4.13.1.5
Verbindung mit dem Telecontrol-Server
Keine VPN-Verbindung zwischen CP und TCSB
Generell werden für die gesicherte Kommunikation über VPN-Tunnel die
Kommunikationspartner einer gemeinsamen VPN-Gruppe zugeordnet. Die Projektierung
einer VPN-Verbindung zwischen CP und TCSB ist nicht möglich, da der Telecontrol-Server
nicht in STEP 7 projektierbar ist.
Durch das verschlüsselte Telecontrol-Protokoll ist die Verbindung zwischen CP und
Telecontrol-Server bereits geschützt.
4.13.1.6
CP als passiver Teilnehmer von VPN-Verbindungen
Erlaubnis zum VPN-Verbindungsaufbau bei passivem Teilnehmer einstellen
Wenn der CP über ein Gateway mit einem anderen VPN-Teilnehmer verbunden ist und der
CP ein passiver Teilnehmer ist, dann müssen Sie die Erlaubnis zum VPN-
Verbindungsaufbau auf "Responder" einstellen.
Dies ist der Fall bei folgender typischer Konfiguration:
VPN-Teilnehmer (aktiv) ⇔ Gateway (dyn. IP-Adresse) ⇔ Internet ⇔ Gateway (feste IP-
Adresse) ⇔ CP (passiv)
Projektieren Sie für den CP als passivem Teilnehmer die Erlaubnis zum VPN-
Verbindungsaufbau folgendermaßen:
1. Gehen Sie in STEP 7 in die Geräte- und Netzansicht.
2. Selektieren Sie den CP.
3. Öffnen Sie das Register "VPN".
4. Ändern Sie für jede VPN-Verbindung mit dem CP als passivem VPN-Teilnehmer den von
der Standardeinstellung "Initiator/Responder" in die Einstellung "Responder".
4.13.2
Firewall
4.13.2.1
Firewall-Reihenfolge bei der Prüfung ein- und ausgehender Telegramme
Jedes eingehende oder ausgehende Telegramm durchläuft zunächst die MAC-Firewall
(Layer 2). Wenn das Telegramm bereits auf dieser Ebene verworfen wird, dann wird es nicht
zusätzlich durch die IP-Firewall (Layer 3) geprüft. Somit kann durch entsprechende MAC-
Firewall-Regeln die IP-Kommunikation eingeschränkt oder geblockt werden.
CP 1243-7 LTE
Betriebsanleitung, 01/2015, C79000-G8900-C381-01
Projektierung und Betrieb
4.13 Security-Funktionen
63