Projektierungsbeispiel 09/2015 Einrichtung einer ... · der Verpflichtung zu sicherem Umgang bei...

https://support.industry.siemens.com/cs/ww/de/view/109479641

Projektierungsbeispiel 09/2015

Einrichtung einer gesicherten VPN-Verbindung zwischen einem Smartphone (Android), SCALANCE S615 und SINEMA Remote Connect Server SINEMA Remote Connect, SCALANCE S615

https://support.industry.siemens.com/cs/ww/de/view/109479641

Gewährleistung und Haftung

Security: RC_Android_S615_Static Beitrags-ID: 109479641, V1.0, 09/2015 2

S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Gewährleistung und Haftung

Hinweis Die Anwendungsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Anwendungsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Anwendungsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Anwendungsbeispiele jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Anwendungsbeispiel und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.

Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr.

Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Anwendungsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadens-ersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden.

Weitergabe oder Vervielfältigung dieser Anwendungsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von der Siemens AG zugestanden.

Security-hinweise

Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren.

Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity.

Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter http://support.industry.siemens.com.

https://www.industry.siemens.com/topics/global/de/industrial-security/Seiten/default.aspx

http://support.industry.siemens.com./

Inhaltsverzeichnis


S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Inhaltsverzeichnis Gewährleistung und Haftung ...................................................................................... 2

1 Aufgabenstellung und Lösung ......................................................................... 4

1.1 Aufgabe ................................................................................................ 4 1.2 Lösungsmöglichkeit .............................................................................. 4 1.2.1 Gesamtübersicht .................................................................................. 4 1.2.2 SINEMA Remote Connect.................................................................... 6 1.3 Merkmale der Lösung ........................................................................... 8

2 Konfiguration und Projektierung ..................................................................... 9

2.1 Einrichten der Umgebung..................................................................... 9 2.1.1 Erforderliche Komponenten und IP-Adressenübersicht ....................... 9 2.1.2 Smartphone ........................................................................................ 11 2.1.3 Router am SCALANCE S615 ............................................................. 12 2.1.4 SCALANCE S615 ............................................................................... 12 2.1.5 Router am VPN-Server ...................................................................... 16 2.1.6 SINEMA Remote Connect Server ...................................................... 17 2.2 Fernverbindung auf dem SINEMA Remote Connect Server

einrichten ............................................................................................ 20 2.2.1 Teilnehmer und Kommunikationsbeziehungen definieren ................. 21 2.2.2 Zertifikate und Benutzerkonfiguration exportieren ............................. 31 2.3 Fernverbindung auf dem S615 einrichten .......................................... 33 2.3.1 Zugriff auf den SINEMA Remote Connect Server freigeben ............. 33 2.3.2 Zertifikat laden .................................................................................... 34 2.3.3 VPN-Verbindung projektieren ............................................................ 35 2.4 Fernverbindung auf dem Smartphone einrichten ............................... 39

3 Tunnelfunktion testen ..................................................................................... 47

4 Historie.............................................................................................................. 47

1 Aufgabenstellung und Lösung


S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d


1.1 Aufgabe

Die Aufgabe besteht darin, einem Servicemitarbeiter einen sicheren Fernzugriff auf den SINEMA Remote Connect Server und unterlagerten Geräten für Wartungs-, Steuerungs- und Diagnosezwecke bereitzustellen. Zur sicheren und zentralen Verwaltung der Tunnelverbindungen wird SINEMA Remote Connect verwendet.

Dabei sind folgende Kundenanforderungen zu berücksichtigen:

Verhindern von unerlaubtem Zugriff auf den SINEMA Remote Connect Server und unterlagerten Geräten.

Verhindern von unerlaubtem Ausführen von Funktionen durch die Vergabe von Rechten.

Zugriffskontrolle auf die unterlagerten Geräte.

Absicherung gegen Datenmanipulation und Spionage.

Flexibler Zugang des Servicemitarbeiters (unabhängig vom Ort).

1.2 Lösungsmöglichkeit

1.2.1 Gesamtübersicht

Die folgende Grafik zeigt eine Möglichkeit, die Kundenanforderung umzusetzen:

VPN-Server

Servicetechniker mit

mobilem Endgerät

VPN Tunnel

Industrial Ethernet

SINEMA Remote Connect

Server

S615Automatisierungs-

zelle

Zentrale

VPN-Client1

2

Statische

WAN-IP-Adresse

Internet

Router

Internet

Router

VPN-Client

WAN

Eine Automatisierungszelle (Teilnehmer wie z.B. SIMATIC Station, Panel, Antriebe, PCs) ist mithilfe des SCALANCE S615 angeschlossen. Der Servicetechniker nutzt ein mobiles Endgerät (z.B. Smartphone).



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Die Kommunikation zwischen Servicetechniker und der Automatisierungszelle erfolgt über den SINEMA Remote Connect Server, der in der Zentrale steht. Abgesichert wird der Fernzugriff über zwei VPN-Tunnel:

VPN-Tunnel Der Clientzugriff von dem mobilen Endgerät (Tablet/ Smartphone) auf den SINEMA Remote Connect Server wird über die App „OpenVPN Connect“, eine VPN-Client-Software, hergestellt.

VPN-Tunnel Der Clientzugriff der Automatisierungszelle erfolgt über den SCALANCE S615.

Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen routet der SINEMA Remote Connect Server zwischen den einzelnen VPN-Tunnels.

Der Zugang zum SINEMA Remote Connect Server (VPN-Server) ist über die Nutzung einer statischen IP-Adresse fest definiert.

