Projektierungsbeispiel 03/2017 Einrichtung einer ... · Der Kunde ist dafür verantwortlich,...

https://support.industry.siemens.com/cs/ww/de/view/109744972

Projektierungsbeispiel 03/2017

Einrichtung einer gesicherten VPN-Verbindung mit NAT und SINEMA RC SINEMA Remote Connect, SCALANCE S615


Gewährleistung und Haftung

SINEMA RC NAT Beitrags-ID: 109744972, V1.0, 03/2017 2

S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Gewährleistung und Haftung

Hinweis Die Anwendungsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Anwendungsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Anwendungs-beispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Anwendungsbeispiele jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Anwendungsbeispiel und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.

Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Anwendungsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadens-ersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden.

Weitergabe oder Vervielfältigung dieser Anwendungsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von der Siemens AG zugestanden.

Security-hinweise

Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.

Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts.

Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.B. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden.

Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity.

Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen.

Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter http://www.siemens.com/industrialsecurity.

http://www.siemens.com/industrialsecurity

http://www.siemens.com/industrialsecurity

Inhaltsverzeichnis


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Inhaltsverzeichnis Gewährleistung und Haftung ...................................................................................... 2

1 Aufgabenstellung und Lösung ......................................................................... 4

1.1 Aufgabe ................................................................................................ 4 1.2 Lösungsmöglichkeit .............................................................................. 4 1.2.1 Gesamtübersicht .................................................................................. 4 1.2.2 SINEMA Remote Connect.................................................................... 6 1.2.3 NAT-Funktion ....................................................................................... 8 1.3 Merkmale der Lösung ........................................................................... 9

2 Konfiguration und Projektierung ................................................................... 10

2.1 Umgebung einrichten ......................................................................... 10 2.1.1 Erforderliche Komponenten und IP-Adressenübersicht ..................... 10 2.1.2 Router am VPN-Client (SINEMA RC Client) ...................................... 14 2.1.3 PC (SINEMA Remote Connect Client) ............................................... 14 2.1.4 SCALANCE S615 ............................................................................... 15 2.1.5 Router am VPN-Server ...................................................................... 19 2.1.6 SINEMA Remote Connect Server ...................................................... 20 2.2 Fernverbindung auf dem SINEMA Remote Connect Server

einrichten ............................................................................................ 23 2.2.1 Adressraum verwalten ........................................................................ 24 2.2.2 Teilnehmer und Kommunikationsbeziehungen definieren ................. 25 2.2.3 Zertifikat exportieren ........................................................................... 39 2.3 Fernverbindung auf dem S615 einrichten .......................................... 40 2.3.1 Zertifikat laden .................................................................................... 40 2.3.2 VPN-Verbindung projektieren ............................................................ 42 2.4 Fernverbindung auf dem SINEMA Remote Connect Client

aufbauen ............................................................................................ 46

3 Tunnelfunktion testen ..................................................................................... 49

4 Anhang.............................................................................................................. 51

4.1 Service und Support ........................................................................... 51 4.2 Links und Literatur .............................................................................. 52 4.3 Änderungsdokumentation .................................................................. 52

1 Aufgabenstellung und Lösung


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d


1.1 Aufgabe

Die Aufgabe besteht darin, einem Servicemitarbeiter einen sicheren Fernzugriff auf mehrere identische Anlagenteile für Wartungs-, Steuerungs- und Diagnosezwecke bereitzustellen. Zur sicheren und zentralen Verwaltung der Tunnelverbindungen wird SINEMA Remote Connect verwendet.

Dabei sind folgende Anforderungen zu berücksichtigen:

Verhindern von unerlaubtem Zugriff auf den SINEMA Remote Connect Server und unterlagerten Geräten.

Verhindern von unerlaubtem Ausführen von Funktionen durch die Vergabe von Rechten.

Zugriffskontrolle auf die unterlagerten Geräte.

Absicherung gegen Datenmanipulation und Spionage.

Flexibler Zugang des Servicemitarbeiters (unabhängig vom Ort).

Verwendung eines identischen IP- Subnetzes in allen Anlagenteilen z. B. im Serienmaschinenbau.

1.2 Lösungsmöglichkeit

1.2.1 Gesamtübersicht

Die folgende Abbildung zeigt eine Möglichkeit, die Kundenanforderung umzusetzen:

Abbildung 1-1

VPN-Server

Servicetechniker

VPN Tunnel

Industrial Ethernet

VPN-Client

SINEMA Remote Connect

Server

S615Anlage 1

Zentrale

VPN-Client

1

2

VPN-Client

2

WAN

Anlage 2S615

Zwei Anlagenteile mit Teilnehmern, z. B. SIMATIC Station, Panel, Antriebe, PCs, usw., sind mit dem SCALANCE S615 angeschlossen. Beide Anlagenteile verwenden dasselbe IP-Adressband. Der Servicetechniker nutzt ein mobiles Endgerät, z.B. ein Notebook.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Der Servicetechniker und die Geräte in den Anlagenteilen kommunizieren über den SINEMA Remote Connect Server, der in der Zentrale steht. Abgesichert wird der Fernzugriff über mehrere VPN-Tunnel:

VPN-Tunnel Der Servicetechniker greift über den "SINEMA Remote Connect Client", eine VPN-Client-Software, auf den SINEMA Remote Connect Server zu.

VPN-Tunnel Der SCALANCE S615 des Anlagenteils greift als Client auf den SINEMA Remote Connect Server zu.

Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen routet der SINEMA Remote Connect Server zwischen den einzelnen VPN-Tunnels.

Der Zugang zum SINEMA Remote Connect Server (VPN-Server) ist über die Nutzung einer statischen IP-Adresse fest definiert.

Die Rollenverteilung beim Aufbau des VPN-Tunnels ist wie folgt festgelegt:

Tabelle 1-1

Komponente VPN-Rolle

Mobiles Endgerät Initiator (VPN-Client); startet die VPN-Verbindung

SCALANCE S615 (Anlage 1 bzw. Anlage 2)

Initiator (VPN-Client); startet die VPN-Verbindung

SINEMA Remote Connect Server

Responder (VPN-Server); wartet auf VPN-Verbindung

1

2

2

1

1 2



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

1.2.2 SINEMA Remote Connect

SINEMA Remote Connect ist eine Managementplattform für Remote Networks, die zentral sichere Tunnelverbindungen verwaltet. Auf diese Weise können weitverteilte Anlagen oder Maschinen über Fernzugriff komfortabel und sicher gewartet werden. Der Fernzugriff ist selbst dann möglich, wenn die Maschinen in fremden Netzwerken eingebunden sind z. B. in den Anlagen von Endkunden.

Die Lösung mit SINEMA Remote Connect hat folgende Bestandteile:

SINEMA Remote Connect als VPN-Server

Endgeräte (VPN-Client):

– SCALANCE S615 (mit KEY-PLUG)

– SCALANCE S612, S623, S627

– SCALANCE M-800 (mit KEY-PLUG)

– SINEMA Remote Connect Client

– SOFTNET Security Client

– OpenVPN-Client


Der SINEMA Remote Connect Server ist eine Server-Applikation und bietet ein durchgängiges Verbindungsmanagement von verteilten Netzwerken über das Internet. Die Server-Applikation koordiniert den sicheren Verbindungsaufbau zwischen Anwendern, weitverteilten Anlagen und Maschinen.

Folgende Funktionen übernimmt der SINEMA Remote Connect Server:

Verwaltung und Aufbau verschlüsselter Verbindungen mit OpenVPN und IPSec

Verifizierung über CA-Zertifikat oder Fingerprint

Nutzerverwaltung mit der Projektierung von Rechten

Unterstützung von Routing und NAT zur Anbindung von Subnetzen hinter dem SCALANCE S615

Bereitstellung eines sicheren Fernzugriffs auf unterlagerte Netzwerke zu Wartungs-, Steuerungs- und Diagnosezwecken

Web Based Management (WBM) für die Konfiguration des Servers



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

SCALANCE S615

Der SCALANCE S615 ist eine Security-Baugruppe zur Absicherung von Geräten, Automatisierungszellen oder Netzsegmenten in Ethernet Netzwerken gegen äußere und innere Gefahren.

Der SCALANCE S615 hat die gleichen Funktionen und Eigenschaften wie die bestehenden SCALANCE M-Varianten. Hinzu kommen einige spezifische LAN-Funktionen, die eine optimale Anbindung an SINEMA Remote Connect ermöglichen.

Der SCALANCE S615 zeichnet sich unter anderem durch folgende Funktionen aus:

Unterstützung von VPN zur sicheren Authentifizierung der Netzteilnehmer, zur Verschlüsselung der Daten und Überprüfung der Datenintegrität

– IPSec-VPN-Tunnel (Server- und Client-Funktionalität)

– OpenVPN zur Anbindung an SINEMA Remote Connect (Client-Funktion)

Stateful Inspection Firewall mit Filterung von IP-basiertem Datenverkehr und Kommunikationsprotokollen

Unterstützung von NAT/ NAPT, selbst in Verbindung mit IPSec und OpenVPN.

Unterstützung von VLAN

Flexibler, rückwirkungsfreier und protokollunabhängiger Schutz

Unterstützung von mehreren VPN-Tunneln gleichzeitig

Einfachste Anbindung an SINEMA Remote Connect mit Auto-Konfigurations-Schnittstelle (freischaltbar mit dem KEY-PLUG SINEMA REMOTE CONNECT)

Aufbau permanent oder Event-basierter Verbindungen (Aufbau per Wake-up-SMS oder durch ein Signal am digitalen Eingang)

SINEMA Remote Connect Client

Der SINEMA Remote Connect Client ist eine OpenVPN-Client-Software zur optimalen Anbindung an SINEMA Remote Connect.

Sie bietet unter anderen folgenden Funktionen:

Unterstützung von VPN (OpenVPN) zur sicheren Authentifizierung der Netzteilnehmer, um die Daten zu verschlüsseln und die Datenintegrität zu überprüfen.

Einfachste Anbindung an SINEMA Remote Connect mit Auto-Konfigurations-Schnittstelle

Telefonbuch mit allen Geräten, die dem Nutzer zugeordnet sind.

Proxy-Server zur Kommunikation mit Netzen hinter einer Proxy-Server Infrastruktur

Unterstützung von HTTPS und SOCKS Proxy Servern



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

1.2.3 NAT-Funktion

Gemäß den Anforderungen aus Kapitel 1.1 sollen die Anlagenteile identische IP-Subnetze aufweisen. Dennoch soll jeder Teilnehmer eines Anlagenteils eindeutig und eigenständig aus der Ferne erreichbar sein.

Dieser Aufbau erfordert NAT und ist mit reinem Routing nicht lösbar, da das Subnetz in den Anlagenteilen nicht eindeutig zugeordnet werden kann.

Jedem Anlagenteil ist deswegen ein eigener SCALANCE S615 vorgeschalten.

Um die Datenpakete der richtigen Anlage zu zuordnen, bekommt jeder SCALANCE S615 bei der Konfiguration von SINEMA Remote Connect zusätzlich einen eigenen, virtuellen IP-Bereich zugewiesen. Über dieses neue, virtuelle IP-Band ist das angeschlossene Netzwerk über den Tunnel erreichbar.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

1.3 Merkmale der Lösung

Nutzerverwaltung und Verbindungsmanagement über eine zentrale Server-Applikation.

Nutzung identischer IP-Subnetze in den Anlagenteilen z. B. für den Serienmaschinenbau durch NAT-Mechanismen.

Sicheres und einfaches Einwählen in die Anlagen von jedem Punkt der Welt.

Kontrollierter und verschlüsselter Datenverkehr zwischen Anwendern, weitverteilten Anlagen und Maschinen über einen VPN-Tunnel.

Verifizierung des SINEMA Remote Connect Servers über das CA-Zertifikat.

Geringe Investitions- und Betriebskosten, um remote angebundene Unterstationen zu überwachen und zu steuern.

Hohe Sicherheit für Maschinen und Anlagen durch Realisierung des Zellenschutzkonzepts.

Protokollunabhängige, IP-basierte Kommunikation

Einfachste Anbindung von Endgeräten (SCALANCE S615) und SINEMA Remote Connect Client durch die Auto-Konfigurationsschnittstelle.

2 Konfiguration und Projektierung


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d


2.1 Umgebung einrichten

2.1.1 Erforderliche Komponenten und IP-Adressenübersicht

Softwarepakete

Dieses Anwendungsbeispiel basiert auf einer SINEMA Remote Connect Appliance und benötigt als Software den SINEMA Remote Connect Server.

Installieren Sie diese Software auf einen PC ohne Betriebssystem. Beachten Sie die für die Installation erforderlichen Voraussetzungen. Während der Installation müssen Sie die IP-Adresse des Servers eingeben. Verwenden Sie dafür die IP-Adresse nach Tabelle 2-1.

Der PC des Servicetechnikers benötigt die SINEMA Remote Connect Client-Software. Installieren Sie diese auf Ihrem PC.

ACHTUNG Die Installation des SINEMA Remote Connect Servers beinhaltet ein eigenes Betriebssystem. Wenn Sie einen PC verwenden, auf dem bereits ein Betriebssystem vorhanden ist, wird die Festplatte formatiert und gespeicherte Daten gehen verloren.

Erforderliche Geräte und Komponenten:

Für den Aufbau verwenden Sie folgende Komponenten:

Ein PC der Zentrale, auf dem der "SINEMA Remote Connect Server V1.2" installiert ist.

Ein PC des Servicetechnikers, auf dem der "SINEMA Remote Connect Client V1.0 SP2" installiert ist.

Zwei SCALANCE S615.

Zwei KEY-PLUG SINEMA REMOTE CONNECT.

Einen DSL-Zugang mit dynamischer WAN-IP-Adresse und einen DSL-Router.

Einen DSL-Zugang mit statischer WAN-IP-Adresse und einen DSL-Router.

Zwei Switchs.

Ein Konfigurations-PC, auf dem ein Webbrowser installiert ist.

Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet.

Hinweis Sie können auch einen anderen Internet-Zugang (z. B. UMTS) verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die Komponenten, die im Abschnitt "Erforderliche Geräte/Komponenten" erwähnt sind.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

IP-Adressen

Die IP-Adressen werden für dieses Anwendungsbeispiel wie folgt zugeordnet:

Abbildung 2-1

192.168.178.100

Servicetechniker


Server

S615Anlage 1

Zentrale

Anlage 2S615172.16.1.52

172.16.2.1

172.16.3.1

192.168.10.1

192.168.10.1

192.168.10.2

192.168.10.2

Statische

WAN-IP

Dynamische WAN-IP

172.16.0.1

192.168.178.1

Tabelle 2-1

Komponente Port IP-Adresse Router Subnetzmaske


LAN Port 172.16.1.52 172.16.0.1 255.255.0.0

Konfigurations-PC (nicht in der Grafik.gezeigt)

LAN-Port 172.16.67.10 192.168.10.10

192.168.1.1

-

255.255.0.0 255.255.255.0

255.255.255.0

Router am VPN-Server

LAN-Port 172.16.0.1 -

255.255.0.0

Router am VPN-Server

WAN-Port Statische IP-Adresse vom Provider

- Vom Provider zugewiesen

Router am VPN-Client (RC Client)

WAN-Port Dynamische IP-Adresse vom Provider

- Vom Provider zugewiesen

Router am VPN-Client (RC Client)

WLAN 192.168.178.1 -

255.255.255.0

PC (RC Client) WLAN 192.168.178.100 192.168.178.1 255.255.255.0

SCALANCE S615 (Anlage 1)

WAN-Port "vlan2" (P5)

172.16.2.1 -

255.255.0.0


WAN-Port "vlan2" (P5)

172.16.3.1 -

255.255.0.0

SCALANCE S615 (Anlage 1 + 2)

LAN-Port "vlan1" (P1 bis P4)

192.168.10.1 -

255.255.255.0

Automatisierungsgerät LAN-Port 192.168.10.2 192.168.10.1 255.255.255.0



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Hinweis Mit dem PC konfigurieren Sie SINEMA Remote Connect Server und die SCALANCE S615 über das Webbased Management. Dafür müssen Sie dem PC- Netzwerkadapter mehrere IP-Adressen zugeordnet werden. In den erweiterten TCP/IP-Einstellungen der Netzwerkkarten-Konfiguration haben Sie die Möglichkeit, weitere IP-Adressen hinzuzufügen.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Aufbau der Infrastruktur

Verbinden Sie alle teilnehmenden Komponenten dieses Anwendungsbeispiels miteinander.

Abbildung 2-2

Servicetechniker


Server

S615Anlage 1

Zentrale

Anlage 2S615LAN-Port

WAN-Port

WAN-Port

WAN-Port

(P5)

LAN-Port

(P1-P4)LAN-Port

LAN-Port

WAN-Port

(P5)

LAN-Port

(P1-P4)LAN-Port

Switch Switch

Tabelle 2-2

Komponente Lokaler Port Partner Partner Port

SINEMA Remote Connect Server LAN-Port Router am VPN-Server

LAN-Port

Router am VPN-Client (RC Client) WLAN-Schnittstelle

PC (RC Client) WLAN-Schnittstelle

SCALANCE S615

(Anlage 1 bzw. Anlage 2)

WAN-Port P5 SINEMA Remote Connect Server

LAN-Port (über Switch)

SCALANCE S615 Anlage 1 bzw. Anlage 2)

LAN-Port P1 bis P4

Automatisierungs-gerät

Port des Automati-sierungsgeräts



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.1.2 Router am VPN-Client (SINEMA RC Client)

VPN

Falls auf Ihrem Router VPN-Verbindungen projektiert und aktiviert sind, beenden Sie diese.

WLAN

Der PC (SINEMA Remote Connect Client) wird mit dem WLAN-Router über WLAN an das LAN-Netzwerk angebunden. Richten Sie auf dem WLAN-Router das WLAN ein.

LAN-IP-Adressen

Verwenden Sie an den LAN-Ports eine statische IP-Adresse nach den Vorgaben von Tabelle 2-1.

2.1.3 PC (SINEMA Remote Connect Client)

Uhrzeit

Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten ist es wichtig, dass auf dem PC stets das aktuelle Datum und die aktuelle Uhrzeit geführt wird.

Überprüfen Sie die Zeitangabe auf Ihrem PC. Wenn die Uhrzeit nicht aktuell ist, passen Sie diese an.

VPN

Falls auf Ihrem PC weitere VPN-Verbindungen projektiert und aktiviert sind, beenden Sie diese.

WLAN

Richten Sie auf dem PC das WLAN entsprechend Ihrer Router-Konfiguration ein. Verwenden Sie eine statische IP-Adresse nach den Vorgaben von Tabelle 2-1.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.1.4 SCALANCE S615

Dieses Kapitel zeigt die Erstinbetriebnahme des SCALANCE S615. Die Projektierungsschritte im Webbased Management sind bei beiden Geräten identisch.

Die verwendeten Screenshots zeigen die Einstellungen für den ersten SCALANCE S615 (Anlage 1). Konfigurieren Sie den zweiten SCALANCE S615 entsprechend den Einstellungen des ersten SCALANCE S615. Ab der Firmware Version 4.2. ist zusätzlich ein Wizard für die Einrichtung grundlegender Parameter (wie der Uhrzeit) verfügbar, der beim ersten Login automatisch startet.

Werkseinstellung

Um sicherzustellen, dass keine bestehenden Konfigurationen und Zertifikate im SCALANCE S gespeichert sind, setzen Sie die Baugruppen auf Werkseinstellung zurück.

KEY-PLUG

Für den SCALANCE S615 wird der "KEY-PLUG SINEMA REMOTE CONNECT" benötigt. Mit dem KEY-PLUG wird die Anbindung von SCALANCE S615 an SINEMA Remote Connect freigeschaltet.

Stellen Sie sicher, dass in allen SCALANCE S ein gültiger KEY-PLUG gesteckt ist.

Webbased Management öffnen

Verbinden Sie den Konfigurations-PC mit einem LAN-Port des SCALANCE S615 (Port 1 bis Port 4).

Werkseitig hat das Gerät die IP-Adresse 192.168.1.1/24.

Öffnen Sie das Webbased Management über die Adresse http://192.168.1.1.

Webbased Management Login

Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, sind die Login-Daten wie folgt festgelegt: Name:" admin" Password: "admin"

1. Tragen Sie Name und Passwort in die entsprechenden Eingabefelder ein. Klicken Sie auf die Schaltfläche "Anmelden" ("Login").

2. Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, werden Sie aufgefordert, das Passwort zu ändern.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3. Geben Sie das alte und neue Passwort ein. Wiederholen Sie bei "Password Confirmation" das Passwort, um es zu bestätigen. Beide Einträge müssen übereinstimmen.

4. Klicken Sie auf die Schaltfläche "Set Values" um den Vorgang abzuschließen und das neue Passwort zu aktivieren.

5. Wenn Sie sich angemeldet haben, erscheint die Startseite.

Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Melden Sie sich fortan mit dem geänderten Passwort an.

Uhrzeit einstellen

Für den Aufbau einer sicheren Kommunikation muss auf dem SCALANCE stets die aktuelle Uhrzeit und Datum eingestellt sein. Sonst werden die verwendeten Zertifikate als ungültig interpretiert und eine sichere VPN-Kommunikation ist nicht möglich.

1. Navigieren Sie in der Navigationsleiste zu "System > System Time".

2. Klicken Sie auf die Schaltfläche "Use PC Time", um die Zeiteinstellung des PC zu übernehmen.

3. Übernehmen Sie die Einstellung mit "Set Values".

Ergebnis Das Datum und die Uhrzeit werden übernommen und im Feld "System time" angezeigt.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Hinweis Sie haben auch die Möglichkeit, die Systemzeit mit einem NTP-Zeitserver automatisch synchronisieren zu lassen. Im Internet gibt es eine Reihe von Zeitservern, von denen die aktuelle Uhrzeit präzise bezogen werden kann.

IP-Einstellungen ändern

Der SCALANCE S615 verfügt über fünf Ports, die wie folgt werksseitig eingestellt sind:

Port 1 bis Port 4: vlan 1 Für den Zugriff vom lokalen Netz (LAN) auf das Gerät.

Port 5: vlan 2 Für den Zugriff vom externen Netz (WAN) zum Gerät.

Die VLANs sind in verschiedenen IP-Subnetzen.

Um den SCALANCE S615 in das Netzwerk des Anwendungsbeispiels zu integrieren, muss die LAN-Schnittstelle für vlan1 entsprechend geändert werden.

1. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnet" und im Inhaltsbereich auf das Register "Configuration".

2. Geben Sie die IP-Adresse für das interne Netzwerk ("vlan1") ein. Hinweis: Da beide SCALANCE S615 das identische interne Subnetz haben, tragen Sie immer die IP-Adresse "192.168.10.1" mit der Subnetzmaske "255.255.255.0" ein. Klicken Sie auf "Set Values".

Ergebnis In der Adresszeile des Webbrowsers wird die IP-Adresse automatisch angepasst. Durch die Mehrfach-IP-Adressen-Zuordnung kann der PC weiterhin auf das Web-Based Management zugreifen.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

IP-Subnetze anlegen

Das IP-Subnetz für vlan 1 wurde bereits im letzten Abschnitt konfiguriert. Zur Konfiguration des IP-Subnetzes für vlan 2 gehen Sie wie folgt vor:

1. Klicken Sie im Navigationsbereich auf "Layer 3 > Subnet" und im Inhaltsbereich auf das Register "Configuration".

2. Wählen Sie in der Klappliste bei "Interface (Name)" die Option "vlan2 (EXT)" aus. Geben Sie die IP-Adresse für "vlan2 (EXT)" nach der Tabelle 2-1 ein. Klicken Sie auf "Set Values".

3. Nehmen Sie auf diese Weise auch die Erstinbetriebnahme für den zweiten SCALANCE S615 vor.

Ergebnis In beiden SCALANCE S615 sind die IP-Subnetze angelegt und werden im Register "Overview" angezeigt.





S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.1.5 Router am VPN-Server

Statische IP-Adresse bei DSL-Router

Der WAN-Zugriff des VPN-Client (SINEMA RC Client) auf den SINEMA Remote Connect Server (VPN-Server) erfolgt über eine fest zugewiesene, öffentliche IP-Adresse. Diese müssen Sie beim Provider beantragen und anschließend im DSL-Router hinterlegen.

Portforwarding am DSL-Router

Damit die Tunnel-Pakete ungehindert ausgetauscht werden können, achten Sie darauf, dass das PORT-Forwarding für OpenVPN und https mit TCP und UDP (TCP/443,UDP/1194 und TCP/5443) freigeschaltet ist und an den SINEMA Remote Connect Server weitergeleitet werden.

Hinweis Diese Ports sind prinzipiell im SINEMA Remote Connect Server änderbar. Die Portnummern stimmen also nur, wenn Sie die Einstellungen bei den Defaultwerten belassen. Für OpenVPN wird entweder nur UDP oder TCP genutzt. Wenn möglich ist UDP immer vorzuziehen, da UDP schneller bzw. performanter ist als TCP.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.1.6 SINEMA Remote Connect Server


Schließen Sie den Konfigurations-PC am lokalen Netzwerk des SINEMA Remote Connect Servers an (z. B. über die lokalen Ports am Switch) und verbinden Sie sich mit der Web-Oberfläche des SINEMA Remote Connect Servers. Die IP-Adresse wurde während der Installation festgelegt.

Öffnen Sie das Webbased Management über die Adresse https://172.16.1.52.

Webbased Management Login

Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, sind die Login-Daten wie folgt festgelegt: Name: "admin" Password: "admin"

1. Tragen Sie Name und Passwort in die entsprechenden Eingabefelder ein. Klicken Sie auf die Schaltfläche "Anmelden" ("Login").

2. Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, werden Sie aufgefordert, das Passwort zu ändern.

3. Geben Sie das alte und neue Passwort ein. Das neue Passwort muss mindestens

– acht Zeichen lang sein

– ein Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten.

4. Klicken Sie auf die Schaltfläche "Speichern" ("Save"), um den Vorgang abzuschließen und das neue Passwort zu aktivieren.

5. Wenn Sie sich angemeldet haben, erscheint die Startseite.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Melden Sie sich fortan mit dem geänderten Passwort an.

Uhrzeit einstellen

Für den Aufbau einer sicheren Kommunikation muss auf dem SINEMA Remote Connect Server stets die aktuelle Uhrzeit und Datum eingestellt sein. Sonst werden die verwendeten Zertifikate als ungültig interpretiert und eine sichere VPN-Kommunikation ist nicht möglich.

1. Navigieren Sie in der Navigationsleiste zu "System > Datum und Uhrzeit". ("System > Date & time settings").

2. Klicken Sie auf die Schaltfläche "PC-Uhrzeit verwenden" ("Use PC Time"), um die Zeiteinstellung des PC zu übernehmen.

Ergebnis Das Datum und die Uhrzeit werden übernommen und im Feld "Systemzeit" ("System time") angezeigt.

Hinweis Alternativ können Sie die Systemzeit mit einem NTP-Zeitserver automatisch synchronisieren lassen. Dadurch wird die aktuelle Uhrzeit präzise bezogen.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Schnittstelle überprüfen

1. Klicken Sie im Navigationsbereich auf "Security > Netzwerk" ("Security > Network") und im Inhaltsbereich auf das Register "Schnittstellen" ("Interfaces").

2. Wählen Sie die Schnittstelle "WAN" aus. Die Konfiguration wird angezeigt. Prüfen Sie die Einstellungen der WAN-Schnittstelle. Aktivieren Sie "SINEMA RC befindet sich hinter einem NAT-Gerät" ("SINEMA RC is located behind a NAT device"), um die erforderliche externe WAN-IP-Adresse für den Router einzugeben. Geben Sie bei "WAN IP Adresse" ("WAN IP address") die WAN-IP-Adresse des Routers ein. Sichern Sie die Einstellungen mit "Speichern" ("Save").

Hinweis Belassen Sie die Default- Einstellungen, wenn der SINEMA Remote Connect Server ausschließlich aus einem lokalen Netzwerk erreichbar sein soll.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.2 Fernverbindung auf dem SINEMA Remote Connect Server einrichten

Damit der Servicetechniker mit seinem PC über den SINEMA Remote Connect Server auf die Anlagenteile zugreifen kann, müssen sich die Endgeräte (SINEMA Remote Connect Client und SCALANCE S615) am Server anmelden. Erst nach erfolgreicher Authentifizierung wird der jeweilige VPN-Tunnel zwischen dem Endgerät und dem SINEMA Remote Connect Server aufgebaut.

Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen verschaltet der SINEMA Remote Connect Server die einzelnen VPN-Tunnels und ermöglicht somit den Zugriff.

Um den Zugriff zu ermöglichen, sind folgende Projektierungsschritte nötig:

Adressraum verwalten

Teilnehmergruppen definieren.

SCALANCE S615 als Gerät implementieren.

Servicetechniker als Benutzer anlegen.

Kommunikationsbeziehungen festlegen.

Zertifikate und Benutzerkonfiguration laden.


Schließen Sie den Konfigurations-PC am lokalen Netzwerk des SINEMA Remote Connect Servers an, z. B. über die lokalen Ports am Router, und öffnen Sie das Webbased Management über die Adresse "https://172.16.1.52". Melden Sie sich als Benutzer "admin" und dem entsprechendem Passwort an. Hinweis: Nur als Benutzertyp "admin" haben Sie Schreibrechte auf die Konfiguration im SINEMA Remote Connect Server.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.2.1 Adressraum verwalten

Wenn sich ein VPN-Client am SINEMA RC Server anmeldet, erhält der VPN-Client für die Dauer der Verbindung eine IP-Adresse aus einem definierten Adressraum.

Wird zusätzlich NAT verwendet, wird den Geräten im entfernten Subnetz eine virtuelle NAT-IP-Adresse zugewiesen. Diesen Adressraum müssen Sie explizit aktivieren.

1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Adressräume" ("Remote connections > Address spaces").

2. Aktivieren Sie im Register "Virtuelles lokales LAN" ("Virtual local LAN") die Einstellung "Netzwerk-Adressraum aktivieren" ("Activate the network address space"). Sie können die vordefinierten Einstellungen übernehmen. Sichern Sie die Einstellung mit "Speichern" ("Save").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.2.2 Teilnehmer und Kommunikationsbeziehungen definieren

Teilnehmergruppen definieren

Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Für dieses Anwendungsbeispiel werden folgende Gruppen angelegt.

"Station": Geräte SCALANCE S615.

"ServicePC": Benutzerkonto für den Servicetechniker.

1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Teilnehmergruppen" ("Remote connections > Participant groups"). Klicken Sie auf "Erstellen" ("Create").

2. Die Seite "Neue Teilnehmergruppe" ("New participant group") wird geöffnet. Tragen Sie bei "Gruppenname" ("Group name") den Text "Station" und (optional) eine Beschreibung ein. Aktivieren Sie die Netzwerkschnittstelle. Klicken Sie auf "Speichern" ("Save").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3. Die Teilnehmergruppe "Station" wurde angelegt und erscheint im Inhaltsbereich. Klicken Sie erneut auf "Erstellen" ("Create").

4. Tragen Sie bei "Gruppenname" ("Group name") den Text "ServicePC" und (optional) eine Beschreibung ein. Aktivieren Sie die Netzwerkschnittstelle. Klicken Sie auf "Speichern" ("Save").

Ergebnis Die beiden Teilnehmergruppen sind nun angelegt und erscheinen im Inhaltsbereich.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

SCALANCE S615 als Gerät einfügen

Die folgende Anleitung zeigt, wie Sie den ersten SCALANCE S615 (Anlage 1) integrieren. Binden Sie den zweiten SCALANCE S615 entsprechend dieser Anleitung ein.

Führen Sie die folgenden Schritte aus:

1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Geräte" ("Remote connections > Devices"). Klicken Sie auf "Erstellen" ("Create"), um ein neues Gerät anzulegen.

2. Die Seite "Neues Gerät" ("New device") wird geöffnet. Geben Sie einen eindeutigen Gerätenamen für das Gerät an, z. B. "S615_Cell1". Klicken Sie auf "Weiter" ("Next").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3. Übernehmen Sie die Default-Einstellung "OpenVPN" und klicken Sie auf "Weiter" ("Next").

4. Aktivieren Sie die Option "Verbundene lokale Subnetze" ("Connect local subnets") und konfigurieren Sie die Parameter. Da beide SCALANCE S615 das identische interne Subnetz haben, tragen Sie immer die Netz-ID 192.168.10.0 mit der Subnetzmaske 255.255.255.0 ein.

Falls die Option "Gerät ist ein Netzwerk-Gateway" ("Device is a network gateway") nicht aktiviert ist, aktivieren Sie dieses Optionskästchen. Fügen Sie das Netzwerk mit "Hinzufügen" ("Add") hinzu.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

5. Aktivieren Sie die Option "NAT für lokales Subnetz" ("NAT for local subnet"), um dem Gerät im entfernten Subnetz eine NAT-IP-Adresse zuzuweisen. Ein freier Bereich aus dem projektierten Adressraum für das virtuelle Netzwerk wird angezeigt. Sie können diese Einstellung übernehmen. Fügen Sie das Netzwerk mit "Hinzufügen" ("Add") hinzu. Dieser Schritt ist nur notwendig, da mehrere interne Subnetze identische IP-Adressen aufweisen. Sonst könnte auch mit den realen Adressen gearbeitet werden. Hinweis: Jeder SCALANCE S615 muss im Adressraum für das virtuelle Netzwerk einen eindeutigen und freien Bereich bekommen. Der Screenshot zeigt die Parameter für den ersten angelegten SCALANCE S615.

6. Klicken Sie auf "Weiter" ("Next").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

7. Das Register "Gruppenzugehörigkeit" ("Group memberships") wird angezeigt. Aktivieren Sie die Teilnehmergruppe "Station". Klicken Sie auf "Weiter" ("Next").

8. Das Register "Passwort" ("Password") wird angezeigt. Legen Sie das Passwort für den Zugriff fest. Das Passwort muss sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen. Dieses Passwort wird später bei der Projektierung des SCALANCE S615 wieder benötigt (siehe Kapitel 2.3.2). Klicken Sie auf "Weiter" ("Next").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

9. Das Register "Geräteübersicht" ("Device") wird angezeigt. Alle Informationen zum SCALANCE S615 werden in diesem Register zusammengefasst. Klicken Sie am Ende der Zusammenfassung auf "Beenden" ("Finish").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

10. Um einen SCALANCE S615 für Anlage 2 einzufügen, wiederholen Sie Schritt 1 bis 9. Verwenden Sie die IP-Adressen (siehe Tabelle 2-1), die für dieses Modul vorgesehen sind.

Ergebnis Beide SCALANCE S615 sind als neue Geräte im SINEMA Remote Connect Server hinterlegt.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Geräte-ID ermitteln

Die Geräte-ID und, wenn kein CA-Zertifikat verwendet wird, der Fingerabdruck sind Informationen, mit welchen sich der SCALANCE S615 beim Verbindungsaufbau am SINEMA Remote Connect Server authentifiziert.

Da in diesem Anwendungsbeispiel das CA-Zertifikat verwendet wird, wird lediglich die Geräte-ID verwendet.

1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Geräte" ("Remote connections > Devices"). Die beiden SCALANCE S615 werden angezeigt.

2. Klicken Sie in der Spalte "Aktionen" ("Actions") auf das erste Symbol, um die Geräteinformation für diesen SCALANCE zu öffnen.

3. Die "Geräteinformationen" ("Device information") werden angezeigt. Notieren Sie sich den Eintrag bei Geräte-ID oder kopieren Sie den Eintrag und speichern den Wert in einer Textdatei in Ihrem lokalen Verzeichnis.

4. Schließen Sie den Dialog mit "Dialog verlassen" ("Exit dialog").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

5. Ermitteln Sie auf diesem Weg auch die Geräteinformationen für den zweiten SCALANCE S615.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Benutzerkonto für Servicetechniker einfügen

Der Zugriff über den SINEMA Remote Connect Client wird in diesem Anwendungsbeispiel von einem Servicetechniker übernommen. Dafür benötigt der Servicetechniker einen Benutzernamen und ein Passwort.

1. Klicken Sie im Navigationsbereich auf "Benutzerkonten > Benutzer und Rollen" ("User accounts > Users and roles"). Klicken Sie auf "Erstellen" ("Create"). Die Seite "Neuer Benutzer" ("New User") wird geöffnet.

2. Geben Sie den "Benutzernamen" ("User name") ein, z. B. MobileService, und klicken Sie auf "Weiter" ("Next").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3. Das Register "Rechte" ("Rights") wird angezeigt. Sie haben folgende Möglichkeit, um dem Benutzer Rechte zu geben

– Rechtezuordnung über Rollenzuweisung: Wählen Sie eine bereits angelegte Rolle aus. Die zugehörigen Rechte werden dem Benutzer automatisch zugewiesen. Für zusätzliche Rechte klicken Sie auf das Kontrollkästchen.

– Rechtezuordnung ohne Rollenzuweisung: Wenn Sie keine Rolle gewählt haben, weisen Sie dem Benutzer die entsprechenden Rechte zu, indem Sie die Kontrollkästchen aktivieren.

Aktivieren Sie an dieser Stelle die von Ihnen gewünschten Rechte. Klicken Sie auf "Weiter" ("Next").

4. Das Register "Gruppenzugehörigkeit" ("Group memberships") wird angezeigt. Ordnen Sie den neuen Benutzer der Teilnehmergruppe "ServicePC" zu. Klicken Sie auf "Weiter" ("Next").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

5. Im nächsten Schritt definieren Sie das Passwort für den neuen Benutzer. Das Passwort muss mindestens

– acht Zeichen lang sein

– ein Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten.

Dieses Passwort wird später bei der Projektierung des SINEMA Remote Connect Clients wieder benötigt (siehe Kapitel 2.4). Schließen Sie die Benutzererstellung mit "Beenden" ("Finish") ab.

Hinweis: Das vergebene Passwort kann der neue Benutzer zu einem späteren Zeitpunkt selbst anpassen.

Ergebnis Der Benutzer "MobileService" ist angelegt und erscheint jetzt als neuer Benutzer.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Kommunikationsbeziehungen festlegen

Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen erforderlich. Dabei kann für jede Kommunikations-Richtung eine Kommunikationsbeziehung erstellt werden.

In diesem Anwendungsbeispiel geht die Kommunikation nur von der Gruppe "ServicePC" zur Gruppe "Station".

Damit in der Gegenrichtung keine Kommunikation möglich ist, führen Sie folgende Schritte aus:

1. Klicken Sie im Navigationsbereich auf "Fernverbindungen > Teilnehmergruppen" ("Remote connections > Participant groups"). Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. Klicken Sie bei "ServicePC" in der Spalte "Aktionen" ("Actions") auf das Pfeil-Symbol.

2. Die Seite "Zielgruppe" ("Destination groups") wird geöffnet. Aktivieren Sie "Station" und klicken Sie auf "Speichern" ("Save").

3. Klicken Sie auf "Dialog verlassen" ("Exit dialog").

Ergebnis

Die Teilnehmer der Gruppe "ServicePC" können nun mit den Teilnehmern der Gruppe "Station" kommunizieren und nicht umgekehrt.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.2.3 Zertifikat exportieren

Zertifikat für SCALANCE S615

Die gesicherte OpenVPN-Verbindung dieses Anwendungsbeispiels verwendet zur Authentifizierung das CA-Zertifikat. Das CA-Zertifikat müssen Sie aus dem SINEMA Remote Connect Server exportieren, da es für die Projektierung der beiden SCALANCE S615 benötigt wird.

1. Klicken Sie im Navigationsbereich auf "Sicherheit > Zertifikate" ("Security > Certificates"). Klicken Sie bei "Aktionen" ("Actions") auf das entsprechende Symbol, um das Zertifikat zu exportieren.

2. Speichern Sie das Zertifikat in ein lokales Verzeichnis auf dem PC.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.3 Fernverbindung auf dem S615 einrichten

Um einen VPN-Tunnel zwischen SCALANCE S615 und dem SINEMA Remote Connect Server erfolgreich aufzubauen, sind folgende Projektierungsschritte erforderlich:

Zertifikat in das Gerät laden.

VPN-Verbindung projektieren.

Die Projektierungsschritte im Webbased Management sind bei beiden SCALANCE S615 identisch. Nur die IP-Parameter und die Geräte-ID unterscheiden sich.

Die verwendeten Screenshots zeigen die Einstellungen für den ersten SCALANCE S615 (Anlage 1). Konfigurieren Sie den zweiten SCALANCE S615 entsprechend den Schritten für den ersten SCALANCE S615.


Verbinden Sie den Konfigurations-PC mit einem LAN-Port des SCALANCE S615 (z. B. Port 2) und öffnen Sie das Webbased Management über die Adresse "https://192.168.10.1". Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an.

2.3.1 Zertifikat laden

Die gesicherte OpenVPN-Verbindung dieses Anwendungsbeispiels verwendet zur Authentifizierung das CA- Zertifikat. Das CA-Zertifikat haben Sie bereits aus SINEMA Remote Connect Server exportiert. Nun müssen Sie das CA-Zertifikat in den SCALANCE S615 laden.

Mit diesem Server-Zertifikat verifiziert der SCALANCE den SINEMA Remote Connect Server bei der Initialisierung des VPN-Tunnels.

1. Klicken Sie im Navigationsbereich auf "System > Load & Save" und im Inhaltsbereich auf das Register "HTTP". Klicken Sie bei "X509Cert" auf die Schaltfläche "Load".



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2. Der Dialog zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum exportierten Serverzertifikat. Klicken Sie im Dialog auf die Schaltfläche "Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK".

Ergebnis Die Zertifikate sind geladen. Unter "Security > Certificates" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status "valid" besitzen.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.3.2 VPN-Verbindung projektieren

Durch den Einsatz eines gültigen KEY-PLUGs wird die Auto-Konfigurations-Schnittstelle freigeschaltet und eine einfache Verbindungsprojektierung zu SINEMA Remote Connect ermöglicht.

1. Klicken Sie im Navigationsbereich auf "System > SINEMA RC".

– Geben Sie bei "SINEMA RC Address" die IP-Adresse des SINEMA Remote Connect Servers ein.

– Wählen Sie bei "Verification Type" das "CA Certificate" aus.

– Wählen Sie bei "CA Certificate" das geladene Serverzertifikat aus.

– Unter "Device-ID" tragen Sie den Wert der "Geräte-ID" ein, die der SCALANCE S615 im SINEMA Remote Connect Server erhalten hat (siehe Kapitel 2.2.1).

– Geben Sie bei "Device Password" das Passwort an, das Sie für den Zugriff projektiert haben (siehe Kapitel 2.2.1).

– Aktivieren Sie "Auto Firewall / NAT Rules" um automatisch die entsprechenden NAT und Firewallregeln anzulegen.

Für SCALANCE S615 (Anlage 1):



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Für SCALANCE S615 (Anlage 2):

2. Klicken Sie auf "Set Values".



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3. Aktivieren Sie das Optionskästchen "Enable SINEMA RC" und klicken Sie auf "Set Values".



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA Remote Connect Server auf. Ob die Verbindung aufgebaut wurde, können Sie im WBM unter "Information > SINEMA RC" prüfen.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

2.4 Fernverbindung auf dem SINEMA Remote Connect Client aufbauen

Wegen der Auto-Konfigurations-Schnittstelle ist keine explizite Projektierung der Fernverbindung im SINEMA Remote Connect Client erforderlich.

Sie müssen nur die Benutzer-Anmeldedaten und die WAN-IP-Adresse des Servers der Software übergeben.

Nachdem der Benutzer angemeldet ist, lädt der SINEMA Remote Connect Client die OpenVPN-Datei vom SINEMA Remote Connect Server herunter. Diese Datei enthält die Parameter, die für die VPN-Verbindung zum SINEMA Remote Connect Server erforderlich sind. Anschließend baut der SINEMA Remote Connect Client mit diesen Parametern die VPN-Verbindung auf.

Um die Fernverbindung aufzubauen, gehen Sie wie folgt vor:

1. Öffnen Sie am PC den "SINEMA Remote Connect Client", indem Sie auf das Desktopsymbol doppelklicken. Der Client wird gestartet.

2. Geben Sie bei "SINEMA RC URL" die WAN-IP-Adresse des SINEMA Remote Connect Servers ein. Tragen Sie bei "SINEMA RC Benutzername" ("SINEMA RC user name") den Text "MobileService" ein. Tragen Sie bei "SINEMA RC Passwort" ("SINEMA RC Password") das für diesen Benutzer definierte Passwort ein. Diese Anmeldedaten entsprechen den Daten, die beim Anlegen des Benutzerkontos für den Servicetechniker im SINEMA Remote Connect Server definiert wurden (siehe Kapitel 2.2.1). Klicken Sie auf die Schaltfläche "Anmelden" ("Log on").



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3. Nach der Anmeldung wird die Startseite angezeigt. Der SINEMA Remote Connect Client hat automatisch das Konfigurationsprofil des eingeloggten Benutzers vom SINEMA Remote Connect Server geladen. In der "Geräteliste" ("Device list") werden alle Geräte angezeigt, mit denen der Benutzer in einer Kommunikationsbeziehung steht.

4. Klicken Sie auf die Schaltfläche "VPN Tunnel aufbauen" ("Establish VPN tunnel"), um einen OpenVPN-Tunnel zum SINEMA Remote Connect Server zu initialisieren.



S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Ergebnis Der Client baut einen OpenVPN-Tunnel zum SINEMA Remote Connect Server auf. Ob die Verbindung aufgebaut wurde, wird unter "VPN Status" angezeigt. Sie können direkt das Webbased Management der SCALANCE S615 öffnen, indem Sie auf das "Haus"-Symbol klicken.

3 Tunnelfunktion testen


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

3 Tunnelfunktion testen Nach Kapitel 2 ist die Inbetriebsetzung der Konfiguration abgeschlossen. Der SCALANCE S615 und der SINEMA Remote Connect Client haben je einen VPN-Tunnel zum SINEMA Remote Connect Server zur sicheren Kommunikation aufgebaut.

Der SINEMA Remote Connect Server verschaltet diese entsprechend der Projektierung.

Kommunikationsbeziehung

Da Sie die Kommunikationsbeziehungen und Rechte festgelegt haben, hat der Servicetechniker nun die Möglichkeit, auf die Geräte hinter dem SCALANCE S615 zuzugreifen. Der Zugriff in die andere Richtung ist nicht möglich.

Definition der IP-Adressen

Ist der Tunnel zwischen SINEMA Remote Connect Server und den VPN-Client aufgebaut, bekommen die VPN-Clients für die Dauer der Tunnelverbindung eine neue IP-Adresse zugewiesen. SINEMA Remote Connect Server weist diese IP-Adresse automatisch den Teilnehmern zu. In diesem Anwendungsbeispiel sind es Adressen aus dem IP-Band 10.8.1.0.

Für dieses Anwendungsbeispiel ist die IP-Zuordnung während einer Tunnelverbindung wie folgt geregelt:

Abbildung 3-1

10.8.1.11

Servicetechniker


Server

S615Anlage 1

Zentrale

Anlage 2S615

10.8.1.12

10.8.1.13

172.17.0.1

172.17.1.1

172.17.0.2

172.17.1.2

Hinweis Durch die "1:1 NAT"-Konfiguration im SINEMA Remote Connect Server (siehe Kapitel 2.2.2) wird das interne Netzwerk (192.168.10.0) jedes SCALANCE S615 auf einen neuen und einmaligen virtuellen IP-Bereich gemappt. Fortan sind die Anlagenteile wie folgt erreichbar: Anlage 1: 172.17.0.0 Anlage 2: 172.17.1.0

3 Tunnelfunktion testen


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

Tunnelfunktion testen

Die aufgebaute Tunnelverbindung können Sie z. B. durch Öffnen der internen Webseite einer PROFINET CPU testen, die sich im LAN-Netzwerk des SCALANCE S615 befindet.

Das Automatisierungsgerät in Anlage 1 ist während der Tunnel-Verbindung über die IP-Adresse 172.17.0.2 erreichbar.

4 Anhang


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

4 Anhang

4.1 Service und Support

Industry Online Support

Sie haben Fragen oder brauchen Unterstützung?

Über den Industry Online Support greifen Sie rund um die Uhr auf das gesamte Service und Support Know-how sowie auf unsere Dienstleistungen zu.

Der Industry Online Support ist die zentrale Adresse für Informationen zu unseren Produkten, Lösungen und Services.

Produktinformationen, Handbücher, Downloads, FAQs und Anwendungsbeispiele – alle Informationen sind mit wenigen Mausklicks erreichbar: https://support.industry.siemens.com/ .

Technical Support

Der Technical Support von Siemens Industry unterstützt Sie schnell und kompetent bei allen technischen Anfragen mit einer Vielzahl maßgeschneiderter Angebote – von der Basisunterstützung bis hin zu individuellen Supportverträgen.

Anfragen an den Technical Support stellen Sie per Web-Formular: www.siemens.de/industry/supportrequest .

Serviceangebot

Unser Serviceangebot umfasst u. a. folgende Services:

Produkttrainings

Plant Data Services

Ersatzteilservices

Reparaturservices

Vor-Ort und Instandhaltungsservices

Retrofit- und Modernisierungsservices

Serviceprogramme und Verträge

Ausführliche Informationen zu unserem Serviceangebot finden Sie im Servicekatalog: https://support.industry.siemens.com/cs/sc

Industry Online Support App

Mit der App "Siemens Industry Online Support" erhalten Sie auch unterwegs die optimale Unterstützung. Die App ist für Apple iOS, Android und Windows Phone verfügbar. https://support.industry.siemens.com/cs/de/de/sc/2067

https://support.industry.siemens.com/

http://www.siemens.de/industry/supportrequest

https://support.industry.siemens.com/cs/sc

https://support.industry.siemens.com/cs/de/de/sc/2067

4 Anhang


S

iem

en

s A

G 2

01

7 A

ll ri

gh

ts r

ese

rve

d

4.2 Links und Literatur

Tabelle 4-1

Nr. Thema

\1\ Siemens Industry Online Support

https://support.industry.siemens.com

\2\ https://support.industry.siemens.com/cs/ww/de/view/109744972

\3\

4.3 Änderungsdokumentation

Tabelle 4-2

Version Datum Änderung

V1.0 03/2017 Erste Ausgabe

https://support.industry.siemens.com/


Projektierungsbeispiel 03/2017 Einrichtung einer ... · Der Kunde ist dafür verantwortlich,...

Documents

Transcript of Projektierungsbeispiel 03/2017 Einrichtung einer ... · Der Kunde ist dafür verantwortlich,...