WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

1 von 14

OpenVPN-Anbindung Sysmess Multi und Compact

Firmware 3.7.X 06/2016

S0-Eingänge DigitaleingängeAnalogeingängeTemperaturfühlereingänge Relaisausgänge

GPRS / EDGE / UMTS

GLT

RS 232

SPS

RS 485

Slave, Server und Gateway

TCP / RTU

Empfänger und Gateway Pegelwandler und Gateway

Internet

TCP / RTU SlaveWebinterface

XML

IP-Router

UDP

CSV

FTP / SFTP

Alarm

E-Mail

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

2 von 14

Inhaltsverzeichnis

OpenVPN-Anbindung RmCU DIN Rail + RmCU Compact Firmware 3.7.X 06/2016 11 Einleitung............................................................................................................. 32 Einrichtung des OpenVPN-Clienten .................................................................... 3

1.1 Config-Datei ................................................................................................... 31.2 Keepalive t1 t2 ............................................................................................... 71.3 reneg-sec t ..................................................................................................... 71.4 connect-retry t ................................................................................................ 71.5 tls-timeout t .................................................................................................... 71.6 hand-window t................................................................................................ 81.7 Zertifikate und Keys ....................................................................................... 8

3 Zugriffsbeschränkungnen .................................................................................. 101.8 Netzwerkzugriff GPRS ................................................................................. 101.9 Netzwerkzugriff LAN .................................................................................... 101.10 VPN - LAN Gateway ................................................................................ 111.11 Erlaube SSH / Allow SSH ........................................................................ 111.12 Installationsszenarien .............................................................................. 12

4 Support:............................................................................................................. 14

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

3 von 14

1 Einleitung

In diesem Dokument werden kurz die Filtereinstellungen für den Netzwerkzugriffbeschrieben. „Unsichtbar“ wird das RmCU in einem Netz erst wenn der EingehendeVerkehr blockiert (verworfen) wird. Die Filtereinstellungen werden nur bei laufendemVPN angewandt. Ohne VPN ist ein Abschotten des RmCU nicht vorgesehen (auchnicht sinnvoll)

2 Einrichtung des OpenVPN-Clienten

1.1 Config-DateiEinträge und ihre BedeutungDie Konfigurationsinformationen befinden sich in der Datei /flash/etc/ovpn/client.conf.Im folgenden wird darauf eingegangen, welche relevanten Einträgeanpassungsbedürftig sein könnten und was diese bewirken/bedeuten.

Hinweis: Zum Auskommentieren der Zeilen ist bis Firmware 3.6.Xausschliesslich eine führendes '#' zu verwenden. Ab Fw. 3.7.x ist auch einSemikolon (';') zulässig.

dev tun Die Art des Tunneladapters. RmCU wirdnormalerweise mit TUN betrieben. TAP wurdenicht getestet.

proto tcp-client Der Transport findet auf tcp statt. Der clientbaut die Verbindung auf. Dies ist im RmCU dieStandardvorgabe, da vieleNetzwerkadministratoren keinen eingehendenUDP-Verkehr zulassen möchten/dürfen.

tls-client RmCU startet die Verschlüsselungport 1194 Port auf dem der Server die OpenVPN-

Verbindung annimmtremote <remote-ip/host> Die IP-Adresse bzw. Der Domainname des

Servers

Hinweis: Der Port darf nicht, wie es vonopenvpn her gültig wäre, in der remote-Zeilehinter der remote- IP eingetragen werden, erwird in diesem Falle von der Firewall nichterkannt.

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

4 von 14

comp-lzo Kompression wird verwendetverb 4 Log-Intensität wird festgelegtpull Akzeptieren von vom Server angebotenen

(push) routing informationen, keepalive u.ä.ca /flash/etc/ovpn/ca.crt Zertifikat der Zertifizierungsstelle. Dieses wird

benötigt um die Signatur des Zertifikats derGegenstelle zu überprüfen

cert /flash/etc/ovpn/<name>.crt Zertifikat des RmCU. Dieses wird derGegenstelle zur Verfügung gestellt um densicheren Kanal aufzubauen

key /flash/etc/ovpn/<name>.key Geheimer Schlüssel des RmCU. Dieser stelltdas Gegenstück zum Zertifikat dar. DieserSchlüssel sollte NUR DIESEM RmCU bekanntsein.

keepalive 60 300 Stellt das Ping Intervall und das Timeoutnachdem die Verbindung als verlorenangenommen wird ein (default 10 60)Diese Einstellung wird meist von Servergepusht.

remote-cert-tls server Aktiviert die Signaturüberprüfung der Keysreneg-sec 10800 Legt fest nach wieviel Sekunden ein neuer

TLS-Key ausgehandelt wird (default 3600)Ab FW 3.7.4 wird der Wert 300 von RmCUgesetzt sofern dieser in der Config-Datei nichtfestgelegt wurde

connect-retry 300 Legt die Dauer fest, die nach einemfehlgeschlagenen Verbindungsversuchgewartet wird, bis ein neuer Versuchunternommen wird. (OpenVPN default: 5)Ab FW 3.7.4 wird der Wert 300 von RmCUgesetzt sofern dieser in der Config-Datei nichtfestgelegt wurde

tls-timeout 15 Legt die Dauer fest nachdem die Einleitungeines TLS-Handshakes wiederholt wird(OpenVPN default 2)Ab FW 3.7.4 wird der Wert 15 von RmCUgesetzt sofern dieser in der Config-Datei nichtfestgelegt wurde

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

5 von 14

hand-window 100 Legt fest in welchem Zeitraum der TLS-Handshake abgeschlossen werden muss(OpenVPN default 60)Ab FW 3.7.4 wird der Wert 100 von RmCUgesetzt sofern dieser in der Config-Datei nichtfestgelegt wurde

„ca“, „cert“ und „key“ beschreiben die Pfade zu den Dateien, der Public-Key-Infrastruktur (PKI). Diese können vereinfacht mit „easy RSA“ (wie hier beschreiben)erzeugt werden.

Die Konfigurationsdatei MUSS client.conf heißen, oder es muss einen symbolischenLink mit dem Namen geben der auf die Konfigurationsdatei verweist. Die Namen derSchlüssel und Zertifikate werden in der Konfigurationsdatei eingetragen und sindsomit frei wählbar.

Hinweis:Ab Firmware 3.7.3. wird ein erfolgreicher VPN- Tunnel Aufbau über die roteAlarm-LED visualisiert (blinkt ca 3 Sekunden).

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

6 von 14

Beispiel einer Konfigurationsdatei:dev tun

proto tcp-client

tls-client

port 1194

remote 192.168.0.10comp-lzo

verb 4

pull

ca "/flash/etc/ovpn/ca.crt"

cert "/flash/etc/ovpn/rmcu.crt"

key "/flash/etc/ovpn/rmcu.key"

keepalive 60 300#equvalent#ping 60#ping-restart 300

remote-cert-tls server

reneg-sec 10800

connect-retry 300

hand-window 100

tls-timeout 15

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

7 von 14

1.2 Keepalive t1 t2

Der Paramter t1 [sec] gibt an in welchen Zeitabständen mittels einem Ping überprüftwird ob der VPN Tunnel noch besteht. Der Parameter t2 [sec] beschreibt diemaximale Zeitspanne zwischen 2 Pings der Gegenseite. Bei Überschreitung wird derTunnel neu aufgebaut. Diese Einstellung wird in der Regel am Server vorgenommenund vom Server an den Clienten übermittelt (gepusht).

Ein kleines Ping-Intervall erhöht den Traffic unnötig, während ein zu langes Intervalldazu führt das ein Verbindungsverlust entsprechend spät erkannt wird.

Ein zu grosser Timeout führt dazu, dass eine verlorene Verbindung entsprechendspät detektiert wird, wodurch RmCU entsprechend lang nicht erreichbar ist.

Die Standard-Einstellungen ist „keepalive 10 60“. Wir verwenden beiMobilfunkanbindungen „keepalive 60 300“, um die Traffic entsprechend zureduzieren.

Ein keepalive-Ping erzeugt jeweils 121 Bytes upload und im download, das ergibt bei„keepalive 60 300“ ca 10MB Traffic pro Monat.

1.3 reneg-sec t

Legt fest nach welcher Zeit ein neuer TLS-Key ausgehandelt wird. Die Standard-Einstellung beträgt 3600 Sekunden (1h). Um die Traffic zu reduzieren wird mittels„reneg-sec 10800“ ein Intervall von 3 h vorgegeben. Damit wird der monatlicheTraffic für den TLS- Handshake von 15 MB auf 5 MB reduziert.

1.4 connect-retry tLegt fest wie lange nach einem gescheiterten Verbindungsaufbau gewartet wird,bevor ein neuer Versuch gestartet wird. Der Default-Wert von OpenVPN liegt bei 5Sekunden. Unter Umständen gibt bei schlechter Anbindung viele erfolgloseVersuche, was zu einem hohen Verbrauch an Datenvolumen führen kann.Wir empfehlen im Mobilfunkbetrieb einen Wert von 300 Sekunden. Ab FW 3.7.4 wirddieser Wert verwendet sofern in der Config-Datei kein Anderer angegeben ist.

1.5 tls-timeout tLegt fest wie lange beim TLS-Handshake auf Antworten gewartet wird, bevor dieAnfrage widerholte wird. Der Default-Wert von OpenVPN liegt bei 2 Sekunden, wasfür langsame GPRS-Verbindungen zu kurz sein kann.Wir empfehlen im Mobilfunkbetrieb einen Wert von 15 Sekunden. Ab FW 3.7.4 wirddieser Wert verwendet sofern in der Config-Datei kein Anderer angegeben ist.

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

8 von 14

1.6 hand-window tLegt fest wieviele Sekunden der TLS-Handshake maximal benötigen darf. Wirddieser Zeitraum überschritten, so wird die Verbindung abgebrochen. Der Default-Wert von OpenVPN liegt bei 60 SekundenWir empfehlen im Mobilfunkbetrieb einen Wert von 100 Sekunden. Ab FW 3.7.4 wirddieser Wert verwendet sofern in der Config-Datei kein Anderer angegeben ist.

1.7 Zertifikate und Keys

Zertifikate sind Dateien, welche diverse Informationen über Gültigkeitsbereich,Aussteller, den Eigentümer sowie den öffentlichen Schlüssel des Eigentümer und ggfnoch weiter Informationen.

Der Key enthält nur den privaten Schlüssel des Eigentümers. Dieser muss nichtverifiziert werden, da dieser nicht ausgegeben wird.

Alle benötigten Zertifikate und Keys werden direkt in /flash/etc/ovpn/ abgelegt

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

9 von 14

Zertifizierungsstelle (Certificate Authority):Dient dazu die anderen Schlüsselpaare mit ihrem privaten (geheimen) Schlüssel zusignieren (streng hierarchische PKI). Daher ist der private Schlüssel der CA einsensibles Geheimnis. Mit dem öffentlichen wird die Signatur vom Clienten (RmCU)überprüft.

Schlüsselpaare (Server/Client):Die Schlüsselpaare für Server und jeden Clienten werden mit den privaten Schlüssel(key) der CA signiert, damit die Authenzität des von der Gegenstelle übermitteltenöffentlichen Schlüssels (Bestandteil des Zertifikats) mit dem öffentlichen Schlüssender CA überprüft werden kann.

Erzeugen eines Server-SchlüsselpaarsErzeugen eines Client-SchlüsselpaarsÜbersicht über die Funktion und die Sensibillität der Schlüssel

Hinweis: Damit der Key von RmCU automatisch genutzt werden kann, muss dieserohne Passwort erzeugt werden.

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

10 von 14

3 Zugriffsbeschränkungnen

RmCU kann nur bei aktivem VPN, je nach Notwendigkeit mit unterschiedlichenZugriffsbeschränkungen betrieben werden. Bei nicht aktiviertem VPN sind dieDienste des RmCU uneingeschränkt erreichbar.

1.8 Netzwerkzugriff GPRS

Einstellung Funktion1 RmCU --X-- GPRS Auf RmCU kann von aussen ausschliesslich über den

OpenVPN zugegriffen werden.2 RmCU <-- GPRS Während einer aktiven OpenVPN Verbindung kann über

das Internet von aussen über die vom Mobilfunkbetreiberzugeteilte IP- Adresse auf RmCU zugegriffen werden(z.B. Aufruf des Webinterfaces, etc)

3 RmCU --> GPRS Auch während einer aktiven OpenVPN Verbindung kannRmCU auf öffentliche IP- Adressen im Internet zugreifen.(z.B. SMTP- Server, NTP- Server, etc.)

4 RmCU <--> GPRS Die unter 2 und 3 aufgeführten Zugriffe sind möglich

Antworte auf Ping / Answer PingDie Funktion ist ab FW 3.7.3 verfügbar. Sofern aktiviert werden eingehende Ping-Requests über GPRS beantwortet.

1.9 Netzwerkzugriff LAN

Einstellung Funktion1 RmCU --X-- LAN Während einer aktiven OpenVPN Verbindung ist kein

Netzwerkverkehr zwischen RmCU und LAN möglich.2 RmCU <-- LAN Während einer aktiven OpenVPN Verbindung kann über

den LAN Port z.B. das RmCU- Webinterface aufgerufenwerden

3 RmCU --> LAN Auch während einer aktiven OpenVPN Verbindung kannRmCU z.B. auf an RmCU über LAN angeschlossene IP-fähige Geräte (z.B. Strommessgeräte mit Modbus TCPSchnittstelle) zugreifen.

4 RmCU <--> LAN Die unter 2 und 3 aufgeführten Zugriffe sind möglichAntworte auf Ping / Answer PingDie Funktion ist ab FW 3.7.3 verfügbar. Sofern aktiviert werden eingehende Ping-Requests über LAN beantwortet.

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

11 von 14

1.10VPN - LAN Gateway

Einstellung Funktion1 OVPN --X-- LAN Alle lokal an RmCU angeschlossenen IP- fähige Geräte

sind vom OpenVPN Tunnel getrennt.2 OVPN <-- LAN Lokal an RmCU angeschlossenen IP- fähige Geräte

können Datenverbindungen über den OpenVPN Tunnelaufbauen.

3 OVPN --> LAN Über den OpenVPN Tunnel können Verbindungen zulokal an RmCU angeschlossene IP-fähige Geräteaufgebaut werden (z.B. Aufruf des Webinterfaces einesBHKW´s).

4 OVPN <--> LAN Die unter 2 und 3 aufgeführten Zugriffe sind möglich

1.11 Erlaube SSH / Allow SSH

Erlaube SSH / Allow SSHBei aktiviertem VPN und somit aktivierter Firewall wird hier vorgegeben ob trozdemein SSH (SCP) Zugriff auf das RmCU Dateisystem über LAN IP- Adresse und diezugewiesene GPRS- IP- Adresse möglich ist.

Hinweis:Diese Einstellung sollte nur temporär und nach Absprache mit demzuständigen IP Security Beauftragten aktiviert werden und dientausschliesslich dem Support.

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

12 von 14

1.12Installationsszenarien

Variante 1: Dienste im Internet werden verwendet (zB NTP und SMTP)

Hier muss das RmCU Verbindungen zu Diensten im Intenet aufbauen können. Wennkein Zugriff vom Internet aus (externe IP) vorgesehen ist, kann die Sicherheit erhöhtwerden indem nur ausgehende Verbindungen zugelassen werden (eingehendeVerbindungen werden verworfen „RmCU ----> GPRS“ )

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

13 von 14

Beispiel 2: OpenVPN ist für den Fernzugriff konfiguriert, und JEDER benötigte Dienstist im VPN verfügbar (Server oder Portweiterleitung)

In diesem Falle ist keinerlei Verbindung (bis auf den VPN-Tunnel) zwischen demRmCU und dem Internet notwendig. Network-Access kann auf „RmCU --x-- GPRS“gestellt werden.

Analog dazu kann der Verkehr zwischen RmCU und LAN, sowie zwischen VPN undLAN den Bedürfnissen entsprechend angepasst werden.

Eine Zugriffbeschränkung für den Verkehr zwischen RmCU und VPN ist nichtvorgesehen.

Das RmCU kann auch Internetzugriff über das VPN erhalten. Hierzu muss derNetzwerkadministrator den OpenVPN-Server entsprechend einrichten. (push route)

WICHTIGER HINWEIS!: Wenn die default-Route auf ein Gateway im VPN zeigt,muss zwingend eine Route mit dem VPN-Server als Ziel auf das vorherige Standard-Gateway zeigen, da sonst der VPN-Tunnel abbricht und sich Ihr RmCU isoliert.

WDV MOLLINÉ®

Messtechnik die zählt

WDV-  Molliné GmbH · Kupferstraße 40-46 · 70565 Stuttgart · Tel. 0711 / 35 16 95 - 20 · Fax 0711 / 35 16 95 - 29 · www.molline.de

14 von 14

4 Support:

info@molline.de

Tel: +49 711 3516950