IPL-E
Contents
1. NAT Redirection de port port forwarding SNMP DNS DHCP client ou serveur sur l interface LAN Entr e TOR pour email d alarmes 1 1 1 1 1 Configuration HTTPS HTML SSH IO Viewer Module optionnel u 2 de visualisation d entr es sorties modbus Option Service de connexion M2Me Connect Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 9 PRESENTATION 3 Pr sentation Le routeur IPL E est la fois un routeur un firewall et un serveur d acc s distant RAS Il permet de connecter des machines industrielles sur un Intranet ou l Internet avec un haut niveau de s curit et confidentialit Il offre les fonctions suivantes Routeur entre 1 interface Ethernet WAN et 2 ou 4 interfaces Ethernet switch es LAN Routeur IP Table de routage RIP SNMP VRRP Client et serveur VPN IPSec ou OpenVPN Service d acc s distant RAS pour la t l maintenance ou t l exploitation par PC tablette ou smartphone Firewall Interfaces s rie et WiFi optionnels Page 10 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E 3 1 Applications PRESENTATION Le routeur IPL E permet trois applications principales e Client ou serveur VPN pour les syst mes de SCADA t l contr le e Serveur d acc s distant pour la t l exploitation au moyen de PC tablette ou smartphone e Firewall pour filtrer2. Lorsque l interface WiFi est s lectionn e comme interface WAN le voyant WiFi s claire et le voyant de niveau de r ception indique la qualit de la liaison avec le point d acc s Pour s lectionner l interface WiFi la place de l interface Ethernet WAN e S lectionner le menu Configuration gt Interface WAN e S lectionner le type de WAN WiFi Param tre Nom de r seau WiFi SSID Saisir un libell libre qui d signe le r seau WiFi Param tre Authentification Choisir le mode d authentification WPA ou WEP ou le mode non s curis non recommand Param tre Cl partag e Saisir la cl WPA ou WEP du r seau Elle est fix e par le point d acc s WiFi Param tre Priorit du WAN WiFi Saisir la valeur 10 Case cocher Obtenir une adresse IP automatiquement Cocher cette case si l adresse IP est attribu e par le point d acc s WiFi Autrement d cocher cette case et saisir l adresse IP attribu e au routeur ETIC sur cette interface le masque de sous r seau et l adresse IP de la passerelle par d faut Case cocher Obtenir les adresses des serveurs DNS automatiquement Cocher cette case si l adresse des serveurs DNS est attribu e par le point d acc s WiFi Autrement d cocher cette case et saisir l adresse IP des serveurs DNS primaires et secondaires Case cocher Translation d adresse NAT Cocher cette case pour q
3. IPL A 400 Accueil Y Configuration Interface WAN Interface LAN Ethernet et IP Serveur DHCP Liste des quipements Acc s distant Liste des utilisateurs Droits d acc s Moyens d acc s Y R seau Y Connexions VPN OpenVPN IPSec gt Routage Redondance VRRP Redirection de port NAT avanc DynDNS Qos DiffServ S curit Pare feu gt Accueil gt Configuration gt R seau gt Connexions VPN gt OpenVPN gt Connexion OpenVPN Actif ll Nom Indiquez l identifiant et le mot de passe avec lesquels le routeur distant devra s authentifier Identifiant Mot de passe Adresse du r seau LAN distant Masque du r seau LAN distant Mots de passe identiques Entrez ici le nom commun du certificat que le routeur distant devra utiliser pour s identifier Nom commun Enregistrer Annuler Retour S lectionner la case cocher Actif et attribuer un nom la connexion Param tres Identifiant et mot de passe Saisir l identifiant et le mot de passe qui seront pr sent s par le routeur distant pour s authentifier Param tres Adresse IP du LAN distant amp Masque du r seau LAN distant Saisir l adresse du r seau LAN du routeur distant Param tre Nom commun Entrez la valeur du champ SubjectAltName du certificat actif du routeur distant Pour les certificats ETIC il s agit du champ Email Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 63 MI
4. Page 54 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE Param tres Algorithme de cryptage Sauf difficult particuli re on s lectionnera le choix Auto AES offre une meilleure s curit par que 3DES Param tres Algorithme d authentification Sauf difficult particuli re on s lectionnera le choix Auto SHA1 offre une meilleure s curit par que MD5 Param tres Groupe DH uniquement si la case param tres avanc s a t coch e Groupe utilis lors de l change de clefs Diffie Hellman DH Le DH est l tape 1 de la phase 1 et permet aux pairs de se mettre d accord sur un secret partag Le DH a besoin qu un groupe au sens structure alg brique soit d fini et identique sur les pairs pour fonctionner Plus le groupe est grand plus la s curit est lev e au d triment du temps d tablissement du VPN Recommand groupe 2 La m me valeur doit tre choisie dans les 2 routeurs participant au VPN Param tres Life time uniquement si la case param tres avanc s a t coch e a t coch e Saisir la dur e de vie de la cl Paragraphe IKE phase 2 La phase 2 de IKE est la phase de n gociation des param tres de cryptage des donn es chang es par les routeurs Param tres Protocole Pr f rer ESP AH ESP assure confidentialit int grit et authentification des paquets chang s par les routeurs
5. AH assure int grit et authentification mais pas la confidentialit ou cryptage Param tres Algorithme de cryptage Sauf difficult particuli re on s lectionnera le choix Auto AES offre une meilleure s curit par que 3DES Param tres Algorithme d authentification Sauf difficult particuli re on s lectionnera le choix Auto SHAIl offre une meilleure s curit par que MD5 Case cocher PFS PFS Perfect forward Secrecy garantit qu un attaquant ayant enregistr des changes chiffr s un instant donn et parvenant obtenir les secrets cryptographiques une date ult rieure ne puisse pas pour autant d chiffrer les enregistrements Le renouvellement p riodique de la cl renforce la s curit Param tres Groupe DH uniquement si la case PFS a t coch e Groupe utilis lors de l change de clefs Diffie Hellman DH Le DH est l tape 2 de la phase 1 et permet aux pairs de se mettre d accord sur un secret partag Le DH a besoin qu un groupe au sens structure alg brique soit d fini et identique sur les pairs pour fonctionner Plus le groupe est grand plus la s curit est lev e au d triment du temps d tablissement du VPN Recommand groupe 2 La m me valeur doit tre choisie dans les 2 routeurs participant au VPN Param tres Life time uniquement si la case PFS a t coch e Saisir la dur e de vie de la cl de la phase 2
6. IE O M IPL E Routeur serveur RAS firewall NOTICE D UTILISATION Document r f rence 9021109 01 SOMMAIRE PRESENTATION 1 DECLARATION DE CONFORMITE sssssssseesseenseensenseneenenseccenseceenceceescecesee 7 2 IDENTIFICATION DES PRODUITS eeessesssocesocesoccssocesocsssocesocesoocesocesocsesosesocesocessose 8 3 PR SENTATIONS Sd ne a s need sen etant 10 3 1 ADPIICATIONS Lens ess tiens senre st ts ts nee ess selon reassess eee et etes tresses ss as t 11 3 2 Fonctions du routeur sseesenessnemnnesnetenseresneierneensseseenneestestenseee 12 3 3 Interfaces du routeur nn ns rsrsr o S Er EES ESENES 14 4 FICHE TECHNIQUE Se initie rente 15 INSTALLATION 1 DESCRIPTION DU PRODUIT seeesseessocesccsssocesocesoccssocessesesocesocesoocesocessosesocesocessose 17 1 1 DiMEensi NSsssssrsssssctssessssssssssssstessssstoevssbsusdsosesosvsuoosrs sre soes nsc ne ssi ene sirota sens tes n een ee 17 1 2 Routeur IPL E 400 ou IPL EW 400 option WiFi sssseseeeeesensse 18 1 3 Routeur IPL E 220 ou IPL EW 220 option WiFi ssssssssssesssssseessenseeseeesee 21 1 4 Routeur IPL E 230 ou IPL EW 230 option WiFi ssssssssssesssesssessenseessenee 23 1 5 Routeur IPL E 260 ou IPL EW 260 option WiFi ssssseseseesneeseneneenne 25 1 6 27 Routeur IPL E 261 ou IPL EW 261 option WiFi ssesssesssesssocesosesosesosesocesocesocesocesocesoeesse 27 2 INSTALLER LE ROUTEUR SUR UN RAIL DIN 35 MMsssessenseenseenseses 29 3 ALIMENTATION sinsm
7. acc s WiFi sseoesssooessoooesssooesssooesssoosssooossssoossssooesssoosssooossssoossssooes 48 11 PUBLIER L ADRESSE IP DYNAMIQUE DU ROUTEUR SUR L INTERNET 49 11 1 Principes ni ere donne rennes E se tien ee E 49 11 2 Param trage is ssrsss nissan sn essedien ttes nes o eesosa 49 Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 3 SOMMAIRE MISE EN SERVICE 12 INTERCONNEXION DE ROUTEURS AU MOYEN DE VPNS IPSEC ss 51 12 1 Pr sentatiON sssssiisssetesnsenteersteseneeesestnnestresenietennseneel enestebse nsesee dela sessios 51 12 2 Param trage d une connexion VPN IPSec essescescescesoesocscesccescescescesoesoesoesocecsceseese 52 13 CONNEXION VPN DE TYPE OPENVPN ssesssesseesseenseessenseenseenseesseenee 57 13 1 Pr s ntation fsssssssctiss ini nl eee diborane in sn er is tenn sense nets le sense t le s ss sed 0 57 13 1 1 Etapes de la configuration 58 13 1 2 Authentification ait A Ts a nt MR est eme tt ste PR ere 58 13 1 3 Contraintes de param trage 58 13 2 Param trage du serveur Open VPN ssssesenesneneneneenenensnenernnsencee 58 13 3 Configurer une connexion Open VPN sortante sssssseseseseeseensensenree 61 13 4 Configurer une connexion OpenVPN entrante ssssssseeeese 63 14 ROUTAGE nine nan es een tn eee toto sde ui sode en Stat anna danses 64 14 1 Fonctions d base snntenenesnnsst ie teetesetentereteseneteietetseeese 64 14 2 Route statique sers A T EA E ess tas en nes en esse 65 14 3 P
8. l adresse IP attribu e l interface LAN du routeur adresse IP attribu e au switch Ethernet 2 ou 4 ports la livraison l adresse attribu e l interface LAN est 192 168 0 128 Choix du navigateur HTML L interface web a t valid e avec Mozilla Firefox Google Chrome et Internet Explorer 7 et plus Restitution de l adresse IP Usine et suspension provisoire de la s curit d acc s au serveur de configuration L acc s non s curis au serveur de configuration sans mot de passe et l adresse IP Usine 192 168 0 128 est restitu en pressant le poussoir situ l arri re du produit La configuration courante est conserv e Format des adresses r seau Dans la suite du texte on appelle adresse r seau l adresse de valeur la plus basse du r seau Par exemple si le netmask est 255 255 255 0 l adresse r seau est X Y Z 0 Caract res autoris s les caract res accentu s ne peuvent tre saisis Sauvegarde de la configuration Il est conseill de sauvegarder la configuration du routeur dans un fichier Page 34 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 3 Configuration au moyen d un navigateur en HTTP HTTP est le protocole de transmission des pages HTML C est le mode de configuration de base du routeur 3 1 Premi re configuration Etape 1 Cr er ou modifier la connexion TCP IP du PC voir annexe 1 Attribuer cette connexion une a
9. Ethernet WAN interface Ethernet WAN interface Ei USB y CRE Poussoir B1_ USB D Push button B1 Ethernet N Ethernet RS485 2fis On RS232 Poussoir Reset S405 zuti AT TRE sur la face arri re Poussoir Reset de RS232 A sur la face arri re Bornier 4 pts 4 1E TOR 1 S TOR Bornier 4 pts Double bornier 2 pts 1ETOR 18 TOR Alimentation Double bornier 2 pts Alimentation VOYANTS IPL E 220 et IPL EW 220 D signation Fonction Op ration D Vert En fonction Rouge Erreur de d marrage grave ou erreur chargement firmware Clignotant rouge lent D marrage ou Alarme mat rielle Clignotant rouge rapide Chargement du firmware en cours VPN Un VPN au moins est tabli Connexion WiFi Eteint WiFi d sactiv ou WiFi configur en point d acc s vo Clignotant lent Connexion en cours lere tape d tection en cours Clignotant rapide Connexion en cours 2 eme tape Echange identifiants et IP Connect Allum fixe avec l ger clignotement en pr sence de data Qualit du Il Eteint Pas de signal mesur ou WiFi configur en point d acc s 1 vpi 1 impulsion Insuffisant ou faible 2 impulsions Suffisant 3 impulsions Bon ou tr s bon signal Voyant Ethernet 1 4 Eteint Interface d sactiv interieur Eclair avec clignotements tr s brefs Interface actif avec Echange de donn es RS232 Rx Caract res re us de la liaison V24 RS232 vers IPL pe Tx Caract res tra
10. IP destination Protocole TCP UDP Port source Port destination e Saisir la nouvelle destination des trames r pondant aux crit res d crits ci dessus Adr IP source Page 72 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 16 Redondance VRRP 16 1 Principe VRRP est un protocole qui permet deux ou plusieurs routeurs sur un m me r seau IP d agir en redondance les uns des autres afin d augmenter la disponibilit de la fonction de routeur Le m canisme est le suivant Les routeurs plac s en redondance les uns des autres poss dent chacun une adresse IP comme tout quipement d un r seau IP mais ils poss dent aussi une adresse IP commune appel e adresse IP virtuelle Cette adresse IP virtuelle et partag e est l adresse IP qui doit tre enregistr e dans les diff rents quipements du r seau comme l adresse du routeur par d faut De plus un indice de priorit compris entre 1 et 255 est attribu chacun des routeurs du groupe Les routeurs du groupe lisent le routeur ma tre c est celui qui a l indice de priorit le plus lev par la suite il annoncera 255 comme indice de priorit tandis que les autres routeurs que l on d signera comme routeur de secours resteront silencieux Le routeur ma tre prend en charge la fonction de routeur il r pond aux requ tes ARP mises par les quipements du r seau De plus il diffuse r guli rem
11. Passerelle de diffusion vers un ensemble d abonn s RAW UDP Cette passerelle est appel e RAW UDP client ou RAW UDP serveur elle permet de relier entre eux un groupe d quipements s rie et un ensemble d quipements du r seau IP d sign s lors de la configuration Cette solution est tr s simple de mise en uvre on d signe chaque correspondant par son adresse IP les donn es s rie sont envoy es sous forme de datagrammes UDP chaque correspondant IP enregistr r ciproquement les donn es re ues par la passerelle au N de port convenu sont transmises sur la liaison s rie 4eme type Passerelle Telnet Cette passerelle permet un PC sur le r seau IP et quip d un logiciel client Telnet de se connecter un quipement serveur Telnet raccord la liaison s rie Le d bit et le format de la liaison s rie peuvent tre pilot s selon la recommandation RFC2217 Page 90 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 20 2 Passerelle Modbus La passerelle Modbus permet de connecter des quipements s rie RS232 RS485 esclaves ou ma tre un ou plusieurs quipements modbus TCP clients ou serveurs selon le cas connect s au r seau IP 20 2 1 D finitions Un client TCP MODBUS est un quipement connect au r seau IP et capable de transmettre une requ te Modbus question par ex demande de lecture ou d criture un autre quipement du r seau appel serveu
12. e S lectionner le menu Configuration gt Interface LAN gt Liste des quipements gt 192168 38 1918080 cgi method get menu amp ampemenu true amp amp lang fr Accueil Configuration Interiare WAN Y interire LAN BtemetetiP Poni dacr s Wi FI Serveur DHCP Liste des quipements Y Acts distant M2Ma_Connaci Liste des utilisateurs Droits d acc s Moyens d act s F Reseau S curit Pare eu Droits d administration Certicats X509 Pas relles s rie b Alarmes b Sys ne P Diagnostics b Maniarance propos IPL CW 220 a ste gt Accuel gt Configuration gt Interfocs LAN gt Lise des quipements Hesse P D HE FREE EEE 192 108 30 12 Afficher Moxiifer Supprimer Ajouter Copier etmadi er A Y Enregistrer Annular GE Pour d signer un quipement du r seau e Cliquer le bouton Ajouter e Attribuer un nom et une adresse IP du r seau LAN l quipement Remarque On peut aussi attribuer un quipement un nom et un ensemble d adresse IP appartenant au m me sous r seau Exemple 192 168 38 8 29 pour d signer la plage d adresses IP allant de 192 168 38 8 192 168 38 15 Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 47 MISE EN SERVICE 10 5 Menu Point d acc s WiFi L interface WiFi optionnel peut tre configur comme point d acc s ou bien comme client WiFi Ce menu per
13. FTP A 1100 Automate filtrage 1P 192 168 38 10 FR HMI 1P 192 168 38 13 MODE Homepage AUTO MAN EIP Automate pompage 1P 192 168 38 11 Homepage FTP Ms synoptique png Aements x Page 84 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 18 2 Configuration Pour activer la fonction portail web HTTPS et y donner acc s par le r seau LAN e S lectionner le menu Configuration gt Acc s distant gt Moyen d acc s e Cocher la case Activer le proxy HTTPS Pour y donner en plus acc s par l Internet WAN e S lectionner le menu Configuration gt S curit gt Droits d administration e Cocher la case Utiliser HTTPS pour la configuration e Cocher la case Activer l acc s par le WAN Note importante Lorsque le portail HTTPS est activ le serveur de configuration du routeur est remplac par le portail web Cependant le serveur de configuration reste accessible mais il faut pr ciser le N de port Acc s Par l Internet Par le LAN Portal Web HTTPS https adr IP Internet https adr IP LAN du routeur Serveur de configuration HTTPS du routeur https adr IP Internet 4433 Adr IP LAN du routeur ou adr IP Internet 8080 avec login et PWD 18 3 Acc der au portail HTTPS par l Internet Pour acc der au portail web HTTPS par l Internet e Lancer le navigateur e Entrer l adresse publique
14. IPL E INSTALLATION VOYANTS IPL E 400 et IPL EW 400 D signation Fonction Op ration Allum fixe vert En fonction Rouge Erreur de d marrage grave erreur chargement firmware Clignotant rouge lent D marrage ou Alarme mat rielle Clignotant rouge rapide Chargement du firmware en cours VPN Un VPN au moins est tabli sur l interface WAN Connexion WiFi Eteint Ligne non connect e ou WiFi configur en point d acc s wili Clignotant lent Connexion en cours lere tape d tection en cours Clignotant rapide Connexion en cours 2 eme tape Echange identifiants et IP Connect Allum fixe avec l ger clignotement en pr sence de data o du il am Eteint Pas de signal mesur ou WiFi configur en point d acc s oi 1 impulsion Insuffisant ou faible 2 impulsions Suffisant 3 impulsions Bon ou tr s bon signal Voyant Ethernet 1 4 Eteint Interface d sactiv interieir Eclair avec clignotements tr s brefs Interface actif avec Echange de donn es Bouton poussoir de face avant B1 Autoriser temporairement l acc s distant Appui O Sur B1 Voyant Fonction 5 secondes 3 impulsions La hotline d ETIC TELECOM est autoris e tablir une connexion en vert distante Open VPN vers le routeur IPL La connexion distante doit intervenir dans un d lai de 1 heure 10 secondes 5 impulsions en vert Un utilisateur distant est autoris tablir une connexion distante
15. Internet du routeur https adresse IP Internet du routeur e Saisir le nom et le mot de passe d un utilisateur enregistr dans la liste d utilisateurs La page d accueil du portail HTTPS s affiche elle n affiche que les quipements autoris s l utilisateur Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 85 MISE EN SERVICE 19 Configuration du pare feu 19 1 Pr sentation du pare feu Le pare feu a pour but de filtrer les changes de trames IP entre l interface WAN et l interface LAN pour prot ger les quipements connect s au r seau LAN Sa structure est r sum e ci dessous Filtre IP network s Connexion Ei H PC tablette distante connexions smartphone E i distantes Il comporte trois parties e Lefiltre principal Il filtre les trames IP en fonction de l adresse IP et du port source et de l adresse IP et du port destination Ce filtrage s applique aux trames v hicul es dans les VPN ou hors des VPN Pour une meilleure organisation il comporte deux filtres s par s Le filtre qui agit sur les trames IP v hicul es dans les VPN Le filtre qui agit sur les trames IP v hicul es hors des VPN Le filtre principal agit sur toutes les trames sauf celles qui sont v hicul es dans les connexions d utilisateurs distants qui sont trait es par le filtre d utilisateurs distants voir ci dessous Pour distinguer u
16. Mb s mais avec une port e r duite 100 m tres en champ libre et au maximum Remarque Si ce mode est s lectionn il est n cessaire de s assurer du fonctionnement avec les clients WiFi envisag et dans la zone envisag e Param tre canal Le point d acc s WiFi peut utiliser un canal radio fr quence parmi la liste propos e Il est pr f rable d utiliser un canal radio non utilis par un autre r seau WiFi de la m me zone Le scanner Wifi permet de d tecter les r seaux WiFi de la m me zone Voir le chapitre Diagnostic de la pr sente notice Page 48 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 11 Publier l adresse IP dynamique du routeur sur l Internet 11 1 Principe L adresse IP attribu e un routeur n est g n ralement pas une adresse fixe mais une adresse dynamique qui change chaque connexion ou de fa on p riodique Cependant si l adresse IP attribu e au routeur IPL par l op rateur est une adresse publique de l internet il est possible de joindre le routeur IPL depuis l Internet en publiant l adresse IP obtenue sur un serveur sp cialis tel que DynDNS ou NolP Gr ce ce type de serveur un utilisateur pourra connecter son PC au routeur IPL en utilisant le nom de domaine dynamique enregistr aupr s de DynDNS ou NolP mon_routeur_etictelecom dyndns org par exemple au lieu de l adresse IP inconnue Le proc d est le s
