eurogard ServiceRouterV2

Please download to get full document.

View again

of 81
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Published
eurogard ServiceRouterV2 Bedienhandbuch Falk Schönfeld Mario Cappello eurogard ServiceRouterV2: Bedienhandbuch von Falk Schönfeld und Mario Cappello Copyright
eurogard ServiceRouterV2 Bedienhandbuch Falk Schönfeld Mario Cappello eurogard ServiceRouterV2: Bedienhandbuch von Falk Schönfeld und Mario Cappello Copyright 2017 eurogard GmbH Inhaltsverzeichnis 1. Systembeschreibung Kurzübersicht Standardlösung, Anlagenrouter ist VPN-Server Client Netz mit zentralem ServiceServer Funktionsübersicht und Konzept Zugangswege Datenlogger und Störmelder Zusatzfunktionen: Proxy-Server, Web-Server, USB-Tunnel und Nutzer-Dateisystem Voraussetzungen im Ziel-Netz (Endkunden-LAN) Inbetriebnahme und Bedienung Hardwareinstallation, Technische Daten Anschluss- und Bedienelemente Spannungsversorgung Reset-Taster Setup-Taster Error-LED Status-LED UMTS-LEDs Frontseitige Netzwerkanschlüsse WAN-Anschlussbuchse LAN-Anschlussbuchsen USB-Anschlüsse Erste Kontaktaufnahme Bedienkonzept Inbetriebnahme - Schnellanleitung ServiceRouterV2 vorbereiten Anbindung an das Internet Uhrzeit Router als VPN-Server Router als VPN-Client Die Konfigurationsoptionen des ServiceRouterV Administrationsbereich Grundeinstellungen/LAN Hostname Domänenname IP-Adresse des Routers im LAN-Netz Netzmaske DHCP-Server für das LAN DHCP-Bereich HTTPS-Port der Weboberfläche Netzzugang/WAN WAN-Medium Ethernet Ethernet - DHCP/dynamisch Ethernet - statisch DSL - DHCP MTU WiFi Anschlusskonfiguration ESSID Verschlüsselung Passphrase MTU UMTS/LTE APN iii eurogard ServiceRouterV PIN Benutzername und Passwort Datenzähler Logdatei führen Router per SMS-Befehle steuern WAN-Fallback-Konfiguration Deaktiviert Umschaltung Multi-WAN Zeit Zeitquelle Zeitzone Gerät ist NTP-Server NTP-Servertabelle ddns Zertifikate Feldinhalte Gültigkeit in Tagen Zertifikate auch auf WAN-IP ausstellen Zertifikate auch auf LAN-IP ausstellen Serverzertifikate generieren Wurzelzertifikat importieren Internet Explorer Serverzertifikat anzeigen OpenVPN OpenVPN-Mode OpenVPN-Client Checkliste Router als OpenVPN-Client HTTP-Proxy-Server OpenVPN-Server DHCP-Bereich für VPN-Teilnehmer VPN-Transportprotokoll Port Client-zu-Clientverbindungen erlauben VPN-Paketgröße limitieren Mobilzugang aktivieren Logdatei führen Detailstufe der Logs Maximale Größe der Logs Intervall für Keepalive-Pakete in Sekunden VPN-Neustart nach wieviel erfolglosen Pings Kryptoalgorithmus VPN-Netz übersetzen Zugänge Status aktualisieren Neuen Zugang hinzufügen neues Nutzerzertifikat Download Passwort ändern Zugang löschen WLAN (nur bei Option WLAN) WLAN Schnittstelle Betriebsmodus Funkmodus ESSID Land Verschlüsselung Passphrase... iv eurogard ServiceRouterV Logs Firewall Port 22 - ssh Port https Geräten im LAN Zugriffe über externe Schnittstelle erlauben Parametrierte Firewall-Regeln eingehende Verbindungen Routing Ports... Messaging Versand Adresse Server/Port Username/Passwort Transportverschlüsselung Zertifikate unbekannter Herkunft erlauben Adresse des Empfängers Konfiguration testen SMS-Gateway Reporte... Geräte Host-Konfiguration Webweiterleitung Datenlogger Anlegen einer Verbindung zu einem Gerät Ändern einer Verbindung Konfiguration der Messwerte Analoge Messwerte bei S7-kompatiblen Steuerungen Analoge Messwerte bei Modbus-Geräten digitale Messwerte bei S7-kompatiblen Steuerungen digitale Messwerte bei Modbus-Geräten Datensynchronisation Einrichten einer Serververbindung Störmelder Anlegen eines Melde-Triggers USB-Tunnel WAN-Switch Zeitgeber... Status-Logs Netzwerk IP-Adressen Schnittstellen DHCP VPN-Status UMTS-Status Logs Firewall ddns Diagnose Routing... Backup-Wartung Sicherung Wiederherstellungspunkt Reset Update Dienst Servicezugang... User Bereich... v eurogard ServiceRouterV2 1. Download-Bereich Passwort ändern Konformitätserklärung Haftungsausschluss Generelles Gefahrenhinweise Bestimmungsgemäßer Gebrauch, Geräteaufbau und Montage... A. Wichtige Begriffe... vi Liste der Beispiele 3.1. Host- und Domänenname URL bei HTTPS auf abweichendem Port vii Kapitel 1. Systembeschreibung 1. Kurzübersicht Der Bedarf an sicheren Zugangslösungen für die Fernwartung und das Fernbetreiben von SPS-basierten Systemen über das Internet steigt stetig an. Steuerungen sind Ethernet fähig und Web-basierte Bedienoberflächen haben gegenüber klassischen B&B-Lösungen den Vorteil der globalen Zugänglichkeit. Vorrausetzung für die verbreitete Nutzung dieser Eigenschaften ist ein einfach zu handhabender und sicherer Zugang über das WWW. Die eurogard GmbH präsentiert ihren ServiceRouter jetzt in der zweiten Generation. Die seit 1995 gewonnene TeleService Kompetenz fließt in eine professionelle Internet-Lösung für die Industrie, die optimal auf SPS-Netze abgestimmt ist und deren Funktionalitäten sinnvoll erweitert. Der ServiceRouter V2 ist eine durchdachte Komplettlösung zur Fernwartung von Automatisierungsnetzen über das neue schnelle Internet. Wahlweise drahtgebunden per DSL oder drahtlos via UMTS-HSDPA mit bis zu 7,2 Mbit/s Bandbreite auf der Luftschnittstelle. Der ServiceRouterV2 kann sowohl VPN-Server als auch VPN-Client sein. Damit sind verschiedene Netzstrukturen einfach realisierbar. Zum Betrieb größerer Service-Netze bietet eurogard verschiedene Portalserver an. Diese Lösungen bieten genügend Bandbreite für bis zu 1000 VPN-Kanäle und sind die Basis für kundenspezifische Projekte mit besonderen Anforderungen, z.b. in Bezug auf differenzierte Zugangsstrategien einzelner Nutzer zu Clients oder IP-Bereiche im Servicenetz. 2. Standardlösung, Anlagenrouter ist VPN-Server Wie man in früheren Modemzeiten Punkt zu Punkt Verbindungen durch Wählen einer Telefonnummer aufgebaut hat, so wird in dieser Variante die Internet-basierte TeleServiceVerbindung mittels VPN-Softwareclient auf dem PC des Nutzers hergestellt. Der ServiceRouter in der entfernten Anlage ist VPN-Server. Dazu muss er in das (Endkunden-) Ziel-Netz eingebunden werden und mindestens durch Portweiterleitung des VPN-Ports erreichbar sein. Hat das Ziel-Netz nur eine dynamische IP, ist ein Dienst wie DynDNS zur Aktualisierung der aktuellen IP notwendig. Die kostenlose Software EurogardSRConnect baut die Verbindung zum VPN-Server auf. Darüber hinaus werden Ihre Zertifikate verwaltet, die Zugriffszeiten für die spätere Rechnungsstellung speichert. Eine kontinuierliche Kommunikation zwischen einzelnen Anlagen ist in diesem Szenario nicht möglich. 1 Systembeschreibung Zusammenfassung Einfache und sichere Punkt zu Punkt VPN-Verbindungen zu allen Anlagen Der ServiceRouter wird durch Portweiterleitung in das Anlagennetz eingebunden oder hat ein eigenes DSLModem Drahtloser (UMTS/HSDPA) Zugang ist nur auf der Benutzer-, nicht aber auf der Anlagen-Seite möglich (Ausnahme: Bei Verwendung einer teuren M2M-Simkarte mit offenen eigehenden Ports) Die Eurogard VPN-Client Software EurogardSRConnect macht den Verbindungsaufbau übersichtlich und einfach 3. Client Netz mit zentralem ServiceServer Die verteilten Anlagen werden mit ServiceRoutern im Client-Modus ausgerüstet. Der ServiceRouter baut die VPN-Verbindung zu einem ihm bekannten ServiceServer auf, überwacht diese und bildet mit anderen Clients ein gemeinsames Service-Netz. Es wird ein gemeinsamer ServiceServer als Zentrale benötigt. In diesem Netz ist Querverkehr der entfernten Anlagen untereinander möglich. Weiterhin können jetzt Anlagen per UMTS/HSDPA drahtlos angebunden werden, ohne dass teure M2M-Simkarten eingesetzt werden müssen. 2 Systembeschreibung Da normalerweise die Mobilfunknetze zum Internet hin über Firewalls abgeschottet sind, müssen die einzelnen Anlagenrouter als Clients auf einem Server außerhalb des Mobilfunknetzes im Internet zusammengeschaltet werden. Sie bilden mit dem Server ein gemeinsames, geschlossenes Netzwerk, um sowohl untereinander zu kommunizieren als auch von einer beliebigen Anwendung im Servicenetz (Datenbank, Programmiergerät) erreichbar zu sein. Bei Verwendung eines ServiceServers werden die Anlagen in unterschiedlichen Kundennetzen organisiert, die untereinander getrennt sind. Ein gemeinsames Admin Netz ist möglich. Für weiterführende Informationen wenden Sie sich bitte an uns. Zusammenfassung Die Einbindung der Router als Client im Ziel-Netz ist besonders einfach Keine Portweiterleitung, lediglich eine IP mit Internetzugang ist notwendig Drahtlose Anbindung von Anlagen über UMTS bietet ausreichende Bandbreite und ist unkompliziert und weltweit möglich Preiswerter Einstieg mit einem ServiceServer als zentralen VPN-Server Komplexe Strukturen können mit dem Portalserver MAGNUM jederzeit realisiert werden 4. Funktionsübersicht und Konzept Der Aufbau der Firmware soll im folgenden Übersichtsschema verdeutlicht werden. 3 Systembeschreibung 5. Zugangswege Der Router akzeptiert auf der WAN-Seite ausschließlich VPN- oder SSL-verschlüsselte Daten. Die Firewall ist für alle übrigen Ports gesperrt. Diese Sperre kann nicht aufgehoben werden. Kundenspezifische Anpassungen, wie Weiterleitungen sind direkt beim Hersteller zu erfragen. Beim WLAN-Zugang in Stellung Access Point kann lokal direkt mit dem SPS-Netz kommuniziert werden, um den mobilen Einsatz von Programmiergeräten bei der Inbetriebnahme oder den Einsatz von WLAN-Bediengeräten zu ermöglichen. 6. Datenlogger und Störmelder Der ServiceRouterV2 verfügt über eine integrierte SQL-Datenbank, in der bis zu 16 Mio. Werte in einem Ringpuffer gespeichert werden können. Durch verschiedene Kommunikationstreiber kann mit angeschlossenen Geräten, wie S7-Steuerungen oder Modbus-TCP-Geräten eine Datenverbindung aufgebaut werden. Es können bis zu 5 Steuerungen mit einem einstellbaren Loggzyklus von Sekunden gleichzeitig geloggt werden. Optimierungen, Betriebsdatenerfassung und Fehlersuche sind so bereits in das Fernwartungskonzept integriert. Die Störmeldefunktion verschickt konfigurierbare Nachrichten per und/oder Web-SMS. Über die Datenverbindung zum Endgerät werden Zustandsänderungen von konfigurierten Triggerbits erkannt und die passende Nachricht wird unmittelbar versendet. Durch den Einsatz von Web-SMS können auch Router ohne Mobilfunkkarte SMS an Mobiltelefone verschicken. 7. Zusatzfunktionen: Proxy-Server, Web-Server, USBTunnel und Nutzer-Dateisystem Der Servicerouter bietet einen besonders sicheren Zugang für Bediener, die nur auf web-basierte Bedienoberflächen bestimmter Teilnehmer im SPS-Netz zugreifen sollen. Er nimmt Seitenaufrufe der Bediener entgegen, holt 4 Systembeschreibung die Inhalte aus dem SPS-Netz und spiegelt sie mit Hilfe eines Proxys im Router. Der Datenverkehr ist auch bei dieser Variante verschlüsselt und nur durch vorherige Authentifizierung nutzbar. Es muss jedoch nicht extra eine VPN-Verbindung aufgebaut werden. Der auf dem Router laufende Web-Server wird nicht nur zur Darstellung der Bedienoberfläche verwendet, sondern kann ebenso vom Kunden für seine eigenen HTML-Dokumente benutzt werden. An die USB-Ports des Routers können USB-Geräte angeschlossen werden, um diese auch aus der Ferne nutzen zu können. Dabei wird der USB-Port an den entfernten Rechner weitergeleitet und ist dort nutzbar wie ein lokal angeschlossenes Gerät. USB-Kameras, Programmieradapter oder Massenspeicher sind denkbare Anwendungen. Das integrierte Flash-Laufwerk für alle denkbaren Daten mit Bediener-spezifischer Ordnerstruktur rundet das umfassende Konzept des ServiceRouters ab. 8. Voraussetzungen im Ziel-Netz (Endkunden-LAN) Betrieb als Server im Ziel-Netz Der ServiceRouterV2 muss durch die Weiterleitung der unten beschriebenen Ports eingebunden werden. Weiterhin muss er durch Aktualisierung seiner IP über DynDNS erreichbar sein. Alle genannten Ports sind konfigurierbar UDP 1194 Für die getunnelte Verbindung zum SPS-Netz (VPN) TCP 443 Zur Erreichung der Parametrieroberfläche (SSL) Nur zeitweise: TCP 22 für den Notfall-Support durch den Hersteller eurogard. Die Ports 443 und 22 können nach der Inbetriebnahme im Router gesperrt werden und müssen dann nicht mehr durchgeleitet werden. Da in der Regel die öffentliche IP unserer Kunden dynamisch ist, ist somit auch die öffentliche IP des ServiceRouters dynamisch. Um extern auf den ServiceRouter zuzugreifen, muss über den Internetdienst DynDNS.com die lokale IP aktualisiert werden. Dazu muss der Router nach außen auf Port 80 kommunizieren können. Der Router benötigt Zugriff auf einen NTP-Uhrzeitserver zur Aktualisierung seiner Systemzeit. Steht kein interner NTP zur Verfügung, muss der Port 123 ausgehend zum Erreichen eines NTP s im Internet freigegeben werden. Die Batterie gepufferte Echtzeituhr des ServiceRouters überbrückt dabei Offline-Zeiten und macht den Router weiterhin erreichbar. Betrieb als Client im Ziel-Netz Wird der ServiceRouterV2 als Client im Ziel-Netz betrieben, entfällt die Portweiterleitung und damit auch manche Diskussion mit örtlichen IP-Administratoren. Der ServiceRouterV2 benötigt lediglich eine IP im Netz und einen Weg ins Internet, wie jeder andere PC in diesem Netz. Der Zugriff auf einen NTP-Server sollte möglich sein. Die Notwendigkeit von DynDNS besteht lediglich einmalig beim zentralen Server. 5 Kapitel 2. Inbetriebnahme und Bedienung 1. Hardwareinstallation, Technische Daten Das Gerät ist zur Hutschienen-Montage z.b. in Schaltschränken vorgesehen. Es wird ein freier Steckplatz mit folgenden Abmessungen benötigt: Höhe = 160mm, Breite = 60mm, Tiefe = 160mm Technische Daten Plattform: AMD-Geode 500MHz 256 MB RAM 4 GB Flash-Disk, auf Wunsch erweiterbar Batterie gepufferte Echtzeit-Uhr, Hardware-Watchdog 1 x WAN, 2 x LAN geswitcht, jeweils Ethernet 10/100 2 x USB für USB-Platte, WEB-Cam und Kundenerweiterungen minipci-steckplatz intern für 54 Mbit WLAN-Option 2 x USB für USB-Platte, WEB-Cam und Kundenerweiterungen Version mit UMTS/HSDPA Modem lieferbar Spannungsversorgung VDC, 8W (Basisversion) 18W Vollausbau Zulässige Umgebungstemperatur 5-50 C nicht kondensierend Hutschienenbefestigung Abmessungen: H:156 B:59 T:160 mm 1.1. Anschluss- und Bedienelemente Auf der Gerätefront befinden sich die Netzanschlussklemmen, der Reset-Taster, der Setup-Taster sowie verschiendene LEDs, die Fehler und besondere Betriebszustände signalisieren. 6 Inbetriebnahme und Bedienung Spannungsversorgung Als Spannungsversorgung ist 18-30VDC/6-18W vorzusehen. Die zwei Eingangsklemmen für +-Potential sind mittels Dioden voneinander getrennt. Damit ist eine redundante Spannungsversorgung des Routers möglich, solange die Massepotentiale der Quellen auf gleichem Niveau liegen. Die LED +24V signalisiert ausreichende Versorgung des Gerätes Reset-Taster Wird der Reset-Taster mindestens 3 Sekunden gedrückt, startet beim Loslassen die Resetprozedur. Dies ist am schnellen Blinken der Error-LED erkennbar. Nach wenigen Sekunden startet das Gerät 2 mal neu. Nach ca. 1 Minute befindet sich das Gerät wieder im Auslieferungszustand. 7 Inbetriebnahme und Bedienung Die Resetfunktion steht frühestens 15 Sekunden nach Einschalten des Gerätes zur Verfügung, erkennbar am sekundlichen Blinken der Error-LED Setup-Taster Wird der Setup-Taster mindestens 10 Sekunden gedrückt, startet beim Loslassen die Wiederherstellungsprozedur. Sofern vorher ein Wiederherstellungspunkt auf dem Router erzeugt worden ist oder durch die Weboberfläche hochgeladen wurde, wird dieser Zustand in der ausgelösten Prozedur wiederhergestellt. Dies ist am schnellen Blinken der Error-LED erkennbar. Nach wenigen Sekunden startet das Gerät neu. Nach ca. 1 Minute befindet sich das Gerät wieder im letzten gesicherten Zustand. Ist der Router mit der Option WLAN ausgestattet, lässt sich das WLAN über den Setup-Taster ein- bzw. ausschalten. Dazu muss der Setup-Taster kurz, d.h. maximal 2 Sekunden betätigt werden. Wird er länger betätigt besteht die Gefahr, dass die Wiederherrstellungsfunktion ungewollt ausgelöst wird. Zusätzlich kann über diesen Taster die WAN-Fallback-Schnittstelle aktiviert bzw. deaktiviert werden. Dazu muss der SETUP-Taster für mindestens 3s und maximal 7s ohne Unterbrechung gedrückt werden. Ist die WAN-Fallback-Schnittstelle zum Zeitpunkt des Drückens deaktiviert, wird diese aktiviert. Dies wird zusätzlich durch ein Blinken der ERROR-LED im 100ms-Takt signalisiert. Im umgekherten Fall wird die WAN-Fallback-Schnittstelle wieder deaktiviert und die ERROR-LED blinkt im 1s-Takt Error-LED Die Error-LED zeigt Fehler und Betriebszustände an. Nachdem das Gerät gestartet wird, vergeht etwas Zeit, bis die Hardware und das Betriebssystem initialisiert worden ist. Dies dauert etwa 15 Sekunden. Danach beginnt die LED im Sekundentakt zu blinken und das Gerät beginnt seine Konfiguration herzustellen. Ist dieser Vorgang abgeschlossen, erlischt die LED und das Gerät ist betriebsbereit. Ist dies nicht der Fall, so ist ein Fehler beim Einrichten der abgespeicherten Konfiguration aufgetreten. Wird ein Reset ausgelöst oder ein Wiederherstellungspunkt geladen, blinkt die LED für kurze Zeit schnell und das Gerät startet neu. Nach erneuter Initialisierung konfiguriert sich der Server neu, was ebenfalls durch schnelles Blinken signalisiert wird. Danach wird abermals ein Neustart durchgeführt Status-LED Die Status-LED zeigt den Zustand der VPN-Verbindung an. Wird das Gerät als VPN-Client oder VPN-Server parametriert, beginnt die Status LED zu blinken. Sobald ein VPN-Tunnel aufgebaut worden ist, wechselt die LED von Blinken in Dauerlicht UMTS-LEDs Die zwei UMTS-LEDs geben Auskunft über den Status des UMTS-Modems sowie den Verbindungsstatus zum Mobilfunknetz. Ist das UMTS-Modem konfiguriert und eingeschaltet, leuchtet die UMTS P-LED dauerhaft. Sobald das Gerät in das Mobilfunknetz eingebucht ist, leuchtet die UMTS L-LED dauerhaft Frontseitige Netzwerkanschlüsse An der Gerätevorderseite befinden sich 3 RJ-45 Ethernet-Netzwerkanschlüsse WAN-Anschlussbuchse Verbinden Sie die mit WAN gekennzeichnete Buchse mit einem internetfähigen Netzwerk oder einem DSLModem. Aller Netzwerkverkehr, der über das Internet abgewickelt wird, muss über diesen Anschluss kommen und gehen. 8 Inbetriebnahme und Bedienung LAN-Anschlussbuchsen Die beiden mit LAN1 und LAN2 beschrifteten Anschlüsse sind geräteintern gebrückt und verfügen über Switchfunktionalität. Alle Endgeräte aus dem lokalen Netzwerk, das aus der Ferne erreicht werden soll, werden direkt oder per externen Switch an LAN1/2 des Gerätes angeschlossen USB-Anschlüsse An diese Anschlüsse können USB-Geräte wie Webcams, Programmierkabel oder Massenspeicher angeschlossen werden, um diese remote verfügbar zu machen. 2. Erste Kontaktaufnahme Jegliche administrative Interaktion mit dem ServiceRouterV2 erfolgt über seine Weboberfläche. Um die Weboberfläche zu erreichen, muss die LAN-IP des ServiceRouterV2 für Ihren Rechner erreichbar sein. Im einfachsten Falle verbinden Sie die LAN-Schnittstelle des ServiceRouterV2 und Ihren PC über einen Switch oder mittels Patchkabel direkt. Konfigurieren Sie Ihren PC, falls nicht bereits geschehen, für einen Adressbezug per DHCP. Ein Aufruf der URL in Ihrem Browser wird das Webinterface desservicerouterv2 anzeigen. Erscheint eine Fehlermeldung, überprüfen Sie die Netzwerkeinstellungen Ihres Rechners und deaktivieren Sie, falls eingestellt, die Benutzung eines Proxyservers durch Ihren Browser. Lokale Einstellungen. Lassen Sie sich vom Router eine IP zuweisen. Zum Wechsel auf die Administrationsebene klicken Sie (oben rechts)auf Adminlogin und geben als Username und Passwort jeweils eurogard (default) ein. Dann arbeiten Sie das Konfigurationsmenü in nachfolgender Reihenfolge ab. Bitte das Passwort im Punkt Benutzerkonten später ändern! Wenn Sie das Gerät erstmalig einschalten, sind folgende Parameter eingestellt: WAN / Internet: Verbindung Ethernet, DHCP-Client, wartet auf eine IP aus dem Kunden-Netz. LAN: DHCP-Server ein: Sobald Sie einen PC mit der LAN-Seite über ETHERNET verbinden, versucht der Router diesem PC eine IP via DHCP Protokoll zu geben. DynDNS: keine Verbindung angelegt WLAN: deaktiviert Accounts: folgende Administrator / Benutzer-Konten sind bei Auslieferung angelegt: Admin: Benutzer: eurogard Passwort: eurogard 9 Inbetriebnahme und Bedienung Einstellungen: Name: Servicerouter Domain: dyndns.org Sprache: Deutsch VPN: Es sind weder für den Router noch für den Benutzer Zertifikate angelegt. 3. Bedienko
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks