Einrichtung einer gesicherten VPN- Verbindung · Für die in diesem Dokument enthaltenen...

Einrichtung einer gesicherten VPN-Verbindung zwischen einem PC und LOGO! 8

LOGO! 8, LOGO! CMR

https://support.industry.siemens.com/cs/ww/de/view/109747067

Siemens Industry Online Support

https://support.industry.siemens.com/cs/ww/de/view/109747067

Inhaltsverzeichnis

Security: LOGO!_PC_Static Beitrags-ID: 109747067, V1.0, 06/2017 2

S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Gewährleistung und Haftung

Hinweis Die Anwendungsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bei typischen Aufgabenstellungen bieten. Sie sind für den sach-gemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Dieses Anwendungs-beispiel enthebt Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieses Anwendungsbeispiels erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesem Anwendungsbeispiel jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Anwendungsbeispiel und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.

Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Anwendungsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadens-ersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden.

Weitergabe oder Vervielfältigung dieser Anwendungsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von der Siemens AG zugestanden.

Security-hinweise

Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.

Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts.

Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.B. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden.

Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity.

Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen.

Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter http://www.siemens.com/industrialsecurity.

http://www.siemens.com/industrialsecurity

http://www.siemens.com/industrialsecurity

Inhaltsverzeichnis


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Inhaltsverzeichnis Gewährleistung und Haftung ...................................................................................... 2

1 Aufgabenstellung und Lösung ......................................................................... 4

1.1 Aufgabe ................................................................................................ 4 1.2 Lösung .................................................................................................. 4 1.3 Merkmale der Lösung ........................................................................... 5

2 Konfiguration und Projektierung ..................................................................... 6

2.1 Voraussetzungen für den Einsatz ........................................................ 6 2.2 Umgebung vorbereiten ......................................................................... 7 2.2.1 Erforderliche Komponenten und IP-Adressenübersicht ....................... 7 2.2.2 Grundparametrierung des LOGO! CMR .............................................. 9 2.3 Fernzugriff einrichten .......................................................................... 16 2.3.1 Remote Access auf der LOGO! CMR konfigurieren .......................... 16 2.3.2 Fernverbindung auf dem Service-PC etablieren ................................ 20

3 Tunnelfunktion testen ..................................................................................... 22

4 Historie.............................................................................................................. 22

1 Aufgabenstellung und Lösung


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d


1.1 Aufgabe

Die Steuerung LOGO! ist ein intelligentes Logikmodul von Siemens für kleine Automatisierungsprojekte, z. B. in der Gebäudeautomatisierung. Die gesamte LOGO! 8 Produktfamilie ist mit Ethernet-Schnittstellen ausgerüstet und bietet damit neue Möglichkeiten der Kommunikation. Die LOGO! Module können untereinander via Ethernet kommunizieren und auch der Zugriff aus der Ferne wird durch den Ethernet-Standard ermöglicht, z. B. für Fernwartung.

Die Aufgabe besteht darin, eine sichere Verbindung zwischen einem Service-PC und dem LOGO! CMR (Communication Module Radio) über Internet und das Mobilfunknetz zu errichten.

1.2 Lösung

Gesamtübersicht

Die folgende Grafik zeigt einen Lösungsansatz, um eine sichere Verbindung zwischen einem PC und der LOGO! zu realisieren.

Abbildung 1-1

VPN-Client

LOGO! CMR mit

LOGO! BM

VPN Tunnel

Industrial Ethernet

VPN-Server

Service-PC

Internet

Router

WAN

Die Verbindung zwischen dem Service-PC und der LOGO! wird durch einen VPN-Tunnel abgesichert.

Der Service-PC und das LOGO! CMR bilden in diesem Beispiel die beiden Tunnelendpunkte für die gesicherte Verbindung. Das LOGO! CMR fungiert als VPN-Server, der PC als VPN-Client.

Der Zugang zur LOGO! CMR (VPN-Server) aus dem WAN ist über die Nutzung einer statischen WAN-IP-Adresse fest definiert.

Der WAN-Zugang auf Clientseite ist flexibel; die IP-Adresse des WAN-Zugangs ist nicht relevant.

Die Rollenverteilung beim Aufbau des VPN-Tunnels wird wie folgt festgelegt:

Tabelle 1-1

Komponente VPN-Rolle

Service-PC Initiator (VPN-Client); startet die VPN-Verbindung

LOGO! CMR Responder (VPN-Server); wartet auf VPN-Verbindung



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Logo!

Die LOGO! ist ein intelligentes Logikmodul und eignet sich ideal für die Realisierung einfacher Automatisierungsaufgaben in Industrie und Gebäudetechnik. Durch den Einsatz von Erweiterungsmodulen kann die LOGO! selbst komplexe Anlagen problemlos steuern.

Mit dem LOGO! CMR in Kombination mit den LOGO! 8 Basismodulen (BM) können Sie dezentrale Anlagen und Systeme über SMS überwachen und steuern. Sie können über eine gesicherte Mobilfunk-Verbindung auf die Web-Oberfläche des LOGO! CMR und des LOGO! BM aus der Ferne zugreifen. Mit dem Remote Access können Sie z. B. das Programm der LOGO! BM auch aus der Ferne aufspielen.

Hinweis Sie können über den VPN-Tunnel auf die LAN-Schnittstelle des LOGO! CMR und daher auch remote auf das LOGO! BM zugreifen. Wenn Sie über das LOGO! CMR mit dem LOGO! BM kommunizieren möchten, müssen Sie die lokale IP-Adresse des LOGO! CMRs als Default-Router im LOGO! BM eintragen.

Das LOGO! CMR bietet für den sicheren Fernzugriff über das Mobilfunknetz folgende Funktionen an:

OpenVPN (Version V2.3.11) für die Fernwartung

Unterstützung der OpenVPN-Server-Funktion im Pre-Shared Key-Betrieb

Implementierung von OpenVPN im Routing-Modus

Verschlüsselung der zu übertragenden Daten mit der Methode AES-128 CBC.

Authentifizierung der Verbindungspartner über den Hash-Algorithmus SHA-256

Unterstützung der DynDNS-Funktion. Es werden die DynDNS-Provider "DynDNS.org" und "NoIP.com" unterstützt.

Unterstützung der https-Funktion

1.3 Merkmale der Lösung

Kostengünstige und intuitive Fernsteuerung und Fernüberwachung des LOGO! 8 Logikmoduls via SMS und/ oder E-Mail.

Komfortable Inbetriebnahme und Diagnose über das Web-based Management.

Gesicherter Fernzugriff auf das LOGO! CMR und das angeschlossene LOGO! 8 Basismodul.

Über eine OpenVPN-Verbindung kann über das LOGO! CMR direkt auf das LOGO! Basismodul geroutet zugegriffen werden. Dadurch ist der Zugriff auf die Webseiten des LOGO! Basismoduls und ein Up- oder Download des Programms auf dem LOGO! Basismodul möglich.

International einsetzbar dank Kommunikation über GSM-, UMTS- und LTE-Netze.

Geeignet für Anwendungen in industriellen und industrienahen Bereichen.

2 Konfiguration und Projektierung


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d


2.1 Voraussetzungen für den Einsatz

SIM-Karte für das LOGO! CMR

Um die Mobilfunk-Kommunikation über die WAN-Schnittstelle des LOGO! CMR zu nutzen, benötigen Sie einen Mobilfunkvertrag mit einem geeigneten Mobilfunk-Netzbetreiber.

Wenn Sie OpenVPN über das Mobilfunknetz verwenden möchten, müssen Sie die folgenden Voraussetzungen für den Datenvertrag beachten:

Die SIM-Karte benötigt eine öffentliche, statische IP-Adresse im Mobilfunknetz. Als Alternative können Sie auch das DynDNS einsetzen.

Die SIM-Karte muss für die Mobile-Daten-Kommunikation freigeschalten sein.

Die SIM-Karte muss wenigstens für die Datendienste "OpenVPN" und "https" freigeschalten sein.

Hinweis Wenn Sie eine SIM-Karte mit einer öffentlichen und dynamischen IP-Adresse einsetzen, denken Sie daran, dass sich diese IP-Adresse ändert, sobald sich das LOGO! CMR erneut in das Mobilfunknetz einwählt. Wenn sich die IP-Adresse immer wieder ändert, müssen Sie laufend die Konfigurationsdatei für das OpenVPN anpassen (siehe Kapitel 2.3.1).

Wenn Sie eine SIM-Karte mit einer öffentlichen und dynamischen IP-Adresse verwenden, sollten Sie DynDNS einsetzen. Mit DynDNS erreichen Sie, dass sich nicht direkt auf die sich möglicherweise wechselnde öffentliche IP-Adresse verbunden wird, sondern über den DNS-Namen immer auf die aktuelle IP-Adresse aufgelöst wird.

OpenVPN-Client

Die OpenVPN-Client-Software auf dem Service-PC muss folgende Funktionen unterstützen:

OpenVPN V2.3.11 oder höher

Das Pre-Shared Key-Verfahren

Hinweis Sie finden im Internet eine Vielzahl an "OpenVPN-Client"-Softwarepakete, die Sie unentgeltlich oder gegen Bezahlung downloaden können.

Browser

Um das LOGO! CMR zu projektieren, können Sie alle gängigen Browser einsetzen. Es wird empfohlen, immer die aktuellste Browser-Version zu verwenden. Das LOGO! CMR ist für folgende Browser freigegeben:

Internet Explorer Version 10 und 11

Microsoft Edge Version 38.0

Mozilla Firefox Version 47.0

Google Chrome Version 54.0

Apple Safari V9



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Hinweis Wenn Sie von remote direkt über die IP-Adresse mit https und nicht über den VPN-Tunnel auf das LOGO! CMR zugreifen, müssen Sie einen Browser verwenden, der die Kommunikation über eine einzige Verbindung erlaubt. Empfohlen wird in diesem Fall der Mozilla Firefox.

Logo! BM

Die Parametrierung des LOGO! Grundmoduls ist nicht Bestandteil dieser Dokumentation. Es wird davon ausgegangen, dass Sie ein Programm in die LOGO! BM geladen und die IP-Adresse und den Default-Router nach Tabelle 2-1 konfiguriert haben.

Hinweis Möchten Sie neben dem LOGO! CMR auch auf das LOGO! BM über den OpenVPN-Tunnel zugreifen, prüfen Sie, dass die lokale IP-Adresse des LOGO! CMRs im LOGO! BM als Default Router eingetragen ist. Sonst ist keine Kommunikation über den OpenVPN-Tunnel möglich.

2.2 Umgebung vorbereiten

2.2.1 Erforderliche Komponenten und IP-Adressenübersicht

Softwarepakete

Der Service-PC benötigt eine geeignete "OpenVPN-Client"-Software. Installieren Sie diese auf Ihrem Service-PC (OpenVPN-Client).

Wenn Sie ein Programm auf LOGO! BM über Remote Access laden oder beziehen möchten, benötigen Sie zusätzlich die Engineering-Software "LOGO! Soft Comfort V8.1".

Erforderliche Geräte und Komponenten

Für den Aufbau verwenden Sie folgende Komponenten:

Ein Service-PC mit folgenden installierten Softwarepaketen:

– Optional die Software "LOGO! Soft Comfort V8.2"

– Eine "OpenVPN-Client"-Software, z. B. "OpenVPN GUI"

Ein Projektierungs-PC mit folgenden installierten Softwarepaketen:

– Einen Browser,

– Einen Texteditor, z. B. Notepad++

Eine SIM-Karte Ihres Mobilfunkbetreibers, die die geforderten Voraussetzungen erfüllt (siehe Kapitel 2.1).

Einen DSL-Zugang und einen DSL-Router.

Ein LOGO! 8 Basismodul und das Kommunikationsmodul LOGO! CMR 2020

Eine LOGO! Power 24 V / 1,3 A (oder ähnliches Modul).

Optional das LOGO! TDE Text Display, wenn das Basismodul über kein eigenes LCD-Display verfügt.

Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Hinweis Sie können statt dem DSL-Zugang auch einen anderen Internet-Zugang (z. B. UMTS) oder die LOGO! CMR 2040 verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt "Erforderliche Geräte und Komponenten" erwähnten Komponenten.

Hinweis Stecken Sie die SIM-Karte erst dann in das LOGO! CMR, nachdem Sie die Mobilfunkeinstellungen in der LOGO! CMR projektiert haben (nach Kapitel 2.2.2). Sonst kann Ihre SIM-Karte durch eine falsch hinterlegte PIN gesperrt werden.

IP-Adressen

Die Zuordnung der IP-Adressen ist für dieses Beispiel wie folgt festgelegt:

Abbildung 2-1

LOGO! CMR mit

LOGO! BMService-PC

Internet

Router

WAN

Statische

WAN-IP

192.168.0.3

Dynamische

WAN-IP

192.168.0.1

172.16.67.1

172.16.0.1

Tabelle 2-1

Komponente Port IP-Adresse Router Subnetzmaske

Service-PC LAN-Port 172.16.67.1 - 255.255.0.0

Router am VPN-Client LAN-Port 172.16.0.1 - 255.255.0.0

Router am VPN-Client WAN-Port Dynamische IP-Adresse vom Provider

- Vom Provider zugewiesen

LOGO! CMR WAN-Port Statische IP-Adresse vom Provider

- Vom Provider zugewiesen

LOGO! CMR LAN-Port 192.168.0.3 255.255.255.0

LOGO! 8 BM LAN-Port 192.168.0.1 192.168.0.3 255.255.255.0

Projektierungs-PC (nicht in der Grafik dargestellt)

LAN-Port 192.168.0.4 255.255.255.0

Aufbau der Infrastruktur

Verbinden Sie alle teilnehmenden Komponenten dieser Lösung miteinander.

Tabelle 2-2

Komponente Lokaler Port Partner Partner Port

Service-PC LAN-Port Router am VPN-Client LAN-Port

LOGO! CMR LAN-Port LOGO! BM LAN-Port



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.2.2 Grundparametrierung des LOGO! CMR

Webbased Management öffnen

Verbinden Sie sich über den Projektierungs-PC mit der Web-Oberfläche des LOGO! CMR.

Öffnen Sie das Webbased Management über die Adresse "http://192.168.0.3".

Webbased Management Login

Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, sind die Login-Daten wie folgt festgelegt:

Name: admin

Password: admin

1. Tragen Sie Name und Passwort in die entsprechenden Eingabefelder ein. Klicken Sie die Schaltfläche "Anmelden" ("Login In").

2. Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, werden Sie aufgefordert, das Passwort zu ändern. Geben Sie das neue Passwort ein. Das neue Passwort muss mindestens folgende Anforderungen erfüllen:

– Acht Zeichen lang

– Ein Sonderzeichen

– Groß- und Kleinschreibung

– Eine Zahl

Klicken Sie auf die Schaltfläche "Übernehmen" ("Apply"), um den Vorgang abzuschließen und das neue Passwort zu aktivieren.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3. Wenn Sie sich angemeldet haben, erscheint im Webbrowser die Startseite des CMR. Die Startseite gibt einen Überblick über den Betriebszustand des Geräts.

Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Melden Sie sich zukünftig mit dem geänderten Passwort an.

Mobilfunk einrichten

Für den Zugang zum Mobilfunknetz und zu den Mobilfunkdiensten sind folgende Zugangsparameter erforderlich:

PIN für den Schutz der SIM-Karte vor unbefugter Benutzung des Geräts

APN als Name des Übergangspunkts vom Mobilfunknetz zum z. B. Internet

Zugangsdaten zum APN

Diese Zugangsparameter erhalten Sie von Ihrem Mobilfunkbetreiber.

Um das Mobilfunk einzurichten, gehen Sie wie folgt vor:

1. Wechseln Sie in das Menü "WAN > Mobilfunkeinstellungen" ("WAN > Mobile wireless settings").

2. Um die Mobilfunk-Schnittstelle einsatzfähig zu machen, aktivieren Sie das Optionskästchen "Mobilfunk-Schnittstelle aktivieren" ("Enable mobile wireless interface"). Um die PIN-Nummer der SIM-Karte im CMR zu hinterlegen, tragen Sie die PIN-Nummer in das Eingabefeld ein. Wenn Sie eine SIM-Karte ohne PIN benutzen, lassen Sie das Feld ohne Eintrag.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3. Um den Datendienst im Mobilfunknetz freizugeben, aktivieren Sie das Optionskästchen "Datenverbindung über Mobilfunknetz aktivieren" ("Enable data service in the mobile wireless network").

4. Um den APN und die Zugangsdaten zum APN zu konfigurieren, müssen Sie folgende Schritte durchführen:

– Tragen Sie in das Eingabefeld den APN Ihres Mobilfunkbetreibers ein

– Wählen Sie aus der Klappliste "Authentifizierungsmethode" eine Methode aus, mit welcher der Name und das Passwort für den APN zum Kommunikationspartner übertragen werden sollen.

– Tragen Sie in das Eingabefeld den Namen und das Passwort ein, den Ihnen Ihr Mobilfunkbetreiber mitgeteilt hat. Hinweis: Einige Mobilfunkbetreiber verzichten auf die Zugangskontrolle durch einen Namen und ein Passwort. In diesem Fall lassen Sie die Eingabefelder leer.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

5. Um die PIN und die restlichen Einstellungen zu speichern, klicken Sie auf die Schaltfläche "Übernehmen" ("Apply"). Ein grüner Haken unterhalb des Eingabefeldes zeigt an, dass die PIN erfolgreich im Gerät gespeichert wurde.

Ein roter Punkt mit weißem Kreuz unterhalb des Eingabefeldes zeigt an, dass die Konfiguration nicht korrekt ist. Es wird eine entsprechende Fehlermeldung angezeigt. Es kommt keine Mobilfunkverbindung zustande.

Ergebnis Mit den richtigen Zugangsdaten bucht sich das LOGO! CMR in das Mobilfunknetz ein. Das LOGO! CMR ist über eine externe, öffentliche IP-Adresse erreichbar. Den aktuellen Betriebsstatus des Geräts und die zugewiesene IP-Adresse können Sie unter "WAN > Übersicht" ("WAN > Overview") einsehen.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Uhrzeit einstellen

Für den Aufbau einer sicheren Kommunikation ist es unerlässlich, dass auf dem LOGO! CMR stets die aktuelle Uhrzeit und Datum eingestellt ist. Ohne gültige Uhrzeit werden die verwendeten Zertifikate als ungültig interpretiert und eine sichere VPN-Kommunikation ist nicht möglich. Das LOGO! CMR unterstützt folgende Verfahren:

Automatische Uhrzeitsynchronisation, z. B. über NTP

Manuelle Zeiteinstellung

Übernahme der PC-Uhrzeit

Hinweis Bei einem Neustart der LOGO! wird die Uhrzeit zurückgesetzt. Für eine aktuelle Uhrzeit müssen Sie immer ein Uhrzeitsynchronisationsverfahren verwenden.

Wenn Sie das NTP-Verfahren nutzen, baut das CMR die Verbindung zum NTP-Server nur über die Mobilfunk-Schnittstelle und nicht über die Ethernet-Schnittstelle auf.

Um die Uhrzeitsynchronisation über das NTP-Verfahren einzurichten, gehen Sie wie folgt vor:

1. Navigieren Sie in der Navigationsleiste zu "System > Systemzeit" ("System > System Time"). Aktivieren Sie die Uhrzeitsynchronisation des CMR über das Optionskästchen. Wählen Sie das Synchronisationsverfahren "NTP" aus.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2. Tragen Sie die IP-Adresse oder DNS-Name des NTP-Servers ein und wählen Sie über die Klappliste aus, in welchen Zeitabständen die Uhrzeitsynchronisation stattfindet soll. Im Internet gibt es eine Reihe von Zeitservern, von denen die aktuelle Uhrzeit präzise bezogen werden kann. Um die Einstellungen zur lokalen Zeitzone zu übernehmen, klicken Sie auf die Schaltfläche "Übernehmen" ("Apply").

Ergebnis Die Uhrzeit wird über das NTP-Verfahren synchronisiert.

Kommunikation zwischen BM und CMR herstellen

Um eine Kommunikation zwischen dem Grundgerät und dem LOGO! CMR einzurichten, gehen Sie wie folgt vor:

1. Navigieren Sie in der Navigationsleiste zu "Überwachung > LOGO! BM" ("Monitoring > LOGO! BM"). Tragen Sie die IP-Adresse Ihres BM im Eingabefeld "IP-Adresse des LOGO! BM" ("IP address of LOGO! BM") ein (siehe Tabelle 2-1).



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2. Aktivieren Sie das Optionskästchen "Aktiv" ("Active"). Mit dieser Option ermöglichen Sie eine Verbindung zwischen CMR und BM. Um die Einstellungen zu speichern, klicken Sie auf die Schaltfläche "Übernehmen" ("Apply").

Ergebnis: Sie haben die Kommunikation zwischen den Geräten hergestellt. Sie können nun über eine OpenVPN-Verbindung und über das LOGO! CMR direkt auf das LOGO! Basismodul geroutet zugreifen.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.3 Fernzugriff einrichten

Sie können die VPN-Technologie von OpenVPN für die gesicherte Übertragung von Daten über die Mobilfunkverbindung des CMR nutzen. Zwischen CMR und dem Service-PC wird ein VPN-Tunnel aufgebaut. Dabei ist das CMR der OpenVPN-Server, der Service-PC ist der OpenVPN-Client.

Außerdem können Sie OpenVPN zur direkten Kommunikation mit dem BM verwenden, wenn das CMR beim BM als Router eingetragen ist.

2.3.1 Remote Access auf der LOGO! CMR konfigurieren

Mobilfunkverbindung prüfen

Prüfen Sie unter "WAN > Übersicht" ("WAN > Overview"), ob das LOGO! CMR eine Mobilfunkverbindung aufgebaut hat. Wenn keine Mobilfunkverbindung besteht, prüfen Sie die Mobilfunkeinstellungen und passen Sie die Einstellungen an.

Pre-Shared Key erzeugen

Um die Daten im VPN-Tunnel zu verschlüsseln, wird das Pre-Shared Key-Verfahren eingesetzt.

1. Navigieren Sie in der Navigationsleiste zu "Sicherheit > OpenVPN-PSK" ("Security > OpenVPN-PSK "). Um einen neuen Pre-Shared Key zu erzeugen, klicken Sie auf die Schaltfläche "Neuen Schlüssel erzeugen" ("Generate new key").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2. Eine Meldung unterhalb der Navigation zeigt an, dass der Schlüssel erfolgreich generiert wurde. Die gesicherte Kommunikation über OpenVPN wird automatisch freigeschalten. Um die Einstellungen zu speichern, klicken Sie auf die Schaltfläche "Übernehmen" ("Apply").

Standardeinstellungen speichern

Das CMR bietet die Möglichkeit, die eigenen Standardeinstellungen (OpenVPN-Server) für den OpenVPN-Client über die Datei "vpnpeer.conf" in das Dateisystem des angeschlossenen PC zu exportieren. Die Datei enthält Einstellungen, die sicherstellen, dass eine Verbindung des CMR mit dem OpenVPN-Client zustande kommt. Diese Datei kann in den OpenVPN-Client importiert werden.

Klicken Sie auf den Eintrag "Standard-Server-Konfiguration für Client speichern" ("Save standard server configuration for client"). Mit diesem Eintrag können Sie die Konfigurationsdatei des CMR im Dateisystem Ihres Projektierungs-PC speichern. Die Datei hat den Namen "vpnpeer.conf" und enthält unter anderem den vom CMR erzeugten Pre-shared Key.

Hinweis Die Konfigurationsdatei für den OpenVPN-Client ist nicht verschlüsselt. Der Pre-shared Key liegt unverschlüsselt in der Datei. Übertragen Sie die Datei nur gesichert an den Partner, z. B. mit HTTPS.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Datei anpassen

Die Handhabung der Datei "vpnpeer.conf" hängt von der Methode der Adresszuweisung des CMR ab:

Wenn Sie DynDNS nutzen, dann können Sie die Datei direkt für den OpenVPN-Client nutzen.

Wenn Sie kein DynDNS nutzen, dann müssen Sie die Adressdaten in der Datei "vpnpeer.conf" anpassen. Hierzu kann die Datei mit einem Texteditor editiert werden.

Um die Datei für die Nutzung von OpenVPN ohne DynDNS anzupassen, gehen Sie wie folgt vor:

1. Öffnen Sie mit einem Texteditor die Datei "vpnpeer.conf", z. B. Notepad++.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2. Wenn sich das CMR erfolgreich im Mobilfunknetz angemeldet hat, weist der Provider der SIM-Karte eine öffentliche IP-Adresse zu. Die zugewiesene IP-Adresse können Sie im Webbased-Management des CMR unter "WAN > Übersicht" ("WAN > Overview") einsehen. Ersetzen Sie den DynDNS-Eintrag in Zeile 4 durch diese öffentliche IP-Adresse.

3. Speichern Sie die editierte Datei "vpnpeer.conf" ab.

Hinweis Wenn Ihre "OpenVPN-Client"-Software eine andere Dateiendung braucht, z. B."vpnpeer.ovpn", müssen Sie die Datei "vpnpeer.conf" umbenennen. Gehen Sie dafür im Menü auf "Speichern unter…" ("Save as…") und speichern Sie die editierte Datei in der neuen Form ab, z. B. "vpnpeer.opvn".



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.3.2 Fernverbindung auf dem Service-PC etablieren

Der Fernzugriff zwischen Service-PC und LOGO! CMR wird über eine OpenVPN-Verbindung abgesichert. Initiator der Verbindung ist eine "OpenVPN-Client"-Software, die auf dem Service-PC installiert ist.

Konfiguration-Datei übertragen

Um den OpenVPN-Client auf dem Service-PC zu konfigurieren, verwenden Sie die Konfigurations-Datei "vpnpeer ". Diese Konfigurationsdatei müssen Sie von dem Projektierungs-PC auf den Service-PC übertragen.

Konfigurations-Datei importieren

Hinweis Die Screenshots aus diesem Abschnitt sind mit der "OpenVPN-Client"-Software "OpenVPN GUI" erstellt.

1. Öffnen Sie die "OpenVPN-Client"-Software auf Ihrem Service-PC.

2. Importieren Sie die Konfigurations-Datei "vpnpeer" in Ihre "OpenVPN-Client"-Software. Wenn Sie Hilfe bei der Import-Funktion benötigen, konsultieren Sie die Hilfe der Software.

3. Etablieren Sie den VPN-Tunnel zu LOGO! CMR mit der entsprechenden Funktion in Ihrer "OpenVPN"-Client-Software, z. B. über eine Schaltfläche "Verbinden" ("Connect").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Ergebnis Der OpenVPN-Client baut einen VPN-Tunnel zur LOGO! CMR auf. Den Status der VPN-Verbindung können Sie in der Regel in der "OpenVPN-Client"-Software einsehen. Alternativ können Sie den Status der VPN-Verbindung im Webbased-Management des CMR unter "Security > Übersicht" ("Security > Overview") einsehen.

3 Tunnelfunktion testen


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3 Tunnelfunktion testen Nach Kapitel 2 ist die Inbetriebsetzung der Konfiguration abgeschlossen und der Service-PC und das LOGO! CMR haben einen VPN-Tunnel zur sicheren Kommunikation aufgebaut. Sie haben nun folgende Möglichkeiten über den VPN-Tunnel gesichert mit der LOGO! zu kommunizieren:

Sie können auf das CMR zugreifen und z. B. das CMR konfigurieren und/ oder die I/Os bedienen. Sie erreichen das LOGO! CMR entweder über die interne OpenVPN-IP-Adresse oder über die eingestellte LAN-IP-Adresse (192.168.0.3).

Sie können über den VPN-Tunnel auf die LAN-Schnittstelle des LOGO! CMR zugreifen und daher auch remote auf das LOGO! BM zugreifen. Möchten Sie über das LOGO! CMR mit dem LOGO! BM kommunizieren, ist es notwendig die lokale IP-Adresse des LOGO! CMRs als Default Router im LOGO! BM einzutragen. Wenn Sie die LOGO! CMR als Default-Router eingetragen haben, können Sie auf die lokale IP-Adresse des Basismoduls zugreifen (192.168.0.1).

In der Software "Logo! Soft Comfort", die auf dem Service-PC mit aktiver OpenVPN Verbindung installiert ist, müssen Sie ebenfalls nur die lokale IP-Adresse des LOGO! BM mit dem LOGO! CMR als Default Router eintragen. Dann können Sie remote das Programm auf das LOGO! BM downloaden oder remote uploaden.

4 Historie

Tabelle 4-1

Version Datum Änderung

V1.0 06/2017 Erste Ausgabe

Einrichtung einer gesicherten VPN- Verbindung · Für die in diesem Dokument enthaltenen...

Documents

Transcript of Einrichtung einer gesicherten VPN- Verbindung · Für die in diesem Dokument enthaltenen...