17. Paragraphe DPD time out Param tre P riode des messages DPD Keepalives Le VPN est entretenu p riodiquement par chaque routeur pour ce faire et en l absence de donn es mettre chaque routeur transmet une trame de maintien du VPN Ce param tre fixe la p riode d envoi de la trame de maintien du VPN par le routeur Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 55 MISE EN SERVICE Param tre D lai de d tection de perte de connexion Ce param tre fixe le d lai maximum d attente d un message Keep alive Une fois ce d lai chu et en l absence de r ception du message Keep alive le routeur coupe le VPN Page 56 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 13 Connexion VPN de type OpenVPN 13 1 Pr sentation Chaque connexion VPN de type OpenVPN est un tunnel tabli entre deux routeurs Ce tunnel VPN permet de connecter deux r seaux de fa on s re et transparente Lorsque le tunnel est tabli entre 2 routeurs chaque quipement du premier r seau peut changer des trames IP avec chaque quipement du second 25 connexions VPN peuvent tre cr es e Pour configurer les connexions Open VPN s lectionner le menu Configuration gt R seau gt OpenVPN L cran des connexions VPN s affiche DES IPL A 400 site x EI jeudi ascension 2015 Re x gt C amp hb pS 192 168 3
18. Param tre modbus A Attention Plusieurs client TCP modbus peuvent adresser des requ tes aux esclaves de la liaison s rie N anmoins on prendra garde ne pas saturer la liaison s rie puisque son d bit est bien inf rieur celui d Ethernet Configuration de la passerelle Modbus serveur e S lectionner le menu Passerelle IP RS puis cliquer sur Modbus puis Modbus serveur e Cocher activer la passerelle Param tre S lection du port Choisir la liaison s rie 1 ou 2 du routeur Bouton COM Permet de configurer les param tres d bit et format de la liaison s rie Param tre Protocole Modbus S lectionner RTU hexad cimal ou ASCII selon le besoin Param tre Activer la fonction proxi cache Si cette fonction est active une requ te n est adress e un esclave que si la m me requ te ne lui a pas t adress e depuis le temps fix par le param tre rafra chissement du cache Param tre Rafra chissement du cache Fixe le d lai minimum entre deux requ tes identiques adress es au m me esclave Param tre _ Temps d attente r ponse esclave C est le d lai d attente de r ponse la requ te adress e un esclave Param tre Nombre de r it rations Fixe le nombre de r it rations d une requ te modbus par le routeur en cas de non r ponse de l esclave modbus Param tre Temps inter caract res Fixe le
19. V Interface LAN Champ adresse IP Ethernet et IP Serveur DHCP Laisser le champ vide pour que la r gle s applique toutes les adresses IP g KS Saisir une adresse IP seule ex 102 168 0 1 ou une adresse r seau ex 192 168 0 0 24 ou 192 188 0 0 255 255 255 0 Liste des quipements Acc s distant Liste des utilisateurs Chaapa poit Era tache Laisser le champ vide pour que la r gle s applique tous les ports 3 A r vi ur qu ju u Moyens d acc s Entrer un num ro sous la forme xx pour d signer un port unique ex 80 pour HTTP v R seau Entrer un num ro sous la forme xx yy zz pour d signer un groupe de port ex 21 80 pour sp cifier FTP et HTTP gt Connexions VPN Entrer un num ro sous la forme xx yy pour d signer une plage de port ex 80 90 pour d signer tous les ports entre 80 et 90 gt Routage Redondance VRRP Champ Nouvelle source Redirection de port Saisir une adresses IP seule ex 192 168 10 1 NAT avanc Laisser le champ vide ou saisir 0 0 0 0 pour ne pas effectuer de translation Null NAT DynDNS Qos DiffServ gt S curit ENJ P rell ri j Passerelles s rie Trans node gt Alarmes b Syst me Adresse IP source 4 er Adresse IP destination N intenance Protocole Tous Y A propos A Translation Nouvelle adresse IP source Enregistrer Annuler Retour e S lectionner Oui pour rendre la r gle active Saisir les crit res de substitution Adr IP source Adr
20. VPN NAT avanc Indiquez le port ainsi que le protocole utilis s pour les connexions entrantes et les connexions sortantes DynDNS Attention ces param tres doivent tre diff rents de ceux utilis s pour facc s distant utilisateur Qos DiffServ Num ro de port b S curit Bama b Passerelles s rie Chiffrement b Alarmes nS gt Syst me iheni gt Diagnostics Lier le VPN une interface sp cifique WAN ADSL v P Maintenance D marrer sur venement A propos Envoyer une alarme sur connexion d connexion Enregistrer Annuler Retour e S lectionner la case cocher Actif et attribuer un nom la connexion Param tres Identifiant et mot de passe Saisir l identifiant et le mot de passe qui seront utilis s par le routeur pour s authentifier aupr s du serveur VPN en compl ment du certificat Remarque Cet identifiant et ce mot de passe devront donc tre enregistr s dans la connexion entrante du serveur VPN Param tre Adresse IP du serveur VPN C est l adresse vers laquelle le tunnel VPN doit tre tabli Cette adresse peut tre soit l adresse IP fixe Internet du routeur distant soit son nom de domaine sur DynDns org ou NolP soit son nom de domaine Param tre Adresse IP du serveur VPN de backup Ce param tre permet de d signer un serveur VPN de secours Si le serveur principal n est pas accessible le routeur IPL tablit le VPN avec le serveur de secours
21. acc s e lwiri 1 impulsion Insuffisant ou faible 2 impulsions Suffisant 3 impulsions Bon ou tr s bon signal Voyant Ethernet 1 4 Eteint Interface d sactiv interieur Eclair avec clignotements tr s brefs Interface actif avec Echange de donn es RS485 Rx Caract res re us de la liaison V24 RS232 vers IPL Tx Caract res transmis vers la liaison V24 RS232 depuis IPL Boutons poussoirs borniers Alimentation C1 amp C2 Entr e Sortie TOR C3 Ethernet C6 C7 Ces l ments sont communs tous les mod les On trouvera le brochage de ces connecteurs au paragraphe relatif au mod le de base IPL E 400 Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 27 INSTALLATION Bornier RS485 isol C14 Fonction 1 Com Communisol 2 B amp RS485 polarit B S O Oo o 3 AO RS485polarit A o O Micro switches RS485 ON o Signal polaris par des r sistances de 470 Ohms EAE T R sistance 120 Ohm de terminaison de ligne en service oF OFF R sistance 120 Ohm de terminaison de ligne hors service Page 28 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E INSTALLATION 2 Installer le routeur sur un rail DIN 35 mm Pour installer le produit sur un rail Din 35 mm e Incliner le produit e Engager le produit dans la partie sup rieure du rail e Pousser pour encliqueter Laisser un espace d environ 1 cm de part et d autre du routeu
22. configuration s affiche Page 36 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 5 Configuration en SSH La connexion SSH Secure Shell est une connexion telnet s curis e par le protocole TLS Le port SSH est 22 Le nom et le mot de passe permettant une connexion SSH sont ceux qui ont t configur s dans la page web Droits d administration L utilisateur peut alors consulter ou modifier les param tres de configuration en mode commande CLI 6 Modification de la configuration distance Par d faut l acc s la configuration distance par le port WAN n est pas autoris Pour autoriser la configuration distance par l interface WAN ou par le port Ethernet N 1 s il a t d sign comme un port WAN e S lectionner le menu Configuration gt S curit gt Droits d administration e Cocher la case Activer l acc s par le WAN e Enregistrer 7 Restituer l IP Usine et l acc s libre l administration e Appuyer sur le bouton poussoir plac sur la face arri re du produit la led d alimentation clignote rapidement en rouge Le routeur reprend l adresse IP usine 192 168 0 128 jusqu la prochaine mise sous tension Le serveur HTML d administration est accessible sans mot de passe et en HTTP jusqu la prochaine mise sous tension La configuration programm e n est pas modifi e Remarque Le logiciel ETICFinder permet de d tect
23. d connexions d utilisateurs distants Initialisation et d marrage du routeur Journal OpenVPN et journal IPSec Ces journaux enregistrent en d tail et horodatent les principaux v nements relatifs aux connexions et d connexions VPN Journal avanc Ce journal est destin notre hotline en cas d v nements particuli rement difficiles analyser avec les autres outils e S lectionner le menu Diagnostic gt Etat r seau gt Interfaces Etat de l interface Ethernet WAN Param tres de base Champ Connect Oui Non Champ Adresse IP Adresse IP attribu l interface WAN du routeur 2 2 Etat des passerelles s rie e S lectionner le menu Diagnostic gt Etat des passerelles Cette page permet d afficher l tat courant du param trage des passerelles le nombre d octets et de trames chang es et le nombre de trames en erreur Le menu Visualisation des donn es s rie permet de visualiser le trafic RX et TX sur la liaison s rie 2 3 Outils Ping Cette page permet de commander l mission d une trame ping vers une machine du r seau raccord au routeur 2 4 Outil Scanner WiFi Le scanner WiFi affiche la liste des r seaux WiFi d tect s par le routeur Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 105 MAINTENANCE Pour chacun de r seaux d tect s le scanner affiche les informations suivantes Identificateur du r seau SSID L adre
24. du r seau LAN Le m canisme de redirection de port d crit ci dessus permet de r soudre le cas o un quipement appartenant au r seau WAN veut changer des trames IP avec une ou des quipements du r seau LAN alors que les adresses du r seau LAN ne peuvent tre transport es dans le r seau WAN La vraie solution ce probl me est d tablir un VPN mais lorsque ce n est pas possible la redirection de port apporte la solution Exemple Consid rons un r seau 1 et un r seau 2 connect s par un routeur IPL selon le sch ma ci dessous Supposons 1 que le PC WI du r seau WAN ait changer des trames avec l quipement PLC1 du r seau LAN 2 que les adresses du r seau LAN ne puissent pas circuler sur le r seau WAN quelle que soit la raison La solution la plus performante serait d tablir un VPN qui assurerait la fois la transparence et la s curit si ce n est pas possible on peut proc der comme suit Page 68 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE adr IP Internet 62 10 10 7 mjii PLC1 192 168 0 15 a TCP 102 Internet grilli aee d P Eala 62 10 10 7 fas E Pc 192 168 0 17 TCP 80 TCP 102 Lorsque le PC W1 doit adresser une trame l quipement PLC1 du r seau LAN il l adresse l adresse IP WAN du routeur IPL E 62 10 10 7 dans notre exemple et sur le port 102 par exemple Le routeur IPL E analyse la trame
25. entre le LAN et un r seau connect au r seau LAN distant r seau 6 du sch ma ci dessous La raison de cette difficult est que le r seau 6 n est pas connu du routeur R2 La d claration de routes statiques permet de r soudre ce probl me Une route statique associe l adresse d un routeur voisin une adresse IP de r seau de destination adr R seau adr de base netmask 192 168 1 24 192 168 6 24 R4 router Internet Internet R1 router IP addr IP addr 192 168 2 128 192 168 2 1 internet 192 168 5 1 R3 router R2 router 192 168 5 128 On d crit ci dessous les routes statiques qui doivent tre enregistr es dans le routeur R2 pour que tous les quipements de chacun des r seaux puissent changer des paquets IP Route statique enregistrer dans le routeur R2 Active Nom de la Destination Masque de Passerelle Interface DINEE route r seau Oui Vers R seau 6 192 168 6 0 255 255 255 0 192 168 5 1 Oui Vers R seau 1 192 168 1 0 255 255 255 0 192 168 2 1 Oui Vers R seau 192 168 4 0 255 255 255 0 192 168 5 128 WAN distant De la m me fa on il faut enregistrer des routes dans les routeurs R1 R3 et R4 Remarque Il n est pas n cessaire d enregistrer dans R2 une route vers le r seau WAN ni vers le r seau LAN distant en effet R2 les conna t puisque l adresse et le netmask du r seau WAN ainsi que l adresse du r s
26. etic dans le cas o il faut faire communiquer par un r seau IP RS232 RS485 4 Request Response jp Be IP software I or RAW TCP client P RAW TOP client RAW TCP server D RAW TOP server Response f Reguest Request RS232 RS485 RS232 RS485 Response Configuration de la passerelle RAW serveur e Cliquer le menu passerelle puis Transparent Puis raw serveur e Cocher activer la passerelle puis r gler les param tres Param tre Taille du buffer de r ception RS232 485 valeur 1 1024 Fixe la taille maximum en octets d un bloc transmis vers le r seau IP Param tre Timeout fin de trame RS232 485 valeur 10 500 ms Fixe d lai de silence maximum apr s lequel le buffer de caract res re us de la liaison RS232 RS485 est transmis vers le r seau IP Param tre Timeout d inactivit sur socket TCP valeur 0 5 mn Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de caract res re us du r seau IP ou de la liaison s rie Param tre Num ro du port TCP Saisir le N du port TCP utiliser Attention Si 2 passerelles du m me type sont actives sur les deux ports s rie elles ne peuvent pas utiliser le m me N de port TCP Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 97 MISE EN SERVICE 20 4 Passerelle RAW UDP 20 4 1 Pr sentation Cette passerelle permet de relier un ensem
27. la page diag openvpn Page 102 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 22 2 2 Alarme e mail Un email peut tre transmis Lorsque l entr e TOR du routeur IPL situ e sur le bornier vis change d tat une alarme peut tre envoy e sous forme d un e mail Paragraphe description de l alarme Param tre Activer l alarme par email Si cette case est coch e une alarme par e mail est mise lorsque l entr e TOR N 1 change d tat Param tre Source de l alarme Ce param tre permet de d terminer le ou les changements d tat qui provoquent l alarme Passage l tat ferm de l entr e TOR Passage l tat ouvert de l entr e TOR Passage l tat ferm ou ouvert de l entr e TOR VPN connect ou d connect Choisir la source dans la liste Param tre Destinataire de l alarme Entrer l adresse mail du destinataire du mail Param tre Objet Entrer l objet du mail par exemple Alarme routeur de Grenoble Param tre Texte envoyer Entrer le texte du mail d alarme Paragraphe Serveur SMTP Param tre Utiliser le service M2Me pour envoyer les emails ETIC TELECOM entretient un serveur SMTP mails sortants qui peut tre utilis par les routeurs IPL Ce service permet aux routeurs IPL d envoyer des mails sans configuration sp cifique Cocher cette case pour envoyer des mails sans au
28. le routage LAN vers WAN La politique par d faut prudente consiste interdire le trafic WAN vers LAN et ventuellement LAN vers WAN de cette fa on toute trame qui ne se conforme pas l une des r gles du filtre est bloqu e En effet supposons que la politique par d faut consiste autoriser le trafic WAN vers LAN alors tout flux IP qui ne serait conforme aucune des r gles du filtre principal serait rout e vers le LAN e Tableau de r gles de filtrage Chaque ligne est une r gle de filtrage Chaque r gle d finit une action autoriser ou interdire associ e un flux IP d fini par les diff rents champs de la ligne de r gle Direction LAN vers WAN ou WAN vers LAN protocole TCP UDP IP et port source IP et port destination Voici un exemple de filtre qui autorise deux quipements du r seau WAN 192 168 2 X acc der un quipement particulier du r seau LAN Tout autre flux du WAN vers le LAN est interdit Politique par d faut LAN gt WAN Autoriser WAN gt LAN interdire Direction Action Protocole IP source port source IP destination port dest WAN gt LAN Autoriser any 192 168 2 1 any 192 168 1 12 any WAN gt LAN Autoriser TCP 192 168 2 2 any 192 168 1 12 502 Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 87 MISE EN SERVICE e Fonctionnement Lorsque le firewall re oit une trame I
29. machines de chaque r seau connecter Connexions distantes d crivant les r seaux directement accessibles Routes statiques pour atteindre des r seaux nich s Translation d adresse NAT DNAT port forwarding Protocole automatique d change de table de routage RIP Gestion de nom de domaine DNS et DynDNS VPN IPSec et Open VPN pour la s curit Le router IPL E permet d tablir des tunnels VPN de type IPSec ou Open VPN Il peut se comporter en client ou en serveur VPN La connexion VPN garantit un niveau lev de performance et de s curit Transparence Etabli entre deux routeurs le VPN assure l interconnexion transparente des deux r seaux en sorte que toute machine de l un des r seaux peut communiquer avec une machine de l autre r seau Authentification Le routeur qui tablit le VPN est authentifi par celui qui l accepte et toute autre connexion est rejet e Confidentialit Les donn es sont crypt es On choisira IPSec lorsque le routeur IPL E doit tablir un VPN avec un serveur VPN IPSec d j install On pr f rera OpenVPN lorsque le trafic VPN doit tre rout au travers de routeurs interm diaires pour profiter de la grande souplesse de cette technique Serveur RAS pour PC tablette et smartphone Le routeur IPL E fait galement fonction de serveur d acc s distant permettant un groupe d utilisateurs distants enregistr s dans la liste d utilisateurs d acc der aux mac
30. par d faut Blowfish et MDS Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 79 MISE EN SERVICE 17 1 5 Param trage d une connexion distante de type PPTP Configurer le routeur e S lectionner la case cocher PPTP S lectionner le choix PPTP Configurer la connexion PPTP dans le PC Voir proc dure en annexe 2 17 1 6 Param trage d une connexion distante de type L2TP IPSec S lectionner la case cocher L2TP IPSec Param tres Algorithme de chiffrement et Algorithme de hachage Laisser les valeurs par d faut Blowfish et MDS Param tres Authentification des utilisateurs Si l on choisit la valeur Login mot de passe l authentification est r alis e l aide de ces deux codes uniquement Si l on choisit la valeur certificat num rique le PC distant est authentifi au moyen du certificat enregistr dans le PC distant Note Dans ce cas le nom du certificat du PC de l utilisateur devra tre enregistr dans le routeur IPL dans la fiche de l utilisateur Param tres Valeur cl Saisir la valeur de la cl partag e qui authentifie l utilisateur distant Page 80 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 17 2 Etape 2 Enregistrer les utilisateurs distants autoris s 17 2 1 Pr sentation La liste d utilisateurs du routeur IPL enregistre l identit de chaque utilisateur distant autoris s
31. serveur proxy filtre les connexions sortantes d cocher la case Acc s Internet pas de proxy et saisir les param tres de ce serveur Param tre Serveur proxy Type http ou SOCKSS Adresses et N de port Authentification Login et mot de passe fournir pour s y pr senter ventuellement Attention La cl de produit que l on trouve dans le menu A propos doit tre copi e afin d tre report dans le logiciel M2Medu PC de t l maintenance C est en effet cette cl qui autorise l acc s la machine e Tester la connexion Pour commander la connexion du routeur au service M2Me_Connect cliquer le bouton Connecter maintenant Pour v rifier que la connexion s effectue normalement s lectionner le menu Diagnostic puis Etat r seau puis M2Me Lorsque la connexion aboutit le message Connect s affiche dans le champ Etat ainsi que le N de port et le protocole utilis Etape 2 Param trage du logiciel M2Me_ Secure du PC distant e Ouvrir le logiciel M2Me Secure et saisir l identificateur et le mot de passe de l utilisateur c est celui qui sera ensuite contr l par le routeur pour identifier l utilisateur du PC e Pour cr er la connexion avec le site du routeur cliquer l ic ne Menu puis Nouveau site e S lectionner l onglet G n ral et saisir le nom du site du routeur ce libell n a qu un r le mn moni
32. trage d une connexion distante de type PPTP 80 17 1 6 Param trage d une connexion distante de type L2TP IPSec 80 17 2 Etape 2 Enregistrer les utilisateurs distants autoris s ss 81 17 2 1 Pr sentations Re TR D TR Re En E 81 17 2 2 D finir d s UUHSAEUTS ran e nes and en let astres 82 17 3 Etape 3 D finir les droits d acc s des utilisateurs sesssescescsesoesoesocsocsocescescescese 83 18 PORTAIL SECURISE HTTPS POUR SMARTPHONE TABLETTE OU PC 84 18 1 PT SCRATION rente ue ne ne net enr pentes et nas sente due nude Drde te nes Soseo 0525ta 5500s 84 18 2 Confisuration zssssisniesensmenenssnsrenietinenenmenensennnnnesnsesesitieneientesessense 85 18 3 Acc der au portail HTTPS par l Internet ses 85 19 CONFIGURATION DU PARE FEU esseseesesseseeseesossssoesossessosossossosossoesossosoesossossesosso 86 19 1 Pr sentation du pare feu seescescescescesoesocsocsccsocescescescesoesosscesoeescescescesoesoesoesocesceseese 86 19 2 Filtre P MOPAL ir rh nn trie ni enr ins ten ere ttes es etes see 87 19 2 1 Pr sentation ein nr ain ns riens ins a ES 87 20 CONFIGURATION DES PASSERELLES SERIE 89 20 1 Pr sentation des types de passerelles sesssessescescesosscesocsoescoesccescescescesoesoesoesoessceseese 89 20 2 Passerelle Modbus sine annees intended si tisse nes 91 20 2 1 D fImUons ssh nen sr e aA O EEA ons a AE 91 20 2 2 Choix de la passerelle Client ou de la pa
