standardantwortregel, da die Authentifizierungsmethode zu einem späteren Zeitpunkt definiert wird. Im letzten Schritt wird die Option Eigenschaften bearbeiten aktiviert, um die IP-Sicherheitsrichtlinie bearbeiten und konfigurieren zu können. Abbildung 4-9 Standardantwortregel deaktivieren und Option "Eigenschaften bearbeiten" aktivieren 4.3 Sicherheitsmethoden hinzufügen bzw. bearbeiten Mit dem Beenden des Assistenten zum Erstellen einer neuen IP- Sicherheitsrichlinie über den Button "Fertig stellen" gelangen Sie in das Eigenschaftsfenster der so eben erstellten IP-Sicherheitsrichtlinie VPNtunnel_PC_ScalanceS. Hier wird diese entsprechend konfiguriert bzw. bearbeitet. Zunächst konfigurieren Sie die Einstellungen für den Schlüsselaustausch zwischen der PC-Station und dem SCALANCE S. Dazu wechseln Sie im Eigenschaftsfenster der IP-Sicherheitsrichtlinie VPNtunnel_PC_ScalanceS in die Lasche Allgemein. Über den Button Erweitert gelangen Sie in das Fenster Einstellungen für den Schlüsselaustausch. Hier betätigen Sie den Button Methoden, um die Sicherheitsmethoden (Verschlüsselung und Integrität) hinzuzufügen bzw. zu bearbeiten, welche während der Authentifizierung unterstützt werden. Die folgenden Sicherheitsmethoden sollen während der Authentifizierung unterstützt werden: Tabelle 4-1 Sicherheitsmethoden Verschlüsselung Integrität Diffie-Hellmann-Gruppe 3DES SHA1 Niedrig 3DES SHA1 Mittel DES MD5 Niedrig DES MD5 Mittel V1.0 19.07.2007 14/38

Abbildung 4-10 Einstellungen für den Schlüselaustausch Nachdem Sie die Einstellungen für den Schlüsselaustausch konfiguriert haben werden die IP-Sicherheitsregeln definiert. Insgesamt werden zwei IP-Sicherheitsregeln benötigt. Die erste IP-Sicherheitsregel bestimmt den Datenverkehr von der PC- Station zum Netzwerk, welches durch den SCALANCE S geschützt wird. Die zweite IP-Sicherheitsregel bestimmt den Datenverkehr vom Netzwerk, welches durch den SCALANCE S geschützt wird, zur PC-Station. 4.4 Sicherheitsregel für den Datenverkehr von der PC-Station zum SCALANCE S 61x hinzufügen Um die erste IP-Sicherheitsregel hinzuzufügen, wechseln Sie im Eigenschaftsfenster der IP-Sicherheitsrichtlinie in die Lasche Regeln Hier wird über den Button Hinzufügen eine neue IP-Sicherheitsregel hinzugefügt. Es öffnet sich das Eigenschaftsfenster der Sicherheitsregel. V1.0 19.07.2007 15/38

Abbildung 4-11 IP-Sicherheitsregel hinzufügen 4.4.1 IP-Filter anlegen Durch den IP-Filter wird der Datenverkehr einer IP-Sicherheitsregel bestimmt. Im Eigenschaftsfenster der Sicherheitsregel in der Lasche IP-Filterliste legen Sie über den Button Hinzufügen einen neuen IP-Filter an. Abbildung 4-12 IP Filter anlegen V1.0 19.07.2007 16/38

Der neue IP-Filter erhält den Namen channel_from_pc_to_scalance. Über den Button Hinzufügen gelangen Sie in das Eigenschaftsfenster des IP-Filters. Hier wird die Richtung des Datenverkehrs definiert. Da die erste IP-Sicherheitsregel den Datenverkehr von der PC-Station zum Netzwerk, welches durch den SCALANCE S geschützt wird, bestimmt geben Sie folgende Parameter an: Quelladresse: IP-Adresse der PC-Station Zieladresse: Subnetz, welches am internen PORT des SCALANCE S angeschlossen ist Die Option Diese Filterangabe wird auch auf Pakete mit gegenteiliger Quell- und Zieladresse angewendet wird deaktiviert. Es wird zu einem späteren Zeitpunkt eine zweite Sicherheitsregel mit entsprechendem IP- Filter hinzugefügt, welche den Datenverkehr vom SCALANCE S zum PC bestimmt. Abbildung 4-13 Name und Eigenschaften des IP-Filters definieren Nun ist der IP-Filter channel_from_pc_to_scalance in der IP-Filterliste enthalten. Sie wählen den IP-Filter channel_from_pc_to_scalance aus und wechseln anschließend im Eigenschaftsfenster der Sicherheitsregel in die Lasche Filteraktion, um eine neue Filteraktion hinzuzufügen und diese dem IP-Filter zuzuordnen. V1.0 19.07.2007 17/38

