vpn-tunnel über internet - siemens€¦ · vpn-tunnel über internet v1.3, beitrags-id: 32447942...

Service & Support

Answers for industry.

Deckblatt

VPN-Tunnel über Internet

SCALANCE S61x und SOFTNET Security Client Edition 2008

FAQ August 2010

Fragestellung

VPN-Tunnel über Internet V1.3, Beitrags-ID: 32447942 2

Dieser Beitrag stammt aus dem Service&Support Portal der Siemens AG, Sector Industry, Industry Automation and Drive Technologies. Es gelten die dort genannten Nutzungsbedingungen (www.siemens.com/nutzungsbedingungen).

Durch den folgenden Link gelangen Sie direkt zur Downloadseite dieses Dokuments.

http://support.automation.siemens.com/WW/view/de/32447942

Frage Wie wird mit dem SOFTNET Security Client Edition 2008 ein VPN-Tunnel zwischen PC-Station und SCALANCE S61x über Internet konfiguriert?

Antwort Folgen Sie zur umfassenden Beantwortung dieser Frage den in diesem Dokument aufgeführten Handlungsanweisungen und Hinweisen.

http://www.siemens.com/nutzungsbedingungen�

http://support.automation.siemens.com/WW/view/de/32447942�

Inhaltsverzeichnis


Inhaltsverzeichnis 1 Einleitung ........................................................................................................... 4 2 Konfiguration der Standard Router ................................................................. 8 3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client .... 9

3.1 SCALANCE S61x konfigurieren........................................................... 9 3.2 SOFTNET Security Client konfigurieren ............................................ 11 3.3 VPN (Virtual Private Network) konfigurieren...................................... 12 3.4 Konfiguration laden bzw. speichern ................................................... 13

4 VPN-Tunnel mit dem SOFTNET Security Client aufbauen .......................... 16 5 Diagnose........................................................................................................... 19 6 Historie.............................................................................................................. 19

1 Einleitung


1 Einleitung Ab Edition 2008 des SOFTNET Security Clients (SSC) ist es möglich durch reine Projektierung mit dem Security Configuration Tool (SCT) ein VPN-Tunnel zu einem SCALANCE S61x über das Internet aufzubauen. Sie betreiben den SCALANCE S61x im Routing Modus.

Gehen Sie bei der Konfiguration des VPN-Tunnels nach folgender Anleitung vor.

Die Abbildung 1-1 zeigt den Aufbau dieser Konfiguration.

Voraussetzungen hierfür sind:

Der SCALANCE S 61x unterstützt den Aufbau eines VPN-Tunnels über das Internet im Routing Modus ab der Firmware V2.1. In folgendem Beitrag steht Ihnen die aktuelle Firmware V2.3 für den SCALANCE S 61x als Download zur Verfügung: http://support.automation.siemens.com/WW/view/de/37352999

Sie benötigen folgende Software-Komponenten:

– SOFTNET Security Client V2.0 (Edition 2008) oder höher

– Security Configuration Tool V2.2 oder höher

Sie benötigen eine feste externe IP-Adresse für den Standard Router B. Das aktive Modul (SOFTNET Security Client) initiiert den Aufbau des VPN-Tunnels über diese feste externe IP-Adresse. Das passive Modul (SCALANCE S 61x) wartet bis die Gegenstelle den Tunnelaufbau initiiert.

http://support.automation.siemens.com/WW/view/de/37352999�

1 Einleitung


Abbildung 1-1 Aufbau der Konfiguration

Standard Router BStandard Router A

Internet

IP-Adresse:192.168.2.100Default Gateway:192.168.2.1

externe IP-Adresse vom ISP 1:217.91.50.138interne IP-Adresse:192.168.2.1

feste externe IP-Adressevom ISP2:217.91.8.166interne IP-Adresse:172.168.2.1

externe IP-Adresse:172.168.2.23interne IP-Adresse:140.80.0.2Default Gateway:172.168.2.1

CPU 315-2DP mit CP343-1

IP-Adresse:140.80.0.3Default Gateway:140.80.0.2

VPN-Tunnel (IPSec)

ISP 1 ISP 2

SCALANCE S 61x

PC-Station

Zentrale

Remote Station(geschützte Automatisierungszelle)

IP-Subnetz: 140.80.0.0

1 Einleitung


Beschreibung des Aufbaus der Konfiguration

Die S7-300 Station besteht aus einer CPU 315-2DP und einem CP343-1. Sie ist am internen Netzwerk des SCALANCE S61x angeschlossen und wird durch diesen vor unerwünschten Zugriffen aus dem externen Netzwerk geschützt.

Der SCALANCE S61x ist Router bzw. Gateway für die S7-300 Station.

Die PC-Station mit der IP-Adresse 192.168.2.100 befindet sich im externen Netzwerk des SCALANCE S61x.

Der Standard Router A ist Gateway bzw. Router und DNS Server für die PC-Station.

Der Standard Router B ist Gateway bzw. Router für den SCALANCE S61x.

Router bzw. Gateway in der S7-300 Station definieren

Öffnen Sie in der Hardware-Konfiguration der S7-300 Station die Schnittstelleneigenschaften des CP343-1.

Aktivieren Sie die Funktion „Router verwenden“ und tragen die interne IP-Adresse 140.80.0.2 des SCALANCE S61x ein.

Abbildung 1-2 Schnittstelleneigenschaften des CP343-1

interne IP-AdresseSCALANCE 61x

Gateway in der PC-Station definieren

Öffnen Sie in Windows unter Netzwerkverbindung den Eigenschaftsdialog des Local Area Network (LAN).

Für das „Default Gateway“ und den DNS Server tragen Sie die interne IP-Adresse 192.168.2.1 des Standard Routers A ein.

1 Einleitung


Abbildung 1-3 Eigenschaftsdialog des LAN

interne IP-AdresseStandard Router A

Hinweis Wenn der Standard Router A DHCP fähig ist, dann kann der PC seine IP-Adresse und die IP-Adresse des DNS Servers automatisch vom Standard Router A erhalten.

Anschließend werden die Standard Router A und B konfiguriert.

2 Konfiguration der Standard Router


2 Konfiguration der Standard Router Der Standard Router A ist an der PC-Station mit installiertem SOFTNET Security Client angeschlossen. Der aktive SOFTNET Security Client initiiert den Aufbau des VPN-Tunnels über die feste externe IP-Adresse des Standard Routers B.

Der Standard Router B ist am externen Netzwerk des passiven SCALANCE S61x angeschlossen. Der SCALANCE S61x ist passiv am Aufbau des VPN-Tunnels beteiligt. Er wartet bis die Gegenstelle den Tunnelaufbau initiiert.

Port-Forwarding Regel im Standard Router B konfigurieren

Konfigurieren Sie folgende Port-Forwarding Regel für den Standard Router, der an der passiven Seite angeschlossen ist (Standard Router B):

Die UDP-Pakete vom Internet, die an die Ports 500 und 4500 des Standard Routers B adressiert sind, werden an die externe IP-Adresse 172.168.2.23 des SCALANCE S 61x weitergeleitet.

Abbildung 2-1 Port-Forwarding Regel im Standard Router B konfigurieren

externe IP-AdresseSCALANCE S61x

Erstellen Sie die Konfiguration für den SCALANCE S61x und den SOFTNET Security Client nach folgender Anleitung.

3 Konfiguration des SCALANCE S61x und des SOFTNET Security Client



Security Configuration Tool öffnen

Öffnen Sie das Security Configuration Tool über Start SIMATIC SCALANCE Security Security Configuration Tool und legen Sie ein neues Projekt an.

3.1 SCALANCE S61x konfigurieren

Modul einfügen

Fügen Sie über das Menü “Einfügen Modul” ein Modul vom Typ “S612 V2” ein.

Abbildung 3-1 Modul „S612 V2“ einfügen

Externe IP-Adresse und MAC-Adresse vergeben

Vergeben Sie dem Modul vom Typ “S612 V2” die externe IP-Adresse 172.168.2.23 und die Subnetzmaske 255.255.255.0.

Tragen Sie die MAC-Adresse des SCALANCE S61x ein.

Abbildung 3-2 externe IP-Adresse und MAC-Adresse vergeben

Default Router eintragen

Tragen Sie die interne IP-Adresse 172.168.2.1 des Standard Router B als Default Router ein.

Abbildung 3-3 Default Router eintragen

interne IP-Adresse des Standard Router B

Erweitert-Modus aktivieren und interne IP-Adresse vergeben

Aktivieren Sie über das Menü „Ansicht“ den „Erweitert-Modus“.



Abbildung 3-4 „Erweitert-Modus“ aktivieren

Doppelklicken Sie unter „Alle Module“ auf das Modul vom Typ “S612 V2”, um die Moduleigenschaften zu öffnen.

In den Moduleigenschaften wechseln Sie in das Register „Routing Modus“. Aktivieren Sie die Funktion „Routing aktiv“ und vergeben Sie die interne IP-Adresse 140.80.0.2 und die Subnetzmaske 255.255.0.0.

Abbildung 3-5 Moduleigenschaften Register „Routing Modus“



3.2 SOFTNET Security Client konfigurieren

Modul einfügen

Fügen Sie über das Menü “Einfügen Modul” ein weiteres Modul vom Typ “SOFTNET Security Client“ ein.

Abbildung 3-6 Modul „SOFTNET Security Client“ einfügen

Gruppe anlegen

Legen Sie über das Menü „Einfügen Gruppe“ eine neue Gruppe an.

Abbildung 3-7 Gruppe anlegen

Module der angelegten Gruppe zuordnen

Ordnen Sie die beiden Module, “S612 V2” und „SOFTNET Security Client“, der bereits angelegten Gruppe per drag & drop zu.

Abbildung 3-8 Module einer Gruppe zuordnen

Drag & Drop



3.3 VPN (Virtual Private Network) konfigurieren

Doppelklicken Sie unter „Alle Module“ auf das Modul vom Typ “S612 V2”, um die Moduleigenschaften zu öffnen.

In den Moduleigenschaften wechseln Sie in das Register „VPN“.

Wählen Sie Funktion „Warte auf Gegenstelle“ aus.

Tragen Sie unter „WAN IP-Adresse“ die feste externe IP-Adresse 217.91.8.166 des Standard Routers B ein.

Abbildung 3-9 Moduleigenschaften “S612 V2” Register „VPN“

feste externe IP-AdresseStandard Router B

Nun ist die Konfiguration des SCALANCE S61x und des SOFTNET Security Clients abgeschlossen.

Abbildung 3-10 abgeschlossene Konfiguration



3.4 Konfiguration laden bzw. speichern

Konfiguration in den SCALANCE S61x laden

Markieren Sie unter „Alle Module“ das Modul vom Typ “S612 V2” und betätigen Sie die Schaltfläche „laden“, um die Konfigurationsdaten an den SCALANCE S61x zu übertragen.

Abbildung 3-11 Konfigurationsdaten an den SCALANCE S61x übertragen

Hinweis Das erste Laden des SCALANCE S61x, wenn sich das Gerät im Werkszustand befindet, ist nicht über das Internet möglich. Das erste Laden des SCALANCE S61x erfolgt Vorort in der Anlage.

Konfigurationsdaten des SOFTNET Security Clients speichern

Markieren Sie unter „Alle Module“ das entsprechende Modul vom Typ „SOFTNET Security Client“ und betätigen Sie die Schaltfläche „laden“, um die Konfigurationsdaten des SOFTNET Security Clients zu speichern.

Abbildung 3-12 Konfigurationsdaten für den SSC speichern



Die Konfigurationsdaten des SOFTNET Security Clients werden in einer Datei vom Format „*.dat“ gespeichert. Zusätzlich wird das PKCS12 Zertifikat in zwei Dateien vom Format „*.p12“ und „*.cer“ im selben Verzeichnis wie die Konfigurationsdaten gespeichert.

In diesem Beispiel wird die Konfigurationsdatei „Configuration2.SOFTNET.dat“ genannt.

Abbildung 3-13 Konfigurationsdatei erzeugen

Beim Speichern des PKCS12 Zertifikat haben Sie die Möglichkeit ein separates Passwort zu vergeben. Bestätigen Sie die folgende Meldung mit „Ja“. Wenn Sie die folgende Meldung mit „Nein“ bestätigen, dann wird der Name des Projektes als Passwort für das PKCS12 Zertifikat verwendet.

Abbildung 3-14 Passwort für das PKCS12 Zertifikat vergeben

In folgenden Dialog tragen Sie das Passwort des PKCS12 Zertifikat zweimal ein. Beenden Sie den Dialog mit „OK“.



Abbildung 3-15 Passwort des PKCS12 Zertifikat

4 VPN-Tunnel mit dem SOFTNET Security Client aufbauen


4 VPN-Tunnel mit dem SOFTNET Security Client aufbauen Der SOFTNET Security Client baut den VPN-Tunnel von der PC-Station über das Internet zum SCALANCE S61x auf.

SOFTNET Security Client öffnen

Öffnen Sie den SOFTNET Security Client über Start SIMATIC SCALANCE Security SOFTNET Security Client.

Wenn Sie in Ihrer PC-Station mehrere Schnittstellen für den Zugang zum Internet installiert haben (z.B. WLAN, UMTS-Karte, …), dann erscheint beim Öffnen des SOFTNET Security Clients ein Dialogfenster. In diesem Dialogfenster markieren Sie die entsprechende Schnittstelle, die Sie für den Zugang zum Internet verwenden.

Sie haben die Möglichkeit den Dialog zur Auswahl der Schnittstelle im Dialog „Tunnelübersicht“ zu öffnen. Klicken Sie im Dialog „Tunnelübersicht“ mit der rechten Maustaste auf das Modul, zu dem der VPN Tunnel aufgebaut wird und wählen Sie den Menüeintrag „Wähle Netzwerkverbindung“ aus.

