Herunterladen Diese Seite drucken
Siemens SCALANCE S615 Erste Schritte
Vorschau ausblenden Andere Handbücher für SCALANCE S615:

Werbung

SCALANCE S615 Getting Started
SIMATIC NET
Industrial Ethernet Security
SCALANCE S615 Getting Started
Getting Started
03/2015
C79000-G8900-C390-01
___________________
Vorwort
SCALANCE S615 mit dem
___________________
WAN verbinden
OpenVPN-Tunnel zwischen
___________
SCALANCE S615 und
SINEMA RC-Server
1
2

Werbung

loading

Inhaltszusammenfassung für Siemens SCALANCE S615

  • Seite 1 ___________________ SCALANCE S615 Getting Started Vorwort SCALANCE S615 mit dem ___________________ WAN verbinden OpenVPN-Tunnel zwischen ___________ SCALANCE S615 und SIMATIC NET SINEMA RC-Server Industrial Ethernet Security SCALANCE S615 Getting Started Getting Started 03/2015 C79000-G8900-C390-01...
  • Seite 2 Hinweise in den zugehörigen Dokumentationen müssen beachtet werden. Marken Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann. Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft.
  • Seite 3 Zum Thema Remote Network gibt es außer dem Projektierungshandbuch, das Sie gerade lesen, noch folgende Dokumentationen: ● Projektierungshandbuch "Industrial Ethernet Security - SCALANCE S615 Web Based Management" Dieses Dokument soll Sie in die Lage versetzen das Gerät in Betrieb zu nehmen und zu bedienen.
  • Seite 4 Leistungsdaten der Kommunikationspartner, die Sie für den Aufbau benötigen. Sie finden dieses Dokument im Internet unter folgender Beitrags-ID: 27069465 (http://support.automation.siemens.com/WW/view/de/27069465) SIMATIC NET-Handbücher Die SIMATIC NET-Handbücher finden Sie auf den Internetseiten des Siemens Industry Online Support: ● über die Suchfunktion: Link zum Siemens Industry Online Support (http://support.automation.siemens.com/) Geben Sie die Beitrags-ID des jeweiligen Handbuchs als Suchbegriff ein.
  • Seite 5 Siemens empfiehlt, sich unbedingt regelmäßig über Produkt- Updates zu informieren. Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht.
  • Seite 6 Vorwort SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 7 IP-Einstellungen des S615 ändern ..................17 Geräteinformationen festlegen ....................19 Uhrzeit einstellen ........................20 IP-Subnetz anlegen ........................ 22 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server ..........25 Prinzipielles Vorgehen ......................25 Zugriff auf den SINEM RC-Servers konfigurieren ..............29 2.2.1 Route konfigurieren .........................
  • Seite 8 Inhaltsverzeichnis SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 9 SCALANCE S615 mit dem WAN verbinden Prinzipielles Vorgehen In diesem Beispiel wird dem SCALANCE S615, das sich im Zustand der Werkseinstellungen befindet, eine IP-Adresse zugewiesen. Im Anschluss wird das Gerät über das Web Based Management (WBM) konfiguriert. Der Zugriff auf das WAN über die Ethernet-Schnittstelle P5 des S615 angeschlossen wird.
  • Seite 10 Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden. Projektierungsschritte 1. SCALANCE S615 und Netzwerk einrichten (Seite 11) 2. Das Web Based Management starten (Seite 12) 3. Am Web Based Management anmelden (Seite 15) 4.
  • Seite 11 Entsprechend dürfen an die Versorgungsanschlüsse nur Sicherheitskleinspannungen (SELV) nach IEC950/EN60950/ VDE0805 angeschlossen werden. Das Netzteil für die Versorgung des SCALANCE S615 muss NEC Class 2 gemäß National Electrical Code (r) (ANSI / NFPA 70) entsprechen. 3. Verdrahten Sie die S615, siehe Aufbau (Seite 9).
  • Seite 12 SCALANCE S615 mit dem WAN verbinden 1.3 Das Web Based Management starten Das Web Based Management starten Werkseitig ist das SCALANCE S615 unter der folgenden IP-Adresse erreichbar: ● IP-Adresse: 192.168.1.1 ● Subnetzmaske: 255.255.255.0 Der Admin-PC erhält in dieser Beispielkonfiguration folgende IP-Adresseinstellung, um auf das Web Based Management des S615 zu zugreifen.
  • Seite 13 SCALANCE S615 mit dem WAN verbinden 1.3 Das Web Based Management starten 5. Geben Sie die Werte nach der obigen Tabelle ein. SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 14 SCALANCE S615 mit dem WAN verbinden 1.3 Das Web Based Management starten 6. Bestätigen Sie die Dialoge mit "OK" und schließen Sie die Systemsteuerung. 7. Geben Sie im Adressfeld des Webbrowsers die IP-Adresse "192.168.1.1" ein. Wenn eine einwandfreie Verbindung zum Gerät besteht, erscheint die Anmeldeseite des Web Based Managements (WBM).
  • Seite 15 SCALANCE S615 mit dem WAN verbinden 1.4 Am Web Based Management anmelden Am Web Based Management anmelden Vorgehensweise 1. Melden Sie sich mit dem Benutzernamen "admin" und dem Passwort "admin" an. Sie werden aufgefordert, das Passwort zu ändern. 2. Bestätigen Sie den Dialog. Automatisch wird die WBM-Seite "Password" geöffnet.
  • Seite 16 SCALANCE S615 mit dem WAN verbinden 1.4 Am Web Based Management anmelden 6. Wiederholen Sie bei "Password Confirmation" das Passwort, um es zu bestätigen. Beide Einträge müssen übereinstimmen. 7. Klicken Sie auf die Schaltfläche "Set Values". Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Die Änderungen sind sofort wirksam.
  • Seite 17 SCALANCE S615 mit dem WAN verbinden 1.5 IP-Einstellungen des S615 ändern IP-Einstellungen des S615 ändern Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "Subnet" und im Inhaltsbereich auf das Register "Configuration". 2. Geben Sie die IP-Adresse für vlan1 nach der Tabelle "Verwendete Einstellungen (Seite 9)"...
  • Seite 18 SCALANCE S615 mit dem WAN verbinden 1.5 IP-Einstellungen des S615 ändern 7. Geben Sie die Werte für den PC nach der Tabelle "Verwendete Einstellungen (Seite 9)" ein. 8. Bestätigen Sie die Dialoge mit "OK" und schließen Sie die Systemsteuerung. 9. Geben Sie im Adressfeld des Webbrowsers die IP-Adresse für vlan 1 ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)".
  • Seite 19 SCALANCE S615 mit dem WAN verbinden 1.6 Geräteinformationen festlegen Geräteinformationen festlegen Zur besseren Identifikation der SCALANCE S615 legen Sie allgemeine Geräteinformationen fest. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "General" und im Inhaltsbereich auf das Register "Device". 2. Tragen Sie bei "System Name" einen Systemnamen für das Gerät ein, z. B. "S615-1".
  • Seite 20 Uhrzeit einstellen Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten und für die Zeitstempel von Logbuch-Einträgen werden auf dem SCALANCE S615 Datum und Uhrzeit geführt. Sie können die Systemzeit selbst manuell einstellen, oder Sie lassen sie mit einem Zeitserver automatisch synchronisieren. Für dieses Beispiel wird der Zeitserver über NTP konfiguriert.
  • Seite 21 SCALANCE S615 mit dem WAN verbinden 1.7 Uhrzeit einstellen 3. Tragen Sie bei "NTP Server IP Address" die IP-Adresse 192.168.100.87 ein. Die Eingabe der NTP-Adresse als Hostname ist nicht möglich. 4. Ändern Sie bei Bedarf den Port bei "NTP Server Port". Standardmäßig ist 123 eingestellt.
  • Seite 22 SCALANCE S615 mit dem WAN verbinden 1.8 IP-Subnetz anlegen IP-Subnetz anlegen Die Schnittstellen werden unterschiedlich behandelt. ● Ethernet-Schnittstelle P1 (vlan1): Anbindung an LAN ● Ethernet-Schnittstelle P5 (vlan 2): Anbindung an WAN Für dieses Konfigurationsbeispiel ist nur das IP-Subnetz für die Ethernet-Schnittstelle P5 zu konfigurieren.
  • Seite 23 SCALANCE S615 mit dem WAN verbinden 1.8 IP-Subnetz anlegen Ergebnis Die IP-Subnetze sind angelegt. Die IP-Subnetze werden im Register "Overview" angezeigt. SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 24 SCALANCE S615 mit dem WAN verbinden 1.8 IP-Subnetz anlegen SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 25 Die Geräte kommunizieren über den SINEMA RC-Server, der in der Zentrale steht. Für die SCALANCE S615-Geräten wird je ein KEY-PLUG SINEMA Remote Connect benötigt. Mit dem KEY-PLUG wird die Anbindung von SCALANCE S615 an SINEMA RC freigeschaltet. Dazu müssen sich die Geräte am SINEMA RC-Server anmelden. Erst nach erfolgreicher Authentifizierung wird der VPN-Tunnel zwischen dem Gerät und dem SINEMA RC-Server...
  • Seite 26 ● 2 x KEY-PLUG SINEMA RC ● 2 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker ● 2 x PC die mit je einem SCALANCE S615 verbunden sind. ● 1 x PC, auf dem der SINEMA RC Server installiert ist. ● 1 x PC, der mit dem SINEMA RC Server verbunden ist.
  • Seite 27 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.1 Prinzipielles Vorgehen Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Name Interface IP-Adresse Station-1 S615-1 LAN-Port P1 192.168.100.1 LAN1 (vlan1) 255.255.255.0 WAN-Port P5 192.168.50.1 (vlan2) 255.255.255.0 Default-Gateway ist die LAN-IP-Adresse des Rou- ters 192.168.50.2...
  • Seite 28 ● Der SINEMA RC Server ist mit dem WAN verbunden. Die Projektierungsschritte finden Sie im Getting Started "SINEMA Remote Connect". SCALANCE S615 ● Das S615 ist mit dem WAN verbunden, siehe "SCALANCE S615 mit dem WAN verbinden (Seite 9)". Die Projektierungsschritte gelten für alle Geräte und unterscheiden sich nur in den Einstellungen, siehe Tabelle "Verwendete Einstellungen (Seite 25)"...
  • Seite 29 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.2 Zugriff auf den SINEM RC-Servers konfigurieren Zugriff auf den SINEM RC-Servers konfigurieren 2.2.1 Route konfigurieren Die Stationen und die Zentrale sind in verschiedenen IP-Subnetzen. Damit die Stationen mit der Zentrale kommunizieren können, wird im S615 die entsprechende Default-Route angelegt.
  • Seite 30 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.2 Zugriff auf den SINEM RC-Servers konfigurieren 2.2.2 IP-Masquerading aktivieren IP-Masquerading wird verwendet, damit die internen IP-Adressen extern nicht weitergeleitet werden. Zudem werden keine weiteren Routingeinstellungen im Router benötigt. Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das Register "Masquerading".
  • Seite 31 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.2 Zugriff auf den SINEM RC-Servers konfigurieren Ergebnis Durch diese Firewall-Regel sind alle Dienste zwischen vlan1 und vlan2 uneingeschränkt möglich, z. B. HTTPS SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 32 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Fernverbindung auf dem SINEMA RC-Server konfigurieren 2.3.1 Teilnehmergruppen anlegen Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Außerdem können Sie festlegen, ob die Kommunikation zwischen den Teilnehmern einer einzelnen Gruppe erlaubt oder verboten ist.
  • Seite 33 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Ergebnis Die Teilnehmergruppen sind angelegt. SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 34 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren 2.3.2 Geräte anlegen Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Im Inhaltsbereich werden die bereits angelegten Geräte aufgelistet. 2. Klicken Sie auf "Erstellen", um ein neues Gerät anzulegen.
  • Seite 35 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Die Geräte-ID und den Fingerabdruck finden Sie bei den Geräteinformationen. Klicken Sie auf das Symbol , um die Geräteinformation zu öffnen. SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 36 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren 2.3.3 Kommunikationsbeziehungen konfigurieren Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen notwendig. Dabei kann für jede Richtung eine Kommunikationsbeziehung erstellt werden. Für diese Beispielkonfiguration werden folgende Kommunikationsbeziehungen angelegt:...
  • Seite 37 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.3 Fernverbindung auf dem SINEMA RC-Server konfigurieren Ergebnis Die Kommunikationsbeziehungen sind angelegt. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Kommunikationsbeziehungen". Im Inhaltsbereich werden die angelegten Beziehungen aufgelistet. SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 38 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Fernverbindung auf dem S615 konfigurieren 2.4.1 Gesicherte OpenVPN-Verbindung mit Fingerabdruck Voraussetzung ● Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet. ● Webbrowser 1: Sie sind als Benutzer "admin" am WBM des S615 angemeldet.
  • Seite 39 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren 3. Wechseln Sie in den Webbrowser 1. – Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Device-ID". – Wählen Sie im Kontextmenü den Befehl zum Einfügen.
  • Seite 40 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf. Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen. Webbrowser 1: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC".
  • Seite 41 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren 2.4.2 Gesicherte OpenVPN-Verbindung mit CA-Zertifikat 2.4.2.1 Zertifikat laden Voraussetzung ● Auf dem S615 und auf dem SINEMA RC Server ist die richtige Uhrzeit eingestellt. ● Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet.
  • Seite 42 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Ergebnis Die Zertifikate sind geladen. Unter "Security" > "Certificates" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status "valid" besitzen. SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 43 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren 2.4.2.2 OpenVPN-Verbindung zum SINEMA RC-Server projektieren Voraussetzung ● Im S615 ist ein gültiger KEY-PLUG gesteckt. Vorgehensweise 1. Wechseln Sie in den Webbrowser 1. – Klicken Sie im Navigationsbereich auf "System" > "SINEMA RC".
  • Seite 44 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren – Aktivieren Sie "Auto Firewall / NAT Rules". Wenn aktiviert wird, werden automatisch die entsprechenden NAT und Firewallregeln angelegt. Wählen Sie bei "Verification Type "CA Certificate" aus.
  • Seite 45 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren Webbrowser 2: Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...
  • Seite 46 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 2.4 Fernverbindung auf dem S615 konfigurieren SCALANCE S615 Getting Started Getting Started, 03/2015, C79000-G8900-C390-01...