33. 0 et IPL EW 220 D signation Fonction Op ration D Vert En fonction Rouge Erreur de d marrage grave ou erreur chargement firmware Clignotant rouge lent D marrage Alarme mat rielle Clignotant rouge rapide Chargement du firmware en cours VPN Un VPN au moins est tabli Connexion WiFi Eteint WiFi d sactiv ou WiFi configur en point d acc s Wiki Clignotant lent Connexion en cours lere tape d tection en cours Clignotant rapide Connexion en cours 2 eme tape Echange identifiants et IP Connect Allum fixe avec l ger clignotement en pr sence de data Qualit du li Eteint Pas de signal mesur ou WiFi configur en point d acc s ne 1 Wiki 1 impulsion Insuffisant ou faible 2 impulsions Suffisant 3 impulsions Bon ou tr s bon signal Voyant Ethernet 1 4 Eteint Interface d sactiv ER Eclair avec clignotements tr s brefs Interface actif avec Echange de donn es RS232 Rx Caract res re us de la liaison V24 RS232 vers IPL EE Tx Caract res transmis vers la liaison V24 RS232 depuis IPL Boutons poussoirs borniers Alimentation C1 amp C2 Entr e Sortie TOR C3 et Ethernet C6 C7 Ces l ments sont communs tous les mod les On trouvera le brochage de ces connecteurs au paragraphe relatif au mod le de base IPL E 400 Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 23 INSTALLATION Connecteur RJ45 RS2
34. 09 01 Page 81 MISE EN SERVICE 17 2 2 D finir des utilisateurs e Cliquer sur le bouton Ajouter la fiche utilisateur est affich e 5 C amp h p 192 168 38 191 4433 cgi method get menu amp amp menu true amp amp lang fr Q Accueil V Configuration Interface WAN gt Interface LAN v Acc s distant Liste des utilisateurs Droits d acc s Moyens d acc s v R seau gt Connexions VPN Routage Redondance VRRP Redirection de port NAT avanc DynDNS Qos DiffServ gt S curit b Passerelles s rie b Alarmes gt Syst me gt Diagnostics gt Maintenance propos Case cocher Actif IPL A 400 site gt Accueil gt Configuration gt Acc s distant gt Liste des utilisateurs gt Configuration Utilisateur Enregistrer Annuler Modifications sur la page non enregistr es Actif Nom complet Jane Entreprise ETIC TELECOM Addresse E mail jane etictelecom com Num ro de t l phone 34014575897 Nom d utilisateur jane Mot de passe CPE ETES CTECTE TES Mots de passe identiques Far aumotac osse MSR Pour une s curit maximale choisissez un mot de passe de plus de 8 caract res contenant des lettres majuscules et minuscules des chiffres et des caract res sp ciaux Enregistrer Annuler Retour Elle permet de retirer temporairement un utilisateur de la liste Param tre Nom complet C est le libell qui appara t dans le premier champ de la liste des utilisateu
35. 2 Tableau de correspondance Le tableau de correspondance permet de faire correspondre une adresse d esclave modbus et une adresse IP 20 2 5 Passerelle modbus serveur La passerelle permet la connexion d esclaves modbus sur la liaison Client TCP Modbus Client TCP Modbus ri 1 2 s rie 32 esclaves au maximum peuvent tre connect s au port RS485 Modbus esclaves jusqu 32 Un client TCP modbus adresse une requ te TCP modbus la passerelle La passerelle se comporte en ma tre sur la liaison s rie Elle r p te la requ te sur la liaison s rie l adresse de la requ te mise sur la liaison s rie est e soit l adresse contenue dans le champ d adresse modbus TCP dans ce cas plusieurs esclaves peuvent tre adress s sur la liaison s rie Requ te modbus TCP Requ te modbus A Valeur de l modbus vers l esclave sp cifi sp cifi e dans le champ adresse Ethernet RS232 485 Client TCP Modbus Param tre modbus Modbus esclaves sp cifi e par client modbus TCP Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 93 MISE EN SERVICE e soit une adresse fixe configur e dans la passerelle voir ci dessous dans cas un seul esclave peut tre adress sur la liaison s rie Requ te modbus TCP Requ te modbus Valeur de l modbus vers l esclave d non sp cifi e dans le champ adresse Fi 1m Modbus esclave Client TCP Modbus Ethernet
36. 30 10 60 VDC IPL E 260 IPL EW 260 10 60 VDC IPL E 261 IPL EW 261 10 60 VDC IPL E 220 IPL EW 220 10 30 VDC Puissance 6W T d utilisation 20 C 60 C Humidit 5 95 R seau WiFi Type 2 4 et 5 GHz Connecteur Antenne R SMA femelle Normes de transmission 802 11 a b g n Substances dangereuses Liaison s rie RS232 RS485 1200 115200 kb s parity N E 0O Raw client et serveur Modbus ma tre et esclave Passarela Maana Multicast Telnet Unitelway USB 1 port USB host Client PPP sur l interface USB Ethernet routage IP Ethernet 10 100S f i D tection de d bit 10 ou 100 Mb s et de c ble crois Routeur Connexions distantes Routes statiques RIP V2 Translation d IP source NAT Translation d IP destination DNAT Translation de port Port forwarding Substitution d IP source et destination version B seulement Internet Client ou IP fixe DHCP LAN DHCP client ou serveur ou IP fixe Translation d IP Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 15 PRESENTATION S curit Client ou serveur IPSEC ou TLS SSL 25 VPN simultan s cryptage AES256 ou 3DES Authentification IPSec Cl partag e ou certificat X509 Authentification TLS Certificat X509 Stateful packet inspection 50 r gles Filtrage d adresses IP et des N de port source et destination Tableau d v nements horodat s Serveur d acc s distant RAS Utilisateurs d
37. 32 C11 C12 Raccordement d un quipement DCE Cs f se emdesiemain DC A AE CS ES CERTES sorie Demande pour Connecteur RJ45 RS232 C11 C12 Raccordement d un quipement DCE CD 109 D tection de porteuse o ee e e eo oe peee Sortie Signal fourni par le routeur Entr e Signal fourni par l quipement ext rieur Page 24 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E INSTALLATION Routeur IPL E 260 ou IPL EW 260 option WiFi IPL E 260 IPL EW 260 WiFi RP SMA fem Ethernet Ethernet WAN interface m WAN interface USB USB Poussoir B1_ Poussoir B14 Ethernet Ethernet RS422 4 fis _ RS422 4 fis Poussoir Reset i Poussoir Reset DIP switchs E sur la face arri re sl sur la face arri re Bornier 4 pts Bornier 4 pts 1E TOR 1 S TOR i 1E TOR 1 S TOR Double bornier 2 pts Double bornier 2 pts f Alimentation j Alimentation VOYANTS IPL E 260 et IPL EW 260 D signation Fonction Op ration D Vert En fonction Rouge Erreur de d marrage grave ou erreur chargement firmware Clignotant rouge lent D marrage ou Alarme mat rielle Clignotant rouge rapide Chargement du firmware en cours VPN Un VPN au moins est tabli Connexion WiFi Eteint WiFi d sactiv ou WiFi configur en point d acc s Wiki Clignotant lent Connexion en cours lere tape d tection en cours Clignotant rapide Connexion en cours 2 em
38. 5 IPL E 220 IPL Router L interface RS485 du routeur IPL E 220 n est pas isol e Elle est polaris e par des r sistances de 1 KOhm l int rieur du produit B Si les quipements RS485 sont raccord s une distance sup rieure 10m on aura soin de connecter une r sistance de terminaison de ligne et deux r sistances de RS485 polarisation suivant les r gles de l art A 9 Connexion s rie RS422 isol IPLC 260 L interface RS422 du routeur IPL E 260 est isol e 4 fils Les r sistances de terminaison et de polarisation peuvent tre s lectionn es par des DIP switches La r sistance de terminaison de 120 Ohm doit tre activ e si le routeur est plac l extr mit du bus RS422 Les r sistances de polarisation doivent tre activ es par l un des quipements du bus 16 quipements RS422 peuvent tre raccord s au routeur Si possible on utilisera du c ble torsad par paire et blind L interface RS422 permet de transmettre sur la distance maximum possible pour ce type d interface soit environ 1000 m tres environ au d bit de 9600 b s avec une paire torsad e et un fil de diam tre 0 8 mm Dans le cas ou plus d un quipement est raccord au routeur le routeur IPL E doit tre ma tre sur le bus RS422 ainsi Il ne peut pas y avoir d autres metteurs RS422 raccord s sur la paire d mission TX et TX de l interface IPL Router Si la ligne est expos e l orag
39. 8 191 4433 cgi method get menu amp amp menu true amp amp lang fr Q T mil IPL A 400 site TEREE gt Accueil gt Configuration gt R seau gt Connexions VPN gt OpenVPN Configuration Interface WAN n D Interface LAN e gt Acc s distant Red marrer Les serveurs OpenVPN Red marrer Y R seau Y Connexions VPN Serveurs OpenVPN OpenVPN D finissez les serveurs OpenVPN IPSec I C Atit O Nom Protocole Num ro de port Priorit du serveur Kie C a A e a E a Redondance VRRP Redirection de port Afficher Modifier Supprimer Ajouter Copier et modifier A Y lt gt NAT avanc DynDNS QoS DiffServ Connexions OpenVPN entrantes D S curit D finissez les connexions VPN entrantes gt Passerelles s rie AG Nom O Adresse du r seau LAN distant Alarmes m qe b Syst me Afficher Modifier Supprimer Ajouter Copier et modifier lt gt Diagnostics gt Maintenance Connexions OpenVPN sortantes App D finissez les connexions VPN sortantes Actif w Nom Adresse IP du serveur VPN Num ro de port Afficher Modifier Supprimer Ajouter Copier et modifier gt Enregistrer Annuler I II Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 57 MISE EN SERVICE 13 1 1 Etapes de la configuration Le param trage des connexions VPN s effectue en 2 tapes Etape 1 Configuration du protocole VPN lui m me
40. AT avanc Le routeur IPL offre diff rentes fonction de substitution d adresses IP Ces fonctions consistent remplacer l adresse IP et le port source ou destination de certaines trames IP trait es par le routeur Les possibilit s offertes sont les suivantes 15 1 Translation d adresse NAT Cette fonction s applique aux trames IP issues d un quipement du r seau LAN et destin es au r seau WAN Elle consiste remplacer l adresse IP source celle de l quipement du LAN par l adresse IP WAN du routeur et effectuer l op ration inverse pour les trames de r ponse Cette fonction est utile lorsque les quipements du LAN doivent changer des trames avec l Internet Pour activer la fonction NAT e s lectionner le menu Configuration gt Interface WAN e Cocher la case Activer la translation d adresse NAT 15 2 Redirection par port 15 2 1 Principe La redirection de port consiste transf rer vers une machine d finie du r seau LAN un trafic adress au routeur IPL sur son interface WAN Elle s applique aux trames adress es au routeur IPL sur l interface WAN Le crit re de redirection est le N du port utilis le m canisme consiste utiliser le N de port de destination comme un compl ment d adresse IP Une trame IP adress e sur l interface WAN au routeur IPL sur le port d termin P1 ou un ensemble de ports peut tre redirig e vers un quipement d termin
41. CTION NAT AVANCEE e s lectionner le menu Configuration gt R seau gt Routage gt NAT avanc e GC amp b tp5 192 168 38 191 4 33 cgi method get menu amp amp menu true amp amp lang fr Q IPL A 400 gt Accueil gt Configuration gt R seau gt NAT avanc gt R gle DNAT Accueil Y Configuration Interface WAN Enregistrer Annuler Modi catons sur la page non enregistr es Y Interface LAN Champ adresse IP Ethernet et IP Serveur DHCP Laisser le champ vide pour que la r gle s applique toutes les adresses IP E Saisir une adresse IP seule ex 192 188 0 1 ou une adresse r seau ex 192 168 0 0 24 ou 192 168 0 0 255 255 255 0 Liste des quipements v Acc s distant Liste des utilisateurs ERARpS por Droits d acc s Laisser le champ vide pour que ls r gle s applique tous les ports e vi ur qu u u Moyens d acc s Entrer un num ro sous la forme xx pour d signer un port unique ex 80 pour HTTP v Reseau Entrer un num ro sous la forme xx yy zz pour d signer un groupe de port ex 21 80 pour sp cifier FTP et HTTP gt Connexions VPN Entrer un num ro sous la forme xx yy pour d signer une plage de port ex 80 00 pour d signer tous les ports entre 80 et 90 Routage A Redondance VRRP Champ Nouvelle destination Redirection de port NAT avanc Saisir une adresses P seule ex 192 168 10 1 ou une adresse IP et un port ex 192 168 10 1 8080 Saisir une adresse r seau ex 192 168 10 0 24
42. E EN SERVICE R gles d attribution de l adresse IP de l interface LAN Cas d une connexion distante LAN1 WAN2 LAN2 Le plan d adresses IP du r seau du PC distant d une part et du r seau LAN d autre part doivent tre disjoints IP network Internet Les domaines les adr IP de ces 2 r seaux doivent tre diff rents Cas d un VPN tabli avec un autre routeur LAN1 WAN1 WAN2 LAN2 Le plan d adresses IP du r seau distant d une part VPN et du r seau LAN d autre part doivent tre disjoints gt LA IP network internet Les domaines les adr IP y de ces 2 r seaux doivent tre diff rents 10 2 Menu Ethernet et IP S lectionner le menu Configuration gt Interface LAN gt Ethernet amp IP 10 2 14 Param tres Ports Ethernet Case cocher Activer le mode hub Si cette case est coch e le switch Ethernet devient un hub les trames Ethernet sont diffus es sur tous les ports 10 2 2 Param tres R seau LAN Param tre Adresse IP Saisir l adresse IP attribu e l interface LAN du routeur Param tre Masque de sous r seau netmask Saisir le netmask du r seau LAN Exemple Le netmask d un r seau de 254 stations est 255 255 255 0 Param tre Passerelle par d faut S il un autre routeur est raccord au r seau LAN et si ce routeur est le routeur par d faut du routeur ETIC saisir son adresse Cet
43. En l absence de serveur de secours laisser ce champ vide Param tres Num ro de port et protocole On choisira de pr f rence le protocole UDP plut t que TCP pour une meilleure efficacit Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 61 MISE EN SERVICE Param tres Chiffrement amp Authentification Les algorithmes de cryptage et de hachage propos s sont tous d un haut niveau de s curit par exemple l ancien algorithme DES n est pas propos Toutefois AES offre une meilleure s curit par rapport 3DES de m me que SHA 1 par rapport MDS Param tres lier le VPN une interface sp cifique Une connexion VPN sortante de type Open VPN est habituellement tablie via l interface WAN principale du routeur IPL par exemple l interface Ethernet WAN dans le cas du routeur IPL E Cependant il est possible d attacher chaque connexion VPN sortante une interface particuli re du routeur WAN ou LAN Ethernet ou WiFi par exemple Cette solution est utile dans le cas o l on souhaite cr er deux chemins vers le m me serveur VPN Supposons par exemple que l on souhaite tablir une connexion VPN principale vers un serveur par l interface WAN du routeur IPL E et une autre en secours vers le m me serveur par l interface LAN Dans ce cas il faut cr er une connexion VPN prioritaire attach e l interface WAN et une autre de priorit moi
44. Etape 2 Configuration des connexions VPNs Le routeur qui initie la connexion VPN tablit une connexion sortante vers le routeur serveur VPN qui accepte une connexion entrante Le routeur initie la connexion VPN Le routeur accepte la connexion VPN Pour ce routeur la connexion est sortante Pour ce routeur la connexion est entrante Ce routeur est le client VPN Ce routeur est le serveur VPN 13 1 2 Authentification L extrait du certificat de chaque routeur client VPN doit tre enregistr dans le routeur serveur VPN Lorsqu il initie la connexion VPN le routeur client VPN s authentifie aupr s du serveur en pr sentant son propre certificat 13 1 3 Contraintes de param trage Les param tres de N de port et de protocole de transport UDP ou TCP doivent tre identiques dans le serveur VPN et dans tous les clients Les valeurs des param tres de chiffrement Blowfish AES 256 AES192 AES128 3DES et d authentification MDS SHA1 doivent tre identiques dans le serveur VPN et dans tous les clients Le r seau LAN et le r seau LAN distant doivent tre diff rents Par exemple R seau LAN 192 168 1 0 netmask 255 255 255 0 R seau LAN distant 192 168 2 0 netmask 255 255 255 0 Adr IP du r seau VPN 172 16 0 0 par d faut Adr IP Adr IP Adr IP Adr IP LAN WAN WAN distant LAN distant Routeur en cours de configuration Serveur VPN 13 2 Param trage du serveur OpenVPN e Da
45. IP TE a a Serveur DHCP ooo mw G o asasan norn maea Acc s distant Liste des utilisateurs a none a Droits d acc s Afficher Modifier Supprimer Ajouter Copier et modifier gt j Moyens d acc s R seau gt S curit gt Passerelles s rie Alarmes p Syst me gt Diagnostics gt Maintenance propos X e Cliquer le bouton Ajouter puis s lectionner un utilisateur dans la liste puis luis attribuer un quipement dans la liste pour autoriser l acc s cet quipement Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 83 MISE EN SERVICE 18 Portail s curis HTTPS pour smartphone tablette ou PC 18 1 Pr sentation Le portail s curis est une page web affich e par le routeur lorsqu un utilisateur distant se connecte au routeur au moyen d un simple navigateur en mode s curis HTTPS La page Portail affiche la liste des quipements accessibles l utilisateur selon ses droits d acc s Il suffit de cliquer sur l quipement souhait et les pages web du serveur web embarqu es dans cet quipement s affichent Conjugu e une alarme SMS ou email le portail web est particuli rement adapt la t l exploitation au moyen de smartphone gt C Q 192 168 38 191 4433 f Web Portal 1P 192 168 38 191 Administration HTTPS login Device list Automate transfert 1P 192 168 38 12 Homepage
46. N du serveur Param tre Pousse les routes statiques aux clients VPN Dans ce cas le serveur indique tous les clients VPN qu il faut passer par le VPN pour atteindre les r seaux accessibles par les routes statiques du serveur VPN Param tre Pousse les routes aux clients VPN Cette fonction est utile pour permettre un quipement raccord un client VPN d changer des donn es avec un autre quipement raccord un client VPN client to client Le serveur VPN a connaissance de la route qui m ne chaque r seau raccord chaque routeur client VPN e Sicette case n est pas s lectionn e un quipement raccord un routeur client VPN peut changer des trames IP avec un quipement raccord au serveur VPN Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 59 MISE EN SERVICE Mais il ne peut pas changer des trames IP avec un quipement raccord un autre routeur client VPN Pour que des quipements raccord s deux routeurs clients VPN diff rents puissent changer des trames il faut enregistrer une route statique dans chaque routeur client VPN ou bien cocher la case e Si cette case est s lectionn e le serveur diffuse ces routes vers tous les clients Ainsi tout quipement raccord un routeur client VPN peut changer des trames IP avec tout autre quipement raccord un autre routeur sans qu il soit n cessaire de programmer des routes Par
47. N peuvent tre tablis partir de l interface WAN ou ventuellement de l interface LAN Open VPN seulement Le routeur IPL E route et filtre les trames IP entre ces 2 interfaces Il filtre les adresses source et destination au moyen du firewall Interface WAN du routeur L interface WAN est normalement l interface Ethernet WAN voir figure ci dessous Cependant pour permettre une utilisation plus tendue du routeur l interface Ethernet 10 100 BT peut tre remplac e par l interface WiFi Une seule interface WAN peut tre utilis e la fois Interface LAN du routeur L interface LAN est constitu e de 2 ou 4 prises Ethernet switch es Les quipements de l interface LAN constituent le r seau LAN L interface LAN peut comporter en option 1 ou 2 interfaces s rie RS232 RS485 ou RS422 L interface WiFi peut aussi tre utilis e comme point d acc s dans ce cas l interface WiFi fait partie de l interface LAN Interface WAN Eth 10 100 BT Interface LAN 4 Eth 10 100 BT ou 2 Eth 10 100 BT s rie Page 14 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E PRESENTATION 4 Fiche technique Caract ristiques g n rales S curit lectrique EN 60950 UL 1950 ESD EN61000 4 2 D charge 6 KV Champ HF EN61000 4 8 10V m lt 2 GHz Transitoires EN61000 4 4 Choc EN61000 4 5 4KV line earth 2002 95 CE RoHS IPL E 400 IPL EW 400 10 60 VDC IPL E 230 IPL EW 2
48. OpenVPN vers le routeur IPL sans identificateur mot de passe d utilisateur distant La connexion distante doit intervenir dans un d lai de 10 mn L acc s est limit au serveur de configuration du routeur IPL Bouton poussoir de face arri re Pour restaurer l adresse IP Usine ou la configuration Usine Appui sur BP Voyant O Fonction de face arri re pendant le Clignotement rouge Retour l adresse IP usine 192 168 0 128 fonctionnement La configuration courante reste active Simultan ment Clignotement rouge Retour la configuration Usine avec la mise sous La configuration courante est perdue sauf si elle a t sauvegard e dans tension un fichier Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 19 INSTALLATION Bornier 2 points Alimentation 1 C1 Point 1 l arri re Alimentation prot g e contre l inversion de polarit Broche Sigal Fonction O Bornier 2 points Alimentation 2 C2 Point 1 l arri re Alimentation prot g e contre l inversion de polarit Broche Sigal Fonction O Bornier 4 points Entr e Sortie TOR C3 Point 1 l arri re voir sch ma Connecteur RJ45 Ethernet 1 4 C6 C9 ONE o ONE oo O RSC EE NE E Page 20 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E INSTALLATION Routeur IPL E 220 ou IPL EW 220 option WiFi IPL E 220 IPL EW 220 WiFi RP SMA fem
49. P v hicul e dans le VPN il applique la politique et les r gles du filtre Trafic VPN Lorsque le firewall re oit une trame IP v hicul e hors du VPN il applique la politique et les r gles du filtre Trafic WAN Il v rifie successivement la conformit aux r gles de filtrage Si la trame n est pas conforme la premi re r gle elle est soumise la suivante et ainsi de suite D s qu elle est conforme une r gle du tableau le firewall lui applique l action associ e autoriser ou interdire Si la trame n est conforme aucune r gle la politique par d faut lui est appliqu e autoriser ou interdire Note A la livraison le filtre principal est r gl de la fa on suivante Le trafic v hicul dans les VPN est autoris sans restriction Le trafic v hicul hors des VPNS est limit Le trafic l initiative d un quipement du LAN vers le WAN est autoris Le trafic l initiative d un quipement du WAN vers le LAN est interdit Page 88 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 20 Configuration des passerelles s rie 20 1 Pr sentation des types de passerelles Certains mod les du routeur comportent 1 ou 2 liaisons s rie RS232 RS232 RS485 ou RS422 Une passerelle peut tre affect e chaque liaison s rie Une passerelle s rie permet d utiliser le r seau IP pour faire communiquer des quipements s rie entre eux ou bien avec de
50. SE EN SERVICE 14 Routage 14 1 Fonctions de base Le routeur R2 voir sch ma ci dessous est pr t effectuer sa fonction de routeur entre le r seau LAN et l Internet d s qu on lui a attribu une adresse IP sur l interface LAN ici 192 168 2 128 et une autre sur l Internet et que l on a configur la connexion Internet 192 168 5 128 192 168 4 128 192 168 3 128 192 168 2 128 Internet R seau LAN distant Pour que le routage s effectue Il faut cependant enregistrer dans chaque machine du r seau LAN l adresse LAN du routeur IPL E en tant routeur par d faut Le routeur R2 peut alors router des trames IP entre le r seau LAN et le r seau LAN distant au travers du VPN s il a t d fini par exemple entre la machine RL1 et la machine L1 du sch ma ci dessus En effet par d faut le firewall autorise le transfert entre les deux r seaux si un VPN relie les routeurs Par contre par d faut les paquets IP mis par la machine W1 depuis l internet sont bloqu s par le firewall Page 64 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 14 2 Route statique Apr s avoir configur ses adresses LAN et WAN et d fini la connexion VPN le routeur R2 voir sch ma ci dessus peut router les trames entre le r seau LAN et le WAN et inversement ainsi qu entre le LAN et le r seau Remote LAN et inversement au travers du VPN Mais il ne peut pas router des trames
51. T ses 105 MENU DIAGNOSTIC sense 105 2 1 JOURNAUX OSE TETT TEET 105 2 2 Etat des passerelles s rie eeseesoesoesoesocsoceocescescescesoesocsoesccsocescescescesoesoesocscesscescescesoe 105 2 3 Outils K PINS sssresssrssnssssnrssssssen sen ca ssr aoet ooe vasos ssor o auso sens se sen ososi sse esa srie se 105 2 4 Outil Scanner WiFi wrisvissriiiciiscassrsvsrrsseaceersatassesdnioasassras ike oneas seana k isikia k irean sa 105 SAUVEGARDE ET CHARGEMENT D UN FICHIER DE PARAMETRES 107 MISE A JOUR DU FIRMWARE esesseessocssocessesssocesocesoocesocesoocesocesocesoosesoeessosesosesoe 108 Option M2Me_Connect Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E PRESENTATION 1 D claration de conformit Identification Routeur amp firewall amp serveur RAS R f rence IPL E Au nom de la soci t ETIC Telecom Gilles B nas agissant en tant que directeur de la qualit d clare que le produit ci dessus est conforme la directive R amp TTE Directive 1999 5 EC Le produit routeur est en particulier conforme aux normes suivantes Compatibilit EN 55022 EN 50024 EN 300386 2 FCC Part 15 S curit EN 60950 UL IEC950 Substance dangereuses 2002 95 CE RoHS Date 4 F vrier 2015 Gilles B nas Responsable de la qualit Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 7 PRESENTATION 2 Identification des produits La pr sente notice d crit la mise en ser
52. affiche Pour enregistrer la configuration courante dans la m moire du routeur e Face au champ Nom de la configuration attribuer un nom pour la configuration et cliquer le bouton Save La configuration s ajoute la liste dans le tableau des configurations sauvegard es Pour charger comme configuration courante l une des configurations de la liste e s lectionner la configuration dans la liste et cliquer charger Pour sauvegarder la configuration courante dans un fichier txt e commencer par enregistrer la configuration courante dans la m moire du routeur comme indiqu pr c demment e puis s lectionner dans la liste la configuration exporter et cliquer le bouton Exporter vers le PC Pour restaurer un fichier de param tres sauvegard e Cliquer le bouton choisissez un fichier puis s lectionner le fichier XXX txt restituer e Modifier ventuellement le nom du fichier et cliquer le bouton Importer la configuration correspondante appara t dans la liste Configurations sauvegard es e S lectionner la configuration dans la liste puis cliquer Charger elle remplace la configuration courante Note Un fichier de configuration ne peut tre restaur que s il a t constitu avec la m me version de firmware Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 107 MAINTENANCE 4 Mise jour du firmware Elle s effectue par la prise Et
53. age Adr IP LAN WAN distant Routeur distant Adr IP LAN distant Adr IP Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 53 MISE EN SERVICE Param tre Authentification Deux choix sont possibles Certificat num rique X509 ou Cl partag e Param tre Connexion S lectionner la valeur Initiateur si la connexion est tablie l initiative du routeur en cours de param trage S lectionner la valeur R pondeur si la connexion est tablie l initiative du routeur distant vers le routeur en cours de param trage Paragraphe authentification Cas du choix Certificat num rique Param tre Mon SubjectAlt name Entrez la valeur du champ SubjectAlt Name du certificat actif du routeur Si l on utilise le certificat enregistr en usine dans le routeur il s agit du champ Email Param tre SubjectAlt name distant Entrez la valeur du champ SubjectAltName du certificat actif du routeur distant Pour les certificats ETIC il s agit du champ Email Paragraphe authentification Cas du choix cl partag e Param tre Cl Saisir la valeur de la cl partag e n cessaire pour l authentification du routeur la cl comme son nom l indique est identique sur les deux routeurs participant au VPN Param tre IKE ID local Nom utilis par le produit pour s identifier pendant la phase 1 Il est n cessaire de le r
54. am tre lere route sp cifique pousser adresse IP et netmask Envoie aux clients les chemins la valeur du param tre via le VPN Param tre 2eme route sp cifique pousser adresse IP et netmask Envoie aux clients les chemins la valeur du param tre via le VPN Page 60 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 13 3 Configurer une connexion OpenVPN sortante La valeur des param tres pr c d s d une doit tre identique dans tous les routeurs du r seau y compris le serveur Une connexion sortante est une connexion VPN tablie l initiative du routeur e Pour cr er une connexion sortante cliquer le bouton Ajouter plac sous le tableau des connexions sortantes IPL A 400 site e C amp b pS 192 168 38 191 4433 cgi method get menu amp amp menu true amp amp lang fr Q kg n s IPL A 400 is gt Accueil gt Configuration gt R seau gt Connexions VPN gt OpenVPN gt Connexions OpenVPN sortantes Y Configuration Enregistrer Annuler Modifiestions sur is page non enregistr es Interface WAN mis interface LAN Actif 2 b Acc s distant YV R seau Y Connexions VPN un OpenVPN Identifiant IPSec Mot de passe gt Routage Redondance VRRP Redirection de port Adresse IP du serveur VPN de backup Indiquez l identifiant et le mot de passe qui seront utilis s pour s authentifier aupr s du routeur distant Adresse IP du serveur
55. anuel d utilisation 9021 109 01 Page 35 MISE EN SERVICE 4 Configuration au moyen d un navigateur en HTTPS Le protocole HTTPS permet de transporter en particulier les pages HTML en authentifiant l utilisateur et en cryptant les donn es 4 1 S lection du mode HTTPS HTTPS est un protocole qui permet d authentifier et crypt e les connexions HTML Pour s lectionner le mode HTTPS Acc der au serveur de configuration au moyen d un navigateur HTML S lectionner le menu Configuration gt S curit gt Droits d administration Saisir le nom d utilisateur et le mot de passe Cocher la case utiliser HTTPS pour la configuration Cocher ventuellement la case Activer l acc s par le WAN Enregistrer 4 2 Configuration en HTTPS e Ouvrir le navigateur et saisir l adresse IP du serveur d administration du routeur e Exemple https 192 168 38 191 4433 e Cliquer sur continuer lorsque le navigateur affiche un message d avertissement e Saisir le nom d utilisateur et le mot de passe qui ont t programm s pour prot ger l acc s au serveur d administration C https 192168 38 191 44 x SN ee C D https 192 168 38 191 4433 A Q Authentification requise Le serveur https 192 168 38 191 4433 requiert un nom d utilisateur et un mot de passe Message du serveur cgi Nom d utilisateur etic Mot de passe Se connecter Annuler La page d accueil du serveur de
56. applique aux trames dont la destination est le routeur IPL E lui m me aussi bien qu aux trames dont la destination est un quipement du r seau reli directement ou non l interface WAN ou l interface LAN On distingue la fonction DNAT qui consiste remplacer l adresse IP et le port de destination la fonction SNAT qui consiste remplacer l adresse IP source Puisque cette fonction consiste modifier les adresses de source et ou de destination des trames IP qui transitent par le routeur il est important de pr ciser si le firewall traite des trames IP dont les adresses ont t d j substitu es ou non L ordre dans lequel s effectue la substitution modifie en effet la mani re de configurer les r gles du filtre principal du firewall Les traitements de substitution s effectuent comme suit Direction WAN vers le LAN WAN DNAT Routeur FIREWALL SNAT gt LAN LAN vers le WAN WAN lt SNAT FIREWALL Routeur DNAT LAN La fonction de substitution d crite ci dessus on dit aussi translation est utile dans des cas tr s particuliers Pour router des trames par un chemin de secours par exemple ou encore pour adapter un r seau ancien un nouveau plan d adresses IP Mapping Page 70 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 15 3 2 Configuration POUR METTRE EN UVRE LA FON
57. ble d quipements s rie ou IP au travers d un r seau IP Les destinataires sont d sign s dans une liste tablie par configuration Cette solution est tr s simple de mise en uvre On d signe chaque correspondant par son adresse IP les donn es RS232 sont envoy es sous forme de trames IP adress es individuellement chaque correspondant enregistr 20 4 2 Configuration S lectionner le menu passerelle puis Transparent puis Raw UDP Cocher activer puis r gler les param tres ci dessous Param tre Taille du buffer de r ception RS232 485 valeur 1 1024 Fixe la taille maximum en octets d un bloc transmis vers le r seau IP Param tre Timeout fin de trame RS232 485 valeur 10 ms 5 sec Fixe d lai de silence maximum apr s lequel le buffer de caract res re us de la liaison RS232 RS485 est transmis vers le r seau IP Param tre Num ro du port UDP Fixe le N du port UDP utiliser permettant de recevoir les donn es d un ou plusieurs quipements sur le r seau Attention Si 2 passerelles du m me type sont actives sur les deux ports s rie elles ne peuvent pas utiliser le m me N de port UDP Param tre Liste de Destinations Transmettre automatiquement les caract res re us de la RS232 RS485 vers les destinations indiqu s pour un quipement ma tre ou client renseigner tous les quipements esclaves Pour un quipement esclave ou s
58. choisit la valeur Login mot de passe l authentification est r alis e l aide de ces deux codes uniquement Si l on choisit la valeur Login mot de passe et certificat num rique la s curit est renforc e Le PC distant est authentifi au moyen du certificat enregistr dans le PC et l utilisateur est identifi au moyen du login et du mot de passe Note dans ce cas le nom du certificat du PC de l utilisateur devra tre enregistr dans le routeur IPL dans la fiche de l utilisateur Param tres Algorithme de chiffrement et Algorithme de hachage Laisser les valeurs par d faut Blowfish et MDS Configuration du logiciel M2Me_Secure du PC Cliquer l ic ne Menu puis Nouveau site La fen tre de param trage du site appara t S lectionner l onglet G n ral saisir le nom du site S lectionner l onglet Connexion cocher la case Ce site est accessible par Internet Dans le champ Nom d h te ou adresse IP saisir l adresse IP permettant d atteindre le routeur S lectionner l onglet Avanc Choisir le protocole UDP ou TCP le N du port et les algorithmes de cryptage et hachage Attention Ces param tres doivent avoir la m me valeur que ceux s lectionn dans le routeur Page 78 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 17 1 4 Param trage d une connexion OpenVPN pour smartphone Il
59. commander la sortie 12 lt V lt 30VDC O O 12 lt V lt 30VDC Page 32 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 1 Etapes de la configuration du routeur Pour configurer le routeur nous conseillons de proc der comme suit Connecter un PC au routeur Configurer la connexion Ethernet WAN Configurer l interface LAN Configurer les VPN avec d autres routeurs Configurer les fonctions de translation d adresse et redirection de port Configurer les passerelles s rie Configurer la connexion d utilisateur distant et la liste des utilisateurs distants Configurer le firewall Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 33 MISE EN SERVICE 2 Introduction en vue de la configuration Premi re configuration La premi re configuration s effectue au moyen d un navigateur HTML et en connectant le PC directement l un des connecteurs Ethernet de l interface LAN du produit Les modifications ult rieures peuvent tre en plus effectu es depuis le r seau LAN ou bien distance si cette possibilit est autoris e Modes de configuration Le routeur se configure par l un des moyens suivants e Au moyen d un navigateur HTML avec le protocole HTTP e Au moyen d un navigateur HTML avec le protocole de s curit HTTPS e En mode commande au moyen d une connexion s curis e SSH Adresse du serveur de configuration Le serveur de configuration se trouve
60. d faut est restitu e Remarque Apr s avoir restaur la configuration Usine du routeur la configuration courante est perdue sauf si elle a t sauvegard e dans un fichier voir paragraphe sauvegarde de la configuration Page 38 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 9 Configuration de l interface WAN 9 1 Principe L interface WAN est l interface vers un r seau distant c est normalement Connecteur Ethernet WAN Cependant pour permettre une utilisation plus tendue du routeur l interface Ethernet WAN peut tre remplac e par l interface WiFi utilis e en client WiFi et pas en point d acc s Lors que l interface WiFi est s lectionn e comme interface WAN il remplace l interface Ethernet WAN En particulier e Le VPN ventuel est tabli travers l interface WiFi au lieu de l interface Ethernet WAN e Les fonctions de redirection de port sont effectu es entre l interface WiFi et l interface LAN e le firewall joue son r le entre l interface WiFi et l interface LAN e les utilisateurs distants sont accueillis sur l interface WiFi On d crit ci dessous successivement la configuration de l interface WAN du routeur lorsque le port Ethernet WAN est s lectionn cas habituel ou lorsqu il est remplac par l interface WiFi 9 2 Configuration de l interface Ethernet WAN L interface WAN normalement s lectionn est l interface Ether
61. dresse IP diff rente mais coh rente avec l adresse IP usine du routeur qui est 192 168 0 128 On utilisera par exemple l adresse 192 168 0 127 pour le PC Etape 2 Connecter le PC au routeur Connecter le PC au routeur Etape 3 Lancer le navigateur HTML Ouvrir le navigateur effacer l historique et saisir l adresse IP du serveur d administration programm e en usine 192 168 0 128 ne pas faire pr c der l adresse de www La page d accueil du serveur d administration s affiche D A la Less R IPL A 400 site x C D 192 168 38 191 8080 cgi method get_menu amp amp menu true amp amp lang fr IPL A 400 site Accueil gt Configuration gt Diagnostics P Maintenance IPL A 400 propos Serveur web d administration a Configuration Voir et modifier la configuration du produit a Diagnostics Statuts journaux et outils de diagnostic du produit a Maintenance Mises jour gestion des fichiers de configurations red marrage propos Affiche diff rentes informations sur le produit Fran ais English Documentation 3 2 Protection de l acc s au serveur d administration L acc s en http au serveur d administration peut tre prot g e S lectionner le menu Configuration S curit puis Droits d administration Saisir le nom d utilisateur et le mot de passe qui prot gent l acc s au serveur d administration Routeur firewall RAS type IPL E M
62. e tape Echange identifiants et IP Connect Allum fixe avec l ger clignotement en pr sence de data Qualit du Il Eteint Pas de signal mesur ou WiFi configur en point d acc s a il vii 1 impulsion Insuffisant ou faible 2 impulsions Suffisant 3 impulsions Bon ou tr s bon signal Voyant Ethernet 1 4 Eteint Interface d sactiv inf rieur Eclair avec clignotements tr s brefs Interface actif avec Echange de donn es RS422 Rx Caract res re us de la liaison V24 RS232 vers IPL Tx Caract res transmis vers la liaison V24 RS232 depuis IPL Boutons poussoirs borniers Alimentation C1 amp C2 Entr e Sortie TOR C3 Ethernet C6 C9 Boutons poussoirs Ces l ments sont communs tous les mod les On trouvera le brochage de ces connecteurs au paragraphe relatif au mod le de base IPL E 400 Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 25 INSTALLATION Bornier 5 points Lire CO R Broche Siaa Fonction k 1 TX Sortie Emission RS422 polarit O 2 TX Sortie Emission RS422 polarit S O Commun RC a Commun 4 RX Entr e R ception RS422 polarit L 5 Rx R ception RS422 polarit Sortie Signal fourni par le routeur Entr e Signal fourni par l quipement ext rieur a EE Signal de r ception RS422 polaris par des r sistances de 470 Ohms Signal de r ception RS422 non polaris Micro switche
63. e l utilisation de para surtenseurs est recommand e Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 31 INSTALLATION 10 Connexion s rie RS485 isol e IPL E 261 L interface s rie RS485 du routeur IPL E 261 est isol e 2 fils 1 commun Les r sistances de terminaison et de polarisation peuvent tre s lectionn es par des DIP switches La r sistance de terminaison de 120 Ohm doit tre activ e si le routeur est plac l extr mit du bus RS485 Les r sistances de polarisation doivent tre activ es par l un des quipements du bus 16 quipements RS485 peuvent tre raccord s au routeur Si possible on utilisera du c ble torsad par paire et blind L interface RS422 permet de transmettre sur la distance maximum possible pour ce type d interface soit environ 1000 m tres environ au d bit de 9600 b s avec une paire torsad e et un fil de diam tre 0 8 mm IPL Router TX Isolati solation RX RX Com Si la ligne est expos e l orage l utilisation de para surtenseurs est recommand e 11 Raccordement des entr es sorties Routeur IPL L entr e tout ou rien permet au routeur d mettre une alarme par e mail ou bien de commander la connexion du routeur Entr e TOR Sortie TOR T Internet Non isol e isol e polaris e Par ailleurs le menu du menu Contr le des E S du routeur d administration permet de visualiser l tat de l entr et de t l
64. e connecter ainsi que ses param tres email et ses droits d acc s aux machines du r seau local d finis dans le firewall Pour acc der la liste d utilisateurs e S lectionner le menu Configuration gt Acc s distant gt Liste d utilisateurs e C amp b pS 192 168 38 191 4433 cgi method get menu amp amp menu true amp amp lang fr IPL A 400 site ionga gt Accueil gt Configuration gt Acc s distant gt Liste des utilisateurs Y Configuration Interface WAN P Interface LAN Liste des certificats autoris s Acc s distant Actif CN autoris s Liste des utilisateurs Afficher Modifier Supprimer Ajouter Copier et modifier A v hisa lia Droits d acc s A Moyens d acc s V R seau Liste des utilisateurs gt Connexions VPN Actif Nom complet Addresse E mail Entreprise Num ro de t l phone P Routage oi rm rmuwgememem ENCTAECON 338738870 Redondance VRRP Of o mem mrnoeweomeom encreecon NAT avanc soi o o OMS OOO Qos DiffServ Afficher Modifier Supprimer Ajouter Copier et modifier A V ERFA S curit m Pare feu Droits d administration Certificats X509 b Passerelles s rie b Alarmes gt Syst me gt Diagnostics gt Maintenance propos Note A la livraison pour des raisons de s curit aucun utilisateur n est enregistr Routeur firewall RAS type IPL E Manuel d utilisation 90211
65. eau LAN distant ont t d clar s au cours de la configuration Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 65 MISE EN SERVICE Pour programmer une route statique e s lectionner le menu Configuration puis Routage puis Route statique puis cliquer Ajouter une route Param tre Nom de la route Entrer un mn monique pour d signer la route Param tres Adresse IP de destination amp netmask Entrer l adresse IP du r seau de destination et le netmask de ce r seau Param tre Passerelle Saisir l adresse IP de la passerelle routeur permettant l acc s ce r seau Param tre Interface Une route peut tre tablie en d signant une passerelle voir ci dessus ou bien une interface Par exemple On peut d signer une route passant par l interface PPoE du port Ethernet N 1 Si une route est tablie en d signant l adresse d une passerelle laisser ce champ vide Param tre Priorit Le param tre de priorit s applique chaque route statique de la m me mani re qu aux liaisons VPNSs Lorsque deux routes m nent au m me r seau de destination le routeur s lectionne la route la plus prioritaire Le degr de priorit est d croissant Une route de de priorit 10 est plus prioritaire qu une route de priorit 20 Remarque Ce champ ne doit pas tre laiss vide en l absence de n cessit de d signer
66. egistr chez le fournisseur par exemple mon_routeur_etictelecom Page 50 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 12 Interconnexion de routeurs au moyen de VPNs IPSec 12 1 Pr sentation Chaque connexion IPSec est un tunnel tabli entre deux routeurs Ce tunnel VPN permet de connecter deux r seaux de fa on s re et transparente Lorsque le tunnel est tabli entre 2 routeurs chaque quipement du premier r seau peut changer des trames IP avec chaque quipement du second 25 connexions VPN IPSec peuvent tre cr es Le fonctionnement de chaque connexion IPSec est r gl individuellement ce qui permet une grande souplesse d utilisation e Authentification L authentification r ciproque des deux routeurs participants la connexion peut tre r alis e au moyen d une cl partag e ou de certificats Utilisation d une cl partag e La cl partag e est comme son nom l indique un code identique enregistr dans les deux routeurs participant la connexion La cl partag e doit tre produite par le routeur initiateur aupr s du routeur r pondeur pour autoriser la connexion Utilisation de certificats Un certificat X509 est enregistr en usine dans le routeur Il est produit par l autorit de certification enregistr e par ETIC TELECOM Si n cessaire il est possible d enregistrer d autres types de certificat dans le routeur voir paragraphe e
67. ements TCP modbus serveur s lectionner le menu passerelle Modbus client 20 2 3 Affectation d une passerelle modbus un port s rie La passerelle modbus client respectivement serveur peut tre affect e au port s rie COM1 ou au port s rie COM2 Si l on veut affecter la passerelle s rie Modbus client respectivement modbus serveur aux ports COM1 et COM la fois deux num ros de ports TCP diff rents doivent tre param tr s La passerelle modbus client peut tre affect e un port s rie COMI par ex tandis que la passerelle Modbus serveur est affect e l autre port s rie COM2 par ex Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 91 MISE EN SERVICE 20 2 4 Passerelle modbus client La passerelle modbus client permet la connexion d un ma tre serveur TCP Modbus serveur TCP Modbus modbus sur la liaison s rie 1 2 Plusieurs serveurs TCP modbus peuvent tre adress s sur le r seau iP Ethernet Client TCP Modbus D autres esclaves peuvent tre connect s la liaison s rie Modbus esclave RS485 Modbus ma tre Modbus esclaves jusqu 31 Principe de la passerelle modbus Client Pour adresser un serveur TCP modbus sur le r seau IP on configure une table de correspondance entre une modbus esclave et une IP ainsi lorsque le ma tre modbus transmet une requ te destination de l esclave d modbus A le tableau de correspondance permet de t
68. emplir si on utilise une cl partag e et dans le cas o un des routeurs IPL est lui m me plac derri re un autre routeur qui translate les adresses source fonction NAT Param tre IKE ID distant Nom utilis par le produit pour identifier son pair pendant la phase 1 Il est n cessaire de le remplir si on utilise une cl partag e et dans le cas o un des routeurs IPI est lui m me plac derri re un autre routeur qui translate les adresses source fonction NAT Paragraphe R seau Param tres Adresse du r seau LAN distant et Netmask distant Saisir l adresse et le netmask du r seau distant exemple 192 168 2 0 et 255 255 255 0 Param tres Adresse WAN distant uniquement si le routeur est initiateur du VPN Saisir l adresse WAN du routeur distant Remarque Cette adresse est l adresse du routeur vers lequel le VPN doit tre tablie Elle ne doit tre saisie que si la connexion est de type initiateur Paragraphe IKE phase 1 IKE est le protocole d change de cl s Il se d roule en deux phases La phase 1 de IKE est la phase d tablissement d un canal de s curit La phase 2 est la phase de n gociation des param tres de cryptage des donn es chang es par les routeurs Ce paragraphe permet de choisir les param tres de la phase 1 Param tre Mode Les modes Main et Agressive sont propos s Le mode Agressive est un mode moins s curis
69. en effet en cas d interruption du VPN il d termine le d lai qu attend le routeur avant de le relancer pendant toute cette dur e la communication entre les routeurs sera donc impossible Prenons un exemple Si on fixe ce param tre 15 minutes et en cas d interruption de la connexion pour une raison quelconque la communication sera impossible pendant 15 minutes maximum en moyenne la moiti soit 7 mn 30 Si on fixe la valeur 1 mn le temps d interruption ne sera que de 1 mn au maximum mais l envoi p riodique du paquet de contr le peut engendrer un trafic co teux ou g nant sur un r seau 4G ou 3G Param tre D lai de retransmission C est le d lai au bout duquel le routeur r met le paquet de contr le en l absence d acquittement Param tres Chiffrement amp Authentification Les algorithmes de cryptage et de hachage propos s sont tous d un haut niveau de s curit par exemple l ancien algorithme DES n est pas propos Toutefois AES offre une meilleure s curit par rapport 3DES de m me que SHA 1 par rapport MD5 Param tre Priorit du serveur C est le d lai au bout duquel le routeur r met le paquet de contr le en l absence d acquittement Param tre Pousse la route locale aux clients VPN Laisser cette case coch e Dans ce cas le serveur indique tous les clients VPN qu il faut passer par le VPN pour atteindre le r seau LA
70. en service la connexion distante des utilisateurs il faut successivement effectuer les tapes suivantes e Etape 1 Configurer la communication distante PPTP ou TLS e Etape 2 Enregistrer les utilisateurs autoris s dans la liste d utilisateurs e Etape 3 D finir les droits d acc s de chaque utilisateur Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 75 MISE EN SERVICE 17 1 Etape 1 Configuration de la connexion distante 17 1 1 Avantages de la connexion distante Une connexion distante tablie depuis un PC une tablette ou un smartphone procure les avantages suivants e Identification des utilisateurs distants L utilisateur distant est identifi au moyen d un identificateur et d un mot de passe ou bien encore d un certificat L utilisateur n est autoris que s il a t enregistr dans la liste d utilisateurs e Connexion transparente S 1l y est autoris par ses droits d acc s l utilisateur peut acc der chaque quipement du r seau distant e Attribution automatique d une adresse IP du r seau Le PC de l utilisateur distant est t l port sur le r seau local Une fois identifi son PC re oit automatiquement une adresse IP du r seau local Aucune intervention n est n cessaire dans le PC de l utilisateur distant e Cryptage des changes Les connexions distantes permettent de crypter les changes pour assurer la confidentialit Page 76 Man
71. eneienetisneneniionreredeneinimnteenneeientients 29 4 VENTILATION Sen dei re ni rer a ut 29 5 MISE A LA TERRE nes smnmneinanmimnamomniiinmane 30 6 CONNEXIONS RJ45 ETHERNET 10 100 ssssesenseenseenseenseenseence 30 7 CONNEXION A L INTERFACE RS232 IPL E 220 OU IPL E 230 se 30 8 CONNEXION A L INTERFACE RS485 IPL E 220 sseseessenseesseense 31 9 CONNEXION SERIE RS422 ISOLE IPLC 260 sssseseenseenseenseenseence 31 10 CONNEXION SERIE RS485 ISOLEE IPL E 261 seseesesseenseenseence 32 11 RACCORDEMENT DES ENTREES SORTIES sssseseesensensensessesseses 32 Page 2 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E SOMMAIRE MISE EN SERVICE 1 ETAPES DE LA CONFIGURATION DU ROUTEUR ssssssssssssesososososososososoenesee 33 2 INTRODUCTION EN VUE DE LA CONFIGURATION sssssssssesssessesesee 34 3 CONFIGURATION AU MOYEN D UN NAVIGATEUR EN HTTP ss 35 3 1 Premi re configuration ssessseseesceescescesoesoesocecceocescescescescesossoesocsscescescesoesoesoesocesceseese 35 3 2 Protection de l acc s au serveur d administration eoessoooossoooessooosssooosssoossssooees 35 4 CONFIGURATION AU MOYEN D UN NAVIGATEUR EN HTTPS ss 36 4 1 S lection du mode HTTPS eooessoooossoooesssooesssoossssooessoosessoossssoossssoossssoosessooessososssso 36 4 2 Configuration en HTTPS sescsosccsesoocsooesooessoessocssocssocssooscoossooecosesosesosesosesosesssesssess 36 5 CONFIGURATION EN SSH eeeeeseeeeesesesssosesesosososese
72. ent un message de pr sence au moyen de l adresse multicast 224 0 0 18 avec un num ro de protocole IP 112 A d faut de recevoir le message un nouveau routeur ma tre est lu Le routeur IPL g re ce protocole aussi bien sur l interface LAN 16 2 Configuration Param tres Activer VRRP sur l interface LAN Cocher cette case pour activer VRRP sur l interface LAN Param tres Identit VRRP 1 255 Affecter un code d identit au groupe de routeurs entre 1 et 255 Tous les routeurs du m me groupe doivent poss der le m me code Deux groupes diff rents ne peuvent poss der le m me code Param tres Adresse IP virtuelle Enregistrer l adresse IP virtuelle commune tous les routeurs du groupe Tous les routeurs agissant en redondance doivent poss der la m me adresse IP virtuelle Param tres Indice de priorit VRRP 1 255 Affecter un indice de priorit au routeur entre 1 et 255 L indice le plus lev d signe le routeur le plus prioritaire Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 73 MISE EN SERVICE Param tres adresse MAC virtuelle On peut associer une adresse MAC virtuelle l adresse IP virtuelle De cette mani re lorsqu un quipement du r seau transmet une requ te ARP le ma tre du groupe VRRP r pond toujours avec la m me adresse MAC L adresse MAC utilis e est une adresse pr vue cet effet 00 00 5E 00 01 XX le dernie
73. er tous les produits fabriqu s par ETIC TELECOM et connect s un r seau Ethernet le logiciel affiche l adresse IP attribu e chacun d entre eux Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 37 MISE EN SERVICE 8 Retour la configuration Usine Il peut tre n cessaire de restaurer la configuration Usine par exemple si l acc s au serveur d administration n est plus possible la suite d une erreur dans la programmation du firewall ou bien pour d autres raisons Il est possible de de restituer la configuration Usine au moyen du bouton poussoir de la face arri re ou bien en utilisant le serveur d administration Pour restituer la configuration Usine au moyen du bouton poussoir de la face arri re du routeur e Mettre le routeur hors tension e Retirer le routeur de son rail DIN e Appuyer sur le poussoir de la face arri re avec une pointe de tournevis par exemple e Mettre sous en tension tout en maintenant le poussoir enfonc Le voyant Service passe au rouge le routeur s initialise et la configuration Usine est restitu e Pour restituer la configuration Usine au moyen du serveur d administration e S lectionner le menu Maintenance puis le menu Gestion des configurations e S lectionner la configuration Factorydefault puis cliquer le bouton charger Le voyant Operations passe au rouge le routeur s initialise et la configuration par
74. ertains ports pour des raisons de s curit Valeur Observation Auto n gociation Le switch n gocie le d bit et le mode de fonctionnement du port Ethernet 100 M full duplex 10 M full duplex 100 M half duplex 10 M half duplex D sactiv Le fonctionnement du port Ethernet est d sactiv Param tre Serveur DNS primaire Saisir l adresse P du serveur DNS principal Param tre Serveur DNS secondaire Saisir l adresse P du serveur DNS secondaire Case cocher Activer proxy ARP Proxy Arp permet au routeur de simuler sur son interface LAN le comportement d un quipement situ sur son interface WAN afin que les trames IP puissent effectivement tre rout es du LAN vers le WAN Cette fonction peut tre n cessaire par exemple lorsque des quipements poss dant une adresse IP du domaine du LAN sont connect s l interface WAN Cette fonction n est pas n cessaire habituellement Param tre Adresse IP additionnelle et Masque de sous r seau additionnel _ Il est possible d attribuer une seconde adresse IP l interface LAN du routeur Dans ce cas le routeur appartient aux deux r seaux IP Case cocher D sactiver ICMP redirect ICMP est un protocole de m me niveau que IP Il permet aux quipements de g rer les erreurs survenant sur le r seau ICMP redirect est un des messages de ICMP Lorsque plusieurs routeurs sont
75. erveur renseigner l quipement ma tre Un quipement est d fini par une adresse IP et un port V rifier que le port correspond au champ Num ro du port UDP configur dans la passerelle Raw UDP de l quipement distant Page 98 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 20 5 Passerelle Unitelway La passerelle Unitelway permet de connecter un automate s rie serveur TCP Unitelway serveur TCP Unitelway ma tre unitelway un r seau IP 1 2 Elle permet en particulier de r aliser la fonction de t l maintenance d automates Schneider Electric RS485 via un A i r seau IP Ethemet Client TCP Unitelway Unitelway esclave RS485 Unitelway ma re Unitelway esclaves jusqu 31 e Cliquer le menu Unitelway e Cocher activer la passerelle D signer l adresse Xway de l automate ma tre et celle des automates esclaves ventuellement raccord s l interface RS485 Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 99 MISE EN SERVICE 21 Passerelle USB Attention L interface USB ne peut pas tre utilis la fois pour la connexion d un modem 3G USB fonction de secours et pour la fonction de passerelle USB 21 1 Principe Elle permet un ou plusieurs quipements du r seau Ethernet d changer des donn es avec un quipement interface USB connect au routeur IPL Sur l interface USB le routeur IPL se compor
76. es adresses de cette plage ne doivent donc pas tre attribu es aux quipements du r seau local Exemple D signation Adresse IP Observations R seau LAN 192 168 12 0 Les adr des quipements du r seau vont de 192 168 12 1 192 168 12 254 Netmask 255 255 255 0 Interface LAN Routeur ETIC 192 168 12 1 L adr IP du routeur ETIC sur le r seau LAN est 192 168 12 1 D but de plage utilisateurs 192 168 12 2 2 utilisateurs distants pourront se connecter simultan ment au r seau LAN distants L un recevra l adresse 192 168 12 2 et l autre 192 168 12 3 Fin de plage utilisateurs 192 168 12 3 Ces 2 adresses ne peuvent pas tre attribu es d autres quipements du r seau distants EAN Adresses disponibles pour les 192 168 12 4 quipements du r seau local 192 168 12 254 Nom des quipements raccord s au r seau LAN Il est possible d attribuer un nom chaque quipement ou groupe d quipements connect s l interface LAN Ce nom permet ensuite de d finir els droits d acc s des utilisateurs distants Interface WiFi optionnelle L interface WiFi optionnelle vient compl ter l interface LAN lorsqu elle est configur e en Point d acc s Les quipements qui se connectent en Wifi appartiennent au r seau LAN En particulier les adresses IP de ces quipements font partie du domaine IP du r seau LAN Page 42 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MIS
77. est possible de distinguer l acc s VPN destin aux PC voir paragraphe pr c dent de l acc s destin aux smartphones Cette connexion est de type identique la connexion Open VPN du paragraphe pr c dent mais on la distingue par le N de port de destination e S lectionner la case cocher OpenVPN pour smartphone Param tres Num ro de port et protocoles Choisir le protocole de transport du VPN UDP ou TCP UDP est pr f rable TCP Le N de port peut tre quelconque mais la valeur doit tre choisie parmi celles qui sont autoris s sur le r seau du client Attention Le num ro de port utilis pour l interconnexion de routeurs par VPN doit tre diff rent du N de port utilis pour les connexions d utilisateurs distants TLS Param tres Authentification des utilisateurs Si l on choisit la valeur Login mot de passe l authentification est r alis e l aide de ces deux codes uniquement Si l on choisit la valeur Login mot de passe et certificat num rique la s curit est renforc e Le PC distant est authentifi au moyen du certificat enregistr dans le PC et l utilisateur est identifi au moyen du login et du mot de passe Note dans ce cas le nom du certificat du PC de l utilisateur devra tre enregistr dans le routeur IPL dans la fiche de l utilisateur Param tres Algorithme de chiffrement et Algorithme de hachage Laisser les valeurs
78. eur firewall RAS type IPL E MISE EN SERVICE e Le filtre de d ni de Service Le filtre de d ni de service DoS prot ge les quipements de l interface LAN contre les attaques par saturation pouvant provenir de l interface WAN Ping de la mort SYN flood Ce filtre est pr d fini et n est pas configurable par l utilisateur Il toujours op rationnel sur l interface WAN 19 2 Filtre principal 19 2 1 Pr sentation e Organisation Le filtre principal comporte deux parties La premi re partie est intitul e R gles pour le trafic WAN Elle a pour but de d finir le filtrage apporter aux trames IP non transport es dans un VPN Elle d finit la politique par d faut et le tableau de r gles de filtrage Chaque ligne du tableau est une r gle de filtrage qui autorise ou interdit un type de trames IP La seconde partie est intitul e R gles pour le trafic VPN Elle a pour but de d finir le filtrage apporter aux trames IP transport es dans un VPN Elle a la m me forme que la premi re partie e Politique par d faut C est l action qui sera appliqu e une trame qui n est conforme aucune r gles du tableau On consid re s par ment les deux directions de trafic car on peut souhaiter que la d cision prise soit diff rente selon qu un paquet provient du LAN ou du WAN On peut souhaiter par exemple que la politique par d faut interdise le routage WAN vers LAN mais autorise
79. giciel M2Me_Secure son PC tablit automatiquement une connexion s curis e vers le service M2Me Connect Il s authentifie sur le service De son c t le routeur fait de m me d s qu il est sous tension Une fois connect s au service et apr s authentification r ciproque le PC et le routeur tablissent un VPN de bout en bout Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 109 ANNEXE 1 2 Param trage d une connexion au service M2Me_Connect Pour param trer la connexion au service M2Me_Connect il suffit de param trer le VPN tabli depuis le routeur vers le service M2Me_Connect ainsi que le VPN tabli depuis le PC vers le service M2Me_ Connect Chacun de ces VPN peut tre support soit par le protocole UDP soit par le protocole TCP L utilisation du protocole UDP plut t que TCP est recommand e Etape 1 Param trage du routeur e S lectionner le menu Configuration gt Acc s distant gt M2Me_ Connect Param tre Activer Cocher la case pour activer la connexion au service M2Me_Connect Param tres Port TCP et param tres Port UDP Cocher tous les ports UDP ou TCP que le routeur peut tester afin de tenter d tablir la connexion vers le service M2Me_Connect Si un port UDP ou TCP unique a t autoris cocher la case correspondante ou bien saisir la valeur de ce N de port TCP ou UDP Note L utilisation du protocole UDP est pr f rable TCP e Si un
80. hernet ou bien distance Apr s la mise jour le produit utilise le fichier de param trage initialement enregistr Si la mise jour est effectu e distance on v rifiera que la nouvelle version de firmware peut utiliser le fichier initial Pour effectuer la mise jour du logiciel e s lectionner les menus Maintenance gt Mise jour du logiciel e s lectionner le fichier du nouveau firmware e Cliquer le bouton Mettre jour maintenant Page 108 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E ANNEXE 1 M2Me_Connect pour la prise en main de machine distance Le service M2e Connect est une option du routeur IPL qu il faut commander s par ment R f rence de l option M2Me_ pack initial 1 Pr sentation Principe Il arrive fr quemment que la connexion entre le PC et le routeur sur l Internet ne soit pas possible parce que ni le PC ni le routeur ne disposent d adresses IP publiques ou bien faute de pouvoir r gler le routeur d entreprise ou bien faute d autorisation Le service M2Me_Connect permet de r soudre la difficult Gr ce M2Me_Connect le PC se connecte la machine pour une op ration de maintenance par exemple m me si ni le PC ni le routeur ne poss dent d adresse publique Fonctionnement L utilisateur du PC enregistre dans son logiciel M2Me_ Secure le nom du certificat d authentification du routeur IPL Lorsque l utilisateur ouvre son lo
81. hines du r seau avec des droits maf tris s De plus le portail HTTPS accueille les utilisateurs de PC tablettes et smartphones en mode HTTPS pour les rediriger en s curit vers les serveurs HTTPS ou HTML que leur identit autorise Firewall Le routeur IPL E dispose d un firewall SPI qui inspecte les paquets en permanence Il permet de rejeter les tentatives de connexions non authentifi es sur l Internet Il permet galement d attribuer des droits ma ftris s IP et N de port de destination autoris s aux trames IP re ues au travers d un tunnel VPN Redondance VRRP en cas de panne du routeur En cas de panne le routeur IPL E peut se d clarer en stand by en sorte qu un autre routeur prenne le relais avec un fonctionnement identique Interface WiFi optionnel point d acc s ou client Le routeur IPL E peut tre quip d une interface WiFi 2 4 et 5GHz L interface WiFi peut fonctionner comme point d acc s pour permettre le raccordement de clients WiFi automate quip d une interface WiFi tablette Webcam ou bien en client WiFi SNMP Le routeur IPL E est agent SNMP il r pond la MIB2 standard et transmet un trap SNMP lorsque des v nements param trables surviennent Page 12 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E PRESENTATION DNS Le syst me DNS permet au routeur IPL E d tablir une connexion avec un autre routeur m me si l un l autre ou
82. istants Liste de 25 utilisateurs S curis e par VPN PPTP L2TP IPSec TLS Open VPN Connexion Contr le de Login et mot de passe Contr le de certificat X509 Compatible du logiciel client VPN M2Me_Secure Compatible du service de m diation M2Me_Connect Email au moyen d i entr e num rique Redondance et secours de liaison Redondance en cas de panne du VRRP et OSPF permettent de placer deux routeurs en backup l un de l autre routeur Liaison de secours Par modem 3G externe Page 16 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E INSTALLATION 1 Description du produit 1 1 Dimensions 48mm X 116 mm Axe du rail DIN 35 mm 68 mm 137 mm Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 17 INSTALLATION Routeur IPL E 400 ou IPL EW 400 option WiFi IPL E 400 IPL EW 400 WiFi RP SMA fem Ethernet Ethernet WAN interface WAN interface USB VERTE Poussoir B1 USB See Poussoir B1 Ethernet Ethernet Re Poussoir Reset Poussoir Reset sur la face arri re nr nur sur la face arri re Bornier 4 pts 1E TOR 1 S TOR Double bornier 2 pts 1 Alimentation Bornier 4 pts 1E TOR 1 S TOR Double bornier 2 pts Alimentation tata Bornier 2 pts alimentation A Bornier 2 pts alimentation Bornier 4 pts 1E TOR 1 STOR Page 18 Manuel d utilisation 9021109 01 Routeur firewall RAS type
83. les changes entre un r seau Usine et un r seau Machine Syst me de t l contr le Le routeur IPL E permet d interconnecter des quipements industriels au moyen de l Internet avec un niveau lev de s curit et confidentialit Pour la t l maintenance ou la t l exploitation un op rateur peut se connecter distance l un quelconque des quipements du syst me au moyen d un PC d une tablette ou d un smartphone Ses droits peuvent tre limit s en fonction de son identit Serveur d acc s distant pour la t l exploitation Un op rateur peut se connecter distance l un quelconque des quipements du syst me au moyen d un PC d une tablette ou d un smartphone Ses droits peuvent tre limit s en fonction de son identit Filtrage des changes Firewall Le routeur IPL E plac entre deux r seaux concourt la s curit de la machine Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Ci Ci IPL E Serveur VPN PC tablette smartphone IPL C routeur cellulaire IPL EW routeur WiFi IPL E routeur E mail SMS ot eD PC tablette smartphone R seau Usine Intranet Internet Filtrage des changes Page 11 PRESENTATION 3 2 Fonctions du routeur Routage Le routeur IPL E offre une large gamme de solutions de routage qui peuvent tre mises en uvre selon le besoin pour assurer la communication entre les
84. les deux routeurs ne poss dent pas une adresse IP connue Le principe du DNS consiste d signer un routeur destinataire d une connexion par un nom de domaine par exemple etictelecom est un nom de domaine plut t que par son adresse IP Serveur DHCP Sur l interface LAN le routeur IPL E peut se comporter en serveur DHCP Emails sms Un email enregistr dans le routeur peut tre transmis lorsque l entr e tout ou rien se ferme ou s ouvre Cet email peut tre transform en SMS si l adresse mail du destinataire a t attribu e un num ro de t l phone mobile Configuration HTML TTPS SSH Le routeur IPL E se configure au moyen d un navigateur HTML ou HTTPS EticFinder Le logiciel ETICFinder livr avec le routeur il permet de d tecter simplement tous les produits de marque ETIC connect s un segment Ethernet pour afficher leur adresse MAC ainsi que l adresse IP qui leur est attribu e sur le r seau Passerelle s rie Certaines r f rences du routeur poss dent une passerelle s rie RS232 ou RS485 ou RS422 ou USB La passerelle fonctionne suivant l un des modes suivants Raw TCP client ou serveur Raw UDP Telnet Modbus ma tre ou esclave Unitelway Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 13 PRESENTATION 3 3 Interfaces du routeur Le routeur IPL E pr sente une interface WAN et une interface LAN Le firewall est plac entre ces deux interfaces Les VP
85. met de configurer l interface WiFi lorsqu il est utilis en point d acc s Pour configurer l interface WiFi en point d acc s e S lectionner le menu Configuration gt Interface LAN gt Point d acc s WiFi e Cocher la case Activer le point d acc s WiFi Param tre Nom de r seau WiFi SSID Saisir un libell libre qui d signe le r seau WiFi Param tre Cl partag e WPA Saisir la cl WPA du r seau elle doit comporter au moins 8 caract res Remarque Cette cl doit galement tre saisie dans les quipements WiFi raccord s au point d acc s Param tre Code Pays l interface WiFi du routeur IPL peut tre utilis dans diff rents pays Cependant les canaux WiFi autoris s peuvent tre diff rents d un pays un autre C est pour cette raison qu il est imp ratif d indiquer le pays dans lequel est utilis le routeur Saisir le code du pays selon la syntaxe de l annexe 2 Param tre Mode Les canaux radio fr quences utilis s associ s la technologie de transmission forment les modes de fonctionnement du r seau WiFi Trois modes de fonctionnement sont propos s Mode 802 11a 5 GHz OFDM Mode 802 11 b 2 4 GHz DSSS Mode 802 11 g 2 4 GHz OFDM Remarque Le mode choisi doit galement tre attribu au client WiFi Case cocher Activer 802 11n haut d bit Le mode 802 1 1n permet de transmettre un d bit plus lev jusqu 200
86. modifie l adresse IP de destination et ventuellement le N de port puis route la trame vers le r seau LAN Port destination Redirection Service Device Service 102 192 168 0 15 102 502 192 168 0 16 502 80 192 168 0 17 80 Note Les trames IP redirig es sont transf r es directement l quipement choisi sans passer par le filtre principal du firewall 15 2 2 Configuration Pour programmer une r gle de redirection de port e S lectionner le menu Configuration gt R seau Routage et Redirection de port Saisir les caract ristiques des trames qui doivent tre redirig es N de port de destination protocole de transport TCP UDP adresse IP source optionnelle Saisir les caract ristiques des trames modifi es Adresse IP et N de port de destination et protocole de transport TCP UDP Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 69 MISE EN SERVICE 15 3 Substitution g n ralis e d adresses IP NAT avanc 15 3 1 Principe La fonction de substitution d adresses IP consiste modifier les adresses de source et ou de destination ainsi que le N de port des trames IP qui transitent par le routeur Elle s applique toute trame IP re ue par le routeur aussi bien sur son interface LAN que sur son interface WAN hormis aux trames v hicul es dans une connexion d utilisateur distant PPTP ou TLS Elle s
87. ndre attach e l interface LAN e Pour cr er une connexion VPN unique s lectionner la valeur Tous e Si l on souhaite attacher la connexion VPN une interface par exemple pour le secours s lectionner l interface dans la liste Case cocher D marrer sur v nement Le VPN est habituellement tabli par le routeur d s la mise sous tension Cependant il peut tre int ressant de pouvoir commander l tablissement du VPN Il est possible de d clencher l tablissement du VPN sur l un des v nements suivants WAN Ethernet connect WAN Ethernet d connect WAN Ethernet connect WAN Ethernet d connect Entr e digitale ferm e Entr e digitale ouverte Case cocher Envoyer une alarme sur connexion d connexion Ce VPN g n re un v nement qui peut tre trait dans la page web alarmes sms email lorsque on choisit comme source d alerte connexion d connexion VPN Page 62 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 13 4 Configurer une connexion OpenVPN entrante Une connexion sortante est une connexion VPN tablie l initiative du routeur e Pour cr er une connexion entrante cliquer le bouton Ajouter plac sous le tableau des connexions entrantes IPL A 400 site x C x h pS 192 168 38 191 4433 cgi method Etic Telecom Industrial n x Etic Administration x t menu amp amp menu tr amp lang fr
88. ne connexion d utilisateur distant de type OpenVPN d un tunnel OpenVPN tabli entre routeurs le routeur d tecte le N de port Si le N de port d tect est le N d clar pour une connexion d utilisateurs distants le filtre des connexion d utilisateurs s appliquera et pas le filtre principal Notes On veillera donc choisir un N de port diff rent pour les connexions Open VPN d Utilisateur distant et les connexions OpenVPN entre routeurs La fonction dite de redirection de port qui renvoie le trafic destin au routeur sur l interface WAN Internet vers une adresse IP particuli re de l interface LAN sur le crit re de N de port n est pas soumise au filtre principal e Les filtres d Utilisateur distant Ils permettent d autoriser ou d interdire l acc s chaque quipement connect l interface LAN en fonction de l identit de l utilisateur distant Login et mot de passe et ventuellement certificat lorsqu il se connecte au moyen de la connexion distante PPTP Open VPN ou L2TP IPSec Par exemple on peut attribuer l utilisateur de login admin et de mot de passe admin un filtre bloquant toutes les trames issues de son PC sauf celle qui sont adress es un quipement particulier de l interface LAN Note La configuration de ce filtre est r alis e dans le menu Configuration gt Acc s distant gt Droits d acc s Page 86 Manuel d utilisation 9021 109 01 Rout
89. net e S lectionner le menu Configuration gt Interface WAN Case cocher Type de WAN Choisir la valeur Ethernet pour d signer le port Ethernet N 1 comme interface WAN Paragraphe Configuration du WAN Ethernet Param tre Speed Duplex CS lectioner 10 ou 100 Mb s et full ou half duplex Paragraphe Configuration IP du WAN Ethernet Case cocher Activer S lectionner la case cocher Case cocher PPPoE PPPoE assure l tablissement d une connexion PPP point to point protocol entre le port Ethernet N 1 du routeur IPL et un fournisseur de service FAT sur l internet via un modem connect au port Ethernet du routeur IPL Cette solution permet l interface Ethernet du routeur IPL de recevoir une adresse IP publique de l Internet ce qui peut tre utile lorsque l on utilise IPSec par exemple ou que l on souhaite mettre en uvre des fonctions de redirection de port Ne pas s lectionner cette case sauf dans le cas tr s particulier d crit ci dessus Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 39 MISE EN SERVICE Ethernet Ethernet et PPPoE Param tre priorit du WAN Ethernet valeur 0 100 g o Saisir la valeur 10 Param tres PPP login et mot de passe PPP o Saisir l identificateur et le mot de passe du compte Internet Case cocher Obtenir une adresse IP automatiquement
90. nregistrement de certificats Le certificat peut tre utilis pour l authentification r ciproque des routeurs Dans ce cas le routeur initiateur de la connexion pr sente son certificat au routeur r pondeur R ciproquement le routeur r pondeur s authentifie aupr s de l initiateur Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 51 MISE EN SERVICE e Utilisation de IPSec lorsque l adr IP source est modifi e le long du trajet NAT ou adresse IP dynamique Pour garantir l authenticit de l initiateur du tunnel chacun des deux routeurs du tunnel IPSec v rifie si l adresse IP source n a pas t modifi e au cours du cheminement dans le r seau Pour cette raison IPSec n cessite un param trage particulier lorsque le routeur initiateur ou r pondeur est install de telle sorte que les trames IP franchissent des n uds routeurs interm diaires dans le trajet qui modifient l adresse IP source C est ce que font par exemple les routeurs d entreprise l interface avec l Internet Pour pallier cette difficult deux solutions sont possibles Solution 1 Utiliser des certificats et pas un cl paratg e Solution 2 Si l on utilise une cl partag e il faut d une part attribuer un code d identit chaque routeur IKE ID Ce code identifie chaque routeur IPSec aupr s de l autre routeur Il faut donc saisir dans chaque routeur le param tre IKE ID du routeu
91. ns le tableau Serveur VPN s lectionner le bouton Ajouter Page 58 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE Param tres Num ro de port et protocole On choisira de pr f rence le protocole UDP plut t que TCP pour une meilleure efficacit Attention Le num ro de port utilis pour l interconnexion de routeurs par VPN doit tre diff rent du N de port utilis pour les connexions d utilisateurs distants Param tres Adresse r seau VPN et masque r seau VPN Le tunnel VPN une fois tabli est quivalent une liaison par c ble Ethernet Chaque extr mit du tunnel doit avoir une adresse IP Il s agit d une adresse IP appartenant un r seau priv et n cessaire pour le fonctionnement du tunnel mais non visible pour les applications Cette adresse IP ne doit pas tre confondue avec l adresse IP du routeur sur le r seau IP Cette valeur est utilis e seulement lors de la configuration d un n ud entrant Param tre d lai de d tection de perte de connexion En l absence de donn es mettre le VPN est entretenu p riodiquement par le routeur client au moyen d un paquet de contr le transmis vers le serveur A l issue de cette p riode et en l absence de r ception de ce paquet le VPN est coup Ce param tre fixe la p riode d envoi du paquet de contr le Remarque Ce param tre doit tre fix avec attention
92. nsmis vers la liaison V24 RS232 depuis IPL Boutons poussoirs borniers Alimentation C1 amp C2 Entr e Sortie TOR C3 et Ethernet C6 C7 Ces l ments sont communs tous les mod les On trouvera le brochage de ces connecteurs au paragraphe 4 1 Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 21 INSTALLATION Bornier 2 points RS485 C10 RS485 polarit A Do o 2 B RS485 polarit B Connecteur RJ45 RS232 C11 C12 Raccordement d un quipement DCE Broche Signal Sens Fonction Brochage de Pembase RJAS SG 102 ooo Terre de signalisation 3 7 DSR 107 Poste de donn es pr t Connecteur RJ45 RS232 C11 C12 Raccordement d un quipement DCE Poe f Semn f Ses OO Fonton f Procase ae Temes RS RL S Sortie Signal fourni par le routeur Entr e Signal fourni par l quipement ext rieur Page 22 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E INSTALLATION Routeur IPL E 230 ou IPL EW 230 option WiFi IPL E 230 IPL EW 230 WiFi RP SMA fem Ethernet Ethernet WAN interface WAN interface gf USB uss Poussoir B1 Poussoir B1_ Ethernet Ethernet RS232 RS232 Poussoir Reset Poussoir Reset RS2S2 sur la face arri re RSS sur la face arri re Bornier 4 pts Bornier 4 pts 1E TOR 1 S TOR 1E TOR 1 S TOR Double bomier 2 pts y Double bornier 2 pts Alimentation Alimentation VOYANTS IPL E 22
93. o Cocher cette case si l adresse IP de la ligne est attribu e par l op rateur travers la ligne Autrement d cocher cette case et saisir l adresse IP attribu e au routeur ETIC ainsi que celle du serveur distant Case cocher Obtenir les adresses des serveurs DNS automatiquement o Cd Cocher cette case si l adresse des serveurs DNS est attribu e par l op rateur travers la ligne Autrement d cocher cette case et saisir l adresse IP des serveurs DNS primaires et secondaires Case cocher Translation d adresse NAT d d Cocher cette case pour que le routeur ETIC substitue son adresse IP publique l adresse IP source de l quipement du r seau LAN lors d une transaction vers l Internet Case cocher Activer le Proxy Arp e J Cette fonction permet de rendre l quipement distant BRAS broadband remote access server accessible depuis le LAN Laisser cette case d sactiv e sauf sur demande de la hotline Page 40 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 9 3 Configuration de l interface WAN WiFi L interface WAN normalement s lectionn est l interface Ethernet WAN dont la configuration a t d crite au paragraphe pr c dent Cependant il peut tre utile d utiliser l interface WiFi en remplacement Dans ce cas l interface WiFi du routeur IPL est un client WiFi et pas un point d acc s
94. outer lee IPL A 400 site Accueil Configuration Interface WAN gt Interface LAN b Acc s distant Y R seau Y Connexions VPN OpenVPN IPSec P Routage Redondance VRRP Redirection de port NAT avanc DynDNS Qos DiffServ b S curit b Passerelles s rie gt Alarmes gt Syst me Diagnostics Maintenance propos Param tres avanc s Nom connexion1 Indiquez la m thode d authentification utilis e pour les connexions IPSec ATTENTION Si le produit est situ demi re un routeur qui effectue de la translation d adresse ou redirection de port DNAT et que vous souhaitez configurer le produit en connexion entrante alors vous devez obligatoirement choisir une authentification par certificat num rique Authentification par Ci pr partag e Y Selectionner le type de connexion entrante ou sortante que vous souhaitez configurer Connexion IKE authentification Initiateur Y Attention la cl pr partag e est globale pour le produit Elle est donc identique celle des connexions utilisateurs utilisant L2TP IPSec Vous pouvez laisser ce champ vide et d finir des cl s diff rentes pour chaque connexion Dans ce cas les cl s sont d finies dans la page de configuration des connexions distantes Valeur cl IKE ID local IKE ID distant R seau Mots de passe identiques Saisir les informations concemant le r seau distant Adresse du r seau LAN distant Mas
95. parent Puis raw client e Cocher activer la passerelle Param tre Taille du buffer de r ception RS232 485 valeur 1 1024 Fixe la taille maximum en octets d un bloc transmis vers le r seau IP Param tre Timeout fin de trame RS232 485 valeur 10 500 ms Fixe d lai de silence maximum apr s lequel le buffer de caract res re us de la liaison RS232 RS485 est transmis vers le r seau IP Param tre Timeout d inactivit sur socket TCP valeur 0 5 mn Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de caract res re us du r seau IP ou de la liaison s rie Param tre Num ro du port TCP Fixe le N du port TCP utiliser Attention Si 2 passerelles du m me type sont actives sur les deux ports s rie elles ne peuvent pas utiliser le m me N de port TCP Param tre Adresse IP du serveur Raw TCP Fixe l adresse IP laquelle sont transmis les caract res re us de la RS232 RS485 c est l adresse du serveur RAW Page 96 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 20 3 2 Passerelle RAW serveur Elle permet de raccorder des quipements esclaves sur la liaison RS232 RS485 L quipement de la liaison s rie peut ainsi communiquer avec un PC Client RAW TCP La passerelle RAW serveur peut en particulier tre utilis e avec profit en association avec le logiciel Be IP d
96. pour un mappage 1 1 DynDNS Laisser le champ vide ou saisir 0 0 0 0 pour ne pas effectuer de translation Null NAT Qos DiffServ gt S curit Active b Passerelles s rie gt Alarmes Trame modifier gt Syst me gt Diagnostics Adresse IP source gt Maintenance Adresse IP destination propos Protocole Tous Y Translation Nouvelle adresse IP destination Enregistrer Annuler Retour Pour cr er une r gle de substitution d adresse de destination DNAT e cliquer sur le bouton Ajouter une r gle La fen tre de cr ation s affiche e S lectionner Oui pour rendre la r gle active e Saisir les crit res de substitution Adr IP source Adr IP destination Protocole TCP UDP Port source Port destination e Saisir la nouvelle destination des trames r pondant aux crit res d crits ci dessus Adr IP et port de destination Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 71 MISE EN SERVICE Pour cr er une r gle de substitution d adresse source SNAT e cliquer sur le bouton Ajouter La fen tre de cr ation d une r gle SNAT s affiche e gt C E b pf 192 168 38 191 33 cgi method get_menu amp amp menu true amp amp lang fr IPL A 400 gt Accueil gt Configuration gt R seau gt NAT avanc gt R gle SNAT Accueil Y Configuration Enregistrer Annuler Modi catons sur ls page non enregistr es Interface WAN
97. pr sents sur l interface LAN et qu un quipement fait appel tort au routeur IPL pour router les trames IP vers un autre r seau ICMP redirect permet au routeur IPL de transmettre cet quipement la route adapt e c est dire l adresse IP d un autre routeur du r seau LAN Page 44 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 45 MISE EN SERVICE 10 3 Menu Serveur DHCP La fonction serveur DHCP permet de r server une plage d adresses IP du domaine du r seau LAN Les adresses de cette plage sont automatiquement attribu es aux quipements du r seau LAN configur s en client DHCP lorsqu ils en font la demande Les adresses ext rieures cette plage peuvent tre attribu es de mani re fixe aux autres quipements du r seau Remarque Lorsque le routeur est quip de l option WiFi et qu il est configur en point d acc s afin de permettre la connexion d quipements WiFi tels qu un PC une tablette ou un smartphone il est conseill de s lectionner la fonction serveur DHCP sur l interface LAN en effet de nombreux quipements de ce type ne fonctionnent que lorsqu un serveur DHCP attribue les adresses IP e S lectionner le menu Configuration gt Interface LAN gt Serveur DHCP Case cocher Activer le serveur Si cette case est coch e le routeur se comporte en serve
98. que e S lectionner l onglet Connexion cocher les cases Ce site est accessible par Internet et Ce site est visible travers le service M2Me Page 110 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E ANNEXE 1 e Saisir le code appel Product key on le trouve dans le menu A propos du routeur Il s agit du r sum du certificat d authentification enregistr dans le routeur en usine il permet au PC de s adresser au routeur lorsque l un et l autre sont connect s au service M2Me_Connect Le mot de passe doit tre gard secret par chaque utilisateur il n appara t jamais en clair Param tre e mail Il sera utilis par le routeur soit pour transmettre un e mail d alarme la suite du passage en d faut de l entr e TOR soit lorsque l utilisateur souhaite se connecter par l Internet dans ce cas l adresse IP publique du routeur peut lui tre transmise par e mail Param tre Filtre pare feu Un filtre est un ensemble de r gles de s curit limitant l acc s aux machines et services raccord es derri re le routeur Un filtre peut tre appliqu pour un ou plusieurs utilisateurs ce qui permet de diff rencier les droits d acc s aux machines en fonction de qui se connecte Par d faut rien n est filtr Param tre Certificat Ce param tre n appara t que si l on a choisi un VPN L2TP IPSec ou TLS SSL avec authentification pa
99. que du r seau LAN distant Adresse IP WAN distante IKE Phase1 Mode Algorithme de cryptage Algorithme d authentification Groupe DH Life time IKE Phase 2 192 168 2 0 255 255 255 0 79 94 12 163 Main mode M AES 256 v SHA1 Y Groupe 2 v Sheures Y Indiquez le protocole utilis pour les connexion IPSec ESP est conseill avec le protocole AH il n y a pas de chiffrement mais seulement de lauthentification Protocole Algorithme de cryptage Algorithme d authentification Utilisation de la PFS Perfect Forward Secrecy PFS Groupe DH Life time DPD Timeout ESP v AES 128 v SHA1 Y modifier cette valeur seulement pour certains cas d interop rabilit La Groupe 2 Y Bheures vV La d tection DPD Dead Peer Detection permet de d tecter un homologue mort et en cas de d tection de supprimer les sssocistions de s cunt IKE et IPSec de cet homologue P riodicit des messages DPD keepalive D lai de d tection de perte de connexion Lier le VPN au WAN D marrer sur venement D marrer seulement lorsque Enregistrer Annuler Retour Ws Y 2 minutes Y WAN ADSL Y L cran d une nouvelle connexion VPN IPSec s affiche WAN ADSL connect 7 S lectionner la case cocher Activer et ventuellement Param tres avanc s Attribuer un nom la connexion Les diff rentes adresses IP auxquelles il est fait r f rence sont d crites ci dessous Routeur en cours de param tr
100. r param tre IKE ID local et le param tre IKE ID du routeur distant param tre IKE ID distant et d autre part s lectionner le mode Agressive mode paragraphe IKE phase 1 dans la page de param trage IPSec 12 2 Param trage d une connexion VPN IPSec e S lectionner le menu Configuration puis R seau puis Connexions VPN L cran des connexions VPN s affiche e C amp h pS 192 168 38 191 4433 cgi method get menu amp amp menu true amp amp lang fr QD IPL A 400 site Accueil gt Accueil gt Configuration gt R seau gt Connexions VPN gt IPSec Y Configuration gt He Param tres IPSec Acc s distant Y R seau Y Connexions VPN Connexions IPSec OpenVPN IPSec Routage Redondance VRRP Redirection de port NAT avanc DynDNS Afficher Modifier Supprimer Ajouter Copier et modifier A V Qos DiffServ gt S curit gt Passerelles s rie Enregistrer Annuler Alarmes Syst me Diagnostics gt Maintenance Actif l D finissez les r seaux auquels vous voulez avoir acc s Adresse du r seau LAN distant Adresse IP WAN distante 192 168 2 0 79 94 12 163 192 168 3 0 Nom Connexion connexion 1 Initiateur Connexion 2 Repondeur Page 52 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE Pour ajouter une connexion VPN IPSec cliquer Aj
101. r Certificat num rique Il d crit les champs du certificat qui doivent tre contr l s par le routeur Certificate Data Version 3 0x2 Serial Number 191 0xbf Signature Algorithm sha1WithRSAEncryption Issuer C FR ST Isere L Meylan O ETIC Telecommunications OU Security CN ETIC_Telecom_CA emailAddress Security etictelecom com Validity Not Before Nov 22 14 46 58 2007 GMT Not After Nov 14 14 46 58 2037 GMT Subject C FR ST Isere L Meylan O ETIC Telecommunications OU Security CN b4b4d3c9 b200 4869 8637 edb3d421d55a emailAddress b4b4d3c9 b200 4869 8637 edb3d421d55a etictelecom com Subject Public Key Info Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 111 T E L 0 M ETIC TELECOM 13 chemin du vieux Ch ne 38240 Meylan France contact etictelecom com
102. r TCP MODBUS qui lui r pondra Le client est l quivalant d un ma tre Modbus mais plusieurs clients peuvent poser des questions au m me serveur Un serveur TCP MODBUS est un quipement connect au r seau IP et capable de r pondre une requ te Modbus pos e par un autre quipement du r seau appel client TCP MODBUS Le serveur est l quivalant d un esclave Modbus mais un serveur peut r pondre plusieurs clients Un ma tre Modbus est un quipement connect la liaison s rie RS232 ou RS485 et capable de poser une requ te Modbus un autre quipement du r seau appel esclave MODBUS Un esclave Modbus est un quipement connect la liaison s rie RS232 ou RS485 et capable de poser une question Modbus un autre quipement du r seau qui est appel esclave MODBUS Adresse Modbus Elle code entre 0 et 255 le destinataire d une requ te modbus adress e un serveur modbus r seau IP ou un esclave modbus liaison s rie Attention Ne pas confondre adresse modbus et adresse IP Pour plus de concision le mot adresse est souvent remplac par le signe dans la suite du texte 20 2 2 Choix de la passerelle Client ou de la passerelle Serveur e Pour connecter des quipements s rie esclaves modbus un ou plusieurs quipements TCP modbus client s lectionner le menu passerelle Modbus serveur e Pour connecter un quipement s rie ma tre modbus un ou plusieurs quip
103. r octet tant le num ro du groupe VRRP cod en hexad cimal Page 74 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 17 Service d acc s s curis d utilisateurs distants RAS Le routeur IPL E permet aux utilisateurs distants de se connecter une machine simplement et avec un niveau de s curit lev en tablissant une connexion distante pour r aliser les op rations de t l exploitation ou t l maintenance par exemple Une fois identifi l utilisateur distant peut acc der aux diff rents quipements du r seau comme s il tait sur place Les donn es peuvent tre chiffr es pour la confidentialit Le routeur IPL E permet d attribuer chaque utilisateur des droits d acc s individualis s Un utilisateur peut acc der tel quipement ou groupe d quipements tandis qu un autre peut acc der d autres quipements La fonction portail est destin e la consultation des pages web d automates ou de HMI elle permet l utilisateur d un smartphone ou d une tablette ou d un PC de consulter les serveurs web embarqu s en procurant un niveau de s curit adapt aux applications industrielles La connexion distante permet l authentification et la confientialit IP network Internet PC tablette smartphone Le routeur filtre l utilisateur distant route les paquets pr sente le portail HTTPS ou HTTP Pour mettre
104. r pour faciliter l coulement de la chaleur Pour d monter le produit du rail Din 35 mm e Pousser l g rement vers le bas e D gager le produit vers lavant Le lt 1 2 gt 3 Alimentation Le produit est pourvu de 2 entr es d alimentation permettant la connexion de deux sources d alimentation pouvant agir en secours l une de l autre En cas de d faillance d une source l autre prend le relais IPL E 400 IPL EW 400 IPL E 230 IPL EW 230 IPL E 260 IPL EW 260 IPL E 261 IPL EW 261 Tension minimum 9 V continu Tension maximum 60 V continu IPL E 220 IPL EW 220 Tension minimum 9 V continu Tension maximum 30 V continu La consommation est de 7W 4 Ventilation Le produit est con u pour tre fix sur un rail DIN 35 mm Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 29 INSTALLATION Pour viter tout chauffement en particulier lorsque la temp rature ambiante peut s lever dans l armoire lectrique on veillera m nager un espace de 1 cm de chaque c t du produit pour faciliter l coulement de la chaleur 5 Mise la terre Le bo tier est m tallique on veillera relier la cosse de mise la terre du bo tier situ e sur sa face inf rieure une terre de protection efficace 6 Connexions RJ45 Ethernet 10 100 Les interfaces Ethernet sont reconnaissance automatique du d bit 10 ou 100 Mb s et de c
105. ransmettre cette requ te l IP correspondant l A De plus le champ adresse modbus de la trame modbus TCP prend la valeur A Le tableau de correspondance peut comporter 32 lignes permettant ainsi un ma tre modbus d adresser 32 serveurs sur le r seau IP Requ te modbus Requ te modbus TCP vers l esclave vers le serveur d modbus A d IP IPO Modbus RS232 485 Ethernet serveur Modbus ma re IP IPO Tableau de comespondance entre modbus et IP Configuration de la passerelle modbus Client e S lectionner le menu Passerelle IP RS puis cliquer le menu Modbus puis Modbus client e Cocher activer la passerelle Param tre S lection du port Choisir la liaison s rie 1 ou 2 du routeur Bouton COM Permet de configurer les param tres d bit et format de la liaison s rie Param tre Protocole Modbus S lectionner RTU hexad cimal ou ASCII selon le besoin Param tre Temps inter caract res Fixe le temps maximum admissible entre caract res des r ponses de l esclave modbus Page 92 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE Param tre Timeout d inactivit sur TCP Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de requ tes modbus re ues du r seau IP Param tre Num ro du port TCP Fixe le N du port TCP utiliser Le N de port modbus par d faut est 50
106. roisement de circuits Pour connecter directement un PC au routeur par exemple la mise en service utiliser un cordon Ethernet standard crois ou non Le voyant inf rieur de chaque connecteur RJ45 indique que le r seau Ethernet est correctement connect Le l ger clignotement indique la pr sence d change de donn es 7 Connexion l interface RS232 IPL E 220 ou IPL E 230 Le routeur IPL C 230 dispose de deux interfaces s rie RS232 Les produits IPL C 220 dispose d une interface s rie RS232 et d une interface RS485 Ces interfaces permettent le raccordement d un quipement asynchrone automate afin de pouvoir y acc der depuis le r seau local ou distance Liaison RS232 La liaison RS232 permet de raccorder indiff remment un quipement DTE terminal ou DCE modem Selon le type d quipement raccorder utiliser l un des c bles suivants commander s par ment C bles RS232 R f rence Connecteur Fonction CAB592 SubD 9 pts male Raccordement d un DCE CAB593 SubD 9 pts femelle Raccordement d un DTE CAB609 Raccordement d un DTE ou DCE selon c blage Longueur maximale du c ble RS232 L quipement raccord l interface RS232 ne doit pas tre loign de plus d une dizaine de m tres et le c ble de raccordement doit de pr f rence tre blind Page 30 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E INSTALLATION 8 Connexion l interface RS48
107. rotocole RP rend rs ensstenene itensteritensne donne dass se neno notes seems ess tete van eee 67 15 SUBSTITUTION D ADRESSES NAT REDIRECTION DE PORT NAT AVANCE 68 15 1 Translation d adresse NAT sssssoosoeesssessoooooeesessooooseesssssooooosessssoooossesssssoooooseesessso 68 15 2 Redirection pat Ports ei ernssrinnssssenss eee sens ensesesnse tete nest oionn 68 15 2 1 PTIN IPR sh RSR NN A nee ti nets tent E tie lee tisser 68 15 2 2 Config ration ness nee tenir te nt tee set een et ren 69 15 3 Substitution g n ralis e d adresses IP NAT avanc sesseescesceseescesoesossoesccescesee 70 15 3 1 Principes Lien ts then Meta fitness te td Annie 70 15 3 2 Configuration ss enculer E E A ETSE 71 16 REDONDANCE VRRP Sn ne nd nS Stas O PONSO ES SSeS saiia 73 16 1 PFINCIP E TR T T T E E E EARS 73 16 2 Config rati h s isssrosissccsosreit usses serssirsoss nos aod ru sesia r Sois sios osa Eoso se siai aae ste s esse S 73 Page 4 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E SOMMAIRE MISE EN SERVICE 17 SERVICE D ACCES SECURISE D UTILISATEURS DISTANTS RAS sesse 75 17 1 Etape 1 Configuration de la connexion distante 76 17 1 1 Avantages de la connexion distante 76 17 1 2 Types de connexions distantes renne nara r aea 77 17 1 3 Param trage d une connexion distante de type Open VPN ssseserseeeeeererereree 78 17 1 4 Param trage d une connexion OpenVPN pour smartphone 79 17 1 5 Param
108. rs autoris s Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal Param tres Email et N de t l phone L adresse mail permet l mission d un email d alarme Remarque le champ N de t l phone est r serv pour des usages ult rieurs Param tres Nom d utilisateur et mot de passe Ce sont deux codes diff rents attribu s chaque utilisateur Lorsqu il se connecte distance il doit saisir ces deux codes dans les champs correspondants de la fen tre de CONNEXION DISTANTE Page 82 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 17 3 Etape 3 D finir les droits d acc s des utilisateurs Il est possible de d finir les quipements auxquels chaque utilisateur peut acc der Au pr alable il faut d finir la liste des machines du r seau qui sont accessibles distance voir menu Interface LAN gt Liste des quipements Pour d finir les droits d acc s d un utilisateur e S lectionner le menu Configuration gt Droits d acc s le tableau des droits s affiche C b pS 192 168 38 191 4433 c mms IPL A 400 site gi method get_menu amp amp menu true amp amp lang fr Q ES gt Accueil gt Configuration gt Acc s distant gt Droits d acc s Configuration Interface WAN Y Interface LAN Autorisations d acc s des utilisateurs distants Ethernet et
109. s quipements IP Communication entre quipements interface s rie Communication avec une application sur PC Application pour port COM p windows pr vue initialement pour dialoguer par la liaison LO9iciel d mulation de port s rie s rie ii Le logiciel d mulation de port COM Be IP est une passerelle software qui permet d utiliser sur un r seau IP un logiciel d application con u initialement pour communiquer sur une liaison s rie e Communication avec application sur PC capable d empaqueter un protocole s rie dans UDP ou TCP TCP connection modbus TCP par exemple modbus TCP or RAW TCP Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 89 MISE EN SERVICE Pour r aliser les fonctions d crites ci dessus et s adapter aux diff rentes situations qu il est possible de rencontrer diff rents types de passerelles sont propos es 1 type Passerelle Modbus Ce type de passerelle permet de raccorder la liaison s rie un quipement modbus ma tre ou bien des quipements modbus esclaves ou bien les deux pour les faire communiquer avec d autres quipements modbus TCP ou modbus asynchrones connect s au r seau IP 2eme type Passerelle transparente point point Cette passerelle est appel e RAW client ou RAW serveur elle permet de relier un quipement s rie un autre quipement s rie utilisant le m me type de passerelle travers le r seau IP 3eme type
110. s RS422 EE R sistance 120 Ohm de terminaison de ligne r ception en service oF OFF R sistance 120 Ohm de terminaison de ligne r ception hors service Page 26 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E INSTALLATION Routeur IPL E 261 ou IPL EW 261 option WiFi IPL E 261 IPL EW 261 WiFi RP SMA fem Ethernet Ethernet WAN interface WAN interface EC USB USB g i Poussoir B1 Poussoir B1 a Ethernet Ethernet RS422 als RS485 2fis he 0 Poussoir Reset Poussoir Reset DIP switche sur la face arri re Meen g sur la face arri re Bornier 4 pts Bornier 4 pts 1 E TOR 1 S TOR A 1E TOR 1 S TOR Double bornier 2 pts 7 Double bornier 2 pts li Alimentation j4 Alimentation VOYANTS IPL E 261 et IPL EW 261 D signation Fonction Op ration Vert En fonction Rouge Erreur de d marrage grave ou erreur chargement firmware Clignotant rouge lent D marrage Alarme mat rielle Clignotant rouge rapide Chargement du firmware en cours VPN Un VPN au moins est tabli Connexion WiFi Eteint WiFi d sactiv ou WiFi configur en point d acc s Wiki Clignotant lent Connexion en cours lere tape d tection en cours Clignotant rapide Connexion en cours 2 eme tape Echange identifiants et IP Connect Allum fixe avec l ger clignotement en pr sence de data Qualit du Il Eteint Pas de signal mesur ou WiFi configur en point d
111. sosesesososesesosososesesesesesesesesesesoe 37 6 MODIFICATION DE LA CONFIGURATION A DISTANCE sssssssssssssssssssssssso 37 7 RESTITUER L IP USINE ET L ACCES LIBRE A L ADMINISTRATION 37 8 RETOUR A LA CONFIGURATION USINE ssssssssssssesososososososososocosococesee 38 9 CONFIGURATION DE L INTERFACE WAN eseseseseeesececcceeccocosocesesssesosesesesesoe 39 9 1 PrinciPesssssieiosesiseosisineesiseissssesosieesrtossssoross senstie us siseons sodros a see ni e riens rest e detre ses seae de 39 9 2 Configuration de l interface WAN Ethernet 39 9 3 Configuration de l interface WAN WiFi sssssssssessesseenseenseenseessensenseee 41 10 INTERFACE LAN iii site titine tenons ta dt s dtec sed oos eSEE 41 10 1 Principes de configuration esesesosesocesoessscssoesescssocesocesocssocsesosesosesosesosesosesosesosesosssoe 41 10 2 Menu Ethernet et IP An in a in os eoie 43 10 2 1 Param tres Ports Ethernet iii eee 43 10 2 2 Param tres R seau LAN e nssseseeesessssrseereessssessccosssssescceosssesscceersseseestessseseee 43 10 2 3 Parametres k ACces distant scume naa nn ne en Aa nr ee ne 43 10 2 4 Param tres Param tres avanc s iii eee eeeeesensee 44 10 3 Menu Serveur DHCP eesessssssooooeessssssoooosesssssoooooeesessooooooeesessoooooesesessoooosesesessosoosesse 46 10 4 Menu Liste des quipements ssesssssesscsscescescescesosscesocsoceocescescescssoesocsoesscsscesceseese 47 10 5 Menu Point d
112. sse MAC du point d acc s N du canal Niveau de r ception Le scanner est utile afin de choisir un N de canal non utilis lorsque l on souhaite configurer le canal en point d acc s R ciproquement il facilite la configuration de l interface WiFi du routeur lorsque l interface WiFi doit tre utilis e en client Remarque le scanner Wifi ne peut fonctionner que si l interface WiFi est d clar e comme client WiFi et pas comme point d acc s WiFi Pour d clarer l Interface WiFi comme client WiFi afin d utiliser le Scanner e Dans le menu Configuration gt WAN s lectionner WiFi dans la liste e Dans le menu Configuration gt LAN gt Point d acc s WiFi d cocher la case Activer le point d acc s WiFi Page 106 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MAINTENANCE 3 Sauvegarde et chargement d un fichier de param tres Une fois un produit configur il est possible d enregistrer la configuration dans la m moire du routeur ou de la sauvegarder sous forme d un fichier ditable R ciproquement il est possible de charger une configuration parmi l ensemble des configurations enregistr es dans la m moire du produit ou bien de restaurer un fichier de configuration sauvegard dans un PC e S lectionner les menus Maintenance gt Gestion des configurations Le tableau qui enregistre la liste des configurations enregistr es dans la m moire du routeur s
113. sserelle Serveur 91 20 2 3 Affectation d une passerelle modbus un port s rie 91 20 2 4 Pass rell modbus chent narioen ere a AA 92 20 2 5 Pass r ll Mmodbus serveur e egne eeen aean Ne E a iE EEEE 93 20 3 Passerelle TCP RAW nine rennes men es 96 20 3 1 Passerelle TCP RAW client ss 96 20 3 2 Passerelle RAW serveur a E o E E a 97 20 4 Passerelle RAW UD Pins nent inerte tient oi s seS 98 20 4 1 Pr sentation dnar a a state ti tes neleees de do 98 20 4 2 Configurations sms ne Rte pe TR S ne Pr 98 20 5 Passerelle Unitel WAV est rrnssiss rss nnns re eee de rnnn se ess ares tee esse Seoses 99 Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 5 SOMMAIRE MISE EN SERVICE 21 PASSERELLE USB sienne nn nement nan ets dote ane eee 100 21 1 PEMCIP sssssnentrs sn nt rss era ere ni es sn seed een nee este ess n esse reres ososi 100 21 2 Configuration retiennent ess enenss etes es esaea iosita iess 100 22 FONCTIONS AVANCERS nn dns einem one 101 22 1 Ajouter un CEFTIPICAL rss sers ere anse snta sense ess nes este re en ess sers e aoei daonda resisae 101 22 2 Programmation des alarmes sseesscessesssosssocesosesocesosesocesocesocesocesocesoessscsesosesosesose 102 22 2 1 Alarmes SNMP iii 102 22 2 2 Al rme e mails ses Mie rene fn RE ef tisser her 103 DIAGNOSTIC amp MAINTENANCE Annexe 1 Page 6 DIAGNOSTIC VISUEL DE DEFAUT DE FONCTIONNEMEN
114. t connect au r seau Ethernet de l Interface WAN Si le PC est connect par un VPN par exemple ou bien dans tout autre cas il n est pas n cessaire de cocher cette case Page 100 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 22 Fonctions avanc es 22 1 Ajouter un certificat Pour tablir un tunnel VPN le routeur IPL peut s authentifier au moyen de certificat Cette solution procure un niveau lev de s curit Le routeur est livr avec un certificat X509 au format PKC 12 d livr par ETIC TELECOM cependant il est possible d ajouter un ou plusieurs autres certificats qui pourront tre s lectionn s la place du certificat initial Ces certificats peuvent tre introduits soit en format PKCS 12 avec mot de passe ou en en format PEM Un seul certificat peut tre actif la fois Attention les certificats du routeur client VPN et du routeur serveur VPN doivent avoir t d livr s par la m me autorit de certification Pour ajouter un certificat S lectionner Configuration gt S curit gt Certificats Cliquer le bouton ajouter S lectionner le type de certificat PKC 12 ou PEM e e e e S lectionner le certificat actif parmi la liste des certificats enregistr s Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 101 MISE EN SERVICE 22 2 Programmation des alarmes 22 2 1 Alarmes SNMP Le routeur dispose d un agent SNMP q
115. te adresse doit faire partie du domaine du r seau LAN Remarque Ne rien saisir si aucun autre routeur n est connect au r seau LAN 10 2 3 Param tres Acc s distant Case cocher Gestion automatique des adresses IP des utilisateurs distants Si cette case est coch e une adresse IP non utilis e du r seau LAN est attribu e au PC d un utilisateur distant lorsqu il se connecte Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 43 MISE EN SERVICE Pour attribuer cette adresse le routeur ETIC v rifie au moyen de requ tes appropri es qu elle n est pas attribu e par ailleurs un quipement du r seau LAN D cocher la case pour fixer la plage des adresses du r seau LAN r serv e aux utilisateurs distants Remarque La plage doit comporter autant d adresses que l on souhaite d acc s simultan s Param tre D but de la plage d adresses IP Saisir l adresse IP du d but de la plage Param tre Fin de la plage d adresses IP Saisir l adresse IP de la fin de la plage 10 2 4 Param tres Param tres avanc s Pour afficher ces param tres cocher la case param tres avanc s Param tres Configuration port 1 Configuration port 4 Les ports 1 4 ou 1 2 du switch Ethernet sont d tection automatique de d bit cependant dans des cas particuliers il peut tre utile de fixer leur comportement ou encore de d sactiver c
116. te en client PPP L quipement connect au routeur IPL par l interface USB se comporte en serveur PPP Ethernet 10 100 bT USB device USB host PPP client PPP server Adresse IP de destination Cas principal Un quipement connect au r seau Ethernet et qui veut transmettre des donn es l quipement connect l interface USB doit adresser les donn es l adresse IP sp cifique attribu e la passerelle USB voir configuration Adresse IP de destination cas du protocole MODBUS Si aucune adresse sp cifique n est attribu e la passerelle USB la passerelle transf re uniquement vers l interface USB le trafic Modbus TCP dans le port 502 adress l adresse IP de l interface LAN du routeur 21 2 Configuration e S lectionner le menu Configuration puis Passerelle USB Case cocher Activer Cocher cette case Case cocher Utiliser une Adresse IP sp cifique Cocher cette case pour permettre l enregistrement d une adresse IP sp cifique de la passerelle USB dans ce cas les donn es transmises cette adresse sp cifique sont transmises sur l interface USB quel que soit le N du port de destination Param tre Adresse IP sp cifique Enregistrer l adresse IP sp cifiquement attribu e la passerelle USB Case cocher case Autoriser l acc s depuis l interface WAN Il est n cessaire de s lectionner cette case si l quipement es
117. temps maximum admissible entre caract res des r ponses de l esclave modbus Param tre Adresse esclave Modbus Si la valeur sp cifi e par le client modbus est s lectionn e la passerelle utilise l adresse modbus sp cifi e par le client modbus pour adresser l esclave modbus de la liaison s rie on peut ainsi adresser jusqu 32 esclaves de la liaison s rie Si l on s lectionne une valeur particuli re entre 1 et 255 la passerelle adresse toutes les requ tes au N d esclave s lectionn on ne peut interroger qu un seul esclave sur la liaison s rie Param tre Time out d inactivit sur TCP Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de requ tes modbus re ues du r seau IP Page 94 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE Param tre Num ro du port TCP Fixe le N du port TCP utiliser le port par d faut est 502 Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 95 MISE EN SERVICE 20 3 Passerelle TCP RAW 20 3 1 Passerelle TCP RAW client Elle permet de raccorder un quipement se comportant en ma tre sur la liaison RS232 RS485 RS232 RS485 Response Request RAW TCP server 1 i f RAW TCP client RAW TOP client Request A RS232 RS485 repense Request 1 Re RS232 RS485 Configuration e Cliquer le menu passerelle puis Trans
118. tre configuration du routeur autrement saisir le nom du serveur SMTP utiliser ainsi que le N de port Remarque On peut souhaiter recevoir l alarme sous forme d un message SMS sur un mobile Ceci est possible en adressant l e mail d alarme vers une adresse mail ouverte chez l op rateur de t l phonie mobile qui le route ensuite vers le portable associ Les op rateurs de t l phonie mobile offrent cette fonction On consultera notre service hotline pour la mise en uvre Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 103 MISE EN SERVICE Page 104 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MAINTENANCE 1 Diagnostic visuel de d faut de fonctionnement Apr s la mise sous tension le voyant Op ration s claire en rouge durant 30 secondes environ pendant la phase d initialisation du routeur Apr s ce d lai le voyant passe au vert lorsque le produit est pr t fonctionner Si le voyant reste clair rouge apr s de d lai le routeur est probablement en panne contacter la hotline 2 Menu Diagnostic 2 1 Journaux Pour acc der aux diff rents journaux e S lectionner la page le menu Diagnostic gt Journal Journal principal Le journal principal enregistre et horodate les principaux v nements du routeur et en particulier Etat de la carte SIM Connexions et d connexions du r seau Ethernet WAN Connexions et d connexions des VPN Connexion
119. ue le routeur ETIC substitue l adresse IP qui lui a t attribu e sur le r seau WiFI l adresse IP source de l quipement du r seau LAN lors des transactions sur le r seau WiFi Remarque Le scanner WiFi du router IPL permet d identifier les r seaux WiFi d tect s par le routeur Pour utiliser le scanner WiFi s lectionner le menu Diagnostic gt Outils gt Scan WiFi Voir le chapitre Diagnostic de la pr sente notice 10 Interface LAN 10 1 Principes de configuration Switch Ethernet L interface LAN est constitu e de 2 ou 4 prises Ethernet switch es Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 41 MISE EN SERVICE Cette interface est d sign e par interface LAN dans la suite du texte le r seau qui y est directement raccord est appel r seau LAN Les ports Ethernet peuvent tre param tr s pour former un hub au lieu d un switch Adresse IP du routeur sur l interface LAN Une adresse IP fixe doit tre attribu e l interface LAN du routeur Serveur DHCP Le routeur peut tre serveur DHCP pour les quipements du r seau local LAN R serve d adresses pour les utilisateurs distants Si le routeur est aussi utilis pour permettre des utilisateurs distants d changer des donn es avec les quipements du r seau local au moyen d une connexion distante PPTP ou TLS ou L2TP une plage d adresses IP du r seau local doit leur tre r serv e L
120. uel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 17 1 2 Types de connexions distantes Quatre types de VPN sont propos s OpenVPN PPTP et L2TP IPSec et HTTPS Les quatre types de connexion peuvent co exister Pour param trer une connexion distante e S lectionner le menu Configuration gt Acc s distant gt moyen d acc s gt C h pf 192 168 38 191 4433 cgi method get menu amp amp menu true amp amp lang fr Q IPL A 400 gt Accueil gt Configuration gt Acc s distant gt Moyens d acc s E Accueil Y Configuration Enregistrer Annuler Modifications sur la page non enregistr es Interface WAN gt Interface LAN Proxy HTTPS v Acc s distant sa Activer le HTTPS Liste des utilisateurs pas Droits d acc s Propri t s L2TP IPsec Moyens d acc s b R seau Activer L2TP IPSec gt S curit Algorithme de chiffrement 3DES Y b Passerelles s rie Algorithme de hachage MDS Y gt Alarmes Authentification par Cl pr partag e Y gt Syst me asn T gt Diagnostics gt Maintenance Protocoles autoris s pour authentification A propos PAP CHAP MS CHAP MS CHAPV2 M Propri t s OpenVPN Activer OpenVPN OpenVPN W Num ro de port 1194 Protocole UDP Y Authentification des utilisateurs Login Mot de passe v Algorithme de chiffrement BlowFish Y Algorithme de hachage MDS Y Propri t s OpenVPN Acc s SmartPhone Activer OpenVPN OpenVPN po
121. ui supporte la MIB IT standard et l envoi de TRAP sous certaines conditions Pour enregistrer les param tres de fonctionnement du gestionnaire SNMP vers lequel les traps doivent tre transmis e S lectionner Configuration gt Syst me Case cocher Activer Si cette case est coch e l agent SNMP est lanc Param tre Adresse IP du premier gestionnaire SNMP Ce param tre enregistre l adresse IP du gestionnaire SNMP vers lequel les TRAP SNMP doivent tre envoy s Param tre Adresse IP du second gestionnaire SNMP Les traps SNMP peuvent tre transmis vers un second serveur SNMP Ce param tre enregistre l adresse IP de ce second serveur Param tre version du protocole SNMP Choisir dans la liste la version du protocole SNMP utiliser Param tre Nom de communaut C est nom partag entre chaque agent et le manager SNMP L agent SNMP ne r pond qu aux requ tes d un manager qui s identifie par ce nom Param tres Nom du syst me et Localisation du syst me Ces deux param tres permettent au gestionnaire SNMP d identifier l origine des traps Saisir les cha nes de caract res qui identifieront le routeur leur valeur est au choix Case cocher Surveiller le statut du backup Open VPN Le serveur VPN peut surveiller via SNMP l tat des VPN principaux et backup de ses clients Il utilise ces donn es pour afficher un tableau r capitualtif dans
122. uivant Chaque fois qu il se connecte l Internet le routeur ETIC inscrit l adresse IP provisoire qu il re oit sur l Internet aupr s du serveur DynDNS ou NolP l emplacement qui lui est r serv mon_routeur_etictelecom dans notre exemple Chaque fois qu il souhaite se connecter au produit le PC ou le routeur CIE distant transmet au serveur DYNDNS une requ te visant obtenir en retour l adresse IP du routeur ETIC poss dant le nom de domaine mon_routeur_etictelecom ETIC router host name INTERNET Sg Une fois qu il a acquis l adresse IP du routeur ETIC le PC distant peut tablir la connexion travers l Internet 11 2 Param trage Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 49 MISE EN SERVICE Etape 1 Ouvrir un compte aupr s de DynDNS ou NolP org pour r server un nom de domaine dynamique C est le nom que l on attribue au routeur sur l Internet mon_routeur_etictelecom dyndns org par exemple Etape 2 Configurer le routeur e S lectionner le menu Configuration gt R seau gt Routage gt Dyndns e Cocher la case Activer Param tre Fournisseur de service DNS Choisir DynDNS ou NoIP Param tres Identifiant du compte DNS dynamique et Mot de passe Saisir l identifiant et le mot de passe du compte ouvert chez le fournisseur de service de DNS dynamique Param tres Hostname Saisir le nom de domaine enr
123. une priorit saisir la m me valeur 10 par exemple pour chacune des routes Page 66 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 14 3 Protocole RIP RIP Routing Information Protocol est un protocole de routage IP qui permet chaque routeur d un r seau de conna tre la route menant un sous r seau quelconque de ce r seau Le principe utilis est le suivant Diffusion des tables de routage Chaque routeur transmet aux routeurs voisins et aux couteurs RIP voisins la table qui associe chaque destination du r seau l adresse du routeur voisin menant cette destination ainsi que la m trie de la route pour y parvenir Mise jour des tables de routage Chaque routeur met jour sa propre table au moyen des informations re ues des autres Le protocole RIP permet d viter de d clarer les routes statiques dans chacun des routeurs Prenons l exemple du r seau du paragraphe pr c dent au lieu de d clarer les routes statiques dans les routeurs R1 R2 R3 et R4 il est possible d activer le protocole RIP dans chacun des routeurs Pour activer le protocole RIP e s lectionner le menu Configuration gt Routage gt RIP Cocher les cases Activer RIP sur l interface LAN et la case Activer RIP sur l interface WAN Routeur firewall RAS type IPL E Manuel d utilisation 9021 109 01 Page 67 MISE EN SERVICE 15 Substitution d adresses NAT Redirection de port N
124. ur Smartphones Propri t s PPTP Activer PPTP Protocoles autoris s pour l authentification PAP CHAP MS CHAP MS CHAPV2 Remapping IP utiliser si le r seau t l maintenance et le LAN sont en confit Translater les adresses IP du r seau LAN Adresse r seau dans lequel translater le LAN Routeur firewall RAS type IPL E Manuel d utilisation 9021109 01 Page 77 MISE EN SERVICE 17 1 3 Param trage d une connexion distante de type OpenVPN Une connexion distante Open VPN tablie entre un PC distant et un r seau Ethernet garantt un niveau lev de s curit Authentification chiffrement int grit des donn es Le logiciel M2Me_ Secure s installe sur le PC distant pour constituer une interface de connexion simple et puissante Il est aussi possible de param trer dans le PC une connexion de type client Open VPN Configuration du routeur e S lectionner la case cocher Open VPN Param tres Num ro de port et protocoles Choisir le protocole de transport du VPN UDP ou TCP UDP est pr f rable TCP Le N de port peut tre quelconque mais la valeur doit tre choisie parmi celles qui sont autoris s sur le r seau du client Attention Le num ro de port utilis pour l interconnexion de routeurs par VPN doit tre diff rent du N de port utilis pour les connexions d utilisateurs distants TLS Param tres Authentification des utilisateurs Si l on
125. ur DHCP sur l interface LAN Param tre D but de la plage d adresses IP Saisir l adresse IP du d but de la plage que le routeur peut attribuer aux quipements du r seau LAN Param tre Fin de la plage d adresses IP Saisir l adresse IP de la fin de la plage que le routeur peut attribuer aux quipements du r seau LAN Remarque Lorsque le routeur poss de l option WiFi et que l interface Wifi est configur e en point d acc s il est conseill Param tre Masque de sous r seau Saisir le masque du r seau LAN Param tre Passerelle par d faut Saisir l adresse IP de la passerelle par d faut sur l interface LAN s il en existe une Param tre Serveur DNS primaire Saisir l adresse IP du serveur DNS secondaire Param tre Serveur DNS secondaire Saisir l adresse IP du serveur DNS secondaire Remarque les 4 param tres ci dessus sont les m mes que ceux qui ont t saisis pr alablement menu Ethernet et IP ils doivent tre saisis nouveau si le serveur DHCP est utilis Page 46 Manuel d utilisation 9021 109 01 Routeur firewall RAS type IPL E MISE EN SERVICE 10 4 Menu Liste des quipements Cette page permet de d signer par un nom et une adresse IP les quipements connect s au r seau LAN Il est n cessaire de d signer les quipements du r seau LAN qui doivent tre rendus s lectivement accessibles aux utilisateurs distants
126. vice et l utilisation des produits suivants Routeur sans interface Wifi IPL E 400 220 230 260 261 Port Ethernet WAN Firewall SPI Serveur RAS 25 utilisateurs VPN IPSEC amp SSL Passerelle s rie Raw TCP et UDP Telnet Modbus Unitelway Port Ethernet 10 100 BT LAN 4 2 2 2 2 RS232 1 2 RS485 1 z RS422 isol e 1 RS485 isol e z z 2 1 USB 1 1 1 1 1 Routeur IP NAT Redirection de port port forwarding e SNMP DNS DHCP client ou serveur sur l interface LAN Entr e TOR pour email d alarmes 1 1 1 1 1 Configuration HTTPS HTML SSH 10 Viewer Module optionnel de visualisation d entr es sorties modbus Page 8 Manuel d utilisation 9021109 01 Routeur firewall RAS type IPL E PRESENTATION Routeur avec interface Wifi IPL EW 400 220 230 260 261 Port Ethernet WAN Interface WiFi 2 4 GHz et 5 GHz Firewall SPI Serveur RAS 25 utilisateurs VPN IPSEC amp SSL Passerelle s rie Raw TCP et UDP Telnet Modbus Unitelway Port Ethernet 10 100 BT LAN 4 2 2 2 2 RS232 1 2 2 RS485 1 P z RS422 isol e 1 RS485 isol e z z 2 1 USB 1 1 1 1 1 Routeur IP
Download Pdf Manuals
Related Search
IPL E ipledge ipl eye treatment ipl eye ipl espn ipl eliminator 2025 ipl equipment ipl epilator ipl espn cricinfo ipl equipment hair removal ipl energy ipl exp rio8 ipl eliminator ipl electric ipl end date 2025 ipl end date ipl eye shields ipl eyelids ipl eliminated teams ipl email ipl eye treatment side effects ipl electric buffalo ny ipl electric indianapolis ipl east washington ipl electrical buffalo ny