Accesso da Remoto agli Impianti via Internet - … · Slide 2/65 26.07.2012 Davide Crispino Industry Sector / I IA SC CI Links... Configurazioni VPN con IP Pubblico Teleservice classico

Davide Crispino I IA SC CI

Accesso da Remoto agli Impianti via

Internet

Industry Sector / I IA SC CISlide 2/65 26.07.2012 Davide Crispino

Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione

remota

Manutenzione da remoto – utilizzo

Manutenzione da remoto:

Accesso remoto ad una stazione, o intero impianto di

automatione, tramite rete pubblica

Other fieldbuses

HMI

Motion ControlProxy

Rete

Pubblica

Remote Maintenance Co.

S7 PLC


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Teleservice

classico

La manutenzione remota fino a ieri...

….è basata su una soluzione sviluppata da I IA AS (A&D AS)

….permette la manutenzione di stazioni remote tramite rete telefonica:un PG/PC dotato di engineering tool, come STEP 7, installato puòaccedere a componenti di automazione (per esempio S7-CPUs) tramite rete telefonica se questi componenti sono connessi via Industrial Ethernet o PROFIBUS/MPI/PPI usando degli adattatori chiamati TS-Adapter.

TS adapter II TS adapter IE


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

…Le limitazioni di questa soluzione

Sulla rete telefonica ogni nodo è raggiungibile attraverso un

numero telefonico fisso ed univoco associato; basta chiamare

il numero telefonico dell‘impianto per essere collegati.

PRO: Soluzione economica, inoltre la rete commutata è considerata estremamente sicura ed i moduli TS Adpater introducono ulteriori firewall su richiesta

CONTRO: la linea telefonica è estremamente lenta ed instabile, il che rende difficile scambiare grossi volumi di dati in tempi brevi. Questo si traduce sempre più nella difficoltà di scaricare grosse modifiche ai progetti da remoto (es. Downlaod di progetti su OP)

CONTRO 2: diventa sempre più difficile trovare sugli impianti la possibilità di essere raggiunti da una linea telefonica pura (es.centralini)

Teleservice

classico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Il nuovo concetto di Teleservice via Internet

Cella remota a cui si vuole accedere

Cella remota a cui si vuole accedere

Servizio tecnicodotato di PG/PC

Centro per la

manutenzione

remota

PG

Ogni impianto a livello 2 possiede una connessione ad Internet già esistente, ed

ogni azienda è dotata di una connessione ad Internet ad alta velocità....perchènon sfruttare questo nuovo canale di comunicazione?

InternetInternet

Teleservice via

Internet


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

…Quali sono i nuovi problemi ? (1)

Sicurezza

Internet è un mezzo che introduce molti rischi:

Settaggi sbagliati sul PC causano buchi nella sicurezza

e aprono le porte a Virus, Trojans e Worms

Dati non criptati possono essere intercettati e manipolati

Hackers possono attaccare dall‘esterno

Una connessione ad Internet non protetta può portare a sabotaggi dell‘intero impianto. Nasce l‘esigenza di creare collegamenti sicuri attraverso una rete non

sicura, dei così detti „tunnel“

Teleservice via

Internet


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Virtual Private Network

VPN non è una tecnologia di per sè stessa, ma è un concetto che può essere

implementato nella pratica con l’utlizzo di tecnologie diverse fra loro.

Alla base vi è la necessità di avere una rete virtuale di nodi che possono fare parte

fisicamente di reti diverse (distanti fra loro e topologicamente eterogenee) ma

appartenere alla stessa rete logica (VPN). L’utilizzo di meccanismi di

autenticazione e crittografia rende questa rete privata.

…La soluzione al problema della sicurezza...

Teleservice via

Internet

Il tipo di VPN creata con i moduli Siemens prende il nome di IPsec.


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

…Quali sono i nuovi problemi ? (2)

Internet è di fatto una grossa rete Ethernet in cui ogni nodo è

indirizzabile tramite un indirizzo IP e non più un numero di telefono. Di

norma questo indirizzo IP non è fisso, bensì cambia ogni volta che ci

colleghiamo...nasce il concetto di IP dinamico.

InternetInternet

Impianto

Remoto

Accesso Internet:

ADSL router

Accesso Internet:

ADSL router

IP Dinamico

IP Dinamico

Centro Manutenzione

Come possono riuscire a parlare tra loro due nodi di una rete

che hanno un indirizzo che cambia sempre?

Teleservice via

Internet


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

…Le soluzioni al problema dell‘IP dinamico...

Soluzione 1

Uno dei due partecipanti alla connessione tramite internet deve essere

dotato di un particolare indirizzo IP che non cambia mai, cioè un

IP pubblico. E‘ possibile avere uno o più IP pubblici stipulando un

contratto „business“ con il proprio Internet Service Provider.

InternetInternet

Impianto

Remoto

Accesso Internet:

ADSL router

Accesso Internet:

ADSL router

IP PubblicoIP Dinamico

Centro Manutenzione

Colui che detiene l‘IP pubblico resterà in attesa della connessione da parte dell‘IP

dinamico, assumendo il ruolo di VPN Server.

E‘ indifferente la scelta del lato su cui avere l‘IP pubblico, l‘importante è che almeno uno dei

due partecipanti lo abbia.

Teleservice via

Internet


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Soluzione 2

All‘interno della rete Internet non siamo abituati ad indirizzare i nodi in

base all‘indirizzo IP, basti pensare a quando lanciamo un browser per

navigare tra i siti:

Stiamo contattando il Server di Google tramite il nome di un host, non un indirizzo IP!

Provate a lanciare un comando di ping verso l’URL di Google, e

vedrete che vi verrà restituito l’indirizzo IP “reale” del Server....

A questo punto riaprite il Browser puntando all’indirizzo IP che vi ècomparso con il ping...ricomparirà Google

Teleservice via

Internet


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Soluzione 2

All‘interno della rete Internet esiste una dualità nell‘indirizzamento di alcuni nodi; si può pensare di raggiungere tali nodi sapendo il loro indirizzo IP, oppure tramite il loro „Domain Name“ (quando disponibile).

Alcuni oggetti possono avere un indirizzo IP dinamico su Internet, ma avere un „Domain Name“ pubblico (cioè che non cambia mai): possiamo, quindi, pensare di sfruttare il „Domain Name“ per instaurare la nostra connessione!

InternetInternet

Impianto

Remoto

Accesso Internet:

ADSL router

Accesso Internet:

ADSL router

IP DinamicoIP Dinamico

Centro Manutenzione

Domain Name Pubblico

Abilitare un Domain Name pubblico su una connessione ad Internet privata non richiede nessun tipo di ISP particolare, vedremo in seguito come poterlo attivare.

Teleservice via

Internet


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Soluzione 3

Se entrambi i nodi che voglio mettere in comunicazione tramite Internet

dispongono solo di un IP dinamico, e non posso/voglio creare ad uno

dei due un Domain Name pubblico, allora esiste una terza possibilità di

metterli in comunicazione:

La soluzione consiste nell’utilizzare un terzo nodo su internet

(dotato di IP pubblico) da sfruttare come bridge per la comunicazione

Teleservice via

Internet

InternetInternet

Impianto

Remoto

Accesso Internet:

ADSL router

Accesso Internet:

ADSL router


Centro Manutenzione

IP Pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Soluzione 3

La comunicazione reale non avviene direttamente tra i miei due nodi,

bensì avviene singolarmente tra ognuno dei due nodi ed il server

centrale. E‘ poi quest‘ultimo che fa in modo di instradare correttamente

la comunicazione tra i dueTeleservice via

Internet

InternetInternet

Impianto

Remoto

Accesso Internet:

ADSL router

Accesso Internet:

ADSL router


Centro

Manutenzione

IP Pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Soluzione 3

I PRO: sia chi fa manutenzione che l‘impianto sono Client VPN, il che mi permette

teoricamente di non dover toccare la configurazione dei Router ADSL, mentre vedremo

che in un collegamento diretto il Server VPN richiede dei ritocchi specifici.

I CONTRO: tutta la comunicazione passa tramite un servizio esterno, il che introduce possibili

tempi di maintanence in cui non posso raggiungere più il mio impianto.

Inoltre questa soluzione abbassa il grado di sicurezza complessivo...

Se aveste una cosa essenziale e segreta da dire a qualcuno, lascereste mai un

biglietto al primo che incontrate dicendogli di portarlo al posto vostro? ☺☺☺☺

Teleservice via

Internet

InternetInternet

Impianto

Remoto

Accesso Internet:

ADSL router

Accesso Internet:

ADSL router


Centro Manutenzione

IP Pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

I dispositivi di sicurezza SIMATIC NET

SCALANCESCALANCE S612 v3/S623S612 v3/S623:

Firewall: regole bidirezionali

DHCP Server integrato: assegnazione automatica

dell’indirizzo IP ai nodi della rete interna

ROUTER (Layer 3): per il collegamento di reti

LAN con indirizzi IP di differente classe.

PPPoE e SNMP supportati

DynDNS supportato

S612 / S623: fino a 128 VPN-Tunnel IPsec contemporaneamente

(può lavorare sia come VPN Server che VPN Client a seconda di come si configura)

SOFTNET SECURITY CLIENT V4SOFTNET SECURITY CLIENT V4

SCALANCE M875SCALANCE M875

Consente di collegare PC e Notebook alla rete VPN

realizzata da moduli SCALANCE S612/S623/M875/CP Adv!

(solo VPN client)

Router UMTS/GPRS/EDGE con funzionalità VPN e firewall integrato

(può lavorare sia come VPN Server che VPN Client)

SIMATIC NET VPN


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

La novità 2012

New!New!

MLFB: 6GK5612-0BA10-2AA3

SIMATIC NET VPN

New !User-specific firewall rules

Accesso a specifiche sezioni dell’impianto attraverso

gestione dei diritti utenti

Superata limitazione sui tunnel VPN degli S613 V2fino a 128 VPN tunnels simultaneamente

SNMP V1/V3Data query tramite SNMP

V3 tap-proof trasferimenti di informazioni analitiche sullo stato

della rete al network management

PPPoEInternet connection via modem (precedentemente solo router)

DynDnsSupporto del servizio DynDNS

InterfacciaSupporto al gigabit Ethernet (1000 Mbps)

SCALANCE S612 v3SCALANCE S612 v3


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

La novità 2012

New!New!

MLFB: 6GK5623-0BA10-2AA3

SIMATIC NET VPN

SCALANCE S623SCALANCE S623

New !Porta DMZ addizionale per remote maintenance

Oltre alle funzioni già presenti sullo SCALANCE S612, con la sua extra porta (DMZ) lo SCALANCE S623 forniscel’opzione per collegare un’ulteriore rete.

Con lo SCALANCE S623, una zona demilitarizzata (DMZ) può essere configurata sulla nuova porta, dove si possonoinstallare servers che devono essere raggiungibili sia dallarete non-secura (e.g. Internet o external network) sia dallarete sicura (internal network).

Server con WebApplication

Database Server

Zona Sicura

Settore protetto da Firewall

Accesso Permesso

Accesso Bloccato

Accesso Limitato

Zona Insicura


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

La novità 2012

SCALANCESCALANCE M875:M875:Modem wireless per comunicazioni dati HSDPA, UMTS, EGPRS, GPRS

Alta velocità: fino a 14,4Mb/s in downlink, e 5,76Mb/s in uplink

Firewall integrato contro accessi non autorizzati

Funzionalità di VPN Client (per uso combinato con Scalance S61x)

Funzionalità di VPN Server (per uso combinato con Softnet Security Client, vedi VPN_news, o per accoppiamento con un altro Scalance M875 per connessione diretta, , vedi VPN_news2).

Client DynDNS integrato per connessioni VPN senza IP pubblico

Switch integrato a due porte 10/100 Mb/s

Doppia antenna per gestione segnale con modalità “Diversity” (maggiore stabilitàdel collegamento)

Può sostituire completamente il modem MD741-1

New!New!

MLFB: 6GK5875-0AA10-1AA2

SIMATIC NET VPN


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Può lavorare anche sotto Windows 7- 64bit

VPN client per PCs, PGs e notebooks in ambientiindustriali – permette l’accesso via VPN (con IPsec) a sistemi di automazione protetti daSCALANCE S o SCALANCE M

Nessuna limitazione a tunnel VPN paralleli

Accesso ai controller Tap-proof

Protezione dei dati transferiti, limitazione agliaccessi indesiderati e criptaggio dati per eliminare possibili manipolazioni degli impianti

Configurazione centralizzata per soluzioni VPN con SCALANCE S / M

SIMATIC NET VPN

La novità 2012

New!New!

Softnet Security Client V4Softnet Security Client V4

MLFB: 6GK1704-1VW04-0AA0


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Il SW di configurazione delle reti VPN

SECURITY CONFIGURATION SECURITY CONFIGURATION TOOL v3.0:TOOL v3.0:

Il SW è fornito gratuitamente con ogni dispositivo SCALANCE S

La configurazione dei dispositivi è semplice e non necessita di alcuna

conoscenza specifica di regole di Security!

Non è necessario modificare la configurazione di rete aziendale!

SIMATIC NET VPN


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Soluzioni VPN usando un IP pubblico

Configurazioni

VPN con IP

pubblico

Quando sceglierla?Quando sceglierla?

Ogni azienda ha di norma un abbonamento ad Internet con già compresi un pool di 8 indirizzi IP pubblici, in questo caso il collegamento VPN non richiede nessun costo aggiuntivo rispetto al solo hardware.

Il collegamento remoto non viene a dipendere da nessun un servizio esterno.

Scegliendo questa soluzione il cliente può, ad esempio, sfruttare il fatto che gli Scalance S6xx permettono più tunnel contemporanei e fare puntare tutti gli impianti verso il proprio ufficio (da cui li potrà telegestire) vedi Configurazione 1

Cosa tenere in considerazione?Cosa tenere in considerazione?

Su reti mobili quali UMTS/GPRS/EDGS, in Italia e in molti altri stati, non è possibile richiedere un IP pubblico. Di conseguenza i modem UMTS possono solo lavorare come VPN client.

Questo significa che l’unico modulo che si può utilizzare come VPN Server resta lo Scalance S6xx. Questo particolare è tenuto in considerazione negli esempi successivi.


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Soluzioni VPN usando un indirizzo IP pubblico

Costellazioni possibili...Costellazioni possibili...

SOFTNETSecurity

client

SCALANCE S6xx

SCALANCE M875

SCALANCE S6xx

SCALANCE M875

VPN server (lato IP pubblico)

VP

N c

lien

t

Nessun IP pubblicopossibile surete mobile

Nessun IP pubblicopossibile su

rete mobile

Nessun IP pubblicopossibile surete mobile

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Principio di funzionamentoCreazione di tunnel IPSec con SCALANCE S612 (1)

InternetInternet

Azienda da cui si vuole

effettuare l’assistenza remota degli impianti

Impianto remoto

Entrambi i lati devono disporre di un accesso ad internet tramite Router.Indirizzo IP pubblico

Almeno uno dei due lati deve disporre di un accesso ad Internet con IP pubblico, è indifferente quale...

All’accensione i due moduli (correttamente configurati) si

cercano, ed instaurano in automatico un tunnel VPN...Il risultato della VPN è che le due reti Ethernet remote sono

diventate virtualmente un’unica rete!

VPN

client

VPN

server

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

VPN

client

VPN

server

InternetInternet

UDP



Impianto remoto

Indirizzo IP dinamico

Il collegamento VPN avviene sempre tra un VPN Server ed un VPN

client, mai tra due Client...quindi in questa configurazione è sempre

necessario che su uno dei due lati ci sia un IP pubblico!

E’ del tutto indifferente la scelta dell’IP pubblico lato Supervisione o

lato impianto...l’importante è che uno dei due sia Server e l’altro Client!

Configurazioni

VPN con IP

pubblico


Indirizzo IP pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

VPN

client

VPN

server

InternetInternet

UDP



Impianto remoto

Port forwarding delle porte UDP 500/4500 !

Indirizzo IP dinamico Indirizzo IP pubblico

La scelta del lato con IP pubblico (VPN Server) può essere

condizionata dalla regola necessaria sul router aziendale...

Il port forwarding è una regola che non tutti i clienti finali permettono

sul loro router aziendale, mentre chi fa teleassistenza di solito ha pieno

potere decisionale sul proprio router!

Configurazioni

VPN con IP

pubblico


Porte UDP 500/4500 solo aperte in uscita (e risposte)!

Attenzione: si può chiedere una regola di port forwarding anche solo

per uno specifico indirizzo IP pubblico che sarà l’unico che ne può

usufruire! Questa è una richiesta che non “storce il naso”dei i reparti IT


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

InternetInternet

Principio di funzionamentoIl tunnel IPSec con SCALANCE S61x (fase 1)


Pacchetto UDP500

destinato a IP pubblico

All’accensione il modulo client prende l’iniziativa e va a cercare l’IP pubblico associato al VPN Server che deve raggiungere...è

l’unico indirizzo noto a priori sulla rete Internet!

Il “problema” è che l’IP pubblico è associato al router, e non allo

scalance S61x...serve una regola per passare i pacchetti al nostro modulo, da qui nasce l’esigenza del port forwarding


Pacchetto UDP500

destinato a IP

Scalance S Client

Il pacchetto originato dal VPN client contiene già l’indirizzo sorgente, e questo permette allo scalance S61x di rispondere

direttamente a questo indirizzo...ecco perchè lato client (di norma) non serve la regola di port forwarding!

La prima fase contiene solo dati utili necessari all’autenticazione e alla decisione della chiave (dinamica) di criptaggio dei dati. Questa fase usa solo la porta UDP 500, e

permette la creazione del tunnel, che sarà poi usato per lo scambio dati vero e proprio...

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

InternetInternet

Il tunnel IPSec con SCALANCE S61x (fase 2)


Pacchetto TCP102 destinato a CPU

Pacchetto UDP4500 destinato a S612 remoto

Cosa succede quando vado online con Step7?

Tutti i protocolli su stack TCP/IP ed UDP possono viaggiare tramite tunnel,

mentre i protocolli di livello più basso (es.nodi accessibili) non passano.

Tutti i pacchetti TCP vengono incapsulati in pacchetti UDP con porta di

destinazione 4500. Questo permette di limitare a due il numero di porte da

aprire sul router del cliente finale, a prescindere dai protocolli che si

utilizzeranno...meno rischi per il cliente finale!


Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Applicazione tipica:

Costruttore di macchine che vuole tenere sotto controllo gli impianti che

installa in giro per il mondo (ognuno dotato di un accesso ADSL ad Internet)

La soluzione prevede:

• Un centro di manutenzione remota creata nei loro uffici; richiede un IP

pubblico

• Impianti remoti multipli, connessi via VPN al loro ufficio; qui basta una

connessione internet classica (no IP pubblico sugli impianti)

Si sfrutta la proprietà per cui i moduli Scalance S61x supportano più tunnel

contemporaneamente...in questo caso è il solo VPN Server che ha multipli

tunnel, mentre i VPN client effettuano una sola connessione a testa per

collegarsi all‘ufficio.

Esempi di applicazioneConfigurazione n.1

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione Remota via Internet solo SCALANCE S61x

Service PG/PC

SIMATIC Manager

Accesso Internet:

e.g. ADSL router

SCALANCE S61x

InternetInternet

Internet access:

e.g. DSL router

Accesso Internet:

e.g. ADSL router

SCALANCE S61x

VPNVPNtunneltunnel

SCALANCE S61x

Postazione centrale

per la manutenzione

Impianto

Remoto n.1

Impianto

Remoto n.2

Configurazione 1


In caso di più tunnel contemporaneii, le classi di indirizzamento IP delle varie

macchine remote devono essere diverse!! Attenzione

agli OEM che producono macchine in serie

Configurazioni

VPN con IP

pubblico



Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Costruttore di macchine che vuole tenere sotto controllo gli impianti che installa in giro per il mondo, ma il cliente finale non mette a disposizione un accesso ad Internet ADSL.

Si risolve il problema creando un accesso ad Internet personale, tramite router GPRS (dotato di SIM abilitata a questo tipo di traffico).

La soluzione prevede:

• Un centro di manutenzione remota creata nei loro uffici; richiede un IP pubblico

• Impianti remoti multipli, connessi via VPN al loro ufficio; connessione ad internet tramite

UMTS/GPRS (impossibile per ora avere IP pubblico sulla rete GPRS)

Si sfrutta la proprietà per cui i moduli Scalance S61x supportano più tunnel contemporaneamente...in questo caso è il solo VPN Server che ha multipli tunnel, mentre i VPN client effettuano una sola connessione a testa per collegarsi all‘ufficio.

I moduli M875 possono solo fare da Client VPN, quindi possono solo collegarsi verso uno Scalance S61x con IP pubblico (questo perchè su rete UMTS/GPRS al momento non è possibile avere un IP pubblico)!

Configurazione n.2

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione remota via Internet / GPRS con Router GPRS/UMTS Scalance M875

InternetInternet

Internet access:

e.g. DSL router

VPNVPNtunneltunnel

GPRSGPRS

Service PG/PC

SIMATIC ManagerSCALANCE S61x

IP Dinamico

M875

IP Dinamico

Postazione centrale

per la manutenzione

Impianto

Remoto n.1

Impianto

Remoto n.2

Configurazione 2


I modem MD741-1/M875 supportano il NAT interno al

tunnel VPN, questo può permettermi di usare stessi indirizzamenti per le varie

macchine remote

M875

Configurazioni

VPN con IP

pubblico



Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Applicazione più rara:

Cliente sporadico, che vuole controllare da remoto uno o più impianti sapendo

che il cliente finale gli fornirà (sull‘impianto) un accesso ad Internet con IP

pubblico.

In questo caso il cliente può fornirsi di software di emulazione dello Scalance

S61x nel suo uffcio, ed installare sul/sugli impianti degli Scalance S61x.

Il solo PC su cui gira il SOTNET Security Client si collega in VPN ad un

solo impianto alla volta.

Il SOTNET Security Client può solo fare da Client VPN, quindi può solo

collegarsi verso uno Scalance S61x con IP pubblico!

Configurazione n.3

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione da Remoto via Internetcon SOFTNET Security Client e SCALANCE S61x

PG/PC

SIMATIC Manager

Internet access:

e.g. DSL router

SCALANCE S61x

InternetInternet

Internet access:

e.g. DSL router

Internet access:

e.g. DSL router

SCALANCE S61x

SOFTNET Security Client

VPNVPNtunneltunnel

Remote

maintenance center

Remote maintenance cell


Indirizzo IP pubblicoIndirizzo IP pubblico

IP Dinamico

Configurazione 3

Configurazioni

VPN con IP

pubblicoPort forwarding delle porte UDP 500/4500 !

Port forwarding delle

porte UDP 500/4500 !


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Richiesta tipica dei clienti:

Cliente costruttore di macchine, a cui sta bene la configurazione 1 e configurazione 2 ma

vorrebbe poter accedere agli impianti anche quando si trova a casa o in giro per il

mondo, senza necessariamente dover andare in ufficio.

Il SOFTNET non può collegarsi direttamente sugli impianti perchè sarebbe una

connessione tra due VPN Client, manca il VPN Server (cioè lo Scalance S61x lato

IP pubblico) ed inoltre il SOFTNET non permette di fare Routing tra i vari tunnels...

Posso aggirar il problema in questo modo:

Il SOFTNET (VPN client) si collega all‘ufficio (VPN server) e tramite un software

gratuito (VNC) prende possesso del PC dell‘ufficio. A questo punto si trova a tutti

gli effetti dietro al VPN Server, e quindi può raggiungere TUTTI gli impianti usando

da remoto il PC dell‘ufficio.

Configurazione n.4

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione Remota via Internet con SOFTNET Security Client e SCALANCE S61x

Internet access:

e.g. DSL router

SCALANCE S61x

InternetInternet

Internet access:

e.g. DSL router

Internet access:

e.g. DSL router

SCALANCE S61x


SCALANCE S61x

SOFTNET Security Client

Internet access:

e.g. DSL router

Remote maintenance center

Remote

maintenance cell


"Mobile" service technician

Project database

STEP 7

Prendo possesso del PC dell‘uffcio tramite VNC

STEP 7

Configurazione 4Configurazioni

VPN con IP

pubblico



Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Applicazione rara:

All‘impianto finale vogliono collegarsi in VPN tutti i costruttori di

macchine che hanno partecipato (ognuno con accesso solo alla sua

porzione di impianto), ed eventualmente anche il cliente finale.

In questo caso l‘IP pubblico (e quindi il lato VPN server) deve stare

lato impianto, i vari clienti sceglieranno il VPN client che più gli serve

per collegarsi (SOFTNET se gli basta collegare solo un PC, Scalance

S61x se vogliono poter accedere con più nodi Ethernet, o

eventualmente anche Scalance M875).

Il cliente finale può fare in modo che ogni costruttore acceda solo alla

porzione di impianto che gli compete, e non veda (ad esempio) le

macchine dei concorrenti.

Configurazione n.5

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione Remota via Internet con SOFTNET Security Client e SCALANCE S61x

Internet access:

e.g. DSL router InternetInternet

Internet access:

e.g. DSL router

SCALANCE S61x


SCALANCE S61x

Internet access:

e.g. DSL router

Remote maintenance center 3

Remote

Plant

Remote maintenance center 2

Configurazione 5

SCALANCE S61x

"Mobile" service technician

Il cliente finale (VPN server) può limitare l’accesso a singole parti dell’impianto, a seconda di chi si collega, grazie alle nuove regole

firewall user-based!!

Configurazioni

VPN con IP

pubblico



Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Creazione di regole di firewall

Definizione di regole di firewall per ogni operatore

Definizione di regole di firewall per ogni operatore

Aggiunta una pagina web sullo

Scalance S6xx per effettuare il

logon dell’utente a VPN stabilita

Di default la sessione di teleassistenza resta aperta per 30min.

Ogni accesso viene registrato e storicizzato dal modulo!

Regole di Firewall User-specific

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Lato IP pubblico deve necessariamente esserci sempre uno Scalance S6xx

Lato IP dinamico si può scegliere il tipo di VPN Client migliore:

- SSC se serve connettere solo un PC al VPN Server

- M875 se non si dispone di una connessione cablata ADSL

- S61x se serve connettere in VPN un‘intera rete avendo ADSL cablata

I moduli Scalance S6xx possono gestire più tunnel contemporanei, sia se

usati come VPN server che come VPN Client

SOFTNET Security Client può stabilire solo un tunnel alla volta

I vari VPN Client non possono comunicare tra loro neanche facendo Routing

sul VPN Server, l‘unico modo è la „Configurazione 4“, che però richiede

sempre un PC disponibile sulla rete del VPN Server

La VPN permette la trasmissione di qualsiasi tipo di traffico basato su stack

TCP/IP...quindi funziona con molti software oltre a Step7, cosa che invece non

succede usando il teleservice!

Manutenzione remota con usando un IP Pubblico-> Overview

Configurazioni

VPN con IP

pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Soluzioni VPN usando un Domain Name pubblico

Configurazioni

VPN con Domain

Name pubblico

Quando sceglierlaQuando sceglierla??

Usare un Domain Name pubblico permette di Usare un Domain Name pubblico permette di non legarsi ad un ISPnon legarsi ad un ISP particolare; nei casi particolare; nei casi precedenti, un cambio di gestore internet comporta un sicuro camprecedenti, un cambio di gestore internet comporta un sicuro cambio del pool di indirizzi bio del pool di indirizzi IP pubblici con conseguente necessitIP pubblici con conseguente necessitàà di cambiare la configurazione dei moduli VPN.di cambiare la configurazione dei moduli VPN.

Inoltre riesce a risolvere il problema della non disponibilitInoltre riesce a risolvere il problema della non disponibilitàà di IP pubblici su reti di IP pubblici su reti UMTS/GPRS, il che permette di utilizzare UMTS/GPRS, il che permette di utilizzare anche i moduli Scalance M875 come VPN anche i moduli Scalance M875 come VPN ServerServer..

Inoltre rende estremamente piInoltre rende estremamente piùù semplice lsemplice l’’uso del VPN Server sul lato delluso del VPN Server sul lato dell’’impianto, la impianto, la cui scelta permette di fare cui scelta permette di fare Teleservice da qualsiasi accesso ad Internet e non solo dal Teleservice da qualsiasi accesso ad Internet e non solo dal proprio ufficioproprio ufficio (caso di supporto da parte di tecnici gi(caso di supporto da parte di tecnici giàà in esterna)in esterna)

Cosa tenere in considerazioneCosa tenere in considerazione??

LL’’apertura di un Domain Name pubblico può richiedere una spesa aggapertura di un Domain Name pubblico può richiedere una spesa aggiuntiva, a seconda iuntiva, a seconda del tipo di servizio che si utilizza.del tipo di servizio che si utilizza.

Con gli Scalance M875 Con gli Scalance M875 èè possibile, al momento, usare solo il servizio DynDNS che da possibile, al momento, usare solo il servizio DynDNS che da qualche mese qualche mese èè diventato a pagamento: circa 20$/anno per 20 HostName.diventato a pagamento: circa 20$/anno per 20 HostName.

Nel caso si utilizzi uno Scalance S6xx, Nel caso si utilizzi uno Scalance S6xx, èè possibile usare anche il servizio Nopossibile usare anche il servizio No--IP che IP che attualmente risulta gratuito.attualmente risulta gratuito.


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Come si abilita Domain Name pubblico?

Configurazioni

VPN con Domain

Name pubblico

Esempio di creazione col servizio DynDNS:

http://www.dyndns.org/

Creare un account

cliccando qui

Da un paio di mesi, circa, il servizio DynDNS non è più

gratuito!! E’ possibile acquistare al costo di 20$/anno un account DynDNS Pro che da

diritto a 20 Hostname.


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Inventare un nome fittizio da associare al dominio dell’impianto da telecontrollare

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Ricordarsi i dati inseriti qui (nome utente e password), sono essenziali per la gestione dell’ updater DynDNS!

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Come conferma della creazione dell’account si

riceve un’email con un link per l’attivazione

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Soluzioni VPN usando un Domain Name pubblico

Configurazioni

VPN con Domain

Name pubblico

Costellazioni possibili...Costellazioni possibili...

SOFTNETSecurity

client

SCALANCE S6xx

SCALANCE M875

SCALANCE S6xx

SCALANCE M875

VPN server (lato Domain Name pubblico)

VP

N c

lien

t

SCALANCE S non supporta la

funzione VPN client con sevizioDNS attivo

SCALANCE S non supporta la funzione VPN

client con sevizioDNS attivo


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Principi di funzionamentoCreazione di tunnel IPSec con IP Dinamici

InternetInternet

Qualsiasi punto del

mondo in cui si abbia un accesso Internet

Impianto remoto

Indirizzo IP dinamico!

VPN

Server

VPN

Client


Servizio DynDNS attivo e gestito dallo Scalance M875

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Principi di funzionamento Fase 1: „DynUpdater“ integrato nel modulo

Server DynDNSServer DynDNS

Pacchetto di Risposta

affermativa del Server in

caso di riconoscimento

utente


Dopo il collegamento alla rete UMTS/GPRS, il modem M875 comunica

l’indirizzo IP dinamico (assegnatogli dall’internet provider) al Server DynDNS. Il Server DynDNS verifica il nome utente e la password ricevute con il

messaggio, e in base a queste informazioni associa l’hostname registrato

dall’utente (che ha appena mandato il messaggio) con l’indirizzo IP dinamico

contenuto nel pacchetto

InternetInternetPacchetto lanciato

dall’Update client DNS

integrato nell’M875


A questo punto il Server DynDNS mantiene in memoria l’associazione

“nome host IP Address dinamico” e lo mette a disposizione dei Name

Server del sistema di database distribuito DNS.

Il principio di funzionamento resta lo stesso anche se si usa lo Scalance S6xx v3 al posto

dell’M875 come VPN Server

Scalance

M875

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Principi di funzionamento Fase 2: DNS resolver

Server DynDNSServer DynDNS


Quando viene lanciato il SOFTNET Security Client, viene ricercato in

automatico l’indirizzo IP associato all’hostname dell’impianto inserito nel progetto come VPN Server

InternetInternet


DNS Name DNS Name ServersServers

Richiesta per risolvere l’IP address associato

all’hostname dell’impianto da telecontrollare

L’indirizzamento su Internet è gestito attraverso un database distribuito di Server in grado di convertire i formati Domain name (es: www.google.it) negli

indirizzi IP reali dei server corrispondenti questo processo (comunemente

chiamato DNS) è ciò che ci permette di usare internet in modo molto più

semplice e mnemonico rispetto all’indirizzamento IP!

Request Request Request

IP address risolto!

A questo punto il Softnet Security Client conosce l’IP dinamico dell’impianto e

lo può trattare come se fosse un IP pubblico!! Sta al servizio di Update del

Client DynDNS comunicare eventuali cambiamenti dell’IP dinamico...e questo

viene fatto in automatico dall’ MD741-1...

Aggiornamento nei database dei Server DNS

(schematico)

Pacchetto lanciato

dall’Update client DNS

integrato nell’MD741-1

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

InternetInternet

Principi di funzionamento Fase 3: Il tunnel IPSec




Cosa succede quando vado online con Step7?

L’IP dinamico non comporta comunque l’uso di un brdige nella comunicazione!

Il tunnel VPN è sempre punto a punto, come nel caso precedente!

Tutti i protocolli su stack TCP/IP ed UDP possono viaggiare tramite tunnel, mentre i protocolli di livello più basso (es.nodi accessibili) non passano.

Tutti i pacchetti TCP vengono incapsulati in pacchetti UDP con porta di destinazione 4500, come nei casi precedenti.

Pacchetto UDP4500 destinato a IP risolto in

Fase 2Pacchetto TCP102 destinato a CPU

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Cliente che vuole controllare da remoto, non necessariamente dal suo ufficio,

uno o più impianti sapendo che il cliente finale gli fornirà (sull‘impianto) un

accesso ad Internet ADSL senza IP pubblico.

In questo caso il cliente può crearsi una serie di Domini Pubblici, ed installare

su ogni macchina uno dei nuovi Scalance S6xx v.3 (che lavorano da Server

con servizio DNS dinamico). Sul router del cliente finale vanno poste le regole

di port forwarding necessarie sul Server VPN.


solo impianto alla volta, il che permette di avere anche impianti gemelli

anche come indirizzamento

Configurazione n.1

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione da Remoto via Internetcon SOFTNET Security Client e SCALANCE S6xx

PG/PC

SIMATIC Manager

Internet access:

e.g. DSL router

SCALANCE S6xx v3

InternetInternet

Internet access:

e.g. DSL router

Internet access:

e.g. DSL router

SCALANCE S6xx v3

SOFTNET Security Client V4

VPNVPNtunneltunnel

Remote

maintenance center



IP Dinamico ma

Domain Name pubblico

IP Dinamico ma Domain Name pubblico

IP Dinamico

Configurazione 1



Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...


Cliente che vuole controllare da remoto, non necessariamente dal suo ufficio,

uno o più impianti sapendo che il cliente finale NON gli fornirà (sull‘impianto)

un accesso ad Internet ADSL (oppure non è disposto a mettere mano alla

configurazione del suo router ADSL).

In questo caso il cliente può crearsi una serie di Domini Pubblici, ed installare

su ogni macchina uno dei nuovi Scalance M875 che fungono da Router

Internet, lavorando contemporaneamante da Server con servizio DNS

dinamico.


solo impianto alla volta, il che permette di avere anche impianti gemelli

anche come indirizzamento

Configurazione n.2

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione da Remoto via Internetcon SOFTNET Security Client e Scalance M875

PG/PC

SIMATIC Manager

InternetInternet

Internet access:

e.g. DSL router

SOFTNET Security Client V4

VPNVPNtunneltunnel

Remote

maintenance center



IP Dinamico ma

Domain Name pubblico

IP Dinamico ma Domain Name pubblico

IP Dinamico

Configurazione 2

M875

M875UMTSUMTSConfigurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Applicazione rara:

Serie di stazioni non presidiate su cui si vuole avere accesso per Teleservice/

raccolta dati. Ogni impianto ha un accesso mobile ad Internet, mentre al

centro di raccolta si usa uno Scalance S6xx che permette di instaurare più

tunnel contemporanei.

Il cliente riesce a creare una struttura VPN senza legarsi al suo ISP, quindi

può liberamente decidere di cambiare tipo di operatore Internet senza che le

configurazioni debbano essere riviste.

Configurazione n.3

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione remota via Internet con Router UMTS Scalance M875

InternetInternet

Internet access:

e.g. DSL router

VPNVPNtunneltunnel

GPRSGPRS

Service PG/PC

SIMATIC ManagerSCALANCE S61x

IP Dinamico

M875

IP Dinamico

Postazione centrale

per la manutenzione

Impianto

Remoto n.1

Impianto

Remoto n.2

Configurazione 3

Indirizzo IP Dinamico ma Domain Name pubblico

I modem M875 supportano il NAT interno al tunnel VPN, questo può permettermi di usare stessi indirizzamenti per le varie stazioni remote

M875Configurazioni

VPN con Domain

Name pubblico



Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Applicazione specifica:

Serie di stazioni non presidiate a cui non arriva connessione Internet cablata.

A queste stazioni non si vuole accedere per Teleservice, ma si vorrebbe

permettere lo scambio di dati diretti laddove una semplice connessione

wireless non è sufficiente a causa delle distanze.

In questo caso si sfrutta il fatto che gli Scalance M875 possono lavorare sia

da VPN server che da VPN client usando il servizio DynDNS.

Configurazione n.4

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Manutenzione remota via Internet Tunnel diretto tra Scalance M875

Configurazione 4

VPNVPNtunneltunnel

GPRSGPRSIP Dinamico

M875

IP Dinamico

Impianto

Remoto n.1

Impianto

Remoto n.2


M875

Configurazioni

VPN con Domain

Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Configurazioni

VPN con Domain

Name pubblico

Dettagli tecniciConfigurazione Scalane S6xx con Domain Name pubblico

Dynamic DNS

settings


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Uso di VPN Server su reti UMTS/GPRS

INTERNET

Firewall

Stazione Remota

UMTS/UMTS/

GPRSGPRS


Attenzione, quando si utilizza un Domain Name pubblico su rete UMTS/GPRS si deve prima verificare se l‘operatore telefonico (della SIM che risiede dentro lo Scalance M875)

ha un firewall su tutti i pacchetti che arrivano dall‘esterno verso un nodo della rete mobile...il rischio è che la VPN non si instauri a causa del priveder mobile che filtra i

pacchetti UDP500/4500.

In Italia attualmente l‘operatore Vodafone e Tre NON sono utilizzabili in questa configurazione, mentre Tim e Wind non creano problemi.

VPN

Server

VPN

Client

M875

Softnet Security Client

Limiti


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...Limiti

Limiti di configurazione con SCALANCE S6xx

Se sono necessari più di 128 VPN tunnels contemporanei, deve essere

utilizzato un ulteriore SCALANCE S6xx che necessita di un nuovo IP

pubblico o di un nuovo Domain Name pubblico.

Indirizzo IP pubblico o Domain Name pubblico


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Conflitto nel port forwarding

Client with Softnet

Security Client

S612

DSL

RouterEthernet

Internet

PC with Secure Access

VPN Gateway /

Secure Access

I pacchetti UDP 500/4500 sono già girati versi il VPN

Gatawey del cliente !

Se il cliente è già dotato di un router aziendale con cui effettua già dei tunnel VPN IPsec, allora è impossibile aggiungere il nostro sistema di manutenzione remota(usando lo stesso IP pubblico) a cause della regola di port forwrding già esistente verso un‘indirizzo diverso dal nostro Scalance S6xx.


Limiti


Links...

Configurazioni

VPN con IP

Pubblico

Teleservice

classico

SIMATIC NET VPN

Manutenzione

remota

Teleservice via

Internet

Configurazioni

VPN con Domain

Name Pubblico

Limiti...

Links...

Manuali, FAQs, Esempi e soluzioni per VPN tunnels con i moduli SIMATIC NET…

Esempi di configurazione VPN usando un IP pubblico:

-http://support.automation.siemens.com/WW/view/en/24533194

„How is a VPN tunnel between two Scalance S61x modules configured

in Roting mode via the Internet“

„How do you configure a VPN tunnel between a PC station and Scalance S61x via the

Internet with SOFTNET Security Client 2008“

Esempio di configurazione VPN tra uno Scalance S61x ed MD741-1/M875:

- http://support.automation.siemens.com/WW/view/en/24960449

Manuali dei nuovi Scalance S6xx V3:




Esempio con nuovi Scalance S6xx V3 e nuovo Softnet Security Client


Links alle informazioni disponibili sul sito del Customer Support:

Davide Crispino I IA SC CI

Grazie per l’attenzione!

Documents

Accesso da Remoto agli Impianti via Internet - … · Slide 2/65 26.07.2012 Davide Crispino Industry Sector / I IA SC CI Links... Configurazioni VPN con IP Pubblico Teleservice classico