Abbildung 4-14 IP-Filter auswählen 4.4.2 Filteraktion anlegen und zuordnen Mit der Betätigung des Buttons Hinzufügen gelangen Sie in das Eigenschaftsfenster der neuen Filteraktion. Da noch keine Sicherheitsmethode für diese Filteraktion existiert, muss eine neue Sicherheitsmethode angelegt werden. Dazu aktivieren Sie im Eigenschaftsfenster der Filteraktion in der Lasche Sicherheitsmethoden die Option Sicherheit aushandeln und betätigen den Button Hinzufügen. Abbildung 4-15 Filteraktion anlegen V1.0 19.07.2007 18/38

Sie legen eine benutzerdefinierte Sicherheitsmethode an. Für Ihre benutzerdefinierte Sicherheitsmethode mit Datenintegrität- und verschlüsselung nehmen Sie folgende Einstellungen vor: Integritätsalgorithmus: SHA1 Verschlüsselungsalgorithmus: 3DES Abbildung 4-16 Einstellungen der Sicherheitsmethode Nachdem Sie die benutzerdefinierte Sicherheitsmethode mit den entsprechenden Einstellungen angelegt haben, ist diese im Eigenschaftsfenster der Filteraktion in der Lasche Sicherheitsmethoden sichtbar. Die neu angelegte Sicherheitsmethode wird für die Filteraktion übernommen. Abbildung 4-17 Sicherheitsmethode übernehmen V1.0 19.07.2007 19/38

Wechseln Sie im Eigenschaftsfenster der Filteraktion in die Lasche Allgemein. Hier vergeben Sie der Filteraktion einen Namen, zum Beispiel IPSec Configuration und übernehmen diesen. Abbildung 4-18 Filteraktion Namen vergeben Anschließend wählen Sie im Eigenschaftsfenster der Sicherheitsregel in der Lasche Filteraktion die Filteraktion "IPSec Configuration" aus Abbildung 4-19. Filteraktion auswählen V1.0 19.07.2007 20/38

4.4.3 Authentifizierungsmethode definieren Nun definieren Sie die Authentifizierungsmethode Preshared-Key. Dazu wechseln Sie im Eigenschaftsfenster der Sicherheitsregel in die Lasche Authentifizierungsmethoden. In diesem Beispiel lautet der Preshared-Key scalance. Abbildung 4-20 Authentifizierungsmethode konfigurieren Abschließend wird die Authentifizierungsmethode für die Sicherheitsregel übernommen. Abbildung 4-21 Authentifizierungsmethode übernehmen V1.0 19.07.2007 21/38

4.4.4 Tunneleinstellungen definieren Der Standard DSL-Router B, welcher am externen Port des SCALANCE S angeschlossen hat eine feste externe IP-Adresse, welche im Internet bekannt ist, und befindet sich auf der passiven Seite des IPSec Tunnels. Dies bedeutet: Die feste externe IP-Adresse des Standard DSL-Router B ist der Tunnelendpunkt für die PC-Station. Der Standard DSL-Router B muss nun die UDP-Paktet vom Internet, welche an die Ports 500 und 4500 des Routers adressiert sind, an die Ports 500 und 4500 des angeschlossenen SCALANCE S senden. Im Eigenschaftsfenster der Sicherheitsregel in der Lasche Tunneleinstellungen definieren Sie den Tunnelendpunkt. Hier geben Sie die feste externe IP-Adresse 217.91.8.166 des Standard Router B für den Tunnelendpunkt an. Abbildung 4-22 Tunnelendpunkt definieren feste externe IP-Adresse des Standard Router B Nachdem Sie den Tunnelendpunkt definiert und für die IP-Sicherheitsregel übernommen haben beenden Sie das Eigenschaftsfenster der Sicherheitsregel mit der Betätigung des Button OK. Sie gelangen in das Eigenschaftsfenster der IP-Sicherheitsrichtlinie VPNtunnel_PC_ScalanceS. Nun wird die zweite IP-Sicherheitsregel für den Datenverkehr vom Netzwerk, welches durch den SCALANCE S geschützt wird, zur PC-Station angelegt. V1.0 19.07.2007 22/38

4.5 Sicherheitsregel für den Datenverkehr vom SCALANCE S 61x zur PC-Station hinzufügen Im Eigenschaftsfenster der IP-Sicherheitsrichtlinie VPNtunnel_PC_ScalanceS betätigen Sie den Button Hinzufügen, um die zweite IP-Sicherheitsregel anzulegen. Abbildung 4-23 Sicherheitsregel hinzufügen 4.5.1 IP-Filter anlegen Es öffnet sich das Eigenschaftsfenster der Sicherheitsregel. In der Lasche "IP-Filterliste legen Sie durch die Betätigung des Buttons Hinzufügen einen neuen IP-Filter an. Dieser bestimmt den Datenverkehr der zweiten Sicherheitsregel. V1.0 19.07.2007 23/38

Abbildung 4-24 IP-Filter anlegen Der IP-Filter erhält den Namen channel_from_scalance_to_pc. Über den Button Hinzufügen gelangen Sie in das Eigenschaftsfenster des IP- Filters. Hier wird die Richtung des Datenverkehrs definiert. Da die zweite IP-Sicherheitsregel den Datenverkehr vom Netzwerk, welches durch den SCALANCE S geschützt wird, zur PC-Station bestimmt geben Sie folgende Parameter an: Quelladresse: Subnetz, welches am internen PORT des SCALANCE S angeschlossen ist Zieladresse: IP-Adresse der PC-Station Die Option Diese Filterangabe wird auch auf Pakete mit gegenteiliger Quell- und Zieladresse angewendet wird deaktiviert. Für den Datenverkehr vom PC zum SCALANCE S gibt es eine separate Sicherheitsregel. V1.0 19.07.2007 24/38

Abbildung 4-25 Name und Eigenschaften des IP-Filters definieren Nun ist der IP-Filter channel_from_scalance_to_pc in der IP-Filterliste enthalten. Sie wählen den IP-Filter channel_from_scalance_to_pc aus und wechseln anschließend im Eigenschaftsfenster der Sicherheitsregel in die Lasche Filteraktion, um dem IP-Filter die bereits definierte Filteraktion IPSec Configuration zuzuordnen. Abbildung 4-26 IP-Filter auswählen 4.5.2 Filteraktion zuordnen In der Lasche Filteraktion im Eigenschaftsfenster der Sicherheitsregel wird die Filteraktion IPSec Configuration ausgewählt. V1.0 19.07.2007 25/38

Abbildung 4-27 Filteraktion auswählen 4.5.3 Authentifizierungsmethode Nun definieren Sie, wie in Kapitel 4.4.3 beschrieben, die Authentifizierungsmethode für die zweite Sicherheitsregel 4.5.4 Tunneleinstellungen definieren Die PC-Station initiiert den Aufbau des IPSec-Tunnels. Dies bedeutet: Die IP-Adresse der PC-Station ist der Tunnelendpunkt für den SCALANCE S. Im Eigenschaftsfenster der Sicherheitsregel in der Lasche Tunneleinstellungen definieren Sie den Tunnelendpunkt. Hier geben Sie die IP-Adresse 192.168.2.7 der PC-Station für den Tunnelendpunkt an. V1.0 19.07.2007 26/38

Abbildung 4-28 Tunneleinstellung definieren IP-Address of the PC-Station Nachdem Sie den Tunnelendpunkt definiert haben beenden Sie das Eigenschaftsfenster der Sicherheitsregel mit der Betätigung des Button OK. Sie gelangen in das Eigenschaftsfenster der IP-Sicherheitsrichtlinie VPNtunnel_PC_ScalanceS. Hier wählen Sie die folgenden zwei erstellten Sicherheitsregeln aus und übernehmen die Auswahl: channel_from_pc_to_scalance channel_from_scalance_to_p V1.0 19.07.2007 27/38

Abbildung 4-29 Sicherheitsregeln auswählen Mit der Betätigung des Buttons Schließen verlassen Sie das Eigenschaftsfenster der IP-Sicherheitsrichtlinie VPNtunnel_PC_ScalanceS. Anschließend konfigurieren Sie den SCALANCE S 61x V2.1 mit dem Security Configuration Tool V2.1. V1.0 19.07.2007 28/38

5 Konfiguration des SCALANCE S 61x Der SCALANCE S 61x V2.1 wird mittels Security Configuration Tool V2.1 konfiguriert. Öffnen Sie das Security Configuration Tool (SCT) über das Windows START Menü -> SIMATIC -> SCALANCE -> Security. Nachdem Sie ein neues Projekt im SCT angelegt haben, fügen Sie über das Menü Einfügen Modul jeweils ein Modul vom Typ S612 V2 und vom Typ MD740-1 ein. Das Einfügen des Moduls vom Typ MD740-1 dient dazu, den Teil der Konfiguration zu modellieren, welcher durch den Standard DSL-Router A und der PC-Station gebildet wird. Abbildung 5-1Modul einfügen Der SCALANCE S erhält die externe IP-Adresse 192.168.2.5 im Subnetz 255.255.255.0. Außerdem müssen Sie die MAC-Adresse des SCALANCE S im SCT eintragen. Der Standard DSL-Router B ist Gateway für den SCALANCE S. Aus diesem Grund wird die interne IP-Adresse 192.168.2.1 des Standard DSL- Router B für das Default Gateway des Moduls vom Typ S612 V2 angegeben. Für das Modul vom Typ MD740-1 wird die externe und interne IP-Adresse des Standard DSL-Router A eingetragen. In diesem Beispiel ist die externe IP-Adresse des Standard DSL-Router A 217.91.50.138. Die interne IP- Adresse des Standard DSL-Router A ist 192.168.2.1. Außerdem werden die Modulnamen SCALANCE und RouterA vergeben. Abbildung 5-2. eingefügte Module V1.0 19.07.2007 29/38

Nun aktivieren Sie über das Menü Ansicht den Erweitert-Modus. Abbildung 5-3 Erweitert-Modus aktivieren Den Routing Modus für den SCALANCE S aktivieren Sie im Eigenschaftsfenster des Moduls SCALANCE in der Lasche Routing Modus. Hier tragen Sie die interne IP-Adresse 140.80.0.2 und die Subnetz-Maske 255.255.0.0 des SCALANCE S ein. Abbildung 5-4 Routing Modus aktivieren V1.0 19.07.2007 30/38

Anschließend legen Sie über das Menü Einfügen Gruppe eine neue Gruppe an. Abbildung 5-5 Gruppe Dieser Gruppe werden die beiden Module vom Typ S612 V2 und MD740-1 per Drag & Drop zugeordnet. Abbildung 5-6 Module der Gruppe zuordnen Drag &Drop In den Gruppeneigenschaften nehmen Sie die Einstellungen zur Authentifizierung und Sicherheitsmethode vor. Die Einstellungen zur Authentifizierung und Sicherheitsmethode werden analog zur Konfiguration in der MMC vorgenommen, d.h.: Sie tragen hier den preshared key scalance ein. Sie geben hier den Integritätsalgorithmus SHA1 für die Phase 1 und 2 des Datenaustauschs über IPSec an. Sie geben hier den Verschlüsselungsalgorithmus 3DES für die Phase 1 und 2 des Datenaustauschs über IPSec an. V1.0 19.07.2007 31/38

Abbildung 5-7 Gruppeneigenschaften Nun nehmen Sie im Eigenschaftsfenster des Moduls SCALANCE in der Lasche VPN die Einstellungen bezüglich des VPN-Tunnelaufbaus vor. Der SCALANCE S 61x V2.1 wird als passives Modul parametriert. Zusätzlich müssen Sie hier die feste externe IP-Adresse des angeschlossenen Standard DSL-Router angeben, über die das aktive Modul den Tunnelaufbau initiiert. In diesem Beispiel tragen Sie die feste externe IP-Adresse 217.91.8.166 des Standard DSL Router B ein. V1.0 19.07.2007 32/38

Abbildung 5-8 Moduleigenschaften Lasche VPN Zum Abschluss der Konfiguration des SCALANCE S übertragen Sie die Konfigurationsdaten aus dem Security Configuration Tool an den SCALANCE S 61x V2.1. Dazu markieren Sie das entsprechende Modul vom Typ S612 V2 unter "Alle Module" und betätigen den Button "laden". Abbildung 5-9 Konfiguration in den SCALANCE S 61x laden V1.0 19.07.2007 33/38

6 VPN-Tunnel aufbauen 6.1 IPSec Dienste überprüfen Nachdem Sie die Konfiguration des IPSec Tunnels mittels der MMC und des Security Configuration Tool vorgenommen haben kann der VPN- Tunnel zwischen PC-Station und SCALANCE S über das Internet aufgebaut werden. Voraussetzung hierfür ist, dass der Dienst IPSec Dienste gestartet und aktiv ist. Dies können Sie in der Microsoft Management Console überprüfen. Im Konsolenstamm der MMC markieren Sie das Snap-In Dienste (Lokal). Hier sehen Sie eine Übersicht der Dienste Ihrer PC- Station. In dieser Übersicht suchen Sie den Dienst IPSec Dienste. Abbildung 6-1 IPSec Dienste Nun führen Sie einen Doppelklick auf den Dienst IPSec Dienste aus. Es öffnet sich das Eigenschaftsfenster des Dienstes IPSec Dienste. In der Lasche Allgemein überprüfen Sie den Status des Dienstes. Der Dienststatus muss gestartet lauten. V1.0 19.07.2007 34/38

Abbildung 6-2. Eigenschaftsfenster IPSec Dienste, Lasche Allgemein In der Lasche Anmelden können Sie überprüfen, ob der Dienst IPSec Dienste auf Ihrer PC-Station aktiviert ist Abbildung 6-3 Eigenschaftsfenster IPSec Dienste, Lasche Anmelden V1.0 19.07.2007 35/38

6.2 IPSec-Tunnel aufbauen Der Aufbau des IPSec-Tunnels zwischen der PC-Station mit Windows XP SP2 und dem SCALANCE S61x V2.1 wird über die MMC initiiert. Sie markieren im Konsolenstamm der MMC das Snap-In IP- Sicherheitsrichtlinien auf Lokaler Computer. Nun wählen Sie die IP- Sicherheitsrichtlinie VPNtunnel_PC_ScalanceS aus und weisen diese über das Menü Aktion Zuweisen der PC-Station zu. Abbildung 6-4 IP-Sicherheitsrichtlinie der PC-Station zuweisen 6.3 Status des IPSec-Tunnels überprüfen Wenn der IPSec-Tunnel zwischen der PC-Station und dem SCALANCE S über das Internet aufgebaut ist, kann von der PC-Station aus auf die geschützte Automatisierungszelle (CP 343-1) zugegriffen werden, d.h. Mit dem Security Configuration Tool können Sie online auf den SCALANCE S 61x V2.1 zugreifen. Dazu betätigen Sie den Button Online. Ist dieser Online-Zugriff erfolgreich, können Sie den SCALANCE S 61x über den VPN-Tunnel erreichen. In der Online- Ansicht des Moduls SCALANCE Lasche Kommunikationsstatus wird der Tunnelstatus aufgebaut angezeigt. Abbildung 6-5 Online-Zugriff auf SCALANCE S 61x V2.1 über SCT V1.0 19.07.2007 36/38

Abbildung 6-6 Status des IPSec-Tunnels Es kann von der PC-Station ein ping an die IP-Adresse des CP 343-1 gesendet werden. Außerdem kann ein ping an die interne IP-Adresse des SCALANCE S 61x gesendet werden. Sie können in STEP 7 die PG/OP-Funktionen für den Online-Zugriff auf die Steuerung S7-300 nutzen, so dass Sie das STEP 7-Projekt bzw. die Konfiguration in die CPU der Steuerung S7 300 laden oder den Diagnosepuffer der CPU auslesen können. Hinweis Layer2-Protokolle, wie die Funktion "erreichbare Teilnehmer" in STEP 7, sind über den VPN-Tunnel nicht möglich. Eine zusätzlich auf dem PC installierte Firewall kann eventuell zu Problemen führen. ACHTUNG Diese Konstellation wurde auf mehreren Standard-PCs unter Windows XP SP2 getestet. Es kann keine Garantie dafür übernommen werden, dass dieses Beispiel in allen PC- Konfigurationen fehlerfrei funktioniert. V1.0 19.07.2007 37/38

7 Historie Version Datum Änderung V 1.0 Erste Ausgabe V1.0 19.07.2007 38/38

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback