Konfigurationsbeispiele 2 SIMATIC NET Inbetriebnahme 3 ... · SCALANCE M875 ist ein 3G-/UMTS-Router...

� �SCALANCE M875

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

SIMATIC NET

Industrial Remote Communication Remote Networks SCALANCE M875

Betriebsanleitung

12/2012 C79000-G8900-C258-02

Vorwort

Gerätebeschreibung 1

Konfigurationsbeispiele 2

Montage, Anschluss, Inbetriebnahme

3

Projektierung 4

Wartung und Diagnose 5

Technische Daten 6

Zulassungen 7

Zusätzliche interne Routen A

Training, Service & Support B

Siemens AG Industry Sector Postfach 48 48 90026 NÜRNBERG DEUTSCHLAND

Dokumentbestellnummer: C79000-G8900-C258 Ⓟ 12/2012 Änderungen vorbehalten

Copyright © Siemens AG 2011 - 2012.Alle Rechte vorbehalten

Rechtliche Hinweise Warnhinweiskonzept

Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.

GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein.

Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden.

Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes:

WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden.

Marken Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann.

Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten.

SCALANCE M875 Betriebsanleitung, 12/2012, C79000-G8900-C258-02 3

Vorwort

Zweck dieser Dokumentation Dieses Handbuch begleitet Sie bei Projektierung, Montage, Inbetriebnahme und Betrieb des 3G-/UMTS-Routers SCALANCE M875.

Gerätebezeichnung Nachfolgend wird SCALANCE M875 auch mit seiner Kurzform "M875" bezeichnet.

Gültigkeitsbereich der Dokumentation Das vorliegende Handbuch ist gültig für das Produkt:

SCALANCE M875 Firmware-Version 2.112 Hardware-Erzeugnisstand 1.0

Bestellnummer: 6GK5 875-0AA10-1AA2 6GK5 875-0AA10-1CA2 (Variante für Japan)

Neu in dieser Ausgabe ● Optimierung einiger Funktionen mit der oben genannten Firmware-Version

● Redaktionelle Überarbeitung

Abgelöste Dokumentation Das vorliegende Handbuch ersetzt die Handbuch-Ausgabe 01/2012.

Aktuelle Handbuchausgabe im Internet Die aktuelle Ausgabe dieses Handbuchs finden Sie auch auf den Internet-Seiten des Siemens Automation Customer Support unter der folgenden Beitrags-ID:

61505654 (http://support.automation.siemens.com/WW/view/de/61505654)

http://support.automation.siemens.com/WW/view/de/61505654�

Vorwort

SCALANCE M875 4 Betriebsanleitung, 12/2012, C79000-G8900-C258-02

Verwendungszweck des Geräts SCALANCE M875 ist ein 3G-/UMTS-Router mit HSPA und VPN-Funktion für industrielle Anwendungen.

WARNUNG Beeinträchtigung von medizinischen Geräten und Datenträgern

Das Gerät enthält einen Funksender, der gegebenenfalls medizinische elektronische Geräte wie Hörgeräte oder Herzschrittmacher in ihrer Funktion beeinträchtigen kann. Verwenden Sie das Gerät nicht in Bereichen, in denen der Betrieb von Funkeinrichtungen untersagt ist. Ihr Arzt oder der Hersteller solcher Geräte können Sie beraten.

Damit keine Datenträger entmagnetisiert werden, lagern Sie keine Disketten, Kreditkarten oder andere magnetische Datenträger in der Nähe des Gerätes.

Verbindungskosten

Hinweis

Beachten Sie, dass sowohl beim Aufbau einer Verbindung als auch bei dem Versuch, eine Verbindung aufzubauen, sowie zum Erhalt einer Verbindung kostenpflichtige Telegramme ausgetauscht werden.

Firmware mit Open Source GPL/LGPL Die Firmware von M875 enthält Open-Source-Software unter GPL-/ LGPL-Bedingungen. Gemäß des Abschnitts 3b von GPL und des Abschnitts 6b von LGPL bieten wir Ihnen den Sourcecode an. Schreiben Sie an:

[email protected] [email protected]

Geben Sie als Betrefftext Ihrer E-Mail "Open Source M875" an, um Ihre Nachricht leicht herauszufiltern.

Firmware mit OpenBSD Die Firmware von M875 enthält Teile aus der OpenBSD-Software. Die Verwendung von OpenBSD-Software verpflichtet zum Abdruck des folgenden Copyright-Vermerks:

* Copyright (c) 1982, 1986, 1990, 1991, 1993

* The Regents of the University of California. All rights reserved.

*

* Redistribution and use in source and binary forms, with or without

* modification, are permitted provided that the following conditions

* are met:

Vorwort


* 1. Redistributions of source code must retain the above copyright

* notice, this list of conditions and the following disclaimer.

* 2. Redistributions in binary form must reproduce the above

* copyright notice, this list of conditions and the following

* disclaimer in the * documentation and/or other materials

* provided with the distribution.

* 3. All advertising materials mentioning features or use of this

* software must display the following acknowledgement:

* This product includes software developed by the University of

* California, Berkeley and its contributors.

* 4. Neither the name of the University nor the names of its

* contributors may be used to endorse or promote products derived

* from this software without specific prior written permission.

*

* THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS "AS IS"

* AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,

* THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A

* PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE

* REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT,

* INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES

* (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS

* OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

* INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,

* WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING

* NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE

* USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY

* OF SUCH DAMAGE.

Security-Hinweise

Hinweis

Siemens bietet für sein Automatisierungs- und Antriebsproduktportfolio Security-Mechanismen, um einen sicheren Betrieb der Anlage/Maschine zu unterstützen. Unsere Produkte werden auch unter dem Gesichtspunkt Industrial Security ständig weiterentwickelt. Wir empfehlen Ihnen daher, dass Sie sich regelmäßig über Aktualisierungen und Updates unserer Produkte informieren und nur die jeweils aktuellen Versionen bei sich einsetzen. Informationen dazu finden Sie unter: (http://support.automation.siemens.com)

Hier können Sie sich für einen produktspezifischen Newsletter registrieren.

Für den sicheren Betrieb einer Anlage/Maschine ist es darüber hinaus notwendig, die Automatisierungskomponenten in ein ganzheitliches Industrial Security-Konzept der gesamten Anlage/Maschine zu integrieren, das dem aktuellen Stand der Technik entspricht. Hinweise hierzu finden Sie unter: (http://www.siemens.com/industrialsecurity)

Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen.

http://support.automation.siemens.com/�

http://www.siemens.com/industrialsecurity�

Vorwort


Auffinden der Siemens-Literatur ● Die Bestellnummern für die hier relevanten Siemens-Produkte finden Sie in den

folgenden Katalogen:

– SIMATIC NET Industrielle Kommunikation / Industrielle Identifikation, Katalog IK PI

– SIMATIC Produkte für Totally Integrated Automation und Micro Automation, Katalog ST 70

Die Kataloge sowie zusätzliche Informationen können Sie bei Ihrer Siemens-Vertretung anfordern.

● Die SIMATIC NET-Handbücher finden Sie auf den Internet-Seiten des Siemens Automation Customer Support:

Link zum Customer Support (http://support.automation.siemens.com/WW/view/de)

Geben Sie dort die Beitrags-ID des jeweiligen Handbuchs als Suchbegriff ein. Die ID ist unter einigen Literaturstellen in Klammern angegeben.

Alternativ finden Sie die SIMATIC NET-Dokumentation unter den Seiten des Produkt-Support:


Navigieren Sie zur gewünschten Produktgruppe und nehmen Sie folgende Einstellungen vor:

→ Beitragsliste → Beitragstyp "Handbücher / Betriebsanleitungen"

Die Dokumente der hier relevanten SIMATIC NET-Produkte finden Sie auch auf dem Datenträger, der dem Produkt beiliegt:

– Produkt-CD / Produkt-DVD oder

– SIMATIC NET Manual Collection

http://support.automation.siemens.com/WW/view/de�



Inhaltsverzeichnis

Vorwort ...................................................................................................................................................... 3

1 Gerätebeschreibung ................................................................................................................................ 11

1.1 Anbindung über Mobilfunk und Internet.......................................................................................11

1.2 Funktionen ...................................................................................................................................12

1.3 Geräteansicht...............................................................................................................................14

1.4 Schnittstellen................................................................................................................................15

1.5 LEDs für die Betriebsanzeige ......................................................................................................15

1.6 Service-Taster SET......................................................................................................................16

1.7 Voraussetzungen für den Betrieb ................................................................................................17

2 Konfigurationsbeispiele............................................................................................................................ 19

2.1 Internetzugang über das Mobilfunknetz.......................................................................................19

2.2 TELECONTROL über das Mobilfunknetz ....................................................................................20

2.3 Direkte Kommunikation von Stationen über Mobilfunk................................................................21

2.4 Fernwartungslösungen ................................................................................................................22 2.4.1 Mobiler Zugang zu Anlagen und Anlagenteilen...........................................................................23 2.4.2 Anlagenzugang über eine Fernwartungszentrale........................................................................24

3 Montage, Anschluss, Inbetriebnahme...................................................................................................... 27

3.1 Sicherheitshinweise .....................................................................................................................27

3.2 Anschließen .................................................................................................................................28

3.3 Schritte zur Inbetriebnahme.........................................................................................................32

3.4 SIM-Karte einlegen ......................................................................................................................33

3.5 Montieren .....................................................................................................................................34

4 Projektierung ........................................................................................................................................... 35

4.1 Einstellungen beim Admin-PC .....................................................................................................35 4.1.1 TCP/IP-Konfiguration unter Windows XP ....................................................................................36 4.1.2 Erlaubte Zeichen..........................................................................................................................37 4.1.3 Konfigurationsverbindung herstellen ...........................................................................................38 4.1.4 Grundsätzliches zur Konfiguration...............................................................................................40 4.1.5 Spracheinstellung ........................................................................................................................41

4.2 Startseite der Weboberfläche - Überblick ....................................................................................42

4.3 System .........................................................................................................................................46 4.3.1 Systemzeit....................................................................................................................................46 4.3.2 Logbuch .......................................................................................................................................49 4.3.3 Geräteidentifikation ......................................................................................................................50

Inhaltsverzeichnis


4.4 Netzwerk Intern ........................................................................................................................... 51 4.4.1 Lokale Schnittstelle ..................................................................................................................... 51 4.4.2 Lokale IP-Adressen..................................................................................................................... 51 4.4.3 DHCP-Server am lokalen Netz ................................................................................................... 53 4.4.4 Lokaler Host-Name ..................................................................................................................... 56 4.4.5 DNS-Server am lokalen Netz...................................................................................................... 57 4.4.6 Zusätzliche interne Routen ......................................................................................................... 59

4.5 Netzwerk Extern.......................................................................................................................... 60 4.5.1 Externe Schnittstelle ................................................................................................................... 60 4.5.2 UMTS/EDGE - Zugangsparameter ............................................................................................. 60 4.5.3 Installationsmodus - Antennen ausrichten .................................................................................. 66 4.5.4 Volumenüberwachung ................................................................................................................ 67 4.5.5 Prüfen der Verbindung - Verbindungsüberwachung................................................................... 70 4.5.6 Host-Name durch DynDNS......................................................................................................... 73 4.5.7 SRS - Siemens Remote Service................................................................................................. 75 4.5.8 NAT - Network Address Translation ........................................................................................... 77

4.6 Sicherheit .................................................................................................................................... 78 4.6.1 Firewall-Regeln ........................................................................................................................... 78 4.6.2 Port-Weiterleitung ....................................................................................................................... 83 4.6.3 Erweiterte Sicherheitsfunktionen ................................................................................................ 85 4.6.4 Firewall-Logbuch......................................................................................................................... 86

4.7 IPsec-VPN - Virtual Private Network........................................................................................... 87 4.7.1 Erläuterungen zu VPN-Verbindungen......................................................................................... 87 4.7.2 Verbindungen - Roadwarrior-Modus........................................................................................... 91 4.7.2.1 Verbindungen anlegen................................................................................................................ 91 4.7.2.2 Verbindungen bearbeiten............................................................................................................ 93 4.7.2.3 IKE-Einstellungen........................................................................................................................ 94 4.7.3 Verbindungen - Standard-Modus................................................................................................ 98 4.7.3.1 Verbindungen anlegen................................................................................................................ 98 4.7.3.2 Verbindungen bearbeiten.......................................................................................................... 100 4.7.3.3 IKE-Einstellungen...................................................................................................................... 103 4.7.3.4 Firewall-Regeln für VPN-Tunnel ............................................................................................... 107 4.7.4 Zertifikate und Schlüssel verwalten .......................................................................................... 109 4.7.5 Überwachung der VPN-Verbindungen...................................................................................... 110 4.7.6 Erweiterte Einstellungen ........................................................................................................... 113 4.7.7 Status ........................................................................................................................................ 115

4.8 Fernzugänge ............................................................................................................................. 116 4.8.1 Passwort ändern ....................................................................................................................... 116 4.8.2 HTTPS....................................................................................................................................... 118 4.8.3 CSD........................................................................................................................................... 121

4.9 SMS........................................................................................................................................... 121 4.9.1 Service Center (SMSC)............................................................................................................. 121 4.9.2 Alarm-SMS................................................................................................................................ 121 4.9.3 SMS over IP - SMS-Versand aus dem lokalen Netz ................................................................ 123

4.10 SNMP........................................................................................................................................ 126 4.10.1 Einstellungen............................................................................................................................. 126 4.10.2 SNMP Traps.............................................................................................................................. 130

Inhaltsverzeichnis


5 Wartung und Diagnose .......................................................................................................................... 135

5.1 Aufruf der Wartungs-Webseiten.................................................................................................135

5.2 Update - Aktualisieren der Firmware .........................................................................................135

5.3 Konfigurationsprofile ..................................................................................................................137

5.4 Neustart......................................................................................................................................140

5.5 Remote Logging.........................................................................................................................142

5.6 Firmware-Informationen.............................................................................................................144

5.7 Hardware-Informationen ............................................................................................................145

5.8 Snapshot ....................................................................................................................................145

5.9 Werkseinstellungen....................................................................................................................146

6 Technische Daten.................................................................................................................................. 149

7 Zulassungen .......................................................................................................................................... 153

A Zusätzliche interne Routen .................................................................................................................... 157

B Training, Service & Support ................................................................................................................... 159

Glossar .................................................................................................................................................. 161

Index...................................................................................................................................................... 171

Inhaltsverzeichnis



Gerätebeschreibung 11.1 Anbindung über Mobilfunk und Internet

Bild 1-1 Beispiel zur Anbindung einer Station an die Zentrale über Internet und Mobilfunk

Drahtlose Verbindung über das Mobilfunknetz Mit dem M875 können Sie einen drahtlosen Zugang zum Internet oder zu einem privaten Netzwerk herstellen. Dies ist an jedem Ort möglich, an dem ein Mobilfunknetz zur Verfügung steht, das paketorientierte Datendienste bereitstellt.

Unter UMTS sind das die Datendienste HSPA Data Service oder UMTS Data Service.

Unter GSM sind das die Datendienste EGPRS oder GPRS.

Sie benötigen für die drahtlose Verbindung eine SIM-Karte eines Mobilfunkbetreibers mit den entsprechend freigeschalteten Datendiensten.

So verbindet das M875 lokal angeschlossene Applikationen oder ganze Netzwerke mit dem Internet. Auch direkte Verbindungen über ein Intranet, an dem externe Gegenstellen angeschlossen sind, sind mit dem M875 möglich.

Privater und öffentlicher VPN Das M875 kann über das öffentliche Mobilfunknetz ein Virtual Private Network (VPN) zwischen einem oder auch mehreren lokalen Netzen und einem oder auch mehreren entfernten Netzen aufbauen. Diese Verbindungen sind durch Internet Protocol Security (IPsec) gegen Zugriffe Dritter geschützt.

Gerätebeschreibung 1.2 Funktionen


Dabei ist die Kommunikation sowohl über einen öffentlichen als auch über einen privaten VPN-Tunnel möglich.

Detailliert beschriebene Beispiele zu den Einsatzmöglichkeiten des M875 finden Sie im nachfolgenden Kapitel Konfigurationsbeispiele (Seite 19).

Das Gerät erfüllt somit verschiedene Funktionen:

● Router zum Verbinden von Netzwerken über Mobilfunk

● Funkmodem für die flexible Datenkommunikation per UMTS, HSPA, EGPRS oder GPRS

● VPN-Router für sichere Datenübertragung in öffentlichen Netzen mit IPsec, 3DES-Datenverschlüsselung und AES-Verschlüsselung.

● Firewall zum Schutz vor unberechtigtem Zugriff. Der dynamische Paketfilter untersucht Telegramme anhand der Ursprungs- und Zieladresse (Stateful Inspection Firewall) und blockiert unerwünschten Datenverkehr (Anti-Spoofing).

1.2 Funktionen

Projektierung Die Projektierung des Geräts erfolgt über eine Weboberfläche, die sich einfach mit einem Webbrowser anzeigen lässt.

Sie können über folgende Wege auf die Weboberfläche zugreifen:

● Über die lokale Schnittstelle X2

● Über die Mobilfunkverbindungen HSPA, UMTS, EGPRS und GPRS

Voraussetzung hierfür sind der Zugang über DynDNS und eine öffentlich zugängliche IP-Adresse.

Bild 1-2 Konfigurationsverbindungen

Gerätebeschreibung 1.2 Funktionen


VPN-Funktionen Für den Aufbau eines VPN stehen folgende Funktionen zur Verfügung:

● Privater und öffentlicher VPN

● IPsec als VPN-Tunnelprotokoll

● IPsec-3DES-Verschüsselung mit 168 Bit

● IPsec-AES-Verschlüsselung mit 128, 192 und 256 Bit

● Paketauthentifizierung MD5 und SHA-1

● Internet Key Exchange (IKE) mit Main Mode und Aggressive Mode

● Authentifizierung per Pre-shared Key (PSK), X.509v3-Zertifikate und CA

● Dead Peer Detection (DPD)

Zusätzlich unterstützt das M875 den SOFTNET Security Client (SSC) ab Version 3.0 unter Windows XP und Windows 7.

Firewall-Funktionen Das M875 bietet folgende Firewall-Funktionen, um das lokale Netz und sich selbst gegen Angriffe von außen zu schützen:

● Stateful Inspection Firewall

● Anti-Spoofing

● Port-Weiterleitung

Weitere Funktionen Das M875 unterstützt folgende weitere Funktionen:

● DNS-Caching

● DHCP-Server

● NAT, NAT-T, 1:1-NAT

● NTP

● Remote Logging

● Schalteingang zum Auslösen von Alarm-SMS

● Schaltausgang zur Signalisierung bestehender VPN-Verbindungen

● Weboberfläche zur Konfiguration

● Versand von frei projektierbaren Alarm-SMS

● SMS-Versand aus dem lokalen Netz

● DynDNS-Client

● Fernzugang per HTTPS

● SNMP und SNMP-Traps

● Volumenüberwachung

Gerätebeschreibung 1.3 Geräteansicht


● Installationsmodus zum Ausrichten der Antennen

● Angaben zur Geräteidentifikation

1.3 Geräteansicht

① Leuchtdioden DC5V, VPN, IN, OUT

② 2-Port-Switch mit den Ports "X2P1" und "X2P2" zum Anschluss ans lokale Netz, RJ45-Buchsen mit je 2 LEDs

③ Anschlussklemmen für Schalteingang und Schaltausgang (Geräteunterseite)

④ X1, USB-Anschluss (zurzeit ohne Funktion)

⑤ Antennenbuchse "A2", Typ SMA (nur für die ergänzende Antenne)

⑥ Leuchtdioden S, Q, C

⑦ Antennenbuchse "A1", Typ SMA (für die erste angeschlossene Antenne)

⑧ Service-Taster SET

⑨ Anschlussklemmen für die Versorgungsspannung (Geräteoberseite)

Gerätebeschreibung 1.4 Schnittstellen


1.4 Schnittstellen

Anschluss an das lokale Netz Für den LAN-Anschluss an das lokale Netz besitzt das M875 besitzt einen Switch mit den zwei Ports "X2P1" und "X2P2". Die beiden Ports können mit unterschiedlichen IP-Adressen projektiert werden.

Schließen Sie Ihr lokales Netzwerk über Port X2P1 oder X2P2 an.

Hinweis Einsatz des M875 nicht als Router zwischen internen Subnetzen

Setzen Sie das M875 nicht als Router zwischen internen Subnetzen ein.

Anschluss an das entfernte Netz Für die Funkverbindung in das entfernte Netz besitzt das M875 besitzt zwei SMA-Buchsen. Wenn Sie nur eine einzige Antenne anschließen, dann benutzen Sie die obere SMA-Buchse "A1" des M875.

1.5 LEDs für die Betriebsanzeige Die Leuchtdioden (LEDs) auf dem M875 geben Auskunft über den Betriebszustand des Geräts.

Bedeutung der LEDs auf der linken Geräteseite LED Zustand Bedeutung

Langsam blinkend PIN-Übergabe Schnell blinkend PIN-Fehler / SIM-Fehler

S (Status)

An PIN-Übergabe erfolgreich Aus Nicht im GSM-Netz eingebucht Kurz aufblinkend Schlechte Signalstärke (CSQ < 6) Langsam blinkend Mittlere Signalstärke (CSQ= 6...10) An, mit kurzen Unterbrechungen Gute Signalstärke (CSQ 11...18)

Q (Quality)

An Sehr gute Signalstärke (CSQ > 18) Aus Keine Verbindung Langsam blinkend EGPRS/GPRS-Verbindung aktiv

C (Connect)

An HSPA/UMTS-Verbindung aktiv Schnelles Lauflicht Geräteanlauf Langsames Lauflicht Überspielen neuer Firmware

S, Q, C gleichzeitig

Synchrones, schnelles Blinken Fehler

Gerätebeschreibung 1.6 Service-Taster SET


Bedeutung der LEDs auf der rechten Geräteseite LED Zustand Bedeutung

An Gerät eingeschaltet, Betriebsspannung liegt an. DCV5 Aus Gerät ausgeschaltet, Betriebsspannung fehlt. An Mindestens eine VPN-Verbindung aufgebaut VPN Aus Keine VPN-Verbindung aufgebaut An Schalteingang aktiv IN Aus Schalteingang nicht aktiv An Schaltausgang aktiv OUT Aus Schaltausgang nicht aktiv

Bedeutung der beiden LEDs an den Anschlüssen X2P1 bzw. X2P2 LED Zustand Bedeutung

RX/TX Blinkend Datentransfer über die Ethernet-Verbindung

Grüne LED (oben)

Aus Kein Datentransfer über die Ethernet-Verbindung

Link-Status An Bestehende Ethernet-Verbindung zur lokalen

Applikation bzw. zum lokalen Netz

Gelbe LED (unten)

Aus Keine Ethernet-Verbindung zur lokalen Applikation bzw. zum lokalen Netz

1.6 Service-Taster SET In dem mit SET beschrifteten kleinen Loch befindet sich ein Taster, der zum Neustart des Geräts dient. Bei Neustart wird das Gerät auf seine Werkseinstellungen zurückgesetzt.

Sie können den Taster mit einem spitzen Gegenstand, z. B. eine aufgebogene Büroklammer, drücken.

Weitere Informationen zum Zurücksetzen des Geräts finden Sie im Kapitel Werkseinstellungen (Seite 146).

Gerätebeschreibung 1.7 Voraussetzungen für den Betrieb


1.7 Voraussetzungen für den Betrieb

Antenne Für den Betrieb des M875 benötigen Sie eine oder zwei Antennen, die an die Frequenzbänder des von Ihnen gewählten Mobilfunkbetreibers angepasst sind.

● Bei GPRS-Übertragung : 850 MHz, 900 MHz, 1800 MHz oder 1900 MHz

● Bei UMTS-Übertragung: 850 MHz, 1700 MHz, 1900 MHz oder 2100 MHz.

Verwenden Sie nur Antennen aus dem Zubehörprogramm für das SCALANCE M875.

Weitere Informationen finden Sie im Kapitel Anschließen (Seite 28).

Spannungsversorgung Sie benötigen eine Spannungsversorgung mit einer Spannung zwischen DC 12 V und DC 30 V, die einen ausreichenden Strom liefern kann.

Weitere Informationen finden Sie im Kapitel Anschließen (Seite 28).

SIM-Karte Sie benötigen eine SIM-Karte Ihres Mobilfunkbetreibers mit der zugehörigen PIN (Personel Identification Number).

● Freischaltung für paketorientierte Datendienste

Die SIM-Karte muss von Ihrem Mobilfunkbetreiber für die paketorientierten Datendienste HSPA (HSUPA und HSDPA), UMTS, EGPRS und GPRS freigeschaltet sein.

● Zugangsdaten zum Mobilfunknetz

Folgende Zugangsdaten müssen vorliegen:

– Access Point Name (APN)

– Benutzername

– Passwort

Weitere Informationen finden Sie im Kapitel UMTS/EDGE - Zugangsparameter (Seite 60).

Gerätebeschreibung 1.7 Voraussetzungen für den Betrieb



Konfigurationsbeispiele 2

Der UMTS-Router SCALANCE M875 bietet vielfältige Anwendungsmöglichkeiten in verschiedenen Einsatzgebieten. In diesem Kapitel finden Sie Konfigurationsbeispiele zu:

● Internetzugang über das Mobilfunknetz

● Direkte Kommunikation von Stationen zu Station über Mobilfunk mit VPN

● TELECONTROL über das Mobilfunknetz

● Mobiler Zugang auf Anlagen

● Anlagenzugang über eine Fernwartungszentrale

Für alle Beispiele gilt, dass Sie sich zunächst mit den Sicherheitshinweisen vertraut machen und das Gerät in Betrieb nehmen, wie im Kapitel Montage, Anschluss, Inbetriebnahme (Seite 27) beschrieben.

2.1 Internetzugang über das Mobilfunknetz

Mit dem M875 können Sie über das Mobilfunknetz auf das Internet zugreifen. Dadurch stehen Ihnen auch die Internetdienste, z. B. E-Mail senden und empfangen oder die Informationen des World Wide Web, zur Verfügung.

Vorgehensweise Um den Internetzugang über das Mobilfunknetz einzurichten, gehen Sie folgendermaßen vor:

1. Stellen Sie eine Konfigurationsverbindung her zwischen dem M875 und dem angeschlossenen PC. Siehe Kapitel Einstellungen beim Admin-PC (Seite 35).

Konfigurationsbeispiele 2.2 TELECONTROL über das Mobilfunknetz


2. Stellen Sie eine Verbindung zum Mobilfunknetz her. Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60).

3. Um den Zugriff auf die gewünschten Internetdienste zu ermöglichen, richten Sie Firewall-Regeln ein. Siehe Kapitel Sicherheit (Seite 78).

4. Richten Sie Ihre Applikation für die Internetdienste ein, z. B. für das Senden/Empfangen von E-Mails.

2.2 TELECONTROL über das Mobilfunknetz

Sie können das M875 dazu nutzen, Prozessdaten von entfernten Stationen über das Mobilfunknetz zur Zentrale zu übertragen. Die VPN-Funktion bietet den notwendigen Schutz bei der Datenübertragung im öffentlichen Mobilfunknetz.

Konfigurationsbeispiele 2.3 Direkte Kommunikation von Stationen über Mobilfunk


Voraussetzungen Sie benötigen auf beiden Seiten einen VPN-fähigen Internetzugang, z. B. über das M875 und ein SCALANCE S6xx.

Außerdem benötigen Sie für den Aufbau eines VPN-Tunnels von Ihrem Mobilfunkbetreiber zusätzliche Dienste, welche die direkte Kommunikation zwischen Mobilfunkroutern unterstützen. Erforderlich sind eine feste IP-Adresse für die Mobilfunkgeräte und/oder ein Zugang zum Internet über einen privaten APN.

Vorgehensweise Um einen oder mehrere VPN-Tunnel zur Datenübertragung einzurichten, gehen Sie folgendermaßen vor:

1. Stellen Sie eine Konfigurationsverbindung her zwischen dem M875 und dem angeschlossenen Admin-PC. Siehe Kapitel Einstellungen beim Admin-PC (Seite 35).


3. Richten Sie die lokalen SINAUT-Applikationen für die Datenkommunikation ein.

4. Schließen Sie lokale SINAUT-Applikationen, z. B. TIM 4R-IE, an die lokale Schnittstelle des M875 an. Siehe Anschließen (Seite 28) und Kapitel Netzwerk Intern (Seite 51).

5. Stellen Sie eine VPN-Verbindung her. Siehe Kapitel Verbindungen - Standard-Modus (Seite 98). Voraussetzung: Feste IP-Adressen und privater APN.

2.3 Direkte Kommunikation von Stationen über Mobilfunk

Konfigurationsbeispiele 2.4 Fernwartungslösungen


Sie können auch Steuerungen an das M875 anschließen und über das Mobilfunknetz ereignisgesteuerte Daten übertragen, z. B. zwischen einem Windpark und einem Umspannwerk. Die Kommunikation erfolgt dabei direkt zwischen den Mobilfunkgeräten, nicht über einen Server. Die VPN-Funktion bietet den notwendigen Schutz bei der Datenübertragung im öffentlichen Mobilfunknetz.

Voraussetzungen Sie benötigen für den Aufbau eines VPN-Tunnels von Ihrem Mobilfunkbetreiber zusätzliche Dienste, welche die direkte Kommunikation zwischen Mobilfunkroutern unterstützen. Erforderlich sind eine feste IP-Adresse für die Mobilfunkgeräte und/oder ein Zugang zum Internet über einen privaten APN.

Vorgehensweise Um die Datenübertragung über einen VPN-Tunnel einzurichten, gehen Sie folgendermaßen vor:

1. Richten Sie die angeschlossenen Steuerungen, z. B. CP 343-1, für die Datenkommunikation ein.

2. Stellen Sie jeweils eine Konfigurationsverbindung her zwischen dem M875 und dem angeschlossenen Admin-PC. Siehe Kapitel Einstellungen beim Admin-PC (Seite 35).


4. Schließen Sie je eine Steuerung, z. B. CP 343-1, an die lokale Schnittstelle des M875 an. Siehe Kapitel Anschließen (Seite 28) und Netzwerk Intern (Seite 51).

5. Stellen Sie eine VPN-Verbindung zwischen den beiden M875-Geräten her. Siehe Kapitel Verbindungen - Standard-Modus (Seite 98). Voraussetzung: Feste IP-Adressen und privater APN.

2.4 Fernwartungslösungen Mit dem SCALANCE M875 können Sie folgende Fernwartungsaufgaben verwirklichen:

● Ferndiagnose

● Fernprogrammieren

● Zustandsüberwachung z. B. mit Condition Monitoring Systemen

Sie können von unterwegs für Fernwartungsarbeiten über das M875 auf entfernte Anlagen zugreifen. Dazu benötigen Sie mobile Field-PGs, die mit einem UMTS-fähigen Mobiltelefon oder einer UMTS-fähigen Netzwerkkarte ausgestattet sind. Das Beispiel im Abschnitt Mobiler Zugang zu Anlagen und Anlagenteilen (Seite 23) beschreibt diesen Anwendungsfall.

Eine andere Variante ist der Zugang über das M875 zu einer Anlage von einer Fernwartungszentrale aus. Sie haben die Möglichkeit, mehrere Subnetze der Zentrale mit mehreren Subnetzen einer Anlage zu koppeln. Dieser Anwendungsfall wird im Abschnitt Anlagenzugang über eine Fernwartungszentrale (Seite 24) beschrieben.



2.4.1 Mobiler Zugang zu Anlagen und Anlagenteilen

3

3

22 1

1

Vorgehensweise Um mobil über einen VPN-Tunnel auf eine Anlage zugreifen zu können, beachten Sie die nachfolgenden Punkte und die entsprechenden Kapitel in dieser Betriebsanleitung:



3. Schließen Sie die lokalen Applikationen an die lokale Schnittstelle des M875 an. Siehe Anschließen (Seite 28) und Kapitel Netzwerk Intern (Seite 51).

4. Richten Sie die angeschlossenen Applikationen der Anlage für die Datenkommunikation ein.



5. Richten Sie beim M875 einen VPN-Tunnel im Roadwarrior-Modus ein. Siehe Kapitel Verbindungen - Roadwarrior-Modus (Seite 91). Hinweis: Diesen Schritt können Sie auch mit dem Security Configuration Tool durchführen.

6. Richten Sie auf der Seite des mobilen Zugangs im SOFTNET Security Client einen VPN-Tunnel ein. Hinweis: Diesen Schritt können Sie auch mit dem Security Configuration Tool durchführen.

Für einen Verbindungsaufbau von einer entfernten Station mit SOFTNET Security Client zum M875 muss im M875 eine VPN-Verbindung im Roadwarrior-Modus mit IKE-Einstellungen "Main Mode" und Zertifikataustausch eingerichtet werden.

2.4.2 Anlagenzugang über eine Fernwartungszentrale

2

3 3

2

11

Internet

IP-Router

IP-Router



Vorgehensweise Um über eine Fernwartungszentrale auf eine Anlage zugreifen zu können, beachten Sie die nachfolgenden Punkte und die entsprechenden Kapitel in dieser Betriebsanleitung:



3. Schließen Sie die lokalen Applikationen an die lokale Schnittstelle des M875 an. Siehe Anschließen (Seite 28) und Kapitel Netzwerk Intern (Seite 51).

4. Richten Sie die angeschlossenen Applikationen der Anlage für die Datenkommunikation ein.

5. Projektieren Sie mit dem Security Configuration Tool im SCALANCE S623 die VPN-Verbindung für die Fernwartungszentrale.

6. Richten Sie einen VPN-Tunnel im Standard-Modus ein. Siehe Kapitel Verbindungen - Roadwarrior-Modus (Seite 91).


Montage, Anschluss, Inbetriebnahme 33.1 Sicherheitshinweise

Sicherheitshinweise für den Geräteeinsatz Die folgenden Sicherheitshinweise sind für Aufstellung und Betrieb des Geräts und alle damit zusammenhängenden Arbeiten wie Montage, Anschließen oder Geräteaustausch zu beachten.

WARNUNG Das Gerät ist für den Betrieb mit einer direkt anschließbaren Sicherheitskleinspannung (Safety Extra Low Voltage, SELV) durch eine Spannungsversorgung mit begrenzter Leistung (Limited Power Source, LPS) ausgelegt.

Deshalb dürfen nur Sicherheitskleinspannungen (SELV) mit begrenzter Leistung (Limited Power Source, LPS) nach IEC 60950-1 / EN 60950-1 / VDE 0805-1 mit den Versorgungsanschlüssen verbunden werden oder das Netzteil für die Versorgung des Geräts muss NEC Class 2 gemäß National Electrical Code (r) (ANSI / NFPA 70) entsprechen.

Wenn das Gerät an eine redundante Spannungsversorgung angeschlossen wird (zwei getrennte Spannungsversorgungen), müssen beide die genannten Anforderungen erfüllen.

Externe Stromversorgung Verwenden Sie nur eine externe Stromversorgung, die der EN60950 entspricht. Die Ausgangsspannung der externen Stromversorgung darf DC 30 V nicht überschreiten. Der Ausgang der externen Stromversorgung muss kurzschlussfest sein.

ACHTUNG Das SCALANCE M875 darf nur aus Stromversorgungen nach IEC/EN60950-1 Abschnitt 2.5 "Stromquelle mit begrenzter Leistung" versorgt werden.

Die externe Stromversorgung für das SCALANCE M875 muss den Bestimmungen für NEC Klasse 2 Stromkreisen entsprechen, wie im National Electrical Code ® (ANSI/NFPA 70) festgelegt.

Beachten Sie das Kapitel Anschließen (Seite 28) sowie die Einbau- und Nutzungsvorschriften des jeweiligen Herstellers der Stromversorgung, der Batterie oder des Akkumulators.

Montage, Anschluss, Inbetriebnahme 3.2 Anschließen


Schalteingänge und Schaltausgänge Der Schalteingang und der Schaltausgang sind gegenüber den anderen Anschlüssen des M875 galvanisch getrennt.

Wenn eine Installation, die am M875 angeschlossen ist, ein Signal des Schalteingangs oder Schaltausgangs mit der Versorgungspannung galvanisch verbindet, dann gilt: Eine Spannung von 60 V zwischen jedem Signal des Schalteingangs oder Schaltausgangs und jedem Anschluss der Versorgungsspannung darf nicht überschritten werden.

3.2 Anschließen

Schnittstelle X2 Schließen Sie Ihr lokales Netzwerk über den Port X2P1 oder X2P2 an.



Schließen Sie an der Ethernet-Schnittstelle X2 das lokale Netz mit den lokalen Applikationen an, z. B. eine programmierbare Steuerung, eine Maschine mit Ethernet-Schnittstelle zur Fernüberwachung oder einen PC.

Um das M875 einzurichten, schließen Sie wahlweise an einen der beiden Anschlüsse den Admin-PC mit einem Webbrowser an.

Verwenden Sie zum Anschließen ein gekreuztes Kabel oder ein Patch-Kabel mit RJ45-Stecker. Die Eigenschaften der Schnittstelle X2 finden Sie unter den technischen Daten.

Schalteingang und Schaltausgang Das M875 hat einen Schalteingang und einen Schaltausgang. Die Anschlussklemmen befinden sich an der Geräteunterseite.

Bild 3-1 Anschlüsse für Schalteingang und -ausgang an der Geräteunterseite



Schalteingang I1

Die Anschlussklemmen des Schalteingangs sind mit I1+ und I1- gekennzeichnet.

Bild 3-2 Schalteingang I1

Der Schalteingang dient zum Auslösen einer Alarm-SMS, siehe Kapitel Alarm-SMS (Seite 121).

Schaltausgang O1

Die Anschlussklemmen des Schaltausgangs sind mit O1a und O1b gekennzeichnet.

Bild 3-3 Schaltausgang O1

Der Schaltausgang signalisiert eine bestehende VPN-Verbindung. Wenn mindestens eine VPN-Verbindung aufgebaut ist, dann ist der Schaltausgang aktiv (Schalter geschlossen).

Hinweis

Beachten Sie die Belastbarkeit des Schaltausgangs.

Die elektrischen Werte für den Schalteingang und Schaltausgang finden Sie im Kapitel Technische Daten (Seite 149).



USB-Schnittstelle X1

Hinweis Schnittstelle X1 ohne Funktion

Schließen Sie an der USB-Schnittstelle keine Geräte an. Der Betrieb des M875 könnte gestört werden.

Diese Schnittstelle ist für spätere Anwendungen reserviert und zurzeit ohne Funktion.

SMA-Antennenbuchsen

WARNUNG Bei Außenmontage Gefahr durch Blitzschlag

Wenn Sie eine Antenne im Freien montieren, dann muss die Antenne zum Schutz vor Blitzschlag geerdet werden. Diese Arbeiten müssen von qualifiziertem Personal durchgeführt werden.

ACHTUNG Geräteschaden durch falsches Zubehör

Verwenden Sie nur Antennen aus dem Zubehörprogramm für das M875. Andere Antennen können die Produkteigenschaften stören oder zu Defekten führen.

Für den Anschluss der Antenne stehen beim M875 zwei Antennenbuchsen vom Typ SMA zur Verfügung. Wenn Sie nur eine einzige Antenne anschließen, dann benutzen Sie die obere SMA-Buchse "A1" des M875.

Falls mit einer einzelnen Antenne die volle Empfangsbandbreite nicht erreicht werden kann, z. B. wegen ungenügender Feldstärke oder Reflexionen, dann haben Sie die Möglichkeit, eine zweite Antenne unterstützend anzuschließen. Beachten Sie, dass auch mit zwei Antennen maximal nur die einfache Bandbreite des Frequenzbandes erreicht wird.

Wenn Sie zwei Antennen anschließen, dann halten Sie einen Mindestabstand von 30 cm zwischen den Antennen ein.

Die Antennen müssen eine Impedanz von ca. 50 Ohm haben.

Das Stehwellenverhältnis VSWR (Voltage Standing Wave Ratio) der Antennen muss 1:2,5 oder besser sein.

Beachten Sie die Betriebsanleitungen der verwendeten Antennen.



Frequenzbänder in Europa, China, USA und weiteren Regionen Abhängig davon, welche Frequenzbänder Ihr Mobilfunkbetreiber verwendet, müssen Antennen auf folgende Frequenzen abgestimmt sein:

● In Europa, Amerika, Afrika, Asien und Australien:

– GSM 900 MHz

– DCS 1800 MHz

– UMTS 2100 MHz

● In den USA:

– GSM 850 MHz

– PCS 1900 MHz (auch für UMTS)

Erkundigen Sie sich bei Ihrem Netzwerkbetreiber nach den passenden Frequenzen.

Signalqualität Achten Sie bei der Installation auf eine gute Signalqualität von CSQ > 11. Wenn die LED "Q" auf der linken Gerätehälfte durchgehend oder mit nur kurzen Unterbrechungen leuchtet, dann ist eine gute Signalqualität gegeben.

Große metallische Gegenstände, z. B. Stahlbeton, beeinträchtigen die Signalqualität.

Schraubklemmen für die Spannungsversorgung

Bild 3-4 Schraubklemmen für die Spannungsversorgung

Montage, Anschluss, Inbetriebnahme 3.3 Schritte zur Inbetriebnahme


Hinweis

Das Netzteil des M875 ist nicht potenzialgetrennt.

Das M875 arbeitet mit einer Gleichspannung von DC 12 V bis 30 V, nominell DC 24 V. Die Stromaufnahme beträgt etwa 450 mA bei 12 V.

Schließen Sie eine entsprechende Spannungsversorgung an die Schraubklemmen an.

Verwenden Sie nur Kupferleitungen.

Draht: 0,5 ...3 mm2 (AWG 20 ...18) Litze: 0,5 ...2,5 mm2 Anzugsdrehmoment Schraubklemmen: 0,6 ...0,8 Nm

3.3 Schritte zur Inbetriebnahme Um das M875-0 in Betrieb zu nehmen, gehen Sie in folgenden Schritten vor:

Übersicht über die Inbetriebnahme 1. Beachten Sie die Voraussetzungen für den Betrieb des M875.

Siehe Kapitel Voraussetzungen für den Betrieb (Seite 17).

2. Schließen Sie einen PC mit Webbrowser (Admin-PC) an die lokale Schnittstelle X2P1 an.

Siehe Kapitel Einstellungen beim Admin-PC (Seite 35) , Kapitel TCP/IP-Konfiguration unter Windows XP (Seite 36) und Kapitel Konfigurationsverbindung herstellen (Seite 38).

3. Tragen Sie über die Weboberfläche des M875 die PIN der SIM-Karte ein.

Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60).

4. Trennen Sie das M875 von der Versorgungsspannung.

Siehe Kapitel Anschließen (Seite 28).

5. Legen Sie die SIM-Karte in das Gerät ein.

Siehe Kapitel SIM-Karte einlegen (Seite 33).

6. Schließen Sie die Antennen an und richten Sie die Antennen aus.

Siehe Kapitel Anschließen (Seite 28) und Kapitel Installationsmodus - Antennen ausrichten (Seite 66).

7. Verbinden Sie das M875 mit der Versorgungsspannung.


Montage, Anschluss, Inbetriebnahme 3.4 SIM-Karte einlegen


8. Richten Sie das M875 nach Ihren Anforderungen ein.

Siehe Kapitel Projektierung (Seite 35).

9. Schließen Sie Ihre Applikation an die zweite lokale Schnittstelle an.


3.4 SIM-Karte einlegen

ACHTUNG Ausschalten der Spannungsversorgung vor SIM-Karten-Austausch

Schalten Sie vor dem Einlegen oder Entnehmen der SIM-Karte die Spannungsversorgung des M875 aus.

Öffnen Sie die Schublade für die SIM-Karte nicht während des Betriebs. Die SIM-Karte und das Gerät können dadurch beschädigt werden.

Hinweis Zuerst PIN eintragen

Tragen Sie über die Weboberfläche die PIN der SIM-Karte ein, bevor Sie die Karte ins Gerät einlegen. Siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60).

Bild 3-5 SIM-Karten-Schublade

Montage, Anschluss, Inbetriebnahme 3.5 Montieren


1. Nachdem Sie die PIN der SIM-Karte eingetragen haben, trennen Sie das M875 vollständig von der Versorgungsspannung.

Die Schublade für die SIM-Karte befindet sich auf der Geräterückseite. In der Gehäuseöffnung befindet sich direkt neben der Schublade für die SIM-Karte ein kleiner gelber Taster.

2. Drücken Sie zum Öffnen der Schublade mit einem spitzen Gegenstand, z. B. einem Bleistift, auf den gelben Taster.

3. Legen Sie die SIM-Karte so in die Schublade, dass die Karte hörbar einrastet und die vergoldeten Kontakte sichtbar bleiben.

4. Schieben Sie die Schublade mit der SIM-Karte vollständig ins Gehäuse zurück.

3.5 Montieren Das M875 ist zur Montage auf einer 35-mm-Hutschiene nach DIN EN 50022 vorgesehen. Auf der Rückseite des Geräts befindet sich eine entsprechende Halterung mit einem gefederten Riegel.

Bild 3-6 Hutschienenmontage

Montage 1. Hängen Sie die obere Rastführung des Geräts in die Hutschiene ein.

2. Drücken Sie das Gerät nach unten gegen die Hutschiene, bis der gefederte Riegel einrastet.

Demontage 1. Ziehen Sie mit einem Schraubenzieher den gefederten Riegel auf der Rückseite des

Geräts nach unten.

2. Nehmen Sie das Gerät von der Hutschiene ab.


Projektierung 44.1 Einstellungen beim Admin-PC

Für die Projektierung des M875 benötigen Sie ein PC mit einem Webbrowser, der nachfolgend als Admin-PC bezeichnet wird. Die Projektierung erfolgt mithilfe der webbasierten Administrationsoberfläche des M875. Dazu stehen Ihnen folgende Möglichkeiten zur Verfügung:

● Projektierung über die lokale Schnittstelle X2P1 Dies ist für die Erstprojektierung erforderlich.

● Projektierung per Fernzugriff über HTTPS Voraussetzung dafür ist, dass der Fernzugriff vorab beim M875 eingerichtet wurde.

Konfiguration über die lokale Schnittstelle Folgende Voraussetzungen für eine Konfiguration über die lokale Schnittstelle müssen erfüllt sein:

● Der Admin-PC muss entweder direkt an der Ethernet-Buchse des M875 angeschlossen sein oder über das lokale Netz direkten Zugriff auf das M875 haben.

● Der Netzwerkadapter des Admin-PC muss folgende TCP/IP-Konfiguration haben:

– IP-Adresse: 192.168.1.2

– Subnetzmaske: 255.255.255.0

Statt der oben genannten IP-Adresse können Sie auch andere IP-Adressen aus dem Bereich 192.169.1.x verwenden.

Wenn Sie mit dem M875 auch auf das externe Netz zugreifen möchten, sind auf dem Admin-PC zusätzlich folgende Einstellungen erforderlich:

● Standardgateway: 192.168.1.1

● Der bevorzugter DNS-Server ist die Adresse des Domain Name Servers.

Die IP-Adresse 192.168.1.1 kann ebenfalls verwendet werden, da DNS-Weiterleitung vom M875 unterstützt wird.

Fernkonfiguration Eine Fernkonfiguration über HTTPS ist nur möglich, wenn das M875 für Fernzugriffe konfiguriert ist. Gehen Sie zur Fernkonfiguration des Geräts vor, wie im Kapitel HTTPS (Seite 118) beschrieben.



4.1.1 TCP/IP-Konfiguration unter Windows XP

Einrichten der LAN-Verbindung

Hinweis

Der Weg, der zum Dialogfeld "Eigenschaften von Internet Protocol (TCP/IP)" führt, hängt von Ihren Windows-Einstellungen ab. Wenn Sie das Dialogfeld nicht finden, suchen Sie in der Windows-Hilfe nach "LAN-Verbindung" oder "Eigenschaften von Internet Protocol (TCP/IP)".

Bild 4-1 Dialog "Eigenschaften von Internet Protocol (TCP/IP)"

1. Wählen Sie im Startmenü den Befehl "Einstellungen" > "Systemsteuerung" > "Netzwerkverbindungen". Der Dialog "Netzwerkverbindungen" wird geöffnet.

2. Wählen Sie eine LAN-Verbindung durch Doppelklick aus. Der Dialog "Status" der gewählten LAN-Verbindung wird geöffnet.

3. Wählen Sie das Register "Allgemein".

4. Klicken Sie auf die Schaltfläche "Eigenschaften". Der Dialog "Eigenschaften" der gewählten LAN-Verbindung wird geöffnet.

5. Wählen Sie das Register "Allgemein".

6. Aktivieren Sie die Option "Internet Protocol (TCP/IP)" unter dem Eintrag "Diese Verbindung verwendet folgende Elemente".

7. Aktivieren Sie die Option "Internet Protocol (TCP/IP)".



8. Klicken Sie auf die Schaltfläche "Eigenschaften". Der Dialog "Eigenschaften von Internet Protocol (TCP/IP)" wird geöffnet.

9. Aktivieren Sie die Option "Folgende IP-Adresse verwenden".

10. Geben Sie folgende Werte ein:

– IP-Adresse: 192.168.1.2

– Subnetzmaske: 255.255.255.0

11. Um die Einstellungen zu speichern, klicken Sie auf die Schaltfläche "OK".

Bevorzugter DNS-Server Wenn Sie Adressen über einen Domain-Namen aufrufen, z. B. www.siemens.com, dann wird in einem Domain Name System (DNS) nachgeschlagen, welche IP-Adresse sich hinter dem Namen verbirgt. Als DNS-Server können Sie entweder die DNS-Adresse des Netzbetreibers oder die lokale IP-Adresse des M875 festlegen.

Die lokale IP-Adresse des M875 ist werkseitig so konfiguriert sein, dass Host-Namen in IP-Adressen aufgelöst werden können. Nähe Informationen finden Sie im Kapitel DNS-Server am lokalen Netz (Seite 57).

1. Um den DNS-Server in der TCP/IP-Konfiguration Ihres Netzwerkadapters festzulegen, geben Sie im oben gezeigten Dialog folgende Werte ein:

– Standardgateway: 192.168.1.1

– Bevorzugter DNS-Server: 192.168.1.1

2. Um die Einstellungen zu speichern, klicken Sie auf die Schaltfläche "OK".

4.1.2 Erlaubte Zeichen Bei der Eingabe von Benutzernamen, Passwörtern, Host-Namen, APN und PIN sind folgende darstellbare ASCII-Zeichen erlaubt:

Benutzernamen, Passwörter, PIN Wenn nicht anders erwähnt, sind folgende Zeichen erlaubt: ● a b c d e f g h I j k l m n o p q r s t u v w x y z ● A B C D E F G H I J K L M N O P Q R S T U V W X Y Z ● 0 1 2 3 4 5 6 7 8 9 ● ! $ % & ' ( ) * + , . / : ; < = > ? @ [ \ ] ^ _ ` { | }

Host-Namen, APN Erlaubte Zeichen: ● a b c d e f g h I j k l m n o p q r s t u v w x y z ● A B C D E F G H I J K L M N O P Q R S T U V W X Y Z ● 0 1 2 3 4 5 6 7 8 9 ● . -



4.1.3 Konfigurationsverbindung herstellen Um das M875 zu konfigurieren, müssen Sie zunächst mit einem Webbrowser eine Verbindung zum Gerät herstellen. Gehen Sie dazu folgendermaßen vor:

Webbrowser einrichten 1. Starten Sie den Webbrowser auf dem Admin-PC.

Der Webbrowser muss SSL (HTTPS) unterstützen, z. B. MS Internet Explorer ab Version 7 oder Mozilla Firefox ab Version 2.

2. Stellen Sie den Browser so ein, dass er beim Starten nicht automatisch eine Verbindung wählt. Nehmen Sie z. B. im MS Internet Explorer die Einstellungen wie folgt vor:

– Wählen Sie im Menü den Befehl "Extras" > "Internetoptionen".

– Wählen Sie das Register "Verbindungen".

– Entfernen Sie die Einträge unter "DFÜ- und VPN-Einstellungen".

– Aktivieren Sie die Option "Keine Verbindung wählen".

Startseite des M875 aufrufen 1. Geben Sie in der Adresszeile des Browsers die IP-Adresse des M875 vollständig ein.

In der Werkseinstellung lautet die Adresse: https://192.168.1.1/

Geben Sie am Ende der IP-Adresse des M875 den Schrägstrich ein.

Eine Meldung zum Sicherheitszertifikat erscheint.

2. Quittieren Sie diese Meldung und setzen Sie das Laden der Seite fort.

Hinweis Informationen zum Sicherheitszertifikat

Da das Gerät nur über verschlüsselte Zugänge administrierbar ist, wird es mit einem selbst unterzeichneten Zertifikat ausgeliefert. Bei Zertifikaten mit Unterschriften, die dem Betriebssystem nicht bekannt sind, erscheint ein Sicherheitshinweis. Sie können sich das Zertifikat anzeigen lassen.

Aus dem Zertifikat muss erkenntlich sein, dass es für die Siemens AG ausgestellt wurde. Die Weboberfläche wird über eine IP-Adresse adressiert und nicht über einen Namen, daher stimmt der im Sicherheitszertifikat angegebene Name nicht mit dem im Zertifikat überein.



Benutzername und Passwort eingeben Sie werden aufgefordert, den Benutzernamen und das Passwort anzugeben. Die Werkseinstellung lautet:

Benutzername: admin (kann nicht verändert werden.) Passwort: scalance

ACHTUNG Passwort ändern

Ändern Sie das werkseitig eingestellte Passwort sofort nach der Inbetriebnahme. Dieses Passwort ist allgemein bekannt und bietet keinen ausreichenden Schutz.

Wie Sie das Passwort ändern, wird im Kapitel Passwort ändern (Seite 116) beschrieben.

Die Startseite wird angezeigt Nach Eingabe von Benutzername und Passwort erscheint im Webbrowser die Startseite des M875. Die Startseite gibt einen Überblick über den Betriebszustand des Geräts, siehe auch Kapitel Startseite der Weboberfläche - Überblick (Seite 42).

Die Startseite wird nicht angezeigt Wenn der Browser auch nach mehreren Versuchen meldet, dass die Seite nicht angezeigt werden kann, versuchen Sie Folgendes:

Überprüfen Sie die Hardware-Verbindung

1. Öffnen Sie die DOS-Eingabeaufforderung indem Sie den Menübefehl "Start" > "Programme" > "Zubehör" > "Eingabeaufforderung" wählen.

Das Fenster "Eingabeaufforderung" erscheint.

2. Geben Sie den Befehl "ping 192.168.1.1" ein.

3. Um die Eingabe zu bestätigen, drücken Sie die Taste "Return".

Bei korrektem Betrieb kommen innerhalb von wenigen Sekunden 4 Rückmeldungen.

Wenn dies nicht der Fall ist:

4. Überprüfen Sie, ob das Netzwerkkabel, die Anschlüsse und die Netzwerkkarte richtig angeschlossen sind.

Keinen Proxy-Server verwenden

Gehen Sie - je nach Betriebssystem - folgendermaßen vor:

1. Wählen Sie den Menübefehl "Extras" > "Internetoptionen".

2. Wählen Sie das Register "Verbindungen".



3. Klicken Sie unter dem Eintrag "LAN-Einstellungen" auf die Schaltfläche "Einstellungen".

Der Dialog "Einstellungen für lokales Netzwerk (LAN)" wird angezeigt.

4. Deaktivieren Sie unter dem Eintrag "Proxyserver" die Option "Proxyserver für LAN verwenden".

Andere LAN-Verbindungen deaktivieren

Falls andere LAN-Verbindungen auf dem Admin-PC aktiv sind, deaktivieren Sie diese für die Zeit der Konfiguration.

Gehen Sie beim MS Internet Explorer (Version 7.0) folgendermaßen vor:

1. Wählen Sie im Startmenü den Befehl "Einstellungen" > "Systemsteuerung" > "Netzwerkverbindungen".

Der Dialog "Netzwerkverbindungen" wird geöffnet.

2. Markieren Sie eine LAN-Verbindung.

3. Wählen Sie im Kontextmenü (rechte Maustaste) den Menübefehl "Deaktivieren".

4.1.4 Grundsätzliches zur Konfiguration Um das M875 zu konfigurieren, steht Ihnen eine webbasierte Administrationsoberfläche zur Verfügung.

Am linken Rand finden Sie die aufklappbare Navigation. Im Hauptfenster werden Ihnen die aufgerufenen Seiten entsprechend Ihrer Navigation angezeigt. Außerdem stehen Ihnen auf den einzelnen Seiten Klapplisten für die Auswahl und die üblichen Schaltflächen wie "Speichern", "Zurücksetzen", "Bearbeiten" etc. zur Verfügung.

Grundsätzliches Vorgehen Gehen Sie zur Konfiguration des M875 grundsätzlich folgendermaßen vor:

1. Wählen Sie über die Navigation die gewünschte Webseite.

2. Nehmen Sie auf der aufgerufenen Seite Ihre Einstellungen vor.

Mit der Schaltfläche "Zurücksetzen" wird die Anzeige wieder auf den Zustand, unter dem sie aufgerufen wurde, zurückgesetzt. Nicht gespeicherte Eingaben werden auf den Wert, der zuvor gespeichert war, zurückgesetzt.

3. Bestätigen Sie Ihre Eingaben durch Klicken auf die Schaltfläche "Speichern".

Ihre Einstellungen werden damit vom Gerät übernommen.

Hinweis Möglicherweise müssen Sie nach der Konfiguration des M875 die Netzwerk-

Schnittstelle des lokal angeschlossenen Rechners oder Netzes anpassen. Tragen Sie bei der Eingabe von IP-Adressen die einzelnen Adressabschnitte ohne

führende Nullen ein, z. B.: 192.168.0.8.



Fehleingaben Das M875 prüft Ihre Eingaben. Beim Speichern werden Fehler automatisch erkannt, und das betroffene Eingabefeld wird mit einer roten Umrandung markiert.

Konfigurationsprofile Sie können Ihre Einstellungen in Profilen speichern. Diese Profildateien können dann bei Bedarf neu geladen werden oder auf andere Geräte desselben Typs übertragen werden. Nähere Informationen finden Sie im Kapitel Konfigurationsprofile (Seite 137).

4.1.5 Spracheinstellung Sie können sich die Web-Oberfläche des M875 in englischer und deutscher Sprache anzeigen lassen. Auf der Startseite befindet sich ganz oben rechts eine Klappliste mit folgenden Auswahlmöglichkeiten:

Automatisch: Das M875 wählt die Sprache der Administrationsoberfläche

entsprechend den Einstellungen des benutzten Webbrowsers. Wenn der Webbrowser auf die deutsche Sprache eingestellt ist, wird auch die Oberfläche des M875 automatisch auf Deutsch angezeigt. In allen anderen Fällen wird die Oberfläche auf Englisch angezeigt.

Deutsch: Das M875 verwendet die deutsche Sprache, unabhängig vom verwendeten Webbrowser.

Englisch: Das M875 verwendet die englische Sprache, unabhängig vom verwendeten Webbrowser.

Spracheinstellung umschalten Zum Umschalten der Sprache gehen Sie wie folgt vor:

1. Öffnen Sie oben rechts aus der Startseite die Klappliste für die Spracheinstellung.

2. Klicken Sie auf die gewünschte Sprache.

3. Bestätigen Sie die Auswahl, indem Sie auf die Schaltfläche "Go" klicken.

Falls die Sprache nicht sofort umgestellt wird, benutzen Sie die Aktualisieren-Funktion Ihres Webbrowsers (Funktionstaste "F5").

Projektierung 4.2 Startseite der Weboberfläche - Überblick


4.2 Startseite der Weboberfläche - Überblick

Beschreibung der Oberfläche Die Startseite bietet einen Überblick über den aktuellen Betriebsstatus des M875, wie nachfolgende Abbildung zeigt:

Aktualisierung der angezeigten Werte Die hier angezeigten Werte werden alle 30 Sekunden aktualisiert.

Benutzen Sie zur spontanen Aktualisierung der angezeigten Werte die Funktionstaste "F5".

Aktuelle Systemzeit Zeigt die aktuelle Systemzeit des M875 an, im Format:

Jahr-Monat-Tag, Stunden:Minuten

Verbunden seit Zeigt mit Datum und Uhrzeit an, seit wann die aktuelle Funkverbindung besteht.



Externer Host-Name Zeigt den Host-Namen des M875 an (z. B. M875.mydns.org), wenn ein DynDNS-Dienst verwendet wird.

Zugewiesene IP-Adresse Zeigt die IP-Adresse an, unter der das M875 im Mobilfunknetz zu erreichen ist. Diese IP-Adresse wird dem M875 vom Dienst des Netzwerkbetreibers zugewiesen.

Verbindung Zeigt an, ob eine Funkverbindung besteht, und falls ja, welche:

● UMTS: IP-Verbindung über HSDPA+HSUPA, UMTS

● GPRS: IP-Verbindung über EGPRS oder GPRS

Hinweis Verbindungsüberwachung nutzen

Möglicherweise wird Ihnen eine IP-Datenverbindung und auch eine zugewiesene IP-Adresse angezeigt, obwohl die Verbindungsqualität nicht ausreicht, um Daten zu übertragen. Deshalb empfehlen wir, die Verbindungsüberwachung zu nutzen. Nähere Informationen finden Sie im Kapitel Prüfen der Verbindung - Verbindungsüberwachung (Seite 70).

Signalstärke CSQ (dbm) Die Balkenanzeige und die darüber stehende Ziffer geben die Stärke des GSM-Signals als CSQ-Wert an.

CSQ = 0 Keine Verbindung zum GSM-Netz CSQ < 6 Schlechte Signalstärke CSQ 6 … 10 Mittlere Signalstärke CSQ 11 … 18 Gute Signalstärke CSQ > 18 Sehr gute Signalstärke

Der dBm-Wert wird in Klammern hinter dem CSQ-Wert angegeben.

Wenn die Funktion "Installationsmodus" aktiviert ist, dann ist die Anzeige nicht aktiv.

Verwendeter APN Zeigt den verwendeten APN (Access Point Name) der Funkverbindung an.

IMSI Dieser Eintrag zeigt die Teilnehmerkennung an, die auf der verwendeten SIM-Karte gespeichert ist.



Anhand dieser Kennung (IMSI = International Mobile Subscriber Identity) erkennt der Mobilfunkbetreiber die Berechtigungen und vereinbarten Dienste der SIM-Karte.

NTP-Synchronisation Zeigt an, ob die Systemzeit über NTP von einem NTP-Server bezogen wird.

Der Dienst ist aktiviert.

Der Dienst ist nicht aktiviert.

DynDNS Zeigt an, ob ein DynDNS-Dienst aktiviert ist.

Der Dienst ist aktiviert.

Der Dienst ist nicht aktiviert.

Informationen darüber, ob die Anmeldung bei einem DNS-Dienst erfolgreich war, finden Sie im Logbuch.

Fernzugang HTTPS Zeigt an, ob Zugriffe auf die Weboberfläche des M875 aus der Ferne über das Funknetz erlaubt sind, siehe Kapitel HTTPS (Seite 118).

Der Zugriff ist erlaubt.

Der Zugriff ist nicht erlaubt.

Fernzugang SSH Zeigt an, ob Zugriffe auf die SSH-Konsole des M875 aus der Ferne über das Funknetz erlaubt sind.





CSD-Einwahl Zeigt an, ob CSD-Service-Anrufe aus der Ferne erlaubt sind.



SNMP Zeigt an, ob der Zugriff über SNMP erlaubt ist.

Der Zugriff über SNMP ist erlaubt.

Der Zugriff über SNMP ist erlaubt.

SNMP Trap Zeigt an, ob Alarmereignisse über SNMP Traps übermittelt werden.

Ein oder mehrere Ereignisse werden übermittelt.

Es werden keine Alarmereignisse übermittelt.

Volumenüberwachung Zeigt an, ob die Volumenüberwachung ein- oder ausgeschaltet ist.

Die Funktion ist eingeschaltet.

Die Funktion ist ausgeschaltet.

ID der aktuellen Funkzelle Dieser Eintrag zeigt die durch die Identifikationsnummer an, in welche Funkzelle sich das Gerät eingebucht hat (Cell ID).

Anzahl WAN-Verbindungsversuche (24h) Dieser Zähler zeigt an, wie oft das M875 in den letzten 24 Stunden versucht hat, eine Verbindung zum Mobilfunknetz aufzubauen.

Projektierung 4.3 System


Gesendete Bytes und empfangene Bytes auf dieser Verbindung Diese Einträge zeigen die Anzahl der Bytes an, die während der bestehenden Verbindung zum Mobilfunknetz gesendet bzw. empfangen worden sind.

Die Zähler werden beim Aufbau einer neuen Verbindung zurückgesetzt.

Hinweis

Diese Zahlen dienen nur als Anhaltspunkt für das Datenvolumen und können von der Abrechnung des Mobilfunkbetreibers deutlich abweichen.

Gesendete Bytes und empfangene Bytes seit Laden der Werkseinstellungen Diese Einträge zeigen die Anzahl der Bytes an, die seit dem letzten Neustart bzw. Laden der Werkseinstellungen über das Mobilfunknetz gesendet bzw. empfangen worden sind.

Die Zähler werden beim Laden der Werkseinstellungen zurückgesetzt.

Datenvolumen (Bytes / aktueller Monat) Dieser Zähler gibt das Datenvolumen in Byte an, das seit Anfang des Monats über das M875 übertragen wurde.

Maximales Datenvolumen (Bytes / Monat) Dieser Eintrag zeigt an, auf welchen Grenzwert die Volumenüberwachung gesetzt wurde.

Anzahl der aktivierten Firewall-Regeln Diese Angabe zeigt an, wie viele Firewall-Regeln zurzeit aktiv sind.

Firmware-Version Diese Angabe zeigt die Versionsnummer der aktuell installierten Firmware des M875 an.

4.3 System

4.3.1 Systemzeit Die Systemzeit wird als Zeitstempel für alle Logbuch-Einträge benutzt und dient als Grundlage für alle zeitgesteuerten Funktionen.



Sie können die Systemzeit des M875 selbst manuell einstellen, oder Sie lassen sie mit einem Zeitserver über NTP (Network Time Protocol) automatisch synchronisieren. Im Internet gibt es eine Reihe von NTP-Servern, von denen die aktuelle Uhrzeit bezogen werden kann.

Aufruf der Webseite Wählen Sie in der Navigation "System" > "Systemzeit".

Aktuelle Systemzeit Dieser Eintrag zeigt das derzeit eingestellte Datum und die Uhrzeit an.

Systemzeit setzen Unter diesem Eintrag legen Sie Datum und Uhrzeit des Systems selbst manuell fest.

In der Voreinstellung wird die Zeit des Admin-PC angezeigt, mit dem Sie mit dem M875 verbunden sind.

1. Geben Sie Datum und Uhrzeit ein.

2. Klicken Sie auf die Schaltfläche setzen. Die eingegebene Systemzeit wird oben unter "Aktuelle Systemzeit" angezeigt.



Lokale Zeitzone / Region

NTP-Server übermitteln die UTC (Universal Time Coordinated), d.h. die koordinierte Weltzeit.

Wählen Sie aus der Klappliste die Zeitzone, in der das M875 eingesetzt wird. Datum und Uhrzeit dieser Zeitzone werden als Systemzeit verwendet.

NTP-Synchronisation aktivieren

Hinweis Erhöhte Kosten durch zusätzliches Datenaufkommen

Die Synchronisation der Systemzeit über NTP verursacht ein zusätzliches Datenaufkommen auf der Mobilfunkverbindung. Abhängig von Ihrem Teilnehmervertrag mit dem Mobilfunkbetreiber können damit erhöhte Kosten verbunden sein.

Wenn Sie Datum und Uhrzeit über einen NTP-Zeitserver synchronisieren lassen wollen, wählen Sie "Ja" aus der Klappliste.

Liste der NTP-Server Sie können mehrere NTP-Server festlegen.

Um einen zusätzlichen NTP-Server festzulegen, klicken Sie auf die Schaltfläche "Neu".

● NTP-Server

Geben Sie in das Eingabefeld die IP-Adresse eines NTP-Servers ein.

Sie können auch den werkseitig eingestellten NTP-Server verwenden (siehe unten).

Die Eingabe der NTP-Adresse als Host-Name (z. B. timeserver.org) ist nicht möglich.

● Polling-Intervall

Die Zeitsynchronisation erfolgt automatisch spätestens alle 36 Stunden.

Aus der Klappliste "Polling-Intervall" können Sie einen anderen Zeitabstand für die Synchronisation auswählen.

Systemzeit dem lokalen Netz bereitstellen Das M875 selbst kann auch als NTP-Zeitserver für die Applikationen dienen, die an seiner lokalen Schnittstelle angeschlossen sind.

Um diese Funktion zu aktivieren, wählen Sie "Ja" aus der Klappliste.

Der NTP-Zeitserver im M875 ist über die eingestellte lokale IP-Adresse des M875 erreichbar. Nähere Informationen dazu finden Sie im Kapitel Lokale IP-Adressen (Seite 51).



Werkseinstellungen Lokale Zeitzone: UTC NTP-Synchronisation aktivieren: Nein NTP-Server: 192.53.103.108 Polling-Intervall: 1.1 Stunden Systemzeit dem lokalen Netz bereitstellen:

Nein

4.3.2 Logbuch Im Logbuch werden folgende wichtige Ereignisse im Betriebsablauf des M875 abgespeichert:

● Neustart

● Änderungen der Konfiguration

● Verbindungsaufbau

● Verbindungsunterbrechungen

● Signalstärke

● Betriebsmeldungen

Das Logbuch wird bei Erreichen einer Dateigröße von 1 MB oder spätestens nach 24 Stunden im Logbuch-Archiv des M875 gespeichert.

Aufruf der Webseite Wählen Sie in der Navigation "System" > "Logbuch".



Aktuelles Logbuch herunterladen und Logbuch-Archiv Wenn Sie auf die Schaltfläche "Download" klicken, öffnet sich ein Dialog zum Öffnen oder Speichern der aktuellen bzw. der archivierten Log-Dateien. Folgen Sie den Anweisungen des Dialogs.

Bedeutung der Einträge im Logbuch Spalte A: Zeitstempel mit Datum und Uhrzeit Spalte B: Produktname Spalte C: Signalqualität (CSQ-Wert) Spalte D: GSM-Einbuchstatus

STAT=- - -: Funktion nicht gestartet STAT=1: Im Heimatnetz eingebucht STAT=2: Nicht eingebucht; Netzsuche STAT=3: Einbuchen abgelehnt STAT=5: Eingebucht in Fremdnetz (Roaming)

Spalte E: Angabe der Identifikation des Netzbetreibers mit dem 3-stelligen Ländercode (MCC) und dem 2- bis 3-stelligen Netzbetreibercode (MNC), z. B. 26201: 262 = Ländercode Deutschland, 01 = Netzbetreibercode T-Mobile

Spalte F: Kodierter Betriebsstatus (für Siemens Customer Support) Spalte G: Kategorie der Logbuch-Meldung (für Siemens Customer Support) Spalte H: Interne Quelle der Logbuch-Meldung (für Siemens Customer Support) Spalte I: Interne Meldenummer (für Siemens Customer Support) Spalte J: Logbuch-Meldung im Klartext Spalte K - P: Zusatzinformationen zur Klartextmeldung, z. B.

Cell-ID (ID der aktiven Funkzelle) Softwareversion (aktuelle Firmware-Version) TXS, RXS (übertragene IP-Pakete der aktuellen Verbindung) TX, RX (übertragene IP-Pakete seit letztem Laden der Werkseinstellungen)

4.3.3 Geräteidentifikation Die Angaben zur Geräteidentifikation können von einer Management-Station über SNMP ausgelesen werden.

Aufruf der Webseite Wählen Sie in der Navigation "System" > "Geräteidentifikation".

Geben Sie in die Eingabefelder der Zeilen 1 bis 4 einen beliebigen Text ein.

Projektierung 4.4 Netzwerk Intern


4.4 Netzwerk Intern

4.4.1 Lokale Schnittstelle

Schnittstelle Die 2-Port-Schnittstelle dient zum Anschluss des lokalen Netzes an das M875. Die Eigenschaften der Schnittstelle X2 finden Sie unter den technischen Daten. Mithilfe von Autonegation wird automatisch erkannt, welche der beiden Übertragungsgeschwindigkeiten im Ethernet genutzt wird.

Lokales Netz Das lokale Netz ist das Netzwerk der Station, das an der Ethernet-Schnittstelle des M875 angeschlossen wird. Das lokale Netz enthält mindestens eine lokale Applikation.

Lokale Applikation Eine lokale Applikation ist eine Anwendungs-Software auf einer Netzwerkkomponente im lokalen Netz, z. B. eine programmierbare Steuerung, eine Maschine mit Ethernet-Schnittstelle zur Fernüberwachung, ein Notebook oder der Admin-PC.

4.4.2 Lokale IP-Adressen

Bild 4-2 Konfiguration eines lokalen Netzes



Hinweis IP-Adressen und Netzmaske gemäß RFC 1918

Die werkseitig eingestellten IP-Adressen und Netzmasken können frei verändert werden, müssen jedoch der Spezifikation RFC 1918 folgen.

Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Intern" > "Grundeinstellungen" > "Lokale IP-Adressen".

IP-Adressen anlegen und verwalten Werkseitig ist das M875 unter der folgender Adresse erreichbar:

● IP-Adresse: 192.168.1.1

● Netzmaske: 255.255.255.0

Sie können zusätzliche Adressen festlegen, unter denen das M875 von lokalen Applikationen erreichbar ist. Zusätzliche Adressen sind hilfreich, wenn z. B. das lokale Netz in Subnetze unterteilt wird. Dann können mehrere lokale Applikationen aus verschiedenen Subnetzen das M875 unter unterschiedlichen Adressen erreichen.

1. Klicken Sie auf die Schaltfläche "Neu".

2. Geben Sie die IP-Adresse und die Netzmaske in die Eingabefelder ein.

3. Speichern Sie Ihre Angaben durch Klicken auf die Schaltfläche "Speichern".



Mit der Schaltfläche "Löschen" können Sie die zusätzlich angelegten Adressen löschen.

Hinweis Geänderte Adressen bei DHCP

Wenn Sie Adressen ändern und gleichzeitig die DHCP-Funktion des M875 nutzen, dann beachten Sie eventuell erforderliche Änderungen dort, siehe Kapitel DHCP-Server am lokalen Netz (Seite 53).



4.4.3 DHCP-Server am lokalen Netz

Bild 4-3 Konfiguration eines lokalen Netzes

Im M875 ist ein DHCP-Server integriert. Wenn der Server eingeschaltet ist, weist er den Applikationen, die an der lokalen Schnittstelle angeschlossen sind, folgende Parameter automatisch zu:

● IP-Adresse

● Netzmasken

● Gateway

● DNS-Server

Die lokalen Applikationen müssen dazu so eingestellt sein, dass sie die IP-Adressen und die Konfigurationsparameter per DHCP beziehen dürfen.



Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Intern" > "Grundeinstellungen" > "DHCP"

DHCP-Server starten 1. Wählen Sie aus der Klappliste "DHCP-Server starten" > "Ja".

2. Wählen Sie aus der Klappliste "Dynamischen IP-Adresspool aktiveren" > "Ja".

3. Klicken Sie unter "Liste der statischen Zuordnungen" auf "Neu".

Folgende Optionen stehen zur Verfügung:

Ja: Der DHCP-Server ist eingeschaltet.

Nein: Der DHCP-Server ist ausgeschaltet.

Lokale Netzmaske Tragen Sie hier die lokale Netzmaske ein, die den lokalen Applikationen zugewiesen wird.

Standard-Gateway Tragen Sie hier das Standard-Gateway ein, das den lokalen Applikationen zugewiesen wird.

DNS-Server Tragen Sie hier den DNS-Server ein, der den lokalen Applikationen zugewiesen wird.



Dynamischen IP-Adresspool aktivieren Wählen Sie eine der beiden Optionen:

Ja: Die IP-Adressen, die der DHCP-Server des M875 vergibt, werden aus einem

dynamischen Adresspool entnommen. Nein: Nehmen Sie im unteren Bereich "Liste der statischen Zuordnungen" die

Zuordnung der IP-Adressen zu den MAC-Adressen der lokalen Applikationen selbst vor.

Bereichsanfang Tragen Sie die erste Adresse des dynamischen Adresspools in das Eingabefeld ein.

Bereichsende Tragen Sie die letzte Adresse des dynamischen Adresspools in das Eingabefeld ein.

Liste der statischen Zuordnungen Sie können für die MAC-Adressen der lokalen Applikationen korrespondierende IP-Adressen festlegen.

Wenn eine lokale Applikation die Zuweisung einer IP-Adresse per DHCP anfordert, dann übermittelt die Applikation dabei ihre MAC-Adresse. Wenn Sie für diese MAC-Adresse eine IP-Adresse statisch zuordnen, dann wird diese IP-Adresse der lokalen Applikation zugewiesen.

Geben Sie folgende Angaben in die entsprechenden Eingabefelder ein:

● MAC-Adresse des Client

● IP-Adresse des Client

Werkseinstellungen DHCP-Server starten: Nein Lokale Netzmaske: 255.255.255.0 Standard-Gateway: 192.168.1.1 DNS-Server: 192.168.1.1 Dynamischen IP-Adresspool aktivieren:

Nein

Bereichsanfang: 192.168.1.100 Bereichsende: 192.168.1.199



4.4.4 Lokaler Host-Name

Hinweis Firewall-Regeln erstellen

Das Sicherheitskonzept des M875 erfordert für jede lokale Applikation, welche die Host-Name-Funktion nutzt, eine ausgehende Firewall-Regel. Nähere Informationen dazu finden Sie im Kapitel Firewall-Regeln (Seite 78).

Das M875 kann aus dem lokalen Netz auch über einen Host-Namen adressiert werden. Legen Sie dazu einen Host-Namen fest, z. B. SCALANCE M875. Dann kann das Gerät unter diesem Namen, z. B. von einem Webbrowser, aufgerufen werden.

Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Intern" > "Grundeinstellungen" > "DNS". Die Seite "Netzwerk Intern - Grundeinstellungen - DNS" erscheint.

Host-Name Geben Sie in das Eingabefeld einen Host-Namen ein, unter dem das M875 aufgerufen wird, z. B. "SCALANCE".

Suchpfad

Hinweis DHCP

Wenn Sie kein DHCP verwenden, dann müssen Sie im M875 und bei den lokal angeschlossenen Applikationen selbst identische Suchpfade eintragen.

Wenn Sie DHCP verwenden, dann erhalten die lokal angeschlossenen Applikationen den im M875 eingetragenen Suchpfad automatisch.

Werkseinstellungen Suchpfad: example.local Host-Name: SCALANCE



4.4.5 DNS-Server am lokalen Netz

Bild 4-4 Konfiguration DNS-Funktion

Das M875 stellt dem lokalen Netz einen DNS-Server zur Verfügung.

Wenn Sie in Ihrer lokalen Applikation die IP-Adresse des M875 als DNS-Server eintragen, dann beantwortet das M875 DNS-Anfragen aus seinem Cache. Falls das M875 die IP-Adresse zu einer Domain-Adresse nicht kennt, dann leitet es die Anfrage an einen externen DNS-Server weiter. Wie lange das M875 eine Domain-Adresse im Cache behält, ist abhängig vom adressierten Host. Die DNS-Anfrage an einen externen DNS-Server liefert außer der IP-Adresse auch die Lebensdauer dieser Information zurück. Als externe DNS-Server können Server des Netzbetreibers, Server im Internet oder Server im privaten, externen Netz verwendet werden.



Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Intern" > "Grundeinstellungen" > "DNS".

Benutzter Name-Server Wählen Sie aus der Klappliste, an welchen DNS-Server Anfragen weitergeleitet werden. Folgende Auswahl steht zur Verfügung:

Betreiberdefiniert: Beim Verbindungsaufbau der UMTS/GPRS-Verbindung

übermittelt der Netzbetreiber automatisch eine oder mehrere DNS-Server-Adressen, welche verwendet werden.

Benutzerdefiniert: Sie wählen als Anwender Ihre bevorzugten DNS-Server aus. Die DNS-Server können mit dem Internet verbunden sein, oder es kann sich um private DNS-Server in Ihrem Netz handeln.

Liste der benutzerdefinierten Name-Server Dieser Eintrag erscheint, wenn Sie die Option "Benutzerdefiniert" gewählt haben.

1. Um einen Name-Server anzulegen, klicken Sie auf die Schaltfläche "Neu".

2. Geben Sie in das Eingabefeld unter "IP-Adresse des Name-Servers" die IP-Adresse des gewünschten DNS-Servers ein.

3. Klicken Sie auf die Schaltfläche "Speichern".



Werkseinstellungen Benutzter Name-Server: Betreiberdefiniert Liste der benutzerdefinierten Name-ServerBei neuem Eintrag:

0.0.0.0

4.4.6 Zusätzliche interne Routen Wenn sich das lokale Netz in Subnetze aufteilt, können Sie zusätzliche Routen definieren, um Subnetze an das M875 zu koppeln.

Beschreibung der Oberfläche 1. Wählen Sie in der Navigation "Netzwerk Intern" > "Erweiterte Einstellungen" >

"Zusätzliche interne Routen".

2. Klicken Sie auf die Schaltfläche "Neu". Sie gelangen zur unten abgebildeten Seite.

Eine zusätzliche interne Route einrichten 1. Geben Sie unter "Netzwerk" die IP-Adresse des Subnetzwerks in das Eingabefeld ein.

2. Geben Sie unter "Gateway" die IP-Adresse des Gateways ein, über welches das Subnetz angeschlossen ist.

3. Klicken Sie abschließend auf die Schaltfläche "Speichern".

Zusätzliche Informationen finden Sie im Anhang Zusätzliche interne Routen (Seite 157).

Projektierung 4.5 Netzwerk Extern


Werkseinstellungen Vorgabe für neue Routen: Nein Netzwerk: 192.168.2.0/24 Gateway: 192.168.0.254

4.5 Netzwerk Extern

4.5.1 Externe Schnittstelle Die externe Schnittstelle des M875 verbindet das Gerät mit dem externen Netz. Dafür stehen die beiden Antennenbuchsen vom Typ SMA zur Verfügung. Zur Kommunikation wird an diesen Schnittstellen HSDPA, HSUPA, UMTS, EGPRS oder GPRS verwendet.

● Externe Netze

Externe Netze sind z. B. das Internet oder ein privates Intranet.

● Externe Gegenstellen

Externe Gegenstellen sind Netzwerkkomponenten im externen Netz, z. B. Webserver im Internet, Router im Intranet, ein zentraler Firmenserver oder ein Admin-PC.

In den folgenden Kapiteln wird beschrieben, wie die externe Schnittstelle und die damit verbundenen Funktionen projektiert werden.

4.5.2 UMTS/EDGE - Zugangsparameter

Bild 4-5 Konfiguration mit Zugang zum Internet



Für den Zugang zum GSM-Netz und den Diensten HSPA, UMTS, E/GPRS sind folgende Zugangsparameter erforderlich:

● Die PIN schützt die SIM-Karte vor unbefugter Benutzung des Geräts.

● Benutzername und Passwort schützen den Zugang zum Mobilfunknetz.

● Der APN (Access Point Name) ist der Name des Übergangspunkts vom Mobilfunknetz zu weiteren verbundenen IP-Netzen, hier zum Internet.

Sie erhalten diese Zugangsparameter von Ihrem Mobilfunkbetreiber.

Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "UMTS/EDGE".



PIN

Hinweis SIM-Karte ohne PIN

Das M875 arbeitet auch mit SIM-Karten ohne PIN. In diesem Fall geben Sie "NONE" in das Eingabefeld ein.

Wenn keine Eingabe erfolgt, wird das Eingabefeld der PIN nach dem Speichern rot umrandet. Die Funktion kann nicht ausgeführt werden. Bei Fehleingaben wird die SIM-Karte gesperrt

Achten Sie darauf, die PIN korrekt einzugeben. Wenn Sie die PIN öfter als 3 Mal falsch eingeben, wird die SIM-Karte gesperrt.

Zum Entsperren muss die Karte aus dem Gerät genommen, in ein Mobilfunktelefon eingesetzt werden und kann dann durch Eingabe der PUK wieder entsperrt werden. Setzen Sie sich gegebenenfalls mit Ihrem Mobilfunkbetreiber in Verbindung.

Von Ihrem Netzwerkbetreiber haben Sie eine PIN zu Ihrer SIM-Karte erhalten.

1. Geben Sie die PIN zu Ihrer SIM-Karte in das Eingabefeld ein.

2. Bestätigen Sie Ihre Eingabe durch Klick auf die Schaltfläche "Speichern" (nicht "Ändern").

● Ein grüner Punkt mit weißem Häkchen neben dem Eingabefeld zeigt an, dass die PIN erfolgreich im Gerät gespeichert wurde.

● Ein roter Punkt mit weißem Kreuz neben dem Eingabefeld zeigt an, dass die PIN falsch eingegeben wurde und / oder keine PIN im Gerät gespeichert wurde.

PIN ändern Sie haben die Möglichkeit, die PIN, die von Ihrem Netzwerkbetreiber auf der SIM gespeichert ist, nachträglich durch eine eigene PIN zu ersetzen. Klicken Sie dazu auf die Schaltfläche "Ändern".

Hinweis

Erkundigen Sie sich bei Ihrem Mobilfunkbetreiber, ob diese Funktion unterstützt wird.

1. Geben Sie in das Eingabefeld "Neue PIN" Ihre eigene PIN ein.

Die Eingabe wird durch verdeckte Zeichen angezeigt.

2. Wiederholen Sie die Eingabe im nächsten Eingabefeld.

3. Bestätigen Sie Ihre Eingabe durch Klick auf die Schaltfläche "Setzen".

Eine Meldung erscheint mit der Information, dass die PIN entweder erfolgreich geändert wurde oder nicht geändert werden konnte.

4. Bestätigen Sie diese Meldung durch Klicken auf die Schaltfläche "OK".

Dadurch gelangen Sie automatisch zurück zur Seite "Netzwerk Extern - UMTS/EDGE".



Netzauswahl Wählen Sie aus der Klappliste den Typ des Mobilfunknetzes aus, der verwendet wird. Folgende Optionen stehen zur Auswahl:

UMTS oder GSM: Alle verfügbaren Dienste.

Das Gerät versucht bevorzugt, eine Verbindung mit dem UMTS-Netz herzustellen.

Nur GSM: Die Dienste EGPRS und GPRS Das Gerät ignoriert das UMTS-Netz und baut eine Verbindung zu dem GSM-Dienst auf, der vor Ort die höchste Bandbreite zur Verfügung stellt.

Nur UMTS: Der Dienst UMTS Das Gerät ignoriert die Dienste EGPRS und GPRS und baut eine Verbindung im UMTS-Netz auf.

Roaming erlauben Legen Sie fest, ob sich das Gerät automatisch bei einem anderen Netz anmelden soll, falls das festgelegte GSM-Netz nicht erreichbar ist. Wählen Sie dazu aus der Klappliste eine der beiden Optionen:

Ja: Das Gerät meldet sich automatisch bei einem verfügbaren Netz an.

Nein: Das Gerät meldet sich nicht automatisch bei einem verfügbaren Netz an.

Methode der Authentifizierung Wählen Sie aus der Klappliste eine Methode aus, nach dem Benutzername und Passwort des Geräts zum Kommunikationspartner übertragen werden sollen:

Automatisch Benutzername und Passwort werden automatisch mit einer

der beiden folgenden Methoden übertragen. CHAP hat die höhere Priorität. Wenn der Kommunikationspartner CHAP nicht unterstützt, werden Benutzername und Passwort per PAP übertragen.

CHAP Verschlüsselte Übertragung von Benutzername und Passwort über das Challenge Handshake Authentication Protocol (CHAP)

PAP Unverschlüsselte Übertragung von Benutzername und Passwort über das Password Authentication Protocol (PAP)

Modus der Betreiberauswahl Sie haben die Möglichkeit, die Zugangsparameter eines Mobilfunkbetreibers selbst manuell einzugeben, oder das M875 wählt die passenden Zugangsparameter aus einer Liste von Betreibern automatisch aus. Die automatische Auswahl erfolgt anhand der PLMN-Kennung auf der SIM-Karte, siehe unten.



Wählen Sie aus der Klappliste eine der beiden Optionen:

Manuell: Geben Sie Benutzername, Passwort und APN für den

Mobilfunkdienst händisch ein. Automatisch: Auf der Weboberfläche erscheint die "Liste der

Mobilfunkbetreiber", wie oben abgebildet. Werkseitig sind bereits die Zugangsdaten von vier Netzwerkbetreibern eingestellt, siehe Tabelle unten.

Liste der Mobilfunkbetreiber Tragen Sie hier die relevanten Daten Ihres Zugangs zum GSM-Netz ein.

Betreiber Geben Sie in das Eingabefeld eine Bezeichnung für den Mobilfunkdienst an, z. B. "Mein GPRS-Zugang".

Netz-ID (PLMN) Jeder Mobilfunkbetreiber hat eine weltweit einmalig vergebene Identifikationsnummer, die PLMN. Diese Kennung, hier Netz-ID genannt, ist auf der SIM-Karte gespeichert. Das M875 liest die PLMN automatisch von der SIM-Karte aus und wählt die entsprechenden Zugangsdaten aus der "Liste der Mobilfunkbetreiber".

APN Der APN (Access Point Name) ist der DNS-Host-Name des Zugangspunkts eines Netzwerkbetreibers zu einem externen Paketdatennetz wie UMTS, GPRS etc.

Geben Sie in das Eingabefeld den APN Ihres Mobilfunkbetreibers ein.

Benutzername Geben Sie in das Eingabefeld den Benutzernamen ein, den Ihnen Ihr Mobilfunkbetreiber mitgeteilt hat.

Einige Betreiber verzichten auf die Zugangskontrolle durch einen Benutzernamen. In diesem Fall tragen Sie in das Eingabefeld "guest" ein.

Passwort Geben Sie in das Eingabefeld das Passwort des entsprechenden Anbieters ein.



Einige Mobilfunkbetreiber verzichten auf die Zugangskontrolle durch ein Passwort. In diesem Fall tragen Sie in das Eingabefeld "guest" ein.

Hinweis Suche nach APN, Benutzername und Passwort

Informationen über diese Zugangsdaten erhalten Sie von Ihrem Mobilfunkbetreiber oder über das Internet.

Geben Sie in eine Suchmaschine z. B. die Stichworte "APN Mobilfunkanbieter" ein. Das Suchergebnis liefert eine Übersicht verschiedener Betreiber mit den benötigten Zugangsparametern.

Werkseinstellungen

Vorbelegung bei manueller Auswahl des Mobilfunkbetreibers

In den Werkseinstellungen ist der "Modus der Betreiberauswahl" mit "Manuell" vorbelegt. In diesem Fall sind folgende Werte vorbelegt:

PIN: NONE APN: NONE Benutzername: guest Passwort: guest

Vorbelegung bei automatischer Auswahl des Mobilfunkbetreibers

Bei automatischer Auswahl des Mobilfunkbetreibers sind folgende Werte vorbelegt:

1. Betreiber: T-Mobile PLMN-Kennung: 26201 APN: internet.t-mobile Benutzername: guest Passwort: guest 2. Betreiber: Vodafone PLMN-Kennung: 26202 APN: web.vodafone.de Benutzername: guest Passwort: guest 3. Betreiber: Eplus PLMN-Kennung: 26203 APN: internet.eplus.de Benutzername: guest



Passwort: guest 4. Betreiber: O2 PLMN-Kennung: 26207 APN: internet Benutzername: guest Passwort: guest n. Betreiber: NONE PLMN-Kennung: NONE APN: NONE Benutzername: NONE Passwort: NONE

4.5.3 Installationsmodus - Antennen ausrichten Zur optimalen Ausrichtung der Antenne, die an Buchse A1 angeschlossen ist, steht Ihnen der Installationsmodus zur Verfügung. Diese Funktion erleichtert es Ihnen, die Signalstärke an verschiedenen Antennenpositionen zu testen.

Die Angaben auf der Seite "Installationsmodus" werden in Abständen von wenigen Sekunden aktualisiert. Dadurch erhalten Sie schnell Auskunft über die Signalqualität an den Testpositionen, um die optimale Position festlegen zu können.

Für den Installationsmodus ist keine Mobilfunkverbindung notwendig.

Hinweis Neustart beim Aktivieren und Deaktivieren

Wenn Sie die Funktion "Installationsmodus" aktivieren oder deaktivieren, dann wird beim Klicken auf die Schaltfläche "Speichern" automatisch ein Neustart des Geräts durchgeführt.

Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Installationsmodus".

Werkseitig ist der Installationsmodus deaktiviert.

1. Um die Funktion zu aktiveren, wählen Sie aus der Klappliste eine Zeit aus, während der der Installationsmodus aktiviert ist (15 / 30 / 60 / 120 Minuten).

2. Klicken Sie auf die Schaltfläche "Speichern". Das M875 führt einen Neustart durch und die nachfolgend beschriebenen Einträge erscheinen.

3. Sie können die eingeschaltete Funktion durch Auswahl der Option "Nein" vorzeitig beenden.



Status der aktuellen Funkzelle In diesem Bereich der Seite finden Sie Angaben, die sich auf die Mobilfunkzelle beziehen, in die sich das M875 aktuell eingebucht hat.

Status der benachbarten Funkzellen In diesem Bereich der Seite finden Sie Angaben zu den benachbarten, verfügbaren Mobilfunkzellen.

Angaben zur Funkzelle

Signalstärke

● Die Balkenanzeige gibt die Stärke des GSM-Signals an.

● Die Ziffern über der Balkenanzeige geben den CSQ-Wert des Signals an.

● Der dBm-Wert wird in Klammern hinter dem CSQ-Wert angegeben.

ID der Funkzelle

Kennung für die Funkzelle im Mobilfunknetz

LAC (Location Area Code)

Kennung für den aktuellen Aufenthaltsbereich des M875 innerhalb des Mobilfunknetzes

ARFCN (Absolute Radio Frequency Channel Number)

Anhand der ARFCN lassen sich die Uplink- und Downlink-Frequenzen berechnen.

BSIC (Base Station Identity Code)

Diese Kennung dient dazu, benachbarte Kanäle mit Überschneidung der Frequenzbänder unterscheiden zu können.

4.5.4 Volumenüberwachung Diese Funktion überwacht, wann ein festgelegter Grenzwert bei der Datenübertragung erreicht wird. Die Obergrenze, die Sie selbst festlegen, definiert das maximale Datenvolumen pro Monat.

Das aktuelle Datenvolumen des jeweiligen Monats und die Obergrenze werden auf der Seite "System - Status" unter dem Eintrag "Überblick" angezeigt.

Das M875 kann automatisch Nachrichten per SMS verschicken, sobald 80% und 100% des festgelegten Datenvolumens erreicht sind.

Werkseitig ist die Volumenüberwachung ausgeschaltet.



Hinweis

Das hier ermittelte Datenvolumen pro Monat kann aufgrund von Blockrundungen oder unterschiedlichen Abrechnungszeiträumen deutlich von der Abrechnung Ihres Mobilfunkbetreibers abweichen.

Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Volumenüberwachung".

Volumenüberwachung aktivieren Folgende Optionen stehen zur Verfügung:

Ja: Die Volumenüberwachung ist eingeschaltet.

Nein: Die Volumenüberwachung ist ausgeschaltet.



Übertragene Bytes seit Monatsbeginn Dieser Zähler gibt das Datenvolumen in Byte an, das seit Anfang des Monats über das M875 übertragen wurde.

Am Ersten eines Monats wird der Zähler automatisch zurückgesetzt. Wenn Sie auf die Schaltfläche "Zurücksetzen" klicken, wird der Zähler manuell auf 0 gesetzt.

Maximales Datenvolumen in Byte pro Monat Geben Sie in das Eingabefeld den Grenzwert des monatlichen Datenvolumens in Byte ein.

Werkseitig ist der Wert auf 1.000.000 Byte eingestellt.

SMS-Versand, wenn 80% des max. Datenvolumens erreicht sind Damit das M875 eine Warn-SMS verschickt, sobald 80 % des Datenvolumens erreicht sind, nehmen Sie folgende Einstellungen vor:

1. Aktivieren Sie die SMS-Funktion, indem Sie aus der Klappliste die Option "Ja" wählen.

2. Geben Sie die Rufnummer eines Teilnehmers ein, der SMS-Nachrichten empfangen kann.

3. Ändern Sie gegebenenfalls den werkseitig eingestellten Mitteilungstext.


SMS-Versand, wenn 100% des max. Datenvolumens erreicht sind Damit das M875 eine Alarm-SMS verschickt, sobald 100 % des Datenvolumens erreicht sind, nehmen Sie folgende Einstellungen vor:

1. Aktivieren Sie die SMS-Funktion, indem Sie aus der Klappliste die Option "Ja" wählen.

2. Geben Sie die Rufnummer eines Teilnehmers ein, der SMS-Nachrichten empfangen kann.

3. Ändern Sie gegebenenfalls den werkseitig eingestellten Mitteilungstext.


Werkseinstellungen Volumenüberwachung aktivieren: Nein (ausgeschaltet) Max. Datenvolumen in Byte seit Monatsbeginn: 1.000.000 SMS-Versand, wenn 80% des max. Datenvolumens erreicht sind Aktivieren: Ja: Eingeschaltet

Nein: Ausgeschaltet Rufnummer: Rufnummer des Empfänger-Telefons Nachrichtentext: Warning:Max_Data_Volume_nearly_ reached



SMS-Versand, wenn 100% des max. Datenvolumens erreicht sind Aktivieren: Ja: Eingeschaltet

Nein: Ausgeschaltet Rufnummer: Rufnummer des Empfänger-Telefons Nachrichtentext: Alert:Max_Data_Volume_reached

4.5.5 Prüfen der Verbindung - Verbindungsüberwachung

Bild 4-6 Verbindungsüberwachung

Mit der Funktion "Prüfen der Verbindung" überprüft das M875 seine Verbindung zum Mobilfunknetz und zu den angeschlossenen externen Netzen, z. B. dem Internet oder einem Intranet. Dazu sendet das M875 in regelmäßigen Abständen Ping-Pakete (ICMP) an bis zu vier projektierbare Gegenstellen. Der Versand von Ping-Paketen erfolgt unabhängig von den Nutzdatenverbindungen. Wenn das M875 von mindestens einer der Gegenstellen eine Antwort erhält, bedeutet das, dass das Gerät noch mit dem Mobilfunkdienst verbunden und somit betriebsbereit ist.

Einige Mobilfunkbetreiber unterbrechen die Verbindungen bei Inaktivität. Dem wird durch die Funktion "Prüfen der Verbindung" vorgebeugt.


Durch das Versenden der Ping-Pakete steigt das Datenaufkommen auf der UMTS/GPRS-Verbindung. Abhängig von Ihrem Teilnehmervertrag mit dem Mobilfunkbetreiber, können damit erhöhte Kosten verbunden sein.



Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Erweiterte Einstellungen" > "Prüfen der Verbindung".

Prüfen der Verbindung Folgende Optionen stehen zur Verfügung:

Ja: Die Verbindungsüberwachung ist eingeschaltet.

Nein: Die Verbindungsüberwachung ist ausgeschaltet.

Hinweis Neustart nach Ausschalten der Funktion

Wenn die Verbindungsüberwachung eingschaltet ist und Sie deaktivieren die Funktion, dann müssen Sie das M875 neu starten, damit die Änderung übernommen wird.



Liste der Ziel-Hosts

Hinweis Erreichbarkeit der Gegenstellen

Um den Ping jederzeit beantworten zu können, müssen die Gegenstellen ständig erreichbar sein. Wählen Sie daher eine Gegenstelle, deren Erreichbarkeit Sie selbst beeinflussen können.

Tragen Sie in die einzelnen Eingabefelder jeweils den Host-Namen einer Gegenstelle ein.

Intervall für Verbindungsprüfung (Minuten) Legen Sie mit Ihrer Eingabe einen Zeitraum in Minuten fest, nach dem die Verbindungsprüfung wiederholt wird.

Anzahl der erlaubten Fehlversuche Legen Sie mit Ihrer Eingabe die Anzahl der Fehlversuche fest, nach denen die ausgewählte "Aktion bei fehlerhafter Verbindung" (siehe unten) ausgelöst wird.

Funktionsweise

Wenn mindestens eine der Gegenstellen auf das Ping-Paket antwortet, gilt der Verbindungstest als bestanden.

Wenn keine Gegenstelle antwortet, zählt das als Fehlversuch. Nach Ablauf des oben festgelegten Zeitraums wird die Verbindungsprüfung so oft wiederholt, bis die Anzahl der erlaubten Fehlversuche erreicht ist. Danach wird die gewählte "Aktion bei fehlerhafter Verbindung" (siehe unten) ausgelöst.

Sobald eine Gegenstelle auf den Verbindungstest antwortet, wird der Zähler für Fehlversuche zurückgesetzt.

Aktion bei fehlerhafter Verbindung Wählen Sie eine der folgenden Optionen aus der Klappliste: Verbindung erneuern: Nach Ablauf der erlaubten Fehlversuche baut das M875 die

Verbindung zum UMTS/GPRS-Netz neu auf. Neustart des M875: Nach Ablauf der erlaubten Fehlversuche wird ein Neustart des

M875 durchgeführt, siehe auch Kapitel Neustart (Seite 140).

Werkseinstellungen Prüfen der Verbindung: Nein (ausgeschaltet) Host-Namen: - Intervall für Verbindungsprüfung: 5 (Minuten) Anzahl der erlaubten Fehlversuche:

3 (Fehlversuche)

Aktion bei fehlerhafter Verbindung: Verbindung erneuern



4.5.6 Host-Name durch DynDNS

Bild 4-7 Konfiguration der DynDNS-Anbindung

Auch wenn Applikationen keine feste IP-Adresse haben und nicht unter einem Host-Namen registriert sind, ist es möglich, sie im Internet erreichbar zu machen. Das geht mit einem Dynamischen Domain Name System (DynDNS).

Wenn Sie das M875 bei einem DynDNS-Dienst anmelden, dann ist das Gerät aus dem externen Netz auch unter einem Host-Namen erreichbar, z. B. "myName.dyndns.org".

Voraussetzungen Beachten Sie, dass nur öffentliche IP-Adressen per DynDNS-Dienst bekannt gegeben werden können.

Außerdem muss die Erreichbarkeit der IP-Adresse aus dem Internet von Ihrem Netzwerkbetreiber freigegeben sein.

DynDNS-Anbieter Das M875 ist kompatibel mit den DNS-Diensten, die von DynDNS.org bereitgestellt werden.



Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Erweiterte Einstellungen" > "DynDNS".

Dieses Gerät an einem DynDNS-Server anmelden Wählen Sie aus der Klappliste "Ja".

Folgende Optionen stehen zur Verfügung: Ja: Anmeldung an einen DynDNS-Dienst.

Nein: Keine Anmeldung an einen DynDNS-Dienst.

Benutzername und Passwort Geben Sie hier den Benutzernamen und das Passwort ein, dass Sie zur Nutzung des DynDNS-Service berechtigt. Ihr DynDNS-Anbieter teilt Ihnen diese Angaben mit.

Host-Name des DynDNS-Servers Geben Sie hier den Host-Namen ein, den Sie für das M875 mit Ihrem DynDNS-Anbieter vereinbart haben, z. B. myName.dyndns.org.

Hinweis Erfolgreiche Anmeldung

Informationen darüber, ob die Anmeldung bei einem DNS-Dienst erfolgreich war, finden Sie im Logbuch.

Werkseinstellungen Dieses Gerät an einem DynDNS Server anmelden: Nein (ausgeschaltet) Benutzername: guest Passwort: guest Host-Name des DynDNS-Servers: myname.dyndns.org



4.5.7 SRS - Siemens Remote Service

Hinweis

Mithilfe der Dienstleistungen des "SIMATIC Remote Support Services" kann ein Fernzugriff auf Maschinen und Anlagen zur Verfügung gestellt werden.

Zur Nutzung dieses Services sind zusätzliche Service-Vereinbarungen notwendig und Randbedingungen zu beachten. Bei Interesse am Siemens Remote Service wenden Sie sich an Ihren Siemens-Ansprechpartner vor Ort.

Bei aktiviertem Siemens Remote Service übermittelt das M875 seine vom UMTS/EDGE-Dienst zugewiesene externe IP-Adresse an einen einstellbaren Ziel-Server. Die Übertragung erfolgt über das gesicherte HTTPS-Protokoll.

Das Verfahren ist vergleichbar mit dem DynDNS-Dienst und erfordert einen entsprechenden Zugang auf der Server-Seite.

Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Erweiterte Einstellungen" > "SRS".

Siemens Remote Service verwenden Folgende Optionen stehen zur Auswahl:

Ja: Siemens Remote Service verwenden.

Nein: Siemens Remote Service nicht verwenden.

Wählen Sie zur Verwendung des Siemens Remote Service die Option "Ja" in der Klappliste.



Intervall zur Aktualisierung (Sekunden) Geben Sie eine Zeitspanne in Sekunden ein, nach der die IP-Adresse des M875 an den unten festgelegten Ziel-Server übertragen wird.

Siemens Remote Service Anmeldungen Klicken Sie zur Anmeldung am Siemens Remote Service auf die Schaltfläche "Neu".

● Zieladresse

Geben Sie die IP-Adresse des Ziel-Servers ein.

● Gruppe

Geben Sie den Gruppennamen ein.

● Benutzername

Geben Sie den Benutzernamen für den Zugang am Ziel-Server ein.

● Passwort

Geben Sie das Passwort für den Zugang am Ziel-Server ein.

Hinweis Erlaubte Zeichen für Benutzername und Passwort: a b c d e f g h I j k l m n o p q r s t u v w x y z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0 1 2 3 4 5 6 7 8 9

Werkseinstellungen Siemens Remote Service verwenden: Nein (ausgeschaltet) Intervall zur Aktualisierung (Sekunden):

900

Zieladresse: 0.0.0.0 Gruppe: group Benutzername: user Passwort: pass



4.5.8 NAT - Network Address Translation

NAT Das Gerät kann mit NAT bei ausgehenden Telegrammen die angegebenen Absender-IP-Adressen aus seinem internen Netzwerk auf seine eigene externe Adresse umschreiben. NAT wird benutzt, wenn die internen Adressen extern nicht weitergeleitet werden können oder sollen, z. B. weil ein privater Adressbereich wie 192.168.x.x benutzt wird, oder weil die interne Netzstruktur verborgen werden soll. Dieses Verfahren wird auch IP-Masquerading genannt.

Aufruf der Webseite Wählen Sie in der Navigation "Netzwerk Extern" > "Erweiterte Einstellungen" > "NAT".

Auf der Seite "NAT" werden die festgelegten Regeln aufgelistet. Außerdem haben Sie die Möglichkeiten, neue Regeln zu setzen bzw. Regeln zu löschen.

NAT im externen Netz verwenden Wählen Sie aus der Klappliste die Option "Ja".

Folgende Optionen stehen zur Auswahl:

Ja: NAT-Funktion ist eingeschaltet.

Nein: NAT-Funktion ist eingeschaltet.

NAT für folgende Netze verwenden Geben Sie in das Eingabefeld die Netzwerke an, für die NAT genutzt wird. Geben Sie einen Adressbereich in der CIDR-Schreibweise ein.

Werkseinstellungen NAT im externen Netz verwenden: Ja (eingeschaltet) IP-Adressbereich (CIDR-Notation): 0.0.0.0/0

Projektierung 4.6 Sicherheit


4.6 Sicherheit

4.6.1 Firewall-Regeln Zu den Sicherheitsfunktionen des M875 gehört eine Stateful Inspection Firewall. Dabei handelt es sich um eine Methode der Paketfilterung bzw. Paketüberprüfung. Die IP-Pakete werden anhand von Firewall-Regeln geprüft, in denen Folgendes festgelegt wird:

● Die erlaubten Protokolle

● IP-Adressen und Ports der erlaubten Quellen

● IP-Adressen und Ports der erlaubten Ziele

Wenn ein IP-Paket den festgelegten Parametern entspricht, dann darf es die Firewall passieren.

Zusätzlich wird festgelegt, wie mit IP-Paketen verfahren wird, welche die Firewall nicht passieren dürfen.

Einfache Paketfiltertechniken benötigen pro Verbindung zwei Firewall-Regeln:

● Eine Regel für Anfragerichtung von der Quelle zum Ziel.

● Eine zweite Regel für die Antwortrichtung vom Ziel zur Quelle.

Bei einer Stateful Inspection Firewall hingegen müssen Sie nur eine Firewall-Regel für die Anfragerichtung von der Quelle zum Ziel festlegen, da die zweite Regel implizit hinzugefügt wird. Der Paketfilter merkt sich, wenn z. B. Rechner "A" mit Rechner "B" kommuniziert und erlaubt nur dann Antworten darauf. Nach Eintreffen der Antwort oder nach einer festgelegten Zeitüberschreitung dürfen keine weiteren IP-Pakete von Rechner "B" passieren. Eine Anfrage von Rechner "B" ist somit ohne vorherige Anforderung durch Rechner "A" nicht möglich.

Durch besondere Verfahren besteht die Möglichkeit, dass UPD-Daten und ICMP-Daten passieren dürfen, auch wenn diese Daten zuvor nicht angefordert wurden.



Aufruf der Webseite Wählen Sie in der Navigation "Sicherheit" > "Firewall-Regeln".

Anlegen von Firewall-Regeln Werkseitig sind keine Firewall-Regeln gesetzt. Somit dürfen keine IP-Pakete passieren.

Um Firewall-Regeln zu definieren, damit IP-Pakete passieren dürfen, gehen Sie wie folgt vor:

1. Klicken Sie im Bereich der eingehenden Firewall-Regeln auf die Schaltfläche "Neu".

2. Klicken Sie im Bereich der ausgehenden Firewall-Regeln auf die Schaltfläche "Neu".

Hinweis Anzeige der Firewall-Regeln

Wenn Sie so viele Firewall-Regeln anlegen, dass die Liste durch das Fenster des Webbrowsers begrenzt wird, dann aktualisieren Sie die Ansicht des Webbrowsers mit der Funktionstaste F5.

Eingehende Firewall-Regeln In diesem Bereich legen Sie fest, wie mit IP-Paketen verfahren wird, die aus dem externen Netz empfangen werden.

Der Absender der IP-Pakete gilt als Quelle. Die lokalen Applikationen am M875 gelten als Ziel.

Folgende Angaben sind erforderlich:



● Protokoll

Wählen Sie aus der Klappliste ein Protokoll aus, auf das diese Regel angewendet wird. Folgende Optionen stehen zur Auswahl:

– Alle (Bedeutung: TCP + UDP)

– TCP

– UDP

– ICMP

● Von IP-Adresse

Tragen Sie in das Eingabefeld die IP-Adresse oder den IP-Bereich der externen Gegenstellen ein, von denen IP-Pakete empfangen werden dürfen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise.

Der werkseitige Eintrag "0.0.0.0/0" steht für alle Adressen.

● Von Port

Legen Sie den Port einer externen Gegenstelle fest, von dem IP-Pakete empfangen werden dürfen. Geben Sie dazu die Portnummer in das Eingabefeld ein.

Diese Angabe wird nur ausgewertet, wenn Sie als Protokoll "TCP", "UDP" oder "Alle" gewählt haben.

● Nach IP-Adresse

Geben Sie in das Eingabefeld die IP-Adresse oder den IP-Bereich der lokalen Applikationen an, an die IP-Pakete gesendet werden dürfen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise.


● Nach Port

Legen Sie den Port einer lokalen Applikation fest, an den IP-Pakete gesendet werden dürfen. Geben Sie dazu die Portnummer in das Eingabefeld ein.


● Aktion

Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit den eintreffenden IP-Paketen verfahren wird:

Erlauben: Die IP-Pakete dürfen passieren.

Zurückweisen: Die IP-Pakete werden abgewiesen, und der Absender erhält eine entsprechende Rückmeldung.

Verwerfen: Die IP-Pakete werden ohne Rückmeldung an den Absender gelöscht.



● Log

Legen Sie für jede Firewall-Regel einzeln fest, ob ein Ereignis bei Greifen der Regel im Firewall-Logbuch protokolliert wird.

Nähere Informationen finden Sie im Kapitel Firewall-Logbuch (Seite 86).

Wählen Sie die entsprechende Option aus der Klappliste.

Ja: Logbuch-Eintrag.

Nein: Kein Logbuch-Eintrag.

Logbuch-Einträge für unbekannte eingehende Verbindungsversuche Legen Sie fest, ob die Verbindungsversuche, die nicht von den festgelegten Regeln erfasst werden, protokolliert werden.


Ja: Logbuch-Eintrag

Nein: Kein Logbuch-Eintrag

Ausgehende Firewall-Regeln In diesem Bereich legen Sie fest, wie mit IP-Paketen verfahren wird, die vom lokalen Netz versendet werden.

Eine lokale Applikation am M875, die IP-Pakete versendet, gilt als Quelle. Eine externe Gegenstelle, z. B. im Internet, gilt als Ziel.

● Protokoll

Wählen Sie aus der Klappliste ein Protokoll aus, auf das diese Regel angewendet wird. Folgende Optionen stehen zur Auswahl:

– Alle (Bedeutung: TCP + UDP)

– TCP

– UDP

– ICMP

● Von IP-Adresse

Tragen Sie in das Eingabefeld die IP-Adresse oder den IP-Bereich der lokalen Applikationen ein, die IP-Pakete ins externe Netz senden dürfen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise.




● Von Port

Legen Sie den Port fest, von dem die lokale Applikation IP-Pakete senden darf. Geben Sie dazu die Portnummer in das Eingabefeld ein.


● Nach IP-Adresse

Geben Sie in das Eingabefeld die IP-Adresse oder den IP-Bereich der externen Gegenstellen an, an die IP-Pakete gesendet werden dürfen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise.


● Nach Port

Legen Sie fest, an welchen Port die externe Gegenstelle IP-Pakete senden darf. Geben Sie dazu die Portnummer in das Eingabefeld ein.


● Aktion

Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit den ausgehenden IP-Paketen verfahren wird:




● Log



Wählen Sie die entsprechende Option aus der Klappliste: Ja: Logbuch-Eintrag


Logbuch-Einträge für unbekannte ausgehende Verbindungsversuche Legen Sie fest, ob die Verbindungsversuche, die nicht von den festgelegten Regeln erfasst werden, protokolliert werden.

Wählen Sie die entsprechende Option aus der Klappliste. Ja: Logbuch-Eintrag




Werkseinstellungen

Eingehende Firewall-Regeln

Eingehende Firewall-Regeln: Keine (alles gesperrt) Protokoll: Alle Von IP-Adresse: 0.0.0.0/0 Von Port: ANY Nach IP-Adresse: 0.0.0.0/0 Nach Port: ANY Aktion: Erlauben Log: Nein (ausgeschaltet) Logbuch-Einträge für unbekannte eingehende Verbindungsversuche:

Nein (ausgeschaltet)

Ausgehende Firewall-Regeln

Ausgehende Firewall-Regeln: Keine (alles gesperrt) Protokoll: Alle Von IP-Adresse: 0.0.0.0/0 Von Port: ANY Nach IP-Adresse: 0.0.0.0/0 Nach Port: ANY Aktion: Erlauben Log: Nein (ausgeschaltet) Logbuch-Einträge für unbekannte ausgehende Verbindungsversuche:


4.6.2 Port-Weiterleitung Eine weitere Sicherheitsfunktion des M875 ist die Port-Weiterleitung. Für die Port-Weiterleitung müssen Sie ebenfalls Regeln erstellen.

Wenn ein Telegramm aus dem externen Netz auf einem festgelegten Port eintrifft, wird der Header des Telegramms umgeschrieben. Durch die Regeln der Port-Weiterleitung kann das Telegramm an eine definierte IP-Adresse an einem definierten Port weitergeleitet werden.

Dieses Verfahren wird auch Destination-NAT genannt.

Die Port-Weiterleitung kann für die Protokolle TCP oder UDP konfiguriert werden.



Hinweis Firewall-Regel für Port-Weiterleitung

Damit ankommende Telegramme an die definierte IP-Adresse im lokalen Netz weitergeleitet werden, müssen Sie für diese IP-Adresse auch eine entsprechende eingehende Firewall-Regel einrichten. Nähere Informationen finden Sie im Kapitel Firewall-Regeln (Seite 78).

Aufruf der Webseite Wählen Sie in der Navigation "Sicherheit" > "Port-Weiterleitung".

Liste der Regeln zur Weiterleitung Definieren Sie anhand der nachfolgenden Parameter eine Regel zur Port-Weiterleitung.

Um eine weitere Regel hinzuzufügen, klicken Sie auf die Schaltfläche "Neu".

Um eine bestehende Regel zu entfernen, klicken Sie die Schaltfläche "Löschen".

Speichern Sie Ihre Einstellungen durch Klicken auf die Schaltfläche "Speichern".

● Protokoll

Wählen Sie aus der Klappliste ein Protokoll aus, auf das die Regel angewendet wird. Zur Auswahl stehen:

– TCP

– UDP

● Trifft ein auf Port

Legen Sie fest, auf welchem Port die weiterzuleitenden Telegramme aus dem externen Netz eintreffen. Geben Sie dazu die Portnummer in das Eingabefeld ein.

● Wird weitergeleitet an IP-Adresse

Legen Sie fest, an welche lokale Applikation die eintreffenden Telegramme weitergeleitet werden. Geben Sie dazu die IP-Adresse der lokalen Applikation in das Eingabefeld ein.



● Wird weitergeleitet an Port

Legen Sie den Port zur IP-Adresse der lokalen Applikation fest. Geben Sie dazu die Portnummer in das Eingabefeld ein.

● Logbuch-Eintrag

Legen Sie fest, ob ein Ereignis bei Greifen der Regel im Firewall-Logbuch protokolliert wird.



Ja: Logbuch-Eintrag


Werkseinstellungen Protokoll: TCP Trifft ein auf Port: 80 Wird weitergleitet an IP-Adresse: 127.0.0.1 Wird weitergeleitet an Port: 80 Logbuch-Eintrag: Nein (ausgeschaltet)

4.6.3 Erweiterte Sicherheitsfunktionen Die erweiterten Sicherheitsfunktionen dienen dazu, das M875 und die angeschlossenen lokalen Applikationen gegen Angriffe zu schützen. Dabei wird von der Annahme ausgegangen, dass im normalen Betrieb eine bestimmte Anzahl von Verbindungen oder eine bestimmte Anzahl von Ping-Paketen nicht überschritten wird. Legen Sie für diese eingehenden und ausgehenden Pakete Obergrenzen fest. Wenn die festgelegten Obergrenzen überschritten werden, dann werden alle weiteren Pakete abgewiesen.

Aufruf der Webseite Wählen Sie in der Navigation "Sicherheit" > "Erweitert". Die Seite "Sicherheit - Erweitert" erscheint mit den nachfolgend beschriebenen Einträgen (Werkseinstellungen) und Eingabemöglichkeiten.

Werkseinstellungen Die Werkseinstellungen sind so gewählt, dass sie bei normalem Betrieb nie erreicht werden. Wenn allerdings ein Angriff stattfindet, dann können die unten angegebenen Obergrenzen sehr leicht überschritten werden.

Wenn in Ihrer Betriebsumgebung besondere Anforderungen vorliegen, dann geben Sie in die Eingabefelder entsprechende Werte ein.



Maximale Anzahl neuer eingehender TCP-Verbindungen pro

Sekunde: 25

Maximale Anzahl neuer ausgehender TCP-Verbindungen pro Sekunde:

75

Maximale Anzahl neuer eingehender Ping-Pakete pro Sekunde: 3

Maximale Anzahl neuer ausgehender Ping-Pakete pro Sekunde: 5

ICMP von extern: Verwerfen

ICMP von extern Legen Sie fest, wie mit ICMP-Paketen verfahren wird, die aus dem externen Netz in Richtung des M875 gesendet werden.


Durch das Versenden und Beantworten der ICMP-Pakete steigt das Datenaufkommen auf der UMTS/GPRS-Verbindung. Abhängig von Ihrem Teilnehmervertrag mit dem Mobilfunkbetreiber können damit erhöhte Kosten verbunden sein.

Wählen Sie aus der Klappliste eine der folgenden Optionen:

Erlauben: Alle Arten von ICMP-Paketen werden akzeptiert und beantwortet.

Ping erlauben: Nur Ping-Pakete werden akzeptiert und beantwortet.

Verwerfen: Alle Arten von ICMP-Paketen werden geblockt.

4.6.4 Firewall-Logbuch Im Firewall-Logbuch wird eingetragen, wann einzelne Firewall-Regeln angewendet wurden. Dazu müssen Sie bei den einzelnen Firewall-Regeln und bei den Regeln zur Port-Weiterleitung die Log-Funktion aktivieren.

Sie können sich das Firewall-Logbuch mit einem Texteditor ansehen oder die Log-Datei auf Ihrem Admin-PC abspeichern.

Aufruf der Webseite Wählen Sie in der Navigation "Sicherheit" > "Firewall-Logbuch".

Klicken Sie auf die Schaltfläche "Download". Ein Dialog zum Öffnen und Speichern der Log-Datei erscheint. Wählen Sie die gewünschte Option und folgen Sie den Anweisungen in den angezeigten Dialogfeldern.

Projektierung 4.7 IPsec-VPN - Virtual Private Network


Hinweis

Die Eintragungen im Firewall-Logbuch gehen bei einem Neustart verloren.

4.7 IPsec-VPN - Virtual Private Network

VPN-Tunnel

Bild 4-8 Konfigurationsbeispiel VPN-Verbindung

Das M875 kann das lokale Netz über einen VPN-Tunnel mit einem befreundeten, entfernten Netz verbinden. Die Telegramme, die zwischen beiden Netzen ausgetauscht werden, werden verschlüsselt und sind durch den VPN-Tunnel gegen unerlaubte Manipulationen geschützt. So können auch ungeschützte, öffentliche Netze wie das Internet zum Transport der Daten verwendet werden, ohne die Vertraulichkeit oder Datenintegrität zu gefährden.

Damit das M875 einen VPN-Tunnel aufbauen kann, muss das entfernte Netz über ein VPN-Gateway als Gegenstation verfügen.

4.7.1 Erläuterungen zu VPN-Verbindungen

Das IPsec-Verfahren Das M875 verwendet für den VPN-Tunnel das IPsec-Verfahren im Tunnelmodus. Dabei werden die zu übertragenden Telegramme vollkommen verschlüsselt und mit einem neuen Header versehen, bevor sie zum VPN-Gateway der Gegenstelle gesendet werden. Von der Gegenstelle werden die empfangenen Telegramme entschlüsselt an den Empfänger weitergeleitet.



Roadwarrior-Modus und Standard-Modus Unterschieden werden zwei Modi der VPN-Verbindungen:

● Roadwarrior-Modus

Im Roadwarrior-Modus kann das M875 bis zu 10 VPN-Verbindungen von Gegenstellen mit unbekannter Adresse annehmen. Diese Gegenstellen können z. B. Gegenstellen im mobilen Einsatz sein, die ihre IP-Adresse dynamisch beziehen. Parallel dazu können VPN-Verbindungen im Standard-Modus betrieben werden. Die VPN-Verbindung muss durch die Gegenstelle aufgebaut werden. Das M875 kann im Roadwarrior-Modus VPN-Verbindungen nur annehmen aber nicht aktiv aufbauen.

● Standard-Modus

Im Standard-Modus muss die Adresse des VPN-Gateways der Gegenstelle bekannt sein, damit die VPN-Verbindung aufgebaut werden kann. Die VPN-Verbindung kann wahlweise durch das M875 oder durch das VPN-Gateway der Gegenstelle aufgebaut werden.

Authentifizierungsverfahren Das M875 unterstützt drei Authentifizierungsverfahren:

● X.509-Zertifikat

● CA-Zertifikat

● Pre-shared Key (PSK)

X.509-Zertifikat und CA-Zertifikat

Bei den Authentifizierungsverfahren X.509-Zertifikat und CA-Zertifikat werden zur Authentifizierung Schlüssel verwendet, die zuvor durch eine zertifizierende Stelle (CA = Certification Authority) signiert wurden. Diese Verfahren gelten als besonders sicher. Eine CA kann ein Dienstleister sein, aber z. B. auch der Systemadministrator Ihres Projekts, sofern dieser über die notwendigen Software-Werkzeuge verfügt. Die CA erstellt für beide Gegenstellen einer VPN-Verbindung je eine Zertifikatsdatei (PKCS12) mit der Dateiendung ".p12". Diese Zertifikatsdatei enthält den öffentlichen und privaten Schlüssel der eigenen Station, das signierte Zertifikat der CA und den öffentlichen Schlüssel der CA. Bei dem Authentifizierungsverfahren X.509 gibt es zusätzlich für jede der beiden Gegenstellen noch eine Schlüsseldatei (*.pem, *.cer oder *.crt) mit dem öffentlichen Schlüssel der eigenen Station.

Die beiden Verfahren unterscheiden sich beim Austausch der öffentlichen Schlüssel. Beim X.509-Zertifikat werden Schlüssel und Schlüsseldatei zwischen dem M875 und dem VPN-Gateway manuell ausgetauscht, z. B. per CD-ROM oder E-Mail. Nähere Informationen zum Laden des Zertifikats finden Sie im Kapitel Zertifikate und Schlüssel verwalten (Seite 109).

Beim CA-Zertifikat erfolgt der Schlüsselaustausch zwischen M875 und VPN-Gateway der Gegenstelle über die Datenverbindung beim Aufbau der VPN-Verbindung. Hier entfällt der manuelle Austausch von Schlüsseldateien.



Pre-shared Key (PSK)

Dieses Verfahren wird vor allem durch ältere IPsec-Implementierungen unterstützt. Dabei erfolgt die Authentifizierung mit einer zuvor verabredeten Zeichenfolge. Um eine hohe Sicherheit zu erzielen, verwenden Sie Zeichenfolgen aus ca. 30 nach dem Zufallsprinzip ausgewählten Klein- und Großbuchstaben sowie Ziffern.

Lokale ID und ID der Gegenstelle Die Lokale ID und die ID der Gegenstelle werden vom IPsec genutzt, um beim Aufbau der VPN-Verbindung die Gegenstellen eindeutig zu identifizieren. Die eigene Lokale-ID bildet die Remote-ID der Gegenstelle und umgekehrt.

● Bei Authentifizierung mit X.509-Zertifikat oder CA-Zertifikat:

– Wenn Sie die Voreinstellung "NONE" belassen, dann werden als Lokale ID und ID der Gegenstelle automatisch die Distinguished Names aus dem eigenen Zertifikat und aus dem von der Gegenstelle übermittelten Zertifikat übernommen.

– Wenn Sie die Einträge für die Lokale ID oder die ID der Gegenstelle manuell ändern, dann passen Sie die Einträge der Gegenstelle entsprechend an. Der manuelle Eintrag für die IDs muss im ASN.1-Format erfolgen, z. B. "C=XY/O=XY Org/CN=xy.org.org".

● Bei Authentifizierung mit Pre-shared Key:

– Im Roadwarrior-Modus müssen Sie die ID der Gegenstelle manuell eintragen. Sie muss das Format eines Host-Namens oder das Format einer E-Mail-Adresse haben und mit der Lokalen ID der Gegenstelle übereinstimmen.

– Wenn Sie die Lokale ID auf "NONE" belassen, dann wird die IP-Adresse als lokale ID verwendet.

– Wenn Sie die Lokale ID manuell eintragen, muss diese das Format eines Host-Namens oder das Format einer E-Mail-Adresse haben und mit der ID der Gegenstelle übereinstimmen.

1:1 -NAT Beim Aufbau eines VPN-Tunnels kommt beim M875 eine besondere Variante des NAT zum Einsatz, das 1:1-NAT, auch Bi-directional NAT genannt. Diese Variante erlaubt den Verbindungsaufbau sowohl vom lokalen Netz ins externe Netz als auch vom externen Netz in das lokale Netz. Dazu werden beim M875 die Netzwerkadressen der Telegramme umgeschrieben.

Sie können pro VPN-Verbindung und jeweils für die beiden Verbindungsrichtungen einzeln festlegen, ob die Funktion 1:1-NAT aktiviert wird. Dafür stehen auf der Seite "IPsec-VPN - Verbindungen bearbeiten" die entsprechenden Einstellungsmöglichkeiten zur Verfügung.

IKE Abkürzungen

● IKE: Internet Key Exchange

● SA: Security Association (Sicherheitsbeziehung)



● ISAKMP: Internet Security Association and Key Management Protocol

● IPsec: Internet Protocol Security

Verbindungsaufbau

Der Aufbau der VPN-Verbindung ist in zwei Phasen aufgeteilt.

1. Zunächst wird in Phase 1 die Sicherheitsbeziehung (SA) über das Protokoll ISAKMP aufgebaut. Phase 1 dient dem Schlüsselaustausch zwischen dem M875 und dem VPN-Gateway der Gegenstelle.

2. Danach wird in Phase 2 die SA über das Protokoll IPsec aufgebaut. Phase 2 stellt die eigentliche IPsec-Verbindung zwischen dem M875 und dem VPN-Gateway der Gegenstelle dar.

ISAKMP-SA- und IPsec-SA-Verschlüsselung

Das M875 unterstützt dabei die folgenden Verfahren:

● 3DES-168

● AES-128

● AES-192

● AES-256

AES-128 ist ein häufig benutztes Verfahren und ist deshalb als Standard eingestellt.

Hinweis

Je mehr Bits ein Verschlüsselungsalgorithmus hat - angegeben durch die angefügte Zahl - desto sicherer ist der Algorithmus. Das Verfahren AES-256 Verfahren gilt daher als am sichersten. Allerdings ist der Verschlüsselungsvorgang umso zeitaufwendiger und benötigt mehr Rechenleistung, je länger der Schlüssel ist.

NAT-T Eventuell befindet sich zwischen dem M875 und dem VPN-Gateway des entfernten Netzes ein NAT-Router. Nicht alle NAT-Router lassen IPsec-Telegramme passieren. Daher kann es erforderlich sein, die IPsec-Telegramme in UPD-Pakete einzukapseln, um den NAT-Router passieren zu können.

Dead Peer Detection Wenn die Gegenstelle das Protokoll Dead Peer Detection (DPD) unterstützt, können die jeweiligen Partner erkennen, ob die IPsec-Verbindung noch gültig ist oder eventuell neu aufgebaut werden muss. Ohne DPD muss je nach Konfiguration bis zum Ablauf der SA-Lebensdauer gewartet oder die Verbindung manuell neu initiiert werden. Um zu prüfen, ob die IPsec-Verbindung noch gültig ist, sendet die Dead Peer Detection selber DPD-Anfragen zur Gegenstelle. Wenn die Gegenstelle nicht antwortet, wird die IPsec-Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen.



Hinweis

Durch das Versenden der DPD-Anfragen steigt die Anzahl der gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen.

Anforderungen an das VPN-Gateway des entfernten Netzes Damit eine IPsec-Verbindung erfolgreich aufgebaut werden kann, muss die VPN-Gegenstelle IPsec mit folgender Konfiguration unterstützen:

● Authentifizierung über X.509-Zertifikate, CA-Zertifikate oder Pre-Shared Key

● ESP

● Diffie-Hellman Gruppe 1, 2 oder 5

● 3DES- oder AES-Verschlüsselung

● MD5- oder SHA-1-Hash-Algorithmen

● Tunnel Mode

● Quick Mode

● Main Mode

● SA Lifetime (1 Sekunde bis 24 Stunden)

Wenn die Gegenstelle ein Rechner unter Windows 2000 ist, dann muss das Microsoft Windows 2000 High Encryption Pack oder mindestens das Service Pack 2 installiert sein.

Wenn sich die Gegenstelle hinter einem NAT-Router befindet, dann muss die Gegenstelle NAT-T unterstützen. Oder aber der NAT-Router muss das IPsec-Protokoll kennen (IPsec/VPN Passthrough).

4.7.2 Verbindungen - Roadwarrior-Modus

4.7.2.1 Verbindungen anlegen Der Roadwarrior-Modus ermöglicht dem M875 die Annahme von VPN-Verbindungen, die von einer Gegenstelle mit unbekannter IP-Adresse eingeleitet werden. Die Gegenstelle muss sich korrekt authentifizieren. Auf die Identifikation der Gegenstelle anhand der IP-Adresse oder des Host-Namens der Gegenstelle wird im Roadwarrior-Modus verzichtet.

Richten Sie das M875 in Absprache mit dem Systemadministrator der Gegenstelle ein.



Aufruf der Webseite Wählen Sie in der Navigation "IPsec VPN" > "Verbindungen".

VPN-Verbindungen im Roadwarrior-Modus

Aktiviert

Folgende Optionen stehen zur Auswahl:

Ja: Der Roadwarrior-Modus ist eingeschaltet.

Nein: Der Roadwarrior-Modus ist ausgeschaltet.

Name

Der Name für die VPN-Verbindung im Roadwarrior-Modus ist festgelegt und kann nicht verändert werden.



4.7.2.2 Verbindungen bearbeiten

Verbindungseinstellungen Klicken Sie unter "Verbindungseinstellungen" auf die Schaltfläche "Bearbeiten" Die nachfolgend abgebildete Seite erscheint:

Authentifizierungsverfahren Nähere Informationen zu den Authentifizierungsverfahren finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).

Wählen Sie - in Absprache mit dem Administrator der Gegenstelle - aus der Klappliste eine der drei folgenden Optionen:

CA Zertifikat -

X.509-Gegenstellenzertifikat:

Legt als Authentifizierungsverfahren ein in das M875 geladenes X.509-Gegenstellenzertifikat fest, das Sie aus der nachfolgenden Klappliste auswählen. Siehe auch Kapitel Zertifikate und Schlüssel verwalten (Seite 109).

Pre-shared Key: Bei dieser Option wird der Pre-shared Key, welcher auch dem Kommunikationspartner bekannt sein muss, eingegeben. Bei selbst ausgewählten Schlüsseln können Sie eine Zeichenfolge eingeben, die aus bis zu 30 Klein- und Großbuchstaben oder Ziffern besteht.

Gegenstellenzertifikat Hinter der Klappliste finden Sie die Zertifikate der Gegenstelle, die bereits in das M875 geladen wurden.

Wählen Sie das Zertifikat für die VPN-Verbindung aus.



ID der Gegenstelle Geben Sie in das Eingabefeld die ID der Gegenstelle ein, oder belassen Sie die Einstellung auf "NONE". Nähere Informationen finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).

Lokale ID Geben Sie in das Eingabefeld die lokale ID oder belassen Sie die Einstellung auf "NONE". Nähere Informationen finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).

4.7.2.3 IKE-Einstellungen

IKE-Einstellungen Richten Sie die IKE-Einstellungen in Absprache mit dem Administrator der Gegenstelle ein. Sie können für ISAKMP-SA und IPsec-SA unterschiedliche Verfahren festlegen.

Nähere Informationen zur Verschlüsselung finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).

Auf der Seite "IPsec-VPN - Verbindungen" im Bereich "VPN-Verbindungen im Roadwarrior-Modus" finden Sie unter "IKE-Einstellungen" die Schaltfläche "Bearbeiten". Wenn Sie darauf klicken, dann erscheint die nachfolgend abgebildete Seite:



Phase 1 und Phase 2: ISAKMP-SA und IPsec-SA ● Verschlüsselung

Hinweis


Wählen Sie aus der Klappliste für Phase 1 und Phase 2 je eine der folgenden Optionen aus:

– 3DES-168

– AES-128

– AES-192

– AES-256



● Hash (Prüfsumme)

Um Prüfsummen (Hash) während der Phasen 1 (ISAKMP-SA) und 2 (IPsec-SA) zu berechnen, stehen drei Verfahren zur Verfügung:

– MD5 oder SHA-1 (automatische Erkennung)

– MD5

– SHA-1

Wählen Sie aus den Klapplisten je ein Verfahren für Phase 1 und Phase 2 aus. Sie können unterschiedliche Verfahren für ISAKMP-SA und IPsec-SA festlegen.

● Modus

Für die Aushandlung der ISAKMP-SA stehen zwei Verfahren zur Verfügung:

– Main Mode

– Aggressive Mode

Wählen Sie aus der Klappliste einen Modus aus.

Hinweis

Bei Verwendung des Authentifizierungsverfahren Pre-shared Key müssen Sie im Roadwarrior-Modus "Aggressive Mode" einstellen und eine Remote ID festlegen.

● Lebensdauer (Sekunden)

Die Schlüssel einer Verbindung werden in bestimmten Abständen erneuert, um den Aufwand eines Angriffs auf die Verbindung zu erhöhen.

Geben Sie in das Eingabefeld einen Zeitraum in Sekunden ein, der die Lebensdauer der vereinbarten Schlüssel festlegt. Sie können die Zeiträume für ISAKMP-SA und IPsec-SA unterschiedlich festlegen.

NAT-T Wählen Sie aus der Klappliste eine der drei folgenden Optionen:

An: Wird vom M875 ein NAT-Router erkannt, der die IPsec-Telegramme

nicht passieren lässt, startet automatisch die UDP-Kapselung. Aus: Die NAT-T-Funktion ist ausgeschaltet.

Erzwingen: Bei Aushandlung der Verbindungsparameter der VPN-Verbindung wird darauf bestanden, dass während der Verbindung die Telegramme gekapselt übertragen werden.



Dead Peer Detection (DPD) aktivieren

Hinweis

Durch das Versenden der DPD-Anfragen steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen.

Wählen Sie aus der Klappliste eine der beiden Optionen: Ja: Die Dead Peer Detection ist eingeschaltet. Das M875 erkennt,

unabhängig davon ob Nutzdaten übertragen werden, einen Verlust der Verbindung. Das Gerät wartet in diesem Fall auf den Neuaufbau der Verbindung durch die Gegenstellen.

Nein: Die Dead Peer Detection ist ausgeschaltet.

Wenn Sie "Ja" auswählen, erscheinen die folgenden drei Eingabefelder:

Verzögerung nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein, nach der DPD-Anfragen gesendet werden. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist.

Timeout nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein. Wenn auf die DPD-Anfragen keine Antwort erfolgt, dann wird nach Ablauf dieser Zeit die Verbindung zur Gegenstelle für ungültig erklärt.

DPD: Maximale Anzahl an Fehlversuchn Geben Sie in das Eingabefeld die Anzahl der zulässigen Fehlversuche ein, bevor die IPsec-Verbindung als unterbrochen angesehen wird.

Nähere Informationen zur Funktion NAT-T und Dead Peer Detection finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).

Werkseinstellungen im Roadwarrior-Modus Aktiviert: Nein (Ausgeschaltet) Name: Roadwarrior

Verbindungseinstellungen Authentifizierungsverfahren: CA Zertifikat Gegenstellen Zertifikat: - Pre-shared Key: Verdeckte Zeichenfolge, die überschrieben

wird. Remote ID: NONE Lokale ID: NONE



IKE-Einstellungen Phase 1: ISAKMP-SA Verschlüsselung: AES-128 Hash (Prüfsumme): MD5 Modus: Main Mode Lebensdauer (Sekunden): 86400 Phase 2: IPsec-SA Verschlüsselung: AES-128 Hash (Prüfsumme): MD5 Lebensdauer (Sekunden): 86400

NAT-T: An Dead Peer Detection (DPD) aktivieren: Ja Verzögerung nach DPD-Anfrage (Sekunden):150 Timeout nach DPD-Anfrage (Sekunden): 60 DPD: Maximale Anzahl an Fehlversuchen: 5

4.7.3 Verbindungen - Standard-Modus

4.7.3.1 Verbindungen anlegen

Aufruf der Webseite Werkseitig sind keine Verbindungen im Standard-Modus angelegt.

Wählen Sie in der Navigation "IPsec-VPN" > "Verbindungen".



VPN-Verbindungen im Standard-Modus Um eine VPN-Verbindung hinzuzufügen, klicken Sie unter "VPN-Verbindungen im Standard-Modus" auf die Schaltfläche "Neu".

Aktiviert

Es ist möglich, jede einzelne Verbindung ein- oder auszuschalten. Wählen Sie aus der Klappliste:

Ja: Der Standard-Modus ist eingeschaltet.

Nein: Der Standard-Modus ist ausgeschaltet.

Name

Geben Sie in das Eingabefeld einen Namen für die VPN-Verbindung ein.



4.7.3.2 Verbindungen bearbeiten

Aufruf der Webseite Klicken Sie unter "Verbindungseinstellungen" auf die Schaltfläche "Bearbeiten".

Verbindungsname In diesem Feld erscheint der zuvor eingegebene Verbindungsname. Sie können den Namen hier ändern.

Adresse des VPN-Gateways der Gegenstelle Geben Sie in das Eingabefeld die Adresse der Gegenstelle ein, entweder als Host-Name oder als IP-Adresse.

Authentifizierungsverfahren Nähere Informationen zu den Authentifizierungsverfahren finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).



Wählen Sie - in Absprache mit dem Administrator der Gegenstelle - aus der Klappliste eine der drei folgenden Optionen:

CA Zertifikat -

X.509-Gegenstellenzertifikat:

Legt als Authentifizierungsverfahren ein in das M875 geladenes X.509-Gegenstellenzertifikat fest, das Sie aus der nachfolgenden Klappliste auswählen. Siehe auch Kapitel Zertifikate und Schlüssel verwalten (Seite 109).

Pre-shared Key: Bei dieser Option wird der Pre-shared Key, welcher auch dem Kommunikationspartner bekannt sein muss, eingegeben. Bei selbst ausgewählten Schlüsseln können Sie eine Zeichenfolge eingeben, die aus bis zu 30 Klein- und Großbuchstaben oder Ziffern besteht.

Gegenstellenzertifikat Hinter der Klappliste finden Sie die Zertifikate der Gegenstelle, die bereits in das M875 geladen wurden.

Wählen Sie das Zertifikat für die VPN-Verbindung aus.

ID der Gegenstelle Geben Sie in das Eingabefeld die ID der Gegenstelle ein, oder belassen Sie die Einstellung auf "NONE". Nähere Informationen finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).

Lokale ID Geben Sie in das Eingabefeld die lokale ID oder belassen Sie die Einstellung auf "NONE". Nähere Informationen finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).

Die Schaltfläche "ID aus SCALANCE S" Wenn Sie das Zertifikat eines Geräts SCALANCE S in das M875 geladen haben, dann können Sie durch Klicken auf die Schaltfläche "ID aus SCALANCE S" die Remote-ID aus dem Zertifikat auslesen. Der ausgelesene Wert wird dann automatisch als Remote-ID übernommen.

IP-Adresse des entfernten Netzes Geben Sie in das Feld die IP-Adresse des entfernten Netzes. Das entfernte Netz kann auch nur ein einzelner Rechner sein.



Netzmaske des entfernten Netzes Geben Sie in das Feld die Netzwerkmaske des entfernten Netzes. Das entfernte Netz kann auch nur ein einzelner Rechner sein.

1:1-NAT für das entfernten Netz aktivieren Wählen Sie eine der beiden Optionen aus der Klappliste:

Ja: 1:1-NAT ist für das entfernte Netz aktiviert.

Nein: 1:1-NAT ist ausgeschaltet.

Wenn Sie 1:1-NAT aktiviert haben, dann erfolgt die Adressumschreibung für die Telegramme, die aus dem lokalen Netz in ein entferntes Netz gesendet werden. Siehe auch nachfolgendes Eingabefeld.

Adresse für 1:1-NAT zum entfernten Netz

Geben Sie in das Eingabefeld eine Netzwerkadresse für Telegramme ein, die in ein entferntes Netz versendet werden.

Adresse des lokalen Netzes Geben Sie in das Feld die IP-Adresse (z. B. 123.123.123.123) des lokalen Netzes. Das lokale Netz kann auch nur ein einzelner Rechner sein.

Netzmaske des lokalen Netzes Geben Sie in das Feld die Netzwerkmaske (z. B. 255.255.255.0) des lokalen Netzes. Das lokale Netz kann auch nur ein einzelner Rechner sein.

1:1-NAT für das lokale Netz aktivieren Wählen Sie eine der beiden Optionen aus der Klappliste:

Ja: 1:1-NAT ist für das lokale Netz aktiviert.

Nein: 1:1-NAT ist ausgeschaltet.

Wenn Sie 1:1-NAT aktiviert haben, dann erfolgt die Adressumschreibung für die Telegramme, die aus einem entfernten Netz in ein lokales Netz gesendet werden. Siehe auch nachfolgendes Eingabefeld.

Adresse für 1:1-NAT im lokalen Netz

Geben Sie in das Eingabefeld eine Netzwerkadresse für Telegramme ein, die vom entfernten Netz empfangen werden.



Auf Verbindung durch die Gegenstelle warten Wählen Sie eine der beiden Optionen aus der Klappliste:

Ja: Das M875 wartet darauf, dass das VPN-Gateway des entfernten Netzes den

Aufbau der VPN-Verbindung einleitet. Nein: Das M875 leitet den Verbindungsaufbau selbst ein.

Firewall-Regeln für VPN Tunnel Wenn Sie neben diesem Eintrag auf die Schaltfläche "Bearbeiten" klicken, erscheint die Maske, mit der Sie Firewall-Regeln für ein- und ausgehende Nachrichten festlegen.

Nähere Informationen zu diesem Punkt finden Sie im Kapitel Firewall-Regeln für VPN-Tunnel (Seite 107).

4.7.3.3 IKE-Einstellungen

IKE - Schaltfläche "Bearbeiten" Richten Sie die IKE-Einstellungen in Absprache mit dem Administrator der Gegenstelle ein. Sie können für ISAKMP-SA und IPsec-SA unterschiedliche Verfahren festlegen.

Nähere Informationen zur Verschlüsselung finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).

Auf der Seite "IPsec-VPN - Verbindungen" im Bereich "VPN-Verbindungen im Standard-Modus" finden Sie unter "IKE-Einstellungen" die Schaltfläche "Bearbeiten". Wenn Sie darauf klicken, dann erscheint die nachfolgend abgebildete Seite.



Phase 1 und Phase 2: ISAKMP-SA und IPsec-SA ● Verschlüsselung

Hinweis


Wählen Sie aus der Klappliste für Phase 1 und Phase 2 je eine der folgenden Optionen aus:

– 3DES-168

– AES-128



– AES-192

– AES-256

● Hash (Prüfsumme)

Um Prüfsummen (Hash) während der Phasen 1 (ISAKMP-SA) und 2 (IPsec-SA) zu berechnen, stehen drei Verfahren zur Verfügung:

– MD5 oder SHA-1 (automatische Erkennung)

– MD5

– SHA-1

Wählen Sie aus den Klapplisten je ein Verfahren für Phase 1 und Phase 2 aus. Sie können unterschiedliche Verfahren für ISAKMP-SA und IPsec-SA festlegen.

● Modus

Für die Aushandlung der ISAKMP-SA stehen zwei Verfahren zur Verfügung:

– Main Mode

– Aggressive Mode

Wählen Sie aus der Klappliste einen Modus aus.

● Lebensdauer (Sekunden)

Die Schlüssel einer Verbindung werden in bestimmten Abständen erneuert, um den Aufwand eines Angriffs auf die Verbindung zu erhöhen.

Geben Sie in das Eingabefeld einen Zeitraum in Sekunden ein, der die Lebensdauer der vereinbarten Schlüssel festlegt. Sie können die Zeiträume für ISAKMP-SA und IPsec-SA unterschiedlich festlegen.

DH/PFS-Gruppe Das M875 unterstützt den Deffie-Hellmann-Schlüsselaustausch (DH) mit der Eigenschaft Perfect Forward Secrecy (PFS). Für den Schlüsselaustasuch stehen Ihnen drei DH-Gruppen zur Auswahl.

Wählen Sie aus der Klappliste eine der drei folgenden Optionen:

● DH-1 768

● DH-2 1024

● DH-5 1536

NAT-T Wählen Sie aus der Klappliste eine der drei folgenden Optionen:

An: Wird vom M875 ein NAT-Router erkannt, der die IPsec-Telegramme

nicht passieren lässt, startet automatisch die UDP-Kapselung. Aus: Die NAT-T-Funktion ist ausgeschaltet.



Erzwingen: Bei Aushandlung der Verbindungsparameter der VPN-Verbindung wird darauf bestanden, dass während der Verbindung die Telegramme gekapselt übertragen werden.

Dead Peer Detection (DPD) aktivieren

Hinweis

Durch das Versenden der DPD-Anfragen steigt die Anzahl der über EGPRS oder GPRS gesendeten und empfangenen Daten. Dies kann zu erhöhten Kosten führen.


Ja: Die Dead Peer Detection ist eingeschaltet. Das M875 erkennt,

unabhängig davon ob Nutzdaten übertragen werden, einen Verlust der Verbindung. Das Gerät wartet in diesem Fall auf den Neuaufbau der Verbindung durch die Gegenstellen.

Nein: Die Dead Peer Detection ist ausgeschaltet.

Wenn Sie "Ja" auswählen, erscheinen die folgenden drei Eingabefelder:

Verzögerung nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein, nach der DPD-Anfragen gesendet werden. Diese Anfragen testen, ob die Gegenstelle noch verfügbar ist.

Timeout nach DPD-Anfrage (Sekunden) Geben Sie in das Eingabefeld eine Zeitspanne in Sekunden ein. Wenn auf die DPD-Anfragen keine Antwort erfolgt, dann wird nach Ablauf dieser Zeit die Verbindung zur Gegenstelle für ungültig erklärt.

DPD: Maximale Anzahl an Fehlversuchen Geben Sie in das Eingabefeld die Anzahl der zulässigen Fehlversuche ein, bevor die IPsec-Verbindung als unterbrochen angesehen wird.

Nähere Informationen zur Funktion NAT-T und Dead Peer Detection finden Sie im Kapitel Erläuterungen zu VPN-Verbindungen (Seite 87).

Werkseinstellungen im Standard-Modus Aktiviert: Nein (Ausgeschaltet) Name: NewConnection



Verbindungseinstellungen Adresse des VPN-Gateways der Gegenstelle NONE Authentifizierungsverfahren: X.509 Gegenstellenzertifikat Gegenstellenzertifikat: - Pre-shared Key Verdeckte Zeichenfolge, die überschrieben

wird. ID der Gegenstelle: NONE Lokale ID: NONE

IP-Adresse des entfernten Netzes: 192.168.2.1 Netzmaske des entfernten Netzes: 255.255.255.0 1:1-NAT für das gegenüberliegende Netz: Nein (Ausgeschaltet) Adresse des lokalen Netzes: 192.168.1.1 Netzmaske des lokalen Netzes: 255.255.255.0 1:1-NAT für das lokale Netz aktivieren: Nein (Ausgeschaltet) Auf Verbindung durch die Gegenstelle warten:

Nein

Firewall-Regeln für VPN-Tunnel: Keine Regeln gesetzt.

IKE-Einstellungen ISAKMP-SA Verschlüsselung: 3DES-168 Hash (Prüfsumme): MD5 oder SHA-1 Modus: Main Mode Lebensdauer (Sekunden): 86400

IPsec-SA Verschlüsselung: 3DES-168 Hash (Prüfsumme): MD5 oder SHA-1 Lebensdauer (Sekunden): 86400 DH/PFS Gruppe DH-2 1024 NAT-T: An Dead Peer Detection (DPF) aktivieren: Ja Verzögerung nach DPD-Anfrage (Sekunden):150 Timeout nach DPD-Anfrage(Sekunden): 60 DPD: Maximale Anzahl an Fehlversuchen: 5

4.7.3.4 Firewall-Regeln für VPN-Tunnel Die IPsec-VPN-Verbindung wird grundsätzlich als sicher angesehen. So ist der Datenverkehr über diese Verbindung standardmäßig nicht beschränkt. Es ist dennoch möglich, Firewall-Regeln für VPN-Verbindungen im Standard-Modus zu erstellen.



Aufruf der Webseite Wählen Sie in der Navigation "IPsec-VPN" > "Verbindungen".

Gehen Sie zum Erstellen der Firewall-Regeln genauso vor, wie bereits im Kapitel Firewall-Regeln (Seite 78) beschrieben.

1. Klicken Sie im Bereich"VPN-Verbindungen im Standard-Modus" > unter "Verbindungseinstellungen" auf die Schaltfläche "Bearbeiten".

2. Klicken Sie hinter dem Eintrag "Firewall-Regeln für VPN-Tunnel" auf die Schaltfläche "Bearbeiten".

Beachten Sie, dass die hier festgelegte Regel nur für die einzelne, ausgewählte VPN-Verbindung gilt.

Werkseinstellungen Werkseitig sind keine Beschränkungen durch Firewall-Regeln eingestellt.



4.7.4 Zertifikate und Schlüssel verwalten

Aufruf der Webseite Wählen Sie in der Navigation " IPsec-VPN" > "Zertifikate".

Gegenstellenzertifikat hochladen Sie benötigen ein Gegenstellenzertifikat nur, wenn Sie beim Authentifizierungsverfahren die Option "X.509 Gegenstellenzertifikat" gewählt haben.

Damit Sie ein entsprechendes Zertifikat hochladen können, muss die entsprechende Schlüsseldatei (*.pem, *.cer oder *.crt) auf dem Admin-PC gespeichert sein.

1. Klicken Sie auf die Schaltfläche "Durchsuchen..." Ein Dialog für die Dateiauswahl öffnet sich.

2. Wählen Sie eine Schlüsseldatei aus und klicken Sie im Dialog auf die Schaltfläche "Öffnen". Auf der Weboberfläche erscheint im Eingabefeld die Pfadangabe.

3. Klicken Sie auf die Schaltfläche "Absenden", um die Schlüsseldatei in das M875 zu laden.



PKCS12-Datei (.p12) hochladen PKCS steht für "Public Key Cryptography Standards" und bezeichnet eine Reihe von kryptografischen Spezifikationen. Die Spezifikation PKCS#12 definiert ein Dateiformat, das dazu benutzt wird, private Schlüssel mit dem zugehörigen Zertifikat passwortgeschützt zu speichern.

Hinweis

Wenn sich bereits eine Zertifikatsdatei im Gerät befindet, muss diese Datei vor dem Laden einer neuen Datei gelöscht werden. Siehe auch unten unter "Eigene Zertifikate".

Damit Sie eine PKCS12-Datei hochladen können, muss die entsprechende Datei (*.p12) auf dem Admin-PC gespeichert sein.

1. Klicken Sie auf die Schaltfläche "Durchsuchen...".

Ein Dialog für die Dateiauswahl öffnet sich.

2. Wählen Sie die PKCS12-Datei aus und klicken Sie im Dialog auf die Schaltfläche "Öffnen".

Auf der Weboberfläche erscheint im Eingabefeld die Pfadangabe.

3. Geben Sie in das Eingabefeld das Passwort zur PKCS12-Datei ein.

4. Klicken Sie auf die Schaltfläche "Absenden", um die Datei in das M875 zu laden.

Gegenstellenzertifikate (*.pem, *.cer, *.crt) An dieser Stelle werden alle geladenen Gegenstellenzertifikate in einer Liste angezeigt.

Durch Klicken auf die Schaltfläche "Löschen" können Sie Zertifikate, die nicht mehr benötigt werden, entfernen.

Eigene Zertifikate (.p12) An dieser Stelle werden Name und Zustand der geladenen PKCS12-Datei angezeigt.

● Ein weißer Haken auf grünem Punkt zeigt an, dass der jeweilige Bestandteil der Zertifikatsdatei vorhanden ist.

● Ein weißes Kreuz auf rotem Punkt zeigt an, dass der jeweilige Bestandteil fehlt.

Wenn Sie auf die Schaltfläche "Löschen" klicken, wird die aktuelle PKCS12-Datei aus dem M875 gelöscht.

4.7.5 Überwachung der VPN-Verbindungen Mit der Funktion "Überwachung" überprüft das M875 aufgebaute VPN-Verbindungen. Dazu sendet das M875 über die VPN-Verbindung in regelmäßigen Zeitabständen Ping-Pakete (ICMP) an eine oder mehrere Gegenstellen (Ziel-Hosts). Dies geschieht unabhängig von den Nutzdaten.



Wenn das M875 auf einen Ping mindestens von einer der adressierten Gegenstellen eine Antwort erhält, dann ist die VPN-Verbindung noch funktionsbereit.

Wenn keine der Gegenstellen auf den Ping antwortet, dann wird nach einer einstellbaren Wartezeit der Ping wiederholt. Enden alle Wiederholungen erfolglos, wird der VPN-Client im M875 neu gestartet. Das führt zu einem Neuaufbau aller bestehenden VPN-Verbindungen.

Die Einstellungen für die Überwachung gelten für alle VPN-Verbindungen.

Hinweis

Senden Sie die Ping-Pakete direkt an die interne Schnittstelle des VPN-Gateways und nicht an einen Host hinter dem Gateway. Falls dieser Host nicht erreichbar ist, spricht die Tunnelüberwachung an.

Aufruf der Webseite Wählen Sie in der Navigation "IPsec-VPN" > "Überwachung".

VPN-Überwachung verwenden


Durch das Versenden der Ping-Pakete steigt das Datenaufkommen. Abhängig von Ihrem Teilnehmervertrag mit dem Mobilfunkbetreiber, können damit erhöhte Kosten verbunden sein.



Ja: VPN-Überwachung ist eingeschaltet.

Nein: VPN-Überwachung ist ausgeschaltet.

Wenn Sie "Ja" auswählen, erscheinen auf der Seite die nachfolgend genannten Einträge.

Intervall für Verbindungsprüfung (Minuten) Legen Sie fest, in welchen Zeitabständen Ping-Pakete über die überwachten VPN-Verbindungen (VPN-Tunnel) gesendet werden.

Geben Sie das Zeitintervall in Minuten an.

Wartezeit bis zur Wiederholung Legen Sie die Wartezeit fest, nach welcher bei einer erfolglosen Ping-Prüfung (keine Antwort auf den Ping) die Prüfung wiederholt wird.

Geben Sie die Wartezeit in Minuten in das Eingabefeld ein.

Anzahl der erfolglosen Verbindungsprüfungen bis zum Neustart des VPN-Client Legen Sie fest, wie oft die Ping-Prüfung durchgeführt wird, bevor der VPN-Client im M875 neu gestartet wird.

Geben Sie die Anzahl der Prüfungen in das Eingabefeld ein.

Liste der Ziel-Hosts Im Bereich "Liste der Ziel-Hosts" legen Sie fest, welche Ihrer VPN-Verbindungen nach oben eingestelltem Muster überwacht werden.

Klicken Sie auf Schaltfläche "Neu", um die Überwachung für eine bestimmte VPN-Verbindung festzulegen.

● Name des Tunnels

Wählen Sie aus der Klappliste die VPN-Verbindung (VPN-Tunnel) aus, die überwacht wird.

● IP-Adresse des Host

Geben Sie in dieses Feld die IP-Adresse des Ziel-Host ein.

● IP-Adresse des Client

Geben Sie in dieses Feld als Absender-IP eine beliebige ungenutzte IP-Adresse aus dem lokalen Netzbereich der jeweiligen VPN-Verbindung an.

Wenn Sie auf die Schaltfläche "Löschen" klicken, wird diese VPN-Verbindung aus der Überwachung herausgenommen.



Werkseinstellungen VPN-Überwachung verwenden: Nein Intervall für Verbindungsprüfung (Minuten): 5 Wartezeit bis zur Wiederholung: 1 Anzahl der erfolglosen Verbindungsprüfungen bis zum Neustart des VPN-Client:

3

Name des Tunnels: - IP-Adresse des Host: 192.168.2.1 IP-Adresse des Client: 192.168.1.1

4.7.6 Erweiterte Einstellungen

Aufruf der Webseite Wählen Sie in der Navigation "IPsec-VPN" > "Erweitert".



Keepalive-Intervall für NAT-T (Sekunden) Wenn die Funktion NAT-T aktiviert ist, dann werden periodisch Keepalive-Telegramme vom M875 durch die VPN-Verbindung gesendet. Das verhindert, dass ein NAT-Router zwischen M875 und der Gegenstelle in Ruhephasen ohne Datenverkehr die Verbindung unterbricht.

Geben Sie in das Eingabefeld ein Intervall in Sekunden ein, in dem die Keepalive-Telegramme versendet werden.

Phase 1 Timeout (Sekunden) Mit dieser Einstellung legen Sie fest, wie lange das M875 abwartet, bis ein Authentifizierungsverfahren der ISAKMP-SA abgeschlossen ist. Bei Zeitüberschreitung wird das Authentifizierungsverfahren abgebrochen und neu gestartet.

Geben Sie eine Zeitspanne in Sekunden ein.

Phase 2 Timeout (Sekunden) Mit dieser Einstellung legen Sie fest, wie lange das M875 abwartet, bis ein Authentifizierungsverfahren der IPsec-SA abgeschlossen ist. Bei Zeitüberschreitung wird das Authentifizierungsverfahren abgebrochen und neu gestartet.

Geben Sie eine Zeitspanne in Sekunden ein.

Maximale Anzahl der Verbindungsaufbauversuche bis zum Neustart des VPN-Client Wenn ein VPN-Verbindungsaufbau fehlschlägt, dann versucht das M875 automatisch, die Verbindung erneut aufzubauen. Nach der hier festgelegten Anzahl von erfolglosen Versuchen wird der VPN-Client durch den M875 neu gestartet. Danach leitet das M875 den VPN-Verbindungsaufbau neu ein.

Geben Sie in das Feld die Anzahl der erfolglosen Versuche ein, bevor das M875 seinen VPN-Client neu startet.

Maximale Anzahl der Verbindungsaufbauversuche nach Neustart des VPN-Client bis zum Neustart des Geräts

Wenn der VPN-Verbindungsaufbau auch nach Neustart des VPN-Client nicht gelingt, wird das M875 ebenfalls automatisch neu gestartet und leitet dann den Verbindungsaufbau wieder ein.

Geben Sie in das Feld die Anzahl der erneuten VPN-Verbindungsversuche nach Neustarts des VPN-Client ein, bevor auch das M875 neu gestartet wird.

DynDNS-Tracking Beim DNS-Tracking überprüft das M875 regelmäßig, ob das VPN-Gateway der Gegenstelle noch erreichbar ist. Aktivieren Sie diese Funktion insbesondere dann, wenn das VPN-Gateway der Gegenstelle die IP-Adresse von einem DynDNS-Dienst bezieht, und wenn außerdem keine Dead Peer Detection verwendet wird.

Wählen Sie eine der beiden Optionen:



Ja: Die Funktion DynDNS-Tracking ist aktiviert.

Nein: Die Funktion DynDNS-Tracking ist nicht aktiviert.

Wenn sie "Ja" gewählt haben, erscheint der nachfolgende Eintrag.

Intervall für DynDNS-Tracking (Minuten) Legen Sie ein Intervall fest, in dem geprüft wird, ob die Gegenstelle noch erreichbar ist.

Geben Sie eine Zeitspanne in Minuten ein.

Neustart des VPN-Client bei DPD Wenn das M875 auf seine DPD-Anfragen von einer Gegenstelle keine Antwort erhält, dann wird die IPsec-Verbindung nach einer Anzahl von erlaubten Fehlversuchen als unterbrochen angesehen. Sie können festlegen, ob in so einem Fall, das M875 neu gestartet wird.

Bedenken Sie, dass bei einem Neustart nicht nur die fehlgeschlagene Verbindung, sondern alle vorhandenen VPN-Verbindungen unterbrochen werden.

Wählen Sie eine der beiden Optionen:

Ja: Das Gerät wird neu gestartet, sobald DPD festgestellt wird.

Nein: Das Gerät wird bei DPD nicht neu gestartet.

Werkseinstellungen Keepalive-Intervall für NAT-T (Sekunden): 60 Phase 1 Timeout (Sekunden): 15 Phase 2 Timeout (Sekunden): 10 Maximale Anzahl der Verbindungsaufbauversuche bis zum Neustart des VPN-Client:

5

Maximale Anzahl der Verbindungsaufbauversuche nach Neustart des VPN-Client bis zum Neustart des Geräts:

2

DynDNS-Tracking: Nein Intervall für DynDNS-Tracking (Minuten): 5 Neustart des VPN-Client bei DPD: Nein

4.7.7 Status Auf der Seite "IPsec-VPN - Status" wird Ihnen der Status der aktiven VPN-Verbindungen angezeigt. Außerdem haben Sie hier die Möglichkeit, eine Protokolldatei auf den Admin-PC zu laden.

Projektierung 4.8 Fernzugänge


Aufruf der Webseite Wählen Sie in der Navigation "IPsec-VPN" > "Status".

Liste der aktiven VPN-Verbindungen Unter diesem Eintrag werden die aktiven VPN-Verbindungen mit Namen, Gegenstelle und Ihrer Sicherheitsbeziehungen ISAKMP und IPsec aufgelistet.

Die Sicherheitsbeziehung ist erfolgreich aufgebaut.

Die Sicherheitsbeziehung ist nicht aufgebaut.

Anzahl der VPN-Verbindungsversuche (24h) Dieser Eintrag zeigt an, wie oft in den letzten 24 Stunden versucht wurde, eine VPN-Verbindung aufzubauen.

VPN-Protokoll herunterladen Informationen zum Aufbau und Abbau von VPN-Verbindungen werden in einer Log-Datei protokolliert. Um auf diese Informationen zuzugreifen, gehen Sie folgendermaßen vor:

1. Klicken Sie auf die Schaltfläche "Download". Ein Dialog zum Öffnen und Speichern von Dateien wird geöffnet.

2. Folgen Sie den Anweisungen des Dialogs, um die Log-Datei mit dem VPN-Protokoll auf dem Admin-PC zu speichern.

4.8 Fernzugänge

4.8.1 Passwort ändern Der Zugang zum M875 ist durch ein Passwort geschützt. Dieses Passwort schützt folgende Zugangswege:

● Über die lokale Schnittstelle auf die Weboberfläche und die SSH-Konsole.

● Über die Mobilfunkverbindung per HTTPS auf die Weboberfläche.

ACHTUNG Werkseitiges Passwort sofort ändern

Ändern Sie das werkseitig eingestellte Passwort sofort nach der Inbetriebnahme. Dieses Passwort ist allgemein bekannt und bietet keinen ausreichenden Schutz.



Passwort ändern Um das Zugangspasswort zu ändern, gehen Sie wie folgt vor:

1. Wählen Sie in der Navigation "Fernzugänge" > "Passwort".

2. Geben Sie ein neues Passwort in das Eingabefeld "Neues Zugangspasswort" ein.

3. Geben Sie das neue Passwort noch einmal in das Eingabefeld "Neues Zugangspasswort wiederholen" ein.

4. Bestätigen Sie Ihre Eingabe durch Klicken auf die Schaltfläche "Speichern".

Die Meldung "Passwort geändert" erscheint.

5. Bestätigen Sie diese Meldung durch Klicken auf die Schaltfläche "OK".

Ein Dialog erscheint, der Sie auffordert, sich erneut anzumelden.

6. Geben Sie den Benutzernamen "admin" und Ihr neu festgelegtes Passwort ein.

7. Bestätigen Sie Ihre Eingabe durch Klicken auf die Schaltfläche "OK".

Werkseinstellungen Benutzername: admin (Kann nicht verändert werden.) Passwort: scalance



4.8.2 HTTPS

33

22

11

Bild 4-9 Konfiguration mit HTTPS-Zugriff

Der HTTPS-Fernzugang bietet über eine Mobilfunkverbindung einen gesicherten Zugriff auf die Weboberfläche des M875.

Der Fernzugang über HTTPS (Secure HyperText Transfer Protocol) ermöglicht einen gesicherten Zugriff aus einem externen Netz auf die Weboberfläche des M875. Um diese Möglichkeit zu nutzen, muss Sie zunächst, wie unten beschrieben, aktiviert worden sein. Dann können Sie das M875 über den HTTPS-Fernzugang genau so per Webbrowser projektieren, wie im Kapitel Netzwerk Intern (Seite 51) beschrieben.



Aufruf der Webseite Wählen Sie in der Navigation "Fernzugänge" > "HTTPS".

HTTPS-Fernzugang aktivieren Legen Sie fest, ob der Fernzugang per HTTPS aktiviert wird. Wählen Sie eine der beiden Optionen aus der Klappliste:

Ja: Der Zugriff auf die Weboberfläche des M875 per HTTPS aus dem externen Netz

ist gestattet. Nein: Der Zugriff auf die Weboberfläche des M875 per HTTPS aus dem externen Netz

ist nicht gestattet.

Die Werkseinstellung ist "Nein".

Port für HTTPS-Fernzugang Werkseitig ist der Standard-Port 443 festgelegt.

Sie können die Portnummer im Eingabefeld ändern. Bedenken Sie dabei, dass dann die externe Gegenstelle, die den Fernzugriff ausübt, bei der Adressenangabe hinter der IP-Adresse auch die Portnummer angeben muss.

Beispiel: Wenn das M875 über das Internet unter der IP-Adresse 192.144.112.5 zu erreichen ist, und wenn außerdem für den Fernzugang die Portnummer 442 festgelegt wurde, dann muss bei der externen Gegenstelle im Webbrowser Folgendes angegeben werden:

● https://192.144.112.5:442

Hinweis

Der Standard-Port für den HTTPS-Zugang bleibt zusätzlich zum neu gewählten Port offen.



Firewall-Regeln Um eine neue Firewall-Regel für den HTTPS-Fernzugang zu erstellen, klicken Sie auf die Schaltfläche "Neu".

Um eine bestehende Regel zu entfernen, klicken Sie auf die Schaltfläche "Löschen".

Klicken Sie zum Speichern Ihrer Einstellungen auf die Schaltfläche "Speichern".

● Von IP-Adresse

Geben Sie in das Eingabefeld die IP-Adresse des Rechners ein, dem ein Fernzugriff gestattet ist.

Die werkseitige Einstellung lautet "0.0.0.0/0" und steht stellvertretend für "alle IP-Adressen".

Um einen Adressbereich anzugeben, verwenden Sie die CIDR-Schreibweise.

● Aktion

Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit den Zugriffen auf den angegebenen HTTPS-Port verfahren wird:




● Logbuch-Eintrag





Ja: Logbuch-Eintrag

Werkseinstellungen HTTPS-Fernzugang aktivieren: Nein (ausgeschaltet) Port für HTTPS-Fernzugang: 443 Firewall-Regeln Von IP-Adresse:

0.0.0.0/0

Aktion: Erlauben Log: Nein (ausgeschaltet)

Projektierung 4.9 SMS


4.8.3 CSD CSD (Circuit Switched Data) wird nicht unterstützt.

4.9 SMS

4.9.1 Service Center (SMSC) Das M875 nutzt den Short Message Service (SMS) von GSM. Damit die SMS-Funktion zuverlässig arbeitet, müssen Sie - abhängig von Ihrem Vertrag - ein bestimmtes Service Center Ihres Mobilfunkbetreibers festlegen. Tragen Sie dazu eine entsprechende Rufnummer auf der Weboberfläche des M875 ein. Diese Rufnummer erhalten Sie von Ihrem Mobilfunkbetreiber.

Wenn Sie keine Rufnummer eintragen, wird automatisch das Standard-Service-Center Ihres Mobilfunkbetreibers verwendet.

Aufruf der Webseite Wählen Sie in der Navigation "SMS" > "SMS Center (SMSC)".

Rufnummer des SMSC Geben Sie in das Eingabefeld die Rufnummer des bevorzugten SMS Service Centers ein.

4.9.2 Alarm-SMS Das M875 kann kurze Alarmmeldungen per SMS versenden. Der Versand einer Alarm-SMS kann durch zwei Ereignisse ausgelöst werden:

● Ereignis 1: Der Schalteingang wird gesetzt.

● Ereignis 2: Es besteht keine UMTS/GPRS-Verbindung.

Für die beiden Ereignisse wird jeweils eine eigene Rufnummer festgelegt, an welche die Alarmmeldung geschickt wird. Sie können den Text der Alarmmeldung frei festlegen.



Aufruf der Webseite Wählen Sie in der Navigation "SMS" > "Alarm-SMS".

Alarm-SMS bei Ereignis 1: Schalteingang wird aktiv Wenn am Schalteingang eine ausreichende Schaltspannung angelegt wird, ist die Voraussetzung für Ereignis 1 erfüllt.

Somit kann z. B. eine lokale Applikation, die am Schalteingang angeschlossen ist, außerhalb der IP-Datenverbindung eine Alarmmeldung per SMS veranlassen.

Alarm-SMS bei Ereignis 2: Keine GPRS-Verbindung Wenn die Mobilfunkverbindung trotz mehrfacher Versuche nicht aufgebaut werden kann, dann ist die Voraussetzung für Ereignis 2 erfüllt. Bei aktivierter Funktion Alarm-SMS, wird eine SMS versendet.

Aktivieren


Ja: Die Funktion ist aktiviert.

Nein: Die Funktion ist nicht aktiviert.

Rufnummer

Tragen Sie in das Eingabefeld die Rufnummer des Endgeräts ein, an das die Alarm-SMS gesendet wird.



Das Endgerät muss SMS-Empfang über GSM oder Festnetz unterstützen.

Nachrichtentext

Tragen Sie in das Eingabefeld den Text ein, der als Alarmmeldung verschickt wird.

Werkseinstellungen Alarm-SMS bei Ereignis 1: Schalteingang wird aktiv: Nein (ausgeschaltet) Rufnummer: - Nachrichtentext: - Alarm-SMS bei Ereignis 2: Keine GPRS-Verbindung: Nein (ausgeschaltet) Rufnummer: - Nachrichtentext: -

4.9.3 SMS over IP - SMS-Versand aus dem lokalen Netz Mit der Funktion SMS-Versand können Anwendungen, die an der lokalen Schnittstelle des M875 angeschlossen sind, SMS-Nachrichten über das GSM-Netz verschicken. Dazu muss die lokale Anwendung eine TCP/IP-Verbindung zum M875 aufbauen.

Über diese TCP/IP-Verbindung sendet die lokale Anwendung den Nachrichtentext in einem bestimmten Telegrammformat an das M875. Das M875 verpackt den Nachrichtentext in ein SMS-Format und verschickt die SMS über das GSM-Netz.

Telegrammformat für die SMS-Nachricht Die Nachricht, die von der lokalen Anwendung verschickt wird, muss dem folgenden Telegrammformat entsprechen:

Benutzername#Passwort#CommandCode#Seq-Num;Rufnummer;Nachricht:

Beispiel: User#Password#105#01;0049043465789;mein SMS Text:

● Benutzername

Der Benutzername muss dem für diese Funktion festgelegten Benutzernamen entsprechen, siehe unten "Beschreibung der Oberfläche".

● Passwort

Das Passwort muss dem für diese Funktion festgelegten Passwort entsprechen, siehe unten "Beschreibung der Oberfläche".

● CommandCode

Dieser Teil des Telegramms gibt das Kommando zum SMS-Versand aus dem lokalen Netz. Der Wert 105 ist festgelegt und darf nicht verändert werden.



● Seq-Num

Der Telegrammteil "Seq-Num" ist die Sequenznummer und dient der Zuordnung mehrerer, gleichzeitiger Anfragen.

Diese Funktion wird zurzeit nicht unterstützt. Daher muss immer "01" verwendet werden.

● Rufnummer

Die Rufnummer des SMS-Empfängers darf maximal 40 Zeichen lang sein. Internationale Nummern (z. B. "+49" oder "0049") sind zulässig.

● Nachricht

Der Nachrichtentext darf maximal 160 Zeichen lang sein. Folgende Zeichen dürfen im SMS-Text nicht vorkommen:

# Trennungszeichen der ersten Kommandoebene ; Trennungszeichen der zweiten Kommandoebene : Bestimmt das Ende der Nachricht

Aufruf der Webseite Wählen Sie in der Navigation "SMS" > "SMS over IP".

SMS-Versand aus dem lokalen Netzwerk aktivieren Wählen Sie aus der Klappliste eine der beiden Optionen:

Ja: Die Funktion ist aktiviert.

Nein: Die Funktion ist nicht aktiviert.



Benutzername Legen Sie im Eingabefeld einen Benutzernamen fest, der im Telegramm enthalten sein muss, siehe oben "Telegrammformat".

Passwort Legen Sie im Eingabefeld ein Passwort fest, das im Telegramm enthalten sein muss, siehe oben "Telegrammformat".

Port-Nummer Legen Sie im Eingabefeld ein TCP/IP-Port fest, auf dem das M875 die TCP/IP-Verbindung zum SMS-Versand entgegen nimmt.

Firewall-Regeln Damit die TCP/IP-Verbindung zum SMS-Versand aufgebaut werden kann, muss Sie beim M875 eine Firewall-Regel einrichten. Klicken Sie dazu auf die Schaltfläche "Neu".

Werkseitig ist die Firewall-Regel für den SMS-Versand so eingestellt, dass alle Telegramme aus dem lokalen Netz passieren dürfen.

● Von IP-Adresse (intern)

Dieser Eintrag legt die Quelle für die TCP/IP-Verbindung zum SMS-Versand fest.

Geben Sie in das Eingabefeld die IP-Adresse der lokal angeschlossenen Applikation ein, die SMS-Befehle an das M875 senden darf.


● Aktion

Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit Telegrammen über TCP/IP der zuvor unter "Von IP-Adresse (intern)" angegebenen Teilnehmer verfahren wird.




● Logbuch-Eintrag





Projektierung 4.10 SNMP


Ja: Logbuch-Eintrag

Werkseinstellungen SMS-Versand aus lokalem Netz aktivieren: Nein (ausgeschaltet) Benutzername: User Passwort: Password Port-Nummer: 26864 Firewall-Regeln: - Von IP-Adresse (intern): 0.0.0.0/0 Aktionen: Erlauben Logbuch-Eintrag: Nein

Ausführliches Applikationsbeispiel Die ausführliche Beschreibung eines Beispiels mit einer SIMATIC S7-Station finden Sie auf den Seiten des Siemens Automation Customer Support unter folgender Adresse:


Im Beispiel wird die Funktion anhand des EDGE/GPRS-Routers SINAUT MD741-1 beschrieben. Diese Informationen können Sie auf das SCALANCE M875 übertragen.

4.10 SNMP

4.10.1 Einstellungen

SNMP-Parameter SNMP (Simple Network Management Protocol) ist ein Netzwerkprotokoll, mit dem einzelne Netzwerkteilnehmer, wie auch das M875, von einer Managementstation aus überwacht und gesteuert werden können. Bei den einzelnen Netzwerkteilnehmern werden sogenannte Agenten eingesetzt. Diese Programme sind in der Lage, den Zustand des Teilnehmers zu erfassen, Einstellungen vorzunehmen oder Aktionen auszulösen. Über SNMP kann die Managementstation mit den einzelnen Agenten kommunizieren.

Dabei können folgende Parameter vom M875 abgefragt werden:




Angaben zur Geräteidentifikation IP-Adresse des externen Netzwerks PIN der SIM-Karte MAC-Adresse Netzwerkbetreiber APN IMSI IMEI CSQ-Wert

ID der aktuellen Funkzelle ID der benachbarten Funkzelle Host-Name Maximales Datenvolumen 80%-Warnschwelle des max. Datenvolumens Übertragene Bytes seit Monatsbeginn Hardware-ID Software-Version Firmware-Version

Folgende Parameter können beim M875 über SNMP geändert werden:

Maximales Datenvolumen PIN der SIM-Karte

Zugangspasswort Angaben zur Geräteidentifikation

Das M875 unterstützt die Version SNMPv2.

Hinweis SNMP nur über VPN

Die SNMP-Funktionalitäten können nur über eine bestehende VPN-Verbindung genutzt werden.

Aufruf der Webseite Wählen Sie in der Navigation "SNMP" > "Einstellungen".



SNMP-Zugriff aktivieren Legen Sie fest, ob der Zugriff über SNMP aktiviert wird.

Ja: Der Zugriff über SNMP ist aktiviert.

Nein: Der Zugriff über SNMP ausgeschaltet.

Port für SNMP-Zugriff Geben Sie in das Eingabefeld die Nummer des Ports ein, über den der SNMP-Zugriff ermöglicht wird.

Lesen-Schreiben-Community Legen Sie einen Community String (Passwort) für den SNMP-Zugriff mit Lese- und Schreibrechten fest.

Nur-Lesen-Community Legen Sie einen Community String (Passwort) für den SNMP-Zugriff mit Leserechten fest.

Hinweis Community Strings (Passwörter) ändern

Ändern Sie die werkseitig eingestellten Passwörter. Diese Passwörter sind allgemein bekannt und bieten keinen ausreichenden Schutz.

Firewall-Regeln Damit die TCP/IP-Verbindung für den SNMP-Zugriff aufgebaut werden kann, müssen Sie beim M875 eine Firewall-Regel einrichten. Klicken Sie dazu auf die Schaltfläche "Neu".

Werkseitig ist die Firewall-Regel für den SNMP-Zugriff so eingestellt, dass alle Anfragen passieren dürfen.

● Von IP-Adresse (extern)

Dieser Eintrag legt die Quelle der SNMP-Anfragen fest.

Geben Sie in das Eingabefeld die IP-Adresse der Applikation ein, die per SNMP auf das M875 zugreifen darf.


● Aktion

Wählen Sie aus der Klappliste eine der folgenden Aktionen aus, die festlegt, wie mit SNMP-Anfragen der zuvor unter "Von IP-Adresse (extern)" angegebenen Teilnehmer verfahren wird.






● Logbuch-Eintrag





Ja: Logbuch-Eintrag

Werkseinstellungen SNMP-Zugriff aktivieren: Nein (ausgeschaltet) Port für SNMP-Zugriff: 161 Lesen-Schreiben-Community: private Nur-Lesen-Community: public Firewall-Regeln: Keine Regeln gesetzt.

Management über SIMATIC NET oder SINEMA Server Der SIMATIC NET IE SNMP OPC-Server und auch der SINEMA Server bieten viele komfortable Möglichkeiten des Netzwerkmanagements.

● SIMATIC NET IE SNMP OPC-Server

Die SNMP OPC-Server Software ermöglicht die Diagnose und Parametrierung von beliebigen SNMP-Geräten. Der Datenaustausch mit diesen Geräten wird von dem OPC-Server über das SNMP Protokoll abgewickelt. Sämtliche Informationen können in OPC-kompatible Systeme, z. B. in das HMI-System WinCC, integriert werden. Eine kombinierte Prozess- und Netzwerkdiagnose im HMI-System wird dadurch ermöglicht.



● SINEMA Server

SINEMA Server erkennt automatisch die im Netzwerk vorhanden Geräte und ermittelt die Topologie des Netzwerks. Informationen wie Gerätename, IP- und MAC-Adresse, Hersteller, Status und unterstützte Protokolle werden über die im Netzwerk erkannten Geräte gesammelt.

SINEMA Server ermöglicht die Überwachung, Wartung und Diagnose der im Netzwerk vorhandenen Geräte. Änderungen von Betriebszuständen und Fehler im Netzwerk werden als Ereignis erkannt und Alarme für die erkannten Ereignisse werden automatisch generiert.

Die gesammelten Geräteinformationen, die ermittelte Topologie, die Alarme und Netzwerkstatistik werden mit Hilfe eines Webbrowsers und/oder von integriert in HMI-/ SCADA-Systemen angezeigt. Die Netzwerkstatistik zeigt den Zustand der im Netzwerk vorhandenen Geräte basierend auf den Ereignissen und Gerätetypen.

Download der MIB-Dateien Die MIB-Dateien für das M875 stehen auf den Seiten des Siemens Automation Customer Support unter folgender Adresse zum Download bereit:


4.10.2 SNMP Traps Beim Eintreten bestimmter Ereignisse kann das M875 Alarmtelegramme (Traps) an die Management-Station verschicken. Dafür stehen beim M875 sechs verschiedene Ereignistypen zur Verfügung. Legen Sie für jeden Ereignistyp einzeln fest, ob ein Alarmtelegramm verschickt werden soll.

Zusätzlich zu den einstellbaren Ereignissen verschickt das M875 über SNMP automatisch ein Alarmtelegramm, wenn ein VPN-Tunnel aufgebaut oder abgebaut wird.




Aufruf der Webseite Wählen Sie in der Navigation "SNMP" > "SNMP Traps".

SNMP Traps aktivieren Legen Sie fest, ob bei ausgewählten Ereignissen Alarmtelegramme verschickt werden.

Ja: Alarmtelegramme werden verschickt.

Nein: Alarmtelegramme werden nicht verschickt.

Ziel-Host Geben Sie die IP-Adresse der Management-Station ein, an welche die Alarmtelegramme verschickt werden sollen.

Ziel-Port Geben Sie in das Eingabefeld die Port-Nummer des Ziel-Host ein.



Ziel-Name Falls erforderlich, geben Sie den Namen des Telegramm-Empfängers ein. Sonst können Sie den werkseitig eingestellten Namen beibehalten.

Ziel-Community Falls erforderlich, geben Sie die Ziel-Community des Telegramm-Empfängers ein. Sonst können Sie die werkseitig eingestellte Community beibehalten.

Ereignis: Gerät sendet Keepalive-Telegramme Das M875 kann periodisch Keepalive-Telegramme versenden. Im nächsten Eingabefeld "Keepalive-Intervall (Minuten)" können Sie das Intervall für das Versenden der Keepalive-Telegramme festlegen.

Legen Sie hier fest, ob das M875 ein Alarmtelegramm an die Management-Station verschicken soll, wenn ein Keepalive-Telegramm verschickt wird. Wählen Sie aus der Klappliste eine der beiden Optionen:

Ja: Alarmtelegramm wird bei Eintreten des Ereignisses verschickt.

Nein: Es wird kein Alarmtelegramm verschickt.

Keepalive-Intervall (Minuten) Geben Sie in das Eingabefeld ein Intervall in Minuten ein, in dem die Keepalive-Telegramme versendet werden.

Ereignis: 80% des max. Datenvolumens (Bytes/Monat) Volumen erreicht Legen Sie fest, ob ein Alarmtelegramm verschickt werden soll, wenn 80 % des festgelegten maximalen Datenvolumens pro Monat erreicht wurden, siehe auch Kapitel Volumenüberwachung (Seite 67). Wählen Sie aus der Klappliste eine der beiden Optionen:



Ereignis: 100% des max. Datenvolumens (Bytes/Monat) Volumen erreicht Legen Sie fest, ob ein Alarmtelegramm an die Managementstation verschickt werden soll, wenn das festgelegte maximale Datenvolumen pro Monat erreicht wurde. Wählen Sie aus der Klappliste eine der beiden Optionen:





Ereignis: Verbindung hergestellt Legen Sie fest, ob ein Alarmtelegramm an die Managementstation verschickt werden soll, wenn das M875 eine Verbindung zum Mobilfunknetz aufbaut und abbaut. Wählen Sie aus der Klappliste eine der beiden Optionen:



Ereignis: Änderung am Schalteingang Legen Sie fest, ob ein Alarmtelegramm verschickt werden soll, wenn am Schalteingang eine Änderung eintritt. Wählen Sie aus der Klappliste eine der beiden Optionen:



Ereignis: Änderung eines Konfigurationsprofils Legen Sie fest, ob ein Alarmtelegramm verschickt werden soll, wenn die Konfiguration des M875 verändert wurde. Wählen Sie aus der Klappliste eine der beiden Optionen:



Werkseinstellungen SNMP Traps aktivieren: Nein (ausgeschaltet) Ziel-Host: 0.0.0.0 Ziel-Port: 162 Ziel-Name: public Ziel-Community: public Ereignis: Gerät sendet Keepalive-Telegramme: Nein (ausgeschaltet) Keepalive-Intervall (Minuten) 600 Ereignis: 80% des max. Datenvolumens erreicht: Nein (ausgeschaltet) Ereignis: 100% des max. Datenvolumens erreicht:


Ereignis: Verbindung hergestellt Nein (ausgeschaltet) Ereignis: Änderung am Schalteingang Nein (ausgeschaltet) Ereignis: Änderung eines Konfigurationsprofils Nein (ausgeschaltet)


Wartung und Diagnose 55.1 Aufruf der Wartungs-Webseiten

Für Wartungs- und Diagnosezwecke stehen Ihnen die Webseiten des M875 zur Verfügung. Informationen über Voraussetzungen und Aufruf der Webseiten von einem Admin-PC aus finden Sie im Kapitel Einstellungen beim Admin-PC (Seite 35).

Die einzelnen Funktionen sind in den nachfolgenden Kapiteln beschrieben.

5.2 Update - Aktualisieren der Firmware Mit der Update-Funktion können Sie die Firmware-Version für das M875 aktualisieren.

Nach dem Laden der entsprechenden Dateien in das M875 wird die neue Firmware entpackt. Dieser Vorgang kann einige Minuten dauern. Danach beginnt der eigentliche Aktualisierungsvorgang, der durch ein Lauflicht der LEDs angezeigt wird. Nach der Aktualisierung führt das Gerät automatisch einen Neustart durch.

Die Einstellungen des M875 bleiben erhalten, sofern diese Einstellungen in der neuen Firmware-Version noch so wirken, wie vor der Aktualisierung.

Hinweis Keine Einstellungen während des Aktualisierungsvorgangs vornehmen

In der Zeitspanne vom Entpacken der Firmware und dem eigentlichen Aktualisieren bis zum Neustart des Geräts ist die Administrationsoberfläche nicht gesperrt. Nehmen Sie trotzdem während dieser Zeitspanne keinen Einstellungen an der Oberfläche vor, da nicht sichergestellt werden kann, dass diese Einstellungen korrekt übernommen werden. Gerät nicht ausschalten

Schalten Sie das Gerät während des Aktualisierungsvorgangs nicht aus.

Es besteht die Möglichkeit, dass die Aktualisierung zu einem festgelegten Zeitpunkt automatisch durchgeführt wird. Dazu müssen Sie die neue Firmware, wie unten beschrieben, zunächst in das Gerät laden.

Wartung und Diagnose 5.2 Update - Aktualisieren der Firmware


Aufruf der Webseite Wählen Sie in der Navigation "Wartung" > "Update".

Zeitpunkt festlegen Wählen Sie aus der Klappliste eine der folgenden Optionen:

Ja: Die Aktualisierung der neuen Firmware erfolgt zeitgesteuert zum unten

festgelegten Zeitpunkt. Dazu muss die Firmware vorab geladen worden sein, siehe unten "Update-Datei auswählen".

Nein: Die Aktualisierung der Firmware wird ausgeführt, nachdem Sie die entsprechenden Firmware-Dateien geladen haben und auf die Schaltfläche "Absenden" geklickt haben.

Firmware Update-Zeitpunkt festlegen Geben Sie Datum und Uhrzeit für die zeitgesteuerte Aktualisierung ein.

Wartung und Diagnose 5.3 Konfigurationsprofile


Firmware Update-Datei auswählen Um das Datenvolumen zur Aktualisierung der Firmware möglichst gering zu halten, sind die Firmware-Dateien für das M875 genau auf den jeweiligen Aktualisierungsschritt zugeschnitten. Wenn Sie z. B. die Firmware von Version 2.0 auf 2.1 aktualisieren, wählen Sie die entsprechende Firmware-Datei "M875_v2.0-v2.1.tgz".

Gehen Sie wie folgt vor, um eine neue Firmware-Version auf den M875 zu laden:

1. Klicken Sie auf die Schaltfläche "Durchsuchen". Ein Dialog öffnet sich.

2. Wählen Sie die entsprechende Firmware-Datei aus, z. B. "M875_v2.0-v2.1.tgz".

3. Klicken Sie im Dialog auf die Schaltfläche "Öffnen". Der Dialog schließt sich und die Pfadangabe erscheint im Eingabefeld.

Schaltfläche "Absenden" Klicken Sie auf die Schaltfläche "Absenden". Die Firmware wird, je nach Einstellung, sofort oder zum festgelegten Zeitpunkt aktualisiert.

Nach der Aktualisierung der Firmware führt das Gerät automatisch einen Neustart durch.

Hinweis Aktualisierung überprüfen

Überprüfen Sie nach dem Neustart auf der Startseite "Status" unter dem Punkt "Aktuelle Systemversion", ob die aktuelle Firmware-Version erfolgreich installiert wurde.

5.3 Konfigurationsprofile Sie können Ihre Einstellungen im M875 in Konfigurationsdateien speichern. Diese Profile können dann bei Bedarf neu geladen werden oder auf andere Geräte desselben Typs übertragen werden. Beachten Sie dabei, dass die PIN der SIM-Karte nicht im Konfigurationsprofil gespeichert wird.



Aufruf der Webseite Wählen Sie in der Navigation "Wartung" > "Konfigurationsprofile".

Profil hochladen Mit dieser Funktion wird ein zuvor erstelltes und auf dem Admin-PC gespeichertes Konfigurationsprofil in das M875 geladen. Dateien mit Konfigurationsprofilen haben die Dateiendung "tgz".

1. Klicken Sie auf die Schaltfläche "Durchsuchen", um auf dem Admin-PC nach Konfigurationsprofilen zu suchen. Der Dialog "Datei hochladen" wird geöffnet.

2. Wählen Sie die gewünschte Konfigurationsdatei mit der Endung "tgz" durch Doppelklick aus. Der Pfad der Konfigurationsdatei wird im Eingabefeld angezeigt.

3. Klicken Sie auf die Schaltfläche "Absenden", um das Profil in das M875 zu laden. Das Konfigurationsprofil wird in der "Liste der gespeicherten Konfigurationsprofile" weiter unten auf der Seite angezeigt.

Das hochgeladene Profil wird noch nicht verwendet. Damit das Gerät mit diesem Profil arbeitet, müssen Sie es in der Liste noch aktivieren, siehe unten.



Profil anlegen Mit dieser Funktion legen Sie ein neues Profil mit den aktuellen Einstellungen des M875 an.

1. Geben Sie einen Namen für das Profil in das Eingabefeld ein.

2. Klicken Sie auf die Schaltfläche "Anlegen". Das neue Konfigurationsprofil wird in der "Liste der gespeicherten Konfigurationsprofile" angezeigt.

Liste der gespeicherten Konfigurationsprofile In der dieser Liste werden alle im M875 gespeicherten Konfigurationsprofile angezeigt. Die drei Schaltflächen neben dem jeweiligen Profil haben folgende Funktionen:

● Schaltfläche "Aktivieren"

Das M875 übernimmt die Einstellungen des ausgewählten Konfigurationsprofils und arbeitet mit diesem weiter.

● Schaltfläche "Download"

Dialog zum Speichern des Konfigurationsprofils vom M875 auf den Admin-PC.

● Schaltfläche "Löschen"

Das Konfigurationsprofil wird gelöscht.

● Standard-Konfiguration

Das Profil "Standard-Konfiguration" umfasst die Werkseinstellungen. Das Profil kann nicht gespeichert oder gelöscht werden.

Wartung und Diagnose 5.4 Neustart


Zurücksetzen auf Standard-Konfiguration

ACHTUNG Löschung von Daten

Beachten Sie die folgenden Auswirkungen, bevor Sie das Gerät auf die Standard-Konfiguration zurücksetzen: Alle eingegebenen Konfigurationsdaten werden gelöscht.

Dies beinhaltet auch Benutzernamen und Zugangspasswörter. Die PIN der SIM-Karte wird in den Konfigurationsdaten gelöscht. Das Gerät lädt die Werkseinstellungen und führt einen Neustart durch.

Dies kann einige Minuten dauern. Erreichbarkeit des Geräts

Das Gerät ist wieder über die werkseitig eingestellte IP-Adresse 192.168.1.1 zu erreichen. Nicht gelöschte Daten Angelegte Konfigurationsprofile bleiben erhalten. Geladene Zertifikate bleiben erhalten. Logbuch-Dateien bleiben erhalten.

Vorgehensweise

1. Klicken Sie in der "Liste der gespeicherten Konfigurationsprofile" in der Zeile "Standard-Konfiguration" auf die Schaltfläche "Aktivieren".

2. Ändern Sie das werkseitig eingestellte Passwort, siehe Kapitel Passwort ändern (Seite 116).

3. Tragen Sie die PIN der SIM-Karte erneut ein, siehe Kapitel UMTS/EDGE - Zugangsparameter (Seite 60).

Hinweis

Wenn Sie das Gerät über die Weboberfläche oder über den SET-Taster auf seine Werkseinstellungen zurücksetzen, dann werden auch alle angelegten Konfigurationsprofile, Zertifikate und Logbuch-Dateien gelöscht. Informationen hierzu finden Sie im Kapitel Werkseinstellungen (Seite 146).

5.4 Neustart Obwohl das M875 für den Dauerbetrieb ausgelegt ist, kann es bei einem so komplexen System wie diesem zu Störungen kommen. Störungen werden meist durch äußere Einwirkung verursacht. Ein Neustart kann solche Störungen beheben.

Beim Neustart werden bestehende Verbindungen unterbrochen.

Wartung und Diagnose 5.4 Neustart


Die Einstellungen des aktuellen Konfigurationsprofils ändern sich nicht. Nach dem Neustart arbeitet das M875 mit diesen Einstellungen weiter.

Sie können beim M875 einstellen, dass einmal am Tag zu einer bestimmten Uhrzeit automatisch ein Neustart durchgeführt wird.

Aufruf der Webseite Wählen Sie in der Navigation "Wartung" > "Neustart".

Sofortiger Neustart Wenn Sie auf die Schaltfläche "Neustart" klicken, wird der Neustart sofort ausgeführt.

Täglichen Neustart verwenden Wählen Sie aus der Klappliste:

Ja: Das M875 führt täglich zum unten angegebenen Zeitpunkt einen Neustart

durch. Nein: Kein täglicher Neustart.

Zeitpunkt des täglichen Neustarts Geben Sie in das Eingabefeld eine Uhrzeit im 24-Stunden-Format für den täglichen Neustart ein.

Werkseinstellungen Täglichen Neustart verwenden: Nein Zeitpunkt des täglichen Neustarts: 01:00

Wartung und Diagnose 5.5 Remote Logging


5.5 Remote Logging Das M875 kann das System-Logbuch einmal am Tag automatisch per File Transfer Protocol (FTP) an einen FTP-Server übertragen. Dabei werden das aktuelle System-Logbuch sowie die archivierten Log-Dateien übertragen.

Nach erfolgreicher Übertragung werden die Logbücher im M875 gelöscht. Wenn die Übertragung fehlschlägt, versucht das M875 nach 24 Stunden erneut, die Log-Dateien zu übertragen. Noch nicht übertragene Log-Dateien werden unter "Aktive Uploads" angezeigt.

Aufruf der Webseite Wählen Sie in der Navigation "Wartung" > "Remote Logging".

Remote Logging (FTP Upload) verwenden Legen Sie fest, ob die Funktion verwendet wird. Wählen Sie eine der beiden Optionen aus der Klappliste:

● Ja: Die Funktion ist eingeschaltet.

● Nein: Die Funktion ist ausgeschaltet.

Uhrzeit Geben Sie eine Uhrzeit im 24-Stunden-Format ein, zu der die Logbücher übertragen werden.

Wartung und Diagnose 5.5 Remote Logging


FTP Server Legen Sie einen FTP-Server fest, an den die Log-Dateien übertragen werden. Die Adresse kann als Host-Name, z. B. ftp.server.de, oder als IP-Adresse angegeben werden.

Benutzername Legen Sie einen Benutzernamen für die Anmeldung am FTP-Server fest.

Passwort Legen Sie ein Passwort für die Anmeldung am FTP-Server fest.

Aktive Uploads Hier werden die Log-Dateien angezeigt, die beim nächsten Zyklus an den FTP-Server übertragen werden.

Werkseinstellungen Remote Logging (FTP Upload) verwenden: Nein (ausgeschaltet) Uhrzeit: 00:00 FTP-Server: NONE Benutzername: guest Passwort: guest

Wartung und Diagnose 5.6 Firmware-Informationen


5.6 Firmware-Informationen Über die Navigation "Wartung" > "Firmware-Info" gelangen Sie zur Seite "Firmware-Informationen":

Informationen zum Eintrag "Geplante Updates" finden Sie im Kapitel Update - Aktualisieren der Firmware (Seite 135).

Wartung und Diagnose 5.7 Hardware-Informationen


5.7 Hardware-Informationen Über die Navigation "Wartung" > "Hardware-Info" gelangen Sie zur Seite "Hardware-Informationen":

5.8 Snapshot Diese Snapshot-Funktion dient zu Support-Zwecken.

Der Service-Snapshot speichert wichtige Logdateien und aktuelle Geräte-Einstellungen, die zur Fehlerdiagnose relevant sein könnten, in einer Datei. Wenn Sie sich bei einem Problem mit dem M875 an unsere Hotline wenden, wird diese möglicherweise um die Snapshot-Datei bitten.

Hinweis

Die Snapshot-Datei enthält die Zugangsparameter zum Mobilfunknetz sowie die Adressen der Gegenstelle. Nicht enthalten sind Benutzername und Passwort für den Zugang zum M875.

Aufruf der Webseite Wählen Sie in der Navigation "Wartung" > "Snapshot".

Snapshot-Datei auf PC laden Wenn Sie auf die Schaltfläche "Download" klicken, dann öffnet sich ein Dialog zum Öffnen oder Speichern der Snapshot-Dateien. Folgen Sie den Anweisungen des Dialogs.

Wartung und Diagnose 5.9 Werkseinstellungen


Erweiterte Diagnose (erfordert Neustart)

Hinweis Diese Funktion nur nach Aufforderung durch die Hotline aktivieren

Aktivieren Sie "Erweiterte Diagnose" nur nach Aufforderung durch die Hotline. Durch die häufigen Schreibzugriffe bei aktivierter erweiterter Diagnose auf den nicht flüchtigen Speicher des M875 kann sich dessen Lebensdauer verringern.

Bei aktivierter erweiterter Diagnose werden die Logbuch-Informationen häufiger in die Logbücher geschrieben. Außerdem werden Zusatzinformationen gespeichert. Dies hilft bei einer gezielten Problemanalyse.

5.9 Werkseinstellungen

Alternative Möglichkeiten zum Zurücksetzen auf Werkseinstellungen Um das M875 auf seine Werkseinstellungen zurückzusetzen, stehen Ihnen zwei unterschiedliche Wege zur Verfügung:

● Über die Webseite "Wartung" > "Werkseinstellungen"

● Durch Drücken des Service-Tasters "SET"

Auswirkungen des Zurücksetzens auf Werkseinstellungen

ACHTUNG Löschung von Daten

Beachten Sie die folgenden Auswirkungen, bevor Sie das Gerät auf Werkseinstellungen zurücksetzen: Das Gerät wird auf Werkseinstellungen zurückgesetzt und führt einen Neustart durch.

Dies kann einige Minuten dauern. Alle eingegebenen Konfigurationsdaten werden gelöscht.

Dies beinhaltet auch Benutzernamen und Zugangspasswörter. Die PIN der SIM-Karte wird in den Konfigurationsdaten gelöscht. Angelegte Konfigurationsprofile werden gelöscht. Geladene Zertifikate werden gelöscht. Logbuch-Dateien werden gelöscht. Erreichbarkeit des Geräts

Das Gerät ist wieder über die werkseitig eingestellte IP-Adresse 192.168.1.1 zu erreichen.



Hinweis Konfigurationsprofile vorab extern speichern

Wenn Sie Ihre eingegebenen Daten nicht komplett verwerfen wollen, dann können Sie diese unter einem Konfigurationsprofil speichern, extern ablegen und nach dem Zurücksetzen auf Werkseinstellungen wieder laden. Informationen hierzu finden Sie im Kapitel Konfigurationsprofile (Seite 137). Alternative: Rücksetzen auf Standard-Konfiguration

Wenn Sie angelegte Konfigurationsprofile, Zertifikate und Log-Dateien nicht löschen wollen, dann können Sie statt des Zurücksetzens auf Werkseinstellungen alternativ das Gerät auf Standard-Konfiguration zurücksetzen. Informationen hierzu finden Sie im Kapitel Konfigurationsprofile (Seite 137).

Zurücksetzen über die Webseite "Wartung" > "Werkseinstellungen" Gehen Sie wie folgt vor:

1. Wählen Sie in der Navigation "Wartung" > "Werkseinstellung".

2. Klicken Sie auf die Schaltfläche "Zurücksetzen".

3. Starten Sie die Anwendung neu.



Zurücksetzen über den Service-Taster "SET" Gehen Sie wie folgt vor:

1. Drücken Sie den SET-Taster mit einem spitzen Gegenstand, z. B. einer aufgebogenen Büroklammer.

2. Halten Sie den Taster länger als 5 Sekunden gedrückt.

3. Starten Sie die Anwendung neu.




Technische Daten 6

Technische Daten Anschluss an Industrial Ethernet Schnittstelle X2 für lokale Applikationen Anzahl der Ports: 2 (X2P1 und X2P2)

Ausführung: RJ45-Buchse Eigenschaften: 10/100BASE-T, Ethernet IEEE 802, 10/100 Mbit/s; Autocrossover; Autonegotiation

Service-Schnittstelle Schnittstelle X1 Reserviert (ohne Funktion) Elektrische Daten Spannungsversorgung Versorgungsspannung: DC 24 V

Zulässiger Bereich: 12 ... 30 V Ausführung: 4-polige Klemmenleiste, nicht potenzialgetrennt

Leistungsaufnahme (typisch) Bei 12 V: 4,4 W Bei 24 V: 4,0 W Bei 30 V: 3,5 W

Stromaufnahme Imax.: 450 mA Iburst: 1,26 A

Schalteingang Anzahl: 1 Ausführung: 2-poliger Klemmenblock Zulässiger Spannungsbereich: DC 5 ... 30 V Spannung im Zustand "An": ≥ 5 V Spannung im Zustand "Aus": ≤ 1,2 V

Schaltausgang Anzahl: 1 Ausführung: 2-poliger Klemmenblock Betriebsspannung: DC 30 V Belastbarkeit: 20 mA

Funkschnittstelle Antennenanschluss Anzahl: 2

Ausführung: SMA-Buchse Impedanz nominal: 50 Ohm Anschluss A1 für die Hauptantenne Anschluss A2 für die Ergänzungsantenne

Frequenzbänder UMTS: 800, 850, 1700 (AWS), 1900, 2100 MHz GPRS: 850, 900, 1800, 1900 MHz

UMTS mit HSPA+ Übertragungsgeschwindigkeiten: HSDPA (Downllink): 14,4 Mbit/s HSUPA (Uplink): 5,76 Mbit/s

Technische Daten


Technische Daten EGPRS Multislot Class 12, Mobile Station Class B

Downlink coding schemes - CS 1-4, MCS 1-9 Uplink coding schemes - CS 1-4, MCS 1-9 Übertragungsgeschwindigkeiten: Downlink: 237 kbit/s Uplink: 237 kbit/s

GPRS Multislot Class 12, Mobile Station Class B Coding schemes 1-4 Übertragungsgeschwindigkeiten: Downlink: 85,6 kbit/s Uplink: 85,6 kbit/s

SMS (TX) Text-Modus, SMSoverIP Zulässige Umgebungsbedingungen Umgebungstemperatur Während Betriebsphase: -40°C ... +75°C

Während Lagerung: -40°C ... +85°C

Relative Luftfeuchte bei 25°C 0 ... 95%, nicht kondensierend Bauform, Maße und Gewicht Bauform Kompakte Bauform, für Hutschienenmontage Material Kunststoff Schutzart IP20 Abmessungen (B x H x T) 45 x 99 x 114 mm Gewicht 280 g Produktfunktionen Firewall und Sicherheit Stateful Inspection

Paketfilter Anti Spoofing IPsec-VPN für bis zu 10 Verbindungen Passwortschutz

Technische Daten


Technische Daten Router-Funktionen Port-Weiterleitung

NAT (IP Masquerading) NAT-Traversal 1:1-NAT DynDNS-Client DNS-Cache DHCP-Sever am internen (lokalen) Netzwerk NTP Remote Logging Verbindungsüberwachung Alarm-SMS SMS-Versand aus dem lokalen Netz Volumenüberwachung Installationsmodus zum Ausrichten der Antennen

Projektierung / Management Web-basierte Administrationsoberfläche (WBM) Fernzugang per HTTPS SNMP und SNMP-Traps

Technische Daten



Zulassungen 7

Erteilte Zulassungen

Hinweis Erteilte Zulassungen auf dem Typenschild des Geräts

Die angegebenen Zulassungen gelten erst dann als erteilt, wenn auf dem Produkt eine entsprechende Kennzeichnung angebracht ist. Welche der nachfolgenden Zulassungen für Ihr Produkt erteilt wurde, erkennen Sie an den Kennzeichnungen auf dem Typenschild.

Aktuelle Zulassungen im Internet SIMATIC NET-Produkte werden regelmäßig für die Zulassungen hinsichtlich bestimmter Märkte und Anwendungen bei Behörden und Zulassungsstellen eingereicht.

Die aktuellen Zulassungen für das Produkt finden Sie auch auf den Internet-Seiten des Siemens Automation Customer Support unter der folgenden Beitrags-ID:

39971776 (http://support.automation.siemens.com/WW/view/de/48284698) → Register "Beitragsliste", Beitragstyp "Zertifikate"

Länderzulassungen Eine Übersicht der länderspezifischen Funkzulassungen von SIMATIC NET-Geräten mit GSM- oder UMTS-Diensten finden Sie auf den Internet-Seiten des Siemens Automation Customer Support. Den Link zum Dokument finden Sie auf folgender Seite:

ik-Info (www.siemens.com/simatic-net/ik-info)

EG-Konformitätserklärung Bei bestimmungsgemäßer Verwendung entspricht das Produkt den folgenden europäischen Richtlinien:

● Richtlinie 1999/5/EG (R&TTE) des Europäischen Parlaments und des Rates vom 9. März 1999 über Funkanlagen und Telekommunikations-Endeinrichtungen und die gegenseitige Anerkennung ihrer Konformität

Angewandte Normen:

– EN 301 511: v.9.0.2

– 3GPP TS 51.010-1: v. 5.10.0


http://www.siemens.com/simatic-net/ik-info�

Zulassungen


Klassifizierung

– Telekommunikationsendgerät

– Funkgerät

– Geräteklasse 1

● Richtlinie 2006/95/EG (Niederspannungsrichtlinie) des Europäischen Parlaments und des Rates vom 12. Dezember 2006 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten betreffend elektrische Betriebsmittel zur Verwendung innerhalb bestimmter Spannungsgrenzen

Angewandte Normen:

– EN 60950:2006

● Richtlinie 2004/108/EG (EMV) des Europäischen Parlaments und des Rates vom 15. Dezember 2004 zur Angleichung der Rechtsvorschriften der Mitgliedstaaten über die elektromagnetische Verträglichkeit und zur Aufhebung der Richtlinie 89/336/EWG

Angewandte Normen:

– EN 55022:2006 Grenzwertklasse A

– EN 55024:1998 + A1:2001 + A2:2003

– EN 61000-6-2:2001

Hinweis

Das SCALANCE M875 ist eine Einrichtung der Klasse A. Diese Einrichtung kann im Wohnbereich Funkstörungen verursachen. In diesem Fall kann vom Betreiber verlangt werden, angemessene Maßnahmen durchzuführen.

Die EG-Konformitätserklärung zu diesem Produkt finden Sie im Internet unter folgender Adresse:

Link zur Konformitätserklärung: (http://support.automation.siemens.com/WW/view/de/10805878) → Register "Beitragsliste" Filter: → Beitragsliste → Beitragstyp "Zertifikate" → Zertifikatart: "Konformitätserklärung" → Suchbegriff(e): <Name der Baugruppe>

UL/CSA-Zertifizierung Certificate No. E301659, Report No. E301826

● UL 60950-1, 2nd Edition, 2011-12-19 (Information Technology Equipment - Safety - Part 1: General Requirements)

● CSA C22.2 No. 60950-1-07, 2nd Edition, 2011-12 (Information Technology Equipment - Safety - Part 1: General Requirements)


Zulassungen


FCC Part 15 Das Gerät entspricht den Grenzwerten für digitale Geräte der Klasse A, gemäß den FCC Rules Part 15.

Diese Grenzwerte sind so festgelegt, dass bei ihrer Einhaltung angemessener Schutz gegen schädliche und störende Interferenzen gewährleistet ist, wenn das betreffende Gerät im Wohnbereich installiert ist. Dieses Gerät erzeugt und benutzt Hochfrequenzen und kann diese ausstrahlen.

Wenn dieses Gerät nicht in Übereinstimmung mit den Instruktionen installiert und benutzt wird, kann es störende Interferenzen für den Funkverkehr bewirken. Es kann jedoch nicht garantiert werden, dass es bei bestimmten Installationen, auch wenn diese in Übereinstimmung mit den Instruktionen vorgenommen werden, keine störenden Interferenzen verursachen kann. Falls dieses Gerät störende Interferenzen beim Radio- oder Fernsehempfang bewirkt, was durch Ein- und Ausschalten des Gerätes ermittelt werden kann, empfehlen wird dem Benutzer, folgende Gegenmaßnahmen zu ergreifen.

● Ändern Sie die Ausrichtung der Empfangsantenne oder installieren Sie diese an anderer Stelle.

● Vergrößern Sie den Abstand zwischen dem SCALANCE M875 und dem Radio- oder Fernsehempfänger.

● Schließen Sie das Gerät an eine Netzsteckdose an, die sich in einem anderen Stromkreis befindet als diejenige, an welcher der Empfänger angeschlossen ist.

● Wenden Sie sich an einen Fachhändler / Installateur oder an einen kompetenten Fachmann für TV und Radioempfang und fragen Sie ihn.

FCC Part 15.19 Dieses Gerät entspricht den Bestimmungen in Part 15 der FCC Rules. Sein Betrieb unterliegt folgenden Bedingungen:

● Dieses Gerät bewirkt möglicherweise keine schädlichen oder störenden Interferenzen.

● Dieses Gerät muss empfangene Interferenzen hinnehmen können, auch solche, die ein unerwünschtes Betriebsverhalten bewirken könnten.

FCC Part 15.21 Modifikationen am Gerät, denen dieser Hersteller nicht ausdrücklich zugestimmt hat, können dazu führen, dass der Benutzer nicht mehr befugt ist, das Gerät zu betreiben.

Das SCALANCE M875 darf nur mit einer Antenne aus dem Zubehörsortiment des SCALANCE M875 betrieben werden.

Ausschließlich Fachpersonal darf das SCALANCE M875 und dessen Antenne installieren und warten. Bei Arbeiten an der Antenne oder bei Arbeiten näher als unten angegeben muss der Sender ausgeschaltet sein.

Zulassungen


FCC-ID des GSM-Moduls: QIPPH8 Dieses Gerät beinhaltet GSM-, GPRS Class 12-, EGPRS Class 10-, und UMTS-Funktionen im 900- und 1800-MHz-Band, die auf den Territorien der USA nicht zu benutzen sind.

Dieses Gerät kann für mobile und fest installierte Anwendungen verwendet werden. Die mit diesem Gerät benutzen internen / externen Antennen müssen mindestens 20 cm von Personen entfernt sein und sie dürfen nicht so platziert oder betrieben werden, dass sie im Verbund mit einer anderen Antenne oder einem anderen Sender arbeiten.

Benutzer und Installateure müssen Installationshinweise für die Antenne und die Bedingungen für den Betrieb der Sendeanlage erhalten, die einzuhalten sind, um der zulässigen HF-Exposition zu genügen. Antennen für das benutzte GSM-Modul dürfen einen Antennengewinn von 8,4dBi (GSM 1900) und 2,9dBi (GSM 850) bei Betriebskonfiguration für mobile und fest installierte Anwendungen nicht überschreiten. Das Gerät ist zugelassen als Modul zum Einsatz in anderen Geräten.

GCF und PTCRB Das Mobilfunkmodul des SCALANCE M875 ist konform mit den Anforderungen von Global Certification Forum (GCF) und PTCRB.

Bahnanwendungen EN 50155

Kraftfahrt-Bundesamt Deutschland E1


Zusätzliche interne Routen A

Die nachfolgende Skizze zeigt, wie in einem lokalen Netzwerk mit Subnetzen die IP-Adressen verteilt sein könnten, welche Netzwerk-Adressen daraus resultieren und wie die Angabe einer zusätzlichen internen Route lauten könnte.

Bild A-1 Zusätzliche interne Routen

Netz A ist an das M875 angeschlossen und über dieses mit einem entfernten Netz verbunden.

Zusätzliche interne Routen zeigen den Weg zu den weiteren Netzen B und C, die über Gateways (Router) miteinander verbunden sind. In dem gezeigten Beispiel sind die Netze B und C beide über das Gateway 192.168.11.2 und die Netzwerkadresse 192.168.11.0/24 für das M875 erreichbar.

Zusätzliche interne Routen


Netz A Rechner: A1 A2 A3 A4 A5 IP-Adresse: 192.168.11.3 192.168.11.4 192.168.11.5 192.168.11.6 192.168.11.7 Netz-Maske: 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Netz B Rechner: B1 B2 B3 B4 IP-Adresse: 192.168.15.3 192.168.15.4 192.168.15.5 192.168.15.6 Netz-Maske: 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

Zusätzliche interne Routen: Netzwerk: 192.168.15.0/24 Gateway: 192.168.11.2

Netz C Rechner: C1 C2 C3 C4 IP-Adresse: 192.168.27.3 192.168.27.4 192.168.27.5 192.168.27.6 Netz-Maske: 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

Zusätzliche interne Routen: Netzwerk: 192.168.27.0/24 Gateway: 192.168.11.2


Training, Service & Support B

Service & Support Zusätzlich zur Produktdokumentation unterstützt Sie die umfassende Online-Plattform des Siemens Automation Customer Support zu jeder Zeit von jedem Ort der Welt aus. Sie finden die Service & Support-Seiten im Internet unter folgender Adresse: (www.siemens.com/automation/service&support)

Neben Neuigkeiten finden Sie dort folgende Informationen:

● Produktinformationen, Produkt-Support, Applikationen & Tools

● Technisches Forum

● Technical Support - Fragen Sie Siemens-Experten

● Unser Service-Angebot:

– Technical Consulting, Engineering Support

– Field Service

– Ersatzteile und Reparaturen

– Instandhaltung, Optimierung, Modernisierung und mehr

Kontaktdaten finden Sie im Internet unter folgender Adresse: (www.automation.siemens.com/partner)

SITRAIN - das Siemens-Training für Automation und Industrial Solutions Mit mehr als 300 verschiedenen Kursen deckt SITRAIN das gesamte Siemens-Produkt- und Systemspektrum im Bereich der Automatisierungs- und Antriebstechnik ab. Neben dem klassischen Kursangebot bieten wir maßgeschneiderten Weiterbildungsmaßnahmen und eine Kombination verschiedener Lernmedien und Sequenzen an, beispielsweise Selbstlernprogramme auf CD-ROM oder im Internet.

Ausführliche Informationen zum Schulungsangebot und Kontaktdaten unserer Kundenberater finden Sie unter folgender Internet-Adresse:

(www.siemens.de/sitrain)

http://www.siemens.com/automation/service&support�

http://www.automation.siemens.com/partner�

http://www.siemens.de/sitrain�

Training, Service & Support



Glossar

2G Digitale Mobilfunknetze der zweiten Generation, z. B. GSM

3G Digitale Mobilfunknetze der dritten Generation, z. B. UMTS

AES Advanced Encryption Standard

Symmetrische Blockchiffre. Spezifikation zur Kryptographie von Daten in Wireless LAN-Netzwerken.

Anti-Spoofing → Spoofing

APN Access Point Name

DNS-Host-Name des Anschlusspunkts eines Netzes zu einem externen Netz.

Bei Telecontrol ist der APN der Name des Zugangspunkts eines GPRS-Netzes zum Internet oder zu einem privaten Firmennetz. Abhängig vom Typ des angeschlossenen Netzes handelt es sich um einen öffentlichen oder privaten APN. Der APN wird vom GSM-Netzwerkbetreiber mitgeteilt.

Asymmetrische Verschlüsselung Public-Key-Verfahren

Verfahren zum Umwandeln von Klartext in Geheimtext und umgekehrt, wobei das Schlüsselpaar aus einem öffentlichen Schlüssel (Public Key) zum Verschlüsseln und einem geheimen Schlüssel (Private Key) zum Entschlüsseln besteht.

CIDR Classless Inter-Domain Routing

Glossar


Notation zum Zusammenfassen mehrerer IP-Adressen zu einem Adressbereich, indem eine IP-Adresse mit ihrer Netzmaske kombiniert dargestellt wird. Dazu wird an die IP-Adresse ein Suffix angehängt, das die Anzahl der auf 1 gesetzten Bits der Netzmaske angibt. Durch die CIDR-Notation lassen sich Routing-Tabellen reduzieren und die verfügbaren Adressbereiche besser ausnutzen.

Beispiel: IP-Adresse 192.168.0.0 mit Netzmaske 255.255.255.0

Der Netzanteil der Adresse umfasst in der binären Darstellung 3 x 8 Bits, also 24 Bits. Daraus ergibt sich die CIDR-Notation 192.168.0.0/24.

Der Host-Anteil umfasst in der binären Darstellung 1 x 8 Bits. Daraus ergibt sich der Adressbereich von 28, also 256 mögliche Adressen.

CSD Circuit Switched Data

Dienst im Mobilfunknetz zur drahtlosen Übertragung von Daten mit bis zu 14,4 kBit/s vollduplex. Verbindungen können zu anderen Mobilfunkgeräten, zu analogen Modems oder zu ISDN-Modems im Festnetz aufgebaut werden. Der Verbindungsaufbau kann von beiden Seiten gestartet werden. Es werden nur Wählverbindungen unterstützt.

CSQ Wert zur Angabe der Signalqualität im Mobilfunk. Die CSQ-Werte korrespondieren mit den dBm-Werten der Empfangsfeldstärke RSSI (Received Signal Strength Indication). Ein CSQ-Wert von < 6 (-101 dBm) gilt als schlechte Qualität, ein CSQ-Wert von > 18 (75 dBm) gilt als sehr gute Qualität.

DES Data Encryption Standard

Methode zum Verschlüsseln von Daten (56-Bit-Verschlüsselung)

DES3 Data Encryption Standard

Symmetrisches Verschlüsselungsverfahren, bei dem zur Verschlüsselung und zur Entschlüsselung der Daten der gleiche Schlüssel verwendet wird. DES3 bedeutet, dass der Algorithmus dreimal angewendet wird, um die Sicherheit zu erhöhen.

DHCP Dynamic Host Configuration Protocol

Sie können SCALANCE S am internen Netz als DHCP-Server betreiben. Damit ist es möglich, den am internen Netz angeschlossenen Geräten automatisch IP-Adressen zuzuweisen. Die IP-Adressen werden hierbei entweder dynamisch aus einem von Ihnen vergebenen Adressband zugewiesen oder es wird gemäß Ihrer Vorgabe eine bestimmte IP-Adresse einem bestimmten Gerät zugewiesen.

Glossar


DNS Domain Name System

Verteilte Datenbank, die den Namensraum im Internet verwaltet.

Domain Name System → DNS

Dynamic Domain Name System → DynDNS

Dynamic Host Configuration Protocol → DHCP

DynDNS Dynamic Domain Name System

Netzwerkdienst ähnlich DNS für Teilnehmer mit wechselnden IP-Adressen. Der Dienst aktualisiert die Adresseinträge beim Name-Server in Echtzeit, sodass der Teilnehmer stets unter einem festgelegten Host-Namen erreichbar ist.

EDGE Enhanced Data Rates for GSM Evolution

Weiterentwicklung der GSM-Technik. Durch ein zusätzliches Modulationsverfahren werden die verfügbaren Übertragungsgeschwindigkeiten in Mobilfunknetzen erhöht. Mit EDGE werden die paketorientierten Mobilfunkdienste GPRS zu EGPRS und HSCSD zu ECSD erweitert.

EGPRS Enhanced GPRS

Paketorientierter Dienst zur IP-basierten Datenübertragung in GSM-Netzen. Durch Anwendung eines zusätzlichen Modulationsverfahrens (EDGE-Technologie) wird gegenüber GPRS eine Erhöhung der Übertragungsgeschwindigkeit erreicht.

Enhanced GPRS → EGPRS

Externe Gegenstellen Netzwerkkomponenten in einem anderen als dem lokalen Netzwerk, z. B. Webserver im Internet, Router im Intranet, zentraler Firmenserver, ein Admin-PC.

Glossar


Global System for Mobile Communication → GSM

GPRS General Packet Radio Service

Paketorientierter Dienst zur IP-basierten Datenübertragung in GSM-Netzen. GPRS-Datenpakete können auch über das Internet übertragen werden. Die Daten werden über die Internet-Protokolle TCP/IP oder UDP/IP übertragen.

GSM Global System for Mobile Communication

Weltweiter Standard für Mobil-Kommunikation

HSDPA → HSPA

HSPA High Speed Packet Access

Weiterentwicklung der UMTS-Technik, die höhere Übertragungsgeschwindigkeiten ermöglicht. HSPA gliedert sich in HSDPA zur Erhöhung der Download-Rate und HSUPA zur Erhöhung der Upload-Rate.

HSUPA → HSPA

HTTPS Secure Hypertext Transfer Protocol bzw. HyperText Transfer Protocol Secured Socket Layer (SSL)

Protokoll für die Übertragung verschlüsselter Daten. Erweiterung von HTTP für die geschützte Übertragung von vertraulichen Daten mit Hilfe von SSL.

Internet Protocol → IP

IP Internet Protocol

Glossar


Netzwerkprotokoll, das die Vermittlungsschicht (Network Layer) des OSI-Modells für TCP/IP basierte Netze darstellt.

Die wichtigste Angabe ist die eindeutige IP-Adresse. Die Datenblöcke werden unabhängig voneinander an den Zielrechner geschickt. Dabei wird von IP keine Vereinbarung mit dem Zielrechner getroffen. Es gibt keine Ende-zu-Ende-Fehlerkontrolle. Telegramme können in einer anderen Reihenfolge ankommen als sie abgeschickt wurden. Für die Zusammensetzung in der richtigen Reihenfolge ist TCP verantwortlich.

IP-Adresse Adresse, die aus einem Zahlencode von vier Zahlen von jeweils 0 bis 255 besteht (z. B. 192.168.1.1). Sie ist die eindeutige Ziffernadresse eines Teilnehmers in einem IP-basierten Netzwerk.

IPsec IP-Protokollerweiterung für VPN auf OSI-Schicht 3

IPsec erlaubt nur die Verschlüsselung von IP-Paketen, überträgt jedoch keine Multicast-Telegramme und unterstützt nur statisches Routing.

Lokale Applikation Anwendungs-Software auf einer Netzwerkkomponente im lokalen Netz, z. B. programmierbare Steuerung, Maschine mit Ethernet-Schnittstelle zur Fernüberwachung, Notebook, PC oder der Admin-PC.

MCC - Mobile Country Code → PLMN

MNC - Mobile Network Code → PLMN

NAPT Network Address Port Translation

Verfahren, bei dem in einem Router eine IP-Adresse durch eine andere IP-Adresse und zusätzlich die Port-Nummer durch eine andere Port-Nummer in einem Telegramm ersetzt wird.

NAT Network Address Translation

Verfahren, bei dem in einem Router eine IP-Adresse in einem Telegramm durch eine andere ersetzt wird.

Glossar


NAT/NAPT-Router Technik, bei der die Adressen der Teilnehmer im internen Subnetz nach außen im externen Netz nicht bekannt werden. Die Adressen sind im externen Netz nur über die in der Umsetzungsliste definierten externen IP-Adressen sichtbar.

NAT-Traversal Verfahren, bei dem IPsec-Daten ermöglicht wird, NAT-Geräte zu passieren.

Network Address Port Translation → NAPT

Network Address Translation → NAT

PKCS Public Key Cryptography Standards

Spezifikationen zu kryptographischen Schlüsseln, die von RSA Security und anderen entwickelt wurden. Ein Zertifikat verknüpft Daten eines kryptographischen Schlüssels (oder Schlüsselpaars, bestehend aus öffentlichem und privatem Schlüssel) mit Daten des Inhabers und einer Zertifizierungsstelle.

PKCS#12-Format Standard, der ein PKCS-Format festlegt, das für den Austausch des öffentlichen Schlüssels sowie zusätzlich des kennwortgeschützten privaten Schlüssels geeignet ist.

PLMN Public Land Mobile Network

Weltweit eindeutige Kennung von Mobilfunknetzen. Die PLMN setzt sich zusammen aus dem dreistelligen Mobile Country Code (MCC) und dem zwei- oder dreistelligen Mobile Network Code (MNC).

Port-Nummer Teil einer Adresse, der Datensegmente einem Netzwerkprotokoll zuordnet. Es gibt u. a. fest zugeordnete und allgemein bekannte Portnummern für bestimmte Anwendungen, z. B. 80 für das Übertragungsprotokoll HTTP.

PPPoE Point to Point Protocol over Ethernet

Glossar


Bezeichnung für die Verwendung des Netzwerkprotokolls PPP über eine Ethernet-Verbindung.

Preshared Keys Symmetrisches Schlüssel-Verfahren. Der Schlüssel muss beiden Seiten vor der Kommunikation bekannt gemacht werden.

Public Key Cryptography Standards → PKCS

Public-Key-Verfahren → Asymmetrische Verschlüsselung

Secure Hypertext Transfer Protocol → HTTPS

SNMP Simple Network Management Protocol

Standardisiertes Protokoll zum Transport von Netzwerkmanagement-Informationen

Spoofing Methoden zum Untergraben von Authentifizierungs- und Identifikationsverfahren, die auf vertrauenswürdige Adressen oder Host-Namen beruhen. Beispielsweise wird beim IP-Spoofing eine gefälschte Quell-IP-Adresse verwendet.

Anti-Spoofing sind Mechanismen, um Spoofing zu entdecken oder zu verhindern.

SSH Secure SHell

Protokoll, das den gesicherten und verschlüsselten Datenaustausch zwischen Rechnern ermöglicht. SSH wird zum Fernzugriff auf die Eingabekonsole von LINUX- basierten Maschinen verwendet.

Stateful Inspection Firewall Auch Stateful Packet Inspection

Stateful Inspection Firewall ist eine Methode zur Paketfilterung. Paketfilter lassen IP-Telegramme nur dann passieren, wenn dies zuvor durch Firewall-Regeln definiert wurde. In der Firewall-Regel wird Folgendes festgelegt:

Glossar


● Welches Protokoll (TCP, UDP, ICMP) darf passieren?

● Welche Quelle des Telegramms (IP / Port) ist erlaubt?

● Welches Ziel des Telegramms (IP / Port) ist erlaubt?

Gleichfalls wird hier festgelegt, wie mit Telegrammen verfahren wird, die nicht passieren dürfen (verwerfen oder zurückweisen).

Bei einem einfachen Paketfilter müssen immer zwei Firewall-Regeln für eine Verbindung angelegt werden:

● Eine Regel für die Anfragerichtung von der Quelle zum Ziel

● Eine zweite Regel für die Antwortrichtung vom Ziel zur Quelle

Anders ist das bei einer Stateful Inspection Firewall. Hier wird nur für die Anfragerichtung von der Quelle zum Ziel eine Firewall-Regel angelegt. Die Firewall-Regel für die Antwortrichtung vom Ziel zur Quelle ergibt sich aus der Analyse der zuvor gesendeten Daten. Die Firewall-Regel für die Antworten wird nach Erhalt der Antworten bzw. nach Ablauf einer kurzen Zeitspanne wieder geschlossen. Antworten dürfen also nur passieren, wenn es zuvor eine Anfrage gab. So kann die Antwortregel nicht für unbefugte Zugriffe benutzt werden. Besondere Verfahren ermöglichen zudem, dass auch UDP- und ICMP-Daten passieren können, obwohl diese Daten zuvor nicht angefordert wurden.

Subnetz Teil eines Netzes, das durch entsprechende Einrichtungen, beispielsweise mittels Gateways, vom Gesamtnetz abgegrenzt ist. Es umfasst die Buskomponenten und alle angeschlossenen Stationen.

Eine Anlage besteht meist aus mehreren Subnetzen mit eindeutigen Subnetznummern. Ein Subnetz besteht aus mehreren Teilnehmern mit eindeutigen Adressen bzw. MAC-Adressen (bei Industrial Ethernet).

Subnetzmaske Die Subnetzmaske legt fest, welche Anteile einer IP-Adresse der Netznummer zugeordnet werden. Der Netznummer zugeordnet sind die Bits in der IP-Adresse, deren korrespondierende Bits in der Subnetzmaske mit 1 belegt sind.

Symmetrische Verschlüsselung Verfahren zum Umwandeln von Klartext in Geheimtext und umgekehrt, wobei beide Kommunikationspartner denselben geheimen Schlüssel (Private Key) zum Ver- und Entschlüsseln verwenden. Meist besteht der Schlüssel aus einer Bitfolge. Beispiele sind das DES- oder das AES-Verfahren.

TCP Transmission Control Protocol

Protokoll zur verbindungsorientierten Datenübertragung in Netzwerken; es gehört zur Familie der Internetprotokolle. Im OSI-Schichtenmodell ist das Protokoll auf Schicht 4 einzuordnen.

Glossar


TCP/IP Transmission Control Protocol / Internet Protocol

Bezeichnet eine Sammlung von Protokollen, die wegen ihrer großen Bedeutung für die Datenübertragung in heterogenen Netzen auch als Internet-Protokollfamilie bezeichnet wird. Im OSI-Schichtenmodell sind diese Protokolle auf Schicht 3 (IP) und Schicht 4 (TCP) einzuordnen.

Tunnel Tunnel bzw. Tunneling bezeichnet den Gebrauch des Kommunikationsprotokolls eines Netzwerkdienstes als Transportmittel für Daten, die nicht zu diesem Dienst gehören.

UDP User Datagram Protocol

Datagrammdienst für die einfache, netzwerkübergreifende Datenübertragung ohne Quittierung.

UMTS Universal Mobile Telecommunication System

Mobilfunk-Spezifikation der 3. Generation (3G), das deutlich höhere Übertragungsgeschwindigkeiten ermöglicht als die GSM-Netze der 2. Generation, sodass z. B. auch Videoanwendungen übertragen werden können.

User Datagram Protocol → UDP

Virtual Private Network → VPN

VPN Virtual Private Network

Technologie für den sicheren Transport von vertraulichen Daten über öffentliche IP-Netzwerke, z. B. das Internet.

VSWR Voltage Standing Wave Ratio - Stehwellenverhältnis

Glossar


Verhältnis der Effektivspannungen der vor- und zurücklaufenden Wellen in einem elektrischen Leiter, der durch ungeeigneten Abschluss zur Reflexion der elektromagnetischen Wellen führt. Ein ungeeigneter Abschluss kann ein Widerstand sein, der nicht der Kabelimpedanz entspricht, oder ein weiterer angeschlossener Leiter mit unterschiedlicher Impedanz, z. B. eine Antenne. Das VSWR ist ein Maß für Übertragungsverluste in elektrischen Leitern. VSWR = 1 bedeutet keine Verluste (aber auch fast keine Leistungsabstrahlung einer Antenne). VSWR = ∞ bedeutet Totalreflexion.

X.509-Zertifikat Spezifikation für ein Kryptoverfahren zur Erstellung von digitalen Zertifikaten

Die Zertifikate belegen die Echtheit eines öffentlichen Schlüssels (Asymmetrische Verschlüsselung) und zugehöriger Daten.

Ein X.509(v3)-Zertifikat beinhaltet unter anderem einen öffentlichen Schlüssel, Informationen über den Schlüsseleigentümer, angegeben als Distinguished Name (DN), erlaubte Verwendungszwecke und der Signatur der Beglaubigungsstelle (Certification Authority CA).

Durch die Heranziehung von Beglaubigungsstellen ist es möglich, dass nicht jeder Schlüsseleigentümer den anderen kennen muss, sondern nur die benutzte Beglaubigungsstelle. Die zusätzlichen Informationen zu dem Schlüssel vereinfachen zudem die Administrierbarkeit des Schlüssels.

X.509-Zertifikate kommen z. B. bei E-Mail-Verschlüsselung mittels S/MIME oder IPsec zum Einsatz.


Index

1 1:1 -NAT, 89

A Admin-PC, 35 APN, 64 Applikation, lokale, 51

B Benutzername, 39 Bestellnummer des M875, 3

C CA-Zertifikat, 88 CSQ, Werte, 43

D Dead Peer Detection, 90 Destination-NAT, 83

E Externe Gegenstelle, 60 Externes Netz, 60

F Fehleingaben, 41 Fehlerdiagnose, 145 Firmware-Version, 3 Frequenzbänder, 31 FTP, 142

G Gerätebezeichnung, 3

H Hardware-Erzeugnisstand, 3 Hardware-Verbindung prüfen, 39 Hash, 96, 105

I IKE, 89 Installationsmodus (Antenne), 66 Internet Key Exchange, 89 IP-Adresse

projektieren, 52 Werkseinstellung, 35, 52

IP-Masquerading, 77 IPsec-SA, 96, 105 IPSec-SA, 90 IPsec-Verfahren, 87 ISAKMP-SA, 90, 96, 105

K Kontakt, 159

L LAC, 67

M MIB-Dateien, 130

N NAT

1, 89 Destination-NAT, 83 IP-Masquerading, 77 NAT-Traversal, 90

NAT-Traversal, 90

P Passwort

Index


ändern, 39, 116 Werkseinstellung, 39

Passwort ändern, 116 Phase 1

ISAKMP-SA, 95, 104 Phase 2

IPsec-SA, 95, 104 PIN eingeben/ändern, 62 PLMN, 64 Pre-shared Key, 88 Proxy-Server, 39 Prüfen der Verbindung, 70 Prüfsumme, 96, 105

R Roadwarrior-Modus, 88

S SCALANCE S, 101 Sicherheitshinweise, 27 Signalstärke, 43, 66 SIMATIC NET IE SNMP OPC-Server, 129 SINEMA Server, 129 Standard-Modus, 88 Startseite aufrufen, 38 Stateful Inspection Firewall, 78 Stromversorgung, extern, 27 Subnetze des lokalen Netzes, 59 Support, 159

T Training, 159

W Weboberfläche, 35

X X.509-Zertifikat, 88

Z Zurücksetzen

Standard-Konfiguration, 140 Werkseinstellungen, 146

Konfigurationsbeispiele 2 SIMATIC NET Inbetriebnahme 3 ... · SCALANCE M875 ist ein 3G-/UMTS-Router...

Documents

Transcript of Konfigurationsbeispiele 2 SIMATIC NET Inbetriebnahme 3 ... · SCALANCE M875 ist ein 3G-/UMTS-Router...