vpn-tunnel über internet - siemens€¦ · vpn-tunnel über internet v1.3, beitrags-id: 32447942...
TRANSCRIPT
Service & Support
Answers for industry.
Deckblatt
VPN-Tunnel über Internet
SCALANCE S61x und SOFTNET Security Client Edition 2008
FAQ August 2010
Fragestellung
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 2
Dieser Beitrag stammt aus dem Service&Support Portal der Siemens AG, Sector Industry, Industry Automation and Drive Technologies. Es gelten die dort genannten Nutzungsbedingungen (www.siemens.com/nutzungsbedingungen).
Durch den folgenden Link gelangen Sie direkt zur Downloadseite dieses Dokuments.
http://support.automation.siemens.com/WW/view/de/32447942
Frage Wie wird mit dem SOFTNET Security Client Edition 2008 ein VPN-Tunnel zwischen PC-Station und SCALANCE S61x über Internet konfiguriert?
Antwort Folgen Sie zur umfassenden Beantwortung dieser Frage den in diesem Dokument aufgeführten Handlungsanweisungen und Hinweisen.
Inhaltsverzeichnis
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 3
Inhaltsverzeichnis 1 Einleitung ........................................................................................................... 4 2 Konfiguration der Standard Router ................................................................. 8 3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client .... 9
3.1 SCALANCE S61x konfigurieren........................................................... 9 3.2 SOFTNET Security Client konfigurieren ............................................ 11 3.3 VPN (Virtual Private Network) konfigurieren...................................... 12 3.4 Konfiguration laden bzw. speichern ................................................... 13
4 VPN-Tunnel mit dem SOFTNET Security Client aufbauen .......................... 16 5 Diagnose........................................................................................................... 19 6 Historie.............................................................................................................. 19
1 Einleitung
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 4
1 Einleitung Ab Edition 2008 des SOFTNET Security Clients (SSC) ist es möglich durch reine Projektierung mit dem Security Configuration Tool (SCT) ein VPN-Tunnel zu einem SCALANCE S61x über das Internet aufzubauen. Sie betreiben den SCALANCE S61x im Routing Modus.
Gehen Sie bei der Konfiguration des VPN-Tunnels nach folgender Anleitung vor.
Die Abbildung 1-1 zeigt den Aufbau dieser Konfiguration.
Voraussetzungen hierfür sind:
Der SCALANCE S 61x unterstützt den Aufbau eines VPN-Tunnels über das Internet im Routing Modus ab der Firmware V2.1. In folgendem Beitrag steht Ihnen die aktuelle Firmware V2.3 für den SCALANCE S 61x als Download zur Verfügung: http://support.automation.siemens.com/WW/view/de/37352999
Sie benötigen folgende Software-Komponenten:
– SOFTNET Security Client V2.0 (Edition 2008) oder höher
– Security Configuration Tool V2.2 oder höher
Sie benötigen eine feste externe IP-Adresse für den Standard Router B. Das aktive Modul (SOFTNET Security Client) initiiert den Aufbau des VPN-Tunnels über diese feste externe IP-Adresse. Das passive Modul (SCALANCE S 61x) wartet bis die Gegenstelle den Tunnelaufbau initiiert.
1 Einleitung
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 5
Abbildung 1-1 Aufbau der Konfiguration
Standard Router BStandard Router A
Internet
IP-Adresse:192.168.2.100Default Gateway:192.168.2.1
externe IP-Adresse vom ISP 1:217.91.50.138interne IP-Adresse:192.168.2.1
feste externe IP-Adressevom ISP2:217.91.8.166interne IP-Adresse:172.168.2.1
externe IP-Adresse:172.168.2.23interne IP-Adresse:140.80.0.2Default Gateway:172.168.2.1
CPU 315-2DP mit CP343-1
IP-Adresse:140.80.0.3Default Gateway:140.80.0.2
VPN-Tunnel (IPSec)
ISP 1 ISP 2
SCALANCE S 61x
PC-Station
Zentrale
Remote Station(geschützte Automatisierungszelle)
IP-Subnetz: 140.80.0.0
1 Einleitung
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 6
Beschreibung des Aufbaus der Konfiguration
Die S7-300 Station besteht aus einer CPU 315-2DP und einem CP343-1. Sie ist am internen Netzwerk des SCALANCE S61x angeschlossen und wird durch diesen vor unerwünschten Zugriffen aus dem externen Netzwerk geschützt.
Der SCALANCE S61x ist Router bzw. Gateway für die S7-300 Station.
Die PC-Station mit der IP-Adresse 192.168.2.100 befindet sich im externen Netzwerk des SCALANCE S61x.
Der Standard Router A ist Gateway bzw. Router und DNS Server für die PC-Station.
Der Standard Router B ist Gateway bzw. Router für den SCALANCE S61x.
Router bzw. Gateway in der S7-300 Station definieren
Öffnen Sie in der Hardware-Konfiguration der S7-300 Station die Schnittstelleneigenschaften des CP343-1.
Aktivieren Sie die Funktion „Router verwenden“ und tragen die interne IP-Adresse 140.80.0.2 des SCALANCE S61x ein.
Abbildung 1-2 Schnittstelleneigenschaften des CP343-1
interne IP-AdresseSCALANCE 61x
Gateway in der PC-Station definieren
Öffnen Sie in Windows unter Netzwerkverbindung den Eigenschaftsdialog des Local Area Network (LAN).
Für das „Default Gateway“ und den DNS Server tragen Sie die interne IP-Adresse 192.168.2.1 des Standard Routers A ein.
1 Einleitung
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 7
Abbildung 1-3 Eigenschaftsdialog des LAN
interne IP-AdresseStandard Router A
Hinweis Wenn der Standard Router A DHCP fähig ist, dann kann der PC seine IP-Adresse und die IP-Adresse des DNS Servers automatisch vom Standard Router A erhalten.
Anschließend werden die Standard Router A und B konfiguriert.
2 Konfiguration der Standard Router
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 8
2 Konfiguration der Standard Router Der Standard Router A ist an der PC-Station mit installiertem SOFTNET Security Client angeschlossen. Der aktive SOFTNET Security Client initiiert den Aufbau des VPN-Tunnels über die feste externe IP-Adresse des Standard Routers B.
Der Standard Router B ist am externen Netzwerk des passiven SCALANCE S61x angeschlossen. Der SCALANCE S61x ist passiv am Aufbau des VPN-Tunnels beteiligt. Er wartet bis die Gegenstelle den Tunnelaufbau initiiert.
Port-Forwarding Regel im Standard Router B konfigurieren
Konfigurieren Sie folgende Port-Forwarding Regel für den Standard Router, der an der passiven Seite angeschlossen ist (Standard Router B):
Die UDP-Pakete vom Internet, die an die Ports 500 und 4500 des Standard Routers B adressiert sind, werden an die externe IP-Adresse 172.168.2.23 des SCALANCE S 61x weitergeleitet.
Abbildung 2-1 Port-Forwarding Regel im Standard Router B konfigurieren
externe IP-AdresseSCALANCE S61x
Erstellen Sie die Konfiguration für den SCALANCE S61x und den SOFTNET Security Client nach folgender Anleitung.
3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 9
3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client
Security Configuration Tool öffnen
Öffnen Sie das Security Configuration Tool über Start SIMATIC SCALANCE Security Security Configuration Tool und legen Sie ein neues Projekt an.
3.1 SCALANCE S61x konfigurieren
Modul einfügen
Fügen Sie über das Menü “Einfügen Modul” ein Modul vom Typ “S612 V2” ein.
Abbildung 3-1 Modul „S612 V2“ einfügen
Externe IP-Adresse und MAC-Adresse vergeben
Vergeben Sie dem Modul vom Typ “S612 V2” die externe IP-Adresse 172.168.2.23 und die Subnetzmaske 255.255.255.0.
Tragen Sie die MAC-Adresse des SCALANCE S61x ein.
Abbildung 3-2 externe IP-Adresse und MAC-Adresse vergeben
Default Router eintragen
Tragen Sie die interne IP-Adresse 172.168.2.1 des Standard Router B als Default Router ein.
Abbildung 3-3 Default Router eintragen
interne IP-Adresse des Standard Router B
Erweitert-Modus aktivieren und interne IP-Adresse vergeben
Aktivieren Sie über das Menü „Ansicht“ den „Erweitert-Modus“.
3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 10
Abbildung 3-4 „Erweitert-Modus“ aktivieren
Doppelklicken Sie unter „Alle Module“ auf das Modul vom Typ “S612 V2”, um die Moduleigenschaften zu öffnen.
In den Moduleigenschaften wechseln Sie in das Register „Routing Modus“. Aktivieren Sie die Funktion „Routing aktiv“ und vergeben Sie die interne IP-Adresse 140.80.0.2 und die Subnetzmaske 255.255.0.0.
Abbildung 3-5 Moduleigenschaften Register „Routing Modus“
3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 11
3.2 SOFTNET Security Client konfigurieren
Modul einfügen
Fügen Sie über das Menü “Einfügen Modul” ein weiteres Modul vom Typ “SOFTNET Security Client“ ein.
Abbildung 3-6 Modul „SOFTNET Security Client“ einfügen
Gruppe anlegen
Legen Sie über das Menü „Einfügen Gruppe“ eine neue Gruppe an.
Abbildung 3-7 Gruppe anlegen
Module der angelegten Gruppe zuordnen
Ordnen Sie die beiden Module, “S612 V2” und „SOFTNET Security Client“, der bereits angelegten Gruppe per drag & drop zu.
Abbildung 3-8 Module einer Gruppe zuordnen
Drag & Drop
3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 12
3.3 VPN (Virtual Private Network) konfigurieren
Doppelklicken Sie unter „Alle Module“ auf das Modul vom Typ “S612 V2”, um die Moduleigenschaften zu öffnen.
In den Moduleigenschaften wechseln Sie in das Register „VPN“.
Wählen Sie Funktion „Warte auf Gegenstelle“ aus.
Tragen Sie unter „WAN IP-Adresse“ die feste externe IP-Adresse 217.91.8.166 des Standard Routers B ein.
Abbildung 3-9 Moduleigenschaften “S612 V2” Register „VPN“
feste externe IP-AdresseStandard Router B
Nun ist die Konfiguration des SCALANCE S61x und des SOFTNET Security Clients abgeschlossen.
Abbildung 3-10 abgeschlossene Konfiguration
3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 13
3.4 Konfiguration laden bzw. speichern
Konfiguration in den SCALANCE S61x laden
Markieren Sie unter „Alle Module“ das Modul vom Typ “S612 V2” und betätigen Sie die Schaltfläche „laden“, um die Konfigurationsdaten an den SCALANCE S61x zu übertragen.
Abbildung 3-11 Konfigurationsdaten an den SCALANCE S61x übertragen
Hinweis Das erste Laden des SCALANCE S61x, wenn sich das Gerät im Werkszustand befindet, ist nicht über das Internet möglich. Das erste Laden des SCALANCE S61x erfolgt Vorort in der Anlage.
Konfigurationsdaten des SOFTNET Security Clients speichern
Markieren Sie unter „Alle Module“ das entsprechende Modul vom Typ „SOFTNET Security Client“ und betätigen Sie die Schaltfläche „laden“, um die Konfigurationsdaten des SOFTNET Security Clients zu speichern.
Abbildung 3-12 Konfigurationsdaten für den SSC speichern
3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 14
Die Konfigurationsdaten des SOFTNET Security Clients werden in einer Datei vom Format „*.dat“ gespeichert. Zusätzlich wird das PKCS12 Zertifikat in zwei Dateien vom Format „*.p12“ und „*.cer“ im selben Verzeichnis wie die Konfigurationsdaten gespeichert.
In diesem Beispiel wird die Konfigurationsdatei „Configuration2.SOFTNET.dat“ genannt.
Abbildung 3-13 Konfigurationsdatei erzeugen
Beim Speichern des PKCS12 Zertifikat haben Sie die Möglichkeit ein separates Passwort zu vergeben. Bestätigen Sie die folgende Meldung mit „Ja“. Wenn Sie die folgende Meldung mit „Nein“ bestätigen, dann wird der Name des Projektes als Passwort für das PKCS12 Zertifikat verwendet.
Abbildung 3-14 Passwort für das PKCS12 Zertifikat vergeben
In folgenden Dialog tragen Sie das Passwort des PKCS12 Zertifikat zweimal ein. Beenden Sie den Dialog mit „OK“.
3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 15
Abbildung 3-15 Passwort des PKCS12 Zertifikat
4 VPN-Tunnel mit dem SOFTNET Security Client aufbauen
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 16
4 VPN-Tunnel mit dem SOFTNET Security Client aufbauen Der SOFTNET Security Client baut den VPN-Tunnel von der PC-Station über das Internet zum SCALANCE S61x auf.
SOFTNET Security Client öffnen
Öffnen Sie den SOFTNET Security Client über Start SIMATIC SCALANCE Security SOFTNET Security Client.
Wenn Sie in Ihrer PC-Station mehrere Schnittstellen für den Zugang zum Internet installiert haben (z.B. WLAN, UMTS-Karte, …), dann erscheint beim Öffnen des SOFTNET Security Clients ein Dialogfenster. In diesem Dialogfenster markieren Sie die entsprechende Schnittstelle, die Sie für den Zugang zum Internet verwenden.
Sie haben die Möglichkeit den Dialog zur Auswahl der Schnittstelle im Dialog „Tunnelübersicht“ zu öffnen. Klicken Sie im Dialog „Tunnelübersicht“ mit der rechten Maustaste auf das Modul, zu dem der VPN Tunnel aufgebaut wird und wählen Sie den Menüeintrag „Wähle Netzwerkverbindung“ aus.
Konfigurationsdaten in den SOFTNET Security Client laden
Betätigen Sie die Schaltfläche „Konfigurationsdaten einlesen“, um die Konfigurationsdaten in den SOFTNET Security Client zu laden.
Abbildung 4-1 Konfigurationsdaten in den SOFTNET Security Client laden
Öffnen und laden Sie die Konfigurationsdatei Configuration2.SOFTNET.dat“.
Die Dateien „*.p12“ und „*.cer“ des PKCS12 Zertifikat müssen im selben Verzeichnis wie die Konfigurationsdaten vorhanden sein.
Abbildung 4-2 Konfigurationsdatei öffnen und laden
4 VPN-Tunnel mit dem SOFTNET Security Client aufbauen
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 17
In folgendem Dialog geben Sie das Passwort ein, das Sie beim Speichern der Konfigurationsdatei für das PKCS12 Zertifikat vergeben haben. Wenn Sie kein separates Passwort für das PKCS12 Zertifikat vergeben haben, dann geben Sie den Namen des Projektes ein, das Sie mit dem Security Configuration Tool erstellt haben und in dem die Konfiguration des SCALANCE S61x und des SOFTNET Security Client gespeichert ist.
Abbildung 4-3 Passwort des PKCS12 Zertifikat eingeben
Anschließend bestätigen Sie folgende Meldung mit „Ja“.
Abbildung 4-4 Dialog „Projektierte Konfiguration aktivieren“
Aufbau des VPN-Tunnels prüfen
In folgendem Dialog klicken Sie auf die Schaltfläche „Tunnelübersicht“. Der Dialog „Tunnelübersicht“ wird geöffnet.
Abbildung 4-5 Tunnelübersicht öffnen
4 VPN-Tunnel mit dem SOFTNET Security Client aufbauen
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 18
Im Dialog „Tunnelübersicht“ werden die Module bzw. Subnetze angezeigt, die über den VPN-Tunnel erreichbar sind.
Wenn der VPN-Tunnel erfolgreich aufgebaut ist und der SCALANCE S61x von der PC-Station aus erreichbar ist, dann wird der Schlüssel in der Spalte „Status“ gelb angezeigt.
Abbildung 4-6 Dialog „Tunnelübersicht“
5 Diagnose
VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 19
5 Diagnose Wenn der VPN-Tunnel zwischen der PC-Station und dem SCALANCE S61x über das Internet aufgebaut ist, dann können Sie von der PC-Station aus auf die geschützte Automatisierungszelle (S7-300 Station) zugreifen, d. h.
Sie können von der PC-Station aus einen Ping an die IP-Adresse des Industrial Ethernet CPs, der in der S7-300 Station eingesetzt wird, senden.
Sie können in STEP 7 die PG/OP-Funktionen für den Online-Zugriff auf die S7-300 Station nutzen, so dass Sie das STEP 7-Projekt bzw. die Konfiguration in die CPU der S7-300 Station laden oder den Diagnosepuffer der CPU / des IE CP343-1 auslesen können.
Hinweis Layer2-Protokolle, wie die Funktion „erreichbare Teilnehmer“ in STEP 7, sind über den VPN-Tunnel nicht möglich. Eine zusätzlich auf dem PC installierte Firewall kann eventuell zu Problemen führen.
6 Historie Tabelle 6-1 Historie
Version Datum Änderungen
V1.0 04.11.2008 Erste Ausgabe
V1.1 15.12.2008 Struktur / Aufbau des Dokuments geändert
V1.2 11.08.2009 Rechtschreibfehler korrigiert
Wenn beim speichern des Zertifikats kein seperates Passwort vergeben wird, dann wird der Name des Projekts als Passwort verwendet
Kapitel 1: Link zum Download der aktuellen Firmware V2.3 für SCALANCE S61x ergänzt
Kapitel 3.1: Absatz „Firewallregel hinzufügen“ gelöscht
Kapitel 4 Hinweis ergänzt wie der Dialog zur Auswahl der Netzwerkkarte geöffnet wird
V1.3 17.08.2010 Neue Formatvorlage verwendet
Kapitel 3.4 im Abschnitt „Konfigurationsdaten des SOFTNET Security Clients speichern“ erweitert zusätzlich zu den Konfigurationsdaten wird das PKCS12 Zertifikat in den Dateien „*.p12“ und „*.cer“ gespeichert
Kapitel 4 im Abschnitt „Konfigurationsdaten in den SOFTNET Security Client laden“ erweitert die Dateien „*.p12“ und „*.cer“ müssen sich im selben Verzeichnis wie die Konfigurationsdaten befinden