Projektierungsbeispiel 05/2016
Einrichtung einer gesicherten VPN-Verbindung zwischen CP 1543-1 und CP 1243-1 CP 1543-1, CP 1243-1
https://support.industry.siemens.com/cs/ww/de/view/109737287
Gewährleistung und Haftung
Gewährleistung und Haftung Hinweis
Die Anwendungsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Anwendungsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Anwendungsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Anwendungsbeispiele jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Anwendungsbeispiel und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.
Siemens AG 2016 All rights reserved
Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Anwendungsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden. Weitergabe oder Vervielfältigung dieser Anwendungsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von der Siemens AG zugestanden.
Securityhinweise
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.B. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden. Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity. Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter http://www.siemens.com/industrialsecurity.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
2
Inhaltsverzeichnis
Inhaltsverzeichnis Gewährleistung und Haftung ...................................................................................... 2 1
Aufgabenstellung und Lösung ......................................................................... 4 1.1 1.2 1.3
2
Aufgabe ................................................................................................ 4 Lösungsmöglichkeit .............................................................................. 4 Merkmale der Lösung........................................................................... 5
Konfiguration und Projektierung ..................................................................... 6 2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.3
Einrichten der Umgebung..................................................................... 6 Erforderliche Komponenten und IP-Adressenübersicht ....................... 6 TIA Portal-Projekt und SIMATIC-Stationen .......................................... 8 DSL-Zugang beim CP1543-1 ............................................................... 9 Aufbau der Infrastruktur........................................................................ 9 Projektierung des VPN-Tunnels ......................................................... 10 Konfiguration des VPN-Endpunkts CP 1543-1 .................................. 10 Konfiguration des VPN-Endpunkts CP 1243-1 .................................. 14 Projektierung des VPN-Tunnels ......................................................... 16 Laden der Komponenten .................................................................... 20 Aufbau und Diagnose der VPN-Verbindung ...................................... 21
Related literature ............................................ Fehler! Textmarke nicht definiert.
4
Historie.............................................................................................................. 23
Siemens AG 2016 All rights reserved
3
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
3
1 Aufgabenstellung und Lösung
1
Aufgabenstellung und Lösung
1.1
Aufgabe Die Aufgabe besteht darin, eine gesicherte Verbindung zwischen zwei Automatisierungszellen über Internet oder ein firmeninternes Netzwerk zu ermöglichen. Dabei sind folgende Kundenanforderungen zu berücksichtigen:
1.2
Absicherung gegen Spionage und Datenmanipulation.
Verhindern von unerlaubtem Zugriff.
Bereitstellung einer gesicherten Kommunikationsebene.
Netzwerkschutz ohne eigene Security-Appliance auf Automatisierungsseite.
Lösungsmöglichkeit
Gesamtübersicht Die folgende Grafik zeigt eine Möglichkeit, die Kundenanforderung umzusetzen:
Siemens AG 2016 All rights reserved
Automatisierungszelle A
Automatisierungszelle B Internet Router
SIMATIC S7-1200 oder S7-1500 mit CP 1x43-x
Internet Modem/Router
SIMATIC S7-1200 oder S7-1500 mit CP 1x43-x
Statische WAN-IP-Adresse VPN-Server Industrial Ethernet
VPN-Client
VPN tunnel
Die Verbindung zwischen den Automatisierungszellen wird durch einen VPNTunnel abgesichert. Die Security-CPs der neuen Controller-Generation bilden in diesem Beispiel die Tunnelendpunkte für die gesicherte Tunnelverbindung. Der CP 1543-1 fungiert in diesem Beispiel als VPN-Server, der CP 1243-1 als VPN-Client. Der Zugang zum CP 1543-1 ist über die Nutzung einer statischen WAN-IP-Adresse fest definiert. Der WAN-Zugang auf Clientseite ist flexibel; die IP-Adresse des WAN-Zugangs ist nicht relevant. Die Rollenverteilung beim Aufbau des VPN-Tunnels wird wie folgt festgelegt: Tabelle 1-1 Komponente
VPN-Rolle
CP 1543-1 (ab FW V1.1)
Responder (VPN-Server); wartet auf VPN-Verbindung
CP 1243-1
Initiator (VPN-Client); startet die VPN-Verbindung
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
4
1 Aufgabenstellung und Lösung
CP 1x43-x Die Kommunikationsprozessoren
CP 1243-1 (6GK7243-1BX30-0XE0)
CP 1243-7 LTE (6GK7242-7KX30-0XE0)
CP 1243-8 IRC (6GK7243-8RX30-0XE0)
CP 1543-1 (6GK7543-1AX00-0XE0)
verbinden die SIMATIC S7-1200 oder S7-1500 sicher mit Ethernet-Netzwerken. Die Baugruppe ermöglicht den Schutz der Datenübertragung zwischen Geräten oder Netzsegmenten vor Datenmanipulation / Spionage und unberechtigten Zugriffen ohne zusätzliche Security-Vorrichtung.
Siemens AG 2016 All rights reserved
Sie bieten dieser Lösung neben den Basis-Kommunikationsdiensten folgende integrierte Sicherheitsfunktionen:
1.3
Hochwertige Stateful Inspection Firewall mit Filterung von IP-basiertem und MAC-basiertem Datenverkehr.
IPSec-VPN (Datenverschlüsselung und Authentifizierung).
Schutz der S7-Station, in welcher der CP betrieben wird.
Unterstützung von mehreren VPN-Tunnel gleichzeitig.
Einsatz in einer IPV6-Infrastruktur.
Zusätzliche Kommunikationsmöglichkeit über E-Mail und FTPs (nur CP 1543-1).
Merkmale der Lösung
Kontrollierter und verschlüsselter Datenverkehr zwischen CP 1243-1 und CP 1543-1.
Durchgängige Netzwerkdiagnose über SNMP oder Syslog.
Schutz der SIMATIC-Steuerung ohne zusätzliche Security-Baugruppe.
Über zusätzliche Ethernet-/PROFINET-Schnittstellen, realisiert durch die CPU oder zusätzliche CPs, können sichere unterlagerte Netze betrieben werden.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
5
2 Konfiguration und Projektierung
2
Konfiguration und Projektierung
2.1
Einrichten der Umgebung
2.1.1
Erforderliche Komponenten und IP-Adressenübersicht
Softwarepakete Für diese Lösung wird das Softwarepaket STEP 7 Professional V13 SP1 Update 7 benötigt. Installieren Sie diese Software auf einen PC/PG. Erforderliche Geräte/Komponenten:
Siemens AG 2016 All rights reserved
Für den Aufbau verwenden Sie folgende Komponenten:
1x CP 1543-1 (ab FW V1.1) (MLFB: 6GK7543-1AX00-0XE0)
1x CPU 1516-3 PN/DP (ab FW V1.5) (MLFB: 6ES7516-3AN00-0AB0) mit einer SIMATIC MEMORY CARD.
1x CP 1243-1 (MLFB: 6GK7243-1BX00-0XE0)
1x CPU 1212C DC/DC/DC (MLFB: 6ES7212-1AE40-0AB0) mit einer SIMATIC MEMORY CARD.
Einen DSL-Zugang mit statischer WAN-IP-Adresse und einen DSL-Router.
Einen DSL-Zugang mit dynamischer WAN-IP-Adresse und einen DSL-Router.
Eine 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker.
Hutschiene mit Montagematerial für die S7-1500 und S7-1200.
1x PC auf dem das Projektierungswerkzeug „STEP 7 Professional V13 SP 1“ installiert ist.
die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet.
Optional: Ein Switch, um die Online-Diagnose des CPs einzusehen.
Hinweis
Sie können statt dem DSL-Zugang auch einen anderen Internet-Zugang (z.B. UMTS) und andere CPU-Typen verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt „Erforderliche Geräte/Komponenten“ erwähnten Komponenten.
Hinweis
Um sicherzugehen, dass keine alten Konfigurationen und Zertifikate in den Baugruppen gespeichert sind, setzen Sie die Baugruppen auf Werkseinstellung zurück. In der nachfolgend beschriebenen Projektierung wird davon ausgegangen, dass sich die Baugruppen in diesem Zustand befinden.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
6
2 Konfiguration und Projektierung
IP-Adressen Die Zuordnung der IP-Adressen ist für dieses Beispiel wie folgt festgelegt:
SIMATIC S7-1500 CP 1543-1
DSL-Router1
172.16.0.1
DSL-Router2
Statische WAN-IP
Dynamische WAN-IP
SIMATIC S7-1200 CP 1243-1
192.168.2.1
192.168.2.80 192.168.2.81 172.16.67.2
172.16.67.1
Tabelle 2-1
Siemens AG 2016 All rights reserved
Komponente
Port
IP-Adresse
Router
Subnetz
S7-1516
PROFINET-Port
172.16.67.2
172.16.67.1
255.255.0.0
CP 1543-1
Externer Port
172.16.67.1
172.16.0.1
255.255.0.0
DSL-Router1
LAN-Port
172.16.0.1
-
255.255.0.0
DSL-Router1
WAN-Port
Statische IP-Adresse
-
Vom Provider zugewiesen
DSL-Router2
WAN-Port
Dynamische IP-Adresse
-
Vom Provider zugewiesen
DSL-Router2
LAN-Port
192.168.2.1
-
255.255.255.0
CP 1243-1
Ethernet-Port
192.168.2.80
192.168.2.1
255.255.255.0
CPU 1212C
PROFINET-Port
192.168.2.81
192.168.2.1
255.255.255.0
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
7
2 Konfiguration und Projektierung
2.1.2
TIA Portal-Projekt und SIMATIC-Stationen
Hardwarekonfiguration Legen Sie mit der Konfigurationssoftware TIA V13 ein neues Projekt an. Erstellen Sie eine Hardwarekonfiguration mit Ihren verwendeten S7-1500-Modulen. Fügen Sie über die Projektnavigation ein weiteres Gerät hinzu. Erstellen Sie eine Hardwarekonfiguration mit Ihren verwendeten S7-1200-Modulen. Parametrierung der Schnittstellen Parametrieren Sie die Schnittstellen der CPU und CPs nach den Vorgaben von Tabelle 2-1. Deaktivieren Sie die IPv6-Funktionalität in den Eigenschaften des CPs.
Siemens AG 2016 All rights reserved
Ergebnis: Es sind zwei SIMATIC-Steuerungen im Projekt konfiguriert und vernetzt.
Verbindung zwischen PC und Steuerung Verbinden Sie den PC mit einem PROFINET-Port der CPU und ändern die Netzeinstellung am PC wie folgt: Für die S7-1500-Station: IP-Adresse: 172.16.67.100 Subnetzmaske: 255.255.0.0 Für die S7-1200-Station: IP-Adresse: 192.168.2.100 Subnetzmaske: 255.255.255.0 IP-Adresse der CPU anpassen Zum Laden der Projektdaten in die CPU ist es hilfreich, die IP-Adresse der CPU im vorab gemäß Tabelle 2-1 anzupassen. Für die Vergabe der IP-Adresse eignet sich die STEP 7-Funktion „Ethernet Teilnehmer bearbeiten…“ („Accessible nodes…“). Verbinden Sie sich dafür mit einem PROFINET-Port der CPU und ändern die Netzeinstellung am PC wie im vorigen Abschnitt beschrieben. Laden der Stationen Speichern Sie das TIA-Projekt ab. Selektieren Sie in der Projektnavigation nacheinander die beiden Steuerungen und laden Sie dessen Konfiguration in die Baugruppen. Verbinden Sie sich dafür mit
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
8
2 Konfiguration und Projektierung
einem PROFINET-Port der CPU und ändern die Netzeinstellung am PC wie im vorigen Abschnitt beschrieben. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche „Fertig stellen" („Finish“). Ergebnis: Die Baugruppen starten automatisch neu und die geladene Konfiguration ist aktiviert
2.1.3
DSL-Zugang beim CP1543-1
Statische IP-Adresse bei DSL-Router1 Der WAN-Zugriff des CP 1243-1 auf den CP 1543-1 erfolgt über eine fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider beantragt und anschließend im DSL-Router1 hinterlegt werden. Portforwarding am DSL-Router1
Siemens AG 2016 All rights reserved
Durch die Nutzung eines DSL-Routers1 als Internet-Gateway müssen die folgenden Ports am DSL-Router1 freigeschaltet und die Datenpakete an den CP 1543-1 (VPN-Server; externer Port) weitergeleitet werden:
UDP Port 500 (ISAKMP)
UDP Port 4500 (NAT-T)
VPN-Funktion Sollten Ihre DSL-Router1 selbst VPN-fähig sein, stellen Sie sicher, dass diese Funktion deaktiviert ist.
2.1.4
Aufbau der Infrastruktur Verbinden Sie alle teilnehmenden Komponenten dieser Lösung miteinander.
SIMATIC S7-1500 CP 1543-1
DSL-Router2
DSL-Router1
LAN-Port
WAN-Port
WAN-Port
Ethernet-Port
SIMATIC S7-1200 CP 1243-1
LAN-Port
Ethernet-Port
Tabelle 2-2 Komponente
Lokaler Port
Partner
Partner Port
CP 1543-1
Ethernet-Port
DSL- Router1
LAN-Port
CP 1243-1
Ethernet-Port
DSL- Router2
LAN-Port
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
9
2 Konfiguration und Projektierung
2.2
Projektierung des VPN-Tunnels
Konfigurationssoftware Die Projektierung des VPN-Tunnels erfolgt direkt im TIA Portal V13. Verwendete Komponenten Für diese Lösung werden die Security-Komponenten CP 1543-1 (ab FW V1.1) und CP 1243-1 verwendet.
2.2.1
Konfiguration des VPN-Endpunkts CP 1543-1
Übersicht Die Konfiguration des CPs als VPN-Endpunkt erfordert folgende Handlungsschritte:
Anlegen eines neuen Security-Projektes.
Aktivierung der Security-Funktion des CPs.
Aktivierung der Firewall für die Diagnose
Siemens AG 2016 All rights reserved
Neues Security Projekt erstellen Gehen Sie dafür wie folgt vor: 1. Wählen Sie im Inspektorfenster Register „Allgemein" („General“) den Menüpunkt „Security" > „Security-Eigenschaften" („Security properties“). 2. Klicken Sie in der folgenden Maske auf „Benutzeranmeldung" („User login“).
3. Legen Sie einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle „Administrator" zugewiesen.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
10
2 Konfiguration und Projektierung
4. Klicken Sie auf die Schaltfläche „Anmelden" („Log in“).
Siemens AG 2016 All rights reserved
Ergebnis: Ein neues Security-Projekt ist angelegt. Alle Security-Einstellungen, die Sie im Folgenden vornehmen, werden verschlüsselt im Projekt abgelegt und können nur mit dem angelegten Benutzer und Passwort bearbeitet oder eingesehen werden.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
11
2 Konfiguration und Projektierung
Security-Funktion aktivieren Gehen Sie für die Aktivierung der Security-Funktion wie folgt vor: 1. Wechseln Sie wieder in die „Gerätekonfiguration" („Device configuration“) Ihrer S7-1500-Station und markieren erneut den CP 1543-1 um die Eigenschaften zu projektieren.
Siemens AG 2016 All rights reserved
2. Aktivieren Sie unter den lokalen Security-Einstellungen das Kontrollkästchen „Aktiviere Security-Funktionen" („Activate security features“).
Ergebnis: Für diesen CP stehen jetzt die Security-Funktionen zur Verfügung.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
12
2 Konfiguration und Projektierung
Firewall für Diagnose freischalten Die Online-Diagnose der Security-Funktionen ist standardmäßig über den VPNTunnel erlaubt. Damit auch ein PC aus dem internen Netz des CPs die Informationen auslesen kann, sind zwei Firewall-Einstellungen notwendig. Gehen Sie wie folgt vor:
Siemens AG 2016 All rights reserved
1. Aktivieren Sie bei den zu eben freigeschalteten Security-Funktionen die Firewall sowie die „Security Diagnose“ („security diagnostics“).
2. Speichern Sie das Projekt ab.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
13
2 Konfiguration und Projektierung
2.2.2
Konfiguration des VPN-Endpunkts CP 1243-1
Übersicht Die Konfiguration des CPs als VPN-Endpunkt inklusiv OnlineDiagnosemöglichkeiten erfordert folgende Handlungsschritte:
Bestimmung der Kommunikationsarten
Aktivierung der Security-Funktion des CPs.
Aktivierung der Firewall für die Diagnose
Kommunikationsarten bestimmen Für die Diagnose des CPs ist es notwendig, die Online-Funktionen am CP freizugeben. 1. Öffnen Sie Ihr TIA Projekt und wechseln Sie in die „Gerätekonfiguration" („Device configuration“) Ihrer S7-1200-Station.
Siemens AG 2016 All rights reserved
2. Selektieren Sie den CP 1243-1 um die Eigenschaften konfigurieren zu können. 3. Aktivieren Sie unter Kommunikationsarten das Kontrollkästchen „OnlineFunktionen aktivieren" („Activate online functions“).
Ergebnis: Die Online-Funktionen über die CP-Schnittstelle sind freigeschalten. Security-Funktion aktivieren Aktivieren Sie unter den lokalen Security-Einstellungen das Kontrollkästchen „Aktiviere Security-Funktionen" („Activate security features“).
Ergebnis: Für den CP stehen jetzt die Security-Funktionen zur Verfügung.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
14
2 Konfiguration und Projektierung
Firewall für Diagnose freischalten Die Online-Diagnose der Security-Funktionen ist standardmäßig über den VPNTunnel erlaubt. Damit auch ein PC aus dem internen Netz des CPs die Informationen auslesen kann, sind zwei Firewall-Einstellungen notwendig. Gehen Sie wie folgt vor:
Siemens AG 2016 All rights reserved
1. Aktivieren Sie bei den eben freigeschalteten Security-Funktionen im Abschnitt „Firewall“ > „Allgemein“ („General“) die Firewall sowie die „Security Diagnose“ („security diagnostics“).
2. Aktivieren Sie anschließend die Firewall im Erweiterten Modus.
3. Speichern Sie das Projekt ab.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
15
2 Konfiguration und Projektierung
2.2.3
Projektierung des VPN-Tunnels
VPN-Gruppe anlegen Alle Mitglieder einer VPN-Gruppe sind berechtigt, über einen VPN-Tunnel miteinander zu kommunizieren. Gehen Sie zum Anlegen einer VPN-Gruppe wie folgt vor:
Siemens AG 2016 All rights reserved
1. Doppelklicken Sie in der Projektnavigation in den globalen SecurityEinstellungen auf den Eintrag „VPN-Gruppe“ > „Neue VPN-Gruppe hinzufügen“ („VPN groups“ > „Add new VPN group“).
Ergebnis: Eine neue Gruppe VPN_1 wurde angelegt und dem Eintrag „VPN-Gruppe“ („VPN groups“) zugwiesen. 2. Doppelklicken Sie auf den Eintrag „VPN-Gruppen" > „Modul einer VPN-Gruppe zuweisen" („VPN groups“ > „Assign module to a VPN group“).
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
16
2 Konfiguration und Projektierung
3. Wählen Sie die eben erstellte VPN-Gruppe aus.
Siemens AG 2016 All rights reserved
4. In der Spalte „Verfügbare Module“ („Available modules“) werden alle projektierten Security-Baugruppen gelistet. Selektieren Sie die beiden SecurityCPs und verschieben Sie diese über die Schaltfläche „ „VPN_1“) um die Eigenschaften zu konfigurieren. Wählen Sie bei „Allgemein“ („General“) als Authentifizierungsmethode „Preshared Key“ aus.
Siemens AG 2016 All rights reserved
Ergebnis: Die VPN-Gruppe ist angelegt und die beteiligten Baugruppen sind eingebunden. Sie können dies im Register „VPN" in der Netzsicht prüfen. Zur Authentifizierungsmethode wird Preshared Key verwendet.
Hinweis
Sie können zur Authentifizierung auch Zertifikate verwenden. Achten Sie in diesem Fall darauf, dass die beiden CPs stets die aktuelle Uhrzeit haben (z.B. über das NTP-Verfahren). Ansonsten werden die Zertifikate als ungültig interpretiert und der VPN-Tunnel wird nicht aufgebaut.
VPN-Parameter im CP1543-1 definieren Zum Aufbau des VPN-Tunnels werden noch folgende Informationen benötigt:
WAN-IP-Adresse des DSL-Routers
VPN-Rolle
Diese modulspezifischen Eigenschaften können erst nach Anlegen einer VPNGruppe in den lokalen Security-Einstellungen parametriert werden: 1. Wechseln Sie in die „Gerätekonfiguration" („Device configuration“) Ihrer S71500-Station und markieren Sie den CP 1543-1 um die Eigenschaften zu projektieren. 2. Wechseln Sie in den lokalen Security-Einstellungen „VPN“.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
18
2 Konfiguration und Projektierung
3. Ändern Sie die VPN-Rolle auf „Auf Gegenstelle warten“ („Waiting for partner“) und tragen Sie die WAN-IP-Adresse Ihres DSL-Zugangs (DSL-Router1) ein.
4. Speichern Sie das TIA-Projekt.
Siemens AG 2016 All rights reserved
Ergebnis: Die VPN-Konfiguration ist abgeschlossen. Sie können in der Netzsicht im Register „VPN" durch Anklicken der Module die Konfiguration prüfen.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
19
2 Konfiguration und Projektierung
2.2.4
Laden der Komponenten
Vorbereitung Da als externes öffentliches Netzwerk ein WAN verwendet, können die SecurityModule mit Werkseinstellung nicht über dieses WAN konfiguriert werden. Konfigurieren Sie in diesem Fall die Security-Baugruppen aus dem lokalen Netz heraus. Verbindung zwischen PC und SIMATIC-Station Verbinden Sie den PC mit einem PROFINET-Port der CPU und ändern Sie die Netzeinstellung am PC wie folgt: Für die S7-1500-Station: IP-Adresse: 172.16.67.100 Subnetzmaske: 255.255.0.0 Für die S7-1200-Station: IP-Adresse: 192.168.2.100 Subnetzmaske: 255.255.255.0
Siemens AG 2016 All rights reserved
Laden der Baugruppen 1. Markieren Sie in der Projektnavigation die CPU mit der Sie sich verbunden haben und übersetzen Sie Ihr Projekt über „Bearbeiten“ > „Übersetzen“ („Edit“ > „Compile“). 2. Laden Sie die Konfiguration über „Online" > „Erweitertes Laden in Baugruppe..." („Online“ > „Extended download to device…“) in Ihre CPU.
3. Wenn die Baugruppen nach dem Laden direkt wieder gestartet werden sollen, aktivieren Sie das Optionskästchen „Alle starten" („Start all“). 4. Schließen Sie den Dialog mit „Schließen“ („Finish“). 5. Laden Sie auf diese Weise auch die andere Station. Ergebnis: Die Hardware-Konfiguration und die Bausteine wurden in die CPU geladen. Ob der Ladevorgang erfolgreich war, können Sie an den Meldungen im Inspektorfenster unter „Info“ > „Allgemein" („Info“ > „General“) erkennen. Die Security-Baugruppe befindet sich im Produktivbetrieb.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
20
2 Konfiguration und Projektierung
2.3
Aufbau und Diagnose der VPN-Verbindung Sind alle Security-Baugruppen parametriert, geladen und mit den entsprechenden DSL-Routern verbunden, initialisiert der CP 1243-1 den VPN-Tunnel zum CP 1543-1.
Diagnose über die LED-Anzeige Den Status können Sie anhand der grün-leuchtenden LED „VPN“ am CP 1243-1 ablesen. Statusbericht über die Online-Diagnose Einen Statusbericht der VPN-Verbindung können Sie zudem über die OnlineFunktionen des CPs einsehen. Wichtig dabei ist, die CP-Schnittstelle als Online-Zugang zu verwenden und nicht die PROFINET-Schnittstelle der CPU.
Siemens AG 2016 All rights reserved
1. Verbinden Sie den PC, den CP und den zugehörigen DSL-Router mit Hilfe eines Switch. 2. Ändern Sie die Netzeinstellung am PC wie folgt: Für die S7-1500-Station: IP-Adresse: 172.16.67.100 Subnetzmaske: 255.255.0.0 Für die S7-1200-Station: IP-Adresse: 192.168.2.100 Subnetzmaske: 255.255.255.0 3. Öffnen Sie Ihr TIA Projekt und wechseln Sie in die „Gerätekonfiguration" („Device configuration“) Ihrer S7-1x00-Station. 4. Selektieren Sie den CP und gehen Sie über das Kontextmenü (Rechte Maustaste) auf „Online & Diagnose“ („Online & diagnostics“).
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
21
2 Konfiguration und Projektierung
Siemens AG 2016 All rights reserved
5. Klicken Sie bei „Security“ > „Status“ auf die Schaltfläche „Online verbinden“ („Connect online“).
6. Stellen Sie als Schnittstelle die des CPs ein und starten Sie die Suche. Verbinden Sie sich mit dem gefundenen CP.
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
22
3 Literaturhinweise
7. Unter „Security“ > „Kommunikationsstatus“ („Communication status“) können Sie den Zustand der VPN-Verbindung einsehen.
3
Literaturhinweise Table 3-1
Siemens AG 2016 All rights reserved
Thema
4
\1\
Siemens Industry Online Support https://support.industry.siemens.com
\2\
Downloadseite des Beitrages https://support.industry.siemens.com/cs/ww/de/view/109737287
Historie Tabelle 4-1 Version
Datum
V1.0
05/2016
Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,
05/2016
Änderung Erste Ausgabe
23