5 Projektierung (WBM)
5.12 Security
5.12.2 OpenVPN-PSK
Informationen zu den Funktionen und Voraussetzungen finden Sie in den folgenden Kapiteln:
Weitere Funktionen (Seite 15)
Voraussetzungen für den Einsatz (Seite 19) Hinweis
DynDNS bei Nutzung von OpenVPN
Um bei Nutzung von OpenVPN den Verbindungsaufbau zu vereinfachen, wird die Nutzung von DynDNS empfohlen.
Anwendungsbeispiele
Den OpenVPN-Tunnel können Sie für folgende Zwecke nutzen:
• Verbindung vom Mobiltelefon oder Projektierungs-PC mit dem CMR über HTTP Sie können das CMR über die Mobilfunkschnittstelle via HTTP erreichen (nicht über HTTPS). Hierfür verwenden Sie die folgende Tunnel-IP Adresse des CMR:
http://10.8.0.2
• Verbindung mit BM über den Tunnel
Sie können LOGO BM! direkt über die projektierte IP-Adresse erreichen, bspw.
192.168.0.1. Das CMR dient in diesem Fall als Router für den Datenaustausch. Tragen Sie hierzu das CMR im BM als Router ein.
Nach der Prüfung des Verbindungsaufbaus können Sie das BM überwachen (per Web oder Mobile App) und es über LOGO!Soft Comfort konfigurieren.
Einrichten einer OpenVPN-Verbindung
Nachfolgend finden Sie die Schritte zum Einrichten einer OpenVPN-Verbindung in der Übersicht.
1. Projektieren und prüfen Sie die Mobilfunkverbindung.
2. Optional: Projektieren und prüfen Sie DynDNS.
3. Erzeugen Sie den Pre-shared Key im CMR oder im OpenVPN-Client.
Wenn Sie den Pre-shared Key im OpenVPN-Client erzeugen, dann laden Sie ihn in das CMR (siehe unten).
4. Passen Sie im CMR ggf. den Port und die Inaktivitäts-Überwachungszeit an.
Stellen Sie sicher, dass der Port beim Partner (OpenVPN-Client) freigeschaltet wird, bzw. dass die Port-Weiterleitung beim Router, an den der Partner angeschlossen ist, freigeschaltet ist.
5. Laden Sie die Standard-Server-Konfiguration ("vpnpeer.conf") in den Projektierungs-PC. Benennen Sie die Datei "vpnpeer.conf" in "vpnpeer.ovpn" um und spielen Sie diese
Projektierung (WBM) 5.12 Security
in den OpenVPN-Client ein. Passen Sie ggf. die Datei an: IP-Adresse, DNS-Adresse, PSK in Unified-Format
6. Aktivieren Sie OpenVPN im CMR.
7. Aktivieren Sie den OpenVPN-Client und prüfen Sie den Verbindungszustand im WBM:
"Security > Übersicht", ggf. Diagnosepuffer.
OpenVPN-PSK
• Aktiv
Aktivieren Sie die Option, um die gesicherte Kommunikation über OpenVPN freizuschalten.
• Portnummer
Hier projektieren Sie die Nummer des OpenVPN-Ports des CMR. In der Voreinstellung ist der Port mit der Nummer 1194 vorbelegt.
• Inaktivitäts-Überwachungszeit (s)
Zeitspanne ohne Telegrammverkehr, nach der das CMR ein Keep-alive-Telegramm an den OpenVPN-Client schickt.
Dieser Parameter ist beispielsweise sinnvoll, wenn der Partner eine dynamische IP-Adresse hat und ein DNS-Name für ihn verwendet wird.
Wertebereich (Sekunden): 60...65535
• Standard-Server-Konfiguration speichern
Das CMR bietet die Möglichkeit, die eigenen Standardeinstellungen (OpenVPN-Server) für den OpenVPN-Client über die Datei "vpnpeer.conf" in das Dateisystem des angeschlossenen PC zu exportieren. Die Datei enthält Einstellungen, die sicherstellen, dass eine Verbindung des CMR mit dem OpenVPN-Client zustande kommt. Die Datei kann in den OpenVPN-Client (Mobiltelefon oder PC) importiert werden. Benennen Sie dazu die Datei "vpnpeer.conf" in "vpnpeer.ovpn" um.
Die Handhabung der Datei hängt von der Methode der Adresszuweisung des CMR ab:
– Wenn Sie DynDNS nutzen, dann können Sie die Datei direkt für den OpenVPN-Client nutzen.
– Wenn Sie kein DynDNS nutzen, dann müssen Sie die Adressdaten in der Datei anpassen. Hierzu kann die Datei mit einem Texteditor editiert werden, siehe Abschnitt unten.
Pre-shared Key
In diesem Block können Sie einen neuen Schlüssel erzeugen oder eine Schlüsseldatei aus dem Dateisystem des angeschlossenen Projektierungs-PC laden. Dies kann bspw.
ein Pre-shared Key sein, der vom OpenVPN-Client erzeugt wurde.
Projektierung (WBM) 5.12 Security
Folgende Funktionen stehen zur Verfügung:
• Neuen Schlüssel erzeugen
Über die Schaltfläche erzeugen Sie einen neuen Pre-shared Key im CMR.
(Die Funktion entspricht der "genkey"-Funktion eines OpenVPN-Client.)
Zum Speichern des Schlüssels siehe Eintrag "Standard-Server-Konfiguration für Client speichern" unten.
• Aktuell verwendete Datei
Anzeige des Dateinamens der aktuell verwendeten Schlüsseldatei
• Verwendete Datei nach Übernahme
Nach dem Laden einer Schlüsseldatei aus dem Dateisystem wird der Name der geladenen Datei hier angezeigt.
• Neue Datei laden
Nach Auswahl einer auf dem Projektierungs-PC gespeicherten Datei über die Schaltfläche "Durchsuchen" wird der Dateiname hier angezeigt.
• Durchsuchen
Durchsucht das Dateisystem des Projektierungs-PC nach einer dort gespeicherten Schlüsseldatei, welche in das CMR geladen werden soll.
• Laden in Gerät
Über die Schaltflächen laden Sie die selektierte Datei in das CMR.
• Standard-Server-Konfiguration für Client speichern
Über den Eintrag können Sie die Konfigurationsdatei des CMR in das Dateisystem Ihres Projektierungs-PC speichern. Die Datei hat den Namen "vpnpeer.conf" und enthält unter anderem den vom CMR erzeugten Pre-shared Key.
Zusätzliche Port-Weiterleitung
Standardmäßig sind im VPN-Tunnel des CMR die TCP-Ports 8443, 10005, 80 und 443 offen.
Somit kann über das CMR eine VPN-Verbindung vom LOGO! Soft Comfort auf das LOGO! BM aufgebaut oder auf das WBM zugegriffen werden.
Um über das CMR eine VPN-Verbindung zu einem anderen Gerät aufzubauen, können Sie bis zu 4 Ports zusätzlich freischalten.
Aktivieren Sie dazu das jeweilige Protokoll UDP und/oder TCP und tragen Sie die entsprechende Portnummer ein. Klicken Sie zur Bestätigung auf die Schaltfläche
"Übernehmen".
Die Telegramme werden dann von der VPN-Schnittstelle zur LAN-Schnittstelle über den jeweiligen Port weitergeleitet.
Projektierung (WBM) 5.12 Security
Datei "vpnpeer.conf"
• Vorgeschlagene Client-Konfiguration herunterladen
Über den Eintrag können Sie die Konfigurationsdatei des CMR in das Dateisystem Ihres Projektierungs-PC speichern. Die Datei hat den Namen "vpnpeer.conf" und enthält unter anderem den vom CMR erzeugten Pre-shared Key.
Nachfolgend finden Sie den Inhalt der vom CMR exportierten Konfigurationsdatei für den OpenVPN-Client (Kommunikationspartner des CMR).
Hinweis
Unverschlüsselte Konfigurationsdatei: Verschlüsselte Übertragung
Die Konfigurationsdatei für den OpenVPN-Client ist nicht verschlüsselt. Der Pre-shared Key liegt unverschlüsselt in der Datei.
Übertragen Sie die Datei nur gesichert an den Partner, z. B. per HTTPS.
Projektierung (WBM) 5.12 Security
Tabelle 5- 5 Inhalt der Konfigurationsdatei "vpnpeer.conf"
Originaldatei Angepasste Datei
dev tun0
proto-force udp4 disable-occ
# Please update your OpenVPN peer's address on the next line
remote vpn.example.com 1194 ifconfig 10.8.0.1 10.8.0.2 nobind
keepalive 15 60
route 192.168.0.0 255.255.255.0 tun-mtu 1500
fragment 1371 mssfix 1282 persist-key
replay-window 512 15 cipher AES-128-CBC
# Please insert your key here and uncomment these lines
keepalive 15 60
route 192.168.0.0 255.255.255.0 tun-mtu 1500
fragment 1371 mssfix 1282 persist-key
replay-window 512 15 cipher AES-128-CBC
# ---BEGIN OpenVPN Static key
V1---1a17c9b9737c0fd0b33eb540ba845340e2dad229b8d6 ffbb3eabb6b9---END OpenVPN Static key V1--- </secret>
Anmerkungen:
• Dies ist der unveränderte Inhalt der vom CMR expor-tierten Datei, ohne aktivierte OpenVPN-Funktionalität.
• Beim Export der Datei in dieser Form fehlt im CMR noch der Pre-shared Key. Sie müssen auf Client-Seite (Partner) und auf Server-Seite (CMR) noch den Pre-shared Key importieren.
Anmerkungen:
Der Inhalt wurde beispielhaft angepasst für die Nutzung von OpenVPN ohne DynDNS:
• Die dritte auskommentierte Zeile der Originaldatei wurde gelöscht und in der nächsten Zeile die Adresse angepasst.
• Die vorletzte auskommentierte Zeile der Originaldatei und die Kommentierungen wurden gelöscht und der Pre-shared Key ergänzt.