Projektierungsbeispiel  05/2016

Einrichtung einer gesicherten VPN-Verbindung zwischen CP 1543-1 und CP 1243-1 CP 1543-1, CP 1243-1

https://support.industry.siemens.com/cs/ww/de/view/109737287

Gewährleistung und Haftung

Gewährleistung und Haftung Hinweis

Die Anwendungsbeispiele sind unverbindlich und erheben keinen Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Anwendungsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Anwendungsbeispiele erkennen Sie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen an diesen Anwendungsbeispiele jederzeit ohne Ankündigung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesem Anwendungsbeispiel und anderen Siemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.

 Siemens AG 2016 All rights reserved

Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr. Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Anwendungsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden. Weitergabe oder Vervielfältigung dieser Anwendungsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von der Siemens AG zugestanden.

Securityhinweise

Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen. Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern, ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (und kontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. Die Produkte und Lösungen von Siemens formen nur einen Bestandteil eines solchen Konzepts. Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme, Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten sollten nur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn und soweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.B. Nutzung von Firewalls und Netzwerksegmentierung) ergriffen wurden. Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmen beachtet werden. Weiterführende Informationen über Industrial Security finden Sie unter http://www.siemens.com/industrialsecurity. Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie noch sicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen, sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellen Produktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützter Versionen kann das Risiko von Cyber-Bedrohungen erhöhen. Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens Industrial Security RSS Feed unter http://www.siemens.com/industrialsecurity.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

2

Inhaltsverzeichnis

Inhaltsverzeichnis Gewährleistung und Haftung ...................................................................................... 2 1

Aufgabenstellung und Lösung ......................................................................... 4 1.1 1.2 1.3

2

Aufgabe ................................................................................................ 4 Lösungsmöglichkeit .............................................................................. 4 Merkmale der Lösung........................................................................... 5

Konfiguration und Projektierung ..................................................................... 6 2.1 2.1.1 2.1.2 2.1.3 2.1.4 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.3

Einrichten der Umgebung..................................................................... 6 Erforderliche Komponenten und IP-Adressenübersicht ....................... 6 TIA Portal-Projekt und SIMATIC-Stationen .......................................... 8 DSL-Zugang beim CP1543-1 ............................................................... 9 Aufbau der Infrastruktur........................................................................ 9 Projektierung des VPN-Tunnels ......................................................... 10 Konfiguration des VPN-Endpunkts CP 1543-1 .................................. 10 Konfiguration des VPN-Endpunkts CP 1243-1 .................................. 14 Projektierung des VPN-Tunnels ......................................................... 16 Laden der Komponenten .................................................................... 20 Aufbau und Diagnose der VPN-Verbindung ...................................... 21

Related literature ............................................ Fehler! Textmarke nicht definiert.

4

Historie.............................................................................................................. 23

 Siemens AG 2016 All rights reserved

3

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

3

1 Aufgabenstellung und Lösung

1

Aufgabenstellung und Lösung

1.1

Aufgabe Die Aufgabe besteht darin, eine gesicherte Verbindung zwischen zwei Automatisierungszellen über Internet oder ein firmeninternes Netzwerk zu ermöglichen. Dabei sind folgende Kundenanforderungen zu berücksichtigen:

1.2



Absicherung gegen Spionage und Datenmanipulation.



Verhindern von unerlaubtem Zugriff.



Bereitstellung einer gesicherten Kommunikationsebene.



Netzwerkschutz ohne eigene Security-Appliance auf Automatisierungsseite.

Lösungsmöglichkeit

Gesamtübersicht Die folgende Grafik zeigt eine Möglichkeit, die Kundenanforderung umzusetzen:

 Siemens AG 2016 All rights reserved

Automatisierungszelle A

Automatisierungszelle B Internet Router

SIMATIC S7-1200 oder S7-1500 mit CP 1x43-x

Internet Modem/Router

SIMATIC S7-1200 oder S7-1500 mit CP 1x43-x

Statische WAN-IP-Adresse VPN-Server Industrial Ethernet

VPN-Client

VPN tunnel

Die Verbindung zwischen den Automatisierungszellen wird durch einen VPNTunnel abgesichert. Die Security-CPs der neuen Controller-Generation bilden in diesem Beispiel die Tunnelendpunkte für die gesicherte Tunnelverbindung. Der CP 1543-1 fungiert in diesem Beispiel als VPN-Server, der CP 1243-1 als VPN-Client. Der Zugang zum CP 1543-1 ist über die Nutzung einer statischen WAN-IP-Adresse fest definiert. Der WAN-Zugang auf Clientseite ist flexibel; die IP-Adresse des WAN-Zugangs ist nicht relevant. Die Rollenverteilung beim Aufbau des VPN-Tunnels wird wie folgt festgelegt: Tabelle 1-1 Komponente

VPN-Rolle

CP 1543-1 (ab FW V1.1)

Responder (VPN-Server); wartet auf VPN-Verbindung

CP 1243-1

Initiator (VPN-Client); startet die VPN-Verbindung

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

4

1 Aufgabenstellung und Lösung

CP 1x43-x Die Kommunikationsprozessoren 

CP 1243-1 (6GK7243-1BX30-0XE0)



CP 1243-7 LTE (6GK7242-7KX30-0XE0)



CP 1243-8 IRC (6GK7243-8RX30-0XE0)



CP 1543-1 (6GK7543-1AX00-0XE0)

verbinden die SIMATIC S7-1200 oder S7-1500 sicher mit Ethernet-Netzwerken. Die Baugruppe ermöglicht den Schutz der Datenübertragung zwischen Geräten oder Netzsegmenten vor Datenmanipulation / Spionage und unberechtigten Zugriffen ohne zusätzliche Security-Vorrichtung.

 Siemens AG 2016 All rights reserved

Sie bieten dieser Lösung neben den Basis-Kommunikationsdiensten folgende integrierte Sicherheitsfunktionen:

1.3



Hochwertige Stateful Inspection Firewall mit Filterung von IP-basiertem und MAC-basiertem Datenverkehr.



IPSec-VPN (Datenverschlüsselung und Authentifizierung).



Schutz der S7-Station, in welcher der CP betrieben wird.



Unterstützung von mehreren VPN-Tunnel gleichzeitig.



Einsatz in einer IPV6-Infrastruktur.



Zusätzliche Kommunikationsmöglichkeit über E-Mail und FTPs (nur CP 1543-1).

Merkmale der Lösung 

Kontrollierter und verschlüsselter Datenverkehr zwischen CP 1243-1 und CP 1543-1.



Durchgängige Netzwerkdiagnose über SNMP oder Syslog.



Schutz der SIMATIC-Steuerung ohne zusätzliche Security-Baugruppe.



Über zusätzliche Ethernet-/PROFINET-Schnittstellen, realisiert durch die CPU oder zusätzliche CPs, können sichere unterlagerte Netze betrieben werden.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

5

2 Konfiguration und Projektierung

2

Konfiguration und Projektierung

2.1

Einrichten der Umgebung

2.1.1

Erforderliche Komponenten und IP-Adressenübersicht

Softwarepakete Für diese Lösung wird das Softwarepaket STEP 7 Professional V13 SP1 Update 7 benötigt. Installieren Sie diese Software auf einen PC/PG. Erforderliche Geräte/Komponenten:

 Siemens AG 2016 All rights reserved

Für den Aufbau verwenden Sie folgende Komponenten: 

1x CP 1543-1 (ab FW V1.1) (MLFB: 6GK7543-1AX00-0XE0)



1x CPU 1516-3 PN/DP (ab FW V1.5) (MLFB: 6ES7516-3AN00-0AB0) mit einer SIMATIC MEMORY CARD.



1x CP 1243-1 (MLFB: 6GK7243-1BX00-0XE0)



1x CPU 1212C DC/DC/DC (MLFB: 6ES7212-1AE40-0AB0) mit einer SIMATIC MEMORY CARD.



Einen DSL-Zugang mit statischer WAN-IP-Adresse und einen DSL-Router.



Einen DSL-Zugang mit dynamischer WAN-IP-Adresse und einen DSL-Router.



Eine 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker.



Hutschiene mit Montagematerial für die S7-1500 und S7-1200.



1x PC auf dem das Projektierungswerkzeug „STEP 7 Professional V13 SP 1“ installiert ist.



die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC RJ45 für Industrial Ethernet.



Optional: Ein Switch, um die Online-Diagnose des CPs einzusehen.

Hinweis

Sie können statt dem DSL-Zugang auch einen anderen Internet-Zugang (z.B. UMTS) und andere CPU-Typen verwenden. Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im Abschnitt „Erforderliche Geräte/Komponenten“ erwähnten Komponenten.

Hinweis

Um sicherzugehen, dass keine alten Konfigurationen und Zertifikate in den Baugruppen gespeichert sind, setzen Sie die Baugruppen auf Werkseinstellung zurück. In der nachfolgend beschriebenen Projektierung wird davon ausgegangen, dass sich die Baugruppen in diesem Zustand befinden.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

6

2 Konfiguration und Projektierung

IP-Adressen Die Zuordnung der IP-Adressen ist für dieses Beispiel wie folgt festgelegt:

SIMATIC S7-1500 CP 1543-1

DSL-Router1

172.16.0.1

DSL-Router2

Statische WAN-IP

Dynamische WAN-IP

SIMATIC S7-1200 CP 1243-1

192.168.2.1

192.168.2.80 192.168.2.81 172.16.67.2

172.16.67.1

Tabelle 2-1

 Siemens AG 2016 All rights reserved

Komponente

Port

IP-Adresse

Router

Subnetz

S7-1516

PROFINET-Port

172.16.67.2

172.16.67.1

255.255.0.0

CP 1543-1

Externer Port

172.16.67.1

172.16.0.1

255.255.0.0

DSL-Router1

LAN-Port

172.16.0.1

-

255.255.0.0

DSL-Router1

WAN-Port

Statische IP-Adresse

-

Vom Provider zugewiesen

DSL-Router2

WAN-Port

Dynamische IP-Adresse

-

Vom Provider zugewiesen

DSL-Router2

LAN-Port

192.168.2.1

-

255.255.255.0

CP 1243-1

Ethernet-Port

192.168.2.80

192.168.2.1

255.255.255.0

CPU 1212C

PROFINET-Port

192.168.2.81

192.168.2.1

255.255.255.0

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

7

2 Konfiguration und Projektierung

2.1.2

TIA Portal-Projekt und SIMATIC-Stationen

Hardwarekonfiguration Legen Sie mit der Konfigurationssoftware TIA V13 ein neues Projekt an. Erstellen Sie eine Hardwarekonfiguration mit Ihren verwendeten S7-1500-Modulen. Fügen Sie über die Projektnavigation ein weiteres Gerät hinzu. Erstellen Sie eine Hardwarekonfiguration mit Ihren verwendeten S7-1200-Modulen. Parametrierung der Schnittstellen Parametrieren Sie die Schnittstellen der CPU und CPs nach den Vorgaben von Tabelle 2-1. Deaktivieren Sie die IPv6-Funktionalität in den Eigenschaften des CPs.

 Siemens AG 2016 All rights reserved

Ergebnis: Es sind zwei SIMATIC-Steuerungen im Projekt konfiguriert und vernetzt.

Verbindung zwischen PC und Steuerung Verbinden Sie den PC mit einem PROFINET-Port der CPU und ändern die Netzeinstellung am PC wie folgt: Für die S7-1500-Station: IP-Adresse: 172.16.67.100 Subnetzmaske: 255.255.0.0 Für die S7-1200-Station: IP-Adresse: 192.168.2.100 Subnetzmaske: 255.255.255.0 IP-Adresse der CPU anpassen Zum Laden der Projektdaten in die CPU ist es hilfreich, die IP-Adresse der CPU im vorab gemäß Tabelle 2-1 anzupassen. Für die Vergabe der IP-Adresse eignet sich die STEP 7-Funktion „Ethernet Teilnehmer bearbeiten…“ („Accessible nodes…“). Verbinden Sie sich dafür mit einem PROFINET-Port der CPU und ändern die Netzeinstellung am PC wie im vorigen Abschnitt beschrieben. Laden der Stationen Speichern Sie das TIA-Projekt ab. Selektieren Sie in der Projektnavigation nacheinander die beiden Steuerungen und laden Sie dessen Konfiguration in die Baugruppen. Verbinden Sie sich dafür mit

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

8

2 Konfiguration und Projektierung

einem PROFINET-Port der CPU und ändern die Netzeinstellung am PC wie im vorigen Abschnitt beschrieben. Wurde der Ladevorgang fehlerfrei abgeschlossen, klicken Sie auf die Schaltfläche „Fertig stellen" („Finish“). Ergebnis: Die Baugruppen starten automatisch neu und die geladene Konfiguration ist aktiviert

2.1.3

DSL-Zugang beim CP1543-1

Statische IP-Adresse bei DSL-Router1 Der WAN-Zugriff des CP 1243-1 auf den CP 1543-1 erfolgt über eine fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider beantragt und anschließend im DSL-Router1 hinterlegt werden. Portforwarding am DSL-Router1

 Siemens AG 2016 All rights reserved

Durch die Nutzung eines DSL-Routers1 als Internet-Gateway müssen die folgenden Ports am DSL-Router1 freigeschaltet und die Datenpakete an den CP 1543-1 (VPN-Server; externer Port) weitergeleitet werden: 

UDP Port 500 (ISAKMP)



UDP Port 4500 (NAT-T)

VPN-Funktion Sollten Ihre DSL-Router1 selbst VPN-fähig sein, stellen Sie sicher, dass diese Funktion deaktiviert ist.

2.1.4

Aufbau der Infrastruktur Verbinden Sie alle teilnehmenden Komponenten dieser Lösung miteinander.

SIMATIC S7-1500 CP 1543-1

DSL-Router2

DSL-Router1

LAN-Port

WAN-Port

WAN-Port

Ethernet-Port

SIMATIC S7-1200 CP 1243-1

LAN-Port

Ethernet-Port

Tabelle 2-2 Komponente

Lokaler Port

Partner

Partner Port

CP 1543-1

Ethernet-Port

DSL- Router1

LAN-Port

CP 1243-1

Ethernet-Port

DSL- Router2

LAN-Port

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

9

2 Konfiguration und Projektierung

2.2

Projektierung des VPN-Tunnels

Konfigurationssoftware Die Projektierung des VPN-Tunnels erfolgt direkt im TIA Portal V13. Verwendete Komponenten Für diese Lösung werden die Security-Komponenten CP 1543-1 (ab FW V1.1) und CP 1243-1 verwendet.

2.2.1

Konfiguration des VPN-Endpunkts CP 1543-1

Übersicht Die Konfiguration des CPs als VPN-Endpunkt erfordert folgende Handlungsschritte: 

Anlegen eines neuen Security-Projektes.



Aktivierung der Security-Funktion des CPs.



Aktivierung der Firewall für die Diagnose

 Siemens AG 2016 All rights reserved

Neues Security Projekt erstellen Gehen Sie dafür wie folgt vor: 1. Wählen Sie im Inspektorfenster Register „Allgemein" („General“) den Menüpunkt „Security" > „Security-Eigenschaften" („Security properties“). 2. Klicken Sie in der folgenden Maske auf „Benutzeranmeldung" („User login“).

3. Legen Sie einen neuen Benutzer mit Benutzernamen und dazugehörigem Passwort an. Dem Benutzer wird automatisch die Rolle „Administrator" zugewiesen.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

10

2 Konfiguration und Projektierung

4. Klicken Sie auf die Schaltfläche „Anmelden" („Log in“).

 Siemens AG 2016 All rights reserved

Ergebnis: Ein neues Security-Projekt ist angelegt. Alle Security-Einstellungen, die Sie im Folgenden vornehmen, werden verschlüsselt im Projekt abgelegt und können nur mit dem angelegten Benutzer und Passwort bearbeitet oder eingesehen werden.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

11

2 Konfiguration und Projektierung

Security-Funktion aktivieren Gehen Sie für die Aktivierung der Security-Funktion wie folgt vor: 1. Wechseln Sie wieder in die „Gerätekonfiguration" („Device configuration“) Ihrer S7-1500-Station und markieren erneut den CP 1543-1 um die Eigenschaften zu projektieren.

 Siemens AG 2016 All rights reserved

2. Aktivieren Sie unter den lokalen Security-Einstellungen das Kontrollkästchen „Aktiviere Security-Funktionen" („Activate security features“).

Ergebnis: Für diesen CP stehen jetzt die Security-Funktionen zur Verfügung.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

12

2 Konfiguration und Projektierung

Firewall für Diagnose freischalten Die Online-Diagnose der Security-Funktionen ist standardmäßig über den VPNTunnel erlaubt. Damit auch ein PC aus dem internen Netz des CPs die Informationen auslesen kann, sind zwei Firewall-Einstellungen notwendig. Gehen Sie wie folgt vor:

 Siemens AG 2016 All rights reserved

1. Aktivieren Sie bei den zu eben freigeschalteten Security-Funktionen die Firewall sowie die „Security Diagnose“ („security diagnostics“).

2. Speichern Sie das Projekt ab.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

13

2 Konfiguration und Projektierung

2.2.2

Konfiguration des VPN-Endpunkts CP 1243-1

Übersicht Die Konfiguration des CPs als VPN-Endpunkt inklusiv OnlineDiagnosemöglichkeiten erfordert folgende Handlungsschritte: 

Bestimmung der Kommunikationsarten



Aktivierung der Security-Funktion des CPs.



Aktivierung der Firewall für die Diagnose

Kommunikationsarten bestimmen Für die Diagnose des CPs ist es notwendig, die Online-Funktionen am CP freizugeben. 1. Öffnen Sie Ihr TIA Projekt und wechseln Sie in die „Gerätekonfiguration" („Device configuration“) Ihrer S7-1200-Station.

 Siemens AG 2016 All rights reserved

2. Selektieren Sie den CP 1243-1 um die Eigenschaften konfigurieren zu können. 3. Aktivieren Sie unter Kommunikationsarten das Kontrollkästchen „OnlineFunktionen aktivieren" („Activate online functions“).

Ergebnis: Die Online-Funktionen über die CP-Schnittstelle sind freigeschalten. Security-Funktion aktivieren Aktivieren Sie unter den lokalen Security-Einstellungen das Kontrollkästchen „Aktiviere Security-Funktionen" („Activate security features“).

Ergebnis: Für den CP stehen jetzt die Security-Funktionen zur Verfügung.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

14

2 Konfiguration und Projektierung

Firewall für Diagnose freischalten Die Online-Diagnose der Security-Funktionen ist standardmäßig über den VPNTunnel erlaubt. Damit auch ein PC aus dem internen Netz des CPs die Informationen auslesen kann, sind zwei Firewall-Einstellungen notwendig. Gehen Sie wie folgt vor:

 Siemens AG 2016 All rights reserved

1. Aktivieren Sie bei den eben freigeschalteten Security-Funktionen im Abschnitt „Firewall“ > „Allgemein“ („General“) die Firewall sowie die „Security Diagnose“ („security diagnostics“).

2. Aktivieren Sie anschließend die Firewall im Erweiterten Modus.

3. Speichern Sie das Projekt ab.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

15

2 Konfiguration und Projektierung

2.2.3

Projektierung des VPN-Tunnels

VPN-Gruppe anlegen Alle Mitglieder einer VPN-Gruppe sind berechtigt, über einen VPN-Tunnel miteinander zu kommunizieren. Gehen Sie zum Anlegen einer VPN-Gruppe wie folgt vor:

 Siemens AG 2016 All rights reserved

1. Doppelklicken Sie in der Projektnavigation in den globalen SecurityEinstellungen auf den Eintrag „VPN-Gruppe“ > „Neue VPN-Gruppe hinzufügen“ („VPN groups“ > „Add new VPN group“).

Ergebnis: Eine neue Gruppe VPN_1 wurde angelegt und dem Eintrag „VPN-Gruppe“ („VPN groups“) zugwiesen. 2. Doppelklicken Sie auf den Eintrag „VPN-Gruppen" > „Modul einer VPN-Gruppe zuweisen" („VPN groups“ > „Assign module to a VPN group“).

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

16

2 Konfiguration und Projektierung

3. Wählen Sie die eben erstellte VPN-Gruppe aus.

 Siemens AG 2016 All rights reserved

4. In der Spalte „Verfügbare Module“ („Available modules“) werden alle projektierten Security-Baugruppen gelistet. Selektieren Sie die beiden SecurityCPs und verschieben Sie diese über die Schaltfläche „ „VPN_1“) um die Eigenschaften zu konfigurieren. Wählen Sie bei „Allgemein“ („General“) als Authentifizierungsmethode „Preshared Key“ aus.

 Siemens AG 2016 All rights reserved

Ergebnis: Die VPN-Gruppe ist angelegt und die beteiligten Baugruppen sind eingebunden. Sie können dies im Register „VPN" in der Netzsicht prüfen. Zur Authentifizierungsmethode wird Preshared Key verwendet.

Hinweis

Sie können zur Authentifizierung auch Zertifikate verwenden. Achten Sie in diesem Fall darauf, dass die beiden CPs stets die aktuelle Uhrzeit haben (z.B. über das NTP-Verfahren). Ansonsten werden die Zertifikate als ungültig interpretiert und der VPN-Tunnel wird nicht aufgebaut.

VPN-Parameter im CP1543-1 definieren Zum Aufbau des VPN-Tunnels werden noch folgende Informationen benötigt: 

WAN-IP-Adresse des DSL-Routers



VPN-Rolle

Diese modulspezifischen Eigenschaften können erst nach Anlegen einer VPNGruppe in den lokalen Security-Einstellungen parametriert werden: 1. Wechseln Sie in die „Gerätekonfiguration" („Device configuration“) Ihrer S71500-Station und markieren Sie den CP 1543-1 um die Eigenschaften zu projektieren. 2. Wechseln Sie in den lokalen Security-Einstellungen „VPN“.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

18

2 Konfiguration und Projektierung

3. Ändern Sie die VPN-Rolle auf „Auf Gegenstelle warten“ („Waiting for partner“) und tragen Sie die WAN-IP-Adresse Ihres DSL-Zugangs (DSL-Router1) ein.

4. Speichern Sie das TIA-Projekt.

 Siemens AG 2016 All rights reserved

Ergebnis: Die VPN-Konfiguration ist abgeschlossen. Sie können in der Netzsicht im Register „VPN" durch Anklicken der Module die Konfiguration prüfen.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

19

2 Konfiguration und Projektierung

2.2.4

Laden der Komponenten

Vorbereitung Da als externes öffentliches Netzwerk ein WAN verwendet, können die SecurityModule mit Werkseinstellung nicht über dieses WAN konfiguriert werden. Konfigurieren Sie in diesem Fall die Security-Baugruppen aus dem lokalen Netz heraus. Verbindung zwischen PC und SIMATIC-Station Verbinden Sie den PC mit einem PROFINET-Port der CPU und ändern Sie die Netzeinstellung am PC wie folgt: Für die S7-1500-Station: IP-Adresse: 172.16.67.100 Subnetzmaske: 255.255.0.0 Für die S7-1200-Station: IP-Adresse: 192.168.2.100 Subnetzmaske: 255.255.255.0

 Siemens AG 2016 All rights reserved

Laden der Baugruppen 1. Markieren Sie in der Projektnavigation die CPU mit der Sie sich verbunden haben und übersetzen Sie Ihr Projekt über „Bearbeiten“ > „Übersetzen“ („Edit“ > „Compile“). 2. Laden Sie die Konfiguration über „Online" > „Erweitertes Laden in Baugruppe..." („Online“ > „Extended download to device…“) in Ihre CPU.

3. Wenn die Baugruppen nach dem Laden direkt wieder gestartet werden sollen, aktivieren Sie das Optionskästchen „Alle starten" („Start all“). 4. Schließen Sie den Dialog mit „Schließen“ („Finish“). 5. Laden Sie auf diese Weise auch die andere Station. Ergebnis: Die Hardware-Konfiguration und die Bausteine wurden in die CPU geladen. Ob der Ladevorgang erfolgreich war, können Sie an den Meldungen im Inspektorfenster unter „Info“ > „Allgemein" („Info“ > „General“) erkennen. Die Security-Baugruppe befindet sich im Produktivbetrieb.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

20

2 Konfiguration und Projektierung

2.3

Aufbau und Diagnose der VPN-Verbindung Sind alle Security-Baugruppen parametriert, geladen und mit den entsprechenden DSL-Routern verbunden, initialisiert der CP 1243-1 den VPN-Tunnel zum CP 1543-1.

Diagnose über die LED-Anzeige Den Status können Sie anhand der grün-leuchtenden LED „VPN“ am CP 1243-1 ablesen. Statusbericht über die Online-Diagnose Einen Statusbericht der VPN-Verbindung können Sie zudem über die OnlineFunktionen des CPs einsehen. Wichtig dabei ist, die CP-Schnittstelle als Online-Zugang zu verwenden und nicht die PROFINET-Schnittstelle der CPU.

 Siemens AG 2016 All rights reserved

1. Verbinden Sie den PC, den CP und den zugehörigen DSL-Router mit Hilfe eines Switch. 2. Ändern Sie die Netzeinstellung am PC wie folgt: Für die S7-1500-Station: IP-Adresse: 172.16.67.100 Subnetzmaske: 255.255.0.0 Für die S7-1200-Station: IP-Adresse: 192.168.2.100 Subnetzmaske: 255.255.255.0 3. Öffnen Sie Ihr TIA Projekt und wechseln Sie in die „Gerätekonfiguration" („Device configuration“) Ihrer S7-1x00-Station. 4. Selektieren Sie den CP und gehen Sie über das Kontextmenü (Rechte Maustaste) auf „Online & Diagnose“ („Online & diagnostics“).

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

21

2 Konfiguration und Projektierung

 Siemens AG 2016 All rights reserved

5. Klicken Sie bei „Security“ > „Status“ auf die Schaltfläche „Online verbinden“ („Connect online“).

6. Stellen Sie als Schnittstelle die des CPs ein und starten Sie die Suche. Verbinden Sie sich mit dem gefundenen CP.

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

22

3 Literaturhinweise

7. Unter „Security“ > „Kommunikationsstatus“ („Communication status“) können Sie den Zustand der VPN-Verbindung einsehen.

3

Literaturhinweise Table 3-1

 Siemens AG 2016 All rights reserved

Thema

4

\1\

Siemens Industry Online Support https://support.industry.siemens.com

\2\

Downloadseite des Beitrages https://support.industry.siemens.com/cs/ww/de/view/109737287

Historie Tabelle 4-1 Version

Datum

V1.0

05/2016

Security: CP1x43_CP1x43 Beitrags-ID: 109737287, V1.0,

05/2016

Änderung Erste Ausgabe

23