Davide Crispino I IA SC CI
Accesso da Remoto agli Impianti via
Internet
Industry Sector / I IA SC CISlide 2/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione
remota
Manutenzione da remoto – utilizzo
Manutenzione da remoto:
Accesso remoto ad una stazione, o intero impianto di
automatione, tramite rete pubblica
Other fieldbuses
HMI
Motion ControlProxy
Rete
Pubblica
Remote Maintenance Co.
S7 PLC
Industry Sector / I IA SC CISlide 3/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Teleservice
classico
La manutenzione remota fino a ieri...
….è basata su una soluzione sviluppata da I IA AS (A&D AS)
….permette la manutenzione di stazioni remote tramite rete telefonica:un PG/PC dotato di engineering tool, come STEP 7, installato puòaccedere a componenti di automazione (per esempio S7-CPUs) tramite rete telefonica se questi componenti sono connessi via Industrial Ethernet o PROFIBUS/MPI/PPI usando degli adattatori chiamati TS-Adapter.
TS adapter II TS adapter IE
Industry Sector / I IA SC CISlide 4/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
…Le limitazioni di questa soluzione
Sulla rete telefonica ogni nodo è raggiungibile attraverso un
numero telefonico fisso ed univoco associato; basta chiamare
il numero telefonico dell‘impianto per essere collegati.
PRO: Soluzione economica, inoltre la rete commutata è considerata estremamente sicura ed i moduli TS Adpater introducono ulteriori firewall su richiesta
CONTRO: la linea telefonica è estremamente lenta ed instabile, il che rende difficile scambiare grossi volumi di dati in tempi brevi. Questo si traduce sempre più nella difficoltà di scaricare grosse modifiche ai progetti da remoto (es. Downlaod di progetti su OP)
CONTRO 2: diventa sempre più difficile trovare sugli impianti la possibilità di essere raggiunti da una linea telefonica pura (es.centralini)
Teleservice
classico
Industry Sector / I IA SC CISlide 5/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Il nuovo concetto di Teleservice via Internet
Cella remota a cui si vuole accedere
Cella remota a cui si vuole accedere
Servizio tecnicodotato di PG/PC
Centro per la
manutenzione
remota
PG
Ogni impianto a livello 2 possiede una connessione ad Internet già esistente, ed
ogni azienda è dotata di una connessione ad Internet ad alta velocità....perchènon sfruttare questo nuovo canale di comunicazione?
InternetInternet
Teleservice via
Internet
Industry Sector / I IA SC CISlide 6/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
…Quali sono i nuovi problemi ? (1)
Sicurezza
Internet è un mezzo che introduce molti rischi:
Settaggi sbagliati sul PC causano buchi nella sicurezza
e aprono le porte a Virus, Trojans e Worms
Dati non criptati possono essere intercettati e manipolati
Hackers possono attaccare dall‘esterno
Una connessione ad Internet non protetta può portare a sabotaggi dell‘intero impianto. Nasce l‘esigenza di creare collegamenti sicuri attraverso una rete non
sicura, dei così detti „tunnel“
Teleservice via
Internet
Industry Sector / I IA SC CISlide 7/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Virtual Private Network
VPN non è una tecnologia di per sè stessa, ma è un concetto che può essere
implementato nella pratica con l’utlizzo di tecnologie diverse fra loro.
Alla base vi è la necessità di avere una rete virtuale di nodi che possono fare parte
fisicamente di reti diverse (distanti fra loro e topologicamente eterogenee) ma
appartenere alla stessa rete logica (VPN). L’utilizzo di meccanismi di
autenticazione e crittografia rende questa rete privata.
…La soluzione al problema della sicurezza...
Teleservice via
Internet
Il tipo di VPN creata con i moduli Siemens prende il nome di IPsec.
Industry Sector / I IA SC CISlide 8/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
…Quali sono i nuovi problemi ? (2)
Internet è di fatto una grossa rete Ethernet in cui ogni nodo è
indirizzabile tramite un indirizzo IP e non più un numero di telefono. Di
norma questo indirizzo IP non è fisso, bensì cambia ogni volta che ci
colleghiamo...nasce il concetto di IP dinamico.
InternetInternet
Impianto
Remoto
Accesso Internet:
ADSL router
Accesso Internet:
ADSL router
IP Dinamico
IP Dinamico
Centro Manutenzione
Come possono riuscire a parlare tra loro due nodi di una rete
che hanno un indirizzo che cambia sempre?
Teleservice via
Internet
Industry Sector / I IA SC CISlide 9/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
…Le soluzioni al problema dell‘IP dinamico...
Soluzione 1
Uno dei due partecipanti alla connessione tramite internet deve essere
dotato di un particolare indirizzo IP che non cambia mai, cioè un
IP pubblico. E‘ possibile avere uno o più IP pubblici stipulando un
contratto „business“ con il proprio Internet Service Provider.
InternetInternet
Impianto
Remoto
Accesso Internet:
ADSL router
Accesso Internet:
ADSL router
IP PubblicoIP Dinamico
Centro Manutenzione
Colui che detiene l‘IP pubblico resterà in attesa della connessione da parte dell‘IP
dinamico, assumendo il ruolo di VPN Server.
E‘ indifferente la scelta del lato su cui avere l‘IP pubblico, l‘importante è che almeno uno dei
due partecipanti lo abbia.
Teleservice via
Internet
Industry Sector / I IA SC CISlide 10/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
…Le soluzioni al problema dell‘IP dinamico...
Soluzione 2
All‘interno della rete Internet non siamo abituati ad indirizzare i nodi in
base all‘indirizzo IP, basti pensare a quando lanciamo un browser per
navigare tra i siti:
Stiamo contattando il Server di Google tramite il nome di un host, non un indirizzo IP!
Provate a lanciare un comando di ping verso l’URL di Google, e
vedrete che vi verrà restituito l’indirizzo IP “reale” del Server....
A questo punto riaprite il Browser puntando all’indirizzo IP che vi ècomparso con il ping...ricomparirà Google
Teleservice via
Internet
Industry Sector / I IA SC CISlide 11/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
…Le soluzioni al problema dell‘IP dinamico...
Soluzione 2
All‘interno della rete Internet esiste una dualità nell‘indirizzamento di alcuni nodi; si può pensare di raggiungere tali nodi sapendo il loro indirizzo IP, oppure tramite il loro „Domain Name“ (quando disponibile).
Alcuni oggetti possono avere un indirizzo IP dinamico su Internet, ma avere un „Domain Name“ pubblico (cioè che non cambia mai): possiamo, quindi, pensare di sfruttare il „Domain Name“ per instaurare la nostra connessione!
InternetInternet
Impianto
Remoto
Accesso Internet:
ADSL router
Accesso Internet:
ADSL router
IP DinamicoIP Dinamico
Centro Manutenzione
Domain Name Pubblico
Abilitare un Domain Name pubblico su una connessione ad Internet privata non richiede nessun tipo di ISP particolare, vedremo in seguito come poterlo attivare.
Teleservice via
Internet
Industry Sector / I IA SC CISlide 12/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
…Le soluzioni al problema dell‘IP dinamico...
Soluzione 3
Se entrambi i nodi che voglio mettere in comunicazione tramite Internet
dispongono solo di un IP dinamico, e non posso/voglio creare ad uno
dei due un Domain Name pubblico, allora esiste una terza possibilità di
metterli in comunicazione:
La soluzione consiste nell’utilizzare un terzo nodo su internet
(dotato di IP pubblico) da sfruttare come bridge per la comunicazione
Teleservice via
Internet
InternetInternet
Impianto
Remoto
Accesso Internet:
ADSL router
Accesso Internet:
ADSL router
IP DinamicoIP Dinamico
Centro Manutenzione
IP Pubblico
Industry Sector / I IA SC CISlide 13/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
…Le soluzioni al problema dell‘IP dinamico...
Soluzione 3
La comunicazione reale non avviene direttamente tra i miei due nodi,
bensì avviene singolarmente tra ognuno dei due nodi ed il server
centrale. E‘ poi quest‘ultimo che fa in modo di instradare correttamente
la comunicazione tra i dueTeleservice via
Internet
InternetInternet
Impianto
Remoto
Accesso Internet:
ADSL router
Accesso Internet:
ADSL router
IP DinamicoIP Dinamico
Centro
Manutenzione
IP Pubblico
Industry Sector / I IA SC CISlide 14/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
…Le soluzioni al problema dell‘IP dinamico...
Soluzione 3
I PRO: sia chi fa manutenzione che l‘impianto sono Client VPN, il che mi permette
teoricamente di non dover toccare la configurazione dei Router ADSL, mentre vedremo
che in un collegamento diretto il Server VPN richiede dei ritocchi specifici.
I CONTRO: tutta la comunicazione passa tramite un servizio esterno, il che introduce possibili
tempi di maintanence in cui non posso raggiungere più il mio impianto.
Inoltre questa soluzione abbassa il grado di sicurezza complessivo...
Se aveste una cosa essenziale e segreta da dire a qualcuno, lascereste mai un
biglietto al primo che incontrate dicendogli di portarlo al posto vostro? ☺☺☺☺
Teleservice via
Internet
InternetInternet
Impianto
Remoto
Accesso Internet:
ADSL router
Accesso Internet:
ADSL router
IP DinamicoIP Dinamico
Centro Manutenzione
IP Pubblico
Industry Sector / I IA SC CISlide 15/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
I dispositivi di sicurezza SIMATIC NET
SCALANCESCALANCE S612 v3/S623S612 v3/S623:
Firewall: regole bidirezionali
DHCP Server integrato: assegnazione automatica
dell’indirizzo IP ai nodi della rete interna
ROUTER (Layer 3): per il collegamento di reti
LAN con indirizzi IP di differente classe.
PPPoE e SNMP supportati
DynDNS supportato
S612 / S623: fino a 128 VPN-Tunnel IPsec contemporaneamente
(può lavorare sia come VPN Server che VPN Client a seconda di come si configura)
SOFTNET SECURITY CLIENT V4SOFTNET SECURITY CLIENT V4
SCALANCE M875SCALANCE M875
Consente di collegare PC e Notebook alla rete VPN
realizzata da moduli SCALANCE S612/S623/M875/CP Adv!
(solo VPN client)
Router UMTS/GPRS/EDGE con funzionalità VPN e firewall integrato
(può lavorare sia come VPN Server che VPN Client)
SIMATIC NET VPN
Industry Sector / I IA SC CISlide 16/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
La novità 2012
New!New!
MLFB: 6GK5612-0BA10-2AA3
SIMATIC NET VPN
New !User-specific firewall rules
Accesso a specifiche sezioni dell’impianto attraverso
gestione dei diritti utenti
Superata limitazione sui tunnel VPN degli S613 V2fino a 128 VPN tunnels simultaneamente
SNMP V1/V3Data query tramite SNMP
V3 tap-proof trasferimenti di informazioni analitiche sullo stato
della rete al network management
PPPoEInternet connection via modem (precedentemente solo router)
DynDnsSupporto del servizio DynDNS
InterfacciaSupporto al gigabit Ethernet (1000 Mbps)
SCALANCE S612 v3SCALANCE S612 v3
Industry Sector / I IA SC CISlide 17/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
La novità 2012
New!New!
MLFB: 6GK5623-0BA10-2AA3
SIMATIC NET VPN
SCALANCE S623SCALANCE S623
New !Porta DMZ addizionale per remote maintenance
Oltre alle funzioni già presenti sullo SCALANCE S612, con la sua extra porta (DMZ) lo SCALANCE S623 forniscel’opzione per collegare un’ulteriore rete.
Con lo SCALANCE S623, una zona demilitarizzata (DMZ) può essere configurata sulla nuova porta, dove si possonoinstallare servers che devono essere raggiungibili sia dallarete non-secura (e.g. Internet o external network) sia dallarete sicura (internal network).
Server con WebApplication
Database Server
Zona Sicura
Settore protetto da Firewall
Accesso Permesso
Accesso Bloccato
Accesso Limitato
Zona Insicura
Industry Sector / I IA SC CISlide 18/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
La novità 2012
SCALANCESCALANCE M875:M875:Modem wireless per comunicazioni dati HSDPA, UMTS, EGPRS, GPRS
Alta velocità: fino a 14,4Mb/s in downlink, e 5,76Mb/s in uplink
Firewall integrato contro accessi non autorizzati
Funzionalità di VPN Client (per uso combinato con Scalance S61x)
Funzionalità di VPN Server (per uso combinato con Softnet Security Client, vedi VPN_news, o per accoppiamento con un altro Scalance M875 per connessione diretta, , vedi VPN_news2).
Client DynDNS integrato per connessioni VPN senza IP pubblico
Switch integrato a due porte 10/100 Mb/s
Doppia antenna per gestione segnale con modalità “Diversity” (maggiore stabilitàdel collegamento)
Può sostituire completamente il modem MD741-1
New!New!
MLFB: 6GK5875-0AA10-1AA2
SIMATIC NET VPN
Industry Sector / I IA SC CISlide 19/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Può lavorare anche sotto Windows 7- 64bit
VPN client per PCs, PGs e notebooks in ambientiindustriali – permette l’accesso via VPN (con IPsec) a sistemi di automazione protetti daSCALANCE S o SCALANCE M
Nessuna limitazione a tunnel VPN paralleli
Accesso ai controller Tap-proof
Protezione dei dati transferiti, limitazione agliaccessi indesiderati e criptaggio dati per eliminare possibili manipolazioni degli impianti
Configurazione centralizzata per soluzioni VPN con SCALANCE S / M
SIMATIC NET VPN
La novità 2012
New!New!
Softnet Security Client V4Softnet Security Client V4
MLFB: 6GK1704-1VW04-0AA0
Industry Sector / I IA SC CISlide 20/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Il SW di configurazione delle reti VPN
SECURITY CONFIGURATION SECURITY CONFIGURATION TOOL v3.0:TOOL v3.0:
Il SW è fornito gratuitamente con ogni dispositivo SCALANCE S
La configurazione dei dispositivi è semplice e non necessita di alcuna
conoscenza specifica di regole di Security!
Non è necessario modificare la configurazione di rete aziendale!
SIMATIC NET VPN
Industry Sector / I IA SC CISlide 21/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Soluzioni VPN usando un IP pubblico
Configurazioni
VPN con IP
pubblico
Quando sceglierla?Quando sceglierla?
Ogni azienda ha di norma un abbonamento ad Internet con già compresi un pool di 8 indirizzi IP pubblici, in questo caso il collegamento VPN non richiede nessun costo aggiuntivo rispetto al solo hardware.
Il collegamento remoto non viene a dipendere da nessun un servizio esterno.
Scegliendo questa soluzione il cliente può, ad esempio, sfruttare il fatto che gli Scalance S6xx permettono più tunnel contemporanei e fare puntare tutti gli impianti verso il proprio ufficio (da cui li potrà telegestire) vedi Configurazione 1
Cosa tenere in considerazione?Cosa tenere in considerazione?
Su reti mobili quali UMTS/GPRS/EDGS, in Italia e in molti altri stati, non è possibile richiedere un IP pubblico. Di conseguenza i modem UMTS possono solo lavorare come VPN client.
Questo significa che l’unico modulo che si può utilizzare come VPN Server resta lo Scalance S6xx. Questo particolare è tenuto in considerazione negli esempi successivi.
Industry Sector / I IA SC CISlide 22/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Soluzioni VPN usando un indirizzo IP pubblico
Costellazioni possibili...Costellazioni possibili...
SOFTNETSecurity
client
SCALANCE S6xx
SCALANCE M875
SCALANCE S6xx
SCALANCE M875
VPN server (lato IP pubblico)
VP
N c
lien
t
Nessun IP pubblicopossibile surete mobile
Nessun IP pubblicopossibile su
rete mobile
Nessun IP pubblicopossibile surete mobile
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 23/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Principio di funzionamentoCreazione di tunnel IPSec con SCALANCE S612 (1)
InternetInternet
Azienda da cui si vuole
effettuare l’assistenza remota degli impianti
Impianto remoto
Entrambi i lati devono disporre di un accesso ad internet tramite Router.Indirizzo IP pubblico
Almeno uno dei due lati deve disporre di un accesso ad Internet con IP pubblico, è indifferente quale...
All’accensione i due moduli (correttamente configurati) si
cercano, ed instaurano in automatico un tunnel VPN...Il risultato della VPN è che le due reti Ethernet remote sono
diventate virtualmente un’unica rete!
VPN
client
VPN
server
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 24/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
VPN
client
VPN
server
InternetInternet
UDP
Azienda da cui si vuole
effettuare l’assistenza remota degli impianti
Impianto remoto
Indirizzo IP dinamico
Il collegamento VPN avviene sempre tra un VPN Server ed un VPN
client, mai tra due Client...quindi in questa configurazione è sempre
necessario che su uno dei due lati ci sia un IP pubblico!
E’ del tutto indifferente la scelta dell’IP pubblico lato Supervisione o
lato impianto...l’importante è che uno dei due sia Server e l’altro Client!
Configurazioni
VPN con IP
pubblico
Principio di funzionamentoCreazione di tunnel IPSec con SCALANCE S612 (2)
Indirizzo IP pubblico
Industry Sector / I IA SC CISlide 25/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
VPN
client
VPN
server
InternetInternet
UDP
Azienda da cui si vuole
effettuare l’assistenza remota degli impianti
Impianto remoto
Port forwarding delle porte UDP 500/4500 !
Indirizzo IP dinamico Indirizzo IP pubblico
La scelta del lato con IP pubblico (VPN Server) può essere
condizionata dalla regola necessaria sul router aziendale...
Il port forwarding è una regola che non tutti i clienti finali permettono
sul loro router aziendale, mentre chi fa teleassistenza di solito ha pieno
potere decisionale sul proprio router!
Configurazioni
VPN con IP
pubblico
Principio di funzionamentoCreazione di tunnel IPSec con SCALANCE S612 (1)
Porte UDP 500/4500 solo aperte in uscita (e risposte)!
Attenzione: si può chiedere una regola di port forwarding anche solo
per uno specifico indirizzo IP pubblico che sarà l’unico che ne può
usufruire! Questa è una richiesta che non “storce il naso”dei i reparti IT
Industry Sector / I IA SC CISlide 26/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
InternetInternet
Principio di funzionamentoIl tunnel IPSec con SCALANCE S61x (fase 1)
Indirizzo IP dinamico Indirizzo IP pubblico
Pacchetto UDP500
destinato a IP pubblico
All’accensione il modulo client prende l’iniziativa e va a cercare l’IP pubblico associato al VPN Server che deve raggiungere...è
l’unico indirizzo noto a priori sulla rete Internet!
Il “problema” è che l’IP pubblico è associato al router, e non allo
scalance S61x...serve una regola per passare i pacchetti al nostro modulo, da qui nasce l’esigenza del port forwarding
Port forwarding delle porte UDP 500/4500 !
Pacchetto UDP500
destinato a IP
Scalance S Client
Il pacchetto originato dal VPN client contiene già l’indirizzo sorgente, e questo permette allo scalance S61x di rispondere
direttamente a questo indirizzo...ecco perchè lato client (di norma) non serve la regola di port forwarding!
La prima fase contiene solo dati utili necessari all’autenticazione e alla decisione della chiave (dinamica) di criptaggio dei dati. Questa fase usa solo la porta UDP 500, e
permette la creazione del tunnel, che sarà poi usato per lo scambio dati vero e proprio...
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 27/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
InternetInternet
Il tunnel IPSec con SCALANCE S61x (fase 2)
Indirizzo IP dinamico Indirizzo IP pubblico
Pacchetto TCP102 destinato a CPU
Pacchetto UDP4500 destinato a S612 remoto
Cosa succede quando vado online con Step7?
Tutti i protocolli su stack TCP/IP ed UDP possono viaggiare tramite tunnel,
mentre i protocolli di livello più basso (es.nodi accessibili) non passano.
Tutti i pacchetti TCP vengono incapsulati in pacchetti UDP con porta di
destinazione 4500. Questo permette di limitare a due il numero di porte da
aprire sul router del cliente finale, a prescindere dai protocolli che si
utilizzeranno...meno rischi per il cliente finale!
Pacchetto TCP102 destinato a CPU
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 28/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Applicazione tipica:
Costruttore di macchine che vuole tenere sotto controllo gli impianti che
installa in giro per il mondo (ognuno dotato di un accesso ADSL ad Internet)
La soluzione prevede:
• Un centro di manutenzione remota creata nei loro uffici; richiede un IP
pubblico
• Impianti remoti multipli, connessi via VPN al loro ufficio; qui basta una
connessione internet classica (no IP pubblico sugli impianti)
Si sfrutta la proprietà per cui i moduli Scalance S61x supportano più tunnel
contemporaneamente...in questo caso è il solo VPN Server che ha multipli
tunnel, mentre i VPN client effettuano una sola connessione a testa per
collegarsi all‘ufficio.
Esempi di applicazioneConfigurazione n.1
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 29/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione Remota via Internet solo SCALANCE S61x
Service PG/PC
SIMATIC Manager
Accesso Internet:
e.g. ADSL router
SCALANCE S61x
InternetInternet
Internet access:
e.g. DSL router
Accesso Internet:
e.g. ADSL router
SCALANCE S61x
VPNVPNtunneltunnel
SCALANCE S61x
Postazione centrale
per la manutenzione
Impianto
Remoto n.1
Impianto
Remoto n.2
Configurazione 1
Indirizzo IP pubblico
In caso di più tunnel contemporaneii, le classi di indirizzamento IP delle varie
macchine remote devono essere diverse!! Attenzione
agli OEM che producono macchine in serie
Configurazioni
VPN con IP
pubblico
Port forwarding delle porte UDP 500/4500 !
Industry Sector / I IA SC CISlide 30/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Applicazione tipica:
Costruttore di macchine che vuole tenere sotto controllo gli impianti che installa in giro per il mondo, ma il cliente finale non mette a disposizione un accesso ad Internet ADSL.
Si risolve il problema creando un accesso ad Internet personale, tramite router GPRS (dotato di SIM abilitata a questo tipo di traffico).
La soluzione prevede:
• Un centro di manutenzione remota creata nei loro uffici; richiede un IP pubblico
• Impianti remoti multipli, connessi via VPN al loro ufficio; connessione ad internet tramite
UMTS/GPRS (impossibile per ora avere IP pubblico sulla rete GPRS)
Si sfrutta la proprietà per cui i moduli Scalance S61x supportano più tunnel contemporaneamente...in questo caso è il solo VPN Server che ha multipli tunnel, mentre i VPN client effettuano una sola connessione a testa per collegarsi all‘ufficio.
I moduli M875 possono solo fare da Client VPN, quindi possono solo collegarsi verso uno Scalance S61x con IP pubblico (questo perchè su rete UMTS/GPRS al momento non è possibile avere un IP pubblico)!
Configurazione n.2
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 31/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione remota via Internet / GPRS con Router GPRS/UMTS Scalance M875
InternetInternet
Internet access:
e.g. DSL router
VPNVPNtunneltunnel
GPRSGPRS
Service PG/PC
SIMATIC ManagerSCALANCE S61x
IP Dinamico
M875
IP Dinamico
Postazione centrale
per la manutenzione
Impianto
Remoto n.1
Impianto
Remoto n.2
Configurazione 2
Indirizzo IP pubblico
I modem MD741-1/M875 supportano il NAT interno al
tunnel VPN, questo può permettermi di usare stessi indirizzamenti per le varie
macchine remote
M875
Configurazioni
VPN con IP
pubblico
Port forwarding delle porte UDP 500/4500 !
Industry Sector / I IA SC CISlide 32/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Applicazione più rara:
Cliente sporadico, che vuole controllare da remoto uno o più impianti sapendo
che il cliente finale gli fornirà (sull‘impianto) un accesso ad Internet con IP
pubblico.
In questo caso il cliente può fornirsi di software di emulazione dello Scalance
S61x nel suo uffcio, ed installare sul/sugli impianti degli Scalance S61x.
Il solo PC su cui gira il SOTNET Security Client si collega in VPN ad un
solo impianto alla volta.
Il SOTNET Security Client può solo fare da Client VPN, quindi può solo
collegarsi verso uno Scalance S61x con IP pubblico!
Configurazione n.3
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 33/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione da Remoto via Internetcon SOFTNET Security Client e SCALANCE S61x
PG/PC
SIMATIC Manager
Internet access:
e.g. DSL router
SCALANCE S61x
InternetInternet
Internet access:
e.g. DSL router
Internet access:
e.g. DSL router
SCALANCE S61x
SOFTNET Security Client
VPNVPNtunneltunnel
Remote
maintenance center
Remote maintenance cell
Remote maintenance cell
Indirizzo IP pubblicoIndirizzo IP pubblico
IP Dinamico
Configurazione 3
Configurazioni
VPN con IP
pubblicoPort forwarding delle porte UDP 500/4500 !
Port forwarding delle
porte UDP 500/4500 !
Industry Sector / I IA SC CISlide 34/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Richiesta tipica dei clienti:
Cliente costruttore di macchine, a cui sta bene la configurazione 1 e configurazione 2 ma
vorrebbe poter accedere agli impianti anche quando si trova a casa o in giro per il
mondo, senza necessariamente dover andare in ufficio.
Il SOFTNET non può collegarsi direttamente sugli impianti perchè sarebbe una
connessione tra due VPN Client, manca il VPN Server (cioè lo Scalance S61x lato
IP pubblico) ed inoltre il SOFTNET non permette di fare Routing tra i vari tunnels...
Posso aggirar il problema in questo modo:
Il SOFTNET (VPN client) si collega all‘ufficio (VPN server) e tramite un software
gratuito (VNC) prende possesso del PC dell‘ufficio. A questo punto si trova a tutti
gli effetti dietro al VPN Server, e quindi può raggiungere TUTTI gli impianti usando
da remoto il PC dell‘ufficio.
Configurazione n.4
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 35/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione Remota via Internet con SOFTNET Security Client e SCALANCE S61x
Internet access:
e.g. DSL router
SCALANCE S61x
InternetInternet
Internet access:
e.g. DSL router
Internet access:
e.g. DSL router
SCALANCE S61x
Indirizzo IP pubblico
SCALANCE S61x
SOFTNET Security Client
Internet access:
e.g. DSL router
Remote maintenance center
Remote
maintenance cell
Remote maintenance cell
"Mobile" service technician
Project database
STEP 7
Prendo possesso del PC dell‘uffcio tramite VNC
STEP 7
Configurazione 4Configurazioni
VPN con IP
pubblico
Port forwarding delle porte UDP 500/4500 !
Industry Sector / I IA SC CISlide 36/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Applicazione rara:
All‘impianto finale vogliono collegarsi in VPN tutti i costruttori di
macchine che hanno partecipato (ognuno con accesso solo alla sua
porzione di impianto), ed eventualmente anche il cliente finale.
In questo caso l‘IP pubblico (e quindi il lato VPN server) deve stare
lato impianto, i vari clienti sceglieranno il VPN client che più gli serve
per collegarsi (SOFTNET se gli basta collegare solo un PC, Scalance
S61x se vogliono poter accedere con più nodi Ethernet, o
eventualmente anche Scalance M875).
Il cliente finale può fare in modo che ogni costruttore acceda solo alla
porzione di impianto che gli compete, e non veda (ad esempio) le
macchine dei concorrenti.
Configurazione n.5
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 37/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione Remota via Internet con SOFTNET Security Client e SCALANCE S61x
Internet access:
e.g. DSL router InternetInternet
Internet access:
e.g. DSL router
SCALANCE S61x
Indirizzo IP pubblico
SCALANCE S61x
Internet access:
e.g. DSL router
Remote maintenance center 3
Remote
Plant
Remote maintenance center 2
Configurazione 5
SCALANCE S61x
"Mobile" service technician
Il cliente finale (VPN server) può limitare l’accesso a singole parti dell’impianto, a seconda di chi si collega, grazie alle nuove regole
firewall user-based!!
Configurazioni
VPN con IP
pubblico
Port forwarding delle porte UDP 500/4500 !
Industry Sector / I IA SC CISlide 38/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Creazione di regole di firewall
Definizione di regole di firewall per ogni operatore
Definizione di regole di firewall per ogni operatore
Aggiunta una pagina web sullo
Scalance S6xx per effettuare il
logon dell’utente a VPN stabilita
Di default la sessione di teleassistenza resta aperta per 30min.
Ogni accesso viene registrato e storicizzato dal modulo!
Regole di Firewall User-specific
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 39/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Lato IP pubblico deve necessariamente esserci sempre uno Scalance S6xx
Lato IP dinamico si può scegliere il tipo di VPN Client migliore:
- SSC se serve connettere solo un PC al VPN Server
- M875 se non si dispone di una connessione cablata ADSL
- S61x se serve connettere in VPN un‘intera rete avendo ADSL cablata
I moduli Scalance S6xx possono gestire più tunnel contemporanei, sia se
usati come VPN server che come VPN Client
SOFTNET Security Client può stabilire solo un tunnel alla volta
I vari VPN Client non possono comunicare tra loro neanche facendo Routing
sul VPN Server, l‘unico modo è la „Configurazione 4“, che però richiede
sempre un PC disponibile sulla rete del VPN Server
La VPN permette la trasmissione di qualsiasi tipo di traffico basato su stack
TCP/IP...quindi funziona con molti software oltre a Step7, cosa che invece non
succede usando il teleservice!
Manutenzione remota con usando un IP Pubblico-> Overview
Configurazioni
VPN con IP
pubblico
Industry Sector / I IA SC CISlide 40/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Soluzioni VPN usando un Domain Name pubblico
Configurazioni
VPN con Domain
Name pubblico
Quando sceglierlaQuando sceglierla??
Usare un Domain Name pubblico permette di Usare un Domain Name pubblico permette di non legarsi ad un ISPnon legarsi ad un ISP particolare; nei casi particolare; nei casi precedenti, un cambio di gestore internet comporta un sicuro camprecedenti, un cambio di gestore internet comporta un sicuro cambio del pool di indirizzi bio del pool di indirizzi IP pubblici con conseguente necessitIP pubblici con conseguente necessitàà di cambiare la configurazione dei moduli VPN.di cambiare la configurazione dei moduli VPN.
Inoltre riesce a risolvere il problema della non disponibilitInoltre riesce a risolvere il problema della non disponibilitàà di IP pubblici su reti di IP pubblici su reti UMTS/GPRS, il che permette di utilizzare UMTS/GPRS, il che permette di utilizzare anche i moduli Scalance M875 come VPN anche i moduli Scalance M875 come VPN ServerServer..
Inoltre rende estremamente piInoltre rende estremamente piùù semplice lsemplice l’’uso del VPN Server sul lato delluso del VPN Server sul lato dell’’impianto, la impianto, la cui scelta permette di fare cui scelta permette di fare Teleservice da qualsiasi accesso ad Internet e non solo dal Teleservice da qualsiasi accesso ad Internet e non solo dal proprio ufficioproprio ufficio (caso di supporto da parte di tecnici gi(caso di supporto da parte di tecnici giàà in esterna)in esterna)
Cosa tenere in considerazioneCosa tenere in considerazione??
LL’’apertura di un Domain Name pubblico può richiedere una spesa aggapertura di un Domain Name pubblico può richiedere una spesa aggiuntiva, a seconda iuntiva, a seconda del tipo di servizio che si utilizza.del tipo di servizio che si utilizza.
Con gli Scalance M875 Con gli Scalance M875 èè possibile, al momento, usare solo il servizio DynDNS che da possibile, al momento, usare solo il servizio DynDNS che da qualche mese qualche mese èè diventato a pagamento: circa 20$/anno per 20 HostName.diventato a pagamento: circa 20$/anno per 20 HostName.
Nel caso si utilizzi uno Scalance S6xx, Nel caso si utilizzi uno Scalance S6xx, èè possibile usare anche il servizio Nopossibile usare anche il servizio No--IP che IP che attualmente risulta gratuito.attualmente risulta gratuito.
Industry Sector / I IA SC CISlide 41/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Come si abilita Domain Name pubblico?
Configurazioni
VPN con Domain
Name pubblico
Esempio di creazione col servizio DynDNS:
http://www.dyndns.org/
Creare un account
cliccando qui
Da un paio di mesi, circa, il servizio DynDNS non è più
gratuito!! E’ possibile acquistare al costo di 20$/anno un account DynDNS Pro che da
diritto a 20 Hostname.
Industry Sector / I IA SC CISlide 42/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Come si abilita Domain Name pubblico?
Inventare un nome fittizio da associare al dominio dell’impianto da telecontrollare
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 43/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Come si abilita Domain Name pubblico?
Ricordarsi i dati inseriti qui (nome utente e password), sono essenziali per la gestione dell’ updater DynDNS!
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 44/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Come si abilita Domain Name pubblico?
Come conferma della creazione dell’account si
riceve un’email con un link per l’attivazione
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 45/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Soluzioni VPN usando un Domain Name pubblico
Configurazioni
VPN con Domain
Name pubblico
Costellazioni possibili...Costellazioni possibili...
SOFTNETSecurity
client
SCALANCE S6xx
SCALANCE M875
SCALANCE S6xx
SCALANCE M875
VPN server (lato Domain Name pubblico)
VP
N c
lien
t
SCALANCE S non supporta la
funzione VPN client con sevizioDNS attivo
SCALANCE S non supporta la funzione VPN
client con sevizioDNS attivo
Industry Sector / I IA SC CISlide 46/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Principi di funzionamentoCreazione di tunnel IPSec con IP Dinamici
InternetInternet
Qualsiasi punto del
mondo in cui si abbia un accesso Internet
Impianto remoto
Indirizzo IP dinamico!
VPN
Server
VPN
Client
Indirizzo IP dinamico!
Servizio DynDNS attivo e gestito dallo Scalance M875
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 47/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Principi di funzionamento Fase 1: „DynUpdater“ integrato nel modulo
Server DynDNSServer DynDNS
Pacchetto di Risposta
affermativa del Server in
caso di riconoscimento
utente
Indirizzo IP dinamico!
Dopo il collegamento alla rete UMTS/GPRS, il modem M875 comunica
l’indirizzo IP dinamico (assegnatogli dall’internet provider) al Server DynDNS. Il Server DynDNS verifica il nome utente e la password ricevute con il
messaggio, e in base a queste informazioni associa l’hostname registrato
dall’utente (che ha appena mandato il messaggio) con l’indirizzo IP dinamico
contenuto nel pacchetto
InternetInternetPacchetto lanciato
dall’Update client DNS
integrato nell’M875
Indirizzo IP dinamico!
A questo punto il Server DynDNS mantiene in memoria l’associazione
“nome host IP Address dinamico” e lo mette a disposizione dei Name
Server del sistema di database distribuito DNS.
Il principio di funzionamento resta lo stesso anche se si usa lo Scalance S6xx v3 al posto
dell’M875 come VPN Server
Scalance
M875
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 48/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Principi di funzionamento Fase 2: DNS resolver
Server DynDNSServer DynDNS
Indirizzo IP dinamico!
Quando viene lanciato il SOFTNET Security Client, viene ricercato in
automatico l’indirizzo IP associato all’hostname dell’impianto inserito nel progetto come VPN Server
InternetInternet
Indirizzo IP dinamico!
DNS Name DNS Name ServersServers
Richiesta per risolvere l’IP address associato
all’hostname dell’impianto da telecontrollare
L’indirizzamento su Internet è gestito attraverso un database distribuito di Server in grado di convertire i formati Domain name (es: www.google.it) negli
indirizzi IP reali dei server corrispondenti questo processo (comunemente
chiamato DNS) è ciò che ci permette di usare internet in modo molto più
semplice e mnemonico rispetto all’indirizzamento IP!
Request Request Request
IP address risolto!
A questo punto il Softnet Security Client conosce l’IP dinamico dell’impianto e
lo può trattare come se fosse un IP pubblico!! Sta al servizio di Update del
Client DynDNS comunicare eventuali cambiamenti dell’IP dinamico...e questo
viene fatto in automatico dall’ MD741-1...
Aggiornamento nei database dei Server DNS
(schematico)
Pacchetto lanciato
dall’Update client DNS
integrato nell’MD741-1
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 49/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
InternetInternet
Principi di funzionamento Fase 3: Il tunnel IPSec
Indirizzo IP dinamico
Indirizzo IP dinamico
Pacchetto TCP102 destinato a CPU
Cosa succede quando vado online con Step7?
L’IP dinamico non comporta comunque l’uso di un brdige nella comunicazione!
Il tunnel VPN è sempre punto a punto, come nel caso precedente!
Tutti i protocolli su stack TCP/IP ed UDP possono viaggiare tramite tunnel, mentre i protocolli di livello più basso (es.nodi accessibili) non passano.
Tutti i pacchetti TCP vengono incapsulati in pacchetti UDP con porta di destinazione 4500, come nei casi precedenti.
Pacchetto UDP4500 destinato a IP risolto in
Fase 2Pacchetto TCP102 destinato a CPU
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 50/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Applicazione tipica:
Cliente che vuole controllare da remoto, non necessariamente dal suo ufficio,
uno o più impianti sapendo che il cliente finale gli fornirà (sull‘impianto) un
accesso ad Internet ADSL senza IP pubblico.
In questo caso il cliente può crearsi una serie di Domini Pubblici, ed installare
su ogni macchina uno dei nuovi Scalance S6xx v.3 (che lavorano da Server
con servizio DNS dinamico). Sul router del cliente finale vanno poste le regole
di port forwarding necessarie sul Server VPN.
Il solo PC su cui gira il SOTNET Security Client si collega in VPN ad un
solo impianto alla volta, il che permette di avere anche impianti gemelli
anche come indirizzamento
Configurazione n.1
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 51/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione da Remoto via Internetcon SOFTNET Security Client e SCALANCE S6xx
PG/PC
SIMATIC Manager
Internet access:
e.g. DSL router
SCALANCE S6xx v3
InternetInternet
Internet access:
e.g. DSL router
Internet access:
e.g. DSL router
SCALANCE S6xx v3
SOFTNET Security Client V4
VPNVPNtunneltunnel
Remote
maintenance center
Remote maintenance cell
Remote maintenance cell
IP Dinamico ma
Domain Name pubblico
IP Dinamico ma Domain Name pubblico
IP Dinamico
Configurazione 1
Port forwarding delle porte UDP 500/4500 !
Port forwarding delle porte UDP 500/4500 !
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 52/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Applicazione tipica:
Cliente che vuole controllare da remoto, non necessariamente dal suo ufficio,
uno o più impianti sapendo che il cliente finale NON gli fornirà (sull‘impianto)
un accesso ad Internet ADSL (oppure non è disposto a mettere mano alla
configurazione del suo router ADSL).
In questo caso il cliente può crearsi una serie di Domini Pubblici, ed installare
su ogni macchina uno dei nuovi Scalance M875 che fungono da Router
Internet, lavorando contemporaneamante da Server con servizio DNS
dinamico.
Il solo PC su cui gira il SOTNET Security Client si collega in VPN ad un
solo impianto alla volta, il che permette di avere anche impianti gemelli
anche come indirizzamento
Configurazione n.2
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 53/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione da Remoto via Internetcon SOFTNET Security Client e Scalance M875
PG/PC
SIMATIC Manager
InternetInternet
Internet access:
e.g. DSL router
SOFTNET Security Client V4
VPNVPNtunneltunnel
Remote
maintenance center
Remote maintenance cell
Remote maintenance cell
IP Dinamico ma
Domain Name pubblico
IP Dinamico ma Domain Name pubblico
IP Dinamico
Configurazione 2
M875
M875UMTSUMTSConfigurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 54/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Applicazione rara:
Serie di stazioni non presidiate su cui si vuole avere accesso per Teleservice/
raccolta dati. Ogni impianto ha un accesso mobile ad Internet, mentre al
centro di raccolta si usa uno Scalance S6xx che permette di instaurare più
tunnel contemporanei.
Il cliente riesce a creare una struttura VPN senza legarsi al suo ISP, quindi
può liberamente decidere di cambiare tipo di operatore Internet senza che le
configurazioni debbano essere riviste.
Configurazione n.3
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 55/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione remota via Internet con Router UMTS Scalance M875
InternetInternet
Internet access:
e.g. DSL router
VPNVPNtunneltunnel
GPRSGPRS
Service PG/PC
SIMATIC ManagerSCALANCE S61x
IP Dinamico
M875
IP Dinamico
Postazione centrale
per la manutenzione
Impianto
Remoto n.1
Impianto
Remoto n.2
Configurazione 3
Indirizzo IP Dinamico ma Domain Name pubblico
I modem M875 supportano il NAT interno al tunnel VPN, questo può permettermi di usare stessi indirizzamenti per le varie stazioni remote
M875Configurazioni
VPN con Domain
Name pubblico
Port forwarding delle porte UDP 500/4500 !
Industry Sector / I IA SC CISlide 56/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Applicazione specifica:
Serie di stazioni non presidiate a cui non arriva connessione Internet cablata.
A queste stazioni non si vuole accedere per Teleservice, ma si vorrebbe
permettere lo scambio di dati diretti laddove una semplice connessione
wireless non è sufficiente a causa delle distanze.
In questo caso si sfrutta il fatto che gli Scalance M875 possono lavorare sia
da VPN server che da VPN client usando il servizio DynDNS.
Configurazione n.4
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 57/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Manutenzione remota via Internet Tunnel diretto tra Scalance M875
Configurazione 4
VPNVPNtunneltunnel
GPRSGPRSIP Dinamico
M875
IP Dinamico
Impianto
Remoto n.1
Impianto
Remoto n.2
Indirizzo IP Dinamico ma Domain Name pubblico
M875
Configurazioni
VPN con Domain
Name pubblico
Industry Sector / I IA SC CISlide 58/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Configurazioni
VPN con Domain
Name pubblico
Dettagli tecniciConfigurazione Scalane S6xx con Domain Name pubblico
Dynamic DNS
settings
Industry Sector / I IA SC CISlide 59/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Uso di VPN Server su reti UMTS/GPRS
INTERNET
Firewall
Stazione Remota
UMTS/UMTS/
GPRSGPRS
Indirizzo IP Dinamico ma Domain Name pubblico
Attenzione, quando si utilizza un Domain Name pubblico su rete UMTS/GPRS si deve prima verificare se l‘operatore telefonico (della SIM che risiede dentro lo Scalance M875)
ha un firewall su tutti i pacchetti che arrivano dall‘esterno verso un nodo della rete mobile...il rischio è che la VPN non si instauri a causa del priveder mobile che filtra i
pacchetti UDP500/4500.
In Italia attualmente l‘operatore Vodafone e Tre NON sono utilizzabili in questa configurazione, mentre Tim e Wind non creano problemi.
VPN
Server
VPN
Client
M875
Softnet Security Client
Limiti
Industry Sector / I IA SC CISlide 60/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...Limiti
Limiti di configurazione con SCALANCE S6xx
Se sono necessari più di 128 VPN tunnels contemporanei, deve essere
utilizzato un ulteriore SCALANCE S6xx che necessita di un nuovo IP
pubblico o di un nuovo Domain Name pubblico.
Indirizzo IP pubblico o Domain Name pubblico
Industry Sector / I IA SC CISlide 61/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Conflitto nel port forwarding
Client with Softnet
Security Client
S612
DSL
RouterEthernet
Internet
PC with Secure Access
VPN Gateway /
Secure Access
I pacchetti UDP 500/4500 sono già girati versi il VPN
Gatawey del cliente !
Se il cliente è già dotato di un router aziendale con cui effettua già dei tunnel VPN IPsec, allora è impossibile aggiungere il nostro sistema di manutenzione remota(usando lo stesso IP pubblico) a cause della regola di port forwrding già esistente verso un‘indirizzo diverso dal nostro Scalance S6xx.
Port forwarding delle porte UDP 500/4500 !
Limiti
Industry Sector / I IA SC CISlide 62/65 26.07.2012 Davide Crispino
Links...
Configurazioni
VPN con IP
Pubblico
Teleservice
classico
SIMATIC NET VPN
Manutenzione
remota
Teleservice via
Internet
Configurazioni
VPN con Domain
Name Pubblico
Limiti...
Links...
Manuali, FAQs, Esempi e soluzioni per VPN tunnels con i moduli SIMATIC NET…
Esempi di configurazione VPN usando un IP pubblico:
-http://support.automation.siemens.com/WW/view/en/24533194
„How is a VPN tunnel between two Scalance S61x modules configured
in Roting mode via the Internet“
„How do you configure a VPN tunnel between a PC station and Scalance S61x via the
Internet with SOFTNET Security Client 2008“
Esempio di configurazione VPN tra uno Scalance S61x ed MD741-1/M875:
- http://support.automation.siemens.com/WW/view/en/24960449
Manuali dei nuovi Scalance S6xx V3:
- http://support.automation.siemens.com/WW/view/en/56576669
- http://support.automation.siemens.com/WW/view/en/56577508
- http://support.automation.siemens.com/WW/view/en/60166939
Esempio con nuovi Scalance S6xx V3 e nuovo Softnet Security Client
- http://support.automation.siemens.com/WW/view/en/22056713
Links alle informazioni disponibili sul sito del Customer Support:
Davide Crispino I IA SC CI
Grazie per l’attenzione!