Einrichtung einer gesicherten VPN-Verbindung mit NAT und SINEMA RC

Ähnliche Dokumente
Deckblatt. VPN-Tunnel über Internet. SCALANCE S61x und SOFTNET Security Client Edition FAQ August Service & Support. Answers for industry.

Technical Note 30 Endian4eWON einrichten für VPN Verbindung

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Wortmann AG. Terra Black Dwraf

Applikation zur Antriebstechnik

KNX IP Interface 730 KNX IP Router 750 KNX IP LineMaster 760 KNX IP BAOS 770 KNX IP BAOS 771 KNX IP BAOS 772 KNX IP BAOS 777

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-1000N/DSR-500N(FW 1.03B27).

Bedienungsanleitung zur Inbetriebnahme des Funkempfänger EFB-EXP-72a mit Ethernet-Schnittstelle

Grundlegende Informationen zur Einrichtung des SSLVPN beim DSR-500N/1000N (FW 1.04Bxx).

Einrichtungsanleitung LTE-Paket

HowTo: Einrichtung von L2TP over IPSec VPN

Anwendungsbeispiel und Kurzanleitung 04/2015. LOGO! App V3.0. LOGO! 8 und LOGO! 7

Quick Installation Guide

Quick Installation Guide

Schnellstart. MX510 mit public.ip via OpenVPN

Konfigurationsbeispiel USG & ZyWALL

WIE-SERVICE24. Konfiguration Ihres Zugangs. VPN Portal. WIE-SERVICE24.com. Technical Notes _WIESERVICE24_TN1.doc Stand: 12/2011 (Rev.

Service & Support. Wie projektieren Sie eine WEB Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client.

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

Service & Support. Wie projektieren Sie eine RDP Verbindung mit einem Industrial Thin Client SIMATIC ITC? Industrial Thin Client.

Dies ist eine Schritt für Schritt Anleitung wie man den Router anschließt und mit dem Internet verbindet.

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Verwendung von DynDNS

Smart Home. Quickstart

Nortel Networks VPN - Client

Horstbox Professional (DVA-G3342SB)

GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

Sicherer Remote Support über das Internet mit UltraVNC

How-to: VPN mit IPSec und Gateway to Gateway. Securepoint Security System Version 2007nx

Konfigurationsbeispiel

Collax Web Application

Dynamisches VPN mit FW V3.64

1. Wireless Switching Einleitung Voraussetzungen Konfiguration Wireless Switch Konfiguration...

Kurzanweisung der Jovision IP Kamera

Dokumentation. HiPath OpenOffice EE V1 myportal entry. Communication for the open minded. Installationsanleitung A31003-P2010-J

MySQL Community Server 5.6 Installationsbeispiel (Ab )

Um IPSec zu konfigurieren, müssen Sie im Folgenden Menü Einstellungen vornehmen:

Service & Support. Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client.

Vier Schritte, um Sunrise office einzurichten

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

VPN KickStart. Eine Schritt-für-Schritt Anleitung für das sichere Verbinden zweier Netzwerke durch ein mguard basierendes IPsec-VPN

Gateway für netzwerkfähige Komponenten ewon kann als Gateway für alle netzwerkfähigen Komponenten dienen

Kurzanleitung der IP Kamera

estos XMPP Proxy

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

SecureRDP-GATE. Version Installationsanleitung

Security. Stefan Dahler. 4. Internet Verbindung. 4.1 Einleitung

X-RiteColor Master Web Edition

Handbuch Schnelleinstieg

Fitmachertage bei Siemens PROFINET. Fit in den Frühling mit Siemens PROFINET. Siemens AG Alle Rechte vorbehalten. Industry Sector.

JobServer Installationsanleitung

Mein eigenes Netzwerk. mit Windows XP. Sehen und Können BENNO JASKY

Port-Weiterleitung einrichten

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Firewall oder Router mit statischer IP

Einrichtungsanleitung MRT150N & fixed.ip+

VPN-System Benutzerhandbuch

Bedienungsanleitung htp Net Business VPN Remote Access

IKONIZER II Installation im Netzwerk

How-To-Do. Fernwartung einer VIPA Steuerung via MPI/PROFIBUS

Parallels Plesk Panel. Firewall-Modul für Parallels Plesk Panel 10 für Linux/Unix. Administratorhandbuch

Anleitung zur Anmeldung mittels VPN

Anschluß des DI-614+ an das lokale, bereits vorhandene Netzwerk

Astro for Simatic der innovative Software Dämmerungsschalter auf Basis einer Simatic S7 SPS. Applikation zur Steuerung einer Beleuchtungsanlage

Überprüfung ADSL2+ Bereitschaft des Zyxel Modems

FastViewer Remote Edition 2.X

Windows 98 und Windows Me

Securepoint Security Systems

ZyXEL DSL-Router für Xbox LIVE oder PlayStation-Network einrichten

How-to: VPN mit L2TP und Zertifikaten und dem Mac OSX VPN-Client. Securepoint Security System Version 2007nx. Seite 1

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

EX RS-232 zu Ethernet / IP. Din Rail Kit (EX-6099) Bedienungsanleitung. 7. Anschlüsse. 8. Technische Daten

Anleitung der IP Kamera von

Anleitung zur Anmeldung mittels VPN

Technical Note 0401 ewon

ColdFusion9 Report Builder Installationsanleitung für Windows-Computer

Version 1.0. Benutzerhandbuch Software Windows CE 6.0

Dokumentation VPN-Server unter Windows 2000 Server

Installationsanleitung OpenVPN

EX x RS-232 zu Ethernet / IP. Bedienungsanleitung. 6. Anschlüsse. 7. Technische Daten. Seriell 9 Pin D-SUB Stecker (Port 1 und 2) :

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

ALL0276VPN / Wireless g VPN Router

X5 unter Windows Vista / 7 und Windows 2008 Server

VPN Tracker für Mac OS X

Kurzhandbuch Managed Exchange 2010

(1) Network Camera

EX RS-232 zu Ethernet / IP. Bedienungsanleitung. 7. Anschlüsse. 8. Technische Daten. Seriell 9 Pin D-SUB Stecker

Beginn der Installation: Anschluß des DI-604 an das lokale, bereits vorhandene Netzwerk

meine-homematic.de Benutzerhandbuch

Security + Firewall. 4.0 PPTP Client Einwahl. 4.1 Szenario

Benutzerhandbuch. CT-VPN Server

Installationsanleitung für die netzbasierte Variante Bis Version 3.5. KnoWau, Allgemeine Bedienhinweise Seite 1

Windows XP & DNS-323: Zugriff auf die Netzfreigaben 1. Über dieses Dokument

:: Anleitung Demo Benutzer 1cloud.ch ::

(W)LAN Tutorial. Einstellen der Karte: IP-Adresse, bei der WLAN-Karte zusätzlich auch SSID und Netzwerktopologie

Einrichtungsanleitung Router MX200

SSL VPN Zugang Anleitung Version 1.3

ZNS-GIT IPAdmin Tool Operation Manual for H.264 Network Camera and Encoder. Inhaltsverzeichnis. 1. Einführung Anforderungen...

Quickstart Guide. azeti SONARPLEX VAA Fehler erkennen, bevor Fehler entstehen

Transkript:

Projektierungsbeispiel 03/2017 Einrichtung einer gesicherten VPN-Verbindung mit NAT und SINEMA RC SINEMA Remote Connect, SCALANCE S615 https://support.industry.siemens.com/cs/ww/de/view/109744972

Siemens AG 2017 All rights reserved Gewährleistung und Haftung Gewährleistung und Haftung Hinweis Die Anwendungsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Anwendungsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Anwendungsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Anwendungsbeispiele jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Anwendungsbeispiel und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang. Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Anwendungsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden. Weitergabe oder Vervielfältigung dieser Anwendungsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von der Siemens AG zugestanden. Securityhinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.b. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden. Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity. Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter http://www.siemens.com/industrialsecurity. Beitrags-ID: 109744972, V1.0, 03/2017 2

Siemens AG 2017 All rights reserved Inhaltsverzeichnis Inhaltsverzeichnis Gewährleistung und Haftung... 2 1 Aufgabenstellung und Lösung... 4 1.1 Aufgabe... 4 1.2 Lösungsmöglichkeit... 4 1.2.1 Gesamtübersicht... 4 1.2.2 SINEMA Remote Connect... 6 1.2.3 NAT-Funktion... 8 1.3 Merkmale der Lösung... 9... 10 2.1 Umgebung einrichten... 10 2.1.1 Erforderliche Komponenten und IP-Adressenübersicht... 10 2.1.2 Router am VPN-Client (SINEMA RC Client)... 14 2.1.3 PC (SINEMA Remote Connect Client)... 14 2.1.4 SCALANCE S615... 15 2.1.5 Router am VPN-Server... 19 2.1.6 SINEMA Remote Connect Server... 20 2.2 Fernverbindung auf dem SINEMA Remote Connect Server einrichten... 23 2.2.1 Adressraum verwalten... 24 2.2.2 Teilnehmer und Kommunikationsbeziehungen definieren... 25 2.2.3 Zertifikat exportieren... 39 2.3 Fernverbindung auf dem S615 einrichten... 40 2.3.1 Zertifikat laden... 40 2.3.2 VPN-Verbindung projektieren... 42 2.4 Fernverbindung auf dem SINEMA Remote Connect Client aufbauen... 46 3 Tunnelfunktion testen... 49 4 Anhang... 51 4.1 Service und Support... 51 4.2 Links und Literatur... 52 4.3 Änderungsdokumentation... 52 Beitrags-ID: 109744972, V1.0, 03/2017 3

Siemens AG 2017 All rights reserved 1 Aufgabenstellung und Lösung 1 Aufgabenstellung und Lösung 1.1 Aufgabe Die Aufgabe besteht darin, einem Servicemitarbeiter einen sicheren Fernzugriff auf mehrere identische Anlagenteile für Wartungs-, Steuerungs- und Diagnosezwecke bereitzustellen. Zur sicheren und zentralen Verwaltung der Tunnelverbindungen wird SINEMA Remote Connect verwendet. Dabei sind folgende Anforderungen zu berücksichtigen: Verhindern von unerlaubtem Zugriff auf den SINEMA Remote Connect Server und unterlagerten Geräten. Verhindern von unerlaubtem Ausführen von Funktionen durch die Vergabe von Rechten. Zugriffskontrolle auf die unterlagerten Geräte. Absicherung gegen Datenmanipulation und Spionage. Flexibler Zugang des Servicemitarbeiters (unabhängig vom Ort). Verwendung eines identischen IP- Subnetzes in allen Anlagenteilen z. B. im Serienmaschinenbau. 1.2 Lösungsmöglichkeit 1.2.1 Gesamtübersicht Abbildung 1-1 Die folgende Abbildung zeigt eine Möglichkeit, die Kundenanforderung umzusetzen: Servicetechniker VPN-Client 1 S615 Anlage 1 WAN Zentrale SINEMA Remote Connect Server 2 VPN-Client VPN-Server S615 Anlage 2 VPN Tunnel Industrial Ethernet 2 VPN-Client Zwei Anlagenteile mit Teilnehmern, z. B. SIMATIC Station, Panel, Antriebe, PCs, usw., sind mit dem SCALANCE S615 angeschlossen. Beide Anlagenteile verwenden dasselbe IP-Adressband. Der Servicetechniker nutzt ein mobiles Endgerät, z.b. ein Notebook. Beitrags-ID: 109744972, V1.0, 03/2017 4

Siemens AG 2017 All rights reserved 1 Aufgabenstellung und Lösung Der Servicetechniker und die Geräte in den Anlagenteilen kommunizieren über den SINEMA Remote Connect Server, der in der Zentrale steht. Abgesichert wird der Fernzugriff über mehrere VPN-Tunnel: VPN-Tunnel 1 Der Servicetechniker greift über den "SINEMA Remote Connect Client", eine VPN-Client-Software, auf den SINEMA Remote Connect Server zu. 2 VPN-Tunnel Der SCALANCE S615 des Anlagenteils greift als Client auf den SINEMA Remote Connect Server zu. Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen routet der SINEMA Remote Connect Server zwischen den einzelnen VPN-Tunnels. Der Zugang zum SINEMA Remote Connect Server (VPN-Server) ist über die Nutzung einer statischen IP-Adresse fest definiert. Die Rollenverteilung beim Aufbau des VPN-Tunnels ist wie folgt festgelegt: Tabelle 1-1 Komponente Mobiles Endgerät SCALANCE S615 (Anlage 1 bzw. Anlage 2) SINEMA Remote Connect Server VPN-Rolle Initiator (VPN-Client); startet die VPN-Verbindung Initiator (VPN-Client); startet die VPN-Verbindung Responder (VPN-Server); wartet auf VPN-Verbindung 1 2 1 2 Beitrags-ID: 109744972, V1.0, 03/2017 5

Siemens AG 2017 All rights reserved 1 Aufgabenstellung und Lösung 1.2.2 SINEMA Remote Connect SINEMA Remote Connect ist eine Managementplattform für Remote Networks, die zentral sichere Tunnelverbindungen verwaltet. Auf diese Weise können weitverteilte Anlagen oder Maschinen über Fernzugriff komfortabel und sicher gewartet werden. Der Fernzugriff ist selbst dann möglich, wenn die Maschinen in fremden Netzwerken eingebunden sind z. B. in den Anlagen von Endkunden. Die Lösung mit SINEMA Remote Connect hat folgende Bestandteile: SINEMA Remote Connect als VPN-Server Endgeräte (VPN-Client): SCALANCE S615 (mit KEY-PLUG) SCALANCE S612, S623, S627 SCALANCE M-800 (mit KEY-PLUG) SINEMA Remote Connect Client SOFTNET Security Client OpenVPN-Client SINEMA Remote Connect Server Der SINEMA Remote Connect Server ist eine Server-Applikation und bietet ein durchgängiges Verbindungsmanagement von verteilten Netzwerken über das Internet. Die Server-Applikation koordiniert den sicheren Verbindungsaufbau zwischen Anwendern, weitverteilten Anlagen und Maschinen. Folgende Funktionen übernimmt der SINEMA Remote Connect Server: Verwaltung und Aufbau verschlüsselter Verbindungen mit OpenVPN und IPSec Verifizierung über CA-Zertifikat oder Fingerprint Nutzerverwaltung mit der Projektierung von Rechten Unterstützung von Routing und NAT zur Anbindung von Subnetzen hinter dem SCALANCE S615 Bereitstellung eines sicheren Fernzugriffs auf unterlagerte Netzwerke zu Wartungs-, Steuerungs- und Diagnosezwecken Web Based Management (WBM) für die Konfiguration des Servers Beitrags-ID: 109744972, V1.0, 03/2017 6

Siemens AG 2017 All rights reserved 1 Aufgabenstellung und Lösung SCALANCE S615 Der SCALANCE S615 ist eine Security-Baugruppe zur Absicherung von Geräten, Automatisierungszellen oder Netzsegmenten in Ethernet Netzwerken gegen äußere und innere Gefahren. Der SCALANCE S615 hat die gleichen Funktionen und Eigenschaften wie die bestehenden SCALANCE M-Varianten. Hinzu kommen einige spezifische LAN- Funktionen, die eine optimale Anbindung an SINEMA Remote Connect ermöglichen. Der SCALANCE S615 zeichnet sich unter anderem durch folgende Funktionen aus: Unterstützung von VPN zur sicheren Authentifizierung der Netzteilnehmer, zur Verschlüsselung der Daten und Überprüfung der Datenintegrität IPSec-VPN-Tunnel (Server- und Client-Funktionalität) OpenVPN zur Anbindung an SINEMA Remote Connect (Client-Funktion) Stateful Inspection Firewall mit Filterung von IP-basiertem Datenverkehr und Kommunikationsprotokollen Unterstützung von NAT/ NAPT, selbst in Verbindung mit IPSec und OpenVPN. Unterstützung von VLAN Flexibler, rückwirkungsfreier und protokollunabhängiger Schutz Unterstützung von mehreren VPN-Tunneln gleichzeitig Einfachste Anbindung an SINEMA Remote Connect mit Auto-Konfigurations- Schnittstelle (freischaltbar mit dem KEY-PLUG SINEMA REMOTE CONNECT) Aufbau permanent oder Event-basierter Verbindungen (Aufbau per Wake-up- SMS oder durch ein Signal am digitalen Eingang) SINEMA Remote Connect Client Der SINEMA Remote Connect Client ist eine OpenVPN-Client-Software zur optimalen Anbindung an SINEMA Remote Connect. Sie bietet unter anderen folgenden Funktionen: Unterstützung von VPN (OpenVPN) zur sicheren Authentifizierung der Netzteilnehmer, um die Daten zu verschlüsseln und die Datenintegrität zu überprüfen. Einfachste Anbindung an SINEMA Remote Connect mit Auto-Konfigurations- Schnittstelle Telefonbuch mit allen Geräten, die dem Nutzer zugeordnet sind. Proxy-Server zur Kommunikation mit Netzen hinter einer Proxy-Server Infrastruktur Unterstützung von HTTPS und SOCKS Proxy Servern Beitrags-ID: 109744972, V1.0, 03/2017 7

Siemens AG 2017 All rights reserved 1 Aufgabenstellung und Lösung 1.2.3 NAT-Funktion Gemäß den Anforderungen aus Kapitel 1.1 sollen die Anlagenteile identische IP- Subnetze aufweisen. Dennoch soll jeder Teilnehmer eines Anlagenteils eindeutig und eigenständig aus der Ferne erreichbar sein. Dieser Aufbau erfordert NAT und ist mit reinem Routing nicht lösbar, da das Subnetz in den Anlagenteilen nicht eindeutig zugeordnet werden kann. Jedem Anlagenteil ist deswegen ein eigener SCALANCE S615 vorgeschalten. Um die Datenpakete der richtigen Anlage zu zuordnen, bekommt jeder SCALANCE S615 bei der Konfiguration von SINEMA Remote Connect zusätzlich einen eigenen, virtuellen IP-Bereich zugewiesen. Über dieses neue, virtuelle IP- Band ist das angeschlossene Netzwerk über den Tunnel erreichbar. Beitrags-ID: 109744972, V1.0, 03/2017 8

Siemens AG 2017 All rights reserved 1 Aufgabenstellung und Lösung 1.3 Merkmale der Lösung Nutzerverwaltung und Verbindungsmanagement über eine zentrale Server- Applikation. Nutzung identischer IP-Subnetze in den Anlagenteilen z. B. für den Serienmaschinenbau durch NAT-Mechanismen. Sicheres und einfaches Einwählen in die Anlagen von jedem Punkt der Welt. Kontrollierter und verschlüsselter Datenverkehr zwischen Anwendern, weitverteilten Anlagen und Maschinen über einen VPN-Tunnel. Verifizierung des SINEMA Remote Connect Servers über das CA-Zertifikat. Geringe Investitions- und Betriebskosten, um remote angebundene Unterstationen zu überwachen und zu steuern. Hohe Sicherheit für Maschinen und Anlagen durch Realisierung des Zellenschutzkonzepts. Protokollunabhängige, IP-basierte Kommunikation Einfachste Anbindung von Endgeräten (SCALANCE S615) und SINEMA Remote Connect Client durch die Auto-Konfigurationsschnittstelle. Beitrags-ID: 109744972, V1.0, 03/2017 9

Siemens AG 2017 All rights reserved 2.1 Umgebung einrichten 2.1.1 Erforderliche Komponenten und IP-Adressenübersicht Softwarepakete Dieses Anwendungsbeispiel basiert auf einer SINEMA Remote Connect Appliance und benötigt als Software den SINEMA Remote Connect Server. Installieren Sie diese Software auf einen PC ohne Betriebssystem. Beachten Sie die für die Installation erforderlichen Voraussetzungen. Während der Installation müssen Sie die IP-Adresse des Servers eingeben. Verwenden Sie dafür die IP-Adresse nach Tabelle 2-1. Der PC des Servicetechnikers benötigt die SINEMA Remote Connect Client- Software. Installieren Sie diese auf Ihrem PC. ACHTUNG Die Installation des SINEMA Remote Connect Servers beinhaltet ein eigenes Betriebssystem. Wenn Sie einen PC verwenden, auf dem bereits ein Betriebssystem vorhanden ist, wird die Festplatte formatiert und gespeicherte Daten gehen verloren. Erforderliche Geräte und Komponenten: Für den Aufbau verwenden Sie folgende Komponenten: Ein PC der Zentrale, auf dem der "SINEMA Remote Connect Server V1.2" installiert ist. Ein PC des Servicetechnikers, auf dem der "SINEMA Remote Connect Client V1.0 SP2" installiert ist. Zwei SCALANCE S615. Zwei KEY-PLUG SINEMA REMOTE CONNECT. Einen DSL-Zugang mit dynamischer WAN-IP-Adresse und einen DSL-Router. Einen DSL-Zugang mit statischer WAN-IP-Adresse und einen DSL-Router. Zwei Switchs. Ein Konfigurations-PC, auf dem ein Webbrowser installiert ist. Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet. Hinweis Sie können auch einen anderen Internet-Zugang (z. B. UMTS) verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die Komponenten, die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnt sind. Beitrags-ID: 109744972, V1.0, 03/2017 10

Siemens AG 2017 All rights reserved IP-Adressen Die IP-Adressen werden für dieses Anwendungsbeispiel wie folgt zugeordnet: Abbildung 2-1 Servicetechniker 192.168.178.100 192.168.178.1 S615 Anlage 1 Dynamische WAN-IP Zentrale SINEMA Remote Connect Server 172.16.2.1 Statische WAN-IP 192.168.10.1 192.168.10.2 172.16.0.1 172.16.1.52 S615 Anlage 2 172.16.3.1 192.168.10.1 192.168.10.2 Tabelle 2-1 Komponente Port IP-Adresse Router Subnetzmaske SINEMA Remote Connect Server Konfigurations-PC (nicht in der Grafik.gezeigt) Router am VPN- Server Router am VPN- Server Router am VPN-Client (RC Client) Router am VPN-Client (RC Client) LAN Port 172.16.1.52 172.16.0.1 255.255.0.0 LAN-Port 172.16.67.10 192.168.10.10 192.168.1.1 LAN-Port 172.16.0.1 WAN-Port WAN-Port Statische IP-Adresse vom Provider Dynamische IP- Adresse vom Provider WLAN 192.168.178.1 - - - - - 255.255.0.0 255.255.255.0 255.255.255.0 255.255.0.0 Vom Provider zugewiesen Vom Provider zugewiesen 255.255.255.0 PC (RC Client) WLAN 192.168.178.100 192.168.178.1 255.255.255.0 SCALANCE S615 (Anlage 1) SCALANCE S615 (Anlage 2) SCALANCE S615 (Anlage 1 + 2) WAN-Port "vlan2" (P5) WAN-Port "vlan2" (P5) LAN-Port "vlan1" (P1 bis P4) 172.16.2.1 172.16.3.1 192.168.10.1 - - - 255.255.0.0 255.255.0.0 255.255.255.0 Automatisierungsgerät LAN-Port 192.168.10.2 192.168.10.1 255.255.255.0 Beitrags-ID: 109744972, V1.0, 03/2017 11

Siemens AG 2017 All rights reserved Hinweis Mit dem PC konfigurieren Sie SINEMA Remote Connect Server und die SCALANCE S615 über das Webbased Management. Dafür müssen Sie dem PC- Netzwerkadapter mehrere IP-Adressen zugeordnet werden. In den erweiterten TCP/IP-Einstellungen der Netzwerkkarten-Konfiguration haben Sie die Möglichkeit, weitere IP-Adressen hinzuzufügen. Beitrags-ID: 109744972, V1.0, 03/2017 12

Siemens AG 2017 All rights reserved Aufbau der Infrastruktur Abbildung 2-2 Verbinden Sie alle teilnehmenden Komponenten dieses Anwendungsbeispiels miteinander. Servicetechniker S615 Anlage 1 WAN-Port WAN-Port Zentrale SINEMA Remote Connect Server WAN-Port (P5) LAN-Port (P1-P4) LAN-Port LAN-Port LAN-Port S615 Anlage 2 Switch Switch WAN-Port (P5) LAN-Port (P1-P4) LAN-Port Tabelle 2-2 Komponente Lokaler Port Partner Partner Port SINEMA Remote Connect Server LAN-Port Router am VPN- Server Router am VPN-Client (RC Client) SCALANCE S615 (Anlage 1 bzw. Anlage 2) SCALANCE S615 Anlage 1 bzw. Anlage 2) WLAN- Schnittstelle WAN-Port P5 LAN-Port P1 bis P4 PC (RC Client) SINEMA Remote Connect Server Automatisierungsgerät LAN-Port WLAN-Schnittstelle LAN-Port (über Switch) Port des Automatisierungsgeräts Beitrags-ID: 109744972, V1.0, 03/2017 13

Siemens AG 2017 All rights reserved 2.1.2 Router am VPN-Client (SINEMA RC Client) VPN WLAN Falls auf Ihrem Router VPN-Verbindungen projektiert und aktiviert sind, beenden Sie diese. Der PC (SINEMA Remote Connect Client) wird mit dem WLAN-Router über WLAN an das LAN-Netzwerk angebunden. Richten Sie auf dem WLAN-Router das WLAN ein. LAN-IP-Adressen Verwenden Sie an den LAN-Ports eine statische IP-Adresse nach den Vorgaben von Tabelle 2-1. 2.1.3 PC (SINEMA Remote Connect Client) Uhrzeit VPN WLAN Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten ist es wichtig, dass auf dem PC stets das aktuelle Datum und die aktuelle Uhrzeit geführt wird. Überprüfen Sie die Zeitangabe auf Ihrem PC. Wenn die Uhrzeit nicht aktuell ist, passen Sie diese an. Falls auf Ihrem PC weitere VPN-Verbindungen projektiert und aktiviert sind, beenden Sie diese. Richten Sie auf dem PC das WLAN entsprechend Ihrer Router-Konfiguration ein. Verwenden Sie eine statische IP-Adresse nach den Vorgaben von Tabelle 2-1. Beitrags-ID: 109744972, V1.0, 03/2017 14

Siemens AG 2017 All rights reserved 2.1.4 SCALANCE S615 Werkseinstellung KEY-PLUG Dieses Kapitel zeigt die Erstinbetriebnahme des SCALANCE S615. Die Projektierungsschritte im Webbased Management sind bei beiden Geräten identisch. Die verwendeten Screenshots zeigen die Einstellungen für den ersten SCALANCE S615 (Anlage 1). Konfigurieren Sie den zweiten SCALANCE S615 entsprechend den Einstellungen des ersten SCALANCE S615. Ab der Firmware Version 4.2. ist zusätzlich ein Wizard für die Einrichtung grundlegender Parameter (wie der Uhrzeit) verfügbar, der beim ersten Login automatisch startet. Um sicherzustellen, dass keine bestehenden Konfigurationen und Zertifikate im SCALANCE S gespeichert sind, setzen Sie die Baugruppen auf Werkseinstellung zurück. Für den SCALANCE S615 wird der "KEY-PLUG SINEMA REMOTE CONNECT" benötigt. Mit dem KEY-PLUG wird die Anbindung von SCALANCE S615 an SINEMA Remote Connect freigeschaltet. Stellen Sie sicher, dass in allen SCALANCE S ein gültiger KEY-PLUG gesteckt ist. Webbased Management öffnen Verbinden Sie den Konfigurations-PC mit einem LAN-Port des SCALANCE S615 (Port 1 bis Port 4). Werkseitig hat das Gerät die IP-Adresse 192.168.1.1/24. Öffnen Sie das Webbased Management über die Adresse http://192.168.1.1. Webbased Management Login Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, sind die Login-Daten wie folgt festgelegt: Name:" admin" Password: "admin" 1. Tragen Sie Name und Passwort in die entsprechenden Eingabefelder ein. Klicken Sie auf die Schaltfläche "Anmelden" ("Login"). 2. Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, werden Sie aufgefordert, das Passwort zu ändern. Beitrags-ID: 109744972, V1.0, 03/2017 15

Siemens AG 2017 All rights reserved 3. Geben Sie das alte und neue Passwort ein. Wiederholen Sie bei "Password Confirmation" das Passwort, um es zu bestätigen. Beide Einträge müssen übereinstimmen. 4. Klicken Sie auf die Schaltfläche "Set Values" um den Vorgang abzuschließen und das neue Passwort zu aktivieren. 5. Wenn Sie sich angemeldet haben, erscheint die Startseite. Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Melden Sie sich fortan mit dem geänderten Passwort an. Uhrzeit einstellen Für den Aufbau einer sicheren Kommunikation muss auf dem SCALANCE stets die aktuelle Uhrzeit und Datum eingestellt sein. Sonst werden die verwendeten Zertifikate als ungültig interpretiert und eine sichere VPN-Kommunikation ist nicht möglich. 1. Navigieren Sie in der Navigationsleiste zu "System > System Time". 2. Klicken Sie auf die Schaltfläche "Use PC Time", um die Zeiteinstellung des PC zu übernehmen. 3. Übernehmen Sie die Einstellung mit "Set Values". Ergebnis Das Datum und die Uhrzeit werden übernommen und im Feld "System time" angezeigt. Beitrags-ID: 109744972, V1.0, 03/2017 16

Siemens AG 2017 All rights reserved Hinweis Sie haben auch die Möglichkeit, die Systemzeit mit einem NTP-Zeitserver automatisch synchronisieren zu lassen. Im Internet gibt es eine Reihe von Zeitservern, von denen die aktuelle Uhrzeit präzise bezogen werden kann. IP-Einstellungen ändern Der SCALANCE S615 verfügt über fünf Ports, die wie folgt werksseitig eingestellt sind: Port 1 bis Port 4: vlan 1 Für den Zugriff vom lokalen Netz (LAN) auf das Gerät. Port 5: vlan 2 Für den Zugriff vom externen Netz (WAN) zum Gerät. Die VLANs sind in verschiedenen IP-Subnetzen. Um den SCALANCE S615 in das Netzwerk des Anwendungsbeispiels zu integrieren, muss die LAN-Schnittstelle für vlan1 entsprechend geändert werden. 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnet" und im Inhaltsbereich auf das Register "Configuration". 2. Geben Sie die IP-Adresse für das interne Netzwerk ("vlan1") ein. Hinweis: Da beide SCALANCE S615 das identische interne Subnetz haben, tragen Sie immer die IP-Adresse "192.168.10.1" mit der Subnetzmaske "255.255.255.0" ein. Klicken Sie auf "Set Values". Ergebnis In der Adresszeile des Webbrowsers wird die IP-Adresse automatisch angepasst. Durch die Mehrfach-IP-Adressen-Zuordnung kann der PC weiterhin auf das Web- Based Management zugreifen. Beitrags-ID: 109744972, V1.0, 03/2017 17

Siemens AG 2017 All rights reserved IP-Subnetze anlegen Das IP-Subnetz für vlan 1 wurde bereits im letzten Abschnitt konfiguriert. Zur Konfiguration des IP-Subnetzes für vlan 2 gehen Sie wie folgt vor: 1. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnet" und im Inhaltsbereich auf das Register "Configuration". 2. Wählen Sie in der Klappliste bei "Interface (Name)" die Option "vlan2 (EXT)" aus. Geben Sie die IP-Adresse für "vlan2 (EXT)" nach der Tabelle 2-1 ein. Klicken Sie auf "Set Values". 3. Nehmen Sie auf diese Weise auch die Erstinbetriebnahme für den zweiten SCALANCE S615 vor. Ergebnis In beiden SCALANCE S615 sind die IP-Subnetze angelegt und werden im Register "Overview" angezeigt. SCALANCE S615 (Anlage 1) SCALANCE S615 (Anlage 2) Beitrags-ID: 109744972, V1.0, 03/2017 18

Siemens AG 2017 All rights reserved 2.1.5 Router am VPN-Server Statische IP-Adresse bei DSL-Router Der WAN-Zugriff des VPN-Client (SINEMA RC Client) auf den SINEMA Remote Connect Server (VPN-Server) erfolgt über eine fest zugewiesene, öffentliche IP- Adresse. Diese müssen Sie beim Provider beantragen und anschließend im DSL- Router hinterlegen. Portforwarding am DSL-Router Damit die Tunnel-Pakete ungehindert ausgetauscht werden können, achten Sie darauf, dass das PORT-Forwarding für OpenVPN und https mit TCP und UDP (TCP/443,UDP/1194 und TCP/5443) freigeschaltet ist und an den SINEMA Remote Connect Server weitergeleitet werden. Hinweis Diese Ports sind prinzipiell im SINEMA Remote Connect Server änderbar. Die Portnummern stimmen also nur, wenn Sie die Einstellungen bei den Defaultwerten belassen. Für OpenVPN wird entweder nur UDP oder TCP genutzt. Wenn möglich ist UDP immer vorzuziehen, da UDP schneller bzw. performanter ist als TCP. Beitrags-ID: 109744972, V1.0, 03/2017 19

Siemens AG 2017 All rights reserved 2.1.6 SINEMA Remote Connect Server Webbased Management öffnen Schließen Sie den Konfigurations-PC am lokalen Netzwerk des SINEMA Remote Connect Servers an (z. B. über die lokalen Ports am Switch) und verbinden Sie sich mit der Web-Oberfläche des SINEMA Remote Connect Servers. Die IP- Adresse wurde während der Installation festgelegt. Öffnen Sie das Webbased Management über die Adresse https://172.16.1.52. Webbased Management Login Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, sind die Login-Daten wie folgt festgelegt: Name: "admin" Password: "admin" 1. Tragen Sie Name und Passwort in die entsprechenden Eingabefelder ein. Klicken Sie auf die Schaltfläche "Anmelden" ("Login"). 2. Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, werden Sie aufgefordert, das Passwort zu ändern. 3. Geben Sie das alte und neue Passwort ein. Das neue Passwort muss mindestens acht Zeichen lang sein ein Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten. 4. Klicken Sie auf die Schaltfläche "Speichern" ("Save"), um den Vorgang abzuschließen und das neue Passwort zu aktivieren. 5. Wenn Sie sich angemeldet haben, erscheint die Startseite. Beitrags-ID: 109744972, V1.0, 03/2017 20

Siemens AG 2017 All rights reserved Uhrzeit einstellen Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Melden Sie sich fortan mit dem geänderten Passwort an. Für den Aufbau einer sicheren Kommunikation muss auf dem SINEMA Remote Connect Server stets die aktuelle Uhrzeit und Datum eingestellt sein. Sonst werden die verwendeten Zertifikate als ungültig interpretiert und eine sichere VPN- Kommunikation ist nicht möglich. 1. Navigieren Sie in der Navigationsleiste zu "System > Datum und Uhrzeit". ("System > Date & time settings"). 2. Klicken Sie auf die Schaltfläche "PC-Uhrzeit verwenden" ("Use PC Time"), um die Zeiteinstellung des PC zu übernehmen. Ergebnis Das Datum und die Uhrzeit werden übernommen und im Feld "Systemzeit" ("System time") angezeigt. Hinweis Alternativ können Sie die Systemzeit mit einem NTP-Zeitserver automatisch synchronisieren lassen. Dadurch wird die aktuelle Uhrzeit präzise bezogen. Beitrags-ID: 109744972, V1.0, 03/2017 21

Siemens AG 2017 All rights reserved Schnittstelle überprüfen 1. Klicken Sie im Navigationsbereich auf "Security > Netzwerk" ("Security > Network") und im Inhaltsbereich auf das Register "Schnittstellen" ("Interfaces"). 2. Wählen Sie die Schnittstelle "WAN" aus. Die Konfiguration wird angezeigt. Prüfen Sie die Einstellungen der WAN-Schnittstelle. Aktivieren Sie "SINEMA RC befindet sich hinter einem NAT-Gerät" ("SINEMA RC is located behind a NAT device"), um die erforderliche externe WAN-IP- Adresse für den Router einzugeben. Geben Sie bei "WAN IP Adresse" ("WAN IP address") die WAN-IP-Adresse des Routers ein. Sichern Sie die Einstellungen mit "Speichern" ("Save"). Hinweis Belassen Sie die Default- Einstellungen, wenn der SINEMA Remote Connect Server ausschließlich aus einem lokalen Netzwerk erreichbar sein soll. Beitrags-ID: 109744972, V1.0, 03/2017 22

Siemens AG 2017 All rights reserved 2.2 Fernverbindung auf dem SINEMA Remote Connect Server einrichten Damit der Servicetechniker mit seinem PC über den SINEMA Remote Connect Server auf die Anlagenteile zugreifen kann, müssen sich die Endgeräte (SINEMA Remote Connect Client und SCALANCE S615) am Server anmelden. Erst nach erfolgreicher Authentifizierung wird der jeweilige VPN-Tunnel zwischen dem Endgerät und dem SINEMA Remote Connect Server aufgebaut. Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen verschaltet der SINEMA Remote Connect Server die einzelnen VPN-Tunnels und ermöglicht somit den Zugriff. Um den Zugriff zu ermöglichen, sind folgende Projektierungsschritte nötig: Adressraum verwalten Teilnehmergruppen definieren. SCALANCE S615 als Gerät implementieren. Servicetechniker als Benutzer anlegen. Kommunikationsbeziehungen festlegen. Zertifikate und Benutzerkonfiguration laden. Webbased Management öffnen Schließen Sie den Konfigurations-PC am lokalen Netzwerk des SINEMA Remote Connect Servers an, z. B. über die lokalen Ports am Router, und öffnen Sie das Webbased Management über die Adresse "https://172.16.1.52". Melden Sie sich als Benutzer "admin" und dem entsprechendem Passwort an. Hinweis: Nur als Benutzertyp "admin" haben Sie Schreibrechte auf die Konfiguration im SINEMA Remote Connect Server. Beitrags-ID: 109744972, V1.0, 03/2017 23

Siemens AG 2017 All rights reserved 2.2.1 Adressraum verwalten Wenn sich ein VPN-Client am SINEMA RC Server anmeldet, erhält der VPN-Client für die Dauer der Verbindung eine IP-Adresse aus einem definierten Adressraum. Wird zusätzlich NAT verwendet, wird den Geräten im entfernten Subnetz eine virtuelle NAT-IP-Adresse zugewiesen. Diesen Adressraum müssen Sie explizit aktivieren. 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Adressräume" ("Remote connections > Address spaces"). 2. Aktivieren Sie im Register "Virtuelles lokales LAN" ("Virtual local LAN") die Einstellung "Netzwerk-Adressraum aktivieren" ("Activate the network address space"). Sie können die vordefinierten Einstellungen übernehmen. Sichern Sie die Einstellung mit "Speichern" ("Save"). Beitrags-ID: 109744972, V1.0, 03/2017 24

Siemens AG 2017 All rights reserved 2.2.2 Teilnehmer und Kommunikationsbeziehungen definieren Teilnehmergruppen definieren Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Für dieses Anwendungsbeispiel werden folgende Gruppen angelegt. "Station": Geräte SCALANCE S615. "ServicePC": Benutzerkonto für den Servicetechniker. 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Teilnehmergruppen" ("Remote connections > Participant groups"). Klicken Sie auf "Erstellen" ("Create"). 2. Die Seite "Neue Teilnehmergruppe" ("New participant group") wird geöffnet. Tragen Sie bei "Gruppenname" ("Group name") den Text "Station" und (optional) eine Beschreibung ein. Aktivieren Sie die Netzwerkschnittstelle. Klicken Sie auf "Speichern" ("Save"). Beitrags-ID: 109744972, V1.0, 03/2017 25

Siemens AG 2017 All rights reserved 3. Die Teilnehmergruppe "Station" wurde angelegt und erscheint im Inhaltsbereich. Klicken Sie erneut auf "Erstellen" ("Create"). 4. Tragen Sie bei "Gruppenname" ("Group name") den Text "ServicePC" und (optional) eine Beschreibung ein. Aktivieren Sie die Netzwerkschnittstelle. Klicken Sie auf "Speichern" ("Save"). Ergebnis Die beiden Teilnehmergruppen sind nun angelegt und erscheinen im Inhaltsbereich. Beitrags-ID: 109744972, V1.0, 03/2017 26

Siemens AG 2017 All rights reserved SCALANCE S615 als Gerät einfügen Die folgende Anleitung zeigt, wie Sie den ersten SCALANCE S615 (Anlage 1) integrieren. Binden Sie den zweiten SCALANCE S615 entsprechend dieser Anleitung ein. Führen Sie die folgenden Schritte aus: 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Geräte" ("Remote connections > Devices"). Klicken Sie auf "Erstellen" ("Create"), um ein neues Gerät anzulegen. 2. Die Seite "Neues Gerät" ("New device") wird geöffnet. Geben Sie einen eindeutigen Gerätenamen für das Gerät an, z. B. "S615_Cell1". Klicken Sie auf "Weiter" ("Next"). Beitrags-ID: 109744972, V1.0, 03/2017 27

Siemens AG 2017 All rights reserved 3. Übernehmen Sie die Default-Einstellung "OpenVPN" und klicken Sie auf "Weiter" ("Next"). 4. Aktivieren Sie die Option "Verbundene lokale Subnetze" ("Connect local subnets") und konfigurieren Sie die Parameter. Da beide SCALANCE S615 das identische interne Subnetz haben, tragen Sie immer die Netz-ID 192.168.10.0 mit der Subnetzmaske 255.255.255.0 ein. Falls die Option "Gerät ist ein Netzwerk-Gateway" ("Device is a network gateway") nicht aktiviert ist, aktivieren Sie dieses Optionskästchen. Fügen Sie das Netzwerk mit "Hinzufügen" ("Add") hinzu. Beitrags-ID: 109744972, V1.0, 03/2017 28

Siemens AG 2017 All rights reserved 5. Aktivieren Sie die Option "NAT für lokales Subnetz" ("NAT for local subnet"), um dem Gerät im entfernten Subnetz eine NAT-IP-Adresse zuzuweisen. Ein freier Bereich aus dem projektierten Adressraum für das virtuelle Netzwerk wird angezeigt. Sie können diese Einstellung übernehmen. Fügen Sie das Netzwerk mit "Hinzufügen" ("Add") hinzu. Dieser Schritt ist nur notwendig, da mehrere interne Subnetze identische IP- Adressen aufweisen. Sonst könnte auch mit den realen Adressen gearbeitet werden. Hinweis: Jeder SCALANCE S615 muss im Adressraum für das virtuelle Netzwerk einen eindeutigen und freien Bereich bekommen. Der Screenshot zeigt die Parameter für den ersten angelegten SCALANCE S615. 6. Klicken Sie auf "Weiter" ("Next"). Beitrags-ID: 109744972, V1.0, 03/2017 29

Siemens AG 2017 All rights reserved 7. Das Register "Gruppenzugehörigkeit" ("Group memberships") wird angezeigt. Aktivieren Sie die Teilnehmergruppe "Station". Klicken Sie auf "Weiter" ("Next"). 8. Das Register "Passwort" ("Password") wird angezeigt. Legen Sie das Passwort für den Zugriff fest. Das Passwort muss sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen. Dieses Passwort wird später bei der Projektierung des SCALANCE S615 wieder benötigt (siehe Kapitel 2.3.2). Klicken Sie auf "Weiter" ("Next"). Beitrags-ID: 109744972, V1.0, 03/2017 30

Siemens AG 2017 All rights reserved 9. Das Register "Geräteübersicht" ("Device") wird angezeigt. Alle Informationen zum SCALANCE S615 werden in diesem Register zusammengefasst. Klicken Sie am Ende der Zusammenfassung auf "Beenden" ("Finish"). Beitrags-ID: 109744972, V1.0, 03/2017 31

Siemens AG 2017 All rights reserved 10. Um einen SCALANCE S615 für Anlage 2 einzufügen, wiederholen Sie Schritt 1 bis 9. Verwenden Sie die IP-Adressen (siehe Tabelle 2-1), die für dieses Modul vorgesehen sind. Ergebnis Beide SCALANCE S615 sind als neue Geräte im SINEMA Remote Connect Server hinterlegt. Beitrags-ID: 109744972, V1.0, 03/2017 32

Siemens AG 2017 All rights reserved Geräte-ID ermitteln Die Geräte-ID und, wenn kein CA-Zertifikat verwendet wird, der Fingerabdruck sind Informationen, mit welchen sich der SCALANCE S615 beim Verbindungsaufbau am SINEMA Remote Connect Server authentifiziert. Da in diesem Anwendungsbeispiel das CA-Zertifikat verwendet wird, wird lediglich die Geräte-ID verwendet. 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Geräte" ("Remote connections > Devices"). Die beiden SCALANCE S615 werden angezeigt. 2. Klicken Sie in der Spalte "Aktionen" ("Actions") auf das erste Symbol, um die Geräteinformation für diesen SCALANCE zu öffnen. 3. Die "Geräteinformationen" ("Device information") werden angezeigt. Notieren Sie sich den Eintrag bei Geräte-ID oder kopieren Sie den Eintrag und speichern den Wert in einer Textdatei in Ihrem lokalen Verzeichnis. 4. Schließen Sie den Dialog mit "Dialog verlassen" ("Exit dialog"). Beitrags-ID: 109744972, V1.0, 03/2017 33

Siemens AG 2017 All rights reserved 5. Ermitteln Sie auf diesem Weg auch die Geräteinformationen für den zweiten SCALANCE S615. Beitrags-ID: 109744972, V1.0, 03/2017 34

Siemens AG 2017 All rights reserved Benutzerkonto für Servicetechniker einfügen Der Zugriff über den SINEMA Remote Connect Client wird in diesem Anwendungsbeispiel von einem Servicetechniker übernommen. Dafür benötigt der Servicetechniker einen Benutzernamen und ein Passwort. 1. Klicken Sie im Navigationsbereich auf "Benutzerkonten > Benutzer und Rollen" ("User accounts > Users and roles"). Klicken Sie auf "Erstellen" ("Create"). Die Seite "Neuer Benutzer" ("New User") wird geöffnet. 2. Geben Sie den "Benutzernamen" ("User name") ein, z. B. MobileService, und klicken Sie auf "Weiter" ("Next"). Beitrags-ID: 109744972, V1.0, 03/2017 35

Siemens AG 2017 All rights reserved 3. Das Register "Rechte" ("Rights") wird angezeigt. Sie haben folgende Möglichkeit, um dem Benutzer Rechte zu geben Rechtezuordnung über Rollenzuweisung: Wählen Sie eine bereits angelegte Rolle aus. Die zugehörigen Rechte werden dem Benutzer automatisch zugewiesen. Für zusätzliche Rechte klicken Sie auf das Kontrollkästchen. Rechtezuordnung ohne Rollenzuweisung: Wenn Sie keine Rolle gewählt haben, weisen Sie dem Benutzer die entsprechenden Rechte zu, indem Sie die Kontrollkästchen aktivieren. Aktivieren Sie an dieser Stelle die von Ihnen gewünschten Rechte. Klicken Sie auf "Weiter" ("Next"). 4. Das Register "Gruppenzugehörigkeit" ("Group memberships") wird angezeigt. Ordnen Sie den neuen Benutzer der Teilnehmergruppe "ServicePC" zu. Klicken Sie auf "Weiter" ("Next"). Beitrags-ID: 109744972, V1.0, 03/2017 36

Siemens AG 2017 All rights reserved 5. Im nächsten Schritt definieren Sie das Passwort für den neuen Benutzer. Das Passwort muss mindestens acht Zeichen lang sein ein Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten. Dieses Passwort wird später bei der Projektierung des SINEMA Remote Connect Clients wieder benötigt (siehe Kapitel 2.4). Schließen Sie die Benutzererstellung mit "Beenden" ("Finish") ab. Hinweis: Das vergebene Passwort kann der neue Benutzer zu einem späteren Zeitpunkt selbst anpassen. Ergebnis Der Benutzer "MobileService" ist angelegt und erscheint jetzt als neuer Benutzer. Beitrags-ID: 109744972, V1.0, 03/2017 37

Siemens AG 2017 All rights reserved Kommunikationsbeziehungen festlegen Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen erforderlich. Dabei kann für jede Kommunikations- Richtung eine Kommunikationsbeziehung erstellt werden. In diesem Anwendungsbeispiel geht die Kommunikation nur von der Gruppe "ServicePC" zur Gruppe "Station". Damit in der Gegenrichtung keine Kommunikation möglich ist, führen Sie folgende Schritte aus: 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Teilnehmergruppen" ("Remote connections > Participant groups"). Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. Klicken Sie bei "ServicePC" in der Spalte "Aktionen" ("Actions") auf das Pfeil- Symbol. 2. Die Seite "Zielgruppe" ("Destination groups") wird geöffnet. Aktivieren Sie "Station" und klicken Sie auf "Speichern" ("Save"). 3. Klicken Sie auf "Dialog verlassen" ("Exit dialog"). Ergebnis Die Teilnehmer der Gruppe "ServicePC" können nun mit den Teilnehmern der Gruppe "Station" kommunizieren und nicht umgekehrt. Beitrags-ID: 109744972, V1.0, 03/2017 38

Siemens AG 2017 All rights reserved 2.2.3 Zertifikat exportieren Zertifikat für SCALANCE S615 Die gesicherte OpenVPN-Verbindung dieses Anwendungsbeispiels verwendet zur Authentifizierung das CA-Zertifikat. Das CA-Zertifikat müssen Sie aus dem SINEMA Remote Connect Server exportieren, da es für die Projektierung der beiden SCALANCE S615 benötigt wird. 1. Klicken Sie im Navigationsbereich auf "Sicherheit > Zertifikate" ("Security > Certificates"). Klicken Sie bei "Aktionen" ("Actions") auf das entsprechende Symbol, um das Zertifikat zu exportieren. 2. Speichern Sie das Zertifikat in ein lokales Verzeichnis auf dem PC. Beitrags-ID: 109744972, V1.0, 03/2017 39

Siemens AG 2017 All rights reserved 2.3 Fernverbindung auf dem S615 einrichten Um einen VPN-Tunnel zwischen SCALANCE S615 und dem SINEMA Remote Connect Server erfolgreich aufzubauen, sind folgende Projektierungsschritte erforderlich: Zertifikat in das Gerät laden. VPN-Verbindung projektieren. Die Projektierungsschritte im Webbased Management sind bei beiden SCALANCE S615 identisch. Nur die IP-Parameter und die Geräte-ID unterscheiden sich. Die verwendeten Screenshots zeigen die Einstellungen für den ersten SCALANCE S615 (Anlage 1). Konfigurieren Sie den zweiten SCALANCE S615 entsprechend den Schritten für den ersten SCALANCE S615. Webbased Management öffnen Verbinden Sie den Konfigurations-PC mit einem LAN-Port des SCALANCE S615 (z. B. Port 2) und öffnen Sie das Webbased Management über die Adresse "https://192.168.10.1". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an. 2.3.1 Zertifikat laden Die gesicherte OpenVPN-Verbindung dieses Anwendungsbeispiels verwendet zur Authentifizierung das CA- Zertifikat. Das CA-Zertifikat haben Sie bereits aus SINEMA Remote Connect Server exportiert. Nun müssen Sie das CA-Zertifikat in den SCALANCE S615 laden. Mit diesem Server-Zertifikat verifiziert der SCALANCE den SINEMA Remote Connect Server bei der Initialisierung des VPN-Tunnels. 1. Klicken Sie im Navigationsbereich auf "System > Load & Save" und im Inhaltsbereich auf das Register "HTTP". Klicken Sie bei "X509Cert" auf die Schaltfläche "Load". Beitrags-ID: 109744972, V1.0, 03/2017 40

Siemens AG 2017 All rights reserved 2. Der Dialog zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum exportierten Serverzertifikat. Klicken Sie im Dialog auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK". Ergebnis Die Zertifikate sind geladen. Unter "Security > Certificates" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status "valid" besitzen. Beitrags-ID: 109744972, V1.0, 03/2017 41

Siemens AG 2017 All rights reserved 2.3.2 VPN-Verbindung projektieren Durch den Einsatz eines gültigen KEY-PLUGs wird die Auto-Konfigurations- Schnittstelle freigeschaltet und eine einfache Verbindungsprojektierung zu SINEMA Remote Connect ermöglicht. 1. Klicken Sie im Navigationsbereich auf "System > SINEMA RC". Geben Sie bei "SINEMA RC Address" die IP-Adresse des SINEMA Remote Connect Servers ein. Wählen Sie bei "Verification Type" das "CA Certificate" aus. Wählen Sie bei "CA Certificate" das geladene Serverzertifikat aus. Unter "Device-ID" tragen Sie den Wert der "Geräte-ID" ein, die der SCALANCE S615 im SINEMA Remote Connect Server erhalten hat (siehe Kapitel 2.2.1). Geben Sie bei "Device Password" das Passwort an, das Sie für den Zugriff projektiert haben (siehe Kapitel 2.2.1). Aktivieren Sie "Auto Firewall / NAT Rules" um automatisch die entsprechenden NAT und Firewallregeln anzulegen. Für SCALANCE S615 (Anlage 1): Beitrags-ID: 109744972, V1.0, 03/2017 42

Siemens AG 2017 All rights reserved Für SCALANCE S615 (Anlage 2): 2. Klicken Sie auf "Set Values". Beitrags-ID: 109744972, V1.0, 03/2017 43

Siemens AG 2017 All rights reserved 3. Aktivieren Sie das Optionskästchen "Enable SINEMA RC" und klicken Sie auf "Set Values". Beitrags-ID: 109744972, V1.0, 03/2017 44

Siemens AG 2017 All rights reserved Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA Remote Connect Server auf. Ob die Verbindung aufgebaut wurde, können Sie im WBM unter "Information > SINEMA RC" prüfen. Beitrags-ID: 109744972, V1.0, 03/2017 45

Siemens AG 2017 All rights reserved 2.4 Fernverbindung auf dem SINEMA Remote Connect Client aufbauen Wegen der Auto-Konfigurations-Schnittstelle ist keine explizite Projektierung der Fernverbindung im SINEMA Remote Connect Client erforderlich. Sie müssen nur die Benutzer-Anmeldedaten und die WAN-IP-Adresse des Servers der Software übergeben. Nachdem der Benutzer angemeldet ist, lädt der SINEMA Remote Connect Client die OpenVPN-Datei vom SINEMA Remote Connect Server herunter. Diese Datei enthält die Parameter, die für die VPN-Verbindung zum SINEMA Remote Connect Server erforderlich sind. Anschließend baut der SINEMA Remote Connect Client mit diesen Parametern die VPN-Verbindung auf. Um die Fernverbindung aufzubauen, gehen Sie wie folgt vor: 1. Öffnen Sie am PC den "SINEMA Remote Connect Client", indem Sie auf das Desktopsymbol doppelklicken. Der Client wird gestartet. 2. Geben Sie bei "SINEMA RC URL" die WAN-IP-Adresse des SINEMA Remote Connect Servers ein. Tragen Sie bei "SINEMA RC Benutzername" ("SINEMA RC user name") den Text "MobileService" ein. Tragen Sie bei "SINEMA RC Passwort" ("SINEMA RC Password") das für diesen Benutzer definierte Passwort ein. Diese Anmeldedaten entsprechen den Daten, die beim Anlegen des Benutzerkontos für den Servicetechniker im SINEMA Remote Connect Server definiert wurden (siehe Kapitel 2.2.1). Klicken Sie auf die Schaltfläche "Anmelden" ("Log on"). Beitrags-ID: 109744972, V1.0, 03/2017 46

Siemens AG 2017 All rights reserved 3. Nach der Anmeldung wird die Startseite angezeigt. Der SINEMA Remote Connect Client hat automatisch das Konfigurationsprofil des eingeloggten Benutzers vom SINEMA Remote Connect Server geladen. In der "Geräteliste" ("Device list") werden alle Geräte angezeigt, mit denen der Benutzer in einer Kommunikationsbeziehung steht. 4. Klicken Sie auf die Schaltfläche "VPN Tunnel aufbauen" ("Establish VPN tunnel"), um einen OpenVPN-Tunnel zum SINEMA Remote Connect Server zu initialisieren. Beitrags-ID: 109744972, V1.0, 03/2017 47

Siemens AG 2017 All rights reserved Ergebnis Der Client baut einen OpenVPN-Tunnel zum SINEMA Remote Connect Server auf. Ob die Verbindung aufgebaut wurde, wird unter "VPN Status" angezeigt. Sie können direkt das Webbased Management der SCALANCE S615 öffnen, indem Sie auf das "Haus"-Symbol klicken. Beitrags-ID: 109744972, V1.0, 03/2017 48

Siemens AG 2017 All rights reserved 3 Tunnelfunktion testen 3 Tunnelfunktion testen Nach Kapitel 2 ist die Inbetriebsetzung der Konfiguration abgeschlossen. Der SCALANCE S615 und der SINEMA Remote Connect Client haben je einen VPN- Tunnel zum SINEMA Remote Connect Server zur sicheren Kommunikation aufgebaut. Der SINEMA Remote Connect Server verschaltet diese entsprechend der Projektierung. Kommunikationsbeziehung Da Sie die Kommunikationsbeziehungen und Rechte festgelegt haben, hat der Servicetechniker nun die Möglichkeit, auf die Geräte hinter dem SCALANCE S615 zuzugreifen. Der Zugriff in die andere Richtung ist nicht möglich. Definition der IP-Adressen Abbildung 3-1 Ist der Tunnel zwischen SINEMA Remote Connect Server und den VPN-Client aufgebaut, bekommen die VPN-Clients für die Dauer der Tunnelverbindung eine neue IP-Adresse zugewiesen. SINEMA Remote Connect Server weist diese IP- Adresse automatisch den Teilnehmern zu. In diesem Anwendungsbeispiel sind es Adressen aus dem IP-Band 10.8.1.0. Für dieses Anwendungsbeispiel ist die IP-Zuordnung während einer Tunnelverbindung wie folgt geregelt: Servicetechniker 10.8.1.11 S615 Anlage 1 Zentrale SINEMA Remote Connect Server 10.8.1.12 172.17.0.1 172.17.0.2 S615 Anlage 2 10.8.1.13 172.17.1.1 172.17.1.2 Hinweis Durch die "1:1 NAT"-Konfiguration im SINEMA Remote Connect Server (siehe Kapitel 2.2.2) wird das interne Netzwerk (192.168.10.0) jedes SCALANCE S615 auf einen neuen und einmaligen virtuellen IP-Bereich gemappt. Fortan sind die Anlagenteile wie folgt erreichbar: Anlage 1: 172.17.0.0 Anlage 2: 172.17.1.0 Beitrags-ID: 109744972, V1.0, 03/2017 49

Siemens AG 2017 All rights reserved 3 Tunnelfunktion testen Tunnelfunktion testen Die aufgebaute Tunnelverbindung können Sie z. B. durch Öffnen der internen Webseite einer PROFINET CPU testen, die sich im LAN-Netzwerk des SCALANCE S615 befindet. Das Automatisierungsgerät in Anlage 1 ist während der Tunnel-Verbindung über die IP-Adresse 172.17.0.2 erreichbar. Beitrags-ID: 109744972, V1.0, 03/2017 50

Siemens AG 2017 All rights reserved 4 Anhang 4 Anhang 4.1 Service und Support Industry Online Support Technical Support Sie haben Fragen oder brauchen Unterstützung? Über den Industry Online Support greifen Sie rund um die Uhr auf das gesamte Service und Support Know-how sowie auf unsere Dienstleistungen zu. Der Industry Online Support ist die zentrale Adresse für Informationen zu unseren Produkten, Lösungen und Services. Produktinformationen, Handbücher, Downloads, FAQs und Anwendungsbeispiele alle Informationen sind mit wenigen Mausklicks erreichbar: https://support.industry.siemens.com/. Der Technical Support von Siemens Industry unterstützt Sie schnell und kompetent bei allen technischen Anfragen mit einer Vielzahl maßgeschneiderter Angebote von der Basisunterstützung bis hin zu individuellen Supportverträgen. Anfragen an den Technical Support stellen Sie per Web-Formular: www.siemens.de/industry/supportrequest. Serviceangebot Unser Serviceangebot umfasst u. a. folgende Services: Produkttrainings Plant Data Services Ersatzteilservices Reparaturservices Vor-Ort und Instandhaltungsservices Retrofit- und Modernisierungsservices Serviceprogramme und Verträge Ausführliche Informationen zu unserem Serviceangebot finden Sie im Servicekatalog: https://support.industry.siemens.com/cs/sc Industry Online Support App Mit der App "Siemens Industry Online Support" erhalten Sie auch unterwegs die optimale Unterstützung. Die App ist für Apple ios, Android und Windows Phone verfügbar. https://support.industry.siemens.com/cs/de/de/sc/2067 Beitrags-ID: 109744972, V1.0, 03/2017 51

Siemens AG 2017 All rights reserved 4 Anhang 4.2 Links und Literatur Tabelle 4-1 Nr. \1\ Siemens Industry Online Support https://support.industry.siemens.com Thema \2\ https://support.industry.siemens.com/cs/ww/de/view/109744972 \3\ 4.3 Änderungsdokumentation Tabelle 4-2 Version Datum Änderung V1.0 03/2017 Erste Ausgabe Beitrags-ID: 109744972, V1.0, 03/2017 52

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback