Sicherheitskonzepten zur Automatisie- rungstechnik sowie den geltenden Normen und sonstigen Vorschriften. – Qualifizierte Anwendungsprogrammierer und Software-Ingenieure. Die Anwender müssen vertraut sein mit den einschlägigen Sicherheitskonzepten zur Automatisie- rungstechnik sowie den geltenden Normen und sonstigen Vorschriften. 5 / 156 PHOENIX CONTACT 107025_de_04...
• Die Geräte sind für die Installation im Schaltschrank vorgesehen. • Der Betrieb des Funksystems ist nur unter Verwendung des bei Phoenix Contact erhält- lichen Zubehörs zulässig. Der Einsatz von anderen Zubehörkomponenten kann zum Erlöschen der Betriebsgenehmigung führen. Das zugelassene Zubehör finden Sie am Produkt unter phoenixcontact.net/products.
IEC 60950/EN 60950/VDE 0805 ausgelegt. Das Gerät darf nur an Geräte angeschlos- sen werden, die die Bedingungen der EN 60950 erfüllen. • Das Gerät erfüllt die Funkschutzbestimmungen (EMV) für den industriellen Bereich (Funkschutzklasse A). Beim Einsatz im Wohnbereich kann es Funkstörungen verursa- chen. 7 / 156 PHOENIX CONTACT 107025_de_04...
Fernwartungszugriffe, Firewalls etc.) gegen unbefugte Netzwerkzugriffe. • Sie stellen Phoenix Contact sowie die mit der Phoenix Contact GmbH & Co. KG, Flachsmarktstraße 8, 32825 Blomberg gemäß §§ 15 ff. AktG verbundenen Unterneh- men (im Folgenden gemeinsam „Phoenix Contact“ genannt) von allen Ansprüchen Dritter auf erstes Anfordern frei, die aufgrund einer nicht dem Einsatzzweck entspre- chenden Verwendung entstehen.
Zu Ihrer Sicherheit UL-Warnhinweise (nur TC ROUTER 3002T-4G VZW und TC ROUTER 3002T-4G ATT) WARNUNG: Explosionsgefahr beim Einsatz im explosionsgefährdeten Bereich! – Stellen Sie sicher, dass die folgenden Hinweise beachtet und die Hinweise eingehal- ten sind! – Der Einsatz in explosionsgefährdeten Bereichen ist in China nicht erlaubt.
– Geschützt vor Fremdeinwirkung – Geschützt vor schädlichen Umwelteinflüssen wie z. B. UV-Licht • Beachten Sie für die Lagerung die Angaben zum Temperaturbereich sowie zur Luft- feuchtigkeit und Luftdruck. Siehe „Umgebungsbedingungen“ auf Seite 117. 10 / 156 PHOENIX CONTACT 107025_de_04...
Prüfen Sie den Verpackungsinhalt unmittelbar nach Anlieferung anhand des Liefer- scheins auf Vollständigkeit. • Reklamieren Sie entstandene Transportschäden sofort und informieren Sie umgehend Phoenix Contact oder Ihren Lieferanten sowie das Transportunternehmen. • Fügen Sie Ihrer Reklamation aussagekräftige Fotos der beschädigten Verpackung/der beschädigten Lieferung bei.
Europa TC ROUTER 2002T-4G 4G (LTE) 3G (UMTS/HSPA) 2G (GPRS/EDGE) TC ROUTER 2002T-3G 3G (UMTS/HSPA) 2G (GPRS/EDGE) TC ROUTER 3002T-4G VZW IPsec und OpenVPN, USA (HazLoc- 4G (LTE) bis zu drei VPN-Tunnel Zulassung) TC ROUTER 3002T-4G ATT 3G (UMTS/HSPA) Lizenzhinweise zu Open Source Software Die Lizenzhinweise finden Sie im Web-based Management des Geräts unter dem Menü-...
SIM-Fehler (z. B. PIN oder PUK gesperrt) Netzsuche Connect Gelb Verbindung aufgebaut Bei TC ROUTER 3002T... ist die CON-LED über Web-based Management konfigurierbar. So können Sie die mobile IP-Verbindung oder den VPN-Tunnel überwachen. 15 / 156 PHOENIX CONTACT 107025_de_04...
Ziehen Sie mit einem Schraubendreher, Spitzzange o. ä. die Arretierungslasche nach unten. • Winkeln Sie die Unterkante des Geräts etwas von der Montagefläche ab. • Ziehen Sie das Gerät von der Tragschiene ab. Bild 3-4 Demontieren 16 / 156 PHOENIX CONTACT 107025_de_04...
Legen Sie die SIM-Karte so ein, dass der SIM-Chip sichtbar bleibt. • Stecken Sie den SIM-Kartenhalter mit der SIM-Karte vollständig in das Gerät, bis die- ser bündig mit dem Gehäuse abschließt. Bild 3-5 SIM-Kartenhalter entnehmen, SIM-Karte einlegen 17 / 156 PHOENIX CONTACT 107025_de_04...
Prüfen Sie die Signalqualität im Web-based Management unter "Device Information, Status, Radio". • Bei gutem oder sehr gutem Empfang fixieren Sie die Antenne. • Schrauben Sie die Antenne handfest an das Gerät (1,7 Nm). 18 / 156 PHOENIX CONTACT 107025_de_04...
Bild 3-8 Versorgungsspannung anschließen • Schließen Sie die Versorgungsspannung an der steckbaren Schraubklemme an 24 V und 0 V an. Beachten Sie dabei die Polarität. • Sobald die US-LED leuchtet, ist das Gerät betriebsbereit. 19 / 156 PHOENIX CONTACT 107025_de_04...
Die Anschlussleitungen für die Schalteingänge und den Schaltausgang dürfen maxi- mal je 30 Meter lang sein. • Das 0-V-Potenzial der Schalteingänge und -ausgänge müssen Sie an die "0 V"-Klem- me des Spannungsversorgungsanschlusses anschließen. – 24V 0V I1 Bild 3-9 Eingänge verdrahten 20 / 156 PHOENIX CONTACT 107025_de_04...
Entfernen Sie das Ethernet-Kabel am LAN-Anschluss des Routers. • Schließen Sie das Ethernet-Kabel wieder an. • Halten Sie den Reset-Taster weitere fünf Sekunden lang gedrückt. Die IP-Adresse ist jetzt wieder im Auslieferungszustand. – IP-Adresse: 192.168.0.1 – Subnetzmaske: 255.255.255.0 21 / 156 PHOENIX CONTACT 107025_de_04...
Um sich am Router einzuloggen, klicken Sie auf „Login“. Sie benötigen den Benutzer- namen und das Passwort. – Benutzername: admin – Passwort: admin Wir empfehlen, aus Sicherheitsgründen bei der ersten Konfiguration das Passwort zu ändern (siehe „User, Passwort ändern“ auf Seite 91). 23 / 156 PHOENIX CONTACT 107025_de_04...
Zugang zu einem externen Datennetz. Gleichzeitig be- stimmt der APN, zu welchem Netz eine Verbindung aufgebaut werden soll. Bei einem öffentlichen APN wird die Verbindung meistens zum Internet aufgebaut. Das Gerät unterstützt öf- fentliche und private APNs. 24 / 156 PHOENIX CONTACT 107025_de_04...
Geräts in einem Rechnernetz Radio engine Typ der verwendeten Mobilfunk-Engine Firmware-Version der Mobilfunk-Engine Radio firmware IMEI IMEI = International Mobile Station Equipment Identity 15-stellige Seriennummer, über die jedes Mobilfunkgerät ein- deutig identifiziert werden kann 25 / 156 PHOENIX CONTACT 107025_de_04...
TC ROUTER ... 3G/4G Software Hier finden Sie eine Liste der verwendeten Software und die Lizenzhinweise. Weitere Informationen zu Open Source Software finden Sie im Anwenderhinweis AH DE OPEN SOURCE SOFTWARE unter phoenixcontact.net/product/2702528. Bild 4-4 Software 26 / 156 PHOENIX CONTACT 107025_de_04...
PUK-Eingabe erforderlich – Wrong PIN: Falsche PIN im Gerät gespeichert – No SIM card: SIM-Karte nicht eingelegt – Busy: Mobilfunk-Engine startet – Power off: Mobilfunk-Engine ausgeschaltet Signal level Signalstärke als dBm-Wert, RSSI-Wert und Balken 27 / 156 PHOENIX CONTACT 107025_de_04...
Seite 28
– LTE online: aktive Highspeed-Paketdatenverbindung im 4G-Mobilfunknetz über LTE IMSI IMSI = International Mobile Subscriber Identity, Nummer zur eindeutigen Identifizierung von Netzteilnehmern Local area code Gebietskennzahl im Mobilfunknetz Cell ID Eindeutige ID der Mobilfunkzelle 28 / 156 PHOENIX CONTACT 107025_de_04...
Bild 4-7 IPsec status Status, IPsec status IPsec status Active Ipsec Status der aktiven IPsec-VPN-Verbindung connections OpenVPN status Bild 4-8 OpenVPN status Status, OpenVPN status OpenVPN status Active OpenVPN Status der aktiven OpenVPN-Verbindung connections 30 / 156 PHOENIX CONTACT 107025_de_04...
I/O status Hier finden Sie aktuelle Statusinformationen und die Konfiguration der Eingänge und Aus- gänge. Bild 4-9 Status, I/O status 4.8.2 Routing table Hier finden Sie alle Einträge der Routing-Tabelle. Bild 4-10 Status, Routing table 31 / 156 PHOENIX CONTACT 107025_de_04...
DHCP leases Hier finden Sie die IP-Adressen, die der Mobilfunk-Router aktuell den DHCP-Clients zuge- wiesen hat. Bild 4-11 Status, DHCP leases 4.8.4 System info Hier finden Sie die aktuelle Systemauslastung. Bild 4-12 Status, System info 32 / 156 PHOENIX CONTACT 107025_de_04...
Mithilfe von Alias-Adressen können Sie dem Router bis zu 8 zusätzliche IP-Adressen zuweisen. Damit ist der Router aus verschiedenen Subnetzen erreichbar. Klicken Sie auf „New“ und tragen Sie die gewünschte IP-Adresse und Subnetz- maske ein. 33 / 156 PHOENIX CONTACT 107025_de_04...
DHCP-Server den lokal angeschlossenen Geräten IP-Adressen zuweisen soll Static IP address allocation Statische Zuordnung anhand der MAC-Adresse: statische IP des Clients, die der MAC-Adresse zugewiesen werden soll MAC-Adresse des Clients mit Bindestrichen Client MAC address 34 / 156 PHOENIX CONTACT 107025_de_04...
Bild 4-15 Local network, Static routes Local network, Static routes Local static routes Network Netzwerk in CIDR-Schreibweise, siehe „CIDR, Classless Inter-Domain Routing“ auf Seite 146 Gateway Gateway, über das dieses Netzwerk erreicht werden kann 35 / 156 PHOENIX CONTACT 107025_de_04...
Mobilfunknetzes die Mobilfunk-Engine neu startet (in Minu- ten) Daily relogin – Disabled: tägliches Einloggen deaktiviert – Enabled: tägliches Einloggen aktiviert Time Zeitpunkt, zu dem der Router sich kontrolliert aus dem Mobil- funknetz abmeldet und wieder neu einloggt. 36 / 156 PHOENIX CONTACT 107025_de_04...
Wählen Sie einen Provider aus, über den der Router die Inter- netverbindung herstellt. Das unter „Country“ voreingestellte Land schränkt die Provider-Auswahl ein. – Auto: Der Router wählt den Provider anhand der SIM- Karte automatisch aus. 37 / 156 PHOENIX CONTACT 107025_de_04...
Seite 38
Wählen Sie die Protokolle für die Anmeldung beim Provider: – None: Der APN des Providers erfordert keine Anmeldung (Voreinstellung) – Refuse MSCHAP: MSCHAP wird nicht akzeptiert – CHAP only: Nur CHAP wird akzeptiert – PAP only: Nur PAP wird akzeptiert 38 / 156 PHOENIX CONTACT 107025_de_04...
Konfigurieren über Web-based Management Einstellungen für die US-Geräte (TC ROUTER 3002T-4G VZW und TC ROUTER 3002T-4G ATT) Die Geräte für den amerikanischen Markt benötigen besondere APN-Einstellungen. Bild 4-18 Wireless network, SIM (US) Wireless network, SIM Einstellungen für die primäre Mobilfunkverbindung, US Country Wählen Sie das Land aus, in dem Sie den Router ins GSM-...
Seite 40
Wählen Sie die Protokolle für die Anmeldung beim Provider: – None: Der APN des Providers erfordert keine Anmeldung (Voreinstellung). – Refuse MSCHAP: MSCHAP wird nicht akzeptiert – CHAP only: Nur CHAP wird akzeptiert – PAP only: Nur PAP wird akzeptiert 40 / 156 PHOENIX CONTACT 107025_de_04...
Ausgang n schalten: EIN/AUS n={1...4} IPSEC IPsec VPN 1 starten oder stoppen: EIN/AUS IPSEC:n IPsec VPN n starten oder stoppen: EIN/AUS, n={1...3} OPENVPN VPN 1 starten oder stoppen: EIN/AUS OPENVPN:n VPN n starten oder stoppen: EIN/AUS, n={1...3} 41 / 156 PHOENIX CONTACT 107025_de_04...
Port, an den die SMS-Nachricht weitergeleitet werden soll (default 1432) Beispiel Text der SMS-Nachricht zum Starten des IPsec-Tunnels #2 mit dem Passwort 1234: #1234:SET:IPSEC:2 Um diese Verbindung wieder zu stoppen, müssen Sie die folgende SMS-Nachricht schi- cken: #1234:CLR:IPSEC:2 42 / 156 PHOENIX CONTACT 107025_de_04...
– Default: von der Mobilfunk-Engine favorisiertes Protokoll – PPP: Point-to-Point-Protokoll – NDIS: Network Mode Maximum Transmission Unit (MTU), maximale Paketgröße im MTU (default 1500) Mobilfunknetz, in Bytes Enable IPv6 Die Mobilfunk-Schnittstelle unterstützt das IPv6-Protokoll. 43 / 156 PHOENIX CONTACT 107025_de_04...
Bild 4-21 Wireless network, Static routes Wireless network, Static routes Wireless static routes Network Das Netzwerk in CIDR-Schreibweise, siehe „CIDR, Classless Inter-Domain Routing“ auf Seite 146 Gateway Gateway, über das dieses Netzwerk erreicht werden kann 44 / 156 PHOENIX CONTACT 107025_de_04...
B. DynDNS.org, TZO.com, dhs.org DynDNS user name Benutzername Ihres DynDNS-Accounts DynDNS password Passwort Ihres DynDNS-Accounts DynDNS host name Host-Name, der beim DynDNS-Service für diesen Router festgelegt wurde Unter diesem Host-Namen ist der Router erreichbar. 45 / 156 PHOENIX CONTACT 107025_de_04...
Reconnect: Paketdatenverbindung neu aufbauen – Relogin: Mobilfunk-Schnittstelle herunterfahren und neu starten mit erneutem Einloggen im Mobilfunknetz. – None: keine Aktion Optional können Sie eine Information zum Status der Ver- bindungsüberwachung über einen Schaltausgang konfi- gurieren. 46 / 156 PHOENIX CONTACT 107025_de_04...
Monitoring-Intervall in Minuten (mindestens eine Minute) Log interval Ping host IP-Adresse oder Host-Name des Referenzpunkts für das Mo- nitoring Clear Log-Datei im Router für ein erneutes Monitoring löschen View Aktuelle Log-Datei anzeigen Save Log-Datei auf dem lokalen Rechner speichern 47 / 156 PHOENIX CONTACT 107025_de_04...
Seite 48
WCDMA ONLINE WCDMA HSDPA ONLINE WCDMA HSUPA ONLINE WCDMA HSDPA+HSUPA ONLINE LTE ONLINE Standort lac= Location Area Code ci= ID der Mobilfunkzelle Aktuelle eigene IP-Adresse myip= Referenz-IP ping= Ping-Zeiten in msd round-trip min/avg/max= (minimal/Durchschnitt/maximal) 48 / 156 PHOENIX CONTACT 107025_de_04...
TLS version disable Veraltete Protokollversionen deaktivieren HTTPS certificate HTTPS-Zertifikat Ein selbst erstelltes Zertifikat können Sie unter „Certificates“ den Router laden. Das Zertifikat „_selfsigned_“ ist das geräteeigene Standard- zertifikat des Routers. Sie können es nicht löschen. 49 / 156 PHOENIX CONTACT 107025_de_04...
Seite 50
Informationen für den Certificate Sign Request (CSR) Organisation unit Sie benötigen den CSR, um bei einer öffentlichen Beglaubi- City/Location gungsstelle (Certification Authority, CA) ein Zertifikat zu bean- State/Province tragen. Country Subject alternative names Download certificate CSR erstellen sign request 50 / 156 PHOENIX CONTACT 107025_de_04...
Seite 51
Kapitel 5.5, „Zertifikate erstellen“ beschrieben. Damit die HTTPS-Verbindung als sicher eingestuft wird, müs- sen Sie das CA-Zertifikat manuell im Webbrowser hinterle- gen. Eine sichere Verbindung wird üblicherweise mit einem Schloss vor der URL angezeigt. 51 / 156 PHOENIX CONTACT 107025_de_04...
Seite 52
Verbindung automatisch als sicher eingestuft. Installed certificates Übersicht über die Zertifikate, die im Router hinterlegt sind Die Zertifikatsinformationen werden per Mouseover an dem grünen Haken angezeigt. Renew: Zertifikat aktualisieren Delete: Zertifikat löschen 52 / 156 PHOENIX CONTACT 107025_de_04...
Seite 53
Absender erhält keine Information über den Verbleib. Comment Anmerkungen zur Regel Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel das Ereignis protokolliert werden soll. – Yes: Ereignis wird protokolliert. – No: Ereignis wird nicht protokolliert (Voreinstellung). 53 / 156 PHOENIX CONTACT 107025_de_04...
Seite 54
Enabled: Zugriff auf den Router über SSH-Dienst ist möglich, vom lokalen Netzwerk oder über VPN-Tunnel. Server port Port für die SSH-Verbindung (default 22) 4.11.3 SSH setup, Firewall Die Firewall für SSH wird wie die Webserver-Firewall konfiguriert (siehe „Firewall“). 54 / 156 PHOENIX CONTACT 107025_de_04...
Der SNMP-Benutzername und das Passwort sind in der Firmware fest verankert. Sie können diese nicht verän- dern. Der Router hat keine geräteeigene MIB. Die Werte können über eine standardisierte MIB ausgelesen werden. Wir empfehlen die MIB RFC1213-MIB. 55 / 156 PHOENIX CONTACT 107025_de_04...
Seite 56
CR+LF: Zeilenumbruch nach Carriage Return, gefolgt von einem Line Feed XML Boolean values Format, in dem Anfragen über XML beantwortet werden – Verbose: ausführliche Wortrückmeldung, z. B. on/off – Numeric: gekürzte numerische Rückmeldung, z. B. 1/0 56 / 156 PHOENIX CONTACT 107025_de_04...
Jetzt können Sie die Datenverbindung des Routers über XML einschalten. <?xml version="1.0"?> <io> Datenverbindung einschalten <gprs value="on"/> </io> Antwort vom Router (Darstellung mit Zeilenumbruch): <?xml version="1.0" encoding="UTF-8"?> <result> <io> Verbindung eingeschaltet <gprs value="on"/> </io> </result> 58 / 156 PHOENIX CONTACT 107025_de_04...
Seite 59
<inet>1</inet> <vpn>0</vpn> </io> </info> </result> Um nur einen einzelnen Wert auszulesen, können Sie diesen über das Attribut „Select“ wählen. Hier als Beispiel eine Abfrage nach dem RSSI-Wert: <?xml version="1.0" encoding="UTF-8"?> <info> <radio select="rssi"/> </info> 59 / 156 PHOENIX CONTACT 107025_de_04...
Seite 60
System error = Problem mit der Kommunikation zur Mobilfunk-Engine Wenn der Router eine SMS-Nachricht empfangen hat und wenn diese bereitsteht, dann wird die Nachricht ausgegeben: <?xml version="1.0" encoding="UTF-8"?> <result> <cmgr origaddr="+49123456789" timestamp="14/06/30,10:01:05+08">SMS message</cmgr> </result> 60 / 156 PHOENIX CONTACT 107025_de_04...
Seite 61
Zum Starten von IPsec-VPN-Verbindungen senden Sie XML-Daten mit folgender Struktur über Ethernet an die IP-Adresse des Geräts: <?xml version="1.0"?> <io> IPsec-VPN-Verbindung starten <ipsec no="1" value="on"/> </io> Antwort vom Router (Darstellung mit Zeilenumbruch): <?xml version="1.0" encoding="UTF-8"?> <result> <io> <ipsec no="1" value="on"/> </io> </result> 61 / 156 PHOENIX CONTACT 107025_de_04...
Seite 62
OpenVPN-Verbindung stoppen <openvpn no="1" value="off"/> </io> Antwort vom Router (Darstellung mit Zeilenumbruch): <?xml version="1.0" encoding="UTF-8"?> <result> <io> <openvpn no="1" value="off"/> </io> </result> 4.11.7 Socket server, Firewall Die Socket-Server-Firewall wird wie die Webserver-Firewall konfiguriert (siehe „Firewall“). 62 / 156 PHOENIX CONTACT 107025_de_04...
Die Regeln gelten entweder für eingehende Daten (incoming traffic) oder ausgehende Daten (outgoing traffic). Voreinstellung: Alle ausgehenden Verbindungen erlaubt Wenn keine Regel gesetzt ist, sind alle ausgehenden Verbindungen verboten (außer VPN). Neue Firewall-Regel einfügen Delete Regel löschen TCP, UDP, ICMP, alle Protocol 63 / 156 PHOENIX CONTACT 107025_de_04...
Datenpaketen die in ihnen angegebene Absender-IP-Adresse auf interne Ad- ressen umschreiben. Diese Technik wird als NAT (Network Address Translation) bezeich- net. Über die Port-Nummer können Sie die Datenpakte auf Ports interner IP-Adressen um- leiten. Bild 4-32 Network security, Traffic forwarding, Port forwarding 64 / 156 PHOENIX CONTACT 107025_de_04...
Seite 65
Comment Anmerkungen zur Regel Für jede einzelne Firewall-Regel können Sie festlegen, ob bei Greifen der Regel das Ereignis protokolliert werden soll. – Yes: Ereignis wird protokolliert. – No: Ereignis wird nicht protokolliert (Voreinstellung). 65 / 156 PHOENIX CONTACT 107025_de_04...
Seite 66
Antwort ins Internet ist möglich, auch ohne Default-Gate- way. – Disabled: Antwort ins Internet nur mit Default-Gateway (Voreinstellung) Log traffic to exposed – Enabled: IP-Verbindungen werden protokolliert. host – Disabled: IP-Verbindungen werden nicht protokolliert (Voreinstellung). 66 / 156 PHOENIX CONTACT 107025_de_04...
Seite 67
Netz ins Internet kommunizieren (Voreinstellung). Neue Firewall-Regel einfügen Delete Regel löschen From IP 0.0.0.0/0 bedeutet alle IP-Adressen. Um einen Adressbereich anzugeben, benutzen Sie die CIDR-Schreibweise (siehe „CIDR, Classless Inter-Domain Routing“ auf Seite 146). Comment Anmerkungen zur Regel 67 / 156 PHOENIX CONTACT 107025_de_04...
Enabled: DNS-Anfragen aus dem LAN werden ins Inter- net weitergeleitet. Drop invalid packets Die Firewall des Mobilfunk-Routers kann ungültige oder be- schädigte IP-Pakete filtern und verwerfen. – Disabled: Auch ungültige IP-Pakete werden versendet. – Enabled: Ungültige IP-Pakete werden verworfen (Vorein- stellung). 68 / 156 PHOENIX CONTACT 107025_de_04...
Seite 69
Angriffs auch für reguläre Anfragen nicht mehr erreichbar. Es kann jedoch keine Überlastsituation auftreten. Wählen Sie den Wert so großzügig, dass Ihre Applikation nicht gestört wird und so klein, dass keine unnötigen Ressour- cen benötigt werden. 69 / 156 PHOENIX CONTACT 107025_de_04...
SA-Lifetime (eine Sekunde bis 24 Stunden) Bei OpenVPN-Verbindungen werden die folgenden Funktionen unterstützt: – OpenVPN-Client – TUN device – Authentifizierung über X.509-Zertifikate oder Preshared Secret Key (PSK) – Statische Schlüssel – TCP- und UDP-Übertragungsprotokoll – Keep-Alive 70 / 156 PHOENIX CONTACT 107025_de_04...
Seite 71
Klicken Sie auf Edit, um die Einstellungen für IKE vorzuneh- men (siehe Seite 75). Firewall, Edit Mit der IPsec-Firewall können Sie den Datenverkehr durch den VPN-Tunnel filtern. Die Einstellungen sind wie bei der all- gemeinen Applikations-Firewall unter „Firewall“ auf Seite 71 / 156 PHOENIX CONTACT 107025_de_04...
Seite 72
„Initiate“ gewählt haben (der Router baut die Ver- bindung auf). Wenn „Remote connection“ auf „Accept“ steht, dann wird in- tern der Wert „%any“ für „Remote host“ gesetzt. So wird auf eine Verbindung gewartet. 72 / 156 PHOENIX CONTACT 107025_de_04...
Seite 73
Über Local ID können Sie den Namen festlegen, mit dem sich der Router bei der Gegenstelle identifiziert, siehe „Remote ID“. Address remote IP-Adresse/Subnetzmaske des entfernten Netzwerks, zu dem network die VPN-Verbindung aufgebaut werden soll 73 / 156 PHOENIX CONTACT 107025_de_04...
Seite 74
Netzwerks ein. Unter diesem Adressbereich ist das lokale Netzwerk über 1:1 NAT aus dem Remote-Netzwerk erreich- bar. Mit dieser Funktion können Sie z. B. über einen VPN-Tun- nel auf zwei Maschinen zugreifen, die eine identische IP-Ad- resse haben. 74 / 156 PHOENIX CONTACT 107025_de_04...
IPsec-Tunnel wird im eingestellten Intervall neu gestartet. IKE, Edit Bild 4-38 VPN, IPsec, Connections, IKE, Edit VPN, IPsec, Connections, IKE, Edit IPsec - Internet key Name Name der VPN-Verbindung, der unter „IPsec connections“ exchange settings eingetragen ist 75 / 156 PHOENIX CONTACT 107025_de_04...
IPsec SA lifetime Lebensdauer der für IPsec SA vereinbarten Schlüssel, in Sekunden Voreinstellung: 28800 Sekunden (8 Stunden) Das Maximum sind 86400 Sekunden (24 Stunden). Perfect forward – Yes: PFS aktiviert secrecy (PFS) – No: PFS deaktiviert 76 / 156 PHOENIX CONTACT 107025_de_04...
Seite 77
Diese Anfragen testen, ob die Ge- genstelle noch verfügbar ist. Voreinstellung: 30 Sekunden Zeitspanne, nach der die Verbindung zur Gegenstelle für tot DPD timeout erklärt werden soll, wenn auf die Keep-Alive-Anfragen keine Antwort erfolgte. Voreinstellung: 120 Sekunden. 77 / 156 PHOENIX CONTACT 107025_de_04...
Seite 78
Um ein installiertes Zertifikat zu verwenden, müssen Sie unter „VPN, IPsec, Connections, Settings, Edit“ auf dieses Zertifikat verweisen. Durch Klicken auf „Apply“ laden Sie das Zer- tifikat auf den Router. Bild 4-39 VPN, IPsec, Certificates 78 / 156 PHOENIX CONTACT 107025_de_04...
Seite 79
Übersicht über die importierten eigenen PKCS#12- Zertifikate Durch Klicken auf „Delete“ können Sie ein Zertifikat wieder löschen. Die grünen Haken zeigen an, ob in der PKCS#12- Datei ein CA-Zertifikat, ein Maschinenzertifikat oder ein privater Schlüssel enthalten ist. 79 / 156 PHOENIX CONTACT 107025_de_04...
Seite 80
Klicken Sie auf „Edit“, um die Einstellungen für OpenVPN vor- zunehmen (siehe „Tunnel, Edit“ auf Seite 81). Advanced Klicken Sie auf „Edit“, um erweiterte Einstellungen für OpenVPN vorzunehmen (siehe „Advanced, Edit“ auf Seite 83). 80 / 156 PHOENIX CONTACT 107025_de_04...
Seite 81
Initiate on Input #1 ... #2: manueller Start per Schalt- eingang Remote host IP-Adresse oder URL der Gegenstelle, zu der der Tunnel auf- gebaut wird. Remote port Port der Gegenstelle, zu der der Tunnel aufgebaut wird (Voreinstellung: 1194) 81 / 156 PHOENIX CONTACT 107025_de_04...
Seite 82
Address local network Virtuelle IP-Adresse/Subnetzmaske des lokalen Netzwerks Über diese virtuelle IP-Adresse sind die IP-Adressen für das Remote-Netzwerk durch den VPN-Tunnel erreichbar. Sie müssen am entfernten VPN-Router die gleichen Einstellun- gen als entferntes Netzwerk eintragen. 82 / 156 PHOENIX CONTACT 107025_de_04...
Seite 83
Keep-Alive-Anfragen keine Antwort erfolgt Voreinstellung: 120 Sekunden Advanced, Edit Bild 4-42 VPN, OpenVPN, Connections, Advanced, Edit VPN, OpenVPN, Connections, Advanced, Edit Name der VPN-Verbindung, der unter „OpenVPN connec- OpenVPN tunnel advanced Name tions“ eingetragen ist 83 / 156 PHOENIX CONTACT 107025_de_04...
Seite 84
Schlüssel der OpenVPN-Verbindung in bestimmten Abständen erneuert. 4.13.2.2 Port forwarding Konfiguration wie unter „Port forwarding“ auf Seite 64 beschrieben 4.13.2.3 Certificates Hochladen der Zertifikate wie unter „Certificates“ auf Seite 78 beschrieben 84 / 156 PHOENIX CONTACT 107025_de_04...
Erzeugt einen Schlüssel für die OpenVPN-Verbindung. Sie OpenVPN static keys Generate static key können diesen Schlüssel lokal auf dem Rechner speichern. Load static key Lädt den Schlüssel in den Mobilfunk-Router Static keys Schlüssel, die im Router gespeichert sind 85 / 156 PHOENIX CONTACT 107025_de_04...
• Geben Sie für eine SMS-Nachricht ein: – Empfänger aus dem Telefonbuch – Nachrichtentext • Geben Sie für eine E-Mail-Alarmierung ein: – To: Empfänger – Cc: Empfänger einer Kopie – Subject: Betreff – Nachrichtentext 86 / 156 PHOENIX CONTACT 107025_de_04...
Seite 87
Router von einer Rufnummer angerufen wird, die im Tele- fonbuch eingetragen ist. – Connection lost: Der Ausgang ist geschaltet, wenn die Verbindungsüberwachung (Connection Check) des Rou- ters die konfigurierte Referenzadresse nicht erreicht. Autoreset Zeitspanne bis zum automatischen Zurücksetzen des Aus- gangs 87 / 156 PHOENIX CONTACT 107025_de_04...
TC ROUTER ... 3G/4G 4.14.3 Phonebook Tragen Sie hier die Rufnummern ein: – Für die Empfänger der Alarm-SMS-Nachrichten – Für die Berechtigungen zum Schalten der Ausgänge Bild 4-46 I/O, Phonebook 88 / 156 PHOENIX CONTACT 107025_de_04...
SD card: dauerhaftes Logging auf microSD-Karte – Disabled: kein dauerhaftes Logging Load configuration – Disabled: kein automatisches Laden einer Konfiguration beim Start des Routers – SD card: automatisches Laden einer Konfiguration von einer microSD-Karte beim Start des Routers 89 / 156 PHOENIX CONTACT 107025_de_04...
Seite 90
Radio engine: Der Energiesparmodus deaktiviert die Mobil- funk-Engine. Wenn der Energiesparmodus aktiv ist, ist Mobil- funkkommunikation nicht möglich. Ethernet LAN1/2: Der Energiesparmodus deaktiviert die Ethernet-Schnittstelle LAN 1/2. Wenn der Energiesparmodus aktiv ist, ist die Kommunikation über diese Schnittstelle nicht möglich. 90 / 156 PHOENIX CONTACT 107025_de_04...
Konfigurieren über Web-based Management 4.15.2 User, Passwort ändern Bild 4-48 System, User System, User User setup admin Passwort für uneingeschränkten Zugriff auf alle Bereiche user Passwort für eingeschränkten Zugriff (nur Lesezugriff) 91 / 156 PHOENIX CONTACT 107025_de_04...
Seite 92
SD-Karte bleibt erhalten. Die komplette Log-Datei können Sie nur noch von der SD- Karte vor Ort einsehen. „Rotate“ ist nur sichtbar, wenn eine SD-Karte eingelegt ist. Save Log-Datei als Textdatei auf dem lokalen Rechner speichern 92 / 156 PHOENIX CONTACT 107025_de_04...
Seite 93
Provider zugewiesen hat. Server port Port des E-Mail-Servers (Voreinstellung: 25) Transport layer – None: unverschlüsselte Verbindung zum E-Mail-Server security – STARTTLS: nach STARTTLS verschlüsselte Verbindung zum E-Mail-Server – SSL/TLS: nach SSL/TLS verschlüsselte Verbindung zum E-Mail-Server 93 / 156 PHOENIX CONTACT 107025_de_04...
Seite 94
übertragen. – Encrypted password: Authentifizierung mit Benutzerna- men und Passwort, Benutzername und Passwort werden verschlüsselt übertragen. User name Benutzername zur Anmeldung am E-Mail-Server Password Zugehöriges Passwort zur Anmeldung am E-Mail-Server From E-Mail-Adresse des Absenders 94 / 156 PHOENIX CONTACT 107025_de_04...
(cfg-Format oder XML-Format), klicken Sie auf „Apply“. Reset to factory Um den Router auf den Auslieferungszustand zurückzuset- defaults zen, klicken Sie auf „Apply“. Dabei werden alle Einstellungen, inklusive IP-Einstellungen, zurückgesetzt. Importierte Zertifikate bleiben erhalten. 95 / 156 PHOENIX CONTACT 107025_de_04...
Seite 96
Zeit so präzise wie möglich ab. Erst dann kann der Router als NTP-Server für die Geräte arbeiten, die an der LAN-Schnittstelle angeschlossen sind. Der Router liefert dann die Systemzeit. – Disabled: Der Router passt die Systemzeit nicht auto- matisch an. 96 / 156 PHOENIX CONTACT 107025_de_04...
Seite 97
NTP-Server im Internet ist (Voreinstellung). Time zone Wählen Sie die Zeitzone aus. Daylight saving time – Disabled: Sommerzeit wird nicht berücksichtigt. – Enabled: Sommerzeit wird berücksichtigt. Time server for local Zeitserver für das lokale Netzwerk network 97 / 156 PHOENIX CONTACT 107025_de_04...
Seite 98
Wählen Sie den digitalen Eingang aus, mit dessen „High“- Signal der Router bei Bedarf neu gestartet wird. Achten Sie darauf, dass nach dem Neustart das Signal wieder „Low“ ist. So fährt der Router normal hoch. 98 / 156 PHOENIX CONTACT 107025_de_04...
Router automatisch neu startet. Starten Sie den Router nicht manuell. Unterbrechen Sie während des Updates nicht die Stromversorgung. Package update Bei Bedarf können Sie auch nur einzelne Funktionen des Rou- ters aktualisieren. 99 / 156 PHOENIX CONTACT 107025_de_04...
Starten Sie die Setup-Datei. Folgen Sie den weiteren Anweisungen des Setup-Pro- gramms. Neue Datenbank anlegen • Starten Sie das Programm XCA. • Legen Sie über „Datei, Neue Datenbank“ eine neue Datenbank an. Bild 5-1 Neue Datenbank anlegen 101 / 156 PHOENIX CONTACT 107025_de_04...
• Wechseln Sie in die Registerkarte „Zertifikate“. • Legen Sie ein neues Zertifikat an. Im dargestellten Programmfenster ist bereits ein selbst signiertes Zertifikat mit dem Signa- tur-Algorithmus SHA-1 voreingestellt. Bild 5-3 Neues CA-Zertifikat erstellen 102 / 156 PHOENIX CONTACT 107025_de_04...
Seite 103
Tragen Sie in der Registerkarte „Inhaber“ die Informationen zum Inhaber des Root-Zer- tifikats ein. Bild 5-4 Informationen zum Inhaber eintragen • Erstellen Sie einen Schlüssel für dieses Zertifikat. Sie können den voreingestellten Na- men, Schlüsseltyp und die Schlüssellänge beibehalten. Bild 5-5 Schlüssel erstellen 103 / 156 PHOENIX CONTACT 107025_de_04...
Seite 104
Gültigkeit und Typ des CA-Zertifikats einstellen • Klicken Sie auf OK. Das Zertifikat ist jetzt erstellt. In der Übersicht ist ein neues Root-Zertifikat aufgeführt, von dem Sie die weiteren Maschinenzertifikate ableiten können. Bild 5-7 CA-Zertifikat erstellt 104 / 156 PHOENIX CONTACT 107025_de_04...
Zertifikate voreinstellen. Die Namen müssen Sie in den jeweiligen Zertifikaten geben. Die Angabe in den spitzen Klammern ist ein Platzhalter, der beim Anwenden der Vor- lage ersetzt wird. Bild 5-9 Vorlage erstellen, Informationen zum Inhaber eintragen 105 / 156 PHOENIX CONTACT 107025_de_04...
Seite 106
Bild 5-10 Vorlage erstellen, Gültigkeit und Typ des Zertifikats eingeben • Klicken Sie auf OK. Die Vorlage ist erstellt. Jetzt können Sie auf Basis der Vorlage Zertifikate erstellen, die von dem Root-Zertifikat signiert sind. 106 / 156 PHOENIX CONTACT 107025_de_04...
Ein Programmfenster öffnet sich. In der Registerkarte „Herkunft“ ist das Root-Zertifikat angegeben, das zum Signieren verwendet werden soll. Zusätzlich können Sie eine er- stellte Vorlage wählen. Wenn Sie auf „Alles übernehmen“ klicken, werden die Daten eingelesen. Bild 5-11 Zertifikat erstellen 107 / 156 PHOENIX CONTACT 107025_de_04...
Seite 108
Erstellen Sie einen neuen privaten Schlüssel für dieses Zertifikat. Bild 5-13 Schlüssel für Zertifikat erstellen • Klicken Sie auf OK. Sie haben jetzt ein Maschinenzertifikat erstellt, das von der Certificate Authority (CA) sig- niert ist. 108 / 156 PHOENIX CONTACT 107025_de_04...
Das vollständige Zertifikat inklusive des privaten Schlüssels und des CA-Zertifikats muss das Format „PKCS #12 with Certificate Chain“ haben. Sie können dann das Zertifikat als Maschinenzertifikat in das jeweilige Gerät einspielen. Bild 5-15 Zertifikat exportieren 109 / 156 PHOENIX CONTACT 107025_de_04...
Seite 110
Gerät. Bild 5-16 Passwort eingeben • Zusätzlich müssen Sie auch das Zertifikat der Gegenstelle exportieren. Dieses Zertifi- kat wird ohne die privaten Schlüssel im Format PEM abgelegt. Bild 5-17 Zertifikat der Gegenstelle exportieren 110 / 156 PHOENIX CONTACT 107025_de_04...
„Demontieren“ auf Seite 16 beschrieben. Tauschen Sie das Gerät gegen ein identisches Gerät (gleiche Artikelnummer) aus. Gerätedefekt und Reparatur Reparaturen dürfen ausschließlich von Phoenix Contact vorgenommen werden. • Senden Sie defekte Geräte zur Reparatur oder zum Erhalt eines Ersatzgeräts an Phoenix Contact zurück.
Das Gerät ist wartungsfrei. Entsorgung Entsorgen Sie das Gerät getrennt vom Hausmüll über geeignete Sammelstellen. • Entsorgen Sie nicht mehr benötigte Verpackungsmaterialien (Kartonage, Papier, Luft- polsterfolie etc.) im Hausmüll gemäß den jeweils gültigen nationalen Vorschriften. 112 / 156 PHOENIX CONTACT 107025_de_04...
Firewall, NAT, IPsec- und OpenVPN-Unterstützung, 2x SMA-F Antennenbuchse, SMS- und E-Mail-Versand, 2 digitale Eingänge, 1 digitaler Ausgang Version für Verizon Wireless (US) TC ROUTER 3002T-4G VZW 2702532 Version für AT&T (US), Fallback auf 3G UMTS/HSPA TC ROUTER 3002T-4G ATT 2702533...
Seite 114
3,81 mm, Anschlussart: Push-in-Federanschluss, 3,81GY35BD-01 Farbe: lichtgrau, Kontaktoberfläche: Zinn Zwischenstecker mit Lambda/4-Technologie als CSMA-LAMBDA/4-2.0-BS- 2800491 Überspannungsschutz für koaxiale Signalschnittstellen. Anschluss: SMA-Connectoren Stecker-Buchse Lizenz Lizenz für mGuard Secure VPN Client v11.x MGUARD SECURE VPN 2702579 CLIENT LIC 114 / 156 PHOENIX CONTACT 107025_de_04...
Seite 116
(HSPA (UL)) Antenne 50 Ω Impedanz SMA-Antennenbuchse SIM-Schnittstelle 1,8-Volt, 3-Volt GPRS Class 12, Class B CS1 ... CS4 EDGE Multislot Class 10 UMTS HSPA 3GPP R9 HSPA 3GPP R7 HSPA 3GPP R9 CAT4 CAT4 CAT4 116 / 156 PHOENIX CONTACT 107025_de_04...
Seite 117
(maximale Sendeleistung 23 dBm) Lagerung/Transport -40 °C ... 85 °C Zulässige Luftfeuchtigkeit Betrieb 30 % ... 95 % (keine Betauung) Lagerung/Transport 30 % ... 95 % (keine Betauung) Höhenlage 5000 m (Einschränkung siehe Herstellererklärung) 117 / 156 PHOENIX CONTACT 107025_de_04...
Seite 118
TC ROUTER ... 3G/4G Approbationen / Zulassungen TC ROUTER 3002T-4G TC ROUTER 3002T-4G VZW TC ROUTER 3002T-3G TC ROUTER 3002T-4G ATT TC ROUTER 2002T-4G TC ROUTER 2002T-3G Konformität CE-konform UL, USA / Kanada Class I, Zone 2, AEx nA IIC T4 / Ex nA IIC T4 Gc Class I, Div.
12. Juli 1999 Funk - Effektive Nutzung des Frequenzspektrums und Ver- DIN EN 301511 meidung von funktechnischen Störungen Abmessungen 127,5 Micro LAN 1 LAN 2 ANT 1 ANT 2 24V 0V I1 I2 01 Bild 8-1 Abmessungen 119 / 156 PHOENIX CONTACT 107025_de_04...
In einem anderen Netzwerk registriert (Roaming) Location Area Code (LAC), Aufenthaltsbereich des Geräts innerhalb eines Mobilfunknetzes (Hexadezimalzahl, maximal 4 Stellen) Cell ID, eindeutige Identifizierung der Funkzelle innerhalb des LAC (Hexa- dezimalzahl, maximal 8 Stellen) 121 / 156 PHOENIX CONTACT 107025_de_04...
Seite 122
Der UTF-8-kodierte Text wird im Inhaltsbereich des Elements angegeben. Der Text darf aus den Zeichen bestehen, die im GSM 03.38 6.2.1 Default- Alphabet definiert sind. Die Kodierung muss jedoch in UTF-8 nach den XML-Regeln erfolgen. 122 / 156 PHOENIX CONTACT 107025_de_04...
Seite 123
(output) Dezimalzahl 1 ..6 value Zurückgegebener Datentyp je nach Serverkonfiguration. Zum Setzen oder Zurücksetzen von Ausgängen werden beide Varianten erkannt: Verbose Ausführliche Wortrückmeldung, z. B. on/off Numeric Gekürzte numerische Rückmeldung, z. B. 1/0 123 / 156 PHOENIX CONTACT 107025_de_04...
Einstellungen auf der Konfigurationsseite geändert. ./ipaddr IPv4-Adresse des Geräts ./netmask IPv4-Netzmaske ./proto Art der Adresszuweisung: „static“ oder „dhcp“ ./ipalias Der Wert ist eine spezielle Liste und sollte nur über die Konfigurati- onsseite geändert werden. 124 / 156 PHOENIX CONTACT 107025_de_04...
Zur Zeit nicht verwendet, darf nicht verändert werden ./options Zur Zeit nicht verwendet, darf nicht verändert werden Statische Routen <entry name="conf/network/route/lan/sroute"># static routes #</entry> ./sroute Liste der lokalen statischen Routen Diese Liste sollte nur über die Konfigurationsseite geändert werden. 125 / 156 PHOENIX CONTACT 107025_de_04...
Seite 126
SNMPv1/v2 aktivieren Nein ./v3_enable SNMPv3 aktivieren Nein Die Werte sind eine spezielle Liste und sollten nur über die Konfigurationsseite geändert werden. ./fw_local Liste der Firewall-Regeln für lokale Daten ./fw_external Liste der Firewall-Regeln für externe Daten 126 / 156 PHOENIX CONTACT 107025_de_04...
Code zur Länderauswahl ./cpin PIN der SIM-Karte ./roaming Roaming erlaubt Nein ./provider Code des ausgewählten Providers Auto ./username Benutzername für den Paketdaten-Netzzugang ./password Kennwort für den Paketdaten-Netzzugang ./apn APN-Zugangspunkt des Providers ./authallow Bitmaske der zugelassenen Zugangsprotokolle 127 / 156 PHOENIX CONTACT 107025_de_04...
Seite 128
<entry name="conf/gsm/sms_forward">0</entry> <entry name="conf/gms/sms_server">192.168.0.200</entry> <entry name="conf/gsm/sms_port">1432</entry> ./sms_control Gerät über SMS steuern Nein ./sms_password Kennwort, das zur Steuerung verwendet wird ./sms_forward Empfangene SMS-Nachricht an einen Server weiterleiten Nein ./sms_server IP-Adresse des SMS-Servers ./sms_port Port des SMS-Servers 128 / 156 PHOENIX CONTACT 107025_de_04...
Seite 129
Reserviert (nicht benutzen) Steuerung über XML-Server 4 ... 5 Steuerung über Eingang 1 ... 2 Statische Routen <entry name="conf/network/route/wwan/sroute"># static routes #</entry> ./sroute Liste der lokalen statischen Routen. Diese Liste sollte nur über die Konfigurationsseite geändert werden. 129 / 156 PHOENIX CONTACT 107025_de_04...
Seite 130
Auswahlliste der unterstützten Provider DynDNS.org TZO.com selfHOST.de custom DynDNS FesteIP.net FreeDNS.afraid.org Hurricane Electric ./server Server-URL für den custom-DynDNS-Server ./username Benutzername beim DynDNS-Dienst ./password Kennwort beim DynDNS-Dienst ./hostname Eigener Host-Name, der bei dem DynDNS-Dienst registriert ist 130 / 156 PHOENIX CONTACT 107025_de_04...
<entry name="conf/gsm/log_enable">0</entry> <entry name="conf/gsm/log_duration">24</entry> <entry name="conf/gsm/log_interval">1</entry> <entry name="conf/gsm/log_ping"></entry> ./log_enable Monitoring aktivieren Nein ./log_duration Dauer des Monitorings in Stunden ./log_interval Zeitabstand zwischen den Echoanfragen ./log_ping URL- oder IP-Adresse eines Hosts, der die Echoanfragen beantwor- ten soll 131 / 156 PHOENIX CONTACT 107025_de_04...
Seite 132
IP-Masquerading an der externen Schnittstelle durchführen Nein ./xssh Externer Gerätezugriff über SSH Nein ./xwbm Externer Gerätezugriff über HTTP oder HTTPS Nein ./enable Gerätezugriff über SSH Nein ./port Verwendeter Port für den SSH-Zugriff, normal 22 132 / 156 PHOENIX CONTACT 107025_de_04...
Seite 133
Liste der Firewall-Regeln für die NAT-Tabelle (Port-Forwarding) ./nat_vs Liste der Weiterleitungsregeln für die NAT-Tabelle (Port-Forwarding) A 3.2 A 3.2.1 IPsec Übergeordnete Einstellungen <entry name="conf/ipsec/enableupdate">0</entry> <entry name="conf/ipsec/autoupdate">600</entry> ./enableupdate Überwachen von IP-Adressänderungen ./autoupdate Überwachungsintervall in Sekunden 133 / 156 PHOENIX CONTACT 107025_de_04...
Seite 134
Zertifikat der Gegenstelle ./local_cert Lokales Zertifikat ./remote_id Identifizierung der Gegenstelle ./local_id Eigene Identifizierung ./remote_addr Tunnelende der Gegenstelle ./local_addr Lokales Tunnelende ./psk Preshared Key ./nat Verbindungs-NAT Keines Lokales 1:1 NAT Remote Masquerading ./local_net Ziel des lokalen NAT 134 / 156 PHOENIX CONTACT 107025_de_04...
Seite 135
./ike_life Zeit, nach der der Schlüssel neu ausgehandelt wird, in Sekunden ./esp_crypt Phase-2-IPsec-SA-Verschlüsselung, gültige Werte: 3des, aes128, aes192, aes256 ./esp_hash Phase-2-IPsec-SA-Hash Alle SHA-1 ./esp_life Zeit, nach der der Schlüssel neu ausgehandelt wird, in Sekunden 135 / 156 PHOENIX CONTACT 107025_de_04...
Seite 136
<entry name="ipsec.d/certs/local/test.crt">-----BEGIN CERTIFICATE-- ...</entry> <entry name="ipsec.d/certs/remote/mGuard.crt">-----BEGIN CERTIFICATE-- ...</entry> <entry name="ipsec.d/private/test.pem">-----BEGIN RSA PRIVATE KEY-- ...</entry> <entry name="ipsec.d/ldir/test.p12">7</entry> ./cacerts/* CA-Zertifikate ./certs/local/* Lokale Zertifikate ./certs/remote/* Zertifikate der Gegenstellen ./private/* Private Schlüssel ./ldir/* Bitmaske zur Gültigkeit der Zertifikate 136 / 156 PHOENIX CONTACT 107025_de_04...
Seite 137
Startauswahl des Tunnels Sofort starten Steuerung über SMS-Nachricht Steuerung über Anruf Steuerung über XML-Server 4...5 Steuerung über Eingang 1 ... 2 ./host URL oder IP-Adresse der Gegenstelle ./rport Verwendeter Port der Gegenstelle ./proto Protokoll 137 / 156 PHOENIX CONTACT 107025_de_04...
Seite 138
Zertifikattyp der Gegenstelle prüfen Nein ./psk Preshared Key ./username Benutzername ./password Kennwort ./remote_ifc Tunnelende der Gegenstelle ./local_ifc Lokales Tunnelende ./remote_addr Tunnelnetzwerk an der Gegenstelle ./nat Verbindungs-NAT Keines Lokales 1:1 NAT Lokales Masquerading Remote Masquerading Port-Forwarding Host-Forwarding 138 / 156 PHOENIX CONTACT 107025_de_04...
Seite 139
Größe der Pakete mit MSSFIX ./reneg_sec Zeit für die Schlüsselerneuerung in Sekunden Port-Forwarding <entry name="conf/openvpn/napt"># NAPT port forwarding #</entry> Die Werte sind eine spezielle Liste und sollten nur über die Konfigurationsseite geändert werden. .napt Liste der Einstellungen zum Port-Forwarding 139 / 156 PHOENIX CONTACT 107025_de_04...
Seite 140
CA-Zertifikate bei der Authentifizierung mit Benutzernamen und Kennwort Statische Schlüssel <entry name="openvpn/keys/my_static.key"># # 2048 bit OpenVPN static key... </entry> ./ keys/* Statische Schlüssel Diffie-Hellman-Parameter <entry name="openvpn/dh1024.pem">-----BEGIN DH PARAMETERS--...</entry> <entry name="openvpn/dh2048.pem">-----BEGIN DH PARAMETERS--...</entry> ./dh1024.pem DH-Parameter, 1024 Bit ./dh2048.pem DH-Parameter, 2048 Bit 140 / 156 PHOENIX CONTACT 107025_de_04...
Seite 141
SMS-Nachricht versenden E-Mail versenden ./sms/phonebook Bitmaske zur Telefonbuchauswahl ./sms/message SMS-Text ./email/to Empfänger der Nachricht ./email/cc Empfänger einer Kopie ./email/subject Betreffzeile ./email/message Textnachricht ./alarm_enable Alarm aktivieren Nein ./alarm_time Automatische Rückstellzeit für den Alarm, in Minuten 141 / 156 PHOENIX CONTACT 107025_de_04...
Seite 142
<entry name="conf/phonebook/n07"></entry> <entry name="conf/phonebook/n08"></entry> <entry name="conf/phonebook/n09"></entry> <entry name="conf/phonebook/n10"></entry> <entry name="conf/phonebook/n11"></entry> <entry name="conf/phonebook/n12"></entry> <entry name="conf/phonebook/n13"></entry> <entry name="conf/phonebook/n14"></entry> <entry name="conf/phonebook/n15"></entry> <entry name="conf/phonebook/n16"></entry> <entry name="conf/phonebook/n17"></entry> <entry name="conf/phonebook/n18"></entry> <entry name="conf/phonebook/n19"></entry> <entry name="conf/phonebook/n20"></entry> ./n[xx] Telefonnummer im nationalen oder internationalen Format 142 / 156 PHOENIX CONTACT 107025_de_04...
Seite 143
Verwendeter Port für den Webserver bei HTTP ./httpsport Verwendeter Port für den Webserver bei HTTPS ./logremote Log-Daten an einen Log-Server senden Nein ./logserver IP-Adresse des Log-Servers ./logport Port des Log-Servers ./lognvm Reserviert, muss auf 0 stehen 143 / 156 PHOENIX CONTACT 107025_de_04...
Seite 144
<entry name="conf/gprs/dialup">*99***1#</entry> ./gsm/at1cmd Befehle vor der PIN-Eingabe (ohne vorangestelltes AT) ./gsm/at2cmd Befehle nach der PIN-Eingabe (ohne vorangestelltes AT) ./gprs/at1cmd Befehle vor der PPP-Einwahl (ohne vorangestelltes AT) ./gprs/dialup Verwendete Einwahl ins Paketdatennetz (zur Zeit nicht verwendet) 144 / 156 PHOENIX CONTACT 107025_de_04...
Seite 145
<entry name="conf/system/rebootenable">0</entry> <entry name="conf/system/reboottime">01:00</entry> <entry name="conf/system/rebootevent">0</entry> ./rebootenable Bitmaske der Wochentage, an denen ein Reboot erfolgen soll ./reboottime Uhrzeit für den Reboot ./rebootevent Gewähltes Ereignis für einen Reboot Keines 1 ... 2 Vom jeweiligen Eingang ausgelöst 145 / 156 PHOENIX CONTACT 107025_de_04...
Seite 155
Bitte beachten Sie folgende Hinweise Allgemeine Nutzungsbedingungen für Technische Dokumentation Phoenix Contact behält sich das Recht vor, die technische Dokumentation und die in den technischen Dokumentationen beschriebenen Produkte jederzeit ohne Vorankündigung zu ändern, zu korrigieren und/oder zu verbessern, soweit dies dem Anwender zumutbar ist.
Wenn Sie Anregungen und Verbesserungsvorschläge zu Inhalt und Gestaltung unseres Handbuchs haben, würden wir uns freuen, wenn Sie uns Ihre Vorschläge zusenden an: tecdoc@phoenixcontact.com 156 / 156 PHOENIX CONTACT GmbH & Co. KG • Flachsmarktstraße 8 • 32825 Blomberg • Germany phoenixcontact.com...