Die Rollenverteilung beim Aufbau des VPN-Tunnels ist wie folgt festgelegt:

Tabelle 1-1

Komponente VPN-Rolle

Mobiles Endgerät Initiator (VPN-Client); startet die VPN-Verbindung

SCALANCE S615 Initiator (VPN-Client); startet die VPN-Verbindung

SINEMA Remote Connect Server

Responder (VPN-Server); wartet auf VPN-Verbindung

1

2

2

1

1 2



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

1.2.2 SINEMA Remote Connect

SINEMA Remote Connect ist eine Managementplattform für Remote Networks, welche zentral sichere Tunnelverbindungen verwaltet. So können weitverteilte Anlagen oder Maschinen über Fernzugriff komfortabel und sicher gewartet werden. Auch, wenn die Maschinen in fremden Netzwerken eingebunden sind. Zum Beispiel in den Anlagen bei Endkunden von Maschinenbauern.

Bestandteile einer Lösung mit SINEMA Remote Connect sind:

SINEMA Remote Connect als VPN-Server

Endgeräte (VPN-Client):

– SCALANCE S615 (mit KEY-PLUG)

– SCALANCE M-800 (mit KEY-PLUG)

– SINEMA Remote Connect Client

– OpenVPN-Client


SINEMA Remote Connect Server ist eine Server-Applikation und bietet ein durchgängiges Verbindungsmanagement von verteilten Netzwerken über das Internet. Sie koordiniert den sicheren Verbindungsaufbau zwischen Anwendern, weitverteilten Anlagen und Maschinen.

Folgende Funktionen übernimmt der SINEMA Remote Connect Server:

Verwaltung und Aufbau verschlüsselter Verbindungen mit OpenVPN.

Verifizierung über CA-Zertifikat oder Fingerprint.

Nutzerverwaltung mit der Projektierung von Rechten.

Aufbau permanent oder Event-basierter Verbindungen (Aufbau per Wake-up-SMS oder durch ein Signal am digitalen Eingang).

Unterstützung von Routing und NAT zur Anbindung von Subnetzen hinter dem SCALANCE S615.

Bereitstellung eines sicheren Fernzugriffs auf unterlagerte Netzwerke zu Wartungs-, Steuerungs- und Diagnosezwecken.

Web Based Management (WBM) für die Konfiguration des Servers.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

SCALANCE S615

Der SCALANCE S615 ist eine Security Baugruppe zur Absicherung von Geräten, Automatisierungszellen oder Netzsegmenten in Ethernet Netzwerken gegen äußere und innere Gefahren.

Er bietet die gleichen Funktionalitäten und Eigenschaften wie die bisherigen SCALANCE M Varianten. Hinzu kommen einige spezifische LAN-Funktionen, welche eine optimale Anbindung an SINEMA Remote Connect ermöglichen.

Der SCALANCE S615 zeichnet sich unter anderem durch folgende Funktionen aus:

Unterstützung von VPN zur sicheren Authentifizierung der Netzteilnehmer, zur Verschlüsselung der Daten und Überprüfung der Datenintegrität.

– IPSec-VPN-Tunnel (Server- und Client-Funktionalität)

– OpenVPN zur Anbindung an SINEMA Remote Connect (Client-Funktion)

Stateful Inspection Firewall mit Filterung von IP-basiertem Datenverkehr und Kommunikationsprotokollen.

Unterstützung von NAT/NAPT; auch in Verbindung mit IPSec und OpenVPN.

Unterstützung VLAN.

Flexibler, rückwirkungsfreier und protokollunabhängiger Schutz.

Unterstützung von mehreren VPN-Tunneln gleichzeitig.

Einfachste Anbindung an SINEMA Remote Connect via Auto-Konfigurations-Schnittstelle (freischaltbar mit dem KEY-PLUG SINEMA REMOTE CONNECT).

OpenVPN-Client “OpenVPN-Connect”

„OpenVPN Connect” ist eine OpenVPN-Client-Applikation für gängige Smartphones und Tablets und kann über den jeweiligen App-Store kostenlos bezogen werden.

Sie bietet unter anderen folgenden Funktionen:

Einfacher Import von OpenVPN-Konfigurationsprofilen.

Mehrstufige Authentifizierung durch statische und dynamische Protokolle.

Verwendung von Mbed TLS (PolarSSL) für Verschlüsselung und SSL/TLS



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

1.3 Merkmale der Lösung

Nutzerverwaltung und Verbindungsmanagement über eine zentrale Server-Applikation.

Sichere und einfache Einwahl in die Anlagen von jedem Punkt der Welt.

Kontrollierter und verschlüsselter Datenverkehr zwischen Anwendern, weitverteilten Anlagen und Maschinen über einen VPN-Tunnel.

Verifizierung des SINEMA Remote Connect Servers über das CA-Zertifikat.

Geringe Investitions- und Betriebskosten für das Überwachen und Steuern von remote angebundenen Unterstationen.

Hohe Sicherheit für Maschinen und Anlagen durch Realisierung des Zellenschutzkonzepts.

Problemlose Integration in vorhandene Netzwerke und Schutz von Geräten ohne eigene Security Funktionen.

Einfachste Anbindung an SINEMA Remote Connect.

2 Konfiguration und Projektierung


S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d


2.1 Einrichten der Umgebung

2.1.1 Erforderliche Komponenten und IP-Adressenübersicht

Softwarepakete

Diese Lösung basiert auf einer SINEMA Remote Connect Appliance und benötigt als Software den SINEMA Remote Connect Server.

Installieren Sie diese Software auf einen PC ohne Betriebssystem. Beachten Sie die für die Installation nötigen Voraussetzungen. Während der Installation müssen Sie die IP-Adresse des Servers eingeben. Verwenden Sie dafür die IP-Adresse nach Tabelle 2-1.

Das Smartphone benötigt die „OpenVPN Connect“-App. Laden Sie diese kostenlose App aus dem Store und installieren Sie diese auf Ihrem Smartphone.

ACHTUNG Die Installation des SINEMA Remote Connect Servers beinhaltet ein eigenes Betriebssystem. Wenn Sie einen PC verwenden, auf dem bereits ein Betriebssystem vorhanden ist, wird die Festplatte formatiert und gespeicherte Daten gehen verloren.

Erforderliche Geräte/Komponenten:

Für den Aufbau verwenden Sie folgende Komponenten:

Ein PC der Zentrale, auf dem der „SINEMA Remote Connect Server“ installiert ist.

Ein Smartphone mit dem Betriebssystem „Android“ und der „OpenVPN Connect“-App. Dieses Beispiel wurde mit einem Galaxy S5 mini (Android Version 4.4.2) und der „OpenVPN Connect“ App Version 1.1.16 (build 74) erstellt.

Eine SIM-Karte Ihres Mobilfunkbetreibers (die entsprechenden Dienste z.B. Internet sind freigeschaltet).Ein SCALANCE S615.

Ein KEY-PLUG SINEMA REMOTE CONNECT.

Einen DSL-Zugang mit dynamischer WAN-IP-Adresse und einen DSL-Router.

Einen DSL-Zugang mit statischer WAN-IP-Adresse und einen DSL-Router.

Ein Konfigurations-PC, auf dem ein Webbrowser installiert ist.

Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet.

Hinweis Sie können auch einen anderen Internet-Zugang (z.B. UMTS) verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt „Erforderliche Geräte/Komponenten“ erwähnten Komponenten.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

IP-Adressen

Die Zuordnung der IP-Adressen ist für dieses Beispiel wie folgt festgelegt:


Server

S615

Dynamische

WAN-IP

172.16.1.52

Dynamische

WAN-IP 192.168.2.1

172.16.0.1Statische

WAN-IP192.168.100.1

192.168.2.90

192.168.100.4

WAN

Smartphone mit

„OpenVPN-Connect“-

App

Tabelle 2-1

Komponente Port IP-Adresse Router Subnetzmaske


LAN Port 172.16.1.52 172.16.0.1 255.255.0.0

Konfigurations-PC (nicht in der Grafik.gezeigt)

LAN-Port 172.16.67.10 192.168.100.10 192.168.1.100

- 255.255.0.0 255.255.255.0 255.255.255.0

Router am VPN-Server LAN-Port 172.16.0.1 - 255.255.0.0

Router am VPN-Server WAN-Port Statische IP-Adresse vom Provider

- Vom Provider zugewiesen

Smartphone WAN-Port Dynamische IP-Adresse vom Provider


Router am VPN-Client (S615)

WAN-Port Dynamische IP-Adresse vom Provider


Router am VPN-Client (S615)

LAN-Port 192.168.2.1 - 255.255.255.0

SCALANCE S615 WAN-Port (P5) 192.168.2.90 192.168.2.1 255.255.255.0

SCALANCE S615 LAN-Port (P1-4) 192.168.100.1 - 255.255.255.0

Automatisierungsgerät LAN-Port 192.168.100.4 192.168.100.1 255.255.255.0

Hinweis Der PC dient zur Konfiguration des SINEMA Remote Connect Server und SCALANCE S615 über das Webbased Management. Dafür müssen dem PC- Netzwerkadapter mehrere IP-Adressen zugeordnet werden. In den erweiterten TCP/IP-Einstellungen der Netzwerkkarten-Konfiguration haben Sie die Möglichkeit, weitere IP-Adressen hinzuzufügen.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Aufbau der Infrastruktur

Verbinden Sie alle teilnehmenden Komponenten dieser Lösung miteinander.


Server

S615

WAN-Port

LAN-Port

WAN-PortLAN-Port

LAN-Port WAN-PortLAN-Port

P1-P4

WAN-Port

P5

LAN-Port

WAN

Servicetechniker mit

Smartphone

Tabelle 2-2

Komponente Lokaler Port Partner Partner Port

SINEMA Remote Connect Server LAN-Port Router am VPN-Server

LAN-Port

Router am VPN-Client (S615) LAN-Port S615 WAN-Port P5

SCALANCE S615 LAN-Port Automatisierungszelle

2.1.2 Smartphone

Uhrzeit

Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten ist es wichtig, dass auf dem Smartphone stets das aktuelle Datum und die aktuelle Uhrzeit geführt wird.

Überprüfen Sie die Zeitangabe auf Ihrem PC und passen Sie diese gegeben falls an.

VPN

Falls auf Ihrem PC weitere VPN-Verbindungen projektiert und aktiviert sind, beenden Sie diese.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.1.3 Router am SCALANCE S615

VPN

Falls auf Ihrem Router VPN-Verbindungen projektiert und aktiviert sind, beenden Sie diese.

LAN-IP-Adressen

Verwenden Sie am LAN-Port eine statische IP-Adresse nach den Vorgaben von Tabelle 2-1.

2.1.4 SCALANCE S615

Werkseinstellung

Um sicherzugehen, dass keine alten Konfigurationen und Zertifikate im SCALANCE S gespeichert sind, setzen Sie die Baugruppe auf Werkseinstellung zurück.

KEY-PLUG

Für den SCALANCE S615 wird der „KEY-PLUG SINEMA REMOTE CONNECT“ benötigt. Mit dem KEY-PLUG wird die Anbindung von SCALANCE S615 an SINEMA Remote Connect freigeschaltet.

Stellen Sie sicher, dass im SCALANCE S ein gültiger KEY-PLUG gesteckt ist.

Webbased Management öffnen

Verbinden Sie den Konfigurations-PC mit einem LAN-Port des SCALANCE S615 (z.B. Port 2).

Werkseitig hat das Gerät die IP-Adresse 192.168.1.1/24.

Öffnen Sie das Webbased Management über die Adresse http://192.168.1.1.

Webbased Management Login

Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, sind die Login-Daten wie folgt festgelegt: Name: admin Password: admin

1. Tragen Sie Name und Passwort in die entsprechenden Eingabefelder ein. Klicken Sie die Schaltfläche „Anmelden“ („Login").

2. Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, werden Sie aufgefordert, das Passwort zu ändern.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

3. Geben Sie das alte und neue Passwort ein. Wiederholen Sie bei „Password Confirmation" das Passwort, um es zu bestätigen. Beide Einträge müssen übereinstimmen.

4. Klicken Sie auf die Schaltfläche „Set Values“ um den Vorgang abzuschließen und das neue Passwort zu aktivieren.

5. Wenn Sie sich erfolgreich angemeldet haben, erscheint die Startseite.

Ergebnis Das Passwort für den Benutzer „admin" ist geändert. Melden Sie sich fortan mit dem geänderten Passwort an.

Uhrzeit einstellen

Für den Aufbau einer sicheren Kommunikation ist es unerlässlich, dass auf dem SCALANCE stets die aktuelle Uhrzeit und Datum eingestellt ist. Anderenfalls werden die verwendeten Zertifikate als ungültig interpretiert und eine sichere VPN-Kommunikation ist nicht möglich.

1. Navigieren Sie in der Navigationsleiste zu „System“ > „System Time“.

2. Klicken Sie auf die Schaltfläche „Use PC Time“, um die Zeiteinstellung des PCs zu übernehmen.

3. Übernehmen Sie die Einstellung mit „Set Values“.

Ergebnis Das Datum und die Uhrzeit werden übernommen und im Feld „System time“ angezeigt.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Hinweis Sie haben auch die Möglichkeit, die Systemzeit mit einem NTP-Zeitserver automatisch synchronisieren zu lassen. Im Internet gibt es eine Reihe von Zeitservern, von denen die aktuelle Uhrzeit präzise bezogen werden kann.

IP-Einstellungen ändern

Um den SCALANCE S615 in das Netzwerk der Beispielprojektierung zu integrieren, muss die LAN-Schnittstelle entsprechend geändert werden.

1. Klicken Sie im Navigationsbereich auf „Layer 3" > „Subnet" und im Inhaltsbereich auf das Register „Configuration".

2. Geben Sie die IP-Adresse für die „vlan1“ nach der Tabelle 2-1 ein.

3. Klicken Sie auf „Set Values".

Ergebnis In der Adresszeile des Webbrowsers wird die IP-Adresse automatisch angepasst. Durch die Mehrfach-IP-Adressen-Zuordnung kann der PC weiterhin auf das Web Based Management zugreifen.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

IP-Subnetze anlegen

Der SCALANCE S615 verfügt über fünf Ports, die wie folgt werksseitig eingestellt sind:

Port 1-4: vlan 1 Für den Zugriff vom lokalen Netz (LAN) auf das Gerät.

Port 5: vlan 2 Für den Zugriff vom externen Netz (WAN) zum Gerät.

Die VLANs sind in verschiedenen IP-Subnetzen.

Das IP-Subnetz für VLAN 1 wurde bereits im letzten Abschnitt konfiguriert. Zur Konfiguration des IP-Subnetzes für VLAN 2 gehen Sie wie folgt vor:

1. Klicken Sie im Navigationsbereich auf „Layer 3" > „Subnet" und im Inhaltsbereich auf das Register „Configuration".

2. Wählen Sie bei „Interface“ die „vlan2“ aus. Geben Sie die IP-Adresse für „vlan2“ nach der Tabelle 2-1 ein.

3. Klicken Sie auf „Set Values".

Ergebnis

Die IP-Subnetze sind angelegt und werden im Register „Overview“ angezeigt.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.1.5 Router am VPN-Server

Statische IP-Adresse bei DSL-Router

Der WAN-Zugriff der VPN-Clients auf den SINEMA Remote Connect Server (VPN-Server) erfolgt über eine fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider beantragt und anschließend im DSL-Router hinterlegt werden.

Portforwarding am DSL-Router

Damit die Tunnel-Pakete ungehindert zwischen Smartphone („OpenVPN-Connect“-App), SCALANCE S615 und SINEMA Remote Connect Server ausgetauscht werden können, achten Sie darauf, dass das PORT-Forwarding für OpenVPN und https mit TCP und UDP (TCP/443,UDP/1194,TCP/5443,TCP/6220) freigeschaltet ist und an den SINEMA Remote Connect Server weitergeleitet werden.

Hinweis Diese Ports sind prinzipiell im SINEMA Remote Connect Server änderbar, die Portnummern stimmen also nur, wenn Sie die Einstellungen bei den Defaultwerten belassen. Für OpenVPN wird entweder nur UDP oder TCP genutzt. UDP ist - wenn möglich - immer vorzuziehen, da es schneller bzw. performanter ist.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.1.6 SINEMA Remote Connect Server


Schließen Sie den Konfigurations-PC am lokalen Netzwerk des SINEMA Remote Connect Servers an (z.B. über die lokalen Ports am Router) und verbinden Sie sich mit der Web-Oberfläche des SINEMA Remote Connect Servers. Die IP-Adresse wurde während der Installation festgelegt.

Öffnen Sie das Webbased Management über die Adresse https://172.16.1.52.

Webbased Management Login

Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, sind die Login-Daten wie folgt festgelegt: Name: admin Password: admin

1. Tragen Sie Name und Passwort in die entsprechenden Eingabefelder ein. Klicken Sie die Schaltfläche „Anmelden“ („Login").

2. Wenn Sie sich das erste Mal oder nach Setzen auf Werkeinstellung anmelden, werden Sie aufgefordert, das Passwort zu ändern.

3. Geben Sie das alte und neue Passwort ein. Das neue Passwort muss mind. 8 Zeichen lang sein und mindestens ein Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten.

4. Klicken Sie auf die Schaltfläche „Speichern“ („Save"), um den Vorgang abzuschließen und das neue Passwort zu aktivieren.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

5. Wenn Sie sich erfolgreich angemeldet haben, erscheint die Startseite.

Ergebnis Das Passwort für den Benutzer „admin" ist geändert. Melden Sie sich fortan mit dem geänderten Passwort an.

Uhrzeit einstellen

Für den Aufbau einer sicheren Kommunikation ist es unerlässlich, dass auf dem SINEMA Remote Connect Server stets die aktuelle Uhrzeit und Datum eingestellt ist. Anderenfalls werden die verwendeten Zertifikate als ungültig interpretiert und eine sichere VPN-Kommunikation ist nicht möglich.

1. Navigieren Sie in der Navigationsleiste zu „System“ > „Datum und Uhrzeit". („System“ > „System Time“).

2. Klicken Sie auf die Schaltfläche „PC-Uhrzeit verwenden“ („Use PC Time“), um die Zeiteinstellung des PCs zu übernehmen.

Ergebnis Das Datum und die Uhrzeit werden übernommen und im Feld „Systemzeit“ („System time“) angezeigt.

Hinweis Sie haben auch die Möglichkeit, die Systemzeit mit einem NTP-Zeitserver automatisch synchronisieren zu lassen, sodass die aktuelle Uhrzeit präzise bezogen werden kann.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Schnittstelle überprüfen

1. Klicken Sie im Navigationsbereich auf „Security“ > „Netzwerk“ („Security" > „Network") und im Inhaltsbereich auf das Register „Schnittstellen" („Interfaces“).

2. Wählen Sie bei „Port" „WAN". Die Konfiguration des Ports wird angezeigt. Prüfen Sie die Einstellungen des WAN-Ports. Aktivieren Sie „SINEMA RC befindet sich hinter einem NAT-Gerät" („SINEMA RC is located behind a NAT device“), um die erforderlich externe WAN-IP-Adresse für den Router einzugeben. Geben Sie bei „WAN-IP-Adresse“ die WAN-IP-Adresse des Routers ein.

3. Sichern Sie die Einstellungen mit „Sichern“ („Save“).

Hinweis Belassen Sie die Default- Einstellungen, wenn sich der SINEMA Remote Connect Server in einem lokalen Netzwerk befindet.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.2 Fernverbindung auf dem SINEMA Remote Connect Server einrichten

Damit der Servicetechniker mit seinem PC über den SINEMA Remote Connect Server auf die Automatisierungszelle zugreifen kann, müssen sich die Endgeräte (Smartphone mit „OpenVPN-Connect“-App und SCALANCE S615) am Server anmelden. Erst nach erfolgreicher Authentifizierung wird der jeweilige VPN-Tunnel zwischen dem Endgerät und dem SINEMA Remote Connect Server aufgebaut.

Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen verschaltet der SINEMA Remote Connect Server die einzelnen VPN-Tunnels und ermöglicht somit den Zugriff.

Dafür sind folgende Projektierungsschritte nötig:

Teilnehmergruppen definieren.

SCALANCE S615 als Gerät implementieren.

Servicetechniker als Benutzer anlegen.

Kommunikationsbeziehungen festlegen.

Zertifikate und Benutzerkonfiguration laden.


Schließen Sie den Konfigurations-PC am lokalen Netzwerk des SINEMA Remote Connect Servers an (z.B. über die lokalen Ports am Router) und öffnen Sie das Webbased Management über die Adresse „https://172.16.1.52“. Melden Sie sich als Benutzer „admin“ und dem entsprechendem Passwort an. Hinweis: Nur als Benutzertyp „admin" haben Sie Schreibrechte auf die Konfiguration im SINEMA Remote Connect Server.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.2.1 Teilnehmer und Kommunikationsbeziehungen definieren

Teilnehmergruppen definieren

Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Für diese Beispielkonfiguration werden folgende Gruppen angelegt.

● „Station“: Gerät SCALANCE S615.

● „Service“: Benutzerkonto für den Servicetechniker.

1. Klicken Sie im Navigationsbereich auf „Fernverbindungen" > „Teilnehmergruppen" („Remote connections“ > „Participant groups“). Klicken Sie auf „Erstellen" („Create“).

2. Die Seite „Neue Teilnehmergruppe" („New participant group“) wird geöffnet. Tragen Sie bei „Gruppenname“ (“Group name“) „Station" und (optional) eine Beschreibung ein. Klicken Sie auf „Erstellen" („Create“).



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

3. Die Teilnehmergruppe „Station“ wurde angelegt und erscheint im Inhaltsbereich. Klicken Sie auf „Erstellen" („Create“).

4. Tragen Sie bei „Gruppenname“ (“Group name“) „Service" (optional) eine Beschreibung ein. Klicken Sie auf „Erstellen" („Create“).

