Step 7 Brauche Hilfe bei Konfiguration eines Scalance M874-3 VPN Tunnels

SPSer

Level-1
Beiträge
32
Reaktionspunkte
0
Zuviel Werbung?
-> Hier kostenlos registrieren
Hallo Leute,

Brauche Hilfe bei der Konfiguration eines Scalance M874-3.

Was funktioniert:
Sclance ist von extern über die externe IP erreichbar.
Sclance ist von internen Netz erreichbar.
Scalance vergibt den internen PCs IP Adressen.
Es kann intern ins Internet gegangen werden.

Was noch nicht funktioniert:
VPN Tunnel zwischen PC und Sclance um über diesen auf die Steuerung / Touchpanel zukommen.

Ich habe schon probiert im SCT den Scalance einzufügen und einen SoftnetSecurityClient. (Siehe Bilder)

Habe diese beiden auch in die VPN Gruppe gezogen.

Bei Laden habe ich aber schon das Problem:
# Es sind VPN-Gruppen konfiguriert, die ausschließlich Baugruppen enthalten, die untereinander keine Verbindung aufbauen können.
Gruppe1: Die VPN-Gruppe beinhaltet ausschließlich Server-Baugruppen. Fügen Sie der VPN-Gruppe mindestens eine Client-Baugruppe hinzu.

Was muss ich einfügen, damit ich mich über den Softnet Security Client nachher verbinden kann????
 

Anhänge

  • Bild1.JPG
    Bild1.JPG
    55,8 KB · Aufrufe: 61
  • Bild2.JPG
    Bild2.JPG
    49,3 KB · Aufrufe: 48
  • Bild3.JPG
    Bild3.JPG
    95,4 KB · Aufrufe: 48
Hast du denn wirklich noch einen SSC 2008 - und wenn ja auf welchem OS läuft der?
Zieh mal testweise einen S6xx in die Gruppe, dann müsste diese Meldung verschwinden.
 
Siemens schreibt zur 2008er Version:

SIMATIC NET INDUSTR. ETHERNET SOFTNET SECURITYCLIENT EDITION 2008 SW ZUM AUFBAU VON SICHEREN IP BASIERTEN VPN-VERBINDUNGEN VON PC/PG ZU NETZWERK- SEGMENTEN, DIE DURCH SCALANCE S ABGESICHERT SIND. SINGLE LICENSE F.1 INSTALLATION R-SW, SW + ELEKTR. HB AUF CD 5-SPRACHIG (D,E,F,I,S); FUER 32BIT WINDOWS XP PRO+SP1..3

Da steht nichts mit Scalance M Baugruppen.
 
Habe mir von Siemens die aktuelle Version geholt. Lies sich konfigurieren.
Habe die Zertifikate in den Sclance geladen und sämtliche Einstellungen laut der erzeugten TXT file.
Leider noch immer keine Verbindung.

Hier mal die Log file:
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[CFG] <DERF|2> no alternative config found
2405:41:134 - Warning04/07/2014 15:52:30
Apr 7 14:52:22 02[CFG] <DERF|2> constraint check failed: RULE_CRL_VALIDATION is SKIPPED, but requires at least GOOD
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[IKE] <DERF|2> authentication of 'C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9' with RSA successful
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[CFG] <DERF|2> using trusted certificate "C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9"
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[CFG] <DERF|2> reached self-signed root ca with a path length of 0
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[CFG] <DERF|2> certificate status is not available
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[CFG] <DERF|2> checking certificate status of "C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9"
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[CFG] <DERF|2> using trusted ca certificate "C=DE, O=Siemens, CN=PBB5F-G7244"
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[CFG] <2> selected peer config "DERF"
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[CFG] <2> looking for RSA signature peer configs matching 77.119.230.88...46.220.123.234[C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9]
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[IKE] <2> received end entity cert "C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9"
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:22 02[IKE] <2> received cert request for 'C=DE, O=Siemens, CN=PBB5F-G7244'
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:21 12[IKE] <2> received retransmit of request with ID 0, retransmitting response
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:21 01[IKE] <2> received retransmit of request with ID 0, retransmitting response
2405:41:136 - Info04/07/2014 15:52:30
Apr 7 14:52:20 14[IKE] <2> sending cert request for "C=DE, O=Siemens, CN=PBB5F-G7244"
2405:41:026 - Info04/07/2014 15:52:20
Apr 7 14:52:19 16[IKE] <2> received retransmit of request with ID 0, retransmitting response
2405:41:026 - Info04/07/2014 15:52:20
Apr 7 14:52:18 02[IKE] <2> 46.220.123.234 is initiating a Main Mode IKE_SA
2405:41:026 - Info04/07/2014 15:52:20
Apr 7 14:52:18 02[IKE] <2> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[CFG] <DERF|1> no alternative config found
2405:40:324 - Warning04/07/2014 15:51:50
Apr 7 14:51:46 02[CFG] <DERF|1> constraint check failed: RULE_CRL_VALIDATION is SKIPPED, but requires at least GOOD
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[IKE] <DERF|1> authentication of 'C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9' with RSA successful
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[CFG] <DERF|1> using trusted certificate "C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9"
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[CFG] <DERF|1> reached self-signed root ca with a path length of 0
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[CFG] <DERF|1> certificate status is not available
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[CFG] <DERF|1> checking certificate status of "C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9"
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[CFG] <DERF|1> using trusted ca certificate "C=DE, O=Siemens, CN=PBB5F-G7244"
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[CFG] <1> selected peer config "DERF"
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[CFG] <1> looking for RSA signature peer configs matching 77.119.230.88...46.220.123.234[C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9]
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[IKE] <1> received end entity cert "C=DE, O=Siemens, CN=PBB5F-UDD02DCF3-G83E9"
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:46 02[IKE] <1> received cert request for 'C=DE, O=Siemens, CN=PBB5F-G7244'
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:44 01[IKE] <1> received retransmit of request with ID 0, retransmitting response
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:43 12[IKE] <1> received retransmit of request with ID 0, retransmitting response
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:43 15[IKE] <1> sending cert request for "C=DE, O=Siemens, CN=PBB5F-G7244"
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:42 13[IKE] <1> received retransmit of request with ID 0, retransmitting response
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:41 02[IKE] <1> 46.220.123.234 is initiating a Main Mode IKE_SA
2405:40:326 - Info04/07/2014 15:51:50
Apr 7 14:51:41 02[IKE] <1> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
 
Zuletzt bearbeitet:
Wenn ich auf die Tunnelübersicht klicke, ist die Verbindung Rot und der Scalance kann nicht angepingt werden.
Laut Log hat es was mit dem Zertifikat auf sich.
Aber was bedeutet das: 04/07/2014 16:04:52
Apr 7 15:04:46 01[CFG] <DERF|4> constraint check failed: RULE_CRL_VALIDATION is SKIPPED, but requires at least GOOD
 
Bei einer Authentifizierung mit Zertifikat, möchte er wahrscheinlich vorher bei einer Zertifizierungsstelle (CA) prüfen dass dein Zertifikat nicht ungültig ist.
Und er kann wohl keine CA anfragen, warum auch immer. Ich würde mal nach einer Einstellung mit CA suchen, und gucken ob man da was anpassen kann/muss.
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Sodala. Nach einer seehr langen Nacht funktioniert mein Tunnel jetzt.
Ich komme auf den Sclance und ein TP. Aber nicht auf die CPU.
Ideen, auf was ich da noch aufpassen muss?
Router habe ich bei der CPU eingetragen.

Wenn ich auf dem Scalance einen Ping zur CPU anstosse, wird dieser fehlerfrei ausgeführt.
Vom Remote PC aus funktioniert der Ping aber nicht.
 
Zuletzt bearbeitet:
Hi,

und an was lag es letzlich?
Kannst du mal die IP Konfig für die CPU und das TP vergleichen eventuell sieht man da schon ob was nicht stimmt.
Das TP und die CPU sind doch im gleichen netz oder?

Gruß
Chrisoph
 
Ja sind im gleichen Netz.

Scalance = Router = 192.168.0.1 /255.255.255.0
CPU = 192.168.0.2 /255.255.255.0
HMI = 192.168.0.10 /255.255.255.0

Habe den NAT Server nicht aktiviert gehabt :rolleyes:
Das komische ist, das ich nur auf den .2 nicht hinkomme.
Wenn ich mich intern ranstöpsel, komme ich ohne Probleme auf die CPU.
Nur eben nicht über Softnet Security Client.

Welches Port muss ich für die CPU noch forwarden?
Momentan aktiv:
23
8080
22
443
80
161
500
4500

Das komische ist eben, das ich die anderen Teilnehmer erreiche. Habe schon eine Proketierung aufs Panel übertragen.
 
wenn du dich auf die CPU stöpselst kommst du dann auf das TP und den Scalance?
nicht das nur die Strecke zwischen Scalance und der CPU das Problem ist.

Gateway ist an der CPU auch eingestellt?
 
Zuviel Werbung?
-> Hier kostenlos registrieren
Scheinbar liegt ein Hardwaredefekt am Scalance vor.
Habe die CPU an den zweiten Port gestöpselt.
Siehe da: Verbindung besteht.

Komisch bleibt das trotzdem.
Interne Kommunikation funktioniert ohne Problem.
Interne Kommunikation nach draussen Ohne Problem.
Externe zur Internen (AUSSER CPU) Ohne Problem.
CPU hängt mit HMI usw. an einem HUB. Bei diesem hatte ich die Ports auch schon umgesteckt.

Sehr mysteriös.
 
Hi,

warte mal ne weile ob der Port wirklich funktioniert oder nach einer Weile aussteigt.
Das mit dem HUB würde ich schnellstmöglich umbauen auf einen Switch.

Beim Hub hast du das Problem das die Telegramme auf alle Ports rausgehustet werden und eine Nachbarschafterkennung damit
gar nicht möglich ist.

Würde mich nicht wundern wenn der Scalance oder ein anders Netzwerkelement nach ein gewissen Zeit wegen dem Hub mal abschaltet.
 
Zurück
Oben