Konfigurationsdaten in den SOFTNET Security Client laden

Betätigen Sie die Schaltfläche „Konfigurationsdaten einlesen“, um die Konfigurationsdaten in den SOFTNET Security Client zu laden.

Abbildung 4-1 Konfigurationsdaten in den SOFTNET Security Client laden

Öffnen und laden Sie die Konfigurationsdatei Configuration2.SOFTNET.dat“.

Die Dateien „*.p12“ und „*.cer“ des PKCS12 Zertifikat müssen im selben Verzeichnis wie die Konfigurationsdaten vorhanden sein.

Abbildung 4-2 Konfigurationsdatei öffnen und laden



In folgendem Dialog geben Sie das Passwort ein, das Sie beim Speichern der Konfigurationsdatei für das PKCS12 Zertifikat vergeben haben. Wenn Sie kein separates Passwort für das PKCS12 Zertifikat vergeben haben, dann geben Sie den Namen des Projektes ein, das Sie mit dem Security Configuration Tool erstellt haben und in dem die Konfiguration des SCALANCE S61x und des SOFTNET Security Client gespeichert ist.

Abbildung 4-3 Passwort des PKCS12 Zertifikat eingeben

Anschließend bestätigen Sie folgende Meldung mit „Ja“.

Abbildung 4-4 Dialog „Projektierte Konfiguration aktivieren“

Aufbau des VPN-Tunnels prüfen

In folgendem Dialog klicken Sie auf die Schaltfläche „Tunnelübersicht“. Der Dialog „Tunnelübersicht“ wird geöffnet.

Abbildung 4-5 Tunnelübersicht öffnen



Im Dialog „Tunnelübersicht“ werden die Module bzw. Subnetze angezeigt, die über den VPN-Tunnel erreichbar sind.

Wenn der VPN-Tunnel erfolgreich aufgebaut ist und der SCALANCE S61x von der PC-Station aus erreichbar ist, dann wird der Schlüssel in der Spalte „Status“ gelb angezeigt.

Abbildung 4-6 Dialog „Tunnelübersicht“

5 Diagnose


5 Diagnose Wenn der VPN-Tunnel zwischen der PC-Station und dem SCALANCE S61x über das Internet aufgebaut ist, dann können Sie von der PC-Station aus auf die geschützte Automatisierungszelle (S7-300 Station) zugreifen, d. h.

Sie können von der PC-Station aus einen Ping an die IP-Adresse des Industrial Ethernet CPs, der in der S7-300 Station eingesetzt wird, senden.

Sie können in STEP 7 die PG/OP-Funktionen für den Online-Zugriff auf die S7-300 Station nutzen, so dass Sie das STEP 7-Projekt bzw. die Konfiguration in die CPU der S7-300 Station laden oder den Diagnosepuffer der CPU / des IE CP343-1 auslesen können.

Hinweis Layer2-Protokolle, wie die Funktion „erreichbare Teilnehmer“ in STEP 7, sind über den VPN-Tunnel nicht möglich. Eine zusätzlich auf dem PC installierte Firewall kann eventuell zu Problemen führen.

6 Historie Tabelle 6-1 Historie

Version Datum Änderungen

V1.0 04.11.2008 Erste Ausgabe

V1.1 15.12.2008 Struktur / Aufbau des Dokuments geändert

V1.2 11.08.2009 Rechtschreibfehler korrigiert

Wenn beim speichern des Zertifikats kein seperates Passwort vergeben wird, dann wird der Name des Projekts als Passwort verwendet

Kapitel 1: Link zum Download der aktuellen Firmware V2.3 für SCALANCE S61x ergänzt

Kapitel 3.1: Absatz „Firewallregel hinzufügen“ gelöscht

Kapitel 4 Hinweis ergänzt wie der Dialog zur Auswahl der Netzwerkkarte geöffnet wird

V1.3 17.08.2010 Neue Formatvorlage verwendet

Kapitel 3.4 im Abschnitt „Konfigurationsdaten des SOFTNET Security Clients speichern“ erweitert zusätzlich zu den Konfigurationsdaten wird das PKCS12 Zertifikat in den Dateien „*.p12“ und „*.cer“ gespeichert

Kapitel 4 im Abschnitt „Konfigurationsdaten in den SOFTNET Security Client laden“ erweitert die Dateien „*.p12“ und „*.cer“ müssen sich im selben Verzeichnis wie die Konfigurationsdaten befinden

vpn-tunnel über internet - siemens€¦ · vpn-tunnel über internet v1.3, beitrags-id: 32447942...

Documents