close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

2 Einführung in Remote Networks - Siemens

EinbettenHerunterladen
Applikationsbeschreibung 08/2014
IP-basierte Remote Networks
SCALANCE M, SCALANCE S, CP x43-1 Advanced, CP 1x43-1,
TS Adapter IE Advanced
http://support.automation.siemens.com/WW/view/de/26662448
Gewährleistung und Haftung
Gewährleistung und Haftung
Hinweis
Die Applikationsbeispiele sind unverbindlich und erheben keinen Anspruch auf
Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher
Eventualitäten. Die Applikationsbeispiele stellen keine kundenspezifischen
Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen
Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen
Produkte selbst verantwortlich. Diese Applikationsbeispiele entheben Sie nicht
der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und
Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass wir
über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden
haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen
an diesen Applikationsbeispielen jederzeit ohne Ankündigung durchzuführen. Bei
Abweichungen zwischen den Vorschlägen in diesem Applikationsbeispiel und
anderen Siemens Publikationen, wie z.B. Katalogen, hat der Inhalt der anderen
Dokumentation Vorrang.
Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine
Gewähr.
Siemens AG 2014 All rights reserved
Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der
in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme,
Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen,
soweit nicht z.B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der
groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der
Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer
Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen
Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den
vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder
grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers
oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu
Ihrem Nachteil ist hiermit nicht verbunden.
Weitergabe oder Vervielfältigung dieser Applikationsbeispiele oder Auszüge
daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens Industry Sector
zugestanden.
Securityhinweise
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an,
die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder
Netzwerken unterstützen. Sie sind wichtige Komponenten in einem
ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von
Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens
empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren.
Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es
erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu
ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept
zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch
eingesetzte Produkte von anderen Herstellern zu berücksichtigen.
Weitergehende Informationen über Industrial Security finden Sie unter
http://www.siemens.com/industrialsecurity.
Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren
produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie
unter http://support.automation.siemens.com.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
2
Inhaltsverzeichnis
Inhaltsverzeichnis
Gewährleistung und Haftung ...................................................................................... 2
1
Bemerkungen zum Dokument .......................................................................... 6
1.1
1.2
1.3
2
Einführung in Remote Networks ...................................................................... 9
2.1
2.2
2.2.1
2.2.2
2.2.3
2.2.4
2.2.5
2.2.6
2.2.7
3
Remote Networks & Industrial Security................................................ 9
Security Integrated-Produktportfolio ................................................... 11
SCALANCE S ..................................................................................... 12
SOFTNET Security Client .................................................................. 12
SCALANCE M-800 ............................................................................. 12
CP x43-1 Advanced ........................................................................... 14
CP 1x43-1 .......................................................................................... 14
CP 1628.............................................................................................. 15
TS Adapter IE Advanced .................................................................... 15
SCALANCE S ................................................................................................... 16
3.1
3.1.1
Siemens AG 2014 All rights reserved
Veranlassung und Zielsetzung ............................................................. 6
Eigenschaften und Nutzen ................................................................... 6
Strukturierung des Dokuments ............................................................. 7
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.2
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
3.3
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
Statische IP-Adresse .......................................................................... 17
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SCALANCE S über eine statische IP-Adresse .................................. 17
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SCALANCE M81x-1 über eine statische IP-Adresse ......................... 18
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SOFTNET Security Client über eine statische IP-Adresse ................ 19
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und CP
x43-1 Advanced über eine statische IP-Adresse ............................... 20
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SCALANCE M874-x über eine statische IP-Adresse ......................... 21
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und einem
Mobile-Client über eine statische IP-Adresse .................................... 22
Dynamische IP-Adresse ..................................................................... 23
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SCALANCE S über eine dynamische IP-Adresse ............................. 23
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SCALANCE M81x-1 über eine dynamische IP-Adresse .................... 24
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SOFTNET Security Client über eine dynamische IP-Adresse ........... 25
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SCALANCE M874-x über eine dynamische IP-Adresse .................... 26
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und einem
Mobile-Client über eine dynamische IP-Adresse ............................... 27
PPPoE ................................................................................................ 28
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SCALANCE S über PPPoE ................................................................ 28
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SCALANCE M81x-1 über PPPoE ...................................................... 29
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SOFTNET Security Client über PPPoE ............................................. 30
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und CP
x43-1 Advanced über PPPoE ............................................................ 31
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und
SCALANCE M874-x über PPPoE ...................................................... 32
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und einem
Mobile-Client über PPPoE.................................................................. 33
08/2014
3
Inhaltsverzeichnis
4
SCALANCE M874-x.......................................................................................... 34
4.1
4.1.1
4.1.2
4.1.3
4.1.4
4.1.5
4.1.6
4.2
4.2.1
4.2.2
4.2.3
4.2.4
Siemens AG 2014 All rights reserved
5
SCALANCE M81x-1.......................................................................................... 45
5.1
5.1.1
5.1.2
5.1.3
5.1.4
5.1.5
5.1.6
5.2
5.2.1
5.2.2
5.2.3
5.2.4
6
Statische IP-Adresse .......................................................................... 35
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
SCALANCE M81x-1 über eine statische IP-Adresse ......................... 35
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
SOFTNET Security Client über eine statische IP-Adresse ................ 36
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
CP x43-1 Advanced über eine statische IP-Adresse ......................... 37
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
CP 1x43-1 über eine statische IP-Adresse ........................................ 38
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
SCALANCE M874-x über eine statische IP-Adresse ......................... 39
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
einem Mobile-Client über eine statische IP-Adresse ......................... 40
Dynamische IP-Adresse ..................................................................... 41
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
SCALANCE M81x-1 über eine dynamische IP-Adresse .................... 41
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
SOFTNET Security Client über eine dynamische IP-Adresse ........... 42
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
SCALANCE M874-x über eine dynamische IP-Adresse .................... 43
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und
einem Mobile-Client über eine dynamische IP-Adresse .................... 44
Statische IP-Adresse .......................................................................... 46
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
SCALANCE M81x-1 über eine statische IP-Adresse ......................... 46
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
SOFTNET Security Client über eine statische IP-Adresse ................ 47
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
CP x43-1 Advanced über eine statische IP-Adresse ......................... 48
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
CP 1x43-1 über eine statische IP-Adresse ........................................ 49
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
SCALANCE M874-x über eine statische IP-Adresse ......................... 50
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
einem Mobile-Client über eine statische IP-Adresse ......................... 51
Dynamische IP-Adresse ..................................................................... 52
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
SCALANCE M81x-1 über eine dynamische IP-Adresse .................... 52
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
SOFTNET Security Client über eine dynamische IP-Adresse ........... 53
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
SCALANCE M874-x über eine dynamische IP-Adresse .................... 54
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und
einem Mobile-Client über eine dynamische IP-Adresse .................... 55
CP x43-1 Advanced ......................................................................................... 56
6.1
6.1.1
6.1.2
6.1.3
6.1.4
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
Statische IP-Adresse .......................................................................... 57
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
SCALANCE S über eine statische IP-Adresse .................................. 57
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
SCALANCE M81x-1 über eine statische IP-Adresse ......................... 58
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
SOFTNET Security Client über eine statische IP-Adresse ................ 59
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
CP x43-1 Advanced über eine statische IP-Adresse ......................... 60
08/2014
4
Inhaltsverzeichnis
6.1.5
6.1.6
6.2
6.2.1
6.2.2
6.2.3
6.2.4
7
CP 1x43-1 .......................................................................................................... 67
7.1
7.1.1
7.1.2
7.1.3
7.1.4
Siemens AG 2014 All rights reserved
7.1.5
7.1.6
7.1.7
7.2
7.2.1
7.2.2
7.2.3
7.2.4
8
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
SCALANCE M874-x über eine statische IP-Adresse ......................... 61
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
einem Mobile-Client über eine statische IP-Adresse ......................... 62
Dynamische IP-Adresse ..................................................................... 63
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
SOFTNET Security Client über eine dynamische IP-Adresse ........... 63
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
SCALANCE M81x-1 über eine dynamische IP-Adresse .................... 64
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
SCALANCE M874-x über eine dynamische IP-Adresse .................... 65
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und
einem Mobile-Client über eine dynamische IP-Adresse .................... 66
Statische IP-Adresse .......................................................................... 68
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und
SCALANCE S über eine statische IP-Adresse .................................. 68
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und
SCALANCE M81x-1 über eine statische IP-Adresse ......................... 69
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und SOFTNET
Security Client über eine statische IP-Adresse .................................. 70
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und CP x43-1
Advanced über eine statische IP-Adresse ......................................... 71
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und CP 1x43-1
über eine statische IP-Adresse .......................................................... 72
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und
SCALANCE M874-x über eine statische IP-Adresse ......................... 73
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und einem
Mobile-Client über eine statische IP-Adresse .................................... 74
Dynamische IP-Adresse ..................................................................... 75
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und
SCALANCE M81x-1 über eine dynamische IP-Adresse .................... 75
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und SOFTNET
Security Client über eine dynamische IP-Adresse ............................. 76
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und
SCALANCE M874-x über eine dynamische IP-Adresse .................... 77
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und einem
Mobile-Client über eine dynamische IP-Adresse ............................... 78
TS Adapter IE Advanced ................................................................................. 79
8.1
8.2
VPN-Tunnel zwischen TS Adapter IE Advanced (VPN-Server)
und Windows SSTP-Client über eine statische IP-Adresse............... 80
VPN-Tunnel zwischen TS Adapter IE Advanced (VPN-Server)
und TIA Portal über eine statische IP-Adresse .................................. 81
9
Literaturhinweise ............................................................................................. 82
10
Historie.............................................................................................................. 83
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
5
1 Bemerkungen zum Dokument
1.1 Veranlassung und Zielsetzung
1
Bemerkungen zum Dokument
1.1
Veranlassung und Zielsetzung
Veranlassung
Zur Realisierung einer gesicherten Kommunikation gibt es – basierend auf dem
Security Integrated-Produktportfolio- zahlreiche unterschiedliche, immer an die
Applikation angepasste Möglichkeiten. Für den Anwender stellen sich daher bei
der Suche nach einer optimalen Lösung folgende Fragen:
Welche Lösungen gibt es überhaupt?
Wie unterscheiden sich die Lösungen?
Zielsetzung
Das Security-Integrated Portfolio umfasst mehrere Produkte, die untereinander
kombinierbar sind. Dadurch entsteht eine Vielzahl an Konfigurationsmöglichkeiten.
Siemens AG 2014 All rights reserved
Dieses Dokument hilft beim Finden einer optimalen Lösung für eine gesicherte
Kommunikation auf Basis von VPN.
1.2
Eigenschaften und Nutzen
Eigenschaften
Das Dokument hat folgende Eigenschaften:
übersichtlicher und kompakter Aufbau
stichpunktartiger Inhalt und Übersichtsgrafik der Einzelkonfigurationen
Es werden keine Details beschrieben; diese sind in den Einzelkonfigurationen
vorhanden.
Nutzen
Das Dokument bietet dem Leser folgenden Nutzen:
Unterstützung bei Planung und Projektierung
Schnelles Finden von Informationen bzgl. der Konfigurationsmöglichkeiten
Kurze und kompakte Übersicht der Merkmale
Verweis auf die Einzelkonfigurationen
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
6
1 Bemerkungen zum Dokument
1.3 Strukturierung des Dokuments
1.3
Strukturierung des Dokuments
Das Security-Integrated Portfolio von Siemens umfasst mehrere Produkte, die
untereinander kombinierbar sind. Dadurch entsteht eine Vielzahl an
Konfigurationsmöglichkeiten.
Um diese übersichtlich darzustellen, werden die möglichen Konstellationen nach
bestimmten Kriterien eingeteilt.
In diesem Dokument bekommen Sie eine Übersicht der Konfigurationen mit
Baugruppen des Remote Networks Portfolios.
Einteilung nach SIMATIC-Abhängigkeit
Die VPN-Lösungen mit den SCALANCE-Baugruppen oder mit dem TS-Adapter
sind SIMATIC-unabhängig, d.h. die Applikation hinter dem VPN-Tunnel muss
keine SIMATIC-Applikation sein. Der Zugriff auf andere Applikationen über die
SCALANCE Baugruppen oder den TS-Adapter ist ebenso möglich.
Die VPN-Lösungen mit den CPs sind SIMATIC-basiert, da eine SIMATIC CPU
benötigt wird, um den CP zu betreiben. Mit diesen Konfigurationen kann aber über
den CP auch auf „Nicht-SIMATIC“-Anlagenteile zugegriffen werden.
Einteilung der Konfigurationen
Siemens AG 2014 All rights reserved
Die möglichen Konstellationen eines IP-basierten Remote Networks werden in
Gruppen unterteilt. Kriterium für diese Unterteilung ist die Baugruppe, die als VPNServer fungiert.
Für jede Baugruppe, die als VPN-Server konfiguriert werden kann, gibt es eine
eigene Gruppe. Damit ergibt sich folgende Unterteilung an VPN-Server Gruppen:
SCALANCE S
SCALANCE M874
SCALANCE M810
CP x43-1 Adv.
CP 1x43-1
CP 1628
TS Adapter IE Advanced
Hinweis
Konfigurationsbeispiele für den CP 1628 finden Sie unter dem Link 10.
Inhalte einer Gruppe
Eine Gruppe kann wiederum aus mehreren Konfigurationen bestehen. Alle
Konfigurationen haben eine Gemeinsamkeit: der VPN-Server ist bei allen die
gleiche Security-Baugruppe - vorgegeben durch die Gruppe. Sie unterscheiden
sich in der Baugruppe, die als VPN-Client eingesetzt wird.
Für alle möglichen Konstellationen einer Gruppe gibt es ein Dokument im Siemens
Industry Online Support mit der konkreten Projektierungsanleitung für die
Einstellungen der VPN-Baugruppen.
In der folgenden Abbildung ist die Gliederung der Konfigurationen dargestellt.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
7
1 Bemerkungen zum Dokument
1.3 Strukturierung des Dokuments
Abbildung 1-1
Remote Access
(IP-basiert)
ÜbersichtsDoku
Gruppe
VPN-Server
VPN-Server
VPN-Server
VPN-Server
VPN-Server
VPN-Server
SCALANCE S
SCALANCE
M874
SCALANCE
M810
CP x43-1 Adv.
CP 1x43-1
TS-Adapter
Konfigurationen
Konfigurationen, die zur gleichen Gruppe gehören sind mit der gleichen Farbe
gekennzeichnet (z. B. Gelb für die Gruppe SCALANCE S).
Siemens AG 2014 All rights reserved
Jede Konfiguration wird in dem entsprechenden Kapitel homogen
in einer Übersichtsgrafik dargestellt,
die Voraussetzungen aufgelistet,
der Link zur detaillierten Konfigurationsbeschreibung angegeben.
Die Konfigurationen innerhalb der Gruppe sind dann nach der Zugriffsart sortiert.
Zugriff über eine statische, öffentliche IP–Adresse (VPN-Server-seitig)
Zugriff über eine dynamische, öffentliche IP–Adresse (VPN-Server-seitig)
PPPoE (nur in der SCALANCE S Gruppe)
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
8
2 Einführung in Remote Networks
2.1 Remote Networks & Industrial Security
2
Einführung in Remote Networks
2.1
Remote Networks & Industrial Security
Remote Networks
Remote Networks sind öffentliche oder private Kommunikationsinfrastrukturen zur
Abdeckung großer Bereiche oder großer Entfernungen, wie beispielsweise
Mobilfunk oder Festnetz.
Die geografische Verteilung von Automatisierungszellen erhöht den Bedarf für
Telecontrol (Fernwirken) und Teleservice (Fernwarten/Diagnose) in einem Remote
Network.
Das umfassende Remote Networks Portfolio von Siemens bietet sowohl die
Anbindung an klassische (Standleitung, Telefon) als auch an IP-basierte
Infrastrukturen (z. B. Internet).
Applikationen
Siemens AG 2014 All rights reserved
Mögliche Fernzugriff-Applikationen in einem Remote Network sind:
Telecontrol
Anbindung räumlich weit verteilter Unterstationen (Remote Terminal Units
RTUs) an ein oder mehrere zentrale Leitsysteme zum Zweck der
Überwachung und Steuerung.
Teleservice
Datenaustausch mit räumlich entfernten, technischen Anlagen wie Maschinen,
Anlagen und Computern zum Zweck der Fehlererkennung, Diagnose,
Wartung, Reparatur und Optimierung.
Integration in das Industrial Security-Konzept
Der Fokus dieses Dokuments liegt bei den IP-basierten Netzwerken.
Da der Fernzugriff auf die Anlage über ein öffentliches Netz (z. B. Internet)
stattfindet, ist der Schutz vor Datenmanipulation und Spionage besonders
wichtig. Hierfür werden Virtual Private Networks (VPN) eingesetzt.
VPN
Ein VPN bezeichnet ein privates Netzwerk, das zur Übertragung der Daten an ein
privates Zielnetz ein öffentliches Netzwerk (z. B. Internet) als Transitnetzwerk
benutzt. Die privaten Netze und das Transitnetzwerk müssen dabei untereinander
nicht kompatibel sein.
VPN nutzt dafür zwar die Adressierungsmechanismen des Transitnetzwerks,
verwendet aber eigene Netzwerkpakete, um den Transport privater Datenpakete
von den anderen zu trennen. Diese Tatsache lässt die privaten Netzwerke wie ein
gemeinsames, logisches (virtuelles) Netzwerk erscheinen.
Für den Aufbau eines VPN werden VPN-Router benötigt. Die VPN Security
Integrated-Produkte (VPN-Router) von Siemens unterstützen das IPSec (IPSecurity) Protokoll.
Der TS Adapter IE Advanced nutzt das SSTP Protokoll (Secure Socket Tunneling
Protocol) von Microsoft.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
9
2 Einführung in Remote Networks
2.1 Remote Networks & Industrial Security
VPN-Client und VPN-Server
Eine über IPSec gesicherte Datenkommunikation beginnt immer mit der
Aushandlung einer vorläufigen Security Association (Phase 1 von IKE), bevor in
Phase 2 eine endgültige Einigung über die Algorithmen, Schlüssel etc. getroffen
wird.
Der Tunnelendpunkt, der die Aushandlung einer Security Association aktiv startet,
wird als VPN-Client bezeichnet.
Die Gegenstelle, die auf den VPN-Client wartet, heißt VPN-Server.
Mehr Informationen über das IPSec Protokoll und das Siemens Security Konzept
erhalten Sie im Link \3\.
Siemens AG 2014 All rights reserved
Hinweis
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
10
2 Einführung in Remote Networks
2.2 Security Integrated-Produktportfolio
2.2
Security Integrated-Produktportfolio
Durch die Kombination unterschiedlicher Sicherheitsmaßnahmen wie Firewall und
VPN schützen die Security-Baugruppen einzelne Geräte oder auch ganze
Automatisierungszellen vor:
Datenspionage
Datenmanipulation
unerwünschten Zugriffen
In der folgenden Abbildung werden die Remote Access Zellen dargestellt.
Abbildung 2-1
Service PCs
SSC
Internet
Router
Siemens AG 2014 All rights reserved
SCALANCE S
TIA
Portal
Internet
Router
SCALANCE
M874-x
Smartphone mit
IPSec Client App
Windows
SSTP
SCALANCE
M81x-1
Internet
Router
Internet
Router
Automatisierungszellen
SCALANCE S
Internet
Router
Internet
Router
SIMATIC S7
Stationen
Internet
Router
SCALANCE
M874-x
Internet
Router
SIMATIC S7
Stationen
TS Adapter IE
Advanced SIMATIC S7
SIMATIC S7-300 oder
S7-400 mit CP x43-1
Advanced
SIMATIC S7-1200
oder S7-1500
mit CP 1x43-1
Stationen
SCALANCE SIMATIC S7
M81x-1
Stationen
Um Sie bei der Produktauswahl zu unterstützen, werden hier die wichtigsten
Merkmale der jeweiligen Security-Baugruppen beschrieben.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
11
2 Einführung in Remote Networks
2.2 Security Integrated-Produktportfolio
2.2.1
SCALANCE S
Die Security Module der SCALANCE S-Familie sind speziell für den Einsatz in der
Automatisierungstechnik vorgesehen, schließen dabei aber nahtlos an die
Security-Strukturen der Office- und IT-Welt an. Die Baugruppen SCALANCE S612,
SCALANCE S623 und SCALANCE S627-2M bieten zusätzlich die folgenden
Eigenschaften:
Schutz mehrerer Geräte gleichzeitig durch IPSec-Tunnel (Es werden bis zu
128 VPN-Tunnel parallel unterstützt).
Automatischer Bezug von IP-Adressen vom Provider via PPPoE; der Einsatz
eines separaten DSL-Routers kann somit entfallen, ein DSL-Modem kann
stattdessen vewendet werden.
Verwendung von DNS bei VPN-Tunnel über öffentliche dynamische IPAdressen vom Provider.
Benutzerspezifische IP-Firewall zur Unterscheidung und Differenzierung der
Zugriffe auf bestimmte Anlagenteile.
Siemens AG 2014 All rights reserved
Hinweis
2.2.2
Die technischen Daten der SCALANCE S Baugruppen finden Sie unter dem Link
\4\.
SOFTNET Security Client
Der SOFTNET Security Client ermöglicht Programmiergeräten, PCs und
Notebooks den Zugriff auf durch SCALANCE S, SCALANCE M oder CPs
geschützte Netzwerkteilnehmer bzw. Automatisierungssysteme.
Er zeichnet sich durch folgende Eigenschaften aus:
Sicherer Zugriff von Programmiergeräten oder Notebooks auf komplette
Automatisierungszellen.
Einfacher Einsatz auf mobilen PCs.
Nicht-sichere Geräte können in den sicheren Datenverkehr eingebunden
werden.
Unterstützung der DNS-Client-Funktion.
2.2.3
SCALANCE M-800
SCALANCE M874
Die Router SCALANCE M874-3 (HSPA+- Router) und SCALANCE M874-2
(GPRS/EDGE-Router) sind für das Mobilfunknetz geeignet. Diese Baugruppen
zeichnen sich durch folgende Eigenschaften aus:
Schutz mehrerer Geräte gleichzeitig durch IPSec-Tunnel (Es werden bis zu 10
VPN-Tunnel parallel unterstützt).
Breiter Einsatzbereich; überall dort einsetzbar, wo ein GPRS/UMTS-Netz
verfügbar ist.
Anschluss von ortsfesten Stationen und/ oder mobilen Teilnehmern.
Einfachheit bei der Verbindung von lokalen Netzen mittels IP-Kommunikation
über WAN.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
12
2 Einführung in Remote Networks
2.2 Security Integrated-Produktportfolio
Benutzerspezifische IP-Firewall zur Unterscheidung und Differenzierung der
Zugriffe auf bestimmte Anlagenteile.
Hinweis
Die technischen Daten der SCALANCE M874 Baugruppen finden Sie unter dem
Link \5\.
SCALANCE M810
Die SCALANCE M812-1 und SCALANCE M816-1 sind DSL-Router für die
kostengünstige und sichere Anbindung von Ethernet-basierten Subnetzen und
Automatisierungsgeräten an kabelgebundene Telefon- bzw. DSL-Netze. Sie
unterstützen ADSL2+ (Asynchronous Digital Subscriber Line).
Diese Baugruppen zeichnen sich durch folgende Eigenschaften aus:
Schutz mehrerer Geräte gleichzeitig durch IPsec-Tunnel (Es werden bis zu 20
VPN-Tunnel parallel unterstützt).
VPN- und DSL-Router in einem Gerät; somit entfällt der Einsatz eines
separaten DSL-Routers.
Siemens AG 2014 All rights reserved
Breiter Einsatzbereich durch hohe Bandbreite, Performance und
Geschwindigkeit.
Reduzierung von Reise- und Personalkosten durch Fernprogrammierung und
Ferndiagnose über drahtgebundene Telefon- bzw. DSL-Netze.
Benutzerspezifische IP-Firewall zur Unterscheidung und Differenzierung der
Zugriffe auf bestimmte Anlagenteile.
Hinweis
Die technischen Daten der SCALANCE M810 Baugruppen finden Sie unter dem
Link \6\.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
13
2 Einführung in Remote Networks
2.2 Security Integrated-Produktportfolio
2.2.4
CP x43-1 Advanced
Der CP 343-1 Advanced und der CP 443-1 Advanced sind Kommunikationsprozessoren für den Anschluss von SIMATIC S7 CPUs an PROFINET / Industrial
Ethernet Netzwerke.
Sie bilden für die SIMATIC S7-300 bzw. S7-400 die Brücke zwischen Feldebene
und Leitebene und schließen nahtlos an die Security-Strukturen der Office- und ITWelt an.
Diese Baugruppen zeichnen sich durch folgende Eigenschaften aus:
Firewall, VPN-Gateway und Kommunikationsprozessor in einem Gerät
Siemens AG 2014 All rights reserved
Schutz von S7-300 bzw. S7-400 Steuerungen und deren unterlagerten
Netzwerken durch IPsec-Tunnel (Es werden bis zu 32 VPN-Tunnel gleichzeitig
unterstützt).
Hinweis
Die technischen Daten des CP 343-1 Advanced finden Sie unter dem Link \7\.
Hinweis
Die technischen Daten des CP 443-1 Advanced finden Sie unter dem Link \8\.
2.2.5
CP 1x43-1
Der Kommunikationsprozessor CP 1243-1 verbindet die Steuerung SIMATIC
S7-1200 sicher mit Ethernet-Netzwerken.
Der Kommunikationsprozessor CP 1543-1 verbindet die Steuerung SIMATIC
S7-1500 sicher mit Ethernet-Netzwerken.
Diese Baugruppen zeichnen sich durch folgende Eigenschaften aus:
Firewall, VPN-Gateway und Kommunikationsprozessor in einem Gerät
Schutz von S7-1200 bzw. S7-1500 Steuerungen und deren unterlagerten
Netzwerken durch IPsec-Tunnel (Es werden bis zu 16 VPN-Tunnel parallel
unterstützt).
Hinweis
Die technischen Daten des CP 1243-1 finden Sie unter dem Link \7\.
Hinweis
Die technischen Daten des CP 1543-1 finden Sie unter dem Link \8\.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
14
2 Einführung in Remote Networks
2.2 Security Integrated-Produktportfolio
2.2.6
CP 1628
Der CP 1628 ist eine Kommunikationsbaugruppe für den sicheren Anschluss von
PG/PC an Industrial Ethernet. Mit einem eigenem Prozessor für Automatisierungs/Sicherheitsaufgaben entlastet der CP 1628 den Host-PC und stellt eine konstante,
stabile und sichere Datenkommunikation zur Verfügung.
Diese Baugruppe zeichnet sich durch folgende Eigenschaften aus:
Firewall, VPN-Gateway und Kommunikationsprozessor in einem Gerät.
Schutz mehrerer Geräte gleichzeitig durch IPsec-Tunnel (Es werden bis zu 64
VPN-Tunnel parallel unterstützt).
Hinweis
2.2.7
Die technischen Daten des CP1628 finden Sie unter dem Link \9\.
TS Adapter IE Advanced
Siemens AG 2014 All rights reserved
Der TS Adapter IE Advanced ermöglicht in Verbindung mit TIA Portal (ab V12 SP1)
den Zugriff über das Internet auf alle Automatisierungskomponenten (z. B. S7Steuerungen), die auf der Anlage am Industrial Ethernet angeschlossen sind.
Diese Baugruppe zeichnet sich durch folgende Eigenschaften aus:
Neben dem TIA Portal wird keine weitere Software oder Hardware zum VPN1
Verbindungsaufbau (VPN-Client) benötigt.
Schutz von S7- Steuerungen und deren unterlagerten Netzwerken durch
SSTP- Tunnel.
Hinweis
1
Die technischen Daten des TS Adapter IE Advanced finden Sie unter dem Link
11.
Internet-Anschluss und ein DSL-Modem sind für den Zugriff ins Internet benötigt.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
15
Siemens AG 2014 All rights reserved
3 SCALANCE S
2.2 Security Integrated-Produktportfolio
3
SCALANCE S
In diesem Kapitel werden die Konfigurationen beschrieben, bei denen der SCALANCE S als VPN-Server konfiguriert ist.
Diese Gruppe ist mit gelber Farbe gekennzeichnet.
Tabelle 3-1
VPN-Server
VPN-Client
SCALANCE S
VPN-Gegenstelle
Zugriffsart
Statische IP-.Adresse
Dynamische IP-Adresse
PPPoE
Merkmale
Der SCALANCE S kann sich entweder hinter einem DSL-Router oder einem DSL-Modem befinden.
Es kann eine statische oder eine dynamische öffentliche IP-Adresse für den DSL-Router /Modem auf der VPN-Server-Seite benutzt
werden.
Es können bis zu 128 VPN-Tunnel parallel aufgebaut werden; somit können mehrere gesicherte Verbindungen parallel und
voneinander unabhängig ablaufen.
Ein Servicemitarbeiter oder Anlage auf VPN-Client-Seite kann den VPN-Tunnel nur im Bedarfsfall aufbauen; eine permanent
bestehende Tunnelverbindung ist nicht notwendig.
Durch die Routing-Funktion werden die Netze an der internen und externen Schnittstelle zu separaten Subnetzen.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
16
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.1 Statische IP-Adresse
3.1
Statische IP-Adresse
3.1.1
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SCALANCE S über eine statische IP-Adresse
Übersicht
Abbildung 3-1
Service PC
Automatisierungszelle
SCALANCE S
Internet
SCALANCE S
Modem/Router
Internet
Router
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
VPN-Client
SIMATIC S7
Stationen
Tabelle 3-2
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SCALANCE S
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig)
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig)
Link zur Konfigurationsbeschreibung:
http://support.automation.siemens.com/WW/view/de/99681360
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
17
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.1 Statische IP-Adresse
3.1.2
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SCALANCE M81x-1 über eine statische IP-Adresse
Übersicht
Abbildung 3-2
Automatisierungszelle
Service PC
SCALANCE S
SCALANCE
M81x-1
Internet
Router
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 3-3
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SCALANCE M81x-1
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
http://support.automation.siemens.com/WW/view/de/99681595
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
18
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.1 Statische IP-Adresse
3.1.3
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SOFTNET Security Client über eine statische IP-Adresse
Übersicht
Abbildung 3-3
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
Internet
Modem/ Router
Internet
Router
SCALANCE S
Statische
WAN-IP-Adresse
VPN-Server
VPN-Client
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
Tabelle 3-4
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SOFTNET Security Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
http://support.automation.siemens.com/WW/view/de/99681083
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
19
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.1 Statische IP-Adresse
3.1.4
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und CP x43-1 Advanced über eine statische IP-Adresse
Übersicht
Abbildung 3-4
Service PC
Automatisierungszelle
SCALANCE S
Internet
Modem/Router
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
VPN-Client
Tabelle 3-5
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
CP x43-1 Advanced
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
http://support.automation.siemens.com/WW/view/de/99681025
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
20
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.1 Statische IP-Adresse
3.1.5
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SCALANCE M874-x über eine statische IP-Adresse
Übersicht
Abbildung 3-5
Service PC
Automatisierungszelle
SCALANCE S
SCALANCE
M874-x
Internet
Router
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 3-6
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SCALANCE M874-x
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
http://support.automation.siemens.com/WW/view/de/99681225
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
21
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.1 Statische IP-Adresse
3.1.6
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und einem Mobile-Client über eine statische IP-Adresse
Übersicht
Abbildung 3-6
Automatisierungszelle
Smartphone mit
IPSec Client App
Internet
Router
SCALANCE S
Statische
WAN-IP-Adresse
VPN-Client
VPN-Server
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
Tabelle 3-7
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
Mobile-Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Smartphone mit IPSec Client App und Android-Betriebssystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
http://support.automation.siemens.com/WW/view/de/99680894
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
22
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.2 Dynamische IP-Adresse
3.2
Dynamische IP-Adresse
3.2.1
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SCALANCE S über eine dynamische IP-Adresse
Übersicht
Abbildung 3-7
Service PC
Automatisierungszelle
SCALANCE S
Internet
SCALANCE S
Modem/Router
Internet
Router
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
VPN-Client
SIMATIC S7
Stationen
Tabelle 3-8
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SCALANCE S
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
23
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.2 Dynamische IP-Adresse
3.2.2
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SCALANCE M81x-1 über eine dynamische IP-Adresse
Übersicht
Abbildung 3-8
Automatisierungszelle
Service PC
SCALANCE S
SCALANCE
M81x-1
Internet
Router
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 3-9
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SCALANCE M81x-1
dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
24
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.2 Dynamische IP-Adresse
3.2.3
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SOFTNET Security Client über eine dynamische IP-Adresse
Übersicht
Abbildung 3-9
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
Internet
Modem/ Router
Internet
Router
SCALANCE S
Dynamische
WAN-IP-Adresse
VPN-Client
VPN-Server
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
Tabelle 3-10
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SOFTNET Security Client
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig) .
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
25
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.2 Dynamische IP-Adresse
3.2.4
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SCALANCE M874-x über eine dynamische IP-Adresse
Übersicht
Abbildung 3-10
Service PC
Automatisierungszelle
SCALANCE S
SCALANCE
M874-x
Internet
Router
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
VPN-Client
SIMATIC S7
Stationen
Tabelle 3-11
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SCALANCE M874-x
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router (Nutzung der DDNS-Provider dyndns.org oder no-ip.org)
Internet-Router mit Port-Forwarding-Funktionalität
Standard-APN des Mobilfunkbetreibers
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
26
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.2 Dynamische IP-Adresse
3.2.5
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und einem Mobile-Client über eine dynamische IP-Adresse
Übersicht
Abbildung 3-11
Automatisierungszelle
Smartphone mit
IPSec Client App
Internet
Router
SCALANCE S
Dynamische
WAN-IP-Adresse
VPN-Client
VPN-Server
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
Tabelle 3-12
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
Mobile-Client
dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Smartphone mit IPSec Client App und Android-Betriebssystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
27
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.3 PPPoE
3.3
PPPoE
3.3.1
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SCALANCE S über PPPoE
Übersicht
Abbildung 3-12
Service PC
Automatisierungszelle
SCALANCE S
VPN tunnel
Industrial Ethernet
Internet
Modem
Internet
SCALANCE S
Modem/Router
VPN-Server
VPN-Client
SIMATIC S7
Stationen
Tabelle 3-13
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SCALANCE S
PPPoE
Voraussetzungen
SCALANCE S ab Version 3 (VPN-Server).
Dynamische Nutzung der DDNS-Provider dyndns.org oder no-ip.org (VPN-Client: SCALANCE S (ab Firmware Version V4)) oder
statische öffentliche IP-Adresse für das Internet-Modem.
Standard Internet-Modem (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
28
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.3 PPPoE
3.3.2
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SCALANCE M81x-1 über PPPoE
Übersicht
Abbildung 3-13
Automatisierungszelle
Service PC
SCALANCE S
VPN tunnel
Industrial Ethernet
SCALANCE
M81x-1
Internet
Modem
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 3-14
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SCALANCE M81x-1
PPPoE
Voraussetzungen
SCALANCE S ab Version 3 (VPN-Server).
Dynamische (Nutzung der DDNS-Provider dyndns.org oder no-ip.org) oder statische öffentliche IP-Adresse für das Internet-Modem
des VPN-Servers.
Standard Internet-Modem (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
29
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.3 PPPoE
3.3.3
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SOFTNET Security Client über PPPoE
Übersicht
Abbildung 3-14
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
Internet
Modem/ Router
Internet
Modem
VPN-Client
SCALANCE S
VPN-Server
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
Tabelle 3-15
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SOFTNET Security Client
PPPoE
Voraussetzungen
SCALANCE S ab Version 3 (VPN-Server).
Dynamische (Nutzung der DDNS-Provider dyndns.org oder no-ip.org) oder statische öffentliche IP-Adresse für das Internet-Modem
des VPN-Servers.
Standard Internet-Modem (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
30
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.3 PPPoE
3.3.4
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und CP x43-1 Advanced über PPPoE
Übersicht
Abbildung 3-15
Service PC
Automatisierungszelle
SCALANCE S
Internet
Modem/Router
Internet
Modem
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
VPN-Client
Tabelle 3-16
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
CP x43-1 Advanced
PPPoE
Voraussetzungen
SCALANCE S ab Version 3 (VPN-Server).
Statische öffentliche IP-Adresse für das Internet-Modem des VPN-Servers.
Standard Internet-Modem (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
31
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.3 PPPoE
3.3.5
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und SCALANCE M874-x über PPPoE
Übersicht
Abbildung 3-16
Service PC
Automatisierungszelle
SCALANCE S
VPN tunnel
Industrial Ethernet
SCALANCE
M874-x
Internet
Modem
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 3-17
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
SCALANCE M874-x
PPPoE
Voraussetzungen
SCALANCE S ab Version 3 (VPN-Server).
Dynamische (Nutzung der DDNS-Provider dyndns.org oder no-ip.org) oder statische öffentliche IP-Adresse für das Internet-Modem
des VPN-Servers.
Standard Internet-Modem (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
32
Siemens AG 2014 All rights reserved
3 SCALANCE S
3.3 PPPoE
3.3.6
VPN-Tunnel zwischen SCALANCE S (VPN-Server) und einem Mobile-Client über PPPoE
Übersicht
Abbildung 3-17
Automatisierungszelle
Smartphone mit
IPSec Client App
Internet
Modem
VPN-Client
SCALANCE S
VPN-Server
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
Tabelle 3-18
VPN-Server
VPN-Client
Zugriffsart
SCALANCE S
Mobile-Client
PPPoE
Voraussetzungen
SCALANCE S ab Version 3 (VPN-Server).
Dynamische (Nutzung der DDNS-Provider dyndns.org oder no-ip.org) oder statische öffentliche IP-Adresse für das Internet-Modem
des VPN-Servers.
Standard Internet-Modem (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Smartphone mit IPSec Client App und Android-Betriebssystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
33
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
3.3 PPPoE
4
SCALANCE M874-x
In diesem Kapitel werden die Konfigurationen beschrieben, bei denen der SCALANCE M874-x als VPN-Server konfiguriert ist.
Diese Gruppe ist mit hellroter Farbe gekennzeichnet.
Tabelle 4-1
VPN-Server
VPN-Client
SCALANCE M874-x
VPN-Gegenstelle
Zugriffsart
Statische IP-.Adresse
Dynamische IP-Adresse
Merkmale
Die Anlage mit SCALANCE M874-x als VPN-Server kann sowohl ortsfest als auch mobil sein.
Es kann eine statische oder eine dynamische öffentliche IP-Adresse für den SCALANCE M874-x verwendet werden.
Es können bis zu 10 VPN-Tunnel parallel aufgebaut werden; somit können mehrere gesicherte Verbindungen parallel und voneinander
unabhängig ablaufen.
Ein Servicemitarbeiter oder Anlage auf VPN-Client-Seite kann den VPN-Tunnel nur im Bedarfsfall aufbauen; eine permanent
bestehende Tunnelverbindung ist nicht notwendig.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
34
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.1 Statische IP-Adresse
4.1
Statische IP-Adresse
4.1.1
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und SCALANCE M81x-1 über eine statische IP-Adresse
Übersicht
Abbildung 4-1
Service PC
Automatisierungszelle
SCALANCE
M81x-1
SCALANCE
M874-x
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 4-2
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
SCALANCE M81x-1
statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse vom Mobilfunkbetreiber, welche auch aus dem Internet erreichbar (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
35
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.1 Statische IP-Adresse
4.1.2
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und SOFTNET Security Client über eine statische IP-Adresse
Übersicht
Abbildung 4-2
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
SCALANCE
M874-x
Internet
Modem/ Router
Statische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
VPN-Server
SIMATIC S7
Stationen
Tabelle 4-3
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
SOFTNET Security Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse vom Mobilfunkbetreiber, welche auch aus dem Internet erreichbar (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
36
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.1 Statische IP-Adresse
4.1.3
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und CP x43-1 Advanced über eine statische IP-Adresse
Übersicht
Abbildung 4-3
Service PC
Automatisierungszelle
SCALANCE
M874-x
Internet
Modem/Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
VPN-Client
Tabelle 4-4
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
CP x43-1 Advanced
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse vom Mobilfunkbetreiber, welche auch aus dem Internet erreichbar (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
37
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.1 Statische IP-Adresse
4.1.4
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und CP 1x43-1 über eine statische IP-Adresse
Übersicht
Abbildung 4-4
Automatisierungszelle
Service PC
SCALANCE
M874-x
Internet
Modem/Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 4-5
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
CP 1x43-1
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse vom Mobilfunkbetreiber, welche auch aus dem Internet erreichbar (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
38
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.1 Statische IP-Adresse
4.1.5
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und SCALANCE M874-x über eine statische IP-Adresse
Übersicht
Abbildung 4-5
Automatisierungszelle
Service PC
SCALANCE
M874-x
SCALANCE
M874-x
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 4-6
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
SCALANCE M874-x
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse vom Mobilfunkbetreiber, welche auch aus dem Internet erreichbar (VPN-Server-seitig).
Mobil-Mobil Kommunikation (Mobilfunkbetreiberabhängig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
39
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.1 Statische IP-Adresse
4.1.6
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und einem Mobile-Client über eine statische IP-Adresse
Übersicht
Abbildung 4-6
Automatisierungszelle
Smartphone mit
IPSec Client App
SCALANCE
M874-x
Statische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
VPN-Server
SIMATIC S7
Stationen
Tabelle 4-7
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
Mobile-Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse vom Mobilfunkbetreiber, welche auch aus dem Internet erreichbar (VPN-Server-seitig).
Mobil-Mobil Kommunikation (Mobilfunkbetreiberabhängig).
Smartphone mit IPSec Client App und Android-Betriebssystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
40
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.2 Dynamische IP-Adresse
4.2
Dynamische IP-Adresse
4.2.1
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und SCALANCE M81x-1 über eine dynamische IP-Adresse
Übersicht
Abbildung 4-7
Service PC
Automatisierungszelle
SCALANCE
M81x-1
SCALANCE
M874-x
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 4-8
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
SCALANCE M81x-1
dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse vom Mobilfunkbetreiber für den VPN-Server (Nutzung der DDNS-Provider dyndns.org oder noip.org).
Standard-APN des Mobilfunkbetreibers (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
41
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.2 Dynamische IP-Adresse
4.2.2
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und SOFTNET Security Client über eine dynamische IPAdresse
Übersicht
Abbildung 4-8
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
SCALANCE
M874-x
Internet
Modem/ Router
Dynamische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
VPN-Server
SIMATIC S7
Stationen
Tabelle 4-9
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
SOFTNET Security Client
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse vom Mobilfunkbetreiber für den VPN-Server (Nutzung der DDNS-Provider dyndns.org oder noip.org).
Standard-APN des Mobilfunkbetreibers (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
42
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.2 Dynamische IP-Adresse
4.2.3
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und SCALANCE M874-x über eine dynamische IP-Adresse
Übersicht
Abbildung 4-9
Automatisierungszelle
Service PC
SCALANCE
M874-x
SCALANCE
M874-x
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 4-10
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
SCALANCE M874-x
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse vom Mobilfunkbetreiber für den VPN-Server (Nutzung der DDNS-Provider dyndns.org oder noip.org).
Mobil-Mobil Kommunikation (Mobilfunkbetreiberabhängig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
43
Siemens AG 2014 All rights reserved
4 SCALANCE M874-x
4.2 Dynamische IP-Adresse
4.2.4
VPN-Tunnel zwischen SCALANCE M874-x (VPN-Server) und einem Mobile-Client über eine dynamische IP-Adresse
Übersicht
Abbildung 4-10
Automatisierungszelle
Smartphone mit
IPSec Client App
SCALANCE
M874-x
Dynamische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
VPN-Server
SIMATIC S7
Stationen
Tabelle 4-11
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M874-x
Mobile-Client
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse vom Mobilfunkbetreiber für den VPN-Server (Nutzung der DDNS-Provider dyndns.org oder noip.org).
Mobil-Mobil Kommunikation (Mobilfunkbetreiberabhängig).
Smartphone mit IPSec Client App und Android-Betriebssystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
44
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
4.2 Dynamische IP-Adresse
5
SCALANCE M81x-1
In diesem Kapitel werden die Konfigurationen beschrieben, bei denen der SCALANCE M81x-1 als VPN-Server konfiguriert ist.
Diese Gruppe ist mit hellgrüner Farbe gekennzeichnet.
Tabelle 5-1
VPN-Server
VPN-Client
SCALANCE M81x-1
VPN-Gegenstelle
Zugriffsart
Statische IP-.Adresse
Dynamische IP-Adresse
Merkmale
Die DSL-Router- und VPN-Server- Einstellungen finden direkt im SCALANCE M81x-1 statt; es ist kein separater DSL-Router
notwendig.
Es kann eine statische oder eine dynamische öffentliche IP-Adresse für den SCALANCE M81x-1 kann benutzt werden.
Es können bis zu 20 VPN-Tunnel gleichzeitig aufgebaut werden; somit können mehrere gesicherte Verbindungen parallel und
voneinander unabhängig ablaufen.
Ein Servicemitarbeiter oder Anlage auf VPN-Client-Seite kann den VPN-Tunnel nur im Bedarfsfall aufbauen; eine permanent
bestehende Tunnelverbindung ist nicht notwendig.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
45
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.1 Statische IP-Adresse
5.1
Statische IP-Adresse
5.1.1
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und SCALANCE M81x-1 über eine statische IP-Adresse
Übersicht
Abbildung 5-1
Service PC
Automatisierungszelle
SCALANCE
M81x-1
SCALANCE
M81x-1
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 5-2
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
SCALANCE M81x-1
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den VPN-Server.
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
46
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.1 Statische IP-Adresse
5.1.2
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und SOFTNET Security Client über eine statische IP-Adresse
Übersicht
Abbildung 5-2
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
SCALANCE
M81x-1
Internet
Modem/ Router
Statische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
VPN-Server
SIMATIC S7
Stationen
Tabelle 5-3
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
SOFTNET Security Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den VPN-Server.
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
47
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.1 Statische IP-Adresse
5.1.3
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und CP x43-1 Advanced über eine statische IP-Adresse
Übersicht
Abbildung 5-3
Service PC
Automatisierungszelle
SCALANCE
M81x-1
Internet
Modem/Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
VPN-Client
Tabelle 5-4
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
CP x43-1 Advanced
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den VPN-Server.
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
48
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.1 Statische IP-Adresse
5.1.4
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und CP 1x43-1 über eine statische IP-Adresse
Übersicht
Abbildung 5-4
Automatisierungszelle
Service PC
SCALANCE
M81x-1
Internet
Modem/Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 5-5
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
CP 1x43-1
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den VPN-Server.
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
49
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.1 Statische IP-Adresse
5.1.5
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und SCALANCE M874-x über eine statische IP-Adresse
Übersicht
Abbildung 5-5
Automatisierungszelle
Service PC
SCALANCE
M81x-1
SCALANCE
M874-x
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Tabelle 5-6
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
SCALANCE M874-x
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den VPN-Server.
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
50
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.1 Statische IP-Adresse
5.1.6
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und einem Mobile-Client über eine statische IP-Adresse
Übersicht
Abbildung 5-6
Automatisierungszelle
Smartphone mit
IPSec Client App
SCALANCE
M81x-1
Statische
WAN-IP-Adresse
VPN-Client
VPN-Server
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
Tabelle 5-7
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
Mobile-Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den VPN-Server.
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Smartphone mit IPSec Client App mit Android-Betriebsystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
51
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.2 Dynamische IP-Adresse
5.2
Dynamische IP-Adresse
5.2.1
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und SCALANCE M81x-1 über eine dynamische IP-Adresse
Übersicht
Abbildung 5-7
Service PC
Automatisierungszelle
SCALANCE
M81x-1
SCALANCE
M81x-1
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
VPN-Client
VPN-Server
Tabelle 5-8
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
SCALANCE M81x-1
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den VPN-Server (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
52
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.2 Dynamische IP-Adresse
5.2.2
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und SOFTNET Security Client über eine dynamische IPAdresse
Übersicht
Abbildung 5-8
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
SCALANCE
M81x-1
Internet
Modem/ Router
Dynamische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
VPN-Server
Tabelle 5-9
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
SOFTNET Security Client
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den VPN-Server (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
53
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.2 Dynamische IP-Adresse
5.2.3
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und SCALANCE M874-x über eine dynamische IP-Adresse
Übersicht
Abbildung 5-9
Service PC
Automatisierungszelle
SCALANCE
M81x-1
SCALANCE
M874-x
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
SIMATIC S7
Stationen
VPN-Client
Tabelle 5-10
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
SCALANCE M874-x
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den VPN-Server (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
54
Siemens AG 2014 All rights reserved
5 SCALANCE M81x-1
5.2 Dynamische IP-Adresse
5.2.4
VPN-Tunnel zwischen SCALANCE M81x-1 (VPN-Server) und einem Mobile-Client über eine dynamische IP-Adresse
Übersicht
Abbildung 5-10
Automatisierungszelle
Smartphone mit
IPSec Client App
SCALANCE
M81x-1
Dynamische
WAN-IP-Adresse
VPN-Client
SIMATIC S7
Stationen
VPN-Server
VPN tunnel
Industrial Ethernet
Tabelle 5-11
VPN-Server
VPN-Client
Zugriffsart
SCALANCE M81x-1
Mobile-Client
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den VPN-Server (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Smartphone mit IPSec Client App und Android-Betriebssystem (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
55
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
5.2 Dynamische IP-Adresse
6
CP x43-1 Advanced
In diesem Kapitel werden die Konfigurationen beschrieben, bei denen der CP x43-1 Advanced als VPN-Server konfiguriert ist.
Diese Gruppe ist mit dunkelblauer Farbe gekennzeichnet.
Tabelle 6-1
VPN-Server
VPN-Client
CP x43-1 Advanced
VPN-Gegenstelle
Zugriffsart
Statische IP-.Adresse
Dynamische IP-Adresse
Merkmale
Die Firewall-, VPN-Server- und Kommunikationseinstellungen finden direkt im CP x43-1 Advanced statt; die Security-Funktionen sind
im Kommunikationsprozessor integriert.
Es kann eine statische oder eine dynamische öffentliche IP-Adresse für den DSL-Router auf der VPN-Server-Seite benutzt werden.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
56
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.1 Statische IP-Adresse
6.1
Statische IP-Adresse
6.1.1
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und SCALANCE S über eine statische IP-Adresse
Übersicht
Abbildung 6-1
Service PC
Automatisierungszelle
SCALANCE S
Internet
Modem/ Router
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 6-2
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
SCALANCE S
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
57
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.1 Statische IP-Adresse
6.1.2
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und SCALANCE M81x-1 über eine statische IP-Adresse
Übersicht
Abbildung 6-2
Service PC
Automatisierungszelle
SCALANCE
M81x-1
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 6-3
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
SCALANCE M874-x
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
58
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.1 Statische IP-Adresse
6.1.3
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und SOFTNET Security Client über eine statische IP-Adresse
Übersicht
Abbildung 6-3
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
Internet
Modem/ Router
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
VPN-Server
Tabelle 6-4
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
SOFTNET Security Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
59
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.1 Statische IP-Adresse
6.1.4
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und CP x43-1 Advanced über eine statische IP-Adresse
Übersicht
Abbildung 6-4
Automatisierungszelle A
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Automatisierungszelle B
Internet
Router
Internet
Modem/Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
VPN-Client
Tabelle 6-5
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
CP x43-1 Advanced
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
60
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.1 Statische IP-Adresse
6.1.5
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und SCALANCE M874-x über eine statische IP-Adresse
Übersicht
Abbildung 6-5
Service PC
Automatisierungszelle
SCALANCE
M874-x
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 6-6
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
SCALANCE M874-x
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
61
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.1 Statische IP-Adresse
6.1.6
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und einem Mobile-Client über eine statische IP-Adresse
Übersicht
Abbildung 6-6
Automatisierungszelle
Smartphone mit
IPSec Client App
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
VPN-Server
Tabelle 6-7
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
Mobile-Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Smartphone mit IPSec Client App mit Android-Betriebssystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
62
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.2 Dynamische IP-Adresse
6.2
Dynamische IP-Adresse
6.2.1
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und SOFTNET Security Client über eine dynamische IPAdresse
Übersicht
Abbildung 6-7
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
Internet
Modem/ Router
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Dynamische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
VPN-Server
Tabelle 6-8
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
SOFTNET Security Client
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
63
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.2 Dynamische IP-Adresse
6.2.2
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und SCALANCE M81x-1 über eine dynamische IP-Adresse
Übersicht
Abbildung 6-8
Service PC
Automatisierungszelle
SCALANCE
M81x-1
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 6-9
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
SCALANCE M874-x
dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
64
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.2 Dynamische IP-Adresse
6.2.3
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und SCALANCE M874-x über eine dynamische IP-Adresse
Übersicht
Abbildung 6-9
Service PC
Automatisierungszelle
SCALANCE
M874-x
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 6-10
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
SCALANCE M874-x
dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
65
Siemens AG 2014 All rights reserved
6 CP x43-1 Advanced
6.2 Dynamische IP-Adresse
6.2.4
VPN-Tunnel zwischen CP x43-1 Advanced (VPN-Server) und einem Mobile-Client über eine dynamische IP-Adresse
Übersicht
Abbildung 6-10
Automatisierungszelle
Smartphone mit
IPSec Client App
Internet
Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Dynamische
WAN-IP-Adresse
VPN-Client
VPN tunnel
Industrial Ethernet
VPN-Server
Tabelle 6-11
VPN-Server
VPN-Client
Zugriffsart
CP x43-1 Advanced
Mobile-Client
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Smartphone mit IPSec Client App mit Android-Betriebssystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
66
Siemens AG 2014 All rights reserved
7 CP 1x43-1
6.2 Dynamische IP-Adresse
7
CP 1x43-1
In diesem Kapitel werden die Konfigurationen beschrieben, bei denen der CP 1x43-1 als VPN-Server konfiguriert ist.
Diese Gruppe ist mit grauer Farbe gekennzeichnet.
Tabelle 7-1
VPN-Server
VPN-Client
CP 1x43-1
VPN-Gegenstelle
Zugriffsart
Statische IP-.Adresse
Dynamische IP-Adresse
Merkmale
Die Firewall-, VPN-Server- und Kommunikationseinstellungen finden direkt im CP 1x43-1 statt; die Security-Funktionen sind im
Kommunikationsprozessor integriert.
Es kann eine statische oder eine dynamische öffentliche IP-Adresse für den DSL-Router auf der VPN-Server-Seite benutzt werden.
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
67
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.1 Statische IP-Adresse
7.1
Statische IP-Adresse
7.1.1
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und SCALANCE S über eine statische IP-Adresse
Übersicht
Abbildung 7-1
Service PC
Automatisierungszelle
SCALANCE S
Internet
Modem/ Router
Internet
Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 7-2
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
SCALANCE S
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
68
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.1 Statische IP-Adresse
7.1.2
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und SCALANCE M81x-1 über eine statische IP-Adresse
Übersicht
Abbildung 7-2
Service PC
Automatisierungszelle
SCALANCE
M81x-1
Internet
Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 7-3
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
SCALANCE M81x-1
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
69
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.1 Statische IP-Adresse
7.1.3
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und SOFTNET Security Client über eine statische IP-Adresse
Übersicht
Abbildung 7-3
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
Internet
Modem/ Router
Internet
Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Statische
WAN-IP-Adresse
VPN-Client
VPN-Server
VPN tunnel
Industrial Ethernet
Tabelle 7-4
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
SOFTNET Security Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
70
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.1 Statische IP-Adresse
7.1.4
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und CP x43-1 Advanced über eine statische IP-Adresse
Übersicht
Abbildung 7-4
Automatisierungszelle A
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Automatisierungszelle B
Internet
Router
Internet
Modem/Router
SIMATIC S7-300 oder S7-400
mit CP x43-1 Advanced
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 7-5
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
CP x43-1 Advanced
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
71
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.1 Statische IP-Adresse
7.1.5
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und CP 1x43-1 über eine statische IP-Adresse
Übersicht
Abbildung 7-5
Automatisierungszelle A
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Automatisierungszelle B
Internet
Router
Internet
Modem/Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Server
VPN-Client
Tabelle 7-6
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
CP 1x43-1
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
72
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.1 Statische IP-Adresse
7.1.6
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und SCALANCE M874-x über eine statische IP-Adresse
Übersicht
Abbildung 7-6
Service PC
Automatisierungszelle
SCALANCE
M874-x
Internet
Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Statische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 7-7
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
SCALANCE M874-x
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
73
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.1 Statische IP-Adresse
7.1.7
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und einem Mobile-Client über eine statische IP-Adresse
Übersicht
Abbildung 7-7
Automatisierungszelle
Smartphone mit
IPSec Client App
Internet
Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Statische
WAN-IP-Adresse
VPN-Client
VPN-Server
VPN tunnel
Industrial Ethernet
Tabelle 7-8
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
Mobile-Client
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Smartphone mit IPSec Client App mit Android-Betriebssystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
74
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.2 Dynamische IP-Adresse
7.2
Dynamische IP-Adresse
7.2.1
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und SCALANCE M81x-1 über eine dynamische IP-Adresse
Übersicht
Abbildung 7-8
Service PC
Automatisierungszelle
SCALANCE
M81x-1
Internet
Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 7-9
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
SCALANCE M81x-1
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
75
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.2 Dynamische IP-Adresse
7.2.2
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und SOFTNET Security Client über eine dynamische IP-Adresse
Übersicht
Abbildung 7-9
Service PC mit
SOFTNET Security Client
SSC
Automatisierungszelle
Internet
Modem/ Router
Internet
Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Dynamische
WAN-IP-Adresse
VPN-Client
VPN-Server
VPN tunnel
Industrial Ethernet
Tabelle 7-10
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
SOFTNET Security Client
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
76
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.2 Dynamische IP-Adresse
7.2.3
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und SCALANCE M874-x über eine dynamische IP-Adresse
Übersicht
Abbildung 7-10
Service PC
Automatisierungszelle
SCALANCE
M874-x
Internet
Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Dynamische
WAN-IP-Adresse
VPN tunnel
Industrial Ethernet
VPN-Client
VPN-Server
Tabelle 7-11
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
SCALANCE M874-x
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
77
Siemens AG 2014 All rights reserved
7 CP 1x43-1
7.2 Dynamische IP-Adresse
7.2.4
VPN-Tunnel zwischen CP 1x43-1 (VPN-Server) und einem Mobile-Client über eine dynamische IP-Adresse
Übersicht
Abbildung 7-11
Automatisierungszelle
Smartphone mit
IPSec Client App
Internet
Router
SIMATIC S7-1200 oder
S7-1500 mit CP 1x43-1
Dynamische
WAN-IP-Adresse
VPN-Client
VPN-Server
VPN tunnel
Industrial Ethernet
Tabelle 7-12
VPN-Server
VPN-Client
Zugriffsart
CP 1x43-1
Mobile-Client
Dynamische IP-Adresse
Voraussetzungen
Dynamische öffentliche IP-Adresse für den Internet-Router des VPN-Servers (Nutzung der DDNS-Provider dyndns.org oder no-ip.org).
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard-APN des Mobilfunkbetreibers (VPN-Client-seitig).
Smartphone mit IPSec Client App auf Android-Betriebssystem (VPN-Client-seitig).
Link zur Konfigurationsbeschreibung:
In Bearbeitung
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
78
Siemens AG 2014 All rights reserved
8 TS Adapter IE Advanced
7.2 Dynamische IP-Adresse
8
TS Adapter IE Advanced
In diesem Kapitel werden die Konfigurationen beschrieben, bei denen der TS Adapter IE Advanced als VPN-Server konfiguriert ist.
Diese Gruppe ist mit dunkelgelber Farbe gekennzeichnet.
Tabelle 8-1
VPN-Server
VPN-Client
Zugriffsart
TS Adapter IE Advanced
VPN-Gegenstelle
Statische IP-.Adresse
Merkmale
Auf der VPN-Client-Seite wird neben dem TIA Portal keine weitere Software oder Hardware zum VPN-Verbindungsaufbau benötigt.
Als VPN-Client kann entweder das TIA-Portal oder der Windows SSTP-Client benutzt werden
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
79
Siemens AG 2014 All rights reserved
8 TS Adapter IE Advanced
8.1 VPN-Tunnel zwischen TS Adapter IE Advanced (VPN-Server) und Windows SSTP-Client über eine statische IP-Adresse
8.1
VPN-Tunnel zwischen TS Adapter IE Advanced (VPN-Server) und Windows SSTP-Client
über eine statische IP-Adresse
Übersicht
Abbildung 8-1
Service
Service
PC PC
Automatisierungszelle
Internet
Router
Internet
Internet
Modem/
Modem/
Router
Router
SCALANCE
TS Adapter
M874-x
IE Advanced
Statische
WAN-IP-Adresse
Statische
WAN-IP-Adresse
VPN-Client
VPN-Server
VPN-Server
VPN tunnel
tunnel
VPN
Industrial
Ethernet
Industrial Ethernet
SIMATIC S7
Stationen
Tabelle 8-2
VPN-Server
VPN-Client
Zugriffsart
TS Adapter IE Advanced
Windwos SSTP-CLient
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
Windows 7 oder Windows Server 2008 oder höher.
Link zur Konfigurationsbeschreibung:
http://support.automation.siemens.com/WW/view/de/99681037
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
80
Siemens AG 2014 All rights reserved
8 TS Adapter IE Advanced
8.2 VPN-Tunnel zwischen TS Adapter IE Advanced (VPN-Server) und TIA Portal über eine statische IP-Adresse
8.2
VPN-Tunnel zwischen TS Adapter IE Advanced (VPN-Server) und TIA Portal über eine
statische IP-Adresse
Übersicht
Abbildung 8-2
Service PC
TIA
Portal
Automatisierungszelle
Internet
Router
Internet
Modem/ Router
VPN-Client
TS Adapter
IE Advanced
Statische
WAN-IP-Adresse
VPN-Server
VPN tunnel
Industrial Ethernet
SIMATIC S7
Stationen
Tabelle 8-3
VPN-Server
VPN-Client
Zugriffsart
TS Adapter IE Advanced
TIA Portal
Statische IP-Adresse
Voraussetzungen
Statische öffentliche IP-Adresse für den Internet-Router des VPN-Servers.
Internet-Router mit Port-Forwarding-Funktionalität (VPN-Server-seitig).
Standard Internet-Modem, Router oder UMTS-Router z. B. SCALANCE M873 (VPN-Client-seitig).
TIA –Portal ab V12 SP1.
Link zur Konfigurationsbeschreibung:
http://support.automation.siemens.com/WW/view/de/99681624
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
81
9 Literaturhinweise
9
Literaturhinweise
Tabelle 9-1
Siemens AG 2014 All rights reserved
Themengebiet
Titel
\1\
Siemens Industry
Online Support
http://support.automation.siemens.com
\2\
Downloadseite des
Beitrages
http://support.automation.siemens.com/WW/view/de/26662448
\3\
Security mit
SIMATIC NET
http://support.automation.siemens.com/WW/view/de/27043887
\4\
SIMATIC NET
Industrial Ethernet
Security
SCALANCE S V4
http://support.automation.siemens.com/WW/view/de/63207600
\5\
SIMATIC NET
Industrial Remote
Communication
Remote Networks
SCALANCE M874
Betriebsanleitung
http://support.automation.siemens.com/WW/view/de/78389136
\6\
SIMATIC NET
Industrial Remote
Communication
Remote Networks
SCALANCE M812,
M816
Betriebsanleitung
http://support.automation.siemens.com/WW/view/de/90316607
\7\
SIMATIC NET S7300 - Industrial
Ethernet S7-CPs für
Industrial Ethernet
CP 343-1 Advanced
Gerätehandbuch
Teil B
http://support.automation.siemens.com/WW/view/de/62046619
\8\
SIMATIC NET S7400 - Industrial
Ethernet CP 443-1
Advanced (GX30)
Gerätehandbuch
Handbuch Teil B
http://support.automation.siemens.com/WW/view/de/59187252
\9\
SIMATIC NET
PG/PC - Industrial
Ethernet CP 1628
Betriebsanleitung
http://support.automation.siemens.com/WW/view/de/62611659
10
Industrial Ethernet
Security
Security einrichten
http://support.automation.siemens.com/WW/view/de/63207571
11
TS Adapter IE
Advanced
Gerätehandbuch
http://support.automation.siemens.com/WW/view/de/85517232
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
10 Historie
10
Historie
Tabelle 10-1
Datum
V1.0
08/2014
Erste Ausgabe
V2.0
07/2014
Erste Ausgabe
Siemens AG 2014 All rights reserved
Version
IP-basierte Remote Networks
Beitrags-ID: 26662448, V2.0,
08/2014
Änderung
Document
Kategorie
Internet
Seitenansichten
31
Dateigröße
1 641 KB
Tags
1/--Seiten
melden