Ergebnis Die beiden Teilnehmergruppen sind nun angelegt und erscheinen im Inhaltsbereich.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

SCALANCE S615 als Gerät einfügen

Für die Integration des SCALANCE S615 folgen Sie diesen Schritten:

1. Klicken Sie im Navigationsbereich auf „Fernverbindungen" > „Geräte" („Remote connections“ > „Devices“). Klicken Sie auf „Erstellen" („Create“), um ein neues Gerät anzulegen.

2. Die Seite „Neues Gerät" („New device“) wird geöffnet. Geben Sie den Gerätenamen für das Gerät an, z. B. „S615". Klicken Sie auf „Weiter" („Continue“).



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

3. Aktivieren Sie die Option „Verbundene lokale Subnetze" („Connect local subnets“) und konfigurieren Sie die Parameter gemäß Tabelle 2-1. Fügen Sie das Gerät mit „Hinzufügen“ („Add“) hinzu. Klicken Sie auf „Weiter" („Continue“).

4. Das Register „Gruppenzugehörigkeit" („Group memberships“) wird angezeigt. Aktivieren Sie die Teilnehmergruppe „Station“. Klicken Sie auf „Weiter" („Continue“).



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

5. Das Register „Passwort" („Password“) wird angezeigt. Legen Sie das Passwort für den Zugriff fest. Das Passwort muss sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen. Dieses Passwort wird später bei der Projektierung des SCALANCE S615 wieder benötigt (siehe Kapitel 2.3.3). Klicken Sie auf „Weiter" („Continue“).

6. Das Register „Geräteübersicht" („Device“) wird angezeigt. Alle Informationen werden hier zusammengefasst. Klicken Sie auf „Beenden" („Finish“).



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Ergebnis Der SCALANCE S615 ist als neues Gerät im SINEMA Remote Connect Server hinterlegt.

Geräte-ID ermitteln

Die Geräte-ID und – falls kein CA-Zertifikat verwendet wird - der Fingerabdruck sind Informationen, mit welchen sich der SCALANCE S615 beim Verbindungs-aufbau am SINEMA Remote Connect Server authentifiziert.

Da in diesem Beispiel das CA-Zertifikat verwendet wird, ist lediglich die Geräte-ID interessant.

1. Klicken Sie im Navigationsbereich auf „Fernverbindungen" > „Geräte" („Remote connections“ > „Devices“). Der SCALANCE S615 wird angezeigt.

2. Klicken Sie bei „Aktionen" („Actions“) auf das Symbol, um die Geräteinformation zu öffnen.

3. Die „Geräteinformationen“ („Device information“) werden angezeigt. Notieren Sie sich den Eintrag bei Geräte-ID oder kopieren Sie den Eintrag und speichern den Wert in einer Textdatei in Ihrem lokalen Verzeichnis.

4. Schließen Sie den Dialog mit „Dialog verlassen“ („Exit dialog“).



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Benutzerkonto für Servicetechniker einfügen

Der Zugriff über die „OpenVPN-Connect“-App am Smartphone wird in diesem Beispiel von einem Servicetechniker übernommen. Dafür benötigt der Servicetechniker einen Benutzernamen und ein Passwort.

1. Klicken Sie im Navigationsbereich auf „Benutzerkonten" > „Benutzer und Rollen" („User accounts“ > „Users and roles“). Klicken Sie auf „Erstellen" („Create“). Die Seite „Neuer Benutzer" („New User“) wird geöffnet.

2. Geben Sie den Benutzernamen ein, z. B. MobileService, und klicken Sie auf „Weiter" („Continue“).



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

3. Das Register „Rechte" („Rights“) wird angezeigt. Sie haben folgende Möglichkeit, dem Benutzer Rechte zu geben

– Rechtezuordnung über Rollenzuweisung: Wählen Sie eine bereits angelegte Rolle aus. Die zugehörigen Rechte werden dem Benutzer automatisch zugewiesen; für zusätzliche Rechte klicken Sie auf das Kontrollkästchen.

– Rechtezuordnung ohne Rollenzuweisung: Wenn Sie keine Rolle gewählt haben, aktivieren Sie die entsprechenden Rechte durch Klicken der Kontrollkästchen.

Aktivieren Sie an dieser Stelle die von Ihnen gewünschten Rechte. Klicken Sie auf „Weiter" („Continue“).

4. Das Register „Gruppenzugehörigkeit" („Group memberships“) wird angezeigt. Ordnen Sie den neuen Benutzer der Teilnehmergruppe „Service“ zu. Klicken Sie auf „Weiter" („Continue“).



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

5. Im nächsten Schritt definieren Sie das Passwort für den neuen Benutzer. Das Passwort muss mind. 8 Zeichen lang sein und mindestens ein Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten. Dieses Passwort wird später bei der Projektierung der „OpenVPN-Connect“-App am Smartphone wieder benötigt (siehe Kapitel 2.4). Schließen Sie die Benutzererstellung mit „Beenden“ („Finish“) ab.

Hinweis: Das vergebene Passwort kann zu einem späteren Zeitpunkt vom neuen Benutzer selbst angepasst werden.

Ergebnis Der Benutzer „MobileService“ ist angelegt und erscheint jetzt als neuer Benutzer.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Kommunikationsbeziehungen festlegen

Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen notwendig. Dabei kann für jede Richtung eine Kommunikationsbeziehung erstellt werden.

In diesem Konfigurationsbeispiel geht die Kommunikation nur von der Gruppe „Service" zur Gruppe „Station". In die Gegenrichtung ist keine Kommunikation möglich.

Um das zu ermöglichen, führen Sie folgende Schritte aus:

1. Klicken Sie im Navigationsbereich auf „Fernverbindungen" > „Teilnehmergruppen" („Remote connections“ > „Participant groups“). Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet. Klicken Sie bei "Service" in der Spalte „Aktionen" („Actions“) auf das Pfeil-Symbol.

2. Die Seite „Zielgruppe" („Destination groups“) wird geöffnet. Aktivieren Sie „Station" und klicken Sie auf „Speichern" („Save“).

3. Klicken Sie auf „Dialog verlassen" („Exit dialog“).

Ergebnis

Die Teilnehmer der Gruppe „Service“ können nun mit den Teilnehmern der Gruppe „Station“ kommunizieren – nicht umgekehrt.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.2.2 Zertifikate und Benutzerkonfiguration exportieren

Zertifikat für SCALANCE S615

Die gesicherte OpenVPN-Verbindung dieses Beispiels verwendet zur Authentifizierung das CA- Zertifikat. Dieses muss aus dem SINEMA Remote Connect Server exportiert werden, da es für die Projektierung des SCALANCE S615 benötigt wird.

1. Klicken Sie im Navigationsbereich auf „Sicherheit" > „Zertifikate" („Security“ > „Certificates“). Klicken Sie bei „Aktionen" („Actions“) auf das entsprechende Symbol, um das Zertifikat zu exportieren.

2. Speichern Sie das Zertifikat in ein lokales Verzeichnis auf dem PC.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Benutzerkonfiguration für Servicetechniker (Smartphone)

Beim Anlegen eines Benutzers wird automatisch eine Konfigurationsdatei mit der Endung *.ovpn generiert. Die Datei enthält verschiedene Parameter, die für eine Verbindung mit dem Server notwendig sind. Die Datei muss in den Teilnehmer im entfernten Netzwerk geladen werden, das zu dem SINEMA Remote Connect Server eine VPN-Verbindung aufbaut.

1. Melden Sie sich als Administrator am Webbased Management ab und loggen Sie sich mit den eben erstellten, neuen Benutzerdaten erneut an.

2. Klicken Sie im Navigationsbereich auf „Mein Konto" > „Benutzerzertifikat“ („My account“ > „User certificate“). Wechseln Sie in das Register „Exporte“ („Exports“).

3. Laden Sie durch einen Klick auf das entsprechende Format alle angezeigten Zertifikate in ein lokales Verzeichnis auf Ihrem PC. Dazu gehören:

a. PKCS#12: Container im Personal Information Exchange Format (PFX).

b. OVPN: OpenVPN-Konfiguration für Benutzer.

Ergebnis Es wurden alle benötigten Zertifikate im lokalen Verzeichnis gespeichert.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.3 Fernverbindung auf dem S615 einrichten

Für einen erfolgreichen Aufbau des VPN-Tunnels zwischen SCALANCE S615 und dem SINEMA Remote Connect Server sind folgende Projektierungsschritte nötig:

Verbindung zwischen den VLANs freigeben.

Zertifikat in das Gerät laden.

VPN-Verbindung projektieren.


Verbinden Sie den Konfigurations-PC mit einem LAN-Port des SCALANCE S615 (z.B. Port 2) und öffnen Sie das Webbased Management über die Adresse „https://192.168.100.1“. Melden Sie sich als Benutzer „admin“ und dem entsprechendem Passwort an.

2.3.1 Zugriff auf den SINEMA Remote Connect Server freigeben

Da zwischen Station und Zentrale ein öffentliches Netz liegt und die IP-Subnetze sich unterscheiden, müssen Sie eine entsprechende Route anlegen.

Klicken Sie im Navigationsbereich auf „Layer 3" > „Routes" und konfigurieren Sie die Route zum Router mit folgenden Einstellungen: Destination Network: 0.0.0.0 (alle IP-Adressen) Subnetmask: 0.0.0.0 Gateway: LAN-IP-Adresse des Routers, der mit dem WAN-Port 5 verbunden ist.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.3.2 Zertifikat laden

Die gesicherte OpenVPN-Verbindung dieses Beispiels verwendet zur Authentifizierung das CA- Zertifikat. Dieses wurde aus SINEMA Remote Connect Server exportiert und muss nun in den SCALANCE S615 geladen werden.

Mit diesem Server-Zertifikat verifiziert der SCALANCE den SINEMA Remote Connect Server bei der Initialisierung des VPN-Tunnels.

1. Klicken Sie im Navigationsbereich auf „System" > „Load & Save" und im Inhaltsbereich auf das Register „HTTP". Klicken Sie bei „X509Cert" auf die Schaltfläche „Load".

2. Das Dialogfenster zum Hochladen einer Datei wird geöffnet. Navigieren Sie zum exportierten Serverzertifikat. Klicken Sie im Dialogfenster auf die Schaltfläche „Öffnen". Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit „OK".

Ergebnis Die Zertifikate sind geladen. Unter „Security" > „Certificates" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status „valid" besitzen.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.3.3 VPN-Verbindung projektieren

Durch den Einsatz eines gültigen KEY-PLUGs wird die Auto-Konfigurations-Schnittstelle freigeschaltet und eine einfache Verbindungsprojektierung zu SINEMA Remote Connect wird ermöglicht.

1. Klicken Sie im Navigationsbereich auf „System" > „SINEMA RC".

– Geben Sie bei „SINEMA RC Address" die IP-Adresse des SINEMA Remote Connect Servers ein. Hinweis: Ist der SINEMA Remote Connect Server nur über ein öffentliches Netz erreichbar, tragen Sie hier die statische WAN-IP-Adresse des Routers ein.

– Unter „Device-ID“ tragen Sie den Wert der „Geräte-ID“ ein, die der SCALANCE S615 im SINEMA Remote Connect Server erhalten hat (siehe Kapitel 2.2.1).

– Geben Sie bei „Device Password" das Passwort an, das Sie für den Zugriff projektiert haben (siehe Kapitel 2.2.1).

– Aktivieren Sie „Auto Firewall / NAT Rules" um automatisch die entsprechenden NAT und Firewallregeln anzulegen.

– Wählen Sie bei „Verification Type“ „CA Certificate" aus.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

– Wählen Sie bei „CA Certificate" das geladene Serverzertifikat aus.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2. Aktivieren Sie „Enable SINEMA RC" und klicken Sie auf „Set Values".



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA Remote Connect Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM unter „Information" > „SINEMA RC" prüfen.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

2.4 Fernverbindung auf dem Smartphone einrichten

Der Fernzugriff zwischen Smartphone und SINEMA Remote Connect Server wird über eine OpenVPN-Verbindung abgesichert.

Initiator der Verbindung ist die „OpenVPN-Connect“-App, die auf dem Smartphone installiert ist.

Öffnen Sie diese App auf Ihrem Smartphone.

Übertragung der Konfigurationsdaten

Das .p12-Zertifikat und die Konfigurationsdatei müssen auf das Smartphone übertragen werden.

Die „OpenVPN-Connect“-App bietet folgende Möglichkeiten an:

Import über einen OpenVPN Access Server.

Import über die interne SD-Karte.

Übertragung über Email; achten Sie in diesem Fall für eine sichere Übertragung z.B. über eine geeignete Verschlüsselung.

In diesem Beispiel werden die Dateien mittels SD-Karte auf das Smartphone geladen. Gehen Sie wie folgt vor:

1. Verbinden Sie das Smartphone mit dem PC z.B. über USB. Das Smartphone wird als Laufwerk erkannt und die Ordnerstruktur angezeigt. Legen Sie einen neuen Ordner für die OpenVPN-Dateien an.

2. Kopieren Sie die benötigten Dateien vom lokalen Verzeichnis Ihres PCs in diesen neu erstellten Ordner.

– [email protected]

– MobileService.ovpn



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Importieren der Konfigurationsdatei

1. Öffnen Sie die „OpenVPN-Connect“-App und tippen Sie im Menü auf „Import“.

2. Wählen Sie als Import-Variante „Import Profile from SD card“.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

3. Es wird die Orderstruktur Ihres Smartphone gezeigt. Tippen Sie auf den neu erstellten Ordner.

4. Wählen Sie die OpenVPN-Konfigurationsdatei „MobileService.ovpn“ und tippen Sie anschließend auf „Select“.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

5. Das Profil wurde erfolgreich importiert und wird angezeigt. Klicken Sie auf „Connect“.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

Zertifikat installieren

Die Authentifizierung der Teilnehmer erfolgt über das P12-Zertifikat. Dieses muss auf dem Smartphone installiert werden.

1. Da beim ersten Mal noch kein Zertifikat hinterlegt ist, wählen Sie „Select Certificate“.

2. Der Dialog zum Installieren öffnet sich. Tippen Sie auf „Install“.

3. Wählen Sie den internen Speicher als Quelle aus.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

4. Navigieren Sie zu dem erstellten Ordner und öffnen Sie diesen.

5. Tippen Sie auf das PKCS#12-Zertifikat.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

6. Das Passwort für das Zertifikat wird benötigt. Tragen Sie in das entsprechende Feld das Passwort ein, welches Sie für den neuen Benutzer in SINEMA Remote Connect Server definiert haben (siehe Kapitel 0, Abschnitt „Benutzerkonto für Servicetechniker einfügen“ (Schritt 5)). Bestätigen Sie die Eingabe mit „OK“.

7. Das Zertifikat wird angezeigt. Bestätigen Sie dies mit „OK“.



S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

8. Wählen Sie das eben installierte Zertifikat für die „OpenVPN-Connect“-App mit „Allow“ aus.

9. Der Tunnel wird aufgebaut. Den Status können Sie über „Connection stats“ einsehen.

3 Tunnelfunktion testen


S

iem

en

s A

G 2

01

5 A

ll ri

gh

ts r

ese

rve

d

3 Tunnelfunktion testen Nach Kapitel 2 ist die Inbetriebsetzung der Konfiguration abgeschlossen und der SCALANCE S615 und das Smartphone haben je einen VPN-Tunnel zum SINEMA Remote Connect Server zur sicheren Kommunikation aufgebaut.

Der SINEMA Remote Connect Server verschaltet diese entsprechend der Projektierung.

Durch die Festlegung der Kommunikationsbeziehungen und Rechte hat der Servicetechniker nun die Möglichkeit, auf die Geräte hinter dem SCALANCE S615 zuzugreifen (nicht umgekehrt).

Die aufgebaute Tunnelverbindung können Sie z.B. durch Öffnen der internen Webseite einer PROFINET CPU testen, welche sich im LAN-Netzwerk des SCALANCE S615 befindet.

4 Historie

Tabelle 4-1

Version Datum Änderung

V1.0 09/2015 Erste Ausgabe

Projektierungsbeispiel 09/2015 Einrichtung einer ... · der Verpflichtung zu sicherem Umgang bei...

Documents

Transcript of Projektierungsbeispiel 09/2015 Einrichtung einer ... · der Verpflichtung zu sicherem Umgang bei...