openVPN
Fernwartung 1-Topologie
Sichere Client/Server Verbindung einer S7-Insel zu einem PC
Voraussetzungen:
Auf dem PC muss openVPN installiert sein.
•
Die exportierte Datei „servername_clienname.tar.gz" entpacken (z.b. Win-7z).
•
Die Datei "client.conf" umbenennen in einen aussagefähigen Clientnamen mit Endung „.ovpn" (z.B. Maschine_xy.ovpn)
•
Alle 4 entpackten Dateien verschieben nach C:\Program Files (x86)\openVPN\config\clientname\...
•
oder die Importfunktion von openVPN-GUI nutzen
Starten der VPN-Verbindung über die openVPN-GUI („Maschine_xy – verbinden).
•
Hinweise:
In der Praxis ist das innerhalb eines statisch konfigurieren Firmennetzes denkbar.
•
(Selten wird ein IIoT-Gateway über eine feste IP-Adresse über das Internet direkt erreichbar sein.)
Die Option „Route LAN Net" der Serverkonfiguration ermöglicht dem PC Zugriff auf die SPS
•
(... und auf weitere Komponenten am LAN-Port des IIoT-Gateways. Ohne diese Option ist nur die Oberfläche des IIoT-
Gateways erreichbar.
Die Option „Route LAN Net" der Clientkonfiguration ist in diesem Fall nicht sinnvoll.
•
Z.B. ist in dieser Konfiguration auch ein Zugriff von Mobilgeräten auf das NodeRed-Dashboard möglich.
•
Fernwartung 2-Topologie
Sichere Fernwartung mehrerer S7-Inseln über openVPN durch eine Zentrale
erlaubt.
Voraussetzungen:
Die IP-Adressenvergabe im Firmennetz erfolgt statisch,
•
ein lokales Netz für das IIoT-Gateway als openVPN-Server und
•
je ein lokales Netz für das IIoT-Gateway als openVPN-Client wird festgelegt.
•
Hinweise
Erfolgt die Kommunikation über "richtiges" Internet, ist für den Server eine globale IP Adresse notwendig
•
(z.B. per DynDNS) und diese ist auch als „Public Router IP" einzutragen. Im Router ist ein entsprechendes
Port-Forwarding zu konfigurieren (siehe jeweiliges Router-Handbuch).
Die externe Adresse des Servers ist für die Funktion des Servers unbedeutend, aber der WebConfigurator muss diese
richtig in die Client-Konfigurationen einbauen.
Wird der openVPN-Server am WAN-Port per DHCP konfiguriert, muss ein Nameserver vorhanden sein.
•
U.U übernimmt auch der DHCP-Server automatisch die Device-FQN des IIoT-Gateways.
Diese muss dann im Server als „Public router IP" eingestellt werden
Wenn sich die IP-Adressen ändern, muss die Konfiguration wiederholt werden.
•
INSEVIS Gesellschaft für industrielle Systemelektronik und Visualisierung mbH • Am Weichselgarten 7 • D-91058 Erlangen
Handbuch Gateway, Rev. 04 / 2020
WebConfigurator
Ersetzt man in der Site-To-Site-open-VPN-Topologie die Client-Insel durch einen PC, ergibt
sich ein Remote-Zugriff auf die Konfigurationsoberfläche des IIoT-Gateways (über den WAN-
Port(!) sowie auf die dahinterliegende(n) SPS(en) ( – mit geringen Einschränkungen – man
kann das entfernte Netz nicht durchsuchen sondern muss es kennen).
Dieses Szenario ergibt sich, wenn man in der Site-To-Site-open-VPN-Topologie auf der
Serverseite einen PC einfügt.
Dieser PC hat damit Remote-Zugriff auf die SPS(en) des entferneten Netzes ( – mit
geringen Einschränkungen – man kann das entfernte Netz nicht durchsuchen sondern
muss es kennen).
Befindet sich die Server-Seite z.B. in einem Home-Office, welches keiner Firmen-IT-
Verwaltung unterliegt, kann man hier sogar über das Internet tunneln, sofern die Client-
IIoT-Gateways „normalen" Internet-Zugang haben und die lokale Sicherheitsstrategie dies
39