SINEMA Remote Connect - cache.industry.siemens.com · Dieses Dokument soll Sie in die Lage...

SINEMA Remote Connect

___________________

___________________

___________

___________

SIMATIC NET

Industrial Remote Communication SINEMA Remote Connect

Getting Started

07/2015 C79000-G8900-C394-02

Vorwort

SINEMA RC-Server mit dem WAN verbinden

1

Geräte über eine csv-Datei anlegen

2

OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server

3

OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server

4

Siemens AG Division Process Industries and Drives Postfach 48 48 90026 NÜRNBERG DEUTSCHLAND

C79000-G8900-C394-02 Ⓟ 08/2015 Änderungen vorbehalten

Copyright © Siemens AG 2015. Alle Rechte vorbehalten

Rechtliche Hinweise Warnhinweiskonzept

Dieses Handbuch enthält Hinweise, die Sie zu Ihrer persönlichen Sicherheit sowie zur Vermeidung von Sachschäden beachten müssen. Die Hinweise zu Ihrer persönlichen Sicherheit sind durch ein Warndreieck hervorgehoben, Hinweise zu alleinigen Sachschäden stehen ohne Warndreieck. Je nach Gefährdungsstufe werden die Warnhinweise in abnehmender Reihenfolge wie folgt dargestellt.

GEFAHR bedeutet, dass Tod oder schwere Körperverletzung eintreten wird, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

WARNUNG bedeutet, dass Tod oder schwere Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

VORSICHT bedeutet, dass eine leichte Körperverletzung eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

ACHTUNG bedeutet, dass Sachschaden eintreten kann, wenn die entsprechenden Vorsichtsmaßnahmen nicht getroffen werden.

Beim Auftreten mehrerer Gefährdungsstufen wird immer der Warnhinweis zur jeweils höchsten Stufe verwendet. Wenn in einem Warnhinweis mit dem Warndreieck vor Personenschäden gewarnt wird, dann kann im selben Warnhinweis zusätzlich eine Warnung vor Sachschäden angefügt sein.

Qualifiziertes Personal Das zu dieser Dokumentation zugehörige Produkt/System darf nur von für die jeweilige Aufgabenstellung qualifiziertem Personal gehandhabt werden unter Beachtung der für die jeweilige Aufgabenstellung zugehörigen Dokumentation, insbesondere der darin enthaltenen Sicherheits- und Warnhinweise. Qualifiziertes Personal ist auf Grund seiner Ausbildung und Erfahrung befähigt, im Umgang mit diesen Produkten/Systemen Risiken zu erkennen und mögliche Gefährdungen zu vermeiden.

Bestimmungsgemäßer Gebrauch von Siemens-Produkten Beachten Sie Folgendes:

WARNUNG Siemens-Produkte dürfen nur für die im Katalog und in der zugehörigen technischen Dokumentation vorgesehenen Einsatzfälle verwendet werden. Falls Fremdprodukte und -komponenten zum Einsatz kommen, müssen diese von Siemens empfohlen bzw. zugelassen sein. Der einwandfreie und sichere Betrieb der Produkte setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung, Montage, Installation, Inbetriebnahme, Bedienung und Instandhaltung voraus. Die zulässigen Umgebungsbedingungen müssen eingehalten werden. Hinweise in den zugehörigen Dokumentationen müssen beachtet werden.

Marken Alle mit dem Schutzrechtsvermerk ® gekennzeichneten Bezeichnungen sind eingetragene Marken der Siemens AG. Die übrigen Bezeichnungen in dieser Schrift können Marken sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann.

Haftungsausschluss Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Abweichungen nicht ausgeschlossen werden, so dass wir für die vollständige Übereinstimmung keine Gewähr übernehmen. Die Angaben in dieser Druckschrift werden regelmäßig überprüft, notwendige Korrekturen sind in den nachfolgenden Auflagen enthalten.

SINEMA Remote Connect Getting Started, 07/2015, C79000-G8900-C394-02 3

Vorwort

Zweck Anhand von Beispielen wird die Projektierung von SINEMA Remote Connect gezeigt.

IP-Einstellungen der Beispiele

Hinweis

Die in den Beispielen verwendeten IP-Einstellungen sind frei gewählt.

Im realen Netzverbund müssen Sie diese IP-Einstellungen der Netzwerkumgebung anpassen, um eventuelle Adresskonflikte zu vermeiden.

Allgemeine Benennung Die Bezeichnung . . . steht für . . . SINEMA RC SINEMA Remote Connect SINEMA RC-Server SINEMA Remote Connect-Server S615 SCALANCE S615

Weiterführende Dokumentation ● Betriebsanleitung "SINEMA Remote Connect Client"

Dieses Handbuch unterstützt Sie bei der Installation, Konfiguration und Bedienung der Anwendung SINEMA RC Client.

● Betriebsanleitung "SINEMA Remote Connect Server"

Dieses Handbuch unterstützt Sie bei der Installation, Konfiguration und Bedienung der Anwendung SINEMA RC-Server.

● Projektierungshandbuch "Industrial Remote Communication Remote Networks - SCALANCE S615 Web Based Management"

Dieses Dokument soll Sie in die Lage versetzen das Gerät in Betrieb zu nehmen und zu bedienen. Es vermittelt die notwendigen Kenntnisse über die Konfiguration der Geräte.

Vorwort

SINEMA Remote Connect 4 Getting Started, 07/2015, C79000-G8900-C394-02

● Getting Started "Industrial Remote Communication Remote Networks - SCALANCE S615"

Dieses Dokument zeigt anhand von Beispielen die Projektierung des SCALANCE S615.

● Im Handbuch "SIMATIC NET Industrial Ethernet Netzhandbuch" erhalten Sie Hinweise zu weiteren SIMATIC NET-Produkten, die Sie gemeinsam mit den Geräten dieser Produktlinie in einem Industrial Ethernet Netzwerk betreiben können. Dort finden Sie u. a. optische Leistungsdaten der Kommunikationspartner, die Sie für den Aufbau benötigen.

Sie finden dieses Dokument im Internet unter folgender Beitrags-ID: 27069465 (http://support.automation.siemens.com/WW/view/de/27069465)

Aktuelle Handbücher und weitere Informationen Die aktuellen Handbücher und weitere Informationen zu Telecontrol-Produkten finden Sie auf den Internetseiten des Siemens Industry Online Support:

● über die Suchfunktion:

Link zum Siemens Industry Online Support (http://support.automation.siemens.com/)

Geben Sie die Beitrags-ID des jeweiligen Handbuchs als Suchbegriff ein.

● über die Navigation im Bereich "Telecontrol":

Link zum Bereich "Telecontrol" (https://support.industry.siemens.com/cs/ww/de/ps/15915)

Navigieren Sie zu der gewünschten Produktgruppe und nehmen Sie folgende Einstellungen vor: Register "Beitragsliste", Beitragstyp "Handbücher"

Die Dokumente der hier relevanten Produkte finden Sie auch auf dem Datenträger, der manchen Produkten beiliegt:

● Produkt-CD / Produkt-DVD

● SIMATIC NET Manual Collection

Security-Hinweise Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren.

Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity.

Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter http://support.automation.siemens.com.

http://support.automation.siemens.com/WW/view/de/27069465

http://support.automation.siemens.com/

https://support.industry.siemens.com/cs/ww/de/ps/15915

Vorwort


Training, Service & Support Informationen zu Training, Service & Support finden Sie in dem mehrsprachigen Dokument "DC_support_99.pdf", welches sich auf dem mitgelieferten Datenträger mit Dokumentation befindet.

SIMATIC NET-Glossar Erklärungen zu vielen Fachbegriffen, die in dieser Dokumentation vorkommen, sind im SIMATIC NET-Glossar enthalten.

Sie finden das SIMATIC NET-Glossar hier:

● SIMATIC NET Manual Collection oder Produkt-DVD

Die DVD liegt einigen SIMATIC NET-Produkten bei.

● Im Internet unter folgender Beitrags-ID:

50305045 (http://support.automation.siemens.com/WW/view/de/50305045)

Marken Folgende und eventuell weitere nicht mit dem Schutzrechtsvermerk ® gekennzeichnete Bezeichnungen sind eingetragene Marken der Siemens AG:

SINEMA, SCALANCE, KEY-PLUG

http://support.automation.siemens.com/WW/view/de/50305045

Vorwort



Inhaltsverzeichnis

Vorwort ................................................................................................................................................... 3

1 SINEMA RC-Server mit dem WAN verbinden .......................................................................................... 9

1.1 Prinzipielles Vorgehen .............................................................................................................. 9

1.2 SINEMA RC Server installieren .............................................................................................. 11

1.3 Das Web Based Management starten .................................................................................... 12

1.4 Am Web Based Management anmelden ................................................................................ 15

1.5 Schnittstelle überprüfen .......................................................................................................... 16

1.6 Uhrzeit einstellen .................................................................................................................... 17

2 Geräte über eine csv-Datei anlegen ...................................................................................................... 19

2.1 Einleitung ................................................................................................................................ 19

2.2 Aufbau der csv-Datei .............................................................................................................. 20

2.3 csv-Datei anlegen ................................................................................................................... 22

2.4 csv-Datei importieren .............................................................................................................. 24

3 OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server ............................................... 25

3.1 Prinzipielles Vorgehen ............................................................................................................ 25

3.2 Auf dem S615 den Zugriff zum SINEMA RC-Server konfigurieren ........................................ 30 3.2.1 Route konfigurieren ................................................................................................................. 30 3.2.2 IP-Masquerading aktivieren .................................................................................................... 31 3.2.3 Zugriff erlauben ....................................................................................................................... 32

3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren ............................................ 33 3.3.1 Teilnehmergruppen anlegen ................................................................................................... 33 3.3.2 Geräte anlegen ....................................................................................................................... 35 3.3.3 Kommunikationsbeziehungen konfigurieren ........................................................................... 36

3.4 Auf dem S615 die Fernverbindung konfigurieren ................................................................... 39 3.4.1 Gesicherte OpenVPN-Verbindung mit Fingerabdruck ............................................................ 39 3.4.2 Gesicherte OpenVPN-Verbindung mit CA-Zertifikat ............................................................... 42 3.4.2.1 Zertifikat laden ........................................................................................................................ 42 3.4.2.2 OpenVPN-Verbindung zum SINEMA RC-Server projektieren ............................................... 43

4 OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server .............................................. 47

4.1 Prinzipielles Vorgehen ............................................................................................................ 47

4.2 Auf dem SINEMA RC Server einen Benutzer anlegen ........................................................... 51

4.3 Auf dem Laptop des Servicetechnikers .................................................................................. 53 4.3.1 SINEMA RC Client installieren ............................................................................................... 53 4.3.2 Mit SINEMA RC Client am SINEMA RC Server anmelden .................................................... 55

Index..................................................................................................................................................... 57

Inhaltsverzeichnis



SINEMA RC-Server mit dem WAN verbinden 1 1.1 Prinzipielles Vorgehen

In diesem Beispiel wird der SINEMA RC-Server über das Web Based Management (WBM) konfiguriert. Auf das WAN/LAN wird über einen Router zugegriffen, der an dem WAN-Port des Servers angeschlossen wird.

Aufbau

Erforderliche Geräte/Komponenten ● 1 x PC ohne Betriebssystem

● 1x Router

Im Router muss das PORT-Forwarding für das Web Based Management und OpenVPN mit TCP und UDP (TCP/443,UDP/1194,TCP/5443) freigeschaltet sein.

● 1x PC zum Konfigurieren des SINEMA RC-Servers

● die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet

SINEMA RC-Server mit dem WAN verbinden 1.1 Prinzipielles Vorgehen


Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Name Interface IP-Adresse LAN1 SINEMA RC-Server WAN-Port

(eth0) 192.168.20.250 255.255.255.0 Gateway: IP-Adresse des Routers

PC Ethernet 192.168.20.20 255.255.255.0

Router LAN-Port 192.168.20.2 255.255.255.0

WAN-Port 192.168.184.20 255.255.255.0

Hinweis

Die in der Beispielkonfiguration verwendeten IP-Einstellungen sind frei gewählt.


Projektierungsschritte 1. SINEMA RC-Server installieren (Seite 11)

2. Das Web Based Management starten (Seite 12)

3. Am Web Based Management anmelden (Seite 15)

4. Schnittstelle überprüfen (Seite 16)

5. Uhrzeit einstellen (Seite 17)

SINEMA RC-Server mit dem WAN verbinden 1.2 SINEMA RC Server installieren


1.2 SINEMA RC Server installieren

ACHTUNG

Installation formatiert die Festplatte

Die Installation des SINEMA RC-Servers beinhaltet ein eigenes Betriebssystem. Wenn Sie einen PC verwenden, auf dem bereits ein Betriebssystem vorhanden ist, wird die Festplatte formatiert. Vorhandene Daten gehen dadurch verloren. Stellen Sie sicher, dass auf dem PC alle wichtigen Daten gesichert wurden.

Voraussetzung ● PC ohne Betriebssystem. Die Festplatte sollte mindestens 30 GB groß sein.

● In der Boot-Reihenfolge ist die CD/DVD als erstes Boot-Medium eingestellt.

Vorgehensweise 1. Schalten Sie den PC ein.

2. Legen Sie den Datenträger in das Laufwerk. Die Installation startet automatisch.

3. Im folgenden Dialog ist der Eintrag "single - Single tenant applicance" markiert. Drücken Sie <Return>, um die Auswahl zu bestätigen.

4. Im folgenden Dialog ist der Eintrag "eth0" markiert. Drücken Sie <Return>, um die Auswahl zu bestätigen.

5. Geben Sie die WAN-IP-Adresse des SINEMA RC-Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)". Drücken Sie <Return>, um die Eingabe zu bestätigen.

6. Bei der Netzmaske lassen Sie den Eintrag unverändert. Drücken Sie <Return>, um die Eingabe zu bestätigen.

7. Geben Sie als Gateway die LAN-IP-Adresse des Routers ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)". Drücken Sie <Return>, um die Eingabe zu bestätigen.

Das Betriebssystem und der SINEMA RC-Server werden installiert. Folgen Sie den weiteren Anweisungen am Bildschirm.

SINEMA RC-Server mit dem WAN verbinden 1.3 Das Web Based Management starten


1.3 Das Web Based Management starten Nach der Installation ist der SINEMA RC-Server über die WAN-Schnittstelle unter der folgenden IP-Adresse 192.168.20.250 erreichbar

Der Konfigurations-PC erhält in dieser Beispielkonfiguration folgende IP-Adresseinstellung, um auf das Web Based Management des SINEMA RC-Servers zu zugreifen. IP-Adresse Subnetzmaske Gateway 192.168.20.20 255.255.255.0 192.168.20.2

Vorgehensweise 1. Öffnen Sie auf dem PC mit dem Menübefehl "Start" > "Systemsteuerung" die

Systemsteuerung.

2. Öffnen Sie das Symbol "Netzwerk und Freigabecenter" und wählen Sie aus dem Navigationsmenü links die Option "Adaptereinstellungen ändern".

3. Klicken Sie mit der rechten Maustaste auf das Symbol "LAN-Verbindung" und wählen Sie den Menübefehl "Eigenschaften".

4. Aktivieren Sie im Dialog "Eigenschaften von LAN-Verbindung" das Optionskästchen "Internetprotokoll Version 4 (TCP/IPv4)".



5. Geben Sie die Werte nach der obigen Tabelle ein.



6. Bestätigen Sie die Dialoge mit "OK" und schließen Sie die Systemsteuerung.

7. Geben Sie im Adressfeld des Webbrowsers "https://192.168.20.250" ein. Wenn eine einwandfreie Verbindung besteht, erscheint die Anmeldeseite des Web Based Managements (WBM).

SINEMA RC-Server mit dem WAN verbinden 1.4 Am Web Based Management anmelden


1.4 Am Web Based Management anmelden

Vorgehensweise 1. Melden Sie sich mit dem Benutzernamen "admin" und dem Passwort "admin" an. Sie

werden aufgefordert, das Passwort zu ändern.

2. Geben Sie bei "Neues Passwort" das neue Passwort ein.

Das neue Passwort muss mind. 8 Zeichen lang sein und Sonderzeichen, Groß-/Kleinschreibung sowie Zahlen enthalten.

3. Wiederholen Sie bei "Passwort bestätigen" das Passwort, um es zu bestätigen. Beide Einträge müssen übereinstimmen.

4. Geben Sie bei "Aktuelles Passwort" das Default-Passwort "admin" ein und klicken Sie auf "Speichern".

Ergebnis Das Passwort für den Benutzer "admin" ist geändert. Melden Sie sich fortan mit dem geänderten Passwort an.

SINEMA RC-Server mit dem WAN verbinden 1.5 Schnittstelle überprüfen


1.5 Schnittstelle überprüfen

Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "Network" und im Inhaltsbereich auf

das Register "Schnittstellen".

2. Wählen Sie bei "Port" "WAN". Die Konfiguration des Ports wird angezeigt.

3. Prüfen Sie die Einstellungen des WAN-Ports.

IP-Adresse WAN-IP-Adresse des SINEMA RC Servers nach der Tabelle "Verwendete Einstellungen (Seite 9)"

Netzmaske Netzmaske nach der Tabelle "Verwendete Einstellungen (Seite 9)" Standard-Gateway LAN-IP-Adresse des Routers nach der Tabelle "Verwendete Einstellungen

(Seite 9)"

4. Aktivieren Sie "SINEMA RC befindet sich hinter einem NAT-Gerät", um die erforderliche externe WAN-IP-Adresse für das Gateway einzugeben.

5. Geben Sie bei WAN-IP-Adresse die WAN-IP-Adresse des Routers ein, siehe Tabelle "Verwendete Einstellungen (Seite 9)".

6. Klicken Sie auf "Speichern".

SINEMA RC-Server mit dem WAN verbinden 1.6 Uhrzeit einstellen


1.6 Uhrzeit einstellen Zur Überprüfung der zeitlichen Gültigkeit von Zertifikaten und für die Zeitstempel von Logbuch-Einträgen werden auf dem SINEMA RC-Server Datum und Uhrzeit geführt. Sie können die Systemzeit selbst manuell einstellen, oder Sie lassen sie mit einem Zeitserver automatisch synchronisieren.

Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "System" > "Datum und Uhrzeit" und im

Inhaltsbereich auf das Register "Manuell".

2. Klicken Sie auf "PC-Uhrzeit verwenden".

Ergebnis Die Systemzeit über PC ist eingestellt.

SINEMA RC-Server mit dem WAN verbinden 1.6 Uhrzeit einstellen



Geräte über eine csv-Datei anlegen 2 2.1 Einleitung

In diesem Beispiel werden über eine csv-Datei drei Geräte angelegt. Die csv-Datei hat einen bestimmten Aufbau, siehe Kapitel "Aufbau der csv-Datei (Seite 20)".

Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden Einstellungen: Name des Geräts Einstellung S615_001 Verbindungsart 1 = Dauerhaft

Teilnehmergruppe Station1 Netzwerk-Gateway Ja Lokale LAN-IP-Adresse 1 192.168.10.1

255.255.255.0 Lokale LAN-IP-Adresse 2 192.168.20.1

255.255.255.0 NAT für lokales Subnetz Virtuelle lokale LAN-IP-Adresse

10.90.80.1 255.255.255.0 Zugeordnet der lokalen LAN-IP-Adresse 2

S615_002 Verbindungsart 1 = Dauerhaft Teilnehmergruppe Station2 Netzwerk-Gateway Nein Lokale LAN-IP-Adresse 192.168.30.1

255.255.255.0 NAT für lokales Subnetz

Virtuelle lokale LAN-IP-Adresse 10.90.90.1 255.255.255.0

NAT für lokale Hosts Virtuelle lokale LAN-IP-Adresse Lokaler Host

10.90.90.x 192.168.30.y x = 2 - 20 y = 1 - 19

S615_003 Verbindungsart 1 = Dauerhaft Teilnehmergruppe Station1

Pojektierungsschritte 1. csv-Datei anlegen (Seite 22)

2. csv-Datei importieren (Seite 24)

Geräte über eine csv-Datei anlegen 2.2 Aufbau der csv-Datei


2.2 Aufbau der csv-Datei Auf dem Datenträger finden Sie eine Vorlage der csv-Datei. Die Einträge werden durch Semikolon getrennt.

Einzustellende Werte Die Tabelle enthält die Einträge, die Sie in der csv-Datei eintragen können. Weitere Informationen zu den Einträgen finden Sie im Kapitel "Neues Gerät anlegen" und Geräteinformationen. Der Eintrag ... steht für ... Device Name Name des Geräts GSM Number GSM-Nummer Type Gerätetyp Vendor Hersteller Location Standort Type of connection Verbindungsart

Geben Sie die Nummer für die entsprechende Verbindungsart an. 1 = Dauerhaft: 2 = Digitaler Eingang 3 = Weck-SMS 4 = Weck-SMS: & Digitaler Eingang

Provider Name des SMS-Gateway-Betreibers Comment Kommentar Group Teilnehmergruppe

Voraussetzung ist, dass die Teilnehmergruppe bereits angelegt ist. Local LAN IP Lokale LAN-IP-Adresse Network mask Netzwerkmaske der lokalen LAN-IP-Adresse Network gateway Gerät ist ein Netzwerk-Gateway

Wenn das Gerät ein Netzwerk-Gateway ist, geben Sie "Yes" an. Virtual local LAN IP Virtuelle lokale LAN-IP-Adresse Network mask Netzwerkmaske der virtuellen lokalen LAN-IP-Adresse

Geräte über eine csv-Datei anlegen 2.2 Aufbau der csv-Datei


Der Eintrag ... steht für ... Virtual local LAN address Virtuelle lokale LAN-Adresse Local Single host Lokaler Host

Geräte über eine csv-Datei anlegen 2.3 csv-Datei anlegen


2.3 csv-Datei anlegen

Vorgehen 1. Öffnen Sie die csv-Vorlage mit MS Excel oder mit einem Texteditor.

2. Geben Sie das erste Gerät an.

S615_001;;;Siemens AG;Karlsruhe;1;;;Station1;192.168.10.1;255.255.255.0;Yes;;;;

S615_001;;;;;;;;;192.168.20.1;255.255.255.0;;10.90.80.1;255.255.255.0;;

Für die Verbindungsart geben Sie die entsprechende Ziffer an: 1 für Dauerhaft

Wenn das Gerät ein Netzwerk-Gateway ist, geben Sie "Yes" an. Ansonsten ist kein Eintrag notwendig.

3. Geben Sie das zweite Gerät an:

S615_002;;;Siemens

AG;Karlsruhe;1;;;Station2;192.168.30.1;255.255.255.0;;10.90.90.1;255.255.255.0;10.

90.90.2;192.168.30.1

S615_002;;;;;;;;;;;;;;10.90.90.3;192.168.30.2

S615_002;;;;;;;;;;;;;;10.90.90.4;192.168.30.3

S615_002;;;;;;;;;;;;;;10.90.90.5;192.168.30.4

S615_002;;;;;;;;;;;;;;10.90.90.6;192.168.30.5

S615_002;;;;;;;;;;;;;;10.90.90.7;192.168.30.6

S615_002;;;;;;;;;;;;;;10.90.90.8;192.168.30.7

S615_002;;;;;;;;;;;;;;10.90.90.9;192.168.30.8

S615_002;;;;;;;;;;;;;;10.90.90.10;192.168.30.9

S615_002;;;;;;;;;;;;;;10.90.90.11;192.168.30.10

S615_002;;;;;;;;;;;;;;10.90.90.12;192.168.30.11

S615_002;;;;;;;;;;;;;;10.90.90.13;192.168.30.12

S615_002;;;;;;;;;;;;;;10.90.90.14;192.168.30.13

S615_002;;;;;;;;;;;;;;10.90.90.15;192.168.30.14

S615_002;;;;;;;;;;;;;;10.90.90.16;192.168.30.15

S615_002;;;;;;;;;;;;;;10.90.90.17;192.168.30.16

S615_002;;;;;;;;;;;;;;10.90.90.18;192.168.30.17

S615_002;;;;;;;;;;;;;;10.90.90.19;192.168.30.18

S615_002;;;;;;;;;;;;;;10.90.90.20;192.168.30.19

Bei "NAT für lokales Subnetz" ist für jede Zuordnung eine Zeile notwendig.

Geräte über eine csv-Datei anlegen 2.3 csv-Datei anlegen


4. Geben Sie das dritte Gerät an.

S615_003;;;Siemens AG;Karlsruhe;1;;;Station1;;;;;;;

In diesem Fall werden nur der Name, der Standort und die Gruppe des Geräts angelegt. Den Rest ist im WBM des SINEMA RC-Servers nachzutragen.

5. Speichern Sie die csv-Datei ab.

Ergebnis Die csv-Datei ist mit den drei Geräten ist angelegt.

Bild 2-1 csv-Datei: Tabelleneditor

Bild 2-2 csv-Datei: Texteditor

Geräte über eine csv-Datei anlegen 2.4 csv-Datei importieren


2.4 csv-Datei importieren

Voraussetzung ● Die csv-Datei ist vorhanden und korrekt befüllt.

● Die aktivierte Lizenz ist ausreichendHotspot-Text.

● Die Teilnehmergruppen "Station1" und "Station2" sind angelegt.

● Die Namen der Geräte sind noch nicht angelegt.

● Der angemeldete Benutzer besitzt das Recht "Geräte verwalten"

Vorgehen 1. Klicken Sie auf der Seite der Geräteliste die Schaltfläche "Importieren".

2. Klicken Sie auf die Schaltfläche "Durchsuchen" und wählen Sie die csv-Datei aus.

3. Klicken Sie auf "Importieren".

Nach dem Importieren der Datei werden die Geräte auf dem Register "Geräteauswahl" aufgelistet

4. Aktivieren Sie bei "S615_001", "S615_002" und "S615_003" das Kontrollkästchen.

5. Klicken Sie auf "Fertigstellen".

Ergebnis Nach dem Anlegen (Importieren) werden die Geräte in der Geräteliste angezeigt. Klicken Sie auf , um die Einstellungen zu prüfen.


OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3 3.1 Prinzipielles Vorgehen

In dieser Beispielkonfiguration sind zwei dezentrale Stationen mithilfe von SCALANCE S615 angeschlossen. Die Geräte kommunizieren über den SINEMA RC-Server, der in der Zentrale steht.

Für die SCALANCE S615-Geräten wird je ein KEY-PLUG SINEMA Remote Connect benötigt. Mit dem KEY-PLUG wird die Anbindung von SCALANCE S615 an SINEMA RC freigeschaltet.

Dazu müssen sich die Geräte am SINEMA RC-Server anmelden. Erst nach erfolgreicher Authentifizierung wird der VPN-Tunnel zwischen dem Gerät und dem SINEMA RC-Server aufgebaut. Abhängig von den projektierten Kommunikationsbeziehungen und den Sicherheitseinstellungen verschaltet der SINEMA RC Server die einzelnen VPN-Tunnels.

Aufbau

OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.1 Prinzipielles Vorgehen


Zentrale - Anschluss an SINEMA RC Server

● Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an dem LAN-Port des SINEMA RC Servers angeschlossen ist.

– PC: repräsentiert einen Teilnehmer im internen Netzwerk 3

– SINEMA RC Server

● Anbindung an das externe Netzwerk über einen Router

Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an dem WAN-Port des SINEMA RC Servers angeschlossen wird.

Station 1 / 2 - Anschluss an SCALANCE S615

● Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an die Ethernet-Schnittstelle P1 des S615 angeschlossen ist.

– PC: repräsentiert einen Teilnehmer im internen Netzwerk 1/2

– S615: SCALANCE S-Modul zum Schutz des internen Netzwerks 1/2


Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an die Ethernet-Schnittstelle P5 des S615 angeschlossen wird.

Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten:

● 2 x S615 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial)

● 2 x KEY-PLUG SINEMA RC

● 2 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker

● 2 x PC die mit je einem SCALANCE S615 verbunden sind.

● 1 x PC, auf dem der SINEMA RC Server installiert ist.

● 1 x PC, der mit dem SINEMA RC Server verbunden ist.

● 3 x Router

● Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet



Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Name Interface IP-Adresse Station-1 LAN1

S615-1 LAN-Port P1 (vlan1)

192.168.100.1 255.255.255.0

WAN-Port P5 (vlan2)

192.168.50.1 255.255.255.0 Default-Gateway ist die LAN-IP-Adresse des Routers 192.168.50.2

PC1 LAN-Port 192.168.100.20 255.255.255.0

Router1 LAN-Port 192.168.50.2 255.255.255.0

Station-2 LAN2

S615-2

LAN-Port P1 (vlan1)

192.168.10.1 255.255.255.0

WAN-Port P5 (vlan2)

192.168.40.1 255.255.255.0 Default-Gateway ist die LAN-IP-Adresse des Routers 192.168.40.2

PC2 Ethernet (LAN 2)

192.168.10.20 255.255.255.0

Router 2 LAN-Port 192.168.40.2 255.255.255.0

Zentrale LAN3

SINEMA RC Server

WAN-Port 192.168.20.250 255.255.255.0 Die WAN-IP-Adresse, über die der SINEMA RC Server erreichbar ist, ist in diesem Beispiel die WAN-IP-Adresse des Routers. 192.168.184.20 Default-Gateway ist die LAN-IP-Adresse des Routers 192.168.20.2

PC3 Ethernet (LAN3)

192.168.20.20 255.255.255.0

Router 3 LAN-Port 192.168.20.2 255.255.255.0

WAN-Port 192.168.184.20



Hinweis



Voraussetzung SINEMA RC Server

● Der SINEMA RC Server ist mit dem WAN verbunden, siehe "SINEMA RC Server mit dem WAN verbinden (Seite 9)".

SCALANCE S615

● Das SCALANCE S ist mit dem WAN verbunden. Die Projektierungsschritte finden Sie im Getting Started "SCALANCE S615".

Die Projektierungsschritte gelten für alle Geräte und unterscheiden sich nur in den Einstellungen, siehe Tabelle "Verwendete Einstellungen (Seite 47)".

● Das SCALANCE S ist über den PC1/2 erreichbar und Sie sind am WBM als "admin" angemeldet.

● Im SCALANCE S ist ein gütliger KEY-PLUG SINEMA Remote Connect gesteckt.

Projektierungsschritte Auf dem S615 den Zugriff zum SINEMA RC Server konfigurieren

Um eine VPN-Verbindung zum SINEMA RC Server zu ermöglichen, muss auf dem S615 eine Route angelegt werden:

1. Route konfigurieren (Seite 30)

Damit der PC über S615 auf das WBM des SINEMA RC Servers zugreifen kann, sind auf dem S615 folgende Schritte notwendig:

1. Basic-NAT aktivieren (Seite 31)

2. Zugriff erlauben (Seite 32)

Auf dem SINEMA RC Server die Fernverbindung konfigurieren

1. Teilnehmergruppen anlegen (Seite 33)

2. Geräte anlegen (Seite 35)

3. Kommunikationsbeziehungen konfigurieren (Seite 36)

Auf dem S615 die Fernverbindung konfigurieren

● Gesicherte OpenVPN-Verbindung mit Fingerabdruck (Seite 39)

● Gesicherte OpenVPN-Verbindung mit CA-Zertifikat

– Zertifikat laden (Seite 42)

– OpenVPN-Verbindung zum SINEMA RC Server projektieren (Seite 43)



OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.2 Auf dem S615 den Zugriff zum SINEMA RC-Server konfigurieren


3.2 Auf dem S615 den Zugriff zum SINEMA RC-Server konfigurieren

3.2.1 Route konfigurieren Die Stationen und die Zentrale sind in verschiedenen IP-Subnetzen. Damit die Stationen mit der Zentrale kommunizieren können, wird im S615 die entsprechende Default-Route angelegt.

Vorgehensweise 1. Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 ein, siehe

Tabelle "Verwendete Einstellungen (Seite 47)".

2. Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an.

3. Klicken Sie im Navigationsbereich auf "Layer 3" > "Routes".

4. Konfigurieren Sie die Route zum Router mit folgenden Einstellungen:

Destination Network 0.0.0.0 (alle IP-Adressen) Subnetmask 0.0.0.0 Gateway LAN-IP-Adresse des Routers nach der Tabelle

"Verwendete Einstellungen" Metric -1

5. Wenn Sie die Werte eingetragen haben, klicken Sie auf "Create".

6. Zum Aktualisieren der Anzeige klicken Sie auf "Refresh".

Ergebnis Die Route ist angelegt.



3.2.2 IP-Masquerading aktivieren IP-Masquerading wird verwendet, damit die internen IP-Adressen extern nicht weitergeleitet werden. Zudem werden keine weiteren Routingeinstellungen im Router benötigt.

Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Layer 3" > "NAT" und im Inhaltsbereich auf das

Register "Masquerading".

2. Aktivieren Sie "Enable Masquerading" bei vlan2.

3. Klicken Sie auf "Set Values"

Ergebnis Auf dem WAN-Port vlan2 ist Masquerading aktiviert. Wenn ein Paket über diese Schnittstelle gesendet wird, wird die Quelladresse auf die dem vlan2 zugewiesenen IP Adresse umgeschrieben.



3.2.3 Zugriff erlauben Damit der PC auf den SINEMA RC Server zugreifen kann, wird am Gerät der Zugriff von vlan 1 nach vlan 2 freigeschaltet.

Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Security" > "Firewall" und im Inhaltsbereich auf

das Register "IP Rules".

2. Klicken Sie auf "Create". In der Tabelle wird ein neuer Eintrag erstellt.

3. Konfigurieren Sie die Firewall-Regel mit folgenden Einstellungen:

Action Accept From vlan1 (intern) To vlan2 (extern) Source (Range) 0.0.0.0 (alle IP-Adressen) Destination (Range) 0.0.0.0 (alle IP-Adressen) Service all

Der Dienst ist standardmäßig immer verfügbar

4. Klicken Sie auf "Set Values".

Ergebnis Durch diese Firewall-Regel sind alle Dienste zwischen vlan1 und vlan2 uneingeschränkt möglich, z. B. HTTPS

OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren


3.3 Auf dem SINEMA RC Server die Fernverbindung konfigurieren

3.3.1 Teilnehmergruppen anlegen Benutzer und Geräte lassen sich in Teilnehmergruppen zusammenfassen. Außerdem können Sie festlegen, ob die Kommunikation zwischen den Teilnehmern einer einzelnen Gruppe erlaubt oder verboten ist.

Für diese Beispielkonfiguration werden folgende Gruppen angelegt.

● Station-1

● Station-2

● Service

Voraussetzung ● Der SINEMA RC Server ist mit dem WAN verbunden

Vorgehensweise 1. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC

Servers "https://<WAN-IP-Adresse>" ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)".


3. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Teilnehmergruppen". Im Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet.

4. Klicken Sie auf "Erstellen". Die Seite "Neue Teilnehmergruppe" wird geöffnet.

5. Geben Sie bei Gruppenname "Station-1" ein und klicken Sie auf "Beenden".

6. Wiederholen Sie die Schritte 1 - 3 für die Gruppen "Station-2" und "Service"



Ergebnis Die Teilnehmergruppen sind angelegt.



3.3.2 Geräte anlegen

Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte". Im Inhaltsbereich

werden die bereits angelegten Geräte aufgelistet.

2. Klicken Sie auf "Erstellen", um ein neues Gerät anzulegen.

3. Geben Sie den Gerätenamen für das Gerät an, z. B. "S615-1" für die Station 1 und "S615-2" für die Station 2.

4. Klicken Sie auf "Weiter"

5. Aktivieren Sie die Option "Verbundene lokale Subnetze".

6. Konfigurieren Sie die Geräte mit folgenden Einstellungen:

Lokale LAN-IP-Adresse IP-Adresse für vlan1 nach der Tabelle "Verwendete Einstellungen (Seite 47)".

Netzmaske 255.255.255.0

7. Klicken Sie auf "Weiter". Das Register "Gruppenzugehörigkeit" wird angezeigt.

8. Aktivieren Sie die entsprechende Gruppe.

Beim Gerät "S615-1" die Gruppe "Station-1"

Beim Gerät "S615-2" die Gruppe "Station-2"

9. Klicken Sie auf "Weiter". Das Register "Passwort " wird angezeigt.

10.Legen Sie das Passwort für den Zugriff fest, z. B. An:t_010 für S615-1 und An:t_020 für S615-2.

Das Passwort muss sich aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammensetzen.

11.Klicken Sie auf "Beenden".

Ergebnis Die Geräte werden bei den bereits angelegten Geräten aufgelistet.

● Gerätepasswort

● Geräte-ID

● Fingerabdruck

Die Geräte-ID und den Fingerabdruck finden Sie bei den Geräteinformationen. Klicken Sie auf das Symbol , um die Geräteinformation zu öffnen.



3.3.3 Kommunikationsbeziehungen konfigurieren Damit die Teilnehmergruppen miteinander kommunizieren können, sind Kommunikationsbeziehungen notwendig. Dabei kann für jede Richtung eine Kommunikationsbeziehung erstellt werden.



Für diese Beispielkonfiguration werden folgende Kommunikationsbeziehungen angelegt: von Gruppe zur Zielgruppe Service Station-1

Station-2 Station-1 Station-2

In diesem Konfigurationsbeispiel geht die Kommunikation nur von der Gruppe "Station-1" zur Gruppe "Station-2". In die Gegenrichtung ist keine Kommunikation möglich. Für die Kommunikation von der Gruppe "Station-2" zur Gruppe "Station-1" ist eine weitere Kommunikationsbeziehung notwendig.

Ebenso kann die Gruppe "Service" mit den Gruppen "Station-1" und "Station-2" kommunizieren, aber nicht umgekehrt.

Vorgehensweise 1. Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Teilnehmergruppen". Im

Inhaltsbereich werden die bereits angelegten Teilnehmergruppen aufgelistet.

2. Klicken Sie bei "Station-1" in der Spalte "Aktionen" auf das Symbol . Die Seite "Zielgruppe" wird geöffnet.

3. Aktivieren Sie "Station-2" und klicken Sie auf "Speichern".

4. Klicken Sie auf "Dialog verlassen".

5. Klicken Sie bei "Service" in der Spalte "Aktionen" auf das Symbol . Die Seite "Zielgruppe" wird geöffnet.

6. Aktivieren Sie "Station-1" und "Station-2". Klicken Sie auf "Speichern".

7. Klicken Sie auf "Dialog verlassen".



Ergebnis Die Kommunikationsbeziehungen sind angelegt.

Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Kommunikationsbeziehungen". Im Inhaltsbereich werden die angelegten Beziehungen aufgelistet.

OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC-Server 3.4 Auf dem S615 die Fernverbindung konfigurieren


3.4 Auf dem S615 die Fernverbindung konfigurieren

3.4.1 Gesicherte OpenVPN-Verbindung mit Fingerabdruck

Voraussetzung ● Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet.

● Webbrowser 1:

Sie sind als Benutzer "admin" am WBM des S615 angemeldet.

● Webbrowser 2:

Sie sind als Benutzer "service" oder "admin" am WBM des SINEMA RC Servers angemeldet.

● Im S615 ist ein gültiger KEY-PLUG gesteckt.

Vorgehensweise 1. Wechseln Sie in den Webbrowser 1.

– Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)".

– Melden Sie sich als Benutzer "admin" und dem entsprechenden Passwort an.

– Klicken Sie im Navigationsbereich auf "System" > "SINEMA RC".

– Geben Sie bei "SINEMA RC Address" die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)".

2. Wechseln Sie in den Webbrowser 2.

– Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)".


– Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte".

– Klicken Sie bei "Aktionen" auf das Symbol , um die Geräteinformation zu öffnen.

– Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Geräte-ID.

– Klicken Sie mit der rechten Maustaste auf die Markierung und wählen Sie im Kontextmenü den Befehl zum Kopieren.




– Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Device-ID".

– Wählen Sie im Kontextmenü den Befehl zum Einfügen.

– Geben Sie bei "Device Password" das Passwort an, das Sie für den Zugriff projektiert haben, An:t_010 für S615-1 und An:t_020 für S615-2.

– Aktivieren Sie "Auto Firewall / NAT Rules".

Wenn aktiviert wird, werden automatisch die entsprechenden NAT und Firewallregeln angelegt.

Wählen Sie bei "Verification Type" "Fingerprint" aus.


– Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Fingerabdruck.



– Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Fingerprint".


– Aktivieren Sie "Enable SINEMA RC" und klicken Sie auf "Set Values".

Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf.

Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen.



Webbrowser 1: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC".

Webbrowser 2: Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte".



3.4.2 Gesicherte OpenVPN-Verbindung mit CA-Zertifikat

3.4.2.1 Zertifikat laden

Voraussetzung ● Auf dem S615 und auf dem SINEMA RC Server ist die richtige Uhrzeit eingestellt.

● Auf dem PC1/2 sind zwei Webbrowserfenster geöffnet.

● Webbrowser 1:

Sie sind als Benutzer "admin" am WBM des S615 angemeldet.

● Webbrowser 2:

Sie sind als Benutzer "admin" am WBM des SINEMA RC Servers angemeldet.


– Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)".


– Klicken Sie im Navigationsbereich auf "Sicherheit" > "Zertifikate".

– Klicken Sie bei "Aktionen" auf das Symbol , um das Zertifikate zu exportieren.


– Geben Sie im Adressfeld des Webbrowsers die LAN-IP-Adresse des S615 ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)".


– Klicken Sie im Navigationsbereich auf "System" > "Load & Save" und im Inhaltsbereich auf das Register "HTTP".

– Klicken Sie bei "X509Cert" auf die Schaltfläche "Load". Das Dialogfenster zum Hochladen einer Datei wird geöffnet.

– Navigieren Sie zum exportierten Serverzertifikat. Klicken Sie im Dialogfenster auf die Schaltfläche "Öffnen".

Die Datei wird nun ins Gerät geladen. Nach dem erfolgreichen Laden bestätigen Sie den folgenden Dialog mit "OK".



Ergebnis Die Zertifikate sind geladen. Unter "Security" > "Certificates" werden die Zertifikate angezeigt. Die geladenen Zertifikate müssen den Status "valid" besitzen.

3.4.2.2 OpenVPN-Verbindung zum SINEMA RC-Server projektieren

Voraussetzung ● Im S615 ist ein gültiger KEY-PLUG gesteckt.




– Klicken Sie im Navigationsbereich auf "System" > "SINEMA RC".

– Geben Sie bei "SINEMA RC Address" die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)".


– Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte".

– Klicken Sie bei "Aktionen" auf das Symbol , um die Geräteinformation zu öffnen.

– Markieren Sie mit gedrückter linker Maustaste den Eintrag bei Geräte-ID.



– Klicken Sie mit der rechten Maustaste in das Eingabefeld von "Device-ID".


– Geben Sie bei "Device Password" das Passwort an, das Sie für den Zugriff projektiert haben, An:t_010 für S615-1 und An:t_020 für S615-2.

– Aktivieren Sie "Auto Firewall / NAT Rules".

Wenn aktiviert wird, werden automatisch die entsprechenden NAT und Firewallregeln angelegt.

Wählen Sie bei "Verification Type "CA Certificate" aus.

– Wäheln Sie bei "CA Certificate" das Serverzertifikat aus. Nur geladene Zertifikate sind auswählbar.

– Aktivieren Sie "Enable SINEMA RC" und klicken Sie auf "Set Values".



Ergebnis Das Gerät baut einen OpenVPN-Tunnel zum SINEMA RC Server auf.

Ob die Verbindung erfolgreich ist, können Sie im WBM prüfen.

Webbrowser 1: Klicken Sie im Navigationsbereich auf "Information" > "SINEMA RC".

Webbrowser 2: Klicken Sie im Navigationsbereich auf "Fernverbindungen" > "Geräte".




OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4 4.1 Prinzipielles Vorgehen

Dieses Beispiel erweitert die Beispielkonfiguration "OpenVPN-Tunnel zwischen SCALANCE S615 und SINEMA RC Server (Seite 25)".

Ein Servicetechniker startet auf seinem Laptop den SINEMA RC Client und meldet sich mit seinen Benutzerdaten am SINEMA RC Server an. Nach erfolgreicher Authentifizierung wird der VPN-Tunnel zwischen dem SINEMA RC Client und dem SINEMA RC Server aufgebaut.

Aufbau

OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.1 Prinzipielles Vorgehen


Zentrale - Anschluss an SINEMA RC Server

● Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an dem LAN-Port des SINEMA RC Servers angeschlossen ist.

– PC: repräsentiert einen Teilnehmer im internen Netzwerk 3

– SINEMA RC Server


Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an dem WAN-Port des SINEMA RC Servers angeschlossen wird.

Station 1 / 2 - Anschluss an SCALANCE S615

● Im internen Netz wird im Testaufbau ein Netzknoten durch einen PC realisiert, der an die Ethernet-Schnittstelle P1 des S615 angeschlossen ist.

– PC: repräsentiert einen Teilnehmer im internen Netzwerk 1/2

– S615: SCALANCE S-Modul zum Schutz des internen Netzwerks 1/2


Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an die Ethernet-Schnittstelle P5 des S615 angeschlossen wird.

Servicetechnier - Anschluss an SINEMA RC Client


Der Zugriff auf das externe Netzwerk erfolgt über einen Router, der an die Ethernet-Schnittstelle des Laptops angeschlossen wird.

Erforderliche Geräte/Komponenten Für den Aufbau verwenden Sie folgende Komponenten:

● 2 x S615 (zusätzlich optional: eine entsprechend montierte Profilschiene mit Montagematerial)

● 2 x 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker

● 2 x PC die mit je einem SCALANCE S615 verbunden sind.

● 1 x PC, auf dem der SINEMA RC Server installiert ist.

● 1 x PC, der mit dem SINEMA RC Server verbunden ist.

● 1 x Laptop

● 4 x Router

● Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet



Verwendete Einstellungen Die Geräte erhalten für die Beispielkonfiguration die folgenden IP-Adresseinstellungen: Name Interface IP-Adresse Station-1 LAN1

S615-1 LAN-Port P1 (vlan1)

192.168.100.1 255.255.255.0

WAN-Port P5 (vlan2)

192.168.50.1 255.255.255.0 Default-Gateway ist die LAN-IP-Adresse des Rou-ters 192.168.50.2

PC1 LAN-Port 192.168.100.20 255.255.255.0

Router1 LAN-Port 192.168.50.2 255.255.255.0

Station-2 LAN2

S615-2

LAN-Port P1 (vlan1)

192.168.10.1 255.255.255.0

WAN-Port P5 (vlan2)

192.168.40.1 255.255.255.0 Default-Gateway ist die LAN-IP-Adresse des Rou-ters 192.168.40.2

PC2 Ethernet (LAN 2)

192.168.10.20 255.255.255.0

Router 2 LAN-Port 192.168.40.2 255.255.255.0

Zentrale LAN3

SINEMA RC Server

WAN-Port 192.168.20.250 255.255.255.0 Die WAN-IP-Adresse, über die der SINEMA RC Server erreichbar ist, ist in diesem Beispiel die WAN-IP-Adresse des Routers. 192.168.184.20 Default-Gateway ist die LAN-IP-Adresse des Rou-ters 192.168.20.2

PC3 Ethernet (LAN3)

192.168.20.20 255.255.255.0

Router 3 LAN-Port 192.168.20.2 255.255.255.0

WAN-Port 192.168.184.20



Name Interface IP-Adresse Service-techniker

Laptop Ethernet 192.168.1.1 255.255.255.0 Default-Gateway ist die LAN-IP-Adresse des Rou-ters 192.168.1.2

Router 4

LAN-Port 192.168.1.2 255.255.255.0

WAN-Port WAN-IP-Adresse wird vom Provider zugwiesen

Hinweis



Voraussetzung SINEMA RC Server

● Der SINEMA RC Server ist mit dem WAN verbunden, siehe "SINEMA RC Server mit dem WAN verbinden (Seite 9)".

● Der SINEMA RC Server ist über den PC3 erreichbar.

SINEMA RC Client

● Das Laptop ist mit dem WAN verbunden.

Projektierungsschritte 1. Auf dem SINEMA RC Server einen Benutzer anlegen (Seite 51)

Auf dem Laptop des Servicetechnikers

1. SINEMA RC Client installieren (Seite 53)

2. SINEMA RC Client am SINEMA RC Server anmelden (Seite 55)

OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.2 Auf dem SINEMA RC Server einen Benutzer anlegen


4.2 Auf dem SINEMA RC Server einen Benutzer anlegen Der Zugriff über den SINEMA RC Client wird in dieser Beispielkonfiguration von einem Servicetechniker übernommen. Für die Anmeldung benötigt der Servicetechniker einen Benutzernamen und ein Passwort.

Der Administrator in der Zentrale legt die Benutzerdaten an.

Voraussetzung ● Der SINEMA RC Server ist über den PC3 erreichbar.

● Die Teilnehmergruppe "Service" ist angelegt, siehe Kapitel "Teilnehmergruppen anlegen (Seite 33)"

Benutzer anlegen 1. Geben Sie im Adressfeld des Webbrowsers die WAN-IP-Adresse des SINEMA RC

Servers "https://<WAN-IP-Adresse>" ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)".


3. Klicken Sie im Navigationsbereich auf "Benutzerkonten" > "Benutzer und Rollen". Im Inhaltsbereich werden die bereits angelegten Benutzer aufgelistet.

4. Klicken Sie auf "Erstellen". Die Seite "Neuer Benutzer" wird geöffnet.

5. Geben Sie den Benutzernamen ein, z. B. Service und klicken Sie auf "Weiter".

6. Das Register "Teilnehmergruppe" wird angezeigt. Aktivieren Sie die Teilnehmergruppe "Service".

7. Klicken Sie auf "Weiter". Das Register "Passwort" wird angezeigt.

8. Legen Sie das Passwort für den Benutzer fest, z. B. Di1S+Xo? und klicken Sie auf "Beenden".

OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.2 Auf dem SINEMA RC Server einen Benutzer anlegen


Ergebnis Der Benutzer "Service" ist angelegt. In der Spalte "Status" sehen Sie, ob der Benutzer gerade online ist oder nicht.

Wenn der Benutzer angemeldet ist, kann er im Navigationsbereich nur auf die Einträge zugreifen, für die er die Rechte hat.

OpenVPN-Tunnel zwischen SINEMA RC Client und SINEMA RC Server 4.3 Auf dem Laptop des Servicetechnikers


4.3 Auf dem Laptop des Servicetechnikers

4.3.1 SINEMA RC Client installieren Die Installation läuft weitestgehend automatisch. Die SETUP-Routine erkennt eigenständig, ob außer SINEMA RC Client selbst noch weitere Programmkomponenten installiert werden müssen. Die Installationsroutine führt die dazu notwendigen Aktionen bei Bedarf aus.

Hinweis

Sie können pro PC nur einen SINEMA RC Client installieren.

Voraussetzung Auf folgenden Betriebssystem kann der SINEMA RC Client installiert werden:

● Microsoft Windows 7 Professional 32/64 Bit + Service Pack 1

● Microsoft Windows 7 Enterprise 32/64 Bit + Service Pack 1

● Microsoft Windows 7 Ultimate 32/64 Bit + Service Pack 1

● Microsoft Windows 8.1 Professional 64 B

Vorgehensweise 1. Melden Sie sich am Betriebssystem Windows als Administrator an. Öffnen Sie den

Windows Explorer und doppelklicken Sie auf die Datei "Setup.exe" im Stammverzeichnis der Installations-DVD. Alternativ starten Sie das Programm aus dem Windows-Menü "Start > Ausführen".

Wenn die Autorun-Funktion für Ihr DVD-Laufwerk aktiviert ist, startet die Installation automatisch.

2. Wählen Sie die Sprache für den Setup-Assistenten von SINEMA RC Client und klicken Sie auf "Weiter".

3. Klicken Sie auf die Schaltfläche "Open-Source-Lizenzvereinbarung", um die Lizenzvereinbarung anzuzeigen. Wählen Sie nach dem Lesen der Lizenzvereinbarung die Option "Ich akzeptiere die Bedingungen der obigen Lizenzvereinbarung sowie die Bedingungen der Open-Source-Lizenzvereinbarung" und klicken Sie auf "Weiter".

4. Ein Dialogfeld wird geöffnet, das die Liste der zu installierenden Programme enthält. Belassen Sie die Vorauswahl der Komponenten. Dazu gehören:

– .NET Framework

– Open VPN

– Automation License Manager (ALM)

5. Wenn Sie weitere Informationen über den ALM wünschen, dann klicken Sie auf die Schaltfläche "Liesmich" rechts im Dialogfeld.



6. Wählen Sie die Schaltfläche "Speichern unter", um den aktuellen Speicherplatz des Computers anzuzeigen.

7. Klicken Sie auf die Schaltfläche "Durchsuchen", wenn Sie das Standard-Zielverzeichnis ändern und die Anwendung an anderer Stelle installieren möchten.

8. Wählen Sie den gewünschten Speicherort und klicken Sie auf die Schaltfläche "Weiter".

Hinweis

Speicherbedarf

Ist auf dem Laufwerk nicht genügend freier Speicherplatz verfügbar, klicken Sie auf die Schaltfläche "Durchsuchen", um einen anderen Installationsort auszuwählen.

Das Dialogfeld "Systemeinstellungen" wird geöffnet.

9. Akzeptieren Sie die Änderungen der Systemeinstellungen.

Folgen Sie den weiteren Angaben, die Sie durch den kompletten weiteren Installationsvorgang führen. Dieser Vorgang kann mehrere Minuten dauern.

Am Ende wird ein Abschlussfenster für das Setup angezeigt. Es enthält eine Statusmeldung über die erfolgreiche Installation des SINEMA RC Client.

Im Setup-Fenster haben Sie die Möglichkeit, den Computer sofort oder später neu zu starten. Wählen Sie die gewünschte Option und klicken Sie auf die Schaltfläche "Fertigstellen", um die Installation zu beenden.

Ergebnis Nach dem Neustart finden Sie auf Ihrem Desktop eine neue Verknüpfung "SINEMA RC Client" und im Startmenü ein neuer Eintrag "Alle Programme > Siemens Automation > SIMATIC > SINEMA RC Client".



4.3.2 Mit SINEMA RC Client am SINEMA RC Server anmelden

Voraussetzung ● Der Laptop und der SINEMA RC Server sind mit dem WAN verbunden.

● Benutzer "Service" ist angelegt, siehe "Auf dem SINEMA RC Server einen Benutzer anlegen (Seite 51)".

Vorgehensweise 1. Doppelklicken Sie auf Ihrem Desktop das Symbol "SINEMA RC Client". Der SINEMA RC

Client startet.

2. Geben Sie bei IP-Adresse die WAN-IP-Adresse des SINEMA RC Servers ein, siehe Tabelle "Verwendete Einstellungen (Seite 47)".

3. Geben Sie sich bei Benutzernamen "Service" und bei Passwort z. B. Di1S+Xo? ein. Klicken Sie auf die Schaltfläche "Anmelden".

Nach erfolgreicher Anmeldung wird die Startseite angezeigt.

4. Klicken Sie auf die Schaltfläche "VPN Tunnel aufbauen".

Ergebnis Der SINEMA RC Client lädt die OpenVPN-Datei vom SINEMA RC Server herunter. Die Datei enthält die Parameter, die für die VPN-Verbindung zum SINEMA RC Server notwendig sind. Nach dem Herunterladen baut der SINEMA RC Client mit diesen Parametern die VPN-Verbindung auf.

Der SINEMA RC Client prüft in regelmäßigen Abständen, ob ein gültiger License Key vorhanden ist. Falls nicht, z. B. wenn Sie während des Betriebs den USB-Dongle entfernen, erhalten Sie eine Systemmeldung.



Der Benutzer "Service" ist Mitglied der Teilnehmergruppe "Service". Alle Geräte, die dieser Gruppe zugeordnet sind, werden angezeigt.


Index

C csv-Datei

anlegen, 22 Aufbau, 20 Importieren, 24

G Glossar, 5

S Service & Support, 5 SIMATIC NET-Glossar, 5 SIMATIC NET-Handbuch, 4 SINEMA RC Client

installieren, 53 SINEMA RC Server

installieren, 11

T Training, 5

W WBM

anmelden, 15, 55 starten, 12

Index


Date post:	15-Aug-2019
Category:	Documents
Upload:	phamkiet
View:	212 times
Download:	0 times

SINEMA Remote Connect - cache.industry.siemens.com · Dieses Dokument soll Sie in die Lage...

Documents